文章編號: 332199 - 上次校閱: 2007年12月3日 - 版次: 13.5

在 Windows Server 2003 和 Windows 2000 Server 中,使用 Active Directory 安裝精靈強制降級網域控制站時,無法順利將網域控制站降級

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986? (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 登錄說明

在此頁中

全部展開 | 全部摺疊

徵狀

使用 Active Directory 安裝精靈 (Dcpromo.exe),可能無法順利將 Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制站降級。
回此頁最上方

發生的原因

如果必須的依存性或作業失敗,便會發生這個情形。網路連線、名稱解析、驗證、Active Directory 目錄服務複寫,或是 Active Directory 中重要物件的位置,都可能是原因之一。
回此頁最上方

解決方案

若要解決這個問題,請找出無法順利降級 Windows 2000 或 Windows Server 2003 網域控制站的原因,再試著使用 Active Directory 安裝精靈將網域控制站降級。
回此頁最上方

其他可行方案

如果無法解決這個問題,您可以使用下列方式,強制降級網域控制站,以保存作業系統的完整以及所安裝的應用程式。

警告 請先確定您能成功啟動「目錄服務還原」模式,再嘗試下列方式,否則,在強制降級電腦之後,您將無法登入。如果您忘記「目錄服務還原」模式的密碼,可以使用 Winnt\System32 資料夾下的 Setpwd.exe 公用程式,重設密碼。在 Windows Server 2003 中,Setpwd.exe 公用程式的功能已經整合至 NTDSUTIL 工具的 Set DSRM Password 命令中。 如需有關如何執行這項程序的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
271641? (http://support.microsoft.com/kb/271641/ ) Configure Your Server Wizard sets a blank recovery mode password
回此頁最上方

Windows 2000 網域控制站

  1. 請在執行 Service Pack 2 (SP2) 或更新版本的 Windows 2000 網域控制站上安裝 Q332199 Hotfix,或安裝 Windows 2000 Service Pack 4 (SP4)。SP2 與更新版本都支援強制降級。重新啟動電腦。
  2. 按一下 [開始],再按 [執行],然後輸入下列命令:
    dcpromo /forceremoval
  3. 按一下 [確定]
  4. [歡迎使用 Active Directory 安裝精靈] 頁面上,按一下 [下一步]
  5. 如果您要移除的電腦為通用類別目錄伺服器,請按一下訊息視窗中的 [確定]

    注意 如果您要降級的網域控制站為通用類別目錄伺服器,請將樹系或站台中的其他通用類別目錄升級。
  6. [移除 Active Directory] 頁面中,確認清除 [這台伺服器是網域中最後一個網域控制站] 選取方塊,然後按一下 [下一步]
  7. [網路認證] 頁面中,替樹系內企業系統管理員認證的使用者帳戶,輸入名稱、密碼以及網域名稱,再按 [下一步]
  8. [系統管理員密碼] 中,輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼,重複確認密碼後,再按 [下一步]
  9. [摘要] 頁面上按一下 [下一步]
  10. 在樹系中其餘的網域控制站上,針對降級的網域控制站清除中繼資料。
如果您使用 Ntdsutil 中的 remove selected domain 命令,移除樹系內的網域,請先確認樹系內的網域控制站與通用類別目錄伺服器已移除了所有的物件,並移除您在以相同網域名稱將新網域升級到同一個樹系時,因而移除之網域的相關參考。「Windows 2000 支援工具」中的工具,如 Replmon.exe 或 Repadmin.exe,可以幫助您判斷是否已發生端對端複寫。Windows 2000 SP3 以及較早版本的通用類別目錄伺服器,在移除物件及命名內容上的速度,要比 Windows Server 2003 慢的多。
回此頁最上方

Windows Server 2003 網域控制站

  1. 根據預設,Windows Server 2003 網域控制站支援強制降級。按一下 [開始],再按 [執行],然後輸入下列命令:
    dcpromo /forceremoval
  2. 按一下 [確定]
  3. [歡迎使用 Active Directory 安裝精靈] 頁面上,按一下 [下一步]
  4. [強制移除 Active Directory] 頁面上按一下 [下一步]
  5. [系統管理員密碼] 中,輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼,重複確認密碼後,再按 [下一步]
  6. [摘要] 上按一下 [下一步]
  7. 在樹系中其餘的網域控制站上,針對降級的網域控制站清除中繼資料。
如果您使用 Ntdsutil 中的 remove selected domain 命令,移除樹系內的網域,請先確認樹系內的網域控制站與通用類別目錄伺服器已移除了所有的物件,並移除您在以相同網域名稱將新網域升級到同一個樹系時,因而移除之網域的相關參考。Windows 2000 Service Pack 3 (SP3) 以及較早版本的通用類別目錄伺服器,在移除物件及命名內容上的速度,要比 Windows Server 2003 慢的多。

在移除 Active Directory 電腦上的資源存取控制項 (ACE),如果是以網域本機群組為基礎,這些權限必須重新設定,因為成員或獨立伺服器無法使用這些群組。如果您計畫在電腦上安裝 Active Directory,使其成為原本網域中的網域控制站,便無需再設定存取控制清單 (ACL)。如果您要將電腦當成是成員或獨立伺服器,任何以網域本機群組為基準的權限都必須轉譯或替換。 如需有關從網域控制站中移除 Active Directory 後權限會受到何種影響的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
320230? (http://support.microsoft.com/kb/320230/ ) Permissions Are Affected After You Demote a Domain Controller
回此頁最上方

Windows Server 2003 Service Pack 1 增強功能

Windows Server 2003 SP1 增強了 dcpromo /forceremoval 程序的功能。dcpromo /forceremoval 在執行時會進行檢查,以判斷網域控制站是否擔任操作主機角色,是不是「網域名稱系統」(DNS) 伺服器或通用類別目錄伺服器。針對這每一種角色,系統管理員會各收到一個快顯警告,提醒系統管理員採取適當的措施。
回此頁最上方

狀況說明

Microsoft 已經針對執行 Windows 2000 或 Windows Server 2003 的網域控制站進行測試,確認可以提供強制降級的支援。
回此頁最上方

其他相關資訊

Active Directory 安裝精靈可以在 Windows 2000 及 Windows Server 2003 的電腦上,建立 Active Directory 網域控制站。Active Directory 安裝精靈執行的作業,包括安裝新服務、變更現行服務的啟動值,以及轉換至 Active Directory,成為安全性及驗證的領域。

執行強制降級之後,網域系統管理員無需透過聯絡的方式,或將本機所做的變更,複寫到樹系中的另一個網域控制站,即可強制移除 Active Directory 並回復本機上的系統變更。

由於強制降級會導致任何本機所做的變更遺失,因此不管是在實際生產網域或是測試網域,如非必要,請不要使用這個方法。如果連線、名稱解析、驗證或複寫引擎相依性的問題無法解決,使您必須採取降級的措施時,便可以強制降級網域控制站。可以強制降級的情形包括下列各項:
  • 在您試著要降級立即子網域中最後一個網域控制站時,合作網域內沒有網域控制站可以使用。
  • 針對問題進行仔細的疑難排解後,仍有名稱解析、驗證、複寫引擎,或 Active Directory 物件相依性的問題無法解決,導致 Active Directory 安裝精靈無法完成。
  • 在 Tombstone 存留時間 (預設的 Tombstone 存留時間為 60 天) 內,網域控制站尚未複寫一或多個命名內容的傳入 Active Directory 變更。

    重要 除非是修復特定網域的唯一方法,否則請勿修復這類的網域控制站。
  • 網域控制站必須立即開始使用,因此在時間上不允許進行更仔細的疑難排解程序。
在實驗室或教室等環境中,您可以將網域控制站從現有網域中移除,強制降級在這種情況下便很有用,您也無需連續降級每個網域控制站。

如果您強制降級網域控制站,在強制降級的網域控制站中 Active Directory 內的特殊變更就會消失不見,包括在執行 dcpromo /forceremoval 命令前尚未複寫的增加項目、刪除項目,或是使用者、電腦、群組、信任關係、「群組原則」或 Active Directory 設定等項目的修改。此外,這些物件的任何屬性變更,像是使用者或電腦的密碼、信任關係及群組成員關係,也會消失不見。

然而,如果您強制降級網域控制站,就等於將作業系統回復成網域中最後一個網域控制站成功降級的狀態 (服務啟動值、安裝的服務、在帳戶資料庫中使用以登錄檔為基礎的 SAM、電腦為工作群組的成員)。降級的網域控制器上安裝的程式不會受到影響。

系統事件日誌會透過事件識別碼 29234,識別強制降級的 Windows 2000 網域控制站 (以及 dcpromo /forceremoval 作業的例項),例如:

事件類型:警告
事件來源:lsasrv
事件類別目錄:無
事件識別碼:29234
日期:MM/DD/YYYY
時間:上午|下午 HH:MM:SS
使用者:N/A
電腦:computername 描述:伺服器被強制降級,再也不是網域控制站。

System 事件記錄檔會透過事件 ID 29239,辨識強制降級的 Windows Server 2003 網域控制站,例如:

事件類型:警告
事件來源:lsasrv
事件類別目錄:無
事件識別碼:29239
日期:MM/DD/YYYY
時間:上午|下午 HH:MM:SS
使用者:N/A
電腦:computername 描述:伺服器被強制降級,再也不是網域控制站。

使用 dcpromo /forceremoval 命令之後,降級電腦的中繼資料仍會保留在剩下的網域控制站中。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
216498? (http://support.microsoft.com/kb/216498/ ) HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
在強制降級網域控制站後,請視情況執行下列操作:
  1. 從網域移除電腦帳號。
  2. 確認 DNS 記錄都完整移除 (例如 A、CNAME 和 SRV 記錄),如發現這些記錄,請移除。
  3. 確認 FRS 成員物件 (FRS 及 DFS) 都完整移除,如發現這些成員,請移除。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    296183? (http://support.microsoft.com/kb/296183/ ) Overview of Active Directory Objects That Are Used by FRS
  4. 如果降級的電腦為任何安全性群組的成員,請從這些群組中移除。
  5. 移除降級伺服器的任何 DFS 參考,例如連結或根複寫。
  6. 剩下的網域控制站,必須取回之前由強制降級網域控制站所擔任的操作主機角色 (也就是彈性單一主機操作,縮寫為 FSMO)。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    255504? (http://support.microsoft.com/kb/255504/ ) 使用 Ntdsutil.exe 抓取或傳輸 FSMO 角色到網域控制站
  7. 如果要降級的網域控制站為 DNS 伺服器或通用類別目錄伺服器,您必須建立新的 GC 或 DNS 伺服器,以滿足樹系中的載入平衡、容錯度及設定等需求。
  8. 在使用 NTDSUTIL 中的 remove selected server 命令時,會移除 NTDSDSA 物件 (連入連線的父物件,此連入連線是指與要強制移除的網域控制站之間的連線)。這個命令不會移除「站台及服務」嵌入式管理單元中出現的父伺服器物件。如果網域控制站不會以相同的電腦名稱升級至樹系中,請使用「 Active Directory 站台及服務 MMC」嵌入式管理單元移除伺服器物件。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
回此頁最上方
關鍵字:?
kbbug kbqfe kbhotfixserver KB332199
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。