Domänencontroller werden nicht ordnungsgemäß herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um eine Herabstufung zu erzwingen

  • Artikel

Dieser Artikel bietet eine Problemumgehung für ein Problem, bei dem Domänencontroller nicht herabstufen, wenn Sie den Active Directory-Installations-Assistenten (Dcpromo.exe) verwenden, um eine Herabstufung zu erzwingen.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 332199

Symptome

Microsoft Windows 2000- oder Microsoft Windows Server 2003-Domänencontroller können mithilfe des Active Directory-Installations-Assistenten (Dcpromo.exe) möglicherweise nicht ordnungsgemäß herabstufen.

Ursache

Dieses Verhalten kann auftreten, wenn eine erforderliche Abhängigkeit oder ein Vorgang fehlschlägt. Dazu gehören Netzwerkkonnektivität, Namensauflösung, Authentifizierung, Active Directory-Verzeichnisdienstreplikation oder der Speicherort eines kritischen Objekts in Active Directory.

Lösung

Um dieses Verhalten zu beheben, bestimmen Sie, was die ordnungsgemäße Herabstufung des Windows 2000- oder Windows Server 2003-Domänencontrollers verhindert, und versuchen Sie dann erneut, den Domänencontroller mithilfe des Active Directory-Installations-Assistenten zu herabstufen.

Hinweis

Für Windows Server 2008 ist der Verzeichnisdienst-Wiederherstellungsmodus (DsRM) mit einer Ausnahme gegenüber Windows Server 2003 unverändert. In Windows Server 2008 können Sie den dcpromo/forceremoval Befehl ausführen, um AD DS erzwungen von einem Domänencontroller zu entfernen, der in dsRM gestartet wird, genau wie im Status "AD DS beendet". Ein Domänencontroller muss weiterhin in dsRM gestartet werden, um Systemzustandsdaten aus einer Sicherung wiederherzustellen. Weitere Informationen dazu finden Sie unter Schritt-für-Schritt-Anleitung zum Neustarten von AD DS.

Problemumgehung

Wenn Sie das Verhalten nicht beheben können, können Sie die folgenden Problemumgehungen verwenden, um eine erzwungene Herabstufung des Domänencontrollers durchzuführen, um die Installation des Betriebssystems und aller darauf aufrechterhaltenen Anwendungen beizubehalten.

Warnung

Bevor Sie eine der folgenden Problemumgehungen verwenden, stellen Sie sicher, dass sie erfolgreich im Wiederherstellungsmodus der Verzeichnisdienste gestartet werden kann. Andernfalls können Sie sich nicht mehr anmelden, nachdem Sie den Computer erzwungen herunterstufen. Wenn Sie sich nicht an das Kennwort für den Wiederherstellungsmodus der Verzeichnisdienste erinnern, können Sie das Kennwort mithilfe des Hilfsprogramms Setpwd.exe zurücksetzen, das Winnt\System32 sich im Ordner befindet. In Windows Server 2003 wurde die Funktionalität des Hilfsprogramms Setpwd.exe in den Befehl DsRM-Kennwort festlegen des NTDSUTIL-Tools integriert.

Windows 2000-Domänencontroller

  1. Installieren Sie den Q332199 Hotfix auf einem Windows 2000-Domänencontroller, auf dem Service Pack 2 (SP2) oder eine höhere Version ausgeführt wird, oder installieren Sie Windows 2000 Service Pack 4 (SP4). SP2 und höhere Versionen unterstützen erzwungene Herabstufung. Starten Sie dann Ihren Computer neu.

  2. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann den folgenden Befehl ein: dcpromo /forceremoval.

  3. Klicken Sie auf OK.

  4. Klicken Sie auf der Seite Willkommen beim Active Directory-Installations-Assistenten auf Weiter.

  5. Wenn es sich bei dem Computer, den Sie entfernen, um einen globalen Katalogserver handelt, klicken Sie im Meldungsfenster auf OK .

    Hinweis

    Stufen Sie zusätzliche globale Kataloge in der Gesamtstruktur oder am Standort höher, wenn es sich bei dem Domänencontroller, den Sie herabstufen, um einen globalen Katalogserver handelt.

  6. Stellen Sie auf der Seite Active Directory entfernen sicher, dass das Kontrollkästchen Dieser Server ist der letzte Domänencontroller in der Domäne deaktiviert ist, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Netzwerkanmeldeinformationen den Namen, das Kennwort und den Domänennamen für ein Benutzerkonto mit Unternehmensadministratoranmeldeinformationen in der Gesamtstruktur ein, und klicken Sie dann auf Weiter.

  8. Geben Sie unter Administratorkennwort das Kennwort und das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf der Seite Zusammenfassung auf Weiter.

  10. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem überlebenden Domänencontroller in der Gesamtstruktur durch.

Wenn Sie mithilfe des Befehls ausgewählte Domäne entfernen in Ntdsutil eine Domäne aus der Gesamtstruktur entfernt haben, überprüfen Sie, ob alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur alle Objekte und Verweise auf die Domäne entfernt haben, die Sie gerade entfernt haben, bevor Sie eine neue Domäne in dieselbe Gesamtstruktur mit demselben Domänennamen heraufstufen. Tools wie Replmon.exe oder Repadmin.exe von Windows 2000-Supporttools können Ihnen helfen, festzustellen, ob eine End-to-End-Replikation stattgefunden hat. Windows 2000 SP3 und frühere globale Katalogserver sind deutlich langsamer beim Entfernen von Objekten und Benennen von Kontexten als Windows Server 2003.

Windows Server 2003-Domänencontroller

  1. Standardmäßig unterstützen Windows Server 2003-Domänencontroller die erzwungene Herabstufung. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann den folgenden Befehl ein: dcpromo /forceremoval.

  2. Klicken Sie auf OK.

  3. Klicken Sie auf der Seite Willkommen beim Active Directory-Installations-Assistenten auf Weiter.

  4. Klicken Sie auf der Seite Entfernen von Active Directory erzwingen auf Weiter.

  5. Geben Sie unter Administratorkennwort das Kennwort und das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie dann auf Weiter.

  6. Klicken Sie unter Zusammenfassung auf Weiter.

  7. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem überlebenden Domänencontroller in der Gesamtstruktur durch.

Wenn Sie mithilfe des Befehls ausgewählte Domäne entfernen in Ntdsutil eine Domäne aus der Gesamtstruktur entfernt haben, überprüfen Sie, ob alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur alle Objekte und Verweise auf die Domäne entfernt haben, die Sie gerade entfernt haben, bevor Sie eine neue Domäne in dieselbe Gesamtstruktur mit demselben Domänennamen heraufstufen. Windows 2000 Service Pack 3 (SP3) und frühere globale Katalogserver sind deutlich langsamer beim Entfernen von Objekten und Benennungskontexten als Windows Server 2003.

Wenn Ressourcenzugriffssteuerungseinträge (ACEs) auf dem Computer, von dem Sie Active Directory entfernt haben, auf lokalen Domänengruppen basieren, müssen diese Berechtigungen möglicherweise neu konfiguriert werden, da diese Gruppen nicht für Mitgliedsserver oder eigenständige Server verfügbar sind. Wenn Sie Active Directory auf dem Computer installieren möchten, um ihn zu einem Domänencontroller in der ursprünglichen Domäne zu machen, müssen Sie keine Zugriffssteuerungslisten (Access Control Lists, ACLs) mehr konfigurieren. Wenn Sie den Computer lieber als Mitglied oder eigenständigen Server belassen möchten, müssen alle Berechtigungen, die auf lokalen Domänengruppen basieren, übersetzt oder ersetzt werden.

Verbesserungen an Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 verbessert den dcpromo /forceremoval Prozess. Wenn dcpromo /forceremoval ausgeführt wird, wird überprüft, ob der Domänencontroller einen Vorgang master Rolle hostet, ein DNS-Server (Domain Name System) oder ein globaler Katalogserver ist. Für jede dieser Rollen erhält der Administrator eine Popupwarnung, die den Administrator angibt, geeignete Maßnahmen zu ergreifen.

Wenn der Domänencontroller nicht im normalen Modus gestartet werden kann

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Wichtig

Führen Sie diese Schritte nur als letztes Mittel aus, wenn der Domänencontroller nicht im normalen Modus gestartet werden kann.

Führen Sie die folgenden Schritte aus, um Active Directory von einem Domänencontroller zu entfernen:

  1. Starten Sie den Computer neu, und drücken Sie dann F8, um das Windows 2000-Menü Erweiterte Optionen anzuzeigen.

  2. Wählen Sie Verzeichnisdienste-Wiederherstellungsmodus aus, drücken Sie die EINGABETASTE, und drücken Sie dann erneut die EINGABETASTE, um den Neustart fortzusetzen.

  3. Ändern Sie den ProductType-Eintrag in der Registrierung. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

    2. Suchen Sie den Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions.

    3. Doppelklicken Sie im rechten Bereich auf ProductType.

    4. Geben Sie serverNT in das Feld Wertdaten ein, und klicken Sie dann auf OK.

      Hinweis

      Wenn dieser Wert nicht richtig festgelegt oder falsch geschrieben ist, erhalten Sie möglicherweise die folgende Fehlermeldung: Systemprozess – Lizenzverletzung: Das System hat eine Manipulation ihres registrierten Produkttyps erkannt. Dies ist ein Verstoß gegen Ihre Softwarelizenz. Die Manipulation des Produkttyps ist nicht zulässig.

    5. Schließen Sie den Registrierungs-Editor.

  4. Starten Sie den Computer neu.

  5. Melden Sie sich mit dem Administratorkonto und dem Kennwort an, das für den Reparaturmodus des Verzeichnisdiensts verwendet wird.

    Der Computer verhält sich als Mitgliedsserver. Es sind jedoch noch einige Dateien und Registrierungseinträge auf dem Computer vorhanden, die dem Domänencontroller zugeordnet sind.

  6. Starten Sie die Registrierungs-Editor, und suchen Sie den Registrierungseintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

    Wenn ein Eintrag für Src Root Domain Srv vorhanden ist, klicken Sie mit der rechten Maustaste auf den Wert, und klicken Sie dann auf Löschen. Dieser Wert muss gelöscht werden, damit sich der Domänencontroller nach der Heraufstufung als einziger Domänencontroller in der Domäne versteht.

    Wichtig

    Der obige Schritt ist wichtig. Ohne sie wird die erneute Heraufstufung in die temporäre AD-Gesamtstruktur nicht abgeschlossen, und Sie können sich nicht beim Domänencontroller anmelden.

  7. Entfernen Sie die verbleibenden Dateien und Registrierungseinträge. Gehen Sie dazu wie folgt vor:

    1. Starten Sie den Active Directory-Installations-Assistenten.

    2. Installieren Sie Active Directory, um den Computer zu einem Domänencontroller für eine neue temporäre Domäne wie psstemp.deleteme zu machen.

      Hinweis

      Stellen Sie sicher, dass Sie den Computer als Domänencontroller in einer anderen Gesamtstruktur festlegen.

    3. Starten Sie nach der Installation von Active Directory den Active Directory-Installations-Assistenten erneut, und entfernen Sie Dann Active Directory vom Domänencontroller.

  8. Nachdem Sie Active Directory von einem Domänencontroller entfernt haben, entfernen Sie metadaten, die in der Domäne verbleiben. Weitere Informationen zum Entfernen dieser Metadaten finden Sie unter Entfernen von Daten in Active Directory nach einer nicht erfolgreichen Herabstufung des Domänencontrollers.

Status

Microsoft hat die erzwungene Herabstufung von Domänencontrollern unter Windows 2000 oder Windows Server 2003 getestet und unterstützt diese.

Weitere Informationen

Der Active Directory-Installations-Assistent erstellt Active Directory-Domänencontroller auf Windows 2000- und Windows Server 2003-basierten Computern. Vorgänge, die vom Active Directory-Installations-Assistenten ausgeführt werden, umfassen die Installation neuer Dienste, Änderungen an den Startwerten vorhandener Dienste und den Übergang zu Active Directory als Sicherheits- und Authentifizierungsbereich.

Bei erzwungener Herabstufung kann ein Domänenadministrator Active Directory zwangsweise entfernen und lokal gehaltene Systemänderungen zurücksetzen, ohne dass er sich an einen anderen Domänencontroller in der Gesamtstruktur wenden oder lokal gespeicherte Änderungen replizieren muss.

Da die erzwungene Herabstufung den Verlust von lokal gespeicherten Änderungen verursacht, verwenden Sie sie nur als letztes Mittel in Produktions- oder Testdomänen. Sie können Domänencontroller erzwungen herabstufen, wenn Abhängigkeiten von Konnektivität, Namensauflösung, Authentifizierung oder Replikationsmodul nicht aufgelöst werden können, sodass eine ordnungsgemäße Herabstufung durchgeführt werden kann. Gültige Szenarien für erzwungene Herabstufungen sind die folgenden:

  • In der übergeordneten Domäne sind derzeit keine Domänencontroller verfügbar, wenn Sie versuchen, den letzten Domänencontroller in einer unmittelbar untergeordneten Domäne zu herabstufen.

  • Der Active Directory-Installations-Assistent kann nicht abgeschlossen werden, da es eine Namensauflösung, Authentifizierung, Replikations-Engine oder Active Directory-Objektabhängigkeit gibt, die Sie nach einer ausführlichen Problembehandlung nicht auflösen können.

  • Ein Domänencontroller hat keine eingehenden Active Directory-Änderungen der Tombstone-Lebensdauer (Die Standard-Tombstone-Lebensdauer beträgt 60 Tage) anzahl von Tagen für einen oder mehrere Benennungskontexte repliziert.

    Wichtig

    Stellen Sie solche Domänencontroller nur dann wieder her, wenn sie die einzige Möglichkeit zur Wiederherstellung für eine bestimmte Domäne sind.

  • Die Zeit lässt keine ausführlichere Problembehandlung zu, da Sie den Domänencontroller sofort in Betrieb nehmen müssen. Erzwungene Herabstufungen können in Lab- und Classroom-Umgebungen nützlich sein, in denen Sie Domänencontroller aus vorhandenen Domänen entfernen können, aber nicht jeden Domänencontroller seriell herabstufen müssen.

Wenn Sie die Herabstufung eines Domänencontrollers erzwingen, verlieren Sie alle eindeutigen Änderungen, die sich im Active Directory des Domänencontrollers befinden, den Sie zwangsaufstufen. Dies umfasst das Hinzufügen, Löschen oder Ändern von Benutzern, Computern, Gruppen, Vertrauensstellungen und Gruppenrichtlinie- oder Active Directory-Konfigurationen, die vor dem Ausführen des dcpromo /forceremoval Befehls nicht repliziert wurden. Darüber hinaus verlieren Sie Änderungen an einem der Attribute für diese Objekte, z. B. Kennwörter für Benutzer, Computer, Vertrauensstellungen und Gruppenmitgliedschaften.

Wenn Sie jedoch die Herabstufung eines Domänencontrollers erzwingen, setzen Sie das Betriebssystem in einen Zustand zurück, der dem erfolgreichen Herabstufen des letzten Domänencontrollers in einer Domäne entspricht (Dienststartwerte, installierte Dienste, Verwendung eines registrierungsbasierten SAM für die Kontodatenbank, Computer ist Mitglied einer Arbeitsgruppe). Programme, die auf dem herabgestuften Domänencontroller installiert sind, bleiben installiert.

Das Systemereignisprotokoll identifiziert erzwungene Windows 2000-Domänencontroller und Instanzen des Vorgangs anhand der dcpromo /forceremoval Ereignis-ID 29234. Beispiel: Das Systemereignisprotokoll identifiziert erzwungene herabgestufte Windows Server 2003-Domänencontroller anhand der Ereignis-ID 29239. Beispiel: Nachdem Sie den dcpromo /forceremoval Befehl verwendet haben, werden Metadaten für den herabgestuften Computer nicht auf überlebenden Domänencontrollern gelöscht. Weitere Informationen finden Sie unter Bereinigen Active Directory-Domäne Controller-Servermetadaten.

Die folgenden Punkte müssen Nach dem erzwungenen Herabstufen eines Domänencontrollers ggf. angesprochen werden:

  1. Entfernen Sie das Computerkonto aus der Domäne.
  2. Stellen Sie sicher, dass DNS-Einträge wie A-, CNAME- und SRV-Einträge entfernt werden, und entfernen Sie sie, wenn sie vorhanden sind.
  3. Stellen Sie sicher, dass FRS-Memberobjekte (FRS und DFS) entfernt wurden, und entfernen Sie sie, wenn sie vorhanden sind.
  4. Wenn der herabgestufte Computer Mitglied einer Sicherheitsgruppe ist, entfernen Sie ihn aus diesen Gruppen.
  5. Entfernen Sie alle DFS-Verweise auf den herabgestuften Server, z. B. Links oder Stammreplikate.
  6. Ein überlebender Domänencontroller muss alle Vorgänge master Rollen übernehmen, die auch als flexible Single master-Vorgänge oder FSMO bezeichnet werden, die zuvor vom erzwungen herabgestuften Domänencontroller gehalten wurden. Weitere Informationen finden Sie unter Übertragen oder Übernehmen von Vorgangsmasterrollen in Active Directory Domain Services.
  7. Wenn es sich bei dem Domänencontroller, den Sie herabstufen, um einen DNS-Server oder einen globalen Katalogserver handelt, müssen Sie einen neuen GC- oder DNS-Server erstellen, um lastenausgleichs-, Fehlertoleranz- und Konfigurationseinstellungen in der Gesamtstruktur zu erfüllen.
  8. Wenn Sie den Befehl ausgewählte Server entfernen in NTDSUTIL verwenden, wird das NTDSDSA-Objekt, das übergeordnete Objekt für eingehende Verbindungen mit dem Domänencontroller entfernt, den Sie erzwungen herabgestuft haben. Der Befehl entfernt nicht die übergeordneten Serverobjekte, die im Snap-In Websites und Dienste angezeigt werden. Verwenden Sie das MMC-Snap-In Active Directory-Standorte und -Dienste, um das Serverobjekt zu entfernen, wenn der Domänencontroller nicht in die Gesamtstruktur mit demselben Computernamen heraufgestuft wird.