Как понизить контроллер домена и удалить роль AD DS

Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.

Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитываем 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Проверка состояния AD

На любом из контроллеров домена вводим команду:

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

. и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Кликаем по Понизить уровень:

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:

Среди серверов выбираем тот, на котором будем удалять роль:

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Галочка для доменных служб будет снята:

. кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

Роль контроллера будет удалена. Перезагружаем сервер:

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

• Если есть резервная копия, восстанавливаемся из нее.
• Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
• Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

Как понизить контроллер домена windows 2012

Добрый день уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз когда мы с вами разговаривали на тему Active Directory, то мы с вами производили установку контроллера домена, сегодня ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

• Пишем команду ntdsutil
• Далее нам необходимо зайти в режим metadata cleanup
• Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
• Далее вводим connect to server и имя сервера, видим успешное подключение
• Выходим из данного меню, введите q и нажмите enter.
• Далее введите select operation target
• Посмотрим список доменов командой List domain
• Выберем нужный домен, select domain
• Теперь поищем какие сайты у нас есть, делается это командой list sites
• Выбираем нужный select site и номер
• Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
• select server и номер
• Выходим из режима select operation target, введите q
• Ну и собственно команда на удаление remove selected server

У вас появится предупреждение, что «Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.»

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Все теперь можно удалять, когда все связи устранены.

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи «Сервер имен (NS)»,

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.

Понижение роли контроллеров домена и доменов Demoting Domain Controllers and Domains

Область применения. Windows Server Applies To: Windows Server

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell. This topic explains how to remove AD DS, using Server Manager or Windows PowerShell.

Рабочий процесс удаления AD DS AD DS removal workflow

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально. Removing the AD DS roles with Dism.exe or the Windows PowerShell DISM module after promotion to a Domain Controller is not supported and will prevent the server from booting normally.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Unlike Server Manager or the ADDSDeployment module for Windows PowerShell, DISM is a native servicing system that has no inherent knowledge of AD DS or its configuration. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена. Do not use Dism.exe or the Windows PowerShell DISM module to uninstall the AD DS role unless the server is no longer a domain controller.

Понижение роли и удаление ролей с помощью PowerShell Demotion and role removal with PowerShell

Командлеты ADDSDeployment и ServerManager ADDSDeployment and ServerManager Cmdlets	Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Uninstall-ADDSDomainController Uninstall-ADDSDomainController	-SkipPreChecks -SkipPreChecks

*-Credential

-RetainDCMetadata -RetainDCMetadata Uninstall-WindowsFeature/Remove-WindowsFeature Uninstall-WindowsFeature/Remove-WindowsFeature *-Имя

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы «Администраторы предприятия» (при понижении роли последнего контроллера домена в домене) или группы «Администраторы домена» (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory. The -credential argument is only required if you are not already logged on as a member of the Enterprise Admins group (demoting last DC in a domain) or the Domain Admins group (demoting a replica DC).The -includemanagementtools argument is only required if you want to remove all of the AD DS management utilities.

Понижение Demote

Удалить роли и компоненты Remove Roles and Features

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory. Server Manager offers two interfaces to removing the Active Directory Domain Services role:

В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты The Manage menu on the main dashboard, using Remove Roles and Features

На панели навигации выберите пункт AD DS или Все серверы. Click AD DS or All Servers on the navigation pane. Перейдите вниз к разделу Роли и компоненты. Scroll down to the Roles and Features section. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. Right-click Active Directory Domain Services in the Roles and Features list and click Remove Role or Feature. В этом интерфейсе пропускается страница Выбор сервера. This interface skips the Server Selection page.

Командлеты ServerManager uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль AD DS, пока контроллер домена не будет понижен. The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature will prevent you from removing the AD DS role until you demote the domain controller.

Выбор сервера Server Selection

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда. The local server running Server Manager is always automatically available.

«Роли сервера» и «Компоненты» Server Roles and Features

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. Clear the Active Directory Domain Services check box to demote a domain controller; if the server is currently a domain controller, this does not remove the AD DS role and instead switches to a Validation Results dialog with the offer to demote. В противном случае он удаляет двоичные файлы, как и любые другие функции ролей. Otherwise, it removes the binaries like any other role feature.

Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Do not remove any other AD DS-related roles or features — such as DNS, GPMC, or the RSAT tools — if you intend to promote the domain controller again immediately. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли. Removing additional roles and feature increases the time to re-promote, as Server Manager reinstalls these features when you reinstall the role.

Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Remove unneeded AD DS roles and features at your own discretion if you intend to demote the domain controller permanently. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам. This requires clearing the check boxes for those roles and features.

Вот полный список ролей и компонентов, связанных с доменными службами Active Directory: The full list of AD DS-related roles and features include:

• Модуль Active Directory для Windows PowerShell Active Directory Module for Windows PowerShell feature
• Средства AD DS и AD LDS AD DS and AD LDS Tools feature
• Центр администрирования Active Directory Active Directory Administrative Center feature
• Оснастки и программы командной строки AD DS AD DS Snap-ins and Command-line Tools feature
• DNS-сервер DNS Server
• Консоль управления групповыми политиками Group Policy Management Console

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell: The equivalent ADDSDeployment and ServerManager Windows PowerShell cmdlets are:

Учетные данные Credentials

Параметры понижения уровня настраиваются на странице Учетные данные. You configure demotion options on the Credentials page. Учетные данные, необходимые для понижения уровня, представлены в следующем списке: Provide the credentials necessary to perform the demotion from the following list:

Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Demoting an additional domain controller requires Domain Admin credentials. Выбор принудительного удаления этого контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory. Selecting Force the removal of this domain controller demotes the domain controller without removing the domain controller object’s metadata from Active Directory.

Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения. Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software.

При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Этапы очистки см. в разделе Очистка метаданных сервера. For steps, review Clean Up Server Metadata.

Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if the last domain in the forest, this removes the forest). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Server Manager informs you if the current domain controller is the last domain controller in the domain. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене. Select the Last domain controller in the domain check box to confirm the domain controller is the last domain controller in the domain.

Эквивалентные аргументы Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell arguments are:

Предупреждения Warnings

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена. The Warnings page alerts you to the possible consequences of removing this domain controller. Чтобы продолжить, необходимо установить флажок Продолжить удаление. To continue, you must select Proceed with removal.

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. If you previously selected Force the removal of this domain controller on the Credentials page, then the Warnings page shows all Flexible Single Master Operations roles hosted by this domain controller. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. You must seize the roles from another domain controller immediately after demoting this server. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций. For more information on seizing FSMO roles, see Seize the Operations Master Role.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment. This page does not have an equivalent ADDSDeployment Windows PowerShell argument.

Параметры удаления Removal Options

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные. The Removal Options page appears depending on previously selecting Last domain controller in the domain on the Credentials page. На ней можно настроить дополнительные параметры удаления. This page enables you to configure additional removal options. Установите флажок пропускать последний DNS-сервер для зоны, удалить разделы приложений и Удалить делегирование DNS , чтобы включить кнопку Далее . Select Ignore last DNS server for zone, Remove application partitions, and Remove DNS Delegation to enable the Next button.

Параметры выводятся, только если они применимы к этому контроллеру домена. The options only appear if applicable to this domain controller. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет. For instance, if there is no DNS delegation for this server then that checkbox will not display.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить. Click Change to specify alternate DNS administrative credentials. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. Click View Partitions to view additional partitions the wizard removes during the demotion. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. By default, the only additional partitions are Domain DNS and Forest DNS Zones. Все остальные разделы не относятся к Windows. All other partitions are non-Windows partitions.

Эквивалентные аргументы командлета ADDSDeployment: The equivalent ADDSDeployment cmdlet arguments are:

Новый пароль администратора New Administrator Password

На странице новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения роли, когда компьютер станет рядовым сервером домена или рабочей группой. The New Administrator Password page requires you to provide a password for the built-in local computer’s Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.

Аргумент LocalAdministratorPassword действует особым образом. The LocalAdministratorPassword argument is special:

• Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета. This is the preferred usage when running the cmdlet interactively.
• Если аргумент указан со значением, это значение должно быть защищенной строкой. If specified with a value, then the value must be a secure string. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. This is not the preferred usage when running the cmdlet interactively.

Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить безопасную строку у пользователя. For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.

Поскольку два предыдущих варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается. As the previous two options do not confirm the password, use extreme caution: the password is not visible.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. You can also provide a secure string as a converted clear-text variable, although this is highly discouraged. Пример. For example:

Ввод или хранение пароля в виде открытого текста не рекомендуется. Providing or storing a clear text password is not recommended. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Anyone running this command in a script or looking over your shoulder knows the local administrator password of that computer. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер. With that knowledge, they have access to all of its data and can impersonate the server itself.

Подтверждение Confirmation

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. The Confirmation page shows the planned demotion; the page does not list demotion configuration options. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. This is the last page the wizard shows before the demotion begins. При нажатии на кнопку «Просмотреть сценарий» создается сценарий понижения роли Windows PowerShell. The View Script button creates a Windows PowerShell demotion script.

Нажмите кнопку Понизить уровень, чтобы выполнить следующий командлет ADDSDeployment: Click Demote to run the following AD DS Deployment cmdlet:

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController. Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета. This enables you to see the explicit and implicit values of a cmdlet’s arguments.

Пример. For example:

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. The prompt to restart is your last opportunity to cancel this operation when using ADDSDeployment Windows PowerShell. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false. To override that prompt, use the -force or confirm:$false arguments.

Понижение уровня Demotion

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. When the Demotion page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы: Detailed operations display on this page and write to logs:

• %systemroot%\debug\dcpromo.log %systemroot%\debug\dcpromo.log
• %systemroot%\debug\dcpromoui.log %systemroot%\debug\dcpromoui.log

Поскольку uninstall-аддсдомаинконтроллер и uninstall-WindowsFeature имеют только одно действие каждый, они показаны на этапе подтверждения с минимальными необходимыми аргументами. Since Uninstall-ADDSDomainController and Uninstall-WindowsFeature only have one action apiece, they are shown here in the Confirmation phase with the minimum required arguments. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается. Pressing ENTER starts the irrevocable demotion process and restarts the computer.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.

Отключать перезагрузку не рекомендуется. Overriding the reboot is discouraged. Для правильной работы рядовой сервер должен перезагрузиться. The member server must reboot to function correctly.

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole. Here is an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия: The -credential argument is not required because the user logged on as a member of the Enterprise Admins group:

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions: Here is an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:

При попытке удалить роль AD DS перед понижением роли сервера Windows PowerShell блокирует ошибку: If you attempt to remove the AD DS role before demoting the server, Windows PowerShell blocks you with an error:

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера. You must restart the computer after demoting the server before you can remove the AD-Domain-Services role binaries.

Результаты Results

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд. The domain controller will automatically reboot after 10 seconds.