Bei einer sauberen Migration musst Du einen Windows Domänencontroller herunterstufen, bevor dieser abgeschaltet werden kann. Dies war bereits bei früheren Windows Server Versionen (2003/2008) der Fall. Doch seit Windows Server 2012 hat sich die Vorgehensweise etwas geändert. Ich erkläre Dir deshalb in diesem Beitrag, wie Du Schritt für Schritt einen Domänencontroller herunterstufen und aus der Domäne entfernen kannst.
Windows Domänencontroller herunterstufen
Viele kennen sicherlich noch den alten Befehl „dcpromo“ unter Server 2003, bzw. Server 2008. Das Öffnen dieses Tools reichte damals aus, um den Assistenten zum Herabstufen des Domänencontrollers hin zu einem normalen Domänenserver zu starten. Führst Du dcpromo auf einem neueren Domänencontroller (>= Server 2012) aus, bekommst Du lediglich die folgende Meldung:
„Der Assistent zum Installieren von Active Directory-Domänendiensten wurde in den Server-Manager verschoben. Weitere Informationen finden Sie unter …..“
Microsoft hat diesen Vorgang, wie der Meldung zu entnehmen ist, in den Server-Manager verlagert. Genauer gesagt in den Assistenten zum Entfernen von Rollen und Features. Diesen erreichst Du im Server-Manager unter Verwalten und einem anschließenden Klick auf „Rollen und Features entfernen„.
Entfernen der Active Directory-Domänendienste
In dem Assistenten musst Du zunächst darauf achten, dass Du unter Serverauswahl den richtigen Domänencontroller markierst. Anschließend deaktivierst Du im Schritt Serverrollen die Active Directory-Domänendienste (AD DS). Direkt nach dem Klick wirst Du noch gefragt, ob die Verwaltungstools ebenfalls entfernt werden sollen. In meinem Beispiel bestätige ich diese Frage, da der Server anschließend nicht mehr für die Verwaltung der Domäne genutzt werden soll.
Nachdem Du auf „Features entfernen“ geklickt hast, wird ein Überprüfungsprozess im Hintergrund gestartet. Dieser dauert je nach Umgebung mehrere Minuten. Das System überprüft in diesem Schritt, ob die AD DS-Rolle ohne Weiteres deinstalliert werden kann. Da Du aber einen aktuellen Domänencontroller herunterstufen willst, erhältst Du als Validierungsergebnis einen Fehler.
Was im ersten Moment eher nach einem Problem aussieht, erscheint aber um so logischer, wenn Du bedenkst, dass es sich in diesem Schritt ja lediglich um die Prüfung zum Entfernen der AD DS-Rolle handelt. Diese Rolle kann nicht entfernt werden, solange der Server ein aktiver Domänencontroller ist. Im unteren Teil des Fensters kannst Du aber nun mit einem Klick auf „Diesen Domänencontroller tiefer stufen“ zum nächsten Schritt gelangen.
Konfigurations-Assistent für die Active Directory-Domänendienste
Es öffnet sich nun ein weiterer Assistent, mit dessen Hilfe Du den Domänencontroller herunterstufen kannst. Zunächst wirst Du darum gebeten, die Anmeldeinformationen eines Benutzers anzugeben, der zu diesem Vorgang berechtigt ist. Dies muss zwingend ein Account mit den Rechten eines Domänenadministrators sein. Sofern Du bereits mit einem solchen Benutzer am Server angemeldet bist, brauchst Du hier nichts einzutragen.
Nach einer erneuten, kurzen Prüfung musst Du ein neues Kennwort für den lokalen Administrator des Servers vergeben. Dieser Account wurde beim Heraufstufen des Servers zum Domänencontroller deaktiviert, bzw. gibt es bei einem Domänencontroller keine aktiven lokalen Benutzerkonten.
Ist dieser Schritt erledigt, bekommst Du nochmal eine Übersicht über die anstehenden Aktionen angezeigt. Es werden die Active Directory-Domänendienste entfernt und der Server wird im Anschluss zu einem einfachen Mitglied der Domäne. Du bestätigst diese Auswahl nun abschließend über die Schaltfläche „Tiefer stufen„. Im Anschluss beginnt Windows damit, den Domänencontroller herunterzustufen. Der Vorgang dauert ein paar Minuten und der Server wird daraufhin ohne Rückfrage neu gestartet.
Konnte der Assistent den Domänencontroller herunterstufen, bekommst Du kurz vor dem automatischen Neustart noch eine kurze Erfolgsmeldung angezeigt.
Nach dem Neustart
Was aus den vorhergehenden Schritten nicht hervorgeht: Die Rolle Active Directory-Domänendienste wurde noch nicht vom Server entfernt. Da es sich zu Beginn noch um einen aktiven Domänencontroller handelte, wurde dieser zunächst nur heruntergestuft. Daher wirst Du beim Start des Server-Managers auch die Benachrichtigung erhalten, „diesen Server zum Domänencontroller heraufstufen“ zu können.
Der Server hat also nun den gleichen Zustand wie nach der Installation der Rolle der AD DS. Um die Rolle komplett zu entfernen, musst Du die Schritte nochmals wiederholen. Allerdings wird die Validierungsprüfung nun positiv ausgehen und der Assistent sämtliche Rollen entfernen.
Wichtig: Der Domänencontroller, der heruntergestuft werden soll, darf natürlich keine FSMO-Rollen mehr ausführen. Diese musst Du vorher auf einen anderen Domänencontroller übertragen.
Da es sich bei der DNS-Serverrolle nicht um eine Active Directory Rolle handelt, wird dieser auch nicht mit entfernt. Du kannst die Rolle aber, wenn gewünscht, bei der Deinstallation gleich mit angeben.
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
