Active Directory Migration From Windows Server 2000 to Windows Server 2016

Active Directory Migration From Windows Server 2000 to Windows Server 2008 R2. Then Migration From Windows Server 2008 R2 to Windows Server 2016

WIN2K --> WIN2K8-R2
https://www.stevejenkins.com/blog/2010/01/migrating-an-active-directory-domain-controller-from-windows-2000-to-windows-2008-r2/
https://www.youtube.com/watch?v=OUQq0drYs24
http://www.jason-tang.com/files/it/operating-system/windows/AD-Win2000-To-Win2008-R2.mp4

SMC-FS:

AdsiEdit.msc
Domain NC[smc-fs.jason-tang.com]
->DC=smc,DC=com,DC=hk
->->OU=Domain Controllers
Delete SMC_NT

Run...
cmd
cd c:\winnt\system32
.\regsvr32.exe schmmgmt.dll
OK
mmc
Console-->Add/Remove Snap-in...
Add-->Active Directory Schema-->Add-->Close-->OK
Right Click "Active Director Schema" --> Operations Master...
Click the box before "The Schema may be modified on this Domain Controller."--> OK

Install SFU2-KB919938-X86 to C:\temp
cd C:\temp
C:\temp\Idmschupg.exe
C
......
52 entries modified successfully.

The command has completed successfully


Copy support Folder from WIN2K8-R2 DVD to C:\

cmd

cd C:\support\adprep

adprep32 /forestprep
C
......
Adprep successfully updated the forest-wide information. (<-If you don't get this Information, you can run adprep32 /forestprep again.)



adprep32 /domainprep
Running domainprep ...


Adprep detected that the domain is not in native mode
[Status/Consequence]
Adprep has stopped without making changes.
[User Action]
Configure the domain to run in native mode and re-run domainprep

Start-->Programs-->Administrative Tools-->Active Directory Users and Computers
Right Click-->jason-tang.com-->Properties-->General-->Domain mode--->Change Mode-->Yes-->Apply-->OK-->OK

Check the "Domain mode" on the smc-bs domain controller server(It took 10 minutes to finish in my test)



adprep32 /domainprep

Running domainprep ...

Adprep successfully updated the domain-wide information.

The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory Domain Services permissions
to be updated for existing Group Policy Objects (GPOs). You can enable this
functionality at any time by running "adprep.exe /domainprep /gpprep" on the
Active Directory Domain Controller that holds the infrastructure operations
master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the AD DCs in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.



adprep32 /domainprep /gpprep

Running domainprep ...


Domain-wide information has already been updated.
[Status/Consequence]
Adprep did not attempt to rerun this operation.



....

Adprep successfully updated the Group Policy Object (GPO) information.


WIN2K8-R2(smc-pdc and smc-bdc)  join the AD(windows 2000 server) and then login as DOMAIN administrator

Start --> Check firewall status --> Turn Windows Firewall on or off --> Turn all the firewalls off

SMC-PDC:

dcpromo.exe

Click the box before "Use advanced mode installation" --> Next --> Next --> Existing forest --> Add a domain controller to an existing domain --> Next --> jason-tang.com -->
My current logged on credentials(SMC\administrator) --> Next --> Next --> Yes --> Next --> Next(DNS GC) --> Yes --> Replicate date over the network from an existing doman controller --> Next
Use this specific domain controller: --> smc-fs.jason-tang.com --> Next --> Next --> Password (and Confirm password) --> Next --> Export settings... --> Desktop --> smc-pdc --> Save --> OK --> Next --> Click the box before "Root on completion"

repadmin /syncall
......
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.

SMC-BDC:

dcpromo.exe

Click the box before "Use advanced mode installation" --> Next --> Next --> Existing forest --> Add a domain controller to an existing domain --> Next --> jason-tang.com -->
My current logged on credentials(SMC\administrator) --> Next --> Next --> Yes --> Next --> Next(DNS GC) --> Yes --> Replicate date over the network from an existing doman controller --> Next
Use this specific domain controller: --> smc-bs.jason-tang.com --> Next --> Next --> Password (and Confirm password) --> Next --> Export settings... --> Desktop --> smc-bdc --> Save --> OK --> Next --> Click the box before "Root on completion"

repadmin /syncall
......
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.


Transfer FSMO Roles and Set Up Any Additional Roles
1.Relative ID (RID) Master
2.PDC Emulator
3.Infrastructure Master
4.Domain Naming Master
5.Schema Master

smc-pdc:
Administrative Tools-->Active Directory Users and Computers
Right Click (jason-tang.com) --> Operations Masters...
-->RID---> Change...--> Yes -->OK
-->PDC---> Change...--> Yes -->OK
-->Infrastucture---> Change...--> Yes -->OK --> Close
repadmin /syncall

smc-fs:
Programs --> Administrative Tools --> Active Directory Users and Computers
Right Click (jason-tang.com) --> Operations Masters... --> Check the settings --> Close


smc-pdc:
Administrative Tools --> Active Directory Domains and Trusts
Right Click (Active Directory Domains and Trusts [smc-pdc.jason-tang.com]) --> Operations Master... --> Change... --> Yes --> OK --> Close
repadmin /syncall

smc-fs:
Programs --> Administrative Tools --> Active Directory Domains and Trusts
Right Click (Active Directory Domains and Trusts) --> Operations Master... Check the setting --> Close


smc-pdc:
Run...
cmd
cd c:\windows\system32
.\regsvr32.exe schmmgmt.dll
OK
mmc

File --> Add/Remove Snap-in...
Active Directory Schema --> Add --> OK
Right Click (Active Directory Schema[smc-fs.jason-tang.com])  --> Change Active Directory Domain Controller...
Current Directory Server:
smc-fs.jason-tang.com
Change to:
smc-pdc.jason-tang.com
--> OK --> OK
Right Click (Active Directory Schema[smc-pdc.jason-tang.com])  --> Operations Master... --> Change... --> Yes --> OK --> Close
repadmin /syncall
netdom query fsmo
Schema master               smc-pdc.jason-tang.com
Domain naming master        smc-pdc.jason-tang.com
PDC                         smc-pdc.jason-tang.com
RID pool manager            smc-pdc.jason-tang.com
Infrastructure master       smc-pdc.jason-tang.com
The command completed successfully.


smc-fs:
Run...
cmd
mmc
Console --> Add/Remove Snap-in... --> Add --> Active Directory Schema --> Add --> Close --> OK
Right Click (Active Directory Schema)  --> Operations Master... --> Check the setting (Current Focus:smc-pdc.jason-tang.com) --> Cancel
netdom query fsmo
Schema master               smc-pdc.jason-tang.com
Domain naming master        smc-pdc.jason-tang.com
PDC                         smc-pdc.jason-tang.com
RID pool manager            smc-pdc.jason-tang.com
Infrastructure master       smc-pdc.jason-tang.com
The command completed successfully.

How to migrate a DHCP database from Windows 2000 Server to Windows Server 2008 or Windows Server 2008 R2:
https://blogs.technet.microsoft.com/networking/2009/11/09/how-to-migrate-a-dhcp-database-from-windows-2000-server-to-windows-server-2008-or-windows-server-2008-r2/

smc-fs:
Run...
cmd
net stop dhcpserver
cd %systemroot%\system32\dhcp
jetpack dhcp.mdb temp.mdb

Compacted database dhcp.mdb in 0.250 seconds.
moving temp.mdb => dhcp.mdb
jetpack completed successfully.

Install the Dhcpexim.exe utility, and then start the Dhcpexim.exe utility.
cd C:\Program Files\Resource Kit
Dhcpexim.exe
Click "Export configuration of the local service to a file" --> OK --> Enter a file name in the "File name" box: C:\dhcpdatabase.txt --> Save
Click the scope --> Click the check box before "Disable the selected scopes on local machine before export" --> Export --> OK (The operation completed successfully.)

Click Start --> Programs --> Administrative Tools --> Services
Right click "DHCP Server" --> Stop
Right click "DHCP Server" --> Properties --> Startup type: Disabled --> OK --> Close


smc-fs and smc-bs:
Change the IP addresses of DNS.

smc-fs:
Run...
cmd
dcpromo.exe --> Next --> OK --> Next --> Enter the password and confirm password --> Next --> Next --> Finish --> Restart Now

smc-bs:
Run...
cmd
dcpromo.exe --> Next --> Next --> Enter the password and confirm password --> Next --> Next --> Finish --> Restart Now

smc-fs and smc-bs login as local administrator:
Uninstall DNS,DHCP,WINS
Start --> Settings --> Control Panel --> Add/Remove Programs --> Add/Remove Windows Components --> Networking Services --> Details...
Unclick (DNS, DHCP, WINS) --> OK --> Next --> Next --> Finish --> Close

smc-fs and smc-bs:
Change the name and IP address of the servers.
smc-fs --> smc-fs-old (IP: 192.168.1.249 --> 192.168.1.246)
smc-bs --> smc-bs-old (IP: 192.168.1.253 --> 192.168.1.251)



Copy the file C:\dhcpdatabase.txt from smc-fs to smc-pdc C:\dhcpdatabase.txt.
smc-pdc:
Click Start --> Administrative Tools --> Server Manager --> Roles --> Add Roles --> Next --> Select the "DHCP Server" --> Next --> ...(Follow the instructions in the Add Roles Wizard to complete the installation.)... --> Install --> Close

Run...
cmd
netsh dhcp server import C:\dhcpdatabase.txt all

Command completed successfully.


Click Start --> Administrative Tools --> DHCP
Change the IP addresses of Time,DNS and WINS Server.


smc-pdc and smc-bdc:
Change the IP addresses of DNS.

WINS:
WIN2K8-R2(smc-pdc and smc-bdc) install WINS Server and Add Replication Partnet each other:
Click Start --> Administrative Tools --> Server Manager --> Features --> Add Features --> Select "WINS Server" --> Next --> Install --> Close

smc-pdc:
Click Start --> Administrative Tools --> WINS ---> SMC-PDC[192.168.1.250] --> Right click "Replication Partners" --> New Replication Partnet... --> Enter SMC-BDC ---> OK

smc-bdc:
Click Start --> Administrative Tools --> WINS ---> SMC-BDC[192.168.1.252] --> Right click "Replication Partners" --> New Replication Partnet... --> Enter SMC-PDC ---> OK



smc-pdc:
repadmin /syncall
Start --> Administrative Tools --> Active Directory Users and Computers
Right Click jason-tang.com --> Raise domain functional level...
Current domain functional level:
Windows 2000 native
Select an available domain functional level:
Windows Server 2008 R2
--> Raise --> OK --> OK
repadmin /syncall


Start --> Administrative Tools --> Active Directory Domains and Trusts
Right Click (Active Directory Domains and Trusts [smc-pdc.jason-tang.com]) --> Raise Forest Functional Level...
Current forest functional level:
Windows 2000
Select an available forest functional level:
Windows Server 2008 R2
--> Raise --> OK --> OK


Start --> Administrative Tools-->Active Directory Users and Computers
Right Click jason-tang.com --> Computers
Delete smc-fs and smc-bs





WIN2K8-R2 --> WIN2016:
https://www.youtube.com/watch?v=RCX_1A_-UZU
http://www.jason-tang.com/files/it/operating-system/windows/AD-Win2008-R2-To-Win2016.mp4

WIN2016(smc-fs and smc-bs) join the AD(windows 2008 server) and restart

Login WIN2016(smc-fs and smc-bs) as DOMAIN administrator and then install AD DS and Add as a domain controller to an existing domain.

smc-fs(WIN2016):
Start --> Server Manager --> Add roles and features --> Next --> Next --> Select a server from the server pool (smc-fs) --> Next
Click "Active Directory Domain Services" --> Add Features --> Next --> Next --> Next --> Install --> Click "Promote this server to a domain controller"
Click "Add a domain controller to an existing domain" --> Domain: jason-tang.com --> SMC\administrator(Current user) --> Next
Type the password and confirm password of DSRM --> Next --> Next --> Replicate from: smc-pdc.jason-tang.com --> Next --> Next --> Next --> Install

This server was successfully configured as a domain controller.<-- The server will restart automatically.

smc-bs(WIN2016):
Start --> Server Manager --> Add roles and features --> Next --> Next --> Select a server from the server pool (smc-fs) --> Next
Click "Active Directory Domain Services" --> Add Features --> Next --> Next --> Next --> Install --> Click "Promote this server to a domain controller"
Click "Add a domain controller to an existing domain" --> Domain: jason-tang.com --> SMC\administrator(Current user) --> Next
Type the password and confirm password of DSRM --> Next --> Next --> Replicate from: smc-bdc.jason-tang.com --> Next --> Next --> Next --> Install

This server was successfully configured as a domain controller.<-- The server will restart automatically.


smc-fs(WIN2016):
Login smc-fs as domain administrator
netdom query fsmo
Schema master               smc-pdc.jason-tang.com
Domain naming master        smc-pdc.jason-tang.com
PDC                         smc-pdc.jason-tang.com
RID pool manager            smc-pdc.jason-tang.com
Infrastructure master       smc-pdc.jason-tang.com

Start --> Windows Administrative Tools --> Active Directory Users and Computers --> Right click "jason-tang.com" --> Operations Masters... --> RID --> Change... --> Yes -->OK
PDC --> Change... --> YES --> OK --> Infrastructure --> Change... --> YES --> OK --> Close
netdom query fsmo
Schema master               smc-pdc.jason-tang.com
Domain naming master        smc-pdc.jason-tang.com
PDC                         smc-fs.jason-tang.com
RID pool manager            smc-fs.jason-tang.com
Infrastructure master       smc-fs.jason-tang.com
The command completed successfully.

Start --> Windows Administrative Tools --> Active Directory Domains and Trusts --> Right click "Active Directory Domains and Trusts[smc-fs.jason-tang.com]" --> Operations Master... Change... --> Yes -->OK --> Close
netdom query fsmo
Schema master               smc-pdc.jason-tang.com
Domain naming master        smc-fs.jason-tang.com
PDC                         smc-fs.jason-tang.com
RID pool manager            smc-fs.jason-tang.com
Infrastructure master       smc-fs.jason-tang.com
The command completed successfully.

Run...
cmd
cd c:\windows\system32
.\regsvr32.exe schmmgmt.dll
OK
mmc
File --> Add/Remove Snap-in... --> Active Directory Schema --> Add --> OK
Right click (Active Directory Schema[smc-pdc.jason-tang.com])  --> Change Active Directory Domain Controller...
Current Directory Server:
smc-pdc.jason-tang.com
Change to:
smc-fs.jason-tang.com
--> OK --> OK
Right click (Active Directory Schema[smc-fs.jason-tang.com])  --> Operations Master... --> Change --> Yes --> OK --> Close
netdom query fsmo
Schema master               smc-fs.jason-tang.com
Domain naming master        smc-fs.jason-tang.com
PDC                         smc-fs.jason-tang.com
RID pool manager            smc-fs.jason-tang.com
Infrastructure master       smc-fs.jason-tang.com
The command completed successfully.


Migration from 2008 R2 server to 2016 DHCP:
https://www.youtube.com/watch?v=EMZerVfdxpI
http://www.jason-tang.com/files/it/operating-system/windows/DHCP-Win2008-R2-To-Win2016.mp4

smc-pdc(WIN2008):
Run...
cmd
netsh dhcp server export C:\dhcpbackup.txt all
Command completed successfully.
Click Start --> Administrative Tools --> Services
Right click "DHCP Server" --> Stop
Right click "DHCP Server" --> Properties --> Startup type: Disabled --> OK --> Close


smc-fs(WIN2016):
Click Start --> Server Manager --> Manage --> Add Roles and Features --> Next --> Next --> Next --> Select the "DHCP Server" --> Add Features --> Next --> Next --> Next --> Install --> Close(Installation succeeded on smc-fs.jason-tang.com)

Copy the file C:\dhcpbackup.txt from smc-pdc(WIN2008) to smc-fs(WIN2016) C:\dhcpbackup.txt.
cmd
netsh dhcp server import C:\dhcpbackup.txt all
Command completed successfully.

Click Start --> Windows Administrative Tools --> DHCP --> Scope Options
Change the IP addresses of Time,DNS and WINS Server.


smc-fs and smc-bs:
Change the IP addresses of DNS.

WINS:
smc-pdc and smc-bdc:
Click Start --> Administrative Tools --> Services
Right click "WINS" --> Stop
Right click "WINS" --> Properties --> Startup type: Disabled --> OK --> Close


WIN2016(smc-fs and smc-bs) install WINS Server and Add Replication Partnet each other:
Click Start --> Server Manager --> Manage --> Add Roles and Features --> Next --> Next --> Next --> Next --> Select "WINS Server" --> Add Features --> Next --> Install --> Close(Installation succeeded on smc-fs.jason-tang.com)

smc-fs:
Click Start --> Windows Administrative Tools --> WINS ---> SMC-PDC[192.168.1.249] --> Right click "Replication Partners" --> New Replication Partnet... --> Enter SMC-BS ---> OK
smc-bs:
Click Start --> Windows Administrative Tools --> WINS ---> SMC-BDC[192.168.1.253] --> Right click "Replication Partners" --> New Replication Partnet... --> Enter SMC-FS ---> OK

smc-pdc and smc-bdc:
Change the IP addresses of DNS.

smc-pdc:
Run...
cmd
dcpromo.exe --> Next --> OK --> Next --> Enter the password and confirm password --> Next --> Next --> Click Reboot on completion
Start --> Right click "Computer" --> Properties --> Change settings --> Change... --> Click "Workgroup" --> Type WORKGROUP --> OK --> OK --> OK --> OK --> Close --> Restart Now

smc-bdc:
Run...
cmd
dcpromo.exe --> Next --> OK --> Next --> Enter the password and confirm password --> Next --> Next --> Click Reboot on completion
Start --> Right click "Computer" --> Properties --> Change settings --> Change... --> Click "Workgroup" --> Type WORKGROUP --> OK --> OK --> OK --> OK --> Close --> Restart Now


Migrate File Server Keep NTFS Permission:
https://www.youtube.com/watch?v=uLFvkUqKpeU
http://www.jason-tang.com/files/it/operating-system/windows/Migrate-File-Server-Keep-NTFS-Permission.mp4

Start --> Server Manager --> Manage --> Add Roles and Features --> Next --> Next --> Next --> Next --> Click the box before ".NET Framework 3.5 Features" --> Next
Click "Specify an altemate source path" --> Path: "F:\sources\sxs"(F:<--The driver which is the WIN2016 DVD in) --> OK --> Install --> Close

Install File Server Migration Toolkit 64 bit
Click "File Server Migration Wizard" --> New... --> Next --> Type Name: and Location: --> Next --> Yes --> Click "Use the following DSF root server" --> Next --> Type Location: D:\Share --> Finish
Add Server... --> Server: smc-fs-old --> OK --> Click + --> Chose the Share Folders you want to migrate --> Continue --> OK --> Continue --> Continue --> Yes --> Success - Migration --> OK --> Close

Disabled Downloaded Maps Manager:
Start --> Windows Administrative Tools --> Services --> Right click "Downloaded Maps Manager" --> Properties --> Startup type: Disabled --> OK --> Close

(源自網絡)將Windows 2000/2003 DNS區域移至另一台基於Windows 2000/2003 的伺服器上

概要
本文介紹如何將一台運行 Windows 2000/2003 的 DNS 伺服器上的區域檔移到另一台運行 Windows 2000/2003 的 DNS 伺服器上。

移動區域檔
若要將區域檔從一台伺服器移到另一台伺服器,請按照下列步驟操作:

注意:要使用以下方法,必須在一台基於 Windows 2000 的新伺服器上安裝 Windows 2000 DNS 伺服器服務。此前,應未對 DNS 伺服器服務進行任何配置。 1. 在 DNS 區域當前所在的 DNS 伺服器上,將所有 Active Directory 集成區域更改為標準主要區域。此操作將創建目標 DNS 伺服器所需的區域檔。
2. 停止兩台 DNS 伺服器上的 DNS 伺服器服務。
3. 手動將 %SystemRoot%\System32\DNS 檔夾的全部內容(包括子檔夾)從源伺服器複製到目標伺服器。
4. 在當前 DNS 伺服器上,啟動註冊表編輯器 (Regedit.exe)。
5. 找到並單擊下麵的註冊表子項:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Zones
6. 將區域項導出到註冊表檔。
7. 找到並單擊下麵的註冊表子項:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones
8. 將區域項導出到註冊表檔。
9. 在目標 DNS 伺服器上,雙擊每個註冊表檔,將 Zones 子項導入到註冊表中。
10. 關閉當前 DNS 伺服器,並將其 IP 位址轉移給目標 DNS 伺服器。
11. 在目標 DNS 伺服器上,啟動 DNS 伺服器服務。要開始註冊伺服器的 A 和 PTR 資源記錄,請在命令提示符下運行以下命令:
ipconfig /registerdns
12. 如果此伺服器同時還是網域控制器,請停止並重新啟動 Net Logon 服務來註冊服務 (SRV) 記錄,或在命令提示符下運行以下命令:
netdiag /fix
13. 如果替換 DNS 伺服器是網域控制器,則可將其上以前是 Active Directory 集成區域的標準區域轉換回 Active Directory 集成區域。
14. 確認每個區域上的 SOA 資源記錄包含正確的主伺服器名,並且區域的 NS 資源記錄正確無誤。
注意:本文概述的步驟並不會遷移以下 DNS 伺服器設置: • 介面
• 轉發器
• 高級
• 根提示
• 日誌
• 安全性
• 在步驟 4 中指定的項以外的任何其他項下面所做的任何特定註冊表設置

(源自網絡)控制器降級失敗後如何刪除 Active Directory 中的資料

1.命令行操作
Ntdsutil

Metadata cleanup

Connections

Conn to serv 電腦名

Quit

Sele oper target

List domains

Sele doma

Sele doma ?(此處為號碼)

List serv in site

Sele ser ?(此處為號碼)

Quit

Remo sele server

Quit

2.刪除DNS記錄

在 DNS 控制臺中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname(也稱為“別名”)記錄。為此,請展開“_msdcs”容器,右鍵單擊 cname,然後單擊“刪除”。
重要說明:如果這是一台 DNS 伺服器,請在名稱伺服器選項卡中刪除對該 DC 的引用。為此,在 DNS 控制臺中,在正向搜索區域下單擊該功能變數名稱,然後從名稱伺服器選項卡中刪除該伺服器。

3.ADSIEdit.msc

域NC-DC=功能變數名稱,DC=CN-OU=Domain Controllers刪除CN=網域控制器名稱

域NC-DC=功能變數名稱,DC=CN-CN=System-CN=File rep?-CN=Domain system vol?刪除CN=網域控制器名稱

4. 啟動“Active Directory 站點和服務” 展開“站點”展開伺服器的站點。默認站點為“Default-First-Site-Name” 展開“伺服器”右鍵單擊網域控制器,然後單擊刪除。

 

微軟原文:

過程

1. 單擊“開始”,指向“程式”,指向“附件”,然後單擊“命令提示符”。

2. 在命令提示符處,鍵入 ntdsutil,然後按 Enter 鍵。

3. 鍵入 metadata cleanup,然後按 Enter 鍵。根據所給出的選項,管理員可以執行刪除操作,但在實施刪除之前還必須指定另外一些配置參數。

4. 鍵入 connections,然後按 Enter 鍵。此功能表用於連接將發生這些更改的具體伺服器。如果當前登錄的用戶沒有管理許可權,可以在建立連接之前指定要使用的替代憑據。為此,請鍵入 set creds DomainNameUserNamePassword,然後按 Enter 鍵。如果密碼為空,則鍵入 null 作為密碼參數。

5. 鍵入 connect to server servername,然後按 Enter 鍵。然後出現一條確認消息,說明已成功建立該連接。如果出現錯誤,則確認連接中所用的網域控制器是否可用,以及您提供的憑據對該伺服器是否有管理許可權。

 

注意:如果嘗試連接的伺服器正是要刪除的伺服器,那麼在嘗試刪除第 15 步提到的伺服器時,將顯示以下錯誤資訊:

Error 2094. The DSA Object cannot be deleted0x2094

6. 鍵入 quit,然後按 Enter 鍵。將出現清除元資料功能表。

7. 鍵入 select operation target,然後按 Enter 鍵。

8. 鍵入 list domains,然後按 Enter 鍵。將顯示一個列出目錄林中所有域的列表,每一個域都有一個關聯的編號。

9. 鍵入 select domain number,然後按 Enter 鍵;其中 number 是與要刪除的域相關聯的編號。您選擇的域用於確定要刪除的伺服器是否為該域的最後一個網域控制器。

10. 鍵入 list sites,然後按 Enter 鍵。將顯示一個站點列表,每個站點都有一個關聯的編號。

11. 鍵入 select site number,然後按 Enter 鍵;其中 number 是與要刪除的域相關聯的編號。將出現一條確認消息,其中列出了所選的站點和域。

12. 鍵入 list servers in site,然後按 Enter 鍵。將顯示一個列出站點中所有伺服器的列表,每個伺服器都有一個關聯的編號。

13. 鍵入 select server number,其中 number 是與要刪除的伺服器關聯的編號。將出現一條確認消息,其中列出所選的伺服器、該伺服器的功能變數名稱伺服器 (DNS) 主機名,以及要刪除的伺服器的電腦帳戶的位置。

14. 鍵入 quit,然後按 Enter 鍵。將出現清除元資料功能表。

15. 鍵入 remove selected server,然後按 Enter 鍵。將出現一條確認消息,說明刪除成功完成。如果出現以下錯誤資訊:

Error 8419 (0x20E3)

The DSA object could not be found

則說明“NTDS 設置”物件可能已從 Active Directory 中刪除,原因是其他管理員刪除了該“NTDS 設置”物件,或者在運行 DCPROMO 實用工具成功刪除物件後再執行一次此操作。

 

注意:嘗試綁定到要刪除的網域控制器時,也可能會出現此錯誤。Ntdsutil 必須綁定到要用 metadata cleanup 刪除的網域控制器以外的其他網域控制器。

16. 在每個功能表中鍵入 quit,退出 NTDSUTIL 實用工具。將出現一條確認消息,說明連接已成功斷開。

17. 在 DNS 的 _msdcs.root domain of forest 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC,因此使用新的 GUID 和 DNS 中匹配的 cname 記錄來創建新的“NTDS 設置”物件。您不希望現有 DC 使用舊的 cname 記錄。

 

最佳做法是刪除主機名和其他 DNS 記錄。如果已超出為脫機伺服器分配的動態主機配置協定 (DHCP) 位址上所剩的租用時間,另一個用戶端即可獲得問題 DC 的 IP 地址。

既然“NTDS 設置”物件已刪除,因此可以刪除電腦帳戶、FRS 成員物件、_msdcs 容器中的 cname(或別名)記錄、DNS 中的 A(或主機)記錄、已刪除的子域的 trustDomain 物件以及網域控制器。

 

Windows 2000 Server 和 Windows Server 2003 的 Windows 支援工具功能中都附帶有 Adsiedit 實用工具。要安裝 Windows 支援工具,請按照下列步驟操作:• Windows 2000 Server:在 Windows 2000 Server 安裝光碟上,打開 Support\Tools 檔夾,雙擊“Setup.exe”,然後按照螢幕上的說明操作。

• Windows Server 2003:在 Windows Server 2003 安裝光碟上,打開 Support\Tools 檔夾,雙擊“Suptools.msi”,單擊“安裝”,然後按照 Windows 支援工具安裝嚮導中的步驟操作以完成安裝。

1. 使用 ADSIEdit 刪除電腦帳戶。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain Name, DC=COM, PRI, LOCAL, NET”。

d. 展開“OU=Domain Controllers”。

e. 右鍵單擊“CN=domain controller name”,然後單擊“刪除”。

如果在試圖刪除 DSA 物件時出現“DSA object cannot be deleted”錯誤資訊,請更改 UserAccountControl 值。要更改 UserAccountControl 值,請在 ADSIEdit 中右鍵單擊該網域控制器,然後單擊“屬性”。在“請選擇要查看的屬性”下,單擊“UserAccountControl”。單擊“清除”,將該值更改為 4096,然後單擊“設置”。現在您可以刪除該物件了。

注意:刪除電腦物件時,也將刪除 FRS 訂戶物件,因為它是電腦帳戶的子物件。

2. 使用 ADSIEdit 刪除 FRS 成員物件。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。

d. 展開“CN=System”。

e. 展開“CN=File Replication Service”。

f. 展開“CN=Domain System Volume (SYSVOL share)”。

g. 右鍵單擊要刪除的網域控制器,然後單擊刪除。

 3. 在 DNS 控制臺中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname(也稱為“別名”)記錄。為此,請展開“_msdcs”容器,右鍵單擊 cname,然後單擊“刪除”。

重要說明:如果這是一台 DNS 伺服器,請在名稱伺服器選項卡中刪除對該 DC 的引用。為此,在 DNS 控制臺中,在正向搜索區域下單擊該功能變數名稱,然後從名稱伺服器選項卡中刪除該伺服器。

注意:如果有反向搜索區域,也要將伺服器從這些區域中刪除。

4. 如果刪除的電腦是子域中的最後一個網域控制器,而且該子域也已刪除,則使用 ADSIEdit 刪除該子域的 trustDomain 物件。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。

d. 展開“CN=System”。

e. 右鍵單擊“Trust Domain”物件,然後單擊“刪除”。

 5. 使用“Active Directory 站點和服務”刪除網域控制器。為此,請按照下列步驟操作: a. 啟動“Active Directory 站點和服務”。

b. 展開“站點”。

c. 展開伺服器的站點。默認站點為“Default-First-Site-Name”。

d. 展開“伺服器”。

e. 右鍵單擊網域控制器,然後單擊刪除。

 另外,請考慮以下幾點:• 如果刪除的網域控制器曾經是一台全局編錄伺服器,請評估指向這台脫機全局編錄伺服器的應用程式伺服器是否必須指向一台活動的全局編錄伺服器。

• 如果刪除的 DC 曾經是一台全局編錄伺服器,請評估是否必須提升其他全局編錄,以解決站點、域或林全局編錄的負載問題。

• 如果刪除的 DC 曾經擔任 Flexible Single Master Operation (FSMO) 角色,請將這些角色重新分配給一台活動 DC。

• 如果刪除的 DC 曾經是一台 DNS 伺服器,請更新所有成員工作站、成員伺服器以及其他可能使用過這台 DNS 伺服器進行名稱解析的 DC 上的 DNS 用戶端配置。如果需要,請修改 DHCP 作用域,以反映出 DNS 伺服器已刪除。

• 如果刪除的 DC 曾經是一台 DNS 伺服器,請更新所有其他可能指向該 DC 以進行名稱解析的 DNS 伺服器上的轉發器設置和委派設置。

(源自microsoft.com)Windows 2000 中的 DHCP 資料庫移到另一部伺服器

Windows 2000 (來源) 到 Windows 2000 (目的地)
警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

如果要將 DHCP 資料庫從 Windows 2000 伺服器移到另一部 Windows 2000 伺服器,請依照下列步驟執行。

注意• 在來源伺服器上,DHCP 資料庫名稱和位置可能與預設的 %systemroot%\System32\DHCP\DHCP.mdb 不同。即使來源伺服器與目的地伺服器的 DHCP 資料庫位置不同,亦不影響本文所述程序。不過,您的目的地伺服器必須使用 %systemroot%\System32\DHCP\DHCP.mdb 的預設名稱和路徑,才能執行下列程序。
• 這個方法並不會遷移下列 DHCP 伺服器設定: • APIProtocolSupport
• DatabaseCleanupInterval
• DatabaseLoggingFlag
• DetectConflictRetries
• DatabasePath
• BackupDatabasePath
• DatabaseName
• BackupInterval
• RestoreFlag
如需有關如何設定這些參數的資訊,請參閱 Windows 2000 Resource Kit 文件。如果要執行這項操作,請造訪下列 Microsoft 網頁:
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/ (http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/)
• Microsoft Windows 2000 說明檔曾誤導使用者,將下列登錄子機碼匯出和匯入:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Configuration
本文謹在此更正,應匯出和匯入的子機碼如下所示:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DHCPServer\Configuration

步驟 1:移動 DHCP 資料庫之前
重要 不當地移動 DHCP 資料庫可能會導致電腦狀態不穩定。因此,Microsoft 強烈建議您在嘗試移動 DHCP 資料庫之前執行下列程序: • 建立工作設定的備份。
• 在測試環境中測試此程序。
• 按照本文敘述,確實執行下列所有步驟。
此外,我們假設目的地伺服器並未安裝 DHCP 伺服器服務。如果目的地伺服器已經安裝了 DHCP 伺服器服務,建議您將之移除。如果要執行這項操作,請依照下列步驟執行: 1. 在目的地 DHCP 伺服器上,按一下 [開始],指向 [設定],按一下 [控制台],然後按兩下 [新增/移除程式]。
2. 按一下 [新增/移除 Windows 元件],按兩下 [Networking Services] (請勿選取 [Networking Services] 核取方塊),然後按一下以清除 [動態主機設定通訊協定 (DHCP)] 核取方塊。
3. 按一下 [確定],然後按一下 [下一步]。

步驟 2:在來源 DHCP 伺服器上
1. 爲避免 DHCP 伺服器服務在您移動 DHCP 資料庫之後啟動,請使用 [控制台] 中的 [服務] 工具停用 DHCP 伺服器服務。如果要執行這項操作,請依照下列步驟執行: a.  按一下 [開始],指向 [設定],按一下 [控制台],然後按兩下 [服務]。
b.  在 [服務] 方塊中,依序按一下 [Microsoft DHCP Server]、[啟動],再按一下 [啟動類型] 底下的 [停用]。
 
2. 停止 DHCP 伺服器服務。如果要執行這項操作,請在命令提示字元中輸入下列命令,然後按 ENTER:
net stop dhcpserver
3. 按一下 [開始],再按 [執行],輸入 regedit32,然後按一下 [確定]。
4. 找出並按一下下列子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DHCPServer\Configuration
5. 按一下 [登錄] 功能表中的 [儲存機碼],然後將子機碼儲存為 C:\Config.key。
6. 結束 [登錄編輯程式]。

步驟 3:在目的地 DHCP 伺服器上
將 DHCP 伺服器服務安裝在目的地伺服器上後,未經指示前,請勿啟動 DHCP 主控台。DHCP 主控台會在初次啟動時尋找並建立特定設定,而這些設定應該在您完成下列程序後才建立。 1. 安裝 DHCP 伺服器服務。如果要執行這項操作,請依照下列步驟執行: a.  按一下 [開始],指向 [設定],按一下 [控制台],然後按兩下 [新增/移除程式]。
b.  按一下 [新增/移除 Windows 元件],按兩下 [Networking Services] (請勿選取 [Networking Services] 核取方塊),然後按一下以選取 [動態主機設定通訊協定 (DHCP)] 核取方塊。
 
2. 停止 DHCP 伺服器服務。如果要執行這項操作,請在命令提示字元中輸入下列命令,然後按 ENTER:
net stop dhcpserver
3. 將 Config.key 檔案複製到目的地伺服器,再儲存為 C:\Config.key。
4. 按一下 [開始],再按 [執行],輸入 regedit,然後按一下 [確定]。
5. 找出並按一下下列子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DHCPServer\Configuration
6. 按一下 [登錄] 功能表的 [還原]。選取 C:\Config.key 檔案,並於出現還原現有機碼的提示時,按一下 [是]。
7. 結束 [登錄編輯程式]。
8. 刪除 %systemroot%\System32\DHCP 資料夾中的所有內容,包括子資料夾。
9. 將來源伺服器上 %systemroot%\System32\DHCP 資料夾中的 DHCP 資料庫檔案 (DHCP.mdb) 複製到目的地伺服器上的 %systemroot%\System32\DHCP 資料夾。
10. 啟動 DHCP 伺服器服務。如果要執行這項操作,請在命令提示字元中輸入下列命令,然後按 ENTER:
net start dhcpserver
您會收到下列訊息:
The DHCP Server service was started successfully (DHCP 伺服器服務已成功啟動)
11. 從「系統管理工具」群組啟動 DHCP 伺服器主控台。
12. 按一下目的地 DHCP 伺服器,再按一下 [執行] 功能表中的 [調解所有領域]。按一下 [確認]。如果要調解任何租用,按一下 [調解] 即可將登錄與資料庫同步化。
13. 屬於 Active Directory 網域的 Windows 2000 伺服器必須經過授權。如果要授權 DHCP 伺服器,請依照下列步驟執行: a.  按一下 [開始],指向 [程式集],再指向 [系統管理工具],然後按一下 [DHCP]。
b.  按一下 DHCP 伺服器的名稱。
c.  在 [執行] 功能表上,按一下 [授權]。

(源自網絡)使用 DCPROMO/FORCEREMOVAL 命令強制將 Active Directory 域控制

重要說明:本文包含有關修改註冊表的資訊。修改註冊表之前,一定要備份註冊表,並且一定要知道在發生問題時如何還原註冊表。有關如何備份、還原和編輯註冊表的資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
256986 Microsoft Windows 註冊表說明
本頁內容
 症狀
 原因
 解決方案
 替代方法
 狀態
 更多資訊

症狀
Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制器可能無法通過使用“Active Directory 安裝嚮導”(Dcpromo.exe) 正常降級。
原因
如果所需的相關項或操作失敗,可能會出現此現象。這包括網路連接、名稱解析、身份驗證、Active Directory 目錄服務複製或 Active Directory 中關鍵對象的位置等。
解決方案
要解決此問題,請確定阻礙 Windows 2000 或 Windows Server 2003 網域控制器正常降級的原因,然後再次嘗試使用“Active Directory 安裝嚮導”將網域控制器降級。
替代方法
如果不能解決此問題,可以使用以下變通方法對網域控制器執行強制降級,以保留作業系統及其中任何應用程式的安裝。

警告:在使用以下任一變通方法之前,請確保您可以在目錄服務還原模式下成功啟動。否則,在您強制降級該電腦後,您將無法登錄。如果用戶忘記了目錄服務還原模式的密碼,可以通過使用 Winnt\System32 檔夾中的 Setpwd.exe 實用程式來重置密碼。在 Windows Server 2003 中,Setpwd.exe 實用程式的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。

有關如何執行此過程的其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
271641 “配置您的服務嚮導”將恢復模式密碼設為空白
Windows 2000 網域控制器
1. 在運行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 網域控制器上安裝 Q332199 修復程式,或是安裝 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支援強制降級。然後重新啟動電腦。
2. 單擊“開始”,單擊“運行”,然後鍵入以下命令:
dcpromo /forceremoval
3. 單擊“確定”。
4. 在“歡迎使用 Active Directory 安裝嚮導”頁中,單擊“下一步”。
5. 如果您要刪除的電腦是全局編錄伺服器,請單擊消息視窗中的“確定”。

注意:如果您要降級的網域控制器是全局編錄伺服器,請根據需要提升林中或站點中的其他全局編錄。
6. 在“刪除 Active Directory”頁中,確保已清除“這個伺服器是域中的最後一個網域控制器”核取方塊,然後單擊“下一步”。
7. 在“網路憑據”頁中,鍵入林中具有企業管理員憑據的用戶帳戶的名稱、密碼和功能變數名稱稱,然後單擊“下一步”。
8. 在“管理員密碼”中,鍵入您要為本地 SAM 資料庫的管理員帳戶分配的密碼和確認密碼,然後單擊“下一步”。
9. 在“摘要”頁上,單擊“下一步”。
10. 在林中繼續存在的網域控制器上,對已降級的網域控制器執行元資料清除。

如果您通過使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個域,請驗證林中的所有網域控制器和全局編錄伺服器都已徹底刪除了所有指向您剛刪除的域的物件和引用,然後再使用相同的功能變數名稱將一個新域提升到同一林中。Windows 2000 支援工具中包含的 Replmon.exe 和 Repadmin.exe 等工具可幫助您確定是否發生過端到端複製。Windows 2000 SP3 及更早的全局編錄伺服器刪除物件和命名上下文的速度要明顯比 Windows Server 2003 慢。

Windows Server 2003 網域控制器
1. Windows Server 2003 網域控制器在默認情況下支援強制降級。單擊“開始”,單擊“運行”,然後鍵入以下命令:
dcpromo /forceremoval
2. 單擊“確定”。
3. 在“歡迎使用 Active Directory 安裝嚮導”頁中,單擊“下一步”。
4. 在“強制刪除 Active Directory”頁中,單擊“下一步”。
5. 在“管理員密碼”中,鍵入您要為本地 SAM 資料庫的管理員帳戶分配的密碼和確認密碼,然後單擊“下一步”。
6. 在“摘要”中,單擊“下一步”。
7. 在林中繼續存在的網域控制器上,對已降級的網域控制器執行元資料清除。

如果您通過使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個域,請驗證林中的所有網域控制器和全局編錄伺服器都已徹底刪除了所有指向您剛刪除的域的物件和引用,然後再使用相同的功能變數名稱將一個新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局編錄伺服器刪除物件和命名上下文的速度要明顯比 Windows Server 2003 慢。

如果網域控制器無法在正常模式下啟動
注意:在網域控制器無法在正常模式下啟動的情況下,如非絕對必要,請勿採取以下步驟。

警告:“註冊表編輯器”使用不當可導致嚴重問題,可能需要重新安裝作業系統。Microsoft 不能保證您可以解決因“註冊表編輯器”使用不當而導致的問題。使用“註冊表編輯器”需要您自擔風險。

要從網域控制器中刪除 Active Directory,請按照下列步驟操作:
1. 重新啟動電腦,然後按 F8 鍵以顯示“Windows 2000 高級選項”功能表。
2. 選擇“目錄服務還原模式”,按 Enter 鍵,然後再次按 Enter 鍵以繼續重新啟動。
3. 修改註冊表中的 ProductType 項。為此,請執行下列步驟:
a.  啟動註冊表編輯器。
b.  單擊以下註冊表子鍵下的“ProductType”項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
c.  在“編輯”功能表上,單擊“字串”,鍵入 ServerNT,然後單擊“確定”。

注意:如果此值未正確設置,或拼寫有誤,則您可能收到以下錯誤資訊:
System Process - License Violation:The system has detected tampering with your registered product type.This is a violation of your software license.Tampering with product type is not permitted.
d.  退出“註冊表編輯器”。
 
4. 重新啟動電腦。
5. 使用用於目錄服務修復模式的管理員帳戶和密碼登錄。

該電腦將作為成員伺服器運行。但是,在該電腦上仍存在一些與網域控制器有關的剩餘文件和註冊表項。
6. 請刪除這些剩餘的檔和註冊表項。為此,請執行下列步驟:
a.  啟動“Active Directory 安裝嚮導”。
b.  安裝 Active Directory,將該電腦作為某個新的臨時域(如“psstemp.deleteme”)的網域控制器。

注意:請確保使該電腦成為不同的林中的網域控制器。
c.  安裝 Active Directory 後,再次啟動“Active Directory 安裝嚮導”,然後從網域控制器中刪除 Active Directory。
 
7. 從網域控制器中刪除 Active Directory 後,刪除留在該域中的元資料。

有關如何刪除此元資料的其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
216498 如何在網域控制器降級失敗後刪除 Active Directory 中的資料 

如果在刪除了 Active Directory 的電腦上的資源訪問控制項 (ACE) 是基於域本地組的,則可能必須重新配置這些許可權,因為這些組對成員伺服器或獨立伺服器來說是不可用的。如果您計畫在該電腦上安裝 Active Directory 以使其成為原來的域中的網域控制器,則您不必再配置訪問控制列表 (ACL)。如果您希望將該電腦保留為成員伺服器或獨立伺服器,則必須轉換或替換基於域本地組的任何許可權。

有關從網域控制器中刪除 Active Directory 後對許可權有何影響的其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
320230 網域控制器降級後影響許可權
狀態
Microsoft 已對運行 Windows 2000 或 Windows Server 2003 的網域控制器進行了測試,並且支持對這些網域控制器執行強制降級。
更多資訊
“Active Directory 安裝嚮導”會在基於 Windows 2000 的電腦和基於 Windows Server 2003 的電腦上創建 Active Directory 網域控制器。“Active Directory 安裝嚮導”所執行的操作包括安裝新服務、更改現有服務的啟動值以及將 Active Directory 轉換為安全和身份驗證領域。

通過強制降級,域管理員可以強制刪除 Active Directory 並回滾本地保存的系統更改,而無須與林中的其他網域控制器進行聯繫或者將本地保存的更改複製到林中的其他網域控制器。

由於強制降級會導致任何本地保存的更改丟失,如非絕對必要,請勿在生產域或測試域中使用強制降級。當無法解決連接、名稱解析、身份驗證或複製引擎相關項以致于無法執行正常降級時,您可以將網域控制器強制降級。強制降級的有效方案包括:
• 當您嘗試將直接子域中的最後一個網域控制器降級時,父域中當前沒有可用的網域控制器。
• 由於在執行詳細的疑難解答後存在無法解決的名稱解析、身份驗證、複製引擎或 Active Directory 物件相關項,因此“Active Directory 安裝嚮導”無法完成。
• 在 Tombstone 存留時間(默認的 Tombstone 存留時間為 60 天)內,網域控制器尚未為一個或多個命名上下文複製入站 Active Directory 更改。

重要說明:請不要恢復這類網域控制器,除非它們是恢復特定域的唯一選擇。
• 由於您必須立即將網域控制器投入使用,因此沒有足夠的時間進行更詳細的疑難解答。

強制降級在實驗和教學環境中可能非常有用,在這些環境中您可以刪除現有域中的網域控制器,卻不必按順序將每個網域控制器降級。

如果您將網域控制器強制降級,您將會丟失要強制降級的網域控制器的 Active Directory 中包含的任何獨特更改,這包括在您運行 dcpromo /forceremoval 命令之前沒有進行複製的對用戶、電腦、組、信任關係以及組策略或 Active Directory 配置所做的添加、刪除或修改。此外,您還將丟失對這些物件的任何屬性(如用戶密碼、電腦、信任關係以及組成員資格)所做的更改。

但是,如果您將網域控制器強制降級,您會將作業系統恢復到與域中的最後一個網域控制器成功降級時相同的狀態(包括服務啟動值和已安裝的服務,還包括對帳戶資料庫使用基於註冊表的 SAM 以及電腦是工作組的成員等方面)。降級的網域控制器中安裝的程式仍將繼續保持已安裝狀態。

“系統”事件日誌會以事件 ID 29234 標識出強制降級的 Windows 2000 網域控制器(以及 dcpromo /forceremoval 操作的實例)。例如:
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29234
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.“系統”事件日誌以事件 ID 29239 標識出強制降級的 Windows Server 2003 網域控制器。例如:
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29239
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.在您使用 dcpromo /forceremoval 命令後,在繼續存在的網域控制器上不會 刪除被降級的電腦的元資料。 有關其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
216498 如何在網域控制器降級失敗後刪除 Active Directory 中的資料
將網域控制器強制降級後,您必須完成以下任務(如果適用的話):
1. 從域中刪除電腦帳戶。
2. 驗證 DNS 記錄(包括 A 記錄、CNAME 記錄和 SRV 記錄)是否已刪除;如果它們仍然存在,則將它們刪除。
3. 驗證 FRS 成員物件(FRS 和 DFS)是否已刪除;如果它們仍然存在,則將它們刪除。 有關其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
296183 FRS 使用的 Active Directory 物件的概述 
4. 如果被降級的電腦是任何安全組的成員,請將其從這些組中刪除。
5. 刪除對被降級的伺服器的任何 DFS 引用(鏈結或根副本)。
6. 繼續存在的網域控制器必須獲取以前由被強制降級的網域控制器所擁有的任何操作主機角色(也稱為靈活的單主機操作或 FSMO)。 有關其他資訊,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
255504 使用 Ntdsutil.exe 獲取 FSMO 角色或將其轉移到網域控制器 
7. 如果您要降級的網域控制器是 DNS 伺服器或全局編錄伺服器,則必須創建一個新的 GC 或 DNS 伺服器,以滿足林中的負載平衡、容錯和配置設置。 
8. 當您使用 NTDSUTIL 中的刪除選定伺服器命令時,NTDSDSA 物件(該物件是到您強制降級的網域控制器的入站連接的父物件)將被刪除。該命令不會刪除“站點和服務”管理單元中出現的父伺服器物件。如果不使用相同的電腦名將網域控制器提升到林中,請使用“Active Directory 站點和服務”MMC 管理單元刪除該伺服器物件。