从活动目录中删除(降级)域控制器(指南)。一旦我们安装了新的域控制器(DC),就会出现必须消除或更精确地说是降级现有域控制器的情况。我们必须做的不仅仅是关闭旧的或未使用的DC,还必须妥善地将它们从域中解除并断开连接。本文将介绍降级域控制器的两种方法。
从活动目录中删除(降级)域控制器(指南)
偶尔,可能无法再访问先前的域控制器。本文所述步骤的范围涵盖了从Windows Server 2008R2到最新版本的所有Windows Server版本。特别是在我们仍然拥有运行已到生命周期结束的操作系统的DC时,本文非常有用。
准备域
在启动域控制器降级流程之前,检查以下方面以确保平稳过渡并防止潜在的复杂性。确保创建一个包含以下项目的预检查清单:
- 检查复制 – 确保旧和新的域控制器之间的复制运行无误。使用以下命令检查是否有任何复制错误。
我们可以在降级域控制器时自动转移 灵活单主操作 (FSMO) 角色。使用以下命令检查FSMO角色的运行位置。
另请阅读 域控制器安全最佳实践 – 强化(清单)
降级活动域控制器
如果我们仍然可以访问域控制器,我们可以通过服务器管理器轻松删除域控制器。在继续之前,请确保我们已经检查了上述要点。
- 通过启动菜单访问服务器管理器,并导航到 管理 > 删除角色和功能。
-
- a. Open the Server Manager from the Start Menu.
- b. Click on Manage > Remove Roles and Features.
2. 在 服务器选择 中选择旧域控制器。
3. 取消选中活动目录域服务角色。在随后的弹出窗口中,点击删除功能。
4. 启动域控制器的降级过程,确认安装向导验证失败中预期的错误。点击降级此域控制器。
5. 在随后的屏幕中验证并如有必要修改凭据。按照惯例,使用域管理员特权执行这些步骤。除非是网络中的最后一个域控制器,否则不要选中强制删除此域控制器选项。
6. 继续进行移除操作,确保客户端指向新的 DNS 服务器,特别是如果活动目录站点和服务(ADDS)以及 DNS 服务在服务器上。选择继续移除并点击下一步。
7. 选择在提供的移除选项中移除 DNS,确保选择移除 DNS 委派,然后点击下一步。
8. 设置一个新的管理员密码;这是用于域移除后的本地管理员帐户。
9. 检查配置的设置,然后单击降级以启动删除 DC 的过程。服务器将重新启动以完成该过程。
注意:有一个查看脚本按钮,可生成一个PowerShell 脚本来自动执行我们刚刚进行的所有步骤。如果有其他要移除的域控制器,请使用此脚本。
10. 服务器重新启动后,最后一步涉及将服务器从 Active Directory Sites and Services 中移除。
- 从开始菜单中打开Active Directory Sites and Services(ADDS)。
- 展开站点 > Default-First-Site-Name > 服务器
- 右键单击旧的 DC,然后选择删除。
以上截图是我们从现代Windows Server版本(版本 9600 及以上)中看到的截图。然而,这仍然遵循与 Windows Server 2008 相同的过程。因此,如果我们仍在使用传统服务器,则不会出现问题。
尝试我们的 Active Directory & Office 365 报告和审计工具
尝试我们的产品免费。提供数百种报告模板。轻松定制您自己的 AD、Azure AD 和 Office 365 报告。
验证域控制器的移除
确保彻底验证域控制器的移除是降级过程中的关键步骤,验证操作的成功并维护Active Directory 的完整性。按照以下步骤有效地验证移除:
- Active Directory 用户和计算机:
- 转到“域控制器”组织单位,确认已降级控制器已不在。
- DNS 记录:
- 检查 DNS 记录,确保删除所有指向已降级控制器的引用,避免潜在的连接问题。
- ADSIEdit.msc:
- 使用ADSIEdit.msc检查活动目录数据库,并验证与降级控制器相关的条目是否不再存在。
- 站点和服务:
- 审查活动目录站点和服务,确认我们的域已将降级控制器从相应站点中移除。
- 复制监视:
- 监视复制状态,确保降级过程已在域控制器之间成功传播。
通过遵循这些验证步骤,管理员可以自信地确认域控制器的完全移除,保持良好运行和安全的Active Directory环境。
使用PowerShell降级域控制器
PowerShell为降级域控制器提供了一种高效的替代方案,通过几个命令简化流程:
这种方法取代了需要浏览多个屏幕的需求,使域控制器的降级更加简洁和基于脚本。
手动移除无法访问的域控制器
我们也可以手动移除DC。仅建议在我们无法访问服务器时使用此步骤。
- 在活动域控制器上启动Active Directory和服务。
- 访问域控制器OU。
- 删除旧域控制器,并点击确认是。
4. 选择无论如何删除此域控制器。
5. 点击删除,再次确认操作,点击是。
最后一步是从活动目录站点和服务中删除服务器:
- 从开始菜单中打开活动目录站点和服务(ADDS)。
- 展开站点 > 默认第一个站点名称 > 服务器。
- 右键单击旧域控制器,选择删除。
无法访问的带有 DNS 角色的 DC
如果旧域控制器具有 DNS 角色,则需要额外的步骤:
- 在活动域控制器上打开DNS 管理器。
- 展开正向查找区。
- 右键单击域,选择属性。
- 打开名称服务器选项卡。
- 从名称服务器中删除旧服务器。
此外,从域DNS区和任何子文件夹中删除名称服务器(NS)记录。
- 在活动域控制器上启动DNS管理器。
- 在DNS管理器中,展开正向查找区部分。
- 识别并右键单击要从NS记录中删除的域。
- 从上下文菜单中选择属性。
- 在区域属性中,转到名称服务器选项卡。
- 选择对应于旧服务器的NS记录。
- 单击删除或使用键盘上的删除键。
- 在提示时确认删除NS记录。
- 如果域内有子文件夹或子区域,请针对每个相关子文件夹重复步骤3至7。
- 审查您的更改并保存更新后的DNS配置。
尽管已关闭,但从我们的环境中移除DC被视为基础设施管理中的最佳实践。如果未移除DC,则域仍将认为服务器是网络的一部分,可能导致意外的域问题。按照上述步骤,我们有效地移除DC,即使它无法访问或已关闭。
我们需要退役域控制器的原因
降级域控制器是网络管理中的战略举措,受各种围绕优化和简化Active Directory环境的因素驱动。以下是降级的主要原因:
- 硬件升级/更换:
- 通过退役或更换老化硬件,确保网络保持强大和最新。
- 组织变化:
- 适应像合并或裁员这样的结构性变化,需要调整域控制器配置以与不断发展的业务格局保持一致。
- 资源优化:
- 有效管理网络资源的分配,以提高性能。
- 增强安全姿态:
- 实施变更以加强安全措施,解决漏洞,并确保对潜在威胁的弹性防御。
- 动态 IT 生态系统:
- 在网络基础设施中保持敏捷性,以适应动态 IT 环境的不断变化需求。
管理员通过降级域控制器来积极应对这些考虑因素,促进更具弹性、适应性和安全性的Active Directory环境。
就是这样。感谢您阅读《从Active Directory中删除(降级)域控制器(指南)》。
从Active Directory中删除(降级)域控制器(指南)结论
在总结这篇关于从Active Directory中删除或降级域控制器的详细指南时,明显地看出,仔细的规划和执行对于保持健康的网络基础设施至关重要。遵循所概述的步骤,管理员可以无缝地进行降级过程,确保对Active Directory环境的最小干扰。本文自信地使IT专业人员能够监督其网络架构的转变。
Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/