Nem kényszeríthetõ ki a tartományvezérlõk szabályos lefokozása az Active Directory telepítõvarázslóval Windows Server 2003 és Windows 2000 Server rendszerben

A Microsoft Windows 2000 vagy Microsoft Windows Server 2003 alapú tartományvezérlõk bizonyos esetekben nem fokozhatók le szabályosan az Active Directory telepítõvarázsló (Dcpromo.exe) használatával.

Ez a hiba akkor fordulhat elõ, ha egy szükséges függõség vagy mûvelet hibás. Ide tartoznak a hálózati kapcsolattal, a névfeloldással, a hitelesítéssel, az Active Directory címtárszolgáltatás replikálásával, illetve az Active Directory kritikus objektumainak helyével kapcsolatos hibák.

A hiba megoldásához határozza meg, mi akadályozza a Windows 2000 vagy Windows Server 2003 alapú tartományvezérlõ lefokozását, majd próbálkozzon ismét a lefokozással az Active Directory telepítõvarázsló használatával.

Ha a problémát nem tudja elhárítani, az alábbi kerülõ megoldásokkal kikényszerítheti a tartományvezérlõ lefokozását abból a célból, hogy megõrizze az operációs rendszer telepített példányát és az egyéb alkalmazásokat.

Figyelem! Az alább ismertetett módszerek alkalmazása elõtt gyõzõdjön meg róla, hogy a rendszer elindítható a Címtárszolgáltatások helyreállító módjában, enélkül ugyanis nem fog tudni majd bejelentkezni a számítógép lefokozásának kikényszerítését követõen. Ha nem emlékszik a Címtárszolgáltatások helyreállító módjának jelszavára, a jelszót alaphelyzetbe állíthatja a Setpwd.exe segédprogrammal, amely a Winnt\System32 mappában található. Windows Server 2003 rendszerben a Setpwd.exe segédprogram által nyújtott szolgáltatásokat az NTDSUTIL eszköz Set DSRM Password parancsa biztosítja. Az eljárás végrehajtási módjáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

Windows 2000 rendszerû tartományvezérlõk

1. Telepítse a Q332199 jelû gyorsjavítást a Windows 2000 Service Pack 2 (SP2) szervizcsomaggal ellátott vagy késõbbi verzióját futtató tartományvezérlõkön, vagy telepítse a Windows 2000 Service Pack 4 (SP4) szervizcsomagot. Az SP2 és a késõbbi verziók támogatják a kikényszerített lefokozást. Ezután indítsa újra a számítógépet.
2. Kattintson a Start menü Futtatás parancsára, és írja be a következõ parancsot:
   dcpromo /forceremoval
3. Kattintson az OK gombra.
4. A Rendszergazda jelszava lapon írja be és erõsítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
5. Ha az eltávolítandó számítógép globáliskatalógus-kiszolgáló, kattintson az üzenetablakban az OK gombra.
   
   Megjegyzés: Léptessen elõ igény szerint további globális katalógusokat az erdõben vagy helyen, ha a lefokozandó tartományvezérlõ globáliskatalógus-kiszolgálóként mûködik.
6. Az Active Directory eltávolítása lapon ellenõrizze, hogy nincs bejelölve az Ez a kiszolgáló az utolsó tartományvezérlõ a tartományban jelölõnégyzet, majd kattintson a Tovább gombra.
7. A Hálózati hitelesítõ adatok lapon írja be egy vállalati rendszergazdai hitelesítõ adatokkal rendelkezõ felhasználói fiók nevét, jelszavát és tartománynevét, és kattintson a Tovább gombra.
8. A Rendszergazda jelszava lapon írja be és erõsítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
9. Az Összegzés lapon kattintson a Tovább gombra.
10. Törölje az erdõ valamelyik megmaradt tartományvezérlõjén a lefokozott tartományvezérlõ metaadatait.

Ha az erdõ egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenõrizze, hogy az erdõben található tartományvezérlõk és globáliskatalógus-kiszolgálók mindegyikérõl törlõdött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevû tartomány ugyanazon erdõben történõ elõléptetését megelõzõen eltávolított. A Windows 2000 támogatási eszközei (például a Replmon.exe és Repadmin.exe) segítségével megállapíthatja, hogy sor került-e a végpontok közötti replikációra. A Windows 2000 SP3 alapú és korábbi globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003 alapú társaik.

Windows Server 2003 rendszerû tartományvezérlõk

1. A Windows Server 2003 rendszerû tartományvezérlõk alapértelmezés szerint támogatják a kényszerített lefokozást. Kattintson a Start menü Futtatás parancsára, és írja be a következõ parancsot:
   dcpromo /forceremoval
2. Kattintson az OK gombra.
3. Az Active Directory telepítése – üdvözli a varázsló lapon kattintson a Tovább gombra.
4. Az Active Directory eltávolításának kényszerítése lapon kattintson a Tovább gombra.
5. A Rendszergazda jelszava lapon írja be és erõsítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
6. Az Összegzés lapon kattintson a Tovább gombra.
7. Törölje az erdõ egyik megmaradt tartományvezérlõjérõl a lefokozott tartományvezérlõ metaadatait.

Ha az erdõ egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenõrizze, hogy az erdõben található tartományvezérlõk és globáliskatalógus-kiszolgálók mindegyikérõl törlõdött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevû tartomány ugyanazon erdõben történõ elõléptetését megelõzõen eltávolított. A Windows 2000 Service Pack 3 (SP3) vagy korábbi rendszert futtató globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003 alapú társaik.

Ha a tartomány helyi csoportjain alapulnak az azon a számítógépen található hozzáférés-szabályozási bejegyzések (ACE-k), amelyrõl eltávolította az Active Directory címtárat, elképzelhetõ, hogy újra be kell állítani ezeket az engedélyeket, mivel a csoportok nem lesznek elérhetõk az önálló és tagkiszolgálókról. Ha az Active Directory telepítésével tartományvezérlõvé szándékozik tenni a számítógépet az eredeti tartományban, nem szükséges beállítani a hozzáférés-szabályozási listákat (ACL-eket). Ha a számítógépet inkább meghagyja tag- vagy önálló kiszolgálóként, a tartomány helyi csoportjain alapuló összes engedélyt le kell fordítani vagy ki kell cserélni. Az Active Directory címtár tartományvezérlõrõl való eltávolításának engedélyekre gyakorolt hatásairól a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

Windows Server 2003 Service Pack 1 szervizcsomag továbbfejlesztett szolgáltatásai

A Windows Server 2003 SP1 szervizcsomag a dcpromo /forceremoval folyamat továbbfejlesztett változatát tartalmazza. A dcpromo /forceremoval parancs futtatásakor a rendszer ellenõrzi, hogy a tartományvezérlõ ellát-e mûveleti fõkiszolgálói, DNS-kiszolgálói vagy globáliskatalógus-kiszolgálói szerepkört. A rendszer a szerepkörök mindegyike esetén felhívja a rendszergazda figyelmét a szükséges mûveletek elvégzésére.

A Microsoft a Windows 2000 és Windows Server 2003 rendszert futtató tartományvezérlõk kényszerített lefokozását tesztelte és támogatja.

Az Active Directory telepítõvarázslóval Active Directory alapú tartományvezérlõk hozhatók létre Windows 2000 és Windows Server 2003 alapú számítógépeken. Az Active Directory telepítõvarázsló elvégzi az új szolgáltatások telepítését, módosítja a meglévõ szolgáltatások indítási értékeit, illetve az Active Directory címtárat vezeti be biztonsági és hitelesítési tartománynak.

Kényszerített lefokozással a tartományi rendszergazdák eltávolíthatják az Active Directory címtárat és visszaállíthatják a helyileg nyilvántartott rendszerváltozásokat anélkül, hogy az erdõ egy másik tartományvezérlõjével kapcsolatba kellene lépniük vagy a változásokat arra replikálniuk kellene.

Mivel a kényszerített lefokozás a helyileg nyilvántartott változások elvesztését eredményezi, csak végsõ megoldásként használja üzemi és teszttartományok esetén. A tartományvezérlõk lefokozását akkor érdemes kikényszeríteni, ha a kapcsolati, névfeloldási, hitelesítési vagy a replikációs motorral kapcsolatos függõségek nem oldhatók fel, így a szabályos lefokozás nem lehetséges. A lefokozás kikényszerítése többek között a következõ forgatókönyvek esetén alkalmazható:

• Nem áll rendelkezésre tartományvezérlõ a szülõtartományban, mivel egy közvetlen gyermektartomány utolsó tartományvezérlõjét készül lefokozni.
• Az Active Directory telepítõvarázsló nem tudott sikeresen lefutni, mivel a névfeloldáshoz, hitelesítéshez, a replikációs motor mûködéséhez vagy egy Active Directory objektumhoz szükséges függõség nem oldható fel a részletes hibakeresést követõen sem.
• Az egyik tartományvezérlõ nem replikálta az Active Directory változásait a szemét napokban kifejezett élettartamán (alapértelmezés szerint 60 nap) belül egy vagy több névhasználati környezetben.
  
  Fontos: Ne állítsa vissza az ilyen tartományvezérlõket, hacsak nem ez az egyetlen lehetõség egy adott tartomány helyreállítására.
• Nem áll rendelkezésre elegendõ idõ az alapos hibakeresésre, mivel azonnal üzembe kell állítani a tartományvezérlõt.

A kényszerített lefokozás hasznos lehet olyan laboratórumi vagy osztálytermi környezetekben, ahol a meglévõ tartományok tartományvezérlõi eltávolíthatók anélkül, hogy sorban le kellene fokozni az egyes tartományokat.

Ha kikényszeríti egy tartományvezérlõ lefokozását, elveszik az összes egyedi változtatás, amely az eltávolított tartományvezérlõ Active Directory címtárában van nyilvántartva. Elveszhetnek például a felhasználók, számítógépek, csoportok, bizalmi kapcsolatok hozzáadását, törlését vagy módosítását magukban foglaló változások, illetve a Csoportházirend vagy az Active Directory konfigurációja, amennyiben nem fejezõdött be sikeresen a dcpromo /forceremoval paranccsal kezdeményezett replikáció. Ezenfelül elveszik ezen objektumok minden attribútuma (például a felhasználók, számítógépek és bizalmi kapcsolatok jelszava, illetve a csoporttagság).

Ha azonban kikényszeríti egy tartományvezérlõ lefokozását, visszaállítja az operációs rendszert egy olyan állapotba, amely megfelel a tartomány utolsó tartományvezérlõje sikereses eltávolításának (a szolgáltatások indítási értékének, a telepített szolgáltatásoknak, a fiókadatbázis rendszerleíró adatbázison alapuló biztonsági fiókkezelõjének, illetve a számítógép csoporttagságának tekintetében). A lefokozott tartományvezérlõre telepített programok továbbra is telepítve maradnak.

A rendszer eseménynaplója a 29234-es azonosítójú eseménnyel jelzi a Windows 2000 alapú tartományvezérlõk kényszerített lefokozását és a dcpromo /forceremoval utasítás használatát. Például:

Eseménytípus: FIGYELMEZTETÉS
Eseményforrás: lsasrv
Esemény kategóriája: Nincs
Eseményazonosító: 29234
Dátum: ÉÉÉÉ.HH.NN
Idõ: ÓÓ:PP:MM DE|DU
Felhasználó: -
Számítógép:számítógépnév Leírás: Ezt a kiszolgálót kényszerítetten lefokozták, ezért már nem tartományvezérlõ.

A rendszer eseménynaplója a 29239-es azonosítójú eseménnyel jelzi a Windows 2003 alapú tartományvezérlõk kényszerített lefokozását. Például:

Eseménytípus: FIGYELMEZTETÉS
Eseményforrás: lsasrv
Esemény kategóriája: Nincs
Eseményazonosító: 29239
Dátum: ÉÉÉÉ.HH.NN
Idõ: ÓÓ:PP:MM DE|DU
Felhasználó: -
Számítógép:számítógépnév Leírás: Ezt a kiszolgálót kényszerítetten lefokozták, ezért már nem tartományvezérlõ.

A dcpromo /forceremoval parancs használatát követõen a lefokozott számítógép metaadatai nem törlõdnek a megmaradt tartományvezérlõkön. A Microsoft Tudásbázis kapcsolódó cikke: A következõ feladatokat kell elvégezni a tartományvezérlõk kényszerített lefokozását követõen (amennyiben lehetséges):

1. Távolítsa el a számítógép fiókját a tartományból.
2. Ellenõrizze, hogy a DNS rekordjai (például az A, CNAME és SRV rekordok) el lettek-e távolítva, és amennyiben még megtalálhatók névtérben, távolítsa el azokat.
3. Ellenõrizze, hogy a fájlreplikációs szolgáltatás tagobjektumai (FRS és DFS) el lettek-e távolítva, és ha még nem, távolítsa el azokat. A Microsoft Tudásbázis kapcsolódó cikke:
   296183  (http://support.microsoft.com/kb/296183/ ) A fájlreplikációs szolgáltatás által használt Active Directory-objektumok áttekintése (Elõfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvû tartalomra mutat.)
4. Ha a lefokozott számítógép tagja biztonsági csoportoknak, távolítsa el azokból.
5. Távolítsa el a lefokozott kiszolgálóra mutató összes DFS-hivatkozást, például a kapcsolatokat és gyökérreplikákat.
6. Valamelyik tartományvezérlõnek zárolnia kell az összes olyan mûveleti fõkiszolgálói (FSMO-) szerepkört, amelyet korábban a kényszerítve lefokozott tartományvezérlõ töltött be. A Microsoft Tudásbázis kapcsolódó cikke:
   255504  (http://support.microsoft.com/kb/255504/ ) Az FSMO-szerepkörök zárolása vagy másik tartományvezérlõre való átvitele az Ntdsutil.exe segédprogrammal
7. Ha a lefokozott tartományvezérlõ DNS- vagy globáliskatalógus-kiszolgáló, új globáliskatalógus- vagy DNS-kiszolgálót kell létrehozni a terheléselosztás, a hibatûrés és az erdõ konfigurációjának nyilvántartása érdekében.
8. Ha az NTDSUTIL eszköz remove selected server parancsát használja, az NTDSDSA objektumot – vagyis a kényszerítve eltávolított tartományvezérlõ bejövõ kapcsolatainak szülõobjektumát – is eltávolítja a rendszer. A parancs ugyanakkor nem távolítja el a Helyek és szolgáltatások beépülõ modulban megjelenõ kiszolgálóobjektumokat. Az Active Directory – helyek és szolgáltatások MMC beépülõ modul segítségével eltávolítható a kiszolgálóobjektum, ha a tartományvezérlõt nem kívánja változatlan számítógépnévvel elõléptetni az erdõben.