В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:
Содержание:
- Понижение контроллера домена с удалением роли Active Directory Domain Services
- Удаление неисправного контроллера домена Active Directory
Понижение контроллера домена с удалением роли Active Directory Domain Services
Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.
- Проверьте состояние вашего контроллера домена, Active Directory и репликации. На сайте есть отдельная статья с описанием команд диагностики здоровья контроллера домена и репликации в AD с помощью
dcdiag
,
repadmin
и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду:
dcdiag.exe /s:dc01 /q - Убедитесь, что на контроллере домена не запущены FSMO роли AD:
netdom query fsmo
Если нужно, перенесите роли FSMO на другой DC; - Убедитесь, что на DC не запушена роль DHCP сервера. Если запущена, мигрируйте ее на другой сервер;
- Измените настройки DNS для DHCP областей, которые выдаются клиентам IP адреса. Перенастройте DHCP клиентов на другой DNS сервер (дождитесь окончания времени аренды IP адресов, чтобы все клиенты получили новые настройки DNS). Вы можете вывести список DNS серверов, заданных для всех зон (DNS Servers Option 006) на определенном сервере с помощью следующей команды PowerShell (подробнее об управлении DHCP в Windows Server с помощью PowerShell):
Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value - Некоторые клиенты могут быть настроены на использование DNS сервера на DC вручную (сетевые устройства, сервера, принтеры, сканеры и т.д.). Вам нужно найти такие устройства и перенастроить их на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам. Вот подробная статья: Аудит DNS запросов клиентов в Windows Server по DNS логам;
- Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
- Если на контроллере домена запущены другие службы (например, KMS сервер, Raduis/NPS, WSUS и т.д.), решите нужно ли переносить их на другие сервера;
- Воспользуйтесь командлетом
Test-ADDSDomainControllerUninstallation
, чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус
Sucсess
, можете продолжить.
Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo. В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.
Вы можете понизить роль контроллера домена с помощью Server Manager. Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.
Нажмите на кнопку Demote this domain controller.
Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно. В дальнейшем мы удалим метаданные о DC вручную.
В следующем окне отметьте опцию Proceed with removal.
Затем задайте пароль учетной записи локального администратора сервера.
На последнем этапе останется нажать кнопку Demote.
Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller.
Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.
При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:
- Модуль Active Directory Module for Windows PowerShell
- AD DS and AD LDS Tools feature
- Active Directory Administrative Center
- AD DS Snap-ins and Command-line Tools
- DNS Server
- Консоль Group Policy Management Console (
gpmc.msc
)
Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.
Также вы можете удалить контроллер домена с помощью PowerShell командлета
Uninstall-ADDSDomainController
. Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.
После перезагрузки останется с помощью PowerShell удалить роль ADDS:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Теперь запустите консоль Active Directory Sites and Services (
dssite.msс
), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete.
Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard.
Затем удалите учетную запись сервера.
Дождитесь окончания репликации в AD и проверьте состояние домена с помощью
dcdiag
и
repadmin
(как описано выше).
Удаление неисправного контроллера домена Active Directory
Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена, можно удалить его принудительно.
Важно. Удаленный таким образом контроллер домена ни в коем случае нельзя включать в сеть.
До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil. В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических
mmc
оснасток управления AD.
Откройте консоль ADUC (
dsa.msc
) и перейдите в контейнер Domain Controllers. Найдите учетную запись вашего DC и удалите ее.
Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway. И нажмите кнопку Delete.
Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.
Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.
И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager (
dnsmgmt.msc
).
Удалите сервер из списка Name Servers в настройках зоны.
Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах
_msdcs
,
_sites
,
_tcp
,
_udp
, и PTR записи в обратной зоне.
Или воспользуйтесь PowerShell для поиска и удаления записей в DNS.
Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.
Windows Server 2012 domain controller installation setup
В статье описана установка контроллера домена (ADDS — Active Directory Domain Services или просто AD) на ОС Windows Server 2012 R2 с помощью графической утилиты Server Manager.
ВНИМАНИЕ: В Windows Server 2012 утилита командной строки dcpromo устарела (deprecated) и заблокирована.
Поэтому для настройки контроллера домена будем использовать графическую утилиту Server Manager.
Windows Server 2012 контроллер домена установка настройка с помощью Server Manager
ВНИМАНИЕ: Перед настройкой контроллера домена рекомендуется установить все самые последние обновления ОС.
Установка состоит из двух этапов:
1. Установка роли Active Directory Directory Services
2. Активация контроллера домена
1. Установка роли Active Directory Directory Services
Запустить Server Manager.
Выбрать Add roles and features.
Экран Before you begin. Нажать Next.
Выбрать Role-based of featured-based installation. Нажать Next.
Выбрать сервер, на который будет установлен контроллер домена. Нажать Next.
В списке ролей выбрать роль — Active Directory Directory Services. Сразу появиться окно Add Roles and Features Wizard в котором нужно нажать Add Features. Нажать Next.
На странице Select Features автоматически будет выделено – Group Policy Management. Нажать Next.
На странице Active Directory Domain Services, выводиться общая информация о контроллере домена. Нажать Next.
Страница Confirm installation selections. Нужно подтвердить выбранную конфигурацию к установке и нажать Install. Если что-то не устраивает в конфигурации можно вернуться назад и исправить. Если выбрать Restart the destination server automatically if required, после установки сервер перезагрузиться без дополнительных предупреждений. Так же на этой странице можно выполнить экспорт этой конфигурации в xml-файл.
Дождаться конца установки
После установки роли Active Directory Directory Services можно активировать контролер домена.
2. Активация контроллера домена
Чтобы запустить активацию контролера домена можно в окне установки роли ADDS кликнуть Promote this server to a domain controller. Либо если вы уже закрыли это окно, в Server Manager появиться оповещение, отмеченное флажком, там есть такая же ссылка. Нужно кликнуть на неё.
Выбрать Add a new forest и указать название домена, в данном примере – unronet.local. Это для случая, когда у вас нет еще никакого домена или леса (если вы добавляете контроллер в существующий домен или лес) – выбирайте первые два пункта и указывайте там имя существующего домена\леса. Нажать Next.
Страница Domain Controller Options. Здесь можно выбрать Forest functional level и Domain functional level. А так же выбрать будет ли этот сервер выполнять роль DNS сервера (или DNS сервер – это другой сервер). Определить Directory Service Mode (DSRM) password. Нажать Next.
Некое предупреждение по поводу DNS его можно игнорировать. Нажать Next.
Задаётся имя для домена, при необходимости его можно изменить. Нажать Next.
Страница Paths. Здесь можно переопределить папки для хранения служебных файлов контроллера домена. Нажать Next.
Страница Review Options. Здесь можно посмотреть скрипт Windows PowerShell с помощью которого будет активирован контроллер домена. Нажать Next.
Страница проверки предварительных требований. Нажать Install.
Дождаться конца установки. Если была выбрана опция автоматической перезагрузки – сервер перезагрузиться сразу после окончания активации.
In this article, I will walk through how to setup a new domain controller on server 2012.
Before promoting the server, you should make sure a static IP address is assigned to the server.
Steps to Create a New Domain Controller Server
If you are using Windows Server 2012, 2016, or 2019 the steps to create a new domain controller is very similar.
Step 1. Click on Add Roles and Features
From Server Manager select “Add Roles and Features”.
Step 2. Click “Next” on the “Before you begin” screen
Step 3. Installation Type
Select “Role based or feature-based installation and click “Next”
Step 4. Server Selection
Select the server and click “Next”. Unless you have added additional servers to the server manager you should only see one server listed.
Step 5. Server Roles
Select “Active Directory Domain Services” on the Server Roles page. You will get a pop up to add features that are required for Active Directory Domain Services, click “Add Features” and then click “Next”
Step 6. Features page
On the features page click “Next”. No changes are needed on this page.
Step 7. ADS page
On the AD DS page click “Next” This is just an informational page.
Step 8. Confirmation Page
On the confirmation page click “Next”. If you want the server to reboot automatically select the box “Restart the destination server automatically if required”
At this point, Active Directory Domain Services should be installing. This will take a few minutes.
You must look at the progress bar and the text below it to know when the installation is complete. Once it is complete click the close button.
Step 9. Promote to a Domain Controller.
Now that the required services are installed we can promote the server to a Domain Controller. Back in Server Manager, you will see a yellow triangle at the top right that needs to be clicked. In the message details click “Promote this server to a domain controller”
Step 10. Select “Add a new forest” and enter Root domain name
I now get the “Active Directory Domain Services Configuration Wizard”. Since this is the first Domain Controller I will select “Add a new forest” In the Root domain name: I will enter ad.winadpro.com and click “Next”
11. Domain Controller Options
Since this is our first 2012 R2 DC in the forest I’m going to leave the forest and domain functional level at Windows Server 2012 R2. NOTE: If you are adding an additional domain controller to an existing forest you need to understand what functional level to set. I will enter in a password for the Directory Services Restore Mode and click next.
NOTE: Directory Services Restore MODE (DSRM) allows an administrator to repair or recover an Active Directory Database.
12. DNS Options
You will most likely receive the error below that says “A delegation for this DNS server cannot be created….” This is common. The wizard is trying to contact the nameservers for the domain I entered winadpro.com and is unable to create a delegation for the sub-domain ad.winadpro.com. This message can be ignored if you don’t need computers from the outside of the network to be able to resolve names within your domain. More info on this error https://technet.microsoft.com/en-us/library/cc754463(WS.10).aspx
13. Additional Options
Enter the NetBois domain name on the additional options page. I would recommend making this the same as your root domain name. In my case the NetBois name would be winadpro. There are several restrictions on creating a NetBios name, more details here https://support.microsoft.com/en-us/kb/909264
14. Paths
Enter the desired folder settings and click “Next” I personally stick with the default folder settings.
15. Review options and click “Next”
16. Prerequisites check
You should get a green check at the top indicating all prerequisites passed. Click “Install”
17. Reboot and verify
Once the Active Directory Domain Services install and configuration is complete you will need to reboot. This completes the install and configuration of adding a Windows 2012 R2 domain controller to a new forest. If you want to verify your install and the health of the Domain Controller run dcdiag /v from the command line.
Next, learn how to add a secondary domain controller to an existing domain.
In one of my previous articles I showed you how to install and configure active directory in Windows Server 2012. In this post, I will talk about step-by-step removal of active directory from a domain controller in Windows Server 2012.
Like the change in installation procedure of active directory, demotion/removal also will not depend on dcpromo. The demotion of domain controller in a windows server 2012 domain contains two main operations.
- Removing the configuration of active directory from Domain Controller
- Removal of active directory related roles
1. Removing the configuration of active directory from Domain Controller
Follow the below procedure to uninstall active directory from a windows server 2012 using Server Manager wizards.
- In Server Manager, click Manage, and then click Remove Roles and Features.
- On the Before you begin page, review the information and then click Next.
- On the Select destination server page, click the name of the server that you want to remove AD DS from and then click Next.
- On the Remove server roles page, clear the check box for Active Directory Domain Services and then on the Remove Roles and Features Wizard dialog box, click Remove Features, and then click Next.
- The Remove Roles and Features Wizard returns the following validation error:
- The validation error appears by design because the AD DS server role binaries cannot be removed while the server is running as a domain controller. Click Demote this domain controller.
- On the Credentials page, specify credentials to remove AD DS. If previous attempts to remove AD DS on this domain controller have failed, then you can select the Force the removal of this domain controller check box. For more information about forcing the removal of AD DS, see Forcing the removal of AD DS. If you are removing the last domain controller in the domain, click Last domain controller in the domain check box. Click Next.
- On the Warnings page, review the information about the roles hosted by the domain controller, click Proceed with removal, and then click Next.
- On the Removal Options page: (Note: this page will not appear if you chose Force Removal of Domain Controller)
- If you plan to reinstall the domain controller using the same domain controller account, click Retain the domain controller metadata.
- In addition, if either of the following two options appears, it must be selected before you can proceed.
- If you are removing the last DNS server that hosts the zones hosted on this domain controller, click Remove this DNS zone (this is the last server that hosts the zone).
- If you want to delete the application partitions, click Remove application partitions.
- NOTE: This option will appear only if this is last server for DNS zone
- Click Next.
- On the New Administrator Password page, type and confirm the password for the local Administrator account for the server, and then click Next.
- On the Review Options page, click Demote.
- The server will restart automatically to complete the domain controller demotion. Continue with the next steps, which are needed to fully remove the AD DS server role binaries after the machine restarts to complete the demotion.
2. Removal of active directory related roles
- After completion of demotion of Domain controller and try removing the Active Directory Domain Services and DNS Server roles as mentioned in step 1 above and this time it should get succeeded without any errors.
- Removal of roles from Server Manager completes the Domain Controller Demotion Process in Windows Server 2012
Please refer to this technet article if you still have any questions about demotion of domain controller. Most of the above steps are copied from the technet site since I hate to write my own sometimes. I tried to give a good perception about demotion process with my understanding about process in the beginning of the article and with a bunch of screenshots to help you understanding the steps.
Hope this helps and happy learning.
Друзья, как мы и договорились, на нашем сайте периодически будут выходить статьи посвящённые серверной операционной системе Windows Server 2012. Цель — установить Windows 7 или Windows 8 не с помощью какого-либо носителя (диска, флешки), а по сети. Автор Ro8.
Начали мы с самого начала. Если вам интересно посмотреть все статьи на тему Windows Server 2012, читайте
3) Установка роли контроллера домена Active Directory в операционной системе Windows Server 2012 (сегодняшняя статья)
Бонус
Установка роли контроллера домена Active Directory в операционной системе Windows Server 2012
Контроллер домена в компьютерных сетях — сервер, контролирующий область компьютерной сети (домен). Контроллеры домена хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге.
Теперь тоже самое, но чуточку проще.
Контроллер домена (Domain Controller) — главный сервер или главный компьютер в определённой сети. Эта сеть состоит из множества компьютеров объединённых в доменную сеть, её ещё называют домен. Для управления компьютерами находящимися в доменной сети и нужен контроллер домена, то есть главный компьютер управляющий другими второстепенными компьютерами. О том, как этот компьютер сделать главным в компьютерной сети и наша статья.
После того, как мы сделаем его главным, он сможет управлять всеми сетевыми ресурсами, что находится в подчинённой ему доменной сети: файлами пользователей, базами данных, периферийными устройствами (принтеры, сканеры и тому подобное) и так далее.
Итак, пошагово установим роль контроллера домена Active Directory в операционной системе Windows Server 2012
Заходим в Диспетчер серверов, выбираем Добавить роли и компоненты
Далее
Установка ролей и компонентов, далее
Выбираем целевой сервер (он у нас один), далее
Выбираем доменные службы Active Directory (нажимаем Добавить компоненты)
Далее
В окне добавления компонентов ничего не трогаем, далее
Далее
Подтверждаем установку компонентов, нажимаем установить
Идёт установка
После установки компонентов нажимаем Повысить роль этого сервера до уровня контролера домена
Выбираем Добавить новый лес, вводим имя корневого домена, далее
Режим работы леса выбираем Windows Server 2012, галочка DNS Server установится автоматически, вводим пароль для восстановления служб каталогов, далее
Соглашаемся с предупреждением, далее
Проверяем и подтверждаем имя домена NetBios, далее
Указываем расположение базы данных AD DS, файлов журналов и папки SYSVOL (лучше все оставить по умолчанию)
Просматриваем выбранные параметры, далее
Все проверки готовность к установке выполнены успешно. Нажимаем установить
Идёт установка компонентов
Идет настройка локального компьютера, на котором будут установлены доменные службы Active Directory
