Rebaixar controladores de domínio e domínios
Este artigo explica como remover o AD DS (Azure Active Directory Domain Services) usando o Gerenciador do Servidor ou o Windows PowerShell.
Fluxo de trabalho de remoção do AD DS
Cuidado
A remoção das funções AD DS com Dism.exe ou o módulo DISM do Windows PowerShell após a promoção para um DC (Controlador de Domínio) não suportada e impede que o servidor seja reinicializado normalmente.
Diferente do Gerenciador do Servidor ou do módulo de implantação do AD DS para Windows PowerShell, o DISM é um sistema de instalação nativo que não possui conhecimento inerente de AD DS ou de sua configuração. Não recomendamos usar Dism.exe ou o módulo DISM do Windows PowerShell para desinstalar a função AD DS, a menos que o servidor não seja mais um controlador de domínio.
Rebaixamento e remoção de função com o PowerShell
| Cmdlets do ADDSDeployment e ServerManager | Argumentos (Os argumentos em negrito são obrigatórios. Os argumentos em itálico podem ser especificados por meio do Windows PowerShell ou do Assistente de Configuração do AD DS.) |
|---|---|
| Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature | -Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Para saber mais sobre como rebaixar seu DC usando o PowerShell, consulte as referências do PowerShell Uninstall-ADDSDomainController e Uninstall-WindowsFeature.
Ao usar Uninstall-ADDSDomainController e Uninstall-WindowsFeature, esses comandos exigem apenas os argumentos mínimos, pois cada um executa uma única ação. Pressionar a tecla Enter durante a fase de confirmação inicia o processo de rebaixamento irrevogável e reinicia o dispositivo.
Observação
O argumento Credencial só será necessário se você ainda não estiver conectado como membro do grupo Administradores Corporativos ou do grupo Administradores de Domínio. O argumento IncludeManagementTools só será necessário se você quiser remover todos os utilitários de gerenciamento do AD DS.
Rebaixar
Remover funções e recursos
Há dois métodos que você pode usar para remover a função do AD DS:
O menu Gerenciar no dashboard, usando Remover funções e recursos
Selecione AD DS ou Todos os Servidores no painel de navegação. Arraste para baixo até a seção Função e recursos. Clique com o botão direito do mouse em Active Directory Domain Services na lista Funções e recursos e clique em Remover funções e recursos. Esta interface ignora a página Seleção do servidor.
Os cmdlets Uninstall-WindowsFeature e Remove-WindowsFeature do ServerManager impedirão que você remova a função do AD DS até rebaixar o controlador de domínio.
Seleção do servidor
O diálogo Seleção do Servidor permite que você escolha um dos servidores previamente adicionados ao pool, desde que ele esteja acessível. O servidor local que executa o Gerenciador do Servidor sempre está disponível automaticamente.
Funções e recursos do servidor
Desmarque a caixa de seleção Active Directory Domain Services para rebaixar um controlador de domínio; se o servidor for um controlador de domínio no momento, isso não remove a função do AD DS, mas sim alterna para uma caixa de diálogo Resultados de validação que apresenta a opção de rebaixamento. Caso contrário, ele removerá os binários como qualquer outro recurso de função.
Não remova ou adicione outras funções ou recursos relacionados ao AD DS, como DNS, GPMC ou as ferramentas RSAT, se pretender promover o controlador de domínio novamente imediatamente. Remover as funções e recursos adicionais eleva o tempo necessário para a nova promoção, pois o Gerenciador do Servidor reinstala esses recursos ao reinstalar a função.
Remova as funções e recursos desnecessários do AD DS livremente se você pretende manter o controlador de domínio rebaixado permanentemente. Isso requer desmarcar todas as caixas de seleção para as funções e recursos em questão.
A lista completa de funções e recursos relacionados ao AD DS inclui:
- Recurso do módulo Active Directory para o Windows PowerShell
- Recurso AD DS e AD LDS
- Recurso do Centro Administrativo do Active Directory
- Recurso de snap-ins AD DS e ferramentas de linha de comando
- Servidor DNS
- Console de gerenciamento de política de grupo
Os cmdlets equivalentes do ADDSDeployment e ServerManager do Windows PowerShell são:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Credenciais
Você pode configurar opções de rebaixamento na página Credenciais. Forneça as credenciais necessárias à execução do rebaixamento na lista a seguir:
O rebaixamento de um controlador de domínio adicional exige credenciais de Admin. do Domínio. A seleção de Forçar a remoção deste controlador de domínio rebaixa o controlador de domínio sem remover os metadados do objeto do controlador de domínio do Active Directory.
Aviso
Não selecione essa opção, a menos que o controlador de domínio não possa contatar outros controladores de domínio e não haja outra maneira razoável de solucionar o problema de rede. O rebaixamento forçado resulta em metadados órfãos no Active Directory, nos controladores de domínio remanescentes na floresta. Além disso, todas as alterações que não foram replicadas nesse controlador de domínio, como senhas ou novas contas de usuário, serão perdidas definitivamente. Metadados órfãos são a principal causa da significativa porcentagem de casos no Atendimento ao Cliente da Microsoft para AD DS, Exchange, SQL e outros softwares.
Se você forçar o rebaixamento de um controlador de domínio, execute manual e imediatamente a limpeza dos metadados. Para conhecer as etapas, examine Limpar metadados do servidor.
O rebaixamento do último controlador de domínio em um domínio exige associação ao grupo Administradores de Empresa, pois esse processo remove o domínio propriamente dito (e se este for o último domínio da floresta, ele removerá a floresta). O Gerenciador do Servidor informará se o atual controlador de domínio for o último no domínio. Marque a caixa de seleção Último controlador de domínio no domínio para confirmar que o controlador de domínio é o último controlador de domínio no domínio.
Os argumentos equivalentes de ADDSDeployment do Windows PowerShell são:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Warnings
A página Avisos alerta sobre as possíveis consequências de remover este controlador de domínio. Para continuar, selecione Prosseguir com a remoção.
Aviso
Se Forçar a remoção deste controlador de domínio na página Credenciais tiver sido marcado anteriormente, a página Avisos mostrará as funções de Operações de mestre único flexível hospedadas por este controlador de domínio. Você deverá executar as funções de outro controlador de domínio imediatamente após rebaixar este servidor. Para obter mais informações sobre como executar funções FSMO, consulte Capturar a função de mestre de operações.
Esta página não tem um argumento equivalente para o ADDSDeployment no Windows PowerShell.
Opções de remoção
A página Opções de remoção será exibida se o Último controlador de domínio no domínio tiver sido selecionado na página Credenciais. Esta página permite configurar as opções adicionais de remoção. Selecione Ignorar último servidor de DNS da zona, Remover partições de aplicativo e Remover Delegação de DNS para habilitar o botão Avançar.
As opções somente aparecerão se forem aplicáveis a este controlador de domínio. Por exemplo, se não houver delegação de DNS para este servidor, a caixa de seleção em questão não será exibida.
Selecione Alterar para especificar credenciais administrativas de DNS alternativas. Selecione Ver partições para ver as partições adicionais que o assistente remove durante o rebaixamento. Por padrão, as únicas partições adicionais são DNS de domínio e Zonas de DNS de floresta. Todas as demais partições não pertencem ao Windows.
Os argumentos de cmdlet equivalentes do ADDSDeployment são:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Nova Senha do Administrador
A página Nova Senha do Administrador exige que você forneça uma senha para a conta Administrador do computador local interno assim que o rebaixamento é concluído e o computador passa a ser um servidor membro do domínio ou um computador de grupo de trabalho.
Os cmdlets e os argumentos Uninstall-ADDSDomainController seguirão os mesmos padrões do Gerenciador do Servidor, se não for especificado.
O argumento LocalAdministratorPassword é especial:
- Se não especificado como um argumento, o cmdlet solicitará que você insira e confirme uma senha mascarada. Este é o uso preferencial ao executar o cmdlet interativamente.
- Se com um valor for especificado, o valor deverá ser uma cadeia de caracteres segura. Este é o uso preferencial ao executar o cmdlet interativamente.
Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma cadeia de caracteres segura.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Aviso
Como as duas opções anteriores não confirmam a senha, seja extremamente cuidadoso: a senha não fica visível.
Você também pode fornecer uma cadeia de caracteres segura como uma variável de texto não criptografado convertida, embora seja altamente recomendável não fazer isso. Por exemplo:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Aviso
O fornecimento ou o armazenamento de uma senha com texto não criptografado não é recomendável. Qualquer pessoa que executar esse comando em um script ou que estiver por perto tomará conhecimento da senha do administrador local daquele computador. Sabendo disto, ela terá acesso a todos os seus dados e poderá passar-se pelo próprio servidor.
Confirmação
A página Confirmação mostra o rebaixamento planejado. Ela não lista as opções de configuração de rebaixamento. Esta é a última página mostrada pelo assistente antes do início do rebaixamento. O botão Ver script cria um script de rebaixamento do Windows PowerShell.
Selecione Rebaixar para executar o seguinte cmdlet de Implantação do AD DS:
Uninstall-ADDSDomainController
Use o argumento opcional Whatif com o Uninstall-ADDSDomainController e o cmdlet para examinar as informações da configuração. Isso permite que você veja os valores explícitos e implícitos de argumento de um cmdlet.
Por exemplo:
o prompt para reiniciar é sua última oportunidade de cancelar esta operação ao usar o ADDSDeployment no Windows PowerShell. Para substituir este prompt, use os argumentos -force ou confirm:$false.
Rebaixamento
Quando a página Rebaixamento é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e gravadas em logs:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Para aceitar o prompt de reinicialização automática, use os argumentos -force ou -confirm:$false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para evitar que o servidor reinicie automaticamente no final da promoção, use o argumento -norebootoncompletion:$false.
Aviso
Não é recomendável substituir a reinicialização. O servidor membro deve ser reiniciado para funcionar corretamente.
Aqui está um exemplo de rebaixamento forçado com o mínimo necessário de argumentos -forceremoval e -demoteoperationmasterrole. O argumento -credential não é necessário porque o usuário fez logon como membro do grupo Administradores Corporativos:
Aqui está um exemplo de remoção do último controlador de domínio, no domínio, usando o mínimo necessário de argumentos -lastdomaincontrollerindomain e -removeapplicationpartitions:
Se você tentar remover a função do AD DS antes de rebaixar o servidor, o Windows PowerShell bloqueará você com um erro:
Importante
O computador deverá ser reiniciado depois de rebaixar o servidor antes de ser possível remover os binários de função do AD DS.
Resultados
A página Resultados mostra o sucesso ou o fracasso da promoção e qualquer informação administrativa importante. O controlador de domínio reiniciará automaticamente após 10 segundos.