В данной статье рассмотрим пошаговую процедуру корректного удаления контроллера домена Active Directory на серверах под управлением Windows Server 2022, 2019, 2016 и 2012R2. Удаление контроллера домена может понадобиться в различных ситуациях, например, при плановом понижении или в случае отказа оборудования. Мы рассмотрим оба варианта: понижение контроллера домена с удалением роли ADDS и принудительное удаление неисправного контроллера.
Приобрести Windows Server можно у нас в магазине от 1090 ₽.
Скачать оригинальные дистрибутивы Windows Server можно в нашем каталоге.
Понижение контроллера домена с удалением роли Active Directory Domain Services (ADDS)
Если планируется удаление одного из существующих контроллеров домена, важно выполнить ряд подготовительных действий перед понижением контроллера домена и удалением роли ADDS. В современных версиях Windows Server устаревшая команда dcpromo больше не используется для удаления контроллера домена.
Подготовительные шаги
1. Проверьте состояние контроллера домена, Active Directory и репликации. Для диагностики используйте команды:
dcdiag.exe /s:dc01 /q
2. Убедитесь, что на контроллере не запущены роли FSMO:
netdom query fsmo
Если необходимо, перенесите роли FSMO на другой контроллер домена.
3. Проверьте, что на контроллере домена не запущена роль DHCP сервера. Если она активна, мигрируйте DHCP на другой сервер.
4. Измените настройки DNS в DHCP-областях, чтобы клиенты могли получать IP-адреса и новые настройки DNS от других серверов.
Используйте следующую команду PowerShell для вывода списка DNS серверов:
Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru | Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
5. Если клиенты вручную настроены на использование DNS-сервера на удаляемом DC, перенастройте эти устройства на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам.
6. Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
7. Если на контроллере домена запущены дополнительные службы (KMS, RADIUS/NPS, WSUS и т.д.), определите, нужно ли переносить их на другие серверы.
8. Проверьте наличие зависимости с помощью командлета PowerShell:
Test-ADDSDomainControllerUninstallation
Если командлет вернет статус Sucсess, можете продолжить процесс удаления.
Понижение контроллера домена через Server Manager
1. Откройте Server Manager -> Remove Roles and Features.
2. Снимите флажок Active Directory Domain Services в разделе Server Roles.
3. Нажмите Demote this domain controller, чтобы открыть Active Directory Domain Services Configuration Wizard.
4. Выберите опцию Proceed with removal.
5. Укажите пароль локального администратора сервера.
6. Нажмите Demote и дождитесь завершения процесса понижения контроллера домена.
7. Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller.
8. Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.
После понижения контроллера домена автоматически будут удалены следующие компоненты:
— Модуль Active Directory Module for Windows PowerShell
— Функции AD DS и AD LDS Tools
— Active Directory Administrative Center
— AD DS Snap-ins and Command-line Tools
— DNS Server
— Group Policy Management Console (gpmc.msc)
Удаление контроллера домена через PowerShell
Понизить контроллер домена можно с помощью командлета PowerShell:
Uninstall-ADDSDomainController
После понижения сервера до рядового нужно удалить роль ADDS:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Затем откройте консоль Active Directory Sites and Services (dssite.msc), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните запись DC, нажмите правой кнопкой мыши на NTDS Settings и выберите Delete.
Подтвердите удаление контроллера, отметив опцию Delete This Domain controller anyway.
Затем удалите учетную запись сервера.
Дождитесь завершения репликации в Active Directory и проверьте состояние домена с помощью dcdiag и repadmin.
Принудительное удаление неисправного контроллера домена
Если контроллер домена вышел из строя и его восстановление не планируется, его необходимо удалить вручную.
Важно: Удаленный контроллер домена нельзя повторно включать в сеть после удаления.
Для удаления контроллера домена в предыдущих версиях Windows Server использовалась утилита ntdsutil. В Windows Server 2022/2019/2016/2012 можно использовать графические оснастки для очистки метаданных и удаления DC.
1. Откройте консоль Active Directory Users and Computers (dsa.msc).
2. Перейдите в контейнер Domain Controllers и удалите учетную запись контроллера домена.
3. Включите опцию Delete this Domain Controller anyway и нажмите Delete.
4. Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.
5. Последний шаг — очистка записей о контроллере домена в DNS. Откройте консоль DNS Manager (dnsmgmt.msc).
6. Удалите сервер из списка Name Servers в настройках зоны.
Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах:
— _msdcs
— _sites
— _tcp
— _udp
— PTR записи в обратной зоне.
Для поиска и удаления записей можно использовать PowerShell.
В статье описана пошаговая инструкция по удалению контроллера домена Active Directory. Мы рассмотрели как корректное понижение и удаление роли ADDS с работающего контроллера, так и принудительное удаление неисправного DC. Следование этим рекомендациям поможет избежать проблем в работе домена после удаления контроллера.
