Os controladores de domínio não rebaixam normalmente quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento

  • Artigo

Este artigo fornece uma solução alternativa para um problema em que os controladores de domínio não rebaixam quando você usa o Assistente de Instalação do Active Directory (Dcpromo.exe) para forçar o rebaixamento.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 332199

Sintomas

Os controladores de domínio do Microsoft Windows 2000 ou Microsoft Windows Server 2003 podem não ser demotes normalmente usando o Assistente de Instalação do Active Directory (Dcpromo.exe).

Motivo

Esse comportamento poderá ocorrer se uma dependência ou operação necessária falhar. Estes incluem conectividade de rede, resolução de nomes, autenticação, replicação de serviço de diretório do Active Directory ou a localização de um objeto crítico no Active Directory.

Resolução

Para resolve esse comportamento, determine o que está impedindo o rebaixamento gracioso do Windows 2000 ou do controlador de domínio do Windows Server 2003 e tente rebaixar o controlador de domínio usando o Assistente de Instalação do Active Directory novamente.

Observação

Para o Windows Server 2008, o Modo de Restauração dos Serviços de Diretório (DSRM) é inalterado do Windows Server 2003 com uma exceção. No Windows Server 2008, você pode executar o comando para remover à força o dcpromo/forceremoval AD DS de um controlador de domínio iniciado no DSRM, da mesma forma que você pode no estado parado do AD DS. Um controlador de domínio ainda deve ser iniciado no DSRM para restaurar dados de estado do sistema de um backup. Para obter mais informações sobre como fazer isso, consulte Guia Passo a Passo do AD DS Reiniciável.

Solução alternativa

Se você não puder resolve o comportamento, poderá usar as soluções alternativas a seguir para executar um rebaixamento forçado do controlador de domínio para preservar a instalação do sistema operacional e de quaisquer aplicativos nele.

Aviso

Antes de usar uma das soluções alternativas a seguir, verifique se você pode iniciar com êxito no modo de Restauração dos Serviços de Diretório. Caso contrário, você não poderá fazer logon depois de rebaixar o computador com força. Se você não se lembrar da senha do modo Restauração dos Serviços de Diretório, poderá redefinir a senha usando o utilitário Setpwd.exe localizado na Winnt\System32 pasta. No Windows Server 2003, a funcionalidade do utilitário Setpwd.exe foi integrada ao comando Definir senha DSRM da ferramenta NTDSUTIL.

Controladores de domínio do Windows 2000

  1. Instale o hotfix Q332199 em um controlador de domínio do Windows 2000 que está executando o Service Pack 2 (SP2) ou uma versão posterior ou instale o Windows 2000 Service Pack 4 (SP4). Versões SP2 e posteriores dão suporte ao rebaixamento forçado. Em seguida, reinicie seu computador.

  2. Clique em Iniciar, clique em Executar e digite o comando: dcpromo /forceremoval.

  3. Clique em OK.

  4. Na página Bem-vindo ao Assistente de Instalação do Active Directory , clique em Avançar.

  5. Se o computador que você está removendo for um servidor de catálogo global, clique em OK na janela da mensagem.

    Observação

    Promova catálogos globais adicionais na floresta ou no site se o controlador de domínio que você está rebaixando for um servidor de catálogo global, conforme necessário.

  6. Na página Remover Active Directory, verifique se esse servidor é o último controlador de domínio na caixa de marcar de domínio limpo e clique em Avançar.

  7. Na página Credenciais de Rede , digite o nome, a senha e o nome de domínio de uma conta de usuário com credenciais de administrador corporativo na floresta e clique em Avançar.

  8. Em Senha do Administrador, digite a senha e a senha confirmada que você deseja atribuir à conta administrador do banco de dados SAM local e clique em Avançar.

  9. Na página Resumo, clique em Próximo.

  10. Execute uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se você removeu um domínio da floresta usando o comando remover domínio selecionado no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo globais na floresta removeram todos os objetos e as referências ao domínio que você acabou de remover antes de promover um novo domínio na mesma floresta com o mesmo nome de domínio. Ferramentas como Replmon.exe ou Repadmin.exe das Ferramentas de Suporte do Windows 2000 podem ajudá-lo a determinar se ocorreu replicação de ponta a ponta. O Windows 2000 SP3 e os servidores de catálogo globais anteriores são visivelmente mais lentos para remover objetos e contextos de nomenclatura do que o Windows Server 2003 é.

Controladores de domínio do Windows Server 2003

  1. Por padrão, os controladores de domínio do Windows Server 2003 dão suporte ao rebaixamento forçado. Clique em Iniciar, clique em Executar e digite o comando: dcpromo /forceremoval.

  2. Clique em OK.

  3. Na página Bem-vindo ao Assistente de Instalação do Active Directory , clique em Avançar.

  4. Na página Forçar a Remoção do Active Directory , clique em Avançar.

  5. Em Senha do Administrador, digite a senha e a senha confirmada que você deseja atribuir à conta administrador do banco de dados SAM local e clique em Avançar.

  6. Em Resumo, clique em Avançar.

  7. Execute uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se você removeu um domínio da floresta usando o comando remover domínio selecionado no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo globais na floresta removeram todos os objetos e as referências ao domínio que você acabou de remover antes de promover um novo domínio na mesma floresta com o mesmo nome de domínio. O Windows 2000 Service Pack 3 (SP3) e os servidores de catálogo global anteriores são visivelmente mais lentos para remover objetos e contextos de nomenclatura do que o Windows Server 2003 é.

Se as ACEs (entradas de controle de acesso ao recurso) no computador do qual você removeu o Active Directory forem baseadas em grupos locais de domínio, essas permissões poderão ter que ser reconfiguradas, pois esses grupos não estarão disponíveis para servidores membros ou autônomos. Se você planeja instalar o Active Directory no computador para torná-lo um controlador de domínio no domínio original, você não precisará configurar mais as ACLs (listas de controle de acesso). Se preferir deixar o computador como membro ou servidor autônomo, todas as permissões baseadas em grupos locais de domínio devem ser traduzidas ou substituídas.

Melhorias do Service Pack 1 do Windows Server 2003

O Windows Server 2003 SP1 aprimora o dcpromo /forceremoval processo. Quando dcpromo /forceremoval é executado, um marcar é feito para determinar se o controlador de domínio hospeda uma função de master operações, é um servidor DNS (Sistema de Nomes de Domínio) ou um servidor de catálogo global. Para cada uma dessas funções, o administrador recebe um aviso pop-up que aconselha o administrador a tomar as medidas apropriadas.

Se o controlador de domínio não puder iniciar no modo normal

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Importante

Siga estas etapas apenas como último recurso se o controlador de domínio não puder iniciar no modo normal.

Para remover o Active Directory de um controlador de domínio, siga estas etapas:

  1. Reinicie o computador e pressione F8 para exibir o menu Opções Avançadas do Windows 2000 .

  2. Escolha Modo de Restauração dos Serviços de Diretório, pressione ENTER e pressione ENTER novamente para continuar a reinicialização.

  3. Modifique a entrada ProductType no registro. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

    2. Localize a subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdo registro .

    3. No painel direito, clique duas vezes em ProductType.

    4. Digite ServerNT na caixa de dados Valor e clique em OK.

      Observação

      Se esse valor não estiver definido corretamente ou estiver escrito incorretamente, você poderá receber a seguinte mensagem de erro:Processo de Sistema – Violação de Licença: o sistema detectou adulteração no tipo de produto registrado. Isso é uma violação da sua licença de software. Não é permitido adulterar o tipo de produto.

    5. Saia do Editor do Registro.

  4. Reinicie o computador.

  5. Faça logon com a conta de administrador e a senha usadas para o modo de reparo do serviço de diretório.

    O computador se comportará como um servidor membro. No entanto, ainda há alguns arquivos restantes e entradas de registro no computador que estão associados ao controlador de domínio.

  6. Inicie o Registro Editor e localize a entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersdo registro .

    Se houver uma entrada para o Src Root Domain Srv, clique com o botão direito do mouse no valor e clique em Excluir. Esse valor deve ser excluído para que o controlador de domínio se veja como o único controlador de domínio no domínio após a promoção.

    Importante

    A etapa acima é fundamental. Sem ela, a repromoção na floresta temporária do AD não será concluída e você não poderá fazer logon no controlador de domínio.

  7. Remova os arquivos restantes e as entradas do registro. Para fazer isso, siga estas etapas:

    1. Inicie o Assistente de Instalação do Active Directory.

    2. Instale o Active Directory para tornar o computador um controlador de domínio para um domínio novo e temporário, como psstemp.deleteme.

      Observação

      Verifique se você faz do computador um controlador de domínio em uma floresta diferente.

    3. Depois de instalar o Active Directory, inicie o Assistente de Instalação do Active Directory novamente e remova o Active Directory do controlador de domínio.

  8. Depois de remover o Active Directory de um controlador de domínio, remova os metadados deixados no domínio. Para obter mais informações sobre como remover esses metadados, consulte Como remover dados no Active Directory após um rebaixamento mal sucedido do controlador de domínio.

Status

A Microsoft testou e dá suporte ao rebaixamento forçado de controladores de domínio que estão executando o Windows 2000 ou o Windows Server 2003.

Mais informações

O Assistente de Instalação do Active Directory cria controladores de domínio do Active Directory em computadores baseados no Windows 2000 e no Windows Server 2003. As operações executadas pelo Assistente de Instalação do Active Directory incluem a instalação de novos serviços, alterações nos valores de inicialização dos serviços existentes e a transição para o Active Directory como um reino de segurança e autenticação.

Com o rebaixamento forçado, um administrador de domínio pode remover à força o Active Directory e reverter as alterações no sistema localmente mantidas sem precisar contatar ou replicar quaisquer alterações realizadas localmente em outro controlador de domínio na floresta.

Como o rebaixamento forçado causa a perda de quaisquer alterações realizadas localmente, use-a apenas como último recurso em domínios de produção ou teste. Você pode rebaixar à força os controladores de domínio quando as dependências do mecanismo de conectividade, resolução de nomes, autenticação ou replicação não podem ser resolvidas para que o rebaixamento gracioso possa ser executado. Cenários válidos para rebaixamentos forçados incluem o seguinte:

  • Não há controladores de domínio atualmente disponíveis no domínio pai quando você tenta rebaixar o último controlador de domínio em um domínio filho imediato.

  • O Assistente de Instalação do Active Directory não pode ser concluído porque há uma resolução de nomes, autenticação, mecanismo de replicação ou dependência de objeto do Active Directory que você não pode resolve depois de executar uma solução de problemas detalhada.

  • Um controlador de domínio não replicou as alterações de entrada do Active Directory no Tombstone Lifetime (o tempo de vida padrão de Tombstone é de 60 dias) para um ou mais contextos de nomenclatura.

    Importante

    Não recupere esses controladores de domínio, a menos que eles sejam a única chance de recuperação para um domínio específico.

  • O tempo não permite uma solução de problemas mais detalhada porque você deve colocar imediatamente em serviço o controlador de domínio. Rebaixamentos forçados podem ser úteis em ambientes de laboratório e sala de aula em que você pode remover controladores de domínio de domínios existentes, mas você não precisa rebaixar cada controlador de domínio serialmente.

Se você forçar o rebaixamento de um controlador de domínio, perderá todas as alterações exclusivas que residem no Active Directory do controlador de domínio que você está rebaixando à força. Isso inclui a adição, exclusão ou modificação de usuários, computadores, grupos, relações de confiança e Política de Grupo ou configuração do Active Directory que não foi replicada antes de executar o dcpromo /forceremoval comando. Além disso, você perderá alterações em qualquer um dos atributos nesses objetos, como senhas para usuários, computadores e relações de confiança e associação de grupo.

No entanto, se você forçar o rebaixamento de um controlador de domínio, retornará o sistema operacional a um estado que é o mesmo que o rebaixamento bem-sucedido do último controlador de domínio em um domínio (valores de início de serviço, serviços instalados, uso de um SAM baseado em registro para o banco de dados da conta, o computador é membro de um grupo de trabalho). Os programas instalados no controlador de domínio rebaixado permanecem instalados.

O log de eventos do Sistema identifica controladores de domínio do Windows 2000 rebaixados à força e instâncias da dcpromo /forceremoval operação pela ID do evento 29234. Por exemplo: o log de eventos do Sistema identifica controladores de domínio do Windows Server 2003 rebaixados à força pela ID do evento 29239. Por exemplo: depois de usar o comando, os dcpromo /forceremoval metadados do computador rebaixado não são excluídos em controladores de domínio sobreviventes. Para obter mais informações, consulte Limpar metadados do servidor do Controlador Domínio do Active Directory.

Veja a seguir os itens que você deve abordar, se aplicável, depois de rebaixar à força um controlador de domínio:

  1. Remova a conta do computador do domínio.
  2. Verifique se os registros DNS, como A, CNAME e REGISTROS SRV, são removidos e remova-os se estiverem presentes.
  3. Verifique se os objetos membros do FRS (FRS e DFS) foram removidos e remova-os se eles estiverem presentes.
  4. Se o computador rebaixado for membro de qualquer grupo de segurança, remova-o desses grupos.
  5. Remova todas as referências do DFS ao servidor rebaixado, como links ou réplicas raiz.
  6. Um controlador de domínio sobrevivente deve aproveitar todas as operações master funções, também conhecidas como operações de master simples flexíveis ou FSMO, que foram anteriormente mantidas pelo controlador de domínio rebaixado à força. Para obter mais informações, consulte Transferir ou apreender funções do Operation Master em Active Directory Domain Services.
  7. Se o controlador de domínio que você está rebaixando for um servidor DNS ou um servidor de catálogo global, você deverá criar um novo servidor GC ou DNS para atender às configurações de balanceamento de carga, tolerância a falhas e configuração na floresta.
  8. Quando você usa o comando remover o servidor selecionado no NTDSUTIL, o objeto NTDSDSA, o objeto pai para conexões de entrada com o controlador de domínio que você rebaixou à força é removido. O comando não remove os objetos do servidor pai que aparecem no snap-in sites e serviços. Use o snap-in MMC de Sites e Serviços do Active Directory para remover o objeto do servidor se o controlador de domínio não for promovido para a floresta com o mesmo nome do computador.