הסר (הורדה) של שלט בתחום מ Active Directory (מדריך)

מדריכים
PowerShell

הסר (הורדה) של בקר דומיין מתוך Active Directory (מדריך). לאחר שאנו מתקינים בקרי דומיין (DC) חדשים, מגיע רגע בו הופך חיוני להסיר או, בדיוק יותר, להוריד בקר הדומיין הקיים. אנו חייבים לבצע יותר מלכבות את הבקרים הישנים או שאינם בשימוש; אנו חייבים לפשוט לפרוש אותם ולנתק אותם מהדומיין בצורה תקינה. אנו מסבירים שני השיטות להורדת בקר דומיין במאמר זה.

הסר (הורדה) של בקר דומיין מתוך Active Directory (מדריך)

לפעמים, יתכן וגישה לבקר הדומיין הקודם כבר לא תהיה זמינה. הטווח של השלבים במאמר זה מכסה את כל הבניות של שרתי Windows מ-Windows Server 2008R2 ועד החדש ביותר. מאמר זה מועיל במיוחד אם יש לנו עדיין בקרי דומיין עם מערכות הפעלה שהגיעו לסיומן החיים.

הכנת הדומיין

לפני שנתחיל את תהליך הורדת בקר הדומיין, יש לבדוק את הנושאים הבאים כדי לוודא מעבר חלק ולמנוע בעיות אפשריות. יש לוודא שנוצר רשימת צ'ק ראשונית שמכילה את הפריטים הבאים:

  • בדוק שיבוץ – וודא שהשיבוץ בין שרת התחום הישן והחדש רץ בלי שגיאות. השתמש בפקודה הבאה כדי לבדוק אם יש שגיאות שיבוץ.
repadmin /replsummary
  • DHCP ו-DNS – אשר אם שרת התחום הקודם מטפל ב- DHCP ו-DNS, אנו מעבירים את השירותים הללו לשרת התחום החדש בצורה חלקה.
  • DNS על לקוחות – וודא שרשומות ה-DNS על הלקוחות (כמו גם על שרתים אחרים) מפנות לשרת התחום החדש כדי לוודא כניסות מוצלחות; אחרת, פושעים רעים עשויים לפגוע ברשת שלך.
  • צור גיבוי – צור גיבוי מקיף של מחשב השרת שלהקם התחום הקודם ואמת את שלמותו. זה מאפשר שחזור שרת במקרה של בעיות בלתי צפויות.

אנו יכולים להעביר את תפקודי המאסטר היחיד הגמישים (FSMO) באופן אוטומטי כאשר אנו מבצעים דימול של מחשב השרת שלהקם התחום. בדוק איפה פועלות תפקידי ה-FSMO באמצעות הפקודה שלהלן.

netdom query FSMO

קרא גם מיטב המעשים לאבטחת הקם התחום – קירוב (רשימת נושאים)

דימול של מחשב שרת שלהקם תחום פעיל

אם עדיין יש לנו גישה למחשב השרת שלהקם התחום, אנו יכולים להסיר אותו בקלות באמצעות מנהל השרת. הבטח שבדקנו את הנקודות שלמעלה לפני שאנו יכולים להמשיך.

  1. הפעל את מנהל השרת על ידי גישה אליו דרך תפריט ההתחלה ונווט אל נהל > הסר תפקידים ומאפיינים.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. בחר את מחשב השרת שלהקם התחום הישן בבחירת שרת.

3. השבת את תפקיד שירותי הדומיין של Active Directory על ידי ביטול הסימון. בתוך החלון הקופץ הבא, לחץ על הסר יכולות.

4. התחל את תהליך ההפקדה של שרת הרשות המרכזית, על ידי הכרה בשגיאה הצפויה בכישורי ההתקנה של אשף ההתקנה. לחץ על הפקד את שרת הרשות הזה.

5. ודא ואם נדרש, שנה את פרטי הכניסה במסך הבא. נהוג לבצע את השלבים אלו עם הרשאות מנהל דומיין. יש להשאיר את האפשרות לכפות הסרת שרת הרשות הזה ללא סימון אלא אם כן זהו שרת הרשות האחרון ברשת.

6. המשך עם ההסרה, בודק כי לקוחות מופנים ל שרת DNS חדש, במיוחד אם שירותי Active Directory Sites and Services (ADDS) ו-DNS נמצאים על השרת. בחר המשך עם ההסרה ולחץ על הבא.

7. בחר להסיר את DNS באפשרויות ההסרה המסופקות, וודא ש-הסר עיקול DNS מסומן, והמשך על ידי לחיצה על הבא.

8. הגדר סיסמת מנהל חדשה; זו תהיה עבור חשבון המנהל המקומי לאחר הסרת הדומיין.

9. בדוק את ההגדרות שהוגדרו ולחץ על הפחת כדי להתחיל בהסרת ה-DC. השרת מתחיל מחדש כדי להשלים את התהליך.

הערה: ישנה כפתור הצג סקריפט שמייצר סקריפט PowerShell לאוטומציה של כל השלבים שעברנו בהם. אם יש לנו בקרי תחום נוספים להסיר, השתמש בסקריפט זה.

10. לאחר שהשרת מתחיל מחדש, השלב האחרון כולל הסרת השרת מ-Active Directory Sites and Services.

  • פתח אתרים ושירותים של Active Directory (ADDS) מתפריט ההתחלה.
  • הרחב אתרים > שם-האתר-הראשון-כברירת-מחדל > שרתים
  • לחץ עם הכפתור הימני על ה-DC הישן ובחר מחק.

הצילומי מסך שלמעלה הם צילומי מסך שאנחנו רואים מהגרסאות החדשות של Windows Server (בנייה 9600 ומעלה). למרות זאת, זה עדיין עוקב אחרי אותו תהליך כמו ב-Windows Server 2008. לכן, אין בעיות, אם אנחנו עדיין משתמשים בשרתים מיושנים.

נסה את כלי הדיווח והביקורת שלנו על Active Directory & Office 365.

נסו אותנו בחינם. מאות תבניות דוחות זמינות. ניתן להתאים אישית דוחות בקלות ב-AD, Azure AD ו-Office 365.




קראו גם נסו את InfraSOS כלי דיווח ורישום ל-Active Directory

אימות הסרת בקר מתחום הדומיין

הבטיחות של אימות מוחלט של הסרת בקר מתחום הדומיין היא שלב קריטי בתהליך ההפיכה, המאשר את הצלחת הפעולה ושומר על תקינות ה-Active Directory. עקבו אחר השלבים הבאים כדי לאמת את הסרת הבקר בצורה יעילה:

  1. Active Directory Users and Computers:
    • נווטו ליחידת הארגון "Domain Controllers" ווודאו שהבקר המופחת חסר.
  2. רשומות DNS:
    • בדקו רשומות DNS כדי לוודא שהסרנו את כל הפניות לבקר המופחת, כדי למנוע בעיות תקשורת פוטנציאליות.
  3. ADSIEdit.msc:
    • השתמש ב-ADSIEdit.msc כדי לבדוק את מסד הנתונים של ה Active Directory ולוודא שהערכים הקשורים לבקר המורד לא קיימים עוד.
  4. Sites and Services:
    • בדוק את Sites and Services של ה Active Directory כדי לוודא שהדומיין שלנו הסיר את בקר המורד מהאתר המתאים.
  5. Replication Monitoring:
    • עקוב אחר מצב השיבוץ כדי לוודא שתהליך ההורדה פולט בהצלחה בין בקרי הדומיין.

דרך ההבדלה הזו של הבדיקות, מנהלי המחשבים מאשרים בביטחון הסרת המלאה של מנהל מחשב רבעי, וזה משמר סביבה אקטיב דירקטורים שפוקרת ובטוחה.

הדימות של מנהל מחשב באמצעות PowerShell

PowerShell מעניק דרך אפקטיבית להדמיית מנהל מחשב במידה מובהקת, ומזדקנת את התהליך בעזרת מספר פקודות פעמיות:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

הגישה הזו מחליף את צורך בניווט במסך מספרים, ומאפשרת דימוי מנהל מחשב באופן קצר ובעזרת תוכניות.

גם קראו DCDiag: איך לבדוק את בריאות מנהל המחשב בעזרת PowerShell

הסרת מנהל מחשב בלתי-נגיש באופן ידני

אנחנו יכולים גם להסיר באופן ידני מנהל מחשב. השלב זה ממומן רק עבור שימוש בו אם אין לנו יותר גישה לשרת.

  1. התחל את Active Directory ושירותים על המנהל הפעיל של המערכת המנהלים.
  2. ניגש לOU מנהלי האזורים.
  3. מחיקת המנהל העתיק לרשת ואישור על ידי לחיצה על כן.

4. בחרו למחיקת מנהל המערך הזה בכל זאת.
5. לחץ מחיקה ואישור על הפעולה שוב על ידי לחיצה על כן.

השלב האחרון מעניק הסרה של השרת מאתרי המערך הפעיל והשירותים:

  1. פתחו אתרי המערך הפעיל והשירותים (ADDS) מתפריט ההתחלה.
  2. הרחבו אתרים > Default-First-Site-Name > שרתים.
  3. לחץ בצד אחד על המנהל העתיק ובחרו מחיקה.

DC בלתי-מגיע עם תפקיד DNS

אם למנהל העתיק היה תפקיד DNS, דרכים נוספות דורשות:

  1. פתחו מנהל DNS על השרת הפעיל לרשת.
  2. הרחבו אזורי חיפוש קדמה.
  3. לחץ בצד אחד על המערך ובחרו תפקידים.
  4. פתח את לשונית שרתי שמות.
  5. מחק את השרת הישן מהשרתי שמות.

גם, הסר את רשומת שרתי השמות (NS) מתוך אזור ה-DNS של הדומיין .וכל תת־תיקייה.

  1. הפעל את מנהל ה-DNS על שלט השליט הפעיל.
  2. במנהל ה-DNS, הרחב את סעיף אזורי החיפוש הקדימה.
  3. זהה ולחץ עם העכבר ימינה על הדומיין שברצונך להסיר מרשומת שרתי השמות.
  4. בחר מאפיינים מתוך תפריט ההקשר.
  5. בתוך מאפייני האזור, נווט אל לשונית שרתי השמות.
  6. בחר את רשומת ה-NS המתאימה לשרת הישן.
  7. לחץ על מחק או השתמש במקש מחיקה במקלדת שלך.
  8. אשר את מחיקת רשומת ה-NS כאשר יתבקש ממך.
  9. אם יש תת־תיקיות או תת־אזורים בתוך הדומיין, חזור על השלבים 3 עד 7 עבור כל תת־תיקייה רלוונטית.
  10. בדוק את השינויים שלך ושמור את תצורת ה-DNS המעודכנת.

הסרת DC מהסביבה שלנו למרות שהוא כבוי נחשבת לשיטת המיטב בניהול תשתיות. אם ה-DC לא נמחק, הדומיין עדיין מתייחס לשרת כחלק מהרשת ועשוי לגרום לבעיות בדומיין בלתי צפויות. על פי השלבים הנ"ל, אנו מסירים בצורה אפקטיבית את ה-DC גם אם הוא לא נגיש או כבוי.

קרא גם נסה את כלי מצב שיבוץ פעיל של InfraSOS Active Directory

סיבות לפרישת שלט הדומיין

הורדת שלטי דומיין היא תנועה אסטרטגית בניהול רשת, המובילה על ידי גורמים שונים הקשורים לאופטימיזציה ולהפחתת עומס בסביבת ה-Active Directory. הנה הסיבות העיקריות לפרישה:

  1. שדרוגי חומרה/החלפת חומרה:
    • הבטיחו שהרשת תישאר חזקה ועדכנית על ידי פרישת חומרה ישנה או החלפתה.
  2. שינויים ארגוניים:
    • התאימו את עצמכם לשינויים מבניים כמו מיזוגים או צמצום, הדורשים התאמות בתצורות של שלטי הדומיין כדי להתאים לנוף העסקי המתפתח.
  3. אופטימיזציה של משאבים:
    • ניהול יעיל של חלוקת המשאבים ברשת לשיפור ביצועים.
  4. עמידות בטיחות משופרת:
    • יישום שינויים לחיזוק התקנות האבטחה, כולל טיפול בחולשות והבטחת הגנה עמידה נגד איומים פוטנציאליים.
  5. אקוסיסטם טכנולוגי דינמי:
    • שמירה על גמישות בתשתיות הרשת להתאמה לצרכים המשתנים של סביבת טכנולוגיית מידע דינמית.

מנהלי מערכות מתמודדים מראש עם השקפות אלו על ידי ירידת דרגה של בקרי דומיין המקדמת סביבת Active Directory עמידה יותר, נטולת תקליט ומאובטחת יותר.

זהו. תודה על הקריאה הסר (הדיחו) בקר דומיין מ-Active Directory (מדריך).

קרא גם כיצד להגן על שרתי Windows: תוכנות זדונות, פיצויים כותר, התקפות DDoS ואיומים אחרים

מסקנה (מדריך) להסרת (הדיחו) בקר דומיין מ-Active Directory

בעת סיום מדריך מפורט זה על הסרת או ירידת דרגה של בקר דומיין מ-Active Directory, נראה שתכנון וביצוע זהים חיוניים לשמירה על תשתיות רשת בריאה. עקבו אחרי השלבים המצוירים, מנהלי מערכות ניווטים באופן חלק דרך תהליך הירידה, מבטיחים הפרעה מינימלית לסביבת Active Directory. מאמר זה מאפשר בביטחון למקצוענים ב-IT לנהל את השינוי של ארכיטקטורת הרשת שלהם.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/