Пониженный контроллер домена все еще находится в подразделении контроллеров домена и сайтах и ​​службах AD

Я выполнил все нижеперечисленные действия, войдя в систему как администратор домена.

У меня было два сайта AD, каждый со своим контроллером домена. «Резервный» контроллер домена был через VPN-соединение типа «сайт-сайт», весь трафик был разрешен, и был ЕДИНСТВЕННЫМ сервером на этом сайте/подсети AD. Понимая, что бессмысленно иметь этот контроллер домена сам по себе в собственной подсети через VPN-соединение типа «сайт-сайт», я развернул 3-й контроллер домена на том же сайте/подсети, что и исходный контроллер домена.

Я оставил его на несколько дней, чтобы все три синхронизировались — убедился, что repadmin /showrepl и repadmin /replsummary все показали УСПЕШНЫЕ результаты. Ура! Перед понижением сервера, который сам по себе (на сайте/подсети AD на другом конце VPN-соединения «сеть-сеть»), я убедился, что DNS ВСЕХ других серверов-участников, присоединенных к домену, указывают на исходный DC и мой недавно созданный 3-й DC, а также убедился, что исходный DC удерживает ВСЕ роли FSMO (так и было). Так что на данный момент у меня 3 DC, все GC.

Сначала я понизил роль сервера, который находится сам по себе на удаленном сайте AD (я установил флажок «Принудительное удаление этого контроллера домена»), перезагрузился, затем повторно запустил добавление/удаление ролей во второй раз, чтобы УДАЛИТЬ роль ADDS, и перезагрузился. Увидев сообщение «УСПЕШНО ПОНИЖЕНО» (скриншот ниже), я подумал, что все в порядке. Затем я удалил сервер-участник из домена и перезагрузился. Я даже проверил, были ли открыты необходимые порты брандмауэра на серверах для надлежащей связи AD перед понижением и удалением роли ADDS:

• TCP 53 (DNS)
• TCP 88 (центр распространения ключей Kerberos)
• TCP 135 (удаленный вызов процедур)
• TCP 139 (служба сеанса NetBIOS)
• TCP 389 (LDAP)
• TCP 445 (SMB, сетевой вход)
• TCP 464 (пароль Kerberos)
• TCP 3268 (Глобальный каталог)
• TCP 49152 – 65535 (случайно выделенные высокие порты)
• UDP 53 (DNS)
• UDP 88 (Керберос)
• УДП 123 (НТП)
• UDP 389 (LDAP)
• УДП 445
• УДП 464

Поскольку он был "УСПЕШНО ПОНИЖЕН", я не ожидал увидеть этот пониженный/удаленный-с-роли-ADDS/отсоединенный-от-домена сервер в OU Контроллеры домена или в Сайтах и ​​службах AD, но он там есть. Удивительно, но у него даже есть настройки NTDS -- большинство тем, которые я читал, только сервер все еще там, но без настроек NTDS под ним.

Есть мысли? Пожалуйста, предоставьтесоответствующие ССЫЛКИ, которые помогут вам с комментариями. Большое спасибо!!

ИЗВИНЕНИЯ, если этот вопрос не форматируется. Я чуть волосы себе не рвал, пытаясь разобраться во всем этом форматировании, и просто сдался!!!!