Degradar un controlador de dominio desde la interfaz gráfica de Windows Server 2022 (parte 1)
Aunque no es un trabajo que vayamos a realizar todos los días, en ocasiones necesitaremos que un controlador de dominio que actúa bajo Windows Server 2022 deje de actuar como tal, por ejemplo cuando vamos a cambiar sus características hardware, cuando vamos a modificar los servicios que ofrece o, sencillamente cuando vamos a sustituirlo por un servidor más potente.
Como ya nos ocurrió cuando promocionamos el controlador de dominio (ver los artículos Instalar un dominio desde la interfaz grafica de Windows Server 2022 parte 1, y parte 2), la degradación, que es el paso contrario, también se dividirá en dos partes:
-
Lo primero será la degradación del controlador, propiamente dicha. Al final de esta etapa, el ordenador habrá dejado de actuar como controlador de dominio en la red. Esta es la tarea que resolveremos hoy.
-
A continuación, desinstalaremos los roles Servicios de dominio de Active Directory y DNS, ya que no tendrá sentido seguir ocupando espacio en el disco con componentes software que no estamos utilizando. A esto nos dedicaremos en la segunda parte del artículo.
Como es habitual, realizaremos la tarea usando el Administrador del servidor. Si en este momento no lo tienes abierto, puedes hacer clic en el botón Inicio. A continuación, debes hacer clic sobre el icono que lo representa.
Para comenzar, en el Administrador del servidor, desplegaremos el menú Administrar.
Al hacerlo, se abrirá la ventana del Asistente para quitar roles y características que, en su primera pantalla nos recuerda algunas precauciones que debemos tener en cuenta, como guardar datos del rol del servidor, migrar su configuración, etc.
Si ya hemos tenido en cuenta todas estas cuestiones o simplemente no son necesarias, como es nuestro caso, basta con hacer clic sobre el botón Siguiente.
Como de costumbre, el asistente nos da la opción de actuar sobre un servidor físico o sobre un disco virtual. En nuestro caso, nos aseguramos de elegir Seleccionar un servidor del grupo de servidores. Al hacerlo, aparecerá en la parte inferior la lista de servidores a la que tenemos acceso (en nuestro ejemplo, sólo aparecerá el servidor local)…
En la página Quitar roles de servidor, buscamos en la lista de roles la entrada Servicios de dominio de Active Directory.
Al hacerlo, aparece un cuadro de diálogo que nos muestra las características que requieren los servicios de dominio de Active Directory para funcionar. Esto significa que, para eliminar los Servicios de dominio, también tendremos que eliminar las características relacionadas.
Después de esto, el asistente realiza una validación para averiguar si se cumplen todas las condiciones que permitan desinstalar el rol, pero vuelve a aparecer un nuevo cuadro de diálogo.
El motivo es evidente: Si recuerdas el proceso de instalación, antes de promocionar el controlador de dominio, tuvimos que instalar el rol Servicios de dominio de Active Directory. Es lógico que ahora, para desinstalar el rol, tengamos que degradar antes el controlador de dominio.
Al hacerlo, se abrirá el Asistente para configuración de Servicios de dominio de Active Directory.
Cuando tenemos un controlador de dominio que no puede ponerse en contacto con otros controladores durante la degradación, los metadatos del bosque no podrán actualizarse automáticamente. Esto producirá un error durante la degradación. Para evitarlo, deberemos elegir la opción Forzar la eliminación de este controlador de dominio.
En caso de que el controlador de dominio pertenezca a un bosque más extenso, pero en este momento no disponga de conexión, también elegiremos esta opción, pero después tendremos que actualizar los metadatos de forma manual.
En la página Advertencias, el asistente nos informa de roles que tiene alojados en controlador de dominio en estos momentos. Para continuar, debemos marcar la opción Continuar con la eliminación. Esto le confirma al asistente que estamos seguros de eliminar cada uno de los roles indicados en la lista superior.
A continuación, debemos indicar la nueva contraseña para la cuenta de Administrador. Como es lógico, el Administrador del sistema pasará de ser un administrador del dominio a ser un administrador local.
No hay nada que impida utilizar la misma contraseña que ya teníamos pero, en cualquier caso, deberá seguir las condiciones de seguridad impuestas por Windows Server y que ya hemos comentado en otros momentos.
Escribimos la contraseña, por duplicado para evitar errores tipográficos, y hacemos clic sobre el botón Siguiente.
En la página Revisar opciones, el asistente nos vuelve a recordar que procederemos a eliminar los Servicios de dominio de Active Directory sin actualizar los metadatos del bosque.
Ya sólo quedará iniciar la degradación del controlador de dominio…
También tenemos la posibilidad de obtener un script de PowerShell para repetir esta misma operación en el futuro sin tener que recurrir a la interfaz gráfica.
Para lograrlo, sólo tendríamos que haber hecho clic sobre el botón Ver script de la ventana anterior. El asistente abre una nueva ventana del Bloc de notas mostrando el script. Como con cualquier otro documento, podemos guardarlo para un uso posterior recurriendo al menú Archivo.
A partir de aquí, el asistente muestra una barra de progreso que nos va indicando el avance de la operación.
Poco después, el sistema comenzará a reiniciarse.
Cuando vuelva a arrancar, nos pedirá de nuevo la contraseña de la cuenta Administrador, pero si te fijas, ahora no va precedida por el nombre del dominio. Esto significa que se trata del Administrador local. Además, deberemos usar la contraseña que hemos indicado en el paso 10.
Una vez iniciada la sesión, para comprobar que el equipo ya no pertenece a ningún dominio, podemos recurrir al Administrador del servidor.
Si no se abre de forma automática al iniciar sesión con la cuenta Administrador, puedes hacer clic en el botón Inicio y hacer clic sobre el icono que lo representa.
Con el Administrador del servidor abierto, elegimos a la izquierda Servidor local.
… Y, en el panel de propiedades de la derecha, comprobamos que ahora pertenece al grupo de trabajo predeterminado.
Llegados a este punto, podríamos pensar que ya hemos terminado el trabajo, pero recuerda que aún debemos desinstalar los roles Servicios de dominio de Active Directory y DNS. Aunque esa tarea la dejaremos para la segunda parte de este artículo.
Espero que te resulte útil.