Στο σημερινό άρθρο θα δείτε πώς να αφαιρέσετε (demote) έναν Domain Controller με Windows Server 2016 από την Active Directory υποδομή μιας εταιρείας.
Στο παρακάτω σενάριο, θεωρούμε ότι ο Domain Controller είναι online, λειτουργικός και έχει επικοινωνία με τουλάχιστον έναν ακόμη DC της υποδομής. Επίσης, θα δούμε πώς γίνεται η διαδικασία του demote τόσο μέσα από το γραφικό περιβάλλον του Server Manager όσο και μέσω του PowerShell. Διαφορετικά, αν ο DC δεν είναι λειτουργικός τότε θα χρειαστεί να προχωρήσετε στην εξαναγκασμένη αφαίρεση από το Active Directory.
Πριν ξεκινήσετε τη διαδικασία του demote, θα χρειαστεί να ελέγξετε αν ο DC έχει κάποιον από τους FSMO ρόλους. Αν έχει, τότε θα χρειαστεί να μεταφέρετε τους FSMO ρόλους σε κάποιον άλλο DC.
Πριν ξεκινήσετε την αφαίρεση (demotion) του Domain Controller
Αν και δεν είναι απαραίτητο, θα χρησιμοποιήσουμε αρχικά το cmdlet Test-ADDSDomainControllerUninstallation για να ελέγξουμε τυχόν εξαρτήσεις ή πιθανά προβλήματα που πρόκειται να παρουσιαστούν κατά την αφαίρεση του Domain Controller από το Active Directory. Σκεφτείτε το σαν μια προσομοίωση χωρίς όμως να εφαρμοστεί οποιαδήποτε αλλαγή ακόμη.
Η βασική σύνταξη της εντολής για μία τυπική προσομοίωση είναι η παρακάτω. Καλό θα ήταν να ρίξετε μια ματιά στις υπόλοιπες παραμέτρους για δοκιμάσετε αυτή που ταιριάζει στη δική σας περίπτωση.
Test-ADDSDomainControllerUninstallation |
Θα σας ζητηθεί να πληκτρολογήσετε τον κωδικό πρόσβασης του local administrator και μετά από λίγα δευτερόλεπτα θα εμφανιστεί το αντίστοιχο μήνυμα επιτυχίας ή αποτυχίας. Σε περίπτωση αποτυχίας θα χρειαστεί να διορθώσετε το εκάστοτε σφάλμα, όπως πχ. η μεταφορά των FSMO ρόλων, και έπειτα να προχωρήσετε στο demote του DC.
Αφαίρεση (demote) Domain Controller μέσω Server Manager
Ανοίξτε τον Server Manager, πατήστε στο μενού Manage και έπειτα στο Remove Roles and Features.
Στην ενότητα Before You Begin, πατήστε Next για να συνεχίσετε.
Στην ενότητα Server Selection, επιλέξτε τον DC και πατήστε Next για να συνεχίσετε.
Στην ενότητα Server Roles, ξε-τικάρετε το ρόλο Active Directory Domain Services.
Στο νέο παράθυρο, πατήστε στο κουμπί Remove Features.
Αμέσως μετά, ένα νέο παράθυρο θα εμφανιστεί που θα σας ενημερώνει ότι δε μπορείτε έτσι απλά να αφαιρέσετε τον ρόλο και ότι θα χρειαστεί να κάνετε πρώτα demote τον DC. Πατήστε στην επιλογή Demote this domain controller για να ξεκινήσει ο αντίστοιχος οδηγός (wizard).
Στην ενότητα Credentials, επιλέξτε ένα λογαριασμό χρήστη (πχ. Domain ή Enterprise Administrator) που έχει το δικαίωμα αφαίρεσης του DC και πατήστε στο κουμπί Next για να συνεχίσετε. Αν ο DC δεν έχει επικοινωνία με έναν τουλάχιστον DC της υποδομής, τότε και μόνο τότε ενεργοποιήστε την επιλογή Force the removal of this domain controller. Επίσης, με την επιλογή Force θα παραμείνουν ορφανά metadata στο Active Directory και θα χρειαστεί να προχωρήσετε στον καθαρισμό τους άμεσα για να αποφύγετε προβλήματα στο μέλλον.
Στην υπο-ενότητα Warnings, που εμφανίζεται μόνο αν έχετε εγκατεστημένους τους ρόλους του DNS και Global Catalog server, ενεργοποιήστε την επιλογή Proceed with removal και πατήστε Next για να συνεχίσετε.
Στην ενότητα New Administrator Password, πληκτρολογήστε τον κωδικό πρόσβασης του νέου λογαριασμού administrator και πατήστε Next για να συνεχίσετε.
Στην ενότητα Review Options, πατήστε στο κουμπί Demote για συνεχίσετε.
Έπειτα, η διαδικασία του demote του DC θα ξεκινήσει και ο server σας θα επανεκκινηθεί αυτόματα.
Μετά την επανεκκίνηση, ο πρώην, πλέον, DC σας προφανώς συνεχίζει να είναι μέρος του domain ως member server και όχι ως DC. Αν σκοπεύετε να τον κάνετε εκ νέου promote σε DC σε σύντομο χρονικό διάστημα, τότε δε χρειάζεται να κάνετε κάτι άλλο για την ώρα.
Διαφορετικά, θα χρειαστεί να απεγκαταστήσετε το ρόλο Active Directory Domain Services όπως προσπαθήσατε πριν. Ανοίξτε και πάλι τον οδηγό απεγκατάστασης των ρόλων από την επιλογή Remove Roles and Features.
Στην ενότητα Server Roles, ξε-τικάρετε το ρόλο Active Directory Domain Services και πατήστε Next για να συνεχίσετε. Όπως θα διαπιστώσετε, δεν εμφανίζεται πλέον κάποιο μήνυμα καθώς ο server σας δεν είναι πλέον DC.
Αφαίρεση (demote) Domain Controller μέσω PowerShell
Στην περίπτωση που μετατρέψατε έναν server σε Domain Controller, αρχικά εγκαταστήσατε το ρόλο Active Directory Domain Services και έπειτα τον κάνατε promote σε Domain Controller. Αντίστοιχα, αλλά κατά την αντίθετη φορά, θα κάνουμε στην περίπτωση που θέλουμε να αφαιρέσουμε έναν Domain Controller από το Active Directory domain. Δηλαδή, πρώτα θα τον κάνουμε demote και έπειτα θα απεγκαταστήσουμε το ρόλο.
Αρχικά, ανοίξτε το PowerShell με δικαιώματα διαχειριστή. Έπειτα, πληκτρολογήστε την παρακάτω εντολή και πατήστε Enter. Θα σας ζητηθεί να πληκτρολογήσετε δύο φορές τον κωδικό πρόσβασης του local administrator λογαριασμού και έπειτα να επιβεβαιώσετε την ενέργειά σας πατώντας Y ή A, ανάλογα με τις προτιμήσεις σας.
Uninstall-ADDSDomainController |
Αμέσως μετά, θα προχωρήσει το demote του Domain Controller και θα γίνει επανεκκίνηση του server αυτόματα.
Αφού συνδεθείτε ξανά, ανοίγοντας τον Server Manager, θα παρατηρήσετε ότι υπάρχει η αντίστοιχη ειδοποίηση για κάνετε promote τον server σε Domain Controller. Προφανώς, αφού υπάρχει ακόμη εγκατεστημένος ο ρόλος Active Directory Domain Services.
Για να τον απεγκαταστήσετε, χρησιμοποιήστε την παρακάτω εντολή στο PowerShell.
Uninstall-WindowsFeature AD-Domain-Services |
Αυτό ήταν! Μετά την επανεκκίνηση, ο server σας δεν είναι πια Domain Controller αλλά απλά ένας member server του Active Directory domain.
Αφήστε το πρώτο σχόλιο