當您使用 「 Active Directory 安裝精靈 」 來強制降級,Windows Server 2003 中,並在 Windows 2000 Server 中網域控制站作業並不降級依正常程序

文章翻譯 文章翻譯
文章編號: 332199 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制站可能未依正常程序使用 [Active Directory 安裝精靈 (Dcpromo.exe) 降級。

發生的原因

如果必要的依存性或作業失敗,可能會發生這個問題。其中包括網路連線、 名稱解析、 驗證、 Active Directory 目錄服務複寫或關鍵物件的位置,在 Active Directory 中。

解決方案

如果要解決這個問題,判斷什麼使非失誤性的 Windows 2000 或 Windows Server 2003 網域控制站降級,並再試一次使用 Active Directory 安裝精靈降級的網域控制站。

附註Windows Server 2008,目錄服務還原模式 (DSRM) 是不能改變的 Windows Server 2003 有一點例外。在 Windows Server 2008 中,您可以執行dcpromo/forceremoval命令來強制移除 AD DS 網域控制站以 DSRM,啟動時,就一樣,您可以在 AD DS 中已停止的狀態。網域控制站仍然必須啟動以 DSRM,若要從備份中還原系統狀態資料。如需有關如何執行這項操作的詳細資訊,請參閱下列白皮書:
可重新啟動 AD DS 的逐步指南

其他可行方案

如果您不能解決這個問題,您可以使用下列因應措施,以強制降級網域控制站,以保留在其上的任何應用程式和作業系統的安裝。

警告您可以使用其中一種下列因應措施之前,請確定您能夠順利地啟動目錄服務還原模式。否則,您就無法強制降級電腦之後,登入。如果您不記得的目錄服務還原模式密碼,您可以使用位於 Winnt\System32 資料夾中的 Setpwd.exe 公用程式來重設密碼。Windows Server 2003 中 「 Setpwd.exe 」 公用程式的功能已經整合至 NTDSUTIL 工具的 [設定 DSRM 密碼] 指令。 如需如何執行此程序,請按一下下面的文章編號,檢視 「 Microsoft 知識庫 」 中的文的文件:
271641設定您的伺服器精靈空白的修復模式密碼

Windows 2000 網域控制站

  1. 執行的 Service Pack 2 (SP2) 或較新版的 Windows 2000 網域控制站上安裝 Q332199 hotfix 或安裝 Windows 2000 Service Pack 4 (SP4)。SP2 與更新版本都支援強制的降級。然後,重新啟動電腦。
  2. 按一下 啟動按一下 執行然後輸入下列命令:
    dcpromo /forceremoval
  3. 按一下 [確定].
  4. 歡迎使用 Active Directory 安裝精靈 頁面上按一下 下一步.
  5. 如果您要移除的電腦是通用類別目錄伺服器,請按一下 [確定] 在 [訊息] 視窗中。

    附註如果要降級的網域控制站是通用類別目錄伺服器,請視需要,請將升級其他通用類別目錄在樹系或站台中。
  6. 移除作用中的目錄 頁面上,請確定 這台伺服器是網域中的最後一個網域控制站 核取方塊已清除,然後按一下 下一步.
  7. 網路認證 頁面上輸入名稱、 密碼及使用者的網域名稱、 樹系的企業系統管理員認證的帳戶,然後按一下 下一步.
  8. 系統管理員密碼輸入的密碼和確認您想要指派給系統管理員帳戶的本機 SAM 資料庫中,複製到相應的密碼 下一步.
  9. 在上 摘要 頁面上按一下 下一步.
  10. 執行存活樹系中網域控制站降級的網域控制站清除中繼資料。
如果您移除了網域,您可以從樹系使用 Ntdsutil 中移除所選取的網域] 命令,確認所有網域控制站和通用類別目錄伺服器,樹系中的移除了所有物件的參考到您剛剛都移除您之前的網域升級成具有相同的網域名稱相同的樹系的 [新的網域。工具,例如 Replmon.exe 或從 Windows 2000 支援工具的名稱可協助您判斷是否已發生端對端複寫。Windows 2000 SP3 和較早的通用類別目錄伺服器都比 Windows Server 2003 中移除物件和命名內容明顯變慢。

Windows Server 2003 網域控制站

  1. 預設情況下,Windows Server 2003 網域控制站都支援強制的降級。按一下 啟動按一下 執行然後輸入下列命令:
    dcpromo /forceremoval
  2. 按一下 [確定].
  3. 歡迎使用 Active Directory 安裝精靈 頁面上按一下 下一步.
  4. 強制移除 Active directory 頁面上按一下 下一步.
  5. 系統管理員密碼輸入的密碼和確認您想要指派給系統管理員帳戶的本機 SAM 資料庫中,複製到相應的密碼 下一步.
  6. 摘要按一下 下一步.
  7. 執行存活樹系中網域控制站降級的網域控制站清除中繼資料。
如果您移除了網域,您可以從樹系使用 Ntdsutil 中移除所選取的網域] 命令,確認所有網域控制站和通用類別目錄伺服器,樹系中的移除了所有物件的參考到您剛剛都移除您之前的網域升級成具有相同的網域名稱相同的樹系的 [新的網域。Windows 2000 Service Pack 3 (SP3) 和先前的通用類別目錄伺服器都比 Windows Server 2003 中移除物件和命名內容明顯變慢。

如果您移除了從 Active Directory 的電腦上的資源存取控制項目 (Ace) 以網域本機群組為基礎,這些權限可能必須重新設定,因為這些群組不會提供給成員或獨立伺服器。如果您打算讓原始網域中網域控制站電腦上安裝 Active Directory,並沒有任何設定存取控制清單 (Acl)。如果您想要將電腦當成成員或獨立伺服器,必須轉譯為基礎的網域本機群組的權限,或是取代。如需有關如何移除 Active Directory 網域控制站後,如何影響權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
320230降級網域控制站之後,會受到影響的權限

Windows Server 2003 的 Service Pack 1 的增強功能

Windows Server 2003 SP1 增強dcpromo /forceremoval程序。執行dcpromo /forceremoval時,會進行檢查,來判斷網域控制站裝載操作主機角色,是網域名稱系統 (DNS) 伺服器,或通用類別目錄伺服器。針對每個角色,系統管理員會收到一個快顯視窗警告訊息,提醒系統管理員採取適當行動。

如果網域控制站無法以正常模式啟動

重要這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄


重要如果網域控制站無法以正常模式啟動,請遵循下列步驟僅做最後的手段。

若要移除 [Active Directory 網域控制站,請遵循下列步驟:
  1. 重新啟動電腦],然後按下 F8 以顯示 Windows 2000 進階選項 功能表。
  2. 選擇 目錄服務還原模式按 ENTER 鍵,然後再按 ENTER 鍵繼續重新啟動電腦。
  3. 修改登錄中的 [ProductType] 項目。若要這麼做,請依照下列步驟執行:
    1. 按一下 啟動按一下 執行型別 regedit然後按一下 [確定].
    2. 找出下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. 在右邊窗格中,按兩下 ProductType.
    4. 型別 ServerNT數值資料 方塊中,然後再按一下 [確定].

      附註如果這個值設定不正確,或拼字錯誤,可能會收到下列錯誤訊息:
      系統處理序-違反產品使用權: 系統已偵測到有人竄改您的登錄的產品類型。這是您的軟體授權的違規情形。不允許竄改產品類型。
    5. 結束 [登錄編輯程式]。
  4. 重新啟動電腦。
  5. 登入系統管理員帳戶和密碼,用於目錄服務修復模式。

    電腦便可以當成是成員伺服器。不過,仍有一些剩下的檔案和相關聯的網域控制站的電腦上的登錄項目。
  6. 啟動 [登錄編輯程式,並找出下列登錄項目:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    如果沒有項目
    Src 根網域的 Srv
    以滑鼠右鍵按一下值,然後按一下 刪除.這樣會在網域控制站視它自己網域中的唯一網域控制站升級後,必須先刪除這個值。

    重要上述的步驟最重要的。沒有這個角色的話入暫存 AD 樹系 re-promotion 將不會完成,您不能登入網域控制站。
  7. 請移除剩餘的檔案和登錄項目。若要這麼做,請依照下列步驟執行:
    1. 啟動 [Active Directory 安裝精靈]。
    2. 安裝 Active Directory,若要將這台電腦的網域控制站,對於新的、 暫時的網域,例如"psstemp.deleteme"。

      附註請確定您讓電腦的網域控制站在不同的樹系中。
    3. 安裝 Active Directory 後,同樣地,啟動 「 Active Directory 安裝精靈 」,然後從網域控制站中移除 [Active Directory。
  8. 移除 Active Directory 網域控制站之後,移除就會留在網域中的中繼資料。如需有關如何移除這個中繼資料的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    216498如何在網域控制器降級失敗後,移除 Active Directory 中的資料

狀況說明

Microsoft 已經測試,並支援強制的降級的網域控制站正在執行 Windows 2000 或 Windows Server 2003。

其他相關資訊

Active Directory 安裝精靈會建立 Windows 2000 及 Windows Server 2003 電腦上的 Active Directory 網域控制站。由 Active Directory 安裝精靈所執行的作業包括現有服務的啟動值變更,而且轉換到 Active Directory,為安全性和驗證的領域的新服務的安裝。

執行強制降級之後,網域系統管理員即可強制移除 Active Directory 並回復本機上的系統變更而不需要連絡,或將本機上所儲存的任何變更複寫到樹系中的另一個網域控制站。

由於強制的降級會導致失去任何在本機保留變更,只能作為最後的手段,在生產環境中使用它,或是測試網域。連線能力、 名稱解析、 驗證或複寫引擎相依性無法被解析,讓非失誤性降級的措施時,便可以強制降級網域控制站。強制降級的情形如下:
  • 沒有網域控制站目前可供使用父系網域中當您試著降級立即子網域中的最後一個網域控制站。
  • Active Directory 安裝精靈無法完成,因為沒有名稱解析、 驗證、 複寫的引擎或無法解析的 Active Directory 物件相依性執行詳細的疑難排解之後。
  • 網域控制站沒有複寫傳入的 Active Directory 變更標記生命週期中 (預設值的標記存留時間是 60 天) 的一或多個命名內容的日數字。

    重要不要復原這類網域控制站,除非它們是針對特定的網域的修復的唯一的機會。
  • 時間上不允許更詳細疑難排解作業,因為您必須立即帶入服務的網域控制站。
可以強制的降級可以用在實驗室或教室等環境中,您可以從現有的網域的網域控制站中移除,但不必連續降級每個網域控制站。

如果您強制降級網域控制站時,將會遺失存放在 Active Directory 中的強制降級網域控制站的任何唯一變更。這包括加入、 刪除或修改的使用者、 電腦、 群組、 信任關係及群組原則] 或 [Active Directory 沒有將關閉,才能執行dcpromo /forceremoval指令的設定。此外,您會失去變更其中的屬性,這些物件,像是使用者、 電腦、 信任關係及群組成員資格的密碼。

不過,如果您強制降級網域控制站時,您將作業系統回復成等同於網域中的最後一個網域控制站成功降級的狀態 (服務啟動值、 已安裝的服務、 使用以登錄檔為基礎的 SAM 帳戶資料庫,電腦是工作群組的成員)。降級的網域控制站所安裝的程式仍安裝。

系統事件記錄檔會識別強制降級的 Windows 2000 網域控制站和事件識別碼 29234 dcpromo /forceremoval作業的執行個體。舉例如下:

事件類型: 警告
事件來源: 出現 lsasrv
事件類別: 無
事件識別碼: 29234
日期: MM/DD/YYYY
時間: HH:MM:SS AM|PM
使用者: n/A
電腦: 電腦名稱 描述: 伺服器被強制降級。它不再是網域控制站。

系統事件記錄檔會識別事件識別碼 29239 強制降級的 Windows Server 2003 網域控制站。舉例如下:

事件類型: 警告
事件來源: 出現 lsasrv
事件類別: 無
事件識別碼: 29239
日期: MM/DD/YYYY
時間: HH:MM:SS AM|PM
使用者: n/A
電腦: 電腦名稱 描述: 伺服器被強制降級。它不再是網域控制站。

使用dcpromo /forceremoval命令之後,降級的電腦的中繼資料是需要應付的網域控制站上刪除。 如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
216498如何在網域控制器降級失敗後,移除 Active Directory 中的資料
以下是項目,您必須先解決,如果適用的話之後強制降級網域控制站,:
  1. 從網域移除電腦帳戶。
  2. 請確認的 DNS 記錄,例如 A、 CNAME 和 SRV 記錄會被移除,而且如果有顯示的話,請移除它們。
  3. 確認 FRS 成員物件 (FRS 及 DFS) 會被移除,並將它們移除,如果它們存在。如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    296183FRS 所使用的 Active Directory 物件概觀
  4. 如果降級的電腦是任何安全性群組的成員,請從這些群組中移除。
  5. 移除降級伺服器,例如連結或根複寫的任何 DFS 參考。
  6. 殘存的網域控制站必須拿取操作主機角色,也稱為彈性單一主機操作或 FSMO,先前已被強制降級的網域控制站持有。如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    255504若要抓取或 FSMO 角色轉移到網域控制站不想使用 Ntdsutil.exe
  7. 如果您要降級的網域控制站為 DNS 伺服器或通用類別目錄伺服器,您必須建立新的 GC 或 DNS 伺服器以滿足負載平衡、 容錯度以及樹系中的組態設定。
  8. 當您使用 NTDSUTIL,[NTDSDSA] 物件中,移除選取的伺服器] 命令會移除強制降級的網域控制站的連入連線的父物件。命令不會移除父伺服器物件出現在站台及服務嵌入式管理單元使用 Active Directory 站台及服務 MMC 嵌入式管理單元移除伺服器物件,如果網域控制站無法升級至相同的電腦名稱與樹系。

屬性

文章編號: 332199 - 上次校閱: 2012年7月11日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbhotfixserver kbqfe kbbug kbmt KB332199 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:332199
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com