36

Eliminar controladores de dominio sobre MS Windows Server 2008 R2

Hola a tod@s.

En este post vamos a ver como eliminar controladores de dominio sobre Microsoft Windows Server 2008 R2, vamos a eliminar el rol o función “Servicios de dominio de Active Directory”.

Este post lo vamos a dividir en dos partes, en la primera vamos a derogar un controlador de dominio adicional o secundario, y en la segunda vamos a derogar el controlador de dominio principal, es decir, el último controlador de dominio de nuestra infraestructura.

  • Empezamos con la primera parte, Derogar un controlador de dominio adicional o secundario, para ello sobre Inicio > Ejecutar tecleamos el comando dcpromo:

ecdsws2k8R2_1

  • Se nos abre este asistente, clic en siguiente para continuar:

ecdsws2k8R2_2

  • Nos avisa con este mensaje de información, y nos advierte que tenemos que tener otro controlador de dominio en nuestra infraestructura, para que los usuarios del dominio puedan validarse, clic sobre “Aceptar”:

ecdsws2k8R2_3

  • Esta es la opción más importante del asistente, ya que al ser un controlador de dominio adicional o secundario NO tenemos que marcar el check de “Eliminar el dominio porque este servidor es el último controlador de dominio en el dominio”, clic en siguiente:

ecdsws2k8R2_4

  • Introducimos la nueva contraseña para el administrador local, al eliminar el rol de controlador de dominio, la cuenta de usuario de administrador pasará a formar parte de los usuarios locales de la máquina, clic sobre “siguiente”:

ecdsws2k8R2_5

  • Esta opción, nos muestra un resumen indicándonos, que este equipo va a dejar de ser un controlador de dominio, y que cuando el proceso termine será un miembro más del dominio, como puede ser cualquier otro equipo unido a este dominio, clic en “siguiente”:

ecdsws2k8R2_6

  • Como podemos ver la operación ha finalizado correctamente, clic en “Finalizar”:

ecdsws2k8R2_7

  • Reiniciamos el equipo para que los cambios surtan efecto:

ecdsws2k8R2_8

  • Una vez que hemos reiniciado el equipo, podemos ver que tenemos acceso con el usuario administrador local:

ecdsws2k8R2_9

  • Como bien nos indicaba el asistente ejecutado con dcpromo, para desinstalar los binarios de los Servicios de dominio de Active Directory, lo haremos a través del Administrador del Servidor > Quitar roles:

ecdsws2k8R2_10

  • Se nos abre el siguiente asistente, clic en “siguiente”:

ecdsws2k8R2_11

  • Desmarcamos los checks, Servicios de dominio de Active Directory y Servidor DNS:

ecdsws2k8R2_12

  • Una vez desmarcados damos clic a “siguiente”:

ecdsws2k8R2_13

  • Procedemos a quitar:

ecdsws2k8R2_14

ecdsws2k8R2_15

  • Cerramos y reiniciamos el equipo:

ecdsws2k8R2_16

ecdsws2k8R2_17

  • Tras el reinicio, podemos ver que todo se ha eliminado correctamente:

ecdsws2k8R2_18

ecdsws2k8R2_19

  • Seguimos con la segunda parte, Derogar un controlador de dominio principal, para ello sobre Inicio > Ejecutar tecleamos el comando dcpromo:

ecdsws2k8R2_20

  • Se nos abre este asistente, clic en siguiente para continuar:

ecdsws2k8R2_21

  • Nos avisa con este mensaje de información, y nos advierte que tenemos que tener otro controlador de dominio en nuestra infraestructura, para que los usuarios del dominio puedan validarse, clic sobre “Aceptar”:

ecdsws2k8R2_22

  • Esta es la opción más importante del asistente, ya que al ser el último controlador de dominio SI tenemos que marcar el check de “Eliminar el dominio porque este servidor es el último controlador de dominio en el dominio”, clic en siguiente:

ecdsws2k8R2_23

  • Nos indica el mensaje de advertencia sobre el servidor DNS, ya que éste es el último servidor DNS que tenemos en nuestra infraestructura, por lo tanto, en la configuración TCP/IP de los clientes tenemos que cambiar los servidores DNS, si queremos por ejemplo que tengan conexión a Internet:

ecdsws2k8R2_24

  • Quitamos las particiones de directorio de aplicaciones:

ecdsws2k8R2_25

ecdsws2k8R2_26

  • Introducimos la nueva contraseña para el administrador local, al eliminar el rol de controlador de dominio, la cuenta de usuario de administrador pasará a formar parte de los usuarios locales de la máquina, clic sobre “siguiente”:

ecdsws2k8R2_27

  • Esta opción, nos muestra un resumen indicándonos todas las opciones que hemos configurado para su eliminación, clic en “siguiente”:

ecdsws2k8R2_28

  • Comienza el proceso de eliminación, le indicamos que reinicie al completar:

ecdsws2k8R2_29

  • Una vez que hemos reiniciado el equipo, podemos ver que tenemos acceso con el usuario administrador local:

ecdsws2k8R2_30

  • Como ya hicimos con el anterior Controlador de dominio, para desinstalar los binarios de los Servicios de dominio de Active Directory, lo haremos a través del Administrador del Servidor > Quitar roles:

ecdsws2k8R2_31

  • Se nos abre el siguiente asistente, clic en “siguiente”:

ecdsws2k8R2_32

  • Desmarcamos los checks, Servicios de dominio de Active Directory y Servidor DNS:

ecdsws2k8R2_33

  • Una vez desmarcados damos clic a “siguiente”:

ecdsws2k8R2_34

  • Procedemos a quitar:

ecdsws2k8R2_35

ecdsws2k8R2_36

  • Cerramos y reiniciamos el equipo:

ecdsws2k8R2_37

ecdsws2k8R2_38

  • Tras el reinicio, podemos ver que todo se ha eliminado correctamente:

ecdsws2k8R2_39

ecdsws2k8R2_40

 

Saludos y espero que os resulte de ayud@ 😉

jramos

Técnico Superior STI

36 comentarios

  1. Felicidades por tu blog, es de gran ayuda, seguro andaré seguido por acá, una duda.. en el momento de derogar el server 2008 primera parte de este artículo me lanza el error que “AD DS no encontraron otro DC para transferir los datos que quedan en la partición de directorio DC=DomainDnsZones,DC=Domain…… el dominio especificado no existe o no se pudo poner en contacto con él” sin emabrgo con el netdom query dc si veo los dos DC activos y las FSMO ya estan en mi nuevo DC, tendrás idea? de antemano gracias!

  2. Excelente blog, fue de mucha ayuda amigo. Gracias! Saludos desde Alajuela, Costa Rica.

  3. Hola. Muchas gracias por este gran aporte.! Tengo una duda..me han cambiado la ip privada 192.168.1.1 por 192.168.0.1. Ahora tengo que reinstalar el dns y dhcp. Hay alguna forma de hacerlo o hay que borrar y hacerlo desde 0?. Saludos

  4. Hola.
    Me da un error después del cuarto paso. No le hago check en el cuadro de que es el último Controlador de Dominio, porque no lo es. Tengo otro ya operativo con Windows 2019.
    El Error es:
    “No indicó ques este controlador de dominio de Active Directory es el último controlador de dominio del dominio ******.** Sin embargo, no se puede establecer contacto con ningún otro controlador de dominio de Active Directory para este dominio.
    ¿Desea Continuar de todos modos?
    Si hace clic en Sí, se perderán todos los cambios de los Servicios de Dominio de Active Directory realizados en este controlador de dominio.”

    Si hago sí y sigo adelante, y despromociono, que sí que se despromoociona: se rompe todo. Me deja de funcionar todo, no me autentifico ya ni en en el Controlador nuevo. Los FSMO me salen vacíos…
    Tengo que restaurar copias de seguridad completas de ambos equipos.
    ¿Qué puede pasar?

    • El controlador de dominio con windows server 2019, ¿lo agregastes antes como un controlador de dominio adicional? ¿pasates los 5croles FSMO al dc ws2019?

      • Sí, claro. Todo siguiendo tu otra entrada.
        Antes de despromocionar el Windwos 2008 R2, el netdom query fsmo me da los 5 roles en el nuevo Controlador de Dominio del Server 2019.

      • Sí. He seguido todos lo pasos de tu entrada “Migrar controlador de dominio con Windows Server 2008 a Windows Server 2012 – Método2”.
        Antes de despromocionar el Server 2008 R2, los 5 Roles están en el nuevo Controlador ws2019.
        También he probado /forceremoval y el desastre es el mismo…
        En cambio, si apago el Windows Server 2008R2 antes de despromoverlo, el secundario ws2019 cumple su función perfectamente: logeos, etc.

      • Corrijo: cuando apago el Server 2008R2, el Server 2019 ha hecho bien su función pero por un tiempo, pero deja de funcionar. Ademas si hago “netdom query fsmo” en el ws2019 me da un error: “El servidor RPC no está disponible”

        • Hola Antonio, cuando esten los dos controladores de dominio funcionando, abrete un powershell como administrador y ejecuta el comando repadmin /showrepl, para ver si los cinco roles fsmo estan replicando entre los dos controladores de dominio, si falla alguno de los cinco hay algo mal, por eso no te esta dejando eliminarlo, cuando añades un controlador de dominio adicional y quieres despromocionar el antiguo siempre es bueno dejar los dos unos cuantos de dias funcionando para que replique correctamente, pasado unos días despromocionas el dc antiguo

          • Muchas gracias JRAMOS. Si al final lo conseguimos será una “gran victoria”…
            He ejecutado el repadmin /showrepl y te mando la captura del resultado aquí: http://ww1.tcasa.es/descargas/captura1.png
            ¿Ves algo que no se está replicando bien?
            Verás un ventana con los 5 roles en el ws2019.
            ¿Cuántos tiempo ves prudente esperar hasta la despromoción?
            De nuevo gracias.

          • Buenas Antonio, haz lo mismo en el server contrario y si el resultado es el mismo esta replicando correctamente, ve al visor de eventos y en la parte de Registro de aplicaciones y servicios > Replicación DFS mira a ver si hay errores, tambien prueba a copiar algún fichero txt en la carperta windows/SYSVOL y si se replica bien entre los dos dc todo esta replicando bien

          • Pues no.. la cosa no va bien, creo..
            A lo primero que me dices que compruebe, te mando la captura (es del ws2008R2) http://ww1.tcasa.es/descargas/captura2.png
            El repadmin parece correcto.
            El visor de eventos tiene errores. Te marco uno pero todos tienen el mismo texto (Te he exportado los errores en un fichero http://ww1.tcasa.es/descargas/DFS.rar)
            El fichero de texto que he copiado en windows\sysvol NO se ha replicado en el sysvol del ws2019.
            ¿Es por esto que no podemos despromocionarlo?

          • Perdon Antonio copia el txt dentro de la carperta domain, ubicada dentro de SYSVOL

          • Si todo esta funcionando correctamente y el dc con ws2019 tiene los cinco roles fsmo, dejalo un par días los dos funcionando y pasados esos dos dias despromocionas en dc con ws2008

          • A ver si puedo ver el visor de eventos que mandaste ayer, no me ha dado tiempo

          • Muchas Gracias por tu ayuda, no me importa esperar. Tal como tengo ahora la infraestructura, estoy funcionando.
            Pero si conseguimos el objetivo, sin tener que crear un Controlador de Dominio desde cero (que no quiero ni pensarlo), por mi parte tu magnífico Blog será referencia obligada y nos haremos colaboradores frecuentes…
            Gracias de nuevo y espero tu respuesta.

          • según el visor de eventos lleváis desde el 2011 con errores en la replicacion dfsr

          • Pues puede ser…
            Esta infraestructura la encontré “heredada” y según me dijeron venía de un Windows 2003 Server que se actualizó a 2008 y posteriormente a R2.
            Ahora quiero dejarla “limpia” en ws2019…

          • ws2003 replicaba por FRS y no por DFSR, investigad por ahí, que puede ser que los problemas vengan por esto

          • Esto se me escapa.. No sé ni por dónde empezar a mirar.
            ¿Habrá algún otro método para quitar el ws2008R2? No sé, exportando la configuración del Active directory y del DNS a un Server 2019 nuevo, en blanco?

          • He contactado con el anterior administrador del sistema: el controlador de dominio en Windows 2003 se perdió por una avería grave de la placa madre (se quemó) y no había copia de seguridad ni controlador secundario.
            El controlador de Windows 2008 se instaló desde cero, creando de nuevo todo: usuarios, políticas, etc. La actualización a 2008 R2 sí la hice yo (instalé además un controlador secundario también en R2) y así hemos estado varios años hasta ahora.
            Es para que tengas más información.

      • JRAMOS, he puesto una entrada que no ha aparecido…
        En ella te comentaba que el origen de esta infraestructura no era Windows 2003 Server.
        Este equipo se averió y se montó desde cero un nuevo Server con 2008. Posteriormente yo mismo, ya lo actualicé a 2008 R2 hace unos años y hasta ahora funcionando sin más problemas.
        Pero acabo de ver esta entrada de tu blog, esta:
        https://blog.ragasys.es/transferir-roles-fsmo-de-controladores-de-dominio-danados-o-averiados

        ¿Podría ser aplicable en mi caso?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.