Windows 2008 понизить контроллер домена
Обновлено: 06.07.2024
Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.
Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.
Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:
- если контроллер домена — единственный и уничтожается вся доменная структура;
- если в лесе имеются другие контроллеры, выполняющие эту функцию.
В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.
Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.
Если флажок Этот сервер — последний контроллер домена в данном домене
(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена
Как переименовать контроллер домена Windows Server 2008 R2
Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод, существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
- Контроллер не должен быть последним Глобальным каталогом
- Не должен быть Центром Сертификации
- Не быть последним контроллером домена
- Вы должны быть администратором домена или предприятия
- Если контроллер домена выполняет какие-либо роли хозяина операций, перед понижением его роли передайте эти роли другому контроллеру
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-026
Посмотрим топологию в Active Directory, и видим dc01 и dc03
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-028
Открываем пуск и пишем dcpromo.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027
Открывается мастер установки доменных служб, жмем далее
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029
Видим, что выскочило предупреждение
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-030
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-038
Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-039
Ставим галку Удалить делегирование DNS.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-040
вас попросят вести дополнительные данные
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-041
Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-042
Смотрим сводные данные установки и жмем Далее.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-043
Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-044
После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-045
Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-046
Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-047
после чего перезагружаемся. Если хотите чтобы сервер снова стал DC, то смотрите Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
Для понижения роли контроллера домена, достаточно превратить контроллер домена в рядовой сервер. Это делается утилитой dcpromo.exe, при запуске которой запускается мастер установки Active Directory. Процесс понижения роли имеет сои особенности, связанные с количеством контроллеров в домена в лесе и их функциональностью. Если контроллер домена, является сервером глобального каталога, то будет выдано предупреждение! Его можно проигнорировать в двух случаях: если контроллер домена — единственный и уничтожается вся доменная структура; если в лесе имеются другие контроллеры, выполняющие эту функцию.
Пуск — Выполнить — dcpromo.exe, при запуске которой запускается мастер установки Active Directory
Снять галку с Global Catalog. Об успешном отключении данной функции можно посмотреть в логах windows.Если мастер запущен уже после этой процедуры, предупреждения уже не будет. На данном этапе, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене. Если поставить галку, на «сервер последний контроллер домена в данном домене» (This server is the last domain controller in the domain), то контроллер домена становится изолированным сервером и все данные и настройки удаляются.
В данном случае, понижается роль резервного контролера домена, и галку в предыдущем шаге не ставили. На данном этапе сбрасывается пароль учетной записи Администратора.Завершающий шаг запуска процесса понижения роли.
Процесс удаления Active Directory, понижение роли.
После завершения процесса, необходимо перезагрузить сервер. После перезагрузки, сервер станет рядовым, состоящий в домене.
В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.
Рабочий процесс удаления AD DS
Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.
В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.
Понижение роли и удаление ролей с помощью PowerShell
| Командлеты ADDSDeployment и ServerManager | Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
|---|---|
| Uninstall-ADDSDomainController | -SkipPreChecks |
Учетные данные
-IncludeManagementTools
Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы "Администраторы предприятия" (при понижении роли последнего контроллера домена в домене) или группы "Администраторы домена" (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.
Понижение
Удалить роли и компоненты
В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.
В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты
На панели навигации выберите пункт AD DS или Все серверы. Перейдите вниз к разделу Роли и компоненты. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. В этом интерфейсе пропускается страница Выбор сервера.
Командлеты ServerManager uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль AD DS, пока контроллер домена не будет понижен.
Выбор сервера
В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.
"Роли сервера" и "Компоненты"
Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. В противном случае он удаляет двоичные файлы, как и любые другие функции ролей.
Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.
Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.
Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:
- Модуль Active Directory для Windows PowerShell
- Средства AD DS и AD LDS
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- DNS-сервер
- Консоль управления групповыми политиками
Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:
Учетные данные
Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:
Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Выбор принудительного удаления этого контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.
Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.
При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.
Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.
Эквивалентные аргументы Windows PowerShell ADDSDeployment:
Предупреждения
Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.
У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.
Параметры удаления
Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.
Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.
Эквивалентные аргументы командлета ADDSDeployment:
Новый пароль администратора
На странице новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения роли, когда компьютер станет рядовым сервером домена или рабочей группой.
Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.
Аргумент LocalAdministratorPassword действует особым образом.
- Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
- Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить безопасную строку у пользователя.
Поскольку два предыдущих варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. Например:
Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.
Подтверждение
На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку "Просмотреть сценарий" создается сценарий понижения роли Windows PowerShell.
Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.
Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false.
Понижение уровня
Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Поскольку uninstall-аддсдомаинконтроллер и uninstall-WindowsFeature имеют только одно действие каждый, они показаны на этапе подтверждения с минимальными необходимыми аргументами. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.
Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false.
Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.
Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:
Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:
при попытке удалить роль AD DS перед понижением роли сервера Windows PowerShell блокирует ошибку:
Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.
Результаты
На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.
Как переименовать контроллер домена Windows Server 2008 R2
Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод, существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
- Контроллер не должен быть последним Глобальным каталогом
- Не должен быть Центром Сертификации
- Не быть последним контроллером домена
- Вы должны быть администратором домена или предприятия
- Если контроллер домена выполняет какие-либо роли хозяина операций, перед понижением его роли передайте эти роли другому контроллеру
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-026
Посмотрим топологию в Active Directory, и видим dc01 и dc03
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-028
Открываем пуск и пишем dcpromo.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027
Открывается мастер установки доменных служб, жмем далее
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029
Видим, что выскочило предупреждение
этот контроллер домена Active Directory является сервером Глобального каталога.Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-030
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-038
Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-039
Ставим галку Удалить делегирование DNS.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-040
вас попросят вести дополнительные данные
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-041
Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-042
Смотрим сводные данные установки и жмем Далее.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-043
Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-044
После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-045
Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-046
Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-047
после чего перезагружаемся. Если хотите чтобы сервер снова стал DC, то смотрите Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
В этой статье мы поговорим о процедуре обновления домена с версии Windows Server 2008 R2 до Windows Server 2012 с последующим понижением роли старого контроллера домена до рядового сервера AD.
Итак, что имеется:
- Домен Active Directory как минимум с одним контроллером домена на Windows Server 2008 R2
- Уровень леса и домена AD должен быть как минимум Windows Server 2003
- Дополнительный рядовой сервер домена с Windows Server 2012 , который в дальнейшем станет контроллером домена (как включить сервер в домен подробно описано в статье Как включить Windows 8 в домен).
- Учетная запись с правами администратора домена, схемы и леса.
Прежде чем добавлять новый контроллер домена на Windows 2012 необходимо обновить схему домена и леса. Классически подготовка и повышение уровня домена осуществлялась вручную с помощью утилиты Adprep.exe. В документации новой серверной платформы от Microsoft указано, что при повышении первого сервера с Windows Server 2012 до уровня контроллера домена, повышение уровня домена происходит автоматически при установке роли AD DS на первый сервер Windows 2012 в домене. Так что, теоретически, для подготовки домена ничего делать не нужно.
Однако, предпочтительнее контролировать результат такого ответственного процесса, как обновление схемы. Выполним процедуру обновления схемы вручную.
Обновление схемы AD до Windows Server 2012 с помощью adprep
Для обновления схемы нам понадобится утилита adprep.exe, взять которую можно в каталоге \support\adprep\ на диске с дистрибутивом Windows Server 2012. Данная утилита бывает только 64-разрадной (утилиты adprep32.exe больше не существует), соответственно, запустить ее можно будет только на 64 разрядном контроллере домена.
Необходимо скопировать утилиту на текущий DC с ролью Schema Master (Хозяин схемы) и в командной строке с правами администратора выполнить команду подготовки леса к установке нового DC на Windows Server 2012:
Далее обновим схему домена:
Далее осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Если все прошло хорошо – продолжаем. Пришла пора развернуть контроллер домена на Windows Server 2012.
Установка контроллер домена на Windows Server 2012
Первой интересной новостью является тот факт, что знакомой администраторам утилиты DCPROMO, позволяющей добавить или удалить контроллер домена в AD больше не существует. При ее запуске появляется окно, в котором сообщается, что мастер установки Active Directory Domain Services перемещен в консоль Server Manager.
Что ж, откроем консоль Server Manager и установим роль Active Directory Domain Services (Внимание! Установка роли автоматически не означает тот факт, что сервер стал контроллером домена, роль нужно сначала настроить)
После окончания установки роли появится окно, в котором сообщается, что сервер готов стать контроллером домена, для чего нужно нажать на ссылку “Promote this server to domain controller” (далее мы рассмотрим только значимые шаги мастера создания нового контроллера домена).
Затем нужно указать, что данный контроллер домена будет добавлен в уже существующий домен (Add a domain controller to an existing domain), указать имя домен и учетную запись из-под которой будет проводится операция.
Затем укажите, что данный контроллер домена будет содержать роли GC (Global Catalog) и DNS сервера. Также укажите пароль восстановления DSRM (Directory Services Restore Mode) и, если необходимо имя сайта, к которому будет относиться данный контроллер домена.
По окончании работы мастера установки роли AD DS, сервер нужно перезагрузить. После перезагрузки вы получаете новый контроллер домена с ОС Windows Server 2012.
Удаление старого контроллера домена на Windows Server 2008 R2
Прежде, чем понизить роль старого контроллера домена с Windows Server 2008 R2 до рядового сервера, нужно перенести все FSMO роли на новый контроллер домена .
Процедура переноса ролей FSMO с одного контролера домена на другой нами уже рассматривалась, подробнее с ней можно познакомится в статье Передача ролей FSMO в Active Directory. Процедуру можно осуществить через графический GUI (проще) или из командной строки с помощью утилиты ntdsutil
После передачи роли FSMO PDC Emulator, необходимо настроить синхронизацию времени на новом контроллере домена с внешним сервером (с которым время синхронизировалось ранее). Подробно процедура настройки синхронизации времени на PDC описана в статье: Синхронизация времени с внешним NTP сервером в Windows 2008 R2 . Формат команды примерно такой (ntp_server_adress – адрес NTP сервера):
После того, как все роли FSMO перенесены на новый DC Windows Server 2012, убедитесь, что домен работает корректно: проверьте прохождение репликации AD, журналы DNS и AD на наличие ошибки. Не забудьте в настройках сетевой карты на новом сервере в качестве предпочтительного DNS сервера указать собственный адрес.
Если все прошло корректно, можно понизить роль старого контроллера домена 2008 R2 до рядового сервера домена. Это можно сделать, запустив на нем мастер DCPROMO, и указать, что данный сервер более не является контроллером домена. После того, как данный сервер станет рядовым сервером, его можно полностью отключить.
Читайте также: