�rove� �adi�� dom�ny nen� sn�ena p�i vynucen�m sn�en� �rovn� �adi�� dom�ny pomoc� Pr�vodce instalac� slu�by Active Directory v syst�mu Windows Server 2003 a Windows 2000 Server

�rove� �adi�� dom�ny nen� sn�ena p�i pou�it� Pr�vodce instalac� slu�by Active Directory (Dcpromo.exe) v syst�mu Microsoft Windows 2000 a Microsoft Windows Server 2003.

K tomuto chov�n� m��e doj�t, pokud se nezda�� po�adovan� operace nebo z�vislost. Mezi tyto operace pat�� s�ov� p�ipojen�, p�eklad n�zv�, ov��ov�n�, replikace adres��ov� slu�by Active Directory nebo um�st�n� d�le�it�ho objektu ve slu�b� Active Directory.

Chcete-li toto chov�n� vy�e�it, zjist�te, co br�n� �sp�n�mu sn�en� �rovn� �adi�� dom�ny se syst�mem Windows 2000 nebo Windows Server 2003, a pak se znovu pokuste sn�it �rove� �adi�e dom�ny pomoc� Pr�vodce instalac� slu�by Active Directory.

Jestli�e toto chov�n� nelze vy�e�it, m��ete pomoc� n�sleduj�c�ch �e�en� prov�st vynucen� sn�en� �rovn� �adi�e dom�ny a zachovat tak instalaci opera�n�ho syst�mu a ve�ker�ch jeho aplikac�.

Upozorn�n�: P�ed pou�it�m kter�hokoli z n�sleduj�c�ch postup� zkontrolujte, zda lze po��ta� �sp�n� spustit v re�imu obnoven� adres��ov�ch slu�eb. V opa�n�m p��pad� se nebude mo�n� po vynucen�m sn�en� �rovn� po��ta�e p�ihl�sit. Pokud si nepamatujete heslo re�imu obnoven� adres��ov�ch slu�eb, m��ete nastavit nov� heslo pomoc� n�stroje Setpwd.exe, kter� se nach�z� ve slo�ce Winnt\System32. V syst�mu Windows Server 2003 byly funkce n�stroje Setpwd.exe integrov�ny do p��kazu Set DSRM Password (Nastavit heslo DSRM) n�stroje NTDSUTIL. Dal�� informace o proveden� tohoto postupu najdete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:

�adi�e dom�ny se syst�mem Windows 2000

1. Nainstalujte opravu hotfix Q332199 do �adi�e dom�ny se syst�mem Windows 2000, kter� pou��v� aktualizaci Service Pack 2 (SP2) nebo nov�j��, nebo nainstalujte aktualizaci Windows 2000 Service Pack 4 (SP4). Aktualizace SP2 a nov�j�� verze podporuj� vynucen� sn�en� �rovn�. Potom po��ta� restartujte.
2. Klepn�te na tla��tko Start, klepn�te na p��kaz Spustit a pak zadejte n�sleduj�c� p��kaz:
   dcpromo /forceremoval
3. Klepn�te na tla��tko OK.
4. Na str�nce V�t� v�s Pr�vodce instalac� slu�by Active Directory klepn�te na tla��tko Dal��.
5. Pokud je odeb�ran� po��ta� serverem glob�ln�ho katalogu, v okn� zpr�vy klepn�te na tla��tko OK.
   
   Pozn�mka: Jestli�e je po��ta�, jeho� �rove� chcete sn�it, serverem glob�ln�ho katalogu, zvy�te podle pot�eby �rove� dal��ch glob�ln�ch katalog� v dom�nov� struktu�e nebo v lokalit�.
6. Na str�nce Odebrat slu�bu Active Directory zkontrolujte, zda je zru�eno za�krtnut� pol��ka Tento server je posledn�m �adi�em dom�ny, a potom klepn�te na tla��tko Dal��.
7. Na str�nce S�ov� pov��en� zadejte jm�no, heslo a n�zev dom�ny pro u�ivatelsk� ��et s pov��en�mi spr�vce rozlehl� s�t� v dom�nov� struktu�e a pak klepn�te na tla��tko Dal��.
8. Do pole Heslo spr�vce zadejte heslo a potvrzen� heslo, kter� chcete p�i�adit ��tu spr�vce v m�stn� datab�zi Spr�vce zabezpe�en� ��t�, a pak klepn�te na tla��tko Dal��.
9. Na str�nce Souhrn klepn�te na tla��tko Dal��.
10. Prove�te vymaz�n� metadat pro �adi� dom�ny se sn�enou �rovn� na zb�vaj�c�m �adi�i dom�ny v dom�nov� struktu�e.

Jestli�e jste odebrali dom�nu z dom�nov� struktury pomoc� p��kazu remove selected domain n�stroje Ntdsutil, ov��te p�edt�m, ne� zv���te �rove� nov� dom�ny se stejn�m n�zvem ve stejn� dom�nov� struktu�e, zda v�echny �adi�e dom�ny a servery glob�ln�ho katalogu v dom�nov� struktu�e odebraly v�echny objekty a odkazy na pr�v� odebranou dom�nu. Pomoc� n�stroj�, jako jsou nap��klad Replmon.exe nebo Repadmin ze sady N�stroje podpory syst�mu Windows 2000, m��ete zjistit, zda prob�hla �pln� replikace. Servery glob�ln�ho katalogu se syst�mem Windows 2000 SP3 a star��mi jsou p�i odeb�r�n� objekt� a kontext� n�zv� v�razn� pomalej�� ne� syst�m Windows Server 2003.

�adi�e dom�ny se syst�mem Windows Server 2003

1. �adi�e dom�ny se syst�mem Windows Server 2003 podporuj� vynucen� sn�en� �rovn�. Klepn�te na tla��tko Start, klepn�te na p��kaz Spustit a pak zadejte n�sleduj�c� p��kaz:
   dcpromo /forceremoval
2. Klepn�te na tla��tko OK.
3. Na str�nce V�t� v�s Pr�vodce instalac� slu�by Active Directory klepn�te na tla��tko Dal��.
4. Na str�nce Vynutit odebr�n� slu�by Active Directory klepn�te na tla��tko Dal��.
5. Do pole Heslo spr�vce zadejte heslo a potvrzen� heslo, kter� chcete p�i�adit ��tu spr�vce v m�stn� datab�zi Spr�vce zabezpe�en� ��t�, a pak klepn�te na tla��tko Dal��.
6. Na str�nce Souhrn klepn�te na tla��tko Dal��.
7. Prove�te vymaz�n� metadat pro �adi� dom�ny se sn�enou �rovn� na zb�vaj�c�m �adi�i dom�ny v dom�nov� struktu�e.

Jestli�e jste odebrali dom�nu z dom�nov� struktury pomoc� p��kazu remove selected domain n�stroje Ntdsutil, ov��te p�edt�m, ne� zv���te �rove� nov� dom�ny se stejn�m n�zvem ve stejn� dom�nov� struktu�e, zda v�echny �adi�e dom�ny a servery glob�ln�ho katalogu v dom�nov� struktu�e odebraly v�echny objekty a odkazy na pr�v� odebranou dom�nu. Servery glob�ln�ho katalogu se syst�mem Windows 2000 SP3 a star��mi jsou p�i odeb�r�n� objekt� a kontext� n�zv� v�razn� pomalej�� ne� syst�m Windows Server 2003.

Pokud byly polo�ky ��zen� p��stupu (ACE) v po��ta�i, ze kter�ho jste odebrali slu�bu Active Directory, zalo�eny na m�stn�ch skupin�ch dom�ny, bude pravd�podobn� nutn� tato opr�vn�n� p�ekonfigurovat, proto�e tyto skupiny nebudou k dispozici pro �lensk� nebo samostatn� servery. Jestli�e pl�nujete nainstalovat slu�bu Active Directory do po��ta�e a vytvo�it tak �adi� dom�ny v p�vodn� dom�n�, nebude ji� nutn� konfigurovat seznamy ��zen� p��stupu (ACL). Pokud chcete po��ta� ponechat jako �lensk� nebo samostatn� server, je t�eba p�elo�it nebo nahradit ve�ker� opr�vn�n� zalo�en� na m�stn�ch skupin�ch dom�ny. Dal�� informace o vlivu odstran�n� slu�by Active Directory z �adi�e dom�ny na opr�vn�n� z�sk�te v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:

Vylep�en� aktualizace Windows Server 2003 Service Pack 1

Aktualizace Windows Server 2003 SP1 zlep�uje proces dcpromo /forceremoval. Po spu�t�n� p��kazu dcpromo /forceremoval je zkontrolov�no, zda hostitel� �adi�e dom�ny maj� roli hlavn�ho opera�n�ho serveru, serveru DNS (Domain Name System) nebo serveru glob�ln�ho katalogu. Spr�vci se v p��pad� ka�d� role automaticky zobraz� p��slu�n� varov�n�, kter� doporu�� vhodn� postup.

Spole�nost Microsoft testovala a podporuje vynucen� sn�en� �rovn� �adi�� dom�ny spu�t�n�ch v syst�mu Windows 2000 nebo Windows Server 2003.

Pr�vodce instalac� slu�by Active Directory vytvo�� �adi�e dom�ny slu�by Active Directory v po��ta��ch se syst�my Windows 2000 a Windows Server 2003. Mezi operace prov�d�n� Pr�vodcem instalac� slu�by Active Directory pat�� instalace nov�ch slu�eb, zm�na hodnot spu�t�n� existuj�c�ch slu�eb a p�echod k slu�b� Active Directory jako ke sf��e zabezpe�en� a ov��ov�n�.

D�ky vynucen�mu sn�en� �rovn� m��e spr�vce dom�ny nucen� odebrat slu�bu Active Directory a vr�tit zp�t m�stn� udr�ovan� syst�mov� zm�ny, ani� by bylo nutn� nav�zat kontakt nebo replikovat ve�ker� m�stn� udr�ovan� zm�ny na jin� �adi� dom�ny v dom�nov� struktu�e.

Vynucen� sn�en� �rovn� zp�sob� ztr�tu v�ech m�stn� udr�ovan�ch zm�n. Pou��vejte je pouze jako posledn� mo�nost v provozn�ch nebo testovac�ch dom�n�ch. �rove� �adi�� dom�ny m��ete nucen� sn�it, pokud nelze vy�e�it pot�e s p�ipojen�m, p�ekladem n�zv�, ov��ov�n�m nebo z�vislostmi replika�n�ho stroje, a proto nelze prov�st nevynucen� sn�en� �rovn�. Mezi platn� situace, kdy je t�eba prov�st vynucen� sn�en� �rovn�, pat��:

• P�i pokusu o sn�en� �rovn� posledn�ho �adi�e dom�ny v bezprost�edn� pod��zen� dom�n� nejsou aktu�ln� k dispozici ��dn� �adi�e dom�ny v nad��zen� dom�n�.
• Pr�vodce instalac� slu�by Active Directory nelze dokon�it, proto�e po podrobn�m �e�en� pot�� z�st�vaj� pot�e s p�ekladem n�zv�, ov��ov�n�m, replika�n�m strojem nebo z�vislost� objektu slu�by Active Directory, kter� nelze vy�e�it.
• �adi� dom�ny nereplikoval p��choz� zm�ny slu�by Active Directory ur�en� parametrem TSL (Tombstone Lifetime; v�choz� hodnota je 60 dn�) u jednoho nebo v�ce kontext� n�zv�.
  
  D�le�it�: Takov� �adi�e dom�ny neobnovujte, pokud pro konkr�tn� dom�nu existuje jin� mo�nost obnoven�.
• Z �asov�ch d�vod� nelze prov�st podrobn�j�� �e�en� pot��, proto�e dan� �adi� dom�ny je t�eba okam�it� uv�st do provozu.

Vynucen� sn�en� �rovn� mohou b�t u�ite�n� v prost�ed�ch laborato�� nebo t��d, kde m��ete odebrat �adi�e dom�ny z existuj�c�ch dom�n, ale nen� nutn� s�riov� sn�it �rove� jednotliv�ch �adi�� dom�ny.

Jestli�e vynut�te sn�en� �rovn� �adi�e dom�ny, dojde ke ztr�t� v�ech jedine�n�ch zm�n, kter� jsou ulo�eny ve slu�b� Active Directory dan�ho �adi�e dom�ny. Mezi tyto zm�ny pat�� p�id�n�, odstran�n� nebo �pravy u�ivatel�, po��ta��, skupin, vztah� d�v�ryhodnosti a z�sad skupiny nebo konfigurace slu�by Active Directory, kter� jste p�ed spu�t�n�m p��kazu dcpromo /forceremoval nereplikovali. Dojde tak� ke ztr�t� zm�n ve�ker�ch atribut� u t�chto objekt�, nap��klad hesel pro u�ivatele a po��ta�e, vztah� d�v�ryhodnosti a �lenstv� ve skupin�ch.

Pokud v�ak vynut�te sn�en� �rovn� u �adi�e dom�ny, vr�t�te opera�n� syst�m do stejn�ho stavu jako p�i �sp�n�m sn�en� �rovn� posledn�ho �adi�e dom�ny v dom�n� (hodnoty spu�t�n� slu�eb, nainstalovan� slu�by, pou��v�n� funkce Spr�vce zabezpe�en� ��t� zalo�en� na registru pro datab�zi ��t�, �lenstv� po��ta�e v pracovn� skupin�). Programy nainstalovan� na �adi�i dom�ny se sn�enou �rovn� z�st�vaj� nainstalov�ny.

Protokol ud�lost� syst�mu identifikuje �adi�e dom�ny se syst�mem Windows 2000, u nich� byla nucen� sn�ena �rove�, a instance operace dcpromo /forceremoval podle ID ud�losti 29234. Nap��klad:

Typ ud�losti: Upozorn�n�
Zdroj ud�losti: lsasrv
Kategorie ud�losti: Nen� k dispozici
ID ud�losti: 29234
Datum: DD. MM. RRRR
�as: HH:MM:SS
U�ivatel: Neuvedeno
Po��ta�: n�zev_po��ta�e Popis: Tento server byl p�inucen sn�it �rove�. Nen� nad�le �adi�em dom�ny.

Protokol ud�lost� syst�mu identifikuje �adi�e dom�ny se syst�mem Windows Server 2003, u nich� byla nucen� sn�ena �rove�, podle ID ud�losti 29239. Nap��klad:

Typ ud�losti: Upozorn�n�
Zdroj ud�losti: lsasrv
Kategorie ud�losti: Nen� k dispozici
ID ud�losti: 29239
Datum: DD. MM. RRRR
�as: HH:MM:SS
U�ivatel: Neuvedeno
Po��ta�: n�zev_po��ta�e Popis: Tento server byl p�inucen sn�it �rove�. Nen� nad�le �adi�em dom�ny.

Po pou�it� p��kazu dcpromo /forceremovalnejsou metadata po��ta�e se sn�enou �rovn� odstran�na ze zb�vaj�c�ch �adi�� dom�ny. Dal�� informace naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base: Po vynucen�m sn�en� �rovn� �adi�e dom�ny je t�eba prov�st n�sleduj�c� kroky:

1. Odeberte ��et po��ta�e z dom�ny.
2. Ov��te, zda byly odebr�ny z�znamy DNS, nap��klad A, CNAME a SRV. Pokud existuj�, odeberte je.
3. Ov��te, zda byly odebr�ny �lensk� objekty slu�by FRS (FRS a DFS). Pokud existuj�, odeberte je. Dal�� informace naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
   296183

   (http://support.microsoft.com/kb/296183/ )

   P�ehled objekt� slu�by Active Directory pou��van�ch slu�bou FRS (Tento �l�nek m��e obsahovat odkazy na anglick� obsah (dosud nep�elo�en�).)
4. Pokud je po��ta� se sn�enou �rovn� �lenem n�kter�ch skupin zabezpe�en�, odeberte jej z t�chto skupin.
5. Odeberte v�echny odkazy DFS na server se sn�enou �rovn�, jako jsou propojen� nebo repliky ko�enov�ho adres��e.
6. Zachoval� �adi� dom�ny mus� p�evz�t ve�ker� role hlavn�ho opera�n�ho serveru, zn�m� tak� jako FSMO (Flexible Single Master Operations), kter� byly d��ve p�i�azeny k �adi�i dom�ny s nucen� sn�enou �rovn�. Dal�� informace naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
   255504

   (http://support.microsoft.com/kb/255504/ )

   P�evzet� nebo p�evod rol� FSMO na �adi� dom�ny pomoc� n�stroje Ntdsutil.exe (Tento �l�nek m��e obsahovat odkazy na anglick� obsah (dosud nep�elo�en�).)
7. Pokud �adi�e dom�ny, jeho� �rove� sni�ujete, je serverem DNS nebo serverem glob�ln�ho katalogu, je t�eba vytvo�it nov� server glob�ln�ho katalogu nebo server DNS, aby bylo zachov�no vyrovn�v�n� zat�en� s�t�, odolnost proti chyb�m a nastaven� konfigurace v dom�nov� struktu�e.
8. Pou�it�m p��kazu remove selected server n�stroje NTDSUTIL bude odebr�n objekt NTDSDSA, nad��zen� objekt pro p��choz� p�ipojen� k �adi�i dom�ny, jeho� �rove� jste nucen� sn�ili. Tento p��kaz neodebere objekty nad��zen�ho serveru, kter� se zobraz� v modulu snap-in S�t� a slu�by. Pomoc� modulu snap-in S�t� a slu�by Active Directory konzoly MMC odeberte objekt serveru, pokud �rove� �adi�e dom�ny nebude v dom�nov� struktu�e zv��ena se stejn�m n�zvem po��ta�e.