Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно

Переводы статьи Переводы статьи
Код статьи: 332199 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

В некоторых случаях правильно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается.

Причина

Такое поведение наблюдается в случае сбоя определенной зависимости или операции, например подключения к сети, разрешения имен, проверки подлинности, репликации службы каталогов Active Directory или определения месторасположения критически важного объекта в Active Directory.

Решение

Для устранения этой проблемы необходимо определить причину неправильного понижения роли контроллера домена под управлением Windows 2000 или Windows Server 2003 и повторить попытку с помощью мастера установки Active Directory.

Примечание. Для Windows Server 2008 режим восстановления служб каталогов (DSRM) такой же, как и для Windows Server 2003, за одним исключением. В Windows Server 2008 вы можете выполнить команду dcpromo/forceremoval, чтобы принудительно удалить доменные службы Active Directory с контроллера домена, запущенного в режиме DSRM, как и в случае остановленных доменных служб Active Directory. Для восстановления данных состояния системы из резервной копии контроллер домена должен быть запущен в режиме DSRM. Дополнительные сведения см. в следующей статье TechNet:

Временное решение

Если решить проблему не удается, воспользуйтесь представленными ниже способами принудительного понижения роли контроллеров домена с сохранением экземпляра операционной системы и установленных приложений.

Внимание! Предварительно убедитесь в наличии пароля для загрузки компьютера в режиме восстановления службы каталогов. В противном случае после понижения его роли войти в систему не удастся. Пароль для загрузки компьютера в режиме восстановления службы каталогов можно сбросить с помощью средства Setpwd.exe из папки Winnt\System32. В Windows Server 2003 функции средства Setpwd.exe интегрированы в команду Set DSRM Password (средство NTDSUTIL). Дополнительные сведения о необходимых для этого действиях см. в следующей статье базы знаний Майкрософт:
271641 Мастер настройки конфигурации компьютера оставляет пароль режима восстановления пустым (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Контроллер домена под управлением Windows 2000

  1. На контроллере домена под управлением Windows 2000 с пакетом обновления 2 (SP2) или более высокой версии установите исправление Q332199 или пакет обновления 4 (SP4). В пакетах обновления, начиная с 2 (SP2), реализована поддержка принудительного понижения роли контроллеров домена. Перезагрузите компьютер.
  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
    dcpromo /forceremoval
  3. Нажмите кнопку ОК.
  4. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
  5. Нажмите в окне сообщения кнопку ОК, если удаляемый компьютер является сервером глобального каталога.

    Примечание. Если удаляемый компьютер является сервером глобального каталога, в соответствующем лесу или узле эту роль необходимо передать другому контроллеру домена.
  6. На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.
  7. На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.
  8. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
  9. Нажмите кнопку Далее на странице Сводка.
  10. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.
Если домен был удален из леса в программе Ntdsutil с помощью команды remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Для определения факта успешного завершения полной репликации воспользуйтесь средством Replmon.exe или Repadmin.exe из состава служебных программ Windows 2000. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Контроллер домена под управлением Windows Server 2003

  1. Поддержка принудительного понижения роли реализована в Windows Server 2003 изначально. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
    dcpromo /forceremoval
  2. Нажмите кнопку ОК.
  3. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
  4. На странице Принудительное удаление службы Active Directory нажмите кнопку Далее.
  5. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
  6. Нажмите кнопку Далее на странице Сводка.
  7. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.
Если домен был удален из леса в программе Ntdsutil с помощью команды remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать. Для получения дополнительных сведений о том, как удаление Active Directory из контроллера домена влияет на существующие разрешения, обратитесь к следующей статье базы знаний Майкрософт:
320230 Понижение роли контроллера домена оказывает влияние на настроенные разрешения (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Улучшения Windows Server 2003 с пакетом обновления 1 (SP1)

Пакет обновления Windows Server 2003 SP1 улучшает процесс dcpromo /forceremoval. При выполнении команды dcpromo /forceremoval осуществляется проверка, имеет ли контроллер домена роль хозяина операций, является сервером службы доменных имен (DNS) или сервером глобальных каталогов. Для каждой из этих ролей администратор получает всплывающее уведомление с указаниями по выполнению соответствующих действий.

Если контроллер домена не удается запустить в нормальном режиме

Важно! Этот раздел, описание метода или задачи объясняют, как изменять реестр. Однако их неправильное изменение может привести к возникновению серьезных проблем, поэтому при выполнении этих действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Важно! Следуйте этим инструкциям лишь в крайнем случае, если контроллер домена не удается запустить в нормальном режиме.

Чтобы удалить Active Directory с контроллера домена, необходимо выполнить следующие действия.
  1. Перезагрузите компьютер и нажмите клавишу F8 для отображения меню дополнительных вариантов загрузки Windows 2000.
  2. Выберите Режим восстановления служб каталогов, нажмите клавишу ВВОД, а затем — снова клавишу ВВОД, чтобы продолжить перезагрузку.
  3. Измените в системном реестре значение параметра ProductType. Для этого выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите в меню пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
    2. Найдите следующий раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. Дважды щелкните на правой панели параметр ProductType.
    4. Введите ServerNT в поле Значение и нажмите кнопку ОК.

      Примечание. Если указать значение параметра неправильно, появится следующее сообщение об ошибке:
      Системный процесс — Нарушение лицензии: Система обнаружила нарушения зарегистрированного типа продукта. Это является нарушением лицензии на программу. Изменение типа продукта не допускается.
    5. Закройте редактор реестра.
  4. Перезагрузите компьютер.
  5. Войдите в систему с помощью учетной записи администратора и пароля, который используется для режима восстановления службы каталогов.

    Компьютер ведет себя как рядовой сервер, но все еще существует несколько файлов и записей в реестре, присущих контроллеру домена.
  6. Откройте редактор реестра и найдите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Если имеется параметр
    Src Root Domain Srv
    , щелкните его правой кнопкой мыши и выберите команду Удалить. Этот параметр необходимо удалить, чтобы компьютер после повышения роли считал себя единственным контроллером в домене.

    Важно! Описанное выше действие особо важно. Без него повторное повышение роли в лесу Active Directory, работающем во временном режиме, не будет выполнено. Вы не сможете войти в контроллер домена.
  7. Удалите оставшиеся файлы и параметры реестра. Для этого выполните следующие действия.
    1. Запустите мастер установки Active Directory.
    2. Установите Active Directory, чтобы сделать компьютер контроллером нового, временного домена, например psstemp.deleteme.

      Примечание. Компьютер должен быть повышен до уровня контроллера домена в другом лесу.
    3. После установки Active Directory повторно запустите мастер установки Active Directory и удалите Active Directory с контроллера домена.
  8. После этого удалите оставшиеся в домене метаданные. Дополнительные сведения об удалении метаданных см. в следующей статье базы знаний Майкрософт:
    216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена

Статус

Корпорация Майкрософт провела тестирование и поддерживает принудительное понижение роли контроллеров домена под управлением Windows 2000 и Windows Server 2003.

Дополнительная информация

Мастер установки Active Directory предназначен для повышения роли компьютеров под управлением Windows 2000 и Windows Server 2003 до контроллеров домена в Active Directory. К числу выполняемых мастером операций относятся установка новых служб, изменение типа запуска существующих служб и применение действующих в Active Directory параметров безопасности и проверки подлинности.

Принудительное понижение роли позволяет администратору домена удалить Active Directory и отменить локально хранимые системные изменения без выполнения репликации этих изменений на другие контроллеры домена в лесу.

Поскольку принудительное понижение роли приводит к потере локально хранимых изменений, пользуйтесь им только в самом крайнем случае. Принудительное понижение роли контроллера домена оправдано при наличии проблем с подключением к сети, разрешением имен, проверкой подлинности или зависимыми службами модуля репликации. К таким случаям следует отнести следующие:
  • на момент понижения роли последнего контроллера в домене нет доступных контроллеров в родительском домене следующего уровня;
  • работа мастера установки Active Directory не завершается из-за проблем с разрешением имен, проверкой подлинности, модулем репликации или зависимости объекта Active Directory даже после тщательного устранения неполадок;
  • контроллер домена не реплицировал входящие изменения Active Directory как минимум для одного контекста именования в течение времени действия захоронения (по умолчанию — 60 дней);

    Внимание! Восстанавливать такой контроллер домена следует только в том случае, если нет других возможностей восстановления домена.
  • нет времени на тщательный разбор и удаление неполадок, поскольку контроллер домена необходимо немедленно ввести в эксплуатацию.
Принудительное понижение роли может быть использовано в лабораторных условиях или в процессе обучения для удаления контроллеров из существующего домена без необходимости понижения роли каждого контроллера домена.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

Выполнение принудительного понижения роли контроллера домена под управлением Windows 2000 (запуск команды dcpromo /forceremoval) приводит к регистрации события с кодом 29234 в журнале системных событий.

Тип события: Предупреждение
Источник события: lsasrv
Категория события: Отсутствует
Код события: 29234
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: computername Описание: Роль этого сервера была принудительно понижена. Он больше не является контроллером домена.

Выполнение принудительного понижения роли контроллера домена под управлением Windows Server 2003 приводит к регистрации события с кодом 29239 в журнале системных событий.

Тип события: Предупреждение
Источник события: lsasrv
Категория события: Отсутствует
Код события: 29239
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: computername Описание: Роль этого сервера была принудительно понижена. Он больше не является контроллером домена.

Выполнение команды dcpromo /forceremoval не приводит к удалению метаданных пониженного в роли контроллера домена на оставшихся контроллерах домена. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена
После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.
  1. Удалите из домена учетную запись компьютера.
  2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
  3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    296183 Обзор объектов Active Directory, используемых службой FRS (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  4. Если пониженный в роли компьютер являлся членом групп безопасности, удалите его из состава этих групп.
  5. Удалите все ссылки DFS на пониженный в роли сервер, например связи и корневые реплики.
  6. Если пониженный в роли контроллер домена обладал одной из ролей хозяина операций (FSMO), ее должен захватить оставшийся контроллер домена. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    255504 Использование программы Ntdsutil.exe для присвоения и передачи контроллеру домена роли FSMO
  7. Если понижаемый в роли контроллер домена является сервером DNS или сервером глобального каталога, для соблюдения параметров балансировки нагрузки, отказоустойчивости и конфигурации в лесу необходимо создать новый сервер такого же типа.
  8. Выполнение в программе NTDSUTIL команды remove selected server приводит к удалению объекта NTDSDSA (родительский объект для входящих подключений к принудительно пониженному в роли контроллеру домена), однако родительский объект сервера в оснастке «Active Directory — сайты и службы» сохраняется. Если контроллер домена не будет введен в состав леса под тем же именем, удалите объект сервера с помощью оснастки «Active Directory — сайты и службы».
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 332199 - Последний отзыв: 3 октября 2013 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhotfixserver kbqfe kbbug KB332199

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com