Tags: Active Directory, Windows Server 2019
Im folgenden Artikel gehe ich zuerst davon aus, dass der DC einwandfrei funktioniert und mit seinen Partnern kommuniziert. Ich spreche dann aber auch das Verhalten bei eventuellen Fehlerfällen an. Das Herabstufung (im Englischen Demotion genannt) zeige ich einmal anhand der GUI und zusätzlich mittels PowerShell.
Möchte man einen Domain Controller herabstufen, der eine FSMO-Rolle trägt, dann muss man diese zuvor auf einen anderen DC verschieben (siehe dazu: FSMO-Rollen übertragen mit PowerShell).
Die Herabstufung eines Domänen-Controllers testen
Mit PowerShell können eventuelle Abhängigkeiten oder potentielle Probleme vorab erkannt werden. Daher ist es nicht verkehrt, das zuständige Cmdlet erst einmal auszuführen. Zuvor müssen wir dafür aber das Modul für Active Directory importieren.
Danach können wir den Befehl
Test-ADDSDomainControllerUninstallation `
-LocalAdministratorPassword `
(Read-Host -Prompt "Kennwort" -AsSecureString)
absetzen. Nach der Eingabe muss man ein lokales Administrator-Passwort festlegen, und danach wird Success oder eine Meldung über gefundene Probleme ausgegeben.
Sollte es zu einer Meldung kommen, dann muss der angegebene Grund vor dem Herabstufen behoben werden. Wäre der DC beispielsweise der letzte für diese Domäne, dann würde die nachfolgende Meldung in der Konsole angezeigt:
Nun ist eine solche abgeschnittene Nachricht nicht sonderlich aussagekräftig. Um sie komplett sehen zu können, müssen wir den Befehl wie folgt erweitern:
Test-ADDSDomainControllerUninstallation | select -expandproperty message
Bei einem funktionstüchtigen DC würde der Test wie folgt ausgehen:
Herabstufen eines Domänen-Controller mittels Server Manager
Dazu öffnet man den Server Manager, klickt auf Manage und wählt Remove Roles and Features (bzw. Verwalten => Rollen und Features entfernen).
In der Server Selection ist der Server bereits vorausgewählt, und hier muss erneut auf Next geklickt werden.
Unter Server Roles, wählt man dann die Rolle Active Directory Domain Services ab. Es folgt die Bestätigung für das Entfernen der Rolle mit Remove Features.
Bevor die Rolle entfernt werden kann, erscheint der Hinweis, dass der DC herabgestuft werden muss. Daher bestätigt man im Popup Demote this domain controller.
Im Fenster Credentials können die Anmeldedaten des aktuellen Benutzers verwendet werden, und somit muss man nur auf Next klicken.
DNS und Global Catalog werden ebenfalls entfernt, und das müssen wir nochmal mit dem Anhaken von Proceed with removal bestätigen.
Danach legen wir ein lokales Administrator-Kennwort fest, da der DC zum Member Server herabgestuft wird. Im Fenster Review Options kann man dann auf den Demote-Button klicken, um den Vorgang abzuschließen.
Damit startet die Herabstufung des DCs. Am Ende wird der Rechner neu gestartet.
Nun können die Active Directory Services wie eingangs beschrieben über Remove Roles and Features im Server Manager entfernt werden.
Herabstufen eines Domänen-Controllers mittels PowerShell
Dazu starten wir die PowerShell-Konsole als Administrator und geben den folgenden Befehl ein:
Uninstall-ADDSDomainController
Danach wird man aufgefordert, ein lokales Administrator-Passwort einzugeben und mit Y den Vorgang zu bestätigen.
Nach Abschluss des Vorgangs wird der Server neu gestartet.
Genau wie beim Weg über den Server Manager ist die Rolle jetzt noch installiert. Um diese zu entfernen, kann folgender PowerShell-Befehl genutzt werden.
Uninstall-WindowsFeature AD-Domain-Services
Nun ist der ehemalige DC ein ganz normaler Member-Server ohne die Rolle AD Services.
Täglich Know-how für IT-Pros mit unserem Newsletter
Tim Buntrock hat langjährige Erfahrung als Active Directory Enterprise Admin in einem Forest mit über hunderttausend Benutzern weltweit. Daneben ist er als IT-Autor und Blogger in verschiedenen Communities aktiv und betreibt unter anderem seinen eigenen Blog directoryadmin. Zudem besitzt er Zertifizierungen im Bereich Microsoft, VMWare und Security, die sein Fachwissen bekräftigen.
// Kontakt: E-Mail, LinkedIn, Xing, Twitter //
Verwandte Beiträge
- Active Directory in Windows Server 2019: Keine neue Funktionsebene für Forests und Domains
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Schwache, kompromittierte und mehrfach genutzte Kennwörter finden mit Enzoic for Active Directory Lite
- Active Directory in Windows Server 2025: Neue Funktionsebene, leistungsfähigere Datenbank, Security-Verbesserungen
- Zugriff auf Domain Controller über lokale Richtlinien absichern
Weitere Links
1 Kommentar
Der genannte Befehl "Test-ADDSDomainControllerUninstallation" hatte bei mir (Win 2019 Std. Server) nicht funktioniert.
Es kam immer die Meldung "Test-ADDSDomainControllerUninstallation : Es wurde kein Positionsparameter gefunden, der das Argument
"LocalAdministratorPassword bestätigen" akzeptiert.
In Zeile:1 Zeichen:1"
Mit folgendem Befehl ließ sich der Test durchführen: "Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)".
Danke an "https://www.datacenter-insider.de/herabstufen-eines-domaenencontrollers-..."!