從 Active Directory 中移除 (降級) 域控制器(指南)。當我們安裝新的域控制器(DC)後,就會出現需要消除或更精確地說是降級現有域控制器的情況。我們必須做的不僅僅是關閉舊的或未使用的 DC,還必須將它們從域中妥善停用並斷開連接。本文將解釋兩種降級域控制器的方法。
從 Active Directory 中移除 (降級) 域控制器(指南)
偶爾,對前域控制器的訪問可能不再可用。本文所述步驟的範圍涵蓋了從 Windows Server 2008R2 到最新的所有 Windows Server 版本。本文尤其有助於我們仍然運行著已達到生命周期終結的操作系統的 DC。
準備域
在開始域控制器降級流程之前,請檢查以下方面,以確保平滑過渡並防止潛在的問題。請確保創建一個包含以下項目的預檢查清單:
- 檢查複寫 – 確保舊和新域控制器之間的複寫運行無誤。 使用以下命令檢查是否存在任何複寫錯誤。
我們可以在降級域控制器時自動轉移靈活單主操作(FSMO)角色。使用下面的命令檢查FSMO角色的運行位置。
降級活動域控制器
如果我們仍然可以訪問域控制器,我們可以輕鬆使用Server Manager移除域控制器。在繼續之前,請確保我們已檢查了上述要點。
- 通過訪問開始功能表並導航到管理 > 移除角色和功能來啟動Server Manager。
-
- a. Open the Server Manager from the Start Menu.
- b. Click on Manage > Remove Roles and Features.
2. 在伺服器選擇中選擇舊的域控制器。
3. 取消勾選 Active Directory 域服務角色。在隨後彈出的視窗中,點擊 移除功能。
4. 啟動域控制器的降級過程,承認安裝精靈驗證失敗時的預期錯誤。點擊 降級此域控制器。
5. 在隨後的畫面中驗證並,如果需要,修改憑證。通常應以域管理員權限執行這些步驟。除非它是網絡中的最後一個域控制器,否則保持 強制移除此域控制器 選項未勾選。
6. 繼續執行移除,確保客戶端被指示到 新的 DNS 伺服器,特別是如果 Active Directory 站點和服務 (ADDS) 和 DNS 服務在該伺服器上。選擇 繼續移除,並點擊 下一步。
7. 在提供的移除選項中選擇移除 DNS,確保選中了 移除 DNS 委派,然後點擊 下一步。
8. 設置新的管理員 密碼;這是域移除後的本地管理員帳戶密碼。
9. 檢查配置的設置,然後點擊降級以啟動移除 DC 的過程。伺服器將重新啟動以完成此過程。
注意:有一個查看腳本按鈕,可生成一個PowerShell 腳本來自動執行我們剛剛進行的所有步驟。如果有其他需要移除的域控制器,請使用此腳本。
10. 伺服器重新啟動後,最後一個步驟涉及從 Active Directory Sites and Services 中刪除伺服器。
- 從開始菜單中打開Active Directory Sites and Services(ADDS)。
- 展開 Sites > Default-First-Site-Name > Servers
- 右鍵單擊舊的 DC,然後選擇刪除。
上述截圖是我們從現代Windows Server版本(Build 9600 及以上)中看到的截圖。然而,這仍然遵循與 Windows Server 2008 相同的流程。因此,如果我們仍在使用舊版伺服器,則不會出現問題。
嘗試我們的 Active Directory 和 Office 365 報告與審計工具
試用我們免費。提供數百種報告模板。輕鬆自定義您的AD、Azure AD和Office 365報告。
驗證域控制器的移除
確保徹底驗證域控制器的移除是降級過程中的關鍵步驟,驗證操作成功並維護Active Directory的完整性。按照以下步驟有效驗證移除:
- Active Directory使用者和電腦:
- 前往“域控制器”組織單元,確認已降級控制器不存在。
- DNS記錄:
- 檢查DNS記錄,確保我們刪除了所有對已降級控制器的引用,避免潛在的連接問題。
- ADSIEdit.msc:
- 使用ADSIEdit.msc檢查 Active Directory 數據庫,並驗證已不再存在與已調降控制器相關的條目。
- 網站與服務:
- 檢查 Active Directory 網站與服務,確認我們的域已從相應的站點中刪除了已調降控制器。
- 複製監控:
- 監控複製狀態,以確保降級過程已成功在域控制器間傳播。
通過遵循這些驗證步驟,管理員可以自信地確認域控制器的完全移除,保持良好運作和安全的Active Directory環境。
使用PowerShell降級域控制器
PowerShell提供了一個有效的替代方案,通過幾個命令來簡化域控制器的降級流程:
這種方法取代了導航多個屏幕的需要,可以更為簡潔和基於腳本的域控制器降級。
手動移除無法訪問的域控制器
我們還可以手動移除DC。此步驟僅建議在我們無法再訪問該服務器時使用。
- 在活動域控制器上啟動Active Directory和服務。
- 訪問域控制器OU。
- 刪除舊的域控制器,並通過點擊是確認。
4. 選擇無論如何刪除此域控制器。
5. 點擊刪除,然後再次通過點擊是確認操作。
最後一步涉及從Active Directory Sites and Services中刪除伺服器:
- 從開始選單中打開Active Directory Sites and Services(ADDS)。
- 展開網站 > Default-First-Site-Name > 伺服器。
- 右鍵點擊舊的域控制器,然後選擇刪除。
帶有DNS角色的無法訪問的DC
如果舊的域控制器擁有DNS角色,則需要額外的步驟:
- 在活動域控制器上打開DNS Manager。
- 展開正向查找區。
- 右鍵點擊域並選擇內容。
- 打開名稱伺服器選項卡。
- 從名稱伺服器中刪除舊伺服器。
同時從域名DNS區域和任何子文件夾中刪除名稱伺服器(NS)記錄。
- 在活動域控制器上啟動DNS管理器。
- 在DNS管理器中,展開正向查找區域部分。
- 識別並右鍵單擊要從NS記錄中刪除的域。
- 從上下文菜單中選擇屬性。
- 在區域屬性中,導航到名稱伺服器選項卡。
- 選擇與舊伺服器對應的NS記錄。
- 單擊刪除或使用鍵盤上的刪除鍵。
- 在提示時確認刪除NS記錄。
- 如果域中有子文件夾或子區域,請對每個相關子文件夾重複步驟3到7。
- 檢閱您的更改並保存更新的 DNS 配置。
儘管已關機,從我們的環境中移除 DC 被認為是基礎設施管理中的最佳實踐。如果未移除 DC,域仍將認為該伺服器是網絡的一部分,可能導致意外的域問題。按照上述步驟,我們有效地移除 DC,即使它無法訪問或已關機。
我們需要退役域控制器的原因
降級域控制器是網絡管理中的一個戰略舉措,受各種因素驅使,圍繞優化和精簡 Active Directory 環境。以下是降級的主要原因:
- 硬件升級/更換:
- 通過退役或更換老化硬件,確保網絡保持強大和最新。
- 組織變化:
- 適應像合併或縮減這樣的結構變化,需要調整域控制器配置,以配合不斷變化的業務環境。
- 資源優化:
- 有效管理網絡上資源的分配,以提高性能。
- 增強安全姿態:
- 實施改變以加強安全措施,解決漏洞並確保對潛在威脅的堅韌防禦。
- 動態IT生態系統:
- 在網絡基礎設施中保持靈活性,以滿足動態IT環境不斷變化的需求。
管理員通過降低域控制器的地位,促進更具彈性、適應性和安全性的Active Directory環境,積極應對這些考慮因素。
就是這樣。謝謝您閱讀移除(降級)Active Directory中的域控制器(指南)。
移除(降級)Active Directory中的域控制器(指南)結論
在總結本詳細指南關於從Active Directory中移除或降低域控制器的過程時,顯而易見的是,仔細的規劃和執行對於維持健康的網絡基礎設施至關重要。遵循所述步驟,管理員能夠無縫地處理降級過程,確保對Active Directory環境的干擾最小化。本文自信地使IT專業人員能夠監督其網絡架構的轉型。
Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/