Active Directory bereinigen

Herabstufen eines Domänencontrollers

| Autor: Thomas Joos

Rechenzentren effektiv betreiben (Bild: Pixabay)
Rechenzentren effektiv betreiben (Bild: Pixabay) (Rechenzentren effektiv betreiben (Bild: Pixabay))

In manchen Fällen ist der Aufwand einer Fehlerbehebung viel größer, als einfach den betroffenen Domänencontroller neu zu installieren und wieder in Active Directory zu integrieren. Durch die erneute Integration erhält der Domänencontroller wieder die Daten von den anderen Domänencontrollern der Domäne.

Um einen Domänencontroller herunterzustufen, verwenden Sie am besten die PowerShell und das Cmdlet Uninstall-ADDSDomainController. Sie müssen noch das lokale Kennwort des Administrators über den Befehl festlegen. Dieses müssen Sie als SecureString in der PowerShell definieren. Die Syntax dazu lautet:

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)

Mit Get-Help Uninstall-ADDSDomainController erhalten Sie mehr Informationen zu dem Befehl. Um zuvor den Vorgang zu testen, verwenden Sie Test-ADDSDomainControllerUninstallation. Um ausführliche Informationen zu erhalten, verwenden Sie:

Test-ADDSDomainControllerUninstallation

select -expandproperty message

Mit der Option -LastDomainControllerInDomain können Sie auswählen, ob es sich bei diesem Domänencontroller um den letzten seiner Domäne handelt.

In diesem Fall würde nicht nur der Domänencontroller aus der Gesamtstruktur entfernt, sondern die ganze Domäne. Haben Sie Ihre Auswahl getroffen, beginnt der Assistent mit der Herabstufung des Domänencontrollers.

Sobald Active Directory vom Server entfernt wurde, können Sie diesen neu starten. Nach der Herabstufung eines Domänencontrollers wird dieser als Mitgliedsserver in die Domäne aufgenommen. Wenn auf dem Server Applikationen installiert waren, zum Beispiel Exchange, stehen diese nach dem Neustart weiterhin zur Verfügung.

Auch wenn ein herabgestufter Domänencontroller im Anschluss noch als Mitgliedsserver verwendet werden kann, sollten Sie sicherheitshalber das Computerkonto aus der Domäne entfernen und das Betriebssystem neu auf dem Server installieren, um Altlasten zu entsorgen.

Auch den Servernamen sollten Sie ändern, wenn aus dem Namen hervorgeht, dass es sich um einen Domänencontroller gehandelt hat.

Wenn Sie einen Domänencontroller, der die Verbindung mit dem Active Directory verloren hat, nicht neu installieren wollen, können Sie Active Directory trotz fehlender Verbindung entfernen. Verwenden Sie in diesem Fall noch die Option -force.

Nach der erzwungenen Entfernung von Active Directory ist der Domänencontroller allerdings kein Mitgliedsserver mehr, sondern ein alleinstehender Server. Sie können sich daher an diesem Server nicht mehr bei der Domäne anmelden.

Wollen Sie danach noch die Binärdateien von Active Directory entfernen, verwenden Sie entweder den Server-Manager das Windows Admin Center, oder die PowerShell und den Befehl:

Uninstall-WindowsFeature AD-Domain-Services