Domänencontroller können durch Verwendung des Active Directory-Installationsassistenten für eine erzwungene Herabstufung in Windows Server 2003 und Windows 2000 Server nicht herabgestuft werden

Microsoft Windows 2000 oder Microsoft Windows Server 2003-Domänencontroller können durch Verwendung des Active Directory-Installationsassistenten (Dcpromo.exe) nicht herabgestuft werden.

Dieses Verhalten tritt auf, wenn eine erforderliche Abhängigkeit oder ein erforderlicher Vorgang fehlschlägt. Dazu gehören die Netzwerkverbindung, die Namensauflösung, die Authentifizierung, die Active Directory-Replikation oder der Speicherort eines wichtigen Objekts in Active Directory.

Um dieses Problem zu beheben, müssen Sie bestimmen, wodurch die Herabstufung der Windows 2000- oder Windows Server 2003-Domänencontroller verhindert wird und anschließend versuchen, die Domänencontroller durch erneute Verwendung des Active Directory-Installationsassistenten herabzustufen.

Wenn dieses Problem nicht behoben werden kann, können Sie die folgende Abhilfe verwenden, um eine erzwungene Herabstufung der Domänencontroller auszuführen, um die Installation des Betriebssystems und der Programme beizubehalten.

Achtung: Vergewissern Sie sich, dass Sie erfolgreich in den Modus Verzeichnisdienste wiederherstellen starten können, bevor Sie eine der folgenden Workarounds anwenden. Andernfalls kann sich der Benutzer nach einer erzwungenen Herabstufung des Computers nicht anmelden. Wenn er sich nicht an das Kennwort der Verzeichnisdienstwiederherstellung erinnert, kann er das Kennwort durch Verwendung des Dienstprogramms "Setpwd.exe" im Ordner "Winnt\System32" zurücksetzen. In Windows Server 2003 wurden die Funktionen des Tools "Setpwd.exe" durch den Befehl Set DSRM Password in das Tool "NTDSUTIL" integriert. Weitere Informationen zu diesem Vorgehen finden Sie in folgendem Artikel der Microsoft Knowledge Base:

Windows 2000-Domänencontroller

1. Installieren Sie den Hotfix "Q332199" auf einem Windows 2000-Domänencontroller, auf dem Service Pack 2 (SP2) oder eine höhere Version ausgeführt wird, oder installieren Sie Windows 2000 Service Pack 4 (SP4). In SP2 und in höheren Versionen wird eine erzwungene Herabstufung unterstützt. Starten Sie anschließend den Computer neu.
2. Klicken Sie auf Start und auf Ausführen, und führen Sie anschließend den folgenden Befehl aus:
   dcpromo /forceremoval
3. Klicken Sie auf OK.
4. Klicken Sie auf der Seite Willkommen auf Weiter.
5. Wenn es sich bei dem Computer, den Sie entfernen, um einen globalen Katalogserver handelt, klicken Sie in dem Meldungsfenster auf OK.
   
   Hinweis: Stufen Sie, falls nötig, zusätzliche globale Kataloge in der Gesamtstruktur oder auf der Site höher, wenn es sich bei dem Domänencontroller, den Sie herabstufen, um einen globalen Katalogserver handelt.
6. Vergewissern Sie sich auf der Seite Active Directory entfernen, dass das Kontrollkästchen Dieser Server ist der letzte Domänencontroller in der Domäne deaktiviert ist, und klicken Sie anschließend auf Weiter.
7. Geben Sie auf der Seite Sicherheitsinformationen für das Netzwerk den Namen, das Kennwort und den Domänennamen für ein Benutzerkonto mit Unternehmensadministratorinformationen in der Gesamtstruktur ein, und klicken Sie auf Weiter.
8. Geben Sie als Administratorkennwort das Kennwort sowie das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie auf Weiter.
9. Klicken Sie auf der Seite Zusammenfassung auf Weiter.
10. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem noch existierenden Domänencontroller in der Gesamtstruktur durch.

Wenn Sie eine Domäne aus der Gesamtstruktur mithilfe des Befehls remove selected domain in "Ntudsutil" entfernt haben, überprüfen Sie, dass alle Domänencontroller sowie die globalen Katalogserver in der Gesamtstruktur alle Objekte und Verweise auf die Domäne entfernt haben, die Sie soeben gelöscht haben, bevor Sie eine neue Domäne mit dem gleichen Domänennamen in die gleiche Gesamtstruktur höher stufen. Tools, z. B. "Replmon.exe" oder "Repadmin.exe", aus den Windows 2000-Supporttools helfen Ihnen dabei zu bestimmen, ob eine Endpunktreplikation aufgetreten ist. Windows 2000 SP3- und frühere globale Katalogserver sind deutlich langsamer beim Entfernen von Objekten und Umbenennen von Kontexten als Windows Server 2003.

Windows 2003-Domänencontroller

1. Standardmäßig unterstützen Windows Server 2003-Domänencontroller erzwungene Herabstufungen. Klicken Sie auf Start und auf Ausführen, und führen Sie anschließend den folgenden Befehl aus:
   dcpromo /forceremoval
2. Klicken Sie auf OK.
3. Klicken Sie auf der Seite Willkommen auf Weiter.
4. Klicken Sie auf der Seite Entfernen von Active Directory erzwingen auf Weiter.
5. Geben Sie als Administratorkennwort das Kennwort sowie das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie auf Weiter.
6. Klicken Sie unter Zusammenfassung auf Weiter.
7. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem noch existierenden Domänencontroller in der Gesamtstruktur durch.

Wenn Sie eine Domäne aus der Gesamtstruktur mithilfe des Befehls remove selected domain in "Ntudsutil" entfernt haben, überprüfen Sie, dass alle Domänencontroller sowie die globalen Katalogserver in der Gesamtstruktur alle Objekte und Verweise auf die Domäne entfernt haben, die Sie soeben gelöscht haben, bevor Sie eine neue Domäne mit dem gleichen Domänennamen in die gleiche Gesamtstruktur höher stufen. Windows 2000 Service Pack 3 (SP3) und frühere globale Katalogserver sind deutlich langsamer beim Entfernen von Objekten und Umbenennen von Kontexten als Windows Server 2003.

Falls die ACEs (Access Control Entries) für Ressourcen auf dem Computer, bei dem Active Directory entfernt wurde, auf lokalen Domänengruppen basieren, müssen die Berechtigungen möglicherweise neu konfiguriert werden, da diese Gruppen nicht für Mitglieds- oder Stand-Alone-Server verfügbar sind. Falls Sie planen Active Directory zu installieren, um den Computer als Domänencontroller für die ursprüngliche Domäne zu machen, müssen Sie die ACLs (Access Control Lists) nicht konfigurieren. Falls Sie den Computer als Mitglieds- oder Stand-Alone-Server belassen möchten, müssen die Berechtigungen übertragen oder erwetzt werden, die auf lokalen Gruppen der Domäne basieren. Weitere Informationen zu den Auswirkungen einer Deinstallation von Active Directory auf die Berechtigungen auf einem Domänencontroller finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Erweiterungen für Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 verbessert den dcpromo /forceremoval-Vorgang. Nachdem der Befehl dcpromo /forceremoval ausgeführt wurde, wird überprüft, ob der Domänencontroller die Funktion des Betriebsmasters hostet, oder als DNS (Domain Name System)-Server bzw. als globaler Katalogserver agiert. Für jede dieser Funktionen, erhält der Administrator eine Popup-Warnmeldung, die den Administrator auffordert, entsprechende Maßnahmen zu ergreifen.

Microsoft hat die erzwungene Herabstufung von Domänencontrollern getestet, die auf Windows 2000 oder Windows Server 2003 ausgeführt werden, und unterstützt diese.

Der Active Directory Installationsassistent erstellt Active Directory-Domänencontroller auf Windows 2000- und Windows Server 2003-Computern. Zu den Vorgängen, die durch den Active Directory-Installationsassistenten ausgeführt werden, gehören die Installation neuer Dienste, Änderungen an den Startwerten vorhandener Dienste sowie der Übergang zu Active Directory als Sicherheits- und Authentifizierungsbereich.

Bei einer erzwungenen Herabstufung kann ein Domänencontroller Active Directory erzwungenermaßen entfernen und lokale Systemänderungen zurücksetzen, ohne lokale Änderungen an andere Domänencontroller in der Gesamtstruktur zu melden oder zu replizieren.

Da sich erzwungene Herabstufungen in dem Verlust lokaler Änderungen auswirken, sollten Sie diese nur als letzten Ausweg bei Produktions- oder Testdomänen verwenden. Sie können Domänencontroller erzwungenermaßen herabstufen, wenn die Konnektivität, die Namensauflösung, die Authentifizierung oder die Replikationsdienstabhängigkeiten nicht aufgelöst werden können und eine "freiwillige" Herabstufung durchgeführt werden kann. Zu gültigen Szenarien für erzwungene Herabstufungen gehören:

• Derzeit sind keine Domänencontroller in der übergeordneten Domäne verfügbar, wenn Sie versuchen, den letzten Domänencontroller in eine direkte untergeordnete Domäne herabzustufen.
• Der Active Directory-Installationsassistent kann nicht abgeschlossen werden, da es Namensauflösungs-, Authentifizierungs-, Replikationsmodul- oder Active Directory-Objektabhängigkeiten gibt, die nicht aufgelöst werden können, nachdem Sie eine ausführliche Problembehandlung durchgeführt haben.
• Ein Domänencontroller hat während der Tombstone-Lebensdauer (standardmäßig 60 Tage) keine eingehenden Änderungen für einen oder mehrere Namenskontexte repliziert.
  
  Wichtig: Stellen Sie derartige Domänencontroller nicht wieder her, außer dies ist die einzige Möglichkeit, eine bestimmte Domäne wiederherzustellen.
• Aufgrund der Zeitbeschränkung ist eine ausführlichere Problembehandlung nicht möglich, da Sie den Domänencontroller unmittelbar in Betrieb nehmen müssen.

Erzwungene Herabstufungen können in Umgebungen in einem Labor und in einem Klassenzimmer hilfreich sein, aus denen Sie Domänencontroller aus vorhandenen Domänen entfernen können, Sie müssen jedoch nicht jeden Domänencontroller seriell herabstufen.

Wenn Sie die Herabstufung eines Domänencontrollers erzwingen, gehen alle eindeutigen Änderungen in dem Active Directory des Domänencontrollers, das Sie erzwungenermaßen herabstufen, verloren. Dies schließt alle Hinzufügungen, Löschungen oder Änderungen von Benutzern, Computern, Gruppen, Vertrauensstellungen sowie Gruppenrichtlinien- oder Active Directory-Konfigurationen ein, die nicht repliziert wurden, bevor Sie den Befehl dcpromo /forceremoval ausgeführt haben. Außerdem gehen Änderungen an einem der Attribute dieser Objekte verloren, z. B. Kennwörter für Benutzer, Computer sowie Vertrauensstellungen und Gruppenmitgliedschaften.

Wenn Sie jedoch die Herabstufung eines Domänencontrollers erzwingen, kehrt das Betriebssystem in einen Zustand zurück, der der gleiche ist wie bei einer erfolgreichen Herabstufung des letzten Domänencontrollers in einer Domäne (Startwerte, installierte Dienste, Verwendung einer registrierungsbasierten Sicherheitskontenverwaltung [SAM] für die Kontodatenbank, Computer ist Mitglied einer Arbeitsgruppe). Programme, die auf dem herabgestuften Domänencontroller installiert sind, bleiben installiert.

Das Systemereignisprotokoll erkennt erzwungenermaßen herabgestufte Windows 2000-Domänencontroller (und Instanzen des Vorgangs dcpromo /forceremoval an der Ereigniskennung 29234. Beispielsweise:

Typ: Warnung
Quelle: lsasrv
Kategorie: Keine
Ereignis-ID: 29234
Datum: MM/TT/JJJJ
Uhrzeit: HH:MM:SS
Benutzer: Nicht zutreffend
Computer: Computername Beschreibung: Dieser Server wurde heruntergestuft. Er ist kein Domänencontroller mehr.

Das Systemereignisprotokoll erkennt erzwungenermaßen herabgestufte Windows Server 2003-Domänencontroller an der Ereignis-ID 29239. Beispielsweise:

Typ: Warnung
Quelle: lsasrv
Kategorie: Keine
Ereignis-ID: 29239
Datum: MM/TT/JJJJ
Uhrzeit: HH:MM:SS
Benutzer: Nicht zutreffend
Computer: Computername Beschreibung: Dieser Server wurde heruntergestuft. Er ist kein Domänencontroller mehr.

Nach Verwendung des Befehls dcpromo /forceremoval werden Metadaten des herabgestuften Computers nicht auf den weiterhin bestehenden Domänencontrollern gelöscht. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base: Nach dem Herabstufen eines Domänencontrollers müssen Sie Folgendes ausführen:

1. Entfernen Sie das Computerkonto aus der Domäne.
2. Stellen Sie sicher, dass die DNS-Einträge, z. B. A, CNAME und SRV-Einträge entfernt sind bzw. entfernen Sie sie, falls vorhanden.
3. Stellen Sie sicher, dass Sie FRS-Mitgliedsobjekte (FRS und DFS) entfernt sind, bzw. entfernen Sie sie, falls vorhanden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
   296183  (http://support.microsoft.com/kb/296183/DE/ ) Übersicht Active Directory-Objekte, die von FRS verwandt werden
4. Wenn der herabgestufte Computer Mitglied in Sicherheitsgruppen ist, müssen Sie ihn aus diesen Gruppen entfernen.
5. Entfernen Sie alle DFS-Verweise auf den herabgestuften Server wie beispielsweise Links oder Stammreplikas.
6. Ein weiterhin bestehender Domänencontroller muss alle Rollen eines Betriebsmasters (auch bekannt als Flexible Single Master Operations oder FSMO) übernehmen, die zuvor im Besitz des herabgestuften Domänencontrollers waren. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
   255504  (http://support.microsoft.com/kb/255504/DE/ ) Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe"
7. Wenn der Domänencontroller, den Sie herabstufen, ein DNS-Server oder ein globaler Katalogserver ist, müssen Sie einen neuen GC- oder DNS-Server erstellen, um den Lastenausgleich, die Fehlertoleranz sowie die Konfigurationseinstellungen in der Gesamtstruktur auszugleichen.
8. Wenn Sie den Befehl remove selected server in "NTDSUTIL" verwenden, wird das NTDSDSA-Objekt (das übergeordnete Objekt für eingehende Verbindungen mit dem Domänencontroller, den Sie erzwungenermaßen herabgestuft haben) entfernt. Durch den Befehl werden die übergeordneten Serverobjekte im Snap-In "Standorte und Dienste" nicht entfernt. Verwenden Sie das MMC-Snap-In "Active Directory-Standorte und -Dienste", um das Serverobjekt zu entfernen, falls der Domänencontroller nicht mit dem gleichen Computernamen in die Gesamtstruktur heraufgestuft wird.