Nem kényszeríthető ki a tartományvezérlők szabályos lefokozása az Active Directory telepítővarázslóval Windows Server 2003 és Windows 2000 Server rendszerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 332199 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft Windows 2000- vagy Microsoft Windows Server 2003-alapú tartományvezérlők bizonyos esetekben nem fokozhatók le szabályosan az Active Directory telepítővarázsló (Dcpromo.exe) használatával.

Oka

Ez a hiba akkor fordulhat elő, ha egy szükséges függőség vagy művelet hibás. Ide tartoznak a hálózati kapcsolattal, a névfeloldással, a hitelesítéssel, az Active Directory címtárszolgáltatás replikálásával, illetve az Active Directory kritikus objektumainak helyével kapcsolatos hibák.

A megoldás

A hiba megoldásához határozza meg, mi akadályozza a Windows 2000- vagy Windows Server 2003-alapú tartományvezérlő lefokozását, majd próbálkozzon ismét a lefokozással az Active Directory telepítővarázsló használatával.

Megjegyzés: A Windows Server 2008 rendszerben a címtárszolgáltatások helyreállító módja (DSRM) egyetlen kivétellel nem változott a Windows Server 2003 rendszerhez képest. Windows Server 2008 rendszerben a dcpromo/forceremoval parancs futtatásával kényszerítetten eltávolíthatja az AD címtárszolgáltatást a DSRM-ben indított tartományvezérlőből, és erre az AD címtárszolgáltatás leállított állapotában is lehetősége van. A rendszerállapotra vonatkozó adatok biztonsági mentésből történő visszaállításához azonban mindenképpen a DSRM-ből kell indítani a tartományvezérlőt. Ennek módjáról a következő TechNet cikkben tájékozódhat:
Újraindítható AD DS részletes útmutatója

Kerülő megoldás

Ha a problémát nem tudja elhárítani, az alábbi kerülő megoldásokkal kikényszerítheti a tartományvezérlő lefokozását abból a célból, hogy megőrizze az operációs rendszer telepített példányát és az egyéb alkalmazásokat.

Figyelem! Az alább ismertetett módszerek alkalmazása előtt győződjön meg róla, hogy a rendszer elindítható a Címtárszolgáltatások helyreállító módjában, enélkül ugyanis nem fog tudni majd bejelentkezni a számítógép lefokozásának kikényszerítését követően. Ha nem emlékszik a Címtárszolgáltatások helyreállító módjának jelszavára, a jelszót alaphelyzetbe állíthatja a Setpwd.exe segédprogrammal, amely a Winnt\System32 mappában található. Windows Server 2003 rendszerben a Setpwd.exe segédprogram által nyújtott szolgáltatásokat az NTDSUTIL eszköz Set DSRM Password parancsa biztosítja. Az eljárás végrehajtási módjáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
271641 A Kiszolgáló konfigurálása varázsló üres jelszót állít be a helyreállítási módhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows 2000 rendszerű tartományvezérlők

  1. Telepítse a Q332199 jelű gyorsjavítást a Windows 2000 Service Pack 2 (SP2) szervizcsomaggal ellátott vagy későbbi verzióját futtató tartományvezérlőkön, vagy telepítse a Windows 2000 Service Pack 4 (SP4) szervizcsomagot. Az SP2 és a későbbi verziók támogatják a kikényszerített lefokozást. Ezután indítsa újra a számítógépet.
  2. Kattintson a Start menü Futtatás parancsára, és írja be a következő parancsot:
    dcpromo /forceremoval
  3. Kattintson az OK gombra.
  4. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
  5. Ha az eltávolítandó számítógép globáliskatalógus-kiszolgáló, kattintson az üzenetablakban az OK gombra.

    Megjegyzés: Léptessen elő igény szerint további globális katalógusokat az erdőben vagy helyen, ha a lefokozandó tartományvezérlő globáliskatalógus-kiszolgálóként működik.
  6. Az Active Directory eltávolítása lapon ellenőrizze, hogy nincs bejelölve az Ez a kiszolgáló az utolsó tartományvezérlő a tartományban jelölőnégyzet, majd kattintson a Tovább gombra.
  7. A Hálózati hitelesítő adatok lapon írja be egy vállalati rendszergazdai hitelesítő adatokkal rendelkező felhasználói fiók nevét, jelszavát és tartománynevét, és kattintson a Tovább gombra.
  8. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
  9. Az Összegzés lapon kattintson a Tovább gombra.
  10. Törölje az erdő valamelyik megmaradt tartományvezérlőjén a lefokozott tartományvezérlő metaadatait.
Ha az erdő egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenőrizze, hogy az erdőben található tartományvezérlők és globáliskatalógus-kiszolgálók mindegyikéről törlődött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevű tartomány ugyanazon erdőben történő előléptetését megelőzően eltávolított. A Windows 2000 támogatási eszközei (például a Replmon.exe és Repadmin.exe) segítségével megállapíthatja, hogy sor került-e a végpontok közötti replikációra. A Windows 2000 SP3-alapú és korábbi globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003-alapú társaik.

Windows Server 2003 rendszerű tartományvezérlők

  1. A Windows Server 2003 rendszerű tartományvezérlők alapértelmezés szerint támogatják a kényszerített lefokozást. Kattintson a Start menü Futtatás parancsára, és írja be a következő parancsot:
    dcpromo /forceremoval
  2. Kattintson az OK gombra.
  3. Az Active Directory telepítése – üdvözli a varázsló lapon kattintson a Tovább gombra.
  4. Az Active Directory eltávolításának kényszerítése lapon kattintson a Tovább gombra.
  5. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.
  6. Az Összegzés lapon kattintson a Tovább gombra.
  7. Törölje az erdő egyik megmaradt tartományvezérlőjéről a lefokozott tartományvezérlő metaadatait.
Ha az erdő egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenőrizze, hogy az erdőben található tartományvezérlők és globáliskatalógus-kiszolgálók mindegyikéről törlődött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevű tartomány ugyanazon erdőben történő előléptetését megelőzően eltávolított. A Windows 2000 Service Pack 3 (SP3) vagy korábbi rendszert futtató globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003-alapú társaik.

Ha a tartomány helyi csoportjain alapulnak az azon a számítógépen található hozzáférés-szabályozási bejegyzések (ACE-k), amelyről eltávolította az Active Directory címtárat, elképzelhető, hogy újra be kell állítani ezeket az engedélyeket, mivel a csoportok nem lesznek elérhetők az önálló és tagkiszolgálókról. Ha az Active Directory telepítésével tartományvezérlővé szándékozik tenni a számítógépet az eredeti tartományban, nem szükséges beállítani a hozzáférés-szabályozási listákat (ACL-eket). Ha a számítógépet inkább meghagyja tag- vagy önálló kiszolgálóként, a tartomány helyi csoportjain alapuló összes engedélyt le kell fordítani vagy ki kell cserélni. Az Active Directory címtár tartományvezérlőről való eltávolításának engedélyekre gyakorolt hatásairól a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
320230 A tartományvezérlők eltávolításának hatása az engedélyekre (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows Server 2003 Service Pack 1 szervizcsomag továbbfejlesztett szolgáltatásai

A Windows Server 2003 SP1 szervizcsomag a dcpromo /forceremoval folyamat továbbfejlesztett változatát tartalmazza. A dcpromo /forceremoval parancs futtatásakor a rendszer ellenőrzi, hogy a tartományvezérlő ellát-e műveleti főkiszolgálói, DNS-kiszolgálói vagy globáliskatalógus-kiszolgálói szerepkört. A rendszer a szerepkörök mindegyike esetén felhívja a rendszergazda figyelmét a szükséges műveletek elvégzésére.

Ha a tartományvezérlőt nem lehet elindítani normál módban

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben


Fontos: Az alábbi lépések csak végső megoldásként szolgálnak arra az esetre, ha a tartományvezérlőt nem lehet normál módban elindítani.

Az Active Directory címtár tartományvezérlőről történő eltávolításához hajtsa végre az alábbi műveleteket:
  1. Indítsa újra a számítógépet, és az F8 billentyű lenyomásával jelenítse meg a Windows 2000 speciális indítási lehetőségeit tartalmazó menüt.
  2. Válassza a Címtárszolgáltatások helyreállító módja lehetőséget, és nyomja le az ENTER billentyűt, majd az újraindítás folytatásához nyomja le ismét az ENTER billentyűt.
  3. Módosítsa a beállításjegyzék ProductType bejegyzését. Ehhez hajtsa végre a következő lépéseket:
    1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
    2. Keresse meg a következő beállításkulcsot (korábbi nevén rendszerleíró kulcs):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. A jobb oldali ablaktáblában kattintson duplán a ProductType azonosítóra.
    4. Az Érték mezőbe írja be a ServerNT értéket, majd kattintson az OK gombra.

      Megjegyzés: Ha ezen érték nincs beállítva vagy pontatlanul van megadva, a következő hibaüzenet jelenhet meg:
      Rendszerfolyamat - Licencmegsértés: A rendszer a regisztrált termék módosítását érzékelte. Ez a szoftver licencének megsértése. A termék módosítása nem engedélyezett.
    5. Lépjen ki a Beállításszerkesztőből.
  4. Indítsa újra a számítógépet.
  5. Jelentkezzen be a Címtárszolgáltatások helyreállító módjához használt rendszergazdai fiókkal és jelszóval.

    A számítógép önálló kiszolgálóként fog működni. A számítógépen azonban még megtalálható néhány olyan fájl és rendszerbeállítási bejegyzés, amely a tartományvezérlőhöz tartozik.
  6. Indítsa el a Beállításszerkesztőt, és keresse meg a következő beállításkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    A jobb egérgombbal kattintson a(z)
    Src Root Domain Srv
    bejegyzésre (ha van ilyen), majd kattintson a Törlés parancsra. Ezt az értéket azért szükséges törölni, hogy a tartományvezérlő az előléptetést követően önmagát érzékelje a tartomány egyetlen tartományvezérlőjének.

    Fontos: A fenti lépés kritikus fontosságú. Enélkül az Active Directory-erdőbe történő ismételt előléptetés nem fejeződik be, így Ön nem fogja tudni naplózni a tartományvezérlő tevékenységeit.
  7. Távolítsa el a további fájlokat és rendszerbeállítási bejegyzéseket. Ehhez hajtsa végre a következő lépéseket:
    1. Indítsa el az Active Directory telepítővarázslót.
    2. Az Active Directory telepítésével tegye a számítógépet egy új ideiglenes tartomány (például „psstemp.torolni”) tartományvezérlőjévé.

      Megjegyzés: Lényeges, hogy a számítógépet egy másik erdő tartományvezérlőjévé tegye.
    3. Az Active Directory telepítését követően indítsa el ismét az Active Directory telepítővarázslót, és távolítsa el az Active Directory címtárat a tartományvezérlőről.
  8. Az Active Directory címtárnak a tartományvezérlőről való eltávolítását követően törölje a tartományban maradt metaadatokat. A metaadatok eltávolításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    216498 Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően

Állapot

A Microsoft a Windows 2000 és Windows Server 2003 rendszert futtató tartományvezérlők kényszerített lefokozását tesztelte és támogatja.

További információ

Az Active Directory telepítővarázslóval Active Directory-alapú tartományvezérlők hozhatók létre Windows 2000- és Windows Server 2003-alapú számítógépeken. Az Active Directory telepítővarázsló elvégzi az új szolgáltatások telepítését, módosítja a meglévő szolgáltatások indítási értékeit, illetve az Active Directory címtárat vezeti be biztonsági és hitelesítési tartománynak.

Kényszerített lefokozással a tartományi rendszergazdák eltávolíthatják az Active Directory címtárat és visszaállíthatják a helyileg nyilvántartott rendszerváltozásokat anélkül, hogy az erdő egy másik tartományvezérlőjével kapcsolatba kellene lépniük vagy a változásokat arra replikálniuk kellene.

Mivel a kényszerített lefokozás a helyileg nyilvántartott változások elvesztését eredményezi, csak végső megoldásként használja üzemi és teszttartományok esetén. A tartományvezérlők lefokozását akkor érdemes kikényszeríteni, ha a kapcsolati, névfeloldási, hitelesítési vagy a replikációs motorral kapcsolatos függőségek nem oldhatók fel, így a szabályos lefokozás nem lehetséges. A lefokozás kikényszerítése többek között a következő forgatókönyvek esetén alkalmazható:
  • Nem áll rendelkezésre tartományvezérlő a szülőtartományban, mivel egy közvetlen gyermektartomány utolsó tartományvezérlőjét készül lefokozni.
  • Az Active Directory telepítővarázsló nem tudott sikeresen lefutni, mivel a névfeloldáshoz, hitelesítéshez, a replikációs motor működéséhez vagy egy Active Directory objektumhoz szükséges függőség nem oldható fel a részletes hibakeresést követően sem.
  • Az egyik tartományvezérlő nem replikálta az Active Directory változásait a szemét napokban kifejezett élettartamán (alapértelmezés szerint 60 nap) belül egy vagy több névhasználati környezetben.

    Fontos: Ne állítsa vissza az ilyen tartományvezérlőket, hacsak nem ez az egyetlen lehetőség egy adott tartomány helyreállítására.
  • Nem áll rendelkezésre elegendő idő az alapos hibakeresésre, mivel azonnal üzembe kell állítani a tartományvezérlőt.
A kényszerített lefokozás hasznos lehet olyan laboratóriumi vagy osztálytermi környezetekben, ahol a meglévő tartományok tartományvezérlői eltávolíthatók anélkül, hogy sorban le kellene fokozni az egyes tartományokat.

Ha kikényszeríti egy tartományvezérlő lefokozását, elveszik az összes egyedi változtatás, amely az eltávolított tartományvezérlő Active Directory címtárában van nyilvántartva. Elveszhetnek például a felhasználók, számítógépek, csoportok, bizalmi kapcsolatok hozzáadását, törlését vagy módosítását magukban foglaló változások, illetve a Csoportházirend vagy az Active Directory konfigurációja, amennyiben nem fejeződött be sikeresen a dcpromo /forceremoval paranccsal kezdeményezett replikáció. Ezenfelül elveszik ezen objektumok minden attribútuma (például a felhasználók, számítógépek és bizalmi kapcsolatok jelszava, illetve a csoporttagság).

Ha azonban kikényszeríti egy tartományvezérlő lefokozását, visszaállítja az operációs rendszert egy olyan állapotba, amely megfelel a tartomány utolsó tartományvezérlője sikereses eltávolításának (a szolgáltatások indítási értékének, a telepített szolgáltatásoknak, a fiókadatbázis beállításjegyzéken alapuló biztonsági fiókkezelőjének, illetve a számítógép csoporttagságának tekintetében). A lefokozott tartományvezérlőre telepített programok továbbra is telepítve maradnak.

A rendszer eseménynaplója a 29234-es azonosítójú eseménnyel jelzi a Windows 2000-alapú tartományvezérlők kényszerített lefokozását és a dcpromo /forceremoval utasítás használatát. Például:

Eseménytípus: FIGYELMEZTETÉS
Eseményforrás: lsasrv
Eseménykategória: Nincs
Eseményazonosító: 29234
Dátum: ÉÉÉÉ.HH.NN
Időpont: ÓÓ:PP:MM DE|DU
Felhasználó: Nincs
Számítógép: számítógépnév Leírás: Ezt a kiszolgálót kényszerítetten lefokozták, ezért már nem tartományvezérlő.

A rendszer eseménynaplója a 29239-es azonosítójú eseménnyel jelzi a Windows 2003-alapú tartományvezérlők kényszerített lefokozását. Például:

Eseménytípus: FIGYELMEZTETÉS
Eseményforrás: lsasrv
Eseménykategória: Nincs
Eseményazonosító: 29239
Dátum: ÉÉÉÉ.HH.NN
Időpont: ÓÓ:PP:MM DE|DU
Felhasználó: Nincs
Számítógép: számítógépnév Leírás: Ezt a kiszolgálót kényszerítetten lefokozták, ezért már nem tartományvezérlő.

A dcpromo /forceremoval parancs használatát követően a lefokozott számítógép metaadatai nem törlődnek a megmaradt tartományvezérlőkön. A Microsoft Tudásbázis kapcsolódó cikke:
216498 Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően
A következő feladatokat kell elvégezni a tartományvezérlők kényszerített lefokozását követően (amennyiben lehetséges):
  1. Távolítsa el a számítógép fiókját a tartományból.
  2. Ellenőrizze, hogy a DNS rekordjai (például az A, CNAME és SRV rekordok) el lettek-e távolítva, és amennyiben még megtalálhatók névtérben, távolítsa el azokat.
  3. Ellenőrizze, hogy a fájlreplikációs szolgáltatás tagobjektumai (FRS és DFS) el lettek-e távolítva, és ha még nem, távolítsa el azokat. A Microsoft Tudásbázis kapcsolódó cikke:
    296183 A fájlreplikációs szolgáltatás által használt Active Directory-objektumok áttekintése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  4. Ha a lefokozott számítógép tagja biztonsági csoportoknak, távolítsa el azokból.
  5. Távolítsa el a lefokozott kiszolgálóra mutató összes DFS-hivatkozást, például a kapcsolatokat és gyökérreplikákat.
  6. Valamelyik tartományvezérlőnek zárolnia kell az összes olyan műveleti főkiszolgálói (FSMO-) szerepkört, amelyet korábban a kényszerítve lefokozott tartományvezérlő töltött be. A Microsoft Tudásbázis kapcsolódó cikke:
    255504 Az FSMO-szerepkörök zárolása vagy másik tartományvezérlőre való átvitele az Ntdsutil.exe segédprogrammal
  7. Ha a lefokozott tartományvezérlő DNS- vagy globáliskatalógus-kiszolgáló, új globáliskatalógus- vagy DNS-kiszolgálót kell létrehozni a terheléselosztás, a hibatűrés és az erdő konfigurációjának nyilvántartása érdekében.
  8. Ha az NTDSUTIL eszköz remove selected server parancsát használja, az NTDSDSA objektumot – vagyis a kényszerítve eltávolított tartományvezérlő bejövő kapcsolatainak szülőobjektumát – is eltávolítja a rendszer. A parancs ugyanakkor nem távolítja el a Helyek és szolgáltatások beépülő modulban megjelenő kiszolgálóobjektumokat. Az Active Directory – helyek és szolgáltatások MMC beépülő modul segítségével eltávolítható a kiszolgálóobjektum, ha a tartományvezérlőt nem kívánja változatlan számítógépnévvel előléptetni az erdőben.
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 332199 - Utolsó ellenőrzés: 2014. június 27. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kulcsszavak: 
kbhotfixserver kbqfe kbbug KB332199
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com