降級域控制器和網域
本文說明如何使用 伺服器管理員 或 Windows PowerShell 移除 Active Directory 網域服務 (AD DS)。
AD DS 移除工作流程
警告
不支援在升級為域控制器 (DC) 後,使用 Dism.exe 或 Windows PowerShell DISM 模組移除 AD DS 角色,這樣會導致伺服器無法正常開機。
不同於伺服器管理員或 Windows PowerShell 的 ADDSDeployment 模組,DISM 是原生的服務系統,並未繼承 AD DS 的舊有知識或其組態。 除非伺服器不再是域控制器,否則不建議使用 Dism.exe 或 Windows PowerShell DISM 模組來卸載 AD DS 角色。
使用 PowerShell 降級和角色移除
| ADDSDeployment 和 ServerManager Cmdlet | 引數 (粗體 的引數是必要的。斜體 的引數可以使用 Windows PowerShell 或 [AD DS 設定精靈] 來指定。) |
|---|---|
| Uninstall-ADDSDomainController(解除安裝-ADDS域控制器) | -SkipPreChecks (略過先檢查) -LocalAdministratorPassword 確認 -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -力量 -強制移除 -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion (完成後不重新啟動) -RemoveApplicationPartitions (移除應用程式分區) -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature |
-名稱 -IncludeManagementTools -Restart -移除 力量 -ComputerName -Credential -LogPath -Vhd |
若要深入瞭解如何使用 PowerShell 降級 DC,請參閱 Uninstall-ADDSDomainController 和 Uninstall-WindowsFeature PowerShell 相關文件。
使用 Uninstall-ADDSDomainController 和 Uninstall-WindowsFeature時,這些命令只需要最小自變數,因為它們會執行單一動作。 在 確認階段按下 Enter 鍵會起始不可撤銷的降級程式,並重新啟動您的裝置。
注意
只有在您尚未以 Enterprise Admins 群組或 Domain Admins 群組的成員身分登入時,才需要 Credential 自變數。 只有當您想要移除所有 AD DS 管理公用程式時,才需要 IncludeManagementTools 自變數。
降職
移除角色和功能
有兩種方法可用來移除AD DS角色:
主要儀表板上的 [管理] 功能表 (使用 [移除角色及功能])
選取瀏覽窗格上的 [AD DS] 或 [所有伺服器]。 向下捲動到 [角色和功能] 區段。 以滑鼠右鍵按一下 [角色和功能] 清單中的 [Active Directory 網域服務],然後選取 [移除角色或功能]。 這個介面會略過 [伺服器選取項目] 頁面。
ServerManager Cmdlet Uninstall-WindowsFeature 和 Remove-WindowsFeature 將會防止您移除 AD DS 角色,直到您將網域控制站降級為止。
伺服器選取
「伺服器選取」 對話方塊可讓您從先前已加入集區的伺服器中選擇其中之一,只要該伺服器可供存取。 執行伺服器管理員的本機伺服器始終自動處於可用狀態。
伺服器角色與功能
取消選取 [Active Directory 網域服務] 核取方塊來將網域控制站降級。如果伺服器目前是網域控制站,這不會移除 AD DS 角色,而是會切換成提供降級供應項目的 [驗證結果] 對話方塊。 否則,它會像其他任何角色功能一樣,移除可執行檔。
如果您想要立即再次升級網域控制站,請勿移除任何其他的 AD DS 相關角色或功能 (例如 DNS、GPMC 或 RSAT 工具)。 移除其他角色與功能會增加重新升級的時間,因為伺服器管理員會在您重新安裝角色時重新安裝這些功能。
如果您想要永久降級網域控制站,請自行選擇移除不必要的 AD DS 角色與功能。 這需要取消勾選那些角色與功能的核取方塊。
AD DS 相關角色與功能的完整清單包括:
- Windows PowerShell 的 Active Directory 模組功能
- AD DS 與 AD LDS 工具功能
- Active Directory 管理中心功能
- AD DS 嵌入式管理單元及命令列工具功能
- DNS 伺服器
- 群組原則管理主控台
相等的 ADDSDeployment 和 ServerManager Windows PowerShell Cmdlet 為:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
認證
您可以在 [認證] 頁面上設定降級選項。 提供執行下列清單降級所需的認證:
降級其他網域控制站需要 Domain Admin 認證。 選取 [強制移除此網域控制站] 會降級網域控制站,但不會從 Active Directory 移除網域控制站物件的中繼資料。
警告
請不要選取這個選項,除非網域控制站無法連絡其他網域控制站,而且沒有其他正當的方法可以解決這個網路問題。 強制降級會在樹系的剩餘網域控制站上的 Active Directory 中留下孤立的中繼資料。 不僅如此,該網域控制站上所有未複寫的變更 (如密碼或新的使用者帳戶) 都會永遠遺失。 遺留的中繼資料是 Microsoft 客戶支援案件中,造成 AD DS、Exchange、SQL 及其他軟體問題的主要原因之一。
如果您強制降級網域控制站,則必須立即手動清理中繼資料。 如需相關步驟,請參閱清理伺服器中繼資料。
將網域中最後一個網域控制站降格需要具備 Enterprise Admins 群組的成員資格,因為這將移除網域本身(如果這是樹系中最後一個網域,則將移除整個樹系)。 [伺服器管理員] 會通知您目前的網域控制站是否為此網域的最後一部網域控制站。 選取 [網域中最後一個網域控制站] 核取方塊來確認網域控制站是網域中的最後一個網域控制站。
對等的 ADDSDeployment Windows PowerShell 引數為:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
警告
[警告] 頁面會提示您移除此網域控制站之後可能發生的結果。 若要繼續,您必須選取 [繼續移除]。
警告
如果您先前在 [認證] 頁面上選取 [強制此網域控制站移除],[警告] 頁面就會顯示此網域控制站代管的所有彈性單一主機操作角色。 您在將此伺服器降級後,應立即從另一個網域控制站接手角色。 如需有關搶奪 FSMO 角色的詳細資訊,請參閱搶奪操作主機角色。
此頁面沒有相等的 ADDSDeployment Windows PowerShell 引數。
移除選項
當先前在 [認證] 頁面選取了 [網域中最後一個網域控制站] 時,便會顯示 [移除選項] 頁面。 此頁面可讓您設定其他移除選項。 選取 忽略區域中最後一部 DNS 伺服器、移除應用程式分割 及 移除 DNS 委派 來啟用 下一步 按鈕。
選項只有在此網域控制站適用時才會顯示。 例如,如果沒有此伺服器的 DNS 委派,就不會顯示核取方塊。
選取 [變更] 來指定替代的 DNS 系統管理認證。 選取 [檢視分割] 來檢視降級時精靈會移除的其他分割。 根據預設,唯一的額外分割區是網域 DNS 和樹系 DNS 區域。 所有其他分割都是非 Windows 分割。
相等的 ADDSDeployment Cmdlet 引數為:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
新系統管理員密碼
一旦降級完成且電腦成為網域成員伺服器或工作群組電腦之後,[新系統管理員密碼] 頁面會要求您為本機電腦內建的 Administrator 帳戶提供一個密碼。
如果未指定,Uninstall-ADDSDomainController Cmdlet 與引數會遵循與伺服器管理員相同的預設值。
LocalAdministratorPassword 是特殊的引數:
- 如果未指定為引數,Cmdlet 就會提示您輸入並確認不顯示字元的密碼。 這是以互動方式執行 Cmdlet 時的慣用用法。
- 如果指定值,則此值必須是安全字串。 這不是以互動方式執行 Cmdlet 時的首選用法。
例如,您可以使用 Read-Host Cmdlet 手動提示輸入密碼,提示使用者輸入安全字串。
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
警告
因為前兩個選項不會確認密碼,所以請務必小心使用:密碼是看不到的。
您也可以提供轉換的純文字變數當做安全字串,不過我們不鼓勵這種做法。 例如:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
警告
不建議提供或儲存純文字密碼。 執行此命令於指令碼中或有人從旁觀看,任何人都會知道該電腦的本機管理員密碼。 取得該資訊之後,他們就可以存取所有資料,而且可以模擬伺服器本身。
確認
[確認] 頁面會顯示計劃好的降級作業,但不會列出降級組態選項。 這是開始降級之前精靈所顯示的最後一頁。 [檢視指令碼] 按鈕會建立 Windows PowerShell 降級腳本。
選取 降級 以執行以下 AD DS 部署命令:
Uninstall-ADDSDomainController
使用選擇性的 Whatif 引數與 Uninstall-ADDSDomainController cmdlet 來檢閱組態資訊。 這可讓您看到明確和隱含的 Cmdlet 引數值。
例如:
使用 ADDSDeployment Windows PowerShell 時,重新啟動提示是您取消此作業的最後機會。 若要覆寫該提示,請使用 -force 或 confirm:$false 引數。
降級
在 [降級] 頁面顯示時,就會開始網域控制站組態設定,且無法暫停或取消。 詳細的作業會在此頁面上顯示並寫入記錄檔:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
若要自動接受重新開機的提示,請使用 -force 或 -confirm:$false 引數搭配任一 ADDSDeployment Windows PowerShell Cmdlet。 若要避免伺服器在升級結束時自動重新開機,請使用 -norebootoncompletion: $false 引數。
警告
建議您不要覆寫重新開機設定。 成員伺服器必須重新開機才能正確運作。
這裡有一個使用最低需求引數 -forceremoval 和 -demoteoperationmasterrole 來強制降級的範例。 不需要 -credential 引數,因為使用者是以 Enterprise Admins 群組成員身分登入的:
這裡是使用最低需求的 -lastdomaincontrollerindomain 與 -removeapplicationpartitions 引數從網域中移除最後一個網域控制站的範例:
如果您嘗試在降級伺服器之前移除 AD DS 角色,Windows PowerShell 會以錯誤來阻止您:
重要
您必須在降級伺服器後重新啟動電腦,才能移除 AD 網域服務角色組件的二進位檔。
結果
[結果] 頁面會顯示升級成功或失敗,以及任何重要的系統管理資訊。 網域控制站會在 10 秒後自動重新開機。