Удаление (понижение) контроллера домена из Active Directory (Руководство)

Учебники
PowerShell

Также читайте Как настроить Active Directory на Windows Server 2022

Удаление (снижение уровня) контроллера домена из Active Directory (руководство)

Иногда доступ к прежнему контроллеру домена может быть недоступен. В рамках этой статьи описываются шаги для всех версий Windows Server от Windows Server 2008R2 до самой последней. Эта статья полезна, особенно если у нас еще есть контроллеры домена с операционными системами, поддержка которых завершена.

Подготовка домена

Перед началом процесса снижения уровня контроллера домена рассмотрите следующие аспекты, чтобы гарантировать бесперебойный переход и предотвратить возможные осложнения. Обязательно создайте предварительный список, который содержит следующие пункты:

  • Проверьте репликацию – Убедитесь, что репликация между старым и новым контроллером домена выполняется без ошибок. Используйте следующую команду для проверки наличия ошибок репликации.
repadmin /replsummary
  • DHCP и DNS – Подтвердите, что если предыдущий контроллер домена обрабатывает DHCP и DNS, мы без проблем переносим эти службы на новый контроллер домена.
  • DNS на клиентах – Проверьте, что DNS-записи на клиентах (а также на других серверах) указывают на новый контроллер домена, чтобы гарантировать успешные входы в систему; в противном случае злоумышленники могут скомпрометировать вашу сеть.
  • Создание резервной копии — Создайте полную резервную копию бывшего контроллера домена и проверьте ее целостность. Это позволит восстановить сервер в случае возникновения непредвиденных проблем.

Мы можем передать Гибкие операции с одним главным сервером (FSMO), когда понижаем уровень контроллера домена. Проверьте, где выполняются роли FSMO, с помощью приведенной ниже команды.

netdom query FSMO

См. также Лучшие методы безопасности контроллера домена — Укрепление (контрольный список)

Понижение уровня активного контроллера домена

Если у нас все еще есть доступ к контроллеру домена, мы можем легко удалить контроллер домена с помощью диспетчера серверов. Убедитесь, что мы проверили вышеперечисленные пункты, прежде чем продолжить.

  1. Запустите диспетчер серверов, открыв его через меню “Пуск” и перейдя в раздел Управление -> Удаление ролей и компонентов.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Выберите старый контроллер домена в разделе Выбор сервера.

3. Отключите роль службы каталога Active Directory, сняв с нее выбор. В появившемся диалоговом окне нажмите Удалить функции.

4. Начните процесс понижения уровня контроллера домена, подтвердив ожидаемую ошибку в процессе проверки мастера установки. Нажмите Понизить уровень этого контроллера домена.

5. Проверьте и, при необходимости, измените учетные данные на следующем экране. Обычно эти шаги выполняются с привилегиями администратора домена. Оставьте опцию Принудительное удаление этого контроллера домена неотмеченной, если это не последний контроллер домена в сети.

6. Продолжите удаление, убедившись, что клиенты направлены на новый DNS-сервер, особенно если службы Active Directory Sites and Services (ADDS) и DNS находятся на сервере. Выберите Продолжить удаление и нажмите Далее.

7. Выберите удаление DNS в предлагаемых вариантах удаления, убедившись, что выбрано Удалить делегирование DNS, и продолжите, нажав Далее.

8. Установите новый пароль администратора; это для локальной учетной записи администратора после удаления из домена.

9. Просмотрите настроенные параметры и нажмите Понизить, чтобы инициировать удаление контроллера домена. Сервер перезагрузится для завершения процесса.

Примечание: Есть кнопка скрипт просмотра, которая генерирует PowerShell скрипт для автоматизации всех шагов, которые мы только что прошли. Если у нас есть дополнительные контроллеры домена для удаления, используйте этот скрипт.

10. После перезагрузки сервера последним шагом является удаление сервера из Active Directory Sites and Services.

  • Откройте Active Directory Sites and Services (ADDS) из меню “Пуск”.
  • Разверните “Сайты” и выберите Default-First-Site-Name и Servers
  • Щелкните правой кнопкой мыши старый контроллер домена и выберите Удалить.

Вышеуказанные скриншоты являются скриншотами, которые мы видим в современных сборках Windows Server (сборка 9600 и выше). Однако этот процесс по-прежнему соответствует процессу Windows Server 2008. Поэтому проблем не возникнет, если мы продолжим использовать устаревшие серверы.

Попробуйте наши инструменты для создания отчетов и аудита Active Directory & Office 365

Попробуйте нас бесплатно. Доступно более 100 шаблонов отчетов. Легко настраивайте собственные отчеты по AD, Azure AD и Office 355.




Также прочтите Попробуйте инструмент отчетности и аудита Active Directory InfraSOS

Подтверждение удаления контроллера домена

Обеспечение тщательной проверки удаления контроллера домена является важным этапом в процессе демонтажа, подтверждая успешность операции и поддерживая целостность Active Directory. Следуйте этим шагам для эффективной проверки удаления:

  1. Пользователи и компьютеры Active Directory:
    • Перейдите в организационную единицу “Контроллеры домена” и подтвердите отсутствие демонтированного контроллера.
  2. Записи DNS:
    • Проверьте записи DNS, чтобы убедиться, что мы удалили все ссылки на демонтированный контроллер, предотвращая потенциальные проблемы с подключением.
  3. ADSIEdit.msc:
    • Используйте ADSIEdit.msc, чтобы проверить базу данных Active Directory и убедиться, что записи, связанные с пониженным контроллером, больше отсутствуют.
  4. Сайты и службы:
    • Просмотрите Сайты и службы Active Directory, чтобы подтвердить, что наш домен удалил пониженный контроллер из соответствующего сайта.
  5. Мониторинг репликации:
    • Отслеживайте статус репликации, чтобы убедиться, что процесс демонстрации успешно распространился по контроллерам домена.

Следуя этим шагам проверки, администраторы уверенно подтверждают полное удаление контроллера домена, поддерживая хорошо функционирующую и безопасную среду Active Directory.

Демонтировать контроллер домена с помощью PowerShell

PowerShell предоставляет эффективную альтернативу для демонтажа контроллера домена, оптимизируя процесс с помощью нескольких команд:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Этот подход заменяет необходимость перемещения по нескольким экранам, что позволяет более кратко и на основе сценариев демонтировать контроллер домена.

Также прочтите DCDiag: Как проверить состояние контроллера домена с помощью Powershell

Вручную удалить недоступный контроллер домена

Мы также можем вручную удалить контроллер домена. Этот шаг рекомендуется использовать только тогда, когда у нас больше нет доступа к серверу.

  1. Запустите Active Directory и службы на активном контроллере домена.
  2. Откройте доступ к OU контроллеров домена.
  3. Удалите старый контроллер домена, подтвердив действие нажатием Да.

4. Выберите Удалить этот контроллер домена.
5. Нажмите Удалить и снова подтвердите действие, нажав Да.

Заключительный шаг заключается в удалении сервера из раздела «Активные пользователи и компьютеры»:

  1. Откройте «Активные пользователи и компьютеры» (ADUC) из меню «Пуск».
  2. Разверните Сайты > Default-First-Site-Name > Серверы.
  3. Кликните правой кнопкой мыши по старому контроллеру домена и выберите Удалить.

Недоступный контроллер домена с ролью DNS

Если на старом контроллере домена была установлена роль DNS, необходимо выполнить дополнительные шаги:

  1. Откройте Диспетчер DNS на активном контроллере домена.
  2. Разверните раздел Зоны прямого просмотра.
  3. Кликните правой кнопкой мыши по домену и выберите Свойства.
  4. Откройте вкладку Серверы имен.
  5. Удалите старый сервер из серверов имен.

Также удалите запись сервера имен (NS) из зоны DNS домена и всех подпапок.

  1. Запустите DNS-менеджер на активном контроллере домена.
  2. В DNS-менеджере разверните раздел Прямой поиск зон.
  3. Идентифицируйте и щелкните правой кнопкой мыши на домен, который вы хотите удалить из записи NS.
  4. Выберите Свойства в контекстном меню.
  5. Внутри свойств зоны перейдите на вкладку Серверы имен.
  6. Выберите запись NS, соответствующую старому серверу.
  7. Нажмите Удалить или используйте клавишу Delete на клавиатуре.
  8. Подтвердите удаление записи NS по запросу.
  9. Если в домене есть подпапки или подзоны, повторите шаги с 3 по 7 для каждой соответствующей подпапки.
  10. Просмотрите ваши изменения и сохраните обновленную конфигурацию DNS.

Удаление контроллера домена из нашей среды, даже если он выключен, считается лучшей практикой в управлении инфраструктурой. Если контроллер домена не удален, домен все еще считает сервер частью сети и может вызвать непредвиденные проблемы с доменом. Следуя вышеуказанным шагам, мы эффективно удаляем контроллер домена, даже если он недоступен или выключен.

Также читайте Попробуйте инструмент состояния репликации Active Directory InfraSOS

Причины, по которым нам нужно выведение контроллера домена из эксплуатации

Демонтаж контроллеров домена – это стратегический маневр в администрировании сети, обусловленный различными факторами, связанными с оптимизацией и совершенствованием среды Active Directory. Вот основные причины демонтажа:

  1. Обновление/замена оборудования:
    • Обеспечьте надежность и актуальность сети путем вывода из эксплуатации или замены устаревшего оборудования.
  2. Организационные изменения:
    • Приспосабливайтесь к структурным изменениям, таким как слияния или сокращение, требующие корректировки конфигураций контроллера домена в соответствии с изменяющимся бизнес-ландшафтом.
  3. Оптимизация ресурсов:
    • Эффективно управляйте распределением ресурсов по сети для улучшения производительности.
  4. Улучшенное положение в области безопасности:
  5. Динамичная IT-экосистема:
    • Поддерживайте гибкость в инфраструктуре сети, чтобы адаптироваться к изменяющимся потребностям динамичной IT-среды.

Администраторы активно учитывают эти соображения, понижая роль контроллеров домена, способствуя более устойчивой, адаптивной и безопасной среде Active Directory.

Это все. Спасибо за прочтение Руководства по удалению (понижению) контроллера домена из Active Directory.

Также читайте Как защитить сервер Windows: вредоносные программы, вымогательство, атаки DDoS и другие угрозы 

Заключение Руководства по удалению (понижению) контроллера домена из Active Directory

Подводя итог этому подробному руководству по удалению или понижению контроллера домена из Active Directory, очевидно, что тщательное планирование и выполнение являются ключевыми для поддержания здоровой сетевой инфраструктуры. Следуя изложенным шагам, администраторы без труда осуществляют процесс понижения, обеспечивая минимальные нарушения в среде Active Directory. Эта статья уверенно позволяет ИТ-специалистам контролировать преобразование своей сетевой архитектуры.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/