Úroveň řadičů domény není snížena při vynuceném snížení úrovně řadičů domény pomocí Průvodce instalací služby Active Directory v systému Windows Server 2003 a Windows 2000 Server

Příznaky

Úroveň řadičů domény není snížena při použití Průvodce instalací služby Active Directory (Dcpromo.exe) v systému Microsoft Windows 2000 a Microsoft Windows Server 2003.

Příčina

K tomuto chování může dojít, pokud se nezdaří požadovaná závislost nebo operace. Mezi tyto operace patří síťové připojení, překlad názvů, ověřování, replikace adresářové služby Active Directory nebo umístění důležitého objektu ve službě Active Directory.

Řešení

Chcete-li toto chování vyřešit, zjistěte, co brání úspěšnému snížení úrovně řadičů domény se systémem Windows 2000 nebo Windows Server 2003, a pak se znovu pokuste snížit úroveň řadiče domény pomocí Průvodce instalací služby Active Directory.

Poznámka Režim obnovení adresářových služeb (DSRM) v systému Windows Server 2008 se neliší od systému Windows Server 2003, až na jednu výjimku. V systému Windows Server 2008 lze spuštěním příkazu dcpromo/forceremoval nuceně odebrat službu AD DS z řadiče domény spuštěného v režimu DSRM, stejně jako ve stavu ukončení služby AD DS. Aby bylo možné obnovit data stavu systému, musí být řadič domény přesto spuštěn v režimu DSRM. Další informace o tomto postupu naleznete v následujícím článku TechNet: 

Jak potíže obejít

Jestliže toto chování nelze vyřešit, můžete pomocí následujících řešení provést vynucené snížení úrovně řadiče domény a zachovat tak instalaci operačního systému a veškerých jeho aplikací.

Upozornění Než použijete některé z následujících řešení, přesvědčte se, že systém lze úspěšně spustit v režimu obnovení adresářových služeb. V opačném případě se nebude možné po vynuceném snížení úrovně počítače přihlásit. Pokud si nepamatujete heslo režimu obnovení adresářových služeb, můžete nastavit nové heslo pomocí nástroje Setpwd.exe, který se nachází ve složce Winnt\System32. V systému Windows Server 2003 byly funkce nástroje Setpwd.exe integrovány do příkazu Set DSRM Password (Nastavit heslo DSRM) nástroje NTDSUTIL.
Další informace o provedení tohoto postupu najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

271641 Konfigurace Průvodce serveru nastaví prázdné heslo režimu obnovení (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Řadiče domény se systémem Windows 2000

 1. Nainstalujte opravu hotfix Q332199 do řadiče domény se systémem Windows 2000, který používá aktualizaci Service Pack 2 (SP2) nebo novější, nebo nainstalujte aktualizaci Windows 2000 Service Pack 4 (SP4). Aktualizace SP2 a novější verze podporují vynucené snížení úrovně. Potom počítač restartujte.
 2. Klepněte na tlačítko Start, klepněte na příkaz Spustit a pak zadejte následující příkaz:
  dcpromo /forceremoval
 3. Klepněte na tlačítko OK.
 4. Na stránce Vítá vás Průvodce instalací služby Active Directory klepněte na tlačítko Další.
 5. Pokud je odebíraný počítač serverem globálního katalogu, v okně zprávy klepněte na tlačítko OK.

  Poznámka Jestliže je počítač, jehož úroveň chcete snížit, serverem globálního katalogu, zvyšte podle potřeby úroveň dalších globálních katalogů v doménové struktuře nebo v síti.
 6. Na stránce Odebrat službu Active Directory zkontrolujte, zda je zrušeno zaškrtnutí políčka Tento server je posledním řadičem domény, a potom klepněte na tlačítko Další.
 7. Na stránce Síťová pověření zadejte jméno, heslo a název domény pro uživatelský účet s pověřeními správce rozlehlé sítě v doménové struktuře a pak klepněte na tlačítko Další.
 8. Do pole Heslo správce zadejte heslo a potvrzené heslo, které chcete přiřadit účtu správce v místní databázi Správce zabezpečení účtů, a pak klepněte na tlačítko Další.
 9. Na stránce Souhrn klepněte na tlačítko Další.
 10. Proveďte vymazání metadat pro řadič domény se sníženou úrovní na zbývajícím řadiči domény v doménové struktuře.
Jestliže jste odebrali doménu z doménové struktury pomocí příkazu remove selected domain nástroje Ntdsutil, ověřte předtím, než zvýšíte úroveň nové domény se stejným názvem ve stejné doménové struktuře, zda všechny řadiče domény a servery globálního katalogu v doménové struktuře odebraly všechny objekty a odkazy na právě odebranou doménu. Pomocí nástrojů, jako jsou například Replmon.exe nebo Repadmin ze sady Nástroje podpory systému Windows 2000, můžete zjistit, zda proběhla úplná replikace. Servery globálního katalogu se systémem Windows 2000 SP3 a staršími jsou při odebírání objektů a kontextů názvů výrazně pomalejší než systém Windows Server 2003.

Řadiče domény se systémem Windows Server 2003

 1. Řadiče domény se systémem Windows Server 2003 podporují vynucené snížení úrovně. Klepněte na tlačítko Start, klepněte na příkaz Spustit a pak zadejte následující příkaz:
  dcpromo /forceremoval
 2. Klepněte na tlačítko OK.
 3. Na stránce Vítá vás Průvodce instalací služby Active Directory klepněte na tlačítko Další.
 4. Na stránce Vynutit odebrání služby Active Directory klepněte na tlačítko Další.
 5. Do pole Heslo správce zadejte heslo a potvrzené heslo, které chcete přiřadit účtu správce v místní databázi Správce zabezpečení účtů, a pak klepněte na tlačítko Další.
 6. Na stránce Souhrn klepněte na tlačítko Další.
 7. Proveďte vymazání metadat pro řadič domény se sníženou úrovní na zbývajícím řadiči domény v doménové struktuře.
Jestliže jste odebrali doménu z doménové struktury pomocí příkazu remove selected domain nástroje Ntdsutil, ověřte předtím, než zvýšíte úroveň nové domény se stejným názvem ve stejné doménové struktuře, zda všechny řadiče domény a servery globálního katalogu v doménové struktuře odebraly všechny objekty a odkazy na právě odebranou doménu. Servery globálního katalogu se systémem Windows 2000 SP3 a staršími jsou při odebírání objektů a kontextů názvů výrazně pomalejší než systém Windows Server 2003.

Pokud byly položky řízení přístupu (ACE) v počítači, ze kterého jste odebrali službu Active Directory, založeny na místních skupinách domény, bude pravděpodobně nutné tato oprávnění překonfigurovat, protože tyto skupiny nebudou k dispozici pro členské nebo samostatné servery. Jestliže plánujete nainstalovat službu Active Directory do počítače a vytvořit tak řadič domény v původní doméně, nebude již nutné konfigurovat seznamy řízení přístupu (ACL). Pokud chcete počítač ponechat jako členský nebo samostatný server, je třeba přeložit nebo nahradit veškerá oprávnění založená na místních skupinách domény.Další informace o vlivu odstranění služby Active Directory z řadiče domény na oprávnění získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

320230 Po snížení úrovně řadiče domény jsou ovlivněna oprávnění (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vylepšení systému Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 vylepšuje proces dcpromo/forceremoval. Po spuštění příkazu dcpromo /forceremoval je zkontrolováno, zda hostitelé řadiče domény mají roli hlavního operačního serveru, serveru DNS (Domain Name System) nebo serveru globálního katalogu. Správci se v případě každé role automaticky zobrazí příslušné varování, které doporučí vhodný postup.

Pokud nelze řadič domény spustit v normálním režimu

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows


Důležité Tento postup používejte pouze jako poslední možnost v případě, že řadič domény nelze spustit v normálním režimu.

Chcete-li odebrat službu Active Directory z řadiče domény, postupujte takto:
 1. Restartujte počítač a stisknutím klávesy F8 zobrazte nabídku Upřesnit možnosti systému Windows 2000.
 2. Zvolte příkaz Obnovení adresářové služby, stiskněte klávesu ENTER a opakovaným stisknutím klávesy ENTER pokračujte v restartování.
 3. V registru upravte položku ProductType. Postupujte takto:
  1. Klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz regedit a potom klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
  3. V pravém podokně poklepejte na položku ProductType.
  4. V poli Údaj hodnoty zadejte hodnotu ServerNT a potom klepněte na tlačítko OK.

   Poznámka Pokud tato hodnota není zadána správně nebo je zadána s překlepem, může se zobrazit následující chybová zpráva:
   Proces systému – Porušení licence: Systém zjistil narušení registrovaného typu produktu, což znamená porušení licence na software. Úpravy typu produktu jsou zakázány.
  5. Ukončete Editor registru.
 4. Restartujte počítač.
 5. Přihlaste se s účtem správce a heslem, které se používají pro režim opravy adresářové služby.

  Počítač se bude chovat jako členský server. V počítači však ještě existují soubory a položky registru, které souvisí s řadičem domény.
 6. Spusťte Editoru registru a vyhledejte následující klíč registru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  Pokud položka Src Root Domain Srv obsahuje nějaké záznamy, klepněte na ni pravým tlačítkem myši a potom klepněte na příkaz Odstranit. Tuto hodnotu je třeba odstranit, aby se řadič domény po zvýšení úrovně považoval za jediný řadič domény v doméně.

  Důležité Výše uvedený krok je důležitý. Bez tohoto kroku se opětovné zvýšení úrovně do dočasné doménové struktury služby Active Directory neprovede a nebudete se moci přihlásit k řadiči domény.
 7. Odeberte zbývající soubory a položky registru. Postupujte takto:
  1. Spusťte Průvodce instalací služby Active Directory.
  2. Nainstalujte službu Active Directory a vytvořte tak z tohoto počítače řadič domény pro novou, dočasnou doménu, například pssdocasna.vymazat.

   Poznámka Ujistěte se, že z počítače vytvoříte řadič domény v jiné doménové struktuře.
  3. Po instalaci služby Active Directory spusťte znovu Průvodce instalací služby Active Directory a pak odeberte službu Active Directory z tohoto řadiče domény.
 8. Po odebrání služby Active Directory z řadiče domény odeberte metadata, která zůstala v doméně.Další informace o odebrání těchto metadat získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

  216498 Odebrání dat z adresáře služby Active Directory po neúspěšném snížení úrovně řadiče domény

Prohlášení

Společnost Microsoft testovala a podporuje vynucené snížení úrovně řadičů domény spuštěných v systému Windows 2000 nebo Windows Server 2003.

Další informace

Průvodce instalací služby Active Directory vytvoří řadiče domény služby Active Directory v počítačích se systémy Windows 2000 a Windows Server 2003. Mezi operace prováděné Průvodcem instalací služby Active Directory patří instalace nových služeb, změna hodnot spuštění existujících služeb a přechod k službě Active Directory jako ke sféře zabezpečení a ověřování.

Díky vynucenému snížení úrovně může správce domény nuceně odebrat službu Active Directory a vrátit zpět místně udržované systémové změny, aniž by bylo nutné navázat kontakt nebo replikovat veškeré místně udržované změny na jiný řadič domény v doménové struktuře.

Vynucené snížení úrovně způsobí ztrátu všech místně udržovaných změn. Používejte je pouze jako poslední možnost v provozních nebo testovacích doménách. Úroveň řadičů domény můžete nuceně snížit, pokud nelze vyřešit potíže s připojením, překladem názvů, ověřováním nebo závislostmi replikačního stroje, a proto nelze provést nevynucené snížení úrovně. Mezi platné situace, kdy je třeba provést vynucené snížení úrovně, patří:
 • Při pokusu o snížení úrovně posledního řadiče domény v bezprostřední podřízené doméně nejsou aktuálně k dispozici žádné řadiče domény v nadřízené doméně.
 • Průvodce instalací služby Active Directory nelze dokončit, protože po podrobném řešení potíží zůstávají potíže s překladem názvů, ověřováním, replikačním strojem nebo závislostí objektu služby Active Directory, které nelze vyřešit.
 • Řadič domény nereplikoval příchozí změny služby Active Directory určené parametrem TSL (Tombstone Lifetime; výchozí hodnota je 60 dnů) u jednoho nebo více kontextů názvů.

  Důležité Takové řadiče domény neobnovujte, pokud existuje jiná možnost obnovení pro konkrétní doménu.
 • Z časových důvodů nelze provést podrobnější řešení potíží, protože daný řadič domény je třeba okamžitě uvést do provozu.
Vynucená snížení úrovně mohou být užitečná v prostředích laboratoří nebo tříd, kde můžete odebrat řadiče domény z existujících domén, ale není nutné sériově snížit úroveň jednotlivých řadičů domény.

Jestliže vynutíte snížení úrovně řadiče domény, dojde ke ztrátě všech jedinečných změn, které jsou uloženy ve službě Active Directory daného řadiče domény. Mezi tyto změny patří přidání, odstranění nebo úpravy uživatelů, počítačů, skupin, vztahů důvěryhodnosti a zásad skupiny nebo konfigurace služby Active Directory, které jste před spuštěním příkazu dcpromo /forceremoval nereplikovali. Dojde také ke ztrátě změn veškerých atributů u těchto objektů, například hesel pro uživatele a počítače, vztahů důvěryhodnosti a členství ve skupinách.

Pokud však vynutíte snížení úrovně u řadiče domény, vrátíte operační systém do stejného stavu jako při úspěšném snížení úrovně posledního řadiče domény v doméně (hodnoty spuštění služeb, nainstalované služby, používání funkce Správce zabezpečení účtů založené na registru pro databázi účtů, členství počítače v pracovní skupině). Programy nainstalované na řadiči domény se sníženou úrovní zůstávají nainstalovány.

Protokol událostí systému identifikuje řadiče domény se systémem Windows 2000, u nichž byla nuceně snížena úroveň, a instance operace dcpromo /forceremoval podle ID události 29234. Například:Protokol událostí systému identifikuje řadiče domény se systémem Windows Server 2003, u nichž byla nuceně snížena úroveň, podle ID události 29239. Například:Po použití příkazu dcpromo /forceremovalnejsou metadata počítače se sníženou úrovní odstraněna ze zbývajících řadičů domény. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

216498 Odebrání dat z adresáře služby Active Directory po neúspěšném snížení úrovně řadiče domény

Po vynuceném snížení úrovně řadiče domény je třeba provést následující kroky:
 1. Odeberte účet počítače z domény.
 2. Ověřte, zda byly odebrány záznamy DNS, například A, CNAME a SRV. Pokud existují, odeberte je.
 3. Ověřte, zda byly odebrány členské objekty služby FRS (FRS a DFS). Pokud existují, odeberte je.Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

  296183 Přehled objektů služby Active Directory používaných službou FRS (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

 4. Pokud je počítač se sníženou úrovní členem některých skupin zabezpečení, odeberte jej z těchto skupin.
 5. Odeberte všechny odkazy DFS na server se sníženou úrovní, jako jsou propojení nebo repliky kořenového adresáře.
 6. Zachovalý řadič domény musí převzít veškeré role hlavního operačního serveru, známé také jako FSMO (Flexible Single Master Operations), které byly dříve přiřazeny k řadiči domény s nuceně sníženou úrovní.Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

  255504 Převzetí nebo převod rolí FSMO na řadič domény pomocí nástroje Ntdsutil.exe (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

 7. Pokud řadiče domény, jehož úroveň snižujete, je serverem DNS nebo serverem globálního katalogu, je třeba vytvořit nový server globálního katalogu nebo server DNS, aby bylo zachováno vyrovnávání zatížení sítě, odolnost proti chybám a nastavení konfigurace v doménové struktuře.
 8. Použitím příkazu remove selected server nástroje NTDSUTIL bude odebrán objekt NTDSDSA, nadřízený objekt pro příchozí připojení k řadiči domény, jehož úroveň jste nuceně snížili. Tento příkaz neodebere objekty nadřízeného serveru, které se zobrazí v modulu snap-in Sítě a služby. Pomocí modulu snap-in Sítě a služby Active Directory konzoly MMC odeberte objekt serveru, pokud úroveň řadiče domény nebude v doménové struktuře zvýšena se stejným názvem počítače.
Vlastnosti

ID článku: 332199 - Poslední kontrola: 27. 6. 2014 - Revize: 1

Váš názor