Domain-Controller sauber abbauen
Möchte man einen Domain-Controller vollständig außer Betrieb nehmen, bspw., weil die Hardware oder das Betriebssystem zu alt ist, so sollte man diesen zu erst sauber aus der Domäne rauskonfigurieren, bevor man das Computerobjekt in der AD löscht und den Server herunterfährt.
Ablauf:
- Prüfen, ob alle FSMO-Rollen auf einem anderen Domain-Controller übertragen wurden
- Herunterstufen des alten Domain-Controllers
- Entfernen des Servers aus der Domäne
- Abschalten
- Manuelle Aufräumarbeiten
1. FSMO-Rollen
Es gibt fünf FSMO-Rollen, welche auf andere Domain-Controller übertragen werden müssen:
- RID
- PDC
- Infrastructure
- Domain Naming
- Schema
Wie findet man die fünf Operation Master?
- Die ersten drei findet man bei „AD Users and Computers“, wenn man einen Rechtsklick auf den AD-Namen macht und „Operations Master…“ auswählt.
- Den vierten findet man in den „AD Domains and Trusts“ und dort einen Rechtsklick auf den AD-Namen und „Operations Master…“.
- Der fünfte ist etwas versteckter:
- Im „Run“-Menü (Rechtsklick auf den <START>-Button, dann im Kontextmenü „Run“ anklicken) bei „Open:“ die Schema-DLL registrieren: regsvr32 schmmgmt.dll
- Dann die Management-Console (mmc.exe) öffnen und das Snap-In „Active Directory Schema“ hinzufügen
- dort dann einen Rechtsklick auf „Active Directoy Schema [name-domain-controller.domain-name.domain-endung]“ machen und im Kontextmenü „Operations Master…“ wählen

Bei allen fünf Rollen sollte als Operations Master ein anderer Domain-Controller eingetragen sein, als der, den man gerade entfernen möchte. In meinem Beispiel steht „DC02.demolabor.intern“ als aktueller „Operations Master“, denn „DC01.demolabor.intern“ soll abgebaut und später durch einen neuen ersetzt werden.
Tipp: Die Rollen werden mittlerweile zwar beim Herunterstufen vom Domain-Controller zum Memberserver automatisch auf einen anderen Domain-Controller verschoben, ich würde aber die Rollen mindestens 24h vorher manuell umziehen und vor dem Herunterschufen entsprechend o.g. Anleitung kurz prüfen.
2. Herunterstufen des alten Domain-Controllers
Über den „Roles and Features“-Assistenten im Server Manager wird die Rolle „Active Directory Domain Services“ entfernt, dabei wird geprüft, ob dies erlaubt ist und schlägt natürlich fehl. An der Stelle kommt eine entsprechende Warnung, bei der auf den Link „Demote this domain controller“ geklickt wird.
Es öffnet sich ein weiterer Konfiguration-Assistent, mit kurzen Schritten:
- Credentials: Hier ist wichtig, dass der Haken nicht gesetzt wird, außer
- der Domain-Controller, auf dem man gerade ist, hat absolut keine Verbindung zur AD
- es ist der letzte Domain-Controller in der AD
- Warnings: Hier den Haken bei „Proceed with removal“ setzen
- New Administrator password: Hier setzt man das Passwort für den lokalen Server-Administrator (Hintergrundinfo: Domain-Controller haben keine lokalen Benutzerkonten)
Man erhält noch eine Übersicht und bestätigt das Herabstufen (= „Demote“; Gegenteil vom Heraufstufen = „Promote“)










Es erfolgt ein Neustart. Anschließend muss erneut in den Assistent zum Entfernen von Rollen und Features gewechselt werden und die Haken bei „Active Directory Domain Services“ und „DNS Server“ entfernen. Bei Nachfrage können die zugehörigen Management-Tools mit entfernt werden. Sofern nicht schon automatisch geschehen, kann bei Features noch der Haken bei „Group Policy Management“ entfernt werden. Danach ist nochmal ein Neustart notwendig.




3. Entfernen des Servers aus der Domäne
Jetzt ist der Server ein ganz normaler Mitgliedsserver der AD und kann aus dieser rausgenommen werden. Dazu im Server Manager bei „Local Server“ auf den Domain-Namen klicken. Es öffnet sich das Fenster „System properties“, hier auf den Button <Change …> klicken und dann im unteren Bereich bei „Member of…“ von „Domain“ auf „Workgroup“ umstellen, den Namen der Arbeitsgruppe (Standardmäßig ist das „WORKGROUP“) eintragen und auf <OK> klicken, anschließend einen Neustart durchführen.









4. Abschalten
Nun, dieser Schritt ist jetzt am einfachsten vollbracht. Der Server wird einfach heruntergefahren. Bei einer VM sollte man noch prüfen, dass ein automatischer Start verhindert wird. Optimaler Weise nimmt man der VM noch jegliche Netzwerkkarten weg; bei einem physikalischen Server kann man Netzwerk- & Stromkabel abziehen oder direkt aus dem Serverrack ausbauen.
5. Manuelle Aufräumarbeiten
Es gibt zwei Dinge, die man jetzt noch manuell machen muss/sollte.
Zum Einen…
… verbleibt der alte Domain Controller „DC01“ weiterhin in den „Sites and Services“, sodass man ihn hier manuell entfernen muss.




Zum Anderen…
… ist die Empfehlung, dass man den selben Domain-Controller Namen nicht erneut verwenden soll. Um dies zu verhindern bleibt das alte deaktivierte Computerobjekt erhalten, wird aber in eine „End-of-Life“-OU verschoben.
Folgende Bildergalerie stellt ein Beispiel einer „End-of-Life“-OU dar:









Vielen Lieben Dank für die perfekte Beschreibung!
Hi Ronny,
vielen Dank für den erneut super detailierten Beitrag!
Ich weiß zwar nicht, ob das mal brauchen kann, aber ich hab mir das mal als Lesezeichen im Browser vermerkt.
Auf das demnächst wieder ebenso interessanter Artikel von dir kommt, denn es macht sehr viel Spaß das Wissen damit zu erweitern.