Os controladores de domínio não são rebaixados corretamente ao usar o Assistente para instalação do Active Directory no Windows Server 2003 e no Windows 2000 Server

Os controladores de domínio do Microsoft Windows 2000 ou do Microsoft Windows Server 2003 podem não rebaixar normalmente usando o Assistente para instalação do Active Directory (Dcpromo.exe).

Este comportamento pode ocorrer se uma dependência ou operação necessária falhar. Isso inclui conectividade de rede, resolução de nome, autenticação, duplicação de serviço do Active Directory ou o local de um objeto crítico no Active Directory.

Para resolver esse comportamento, determine o que está impedindo o rebaixamento normal do controlador de domínio do Windows 2000 ou do Windows Server 2003 e tente rebaixá-lo usando o Assistente para instalação do Active Directory novamente.

Se não for possível resolver o comportamento, você poderá usar as seguinte soluções para realizar um rebaixamento forçado do controlador de domínio para preservar a instalação do sistema operacional e de quaisquer aplicativos que ele contenha.

Aviso Antes de usar uma das seguintes soluções, verifique se pode iniciar com êxito no modo de restauração dos serviços de diretório. Caso contrário, não será possível fazer o logon após rebaixar o computador de maneira forçada. Se não lembrar a senha do modo de restauração dos serviços de diretório, você poderá redefini-la usando o utilitário Setpwd.exe localizado na pasta Winnt\System32. No Windows Server 2003, a funcionalidade do utilitário Setpwd.exe foi integrada no comando Set DSRM Password da ferramenta NTDSUTIL. Para obter informações adicionais sobre realizar este procedimento, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

Controladores de domínio do Windows 2000

1. Instale o hotfix Q332199 em um controlador de domínio do Windows 2000 executando o Service Pack 2 (SP2) ou psterior, ou instale o Windows 2000 Service Pack 4 (SP4). O SP2 e as versões posteriores suportam o rebaixamento forçado. Então, reinicie o computador.
2. Clique em Iniciar, em Executar e digite o seguinte comando:
   dcpromo /forceremoval
3. Clique em OK.
4. Na página Bem-vindo ao Assistente para instalação do Active Directory, clique em Avançar.
5. Se o computador a ser removido for um servidor de catálogo global, clique em OK na janela da mensagem.
   
   Observação Promova catálogos globais adicionais na floresta ou no site se o controlador de domínio que estiver rebaixando for um servidor de catálogo global, conforme necessário.
6. Na página Remover o Active Directory, verifique se a caixa de seleção Este servidor é o último controlador de domínio no domínio está desmarcada e clique em Avançar.
7. Na página Credenciais de rede, digite o nome, senha e domínio para uma conta de usuário com credenciais de administrador de empresas na floresta e clique em Avançar.
8. Em Senha do administrador, digite a senha e confirme a senha que deseja atribuir à conta de administrador do banco de dados SAM local e clique em Avançar.
9. Na página Resumo, clique em Avançar.
10. Realize uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se um domínio foi removido da floresta usando o comando remove selected domain no Ntdsutil, verifique se todos os controladores de domínio e servidores de catálogo global na floresta removeram todos os objetos e referências para o domínio que acabou de remover antes de elevar um novo domínio à mesma floresta com o mesmo nome de domínio. Ferramentas como Replmon.exe ou Repadmin.exe das Ferramentas de suporte do Windows 2000 podem ajudá-lo a determinar se a duplicação de ponta a ponta ocorreu. Servidores de catálogo global do Windows 2000 SP3 e versões mais antigas são bem mais lentos para remover objetos e contextos de nomeação do que o Windows Server 2003.

Controladores de domínio do Windows Server 2003

1. Controladores de domínio do Windows Server 2003 suportam o rebaixamento forçado por padrão. Clique em Iniciar, em Executar e digite o seguinte comando:
   dcpromo /forceremoval
2. Clique em OK.
3. Na página Bem-vindo ao Assistente para instalação do Active Directory, clique em Avançar.
4. Na página Forçar a remoção do Active Directory, clique em Avançar.
5. Em Senha do administrador, digite a senha e confirme a senha que deseja atribuir à conta de administrador do banco de dados SAM local e clique em Avançar.
6. Em Resumo, clique em Avançar.
7. Realize uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se um domínio foi removido da floresta usando o comando remove selected domain no Ntdsutil, verifique se todos os controladores de domínio e servidores de catálogo global na floresta removeram todos os objetos e referências para o domínio que acabou de remover antes de elevar um novo domínio à mesma floresta com o mesmo nome de domínio. Servidores de catálogo global do Windows 2000 Service Pack 3 (SP3) e versões mais antigas são bem mais lentos para remover objetos e contextos de nomeação do que o Windows Server 2003.

Se ACEs (entradas de controle de acesso) de recurso no computador do qual removeu o Active Directory tinham base nos grupos locais de domínio, poderá haver a necessidade de reconfigurar essas permissões, porque esses grupos não estarão disponíveis para servidores membros ou autônomos. Se você estiver pensando em instalar o Active Directory no computador para torná-lo um controlador de domínio no domínio original, não será mais necessário configurar as listas de controle de acesso (ACLs). Se preferir deixar o computador como um servidor membro ou autônomo, quaisquer permissões com base em grupos locais de domínio devem ser traduzidas ou substituídas. Para obter informações adicionais sobre como as permissões são afetadas após a remoção do Active Directory de um controlador de domínio, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

Aperfeiçoamentos do Windows Server 2003 Service Pack 1

O Windows Server 2003 SP1 aperfeiçoa o processo dcpromo /forceremoval. Quando dcpromo /forceremoval é executado, uma verificação é feita para determinar se o controlador de domínio hospeda uma função mestre de operações, é um servidor DNS (Domain Name System), ou um servidor de catálogo global. Para cada uma dessas funções, o administrador recebe um aviso de popup aconselhando que o administrador tome as ações denecessárias.

A Microsoft testou e suporta o rebaixamento forçado de controladores de domínio que executam o Windows 2000 ou o Windows Server 2003.

O Assistente para instalação do Active Directory cria controladores de domínio do Active Directory em computadores com Windows 2000 e com Windows Server 2003. Entre as operações realizadas pelo Assistente para instalação do Active Directory estão a instalação de novos serviços, alterações nos valores de inicialização de serviços existentes e a transição para Active Directory com um território de segurança e autenticação.

Com o rebaixamento forçado, um administrador de domínio pode remover de maneira forçada o Active Directory e reverter alterações do sistema feitas localmente sem ter que contatar ou duplicar nenhuma alteração feita localmente para outro controlador de domínio na floresta.

Como o rebaixamento forçado causa a perda de quaisquer alterações feitas localmente, use-o apenas como última alternativa em domínios de produção ou teste. É possível rebaixar de maneira forçada controladores de domínio quando dependências de conectividade, resolução de nome, autenticação ou mecanismo de duplicação não podem ser resolvidas, de modo que o rebaixamento normal possa ser realizado. Entre as situações válidas para o uso do rebaixamento forçado estão:

• Não existem controladores de domínio disponíveis no momento no domínio pai ao tentar rebaixar o último controlador de domínio em um domínio filho imediato.
• O Assistente para instalação do Active Directory não pode ser concluído porque existe uma dependência de resolução de nome, autenticação, mecanismo de duplicação ou de objeto do Active Directory que não poder ser resolvida após a realização de uma solução de problemas detalhada.
• Um controlador de domínio não duplicou alterações de entrada do Active Directory no número de dias de vida útil para desativação (a vida útil para desativação padrão é 60 dias) para um ou mais contextos de nomeação.
  
  Importante Não recupere tais controladores de domínio a menos que eles sejam a única chance de recuperação de um domínio específico.
• O tempo não permite soluções de problemas detalhadas adicionais porque é necessário fazer o controlador de domínio funcionar imediatamente.

Rebaixamentos forçados podem ser úteis em ambientes de laboratório e de sala de aula nos quais é possível remover controladores de domínio dos domínios existentes, no entanto, não é necessário rebaixar cada controlador de domínio de maneira serial.

Se você forçar o rebaixamento de um controlador de domínio, perderá quaisquer alterações exclusivas que residam no Active Directory do controlador de domínio que está rebaixando de maneira forçada. Isso inclui a adição, exclusão ou modificação de usuários, computadores, grupos, relações de confiança e Diretiva de grupo ou configuração do Active Directory que não replicou antes da execução do comando dcpromo /forceremoval. Além disso, você perderá as alterações de quaisquer atributos nesse objetos, como senhas para usuários, computadores e relações de confiança e associações de grupo.

No entanto, se você forçar o rebaixamento de um controlador de domínio, retornará o sistema operacional para um estado igual ao do rebaixamento com êxito do último controlador de domínio no domínio (valores de inicialização de serviço, serviços instalados, uso de um SAM com base no Registro para o banco de dados da conta, computador membro de um grupo de trabalho). Os programas instalados no controlador de domínio rebaixado permanecem instalados.

O log de eventos do sistema identifica controladores de domínio do Windows 2000 rebaixados de maneira forçada e instâncias da operação dcpromo /forceremoval pela identificação do evento 29234. Por exemplo:

Tipo de evento: AVISO
Fonte de evento: lsasrv
Categoria do evento: Nenhuma
Identificação do evento: 29234
Data: DD/MM/AAAA
Hora: HH:MM:SS
Usuário: N/A
Computador: nome do computador Descrição: O servidor foi rebaixado de maneira forçada. Não é mais um controlador de domínio.

O log de eventos do sistema identifica controladores de domínio do Windows Server 2003 rebaixados de maneira forçada pela identificação do evento 29239. Por exemplo:

Tipo de evento: AVISO
Fonte de evento: lsasrv
Categoria do evento: Nenhuma
Identificação do evento: 29239
Data: DD/MM/AAAA
Hora: HH:MM:SS
Usuário: N/A
Computador: nome do computador Descrição: O servidor foi rebaixado de maneira forçada. Não é mais um controlador de domínio.

Após usar o comando dcpromo /forceremoval, os metadados para o computador rebaixado não são excluídos nos controladores de domínios sobreviventes. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: A seguir estão itens que devem ser abordados, se for aplicável, após o rebaixamento forçado de um controlador de domínio:

1. Remover a conta do computador do domínio.
2. Verifique se os registros DNS, como A, CNAME e registros SRV, foram removidos e remova-os se eles existirem.
3. Verifique se os objetos membros FRS (FRS e DFS) foram removidos e remova-os se existirem. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
   296183  (http://support.microsoft.com/kb/296183/ ) Visão geral dos objetos do Active Directory usados pelo FRS
4. Se o computador rebaixado for um membro de qualquer grupo de segurança, remova-o desse grupo.
5. Remova quaisquer referências DFS ao servidor rebaixado, como links ou réplicas raiz.
6. Um controlador de domínio sobrevivente deve executar quaisquer funções de mestre de operações, também conhecidas como flexible single master operations ou FSMO, que eram mantidas anteriormente pelo controlador de domínio rebaixado de maneira forçada. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
   255504  (http://support.microsoft.com/kb/255504/ ) Usar o Ntdsutil.exe para executar ou transferir as funções FSMO para um controlador de domínio
7. Se o controlador de domínio que está rebaixando for um servidor DNS ou servidor de catálogo global, será necessário criar um novo servidor GC ou DNS para satisfazer as definições de balanceamento de carga, tolerância a falha e configurações na floresta.
8. Ao usar o comando remove selected server no NTDSUTIL, o objeto NTDSDSA, o objeto pai para conexões de entrada com o controlador de domínio rebaixado de maneira forçada, é removido. O comando não remove os objetos do servidor pai que aparecem no snap-in Sites e serviços. Use o snap-in MMC sites e serviços do Active Directory para remover o objeto do servidor se o controlador de domínio não for elevado à floreta com o mesmo nome de computador.