Понижение роли контроллера домена windows 2008 r2

Всем привет!

Продолжаем возиться с «прошлым». Сегодня будем понижать DC (Domain Controller), удалять DNS и изменять функциональный уровень. Операции тривиальные, но для полноты заданного ранее сценария — рассмотрим и их.

Инфраструктура всё та же , а именно: 2 КД на базе 2003 SP2 (понижаем их), 2 КД на базе 2008 R2, функциональный уровень 2003

Перед началом понижения DC удостоверьтесь:

• КД не является носителем FSMO , если Вы не перенесли роли, то процедура описана

  тут

• КД не последний в домене. В противном случае, удаление КД повлечет за собой и удаление леса (при включенном чекбоксе “this is the last domain controller”)
• КД не последний GC (Global Catalog)
• Пользователь, под которым будет проводиться понижение, должен быть в группах Domain Admins или Enterprise Admins
• Если на КД есть службы Certificate Services, то необходимо их удалить перед началом понижения. Процедуру удаления и переноса CA на другой DC читайте в следующей статье.

Подключаемся к DC (2003) и запускаем Dcpromo


Мастер предупреждает , что после удаления служб AD, сервер станет рядовым и членом домена (по умолчанию).

Если уверены, то жмем Next

Данный сервер не является последним в домене=чек не ставим и переходим на следующий этап

 Определяем новый пароль локального администратора

 Подтверждаем данные об удалении и жмем Next

 После успешного завершения операций получаем статус об успешности удаления AD

 Перезагружаемся
   

Для удаления DNS-сервера настоятельно рекомендуется удостовериться, что все сервисы,

зависящие от служб DNS, обращаются к вторичным DNS-серверам.
Другими словами, в инфраструктуре нет конечных устройств, использующих данный DNS-сервер.

 Запускаем Server Manager, переходим в Add or Remove Server Roles

 Выбираем DNS Server и жмем Next

 Чек на Remove the DNS server role. Удостоверяемся, что данный сервер и

другие сервисы перенастроены на исп-ие других DNS-серверов и жмем Next

 Переходим в dsa.msc , правый клик –> raise domain functional leve
l

 Выбираем уровень 2008 R2 и жмем Raise


 Жмем OK (членство в Ent. Admins обязательно)

  Уровень повысился успешно
 

Повышение уровня леса аналогично, но выполняется в рамках консоли Active Directory Domains and Trusts

Проводим мониторинг рабоспособности DNS, AD, репликации
(журнал событий, результаты диагностики, записи DNS) и удостоверяемся в отсутствии проблем.

 
Миграция центра сертификации будет описана в следующей статье

Ссылки на смежные статьи:

Подготовка
Active Directory 2003 к 2008 R2 Перенос
FSMO на примере 2003 и 2008 R2

Миграция
центра сертификации (2003, 2008R2) 

Дополнительные ссылки:
Demote a domain controller

Raise domain functional level

You think you removed DNS..

В этой статье мы поговорим о процедуре обновления домена с версии Windows Server 2008 R2 до Windows Server 2012 с последующим понижением роли старого контроллера домена до рядового сервера AD.

Итак, что имеется:

• Домен Active Directory как минимум с одним контроллером домена на Windows Server 2008 R2
• Уровень леса и домена AD должен быть как минимум Windows Server 2003
• Дополнительный рядовой сервер домена с Windows Server 2012 , который в дальнейшем станет контроллером домена (как включить сервер в домен подробно описано в статье Как включить Windows в домен).
• Учетная запись с правами администратора домена, схемы и леса.

Прежде чем добавлять новый контроллер домена на Windows 2012 необходимо обновить схему домена и леса. Классически подготовка и повышение уровня домена осуществлялась вручную с помощью утилиты Adprep.exe. В документации новой серверной платформы от Microsoft указано, что при повышении первого сервера с Windows Server 2012 до уровня контроллера домена, повышение уровня домена происходит автоматически при установке роли AD DS на первый сервер Windows 2012 в домене. Так что, теоретически, для подготовки домена ничего делать не нужно.

Однако, предпочтительнее контролировать результат такого ответственного процесса, как обновление схемы. Выполним процедуру обновления схемы вручную.

Обновление схемы AD до Windows Server 2012 с помощью adprep

Для обновления схемы нам понадобится утилита adprep.exe, взять которую можно в каталоге supportadprep на диске с дистрибутивом Windows Server 2012. Данная утилита бывает только 64-разрадной (утилиты adprep32.exe больше не существует), соответственно, запустить ее можно будет только на 64 разрядном контроллере домена.

Необходимо скопировать утилиту на текущий DC с ролью Schema Master (Хозяин схемы) и в командной строке с правами администратора выполнить команду подготовки леса к установке нового DC на Windows Server 2012:

adprep /forestprep

Версия схемы Active Directory в Windows Server 2012 — 56.

Далее обновим схему домена:

adprep /domainprep

Далее осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Если все прошло хорошо – продолжаем. Пришла пора развернуть контроллер домена на Windows Server 2012.

Установка контроллер домена на Windows Server 2012

Первой интересной новостью является тот факт, что знакомой администраторам утилиты DCPROMO, позволяющей добавить или удалить контроллер домена в AD больше не существует. При ее запуске появляется окно, в котором сообщается, что мастер установки Active Directory Domain Services перемещен в консоль Server Manager.

Что ж, откроем консоль Server Manager и установим роль Active Directory Domain Services (Внимание! Установка роли автоматически не означает тот факт, что сервер стал контроллером домена, роль нужно сначала настроить)

После окончания установки роли появится окно, в котором сообщается, что сервер готов стать контроллером домена, для чего нужно нажать на ссылку “Promote this server to domain controller” (далее мы рассмотрим только значимые шаги мастера создания нового контроллера домена).

Затем нужно указать, что данный контроллер домена будет добавлен в уже существующий домен (Add a domain controller to an existing domain), указать имя домен и учетную запись из-под которой будет проводится операция.

Затем укажите, что данный контроллер домена будет содержать роли GC (Global Catalog) и DNS сервера. Также укажите пароль восстановления DSRM (Directory Services Restore Mode) и, если необходимо имя сайта, к которому будет относиться данный контроллер домена.

В разделе “Paths” указываются пути к базе Active Directory (NTDS), файлам логов и каталогу SYSVOL. Учтите, что данные каталоги должны находиться на разделе с файловой системой NTFS, тома с новой файловой системой Windows Server 2012 — Resilient File System (ReFS) – использовать для этих целей нельзя!

По окончании работы мастера установки роли AD DS, сервер нужно перезагрузить. После перезагрузки вы получаете новый контроллер домена с ОС Windows Server 2012.

Удаление старого контроллера домена на Windows Server 2008 R2

Прежде, чем понизить роль старого контроллера домена с Windows Server 2008 R2 до рядового сервера, нужно перенести все FSMO роли на новый контроллер домена .

Процедура переноса ролей FSMO с одного контролера домена на другой нами уже рассматривалась, подробнее с ней можно познакомится в статье Передача ролей FSMO в Active Directory. Процедуру можно осуществить через графический GUI (проще) или из командной строки с помощью утилиты ntdsutil

После передачи роли FSMO PDC Emulator, необходимо настроить синхронизацию времени на новом контроллере домена с внешним сервером (с которым время синхронизировалось ранее). Подробно процедура настройки синхронизации времени на PDC описана в статье: Синхронизация времени с внешним NTP сервером в Windows 2008 R2 . Формат команды примерно такой (ntp_server_adress – адрес NTP сервера):

w32tm /config /manualpeerlist:ntp_server_adress /syncfromflags:manual /reliable:yes /update

После того, как все роли FSMO перенесены на новый DC Windows Server 2012, убедитесь, что домен работает корректно: проверьте прохождение репликации AD, журналы DNS и AD на наличие ошибки. Не забудьте в настройках сетевой карты на новом сервере в качестве предпочтительного DNS сервера указать собственный адрес.

Если все прошло корректно, можно понизить роль старого контроллера домена 2008 R2 до рядового сервера домена. Это можно сделать, запустив на нем мастер DCPROMO, и указать, что данный сервер более не является контроллером домена. После того, как данный сервер станет рядовым сервером, его можно полностью отключить.

Обновлено 15.07.2015

Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод, существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.

Как видим, у меня есть контроллер домена dc03.msk.pyatilistnik.org, требуется его переименовать в dc02.msk.pyatilistnik.org. Хочу сказать, что есть небольшие требования к понижению:

• Контроллер не должен быть последним Глобальным каталогом
• Не должен быть Центром Сертификации
• Не быть последним контроллером домена
• Вы должны быть администратором домена или предприятия
• Если контроллер домена выполняет какие-либо роли хозяина операций, перед понижением его роли передайте эти роли другому контроллеру

Посмотрим топологию в Active Directory, и видим dc01 и dc03

Открываем пуск и пишем dcpromo.

Открывается мастер установки доменных служб, жмем далее

Видим, что выскочило предупреждение

Чтобы это исправить открываем оснастку Active Directory Сайты и Службы. Идем в Default-First-Site-Name-Servers-NTDS Settings. И на вкладке Общие снимаем галку Глобальный каталог.

Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.

Ставим галку Удалить делегирование DNS.

вас попросят вести дополнительные данные

Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.

Смотрим сводные данные установки и жмем Далее.

Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.

После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01

Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи

Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.

после чего перезагружаемся. Если хотите чтобы сервер снова стал DC, то смотрите Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.

Материал сайта pyatilistnik.org

Понижение контроллера домена и удаление роли AD DS

Обновлено: 04.05.2021
Опубликовано: 27.06.2020

Используемые термины: Active Directory, FSMO.

Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.

Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>

… передать роль.

Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

На любом из контроллеров домена вводим команду:

dcdiag /a /q

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

… и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Кликаем по Понизить уровень:

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Uninstall-ADDSDomainController

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y  [A] Да для всех — A  [N] Нет — N  [L] Нет для всех — L  [S] Приостановить — S  [?] Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:

Среди серверов выбираем тот, на котором будем удалять роль:

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Галочка для доменных служб будет снята:

… кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

Роль контроллера будет удалена. Мы должны увидеть сообщение:

ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Перезагружаем сервер:

shutdown -r -t 0

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmoskmaster -PassThru -Verbose

* где dmoskmaster — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
[Y] Да — Y  [N] Нет — N  [S] Приостановить — S  [?] Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

• Если есть резервная копия, восстанавливаемся из нее.
• Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
• Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

dcpromo /forceremoval

В данный статье рассматривается не только перенос контроллера домена на новый сервер, но и настройка DNS и доверительных отношений между доменами в разных организациях. Из опыта эксплуатации доменных сетей мы поняли, что лучший способ обеспечить работу доменной сети, это иметь несколько (минимум два) контроллера домена. Чем больше DC (domain controller), тем лучше. Итак, если пришло время перенести контроллер домена на другой сервер, то ничего нет проще.
1) Запускаем dcpromo на новом сервере. Если серверов несколько, то на каждом.
2) Передаем роли, по англ. FSMO (Flexible single-master operations)  со старого сервера — новому.

Этих ролей 5. 

                    1. Schema master (Хозяин схемы). Имея полномочия на этом сервере можно вносить изменения в схему. Это происходит при установке различных сервисов для AD. Например Exchange Server вносит изменения в схему, ISA Server, есть сервера для мониторинга и управления сетью SCCM Server и другие. Они тоже вносят изменения в схему. Если владелец этой роли будет недоступен, то внести изменения в схему не получится.
                    2. Domain Naming Master (Хозяин операции именования доменов). Эта роль необходима для возможности создавать домены и поддомены в лесу.
                    3. Relative ID Master (хозяин относительных идентификаторов). Это необходимо для возможности создания уникальных идентификаторов в домене.
                    4. Primary Domain Controller Emulator (Эмулятор основного контроллера домена). Это важная роль. Именно она отвечает за работу с учетными записями пользователей и других объектов. Так же за политику безопасности. Если сервер, который владеет этой ролью недоступен, то не будет возможности создавать новых пользователей. Менять пароли и т.д. Однако сеть будет работать со старыми учетными данными прекрасно.
                    5. Infrastructure Master (Хозяин инфраструктуры). Эта роль отвечает за передачу информации о домене другим контроллерам домена в рамках всего леса.

Перед передачей ролей необходимо узнать на каким серверам они назначены. Для этого выполняем команды:
dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo rid
dsquery server -hasfsmo pdc
dsquery server -hasfsmo infr
dsquery server -forest -isgс
Далее передача ролей. В сети я нашел интересный сайт, где человек описал порядок передачи ролей. Оказывается это важно. Если не соблюдать порядок передача может завершится с ошибками. Я это не проверял. Просто пользовался указанным порядком. Лучше всего для передачи использовать утилиту ntdsutil.exe.  Это утилита обслуживания  AD. У нее много полезных функций. Из них для наших целей мы будем использовать две. Одна, это для добровольной передачи ролей. Вторая для принудительного захвата ролей в случае если основной контроллер домена упал вместе со всеми своими ролями.
Итак передача ролей :
Команды запускаем на том сервере от которого хотим передать роли, то есть на хозяине ролей.
ntdsutil.exe
roles
connection
connect to server имя_сервера_кому_передаем_роли
q
После подключения к серверу видим fsmo maintenance: вводим команды передачи ролей.
transfer naming master
transfer infr master
transfer RID master
transfer schema master
transfer PDC
заканчиваем командой q (выход).
Проверить в каком состоянии сервер глобального каталога можно командой dcdiag.
Примером может служить такая команда: dcdiag /v /fix. Что на языке сервера означает провести диагностику и проверку доменных служб и по возможности исправить найденные ошибки.

Что делать со старым сервером глобального каталога? По правильному его роль нужно понижать до стандартного сервера командой dcpromo. В нашем случае было просто выключение сервера (был на виртуальной машине). Передали роли на новый сервер, а про старый сервер не вспомнили до тех пор пока не стали понижать очередной сервер командой dcpromo,  которая стала выдавать ошибки.

Статья не окончена.