天天看点

AD活动目录强制卸载域控制器

1. 环境描述

在活动目录站点:Default-First-Site-Name 有2个域控制器【DFDC-01 备】和【DFDC-02 主】,其备用域控制器需要升级,但无法降级,需要用到本文的方法进行卸载。

2、卸载域控制器

首先我们在被卸载的域控制器上打开cmd命令提示符,执行dcpromo /forceremoval,forceremoval参数的作用就是执行强制卸载,

卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更改,如下图所示:

AD活动目录强制卸载域控制器
AD活动目录强制卸载域控制器
AD活动目录强制卸载域控制器
AD活动目录强制卸载域控制器

接下来我们需要设置备用域控本地管理员的口令。

强制卸载域控制器后,将不再成为域内的成员服务器,而是会从域中脱离出去成为工作组中的独立服务器。

AD活动目录强制卸载域控制器
AD活动目录强制卸载域控制器

3、手工清理Active Directory数据

备用域控制器被强制卸载后,域内的其他域控制器并不知道这件事情,它们仍然认为备用域控制器仍然是控制器的一员,因此我们必须手工将备用域控制器从Active Directory中清除出去。

我们准备在主域控制器上对Active Directory进行手工清理,然后主域控制器再把清理后的Active Directory复制到其他域控制器就可以了。

在主域控制器上运行NTDSUTIL(此命令来源WINDOWS支持工具),如下图所示,选择“Metadata Cleanup”,准备清除不使用的服务器对象。

AD活动目录强制卸载域控制器

然后使用“connections”准备连接到指定的域控制器执行删除操作,输入“connect to server DFDC-02”连接到主DC:DFDC-02,然后输入“quit”返回上级菜单。

AD活动目录强制卸载域控制器

接下来我们需要使用“Select operation target”来选择被删除的服务器对象。

选择服务器时,我们需要指定服务器所在的域和站点。我们可以先用 list 指令列出站点和域,然后再进行选择。备DC隶属于Default-First-Site-Name站点,备DC所在的域是dafy.cn。

AD活动目录强制卸载域控制器

我们首先用“list sites”列出了当前站点,然后用“select site 0”选定了Default-First-Site-Name站点,我们可以看到对站点的描述用的是数字而不是字符。

选择了站点之后,我们接下来使用“list domains in site”列出了站点中的域,当前只有一个域dafy.cn,编号是0,因此我们接下来使用“select domain 0”就可以把域也选定了。

域和站点都选定了,我们就可以进行服务器的选择了,使用“list servers for domain in site”可以列出所有的服务器,当前Default-First-Site-Name站点有2个域控制器,因此我们使用“select server 0”选定服务器。

至此,被手工清理的目标已被我们锁定了。

AD活动目录强制卸载域控制器

用“quit”命令退出选择操作对象的环境,返回到上级菜单,然后我们使用“Remove selected Server”删除被选定的服务器对象DFDC-01。

NTDSUTIL提示我们对删除DFDC-01服务器的行为进行确认,我们选择“Y”确定操作。

AD活动目录强制卸载域控制器

这样DFDC-01被我们从DFDC-02的Active Directory中清除了,然后我们在DFDC-02上打开Active Directory用户和计算机,如下图所示,删除域控制器DFDC-01。

我们需要对删除DFDC-01的原因进行描述,如下图所示,Firenze是被我们强制卸载的。确定要进行删除Firenze的操作,选择“Y“。

AD活动目录强制卸载域控制器
AD活动目录强制卸载域控制器

至此,我们在主DC上基本完成了对备DC的手工清除,完成操作后还需要注意以下几点:

1.手工清除DNS中备DC的SRV记录

2.如果备DC承担了操作主机角色,把操作主机角色转移到其他域控制器

3.如果备DC是全局编录服务器,选择其他的域控制器负责全局编录

4.把主DC的Active Directory复制到其他域控制器上综上所述,我们发现其实对域控制器进行强制卸载是很麻烦的事,我们不应该把它当成一种常态行为,只有当域控制器确实没有希望进行常规卸载时,我们才考虑使用强制卸载,而且使用强制卸载后一定要注意后续对Active Directory的手工清理!

继续阅读