Как отключить и удалить Active Directory и контроллер домена — пошаговая инструкция

Если вы хотите отключить и удалить AD DS и контроллер домена, то для этого необходимо выполнить ряд последовательных действий. В данной статье мы рассмотрим подробную инструкцию, которая поможет вам осуществить эту процедуру.

Первым шагом перед удалением контроллера домена необходимо отключить сертификаты. Для этого выполните следующую команду: certutil -crl. Эта команда выполнит отзыв всех выданных сертификатов на сервере AD CS.

Затем переносим все роли Certificate Services (ADCS) на другой сервер, чтобы сохранить ключ CA. Для этого перейдите в СЕРВИСЫ CERTIFICATION TASKS, выберите запрос «Перенос ключа сертификации на другой компьютер».

Далее необходимо выполнить понижение уровня домена. Для этого воспользуйтесь инструментом ADPREP, который находится на установочном носителе Windows Server. Запустите команду adprep /rodcprep на главном контроллере домена.

После выполнения всех подготовительных действий можно приступить к удалению AD DS и контроллера домена. Для этого откройте «Установка серверных ролей», перейдите в «Управление дополнительными объектами Active Directory», выберите контроллер домена, который вы хотите удалить, и нажмите на кнопку «Удалить». В появившемся окне подтвердите удаление контроллера домена.

После удаления контроллера домена необходимо удалить все следы AD DS. Для этого откройте инструмент «Удаление элементов AD DS». В появившемся окне установите галочку напротив «Удаление данных следов Active Directory в этом компьютере». Подтвердите удаление и дождитесь его завершения.

Поздравляю! Теперь AD DS и контроллер домена полностью удалены с вашего сервера. Если у вас возникли вопросы или проблемы в процессе выполнения этих шагов, обратитесь к справке или к специалистам.

Удаление объектов CA из Active Directory

Для удаления объектов сертификационного центра Active Directory (AD CS) следуйте указанным ниже шагам:

1. Откройте Certification Authority на контроллере домена, на котором была установлена служба ADS CS.
2. В левой панели находим ADCS.
3. Выбираем группу сертификатов, которую нужно удалить.
4. Щелкаем правой кнопкой мыши на выбранной группе и открываем контекстное меню.
5. В контекстном меню выбираем All Tasks, а затем Remove Server.
6. В открывшемся окне выбираем Remove this Certificate Authority from this domain и нажимаем Yes.
7. Продолжаем процесс удаления, следуя указаниям. Это может потребовать времени, поскольку все сертификаты будут отзываться и опубликованные списки отзыва сертификатов (CRL) будут перестраиваться.
8. При выполнении команд будет выведена справка по использованию каждой команды.
9. После завершения процесса удаления adcsmaster перезагрузите контроллер домена.
10. После перезагрузки открываем PowerShell от имени администратора.
11. В PowerShell выполняем команду Revoke-AdcsCertificationAuthority для удаления остальных объектов.
12. Открытый список значении для удалить объекты CA.
13. Снимаем отметку с сертификата.
14. Закрываем PowerShell.
15. Подготовка к понижению роли контроллера домена из последнего каталога Active Directory (DS) может занять какое-то время.
16. На компьютере dmoskmaster открываем командную строку от имени администратора.
17. Выполняем команду dsa.msc для открытия управления Active Directory.
18. На вкладке «Пользователи» выбираем NTAuthCertificates.
19. В списке сертификатов выбираем сертификат установленного сертификационного центра (Certificate Authority).
20. Нажимаем правой кнопкой мыши на выбранный сертификат и выбираем Отозвать сертификат.
21. Для удаления сертификата из домена выбираем Да.
22. После выполнения команды все сертификаты на компьютерном домене будут заблокированы.
23. Закрываем командную строку.
24. На закрытом контекстном графике после сделать закрытый контекстный график для закрытого контекстного графика разрывает связь с базой данных шаблонов, если он не открывается.

Удаление роли Active Directory Certificate Services

При удалении и отключении службы AD DS и контроллера домена необходимо также удалить роль Active Directory Certificate Services (ADCS). Данная роль отвечает за выдачу и управление сертификатами в доменной среде.

Для удаления роли ADCS на контроллере домена следуйте следующим шагам:

1. Откройте управление сервером на контроллере домена.
2. Нажмите правой кнопкой мыши на главную группу серверов и выберите пункт «Добавить роли и компоненты».
3. В появившемся окне «Добавление ролей и компонентов» нажмите «Далее».
4. Выберите сервер, на котором необходимо удалить роль ADCS, и нажмите «Далее».
5. В списке доступных ролей найдите «Службы сертификации Active Directory» и снимите галочку с данной роли.
6. Появится окно «Понижение уровня службы сертификации Active Directory». В этом окне вы можете выбрать, какие объекты и данные связанные с ADCS будут удалены или оставлены. В данном случае выбираем «Удаление», чтобы полностью удалить роль и все связанные с ней данные.
7. В следующем окне вы можете увидеть список сертификатов выданных в вашем домене. Для подготовки к удалению роли необходимо выполнить команду certutil -dspublish -f "ntauthcertificates" %systemroot%\system32\config
tds.dit и дождаться выполнения данной команды.
8. Нажимаем «Далее» и выбираем «Перезагрузить компьютер автоматически при необходимости».
9. После перезагрузки компьютера роль ADCS будет удалена.

Важно отметить, что при удалении роли ADCS все сертификаты, выпущенные данным контроллером домена, будут отозваны и удалены из системы. Перед удалением роли необходимо убедиться, что все сертификаты были перенесены на другие сервера, а также сделать резервные копии базы данных сертификатов.

Вопросы и ответы

• Как проверить состояние контроллеров домена?

Если у вас есть доступ к командной строке на компьютере с установленной ролью контроллера домена, выполните команду «dcdiag» для проверки состояния домена.

• Как отключить и удалить контроллер домена?

Для отключения контроллера домена необходимо выполнить следующие шаги:

1. Откройте «Управление системами» в «Панели управления».
2. Перейдите в раздел «Управление задачами» и нажмите «Графика» и «Удалить роль».
3. Выберите «AD DS» и нажмите «Далее».
4. Установите галочку напротив опции «Удалить базы данных AD DS в этом сервере».
5. Нажмите «Далее» и «Удалить».
• Как удалить доменные сертификаты после удаления контроллера домена?

Для удаления доменных сертификатов после удаления контроллера домена выполните следующие действия:

1. Откройте «Сертификаты» в «Управлении системами».
2. Перейдите в «Личные» -> «Сертификаты» и найдите сертификат, выданный контроллером домена.
3. Щелкните правой кнопкой мыши на сертификате и выберите «Запросить отзыв сертификата» -> «Да».
4. Откройте «Авторитет сертификации» (Certification Authority) в «Службах» (Services).
5. Перейдите в «Опубликованные сертификаты» и найдите сертификат контроллера домена.
6. Щелкните правой кнопкой мыши на сертификате и выберите «Отозвать сертификат».
• Как подготовить дочерний контроллер домена к удалению основного контроллера домена?

Для подготовки дочернего контроллера домена к удалению основного контроллера домена выполните следующие действия:

1. Откройте «Управление системами» в «Панели управления».
2. Перейдите в раздел «Управление задачами» и нажмите «Графика» и «Перевести FSMO роли».
3. Выберите опцию «Управление FSMO ролью: Передать роль…» и назначьте дочернему контроллеру домена все необходимые роли.
4. Нажмите «Далее» и «Готово».

Удаление сертификатов с контроллеров домена

Удаление сертификатов с контроллеров домена может быть необходимо в случае отключения и удаления AD DS и контроллера домена. В данном разделе рассмотрим, как удалить сертификаты с контроллеров домена.

1. Открываем Службы сертификации центра управления. Для этого нажимаем клавишу Win + R, в открывшемся окне вводим certsrv.msc и нажимаем Enter.

2. В окне Службы сертификации центра управления слева выбираем Сертификаты – Личные – Сертификаты.

3. На правой панели выбираем сертификат, который хотим удалить, и нажимаем правой кнопкой мыши. В контекстном меню выбираем Все задачи – Отозвать.

4. В открывшемся окне выбираем, какой метод отзыва использовать. Если хотим просто отозвать сертификат, то выбираем Отозвать сертификат, а все сведения о сертификате сохранить. Если хотим удалить полностью сертификат со всеми сведениями, выбираем Отозвать сертификат и удалить все сведения о сертификате. Нажимаем OK.

5. Если у нас есть закрытый ключ, сервис сам запросит его у нас. Если же нам нужно вручную указать ключ, выбираем OK – Открываем, указываем путь к закрытому ключу и нажимаем OK.

6. Сертификат будет отозван и удален.

Примечание: Эти операции можно выполнить с помощью командной строки или графического интерфейса. В данной инструкции мы рассмотрели графический интерфейс.

Графика

При подготовке к отключению и удалению AD DS и контроллера домена необходимо увидеть полный список сертификатов, которые были запрошены и выпущены для ролей AD Certificate Services (ADCS) на этом контроллере.

Чтобы увидеть список сертификатов, открываем AD CS Management Console на контроллере домена, на котором мы будем выполнять понижение ролей. Для этого в окне Server Manager выберите пункт «Manage» и нажмите на него левой кнопкой мыши. В открывшемся контекстном меню выберите пункт «Add Roles and Features». В окне «Add Roles and Features Wizard» нажмите кнопку «Next».

На шаге «Server Selection» выберите сервер, на котором находится контроллер домена, и нажмите кнопку «Next». На следующем шаге, в списке ролей выберите пункт «Active Directory Certificate Services» и нажмите кнопку «Next». На следующем шаге выберите пункт «Certification Authority», после чего нажмите кнопку «Next». В следующем окне, если Вы хотите, чтобы все роли ADCS были удалены автоматически, установите галочку в поле «Remove role services that are no longer required» и нажмите кнопку «Next». Выполнение переноса сертификатов и очистка настройки при выключении ролей службы приостановит или удалит все сертификаты и запросы сертификатов в конфигурации ролей ADCS. Если нет необходимости очищать службу сертификатов, оставьте по умолчанию значение «No, do not remove AD Certificate Services certificate database files» и нажмите кнопку «Next».

На следующем шаге нажмите кнопку «Remove» для удаления ролей ADCS на данном контроллере домена. В окне мастера удаления ролей введите ключевое слово, чтобы подтвердить, что понимаете последствия удаления роли AD CS, и нажмите кнопку «Next». Если Вы не хотите сохранять сертификаты в начальные включительно закрытые ключи после удаления ролей AD CS, то установите галочку в поле «Yes, I want to grant the administrator permission to export the private key(s)». Если Вы хотите просто удалить роли AD CS и не хранить закрытые ключи, щелкните кнопку «No» и нажмите кнопку «Next».

Введите пароль, который будет использоваться для доступа к закрытым ключам контроллера домена после удаления ролей ADCS, и нажмите кнопку «Next». В окне «Role Removal» нажмите кнопку «Next» для повторного подтверждения выполнения операций. После завершения удаления роль ADCS вы можете закрыть AD CS Management Console и Server Manager, если есть такая необходимость.

Если рассмотрим контейнеры доменных служб каталогов LDAP, то для удаления ролей ADCS вручную нажмите кнопку «Start» на серверах ADCS и введите команду «Ntdsutil». Выполните следующую команду: «roles» → «connections» → «connect to server <Имя контроллера домена» → «quit». Для удаления роли «CA» выполните команду «remove role CA» и нажмите кнопку «Yes» для подтверждения удаления роли ADCS. На последнем шаге введите команду «quit» для выхода из ntdsutil.

Удаление сертификатов из контейнера LDAP выполним с помощью PowerShell. Для этого открываем окно PowerShell и выполняем следующую команду: «certutil –delstore LDAP\certificates».

Таким образом, графика управления AD DS и контроллера домена при его отключении и удалении будет заключаться в подготовке, увидим полный список сертификатов, которые были запрошены и выпущены для ролей AD Certificate Services (ADCS) на этом контроллере, и выполнение необходимых операций для удаления сертификатов и запросов сертификатов.

Отзыв выданных сертификатов

При удалении и отключении службы AD DS и контроллера домена на сервере может возникнуть необходимость отозвать ранее выданные сертификаты. В данном разделе мы рассмотрим, как выполнить эту операцию.

Подготовка к отзыву сертификатов

Перед началом процесса необходимо убедиться, что у вас есть права администратора на сервере. Кроме того, следует иметь в виду, что отзыв выданных сертификатов может повлиять на работу некоторых сервисов системы.

Отзыв сертификата в контекстном меню

Чтобы отозвать сертификат с помощью контекстного меню, выполните следующие действия:

1. Откройте окно «Управление сертификатами компьютера», нажав на клавишу Win + R и введя команду mmc.
2. В окне «Управление сертификатами компьютера» выберите «Локальный компьютер», нажмите правой кнопкой мыши на «НадЗаголовком ()» и выберите «Изменить организацию».
3. В открывшемся окне перейдите в раздел «Авторитеты сертификации», выберите «Сертификаты», а затем «ntAuthCertificates».
4. Выведите список сертификатов, нажав правой кнопкой мыши на пустом месте и выбрав «Все зад-правые, лордингскргправые» из контекстного меню.
5. Найдите сертификат, который хотите отозвать, щелкните на нем правой кнопкой мыши и выберите «отозвать».

В результате будет открыто окно «Отзыв сертификата», в котором вы сможете указать причину отзыва и завершить операцию.

Отзыв сертификата в закрытом контейнере

Если сертификат был установлен в закрытом контейнере, отзыв может потребовать уточнений и выполнения команд в командной строке. Рассмотрим процесс:

1. В открытом окне «Управление сертификатами компьютера» перейдите в раздел «Личные», а затем в «Сертификаты».
2. Выведите список сертификатов, нажав правой кнопкой мыши на пустом месте и выбрав «Все задачи» -> «Справка» -> «Вывести запрос на сертификат».
3. В всплывающем окне выберите «Запрос на сертификат (выполнить команду)» и нажмите «Далее».
4. В следующем окне выберите «Вывести запрос на сертификат из хранилища сертификатов», а затем «Далее».
5. В поле «Выберите сертификаты» укажите нужный сертификат, нажмите «Далее» и выполните команды в командной строке, чтобы получить строку запроса.
6. Полученную строку запроса вручную добавьте в окно «Управление сертификатами компьютера» и нажмите «Далее».
7. Откройте окно «Управление сертификатами компьютера», выберите раздел «Авторитеты сертификации», а затем «Сертификаты».
8. Выведите список сертификатов, найдите сертификат, который нужно отозвать, щелкните на него правой кнопкой мыши и выберите «отозвать».

Теперь вы знаете, как отозвать выданные сертификаты при удалении AD DS и контроллера домена.

Powershell

Для удаления и отключения AD DS и контроллера домена, также следует удалить и опубликованные сертификаты, которые были выданы сервером CA (Центра сертификации). Для этого будем использовать команду Powershell.

На этом сайте можно найти пошаговую инструкцию по удалению контроллера домена с помощью Powershell.

Перед выполнением шагов удаления, чтобы избежать потери важных сертификатов, который в дальнейшем могут быть использованы на других системах, нужно выполнить резервное копирование всей базы данных сертификации.

Для сохранения списка опубликованных сертификатов на каждом из контроллеров домена и их ключей воспользуемся командой:

Команда	Описание
certutil -catemplates	Просмотр списка сертификатов, опубликованных на контроллере домена
certutil -privatekey dmoskmaster

После этого, перед удалением контроллера домена, необходимо отозвать все выданные сертификаты. Для этого можно использовать команду:

Команда	Описание
certutil -revoke номер_сертификата	Отзывает сертификат с указанным номером

Также можно отозвать все сертификаты сразу:

Команда	Описание
certutil -crl	Отзывает все выданные сертификаты на текущем сервере

После выполнения этих команд, на каждом контроллере домена нужно выполнить перезагрузку службы ADCS (Служба центра сертификации Active Directory) с помощью команды:

Команда	Описание
net stop certsvc	Останавливает службу центра сертификации Active Directory
net start certsvc	Запускает службу центра сертификации Active Directory

После этого можно приступить к удалению контроллера домена. На этом этапе система может запросить сертификаты, которые были выданы сервером CA. Если сервер CA не будет найден, можно выбрать опцию «Удалить без запроса к серверу».

Для удаления объектов AD DS можно воспользоваться командой:

Команда	Описание
Remove-ADObject -Identity «LDAP://адрес_контроллера_домена»	Удаляет указанный объект из Active Directory

В процессе удаления будут заданы вопросы, на которые нужно выбрать соответствующие значения. В конце удаления будет выведен суммарный список удаленных объектов.

Последним шагом будет понижение уровня функциональности домена. Для этого нужно выполнить следующую команду:

Команда	Описание
Set-ADForestMode -Identity «dmoskmaster.local» -ForestMode Windows2008R2Forest	Понижает уровень функциональности домена до Windows Server 2008 R2
Set-ADDomainMode -Identity «dmoskmaster.local» -DomainMode Windows2008R2Domain	Понижает уровень функциональности домена до Windows Server 2008 R2

После выполнения всех этих шагов контроллеры домена будут удалены и AD DS будет выключен.

Удаление базы центра сертификации

При удалении и отключении AD DS и контроллера домена необходимо также удалить базу центра сертификации (Certificate Services).

Данное действие можно выполнить следующим образом:

1. Откройте командную строку от имени администратора на сервере, на котором установлена система AD DS и Certification Services. Для этого нажмите клавишу «Win» и введите «cmd», затем щелкните правой кнопкой мыши на найденную программу «Командная строка» и выберите «Запуск от имени администратора».
2. Выполните проверку операции понижения состояния доменного контроллера с помощью команды «dcdiag /test:dcpromo /removelingeringobjects».
3. Для подготовки базы Certification Services к удалению выполним следующие действия:
   • Добавим новый сертификационный авторитет (CA) на другом сервере.
   • Рассмотрим запросы на сертификаты, опубликованные в роли сервера.
   • Отзываем все сертификаты на старом контроллере домена.
   • Удалите старый контроллер домена и группу серверов Certification Services, если это нужно.
4. Для удаления старого сертификационного сервера Certification Services выполните следующие действия:
   • Откройте консоль «Управление службами сертификации» (Certification Services).
   • Откройте раздел «Certificate Templates» и убедитесь, что шаблон «Компьютер» среди рядового типа Certificate Templates.
   • Выберите шаблон «Компьютер» и нажмите кнопку «Удалить».
   • На вопрос «Вы уверены, что хотите выполнить это действие?» выберите «Да».

После выполнения всех этих операций база центра сертификации будет полностью удалена. Обратите внимание, что данный процесс может занимать некоторое время и потребует от вас подтверждений и ответов на вопросы администратора.

Видео:

Настройка Astra Linux Directory ALD в AstraLinux 1.6 / информационная безопасность / астра линукс

Настройка Astra Linux Directory ALD в AstraLinux 1.6 / информационная безопасность / астра линукс by ИТ проповедник 23,443 views 3 years ago 32 minutes