Как понизить контроллер домена и удалить роль AD DS
Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.
Процесс полного удаления разобьем на несколько этапов:
Подготовка системы
Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.
Перенос ролей контроллера домена
Active Directory насчитываем 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:
Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.
Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:
Проверка состояния AD
На любом из контроллеров домена вводим команду:
Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.
Понижение контроллера домена
Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.
Графика
Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:
Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):
В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:
. и нажимаем Далее.
Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:
Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:
В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:
Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:
Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:
Кликаем по Понизить уровень:
Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:
Сервер автоматически будет перезагружен.
Powershell
Открываем консоль Powershell от администратора и вводим:
Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:
LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********
Мы получим предупреждение о перезагрузки сервера. Соглашаемся:
После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A
Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.
Удаление роли AD DS
После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.
Графика
В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:
Среди серверов выбираем тот, на котором будем удалять роль:
* сервер может быть только один. Тогда выбираем его.
Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:
Галочка для доменных служб будет снята:
. кликаем по Далее несколько раз.
В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:
Роль будет удалена, а сервер отправлен в перезагрузку.
Powershell
Запускаем Powershell от администратора и вводим:
Remove-WindowsFeature -Name AD-Domain-Services
Роль контроллера будет удалена. Перезагружаем сервер:
Вывод сервера из домена
В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.
Графика
Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:
В открывшемся окне нажимаем на Изменить:
И переводим компьютер в рабочую группу:
* в данном примере в группу с названием WORKGROUP.
Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.
Если все сделано верно, мы должны увидеть окно:
После перезагружаем сервер или выключаем его.
Powershell
Запускаем Powershell от имени администратора и вводим:
Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose
* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.
Соглашаемся продолжить, ознакомившись с предупреждением:
Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y
Вопросы и ответы
Дополнительные сведения относительно понижения и удаления AD.
1. Как удалить дочерний домен?
Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.
2. Как понизить режим работы домена?
Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.
3. Что делать, если умер основной контроллер домена?
Рассмотрим несколько вариантов:
- Если есть резервная копия, восстанавливаемся из нее.
- Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
- Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.
4. Что делать, если контроллер домена возвращает ошибку при понижении?
Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:
Управление ролями в Windows Server 2008 Server Core
Server Core предоставляет собой минимально-необходимую среду для выполнения конкретных серверных ролей и функций, что снижает затраты на содержание и управление, а также уменьшает поверхность атаки на серверные службы. Поэтому, как только вы настроили сервер, вы можете управлять им только локально из командной строки или удаленно с помощью подключения к серверу терминалов. Третий вариант удаленного управления сервером, — использование оснасток Microsoft Management Console (MMC) или удаленной командной строки.
Следующая статья представляет собой подборку некоторых наиболее полезных команд, позволяющих локально или удаленно управлять Windows Server Core. Вы можете использовать эту подборку в качестве некого справочника, но, как всегда, это не освобождает вас от чтения полного руководства по той или иной роли.
Вывести список доступных серверных ролей и функций
Чтобы отобразить все доступные роли сервера, откройте командную строку и введите следующую команду:
Эта команда выводит список всех ролей и дополнительных функций сервера, которые доступны в Ocsetup.exe. В нем также перечисляются установленные в текущий момент серверные роли и функций.
Установить роль Active Directory Domain Services
Для установки роли доменных служб Active Directory наберите:
Эта команда устанавливает роль ADDS и повышает сервер до контроллера домена, используя файл настроек unattendfile (который нужно предварительно создать).
Примечание: Dcpromo.exe также может быть использована для понижения роли сервера с контроллера домена до рядового сервера.
Установка роли Active Directory Lightweight Directory Services
Для установки роли AD LDS наберите:
Примечание: Использование параметра /w заставляет систему не возвращать командную строку до завершения установки. Без ключа /w не отобразится никакой информации о том, что установка завершена.
Примечание: Удалить роль AD LDS можно, введя следующую команду в командной строке:
start /w ocsetup DirectoryServices-ADAM-ServerCore /uninstall
Установка роли DHCP сервера
1) В командной строке введите:
Примечание: Параметр /w заставляет систему не возвращать командную строку до завершения установки
2) Настройте диапазон выдаваемых адресов DHCP из командной строки с помощью Netsh, или удаленно, с помощью оснастки DHCP, запущенной на сервере Windows Server 2008.
3) Если сервер DHCP разворачивается в домене Active Directory, перед использованием, его необходимо сначала авторизовать. Примечание: Служба сервера DHCP по умолчанию не запускается автоматически.
4) Примечание: Удалить роль сервера DHCP можно, набрав:
Как настроить и запустить службу DHCP Server
1) В командной строке введите:
2) Запустите службу, набрав:
Как установить роль DNS сервера
1) В командной строке введите:
2) Настроить зоны DNS можно из командной строки, набрав Dnscmd или удаленно, используя MMC оснастку DNS.
3) Удалить роль сервера DNS можно, введя следующую команду:
Как установить роль файл-сервера
В Windows 2008 служба Server устанавливается по умолчанию, с целью обеспечения удаленного управления сервером. Чтобы установить дополнительные функций файл-сервера, воспользуйтесь следующими командами:
1) Для установки службы репликации файлов, введите следующую команду
2) Для установки распределенной файловой системы (DFS), наберите:
3) Для установки служб репликации DFS (Distributed File System Replication) введите:
4) Для установки Network File System (NFS) наберите:
Примечание: Удалить любую из этих ролей, можно набрав ту же самую команду с параметром /uninstall
Установка роли и функций службы печати
1) Для функции принт-сервера, введите следующую команду в командной строке:
2) Для установки службы Line Printer Daemon (LPD), введите:
Как добавить принтер на сервер печати
1) Выясните IP-адрес или сетевое имя принтера, к которому вы хотите подключиться. Обычно эту информацию можно получить из распечатанной тестовой или конфигурационной страницы принтера.
2) Пропингуйте принтера с сервера печати, чтобы убедиться, что принтер доступен серверу печати по сети.
3) На удаленном компьютере под управлением Windows Vista/7 или Windows Server 2008, откройте консоль управления печати и добавьте в нее ваш Server Core.
4) Разверните узел вашего принт-сервера на Server Core, щелкните правой кнопкой мыши по пункту Drivers, а затем нажмите кнопку Add Driver. Запустится мастер добавления драйвера.
5) С помощью мастера установите на принт-сервер соответствующий драйвер.
6) В консоли управления печатью, щелкните правой кнопкой мыши по Printers и нажмите кнопку Add Printer. Запустится мастер установки сетевого принтера.
7) Нажмите кнопку Add a TCP/IP or Web Services printer by IP address or hostname и нажмите кнопку Далее.
8) Введите имя или IP-адрес принтера (по умолчанию имя порта будет называться так же), а затем нажмите кнопку Далее.
9) Внесите необходимые изменения в имя принтеру, контактную информацию, или настройки общего доступа, а затем нажмите кнопку Далее.
Как установить роль Streaming Media Services
1) Скачайте установщик роли Streaming Media Services (http://support.microsoft.com/kb/934518)
2) Скопируйте installerfilename.msi на ваш сервер Server Core.
3) Запустите installerfilename.msi.
4) В командной строке введите:
5) На удаленном компьютере, используйте оснастку Streaming Media Services для удаленной настройки этой службы.
Резюме
Server Core 2008 может быть задействован в нескольких ролях (в настоящий момент их 9). Эта статья подскажет вам, как можно добавлять, удалять и настраивать эти роли.