Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia)

Tutoriais
PowerShell

Remova (Rebaixe) Controlador de Domínio do Active Directory (Guia). Uma vez que instalamos novos controladores de domínio (DC), chega um ponto em que se torna necessário eliminar ou, mais precisamente, rebaixar o controlador de domínio existente. Devemos fazer mais do que desligar DCs antigos ou não utilizados; devemos descomissioná-los e desconectá-los do domínio corretamente. Explicamos ambos os métodos para rebaixar um controlador de domínio neste artigo.

Leia também Como Configurar o Active Directory no Windows Server 2022

Remova (Rebaixe) Controlador de Domínio do Active Directory (Guia)

Eventualmente, o acesso ao antigo controlador de domínio pode não estar mais disponível. O escopo dos passos para este artigo abrange todas as versões do Windows Server, desde o Windows Server 2008R2 até o mais recente. Este artigo é útil, especialmente se ainda tivermos DCs com sistemas operacionais obsoletos.

Preparando o Domínio

Antes de iniciar o processo de rebaixamento do controlador de domínio, examine os seguintes aspectos para garantir uma transição tranquila e evitar complicações potenciais. Certifique-se de criar uma pré-lista de verificação que contenha os itens abaixo:

  • Verificar replicação – Garanta que a replicação entre o controlador de domínio antigo e novo ocorra sem erros. Use o comando abaixo para verificar se há erros de replicação.
repadmin /replsummary
  • DHCP e DNS – Confirme se o controlador de domínio anterior gerencia o DHCP e o DNS, para que possamos transferir esses serviços para o novo controlador de domínio de forma transparente.
  • DNS nos clientes – Verifique se os registros de DNS nos clientes (bem como em outros servidores) apontam para o novo controlador de domínio para garantir logins bem-sucedidos; caso contrário, pessoas mal-intencionadas podem comprometer sua rede.
  • Criar um Backup – Gerar um backup abrangente do antigo controlador de domínio e validar sua integridade. Isso permite a restauração do servidor em caso de problemas inesperados.

Nós podemos transferir os Operações de Mestre Único Flexível (FSMO) automaticamente quando despromovemos o controlador de domínio. Verifique onde os papéis FSMO estão sendo executados com o comando abaixo.

netdom query FSMO

Leia também Práticas Recomendadas de Segurança do Controlador de Domínio – Reforço (Lista de Verificação)

Despromovendo um Controlador de Domínio Ativo

Se ainda tivermos acesso ao controlador de domínio, podemos removê-lo facilmente usando o Gerenciador do Servidor. Certifique-se de ter verificado os pontos acima antes de prosseguir.

  1. Inicie o Gerenciador do Servidor acessando-o pelo Menu Iniciar e navegando até Gerenciar > Remover Funções e Recursos.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Selecione o antigo controlador de domínio na Seleção do Servidor.

3. Desative o papel de Serviços de Domínio Ativado por Diretório desmarcando-o. Na janela pop-up subsequente, clique em Remover Recursos.

4. Inicie o processo de demissão do Controlador de Domínio, reconhecendo o erro esperado na validação falha do assistente de instalação. Clique em Reduzir este controlador de domínio.

5. Verifique e, se necessário, modifique as credenciais na tela subsequente. É comum executar essas etapas com privilégios de administrador de domínio. Deixe a opção Forçar a remoção theste controlador de domínio desmarcada a menos que seja o último controlador de domínio na rede.

6. Continue com a remoção, garantindo que os clientes são direcionados ao novo servidor DNS, especialmente se os serviços de Active Directory Sites and Services (ADDS) e DNS estiverem no servidor. Selecione Continuar com a remoção e clique em Próximo.

7. Opte por remover o DNS nas opções de remoção fornecidas, garantindo que Remover atribuição de DNS está selecionado, e continue clicando em Próximo.

8. Defina uma nova senha de administrador; esta é para a conta de administrador local após a remoção do domínio.

9. Revise as configurações definidas e clique em Diminuir para iniciar a remoção do DC. O servidor reinicia para concluir o processo.

Nota: Existe um botão para gerar script de visualização que gera um script PowerShell para automatizar todos os passos que acabamos de passar. Se tivermos mais controladores de domínio para remover, use este script.

10. Após o reinício do servidor, o passo final envolve remover o servidor de Sites e Serviços do Active Directory.

  • Abra Active Directory Sites and Services (ADDS) do menu Iniciar.
  • Expanda Sites > Default-First-Site-Name > Servidores
  • Clique com o botão direito no velho DC e escolhaExcluir.

As capturas de tela acima são capturas de tela que vemos de builds modernos do Windows Server (Build 9600 e acima). No entanto, isso ainda segue o mesmo processo do Windows Server 2008. Portanto, não há problemas se ainda usarmos servidores legados.

Experimente nossas ferramentas de relatórios e auditoria do Active Directory & Office 365

Experimente conosco de graça. Centenas de modelos de relatórios disponíveis. Personalize seus próprios relatórios em AD, Azure AD & Office 355 facilmente.




Leia também Experimente o Ferramenta de Relatórios e Auditoria do InfraSOS para o Active Directory

Verifique a Remoção do Controlador de Domínio

A verificação completa da remoção de um Controlador de Domínio é um passo crítico no processo de desativação, validando o sucesso da operação e mantendo a integridade do Active Directory. Siga com estes passos para verificar a remoção efetivamente:

  1. Usuários e Computadores do Active Directory:
    • Navegue até a unidade organizacional “Controladores de Domínio” e confirme a ausência do controlador desativado.
  2. Registros DNS:
    • Verifique os registros DNS para ter certeza que removemos todas as referências ao controlador desativado, evitando potenciais problemas de conectividade.
  3. ADSIEdit.msc:
    • Use ADSIEdit.msc para inspecionar o banco de dados do Active Directory e verificar se as entradas relacionadas ao controlador rebaixado não estão mais presentes.
  4. Sites and Services:
    • Revise Sites e Serviços do Active Directory para confirmar que nosso domínio removeu o controlador rebaixado do respectivo site.
  5. Monitoramento de Replicação:
    • Monitore o status da replicação para garantir que o processo de rebaixamento tenha sido propagado com sucesso entre os controladores de domínio.

Ao seguir estas etapas de verificação, os administradores confirmam com confiança a remoção completa de um controlador de domínio, mantendo um ambiente Active Directory funcionando bem e seguro.

Utilizar PowerShell para degradar um controlador de domínio

O PowerShell fornece uma alternativa eficiente para a degradação do controlador de domínio, otimizando o processo com algumas instruções:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Este método substitui a necessidade de navegar por várias telas, permitindo uma remoção de controlador de domínio mais concisa e baseada em script.

Também leia DCDiag: Como verificar a saúde do controlador de domínio usando PowerShell

Remover manualmente um controlador de domínio inacessível

Também podemos remover manualmente um DC. Esta etapa é recomendada apenas quando não temos acesso ao servidor.

  1. Abrir Active Directory e Serviços no controlador de domínio ativo.
  2. Acessar a Unidade de Domínio Controladores.
  3. Exclua o antigo controlador de domínio e confirme clicando em Sim.

4. Opte por Excluir este Controlador de Domínio de qualquer maneira.
5. Clique em Excluir e confirme a ação novamente clicando em Sim.

O último passo envolve remover o servidor do Active Directory Sites and Services:

  1. Abra o Active Directory Sites and Services (ADDS) no menu Iniciar.
  2. Expanda Locais > Default-First-Site-Name > Servidores.
  3. Clique com o botão direito no antigo controlador de domínio e selecione Excluir.

Controlador de domínio inalcançável com função de DNS

Se o antigo controlador de domínio tiver uma função de DNS, etapas adicionais são necessárias:

  1. Abra o Gerenciador DNS no controlador de domínio ativo.
  2. Expanda Zonas de pesquisa direta.
  3. Clique com o botão direito no domínio e escolha Propriedades.
  4. Abra a guia Servidores de Nomes.
  5. Exclua o servidor antigo dos servidores de nomes.

Também remova o registro de Servidor de Nomes (NS) da zona DNS do domínio e de qualquer subpasta.

  1. Abra o Gerenciador de DNS no controlador de domínio ativo.
  2. No Gerenciador de DNS, expanda a seção Zonas de Pesquisa Direta.
  3. Identifique e clique com o botão direito no domínio que deseja remover do registro NS.
  4. Escolha Propriedades no menu de contexto.
  5. Dentro das Propriedades da Zona, vá para a guia Servidores de Nomes.
  6. Selecione o registro NS correspondente ao servidor antigo.
  7. Clique em Excluir ou use a tecla Excluir no teclado.
  8. Confirme a exclusão do registro NS quando solicitado.
  9. Se houver subpastas ou subzonas dentro do domínio, repita os passos 3 a 7 para cada subpasta relevante.
  10. Revise as suas alterações e salve a configuração DNS atualizada.

Remover um controlador de domínio do nosso ambiente, mesmo que esteja desligado, é considerado uma prática recomendada na gestão de infraestrutura. Se o controlador de domínio não for removido, o domínio ainda considera o servidor como parte da rede e pode causar problemas inesperados no domínio. Seguindo os passos acima, removemos efetivamente o controlador de domínio, mesmo que esteja inacessível ou desligado.

Também leia Experimente a ferramenta de status de replicação do Active Directory InfraSOS

Motivos pelos quais precisamos aposentar um controlador de domínio

A remoção de controladores de domínio é uma manobra estratégica na administração de rede, impulsionada por vários fatores que giram em torno da otimização e racionalização do ambiente do Active Directory. Aqui estão os principais motivos para a remoção:

  1. Atualizações/Substituições de Hardware:
    • Garantir que a rede permaneça robusta e atualizada, aposentando ou substituindo hardware envelhecido.
  2. Mudanças Organizacionais:
    • Adaptar-se a mudanças estruturais como fusões ou reduções, exigindo ajustes nas configurações do controlador de domínio para alinhar-se com o cenário de negócios em evolução.
  3. Otimização de Recursos:
    • Gerenciar eficientemente a distribuição de recursos pela rede para melhorar o desempenho.
  4. Postura de Segurança Aprimorada:
    • Implementar mudanças para reforçar as medidas de segurança, abordando vulnerabilidades e garantindo uma defesa resiliente contra ameaças potenciais.
  5. Ecossistema de TI Dinâmico:
    • Manter agilidade na infraestrutura de rede para acomodar as necessidades em constante evolução de um ambiente de TI dinâmico.

Os administradores abordam proativamente essas considerações ao rebaixar controladores de domínio, promovendo um ambiente do Active Directory mais resiliente, adaptável e seguro.

É isso. Obrigado por ler Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia).

Leia também Como Proteger o Windows Server: Malware, Ransomware, Ataques DDoS e Outras Ameaças 

Conclusão do Guia para Remover (Rebaixar) Controlador de Domínio do Active Directory

Ao concluir este guia detalhado sobre a remoção ou rebaixamento de um Controlador de Domínio do Active Directory, é evidente que o planejamento cuidadoso e a execução são cruciais para manter uma infraestrutura de rede saudável. Seguindo os passos delineados, os administradores navegam perfeitamente pelo processo de rebaixamento, garantindo uma interrupção mínima no ambiente do Active Directory. Este artigo capacita com confiança os profissionais de TI a supervisionar a transformação de sua arquitetura de rede.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/