Bei einer sauberen Migration musst Du einen Windows Domänencontroller herunterstufen, bevor dieser abgeschaltet werden kann. Dies war bereits bei früheren Windows Server Versionen (2003/2008) der Fall. Doch seit Windows Server 2012 hat sich die Vorgehensweise etwas geändert. Ich erkläre Dir deshalb in diesem Beitrag, wie Du Schritt für Schritt einen Domänencontroller herunterstufen und aus der Domäne entfernen kannst.



Windows Domänencontroller herunterstufen

Viele kennen sicherlich noch den alten Befehl „dcpromo“ unter Server 2003, bzw. Server 2008. Das Öffnen dieses Tools reichte damals aus, um den Assistenten zum Herabstufen des Domänencontrollers hin zu einem normalen Domänenserver zu starten. Führst Du dcpromo auf einem neueren Domänencontroller (>= Server 2012) aus, bekommst Du lediglich die folgende Meldung:

Der Assistent zum Installieren von Active Directory-Domänendiensten wurde in den Server-Manager verschoben. Weitere Informationen finden Sie unter …..

DC herunterstufen mit dcpromo?

Der Versuch, einen Windows Server 2012 Domänencontroller mit dcpromo herunterzustufen schlägt mit dieser Meldung fehl.

Microsoft hat diesen Vorgang, wie der Meldung zu entnehmen ist, in den Server-Manager verlagert. Genauer gesagt in den Assistenten zum Entfernen von Rollen und Features. Diesen erreichst Du im Server-Manager unter Verwalten und einem anschließenden Klick auf „Rollen und Features entfernen„.

Rollen und Features entfernen

Entfernen der Active Directory-Domänendienste

In dem Assistenten musst Du zunächst darauf achten, dass Du unter Serverauswahl den richtigen Domänencontroller markierst. Anschließend deaktivierst Du im Schritt Serverrollen die Active Directory-Domänendienste (AD DS). Direkt nach dem Klick wirst Du noch gefragt, ob die Verwaltungstools ebenfalls entfernt werden sollen. In meinem Beispiel bestätige ich diese Frage, da der Server anschließend nicht mehr für die Verwaltung der Domäne genutzt werden soll.

AD Rolle entfernen

Soll der Server anschließend auch nicht mehr zur Verwaltung der Domänendienste verwendet werden, musst Du auch die Verwaltungstools entfernen.

Nachdem Du auf „Features entfernen“ geklickt hast, wird ein Überprüfungsprozess im Hintergrund gestartet. Dieser dauert je nach Umgebung mehrere Minuten. Das System überprüft in diesem Schritt, ob die AD DS-Rolle ohne Weiteres deinstalliert werden kann. Da Du aber einen aktuellen Domänencontroller herunterstufen willst, erhältst Du als Validierungsergebnis einen Fehler.

Was im ersten Moment eher nach einem Problem aussieht, erscheint aber um so logischer, wenn Du bedenkst, dass es sich in diesem Schritt ja lediglich um die Prüfung zum Entfernen der AD DS-Rolle handelt. Diese Rolle kann nicht entfernt werden, solange der Server ein aktiver Domänencontroller ist. Im unteren Teil des Fensters kannst Du aber nun mit einem Klick auf „Diesen Domänencontroller tiefer stufen“ zum nächsten Schritt gelangen.

Domänencontroller herunterstufen

Die Meldung ist zunächst etwas irreführend. Über den Link „Diesen Domänencontroller tiefer stufen“ kommst Du aber zum nächsten Schritt.

Konfigurations-Assistent für die Active Directory-Domänendienste

Es öffnet sich nun ein weiterer Assistent, mit dessen Hilfe Du den Domänencontroller herunterstufen kannst. Zunächst wirst Du darum gebeten, die Anmeldeinformationen eines Benutzers anzugeben, der zu diesem Vorgang berechtigt ist. Dies muss zwingend ein Account mit den Rechten eines Domänenadministrators sein. Sofern Du bereits mit einem solchen Benutzer am Server angemeldet bist, brauchst Du hier nichts einzutragen.

Domänencontroller herunterstufen - Anmeldeinformationen

Die Option „Entfernen dieses Domänencontrollers erzwingen“ sollte nur aktiviert werden, wenn der normale Vorgang nicht funktioniert.

Nach einer erneuten, kurzen Prüfung musst Du ein neues Kennwort für den lokalen Administrator des Servers vergeben. Dieser Account wurde beim Heraufstufen des Servers zum Domänencontroller deaktiviert, bzw. gibt es bei einem Domänencontroller keine aktiven lokalen Benutzerkonten.

Neues Kennwort für das lokale Administratorkonto

Durch die Vergabe des neuen Kennwortes wird sichergestellt, dass Du Dich anschließend auch ohne Domänenbenutzer am Server anmelden kannst.

Ist dieser Schritt erledigt, bekommst Du nochmal eine Übersicht über die anstehenden Aktionen angezeigt. Es werden die Active Directory-Domänendienste entfernt und der Server wird im Anschluss zu einem einfachen Mitglied der Domäne. Du bestätigst diese Auswahl nun abschließend über die Schaltfläche „Tiefer stufen„. Im Anschluss beginnt Windows damit, den Domänencontroller herunterzustufen. Der Vorgang dauert ein paar Minuten und der Server wird daraufhin ohne Rückfrage neu gestartet.

DC herunterstufen - Server 2012/2016

Letzte Möglichkeit den Vorgang abzubrechen. Sofort nach dem Klick auf „Tiefer stufen“ werden die Domänendienste von dem ausgewählten Domänencontroller entfernt.

Konnte der Assistent den Domänencontroller herunterstufen, bekommst Du kurz vor dem automatischen Neustart noch eine kurze Erfolgsmeldung angezeigt.

Domänencontroller erfolgreich heruntergestuft

Der Vorgang war erfolgreich – Der DC wurde heruntergestuft.

Nach dem Neustart

Was aus den vorhergehenden Schritten nicht hervorgeht: Die Rolle Active Directory-Domänendienste wurde noch nicht vom Server entfernt. Da es sich zu Beginn noch um einen aktiven Domänencontroller handelte, wurde dieser zunächst nur heruntergestuft. Daher wirst Du beim Start des Server-Managers auch die Benachrichtigung erhalten, „diesen Server zum Domänencontroller heraufstufen“ zu können.

Der Server hat also nun den gleichen Zustand wie nach der Installation der Rolle der AD DS. Um die Rolle komplett zu entfernen, musst Du die Schritte nochmals wiederholen. Allerdings wird die Validierungsprüfung nun positiv ausgehen und der Assistent sämtliche Rollen entfernen.

Wichtig: Der Domänencontroller, der heruntergestuft werden soll, darf natürlich keine FSMO-Rollen mehr ausführen.

Da es sich bei der DNS-Serverrolle nicht um eine Active Directory Rolle handelt, wird dieser auch nicht mit entfernt. Du kannst die Rolle aber, wenn gewünscht, bei der Deinstallation gleich mit angeben.

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst. Vielen Dank.

René Albarus

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.