(源自網絡)使用 DCPROMO/FORCEREMOVAL 命令強制將 Active Directory 域控制

詳細內容

分類: Windows

發佈: 2008-04-09, 週三 11:22

作者 Super User

點擊數: 18340

重要說明：本文包含有關修改註冊表的資訊。修改註冊表之前，一定要備份註冊表，並且一定要知道在發生問題時如何還原註冊表。有關如何備份、還原和編輯註冊表的資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
256986 Microsoft Windows 註冊表說明
本頁內容
 症狀
 原因
 解決方案
 替代方法
 狀態
 更多資訊

症狀
Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制器可能無法通過使用“Active Directory 安裝嚮導”(Dcpromo.exe) 正常降級。
原因
如果所需的相關項或操作失敗，可能會出現此現象。這包括網路連接、名稱解析、身份驗證、Active Directory 目錄服務複製或 Active Directory 中關鍵對象的位置等。
解決方案
要解決此問題，請確定阻礙 Windows 2000 或 Windows Server 2003 網域控制器正常降級的原因，然後再次嘗試使用“Active Directory 安裝嚮導”將網域控制器降級。
替代方法
如果不能解決此問題，可以使用以下變通方法對網域控制器執行強制降級，以保留作業系統及其中任何應用程式的安裝。

警告：在使用以下任一變通方法之前，請確保您可以在目錄服務還原模式下成功啟動。否則，在您強制降級該電腦後，您將無法登錄。如果用戶忘記了目錄服務還原模式的密碼，可以通過使用 Winnt\System32 檔夾中的 Setpwd.exe 實用程式來重置密碼。在 Windows Server 2003 中，Setpwd.exe 實用程式的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。

有關如何執行此過程的其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
271641 “配置您的服務嚮導”將恢復模式密碼設為空白
Windows 2000 網域控制器
1. 在運行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 網域控制器上安裝 Q332199 修復程式，或是安裝 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支援強制降級。然後重新啟動電腦。
2. 單擊“開始”，單擊“運行”，然後鍵入以下命令：
dcpromo /forceremoval
3. 單擊“確定”。
4. 在“歡迎使用 Active Directory 安裝嚮導”頁中，單擊“下一步”。
5. 如果您要刪除的電腦是全局編錄伺服器，請單擊消息視窗中的“確定”。

注意：如果您要降級的網域控制器是全局編錄伺服器，請根據需要提升林中或站點中的其他全局編錄。
6. 在“刪除 Active Directory”頁中，確保已清除“這個伺服器是域中的最後一個網域控制器”核取方塊，然後單擊“下一步”。
7. 在“網路憑據”頁中，鍵入林中具有企業管理員憑據的用戶帳戶的名稱、密碼和功能變數名稱稱，然後單擊“下一步”。
8. 在“管理員密碼”中，鍵入您要為本地 SAM 資料庫的管理員帳戶分配的密碼和確認密碼，然後單擊“下一步”。
9. 在“摘要”頁上，單擊“下一步”。
10. 在林中繼續存在的網域控制器上，對已降級的網域控制器執行元資料清除。

如果您通過使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個域，請驗證林中的所有網域控制器和全局編錄伺服器都已徹底刪除了所有指向您剛刪除的域的物件和引用，然後再使用相同的功能變數名稱將一個新域提升到同一林中。Windows 2000 支援工具中包含的 Replmon.exe 和 Repadmin.exe 等工具可幫助您確定是否發生過端到端複製。Windows 2000 SP3 及更早的全局編錄伺服器刪除物件和命名上下文的速度要明顯比 Windows Server 2003 慢。

Windows Server 2003 網域控制器
1. Windows Server 2003 網域控制器在默認情況下支援強制降級。單擊“開始”，單擊“運行”，然後鍵入以下命令：
dcpromo /forceremoval
2. 單擊“確定”。
3. 在“歡迎使用 Active Directory 安裝嚮導”頁中，單擊“下一步”。
4. 在“強制刪除 Active Directory”頁中，單擊“下一步”。
5. 在“管理員密碼”中，鍵入您要為本地 SAM 資料庫的管理員帳戶分配的密碼和確認密碼，然後單擊“下一步”。
6. 在“摘要”中，單擊“下一步”。
7. 在林中繼續存在的網域控制器上，對已降級的網域控制器執行元資料清除。

如果您通過使用 Ntdsutil 中的刪除選定域命令從林中刪除了某個域，請驗證林中的所有網域控制器和全局編錄伺服器都已徹底刪除了所有指向您剛刪除的域的物件和引用，然後再使用相同的功能變數名稱將一個新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局編錄伺服器刪除物件和命名上下文的速度要明顯比 Windows Server 2003 慢。

如果網域控制器無法在正常模式下啟動
注意：在網域控制器無法在正常模式下啟動的情況下，如非絕對必要，請勿採取以下步驟。

警告：“註冊表編輯器”使用不當可導致嚴重問題，可能需要重新安裝作業系統。Microsoft 不能保證您可以解決因“註冊表編輯器”使用不當而導致的問題。使用“註冊表編輯器”需要您自擔風險。

要從網域控制器中刪除 Active Directory，請按照下列步驟操作：
1. 重新啟動電腦，然後按 F8 鍵以顯示“Windows 2000 高級選項”功能表。
2. 選擇“目錄服務還原模式”，按 Enter 鍵，然後再次按 Enter 鍵以繼續重新啟動。
3. 修改註冊表中的 ProductType 項。為此，請執行下列步驟：
a.  啟動註冊表編輯器。
b.  單擊以下註冊表子鍵下的“ProductType”項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
c.  在“編輯”功能表上，單擊“字串”，鍵入 ServerNT，然後單擊“確定”。

注意：如果此值未正確設置，或拼寫有誤，則您可能收到以下錯誤資訊：
System Process - License Violation:The system has detected tampering with your registered product type.This is a violation of your software license.Tampering with product type is not permitted.
d.  退出“註冊表編輯器”。
 
4. 重新啟動電腦。
5. 使用用於目錄服務修復模式的管理員帳戶和密碼登錄。

該電腦將作為成員伺服器運行。但是，在該電腦上仍存在一些與網域控制器有關的剩餘文件和註冊表項。
6. 請刪除這些剩餘的檔和註冊表項。為此，請執行下列步驟：
a.  啟動“Active Directory 安裝嚮導”。
b.  安裝 Active Directory，將該電腦作為某個新的臨時域（如“psstemp.deleteme”）的網域控制器。

注意：請確保使該電腦成為不同的林中的網域控制器。
c.  安裝 Active Directory 後，再次啟動“Active Directory 安裝嚮導”，然後從網域控制器中刪除 Active Directory。
 
7. 從網域控制器中刪除 Active Directory 後，刪除留在該域中的元資料。

有關如何刪除此元資料的其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
216498 如何在網域控制器降級失敗後刪除 Active Directory 中的資料 

如果在刪除了 Active Directory 的電腦上的資源訪問控制項 (ACE) 是基於域本地組的，則可能必須重新配置這些許可權，因為這些組對成員伺服器或獨立伺服器來說是不可用的。如果您計畫在該電腦上安裝 Active Directory 以使其成為原來的域中的網域控制器，則您不必再配置訪問控制列表 (ACL)。如果您希望將該電腦保留為成員伺服器或獨立伺服器，則必須轉換或替換基於域本地組的任何許可權。

有關從網域控制器中刪除 Active Directory 後對許可權有何影響的其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
320230 網域控制器降級後影響許可權
狀態
Microsoft 已對運行 Windows 2000 或 Windows Server 2003 的網域控制器進行了測試，並且支持對這些網域控制器執行強制降級。
更多資訊
“Active Directory 安裝嚮導”會在基於 Windows 2000 的電腦和基於 Windows Server 2003 的電腦上創建 Active Directory 網域控制器。“Active Directory 安裝嚮導”所執行的操作包括安裝新服務、更改現有服務的啟動值以及將 Active Directory 轉換為安全和身份驗證領域。

通過強制降級，域管理員可以強制刪除 Active Directory 並回滾本地保存的系統更改，而無須與林中的其他網域控制器進行聯繫或者將本地保存的更改複製到林中的其他網域控制器。

由於強制降級會導致任何本地保存的更改丟失，如非絕對必要，請勿在生產域或測試域中使用強制降級。當無法解決連接、名稱解析、身份驗證或複製引擎相關項以致于無法執行正常降級時，您可以將網域控制器強制降級。強制降級的有效方案包括：
• 當您嘗試將直接子域中的最後一個網域控制器降級時，父域中當前沒有可用的網域控制器。
• 由於在執行詳細的疑難解答後存在無法解決的名稱解析、身份驗證、複製引擎或 Active Directory 物件相關項，因此“Active Directory 安裝嚮導”無法完成。
• 在 Tombstone 存留時間（默認的 Tombstone 存留時間為 60 天）內，網域控制器尚未為一個或多個命名上下文複製入站 Active Directory 更改。

重要說明：請不要恢復這類網域控制器，除非它們是恢復特定域的唯一選擇。
• 由於您必須立即將網域控制器投入使用，因此沒有足夠的時間進行更詳細的疑難解答。

強制降級在實驗和教學環境中可能非常有用，在這些環境中您可以刪除現有域中的網域控制器，卻不必按順序將每個網域控制器降級。

如果您將網域控制器強制降級，您將會丟失要強制降級的網域控制器的 Active Directory 中包含的任何獨特更改，這包括在您運行 dcpromo /forceremoval 命令之前沒有進行複製的對用戶、電腦、組、信任關係以及組策略或 Active Directory 配置所做的添加、刪除或修改。此外，您還將丟失對這些物件的任何屬性（如用戶密碼、電腦、信任關係以及組成員資格）所做的更改。

但是，如果您將網域控制器強制降級，您會將作業系統恢復到與域中的最後一個網域控制器成功降級時相同的狀態（包括服務啟動值和已安裝的服務，還包括對帳戶資料庫使用基於註冊表的 SAM 以及電腦是工作組的成員等方面）。降級的網域控制器中安裝的程式仍將繼續保持已安裝狀態。

“系統”事件日誌會以事件 ID 29234 標識出強制降級的 Windows 2000 網域控制器（以及 dcpromo /forceremoval 操作的實例）。例如：
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29234
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.“系統”事件日誌以事件 ID 29239 標識出強制降級的 Windows Server 2003 網域控制器。例如：
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29239
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.在您使用 dcpromo /forceremoval 命令後，在繼續存在的網域控制器上不會 刪除被降級的電腦的元資料。 有關其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
216498 如何在網域控制器降級失敗後刪除 Active Directory 中的資料
將網域控制器強制降級後，您必須完成以下任務（如果適用的話）：
1. 從域中刪除電腦帳戶。
2. 驗證 DNS 記錄（包括 A 記錄、CNAME 記錄和 SRV 記錄）是否已刪除；如果它們仍然存在，則將它們刪除。
3. 驗證 FRS 成員物件（FRS 和 DFS）是否已刪除；如果它們仍然存在，則將它們刪除。 有關其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
296183 FRS 使用的 Active Directory 物件的概述 
4. 如果被降級的電腦是任何安全組的成員，請將其從這些組中刪除。
5. 刪除對被降級的伺服器的任何 DFS 引用（鏈結或根副本）。
6. 繼續存在的網域控制器必須獲取以前由被強制降級的網域控制器所擁有的任何操作主機角色（也稱為靈活的單主機操作或 FSMO）。 有關其他資訊，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
255504 使用 Ntdsutil.exe 獲取 FSMO 角色或將其轉移到網域控制器 
7. 如果您要降級的網域控制器是 DNS 伺服器或全局編錄伺服器，則必須創建一個新的 GC 或 DNS 伺服器，以滿足林中的負載平衡、容錯和配置設置。 
8. 當您使用 NTDSUTIL 中的刪除選定伺服器命令時，NTDSDSA 物件（該物件是到您強制降級的網域控制器的入站連接的父物件）將被刪除。該命令不會刪除“站點和服務”管理單元中出現的父伺服器物件。如果不使用相同的電腦名將網域控制器提升到林中，請使用“Active Directory 站點和服務”MMC 管理單元刪除該伺服器物件。