Entfernen (Herabstufen) eines Domänencontrollers aus dem Active Directory (Anleitung)

Tutorials
PowerShell

Entfernen (Herabstufen) des Domänencontrollers aus dem Active Directory (Anleitung). Sobald wir neue Domänencontroller (DC) installieren, kommt der Punkt, an dem es notwendig wird, den bestehenden Domänencontroller zu entfernen oder genauer gesagt herabzustufen. Wir müssen mehr tun, als alte oder nicht verwendete DCs auszuschalten; wir müssen sie ordnungsgemäß außer Betrieb setzen und vom Domänenverbund trennen. In diesem Artikel erklären wir beide Methoden zum Herabstufen eines Domänencontrollers.

Außerdem lesen Sie Wie man Active Directory auf Windows Server 2022 einrichtet

Entfernen (Herabstufen) des Domänencontrollers aus dem Active Directory (Anleitung)

Gelegentlich ist der Zugriff auf den ehemaligen Domänencontroller möglicherweise nicht mehr verfügbar. Der Umfang der Schritte für diesen Artikel umfasst alle Windows Server-Builds von Windows Server 2008R2 bis zum neuesten. Dieser Artikel ist besonders hilfreich, wenn wir immer noch DCs mit Betriebssystemen am Ende ihrer Lebensdauer haben.

Vorbereitung der Domäne

Vor dem Einleiten des Herabstufungsprozesses des Domänencontrollers sollten Sie die folgenden Aspekte überprüfen, um einen nahtlosen Übergang zu gewährleisten und potenzielle Komplikationen zu vermeiden. Stellen Sie sicher, dass Sie eine Vorab-Checkliste erstellen, die die folgenden Punkte enthält:

  • Überprüfen Sie die Replikation – Stellen Sie sicher, dass die Replikation zwischen dem alten und dem neuen Domänencontroller fehlerfrei läuft. Verwenden Sie den folgenden Befehl, um nach Replikationsfehlern zu suchen.
repadmin /replsummary
  • DHCP und DNS – Bestätigen Sie, dass der vorherige Domänencontroller DHCP und DNS verwaltet, und übertragen Sie diese Dienste nahtlos auf den neuen Domänencontroller.
  • DNS auf Clients – Überprüfen Sie, dass die DNS-Einträge auf den Clients (sowie anderen Servern) auf den neuen Domänencontroller verweisen, um erfolgreiche Anmeldungen zu gewährleisten; Andernfalls könnten böswillige Angreifer Ihr Netzwerk gefährden.
  • Erstellen Sie ein Backup – Erstellen Sie ein umfassendes Backup des ehemaligen Domänencontrollers und überprüfen Sie dessen Integrität. Dies ermöglicht die Wiederherstellung des Servers im Falle von unvorhergesehenen Problemen.

Wir können die Flexible Single Master Operations (FSMO)-Rollen automatisch übertragen, wenn wir den Domänencontroller zurückstufen. Überprüfen Sie, wo die FSMO-Rollen mit dem folgenden Befehl ausgeführt werden.

netdom query FSMO

Weitere Informationen Best Practices zur Sicherheit von Domänencontrollern – Härtung (Checkliste)

Rückstufung eines aktiven Domänencontrollers

Wenn wir immer noch Zugriff auf den Domänencontroller haben, entfernen wir den Domänencontroller einfach mithilfe des Server-Managers. Stellen Sie sicher, dass wir die oben genannten Punkte überprüft haben, bevor wir fortfahren können.

  1. Starten Sie den Server-Manager, indem Sie über das Startmenü darauf zugreifen und zu Verwalten > Rollen und Features entfernen navigieren.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Wählen Sie den alten Domänencontroller in der Serverauswahl aus.

3. Deaktivieren Sie die Rolle Active Directory-Domänendienste, indem Sie sie abwählen. Klicken Sie im anschließenden Popup auf Features entfernen.

4. Starten Sie den Herabstufungsprozess für den Domänencontroller und bestätigen Sie den erwarteten Fehler im Validierungsfehler des Installationsassistenten. Klicken Sie auf Diesen Domänencontroller herabstufen.

5. Überprüfen Sie die Anmeldeinformationen im anschließenden Bildschirm und ändern Sie sie bei Bedarf. Es ist üblich, diese Schritte mit Domänenadministratorrechten auszuführen. Lassen Sie die Option Erzwinge die Entfernung dieses Domänencontrollers nicht aktiviert, es sei denn, es handelt sich um den letzten Domänencontroller im Netzwerk.

6. Fahren Sie mit der Entfernung fort und stellen Sie sicher, dass die Clients auf den neuen DNS-Server verwiesen werden, insbesondere wenn die Dienste Active Directory-Standorte und -Dienste (ADDS) und DNS auf dem Server aktiviert sind. Wählen Sie Fortfahren mit der Entfernung und klicken Sie auf Weiter.

7. Entscheiden Sie sich für die Entfernung von DNS in den bereitgestellten Entfernungsoptionen und stellen Sie sicher, dass DNS-Delegation entfernen ausgewählt ist. Fahren Sie fort, indem Sie auf Weiter klicken.

8. Legen Sie ein neues Administratorkennwort fest; dies gilt für das lokale Administratorkonto nach der Domänenentfernung.

9. Überprüfen Sie die konfigurierten Einstellungen und klicken Sie auf Herabstufen, um die Entfernung des DC zu initiieren. Der Server wird neu gestartet, um den Vorgang abzuschließen.

Hinweis: Es gibt eine Skript anzeigen-Schaltfläche, die ein PowerShell-Skript generiert, um alle Schritte zu automatisieren, die wir gerade durchgeführt haben. Wenn wir zusätzliche Domänencontroller entfernen müssen, verwenden Sie dieses Skript.

10. Nach dem Neustart des Servers besteht der letzte Schritt darin, den Server aus den Active Directory-Standorten und -Diensten zu entfernen.

  • Öffnen Sie Active Directory-Standorte und -Dienste (ADDS) über das Startmenü.
  • Erweitern Sie Standorte > Standard-First-Site-Name > Server
  • Klicken Sie mit der rechten Maustaste auf den alten DC und wählen Sie Löschen.

Die obigen Screenshots sind Screenshots, die wir von modernen Windows Server-Builds (Build 9600 und höher) sehen. Dies folgt jedoch immer noch dem gleichen Prozess wie Windows Server 2008. Es gibt also keine Probleme, wenn wir weiterhin Legacy-Server verwenden.

Probieren Sie unsere Active Directory & Office 365 Reporting & Auditing Tools aus.

Probieren Sie uns aus kostenlos. Hunderte von Berichtsvorlagen verfügbar. Passen Sie Ihre eigenen Berichte zu AD, Azure AD & Office 355 einfach an.




Auch Lesen Sie Probieren Sie InfraSOS Active Directory Reporting & Auditing Tool

Überprüfen Sie die Entfernung des Domänencontrollers

Die gründliche Überprüfung der Entfernung eines Domänencontrollers ist ein entscheidender Schritt im Demotionsprozess, der den Erfolg des Vorgangs validiert und die Integrität des Active Directory aufrechterhält. Befolgen Sie diese Schritte, um die Entfernung effektiv zu überprüfen:

  1. Active Directory-Benutzer und -Computer:
    • Navigieren Sie zur organisatorischen Einheit „Domänencontroller“ und bestätigen Sie das Fehlen des herabgestuften Controllers.
  2. DNS-Einträge:
    • Überprüfen Sie die DNS-Einträge, um sicherzustellen, dass alle Verweise auf den herabgestuften Controller entfernt wurden und potenzielle Konnektivitätsprobleme verhindert werden.
  3. ADSIEdit.msc:
    • Verwenden Sie ADSIEdit.msc, um die Active Directory-Datenbank zu inspizieren und zu überprüfen, dass Einträge, die mit dem degradierten Controller zusammenhängen, nicht mehr vorhanden sind.
  4. Standorte und Dienste:
    • Überprüfen Sie die Active Directory-Standorte und -Dienste, um sicherzustellen, dass unser Domäne den degradierten Controller aus dem jeweiligen Standort entfernt hat.
  5. Replikationsüberwachung:
    • Überwachen Sie den Replikationsstatus, um sicherzustellen, dass der Degradierungsprozess erfolgreich über die Domänencontroller propagiert wurde.

Durch Befolgung dieser Überprüfungsschritte bestätigen Administratoren selbstbewusst die vollständige Entfernung eines Domänencontrollers und erhalten so eine gut funktionierende und sichere Active Directory-Umgebung.

Herabstufen eines Domänencontrollers mit PowerShell

PowerShell bietet eine effiziente Alternative zum Herabstufen des Domänencontrollers und vereinfacht den Prozess mit einigen Befehlen:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Dieser Ansatz ersetzt die Notwendigkeit, mehrere Bildschirme zu durchlaufen, und ermöglicht eine präzisere und skriptbasierte Herabstufung des Domänencontrollers.

Auch Lesen DCDiag: So überprüfen Sie den Zustand des Domänencontrollers mit Powershell

Manuelles Entfernen eines nicht erreichbaren Domänencontrollers

Wir können auch manuell einen DC entfernen. Dieser Schritt wird nur empfohlen, wenn wir keinen Zugriff mehr auf den Server haben.

  1. Starten Sie Active Directory und Dienste auf dem aktiven Domänencontroller.
  2. Greifen Sie auf die Domänencontroller-OU zu.
  3. Löschen Sie den alten Domänencontroller und bestätigen Sie durch Klicken auf Ja.

4. Wählen Sie Diesen Domänencontroller trotzdem löschen.
5. Klicken Sie auf Löschen und bestätigen Sie die Aktion erneut durch Klicken auf Ja.

Der letzte Schritt besteht darin, den Server aus den Active Directory Sites and Services zu entfernen:

  1. Öffnen Sie Active Directory Sites and Services (ADDS) über das Startmenü.
  2. Erweitern Sie Sites > Default-First-Site-Name > Server.
  3. Klicken Sie mit der rechten Maustaste auf den alten Domänencontroller und wählen Sie Löschen.

Unreachable DC mit einer DNS-Rolle

Wenn der alte Domänencontroller eine DNS-Rolle hatte, sind zusätzliche Schritte erforderlich:

  1. Öffnen Sie DNS Manager auf dem aktiven Domänencontroller.
  2. Erweitern Sie Forward Lookup Zones.
  3. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Eigenschaften.
  4. Öffnen Sie den Name-Server Tab.
  5. Löschen Sie den alten Server aus den Nameservern.

Entfernen Sie auch den Name-Server (NS)-Eintrag aus der Domäne DNS Zone und allen Unterordnern.

  1. Starten Sie den DNS-Manager auf dem aktiven Domänencontroller.
  2. Erweitern Sie im DNS-Manager den Abschnitt Vorwärts-Lookup-Zonen.
  3. Identifizieren Sie die Domäne, von der Sie den NS-Eintrag entfernen möchten, und klicken Sie mit der rechten Maustaste darauf.
  4. Wählen Sie Eigenschaften aus dem Kontextmenü.
  5. Navigieren Sie im Zonen-Eigenschaftenfenster zum Tab Name-Server.
  6. Wählen Sie den NS-Eintrag für den alten Server aus.
  7. Klicken Sie auf Löschen oder verwenden Sie die Löschen-Taste auf Ihrer Tastatur.
  8. Bestätigen Sie die Löschung des NS-Eintrags, wenn Sie dazu aufgefordert werden.
  9. Wenn es Unterordner oder Unterzonen innerhalb der Domäne gibt, wiederholen Sie die Schritte 3 bis 7 für jeden relevanten Unterordner.
  10. Überprüfen Sie Ihre Änderungen und speichern Sie die aktualisierte DNS-Konfiguration.

Das Entfernen eines DC aus unserer Umgebung, auch wenn er ausgeschaltet ist, gilt als bewährte Praxis im Bereich der Infrastrukturverwaltung. Wenn der DC nicht entfernt wird, betrachtet die Domäne den Server immer noch als Teil des Netzwerks und es können unerwartete Domänenprobleme auftreten. Durch die oben genannten Schritte entfernen wir den DC effektiv, auch wenn er nicht erreichbar oder ausgeschaltet ist.

Auch Lesen Versuchen Sie das InfraSOS Active Directory Replikationsstatus-Tool

Gründe, warum wir einen Domänencontroller außer Betrieb setzen müssen

Die Herabstufung von Domänencontrollern ist ein strategischer Schachzug in der Netzwerkverwaltung, der von verschiedenen Faktoren getrieben wird, die sich um die Optimierung und Vereinfachung der Active Directory-Umgebung drehen. Hier sind die Hauptgründe für die Herabstufung:

  1. Hardware-Upgrades/Ersatz:
    • Gewährleisten Sie, dass das Netzwerk robust und auf dem neuesten Stand bleibt, indem Sie veraltete Hardware außer Betrieb setzen oder ersetzen.
  2. Organisatorische Änderungen:
    • Passen Sie sich an strukturelle Veränderungen wie Fusionen oder Personalabbau an, die Anpassungen in den Konfigurationen der Domänencontroller erfordern, um sich an die sich wandelnde Geschäftslandschaft anzupassen.
  3. Ressourcenoptimierung:
    • Effizientes Verwalten der Verteilung von Ressourcen im Netzwerk zur Verbesserung der Leistung.
  4. Verbesserte Sicherheitslage:
    • Implementierung von Änderungen zur Stärkung der Sicherheitsmaßnahmen, die Schwachstellen angehen und eine widerstandsfähige Verteidigung gegen potenzielle Bedrohungen gewährleisten.
  5. Dynamisches IT-Ökosystem:
    • Aufrechterhaltung der Agilität in der Netzwerkinfrastruktur, um den sich entwickelnden Anforderungen einer dynamischen IT-Umgebung gerecht zu werden.

Administratoren gehen diese Überlegungen proaktiv an, indem sie Domänencontroller zurückstufen, um eine widerstandsfähigere, anpassungsfähigere und sicherere Active Directory-Umgebung zu fördern.

Das war es. Vielen Dank für das Lesen von Entfernen (Zurückstufen) von Domänencontrollern aus Active Directory (Anleitung).

Auch lesen So schützen Sie Windows Server: Malware, Ransomware, DDoS-Angriffe und andere Bedrohungen 

Entfernen (Zurückstufen) von Domänencontrollern aus Active Directory (Anleitung) Fazit

Zusammenfassend lässt sich sagen, dass bei der Entfernung oder dem Zurückstufen eines Domänencontrollers aus Active Directory sorgfältige Planung und Ausführung entscheidend sind, um eine gesunde Netzwerkinfrastruktur aufrechtzuerhalten. Indem Administratoren die beschriebenen Schritte befolgen, navigieren sie nahtlos durch den Rückstufungsprozess und gewährleisten eine minimale Beeinträchtigung der Active Directory-Umgebung. Dieser Artikel ermöglicht IT-Profis selbstbewusst, die Transformation ihrer Netzwerkarchitektur zu überwachen.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/