Een domeincontroller degraderen (stapsgewijze handleiding)
Is je domeincontroller kapot en wil je deze handmatig verwijderen? Geen probleem. In deze handleiding zal ik twee opties doornemen om een domeincontroller te verwijderen. Als je nog toegang hebt tot de server, dan heeft optie 1 de voorkeur.
Optie 1:
Een domeincontroller degraderen met Server Manager.
Gebruik deze optie als u nog toegang heeft tot de server.
Optie 2:
Een domeincontroller handmatig verwijderen.
Gebruik deze optie als de server kapot is of je er geen toegang meer toe hebt.
In beide voorbeelden gebruik ik de Windows Server 2016, maar deze stappen werken ook voor Server 2012 en hoger.
Tip 1
Vanaf Server 2008 worden de metadata van domeincontrollers automatisch opgeschoond.
Voor Windows Server 2003 of eerder moet het commando “ntdsutil” worden gebruikt om metagegevens op te schonen. Dat gezegd hebbende, moet je de server nog steeds handmatig van sites en services verwijderen.
Tip 2
Zorg ervoor dat er geen andere services op de server draaien (zoals DNS of DHCP) voordat u de server afsluit. Als u dit kunt vermijden, kunt u uzelf een grote hoofdpijn besparen.
Tip 3
Als de domeincontroller die u verwijdert FSMO-rollen heeft geconfigureerd, worden deze automatisch naar een andere DC overgebracht. U kunt dit controleren met het commando ”netdom query FSMO”.
Optie 1:
Een domeincontroller degraderen met Server Manager
Dit is de aanbevolen methode van Microsoft voor het verwijderen van een domeincontroller.
Stap 1.
Open Serverbeheer
Stap 2.
Selecteer “Remote rollen en functies”
Klik op volgende op de pagina “Voordat u begint”
Stap 3.
Selecteer op de serverselectiepagina de server die u wilt degraderen en klik op de volgende knop.
In dit voorbeeld degradeer ik server “srv-2016”
Stap 4.
Schakel “Active Directory Domain Services” uit op de pagina Serverrollen.
Wanneer u het vinkje weghaalt, krijgt u een pop-up om functies te verwijderen waarvoor Active Directory Domain Services vereist is.
Stap 5.
Selecteer ”Deze domeincontroller degraderen”.
Zorg ervoor dat u in het volgende scherm NIET “De verwijdering van deze domeincontroller forceren” selecteert. U moet dit alleen selecteren als u de laatste domeincontroller in het domein verwijdert.
U kunt indien nodig ook inloggegevens op dit scherm wijzigen.
Klik op volgende
Stap 6.
Op het waarschuwingsscherm krijgt u een waarschuwing dat deze server extra rollen heeft. Als u clientcomputers heeft die deze server gebruiken voor DNS, moet u deze bijwerken zodat ze naar een andere server verwijzen, aangezien de DNS-rol wordt verwijderd.
Vink het vakje aan “Doorgaan met verwijderen en klik op volgende”
Stap 7.
Als u DNS-delegatie heeft, kunt u “DNS-delegatie verwijderen” selecteren en op volgende klikken. In de meeste gevallen heeft u geen DNS-delegatie en kunt u dit vakje uitschakelen.
Stap 8.
Voer nu het nieuwe beheerderswachtwoord in. Dit is voor het lokale beheerdersaccount op deze server.
Stap 9.
Bekijk de opties en klik op “Degraderen”
Tip
Er is een knop “script bekijken” die een PowerShell-script genereert om alle stappen te automatiseren die we zojuist hebben doorlopen. Als u extra domeincontrollers wilt verwijderen, kunt u dit script gebruiken.
Wanneer u op degraderen klikt, wordt de server gedegradeerd en opnieuw opgestart. Zodra het opnieuw is opgestart, is de server een lidserver. U kunt inloggen met domeinreferenties op de server.
Aanvullende opruimstappen
Om de een of andere reden heeft Microsoft besloten sites en services niet op te nemen in het opschoningsproces. Misschien is het daar achtergelaten voor het geval u de server terug wilt promoveren naar een domeincontroller. Als u de server niet terug naar een DC gaat promoten, volgt u deze stappen.
- Open Active Directory Sites en Services en verwijder de server
Je kunt hierboven zien dat de server die ik zojuist heb gedegradeerd nog steeds wordt vermeld in sites en services. Ik zal er gewoon met de rechtermuisknop op klikken en het verwijderen.
Dat is het voor optie 1. U kunt naar de map “Domeincontrollers” gaan en controleren of de server is verwijderd. Het is ook een goed idee om het commando ”dcdiag” uit te voeren na het verwijderen van een DC om er zeker van te zijn dat uw omgeving geen grote fouten bevat.
Mogelijk moet u ook de replicatie controleren en testen. U kunt het commando ”repadmin” gebruiken om te testen op replicatieproblemen.
Optie 2: Een domeincontroller handmatig verwijderen
Gebruik deze optie als de server kapot is, de verbinding verbroken is of u er gewoon geen toegang toe hebt. Er is eigenlijk maar 1 stap.
Stap 1.
Open op een andere domeincontroller of computer met RSAT-tools “Active Directory: gebruikers en computers”
Ga naar de map domeincontrollers. Klik met de rechtermuisknop op de domeincontroller die u wilt verwijderen en klik op verwijderen.
Selecteer in het volgende scherm het vakje “Deze domeincontroller toch verwijderen” en klik op verwijderen”
Als de DC een globale catalogusserver is, krijgt u een extra bericht om de verwijdering te bevestigen. klik op Ja.
De laatste stap zou zijn om de server van Sites en Services te verwijderen, net zoals ik je liet zien in optie 1.
Zoals ik boven aan dit artikel al zei, beginnend met server 2008 wordt het opschonen van metagegevens automatisch gedaan met beide opties. De meeste handleidingen zullen u vertellen om de opdrachtprompt te openen en het commando ”ntdsutil” uit te voeren om de metagegevens op te schonen. Dit is niet nodig als uw serverbesturingssysteem 2008 of hoger is.
Het lijkt gemakkelijker om de DC handmatig te verwijderen dan door de serverbeheerwizard te gaan. Technisch gezien weet ik niet zeker wat het verschil is, maar Microsoft raadt aan om de verwijderingswizard te gebruiken als je kunt. Gebruik de handmatige methode als laatste optie.
Samenvatting
In deze handleiding heb ik je twee methoden laten zien voor het verwijderen van een domeincontroller. Microsoft heeft dit proces zeer eenvoudig gemaakt door de metadata automatisch op te schonen vanaf server 2008. Aangezien netwerken en systemen voortdurend veranderen, kan er een moment komen dat u een domeincontroller moet verwijderen.
24 uur per dag, 365 dagen per jaar
IT Support
Onze IT-ondersteuning is uitstekend georganiseerd. Onze medewerkers staan 365 dagen per jaar, 24 uur per dag, 7 dagen per week voor u klaar.