Active Directory.pdf - Gattner

Entfernen der AD DS 237
Nachdem Sie das Entfernen der Anwendungsverzeichnispartitionen bestätigt haben, werden Sie dazu
aufgefordert, ein neues Kennwort für das lokale Administratorkonto einzugeben. Überprüfen Sie
abschließend die Zusammenfassungsseite, und schließen Sie den Vorgang zum Entfernen der AD DS
ab. Um den Vorgang abzuschließen, müssen Sie den Computer neu starten. Nach dem Neustart übernimmt
der Computer entweder die Rolle eines Mitgliedsservers oder eines eigenständigen Servers.
Entfernen von zusätzlichen Domänencontrollern
Der Vorgang zum Entfernen der AD DS von zusätzlichen Domänencontrollern ist weniger kompliziert
als das Entfernen der AD DS von dem letzten Domänencontroller in einer Domäne oder Gesamtstruktur.
Der Grund hierfür ist, dass Replikate der Verzeichnispartitionen auf anderen Domänencontrollern
gespeichert sind, sodass keine Verzeichnisdaten verloren gehen. Beim Entfernen werden
jedoch Daten in Anwendungspartitionen gelöscht. Stellen Sie deswegen sicher, dass Sie die Anwendung(en)
nach dem Entfernen der AD DS nicht mehr benötigen, oder wählen Sie einen anderen DC in
der Domäne als Replikatspeicherort für die Anwendungspartition. Die Deinstallation der AD DS auf
dem Domänencontroller zieht folgende Änderungen nach sich:
• Sämtliche Betriebsmasterrollen werden auf andere Domänencontroller in der Domäne verschoben.
Um die Platzierung von FSMO-Rollen (Flexible Single Master Operations) in Ihrer Umgebung
besser steuern zu können, sollten Sie die FSMO-Rollen vor der Herabstufung manuell
verschieben.
• Der SYSVOL-Ordner und sämtliche Inhalte werden vom Domänencontroller entfernt.
• Das Objekt NTDS Settings und sämtliche Querverweise werden entfernt.
• DNS wird aktualisiert, um die SRV-Einträge der Domänencontroller zu entfernen.
• Die lokale SAM-Datenbank zum Verarbeiten der lokalen Sicherheitsrichtlinie wird erstellt.
• Sämtliche Active Directory-bezogene Dienste, die bei der Installation der AD DS gestartet werden
(wie z.B. der Netzwerkanmeldedienst), werden angehalten.
Schließlich wird der Typ des Computerkontos von Domänencontroller in Mitgliedsserver geändert,
und das Computerkonto wird vom Container Domain Controllers in den Container Computers verschoben.
Um die AD DS von einem zusätzlichen Domänencontroller zu entfernen, müssen Sie als ein
Mitglied der Gruppe Domänen-Admins oder Organisations-Admins angemeldet sein.
Hinweis Stellen Sie beim Entfernen der AD DS von einem zusätzlichen Domänencontroller sicher, dass
weitere GCs in der Domäne vorhanden sind. GCs werden für Benutzeranmeldungen benötigt und im Gegensatz
zu Betriebsmasterrollen nicht automatisch verschoben.
Entfernen des letzten Domänencontrollers
Zusätzlich zu den interessanten Aspekten beim Entfernen eines zusätzlichen Domänencontrollers treten
beim Entfernen des letzten Domänencontrollers in einer Domäne weitere Besonderheiten auf. Am
wichtigsten hierbei ist, dass das Entfernen des letzten Domänencontrollers in einer Domäne dazu
führt, dass die Domäne selbst entfernt wird. Ebenso wird auch die Gesamtstruktur entfernt, wenn Sie
den letzten Domänencontroller in einer Gesamtstruktur entfernen. Unter anderem treten die folgenden
Besonderheiten beim Entfernen des letzten Domänencontrollers in einer Domäne auf:
• Der Assistent zum Installieren von Active Directory-Domänendiensten überprüft, ob untergeordnete
Domänen vorhanden sind. Der Vorgang zum Entfernen der AD DS wird angehalten, wenn
untergeordnete Domänen gefunden werden.