Как удалить контроллер домена с windows server 2012 r2
Перейти к содержимому

Как удалить контроллер домена с windows server 2012 r2

  • автор:

Как удалить недоступный контроллер домена Windows Server 2012

Настройка серверов windows и linux

Добрый день уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз когда мы с вами разговаривали на тему Active Directory, то мы с вами производили установку контроллера домена, сегодня ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

удалить контроллер домена

netdom query fsmo

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

определение fsmo мастера

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

передача FSMO роли со сломанного контроллера домена

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Domain Controllers контейнер

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server

удаление контроллера домена через ntdsutil

У вас появится предупреждение, что «Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.»

удалить объект сервера DC

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Удалить старые связи контроллеров домена в сайтах

Все теперь можно удалять, когда все связи устранены.

удалить контроллер домена в сайтах

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи «Сервер имен (NS)»,

удаление записей DC из DNS

так же посмотрите папк:

Популярные Похожие записи:
  • Не удается отобразить объект Active Directory
  • Синий экран 0xc00002e2, решаем за минутуСиний экран 0xc00002e2, решаем за минуту
  • Ошибка NETLOGON 5719: Перестал отвечать дочерний домен
  • Как дать права на Deleted Objects в Active DirectoryКак дать права на Deleted Objects в Active Directory
  • Ошибка репликации (2148074274) The target principal name is incorrect
  • Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647

Ноя 14, 2017 00:00 Автор — Сёмин Иван

3 Responses to Как удалить недоступный контроллер домена Windows Server 2012

Добрый день, Иван. Спасибо за статью. А предпочтительнее какой будет способ удаления? И второй вопросик, роли «хозяин схемы» и «хозяин именования доменов» — они нормально захватятся через графическую оснастку ADUC? Или при удалении корневого домена появляются свои проблемы?

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

date

27.10.2017

user

itpro

directory

Active Directory

comments

комментариев 18

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

В домене на Windows Server 2008 и выше при удалении учетной записи компьютера неисправного контроллера домена с помощью консоли ADUC (Dsa.msc) выполняется автоматическая очистка метаданных в AD. И в общем случае никаких дополнительных ручных манипуляций, описанных ниже, выполнять не нужно.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

Понижение контроллера домена и удаление роли AD DS

Обновлено

Обновлено: 15.08.2023 Опубликовано: 27.06.2020

Используемые термины: Active Directory, FSMO. Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019. Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO. Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole

. передать роль. Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

На любом из контроллеров домена вводим команду:
dcdiag /a /q

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в УправлениеУдалить роли и компоненты: Переходим к удалению ролей и компонентовЕсли откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию): Пропускаем стартовую страницуВ окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD: Выбираем сервер для удаление роли. и нажимаем Далее. Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты: Отмечаем для удаления роль Доменные службы Active DirectoryСистема вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена: Переходим к понижению уровня контроллера доменаВ следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее: Знакомимся с предупреждением и идем далееСистема отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее: Ставим галочку для продолжения удаленияВводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера: Вводим пароль для административной учетной записиКликаем по Понизить уровень: Кликаем по Понизить уровеньПроцесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»: Результат понижения уровня ADСервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:
Uninstall-ADDSDomainController

Если в нашей сети это последний контроллер домена, то команда для удаления будет следующей:

Uninstall-ADDSDomainController -LastDomainControllerInDomain -RemoveApplicationPartitions

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********
Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по УправлениеУдалить роли и компоненты: Переходим к удалению ролей и компонентовСреди серверов выбираем тот, на котором будем удалять роль: Выбираем сервер для удаление роли* сервер может быть только один. Тогда выбираем его. Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты: Отмечаем для удаления роль Доменные службы Active DirectoryГалочка для доменных служб будет снята: Галочка на роли AD DS снята. кликаем по Далее несколько раз. В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да: Ставим галочку для автоматической перезагрузки сервераРоль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:
Remove-WindowsFeature -Name AD-Domain-Services
Роль контроллера будет удалена. Мы должны увидеть сообщение:
ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.
Перезагружаем сервер:
shutdown -r -t 0

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры: Переходим к изменению имени компьютера и его принадлежности к доменуВ открывшемся окне нажимаем на Изменить: Изменяем имя и доменИ переводим компьютер в рабочую группу: Переводим сервер в рабочую группу* в данном примере в группу с названием WORKGROUP. Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные. Если все сделано верно, мы должны увидеть окно: Добро пожаловать в рабочую группуПосле перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:
Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD. Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:
shutdown -r -t 0
. или выключаем:
shutdown -s -t 0

Вопросы и ответы

  • Если есть резервная копия, восстанавливаемся из нее.
  • Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
  • Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

Шаг 6. Понижение и удаление исходного сервера из новой сети Windows Server Essentials

После завершения установки Windows Server Essentials и завершения миграции необходимо выполнить следующие задачи:

  1. Удаление служб сертификатов Active Directory
  2. Отключите принтеры напрямую, подключенные к исходному серверу.
  3. Понижение исходного сервера.
  4. Удалите и перенацелите исходный сервер.

Удаление служб сертификатов Active Directory

Процедура немного отличается при установке на одном сервере нескольких служб ролей служб сертификатов Active Directory (AD CS). Следующая процедура позволяет вам удалить одну службу роли AD CS, сохранив остальные.

Для выполнения этой процедуры необходимо войти в систему с теми же разрешениями, которые имел пользователь, установивший центр сертификации (ЦС). При удалении ЦС предприятия минимальным требованием для выполнения этой процедуры является членство в группе «Администраторы предприятия» или его эквивалент.

Удаление AD CS

  1. Войдите на исходный сервер в качестве администратора домена.
  2. Щелкните Пуск, затем Администрированиеи Диспетчер серверов.
  3. В диалоговом окне Контроль учетных записей щелкните Продолжить .
  4. В разделе Сводка по ролям щелкните Удалить роли.
  5. В мастере удаления ролей щелкните Далее.
  6. Снимите флажок Службы сертификации Active Directory и нажмите кнопку Далее.
  7. Просмотрите информацию на странице Подтверждение удаления и нажмите кнопку Удалить.

Примечание. Если выполняются службы IIS, вам будет предложено остановить их перед продолжением. Щелкните OK.

Примечание. Сначала может потребоваться удалить веб-регистрацию центра сертификации, если она установлена.

Важно! Перезагрузите сервер даже в том случае, если отсутствует соответствующий запрос.

Отключение принтеров напрямую, подключенных к исходному серверу

Прежде чем понизить уровень исходного сервера, физически отключите все принтеры, которые подключены к напрямую к исходному серверу и предоставляются через него для общего доступа. Убедитесь, что не осталось никаких объектов Active Directory для принтеров, которые были подключены напрямую к исходному серверу. Затем принтеры можно подключить непосредственно к целевому серверу и предоставить общий доступ из Windows Server Essentials.

Понижение уровня исходного сервера

Перед понижением уровня исходного сервера с роли контроллера домена AD DS до роли рядового сервера домена убедитесь, что параметры групповой политики применяются ко всем клиентским компьютерам, как описано в следующей процедуре.

Исходный сервер и конечный сервер должны быть подключены к сети, пока на клиентских компьютерах обновляются изменения групповой политики.

Принудительное обновление групповой политики на клиентском компьютере

  1. Войдите на клиентский компьютер как администратор.
  2. Откройте окно командной строки с правами администратора.
  3. В командной строке введите команду gpupdate /forceи нажмите клавишу ВВОД.
  4. Для завершения процесса вам может потребоваться выйти из системы и снова войти в нее. Нажмите кнопку Да для подтверждения.

Если вы переносите windows Server Essentials или предыдущие версии, чтобы понизить сервер, см. статью «Удалить службы домен Active Directory». После добавления исходного сервера в качестве члена рабочей группы и отключения его от сети этот сервер необходимо удалить из доменных служб Active Directory на конечном сервере.

При миграции из Windows Server Essentials используйте диспетчер сервера для удаления роли служб домен Active Directory, тем самым понизив контроллер домена на исходном сервере, выполнив следующую процедуру:

Удаление исходного сервера из Active Directory

  1. На конечном сервере откройте Active Directory — пользователи и компьютеры.
  2. В области навигации Active Directory — пользователи и компьютеры разверните имя домена и затем пункт Компьютеры.
  3. Если исходный сервер по-прежнему имеется в списке серверов, щелкните правой кнопкой мыши имя исходного сервера, нажмите Удалить, а затем Да.
  4. Убедитесь, что исходный сервер отсутствует в списке, а затем закройте окно Active Directory — пользователи и компьютеры.

Удаление и повторное назначение исходного сервера

Выключите исходный сервер и отключите его от сети. Рекомендуется хотя бы одну неделю не выполнять переформатирование исходного сервера, чтобы убедиться, что все необходимые данные перенесены на конечный сервер. После подтверждения переноса всех данных можно переустановить этот сервер в сети в качестве дополнительного сервера для других задач.

Перезапустите конечный сервер после понижения уровня и удаления исходного сервера.

После понижения уровня исходного сервера он находится в неработоспособном состоянии. Если требуется перепрофилировать исходный сервер, проще всего отформатировать его, установить серверную операционную систему и затем настроить для использования в качестве дополнительного сервера.

Следующие шаги

Вы понизили и удалили исходный сервер из новой сети Windows Server Essentials. Теперь перейдите к шагу 7. Выполните задачи после миграции windows Server Essentials.

Чтобы просмотреть все действия, см. статью «Миграция на Windows Server Essentials».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *