Hoe degradeer je een domeincontroller in Active Directory?

Hoe u een domeincontroller kunt degraderen of verwijderen op Windows Server 2022/2019/2016/2012R2

Dit kan best lastig zijn als je er niet aan gewend bent. Soms moet een domeincontroller (DC) buiten gebruik worden gesteld, of hij nu perfect werkt of helemaal kapot is. Ik ben beide situaties tegengekomen en eerlijk gezegd, hoewel het proces in de loop der jaren flink is verbeterd, verloopt het nog steeds niet helemaal vlekkeloos. Het doel is om die DC op een nette manier te verwijderen – zonder iets kapot te maken – dus volg deze stappen zorgvuldig. Een verstoorde Active Directory-omgeving kan immers problemen veroorzaken zoals inlogproblemen of uitgevallen services. Aan het einde heb je de DC correct verwijderd en hopelijk blijft je Active Directory gezond.

Hoe verwijder je (degradeer) je een domeincontroller (inclusief fouten) op Windows Server?

Methode 1: Een gezonde domeincontroller degraderen (normale verwijdering)

Controleer eerst of uw domeincontroller (DC) daadwerkelijk gezond is. Controleer de replicatie, FSMO-rollen, DNS-instellingen, enzovoort. Anders kunt u later problemen ondervinden.

Dit is wat je moet doen:

1. Controleer de status en replicatie van de domeincontroller. Gebruik hiervoor opdrachten zoals:

   • dcdiag.exe /s:YOUR-DC-NAME /qIn de opdrachtprompt of PowerShell vervangt u YOUR-DC-NAME door de naam van uw server.
   • Controleer de AD-replicatiestatus met repadmin /replsummaryof Get-ADReplicationPartnerMetadata.

2. Zorg ervoor dat er geen FSMO-rollen op deze server aanwezig zijn. Voer het volgende commando uit:

   netdom query fsmo

   Als er rollen op deze domeincontroller staan, verplaats ze dan naar een andere locatie. Het is goed om die domeincontroller gezond te houden voordat je hem verwijdert.

3. Controleer de DNS-instellingen. Als deze domeincontroller DNS host, migreer dan de zonegegevens en DHCP-bereiken dienovereenkomstig. Labs vergeten deze stap vaak, waardoor clients na de degradatie geen DNS-resolutie meer hebben.

4. Controleer de services die op deze domeincontroller (DC) actief zijn: DHCP, CA, KMS, enz. Migreer of schakel ze uit voordat u verdergaat. Gebruik bijvoorbeeld PowerShell om DHCP-bereiken naar een andere server te verplaatsen:

   Get-DhcpServerv4Scope -ComputerName SERVERNAME | Get-DhcpServerv4OptionValue | Where-Object {$_. OptionID -eq 6}

5. Auditclients die deze DNS-server gebruiken – handmatige configuraties, printers, netwerkapparatuur – worden opnieuw geconfigureerd om naar een nieuwe DNS-server te verwijzen. Windows-logboeken of DNS-logboeken helpen dit op te sporen.

6. Als u een certificeringsinstantie gebruikt, migreer deze dan naar een andere machine.

7. Controleer of er nog andere rollen/services zijn, zoals NPS, WSUS, enz. Bepaal of deze eerst verplaatst moeten worden.

8. Voer de Test-ADDSDomainControllerUninstallationcmdlet uit (PowerShell).Deze scant op mogelijke problemen. Als de scan succesvol is, kunt u verder.

Vervolgens moet je de domeincontroller degraderen:

Je kunt dit doen via Serverbeheer. Open Serverbeheer, ga naar Beheren > Rollen en functies toevoegen en schakel Active Directory-domeinservices uit. Of, nog eenvoudiger: klik met de rechtermuisknop op de server in Serverbeheer > Rollen en functies verwijderen.

Klik op Deze domeincontroller degraderen. De wizard verschijnt. Let op: probeer dcpromo niet meer te gebruiken; het is verouderd en deze methode is overzichtelijker.

Volg de aanwijzingen van de wizard. Wanneer er staat ‘Verwijdering van deze domeincontroller forceren’, vink dit dan niet aan; gebruik deze optie alleen als dit echt de laatste optie is (en bij een overgebleven of defecte domeincontroller).Later kunt u de metagegevens handmatig opschonen.

Stel een nieuw wachtwoord in voor het lokale beheerdersaccount en klik vervolgens op Degraderen. Wacht even – zodra u de melding ‘Active Directory-domeincontroller succesvol gedegradeerd’ ziet, is het proces voltooid.

Herstart de server. Ga na de herstart terug en verwijder de ADDS-rol. Hiermee worden AD-componenten, DNS, Groepsbeleidstools, enzovoort verwijderd.

Met PowerShell kun je ADDS ook verwijderen:

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Klik vervolgens op Active Directory-sites en -services ( dssite.msc) om de NTDS-instellingen en het DC-object van de site te verwijderen. Klik met de rechtermuisknop op NTDS-instellingen onder de server en selecteer vervolgens Verwijderen.

Vergeet niet om ook het serveraccount te verwijderen uit Active Directory Gebruikers en Computers (openen dsa.msc).Het account zou nu verwijderd moeten zijn en replicatie zal in de loop van de tijd geleidelijk alles opruimen.

Methode 2: Een defecte of niet-werkende domeincontroller verwijderen (geforceerd verwijderen)

Als de domeincontroller volledig is uitgevallen of niet meer reageert, moet u deze geforceerd verwijderen. Let op: dit is niet voor een schone afsluiting, maar alleen voor systemen die volledig uitgevallen zijn. Breng deze server nooit meer online nadat u hem op deze manier hebt verwijderd.

Ga eerst naar Active Directory-gebruikers en -computers ( dsa.msc) en zoek de beschadigde domeincontroller in de OU ‘ Domeincontrollers ‘.Verwijder deze en bevestig dit door ‘ Deze domeincontroller toch verwijderen’ aan te vinken.

Vervolgens kunt u de metagegevens opschonen met behulp van Active Directory-sites en -services. Klik met de rechtermuisknop op de server in de map Servers en selecteer Verwijderen.

Maak tot slot de DNS-servers schoon. Open DNS Manager ( dnsmgmt.msc) en verwijder de records – zowel de forward- als de reverse-records – die verwijzen naar de defecte domeincontroller. Als je het jezelf makkelijker maakt, kun je PowerShell gebruiken:

Remove-DnsServerResourceRecord -ZoneName "domain.local" -RRType "A" -Name "DCNAME" -ComputerName "DNSSERVER"

Doe dit allemaal, en die domeincontroller zou in principe verdwenen moeten zijn. Vergeet niet: dit is voor defecte domeincontrollers, NIET voor een gecontroleerde buitenbedrijfstelling. Gebruik de normale degradatieprocedure voor goed functionerende domeincontrollers.

Wat gebeurt er na verwijdering? Houd de replicatie en logboeken in de gaten. Voer de controle dcdiagnogmaals uit repadminom er zeker van te zijn dat alles in orde is.

Samenvatting

• Controleer de status en rollen voordat u een domeincontroller probeert te verwijderen.
• Gebruik Server Manager of PowerShell voor degradatie.
• Verwijder daarna de DNS- en sitegegevens.
• Breng nooit een DC terug die met geweld is verwijderd, die is zo goed als dood.

Samenvatting

Het verwijderen van een domeincontroller kan best spannend zijn, vooral als deze niet meer werkt of problemen veroorzaakt. Volg de stappen, controleer alles goed en sla de opruimfase niet over. Het is niet altijd perfect – soms geeft Active Directory problemen en zijn er wat extra commando’s of opruimwerkzaamheden nodig – maar de kans is groot dat de omgeving gezond blijft als je het goed doet. Hopelijk helpt dit je om het opruimproces van Active Directory te stroomlijnen. Succes!