Um den reibungslosen Betrieb einer Active Directory Domäne sicherzustellen, müssen zu entfernende Domänencontroller ordnungsgemäß heruntergestuft werden.
Inhaltsverzeichnis
Domänencontroller migrieren
Aus Sicherheitsgründen sollten in einem Netzwerk mindestens zwei Domänencontroller verfügbar sein. Die geplante Außerbetriebnahme eines Domänencontrollers setzt daher in der Regel meist die vorherige Installation eines neuen Domänencontrollers voraus! Die Installation wird in meinem Beitrag Domaincontroller installieren beschrieben.
FSMO-Rollen manuell migrieren
Dieser Vorgang wird normalerweise automatisiert beim Herunterstufen des Domänencontrollers ausgeführt, kann aber bereits vorab manuell durchgeführt werden. Die manuelle Active Directory Rollenmigration wird in meinem Beitrag „Active Directory: FSMO-Rollen migrieren“ beschrieben.
Objektschutz ggf. entfernen
Falls der Domänencontroller mit „Objekt vor zufälligem Löschen schützen“ abgesichert wurde, schlägt das Herunterstufen fehl. Deshalb sollte der Objektschutz vorab deaktiviert werden:
- Active Directory-Benutzer und -Computer öffnen
- Ansicht → Erweiterte Features aktivieren:
- Domaincontroller suchen und Computerkonto-Eigenschaften durch Doppelklick öffnen:
- Registerkarte Objekt öffnen und ggf. „Objekt vor zufälligem Löschen schützen“ entfernen und OK:
- Active Directory-Standorte und -Dienste öffnen
- Sites → jeweiligen Standort → Servers → Rechtsklick auf den Domaincontroller → Eigenschaften:
- Registerkarte Objekt öffnen und ggf. „Objekt vor zufälligem Löschen schützen“ entfernen und OK:
Herunterstufen starten
Die folgenden Schritte werden auf dem zu herunterstufenden Domaincontroller ausgeführt:
- Windows Server-Manager starten → Verwalten → Rollen und Features entfernen:
- evtl. angezeigte Vorbereitungsseite überspringen:
- Den zu herunterstufenden Domaincontroller auswählen:
- Active Directory-Domänendienste deaktivieren:
- Features entfernen:
- Diesen Domänencontroller tiefer stufen:
- Anmeldeinformationen ggf. anpassen → Weiter:
- Entfernung fortsetzen → Weiter:
- DNS-Delegierung entfernen → Anmeldeinformationen: Domain-Administrator → Weiter:
- Administratorkennwort setzen → Weiter:
- Optionen prüfen → Tiefer stufen:
Herunterstufen fehlgeschlagen
Sollte das Herunterstufen fehlgeschlagen sein und keine ordnungsgemäße Deinstallation mehr möglich sein, wird in „Defekten Domaincontroller entfernen“ von WindowsPro.de die manuelle Bereinigung beschrieben.