Понижение роли контроллера домена 2008 r2

Понижение роли контроллера домена 2008 r2

У меня есть несколько контроллеров домена, один из них мне надо понизить до роли рядового сервера, как это сделать?

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

  • если контроллер домена — единственный и уничтожается вся доменная структура;
  • если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер — последний контроллер домена в данном домене

(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.

Применимо к:Windows Server 2012

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.

Процесс удаления доменных служб Active Directory

Понижение и удаление роли с помощью Windows PowerShell

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.

Командлеты ADDSDeployment и ServerManager

Аргументы (аргументы, выделенные жирным шрифтом , являются обязательными. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory).

-Credential

-Name

-IncludeManagementTools

Внимание

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы "Администраторы предприятия" (при понижении роли последнего контроллера домена в домене) или группы "Администраторы домена" (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.

В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты

На панели навигации выберите пункт AD DS или Все серверы. Перейдите вниз к разделу Роли и компоненты. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. В этом интерфейсе пропускается страница Выбор сервера.

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль доменных служб Active Directory, пока не будет понижена роль контроллера домена.

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. В противном случае двоичные файлы удаляются так же, как в случае с любой другой ролью.

Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.

Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.

Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:

Модуль Active Directory для Windows PowerShell

Средства AD DS и AD LDS

Центр администрирования Active Directory

Оснастки и программы командной строки AD DS

Консоль управления групповыми политиками

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:

Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:

Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Выбрав Принудительное удаление контроллера домена, можно понизить уровень контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

Примечание
Читайте также:  Что делать если забыл пароль от лаунчера

Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.

При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.

Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена. Чтобы продолжить, необходимо установить флажок Продолжить удаление.

Предупреждение

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные. На ней можно настроить дополнительные параметры удаления. Чтобы активировать кнопку Далее, выберите параметры Игнорировать последний DNS-сервер в зоне, Удалить разделы приложений и Удалить делегирование DNS.

Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.

Эквивалентные аргументы командлета ADDSDeployment:

После того как уровень был понижен и компьютер стал рядовым сервером домена или компьютером рабочей группы, на странице Новый пароль администратора нужно ввести пароль для встроенной учетной записи администратора локального компьютера.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент LocalAdministratorPassword действует особым образом.

Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host , чтобы запрашивать у пользователя ввод защищенной строки.

Предупреждение
Читайте также:  Отложенный старт на стиральной машине бош

Поскольку в предыдущих вариантах пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. Например:

Предупреждение

Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку "Просмотреть сценарий" создается сценарий понижения роли Windows PowerShell.

Нажмите кнопку Понизить уровень, чтобы выполнить следующий командлет ADDSDeployment:

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController . Это позволит просмотреть явные и неявные значения аргументов командлета.

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false .

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

Так как командлеты Uninstall-AddsDomainController и Uninstall-WindowsFeature выполняют по одному действию каждый, они показаны здесь на этапе подтверждения с минимальным необходимым набором аргументов. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false .

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:

Среда Windows PowerShell блокирует попытки удалить роль доменных служб Active Directory перед понижением роли сервера и выводит сообщение о внутренней ошибке:

Предупреждение
Читайте также:  Как усилить сигнал радио на музыкальном центре

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Итак, у меня два контроллера домена под Win 2003 (ALPHA и BETHA). Необходимо поэтапно заменить их на контроллеры с Win 2008.
1. Третий сервер под Win Srv 2008 R2 Ent делаем третьим контроллером домена: если проблем с AD не было, то с этим шагом проблем быть тоже не должно, сервак сам напишет все команды, которые надо ввести в консоли хозяина схемы домена, чтобы модернизировать лес, после этого встанет как родной.
2. Понизим роль контроллера ALPHA до роли простого сервера предварительно лишив его максимального количества ролей (крайне не рекомендуется понижать роль контроллера без этих шагов):
2.1. Лишаем контроллер ALPHA роли глобального каталога и переносим (если необходимо) эту роль на новый DC1: Оснастка "Active Directory — сайты и службы" в ней раскрываем Sites -> Default-First-Site-Name -> Servers, находим сервер DC1 и в свойствах NTDS Settings ставим галку "Глобальный каталог" (если она еще не стоит), далее в соответствующих свойствах ALPHA такую же галку снимаем.
2.2. Переназначаем роль хозяина схемы: Оснастка "Схема Active Directory" (если ее нет в Администрировании, то вытаскивайте через mmc /a, там она точно есть). ПКМ на "Схема Active Directory", строка "Хозяин операций", вводим в диалоге имя нового хозяина, т.е. DC1.
2.3. Переназначаем роль "Хозяин именования домена": Оснастка "Active Directory — домены и доверие", ПКМ на "Active Directory — домены и доверие", строка "Подключение к контроллеру домена" (или "Сменить контроллер Active Directory", если под 2008-й), вводим в диалоге имя нового хозяина именования домена, т.е. опять DC1, далее там же выбираем строку "Хозяин операций", проверяем имена на замену, если все верно — жмем "Изменить".
2.4. Переназначаем роль хозяина RID и роль эмулятора PDC: Оснастка "Active Directory — пользователи и компьютеры", ПКМ на "Active Directory — пользователи и компьютеры", строка "Подключение к контроллеру домена" (или "Сменить контроллер Active Directory", если под 2008-й) и выбираем DC1, опять ПКМ там же, строка "Все задачи", далее "Хозяева операций", вкладки RID и PDC. Проверяем правильность замены, если все нормально, жмем "Изменить".
2.5. Переназначения роли хозяина инфраструктуры проходит также как в п.2.4. с одним замечанием. Если хотя бы один контроллер в домене не выполняет роль глобального каталога, то именно он должен выполнять роль хозяина инфрастуктуры. Если глобальный каталог обслуживают все контроллеры, то роль хозяина инфраструктуры может нести любой. У меня, в связи с миграцией, сервер BETHA роль глобального каталога не несет, поэтому его и назначаю хозяином инфраструктуры.
3. На понижаемом контроллере запускаем dcpromo и, собственно, понижаем его роль.
4. После перезагрузки пониженного в правах сервера также не забываем удалить с него роль сервера DNS (и при необходимости почистить оставшиеся сервера от NS записей этого сервера), если таковая была и уже больше именно на нем не нужна.
5. Для понижения роли контроллера BETHA используем те же шаги.
6. Если лезут ошибки — курим доки MS.

Важно
Ссылка на основную публикацию
Планшет без симки как подключить симку
Большинство людей предпочитают планшеты с встроенным 2G/3G модулем — чтобы в устройство можно было вставить SIM карту, совершать и принимать...
Паропроизводительность т ч перевести в гкал
Комментарии темп-ра 100 110 120 130 140 150 С энергия 0,322 0,440 0,590 0,777 1,007 1,287 Мкал масса 0,597 0,825...
Передать форму с клиента на сервер 1с
В общем случае клиент и сервер 1С — это разные компьютеры с различной файловой системой. Рассмотрим как правильно передать файл...
Плита ардо как снять ручки
Каждая хозяйка понимает, что периодически необходимо проводить уборку и очищать от загрязнений даже самые затруднительные для этого места. Однако не...
Adblock detector