Windows server 2016 понизить роль контроллера домена
Обновлено: 03.07.2024
DC119 и DC219 - Новые КД
repadmin /showrepl
Repadmin: running command /showrepl against full DC localhost
Apple-Irk\DC216
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
DSA invocationID: 837f7892-8aa1-48ba-a14f-eb90ac6e33ea
DC=corp,DC=applecat,DC=com
Apple-Irk\DC119 via RPC
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
Last attempt @ 2019-12-24 15:25:35 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 15:06:01.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 15:25:35 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 15:09:14.
CN=Configuration,DC=corp,DC=applecat,DC=com
Apple-Irk\DC119 via RPC
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
Last attempt @ 2019-12-24 15:25:34 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 14:57:56.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 15:25:35 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 14:57:57.
CN=Schema,CN=Configuration,DC=corp,DC=applecat,DC=com
Apple-Irk\DC119 via RPC
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
Last attempt @ 2019-12-24 15:25:34 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 14:52:17.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 15:25:35 failed, result 1908 (0x774):
Could not find the domain controller for this domain.
1 consecutive failure(s).
Last success @ 2019-12-24 14:52:17.
DC=DomainDnsZones,DC=corp,DC=applecat,DC=com
Apple-Irk\DC119 via RPC
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
Last attempt @ 2019-12-24 15:46:10 was successful.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 15:46:28 was successful.
DC=ForestDnsZones,DC=corp,DC=applecat,DC=com
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 15:41:12 was successful.
Apple-Irk\DC119 via RPC
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
Last attempt @ 2019-12-24 15:41:15 was successful.
Source: Apple-Irk\DC119
******* 1 CONSECUTIVE FAILURES since 2019-12-24 15:06:01
Last error: 1908 (0x774):
Could not find the domain controller for this domain.
Source: Apple-Irk\DC219
******* 1 CONSECUTIVE FAILURES since 2019-12-24 15:09:14
Last error: 1908 (0x774):
Could not find the domain controller for this domain.
netdom query fsmo
The RPC server is unavailable.
The command failed to complete successfully.
repadmin /showrepl
Repadmin: running command /showrepl against full DC localhost
Apple-Irk\DC119
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 445f7e27-86e4-4d47-8173-933384154eac
DSA invocationID: d61e7103-391a-4aa9-9369-1602c2ab43d1
DC=corp,DC=applecat,DC=com
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 07:52:21 was successful.
Apple-Irk\DC216 via RPC
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
Last attempt @ 2019-12-24 07:59:52 was successful.
CN=Configuration,DC=corp,DC=applecat,DC=com
Apple-Irk\DC216 via RPC
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
Last attempt @ 2019-12-24 07:52:21 was successful.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 07:52:21 was successful.
CN=Schema,CN=Configuration,DC=corp,DC=applecat,DC=com
Apple-Irk\DC216 via RPC
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
Last attempt @ 2019-12-24 07:52:21 was successful.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 07:52:21 was successful.
DC=ForestDnsZones,DC=corp,DC=applecat,DC=com
Apple-Irk\DC216 via RPC
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
Last attempt @ 2019-12-24 07:52:21 was successful.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 07:52:21 was successful.
DC=DomainDnsZones,DC=corp,DC=applecat,DC=com
Apple-Irk\DC216 via RPC
DSA object GUID: d66c23a5-1710-41b2-9614-6befcab6328c
Last attempt @ 2019-12-24 07:52:21 was successful.
Apple-Irk\DC219 via RPC
DSA object GUID: ac84c8dc-4ed5-4b57-acd2-2ef3fc8e7922
Last attempt @ 2019-12-24 07:52:21 was successful.
Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.
Процесс полного удаления разобьем на несколько этапов:
Подготовка системы
Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.
Перенос ролей контроллера домена
Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:
Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.
Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:
Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>
Проверка состояния AD
На любом из контроллеров домена вводим команду:
Понижение контроллера домена
Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.
Графика
Открываем Диспетчер серверов и переходим в Управление - Удалить роли и компоненты:
Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):
В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:
. и нажимаем Далее.
Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:
Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:
В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:
Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:
Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:
Кликаем по Понизить уровень:
Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:
Сервер автоматически будет перезагружен.
Powershell
Открываем консоль Powershell от администратора и вводим:
Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:
LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********
Мы получим предупреждение о перезагрузки сервера. Соглашаемся:
После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"): A
Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.
Удаление роли AD DS
После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.
Графика
В диспетчере серверов кликаем снова по Управление - Удалить роли и компоненты:
Среди серверов выбираем тот, на котором будем удалять роль:
* сервер может быть только один. Тогда выбираем его.
Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:
Галочка для доменных служб будет снята:
. кликаем по Далее несколько раз.
В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:
Роль будет удалена, а сервер отправлен в перезагрузку.
Powershell
Запускаем Powershell от администратора и вводим:
Remove-WindowsFeature -Name AD-Domain-Services
ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.
Вывод сервера из домена
В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.
Графика
Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:
В открывшемся окне нажимаем на Изменить:
И переводим компьютер в рабочую группу:
* в данном примере в группу с названием WORKGROUP.
Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.
Если все сделано верно, мы должны увидеть окно:
После перезагружаем сервер или выключаем его.
Powershell
Запускаем Powershell от имени администратора и вводим:
Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose
* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.
Соглашаемся продолжить, ознакомившись с предупреждением:
Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да - Y [N] Нет - N [S] Приостановить - S [?] Справка (значением по умолчанию является "Y"): Y
Вопросы и ответы
Дополнительные сведения относительно понижения и удаления AD.
1. Как удалить дочерний домен?
Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.
2. Как понизить режим работы домена?
Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.
3. Что делать, если умер основной контроллер домена?
Рассмотрим несколько вариантов:
- Если есть резервная копия, восстанавливаемся из нее.
- Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
- Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.
4. Что делать, если контроллер домена возвращает ошибку при понижении?
Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:
Всё о PowerShell в Windows и на Linux. Системное администрирование Windows
В этой статье показано, как понизить уровень контроллера домена в Windows Server. Указанный способ применим для Windows Server 2012 и более поздних версий, вплоть до Windows Server 2019 и Windows Server 2022.
Отменить повышение до контроллера доменов можно в PowerShell, а также с помощью инструментов настройки с графическим интерфейсом.
В этой статье пошагово объясняется, как удалить AD DS с помощью диспетчера сервера или Windows PowerShell.
Ошибка «The Active Directory domain controller needs to be demoted before the AD DS role can be removed»
Отмена добавления роли Контроллер доменов может понадобится, если вы хотите удалить компоненты Active Directory.
К примеру, при удалении Active Directory вы можете столкнуться со следующей ошибкой:
Для её исправления необходимо начать с выключения контроллера домена на сервере, ниже показано, как это сделать.
Понижение и удаление роли Active Directory domain controller с помощью PowerShell
Выключение роли Контроллер доменов выполняется с помощью командлета Uninstall-ADDSDomainController. А удалить Active Directory и DNS сервер можно с помощью командлета Uninstall-WindowsFeature (Remove-WindowsFeature). Рассмотрим их опции:
-Credential
-IncludeManagementTools
Примечание: аргумент -credential требуется только в том случае, если вы ещё не вошли в систему в качестве члена группы Enterprise Admins (DC которого вы понижаете) или группы Domain Admins (администраторов домена) (DC которого вы понижаете). Аргумент -includemanagementtools требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.
Следующая команда понизит сервер с контроллера домена до обычного сервера:
Во время выполнения вам будет предложено ввести пароль для локального администратора, который после удаления Контроллера домена станет основной учётной записью и заменит администратора домена.
Вы можете указать пароль прямо в команде, используя следующую опцию:
- -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
После выполнения команды компьютер автоматически перезагрузиться.
Для удаления Active Directory и DNS сервера используйте следующие команды:
Компоненты (роли) успешно удалены, но для вступления изменений в силу требуется перезагрузки сервера:
Теперь рассмотрим удаление ролей и компонентов через Диспетчер серверов.
Удаление контроллера домена в Server Manager (Менеджере серверов)
Нажмите клавишу «Windows» на клавиатуре и введите «Server Manager» для поиска приложения, откройте его.
Нажмите «Manage» → «Remove Roles and Features».
Нажмите «Next».
Выберите сервер и нажмите «Next».
Найдите пункт «Active Directory Domain Services» и снимите галочку из чек-бокса, затем нажмите «Next».
В открывшемся окне нажмите «Remove Feature».
Поскольку данный сервер является Контроллером домена, то невозможно удалить Active Directory Domain Services, пока не будет будет сделана отмена повышения до Контроллером домена. Поэтому возникает ошибка:
Чтобы начать процесс удаления Контроллера домена, нажмите на «Demote this domain controller».
Поставьте галочку «Proceed with removal» и нажмите «Next».
Поставьте галочку «Last domain controller in the domain» и нажмите «Next».
Поставьте галочки «Remove this DNS zone (this is the last DNS server that hosts the zone», «Remove application partitions», «Remove DNS delegation» и нажмите «Next».
Введите пароль локального администратора, под чьей учётной записью будет выполняться вход после удаления контроллера домена и нажмите «Next».
Проверьте обобщённую информацию и нажмите кнопку «Demote».
Дождитесь завершения процесса понижения уровня контроллера домена.
После этого компьютер будет автоматически перезагружен.
После перезагрузки сервера вновь зайдите в «Server Manager». В нём нажмите «Manage» → «Remove Roles and Features».
Нажмите «Next».
Выберите сервер и нажмите «Next».
Найдите пункт «Active Directory Domain Services» и снимите галочку из чек-бокса, затем нажмите «Next». В открывшемся окне нажмите «Remove Feature».
Затем найдите пункт «DNS Server» и снимите галочку из чек-бокса, затем нажмите «Next». В открывшемся окне нажмите «Remove Feature».
После удаления всех больше ненужных функций и ролей нажмите «Next».
На следующем окре уже будут очищены чек-боксы, соответствующие удаляемым вспомогательным функциям и оснастке, нажмите «Next».
Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.
Симптомы
В этой статье рассказывается о способах понижения роли контроллеров домена в Windows Server 2012 и 2012 R2. Более десяти лет для понижения роли контроллера домена (DC) использовался файл «dcpromo.exe». Такой способ больше не используется.
Понижение уровня контроллера домена Windows Server 2012 / 2012 R2 с помощью Диспетчера серверов
1. Откройте Диспетчер серверов.
2. Нажмите Управление, а затем Удалить роли и компоненты.
3. При появлении запроса Выберите сервер назначения выберите целевой контроллер домена.
4. В разделе Удалить роли сервера нажмите кнопку Далее и в разделе Удалить компоненты нажмите кнопку Далее.
5. Снимите флажок с роли Доменные службы Active Directory.
8. Введите новые учетные данные с правами понижения роли сервера или сохраните существующие учетные данные.
9. Если причина понижения роли контроллера домена заключается в том, что он потерял контакт с доменом, необходимо принудительно удалить его и вручную удалить артефакты (очистка метаданных — см. ссылку ниже). Выберите параметр Принудительное удаление этого контроллера домена.
10. Если этот контроллер домена является единственным оставшимся контроллером домена, убедитесь, что установлен флажок Последний контроллер домена в домене; в противном случае снимите флажок. Нажмите
кнопку Далее.
12. Установите новый пароль локального администратора.
13. Нажмите Понизить уровень.
14. Уровень сервера будет понижен, и сервер будет автоматически перезагружен. Двоичные файлы AD DS останутся на сервере, но сервер перестанет быть контроллером домена.
Понижение версии контроллера домена 2012 / 2012 R2 с помощью PowerShell (быстрый и простой метод)
1. Откройте окно командной строки PowerShell.
2. Введите «uninstall-addsdomaincontroller».
a) Чтобы выполнить принудительное удаление, добавьте -forceremoval $true к строке команды.
3. При появлении запроса введите новый пароль учетной записи локального администратора и нажмите клавишу Enter.
4. Подтвердите пароль и нажмите клавишу Enter.
5. Примите настройки по умолчанию и нажмите клавишу Enter.
6. Уровень сервера будет понижен, и сервер будет автоматически перезагружен. Двоичные файлы AD DS останутся на сервере, но уровень сервера будет понижен.
Читайте также: