在 Windows Server 2003 和 Windows 2000 Server 中使用 Active Directory 安装向导强制降级时，域控制器无法正常降级

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用 Active Directory 安装向导(Dcpromo.exe) 正常降级。

如果所需的相关项或操作失败，可能会出现此现象。这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置等。

要解决此问题，请确定阻碍 Windows 2000 或 Windows Server 2003 域控制器正常降级的原因，然后再次尝试使用 Active Directory 安装向导将域控制器降级。

如果不能解决此问题，可以使用以下变通方法对域控制器执行强制降级，以保留操作系统及其中任何应用程序的安装。

警告：在使用以下任一变通方法之前，请确保您可以在目录服务还原模式下成功启动。否则，在您强制降级该计算机后，您将无法登录。如果用户忘记了目录服务还原模式的密码，可以通过使用 Winnt\System32 文件夹中的 Setpwd.exe 实用工具来重置密码。在 Windows Server 2003 中，Setpwd.exe 实用工具的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。 有关如何执行此过程的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

Windows 2000 域控制器

1. 在运行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安装 Q332199 修复程序，或者安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制降级。然后重新启动计算机。
2. 单击“开始”，单击“运行”，然后键入以下命令：
   dcpromo /forceremoval
3. 单击“确定”。
4. 在“欢迎使用 Active Directory 安装向导”页中，单击“下一步”。
5. 如果您要删除的计算机是全局编录服务器，请单击消息窗口中的“确定”。
   
   注意：如果您要降级的域控制器是全局编录服务器，请根据需要提升林中或站点中的其他全局编录服务器。
6. 在“删除 Active Directory”页中，确保已清除“这个服务器是域中的最后一个域控制器”复选框，然后单击“下一步”。
7. 在“网络凭据”页中，键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称，然后单击“下一步”。
8. 在“管理员密码”中，键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。
9. 在“摘要”页上，单击“下一步”。
10. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 支持工具中包含的 Replmon.exe 或 Repadmin.exe 之类的工具可帮助您确定是否发生过端到端复制。Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。

Windows Server 2003 域控制器

1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”，单击“运行”，然后键入以下命令：
   dcpromo /forceremoval
2. 单击“确定”。
3. 在“欢迎使用 Active Directory 安装向导”页中，单击“下一步”。
4. 在“强制删除 Active Directory”页中，单击“下一步”。
5. 在“管理员密码”中，键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。
6. 在“摘要”中，单击“下一步”。
7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。

如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表 (ACL)。如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。 有关从域控制器中删除 Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

Windows Server 2003 Service Pack 1 增强功能

Windows Server 2003 SP1 增强了 dcpromo /forceremoval 进程。执行 dcpromo /forceremoval 时，进行检查以确定域控制器所承载的操作主机角色是域名系统 (DNS) 服务器，还是全局编录服务器。对于每个角色，管理员都会收到一条弹出警告，建议他采取适当的操作。

Microsoft 已对运行 Windows 2000 或 Windows Server 2003 的域控制器进行了测试，并且支持对这些域控制器执行强制降级。

Active Directory 安装向导会在基于 Windows 2000 的计算机和基于 Windows Server 2003 的计算机上创建 Active Directory 域控制器。Active Directory 安装向导所执行的操作包括安装新服务、更改现有服务的启动值以及将 Active Directory 转换为安全和身份验证领域。

通过强制降级，域管理员可以强制删除 Active Directory 并回滚本地保存的系统更改，而无须与林中的其他域控制器进行联系或者将本地保存的更改复制到林中的其他域控制器。

由于强制降级会导致任何本地保存的更改丢失，如非绝对必要，请勿在生产域或测试域中使用强制降级。当无法解决连接、名称解析、身份验证或复制引擎相关项以致于无法执行正常降级时，您可以将域控制器强制降级。强制降级的有效方案包括：

• 当您尝试将直接子域中的最后一个域控制器降级时，父域中当前没有可用的域控制器。
• 由于在执行详细的疑难解答后存在无法解决的名称解析、身份验证、复制引擎或 Active Directory 对象相关项，因此 Active Directory 安装向导无法完成。
• 在 Tombstone 存留天数（默认的 Tombstone 存留时间为 60 天）内，域控制器尚未为一个或多个命名上下文复制入站 Active Directory 更改。
  
  重要说明：请不要恢复这类域控制器，除非它们是恢复特定域的唯一选择。
• 由于您必须立即将域控制器投入使用，因此没有足够的时间进行更详细的疑难解答。

强制降级在实验和教学环境中可能非常有用，在这些环境中您可以删除现有域中的域控制器，却不必按顺序将每个域控制器降级。

如果您强制进行域控制器降级，将丢失您正在强制降级的域控制器的 Active Directory 中所驻留的任何唯一的更改。这包括在运行 dcpromo /forceremoval 命令之前尚未复制的对用户、计算机、组、信任关系以及组策略或 Active Directory 配置所做的添加、删除或修改操作。此外，您还将丢失对这些对象的任一属性（如用户密码、计算机、信任关系以及组成员资格）所做的更改。

但是，如果您将域控制器强制降级，您会将操作系统恢复到与域中的最后一个域控制器成功降级时相同的状态（包括服务启动值和已安装的服务，还包括对帐户数据库使用基于注册表的 SAM 以及计算机是工作组的成员等方面）。降级的域控制器中安装的程序仍将继续保持已安装状态。

系统事件日志会以事件 ID 29234 标识出强制降级的 Windows 2000 域控制器以及 dcpromo /forceremoval 操作的实例。例如：

类型:警告
来源:lsasrv
类别:无
事件 ID: 29234
日期:MM/DD/YYYY
时间:HH:MM:SS AM|PM
用户:N/A
计算机:Computername 描述:此服务器被强制降级。它不再是一个域控制器。

系统事件日志以事件 ID 29239 标识出强制降级的 Windows Server 2003 域控制器。例如：

类型:警告
来源:lsasrv
类别:无
事件 ID: 29239
日期:MM/DD/YYYY
时间:HH:MM:SS AM|PM
用户:N/A
计算机:Computername 描述:此服务器被强制降级。它不再是一个域控制器。

在您使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会 删除被降级的计算机的元数据。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 将域控制器强制降级后，您必须完成以下任务（如果适用）：

1. 从域中删除计算机帐户。
2. 验证 DNS 记录（例如 A 记录、CNAME 记录和 SRV 记录）是否已删除；如果它们仍然存在，则将它们删除。
3. 验证 FRS 成员对象（FRS 和 DFS）是否已删除；如果它们仍然存在，则将它们删除。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
   296183? (http://support.microsoft.com/kb/296183/ ) FRS 使用的 Active Directory 对象概述
4. 如果被降级的计算机是任何安全组的成员，请将其从这些组中删除。
5. 删除对被降级的服务器的任何 DFS 引用（例如，链接或根副本）。
6. 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色（也称为灵活的单主机操作或 FSMO）。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
   255504? (http://support.microsoft.com/kb/255504/ ) 使用 Ntdsutil.exe 占用 FSMO 角色或将其转移到域控制器
7. 如果您要降级的域控制器是 DNS 服务器或全局编录服务器，则必须创建一个新的 GC 或 DNS 服务器，以满足林中的负载平衡、容错和配置设置。
8. 当您使用 NTDSUTIL 中的删除选定服务器命令时，NTDSDSA 对象（该对象是到您强制降级的域控制器的入站连接的父对象）将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中，请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器对象。