如何删除（降级）Active Directory 中的域控制器

在本文中，我们将展示如何在 Windows Server 2022/2019/2016/2012R2 上正确删除（降级）Active Directory 域控制器。删除域控制器时，通常会使用以下场景之一。

删除 Active Directory 域控制器和 ADDS 角色（分步）

如果要停用其中一台 AD 域控制器（公共 DC 或只读域控制器 - RODC），则必须先执行一些准备步骤，然后再将域控制器降级为成员服务器并删除 Active Directory 域服务 (ADDS) 角色。

1. 检查域控制器、Active Directory 和复制的状态。有一篇单独的文章介绍了如何使用以下命令检查 AD 中域控制器的运行状况和复制

   dcdiag

   ,

   repadmin

   和 PowerShell 脚本。如果发现问题，请修复。要显示特定域控制器上的错误列表，请运行以下命令：

   dcdiag.exe /s:mun-dc03 /q

2. 确保 AD FSMO 角色未在域控制器上运行：

   netdom query fsmo

   

   如果需要，将 FSMO 角色移动到另一个 DC。

3. 确保 DHCP 服务器角色未在域控制器上运行。如果是，则迁移到另一台服务器；

4. 更改为客户端分配 IP 地址的 DHCP 范围的 DNS 设置。更改 DHCP 范围的配置，以便它们分配不同的 DNS 服务器地址（等待 IP 租用时间到期，以便所有客户端获得新的 DNS 服务器设置）。您可以使用以下 PowerShell 命令显示服务器上为所有区域设置的 DNS 服务器列表（DNS 服务器选项 006）（详细了解如何使用 PowerShell 在 Windows Server 中管理 DHCP）：

   Get-DhcpServerv4Scope -ComputerName mun-dhcp.a-d.site| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value

5. 某些客户端可能会手动设置为使用 DC 上的 DNS 服务器（网络设备、服务器、打印机、扫描仪等）。您需要找到此类设备并将其重新配置到另一个 DNS 服务器。通过日志可以更轻松地找到访问您的 DNS 服务器的此类设备。这里有一篇详细的文章：How to Audit Client DNS Queries in Windows Server;

6. 如果证书颁发机构角色正在域控制器上运行，请将其迁移到另一台服务器；

7. 如果其他服务（如 KMS 服务器、Radius/NPS、WSUS 等）正在域控制器上运行，请决定是否要将它们移动到其他主机；

8. 使用

   Test-ADDSDomainControllerUninstallation

   cmdlet 以确保在删除 DC 时是否存在任何依赖项或可能遇到的问题。如果 cmdlet 返回成功，您可以继续。

   

您现在已准备好将域控制器降级为成员服务器。在 Windows Server 201 之前，使用 dcpromo 命令来实现此目的。在现代 Windows Server 版本中，此工具已弃用，不建议使用。

您可以使用服务器管理器降级域控制器。打开服务器管理器 -> 远程角色和功能 -> 取消选中服务器角色部分中的Active Directory 域服务。

单击降级此域控制器。

将出现 Active Directory 域服务配置向导。 强制删除此域控制器选项用于删除域中的最后一个域控制器。 不要使用它。稍后我们将手动删除所有 DC 元数据。

在下一个屏幕中，选中继续删除选项。

然后设置本地服务器管理员密码。

然后您只需点击降级即可。

等待域控制器降级结束。将显示以下消息：已成功降级 Active Directory 域控制器。

重新启动 Windows Server 主机。再次打开服务器管理器以删除 Active Directory 域服务角色。

删除 ADDS 角色时，默认情况下将删除以下组件：

• 适用于 Windows PowerShell 的 Active Directory 模块

• AD DS 和 AD LDS 工具功能

• 活动目录管理中心

• AD DS 管理单元和命令行工具

• DNS服务器

• 组策略管理控制台（

  gpmc.msc

  ）

运行 Active Directory 用户和计算机控制台 (dsa.msc) 并确保域控制器计算机帐户已从域控制器 OU 中删除。

您还可以使用以下命令卸载域控制器

Uninstall-ADDSDomainController

PowerShell cmdlet。该命令将提示您设置本地管理员密码并确认 DC 降级。

重新启动后，您只需使用 PowerShell 删除 ADDS 角色：

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

然后打开 Active Directory 站点和服务 (

dssite.msc

) 控制台，在服务器部分找到域控制器站点及其帐户。展开 DC，右键单击 NTDS 设置，然后选择删除。

通过选中仍然删除此域控制器来确认 DC 删除。它永久离线，无法再使用删除向导删除。

然后删除服务器帐户。

等到 AD 复制结束并使用以下命令检查域状态

dcdiag

和

repadmin

命令（如上所述）。

如何删除 Active Directory 中出现故障的域控制器？

如果您的域控制器出现故障（物理服务器或存储上的虚拟 DC 文件）并且您不打算从之前创建的域控制器备份中恢复 DC，则可以强制删除它。

重要。以这种方式删除的域控制器永远不应联机。

在 Windows Server 2008 R2 或更早版本中，

ntdsutil

该工具用于删除发生故障的域控制器并从 AD 中清除其元数据。在当前的 Windows Server 2022/2019/2016/2012 中，您可以使用图形 AD 管理 MMC 管理单元删除故障 DC 并正确清除其元数据。

打开 ADUC 控制台（

dsa.msc

）并导航至域控制器。找到您的 DC 帐户并将其删除。

将出现确认删除域控制器的窗口。选中仍然删除此域控制器。点击删除。

Active Directory 将自动从 ntds.dit 数据库中清除已删除 DC 的元数据。

然后在 AD 站点和服务控制台中删除域控制器，如上所示。

最后一步是从 DNS 中删除域控制器记录。打开 DNS 管理器（

dnsmgmt.msc

）。

从区域设置的名称服务器列表中删除服务器。

删除与 DNS 区域中已删除的 DC 相关的静态名称服务器 (NS) 记录，并

_msdcs

,

_sites

,

_tcp

,

_udp

部分，以及反向查找区域中的 PTR 记录。

或者使用 PowerShell 查找并删除 DNS 中的记录。

以下分步指南展示了如何卸载域控制器或从 Active Directory 中删除出现故障的 DC。