Domain Controller mit Windows Server Manager De-Promoten bzw. Herabstufen
Nach der Migration eines Windows Domain Controller muss der alte Domain Controller final noch De-Promotet bzw. Herabgestuft werden. Außerdem müssen die Rollen danach noch entfernt werden, um aus dem ehemaligen Domain Controller einen standardmäßigen Windows Server zu machen.
Ab Windows Server 2012 muss dies über den Server Manager getan werden. Davor ging dies über „DCPROMO“. Wie genau das funktioniert wird [HIER] beschrieben!
Vor der Herabstufung sollte außerdem sichergestellt sein, dass die Operation Masters oder auch FSMO-Rollen genannt nicht mehr auf dem zu de-promotenden Server ausgeführt werden. Siehe [HIER]
Vorgehensweise:
Zuerst muss der Servermanager gestartet werden. Danach kann oben unter „Verwalten“ der Punkt „Rollen und Features entfernen“ gewählt werden.
Danach öffnet sich ein „Assisten zum Entfernen von Rollen und Features“. Darin kann das erste „Vorbemerkungen“-Fenster übersprungen werden.
Danach muss aus der Liste des Server-Pools der gewünschte Domain Controller gewählt werden. Anschließend kann man mit „Weiter“ in den nächsten Schritt gelangen.
Im darauf folgenden Fenster muss dann der Haken bei der Rolle „Active Directory-Domänendienste“ entfernt werden. Es öffnet sich ein weiteres Pop-Up, in dem der Vorgang bestätigt werden muss.
Im nächsten Schritt erscheint sofort ein Pop-Up, welches einer Fehlermeldung ähnelt. Doch bei genauerem hinsehen wird klar, dass es keine ist. Mehr ist es logisch, dass an dieser Stelle die eigentliche Herabstufung des Domain-Controllers beginnt.
Gestartet wird diese durch einen Klick auf den Link „Diesen Domänencontroller tiefer stufen“, was etwas unglücklich übersetzt ist.
Es öffnet sich erneut ein eigener Assisten für die Herabstufung des DC’s. In dessen ersten Fenster müssen Zugangsdaten angegeben werden, die innerhalb der Domäne ausreichende Berechtigungen besitzen, um den Domain Controller zu entfernen. Am besten wird hier der Domänenadministrator verwendet.
Beachten sollte man hier auch die Warnung, dass der Server nach dem Herabstufungsvorgang automatisch neugestartet wird!
Die darauf folgenden Warnungen können mit dem Haken „Entfernung fortsetzen“ übersprungen werden.
Danach muss erneut bestätigt werden, dass, wie in diesem Beispiel die „DNS-Delegierung“ entfernt werden soll. Anschließend sollten auch hier die Benutzerdaten auf dem Domänenadministrator geändert werden, sollte das nicht schon von der vorgerigen Angabe übernommen worden sein.
Im nächsten Schritt muss ein neues Kennwort für den lokalen Administrator vergeben werden, da dieser bei der Heraufstufung vom Domain Controller entfernt wurde. Dieser wird nun, durch die Herabstufung nochmal angelegt und muss daher auch ein Kennwort erhalten!
Nun kommt der vorerst letzte Step. Hier muss lediglich die Herabstufung bestätigt werden. Es kann alternativ auch das verwedete Powershell Script unter „Script anzeigen“ eignesehen und verwendet werden. Ich verwende den Server Manager und klicke „Tiefer stufen“.
Nach einer relativ kurzen Verarbeitungsdauer ist die Herabstufung abgeschlossen und es wird aufgelistet, was ggf. schiefgelaufen ist. Außerdem wird der Server relativ schnell nach Abschluss der Herabstufung neugestarte, was auch durch eine Meldung mitgeteilt wird.
Nach dem Neustart wurde der Server erfolgreich Herabgestuft. Nun wird im Servermanager die Möglichkeit aufgezeigt den Server direkt nochmal heraufzustufen. Das kommt daher, dass die Rolle durch die De-Promotion nicht entfernt wird. Das muss nach dem Herabstufen noch manuell gemacht werden. Dazu im Server Manager erneut oben unter „Verwalten“ den Punkt „Rollen und Features entfernen“ wählen.
Anschlißend auch hier wieder die Anmerkungen im ersten Schritt überspringen und danach den gewünschten Zielserver aus dem aufgelisteten Server-Pool auswählen.
Nun müssen erneut die „Active Directory-Domänendienste“ entfernt werden. Ggf. kann in diesem Schritt auch die DNS-Rolle mit entfernt werden.
Nach einer abschließenden Auflistung aller zu entfernenden Rollen und Features kann durch einen Klick auf „Entfernen“ der Entfer-Vorgang gestartet werden.
Nach Abschluss dessen erhällt man nochmals eine kurze Zusammenfassung.
Nach einem Finalen, manuellen Neustart des Server kann der De-Promotion Vorgang abgeschlossen werden!
Der Server sollte nun im Active Directory unter „OU=Domain Controllers“ nicht mehr gelistet sein.
Es empfiehlt sich außerdem eine manuelle Replikation durchzuführen.
Dazu auf einem verbleibenden Domain Controller die CMD als Administrator starten und folgenden Befehl ausführen:
repadmin /syncall