Controlerele de domeniu nu se retrogradează cu eleganță când utilizați Active Directory Installation Wizard pentru a impune retrogradarea în Windows Server 2003 și în Windows 2000 Server

Controlerele de domeniu Microsoft Windows 2000 sau Microsoft Windows Server 2003 pot să nu se retrogradeze cu eleganță când se utilizează Active Directory Installation Wizard (Dcpromo.exe).

Acest comportament poate apărea dacă o dependență necesară sau o operațiune necesară eșuează. Acestea includ conectivitatea de rețea, rezolvarea numelor, autentificarea, reproducerea serviciilor de director Active Directory sau amplasarea unui obiect critic în Active Directory.

Pentru a rezolva acest comportament, determinați ce anume împiedică retrogradarea cu eleganță a controlerului de domeniu Windows 2000 sau Windows Server 2003, apoi încercați din nou să retrogradați controlerul de domeniu, utilizând Active Directory Installation Wizard.

Dacă nu se poate rezolva acest comportament, aveți posibilitatea să utilizați următoarele soluții pentru efectuarea unei retrogradări impuse a controlerului de domeniu, pentru a păstra instalarea sistemului de operare și aplicațiile existente pe el.

Avertisment Înainte de a utiliza oricare din soluțiile următoare, asigurați-vă că sunteți în măsură să porniți cu succes în modul Directory Services Restore. În caz contrar, nu va mai fi posibil să faceți Log on după retrogradarea impusă a computerului. Dacă nu vă reamintiți parola modului Directory Services Restore, aveți posibilitatea să reinițializați parola cu ajutorul utilitarului Setpwd.exe care este situat în folderul Winnt\System32. În Windows Server 2003, funcționalitatea utilitarului Setpwd.exe a fost integrată în comanda Set DSRM Password din instrumentul NTDSUTIL. Pentru informații suplimentare privind modul de efectuare al acestei proceduri, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:

Controlere de domeniu Windows 2000

1. Instalați remedierea rapidă Q332199 pe un controler de domeniu Windows 2000 care execută Service Pack 2 (SP2) sau o versiune mai recentă, sau instalați Windows 2000 Service Pack 4 (SP4). Versiunile SP2 și mai recente acceptă retrogradarea impusă. Apoi, reporniți computerul.
2. Faceți clic pe Start, pe Run, apoi tastați următoarea comandă:
   dcpromo /forceremoval
3. Faceți clic pe OK.
4. Pe pagina Welcome to the Active Directory Installation Wizard, faceți clic pe Next.
5. Când computerul pe care îl eliminați este un server catalog global, faceți clic pe OK în fereastra mesajului.
   
   Notă În cazul în care controlerul de domeniu pe care îl retrogradați este un server catalog global, promovați, după necesități, cataloguri globale suplimentare în pădure sau pe site.
6. Pe pagina Remove Active Directory, asigurați-vă că este debifată caseta de selectare This server is the last domain controller in the domain, apoi faceți clic pe Next.
7. Pe pagina Network Credentials, tastați numele, parola și numele de domeniu pentru un cont de utilizator cu acreditări de administrator de firmă în pădure, apoi faceți clic pe Next.
8. În Administrator Password, tastați parola și confirmarea parolei pe care doriți să o atribuiți contului de administrator al bazei de date locale SAM, apoi faceți clic pe Next.
9. În pagina Summary, faceți clic pe Next.
10. Efectuați o curățire a metadatelor controlerului de domeniu retrogradat pe un controler de domeniu existent în pădure.

Dacă ați eliminat un domeniu din pădure utilizând comanda remove selected domain din Ntdsutil, verificați că toate controlerele de domeniu și serverele de catalog global din pădure au eliminat toate referințele și obiectele referitoare la domeniul care tocmai a fost eliminat, înainte de a promova un nou domeniu în aceeași pădure și cu același nume de domeniu. Instrumente ca Replmon.exe sau Repadmin.exe pentru Windows 2000 Support Tools vă pot ajuta să determinați dacă a avut loc reproducerea completă. Windows 2000 SP3 și serverele de catalog global mai vechi sunt vizibil mai lente în eliminarea obiectelor și denumirea obiectelor decât Windows Server 2003.

Controlere de domeniu Windows Server 2003

1. În mod implicit, controlerele de domeniu Windows Server 2003 acceptă retrogradarea impusă. Faceți clic pe Start, pe Run, apoi tastați următoarea comandă:
   dcpromo /forceremoval
2. Faceți clic pe OK.
3. Pe pagina Welcome to the Active Directory Installation Wizard, faceți clic pe Next.
4. Pe pagina Force the Removal of Active Directory, faceți clic pe Next.
5. În Administrator Password, tastați parola și confirmarea parolei pe care doriți să o atribuiți contului de administrator al bazei de date locale SAM, apoi faceți clic pe Next.
6. În Summary, faceți clic pe Next.
7. Efectuați o curățire a metadatelor controlerului de domeniu retrogradat pe un controler de domeniu existent în pădure.

Dacă ați eliminat un domeniu din pădure utilizând comanda remove selected domain din Ntdsutil, verificați că toate controlerele de domeniu și serverele de catalog global din pădure au eliminat toate referințele și obiectele referitoare la domeniul care tocmai a fost eliminat, înainte de a promova un nou domeniu în aceeași pădure și cu același nume de domeniu. Windows 2000 Service Pack 3 (SP3) și serverele de catalog global mai vechi sunt vizibil mai lente în efectuarea eliminării obiectelor și a denumirii contextelor decât Windows Server 2003.

Dacă ACE-urile (intrările de control al accesului) ale resurselor computerului de pe care ați eliminat Active Directory erau bazate pe grupuri locale ale domeniului, aceste permisiuni trebuie reconfigurate, deoarece aceste grupuri nu vor fi disponibile pentru serverele membre sau independente. Dacă plănuiți să instalați Active Directory pe computer pentru a-l face controler de domeniu pe domeniul original, nu mai este necesar să configurați listele de control al accesului (ACL-uri). Dacă preferați să lăsați computerul ca server membru sau independent, orice permisiuni bazate pe grupurile din domeniul local trebuie să fie translatate sau înlocuite. Pentru informații suplimentare privind modul în care eliminarea Active Directory afectează permisiunile, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:

Îmbunătățiri Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 îmbunătățește procesul dcpromo /forceremoval. Când se execută dcpromo /forceremoval, are loc o verificare pentru a se determina dacă acel controler de domeniu găzduiește un rol de coordonator de operațiuni, dacă este un server DNS (Domain Name System) sau este un server de catalog global. Pentru fiecare dintre aceste roluri, administratorul primește un avertisment popup care recomandă administratorului să acționeze în mod corespunzător.

În situația în care controlerul de domeniu nu poate porni în modul normal

Avertisment Pot apărea probleme grave dacă modificați incorect registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi remediate. Modificați registry pe propriul risc.

Important Urmați acești pași numai ca o ultimă măsură, în cazul în care controlerul de domeniu nu poate să pornească normal.

Pentru a elimina Active Directory dintr-un controler de domeniu, urmați acești pași:

1. Reporniți computerul, apoi apăsați F8 pentru a afișa meniul Windows 2000 Advanced Options.
2. Alegeți Directory Services Restore Mode, apăsați ENTER, apoi apăsați din nou ENTER pentru a continua repornirea.
3. Modificați intrarea ProductType din registry. Pentru aceasta, urmați acești pași:
   1. Faceți clic pe Start, pe Run, tastați regedit, apoi faceți clic pe OK.
   2. Identificați următoarele sub-chei registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
   3. În panoul din dreapta, faceți dublu clic pe ProductType.
   4. Tastați ServerNT în caseta Value data, apoi faceți clic pe OK.
      
      Notă Dacă această valoare nu este setată corect sau este introdusă greșit, veți primi următorul mesaj de eroare:
      System Process - License Violation: The system has detected tampering with your registered product type. This is a violation of your software license. Tampering with product type is not permitted.
   5. Închideți editorul Registry.
4. Reporniți computerul.
5. Faceți Log on cu contul de administrator și parola utilizată pentru modul Directory Service Repair.
   
   Computerul se va comporta ca un server membru. Însă, mai există pe computer unele intrări de fișier și de registry care sunt asociate controlerului de domeniu.
6. Porniți Registry Editor și identificați următoarea intrare de registry:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
   Dacă există o intrare pentru Src Root Domain Srv, faceți clic cu butonul din dreapta pe acea valoare, apoi faceți clic pe Delete. Această valoare trebuie ștearsă astfel încât, după promovare, controlerul de domeniu să se vadă pe sine însuși ca unic controler de domeniu al domeniului.
7. Eliminați fișierele și intrările registry rămase. Pentru aceasta, urmați acești pași:
   1. Porniți Active Directory Installation Wizard.
   2. Instalați Active Directory pentru a face computerul controler de domeniu pentru un domeniu nou, temporar, cum ar fi „psstemp.deleteme”.
      
      Notă Asigurați-vă că stabiliți computerul ca un controler de domeniu într-o altă pădure.
   3. După ce instalați Active Directory, porniți din nou Active Directory Installation Wizard, apoi eliminați Active Directory din controlerul de domeniu.
8. După ce eliminați Active Directory dintr-un controler de domeniu, eliminați și metadatele rămase în acel domeniu. Pentru informații suplimentare despre eliminarea acestor metadate, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
   216498  (http://support.microsoft.com/kb/216498/ ) Cum se elimină datele din Active Directory după o retrogradare eșuată a controlerului de domeniu (articolul poate să fie în limba engleză)

Microsoft a testat și acceptă retrogradarea impusă a controlerelor de domeniu care execută Windows 2000 sau Windows Server 2003.

Active Directory Installation Wizard creează controlere de domeniu Active Directory pe computerele Windows 2000 și Windows Server 2003. Operațiile executate de către Active Directory Installation Wizard includ instalarea de servicii noi, schimbări ale valorilor de pornire ale serviciilor existente și tranziția la Active Directory ca zonă de securitate și autentificare.

Utilizând retrogradarea impusă, un administrator de domeniu poate elimina forțat Active Directory și poate reveni la schimbările locale de sistem, fără să fie necesare contactarea sau reproducerea oricăror modificări către un alt controler de domeniu din pădure.

Din cauză că retrogradarea impusă duce la pierderea oricăror modificări locale, utilizați-o numai ca ultimă măsură în producerea sau testarea de domenii. Aveți posibilitatea să impuneți retrogradarea controlerelor de domeniu când conectivitatea, rezolvarea numelor, autentificarea sau dependențele motorului de reproducere nu pot fi rezolvate astfel încât să fie posibilă o retrogradare elegantă. Scenariile valabile pentru retrogradările impuse includ următoarele:

• Când încercați să retrogradați ultimul controler de domeniu dintr-un domeniu fiu imediat, în domeniul părinte nu există niciun controler de domeniu disponibil în acel moment.
• Active Directory Installation Wizard nu se poate termina, deoarece există o rezolvare de nume, o autentificare, un motor de reproducere sau o dependență obiect Active Directory care nu se poate rezolva după ce se efectuează o depanare detaliată.
• Un controler de domeniu nu a reprodus modificările de intrare Active Directory în numărul de zile Tombstone Lifetime (valoarea implicită pentru Tombstone Lifetime este de 60 zile) pentru unul sau mai multe contexte de denumire.
  
  Important Recuperați astfel de controlere de domeniu numai dacă ele sunt singura șansă de recuperare a unui anumit domeniu.
• Nu există timp pentru o depanare mai detaliată, deoarece controlerul de domeniu trebuie repus în funcțiune imediat.

Retrogradările impuse pot fi utile în medii de laborator și săli de clasă, unde controlerele de domeniu pot fi eliminate din domeniile existente fără să fie necesară retrogradarea fiecărui controler de domeniu în parte.

Dacă impuneți retrogradarea unui controler de domeniu, veți pierde orice modificări unice ce se află în Active Directory al controlerului de domeniu pe care îl retrogradați impus. Aceasta include adăugarea, ștergerea sau modificarea utilizatorilor, computerelor, grupurilor, relațiilor de încredere și a configurației Group Policy sau Active Directory care nu s-au reprodus înainte de executarea comenzii dcpromo /forceremoval. În plus, veți pierde modificările efectuate în atributele acestor obiecte, cum ar fi parole pentru utilizatori, computere, relații de încredere și calitatea de membru al grupului.

Însă, dacă impuneți retrogradarea unui controler de domeniu, veți returna sistemul de operare în aceeași stare ca cea de după retrogradarea cu succes a ultimului controler de domeniu dintr-un domeniu (valori de pornire a serviciilor, servicii instalate, utilizarea unui SAM registry pentru baza de date a conturilor, computerul este membru al unui grup de lucru). Programele care sunt instalate pe controlerul de domeniu retrogradat rămân instalate.

Jurnalul de evenimente de sistem identifică acele controlere de domeniu Windows 2000 retrogradate impus și instanțele operațiunii dcpromo /forceremoval prin ID-ul de eveniment 29234. De exemplu:

Event Type: WARNING
Event Source: lsasrv
Event Category: None
Event ID: 29234
Date: MM/DD/YYYY
Time: HH:MM:SS AM|PM
User: N/A
Computer: numecomputer Description: The server was force demoted. It is no longer a Domain controller.

The System event log identifies forcibly demoted Windows Server 2003 domain controllers by event ID 29239. For example:

Event Type: WARNING
Event Source: lsasrv
Event Category: None
Event ID: 29239
Date: MM/DD/YYYY
Time: HH:MM:SS AM|PM
User: N/A
Computer: numecomputer Description: The server was force demoted. It is no longer a Domain controller.

După ce utilizați comanda dcpromo /forceremoval, metadatele pentru computerul retrogradat nu se șterg din controlerele de domeniu rămase. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft: Mai jos se află elementele pe care trebuie să le rezolvați, dacă este cazul, după ce ați retrogradat în mod impus un controler de domeniu:

1. Eliminați contul computerului din domeniu.
2. Verificați că s-au eliminat înregistrările DNS, cum ar fi A, CNAME și SRV și eliminați-le dacă sunt prezente.
3. Verificați că s-au eliminat obiectele membre FRS (FRS și DFS) și eliminați-le dacă sunt prezente. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
   296183  (http://support.microsoft.com/kb/296183/ ) Prezentare generală a obiectelor Active Directory utilizate de către FRS (articolul poate să fie în limba engleză)
4. În cazul în care computerul retrogradat este membru al oricăror grupuri de securitate, eliminați-l din acele grupuri.
5. Eliminați orice referințe DFS referitoare la serverul retrogradat, cum ar fi reproduceri de rădăcină sau linkuri.
6. Unul din controlerele de domeniu rămase trebuie să își asume oricare din rolurile de coordonator de operațiuni, cunoscute și ca FSMO (Flexible Single Master Operations), care erau deținute anterior de controlerul de domeniu retrogradat în mod impus. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
   255504  (http://support.microsoft.com/kb/255504/ ) Utilizarea Ntdsutil.exe pentru asumarea sau transferul rolurilor FSMO la un controler de domeniu (articolul poate să fie în limba engleză)
7. În cazul în care controlerul de domeniu pe care îl retrogradați este un server DNS sau un server de catalog global, trebuie să creați un nou server GC sau DNS pentru a satisface echilibrarea încărcăturii, toleranța la erori și setările configurației în pădure.
8. Când utilizați comanda remove selected server din NTDSUTIL, se elimină și obiectul NTDSDSA, obiectul părinte pentru conexiunile de intrare la controlerul de domeniu pe care l-ați retrogradat în mod impus. Comanda nu elimină obiectele server părinte care apar în utilitarul de completare snap-in Sites and Services. Utilizați utilitarul de completare snap-in Active Directory Sites and Services din MMC pentru a elimina obiectul server, în cazul în care controlerul de domeniu nu va fi promovat în pădure cu același nume de computer.