Degradar un controlador de dominio desde la interfaz gráfica de Windows Server 2012 R2 (parte 1)

Aunque no es un trabajo que vayamos a realizar todos los días, en ocasiones necesitaremos que un controlador de dominio que actúa bajo Windows Server 2016 deje de actuar como tal, por ejemplo cuando vamos a cambiar sus características hardware, cuando vamos a modificar los servicios que ofrece o, sencillamente cuando vamos a sustituirlo por un servidor más potente.

Como ya nos ocurrió cuando promocionamos el controlador de dominio (ver los artículos Instalar un dominio desde la interfaz grafica de Windows Server 2012 R2 parte 1, y parte 2), la degradación, que es el paso contrario, también se dividirá en dos partes:

  • Lo primero será la degradación del controlador, propiamente dicha. Al final de esta etapa, el ordenador habrá dejado de actuar como controlador de dominio en la red. Esta es la tarea que resolveremos hoy.

  • A continuación, desinstalaremos los roles Servicios de dominio de Active Directory y DNS, ya que no tendrá sentido seguir ocupando espacio en el disco con componentes software que no estamos utilizando. A esto nos dedicaremos en la segunda parte del artículo.

Para comenzar, en el Administrador del servidor, desplegaremos el menú Administrar.

En su interior elegimos la opción Quitar roles y funciones.

Al hacerlo, se abrirá la ventana del Asistente para quitar roles y características que, en su primera pantalla nos recuerda algunas precauciones que debemos tener en cuenta, como guardar datos del rol del servidor, migrar su configuración, etc.

Si ya hemos tenido en cuenta todas estas cuestiones o simplemente no son necesarias, como es nuestro caso, basta con hacer clic sobre el botón Siguiente.

Como de costumbre, el asistente nos da la opción de actuar sobre un servidor físico o sobre un disco virtual. En nuestro caso, nos aseguramos de elegir Seleccionar un servidor del grupo de servidores. Al hacerlo, aparecerá en la parte inferior la lista de servidores a la que tenemos acceso (en nuestro ejemplo, sólo aparecerá el servidor local)…

Lo seleccionamos y hacemos clic sobre el botón Siguiente.

En la página Quitar roles de servidor, buscamos en la lista de roles la entrada Servicios de dominio de Active Directory.

Cuando la encontremos, hacemos clic sobre ella para desmarcarla.

Al hacerlo, aparece un cuadro de diálogo que nos muestra las características que requieren los servicios de dominio de Active Directory para funcionar. Esto significa que, para eliminar los Servicios de dominio, también tendremos que eliminar las características relacionadas.

Para continuar, hacemos clic sobre el botón Quitar características.

Después de esto, el asistente realiza una validación para averiguar si se cumplen todas las condiciones que permitan desinstalar el rol, pero vuelve a aparecer un nuevo cuadro de diálogo.

El motivo es evidente: Si recuerdas el proceso de instalación, antes de promocionar el controlador de dominio, tuvimos que instalar el rol Servicios de dominio de Active Directory. Es lógico que ahora, para desinstalar el rol, tengamos que degradar antes el controlador de dominio.

Por lo tanto, hacemos clic sobre el enlace Disminuir el nivel de este controlador de dominio.

Al hacerlo, se abrirá el Asistente para configuración de Servicios de dominio de Active Directory.

Cuando tenemos un controlador de dominio que no puede ponerse en contacto con otros controladores durante la degradación, los metadatos del bosque no podrán actualizarse automáticamente. Esto producirá un error durante la degradación. Para evitarlo, deberemos elegir la opción Forzar la eliminación de este controlador de dominio.

Hacemos clic sobre Forzar la eliminación de este controlador de dominio.

En caso de que el controlador de dominio pertenezca a un bosque más extenso, pero en este momento no disponga de conexión, también elegiremos esta opción, pero después tendremos que actualizar los metadatos de forma manual.

Para seguir, hacemos clic sobre el botón Siguiente.

En la página Advertencias, el asistente nos informa de roles que tiene alojados en controlador de dominio en estos momentos. Para continuar, debemos marcar la opción Continuar con la eliminación. Esto le confirma al asistente que estamos seguros de eliminar cada uno de los roles indicados en la lista superior.

Después, volvemos a hacer clic sobre el botón Siguiente.

A continuación, debemos indicar la nueva contraseña para la cuenta de Administrador. Como es lógico, el Administrador del sistema pasará de ser un administrador del dominio a ser un administrador local.

No hay nada que impida utilizar la misma contraseña que ya teníamos pero, en cualquier caso, deberá seguir las condiciones de seguridad impuestas por Windows Server y que ya hemos comentado en otros momentos.

Escribimos la contraseña, por duplicado para evitar errores tipográficos, y hacemos clic sobre el botón Siguiente.

En la página Revisar opciones, el asistente nos vuelve a recordar que procederemos a eliminar los Servicios de dominio de Active Directory sin actualizar los metadatos del bosque.

También tenemos la posibilidad de obtener un script de PowerShell para repetir esta misma operación en el futuro sin tener que recurrir a la interfaz gráfica.

Para consultar el contenido del script, basta con hacer clic sobre el botón Ver script.

El asistente abre una nueva ventana del Bloc de notas mostrando el script. Como con cualquier otro ducumento, podemos guardarlo para un uso posterior recurriendo al menú Archivo.

En caso de no necesitarlo podemos, sencillamente, cerrar la ventana

Ya sólo quedará iniciar la degradación del controlador de dominio…

… Hacemos clic sobre el botón Disminuir nivel.

A partir de aquí, el asistente muestra una barra de progreso que nos va indicando el avance de la operación.

Sólo tenemos que esperar unos instantes.

Poco después, el sistema comenzará a reiniciarse.

Hacemos clic sobre el botón Cerrar.

Cuando vuelva a arrancar, nos pedirá de nuevo la contraseña de la cuenta Administrador, pero si te fijas, ahora no va precedida por el nombre del dominio. Esto significa que se trata del Administrador local. Además, deberemos usar la contraseña que hemos indicado en el paso 10.

Nos autenticamos para iniciar sesión.

Una vez iniciada la sesión, podemos volver a la ventana Sistema para comprobar que el equipo ya no pertenece a ningún dominio

… aunque sigue manteniendo el nombre DNS antiguo.

Llegados a este punto, podríamos pensar que ya hemos terminado el trabajo, pero recuerda que aún debemos desinstalar los roles Servicios de dominio de Active Directory y DNS. Aunque esa tarea la dejaremos para la segunda parte de este artículo: Degradar un controlador de dominio desde la interfaz gráfica de Windows Server 2012 R2 (parte 2).

Espero que te resulte útil.