本文介绍如何使用服务器管理器或 Windows PowerShell 删除 Active Directory 域服务(AD DS)。
AD DS 删除工作流
以下工作流关系图显示了删除 AD DS 的步骤。
Caution
不支持在升级到域控制器(DC)后删除具有 Dism.exe 或 Windows PowerShell DISM 模块的 AD DS 角色,并阻止服务器正常启动。
与适用于 Windows PowerShell 的服务器管理器和 ADDSDeployment 模块不同,DISM 是一个本机服务系统,对 AD DS 或其配置没有固有的知识。 我们建议不要使用 Dism.exe 或 Windows PowerShell DISM 模块卸载 AD DS 角色,除非服务器不再是域控制器。
使用 PowerShell 降级和角色删除
| ADDSDeployment 和 ServerManager cmdlet | 参数(需要加粗参数。可以通过 Windows PowerShell 或 AD DS 配置向导指定 斜体 参数。 |
|---|---|
| Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature |
-Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
若要详细了解如何使用 PowerShell 降级 DC,请参阅 Uninstall-ADDSDomainController 和 Uninstall-WindowsFeature。
Uninstall-ADDSDomainController
Uninstall-WindowsFeature并且只需要最小参数,因为它们各自执行单个作。 在确认阶段选择 Enter 密钥会启动不可撤销的降级过程并重启设备。
仅当尚未以企业管理员组或域管理员组成员身份登录时,才需要 凭据 参数。 仅当想要删除所有 AD DS 管理实用工具时,才需要 IncludeManagementTools 参数。
Demote
删除角色和功能
可以使用两种方法删除 AD DS 角色:
在主仪表板的“ 管理 ”菜单上,选择“ 删除角色和功能”
在导航窗格中选择 “AD DS ”或 “所有服务器 ”。 向下滚动到“角色和功能”部分。 右键单击“角色和功能”列表中的 Active Directory 域服务,然后选择“删除角色或功能”。 此接口跳过 “服务器选择 ”页。
ServerManager cmdlets Uninstall-WindowsFeature 和 Remove-WindowsFeature 阻止删除 AD DS 角色,直到降级域控制器。
服务器选择
“ 服务器选择” 部分允许你从以前添加到池中的其中一台服务器中进行选择,只要可以访问该服务器即可。 运行服务器管理器的本地服务器始终自动可用。
服务器角色和功能
清除 Active Directory 域服务 复选框以降级域控制器。 如果服务器当前是域控制器,此作不会删除 AD DS 角色。 相反,它会显示一个 “验证结果 ”对话框,用于降级服务器。 如果服务器是域控制器,此作将删除二进制文件,就像任何其他角色功能一样。
- 如果你希望立即再次升级域控制器,请不要删除任何其他与 AD DS 相关的角色或功能(例如 DNS、GPMC 或 RSAT 工具)。 删除其他角色和功能会增加重新签名的时间,因为服务器管理器会在重新安装角色时重新安装这些功能。
- 如果你希望永久降级域控制器,根据你自己的判断删除不需要的 AD DS 角色和功能。 若要删除角色和功能,请清除相应的复选框。
下面是 AD DS 相关角色和功能的完整列表:
- 用于 Windows PowerShell 功能的 Active Directory 模块
- AD DS 和 AD LDS 工具功能
- Active Directory 管理中心功能
- AD DS 管理单元和命令行工具功能
- DNS 服务器
- 组策略管理控制台
等效的 ADDSDeployment 和 ServerManager Windows PowerShell cmdlet 如下:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Credentials
在 “凭据 ”页上配置降级选项。 从以下列表提供执行降级所需的凭据:
降级额外的域控制器需要 Domain Admin 凭据。 选择“强制删除域控制器”将降级域控制器,且不会从 Active Directory 删除域控制器对象的元数据。
Warning
除非域控制器无法联系其他域控制器,否则不要选择此选项,并且无法合理解决该网络问题。 强制降级会将 Active Directory 中已丢弃的元数据保留在林中的其余域控制器上。 此外,该域控制器上所有未复制的更改(如密码或新用户帐户)都将永远丢失。 孤立元数据是 AD DS、Exchange、SQL Server 和其他软件的Microsoft客户支持案例的显著百分比的根本原因。
如果强行降级域控制器,则必须立即手动执行元数据清理。 有关详细信息,请参阅 “清理服务器元数据”。
降级域中的最后一个域控制器需要企业管理员组成员身份,因为这样做会删除域本身。 (如果域是林中的最后一个域,此作将删除林。服务器管理器会通知你当前域控制器是否是域中的最后一个域控制器。 选中 域复选框中的“最后 一个域控制器”以确认域控制器是域中的最后一个域控制器。
等效 ADDSDeployment Windows PowerShell 参数是:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Warnings
“ 警告 ”页会提醒你删除域控制器的可能后果。 若要继续,则必须选中“继续删除”。
如果之前在“凭据”页上选择了“强制删除此域控制器”,“警告”页将显示域控制器托管的所有灵活单一作角色。 在降级服务器后,必须立即从另一个域控制器中获取角色。 有关占用 FSMO 角色的详细信息,请参阅 占用操作主机角色。
此页面没有等效的 ADDSDeployment Windows PowerShell 参数。
删除选项
如果在“凭据”页上的域中选择“最后一个域控制器”,将显示“删除选项”页。 通过此页面可以配置额外的删除选项。 选择忽略区域的最后一个 DNS 服务器、删除应用程序分区和删除 DNS 委派,以激活下一步按钮。
仅当适用于域控制器时,才会显示这些选项。 例如,如果没有服务器的 DNS 委派,则不会显示该复选框。
选择 “更改” 以指定备用 DNS 管理凭据。 选择 “查看分区 ”以查看向导在降级期间删除的额外分区。 默认情况下,仅有的其他分区是域 DNS 和林 DNS 区域。 所有其他分区都是非 Windows 分区。
等效的 ADDSDeployment cmdlet 参数是:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
新建管理员密码
“新建管理员密码”页要求你在降级完成后为内置本地计算机的管理员帐户提供密码,计算机将成为域成员服务器或工作组计算机。
如果未指定值, 则 Uninstall-ADDSDomainController cmdlet 和参数使用与服务器管理器相同的默认值。
LocalAdministratorPassword 参数特别:
- 如果未指定此参数,cmdlet 会提示输入并确认屏蔽的密码。 以交互方式运行 cmdlet 时,这是首选用法。
- 如果用值指定参数,则该值必须是安全字符串。 以交互方式运行 cmdlet 时,这不是首选的用法。
例如,可以使用 Read-Host cmdlet 手动提示输入密码,提示用户输入安全字符串:
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
由于前两个选项未确认密码,因此请谨慎使用。 密码不可见。
你还可以提供安全字符串作为转换的明文变量,尽管强烈不建议这样做。 例如:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
不建议提供或存储明文密码。 在脚本中运行此命令或查看肩膀的任何人都可以知道计算机的本地管理员密码。 知道密码后,他们可以访问其所有数据并模拟服务器本身。
Confirmation
“ 确认 ”页显示计划的降级。 该页不列出降级配置选项。 这是向导在降级开始前显示的最后一个页面。 “视图脚本”按钮创建 Windows PowerShell 降级脚本。
选择 Demote 以运行以下 AD DS 部署 cmdlet:
Uninstall-ADDSDomainController
将可选 Whatif 参数与 Uninstall-ADDSDomainController cmdlet 配合使用来查看配置信息。 这使你可以查看 cmdlet 的参数的显式值和隐式值。
例如:
重启提示是使用 ADDSDeployment Windows PowerShell 时取消作的最后一次机会。 若要替代该提示,请使用 -force 或 confirm:$false 参数。
Demotion
显示 “降级 ”页时,域控制器配置将开始且无法停止或取消。 此页上会显示详细作并写入日志:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
若要自动接受重新启动提示,请使用 -force 或 -confirm:$false 参数与任何 ADDSDeployment Windows PowerShell cmdlet。 若要防止服务器在升级结束时自动重新启动,请使用 -norebootoncompletion:$false 参数。
Warning
不建议重写重新启动。 成员服务器必须重新启动才能正常工作。
下面是强制降级的示例,其中包含 -forceremoval 和 -demoteoperationmasterrole 的最低必需参数。 由于用户以企业管理员组成员身份登录,因此不需要 -credential 参数:
下面是删除域中最后一个域控制器的示例,其中包含 -lastdomaincontrollerindomain 和 -removeapplicationpartitions 的最低必需参数:
如果你尝试在降级服务器前删除 AD DS 角色,Windows PowerShell 会阻止你,并显示错误:
Important
你必须在降级服务器之前重新启动计算机,然后才能删除 AD-Domain-Services 角色二进制文件。
Results
“ 结果 ”页显示促销的成功或失败以及任何重要的管理信息。 域控制器在 10 秒后自动重新启动。