En este artículo, mostraremos cómo quitar (degradar) correctamente un controlador de dominio de Active Directory en Windows Server 2022/2019/2016/2012R2. Al quitar un controlador de dominio, generalmente se usa uno de los siguientes escenarios.
Contenido:
Eliminación de un controlador de dominio de Active Directory y un rol ADDS (paso a paso)
Si va a retirar uno de sus controladores de dominio AD (DC común o controlador de dominio de solo lectura – RODC), debe realizar algunos pasos preparatorios antes de degradar su controlador de dominio a un servidor miembro y eliminar los Servicios de dominio de Active Directory (ADDS). ) role.
- Verifique el estado de su controlador de dominio, Active Directory y replicación. Hay un artículo separado sobre cómo verificar el estado y la replicación de un controlador de dominio en AD usando
dcdiag
,repadmin
y secuencias de comandos de PowerShell. Solucione los problemas si los encuentra. Para mostrar una lista de errores en un controlador de dominio específico, ejecute el siguiente comando:dcdiag.exe /s:mun-dc03 /q
- Asegúrese de que las funciones de AD FSMO no se estén ejecutando en el controlador de dominio:
netdom query fsmo
Si es necesario, mueva los roles de FSMO a otro DC. - Asegúrese de que la función del servidor DHCP no se esté ejecutando en el controlador de dominio. Si es así, migrarlo a otro servidor;
- Cambie la configuración de DNS para los ámbitos de DHCP que asignan direcciones IP a los clientes. Cambie la configuración de los ámbitos DHCP para que asignen una dirección de servidor DNS diferente (espere a que expire el tiempo de concesión de IP para que todos los clientes obtengan una nueva configuración de servidor DNS). Puede mostrar una lista de servidores DNS configurados para todas las zonas (Servidores DNS Opción 006) en un servidor usando el siguiente comando de PowerShell (obtenga más información sobre cómo administrar DHCP en Windows Server usando PowerShell):
Get-DhcpServerv4Scope -ComputerName mun-dhcp.woshub.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
- Algunos clientes pueden configurarse manualmente para usar un servidor DNS en el DC (dispositivos de red, servidores, impresoras, escáneres, etc.). Debe encontrar dichos dispositivos y reconfigurarlos en otro servidor DNS. Es más fácil encontrar dichos dispositivos accediendo a su servidor DNS por sus registros. Aquí hay un artículo detallado: Cómo auditar consultas DNS de clientes en Windows Server;
- Si se está ejecutando una función de autoridad de certificación en el controlador de dominio, migrarla a otro servidor;
- Si otros servicios (como un servidor KMS, Radius/NPS, WSUS, etc.) se están ejecutando en el controlador de dominio, decida si desea moverlos a otros hosts;
- Utilizar el
Test-ADDSDomainControllerUninstallation
cmdlet para asegurarse de que existan dependencias o problemas con los que pueda encontrarse al eliminar un controlador de dominio. Si el cmdlet regresa Éxitopuedes seguir adelante.
Ahora está listo para degradar el controlador de dominio a un servidor miembro. Antes de Windows Server 201, el dcpromo El comando se usó para esto. En las ediciones modernas de Windows Server, esta herramienta está obsoleta y no se recomienda su uso.
Puede degradar su controlador de dominio usando el Administrador del servidor. Abra el Administrador del servidor -> Funciones y funciones remotas -> desmarque Servicios de dominio de Active Directory en la sección Funciones del servidor.
Hacer clic Degradar este controlador de dominio.
Aparece el asistente de configuración de servicios de dominio de Active Directory. Forzar la eliminación de este controlador de dominio La opción se utiliza para eliminar el último controlador de dominio en un dominio. No haga úsalo Posteriormente eliminaremos todos los metadatos de DC manualmente.
En la siguiente pantalla, verifique la Proceder con la eliminación opción.
Luego configure la contraseña del administrador del servidor local.
Entonces solo tienes que hacer clic Degradar.
Espere hasta que termine la degradación del controlador de dominio. Aparecerá el siguiente mensaje: Degradado con éxito el controlador de dominio de Active Directory.
Reinicie su host de Windows Server. Abra el Administrador del servidor nuevamente para eliminar la función de Servicios de dominio de Active Directory.
Al eliminar la función ADDS, los siguientes componentes se eliminarán de forma predeterminada:
Ejecute la consola Usuarios y equipos de Active Directory (dsa.msc) y asegúrese de que la cuenta del equipo del controlador de dominio se eliminó de la unidad organizativa Controladores de dominio.
También puede desinstalar un controlador de dominio usando el Uninstall-ADDSDomainController
Cmdlet de PowerShell. El comando le pedirá que establezca una contraseña de administrador local y confirme la degradación de DC.
Después del reinicio, simplemente eliminará el rol ADDS usando PowerShell:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
A continuación, abra Sitios y servicios de Active Directory (dssite.msc
), busque el sitio del controlador de dominio y su cuenta en la sección Servidores. Expanda el DC, haga clic con el botón derecho en Configuración NTDS y seleccione Borrar.
Confirme la eliminación de DC comprobando Elimine este controlador de dominio de todos modos. Está permanentemente fuera de línea y ya no se puede eliminar con el asistente de eliminación.
Luego elimine la cuenta del servidor.
Espere hasta que termine la replicación de AD y verifique el estado del dominio usando dcdiag
y repadmin
comandos (descritos anteriormente).
¿Cómo eliminar un controlador de dominio fallido en Active Directory?
Si su controlador de dominio ha fallado (servidor físico o archivos de DC virtuales en el almacenamiento) y no va a restaurar el DC desde la copia de seguridad del controlador de dominio creada anteriormente, puede forzar su eliminación.
Importante. Un controlador de dominio eliminado de esta manera nunca debe volver a conectarse.
En Windows Server 2008 R2 o anterior, el ntdsutil
La herramienta se usó para eliminar un controlador de dominio fallido y borrar sus metadatos de AD. En el Windows Server 2022/2019/2016/2012 actual, puede eliminar el controlador de dominio fallido y borrar sus metadatos correctamente mediante los complementos MMC de administración gráfica de AD.
Abra la consola ADUC (dsa.msc
) y navegue hasta el Controladores de dominio. Encuentre su cuenta de DC y elimínela.
Aparece una ventana para confirmar la eliminación del controlador de dominio. Controlar Eliminar este controlador de dominio de todos modos. Hacer clic Borrar.
Active Directory borrará automáticamente los metadatos del controlador de dominio eliminado de la base de datos ntds.dit.
Luego, elimine el controlador de dominio en la consola de Sitios y servicios de AD como se muestra arriba.
Y el último paso es eliminar los registros del controlador de dominio del DNS. Abra el Administrador de DNS (dnsmgmt.msc
).
Elimine el servidor de la lista de servidores de nombres en la configuración de la zona.
Elimine los registros estáticos de servidores de nombres (NS) relacionados con el DC eliminado en su zona DNS y _msdcs
, _sites
, _tcp
, _udp
secciones, así como registros PTR en la zona de búsqueda inversa.
O use PowerShell para buscar y eliminar registros en DNS.
Aquí hay una guía paso a paso que muestra cómo desinstalar un controlador de dominio o eliminar un controlador de dominio fallido de Active Directory.
Artículos Interesantes
Relacionados:
Contenido