如何删除（降级）域控制器

现在您已经在 Active Directory 中运行了新的域控制器，是时候降级旧的域控制器了。有两种删除域控制器的选项。这取决于域控制器是否可以访问。在本文中，您将了解如何逐步删除域控制器。

域控制器删除选项

降级域控制器的首选方法是使用服务器管理器或 PowerShell。您选择哪一个取决于您。归根结底，它们是一样的。但有时域控制器无法再启动，并且您无法再将其恢复。然后，您必须选择手动删除它的方法。

为了更容易，您有以下选项：

• 选项 1：可访问域控制器 - 使用服务器管理器或 PowerShell 删除域控制器。

• 选项 2：无法访问域控制器 - 手动删除域控制器。

让我们看看在 Active Directory 中删除域控制器的两个选项及其清理过程。

使用服务器管理器删除域控制器

要使用服务器管理器降级域控制器，请执行以下步骤：

步骤 1. 移动 FSMO 角色（可选）

当您通过删除向导删除域控制器时，FSMO 角色将自动移动到另一个域控制器。如果您想移动 FSMO 角色并且不让卸载过程自动为您执行此操作，您可以这样做。

以下命令中的 DC02-20222 是目标域控制器主机名，我们也将在其中转移 FSMO 角色。

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

步骤 2. 测试域控制器卸载

一个很好的方法是在开始删除域控制器之前运行 Test-ADDSDomainControllerUninstallation cmdlet。如果一切都已设置或存在任何问题，这将检查并发出警报。

Test-ADDSDomainControllerUninstallation

如果上述命令不起作用，请运行以下命令。

Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "password" -AsSecureString)

填写本地管理员密码并再次确认。

LocalAdministratorPassword: ************
Confirm LocalAdministratorPassword: ************

在我们的示例中，以下输出显示状态成功。因此，一切看起来都很好，我们可以进一步进行。

Message                          Context                                  RebootRequired  Status
-------                          -------                                  --------------  ------
Operation completed successfully Test.VerifyDcPromoCore.DCPromo.General.1          False Success

步骤 3. 降级域控制器

在我们的示例中，我们将删除域控制器 DC01-2019。

1. 打开服务器管理器

1. 单击管理并选择删除角色和功能

1. 选择下一步

1. 从池中选择服务器，然后单击下一步

1. 清除复选框Active Directory 域服务

1. 点击删除功能

1. 单击降级此域控制器

1. 如果需要，请提供管理员凭据，然后单击下一步

注意：不要选择“强制删除此域控制器”选项并保持未选中状态。

1. 选中继续删除，然后点击下一步

1. 域控制器降级后，输入本地管理员帐户的新管理员密码

1. 点击降级

1. 服务器将经历降级过程

1. 降级完成后，Windows Server 将自动重新启动

步骤 4. 删除 Active Directory 域服务角色

重新启动后，您需要通过以下步骤删除 ADDS 角色：

1. 打开服务器管理器

2. 单击管理并选择删除角色和功能

3. 从池中选择服务器，然后单击下一步

4. 清除复选框Active Directory 域服务

1. 点击删除功能

1. 点击下一步

1. 点击下一步

1. 选中如果需要，自动重新启动目标服务器复选框。

1. 移除工作正在进行中

1. Windows Server 将重新启动并继续进行删除并完成。单击关闭。

1. 关闭服务器。

步骤 5. 删除 AD 计算机对象

服务器关闭后，请按照以下步骤删除 AD 计算机对象：

1. 在另一个域控制器上登录

2. 启动Active Directory 用户和计算机

3. 单击计算机容器上的菜单

4. 右键单击服务器，然后单击删除

1. 单击是确认

您已成功删除 AD 计算机对象。

步骤 6. 从 Active Directory 站点和服务中删除服务器

通过以下步骤从 Active Directory 站点和服务中删除服务器：

1. 打开Active Directory 站点和服务

2. 展开站点 > 默认第一个站点名称 > 服务器

3. 右键单击服务器并选择删除

1. 单击是确认

您已成功从 Active Directory 域服务 (ADDS) 中删除服务器。

步骤 7. 删除 DNS 残留

删除域控制器后，DNS 中会有残留。即使您在 Active Directory 中设置了 DNS 老化和清理功能。这是因为它将删除过时的动态 DNS 记录，而不是过时的静态 DNS 记录。

您可以浏览 DNS 管理器中的每个区域并删除与旧域控制器关联的 DNS 记录。但这需要时间。

下面的脚本将清除 DNS 中的所有过时记录。它将通过 DNS 搜索旧域控制器 FQDN、主机名和 IP 地址。您只需更改第 1、2 和 3 行。

假设您为新域控制器保留相同的 IP 地址，并且只想检查 DNS 中的旧 FQDN 和 主机名，请取消注释第 3 行 > 在脚本中。

注意：脚本具有-WhatIf参数，因此运行脚本时环境不会发生任何变化。识别出过时记录后，删除 -WhatIf 参数并重新运行脚本。请阅读如何使用 PowerShell 清理过时的 DNS 记录一文来了解有关该脚本的更多信息。

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

您成功地将域控制器从 Active Directory 降级，并随后执行了必要的清理步骤。

手动删除域控制器

当您无法再启动域控制器时，必须手动将其删除。

上述步骤是当您可以访问域控制器时从 Active Directory 中删除域控制器的正确方法。在某些情况下，域控制器服务器崩溃，您无法再启动它。这需要从 Active Directory 中手动删除域控制器。

注意：如果您使用的是 Windows Server 2008 R2 及更高版本，请执行以下步骤。

请执行以下步骤强制删除域控制器：

步骤 1. 移动 FSMO 角色（可选）

当您通过删除向导删除域控制器时，FSMO 角色将自动移动到另一个域控制器。如果您想移动 FSMO 角色并且不让卸载过程自动执行此操作，您可以这样做。

以下命令中的 DC02-20222 是目标域控制器主机名，我们也将在其中转移 FSMO 角色。

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

步骤 2. 强制删除域控制器计算机对象

通过以下步骤删除 AD 计算机对象：

1. 在另一个域控制器上登录

2. 打开Active Directory 用户和计算机

3. 单击域控制器组织单位的菜单

4. 右键单击服务器，然后单击删除

1. 选择是确认计算机对象删除

1. 选中复选框仍然删除此域控制器。它永久离线，无法再使用删除向导删除

1. 单击是确认

1. 如果您收到有关需要移动到新服务器的 FSMO 角色的警告消息，请选择确定

您已成功删除域控制器。

步骤 3. 从 Active Directory 站点和服务中删除服务器

通过以下步骤从 Active Directory 站点和服务中删除服务器：

1. 打开Active Directory 站点和服务

2. 展开站点 > 默认第一个站点名称 > 服务器

3. 右键单击服务器并选择删除

1. 单击是确认

您已成功从 Active Directory 域服务 (ADDS) 中删除服务器。

步骤 4. 删除 DNS 残留

删除域控制器后，DNS 中会有残留。即使您在 Active Directory 中设置了 DNS 老化和清理功能。这是因为它将删除过时的动态 DNS 记录，而不是过时的静态 DNS 记录。

您可以浏览 DNS 管理器中的每个区域并删除与旧域控制器关联的 DNS 记录。但这需要时间。

下面的脚本将清除 DNS 中的所有过时记录。它将通过 DNS 搜索旧域控制器 FQDN、主机名和 IP 地址。您只需更改第 1、2 和 3 行。

假设您为新域控制器保留相同的 IP 地址，并且只想检查 DNS 中的旧 FQDN 和 主机名，请取消注释第 3 行 > 在脚本中。

注意：脚本具有-WhatIf参数，因此运行脚本时环境不会发生任何变化。识别出过时记录后，删除 -WhatIf 参数并重新运行脚本。请阅读如何使用 PowerShell 清理过时的 DNS 记录一文来了解有关该脚本的更多信息。

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

您成功地手动从 Active Directory 中强制删除域控制器，并随后执行了必要的清理步骤。

验证域控制器健康状况

现在旧的域控制器已被删除，现在可以检查新的域控制器的运行状况。

阅读使用 PowerShell 脚本进行 Active Directory 运行状况检查一文并创建报告。 HTML 报告将显示 Active Directory 中所有域控制器的状态。

就是这样！

了解更多：使用组策略重命名管理员帐户 »

结论

您学习了如何从 Active Directory 降级域控制器。使用服务器管理器中的删除角色和功能向导从域中删除域控制器非常重要。如果域控制器无法访问，请将其从 Active Directory 用户和计算机中删除。

您喜欢这篇文章吗？您可能还喜欢更改 Windows Server 中 DNS 记录的 TTL。不要忘记关注我们并分享这篇文章。