Degradación de controladores de dominio y dominios

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server

En este artículo se explica cómo quitar AD DS mediante el Administrador del servidor o Windows PowerShell.

Flujo de trabajo de eliminación de AD DS

AD DS removal workflow chart

Precaución

No se admite la eliminación de roles de AD DS con Dism.exe ni con el módulo DISM de Windows PowerShell después de la promoción a controlador de dominio. Si se hace, el servidor no podrá arrancar con normalidad.

Al contrario que el Administrador del servidor o el módulo ADDSDeployment de Windows PowerShell, DISM es un sistema de mantenimiento nativo que no tiene un conocimiento inherente de AD DS o de su configuración. No utilices Dism.exe ni el módulo DISM de Windows PowerShell para desinstalar el rol de AD DS, salvo que el servidor ya no sea un controlador de dominio.

Degradación y eliminación de roles con PowerShell

Cmdlets ADDSDeployment y ServerManager Argumentos (Los argumentos en negrita son necesarios. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Nota

El argumento -credential solo es obligatorio si no se ha iniciado sesión como miembro del grupo Administradores de empresas (disminuyendo de nivel el último DC en un dominio) o del grupo Admins. del dominio (disminuyendo de nivel una réplica de DC). El argumento -includemanagementtools solo es obligatorio si se quieren quitar las utilidades de administración de AD DS.

Reducir de nivel

Quitar roles y funciones

El Administrador del servidor ofrece dos interfaces para quitar el rol de Servicios de dominio de Active Directory:

  • En el menú Administrar del panel principal, selecciona Quitar roles y funciones

    Server Manager - Remove Roles and Features

  • Seleccione AD DS o Todos los servidores en el panel de navegación. Desplázate hacia abajo hasta llegar a la sección Roles y características. Haga clic con el botón secundario en Active Directory Domain Services en la lista Roles y características, y seleccione Quitar rol o característica. Esta interfaz omite la página Selección de servidor.

    Server Manager - All Servers- Remove Roles and Features

Los cmdlets del Administrador del servidor Uninstall-WindowsFeature y Remove-WindowsFeature impiden que se elimine el rol de AD DS hasta que el controlador de dominio disminuye de nivel.

Selección de servidor

Remove Roles and Features Wizard select destination server

El cuadro de diálogo Selección de servidor le permite elegir uno de los servidores agregados anteriormente al grupo, siempre que esté accesible. El servidor local donde se ejecuta el Administrador del servidor está siempre disponible automáticamente.

Características y roles del servidor

Remove Roles and Features Wizard - Select roles to remove

Desactive la casilla Active Directory Domain Services para disminuir un controlador de dominio de nivel; si el servidor es un controlador de dominio actualmente, esto no hace que se elimine el rol de AD DS, sino que se pasa al cuadro de diálogo Resultados de la validación, donde se propone la disminución de nivel. De lo contrario, se quitarán los archivos binarios, como ocurre con cualquier otra característica de rol.

  • No quite ningún otro rol ni característica relacionada con AD DS (como DNS, GPMC o las herramientas RSAT) si va a volver a aumentar de nivel el controlador de dominio. Quitar más roles y características hace que aumente el tiempo que debas invertir en promoverlo, dado que el Administrador del servidor reinstala estas características cuando el rol se reinstala.

  • Quita los roles y características de AD DS que no necesites según tus propios criterios si vas a disminuir el controlador de dominio de nivel permanentemente. Para ello, tienes que desactivar todas las casillas correspondientes a esos roles y características.

    La lista completa de roles y características relativos a AD DS incluye lo siguiente:

    • La característica Módulo de Active Directory para Windows PowerShell
    • La característica Herramientas de AD DS y AD LDS
    • La característica Centro de administración de Active Directory
    • La característica Complementos y herramientas de línea de comandos de AD DS
    • Servidor DNS
    • Consola de administración de directivas de grupo

Los cmdlets equivalentes en Windows PowerShell para ADDSDeployment y ServerManager son:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Credenciales

Active Directory Domain Services Configuration Wizard - Credentials selection

Las opciones de degradación se configuran en la página Credenciales. Proporcione las credenciales necesarias para realizar la degradación de la siguiente lista:

  • La degradación de un controlador de dominio adicional requiere credenciales de Administrador de dominio. Si se selecciona la opción para forzar la eliminación del controlador de dominio, se degrada el controlador de dominio sin quitar los metadatos del objeto del controlador de dominio de Active Directory.

    Advertencia

    No seleccione esta opción a menos que el controlador de dominio no pueda establecer contacto con otros controladores de dominio y no haya una forma razonable para resolver el problema de red. La degradación forzada deja metadatos huérfanos en Active Directory en los controladores de dominio restantes del bosque. Además, todos los cambios no replicados en ese controlador de dominio, como por ejemplo contraseñas o cuentas de usuario nuevas, se pierden para siempre. Los metadatos huérfanos son la causa raíz en un porcentaje significativo de casos del Soporte al cliente de Microsoft para AD DS, Exchange, SQL y otro software.

    Si degrada a la fuerza un controlador de dominio, debe realizar la limpieza manual de los metadatos en forma inmediata. Para conocer los pasos necesarios, consulta el tema Limpiar metadatos de servidor.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • La disminución de nivel del último controlador de dominio en un dominio requiere la pertenencia al grupo Administradores de empresas, ya que esto quita el dominio en sí (y, si es el último dominio en el bosque, se quita el bosque). El Administrador del servidor le informa si el controlador de dominio actual es el último controlador de dominio en el dominio. Activa la casilla Último controlador de dominio en el dominio para confirmar que el controlador de dominio es el último en el dominio.

Los argumentos equivalentes en el módulo ADDSDeployment de Windows PowerShell son:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Advertencias

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

En la página Advertencias verás alertas de las posibles consecuencias que conlleva eliminar este controlador de dominio. Para proseguir, debes seleccionar Continuar con la eliminación.

Advertencia

Si activaste antes Forzar la eliminación de este controlador de dominio en la página Credenciales, la página Advertencias mostrará todos los roles de Operaciones de maestro único flexible que este controlador de dominio hospeda. Debes asumir los roles de otro controlador de dominio de inmediato tras disminuir este servidor de nivel. Para obtener más información sobre cómo asumir roles de FSMO, consulta Asumir el rol de maestro de operaciones.

Esta página carece de argumento equivalente en Windows PowerShell para ADDSDeployment.

Opciones de eliminación

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

La página Opciones de eliminación se muestra en función de si antes se ha seleccionado Último controlador de dominio en el dominio en la página Credenciales. En esta página podrás configurar más opciones de eliminación. Seleccione Ignorar último servidor DNS para zona, Quitar particiones de aplicación y Quitar delegación DNS para activar el botón Siguiente.

Las opciones solo aparecen si procede en el caso de este controlador de dominio. Por ejemplo, si no hay delegación DNS para este servidor, la casilla correspondiente no se mostrará.

Seleccione Cambiar para especificar otras credenciales administrativas de DNS. Seleccione Ver particiones para ver más particiones que el asistente haya quitado durante la disminución de nivel. Las únicas particiones adicionales son las zonas DNS de dominio y DNS de bosque de forma predeterminada. El resto de particiones no son de Windows.

Los argumentos del cmdlet ADDSDeployment equivalentes son:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Nueva contraseña de administrador

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

En la página Nueva contraseña de administrador se requiere que proporcione una contraseña para la cuenta Administrador integrada del equipo local, una vez que la degradación se complete y el equipo se convierta en un servidor miembro de dominio o equipo de grupo de trabajo.

Si no se especifican, el cmdlet Uninstall-ADDSDomainController y sus argumentos correspondientes siguen los mismos valores predeterminados del Administrador del servidor.

El argumento LocalAdministratorPassword es especial:

  • Si no se especifica como argumento, el cmdlet te pedirá que escribas y confirmes una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.
  • Si se especifica con un valor, debe ser una cadena segura. Este no es el uso preferido cuando el cmdlet se ejecuta de manera interactiva.

Por ejemplo, puedes solicitar una contraseña de forma manual con el cmdlet Read-Host para pedirle al usuario que escriba una cadena segura:

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Advertencia

Como las dos opciones anteriores no confirman la contraseña, ten mucho cuidado: la contraseña no es visible.

También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas. Por ejemplo:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Advertencia

No se recomienda proporcionar o almacenar una contraseña no cifrada. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de administrador local de ese equipo y, conociéndola, tendrá acceso a todos los datos y podrá suplantar al servidor.

Confirmación

Active Directory Domain Services Configuration Wizard - Review Options

En la página Confirmación se muestra la disminución de nivel planeada, pero no las opciones de configuración de disminución de nivel. Se trata de la última página del asistente antes de que la disminución de nivel se inicie. Con el botón Ver script se crea un script de disminución de nivel de Windows PowerShell.

Seleccione Disminuir nivel para ejecutar el siguiente cmdlet de implementación de AD DS:

Uninstall-ADDSDomainController

Emplea el argumento opcional Whatif con el cmdlet Uninstall-ADDSDomainController para repasar la información de configuración. Te permitirá ver los valores explícitos e implícitos de los argumentos de un cmdlet.

Por ejemplo:

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

El mensaje para reiniciar es tu última oportunidad de cancelar esta operación cuando uses ADDSDeployment de Windows PowerShell. Para invalidar ese mensaje, usa los argumentos -force o confirm:$false.

Degradación

Active Directory Domain Services Configuration Wizard - Demotion in progress

Cuando la página Degradación se abre, se inicia la configuración del controlador de dominio, que no se puede interrumpir ni cancelar. En dicha página se muestran las operaciones detalladas, que escriben en los registros:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

ComoUninstall-ADDSDomainController y Uninstall-WindowsFeature solo tienen una acción cada una, se muestran aquí en la fase de confirmación con los argumentos necesarios mínimos. Si presionas ENTRAR, se inicia el proceso de disminución de nivel irrevocable y el equipo se reinicia.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Para aceptar el aviso de reinicio de forma automática, utiliza los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment de Windows PowerShell. Para evitar que el servidor se reinicie automáticamente al final de la promoción, usa el argumento -norebootoncompletion:$false.

Advertencia

No se recomienda invalidar el reinicio. El servidor miembro debe reiniciarse para funcionar correctamente.

PowerShell Uninstall-ADDSDomainController Force Example

Este es un ejemplo de disminución de nivel forzada con los argumentos mínimos requeridos de -forceremoval y -demoteoperationmasterrole. El argumento -credential no es necesario porque el usuario ha iniciado sesión como miembro del grupo Administradores de organización:

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Este es un ejemplo de eliminación del último controlador de dominio en un dominio con los argumentos mínimos requeridos -lastdomaincontrollerindomain y -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Si intentas eliminar el rol de AD DS antes de disminuir el servidor de nivel, Windows PowerShell lo impedirá y mostrará un error:

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Importante

Para poder eliminar los archivos binarios del rol AD-Domain-Services, debes reiniciar el equipo después de disminuir el servidor de nivel.

Results

You're About to be signed off warning after removal of AD DS

La página Resultados indica si la promoción se realizó correctamente o si se produjo algún error, junto con toda la información administrativa importante que corresponda. El controlador de dominio se reiniciará automáticamente 10 segundos después.