Compartir a través de

Disminución de nivel de controladores de dominio y dominios

En este artículo se explica cómo quitar los Servicios de dominio de Active Directory (AD DS) mediante el Administrador del servidor o Windows PowerShell.

Flujo de trabajo de eliminación de AD DS

Gráfico del flujo de trabajo para la retirada de AD DS

Precaución

No se admite la eliminación de roles de AD DS con Dism.exe ni con el módulo DISM de Windows PowerShell después de la promoción a controlador de dominio (DC). Si se hace, el servidor no podrá arrancar con normalidad.

Al contrario que el Administrador del servidor o el módulo ADDSDeployment de Windows PowerShell, DISM es un sistema de mantenimiento nativo que no tiene un conocimiento inherente de AD DS o de su configuración. No recomendamos el uso de Dism.exe ni el módulo DISM de Windows PowerShell para desinstalar el rol de AD DS, salvo que el servidor ya no sea un controlador de dominio.

Degradación y eliminación de roles con PowerShell

Cmdlets ADDSDeployment y ServerManager Argumentos (Los argumentos en negrita son necesarios. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Para obtener más información sobre cómo disminuir el nivel del controlador de dominio mediante PowerShell, consulte las referencias de PowerShell Uninstall-ADDSDomainController y Uninstall-WindowsFeature.

Cuando se usan Uninstall-ADDSDomainController y Uninstall-WindowsFeature, estos comandos solo requieren los argumentos mínimos, ya que cada uno realiza una única acción. Al presionar la tecla Entrar durante la fase de confirmación, se inicia el proceso de disminución de nivel irreversible y se reinicia el dispositivo.

Nota:

El argumento Credential solo es necesario si aún no ha iniciado sesión como miembro del grupo Enterprise Admins o del grupo Domain Admins. El argumento IncludeManagementTools solo es necesario si desea quitar todas las utilidades de administración de AD DS.

Reducir de nivel

Quitar roles y características

Hay dos métodos posibles para quitar el rol AD DS:

  • En el menú Administrar del panel principal, selecciona Quitar roles y funciones

    Administrador de servidores> Quitar roles y características

  • Seleccione AD DS o Todos los servidores en el panel de navegación. Desplázate hacia abajo hasta llegar a la sección Roles y características. Haga clic con el botón secundario en Active Directory Domain Services en la lista Roles y características, y seleccione Quitar rol o característica. Esta interfaz omite la página Selección de servidor.

    Administrador de servidores > Todos los servidores > Quitar roles y características

Los cmdlets del Administrador del servidor Uninstall-WindowsFeature y Remove-WindowsFeature impiden que se elimine el rol de AD DS hasta que el controlador de dominio disminuye de nivel.

Selección de servidor

Quitar roles y características Asistente para seleccionar el servidor de destino

El cuadro de diálogo Selección de servidor le permite elegir uno de los servidores agregados anteriormente al grupo, siempre que esté accesible. El servidor local donde se ejecuta el Administrador del servidor está siempre disponible automáticamente.

Características y roles del servidor

Asistente para quitar roles y características: selección de roles para quitar

Desactive la casilla Active Directory Domain Services para disminuir un controlador de dominio de nivel; si el servidor es un controlador de dominio actualmente, esto no hace que se elimine el rol de AD DS, sino que se pasa al cuadro de diálogo Resultados de la validación, donde se propone la disminución de nivel. De lo contrario, se quitarán los archivos binarios, como ocurre con cualquier otra característica de rol.

  • No quite ningún otro rol ni característica relacionada con AD DS (como DNS, GPMC o las herramientas RSAT) si va a volver a aumentar de nivel el controlador de dominio. Quitar más roles y características hace que aumente el tiempo que debas invertir en promoverlo, dado que el Administrador del servidor reinstala estas características cuando el rol se reinstala.

  • Quita los roles y características de AD DS que no necesites según tus propios criterios si vas a disminuir el controlador de dominio de nivel permanentemente. Para ello, tienes que desactivar todas las casillas correspondientes a esos roles y características.

    La lista completa de roles y características relativos a AD DS incluye lo siguiente:

    • La característica Módulo de Active Directory para Windows PowerShell
    • La característica Herramientas de AD DS y AD LDS
    • La característica Centro de administración de Active Directory
    • La característica Complementos y herramientas de línea de comandos de AD DS
    • Servidor DNS
    • Consola de administración de directivas de grupo

Los cmdlets equivalentes en Windows PowerShell para ADDSDeployment y ServerManager son:

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

Asistente para quitar roles y características > Cuadro de diálogo de confirmación

Asistente para quitar roles y características > Validación

Credenciales

Asistente de configuración de servicios de dominio de Active Directory > Selección de credenciales

Las opciones de degradación se configuran en la página Credenciales. Proporcione las credenciales necesarias para realizar la degradación de la siguiente lista:

  • La degradación de un controlador de dominio adicional requiere credenciales de Administrador de dominio. Si se selecciona la opción para forzar la eliminación del controlador de dominio, se degrada el controlador de dominio sin quitar los metadatos del objeto del controlador de dominio de Active Directory.

    Advertencia

    No seleccione esta opción a menos que el controlador de dominio no pueda establecer contacto con otros controladores de dominio y no haya una forma razonable para resolver el problema de red. La degradación forzada deja metadatos huérfanos en Active Directory en los controladores de dominio restantes del bosque. Además, todos los cambios no replicados en ese controlador de dominio, como por ejemplo contraseñas o cuentas de usuario nuevas, se pierden para siempre. Los metadatos huérfanos son la causa raíz en un porcentaje significativo de casos del Soporte al cliente de Microsoft para AD DS, Exchange, SQL y otro software.

    Si degrada a la fuerza un controlador de dominio, debe realizar la limpieza manual de los metadatos en forma inmediata. Para conocer los pasos necesarios, consulta el tema Limpiar metadatos de servidor.

    Asistente de configuración de servicios de dominio de Active Directory > Eliminación forzada de credenciales

  • La disminución de nivel del último controlador de dominio en un dominio requiere la pertenencia al grupo Administradores de empresas, ya que esto quita el dominio en sí (y, si es el último dominio en el bosque, se quita el bosque). El Administrador del servidor le informa si el controlador de dominio actual es el último controlador de dominio en el dominio. Activa la casilla Último controlador de dominio en el dominio para confirmar que el controlador de dominio es el último en el dominio.

Los argumentos equivalentes en el módulo ADDSDeployment de Windows PowerShell son:

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

Advertencias

Asistente de configuración de servicios de dominio de Active Directory > Impacto de los roles FSMO de credenciales

En la página Advertencias verás alertas de las posibles consecuencias que conlleva eliminar este controlador de dominio. Para proseguir, debes seleccionar Continuar con la eliminación.

Advertencia

Si activaste antes Forzar la eliminación de este controlador de dominio en la página Credenciales, la página Advertencias mostrará todos los roles de Operaciones de maestro único flexible que este controlador de dominio hospeda. Debes asumir los roles de otro controlador de dominio de inmediato tras disminuir este servidor de nivel. Para obtener más información sobre cómo asumir roles de FSMO, consulta Asumir el rol de maestro de operaciones.

Esta página carece de argumento equivalente en Windows PowerShell para ADDSDeployment.

Opciones de eliminación

Asistente de configuración de servicios de dominio de Active Directory > Quitar credenciales de las particiones DNS y de aplicación

La página Opciones de eliminación se muestra en función de si antes se ha seleccionado Último controlador de dominio en el dominio en la página Credenciales. En esta página podrás configurar más opciones de eliminación. Seleccione Ignorar último servidor DNS para zona, Quitar particiones de aplicación y Quitar delegación DNS para activar el botón Siguiente.

Las opciones solo aparecen si procede en el caso de este controlador de dominio. Por ejemplo, si no hay delegación DNS para este servidor, la casilla correspondiente no se mostrará.

Seleccione Cambiar para especificar otras credenciales administrativas de DNS. Seleccione Ver particiones para ver más particiones que el asistente haya quitado durante la disminución de nivel. Las únicas particiones adicionales son las zonas DNS de dominio y DNS de bosque de forma predeterminada. El resto de particiones no son de Windows.

Los argumentos del cmdlet ADDSDeployment equivalentes son:

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

Nueva contraseña de administrador

Asistente de configuración de servicios de dominio de Active Directory > Credenciales Nueva contraseña de administrador

En la página Nueva contraseña de administrador se requiere que proporcione una contraseña para la cuenta Administrador integrada del equipo local, una vez que la degradación se complete y el equipo se convierta en un servidor miembro de dominio o equipo de grupo de trabajo.

Si no se especifican, el cmdlet Uninstall-ADDSDomainController y sus argumentos correspondientes siguen los mismos valores predeterminados del Administrador del servidor.

El argumento LocalAdministratorPassword es especial:

  • Si no se especifica como argumento, el cmdlet te pedirá que escribas y confirmes una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.
  • Si se especifica con un valor, debe ser una cadena segura. Este no es el uso preferido cuando el cmdlet se ejecuta de manera interactiva.

Por ejemplo, puedes solicitar una contraseña de forma manual con el cmdlet Read-Host para pedirle al usuario que escriba una cadena segura:

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

Advertencia

Como las dos opciones anteriores no confirman la contraseña, ten mucho cuidado: la contraseña no es visible.

También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas. Por ejemplo:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Advertencia

No se recomienda proporcionar o almacenar una contraseña no cifrada. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de administrador local de ese equipo y, conociéndola, tendrá acceso a todos los datos y podrá suplantar al servidor.

Confirmación

Asistente de configuración de servicios de dominio de Active Directory > Revisar opciones

En la página Confirmación se muestra la disminución de nivel planeada, pero no las opciones de configuración de disminución de nivel. Se trata de la última página del asistente antes de que la disminución de nivel se inicie. Con el botón Ver script se crea un script de disminución de nivel de Windows PowerShell.

Seleccione Disminuir nivel para ejecutar el siguiente cmdlet de implementación de AD DS:

Uninstall-ADDSDomainController

Emplea el argumento opcional Whatif con el cmdlet Uninstall-ADDSDomainController para repasar la información de configuración. Te permitirá ver los valores explícitos e implícitos de los argumentos de un cmdlet.

Por ejemplo:

Captura de pantalla de una ventana de terminal que muestra los valores explícitos e implícitos de los argumentos de un cmdlet.

El mensaje para reiniciar es tu última oportunidad de cancelar esta operación cuando uses ADDSDeployment de Windows PowerShell. Para invalidar ese mensaje, usa los argumentos -force o confirm:$false.

Degradación

Asistente para la configuración de los servicios de dominio de Active Directory > Degradación en curso

Cuando la página Degradación se abre, se inicia la configuración del controlador de dominio, que no se puede interrumpir ni cancelar. En dicha página se muestran las operaciones detalladas, que escriben en los registros:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Ejemplo de Uninstall-ADDSDomainController de PowerShell

Ejemplo de Uninstall-WindowsFeature de PowerShell

Para aceptar el aviso de reinicio de forma automática, utiliza los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment de Windows PowerShell. Para evitar que el servidor se reinicie automáticamente al final de la promoción, usa el argumento -norebootoncompletion:$false.

Advertencia

No se recomienda invalidar el reinicio. El servidor miembro debe reiniciarse para funcionar correctamente.

Ejemplo forzoso de Uninstall-ADDSDomainController de PowerShell

Este es un ejemplo de disminución de nivel forzada con los argumentos mínimos requeridos de -forceremoval y -demoteoperationmasterrole. El argumento -credential no es necesario porque el usuario ha iniciado sesión como miembro del grupo Administradores de organización:

Captura de pantalla de una ventana de terminal que muestra un ejemplo de degradación forzosa con sus argumentos mínimos requeridos de -forceremoval y -demoteoperationmasterrole.

Este es un ejemplo de eliminación del último controlador de dominio en un dominio con los argumentos mínimos requeridos -lastdomaincontrollerindomain y -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Si intentas eliminar el rol de AD DS antes de disminuir el servidor de nivel, Windows PowerShell lo impedirá y mostrará un error:

Error en un paso de requisitos previos de desinstalación durante la eliminación de AD-Domain-Services y la desinstalación no puede continuar. 1. El controlador de dominio debe degradarse antes de que se pueda desinstalar el rol Active DirectoryDomain Services.

Importante

Para poder eliminar los archivos binarios del rol AD-Domain-Services, debes reiniciar el equipo después de disminuir el servidor de nivel.

Results

Está a punto de firmar la advertencia después de la eliminación de AD DS.

La página Resultados indica si la promoción se realizó correctamente o si se produjo algún error, junto con toda la información administrativa importante que corresponda. El controlador de dominio se reiniciará automáticamente 10 segundos después.