Domänencontroller herunterstufen unter Windows Server 2012 (R2)
Unter Windows Server 2012 hat sich nicht nur die Installation eines DCs geändert, sondern auch der umgekehrte Prozess. Wenn man einen Domänen-Controller aus dem Verkehr ziehen will, dann sind nun dafür der Server Manager und PowerShell zuständig.
In der Vergangenheit war das Kommandozeilen-Tool dcpromo dafür vorgesehen, einen DC zu einem normalen Member-Server herunterzustufen. Wer unter Windows Server 2012 (R2) aus alter Gewohnheit zu diesem Programm greifen möchte, wird über einen Dialog belehrt, dass seine Funktionen nun in den Server Manager integriert wurden.
Herunterstufen über Entfernen der AD-Rolle
Dieser bietet keine separate Funktion zum Herunterstufen eines DCs, vielmehr ist diese an das Entfernen der Rolle Active-Directory-Domänendienste gekoppelt. Daher startet man den Vorgang mit dem Aufruf des Wizards Rollen und Features entfernen.
Dabei ist es nicht unbedingt erforderlich, dass man gleichzeitig alle Rollen oder Features deinstalliert, die mit dem AD verbunden sind, wie etwa die DNS. Nur wenn man den Server permanent herunterstufen und nicht wieder zum DC promoten möchte, wird man auch solche Rollen abräumen.
Separater Wizard für Demotion
Die Abwahl der Active-Directory-Domänendienste im Wizard des Server Manager stößt erst einen Validierungsvorgang an. Dieser endet in der Regel mit einem Hinweis auf Probleme beim Entfernen der Rolle, weil der DC erst "tiefer gestuft" werden müsse. Für diese Aufgabe bietet der Dialog gleich den benötigten Link an, der einen weiteren Wizard aufruft.
Dort kann man gleich zu Beginn alternative Anmeldedaten eingeben, die zum Herunterstufen des DCs berechtigen. Handelt es sich dabei um den letzten Controller in einer Domäne, dann benötigt man ein Konto, das Mitglied der Gruppe Organisations-Admins ist.
Vorsicht beim erzwungenen Herabstufen
Der Dialog enthält außerdem die Checkbox Entfernen des Domänen-Controllers erzwingen, die man nicht leichtfertig aktivieren sollte. Vielmehr ist diese Option jenen Fällen vorbehalten, in denen der DC keine anderen Domänen-Controller mehr kontaktieren kann und dieses Verbindungsproblem sich nicht lösen lässt.
Erzwingt man das Herunterstufen des DCs, dann blieben verwaiste Metadaten in den anderen DCs zurück. Diese müssen dann anschließend manuell entfernt werden. Hinzu kommt, dass Änderungen auf dem Domänen-Controller, der heruntergestuft werden soll, nicht mehr repliziert werden und damit endgültig verloren sind.
PowerShell-Kommandos anzeigen lassen
Nach der Besichtigung der nachfolgenden Warnungen gibt man im nächsten Dialog ein neues Kennwort für den lokalen Administrator ein. Dieses gewinnt an Bedeutung, wenn der Server zusätzlich zur Herabstufung auch die Domäne verlassen sollte.
Im letzten Schritt Optionen prüfen sieht man eine Zusammenfassung der gewählten Aktionen, die anschließend ausgeführt würden. Eine Besonderheit dieses Dialogs besteht darin, dass er über einen eigenen Button das PowerShell-Kommando mit dem Cmdlet Uninstall-ADDSDomainController offenbart, das der Server Manager im Hintergrund ausführt. Dieses kann man bei Bedarf übernehmen und anpassen.
Unmittelbar nach dem Bestätigen der Aktionen und dem Herunterstufen des DC sowie dem Entfernen der Active-Directory-Domänendienste startet der Server neu.
Ähnliche Beiträge
- Welche Attribute des Active Directory zeigen PowerShell-Cmdlets an?
- Datenbanken erstellen und SQL-Befehle absetzen mit PowerShell
- Get-Certificate: SSL-Zertifikat mit PowerShell anfordern
- Active Directory: Gruppen und ihre Mitglieder als CSV-Report speichern mit PowerShell
- Benutzer, Computer und Gruppen im Active Directory löschen mit PowerShell
Weitere Links
- Kostenloses Seminar in München, Düsseldorf, Berlin: Active Directory absichern, auf Angriffe richtig reagieren
- Technisches Webinar: Änderungen im Active Directory und auf Netzfreigaben in Echtzeit erkennen
- Technisches Webinar: Änderungen im Active Directory nachvollziehen, Angriffe auf das Netzwerk schnell erkennen
Keine Kommentare