Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia)

Tutoriais
PowerShell

Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia). Uma vez que instalamos novos controladores de domínio (DC), chega um ponto em que se torna necessário eliminar ou, mais precisamente, rebaixar o controlador de domínio existente. Devemos fazer mais do que desligar DCs antigos ou não utilizados; devemos desativá-los e desconectá-los do domínio corretamente. Explicamos ambos os métodos para rebaixar um controlador de domínio neste artigo.

Leia também Como Configurar o Active Directory no Windows Server 2022

Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia)

Ocasionalmente, o acesso ao antigo controlador de domínio pode não estar mais disponível. O escopo dos passos para este artigo abrange todas as versões do Windows Server, desde o Windows Server 2008R2 até o mais recente. Este artigo é útil, especialmente se ainda tivermos DCs com sistemas operacionais em fim de vida.

Preparando o Domínio

Antes de iniciar o processo de rebaixamento do controlador de domínio, examine os seguintes aspectos para garantir uma transição tranquila e evitar complicações potenciais. Certifique-se de criar uma pré-lista de verificação que contenha os itens abaixo:

  • Verificar replicação – Garantir que a replicação entre o antigo e o novo controlador de domínio seja executada sem erros. Use o comando abaixo para verificar se há erros de replicação.
repadmin /replsummary
  • DHCP e DNS – Confirme que se o controlador de domínio anterior gerencia o DHCP e o DNS, transferimos esses serviços para o novo controlador de domínio de forma transparente.
  • DNS nos clientes – Verifique se os registros DNS nos clientes (bem como em outros servidores) apontam para o novo controlador de domínio para garantir logins bem-sucedidos; caso contrário, maus agentes podem comprometer sua rede.
  • Criar um Backup – Gerar um backup abrangente do antigo controlador de domínio e validar sua integridade. Isso permite a restauração do servidor em caso de problemas imprevistos.

Podemos transferir os Operações de Mestre Único Flexível (FSMO) automaticamente ao despromover o controlador de domínio. Verifique onde os papéis FSMO são executados com o comando abaixo.

netdom query FSMO

Leia também Melhores Práticas de Segurança do Controlador de Domínio – Reforço (Lista de Verificação)

Despromover um Controlador de Domínio Ativo

Se ainda tivermos acesso ao controlador de domínio, podemos removê-lo facilmente usando o Gerenciador do Servidor. Certifique-se de ter verificado os pontos acima antes de continuar.

  1. Inicie o Gerenciador do Servidor acessando-o pelo Menu Iniciar e navegando até Gerenciar > Remover Funções e Recursos.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Selecione o antigo controlador de domínio na Seleção do Servidor.

3. Desative a função Serviços de Domínio do Active Directory desmarcando-a. Na janela pop-up subsequente, clique em Remover Recursos.

4. Inicie o processo de despromoção do Controlador de Domínio, reconhecendo o erro antecipado na falha de validação do assistente de instalação. Clique em Despromover este controlador de domínio.

5. Verifique e, se necessário, modifique as credenciais na tela subsequente. É costume executar essas etapas com privilégios de administrador de domínio. Deixe a opção Forçar a remoção deste controlador de domínio desmarcada, a menos que seja o último controlador de domínio na rede.

6. Prossiga com a remoção, garantindo que os clientes sejam direcionados para o novo servidor DNS, especialmente se os Serviços de Sites e Serviços do Active Directory (ADDS) e os serviços de DNS estiverem no servidor. Selecione Prossiga com a remoção e clique em Avançar.

7. Opte por remover o DNS nas opções de remoção fornecidas, garantindo que Remover a delegação de DNS esteja selecionado, e prossiga clicando em Avançar.

8. Defina uma nova senha de administrador; esta é para a conta de administrador local após a remoção do domínio.

9. Revise as configurações configuradas e clique em Rebaixar para iniciar a remoção do DC. O servidor reinicia para concluir o processo.

Nota: Existe um botão de visualização de script que gera um script do PowerShell para automatizar todos os passos que acabamos de percorrer. Se tivermos controladores de domínio adicionais para remover, use este script.

10. Após a reinicialização do servidor, o último passo envolve remover o servidor do Active Directory Sites and Services.

  • Abra o Active Directory Sites and Services (ADDS) no Menu Iniciar.
  • Expandir Sites > Default-First-Site-Name > Servidores
  • Clique com o botão direito no DC antigo e escolha Excluir.

As capturas de tela acima são capturas de tela que vemos nas compilações modernas do Windows Server (Compilação 9600 e acima). No entanto, isso ainda segue o mesmo processo do Windows Server 2008. Portanto, não há problemas se ainda usarmos servidores legados.

Experimente nossas Ferramentas de Relatórios e Auditoria do Active Directory & Office 365

Experimente-nos gratuitamente. Centenas de modelos de relatórios disponíveis. Personalize facilmente seus próprios relatórios no AD, Azure AD e Office 365.




Leia também Experimente a Ferramenta de Relatórios e Auditoria do Active Directory InfraSOS

Verificar a Remoção do Controlador de Domínio

Assegurar a verificação minuciosa da remoção de um Controlador de Domínio é um passo crítico no processo de despromoção, validando o sucesso da operação e mantendo a integridade do Active Directory. Siga estes passos para verificar a remoção de forma eficaz:

  1. Usuários e Computadores do Active Directory:
    • Navegue até a unidade organizacional “Controladores de Domínio” e confirme a ausência do controlador despromovido.
  2. Registros DNS:
    • Verifique os registros DNS para garantir que removemos todas as referências ao controlador despromovido, evitando possíveis problemas de conectividade.
  3. ADSIEdit.msc:
    • Use ADSIEdit.msc para inspecionar o banco de dados do Active Directory e verificar se as entradas relacionadas ao controlador rebaixado não estão mais presentes.
  4. Sites and Services:
    • Revise os Sites e Serviços do Active Directory para confirmar que nosso domínio removeu o controlador rebaixado do respectivo site.
  5. Monitoramento de Replicação:
    • Monitore o status da replicação para garantir que o processo de rebaixamento tenha sido propagado com sucesso entre os controladores de domínio.

Ao seguir essas etapas de verificação, os administradores confirmam com confiança a remoção completa de um Controlador de Domínio, mantendo um ambiente de Active Directory bem funcional e seguro.

Despromover um Controlador de Domínio Usando o PowerShell

O PowerShell fornece uma alternativa eficiente para despromover o controlador de domínio, simplificando o processo com alguns comandos:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Esta abordagem substitui a necessidade de navegar por várias telas, permitindo uma despromoção de controlador de domínio mais concisa e baseada em scripts.

Leia também DCDiag: Como Verificar a Saúde do Controlador de Domínio usando o Powershell

Remover Manualmente um Controlador de Domínio Inalcançável

Também podemos remover manualmente um DC. Este passo é recomendado apenas para uso quando não temos mais acesso ao servidor.

  1. Inicie o Active Directory e Serviços no controlador de domínio ativo.
  2. Acesse a OU de Controladores de Domínio.
  3. Exclua o antigo controlador de domínio e confirme clicando em Sim.

4. Opte por Excluir este Controlador de Domínio de qualquer maneira.
5. Clique em Excluir e confirme a ação novamente clicando em Sim.

O último passo envolve remover o servidor do Active Directory Sites and Services:

  1. Abra o Active Directory Sites and Services (ADDS) no menu Iniciar.
  2. Expanda Sites > Nome do Primeiro Site Padrão > Servidores.
  3. Clique com o botão direito no antigo controlador de domínio e selecione Excluir.

Controlador de Domínio Inalcançável com uma Função de DNS

Se o antigo controlador de domínio tinha uma função de DNS, etapas adicionais são necessárias:

  1. Abra o Gerenciador de DNS no controlador de domínio ativo.
  2. Expanda Zonas de Pesquisa Direta.
  3. Clique com o botão direito no domínio e escolha Propriedades.
  4. Abra a guia Servidores de Nomes.
  5. Exclua o servidor antigo dos servidores de nomes.

Também remova o registro de Servidor de Nomes (NS) da zona DNS do domínio e de qualquer subpasta.

  1. Inicie o Gerenciador de DNS no controlador de domínio ativo.
  2. No Gerenciador de DNS, expanda a seção Zonas de Pesquisa Direta.
  3. Identifique e clique com o botão direito no domínio que deseja remover do registro NS.
  4. Escolha Propriedades no menu de contexto.
  5. Dentro das Propriedades da Zona, navegue até a guia Servidores de Nomes.
  6. Selecione o registro NS correspondente ao servidor antigo.
  7. Clique em Excluir ou use a tecla Excluir no seu teclado.
  8. Confirme a exclusão do registro NS quando solicitado.
  9. Se houver subpastas ou subzonas dentro do domínio, repita os passos de 3 a 7 para cada subpasta relevante.
  10. Revise as suas alterações e guarde a configuração DNS atualizada.

Remover o DC do nosso ambiente, mesmo que desligado, é considerado uma boa prática na gestão de infraestruturas. Se o DC não for removido, o domínio ainda considera o servidor parte da rede e pode causar problemas inesperados no domínio. Seguindo os passos acima, removemos efetivamente o DC mesmo que esteja inacessível ou desligado.

Também leia Experimente a Ferramenta de Status de Replicação do Active Directory InfraSOS

Razões pelas quais precisamos aposentar um Controlador de Domínio

A despromoção de controladores de domínio é uma manobra estratégica na administração de redes, impulsionada por vários fatores que giram em torno da otimização e racionalização do ambiente do Active Directory. Aqui estão as principais razões para a despromoção:

  1. Atualizações/Substituição de Hardware:
    • Garantir que a rede permaneça robusta e atualizada ao aposentar ou substituir hardware envelhecido.
  2. Mudanças Organizacionais:
    • Adaptar-se a mudanças estruturais como fusões ou reduções, exigindo ajustes nas configurações do controlador de domínio para se alinhar com o cenário empresarial em evolução.
  3. Otimização de Recursos:
    • Gerencie eficientemente a distribuição de recursos pela rede para melhorar o desempenho.
  4. Postura de Segurança Aprimorada:
    • Implemente mudanças para fortalecer as medidas de segurança, abordando vulnerabilidades e garantindo uma defesa resiliente contra ameaças potenciais.
  5. Ecossistema de TI Dinâmico:
    • Mantenha a agilidade na infraestrutura de rede para acomodar as necessidades em evolução de um ambiente de TI dinâmico.

Os administradores abordam proativamente essas considerações ao rebaixar controladores de domínio, promovendo um ambiente do Active Directory mais resiliente, adaptativo e seguro.

E é isso. Obrigado por ler Remover (Rebaixar) Controlador de Domínio do Active Directory (Guia).

Leia também Como Proteger o Servidor Windows: Malware, Ransomware, Ataques DDoS e Outras Ameaças 

Conclusão do Guia Remover (Rebaixar) Controlador de Domínio do Active Directory

Ao concluir este guia detalhado sobre a remoção ou rebaixamento de um Controlador de Domínio do Active Directory, fica evidente que um planejamento e execução cuidadosos são cruciais para manter uma infraestrutura de rede saudável. Seguindo os passos delineados, os administradores navegam sem problemas pelo processo de rebaixamento, garantindo uma interrupção mínima no ambiente do Active Directory. Este artigo capacita com confiança os profissionais de TI a supervisionar a transformação de sua arquitetura de rede.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/