Abbassamento di livello di controller di dominio e domini
Questo articolo illustra come rimuovere Dominio di Active Directory Services (AD DS) usando Server Manager o Windows PowerShell.
Flusso di lavoro della rimozione di Active Directory Domain Services
Attenzione
La rimozione dei ruoli di Servizi di dominio Active Directory con Dism.exe o il modulo GESTIONE di Windows PowerShell dopo l'innalzamento di livello a un controller di dominio (DC) non è supportata e impedisce l'avvio normale del server.
Diversamente da Server Manager o dal modulo di distribuzione di Servizi di dominio Active Directory per Windows PowerShell, Gestione e manutenzione immagini distribuzione è un sistema di manutenzione nativo senza informazioni inerenti a Servizi di dominio Active Directory o alla sua configurazione. Non è consigliabile usare Dism.exe o il modulo DiSM di Windows PowerShell per disinstallare il ruolo Servizi di dominio Active Directory, a meno che il server non sia più un controller di dominio.
Abbassamento di livello e rimozione del ruolo con PowerShell
Cmdlet ADDSDeployment e ServerManager | Argomenti. Gli argomenti ingrassetto sono obbligatori. Gli argomenti incorsivo possono essere specificati usando Windows PowerShell o la Configurazione guidata Servizi di dominio Active Directory. |
---|---|
Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Per altre informazioni su come abbassare di livello il controller di dominio con PowerShell, vedere i riferimenti a Uninstall-ADDSDomainController e Uninstall-WindowsFeature di PowerShell.
Quando si usa Uninstall-ADDSDomainController
e Uninstall-WindowsFeature
, questi comandi richiedono solo gli argomenti minimi in quanto eseguono una singola azione. Premendo INVIO durante la fase di conferma, il processo di abbassamento di livello irrevocabile viene avviato e riavviato il dispositivo.
Nota
L'argomento Credential è obbligatorio solo se non è già stato eseguito l'accesso come membro del gruppo Enterprise Admins o del gruppo Domain Admins. L'argomento IncludeManagementTools è obbligatorio solo se si desidera rimuovere tutte le utilità di gestione di Active Directory Domain Services.
Abbassa di livello
Rimuovere ruoli e funzionalità
Esistono due metodi che è possibile usare per rimuovere il ruolo Servizi di dominio Active Directory:
Il menu Gestisci nel dashboard principale, con Rimuovi ruoli e funzionalità
Selezionare Active Directory Domain Services o Tutti i server nel riquadro di spostamento. Scorrere verso il basso fino alla sezione Ruoli e funzionalità. Fare clic con il pulsante destro del mouse su Active Directory Domain Services nell'elenco Ruoli e funzionalità e scegliere Rimuovi ruolo o funzionalità. Questa interfaccia salta la pagina Selezione dei server.
I cmdlet Uninstall-WindowsFeature e Remove-WindowsFeature di Server Manager impediscono di rimuovere il ruolo Active Directory Domain Services finché non si abbassa di livello il controller di dominio.
Selezione del server
La finestra di dialogo Selezione dei server consente di scegliere uno dei server aggiunti in precedenza al pool, purché sia accessibile. Il server locale che esegue Server Manager è sempre automaticamente disponibile.
Ruoli del server e funzionalità
Deselezionare la casella di controllo Active Directory Domain Services per abbassare di livello un controller di dominio. Se il server è attualmente un controller di dominio, il ruolo Active Directory Domain Services non viene rimosso, ma si passa alla finestra di dialogo Risultati convalida con l'opzione per l'abbassamento di livello. In caso contrario, vengono rimossi i file binari come qualsiasi altra funzionalità del ruolo.
Non rimuovere altri ruoli o funzionalità relative ad Active Directory Domain Services, ad esempio DNS, Console Gestione Criteri di gruppo o strumenti di Strumenti di amministrazione remota del server se si intende innalzare di nuovo di livello il controller di dominio immediatamente. Se si rimuovono altri ruoli e funzionalità, il nuovo innalzamento di livello richiede più tempo, perché Server Manager reinstalla queste funzionalità quando si reinstalla il ruolo.
Se si intende abbassare definitivamente di livello il controller di dominio, rimuovere i ruoli e le funzionalità di Servizi di dominio Active Directory non necessari a propria discrezione. Sarà necessario deselezionare le caselle di controllo relative a tali ruoli e funzionalità.
L'elenco completo di ruoli e funzionalità di Servizi di dominio Active Directory include:
- Funzionalità Modulo Active Directory per Windows PowerShell
- Funzionalità Strumenti per Servizi di dominio Active Directory e AD LDS
- Funzionalità Centro di amministrazione di Active Directory
- Funzionalità Snap-in e strumenti da riga di comando di Servizi di dominio Active Directory
- Server DNS.
- Console Gestione Criteri di gruppo
I cmdlet ADDSDeployment e ServerManager di Windows PowerShell equivalenti sono:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Credenziali
Nella pagina Credenziali è possibile configurare le opzioni di abbassamento di livello. Fornire le credenziali necessarie per eseguire l'abbassamento di livello attenendosi all'elenco seguente:
L'abbassamento di livello di un controller di dominio aggiuntivo richiede le credenziali Domain Admin. Selezionando Rimozione forzata controller di dominio il controller di dominio viene abbassato di livello senza che vengano rimossi i metadati dell'oggetto controller di dominio da Active Directory.
Avviso
Non selezionare questa opzione se il controller di dominio non riesce a contattare altri controller di dominio e non vi è alcuna soluzione ragionevole per risolvere il problema di rete. L'abbassamento di livello forzato lascia orfani i metadati di Active Directory nei restanti controller di dominio della foresta. Inoltre tutte le modifiche non replicate nel rispettivo controller di dominio, come password o nuovi account utente, andranno perse. I metadati orfani sono la causa principale di una elevata percentuale di casi riportati al supporto tecnico Microsoft riguardanti i Servizi di dominio Active Directory, Exchange, SQL e altre applicazioni software.
Quando si esegue l'abbassamento di livello forzato di un controller di dominio, è necessario effettuare immediatamente la pulizia dei metadati. Per informazioni sulla procedura, vedere la pagina relativa alla pulizia dei metadati del server.
Per abbassare il livello dell'ultimo controller di dominio in un dominio è necessario appartenere al gruppo Enterprise Admins, in quanto viene rimosso il dominio stesso (se è l'ultimo dominio nella foresta, viene rimossa anche la foresta). Server Manager segnala che il controller di dominio corrente è l'ultimo controller nel dominio. Selezionare la casella di controllo Ultimo controller di dominio del dominio per confermare che il controller è l'ultimo controller di dominio nel dominio.
Gli argomenti ADDSDeployment di Windows PowerShell equivalenti sono:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Avvisi
La pagina Avvisi avverte delle possibili conseguenze della rimozione di questo controller di dominio. Per continuare, è necessario selezionare Procedi alla rimozione.
Avviso
Se in precedenza è stato selezionato Rimozione forzata controller di dominio nella pagina Credenziali, la pagina Avvisi mostra tutti i ruoli Flexible Single Master Operations ospitati da questo controller di dominio. È necessariorequisire i ruoli da un altro controller di dominioimmediatamentedopo aver abbassato di livello questo server. Per altre informazioni sulla riassegnazione dei ruoli FSMO, vedere Riassegnare il ruolo Master operazioni.
Questa pagina non ha un argomento ADDSDeployment di Windows PowerShell equivalente.
Opzioni di rimozione
La pagina Opzioni di rimozione viene visualizzata se in precedenza è stato selezionato Ultimo controller di dominio del dominio nella pagina Credenziali. Questa pagina consente di configurare altre opzioni di rimozione. Selezionare Ignora ultimo server DNS per la zona, Rimuovi partizioni applicative e Rimuovi la delega DNS per abilitare il pulsante Avanti.
Le opzioni vengono visualizzate solo se applicabili a questo controller di dominio. Se, ad esempio, non esistono deleghe DNS per questo server, la casella di controllo non verrà visualizzata.
Fare clic su Cambia per specificare credenziali amministrative DNS alternative. Selezionare Visualizza partizioni per visualizzare altre partizioni rimosse dalla procedura guidata durante l'abbassamento di livello. Per impostazione predefinita, le sole partizioni aggiuntive sono quelle del DNS dominio e delle zone DNS della foresta. Tutte le altre sono partizioni non Windows.
Gli argomenti del cmdlet di ADDSDeployment equivalenti sono:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Nuova password amministratore
Il Nuova Password amministratore pagina è necessario fornire una password per account di amministratore del computer locale predefinito, una volta completata l'abbassamento di livello e il computer diventa un server membro del dominio o gruppo di lavoro.
Il cmdlet e gli argomenti Uninstall-ADDSDomainController, se non specificati, seguono le stesse impostazioni predefinite di Server Manager.
L'argomento LocalAdministratorPassword è particolare:
- Se non viene specificato come argomento, il cmdlet richiede di inserire e confermare una password nascosta. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
- Se viene indicato con un valore, tale valore deve essere una stringa sicura. Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
Ad esempio, è possibile richiedere manualmente una password usando il cmdlet Read-Host per richiedere all'utente una stringa sicura.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Avviso
Poiché le due opzioni precedenti non chiedono conferma della password, usare estrema cautela in quanto la password non è visibile.
È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato. Ad esempio:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Avviso
È sconsigliabile inserire o archiviare una password di testo in chiaro. In questo modo, la password di amministratore locale per il computer diverrebbe nota a chiunque esegua questo comando in uno script o riesca a leggerla dallo schermo dell'utente. Conoscendola, chiunque avrebbe accesso a tutti i dati e potrebbe rappresentare il server stesso.
Conferma
La pagina Conferma mostra l'abbassamento di livello pianificato, ma non le opzioni di configurazione dell'abbassamento di livello. È l'ultima pagina visualizzata dalla procedura guidata prima dell'inizio dell'abbassamento di livello. Usare il pulsante Visualizza script per creare uno script di abbassamento di livello di Windows PowerShell.
Fare clic su Abbassa di livello per eseguire il cmdlet di distribuzione di Active Directory Domain Services seguente:
Uninstall-ADDSDomainController
Usare l'argomento facoltativo Whatif con il cmdlet Uninstall-ADDSDomainController e il cmdlet per rivedere le informazioni sulla configurazione. In questo modo è possibile visualizzare i valori espliciti e impliciti degli argomenti di un cmdlet.
Ad esempio:
Il prompt per riavviare è l'ultima opportunità per annullare questa operazione quando si usa ADDSDeployment per Windows PowerShell. Per sostituire il prompt, usare gli argomenti -force o confirm:$false.
Abbasamento di livello
Quando la pagina Abbassamento di livello viene visualizzata, la configurazione del controller di dominio inizia e non può essere interrotta o annullata. I dettagli delle operazioni vengono visualizzati in questa pagina e scritti nei log:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Per accettare automaticamente il prompt di riavvio, usare gli argomenti -force o -confirm:$false con un cmdlet ADDSDeployment di Windows PowerShell. Per evitare il riavvio automatico del server al termine dell'innalzamento di livello, usare l'argomento -norebootoncompletion:$false.
Avviso
Si sconsiglia di eseguire l'override del riavvio. Il server membro deve essere riavviato per funzionare correttamente.
Ecco un esempio di abbassamento forzato di livello con il numero minimo di argomenti obbligatori -forceremoval e -demoteoperationmasterrole. L'argomento -credential non è obbligatorio perché l'utente ha eseguito l'accesso come membro del gruppo Enterprise Admins:
Il seguente è un esempio di rimozione dell'ultimo controller di dominio nel dominio con il numero minimo di argomenti obbligatori -lastdomaincontrollerindomain e -removeapplicationpartitions:
Se si tenta di rimuovere il ruolo Active Directory Domain Services prima di abbassare il livello del server, Windows PowerShell blocca l'operazione con un errore:
Importante
È necessario riavviare il computer dopo aver abbassato il livello del server prima di poter rimuovere i file binari del ruolo AD-Domain-Services.
Risultati
La pagina Risultati mostra l'esito positivo o negativo dell'innalzamento di livello e le informazioni amministrative importanti. Il controller di dominio verrà automaticamente riavviato dopo 10 secondi.