降級域控制器普及篇知識

重新設置域
有一個(gè)選項就是對當前域的操作


Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能無(wú)法通過(guò)使用 Active Directory 安裝向導(Dcpromo.exe) 正常降級。

原因
如果所需的相關(guān)項或操作失敗，可能會(huì )出現此現象。這包括網(wǎng)絡(luò )連接、名稱(chēng)解析、身份驗證、Active Directory 目錄服務(wù)復制或 Active Directo...
如果所需的相關(guān)項或操作失敗，可能會(huì )出現此現象。這包括網(wǎng)絡(luò )連接、名稱(chēng)解析、身份驗證、Active Directory 目錄服務(wù)復制或 Active Directory 中關(guān)鍵對象的位置等。

解決方案
要解決此問(wèn)題，請確定阻礙 Windows 2000 或 Windows Server 2003 域控制器正常降級的原因，然后再次嘗試使用 Active Dire...
要解決此問(wèn)題，請確定阻礙 Windows 2000 或 Windows Server 2003 域控制器正常降級的原因，然后再次嘗試使用 Active Directory 安裝向導將域控制器降級。

替代方法
如果不能解決此問(wèn)題，可以使用以下變通方法對域控制器執行強制降級，以保留操作系統及其中任何應用程序的安裝。警告：在使用以下任一變通方法之前，請確保您可以在目錄服務(wù)...
如果不能解決此問(wèn)題，可以使用以下變通方法對域控制器執行強制降級，以保留操作系統及其中任何應用程序的安裝。

警告：在使用以下任一變通方法之前，請確保您可以在目錄服務(wù)還原模式下成功啟動(dòng)。否則，在您強制降級該計算機后，您將無(wú)法登錄。如果用戶(hù)忘記了目錄服務(wù)還原模式的密碼，可以通過(guò)使用 Winnt\System32 文件夾中的 Setpwd.exe 實(shí)用工具來(lái)重置密碼。在 Windows Server 2003 中，Setpwd.exe 實(shí)用工具的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。 有關(guān)如何執行此過(guò)程的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
271641 (http://support.microsoft.com/kb/271641/ ) “配置您的服務(wù)器向導”將恢復模式密碼設為空白

Windows 2000 域控制器

  1. 在運行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安裝 Q332199 修復程序，或者安裝 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持強制降級。然后重新啟動(dòng)計算機。
  2. 單擊“開(kāi)始”，單擊“運行”，然后鍵入以下命令：
  dcpromo /forceremoval
  3. 單擊“確定”。
  4. 在“歡迎使用 Active Directory 安裝向導”頁(yè)中，單擊“下一步”。
  5. 如果您要刪除的計算機是全局編錄服務(wù)器，請單擊消息窗口中的“確定”。

  注意：如果您要降級的域控制器是全局編錄服務(wù)器，請根據需要提升林中或站點(diǎn)中的其他全局編錄服務(wù)器。
  6. 在“刪除 Active Directory”頁(yè)中，確保已清除“這個(gè)服務(wù)器是域中的最后一個(gè)域控制器”復選框，然后單擊“下一步”。
  7. 在“網(wǎng)絡(luò )憑據”頁(yè)中，鍵入林中具有企業(yè)管理員憑據的用戶(hù)帳戶(hù)的名稱(chēng)、密碼和域名稱(chēng)，然后單擊“下一步”。
  8. 在“管理員密碼”中，鍵入您要為本地 SAM 數據庫的管理員帳戶(hù)分配的密碼和確認密碼，然后單擊“下一步”。
  9. 在“摘要”頁(yè)上，單擊“下一步”。
  10. 在林中繼續存在的域控制器上，對已降級的域控制器執行元數據清除。  

如果您通過(guò)使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個(gè)域，請驗證林中的所有域控制器和全局編錄服務(wù)器都已徹底刪除了所有指向您剛刪除的域的對象和引用，然后再使用相同的域名將一個(gè)新域提升到同一林中。Windows 2000 支持工具中包含的 Replmon.exe 或 Repadmin.exe 之類(lèi)的工具可幫助您確定是否發(fā)生過(guò)端到端復制。Windows 2000 SP3 及更早的全局編錄服務(wù)器刪除對象和命名上下文的速度要明顯比 Windows Server 2003 慢。

Windows Server 2003 域控制器

  1. Windows Server 2003 域控制器在默認情況下支持強制降級。單擊“開(kāi)始”，單擊“運行”，然后鍵入以下命令：
  dcpromo /forceremoval
  2. 單擊“確定”。
  3. 在“歡迎使用 Active Directory 安裝向導”頁(yè)中，單擊“下一步”。
  4. 在“強制刪除 Active Directory”頁(yè)中，單擊“下一步”。
  5. 在“管理員密碼”中，鍵入您要為本地 SAM 數據庫的管理員帳戶(hù)分配的密碼和確認密碼，然后單擊“下一步”。
  6. 在“摘要”中，單擊“下一步”。
  7. 在林中繼續存在的域控制器上，對已降級的域控制器執行元數據清除。  

如果您通過(guò)使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個(gè)域，請驗證林中的所有域控制器和全局編錄服務(wù)器都已徹底刪除了所有指向您剛刪除的域的對象和引用，然后再使用相同的域名將一個(gè)新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局編錄服務(wù)器刪除對象和命名上下文的速度要明顯比 Windows Server 2003 慢。

如果在刪除了 Active Directory 的計算機上的資源訪(fǎng)問(wèn)控制項 (ACE) 是基于域本地組的，則可能必須重新配置這些權限，因為這些組對成員服務(wù)器或獨立服務(wù)器來(lái)說(shuō)是不可用的。如果您計劃在該計算機上安裝 Active Directory 以使其成為原來(lái)的域中的域控制器，則您不必再配置訪(fǎng)問(wèn)控制列表 (ACL)。如果您希望將該計算機保留為成員服務(wù)器或獨立服務(wù)器，則必須轉換或替換基于域本地組的任何權限。有關(guān)從域控制器中刪除 Active Directory 后對權限有何影響的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
320230 (http://support.microsoft.com/kb/320230/ ) 域控制器降級后權限受到影響

Windows Server 2003 Service Pack 1 增強功能
Windows Server 2003 SP1 增強了 dcpromo /forceremoval 進(jìn)程。執行 dcpromo /forceremoval 時(shí)，進(jìn)行檢查以確定域控制器所承載的操作主機角色是域名系統 (DNS) 服務(wù)器，還是全局編錄服務(wù)器。對于每個(gè)角色，管理員都會(huì )收到一條彈出警告，建議他采取適當的操作。

狀態(tài)
Microsoft 已對運行 Windows 2000 或 Windows Server 2003 的域控制器進(jìn)行了測試，并且支持對這些域控制器執行強制降級。...
Microsoft 已對運行 Windows 2000 或 Windows Server 2003 的域控制器進(jìn)行了測試，并且支持對這些域控制器執行強制降級。


Active Directory 安裝向導會(huì )在基于 Windows 2000 的計算機和基于 Windows Server 2003 的計算機上創(chuàng )建 Acti...
Active Directory 安裝向導會(huì )在基于 Windows 2000 的計算機和基于 Windows Server 2003 的計算機上創(chuàng )建 Active Directory 域控制器。Active Directory 安裝向導所執行的操作包括安裝新服務(wù)、更改現有服務(wù)的啟動(dòng)值以及將 Active Directory 轉換為安全和身份驗證領(lǐng)域。

通過(guò)強制降級，域管理員可以強制刪除 Active Directory 并回滾本地保存的系統更改，而無(wú)須與林中的其他域控制器進(jìn)行聯(lián)系或者將本地保存的更改復制到林中的其他域控制器。

由于強制降級會(huì )導致任何本地保存的更改丟失，如非絕對必要，請勿在生產(chǎn)域或測試域中使用強制降級。當無(wú)法解決連接、名稱(chēng)解析、身份驗證或復制引擎相關(guān)項以致于無(wú)法執行正常降級時(shí)，您可以將域控制器強制降級。強制降級的有效方案包括：

  * 當您嘗試將直接子域中的最后一個(gè)域控制器降級時(shí)，父域中當前沒(méi)有可用的域控制器。
  * 由于在執行詳細的疑難解答后存在無(wú)法解決的名稱(chēng)解析、身份驗證、復制引擎或 Active Directory 對象相關(guān)項，因此 Active Directory 安裝向導無(wú)法完成。
  * 在 Tombstone 存留天數（默認的 Tombstone 存留時(shí)間為 60 天）內，域控制器尚未為一個(gè)或多個(gè)命名上下文復制入站 Active Directory 更改。

  重要說(shuō)明：請不要恢復這類(lèi)域控制器，除非它們是恢復特定域的唯一選擇。
  * 由于您必須立即將域控制器投入使用，因此沒(méi)有足夠的時(shí)間進(jìn)行更詳細的疑難解答。

強制降級在實(shí)驗和教學(xué)環(huán)境中可能非常有用，在這些環(huán)境中您可以刪除現有域中的域控制器，卻不必按順序將每個(gè)域控制器降級。

如果您強制進(jìn)行域控制器降級，將丟失您正在強制降級的域控制器的 Active Directory 中所駐留的任何唯一的更改。這包括在運行 dcpromo /forceremoval 命令之前尚未復制的對用戶(hù)、計算機、組、信任關(guān)系以及組策略或 Active Directory 配置所做的添加、刪除或修改操作。此外，您還將丟失對這些對象的任一屬性（如用戶(hù)密碼、計算機、信任關(guān)系以及組成員資格）所做的更改。

但是，如果您將域控制器強制降級，您會(huì )將操作系統恢復到與域中的最后一個(gè)域控制器成功降級時(shí)相同的狀態(tài)（包括服務(wù)啟動(dòng)值和已安裝的服務(wù)，還包括對帳戶(hù)數據庫使用基于注冊表的 SAM 以及計算機是工作組的成員等方面）。降級的域控制器中安裝的程序仍將繼續保持已安裝狀態(tài)。

系統事件日志會(huì )以事件 ID 29234 標識出強制降級的 Windows 2000 域控制器以及 dcpromo /forceremoval 操作的實(shí)例。例如：






算機:Computername 描述:此服務(wù)器被強制降級。它不再是一個(gè)域控制器。
系統事件日志以事件 ID 29239 標識出強制降級的 Windows Server 2003 域控制器。

  1. 從域中刪除計算機帳戶(hù)。
  2. 驗證 DNS 記錄（例如 A 記錄、CNAME 記錄和 SRV 記錄）是否已刪除；如果它們仍然存在，則將它們刪除。
  3. 驗證 FRS 成員對象（FRS 和 DFS）是否已刪除；如果它們仍然存在，則將它們刪除。 有關(guān)更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
  296183 (http://support.microsoft.com/kb/296183/ ) FRS 使用的 Active Directory 對象概述
  4. 如果被降級的計算機是任何安全組的成員，請將其從這些組中刪除。
  5. 刪除對被降級的服務(wù)器的任何 DFS 引用（例如，鏈接或根副本）。
  6. 繼續存在的域控制器必須占用以前由被強制降級的域控制器所擁有的任何操作主機角色（也稱(chēng)為靈活的單主機操作或 FSMO）。 有關(guān)更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
  255504 (http://support.microsoft.com/kb/255504/ ) 使用 Ntdsutil.exe 占用 FSMO 角色或將其轉移到域控制器
  7. 如果您要降級的域控制器是 DNS 服務(wù)器或全局編錄服務(wù)器，則必須創(chuàng )建一個(gè)新的 GC 或 DNS 服務(wù)器，以滿(mǎn)足林中的負載平衡、容錯和配置設置。
  8. 當您使用 NTDSUTIL 中的刪除選定服務(wù)器命令時(shí)，NTDSDSA 對象（該對象是到您強制降級的域控制器的入站連接的父對象）將被刪除。該命令不會(huì )刪除“站點(diǎn)和服務(wù)”管理單元中出現的父服務(wù)器對象。如果不使用相同的計算機名將域控制器提升到林中，請使用“Active Directory 站點(diǎn)和服務(wù)”MMC 管理單元刪除該服務(wù)器對象。


這篇文章中的信息適用于:

  * Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  * Microsoft Windows Server 2003, Enterprise x64 Edition
  * Microsoft Windows Server 2003 Datacenter Edition
  * Microsoft Windows Server 2003 Enterprise Edition
  * Microsoft Windows Server 2003 Standard Edition
  * Microsoft Windows Small Business Server 2003 Standard Edition
  * Microsoft Windows Small Business Server 2003 Premium Edition
  * Microsoft Windows 2000 Server
  * Microsoft Windows 2000 Advanced Server
  * Microsoft Windows 2000 Datacenter Server