Kontrolery domeny nie obniżają poziomu w przypadku korzystania z Kreatora instalacji usługi Active Directory w celu wymuszenia degradacji

  • Artykuł

Ten artykuł zawiera obejście problemu polegającego na tym, że kontrolery domeny nie obniżają poziomu podczas korzystania z Kreatora instalacji usługi Active Directory (Dcpromo.exe) w celu wymuszenia degradacji.

Dotyczy: Windows 10 — wszystkie wersje, Windows Server 2012 R2
Oryginalny numer KB: 332199

Symptomy

Kontrolery domeny systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003 mogą nie zostać bezpiecznie obniżone za pomocą Kreatora instalacji usługi Active Directory (Dcpromo.exe).

Przyczyna

To zachowanie może wystąpić, jeśli wymagana zależność lub operacja zakończy się niepowodzeniem. Należą do nich łączność sieciowa, rozpoznawanie nazw, uwierzytelnianie, replikacja usługi katalogowej Active Directory lub lokalizacja obiektu krytycznego w usłudze Active Directory.

Rozwiązanie

Aby rozwiązać ten problem, ustal, co uniemożliwia łagodne obniżenie poziomu kontrolera domeny systemu Windows 2000 lub Windows Server 2003, a następnie spróbuj ponownie obniżyć poziom kontrolera domeny przy użyciu Kreatora instalacji usługi Active Directory.

Uwaga

W przypadku systemu Windows Server 2008 tryb przywracania usług katalogowych (DSRM) jest niezmieniony w systemie Windows Server 2003 z jednym wyjątkiem. W systemie Windows Server 2008 można uruchomić dcpromo/forceremoval polecenie, aby wymusić usunięcie usług AD DS z kontrolera domeny, który jest uruchamiany w programie DSRM, tak jak to możliwe w stanie zatrzymania usług AD DS. Aby przywrócić dane stanu systemu z kopii zapasowej, należy uruchomić kontroler domeny w usłudze DSRM. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz Przewodnik krok po kroku dotyczący ponownego uruchamiania usług AD DS.

Obejście problemu

Jeśli nie możesz rozwiązać tego problemu, możesz użyć poniższych obejść, aby przeprowadzić wymuszone obniżenie poziomu kontrolera domeny w celu zachowania instalacji systemu operacyjnego i dowolnych aplikacji na nim.

Ostrzeżenie

Przed użyciem jednego z poniższych obejść upewnij się, że można pomyślnie uruchomić program w trybie przywracania usług katalogowych. W przeciwnym razie nie będzie można zalogować się po zdecydowanej degradacji komputera. Jeśli nie pamiętasz hasła trybu przywracania usług katalogowych, możesz zresetować hasło przy użyciu narzędzia Setpwd.exe znajdującego się w folderze Winnt\System32 . W systemie Windows Server 2003 funkcjonalność narzędzia Setpwd.exe została zintegrowana z poleceniem Ustaw hasło DSRM narzędzia NTDSUTIL.

Kontrolery domeny systemu Windows 2000

  1. Zainstaluj poprawkę Q332199 na kontrolerze domeny systemu Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszym albo zainstaluj system Windows 2000 z dodatkiem Service Pack 4 (SP4). Wersje z dodatkiem SP2 i nowszym obsługują wymuszoną degradację. Następnie uruchom ponownie komputer.

  2. Kliknij przycisk Start, kliknij przycisk Uruchom, a następnie wpisz polecenie: dcpromo /forceremoval.

  3. Kliknij przycisk OK.

  4. Na stronie Kreator instalacji usługi Active Directory Witamy kliknij przycisk Dalej.

  5. Jeśli usuwany komputer jest serwerem wykazu globalnego, kliknij przycisk OK w oknie komunikatu.

    Uwaga

    Podwyższ poziom dodatkowych wykazów globalnych w lesie lub w lokacji, jeśli kontroler domeny, który obniża poziom, jest serwerem wykazu globalnego zgodnie z potrzebami.

  6. Na stronie Usuń usługę Active Directory upewnij się, że pole wyboru Ten serwer jest ostatnim kontrolerem domeny w domenie jest wyczyszczone, a następnie kliknij przycisk Dalej.

  7. Na stronie Poświadczenia sieciowe wpisz nazwę, hasło i nazwę domeny konta użytkownika z poświadczeniami administratora przedsiębiorstwa w lesie, a następnie kliknij przycisk Dalej.

  8. W polu Hasło administratora wpisz hasło i potwierdzone hasło, które chcesz przypisać do konta administratora lokalnej bazy danych SAM, a następnie kliknij przycisk Dalej.

  9. Na stronie Podsumowanie kliknij przycisk Dalej.

  10. Wykonaj oczyszczanie metadanych dla zdegradowanego kontrolera domeny na zachowanym kontrolerze domeny w lesie.

Jeśli usuniesz domenę z lasu za pomocą polecenia usuń wybraną domenę w ntdsutil, sprawdź, czy wszystkie kontrolery domeny i serwery wykazu globalnego w lesie usunęły wszystkie obiekty i odwołania do domeny, która została właśnie usunięta przed podwyższeniem poziomu nowej domeny do tego samego lasu o tej samej nazwie domeny. Narzędzia, takie jak Replmon.exe lub Repadmin.exe z narzędzi obsługi systemu Windows 2000, mogą pomóc w ustaleniu, czy wystąpiła kompleksowa replikacja. Serwery wykazu globalnego systemu Windows 2000 z dodatkiem SP3 i starsze są znacznie wolniejsze w usuwaniu obiektów i kontekstach nazewnictwa niż w systemie Windows Server 2003.

Kontrolery domeny systemu Windows Server 2003

  1. Domyślnie kontrolery domeny systemu Windows Server 2003 obsługują wymuszoną degradację. Kliknij przycisk Start, kliknij przycisk Uruchom, a następnie wpisz polecenie: dcpromo /forceremoval.

  2. Kliknij przycisk OK.

  3. Na stronie Kreator instalacji usługi Active Directory Witamy kliknij przycisk Dalej.

  4. Na stronie Wymuś usunięcie usługi Active Directory kliknij przycisk Dalej.

  5. W polu Hasło administratora wpisz hasło i potwierdzone hasło, które chcesz przypisać do konta administratora lokalnej bazy danych SAM, a następnie kliknij przycisk Dalej.

  6. W obszarze Podsumowanie kliknij przycisk Dalej.

  7. Wykonaj oczyszczanie metadanych dla zdegradowanego kontrolera domeny na zachowanym kontrolerze domeny w lesie.

Jeśli usuniesz domenę z lasu za pomocą polecenia usuń wybraną domenę w ntdsutil, sprawdź, czy wszystkie kontrolery domeny i serwery wykazu globalnego w lesie usunęły wszystkie obiekty i odwołania do domeny, która została właśnie usunięta przed podwyższeniem poziomu nowej domeny do tego samego lasu o tej samej nazwie domeny. Serwery wykazu globalnego systemu Windows 2000 z dodatkiem Service Pack 3 (SP3) i starszymi serwerami wykazu globalnego znacznie wolniej usuwają obiekty i konteksty nazewnictwa niż system Windows Server 2003.

Jeśli wpisy kontroli dostępu do zasobów (ACL) na komputerze, z których usunięto usługę Active Directory, były oparte na grupach lokalnych domeny, te uprawnienia mogą wymagać ponownej konfiguracji, ponieważ te grupy nie będą dostępne dla serwerów członkowskich lub autonomicznych. Jeśli planujesz zainstalować usługę Active Directory na komputerze, aby uczynić ją kontrolerem domeny w oryginalnej domenie, nie musisz już konfigurować list kontroli dostępu (ACL). Jeśli wolisz pozostawić komputer jako element członkowski lub serwer autonomiczny, wszelkie uprawnienia oparte na lokalnych grupach domeny muszą zostać przetłumaczone lub zastąpione.

Ulepszenia dodatku Service Pack 1 dla systemu Windows Server 2003

System Windows Server 2003 z dodatkiem SP1 usprawnia dcpromo /forceremoval proces. Podczas dcpromo /forceremoval wykonywania jest sprawdzany w celu ustalenia, czy kontroler domeny hostuje rolę wzorca operacji, jest serwerem systemu nazw domen (DNS), czy serwerem wykazu globalnego. Dla każdej z tych ról administrator otrzymuje ostrzeżenie wyskakujące, które zaleca administratorowi podjęcie odpowiednich działań.

Jeśli kontroler domeny nie może uruchomić się w trybie normalnym

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Ważna

Wykonaj te kroki tylko w ostateczności, jeśli kontroler domeny nie może uruchomić się w normalnym trybie.

Aby usunąć usługę Active Directory z kontrolera domeny, wykonaj następujące kroki:

  1. Uruchom ponownie komputer, a następnie naciśnij klawisz F8, aby wyświetlić menu Opcje zaawansowane systemu Windows 2000 .

  2. Wybierz pozycję Tryb przywracania usług katalogowych, naciśnij klawisz ENTER, a następnie naciśnij ponownie klawisz ENTER, aby kontynuować ponowne uruchamianie.

  3. Zmodyfikuj wpis ProductType w rejestrze. Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

    2. Znajdź podklucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsrejestru .

    3. W okienku po prawej stronie kliknij dwukrotnie pozycję ProductType.

    4. Wpisz ServerNT w polu Dane wartości , a następnie kliknij przycisk OK.

      Uwaga

      Jeśli ta wartość nie jest ustawiona poprawnie lub jest błędnie napisana, może zostać wyświetlony następujący komunikat o błędzie: Proces systemowy — naruszenie licencji: System wykrył manipulowanie zarejestrowanym typem produktu. Jest to naruszenie licencji na oprogramowanie. Manipulowanie typem produktu jest niedozwolone.

    5. Zamknij Edytor rejestru.

  4. Uruchom ponownie komputer.

  5. Zaloguj się przy użyciu konta administratora i hasła używanego w trybie naprawy usługi katalogowej.

    Komputer będzie działać jako serwer członkowski. Jednak na komputerze, które są skojarzone z kontrolerem domeny, nadal istnieją pewne pozostałe pliki i wpisy rejestru.

  6. Uruchom Redaktor rejestru i znajdź wpis HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersrejestru .

    Jeśli istnieje wpis dla Srv domeny głównej Src, kliknij prawym przyciskiem myszy wartość, a następnie kliknij przycisk Usuń. Ta wartość musi zostać usunięta, aby kontroler domeny był jedynym kontrolerem domeny w domenie po podwyższeniu poziomu.

    Ważna

    Powyższy krok ma krytyczne znaczenie. Bez niego ponowne podwyższenie poziomu do tymczasowego lasu usługi AD nie zostanie zakończone i nie będzie można zalogować się do kontrolera domeny.

  7. Usuń pozostałe pliki i wpisy rejestru. Aby to zrobić, wykonaj następujące kroki.

    1. Uruchom Kreatora instalacji usługi Active Directory.

    2. Zainstaluj usługę Active Directory, aby uczynić komputer kontrolerem domeny dla nowej domeny tymczasowej, takiej jak psstemp.deleteme.

      Uwaga

      Upewnij się, że komputer jest kontrolerem domeny w innym lesie.

    3. Po zainstalowaniu usługi Active Directory ponownie uruchom Kreatora instalacji usługi Active Directory, a następnie usuń usługę Active Directory z kontrolera domeny.

  8. Po usunięciu usługi Active Directory z kontrolera domeny usuń metadane pozostawione w domenie. Aby uzyskać więcej informacji na temat usuwania tych metadanych, zobacz Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny.

Stan

Firma Microsoft przetestowała i obsługuje wymuszoną degradację kontrolerów domeny z systemem Windows 2000 lub Windows Server 2003.

Więcej informacji

Kreator instalacji usługi Active Directory tworzy kontrolery domeny usługi Active Directory na komputerach z systemem Windows 2000 i Windows Server 2003. Operacje wykonywane przez Kreatora instalacji usługi Active Directory obejmują instalację nowych usług, zmiany wartości uruchamiania istniejących usług oraz przejście do usługi Active Directory jako obszar zabezpieczeń i uwierzytelniania.

W przypadku wymuszonej degradacji administrator domeny może wymusić usunięcie usługi Active Directory i wycofać lokalne zmiany systemu bez konieczności kontaktowania się z innym kontrolerem domeny w lesie ani replikowania jakichkolwiek zmian przechowywanych lokalnie na innym kontrolerze domeny.

Ponieważ wymuszona degradacja powoduje utratę wszelkich lokalnych zmian, użyj jej tylko jako ostateczności w domenach produkcyjnych lub testowych. Możesz wymusić obniżenie poziomu kontrolerów domeny, gdy nie można rozpoznać zależności między łącznością, rozpoznawaniem nazw, uwierzytelnianiem lub aparatem replikacji, aby umożliwić bezproblemowe obniżenie poziomu. Prawidłowe scenariusze wymuszonych degradacji obejmują następujące elementy:

  • Podczas próby obniżania poziomu ostatniego kontrolera domeny w bezpośredniej domenie podrzędnej nie ma obecnie dostępnych kontrolerów domeny w domenie nadrzędnej.

  • Nie można ukończyć pracy Kreatora instalacji usługi Active Directory, ponieważ istnieje zależność rozpoznawania nazw, uwierzytelniania, aparatu replikacji lub obiektu usługi Active Directory, których nie można rozwiązać po przeprowadzeniu szczegółowych rozwiązywania problemów.

  • Kontroler domeny nie replikował przychodzących zmian usługi Active Directory w okresie istnienia reliktu (domyślny okres istnienia reliktu to 60 dni) przez co najmniej jeden kontekst nazewnictwa.

    Ważna

    Nie należy odzyskiwać takich kontrolerów domeny, chyba że są one jedyną szansą na odzyskanie określonej domeny.

  • Czas nie zezwala na bardziej szczegółowe rozwiązywanie problemów, ponieważ należy natychmiast dołączyć do usługi kontroler domeny. Wymuszone degradacje mogą być przydatne w środowiskach laboratoryjnych i klasowych, w których można usunąć kontrolery domeny z istniejących domen, ale nie trzeba obniżać poziomu poszczególnych kontrolerów domeny szeregowo.

Jeśli wymusisz obniżenie poziomu kontrolera domeny, utracisz wszelkie unikatowe zmiany, które znajdują się w usłudze Active Directory kontrolera domeny, którego wymuszone obniżenie. Obejmuje to dodawanie, usuwanie lub modyfikowanie użytkowników, komputerów, grup, relacji zaufania oraz konfiguracji zasady grupy lub usługi Active Directory, które nie zostały zreplikowane przed uruchomieniem dcpromo /forceremoval polecenia. Ponadto utracisz zmiany w jednym z atrybutów tych obiektów, takich jak hasła użytkowników, komputerów oraz relacje zaufania i członkostwo w grupach.

Jeśli jednak wymusisz obniżenie poziomu kontrolera domeny, przywrócisz system operacyjny do stanu takiego samego jak pomyślne obniżenie poziomu ostatniego kontrolera domeny w domenie (wartości początkowe usługi, zainstalowane usługi, użycie sam rejestru dla bazy danych konta, komputer jest członkiem grupy roboczej). Programy zainstalowane na zdegradowanym kontrolerze domeny pozostają zainstalowane.

Dziennik zdarzeń systemu identyfikuje wymuszone obniżenie poziomu kontrolerów domeny systemu Windows 2000 i wystąpień dcpromo /forceremoval operacji według identyfikatora zdarzenia 29234. Na przykład: Dziennik zdarzeń systemu identyfikuje wymuszone obniżone kontrolery domeny systemu Windows Server 2003 według identyfikatora zdarzenia 29239. Na przykład: po użyciu dcpromo /forceremoval polecenia metadane zdegradowanego komputera nie są usuwane na zachowanych kontrolerach domeny. Aby uzyskać więcej informacji, zobacz Czyszczenie metadanych serwera kontrolera domena usługi Active Directory.

Poniżej przedstawiono elementy, które należy rozwiązać, jeśli ma to zastosowanie, po wymuszonym obniżaniu poziomu kontrolera domeny:

  1. Usuń konto komputera z domeny.
  2. Sprawdź, czy rekordy DNS, takie jak A, CNAME i SRV Records, są usuwane, i usuń je, jeśli są obecne.
  3. Sprawdź, czy obiekty składowe usługi FRS (FRS i DFS) są usuwane, i usuń je, jeśli są obecne.
  4. Jeśli zdegradowany komputer jest członkiem grup zabezpieczeń, usuń go z tych grup.
  5. Usuń wszelkie odwołania systemu plików DFS do zdegradowanego serwera, takie jak linki lub repliki główne.
  6. Zachowany kontroler domeny musi przejąć wszystkie role główne operacji, znane również jako elastyczne pojedyncze operacje główne lub FSMO, które wcześniej były w posiadaniu wymuszonego kontrolera domeny. Aby uzyskać więcej informacji, zobacz Transfer or seize Operation Master roles in Active Directory Domain Services (Transferowanie lub przejmowanie ról wzorca operacji w Active Directory Domain Services).
  7. Jeśli kontroler domeny, który obniża poziom, jest serwerem DNS lub serwerem wykazu globalnego, musisz utworzyć nowy serwer GC lub DNS, aby spełnić wymagania dotyczące równoważenia obciążenia, odporności na uszkodzenia i ustawień konfiguracji w lesie.
  8. W przypadku korzystania z polecenia usuń wybrany serwer w NTDSUTIL obiekt NTDSDSA obiekt nadrzędny dla połączeń przychodzących do kontrolera domeny, który został wymuszono obniżona zostanie usunięta. Polecenie nie usuwa obiektów serwera nadrzędnego, które są wyświetlane w przystawce Witryny i usługi. Użyj przystawki MMC lokacji i usług Active Directory, aby usunąć obiekt serwera, jeśli kontroler domeny nie zostanie podwyższony do lasu o tej samej nazwie komputera.