Гид по технологиям

Как демонтировать контроллер домена на Windows Server

7 min read Windows Server Обновлено 10 Dec 2025
Как демонтировать контроллер домена Windows Server
Как демонтировать контроллер домена Windows Server

Для кого эта инструкция

Кратко: для системных администраторов и инженеров инфраструктуры, которые управляют контроллерами домена Windows Server (версии 2008, 2016, 2018 и аналогичные). Если вы не уверены в последствиях, сначала протестируйте процедуру в лабораторной среде.

Ключевые варианты действий

  • Демонтировать контроллер корректно через Server Manager (на живом сервере).
  • Удалить контроллер вручную и очистить метаданные, если сервер перестал отвечать.

Что важно проверить перед началом

  • Наличие актуальной резервной копии системных состояний (System State) контроллера домена и, при возможности, снимка ОС. Краткое определение: резервная копия System State включает AD, реестр, SYSVOL и другие важные компоненты.
  • Проверить репликацию AD и состояние сервисов (repadmin /replsummary, dcdiag).
  • Убедиться, что роли FSMO перенесены на другие контроллеры при необходимости.
  • Если контроллер — единственный в домене, план действий и последствия должны быть проработаны отдельно.

Вариант 1: Через Server Manager (рекомендуется для рабочего сервера)

  1. Откройте поиск и запустите Server Manager.
  2. Выберите Manage, затем Remove Roles and Features. Управление — удалить роли и компоненты
  3. В навигационной панели выберите AD DS или All Servers, затем раздел Roles and Features.
  4. Найдите Active Directory Domain Services, щёлкните правой кнопкой и выберите Remove Role or Feature. Удаление роли Active Directory Domain Services
  5. На странице Before you begin нажмите Next.
  6. На странице Server Selection выберите сервер, который нужно демонтировать, и нажмите Next. Выбор сервера для удаления роли
  7. Снимите галочку рядом с Active Directory Domain Services на странице Server Roles. Список ролей на сервере
  8. На странице Remove features that require Active Directory Domain Services нажмите Remove features. Подтверждение удаления зависимых функций
  9. Нажмите Demote this domain controller, затем OK.
  10. На следующем экране снимите галочку Force the removal of this domain controller, если вы хотите избежать принудительного удаления. Нажмите Next.
  11. При необходимости укажите другие учётные данные и нажмите Next.
  12. На экране Warnings отметьте Proceed with removal и нажмите Next.
  13. На странице Removal Options отметьте Remove DNS delegation, если у вас была делегация DNS, и нажмите Next.
  14. Введите новый пароль администратора локальной машины в полях Password и Confirm Password и нажмите Next.
  15. На странице Review Options нажмите Demote, чтобы начать процесс. Кнопка Демонтировать контроллер домена

Важно: если нужно демонтировать несколько контроллеров с одинаковым сценарием, нажмите View script, чтобы получить PowerShell-скрипт для автоматизации.

Вариант 2: Ручное удаление, если сервер недоступен

Когда сервер упал, но в домене остались следы контроллера, необходимо выполнить последовательную очистку: удалить объект контроллера в AD, удалить инстанс сервера в Sites and Services и почистить метаданные через ntdsutil.

2.1 Удаление контроллера из Active Directory Users and Computers

  1. Нажмите Windows + R и откройте Run. Открытие консоли управления Active Directory
  2. Введите dsa.msc и нажмите Enter, чтобы открыть Active Directory Users and Computers. Консоль Active Directory Users and Computers
  3. Найдите контейнер Domain Controllers. Правой кнопкой мыши кликните удаляемый контроллер и выберите Delete. Удаление контроллера домена из каталога
  4. Подтвердите действие, кликнув Yes. Подтверждение удаления контроллера
  5. На странице Deleting Domain Controller установите флажок Delete this Domain Controller anyway. It is permanently offline and can no longer be removed using the removal wizard и нажмите Delete. Принудительное удаление офлайн-контроллера
  6. Подтвердите Yes.

2.2 Удаление инстанса сервера в Active Directory Sites and Services

  1. Откройте Server Manager, затем Tools.
  2. Запустите Active Directory Sites and Services. Консоль Active Directory Sites and Services
  3. Разверните Sites, найдите нужный сервер, правой кнопкой выберите Delete.
  4. Подтвердите удаление Yes.

2.3 Очистка метаданных через ntdsutil

  1. Откройте Command Prompt с правами администратора (Start → Command Prompt (Admin)).
  2. Введите команду и нажмите Enter:
ntdsutil
  1. После запуска ntdsutil используйте режим metadata cleanup. Пример шага (в интерактивной консоли ntdsutil):
  • Введите metadata cleanup и нажмите Enter.
  • Подключитесь к серверу управления, если нужно.
  • Введите remove selected server <имя_сервера> и нажмите Enter.
  1. Подтвердите удаление по запросу.

Примерный поток команд в ntdsutil может отличаться по версии Windows; внимательно читайте подсказки консоли.

Сколько времени занимает демонтирование

Процесс обычно занимает от нескольких минут до десятков минут. Точное время зависит от размера Active Directory, количества контроллеров, репликации и пропускной способности сети.

Частые ошибки и когда метод не сработает

  • Проблема: у контроллера есть FSMO-роли, и вы не перенесли их заранее. Последствие: возможна потеря управления схемой/контролем домена. Решение: перенесите роли перед удалением.
  • Проблема: неработающая репликация. Решение: устраните ошибки репликации (repadmin, события в журнале) перед массовым удалением.
  • Проблема: удалили запись контроллера, но остались привязки DNS. Решение: проверьте и очистите записи в DNS-зонах вручную.
  • Когда метод через Server Manager не сработает: если сервер фактически утерян (оборудование), используйте ручную очистку и ntdsutil.

Альтернативные подходы

  • PowerShell: можно использовать модуль AD и cmdlet для удаления роли и автоматизации (Remove-WindowsFeature, Uninstall-ADDSDomainController для поддерживаемых сценариев).
  • Виртуализация: если контроллер — виртуальная машина, попытайтесь восстановить её из снапшота и выполнить корректный демоут.

Роль и чек-листы по задачам (кто что делает)

  • AD-инженер
    • Проверяет FSMO-роли и репликацию.
    • Делает резервную копию System State.
    • Запускает demote через Server Manager или PowerShell.
  • Сетевой администратор
    • Проверяет доступность сети и DNS.
    • Удаляет записи в DNS и DHCP при необходимости.
  • Операционный инженер
    • Контролирует журнал событий на предмет ошибок.
    • Документирует изменения и уведомляет команды.

Порядок действий (SOP) — кратко

  1. Сделать резервную копию System State контроллера домена.
  2. Проверить репликацию и состояние FSMO (repadmin /replsummary, netdom query fsmo).
  3. Если все в порядке, демонтировать через Server Manager или PowerShell; в противном случае — планировать перенос ролей.
  4. После удаления проверить репликацию и очистить DNS-записи.
  5. Документировать и проверить доступ пользователей.

План отката/инцидент-ранбуки

  • Если после удаления начались проблемы с аутентификацией: восстановить контроллер из резервной копии System State или запустить восстановление на другом сервере.
  • Если роли FSMO случайно удалены: восстановить из резервной копии или назначить роли на другой контроллер, используя NTDSUTIL/PowerShell.

Проверки после удаления (Критерии приёмки)

  • Контроллер больше не отображается в Active Directory Users and Computers и Sites and Services.
  • Никаких ошибок репликации, связанных с удалённым контроллером, в repadmin.
  • DNS-записи удалены или обновлены.
  • Пользователи и компьютеры продолжают аутентифицироваться на других контроллерах.

Безопасность и приватность

  • Убедитесь, что все учётные данные и ключи больше не хранятся на удаляемом сервере.
  • При работе с персональными данными соблюдайте внутренние правила хранения и удаления данных (GDPR/локальные регламенты).

Краткий глоссарий (в одну строку)

  • Active Directory — служба каталогов Microsoft для управления пользователями и компьютерами в домене.
  • FSMO — специальные операции мастера для уникальных ролей в AD.
  • ntdsutil — утилита для управления и очистки метаданных AD.

Тесты и приёмка

  • Подготовьте тестовую учётную запись и убедитесь, что она аутентифицируется после удаления контроллера.
  • Проверьте работу приложений, зависящих от LDAP/AD.

Рекомендации и завершение

Всегда делайте резервную копию перед удалением контроллера домена. При планировании крупных изменений согласуйте окна обслуживания и время на откат. Если не уверены — сначала проведите процедуру в тестовой среде.

Важно: после выполнения действий опубликуйте короткий отчёт с указанными проверками и временем, чтобы команда знала о выполненных изменениях.

Краткое резюме

  • Используйте Server Manager для корректного демонтирования живых серверов.
  • Для офлайн-серверов используйте последовательность: удалить в AD, удалить в Sites and Services, очистить метаданные через ntdsutil.
  • Проверяйте репликацию, FSMO и DNS до и после операции.

Если у вас есть конкретный сценарий (версия сервера, роли FSMO, репликация), опишите его в комментариях — помогу подобрать точные команды и порядок действий.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство