Delen via

Domeincontrollers en domeinen naar een lagere status brengen

In dit artikel wordt uitgelegd hoe u Active Directory Domain Services (AD DS) verwijdert met Serverbeheer of Windows PowerShell.

AD DS-verwijderingswerkstroom

AD DS-verwijderingswerkstroomdiagram

Waarschuwing

Het verwijderen van de AD DS-rollen met Dism.exe of de Windows PowerShell DISM-module na promotie naar een domeincontroller (DC) wordt niet ondersteund en voorkomt dat de server normaal opstart.

In tegenstelling tot Serverbeheer of de ADDSDeployment-module voor Windows PowerShell is DISM een systeemeigen servicesysteem dat geen inherente kennis van AD DS of de configuratie ervan heeft. Het wordt afgeraden om Dism.exe of de Windows PowerShell DISM-module te gebruiken om de AD DS-functie te verwijderen, tenzij de server geen domeincontroller meer is.

Degradatie en het verwijderen van rollen met PowerShell

ADDSDeployment- en ServerManager-cmdlets Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden opgegeven met behulp van Windows PowerShell of de AD DS-configuratiewizard.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Bevestigen

-Credential

-VerlaagOperatieMasterRol

-DNSDelegationRemovalCredential

-Kracht

-GedwongenVerwijdering-

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone-

-LaatsteDomeincontrollerInDomein

-Nietherstartennaafloop

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Naam

-InclusiefBeheerTools

- opnieuw opstarten

-Verwijderen

-Kracht

-ComputerNaam

-Credential

-LogPath

-Vhd

Zie de Uninstall-ADDSDomainController en Uninstall-WindowsFeature PowerShell-verwijzingen voor meer informatie over het verlagen van uw domeincontroller met PowerShell.

Wanneer u Uninstall-ADDSDomainController en Uninstall-WindowsFeaturegebruikt, zijn voor deze opdrachten alleen de minimumargumenten vereist, omdat ze elk één actie uitvoeren. Als u tijdens de bevestigingsfase op de Enter-toets drukt, wordt het onherstelbare degradatieproces gestart en wordt uw apparaat opnieuw opgestart.

Notitie

Het Referenties argument is alleen vereist als u nog niet bent aangemeld als lid van een Enterprise Admins groep of een Domain Admins groep. Het argument IncludeManagementTools is alleen vereist als u alle AD DS-beheerhulpprogramma's wilt verwijderen.

Degraderen

Rollen en onderdelen verwijderen

Er zijn twee methoden die u kunt gebruiken om de AD DS-rol te verwijderen:

  • Het menu beheren op het hoofddashboard door gebruik te maken van Rol en Functies Verwijderen

    Serverbeheer - Functies en onderdelen verwijderen

  • Selecteer AD DS of Alle Servers in het navigatiepaneel. Schuif omlaag naar de sectie Functies en onderdelen. Klik met de rechtermuisknop op Active Directory Domain Services in de lijst Rollen en Onderdelen en selecteer Rol of functie verwijderen. Deze interface slaat de pagina Server Selectie over.

    Serverbeheer - Alle servers- Functies en onderdelen verwijderen

De ServerManager-cmdlets Uninstall-WindowsFeature en Remove-WindowsFeature voorkomt dat u de AD DS-rol verwijdert totdat u de domeincontroller degradeert.

Serverselectie

Verwijder rollen en functies wizard selecteer doelserver

Met het dialoogvenster Serverselectie kunt u kiezen uit een van de servers die eerder aan de pool zijn toegevoegd, mits deze toegankelijk is. De lokale server waarop Serverbeheer wordt uitgevoerd, is altijd automatisch beschikbaar.

Serverfuncties en -onderdelen

Wizard Functies en onderdelen verwijderen - Selecteer rollen om te verwijderen

Schakel het selectievakje Active Directory Domain Services uit om een domeincontroller te degraderen; als de server momenteel een domeincontroller is, wordt de AD DS-rol niet verwijderd en wordt in plaats daarvan overgeschakeld naar een validatieresultaten dialoogvenster met de aanbieding om degraderen. Anders worden de binaries verwijderd, net zoals bij elke andere rolkenmerk.

  • Verwijder geen andere AD DS-gerelateerde rollen of -functies, zoals DNS, GPMC of de RSAT-hulpprogramma's, als u de domeincontroller onmiddellijk opnieuw wilt promoveren. Als u extra rollen en functies verwijdert, neemt de tijd die nodig is om het niveau opnieuw te verhogen toe omdat deze functies opnieuw worden geïnstalleerd wanneer u de rol opnieuw installeert.

  • Verwijder overbodige AD DS-rollen en -functies naar eigen goeddunken als u de domeincontroller permanent wilt verlagen. Hiervoor moeten de selectievakjes voor deze rollen en functies worden gewist.

    De volledige lijst met AD DS-gerelateerde rollen en -functies zijn:

    • Active Directory-module voor Windows PowerShell-functie
    • Functie AD DS en AD LDS Tools
    • Active Directory-beheercentrumfunctie
    • Functie AD DS-snap-ins en opdrachtregelhulpmiddelen
    • DNS-server
    • Groepsbeleidsbeheerconsole

De equivalente ADDSDeployment- en ServerManager Windows PowerShell-cmdlets zijn:

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

Wizard Rollen en Functies Verwijderen - Bevestigingsdialoogvenster

Wizard Rollen en Functies Verwijderen - Validatie

Inloggegevens

wizard Configuratie van Active Directory Domain Services : selectie van referenties

U configureert degradatieopties op de pagina Referenties. Geef de referenties op die nodig zijn om de degradatie uit de volgende lijst uit te voeren:

  • Voor het degraderen van een extra domeincontroller zijn domeinadministratorreferenties vereist. Als u selecteert, wordt het verwijderen van deze domeincontroller geforceerd de domeincontroller gedegradeert zonder de metagegevens van het domeincontrollerobject uit Active Directory te verwijderen.

    Waarschuwing

    Selecteer deze optie alleen als de domeincontroller geen contact kan opnemen met andere domeincontrollers en er is geen redelijke manier om dat netwerkprobleem op te lossen. Geforceerde demotie laat verweesde metagegevens achter in Active Directory op de resterende domeincontrollers in het forest. Bovendien gaan alle niet-gerepliceerde wijzigingen op die domeincontroller, zoals wachtwoorden of nieuwe gebruikersaccounts, voor altijd verloren. Zwevende metagegevens vormen de hoofdoorzaak in een aanzienlijk percentage microsoft-klantondersteuningscases voor AD DS, Exchange, SQL en andere software.

    Als u een domeincontroller geforceerd degraderen, moet u het handmatig opschonen van metagegevens onmiddellijk uitvoeren. Voor de stappen, bekijk Metagegevens van de server opschonen.

    wizard Active Directory Domain Services-configuratie : verwijdering van referenties afdwingen

  • Voor het degraderen van de laatste domeincontroller in een domein is lidmaatschap van de Enterprise Admins-groep vereist, omdat hiermee het domein zelf wordt verwijderd. Als het het laatste domein in het forest is, wordt hiermee ook het forest verwijderd. Serverbeheer informeert u of de huidige domeincontroller de laatste domeincontroller in het domein is. Schakel het selectievakje Laatste domeincontroller in het domein in om te bevestigen dat de domeincontroller de laatste domeincontroller in het domein is.

De equivalente ADDSDeployment Windows PowerShell-argumenten zijn:

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

Waarschuwingen

nl-NL: Wizard voor de configuratie van Active Directory Domain Services - impact van FSMO-rollen op referenties

De Waarschuwingen pagina waarschuwt u voor de mogelijke gevolgen van het verwijderen van deze domeincontroller. Als u wilt doorgaan, moet u Doorgaan met verwijderenselecteren.

Waarschuwing

Als u eerder De verwijdering van deze domeincontroller afdwingen hebt geselecteerd op de Referenties pagina, dan geeft de Waarschuwingen pagina alle Flexibele Single Master Operations-rollen weer die door deze domeincontroller worden gehost. U moet de rollen van een andere domeincontroller(s) onmiddellijk overnemen en nadat u deze server hebt gedegradeerd. Voor meer informatie over het overnemen van FSMO-rollen, zie De Operations Master-rol in beslag nemen.

Deze pagina heeft geen equivalent ADDSDeployment Windows PowerShell-argument.

Verwijderingsopties

de Active Directory Domain Services-configuratiewizard - Referenties, DNS- en toepassingspartities verwijderen

De pagina Verwijderopties wordt weergegeven afhankelijk van een eerdere selectie van de laatste domeincontroller in het domein op de pagina Referenties. Op deze pagina kunt u extra verwijderingsopties configureren. Selecteer Laatste DNS-server negeren voor zone, toepassingspartities verwijderenen DNS-delegatie verwijderen om de knop Volgende in te schakelen.

De opties worden alleen weergegeven indien van toepassing op deze domeincontroller. Als er bijvoorbeeld geen DNS-delegering voor deze server is, wordt dat selectievakje niet weergegeven.

Selecteer Wijzigen om alternatieve DNS-beheerdersreferenties op te geven. Selecteer Partities weergeven om extra partities weer te geven die de wizard tijdens de degradatie verwijdert. Standaard zijn de enige extra partities domein-DNS- en forest-DNS-zones. Alle andere partities zijn niet-Windows-partities.

De equivalente cmdlet-argumenten ADDSDeployment zijn:

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

Nieuw beheerderswachtwoord

wizard Active Directory Domain Services-configuratie - Referenties nieuw beheerderswachtwoord

Op de pagina Nieuw beheerderswachtwoord moet u een wachtwoord opgeven voor het ingebouwde administratoraccount van de lokale computer, zodra de degradatie is voltooid en de computer een domeinlidserver of werkgroepcomputer wordt.

De Uninstall-ADDSDomainController cmdlet en argumenten volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven.

Het argument LocalAdministratorPassword is speciaal:

  • Als niet als argument is opgegeven bij, vraagt de cmdlet u om een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.
  • Als u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.

U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen.

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

Waarschuwing

Aangezien de vorige twee opties het wachtwoord niet bevestigen, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.

U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden. Voorbeeld:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Waarschuwing

Het is niet raadzaam om een wachtwoord voor duidelijke tekst op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het lokale beheerderswachtwoord van die computer. Met die kennis hebben ze toegang tot alle gegevens en kunnen ze de server zelf imiteren.

Bevestiging

wizard Configuratie van Active Directory Domain Services - Opties controleren

Op de pagina Bevestiging wordt de geplande degradatie weergegeven; de configuratieopties voor degradatie worden op deze pagina niet vermeld. Dit is de laatste pagina die de wizard weergeeft voordat de degradatie begint. Met de knop Script bekijken wordt een Windows PowerShell-degradatiescript gemaakt.

Selecteer Degradeer om de volgende AD DS Deployment-cmdlet uit te voeren:

Uninstall-ADDSDomainController

Gebruik het optionele argument Whatif met de Uninstall-ADDSDomainController en cmdlet om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten van een cmdlet bekijken.

Voorbeeld:

Schermopname van een terminalvenster met de expliciete en impliciete waarden van de argumenten van een cmdlet.

De prompt om opnieuw op te starten is de laatste mogelijkheid om deze bewerking te annuleren wanneer u ADDSDeployment Windows PowerShell gebruikt. Als u deze prompt wilt negeren, gebruikt u de argumenten -force of confirm:$false.

Demotie

Configuratiewizard Active Directory Domain Services - Degradatie is in uitvoering

Wanneer de pagina Degradatie wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden weergegeven op deze pagina en in logboeken worden vastgelegd.

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

PowerShell Uninstall-ADDSDomainController Voorbeeld

PowerShell Uninstall-WindowsFeature Voorbeeld

Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de -force of -confirm:$false argumenten met een ADDSDeployment Windows PowerShell-cmdlet. Gebruik het argument -norebootoncompletion:$false om te voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie.

Waarschuwing

Het omzeilen van het opnieuw opstarten wordt afgeraden. De lidserver moet opnieuw worden opgestart om correct te kunnen functioneren.

PowerShell Uninstall-ADDSDomainController Force Voorbeeld

Hier volgt een voorbeeld van geforceerd degraderen met de minimaal vereiste argumenten van -forceremoval en -demoteoperationmasterrole. Het argument -credential is niet vereist omdat de gebruiker is aangemeld als lid van de groep Ondernemingsadministrators:

Schermopname van een terminalvenster met een voorbeeld van gedwongen degraderen, met de minimale vereiste argumenten van -forceremoval en -demoteoperationmasterrole.

Hier volgt een voorbeeld van het verwijderen van de laatste domeincontroller in het domein met de minimaal vereiste argumenten van -lastdomaincontrollerindomain en -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Voorbeeld

Als u probeert de AD DS-rol te verwijderen voordat u de server degradeert, blokkeert Windows PowerShell u met een fout:

Een vereiste stap voor verwijderen is mislukt tijdens het verwijderen van AD-Domain-Services en kan het verwijderen niet doorgaan. 1. De domeincontroller moet worden gedegradeerd voordat de rol Active DirectoryDomain Services kan worden verwijderd.

Belangrijk

U moet de computer opnieuw opstarten nadat u de server hebt gedemodeerd voordat u de AD-Domain-Services rolbinaries kunt verwijderen.

Resultaten

U staat op het punt om te worden afgemeld na het verwijderen van AD DS-

Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.