Domänen-Controller herabstufen unter Server 2016 / 2019 via GUI und PowerShell


    Tags: ,

    DC über GUI herunterstufenIm folgenden Artikel gehe ich zuerst davon aus, dass der DC einwand­frei funk­tioniert und mit seinen Partnern kommu­niziert. Ich spreche dann aber auch das Ver­halten bei even­tuellen Fehler­fällen an. Das Herab­stufung (im Englischen Demotion genannt) zeige ich ein­mal anhand der GUI und zusätzlich mittels PowerShell.

    Möchte man einen Domain Controller herabstufen, der eine FSMO-Rolle trägt, dann muss man diese zuvor auf einen anderen DC verschieben (siehe dazu: FSMO-Rollen übertragen mit PowerShell).

    Die Herabstufung eines Domänen-Controllers testen

    Mit PowerShell können eventuelle Abhängig­keiten oder poten­tielle Probleme vorab erkannt werden. Daher ist es nicht verkehrt, das zuständige Cmdlet erst einmal auszuführen. Zuvor müssen wir dafür aber das Modul für Active Directory importieren.

    Danach können wir den Befehl

    Test-ADDSDomainControllerUninstallation `
    -LocalAdministratorPassword `
    (Read-Host -Prompt "Kennwort" -AsSecureString)

    absetzen. Nach der Eingabe muss man ein lokales Administrator-Passwort festlegen, und danach wird Success oder eine Meldung über gefundene Probleme ausgegeben.

    Sollte es zu einer Meldung kommen, dann muss der angegebene Grund vor dem Herabstufen behoben werden. Wäre der DC beispiels­weise der letzte für diese Domäne, dann würde die nachfolgende Meldung in der Konsole angezeigt:

    Test für das Herabstufen des DC scheitert, wenn er der letzte in der Domäne ist.

    Nun ist eine solche abge­schnittene Nachricht nicht sonderlich aussage­kräftig. Um sie komplett sehen zu können, müssen wir den Befehl wie folgt erweitern:

    Test-ADDSDomainControllerUninstallation | select -expandproperty message

    Vollständige Anzeige der Meldung von Test-ADDSDomainControllerUninstallation

    Bei einem funktions­tüchtigen DC würde der Test wie folgt ausgehen:

    Erfolgereicher Abschluss des Tests für das Herabstufen des DC

    Herabstufen eines Domänen-Controller mittels Server Manager

    Dazu öffnet man den Server Manager, klickt auf Manage und wählt Remove Roles and Features (bzw. Verwalten => Rollen und Features entfernen).

    In der Server Selection ist der Server bereits vorausgewählt, und hier muss erneut auf Next geklickt werden.

    AD-Domänendienste zur Deinstallation auswählen

    Unter Server Roles, wählt man dann die Rolle Active Directory Domain Services ab. Es folgt die Bestätigung für das Entfernen der Rolle mit Remove Features.

    Entfernen der AD DS bestätigen

    Bevor die Rolle entfernt werden kann, erscheint der Hinweis, dass der DC herabgestuft werden muss. Daher bestätigt man im Popup Demote this domain controller.

    Der DC muss vor dem Entfernen der Rolle heruntergestuft werden.

    Im Fenster Credentials können die Anmeldedaten des aktuellen Benutzers verwendet werden, und somit muss man nur auf Next klicken.

    Das Entfernen des DNS-Servers und des GC müssen noch bestätigt werden.

    DNS und Global Catalog werden ebenfalls entfernt, und das müssen wir nochmal mit dem Anhaken von Proceed with removal bestätigen.

    Neues Admin-Passwort eingeben

    Danach legen wir ein lokales Administrator-Kennwort fest, da der DC zum Member Server herabgestuft wird. Im Fenster Review Options kann man dann auf den Demote-Button klicken, um den Vorgang abzu­schließen.

    Herabstufung des Domänen-Controllers starten

    Damit startet die Herabstufung des DCs. Am Ende wird der Rechner neu gestartet.

    Nun können die Active Directory Services wie eingangs beschrieben über Remove Roles and Features im Server Manager entfernt werden.

    Herabstufen eines Domänen-Controllers mittels PowerShell

    Dazu starten wir die PowerShell-Konsole als Administrator und geben den folgenden Befehl ein:

    Uninstall-ADDSDomainController

    Danach wird man aufgefordert, ein lokales Administrator-Passwort einzugeben und mit Y den Vorgang zu bestätigen.

    DC über das PowerShell-Cmdlet Uninstall-ADDSDomainController herunterstufen

    Nach Abschluss des Vorgangs wird der Server neu gestartet.

    Genau wie beim Weg über den Server Manager ist die Rolle jetzt noch installiert. Um diese zu entfernen, kann folgender PowerShell-Befehl genutzt werden.

    Uninstall-WindowsFeature AD-Domain-Services

    Domänendienste mittels PowerShell deinstallieren

    Nun ist der ehemalige DC ein ganz normaler Member-Server ohne die Rolle AD Services.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Tim Buntrock

    Tim Buntrock hat langj­ährige Er­fahrung als Active Directory Enter­prise Admin in einem Forest mit über hundert­tausend Benutzern welt­weit. Daneben ist er als IT-Autor und Blogger in ver­schiedenen Com­munities aktiv und be­treibt unter anderem seinen eigenen Blog directoryadmin. Zudem be­sitzt er Zertifizierungen im Bereich Microsoft, VMWare und Security, die sein Fachw­issen bekräftigen.
    // Kontakt: E-Mail, LinkedIn, Xing, Twitter //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Der genannte Befehl "Test-ADDSDomainControllerUninstallation" hatte bei mir (Win 2019 Std. Server) nicht funktioniert.
    Es kam immer die Meldung "Test-ADDSDomainControllerUninstallation : Es wurde kein Positionsparameter gefunden, der das Argument
    "LocalAdministratorPassword bestätigen" akzeptiert.
    In Zeile:1 Zeichen:1"

    Mit folgendem Befehl ließ sich der Test durchführen: "Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)".

    Danke an "https://www.datacenter-insider.de/herabstufen-eines-domaenencontrollers-..."!