Przed przystąpieniem do usuwania starego kontrolera domeny należy upewnić się, że role FSMO (
Przeniesienie ról FSMO
W celu przeniesienia ról logujemy się do nowego kontrolera domeny (tego, który ma przejąć role) i wchodzimy w
Acive Directory Users and Computers. Następnie klikamy prawym klawiszem na nazwę domeny i nie wybieramy od razu
Operations Masters, bo nie będziemy mogli poprawnie przenieść ról, ale wybieramy
Change Domain Controller.
 |
| Opcja Change Domain Controller... |
Następnie zaznaczamy nowy kontroler domeny, który ma przejąć role FSMO i klikamy
OK.
 |
| Wybór kontrolera mającego przejąć role |
Dopiero teraz klikamy ponownie prawym klawiszem na nazwę domeny i wybieramy
Operations Masters....
Na zakładce
RID widzimy, że w niniejszym przykładzie rolę tą pełni serwer o nazwie
win2003.test.local. W polu niżej widnieje wybrany przez nas w poprzednim kroku nowy serwer.
 |
| W górnym polu dotychczasowy "wlaściciel" roli, w dolnym przyszły |
Gdybyśmy wcześniej pominęli krok zmiany kontrolera domeny, to w obu polach mielibyśmy nazwę starego serwera i nie moglibyśmy przenieść roli ponieważ przywitałby nas błąd o poniższej treści:
The current Domain Controller is the operations master. To transfer the operations master role to another computer, you must first connect to it
Jeżeli jednak mamy wszystko ok, to klikamy przycisk
Change.... i
Yes w celu potwierdzenia.
 |
| Czy aby na pewno chcesz przetransferować rolę? Ale, czy na pewno? Ale...? ;) |
Poprawne zakończenie przenoszenia roli sygnalizowane jest poniższym komunikatem.
 |
| Komunikat informujący o prawidłowym przeniesieniu roli |
Następnie klikamy w zakładki
PDC i
Infrastructure i w sposób analogiczny jak powyżej przenosimy te role na nowy serwer.
Usunięcie Wykazu Globalnego (GC) ze starego kontrolera
Z dużym prawdopodobieństwem Wasz stary kontroler przechowuje wykaz globalny i próba jego usunięcia zakończyłaby się błędem jak poniżej.
 |
| Błąd przy próbie usuwania kontrolera domeny (win 2003) przechowującego wykaz globalny |
Aby taki błąd się nie pojawił, zawczasu należy przenieść wykaz globalny na nowy serwer (o ile go jeszcze nie przechowuje), zaś ze starego usunąć.
Zarządzać wykazem globalnym można zarówno na starym, jak i na nowym kontrolerze domeny. Ja w niniejszym przykładzie przedstawię jak wygląda to od strony systemu Windows 2012.
Należy zalogować się do systemu, a następnie poprzez
Server Managera uruchomić
Active Directory Sites and Services.
Teraz w gałęzi
NTDS Settings dotyczącej nowego serwera (1) klikamy prawym klawiszem wybieramy
Properties, a następnie w oknie
NTDS Settings Properties sprawdzamy, czy zafajkowane jest pole
Global Catalog (2). Jeżeli tak, to nasz nowy serwer przechowuje już wykaz globalny, a jeżeli nie, to zafajkowujemy tą opcję.
 |
| Weryfikacja przechowywania wykazu globalnego w Windows 2012 Server |
Gdy wykaz globalny jest już przechowywany przez nowy serwer, to postępując podobnie jak powyżej, odfajkowujemy
Global Catalog w gałęzi
NTDS Settings dotyczącej starego serwera.
Kasowanie partycji TAPI3Directory
Częstym błędem podczas dezautoryzacji kontrolera domeny opartego na systemie Windows 2003 jest informacja o przechowywaniu ostatniej repliki partycji katalogu aplikacji TAPI3Directory. Odpowiada ona za przechowywanie usług telefonicznych w AD i może powodować, że proces dezautoryzacji zakończy się niepowodzeniem.
 |
| Informacja o partycji TAPI3Directory podczas dezautoryzacji kontrolera domeny |
Jeżeli nie przechowujemy takich danych w AD (czyli raczej na pewno), możemy usunąć tą partycję poleceniem:
tapicfg remove /Directory:TAPI3Directory.nazwa.domeny /Server:nazwa.serwera.z.domeną
 |
| Usuwanie partycji TAPI3Directory zakończone powodzeniem |
Zatrzymanie usługi "NETLOGON"
W końcowym etapie polecam ręczne zatrzymanie usługi NETLOGON, ponieważ jeżeli tego nie zrobimy, to na końcu usuwania kontrolera domeny możemy otrzymać komunikat o timeoucie tej usługi, co z kolei będzie skutkowało niepowodzeniem dezautoryzacji kontrolera domeny.
Do ręcznego zatrzymania usługi możemy użyć polecenia jak poniżej:
net stop netlogon.
 |
| Ręczne zatrzymanie usługi netlogon |
Usuwanie kontrolera z Windows 2003 Server
Czynności powyższe powinny przygotować nasze środowisko do bezproblemowego usunięcia kontrolera domeny opartego o Windows 2003 Server.
W tym celu logujemy się do niego i poprzez
Start →
Uruchom wydajemy polecenie
dcpromo.
Pojawia się kreator, który informuje nas, że niniejszy serwer jest już kontrolerem domeny i możemy go użyć do usunięcia usług Active Directory z tego serwera.
 |
| Kreator dcpromo |
O ile nasz serwer nie jest ostatnim kontrolerem domeny w domenie, to nie zaznaczamy nic i klikamy
Dalej >
 |
| NIE ZAZNACZAMY. Chyba, że jesteście na 1000% pewni, że chcecie |
Jeżeli w tym momencie macie coś innego niż ustanawianie hasła dla administratora lokalnego (jak poniżej), to wróćcie się wyżej, do podpunktu
Kasowanie partycji TAPI3Directory.
 |
| Wpisać hasło, zapisać na kartce, kartkę podrzeć, a resztki spalić - żart oczywiście ;) |
Ostatnim krokiem kreatora jest wyświetlenie podsumowania. Jeżeli nie ma tam nic co by nas wyraźnie niepokoiło, klikamy
Dalej > i trzymamy kciuki, aby coś nie wybuchło :)
 |
| Jeżeli ktoś nie wie co aktualnie robi, to otrzyma informację podsumowującą z której się dowie |
Serwer teraz "pomieli" sobie chwilkę....
 |
| W oczekiwaniu na... Admini to jednak mają stresującą pracę .... |
i jeżeli wszystko przebiegło pomyślnie, to na końcu powinniśmy otrzymać komunikat jak poniżej.
 |
| Hurra! Udało się :) |
Teraz uruchamiamy serwer od nowa i logujemy się na konto administratora z hasłem, które ustawiliśmy 4 screeny wyżej.
Mam nadzieję, że cała operacja przebiegnie u Was bez problemów :)
Jednocześnie pragnę zaznaczyć, że to jeszcze nie wszystko. Teraz należy "posprzątać" po usuniętym kontrolerze, ale to opiszę w jednym z kolejnych postów.
Przeczytałem artykuł, dla mnie świetnie napisany! Kiedy możba się spodziewać artykułu o "sprzątaniu" wspomnianym w ostatnim zdaniu?
OdpowiedzUsuńPozdrawiam
Paweł
Cześć Pawle :)
UsuńDzięki za komentarz :)
Przyznam, że całkiem mi uciekło,że miałem napisać jeszcze posta o sprzątaniu. Postaram się to zrobić, ale muszę wcześniej napisać jeszcze kilka innych tekstów, które też już obiecałem ...
Pozdrawiam
Daniel
Czekam z niecierpliwością :)
OdpowiedzUsuńWitam, dziękuję za ten artykuł. Mam pytanie, czy w momencie usunięcia usługi AD, maszyna jest wypinana z domeny, którą zarządzają pozostałe kontrolery i muszę ją podpinać ponownie?
OdpowiedzUsuńCześć ;)
UsuńTak, maszyna jest wypinana. Z tego też powodu ustawiane jest hasło administratora lokalnego, którego trzeba będzie użyć po restarcie maszyny (konta domenowe nie będą już działać). Patrz screen podpisany "Wpisać hasło, zapisać na kartce, kartkę podrzeć, a resztki spalić - żart oczywiście ;)"
Pozdrawiam
Daniel
Rozumiem, czyli ponowne podpięcie spowoduje przywrócenie relacji zaufania? Mam tu na myśli serwer SQL, który bazuje na poświadczeniach domenowych.
OdpowiedzUsuńRozumiem. SQL jest na kontrolerze domeny, który chcesz zdegradować i potem podpiąć do domeny jako zwykłego członka?
OdpowiedzUsuńTeoretycznie powinno być tak, że odpięcie od domeny spowoduje brak możliwości korzystania z SQLa przed użytkowników domenowych, aż do czasu ponownego podpięcia go do domeny.
Ale dla bezpieczeństwa przetestowałbym to na wirtualkach.
Tak też zrobię. Dzięki jeszcze raz!
OdpowiedzUsuń