Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

• Откройте командную строку
• Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

Yes

Откройте консоль Active Directory Sites and Services

Разверните сайт, в котором находился ненужный DC

Проверьте, что данный контролер не содержит никаких объектов

Щелкните правой кнопкой по контроллеру и выберите Delete

Закройте консоль Active Directory Sites and Services

Откройте оснастку Active Directory Users and Computers

Разверните OU «Domain Controllers»

Удалите учетную запись компьютера неисправного контроллера домена из данной OU

Откройте оснастку DNS Manager

Найдите зону DNS, для которой ваш контроллер домена был DNS сервером

Щелкните правой кнопкой мыши по зоне и выберите Properties

Перейдите на вкладку серверов NameServers

Удалите запись неисправного DC

Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR

Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена

Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

Шаг 6. Понижение уровня и удаление исходного сервера из новой сети Windows Server Essentials Step 6: Demote and remove the Source Server from the new Windows Server Essentials network

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials

После завершения установки Windows Server Essentials и завершения миграции необходимо выполнить следующие задачи. After you finish installing Windows Server Essentials and you complete the migration, you must perform the following tasks:

Удаление служб сертификатов Active Directory Remove Active Directory Certificate Services

Процедура немного отличается при установке на одном сервере нескольких служб ролей служб сертификатов Active Directory (AD CS). The procedure is slightly different if you have multiple Active Directory Certificate Services (AD CS) role services installed on a single server. Следующая процедура позволяет вам удалить одну службу роли AD CS, сохранив остальные. You can use the following procedure to uninstall an AD CS role service and to retain other AD CS role services.

Для выполнения этой процедуры необходимо войти в систему с теми же разрешениями, которые имел пользователь, установивший центр сертификации (ЦС). To complete this procedure, you must log on with the same permissions as the user who installed the certification authority (CA). При удалении ЦС предприятия минимальным требованием для выполнения этой процедуры является членство в группе «Администраторы предприятия» или его эквивалент. If you are uninstalling an enterprise CA, membership in Enterprise Admins or its equivalent is the minimum required to complete this procedure.

Удаление AD CS To remove AD CS

Войдите на исходный сервер в качестве администратора домена. Log on to the Source Server as a domain administrator.

Щелкните Пуск, затем Администрирование и Диспетчер серверов. Click Start, click Administrative Tools, and then click Server Manager.

В диалоговом окне Контроль учетных записей щелкните Продолжить. Click Continue in the User Account Control dialog box.

В разделе Сводка по ролям щелкните Удалить роли. In the Roles Summary section, click Remove Roles.

В мастере удаления ролей щелкните Далее. In the Remove Roles Wizard, click Next.

Снимите флажок Службы сертификации Active Directory и нажмите кнопку Далее. Clear the Active Directory Certificate Services check box, and then click Next.

Просмотрите информацию на странице Подтверждение удаления и нажмите кнопку Удалить. On the Confirm Removal Options page, review the information, and then click Remove.

Если выполняются службы IIS, вам будет предложено остановить их перед продолжением. If Internet Information Services (IIS) is running, you are prompted to stop the service before proceeding. Нажмите кнопку OK. Click OK.

Сначала может потребоваться удалить служба регистрации в центре сертификации через Интернет, если он установлен. First, you may need to remove Certification Authority Web Enrollment, if it’s installed.

После завершения работы мастера удаления ролей перезагрузите сервер, чтобы завершить процесс удаления. When the Remove Roles Wizard finishes, restart the server to complete the uninstallation process.

Перезагрузите сервер даже в том случае, если отсутствует соответствующий запрос. Restart the server even if you are not prompted to do so.

Отключение принтеров, подключенных непосредственно к исходному серверу Disconnect printers directly connected to the Source Server

Прежде чем понизить уровень исходного сервера, физически отключите все принтеры, которые подключены к напрямую к исходному серверу и предоставляются через него для общего доступа. Before you demote the Source Server, physically disconnect any printers that are directly connected to the Source Server and are shared through the Source Server. Убедитесь, что не осталось никаких объектов Active Directory для принтеров, которые были подключены напрямую к исходному серверу. Ensure that no Active Directory objects remain for the printers that were directly connected to the Source Server. Затем принтеры могут быть напрямую подключены к целевому серверу и доступны из Windows Server Essentials. The printers can then be directly connected to the Destination Server and shared from Windows Server Essentials.

Понижение уровня исходного сервера Demote the Source Server

Перед понижением уровня исходного сервера с роли контроллера домена AD DS до роли рядового сервера домена убедитесь, что параметры групповой политики применяются ко всем клиентским компьютерам, как описано в следующей процедуре. Before you demote the Source Server from the role of the AD DS domain controller to the role of a domain member server, ensure that Group Policy settings are applied to all client computers, as described in the following procedure.

Исходный сервер и конечный сервер должны быть подключены к сети, пока на клиентских компьютерах обновляются изменения групповой политики. The Source Server and the Destination Server must be connected to the network while the Group Policy changes are updated on the client computers.

Принудительное обновление групповой политики на клиентском компьютере To force a Group Policy update on a client computer

Войдите на клиентский компьютер как администратор. Sign in to the client computer as an administrator.

Откройте окно командной строки с правами администратора. Open a Command Prompt window as an administrator.

В командной строке введите команду gpupdate /force и нажмите клавишу ВВОД. At the command prompt, type gpupdate /force, and then press ENTER.

Для завершения процесса вам может потребоваться выйти из системы и снова войти в нее. The process may require you to log off and log on again to finish. Нажмите кнопку Да для подтверждения. Click Yes to confirm.

Если выполняется миграция с Windows Server Essentials или предыдущих версий, чтобы понизить уровень сервера, см. раздел удаление домен Active Directory Services. If you’re migrating from Windows Server Essentials or its previous versions, to demote the server, see Remove Active Directory Domain Services. После добавления исходного сервера в качестве члена рабочей группы и отключения его от сети этот сервер необходимо удалить из доменных служб Active Directory на конечном сервере. After you add the Source Server as a member of a workgroup and disconnect it from the network, you must remove it from AD DS on the Destination Server.

При переходе с Windows Server Essentials используйте диспетчер сервера, чтобы удалить роль домен Active Directory Services, тем самым вызывая понижение роли контроллера домена на исходном сервере с помощью следующей процедуры: If you’re migrating from Windows Server Essentials, use Server Manager to remove the Active Directory Domain Services role, thereby demoting the domain controller on the Source Server using the following procedure:

Удаление исходного сервера из Active Directory To remove the Source Server from Active Directory

На конечном сервере откройте Active Directory — пользователи и компьютеры. On the Destination Server, open Active Directory Users and Computers.

В области навигации Active Directory — пользователи и компьютеры разверните имя домена и затем пункт Компьютеры. In the Active Directory Users and Computers navigation pane, expand the domain name, and then expand Computers.

Если исходный сервер по-прежнему имеется в списке серверов, щелкните правой кнопкой мыши имя исходного сервера, нажмите Удалить, а затем Да. If the Source Server still exists in the list of servers, right-click the Source Server name, click Delete, and then click Yes.

Убедитесь, что исходный сервер отсутствует в списке, а затем закройте окно Active Directory — пользователи и компьютеры. Verify that the Source Server is not listed, and then close Active Directory Users and Computers.

Удаление и повторное назначение исходного сервера Remove and re-purpose the Source Server

Выключите исходный сервер и отключите его от сети. Turn off the Source Server and disconnect it from the network. Рекомендуется хотя бы одну неделю не выполнять переформатирование исходного сервера, чтобы убедиться, что все необходимые данные перенесены на конечный сервер. We recommend that you do not reformat the Source Server for at least one week to ensure that all the necessary data migrated to the Destination Server. После подтверждения переноса всех данных можно переустановить этот сервер в сети в качестве дополнительного сервера для других задач. After you have verified that all the data has migrated, you can reinstall this server on the network as a secondary server for other tasks, if required.

Перезапустите конечный сервер после понижения уровня и удаления исходного сервера. After you demote and remove the Source Server, restart the Destination Server.

После понижения уровня исходного сервера он находится в неработоспособном состоянии. After you demote the Source Server, it is not in a healthy state. Если требуется перепрофилировать исходный сервер, проще всего отформатировать его, установить серверную операционную систему и затем настроить для использования в качестве дополнительного сервера. If you want to repurpose the Source Server, the simplest way is to reformat it, install a server operating system, and then set it up for use as an additional server.

Дальнейшие действия Next steps

Исходный сервер был понижен и удален из новой сети Windows Server Essentials. You have demoted and removed the Source Server from the new Windows Server Essentials network. Теперь перейдите к шагу 7. выполнение задач, выполняемых после миграции Windows Server Essentials. Now go to Step 7: Perform post-migration tasks for the Windows Server Essentials migration.

Отключить контроллер домена windows server 2016

Установка и настройка DNS-сервера и Active Directory в Windows Server 2016 практически не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2012, 2008. Пройдя несколько шагов устанавливается роль DNS и Доменные службы Active Directory, также для сервера имён потребуется небольшая настройка.

До установки ролей сервера, требуется задать имя будущему серверу, а также статический IP-адрес. Также, если имеются, указываем IP-арес шлюза.

1. Нажимаем правой клавишей мыши на «Этот компьютер» и выбираем «Свойства». В открывшемся окне — «Изменить параметры» — «Изменить». Задаём имя компьютера и нажимаем «ОК». Для того, чтобы изменения вступили в силу, перезагружаем компьютер.

2. Для того, чтобы открыть сетевые соединения, в поле «Поиск» набираем команду ncpa.cpl. Выбираем нужный сетевой интерфейс, правой клавишей мыши — «Свойства». IP версии 6(TCP/IPv6) выключаем, если не используем. Затем выбираем IP версии(TCP/IPv4). Заполняем поля:

IP-адрес: адрес сервера (например, 192.168.100.5)

Маска подсети: маска сети (например, 255.255.255.0)

Основной шлюз: шлюз, если имеется (например, 192.168.100.1)

Предпочитаемый DNS-сервер: (например, 192.168.100.5)

3. Теперь можно начать установку ролей сервера. Для этого выбираем «Диспетчер серверов».

4. В следующем окне — «Добавить роли и компоненты».

5. Читаем «Перед началом работы» и нажимаем «Далее». Затем оставляем по умолчанию чекбокс «Установка ролей или компонентов» и снова «Далее». В следующем окне выбираем сервер, на который будем устанавливать роли и «Далее».

6. Выбора ролей сервера — ставим галочки напротив «DNS-сервера» и «Доменные службы Active Directory». При появлении запроса о добавлении компонентов — «Добавить компоненты». Затем «Далее».

7. В следующих окнах нажимаем «Далее», а в окне «Подтверждение установки компонентов» выбираем «Установить». Этот мастер можно закрывать, по окончании установки появится предупреждение в диспетчере серверов.

8. После окончания установки выбранных ролей сервера, нажимаем на значок предупреждения в «Диспетчере серверов» и выбираем «Повысить роль этого сервера до уровня контроллера домена».

9. В следующем окне — «Добавить новый лес». Имя корневого домена — уникальное имя вашего домена.

10. В «Параметрах контроллера домена» оставляем по умолчанию режим работы леса и домена — «Windows Server 2016». Вводим пароль для режима восстановления служб каталогов (DSRM).Этот пароль может пригодиться, его обязательно надо запомнить или записать в надежное место.

11. В окне «Параметры DNS» — нажимаем «Далее».

12. В «Дополнительные параметры» — «Далее».

13. Расположение базы данных AD DS, файлов журналов и попок SYSVOL оставляем по умолчанию, нажимаем «Далее».

14. Проверяем параметры, затем «Далее».

15. После того, как сервер проверит соответствие предварительных требований, можно нажимать «Установить».

16. После настройки контроллера домена, можно перейти к настройке обратной зоны DNS-сервера. Для этого в «Диспетчер серверов» выбираем «Средства», далее «DNS».

17. В открывшемся окне выбираем наш сервер, затем «Зона обратного просмотра». Правой клавишей мыши — «Создать новую зону. «.

18. В мастере создания новой зоны оставляем тип зоны — «Основная зона», затем «Далее».

19. Оставляем по умолчанию чекбокс на «Для всех DNS-серверов, работающих на контроллерах домена в этом домене, снова «Далее».

20. В следующем окне — «Зона обратного просмотра IPv4», затем «Далее».

21. Для настройки зоны обратного просмотра задаем «Идентификатор сети» (например 192.168.100). После этого появится автоматически зона обратного просмотра. Нажимаем «Далее».

22. В следующем окне оставляем по умолчанию «Разрешить только безопасные динамические обновления, затем «Далее».

23. Для завершения настройки создания новой зоны проверяем настройки и нажимаем «Готово».

24. Появится зона обратного просмотра для домена.

25. В «Диспетчере серверов» выбираем «Пользователи и компьютеры Active Directory». Проверяем работу Active Directory.

На этом установка и настройка выбранных ролей сервера заканчивается.

Посмотреть, что и как делать, можно здесь: