Rimuovi (degrada) il controller di dominio dall’Active Directory (Guida)

Tutorial
PowerShell

Rimuovi (declassa) il controller di dominio da Active Directory (Guida). Una volta installato un nuovo controller di dominio (DC), arriva un momento in cui diviene necessario eliminare o, più precisamente, declassare il controller di dominio esistente. Dobbiamo fare di più che spegnere i vecchi o inutilizzati DC; dobbiamo dismetterli e disconnetterli correttamente dal dominio. In questo articolo illustriamo entrambi i metodi per declassare un controller di dominio.

Leggi anche Come configurare Active Directory su Windows Server 2022

Rimuovi (declassa) il controller di dominio da Active Directory (Guida)

A volte, l’accesso al precedente controller di dominio potrebbe non essere più disponibile. I passaggi di questo articolo riguardano tutte le versioni di Windows Server, da Windows Server 2008R2 all’ultima. Questo articolo è utile, soprattutto se abbiamo ancora dei DC con sistemi operativi giunti a fine vita.

Preparazione del dominio

Prima di avviare il processo di declassamento del controller di dominio, esaminare i seguenti aspetti per garantire una transizione senza interruzioni ed evitare potenziali complicazioni. Assicurarsi di creare un pre-elenco di controllo che contenga gli elementi seguenti:

  • Controllare la replica – Assicurarsi che la replica tra il vecchio e il nuovo domain controller avvenga senza errori. Utilizzare il comando sottostante per verificare la presenza di eventuali errori di replica.
repadmin /replsummary
  • DHCP e DNS – Confermare che se il precedente domain controller gestisce DHCP e DNS, trasferiamo senza problemi questi servizi al nuovo domain controller.
  • DNS sui client – Verificare che i record DNS sui client (nonché su altri server) siano diretti al nuovo domain controller per garantire accessi riusciti; in caso contrario, i cattivi individui potrebbero compromettere la vostra rete.
  • Crea un Backup – Genera un backup completo del precedente controller di dominio e verifica la sua integrità. Questo consente il ripristino del server in caso di problemi imprevisti.

Possiamo trasferire i Ruoli Flexible Single Master Operations (FSMO) automaticamente quando degradiamo il controller di dominio. Controlla dove i ruoli FSMO sono eseguiti con il comando qui sotto.

netdom query FSMO

Leggi anche Best Practices per la Sicurezza del Controller di Dominio – Hardenizzazione (Checklist)

Degradazione di un Controller di Dominio Attivo

Se abbiamo ancora accesso al controller di dominio, rimuoviamo facilmente il controller di dominio utilizzando il Server Manager. Assicurati di aver controllato i punti sopra prima di poter continuare.

  1. Avvia il Server Manager accedendovi tramite il Menu Start e navigando su Gestisci > Rimuovi Ruoli e Funzionalità.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Seleziona il vecchio controller di dominio nella Selezione del Server.


Disabilitare il ruolo dei Servizi di dominio Active Directory deselezionandolo. Nella successiva finestra di dialogo, fare clic su Rimuovi funzionalità.

Avviare il processo di degradazione per il Controller di dominio, riconoscendo l’errore previsto nel fallimento di convalida della procedura guidata di installazione. Fare clic su Degrada questo controller di dominio.

Verificare e, se necessario, modificare le credenziali nella schermata successiva. È consuetudine eseguire questi passaggi con privilegi di amministratore di dominio. Lasciare non selezionata l’opzione Forza la rimozione di questo controller di dominio a meno che non sia l’ultimo controller di dominio nella rete.

Procedere con la rimozione, assicurandosi che i client siano indirizzati al nuovo server DNS, specialmente se i Servizi Siti e Servizi Active Directory (ADDS) e i servizi DNS sono sul server. Selezionare Procedi con la rimozione e fare clic su Avanti.

Optare per la rimozione di DNS nelle opzioni di rimozione fornite, assicurandosi che Rimuovi delega DNS sia selezionato e procedere facendo clic su Avanti.

Impostare una nuova password amministratore; questa è per l’account amministratore locale dopo la rimozione del dominio.

9. Rivedi le impostazioni configurate e clicca su Depromuovi per avviare la rimozione del DC. Il server si riavvia per completare il processo.

Nota: C’è un pulsante visualizza script che genera uno script PowerShell per automatizzare tutti i passaggi che abbiamo appena eseguito. Se abbiamo altri controller di dominio da rimuovere, utilizziamo questo script.

10. Dopo il riavvio del server, il passaggio finale prevede la rimozione del server da Active Directory Sites and Services.

  • Apri Active Directory Sites and Services (ADDS) dal Menu Start.
  • Espandi Siti > Nome del Primo Sito Predefinito > Server
  • Fai clic con il tasto destro sul vecchio DC e scegli Elimina.

Le schermate sopra sono schermate che vediamo dalle versioni moderne di Windows Server (Build 9600 e successive). Tuttavia, questo segue comunque lo stesso processo di Windows Server 2008. Quindi, non ci sono problemi se utilizziamo ancora server legacy.

Prova i nostri Strumenti di Reporting e Audit di Active Directory & Office 365

Provalo gratuitamente. Sono disponibili centinaia di modelli di report. Personalizza facilmente i tuoi report su AD, Azure AD e Office 365.




Leggi anche Prova InfraSOS Active Directory Reporting & Auditing Tool

Verifica la rimozione del Domain Controller

Assicurarsi della verifica accurata della rimozione di un Domain Controller è un passaggio critico nel processo di declassamento, convalidando il successo dell’operazione e mantenendo l’integrità dell’Active Directory. Segui questi passaggi per verificare la rimozione in modo efficace:

  1. Utenti e computer di Active Directory:
    • Naviga nell’unità organizzativa “Domain Controllers” e conferma l’assenza del controller declassato.
  2. Record DNS:
    • Controlla i record DNS per assicurarti di aver rimosso tutti i riferimenti al controller declassato, evitando potenziali problemi di connettività.
  3. ADSIEdit.msc:
    • Usa ADSIEdit.msc per ispezionare il database di Active Directory e verificare che le voci relative al controller declassato non siano più presenti.
  4. Siti e Servizi:
    • Esaminare i Siti e Servizi di Active Directory per confermare che il nostro dominio abbia rimosso il controller declassato dal rispettivo sito.
  5. Monitoraggio della Replicazione:
    • Monitorare lo stato della replicazione per assicurarsi che il processo di declassamento si sia propagato con successo tra i controller di dominio.

Seguendo questi passaggi di verifica, gli amministratori confermano con fiducia la rimozione completa di un Domain Controller, mantenendo un ambiente Active Directory ben funzionante e sicuro.

Declassa un Domain Controller utilizzando PowerShell

PowerShell fornisce un’alternativa efficiente per declassare il controller di dominio, semplificando il processo con pochi comandi:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Questo approccio sostituisce la necessità di navigare tra schermate multiple, consentendo un declassamento del controller di dominio più conciso e basato su script.

Leggi anche DCDiag: Come controllare lo stato di salute del Domain Controller utilizzando Powershell

Rimuovi manualmente un Domain Controller non raggiungibile

Possiamo anche rimuovere manualmente un DC. Questo passaggio è consigliato solo per l’uso quando non abbiamo più accesso al server.

  1. Avvia Active Directory e Servizi sul controller di dominio attivo.
  2. Accedi all’OU Domain Controllers.
  3. Elimina il vecchio controller di dominio e conferma cliccando su .

4. Opta per Elimina comunque questo Controller di Dominio.
5. Clicca su Elimina e conferma l’azione nuovamente cliccando su .

Il passaggio finale prevede la rimozione del server da Active Directory Sites and Services:

  1. Apri Active Directory Sites and Services (ADDS) dal menu Start.
  2. Espandi Siti > Nome-Primo-Sito-Predefinito > Server.
  3. Fai clic con il tasto destro sul vecchio controller di dominio e seleziona Elimina.

DC non raggiungibile con un ruolo DNS

Se il vecchio controller di dominio aveva un ruolo DNS, sono necessari passaggi aggiuntivi:

  1. Apri Gestione DNS sul controller di dominio attivo.
  2. Espandi Zone di Ricerca Diretta.
  3. Fai clic con il tasto destro sul dominio e scegli Proprietà.
  4. Apri la scheda Name Servers.
  5. Elimina il vecchio server dai name servers.

Rimuovi anche il record del Name Server (NS) dalla zona DNS del dominio e da eventuali sottocartelle.

  1. Avvia il Gestore DNS sul controller di dominio attivo.
  2. In Gestore DNS, espandi la sezione Zone di ricerca diretta.
  3. Individua e fai clic con il pulsante destro del mouse sul dominio che desideri rimuovere dal record NS.
  4. Scegli Proprietà dal menu contestuale.
  5. All’interno delle Proprietà della zona, passa alla scheda Name Servers.
  6. Seleziona il record NS corrispondente al vecchio server.
  7. Fai clic su Elimina o utilizza il tasto Elimina sulla tastiera.
  8. Conferma l’eliminazione del record NS quando richiesto.
  9. Se ci sono sottocartelle o subzone all’interno del dominio, ripeti i passaggi da 3 a 7 per ciascuna sottocartella rilevante.
  10. Rivedi le tue modifiche e salva la configurazione DNS aggiornata.

Rimuovere DC dal nostro ambiente, nonostante sia spento, è considerata una pratica ottimale nella gestione dell’infrastruttura. Se il DC non viene rimosso, il dominio considera comunque il server parte della rete e potrebbe causare problemi di dominio imprevisti. Seguendo i passaggi sopra indicati, rimuoviamo efficacemente il DC anche se è irraggiungibile o spento.

Leggi anche Prova lo strumento di stato di replica di Active Directory InfraSOS

Motivi per cui è necessario ritirare un Domain Controller

La degradazione dei domain controller è una mossa strategica nell’amministrazione di rete, guidata da vari fattori che ruotano attorno all’ottimizzazione e alla razionalizzazione dell’ambiente Active Directory. Ecco i motivi principali per la degradazione:

  1. Aggiornamenti/Rimpiazzi Hardware:
    • Assicurare che la rete rimanga robusta e aggiornata ritirando o sostituendo hardware invecchiato.
  2. Cambiamenti Organizzativi:
    • Adattarsi a cambiamenti strutturali come fusioni o ridimensionamenti, che richiedono aggiustamenti nelle configurazioni del domain controller per allinearsi con il panorama aziendale in evoluzione.
  3. Ottimizzazione delle risorse:
    • Gestire efficientemente la distribuzione delle risorse attraverso la rete per migliorare le prestazioni.
  4. Miglioramento della sicurezza:
  5. Ecosistema IT dinamico:
    • Mantenere l’agilità nell’infrastruttura di rete per soddisfare le esigenze in evoluzione di un ambiente IT dinamico.

Gli amministratori affrontano proattivamente queste considerazioni declassando i controller di dominio, promuovendo un ambiente Active Directory più resiliente, adattivo e sicuro.

È tutto. Grazie per aver letto Rimuovi (declassa) il controller di dominio da Active Directory (guida).

Leggi anche Come proteggere Windows Server: malware, ransomware, attacchi DDoS e altre minacce 

Rimuovi (declassa) il controller di dominio da Active Directory (guida) Conclusione

Per concludere questa guida dettagliata sulla rimozione o il declassamento di un controller di dominio da Active Directory, è evidente che una pianificazione e un’esecuzione attente sono fondamentali per mantenere un’infrastruttura di rete sana. Seguendo i passaggi descritti, gli amministratori navigano senza problemi nel processo di declassamento, garantendo una minima interruzione dell’ambiente Active Directory. Questo articolo consente con sicurezza ai professionisti IT di supervisionare la trasformazione della propria architettura di rete.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/