(源自網絡)控制器降級失敗後如何刪除 Active Directory 中的資料

1.命令行操作
Ntdsutil

Metadata cleanup

Connections

Conn to serv 電腦名

Quit

Sele oper target

List domains

Sele doma

Sele doma ?(此處為號碼)

List serv in site

Sele ser ?(此處為號碼)

Quit

Remo sele server

Quit

2.刪除DNS記錄

在 DNS 控制臺中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname(也稱為“別名”)記錄。為此,請展開“_msdcs”容器,右鍵單擊 cname,然後單擊“刪除”。
重要說明:如果這是一台 DNS 伺服器,請在名稱伺服器選項卡中刪除對該 DC 的引用。為此,在 DNS 控制臺中,在正向搜索區域下單擊該功能變數名稱,然後從名稱伺服器選項卡中刪除該伺服器。

3.ADSIEdit.msc

域NC-DC=功能變數名稱,DC=CN-OU=Domain Controllers刪除CN=網域控制器名稱

域NC-DC=功能變數名稱,DC=CN-CN=System-CN=File rep?-CN=Domain system vol?刪除CN=網域控制器名稱

4. 啟動“Active Directory 站點和服務” 展開“站點”展開伺服器的站點。默認站點為“Default-First-Site-Name” 展開“伺服器”右鍵單擊網域控制器,然後單擊刪除。

 

微軟原文:

過程

1. 單擊“開始”,指向“程式”,指向“附件”,然後單擊“命令提示符”。

2. 在命令提示符處,鍵入 ntdsutil,然後按 Enter 鍵。

3. 鍵入 metadata cleanup,然後按 Enter 鍵。根據所給出的選項,管理員可以執行刪除操作,但在實施刪除之前還必須指定另外一些配置參數。

4. 鍵入 connections,然後按 Enter 鍵。此功能表用於連接將發生這些更改的具體伺服器。如果當前登錄的用戶沒有管理許可權,可以在建立連接之前指定要使用的替代憑據。為此,請鍵入 set creds DomainNameUserNamePassword,然後按 Enter 鍵。如果密碼為空,則鍵入 null 作為密碼參數。

5. 鍵入 connect to server servername,然後按 Enter 鍵。然後出現一條確認消息,說明已成功建立該連接。如果出現錯誤,則確認連接中所用的網域控制器是否可用,以及您提供的憑據對該伺服器是否有管理許可權。

 

注意:如果嘗試連接的伺服器正是要刪除的伺服器,那麼在嘗試刪除第 15 步提到的伺服器時,將顯示以下錯誤資訊:

Error 2094. The DSA Object cannot be deleted0x2094

6. 鍵入 quit,然後按 Enter 鍵。將出現清除元資料功能表。

7. 鍵入 select operation target,然後按 Enter 鍵。

8. 鍵入 list domains,然後按 Enter 鍵。將顯示一個列出目錄林中所有域的列表,每一個域都有一個關聯的編號。

9. 鍵入 select domain number,然後按 Enter 鍵;其中 number 是與要刪除的域相關聯的編號。您選擇的域用於確定要刪除的伺服器是否為該域的最後一個網域控制器。

10. 鍵入 list sites,然後按 Enter 鍵。將顯示一個站點列表,每個站點都有一個關聯的編號。

11. 鍵入 select site number,然後按 Enter 鍵;其中 number 是與要刪除的域相關聯的編號。將出現一條確認消息,其中列出了所選的站點和域。

12. 鍵入 list servers in site,然後按 Enter 鍵。將顯示一個列出站點中所有伺服器的列表,每個伺服器都有一個關聯的編號。

13. 鍵入 select server number,其中 number 是與要刪除的伺服器關聯的編號。將出現一條確認消息,其中列出所選的伺服器、該伺服器的功能變數名稱伺服器 (DNS) 主機名,以及要刪除的伺服器的電腦帳戶的位置。

14. 鍵入 quit,然後按 Enter 鍵。將出現清除元資料功能表。

15. 鍵入 remove selected server,然後按 Enter 鍵。將出現一條確認消息,說明刪除成功完成。如果出現以下錯誤資訊:

Error 8419 (0x20E3)

The DSA object could not be found

則說明“NTDS 設置”物件可能已從 Active Directory 中刪除,原因是其他管理員刪除了該“NTDS 設置”物件,或者在運行 DCPROMO 實用工具成功刪除物件後再執行一次此操作。

 

注意:嘗試綁定到要刪除的網域控制器時,也可能會出現此錯誤。Ntdsutil 必須綁定到要用 metadata cleanup 刪除的網域控制器以外的其他網域控制器。

16. 在每個功能表中鍵入 quit,退出 NTDSUTIL 實用工具。將出現一條確認消息,說明連接已成功斷開。

17. 在 DNS 的 _msdcs.root domain of forest 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC,因此使用新的 GUID 和 DNS 中匹配的 cname 記錄來創建新的“NTDS 設置”物件。您不希望現有 DC 使用舊的 cname 記錄。

 

最佳做法是刪除主機名和其他 DNS 記錄。如果已超出為脫機伺服器分配的動態主機配置協定 (DHCP) 位址上所剩的租用時間,另一個用戶端即可獲得問題 DC 的 IP 地址。

既然“NTDS 設置”物件已刪除,因此可以刪除電腦帳戶、FRS 成員物件、_msdcs 容器中的 cname(或別名)記錄、DNS 中的 A(或主機)記錄、已刪除的子域的 trustDomain 物件以及網域控制器。

 

Windows 2000 Server 和 Windows Server 2003 的 Windows 支援工具功能中都附帶有 Adsiedit 實用工具。要安裝 Windows 支援工具,請按照下列步驟操作:• Windows 2000 Server:在 Windows 2000 Server 安裝光碟上,打開 Support\Tools 檔夾,雙擊“Setup.exe”,然後按照螢幕上的說明操作。

• Windows Server 2003:在 Windows Server 2003 安裝光碟上,打開 Support\Tools 檔夾,雙擊“Suptools.msi”,單擊“安裝”,然後按照 Windows 支援工具安裝嚮導中的步驟操作以完成安裝。

1. 使用 ADSIEdit 刪除電腦帳戶。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain Name, DC=COM, PRI, LOCAL, NET”。

d. 展開“OU=Domain Controllers”。

e. 右鍵單擊“CN=domain controller name”,然後單擊“刪除”。

如果在試圖刪除 DSA 物件時出現“DSA object cannot be deleted”錯誤資訊,請更改 UserAccountControl 值。要更改 UserAccountControl 值,請在 ADSIEdit 中右鍵單擊該網域控制器,然後單擊“屬性”。在“請選擇要查看的屬性”下,單擊“UserAccountControl”。單擊“清除”,將該值更改為 4096,然後單擊“設置”。現在您可以刪除該物件了。

注意:刪除電腦物件時,也將刪除 FRS 訂戶物件,因為它是電腦帳戶的子物件。

2. 使用 ADSIEdit 刪除 FRS 成員物件。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。

d. 展開“CN=System”。

e. 展開“CN=File Replication Service”。

f. 展開“CN=Domain System Volume (SYSVOL share)”。

g. 右鍵單擊要刪除的網域控制器,然後單擊刪除。

 3. 在 DNS 控制臺中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname(也稱為“別名”)記錄。為此,請展開“_msdcs”容器,右鍵單擊 cname,然後單擊“刪除”。

重要說明:如果這是一台 DNS 伺服器,請在名稱伺服器選項卡中刪除對該 DC 的引用。為此,在 DNS 控制臺中,在正向搜索區域下單擊該功能變數名稱,然後從名稱伺服器選項卡中刪除該伺服器。

注意:如果有反向搜索區域,也要將伺服器從這些區域中刪除。

4. 如果刪除的電腦是子域中的最後一個網域控制器,而且該子域也已刪除,則使用 ADSIEdit 刪除該子域的 trustDomain 物件。為此,請按照下列步驟操作: a. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。

b. 展開“域 NC”容器。

c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。

d. 展開“CN=System”。

e. 右鍵單擊“Trust Domain”物件,然後單擊“刪除”。

 5. 使用“Active Directory 站點和服務”刪除網域控制器。為此,請按照下列步驟操作: a. 啟動“Active Directory 站點和服務”。

b. 展開“站點”。

c. 展開伺服器的站點。默認站點為“Default-First-Site-Name”。

d. 展開“伺服器”。

e. 右鍵單擊網域控制器,然後單擊刪除。

 另外,請考慮以下幾點:• 如果刪除的網域控制器曾經是一台全局編錄伺服器,請評估指向這台脫機全局編錄伺服器的應用程式伺服器是否必須指向一台活動的全局編錄伺服器。

• 如果刪除的 DC 曾經是一台全局編錄伺服器,請評估是否必須提升其他全局編錄,以解決站點、域或林全局編錄的負載問題。

• 如果刪除的 DC 曾經擔任 Flexible Single Master Operation (FSMO) 角色,請將這些角色重新分配給一台活動 DC。

• 如果刪除的 DC 曾經是一台 DNS 伺服器,請更新所有成員工作站、成員伺服器以及其他可能使用過這台 DNS 伺服器進行名稱解析的 DC 上的 DNS 用戶端配置。如果需要,請修改 DHCP 作用域,以反映出 DNS 伺服器已刪除。

• 如果刪除的 DC 曾經是一台 DNS 伺服器,請更新所有其他可能指向該 DC 以進行名稱解析的 DNS 伺服器上的轉發器設置和委派設置。