Понижение роли контроллеров домена и доменовDemoting Domain Controllers and Domains

Область применения. Windows ServerApplies To: Windows Server

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.This topic explains how to remove AD DS, using Server Manager or Windows PowerShell.

Рабочий процесс удаления AD DSAD DS removal workflow

Диаграмма рабочего процесса удаления AD DS

Внимание!

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.Removing the AD DS roles with Dism.exe or the Windows PowerShell DISM module after promotion to a Domain Controller is not supported and will prevent the server from booting normally.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию.Unlike Server Manager or the ADDSDeployment module for Windows PowerShell, DISM is a native servicing system that has no inherent knowledge of AD DS or its configuration. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.Do not use Dism.exe or the Windows PowerShell DISM module to uninstall the AD DS role unless the server is no longer a domain controller.

Понижение роли и удаление ролей с помощью PowerShellDemotion and role removal with PowerShell

Командлеты ADDSDeployment и ServerManagerADDSDeployment and ServerManager Cmdlets Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными.Arguments (Bold arguments are required. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory).Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Uninstall-АддсдомаинконтроллерUninstall-ADDSDomainController -SkipPreChecks-SkipPreChecks

-LocalAdministratorPassword-LocalAdministratorPassword

-Confirm-Confirm

-Credential-Credential

-DemoteOperationMasterRole-DemoteOperationMasterRole

-DNSDelegationRemovalCredential-DNSDelegationRemovalCredential

-Force-Force

-ForceRemoval-ForceRemoval

-IgnoreLastDCInDomainMismatch-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain-LastDomainControllerInDomain

-Norebootoncompletion-Norebootoncompletion

-RemoveApplicationPartitions-RemoveApplicationPartitions

-RemoveDNSDelegation-RemoveDNSDelegation

-RetainDCMetadata-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeatureUninstall-WindowsFeature/Remove-WindowsFeature -Имя-Name

-IncludeManagementTools-IncludeManagementTools

-Restart-Restart

-Remove-Remove

-Force-Force

-ComputerName-ComputerName

-Credential-Credential

-LogPath-LogPath

-Vhd-Vhd

Примечание

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы "Администраторы предприятия" (при понижении роли последнего контроллера домена в домене) или группы "Администраторы домена" (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.The -credential argument is only required if you are not already logged on as a member of the Enterprise Admins group (demoting last DC in a domain) or the Domain Admins group (demoting a replica DC).The -includemanagementtools argument is only required if you want to remove all of the AD DS management utilities.

ПонижениеDemote

Удалить роли и компонентыRemove Roles and Features

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.Server Manager offers two interfaces to removing the Active Directory Domain Services role:

  • В меню Управление на главной информационной панели выберите пункт Удалить роли и компонентыThe Manage menu on the main dashboard, using Remove Roles and Features

    Диспетчер сервера — удаление ролей и компонентов

  • На панели навигации выберите пункт AD DS или Все серверы.Click AD DS or All Servers on the navigation pane. Перейдите вниз к разделу Роли и компоненты.Scroll down to the Roles and Features section. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент.Right-click Active Directory Domain Services in the Roles and Features list and click Remove Role or Feature. В этом интерфейсе пропускается страница Выбор сервера.This interface skips the Server Selection page.

    Диспетчер сервера-All Servers — удаление ролей и компонентов

Командлеты ServerManager uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль AD DS, пока контроллер домена не будет понижен.The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature will prevent you from removing the AD DS role until you demote the domain controller.

Выбор сервераServer Selection

Мастер удаления ролей и компонентов Выбор целевого сервера

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен.The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.The local server running Server Manager is always automatically available.

"Роли сервера" и "Компоненты"Server Roles and Features

Мастер удаления ролей и компонентов — Выбор ролей для удаления

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль.Clear the Active Directory Domain Services check box to demote a domain controller; if the server is currently a domain controller, this does not remove the AD DS role and instead switches to a Validation Results dialog with the offer to demote. В противном случае он удаляет двоичные файлы, как и любые другие функции ролей.Otherwise, it removes the binaries like any other role feature.

  • Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова.Do not remove any other AD DS-related roles or features - such as DNS, GPMC, or the RSAT tools - if you intend to promote the domain controller again immediately. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.Removing additional roles and feature increases the time to re-promote, as Server Manager reinstalls these features when you reinstall the role.

  • Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению.Remove unneeded AD DS roles and features at your own discretion if you intend to demote the domain controller permanently. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.This requires clearing the check boxes for those roles and features.

    Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:The full list of AD DS-related roles and features include:

    • Модуль Active Directory для Windows PowerShellActive Directory Module for Windows PowerShell feature
    • Средства AD DS и AD LDSAD DS and AD LDS Tools feature
    • Центр администрирования Active DirectoryActive Directory Administrative Center feature
    • Оснастки и программы командной строки AD DSAD DS Snap-ins and Command-line Tools feature
    • DNS-серверDNS Server
    • Консоль управления групповыми политикамиGroup Policy Management Console

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:The equivalent ADDSDeployment and ServerManager Windows PowerShell cmdlets are:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Мастер удаления ролей и компонентов — диалоговое окно подтверждения

Мастер удаления ролей и компонентов — Проверка

Учетные данныеCredentials

Мастер настройки служб домен Active Directory — Выбор учетных данных

Параметры понижения уровня настраиваются на странице Учетные данные.You configure demotion options on the Credentials page. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:Provide the credentials necessary to perform the demotion from the following list:

  • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена.Demoting an additional domain controller requires Domain Admin credentials. Выбор принудительного удаления этого контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.Selecting Force the removal of this domain controller demotes the domain controller without removing the domain controller object's metadata from Active Directory.

    Предупреждение

    Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему.Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса.Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются.In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software.

    При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную.If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Этапы очистки см. в разделе Очистка метаданных сервера.For steps, review Clean Up Server Metadata.

    Мастер настройки служб домен Active Directory — принудительное удаление учетных данных

  • Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес).Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if the last domain in the forest, this removes the forest). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене.Server Manager informs you if the current domain controller is the last domain controller in the domain. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.Select the Last domain controller in the domain check box to confirm the domain controller is the last domain controller in the domain.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:The equivalent ADDSDeployment Windows PowerShell arguments are:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

ПредупрежденияWarnings

Мастер настройки домен Active Directory Services — влияние ролей FSMO учетных данных

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена.The Warnings page alerts you to the possible consequences of removing this domain controller. Чтобы продолжить, необходимо установить флажок Продолжить удаление.To continue, you must select Proceed with removal.

Предупреждение

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена.If you previously selected Force the removal of this domain controller on the Credentials page, then the Warnings page shows all Flexible Single Master Operations roles hosted by this domain controller. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера.You must seize the roles from another domain controller immediately after demoting this server. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.For more information on seizing FSMO roles, see Seize the Operations Master Role.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.This page does not have an equivalent ADDSDeployment Windows PowerShell argument.

Параметры удаленияRemoval Options

Мастер настройки служб домен Active Directory — учетные данные для удаления DNS и разделов приложений

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные.The Removal Options page appears depending on previously selecting Last domain controller in the domain on the Credentials page. На ней можно настроить дополнительные параметры удаления.This page enables you to configure additional removal options. Установите флажок пропускать последний DNS-сервер для зоны, удалить разделы приложенийи Удалить делегирование DNS , чтобы включить кнопку Далее .Select Ignore last DNS server for zone, Remove application partitions, and Remove DNS Delegation to enable the Next button.

Параметры выводятся, только если они применимы к этому контроллеру домена.The options only appear if applicable to this domain controller. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.For instance, if there is no DNS delegation for this server then that checkbox will not display.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить.Click Change to specify alternate DNS administrative credentials. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов.Click View Partitions to view additional partitions the wizard removes during the demotion. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса.By default, the only additional partitions are Domain DNS and Forest DNS Zones. Все остальные разделы не относятся к Windows.All other partitions are non-Windows partitions.

Эквивалентные аргументы командлета ADDSDeployment:The equivalent ADDSDeployment cmdlet arguments are:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Новый пароль администратораNew Administrator Password

Мастер настройки служб домен Active Directory — учетные данные новый пароль администратора

На странице новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения роли, когда компьютер станет рядовым сервером домена или рабочей группой.The New Administrator Password page requires you to provide a password for the built-in local computer's Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.

Аргумент LocalAdministratorPassword действует особым образом.The LocalAdministratorPassword argument is special:

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль.If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета.This is the preferred usage when running the cmdlet interactively.
  • Если аргумент указан со значением, это значение должно быть защищенной строкой.If specified with a value, then the value must be a secure string. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.This is not the preferred usage when running the cmdlet interactively.

Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить безопасную строку у пользователя.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Предупреждение

Поскольку два предыдущих варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается.As the previous two options do not confirm the password, use extreme caution: the password is not visible.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged. Например:For example:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Предупреждение

Ввод или хранение пароля в виде открытого текста не рекомендуется.Providing or storing a clear text password is not recommended. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера.Anyone running this command in a script or looking over your shoulder knows the local administrator password of that computer. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.With that knowledge, they have access to all of its data and can impersonate the server itself.

ПодтверждениеConfirmation

Мастер настройки служб домен Active Directory. параметры проверки

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается.The Confirmation page shows the planned demotion; the page does not list demotion configuration options. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли.This is the last page the wizard shows before the demotion begins. При нажатии на кнопку "Просмотреть сценарий" создается сценарий понижения роли Windows PowerShell.The View Script button creates a Windows PowerShell demotion script.

Нажмите кнопку Понизить уровень, чтобы выполнить следующий командлет ADDSDeployment:Click Demote to run the following AD DS Deployment cmdlet:

Uninstall-ADDSDomainController

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController.Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета.This enables you to see the explicit and implicit values of a cmdlet's arguments.

Например:For example:

Пример удаления PowerShell — Аддсдомаинконтроллер

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment.The prompt to restart is your last opportunity to cancel this operation when using ADDSDeployment Windows PowerShell. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false.To override that prompt, use the -force or confirm:$false arguments.

Понижение уровняDemotion

Мастер настройки служб домен Active Directory — выполняется понижение уровня

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить.When the Demotion page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:Detailed operations display on this page and write to logs:

  • %systemroot%\debug\dcpromo.log%systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log%systemroot%\debug\dcpromoui.log

Поскольку uninstall-аддсдомаинконтроллер и uninstall-WindowsFeature имеют только одно действие каждый, они показаны на этапе подтверждения с минимальными необходимыми аргументами.Since Uninstall-ADDSDomainController and Uninstall-WindowsFeature only have one action apiece, they are shown here in the Confirmation phase with the minimum required arguments. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.Pressing ENTER starts the irrevocable demotion process and restarts the computer.

Пример удаления PowerShell — Аддсдомаинконтроллер

Пример удаления PowerShell — WindowsFeature

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment.To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false.To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.

Предупреждение

Отключать перезагрузку не рекомендуется.Overriding the reboot is discouraged. Для правильной работы рядовой сервер должен перезагрузиться.The member server must reboot to function correctly.

Удаление PowerShell — пример Аддсдомаинконтроллер Force

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole.Here is an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:The -credential argument is not required because the user logged on as a member of the Enterprise Admins group:

Пример удаления PowerShell — Аддсдомаинконтроллер

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:Here is an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:

Удаление PowerShell — пример Аддсдомаинконтроллер-Ластдомаинконтроллериндомаин

При попытке удалить роль AD DS перед понижением роли сервера Windows PowerShell блокирует ошибку:If you attempt to remove the AD DS role before demoting the server, Windows PowerShell blocks you with an error:

Не удалось продолжить выполнение предварительных условий при удалении AD-Domain-Services, и удаление не может быть продолжено.

Важно!

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.You must restart the computer after demoting the server before you can remove the AD-Domain-Services role binaries.

РезультатыResults

Вы собираетесь отключить предупреждение после удаления AD DS

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация.The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд.The domain controller will automatically reboot after 10 seconds.