Como rebaixar controladores de domínio e domínios

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server

Este artigo explica como remover o AD DS usando o Gerenciador do Servidor ou o Windows PowerShell.

Fluxo de trabalho de remoção do AD DS

AD DS removal workflow chart

Cuidado

Remover as funções AD DS com Dism.exe ou o módulo DISM do Windows PowerShell após a promoção para um Controlador de Domínio não é possível e impedirá que o servidor seja reinicializado normalmente.

Diferente do Gerenciador do Servidor ou do módulo de implantação do AD DS para Windows PowerShell, o DISM é um sistema de instalação nativo que não possui conhecimento inerente de AD DS ou de sua configuração. Não use Dism.exe ou o módulo do DISM do Windows PowerShell para desinstalar a função AD DS, a menos que o servidor não seja mais um controlador de domínio.

Rebaixamento e remoção de função com o PowerShell

Cmdlets do ADDSDeployment e ServerManager Argumentos (Os argumentos em negrito são obrigatórios. Os argumentos em itálico podem ser especificados por meio do Windows PowerShell ou do Assistente de Configuração do AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Observação

O argumento -credential somente é necessário se você ainda não tiver entrado como membro do grupo Administradores de Empresa (rebaixando o último DC em um domínio) ou o grupo Admins. do Domínio (rebaixando um DC de réplica). O argumento -includemanagementtools é necessário somente se você também desejar remover todos os utilitários de gerenciamento do AD DS.

Rebaixar

Remover funções e recursos

O Gerenciador do Servidor oferece duas interfaces para remover a função do Serviços de Domínio Active Directory:

  • O menu Gerenciar no dashboard, usando Remover funções e recursos

    Server Manager - Remove Roles and Features

  • Selecione AD DS ou Todos os Servidores no painel de navegação. Arraste para baixo até a seção Função e recursos. Clique com o botão direito do mouse em Active Directory Domain Services na lista Funções e recursos e clique em Remover funções e recursos. Esta interface ignora a página Seleção do servidor.

    Server Manager - All Servers- Remove Roles and Features

Os cmdlets Uninstall-WindowsFeature e Remove-WindowsFeature do ServerManager impedirão que você remova a função do AD DS até rebaixar o controlador de domínio.

Seleção do servidor

Remove Roles and Features Wizard select destination server

O diálogo Seleção do Servidor permite que você escolha um dos servidores previamente adicionados ao pool, desde que ele esteja acessível. O servidor local que executa o Gerenciador do Servidor sempre está disponível automaticamente.

Funções e recursos do servidor

Remove Roles and Features Wizard - Select roles to remove

Desmarque a caixa de seleção Active Directory Domain Services para rebaixar um controlador de domínio; se o servidor for um controlador de domínio no momento, isso não remove a função do AD DS, mas sim alterna para uma caixa de diálogo Resultados de validação que apresenta a opção de rebaixamento. Caso contrário, ele removerá os binários como qualquer outro recurso de função.

  • Não remova ou adicione outras funções ou recursos relacionados ao AD DS, como DNS, GPMC ou as ferramentas RSAT, se pretender promover o controlador de domínio novamente imediatamente. Remover as funções e recursos adicionais eleva o tempo necessário para a nova promoção, pois o Gerenciador do Servidor reinstala esses recursos ao reinstalar a função.

  • Remova as funções e recursos desnecessários do AD DS livremente se você pretende manter o controlador de domínio rebaixado permanentemente. Isso requer desmarcar todas as caixas de seleção para as funções e recursos em questão.

    A lista completa de funções e recursos relacionados ao AD DS inclui:

    • Recurso do módulo Active Directory para o Windows PowerShell
    • Recurso AD DS e AD LDS
    • Recurso do Centro Administrativo do Active Directory
    • Recurso de snap-ins AD DS e ferramentas de linha de comando
    • Servidor DNS
    • Console de gerenciamento de política de grupo

Os cmdlets equivalentes do ADDSDeployment e ServerManager do Windows PowerShell são:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Credenciais

Active Directory Domain Services Configuration Wizard - Credentials selection

Você pode configurar opções de rebaixamento na página Credenciais. Forneça as credenciais necessárias à execução do rebaixamento na lista a seguir:

  • O rebaixamento de um controlador de domínio adicional exige credenciais de Admin. do Domínio. A seleção de Forçar a remoção deste controlador de domínio rebaixa o controlador de domínio sem remover os metadados do objeto do controlador de domínio do Active Directory.

    Aviso

    Não selecione essa opção, a menos que o controlador de domínio não possa contatar outros controladores de domínio e não haja outra maneira razoável de solucionar o problema de rede. O rebaixamento forçado resulta em metadados órfãos no Active Directory, nos controladores de domínio remanescentes na floresta. Além disso, todas as alterações que não foram replicadas nesse controlador de domínio, como senhas ou novas contas de usuário, serão perdidas definitivamente. Metadados órfãos são a principal causa da significativa porcentagem de casos no Atendimento ao Cliente da Microsoft para AD DS, Exchange, SQL e outros softwares.

    Se você forçar o rebaixamento de um controlador de domínio, execute manual e imediatamente a limpeza dos metadados. Para conhecer as etapas, examine Limpar metadados do servidor.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • O rebaixamento do último controlador de domínio em um domínio exige associação ao grupo Administradores de Empresa, pois esse processo remove o domínio propriamente dito (e se este for o último domínio da floresta, ele removerá a floresta). O Gerenciador do Servidor informará se o atual controlador de domínio for o último no domínio. Marque a caixa de seleção Último controlador de domínio no domínio para confirmar que o controlador de domínio é o último controlador de domínio no domínio.

Os argumentos equivalentes de ADDSDeployment do Windows PowerShell são:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Warnings

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

A página Avisos alerta sobre as possíveis consequências de remover este controlador de domínio. Para continuar, selecione Prosseguir com a remoção.

Aviso

Se Forçar a remoção deste controlador de domínio na página Credenciais tiver sido marcado anteriormente, a página Avisos mostrará as funções de Operações de mestre único flexível hospedadas por este controlador de domínio. Você deverá executar as funções de outro controlador de domínio imediatamente após rebaixar este servidor. Para obter mais informações sobre como executar funções FSMO, consulte Capturar a função de mestre de operações.

Esta página não tem um argumento equivalente para o ADDSDeployment no Windows PowerShell.

Opções de remoção

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

A página Opções de remoção será exibida se o Último controlador de domínio no domínio tiver sido selecionado na página Credenciais. Esta página permite configurar as opções adicionais de remoção. Selecione Ignorar último servidor de DNS da zona, Remover partições de aplicativo e Remover Delegação de DNS para habilitar o botão Avançar.

As opções somente aparecerão se forem aplicáveis a este controlador de domínio. Por exemplo, se não houver delegação de DNS para este servidor, a caixa de seleção em questão não será exibida.

Selecione Alterar para especificar credenciais administrativas de DNS alternativas. Selecione Ver partições para ver as partições adicionais que o assistente remove durante o rebaixamento. Por padrão, as únicas partições adicionais são DNS de domínio e Zonas de DNS de floresta. Todas as demais partições não pertencem ao Windows.

Os argumentos de cmdlet equivalentes do ADDSDeployment são:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Nova Senha do Administrador

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

A página Nova Senha do Administrador exige que você forneça uma senha para a conta Administrador do computador local interno assim que o rebaixamento é concluído e o computador passa a ser um servidor membro do domínio ou um computador de grupo de trabalho.

Os cmdlets e os argumentos Uninstall-ADDSDomainController seguirão os mesmos padrões do Gerenciador do Servidor, se não for especificado.

O argumento LocalAdministratorPassword é especial:

  • Se não especificado como um argumento, o cmdlet solicitará que você insira e confirme uma senha mascarada. Este é o uso preferencial ao executar o cmdlet interativamente.
  • Se com um valor for especificado, o valor deverá ser uma cadeia de caracteres segura. Este é o uso preferencial ao executar o cmdlet interativamente.

Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma cadeia de caracteres segura.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Aviso

Como as duas opções anteriores não confirmam a senha, seja extremamente cuidadoso: a senha não fica visível.

Você também pode fornecer uma cadeia de caracteres segura como uma variável de texto não criptografado convertida, embora seja altamente recomendável não fazer isso. Por exemplo:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Aviso

O fornecimento ou o armazenamento de uma senha com texto não criptografado não é recomendável. Qualquer pessoa que executar esse comando em um script ou que estiver por perto tomará conhecimento da senha do administrador local daquele computador. Sabendo disto, ela terá acesso a todos os seus dados e poderá passar-se pelo próprio servidor.

Confirmação

Active Directory Domain Services Configuration Wizard - Review Options

A página Confirmação mostra o rebaixamento planejado. Ela não lista as opções de configuração de rebaixamento. Esta é a última página mostrada pelo assistente antes do início do rebaixamento. O botão Ver script cria um script de rebaixamento do Windows PowerShell.

Selecione Rebaixar para executar o seguinte cmdlet de Implantação do AD DS:

Uninstall-ADDSDomainController

Use o argumento opcional Whatif com o Uninstall-ADDSDomainController e o cmdlet para examinar as informações da configuração. Isso permite que você veja os valores explícitos e implícitos de argumento de um cmdlet.

Por exemplo:

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

o prompt para reiniciar é sua última oportunidade de cancelar esta operação ao usar o ADDSDeployment no Windows PowerShell. Para substituir este prompt, use os argumentos -force ou confirm:$false.

Rebaixamento

Active Directory Domain Services Configuration Wizard - Demotion in progress

Quando a página Rebaixamento é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e gravadas em logs:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Como Uninstall-ADDSDomainController e Uninstall-WindowsFeature têm apenas uma ação cada, eles são mostrados nesta fase de Confirmação com os argumentos mínimos necessários. Pressionar ENTER inicia o processo irrevogável de rebaixamento e reinicia o computador.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Para aceitar o prompt de reinicialização automática, use os argumentos -force ou -confirm:$false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para evitar que o servidor reinicie automaticamente no final da promoção, use o argumento -norebootoncompletion:$false.

Aviso

Não é recomendável substituir a reinicialização. O servidor membro deve ser reiniciado para funcionar corretamente.

PowerShell Uninstall-ADDSDomainController Force Example

Aqui está um exemplo de rebaixamento forçado com o mínimo necessário de argumentos -forceremoval e -demoteoperationmasterrole. O argumento -credential não é necessário porque o usuário fez logon como membro do grupo Administradores Corporativos:

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Aqui está um exemplo de remoção do último controlador de domínio, no domínio, usando o mínimo necessário de argumentos -lastdomaincontrollerindomain e -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Se você tentar remover a função do AD DS antes de rebaixar o servidor, o Windows PowerShell bloqueará você com um erro:

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Importante

O computador deverá ser reiniciado depois de rebaixar o servidor antes de ser possível remover os binários de função do AD DS.

Resultados

You're About to be signed off warning after removal of AD DS

A página Resultados mostra o sucesso ou o fracasso da promoção e qualquer informação administrativa importante. O controlador de domínio reiniciará automaticamente após 10 segundos.