Eliminar (despromocionar) un controlador de dominio del Directorio Activo (Guía)

Tutoriales
PowerShell

Eliminar (Degradar) Controlador de Dominio del Directorio Activo (Guía). Una vez que instalamos nuevos controladores de dominio (DC), llega un punto en el que se vuelve necesario eliminar o, más precisamente, degradar el controlador de dominio existente. Debemos hacer más que apagar los DC antiguos o no utilizados; debemos descomisionarlos y desconectarlos adecuadamente del dominio. Explicamos ambos métodos para degradar un controlador de dominio en este artículo.

También lee Cómo Configurar Active Directory en Windows Server 2022

Eliminar (Degradar) Controlador de Dominio del Directorio Activo (Guía)

Ocasionalmente, es posible que ya no esté disponible el acceso al antiguo controlador de dominio. El alcance de los pasos para este artículo cubre todas las versiones de Windows Server desde Windows Server 2008R2 hasta la más reciente. Este artículo es útil, especialmente si aún tenemos DC con sistemas operativos en fin de vida.

Preparando el Dominio

Antes de iniciar el proceso de degradación del controlador de dominio, examina los siguientes aspectos para garantizar una transición sin problemas y prevenir posibles complicaciones. Asegúrate de crear una lista de verificación previa que contenga los siguientes elementos:

  • Verificar la replicación – Asegúrese de que la replicación entre el antiguo y el nuevo controlador de dominio se ejecute sin errores. Utilice el siguiente comando para verificar si hay errores de replicación.
repadmin /replsummary
  • DHCP y DNS – Confirme que si el controlador de dominio anterior maneja DHCP y DNS, transferimos estos servicios sin problemas al nuevo controlador de dominio.
  • DNS en los clientes – Verifique que los registros DNS en los clientes (así como en otros servidores) dirijan al nuevo controlador de dominio para garantizar inicios de sesión exitosos; de lo contrario, los malos perpetradores pueden comprometer su red.
  • Crear una copia de seguridad – Generar una copia de seguridad completa del antiguo controlador de dominio y validar su integridad. Esto permite la restauración del servidor en caso de problemas imprevistos.

Podemos transferir los Roles de Operaciones Maestras Individuales Flexibles (FSMO) automáticamente cuando degradamos el controlador de dominio. Verifique dónde se ejecutan los roles de FSMO con el siguiente comando.

netdom query FSMO

También leer Mejores Prácticas de Seguridad del Controlador de Dominio – Fortalecimiento (Lista de Verificación)

Degradar un Controlador de Dominio Activo

Si aún tenemos acceso al controlador de dominio, eliminamos fácilmente el controlador de dominio usando el Administrador del Servidor. Asegúrese de haber verificado los puntos anteriores antes de continuar.

  1. Abra el Administrador del Servidor accediendo a través del Menú de Inicio y navegando a Gestionar > Quitar roles y características.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Seleccione el antiguo controlador de dominio en la Selección de Servidor.

3. Desactiva el rol de Servicios de Dominio de Active Directory deseleccionándolo. En la ventana emergente subsiguiente, haz clic en Eliminar características.

4. Inicia el proceso de degradación del Controlador de Dominio, reconociendo el error anticipado en el fallo de validación del asistente de instalación. Haz clic en Degradar este controlador de dominio.

5. Verifica y, si es necesario, modifica las credenciales en la pantalla subsiguiente. Es habitual ejecutar estos pasos con privilegios de administrador de dominio. Deja la opción Forzar la eliminación de este controlador de dominio sin marcar a menos que sea el último controlador de dominio en la red.

6. Continúa con la eliminación, asegurándote de que los clientes se dirijan al nuevo servidor DNS, especialmente si los Servicios de Sitios y Servicios de Active Directory (ADDS) y los servicios DNS están en el servidor. Selecciona Continuar con la eliminación y haz clic en Siguiente.

7. Opta por eliminar DNS en las opciones de eliminación proporcionadas, asegurándote de que esté seleccionada Eliminar la delegación de DNS, y procede haciendo clic en Siguiente.

8. Establece una nueva contraseña de administrador; esta es para la cuenta de administrador local después de la eliminación del dominio.

9. Revisa la configuración establecida y haz clic en Rebajar para iniciar la eliminación del DC. El servidor se reinicia para completar el proceso.

Nota: Hay un botón de ver script que genera un script de PowerShell para automatizar todos los pasos que acabamos de seguir. Si tenemos controladores de dominio adicionales para eliminar, utiliza este script.

10. Después del reinicio del servidor, el paso final implica eliminar el servidor de Sitios y Servicios de Active Directory.

  • Abre Sitios y Servicios de Active Directory (ADDS) desde el Menú de Inicio.
  • Expandir Sitios > Nombre del Primer Sitio Predeterminado > Servidores
  • Haz clic derecho en el antiguo DC y elige Eliminar.

Las capturas de pantalla anteriores son capturas de pantalla que vemos en compilaciones modernas de Windows Server (Compilación 9600 y superiores). Sin embargo, esto sigue el mismo proceso que Windows Server 2008. Por lo tanto, no hay problemas si aún utilizamos servidores heredados.

Prueba nuestras Herramientas de Informes y Auditoría de Active Directory y Office 365

Pruébanos gratis. Cientos de plantillas de informes disponibles. Personaliza fácilmente tus propios informes en AD, Azure AD y Office 365.




También lee Prueba InfraSOS Active Directory Reporting & Auditing Tool

Verificar la eliminación del Controlador de Dominio

Asegurar la verificación exhaustiva de la eliminación de un Controlador de Dominio es un paso crítico en el proceso de despromoción, validando el éxito de la operación y manteniendo la integridad del Active Directory. Sigue estos pasos para verificar la eliminación de manera efectiva:

  1. Usuarios y Equipos de Active Directory:
    • Ve a la unidad organizativa “Controladores de Dominio” y confirma la ausencia del controlador despromovido.
  2. Registros DNS:
    • Verifica los registros DNS para asegurarnos de haber eliminado todas las referencias al controlador despromovido, evitando posibles problemas de conectividad.
  3. ADSIEdit.msc:
    • Utilice ADSIEdit.msc para inspeccionar la base de datos de Active Directory y verificar que las entradas relacionadas con el controlador degradado ya no estén presentes.
  4. Sitios y Servicios:
    • Revise los Sitios y Servicios de Active Directory para confirmar que nuestro dominio eliminó el controlador degradado del sitio respectivo.
  5. Monitoreo de Replicación:
    • Monitoree el estado de la replicación para asegurarse de que el proceso de degradación se haya propagado con éxito en los controladores de dominio.

Al seguir estos pasos de verificación, los administradores confirman con confianza la eliminación completa de un Controlador de Dominio, manteniendo un entorno de Directorio Activo bien funcionando y seguro Active Directory.

Despromocionar un Controlador de Dominio Usando PowerShell

PowerShell proporciona una alternativa eficiente para despromocionar el controlador de dominio, simplificando el proceso con unos pocos comandos:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Este enfoque reemplaza la necesidad de navegar por múltiples pantallas, permitiendo una despromoción de controlador de dominio más concisa y basada en scripts.

También lea DCDiag: Cómo verificar la salud del Controlador de Dominio usando Powershell

Eliminar manualmente un Controlador de Dominio Inalcanzable

También podemos eliminar manualmente un DC. Este paso solo se recomienda para usar cuando ya no tenemos acceso al servidor.

  1. Inicie Directorio Activo y Servicios en el controlador de dominio activo.
  2. Acceda a la OU de Controladores de Dominio.
  3. Elimine el antiguo controlador de dominio y confirme haciendo clic en .

4. Opte por Eliminar de todos modos este Controlador de Dominio.
5. Haga clic en Eliminar y confirme la acción nuevamente haciendo clic en .

El paso final implica quitar el servidor de Sitios y Servicios de Active Directory:

  1. Abra Sitios y Servicios de Active Directory (ADDS) desde el menú de Inicio.
  2. Expanda Sitios > Nombre del Primer Sitio Predeterminado > Servidores.
  3. Haga clic con el botón derecho en el antiguo controlador de dominio y seleccione Eliminar.

Controlador de Dominio Inalcanzable con un Rol de DNS

Si el antiguo controlador de dominio tenía un rol de DNS, se requieren pasos adicionales:

  1. Abra Administrador de DNS en el controlador de dominio activo.
  2. Expanda Zonas de Búsqueda Directa.
  3. Haga clic con el botón derecho en el dominio y elija Propiedades.
  4. Abre la pestaña de Servidores de nombres.
  5. Elimina el antiguo servidor de los servidores de nombres.

También, elimina el registro de Servidor de nombres (NS) de la zona DNS del dominio y cualquier subcarpeta.

  1. Inicia el Administrador de DNS en el controlador de dominio activo.
  2. En el Administrador de DNS, expande la sección de Zonas de búsqueda directa.
  3. Identifica y haz clic derecho en el dominio del que deseas eliminar el registro de NS.
  4. Selecciona Propiedades del menú contextual.
  5. Dentro de las Propiedades de la zona, ve a la pestaña de Servidores de nombres.
  6. Selecciona el registro de NS correspondiente al antiguo servidor.
  7. Haz clic en Eliminar o usa la tecla Suprimir en tu teclado.
  8. Confirma la eliminación del registro de NS cuando se te solicite.
  9. Si hay subcarpetas o subzonas dentro del dominio, repite los pasos del 3 al 7 para cada subcarpeta relevante.
  10. Revise sus cambios y guarde la configuración DNS actualizada.

Eliminar un controlador de dominio de nuestro entorno, a pesar de estar apagado, se considera una buena práctica en la gestión de infraestructuras. Si el controlador de dominio no se elimina, el dominio seguirá considerando al servidor como parte de la red y puede causar problemas inesperados en el dominio. Siguiendo los pasos anteriores, eliminamos efectivamente el controlador de dominio incluso si es inalcanzable o está apagado.

También lea Pruebe la herramienta de estado de replicación de Active Directory de InfraSOS

Razones por las que necesitamos retirar un controlador de dominio

La despromoción de controladores de dominio es una maniobra estratégica en la administración de redes, impulsada por varios factores que giran en torno a la optimización y simplificación del entorno de Active Directory. Aquí están las razones clave para la despromoción:

  1. Actualizaciones/Reemplazo de Hardware:
    • Asegurar que la red siga siendo robusta y actualizada al retirar o reemplazar hardware envejecido.
  2. Cambios Organizacionales:
    • Adaptarse a cambios estructurales como fusiones o reducciones, que requieren ajustes en las configuraciones de controladores de dominio para alinearse con el panorama empresarial en evolución.
  3. Optimización de recursos:
    • Administrar eficientemente la distribución de recursos en toda la red para mejorar el rendimiento.
  4. Postura de seguridad mejorada:
    • Implementar cambios para fortalecer las medidas de seguridad, abordando vulnerabilidades y asegurando una defensa resiliente contra amenazas potenciales.
  5. Ecosistema de TI dinámico:
    • Mantener la agilidad en la infraestructura de red para dar cabida a las necesidades cambiantes de un entorno de TI dinámico.

Los administradores abordan estas consideraciones proactivamente degradando los controladores de dominio para fomentar un entorno de Active Directory más flexible, adaptable y seguro.

Eso es todo. Gracias por leer Eliminar (degradar) controlador de dominio de Active Directory (Guía).

Lea también Cómo proteger Windows Server: malware, ransomware, ataques DDoS y otras amenazas 

Eliminar (degradar) controlador de dominio de Active Directory (Guía) Conclusión

Para concluir esta guía detallada sobre cómo eliminar o degradar un controlador de dominio de Active Directory, es evidente que una planificación y ejecución cuidadosas son cruciales para mantener una infraestructura de red saludable. Siguiendo los pasos descritos, los administradores navegan sin problemas por el proceso de degradación, asegurando una interrupción mínima del entorno de Active Directory. Este artículo permite a los profesionales de TI supervisar con confianza la transformación de su arquitectura de red.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/