Nem kényszeríthető ki a tartományvezérlők szabályos lefokozása az Active Directory telepítővarázslóval Windows Server 2003 és Windows 2000 Server rendszerben

A jelenség

A Microsoft Windows 2000- vagy Microsoft Windows Server 2003-alapú tartományvezérlők bizonyos esetekben nem fokozhatók le szabályosan az Active Directory telepítővarázsló (Dcpromo.exe) használatával.

Oka

Ez a hiba akkor fordulhat elő, ha egy szükséges függőség vagy művelet hibás. Ide tartoznak a hálózati kapcsolattal, a névfeloldással, a hitelesítéssel, az Active Directory címtárszolgáltatás replikálásával, illetve az Active Directory kritikus objektumainak helyével kapcsolatos hibák.

A megoldás

A hiba megoldásához határozza meg, mi akadályozza a Windows 2000- vagy Windows Server 2003-alapú tartományvezérlő lefokozását, majd próbálkozzon ismét a lefokozással az Active Directory telepítővarázsló használatával.

Megjegyzés: A Windows Server 2008 rendszerben a címtárszolgáltatások helyreállító módja (DSRM) egyetlen kivétellel nem változott a Windows Server 2003 rendszerhez képest. Windows Server 2008 rendszerben a dcpromo/forceremoval parancs futtatásával kényszerítetten eltávolíthatja az AD címtárszolgáltatást a DSRM-ben indított tartományvezérlőből, és erre az AD címtárszolgáltatás leállított állapotában is lehetősége van. A rendszerállapotra vonatkozó adatok biztonsági mentésből történő visszaállításához azonban mindenképpen a DSRM-ből kell indítani a tartományvezérlőt. Ennek módjáról a következő TechNet cikkben tájékozódhat:


Kerülő megoldás

Ha a problémát nem tudja elhárítani, az alábbi kerülő megoldásokkal kikényszerítheti a tartományvezérlő lefokozását abból a célból, hogy megőrizze az operációs rendszer telepített példányát és az egyéb alkalmazásokat.

Figyelem! Az alább ismertetett módszerek alkalmazása előtt győződjön meg róla, hogy a rendszer elindítható a Címtárszolgáltatások helyreállító módjában, enélkül ugyanis nem fog tudni majd bejelentkezni a számítógép lefokozásának kikényszerítését követően. Ha nem emlékszik a Címtárszolgáltatások helyreállító módjának jelszavára, a jelszót alaphelyzetbe állíthatja a Setpwd.exe segédprogrammal, amely a Winnt\System32 mappában található. Windows Server 2003 rendszerben a Setpwd.exe segédprogram által nyújtott szolgáltatásokat az NTDSUTIL eszköz Set DSRM Password parancsa biztosítja.
Az eljárás végrehajtási módjáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

A Kiszolgáló konfigurálása varázsló üres jelszót állít be a helyreállítási módhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows 2000 rendszerű tartományvezérlők

 1. Telepítse a Q332199 jelű gyorsjavítást a Windows 2000 Service Pack 2 (SP2) szervizcsomaggal ellátott vagy későbbi verzióját futtató tartományvezérlőkön, vagy telepítse a Windows 2000 Service Pack 4 (SP4) szervizcsomagot. Az SP2 és a későbbi verziók támogatják a kikényszerített lefokozást. Ezután indítsa újra a számítógépet.

 2. Kattintson a Start menü Futtatás parancsára, és írja be a következő parancsot:

  dcpromo /forceremoval

 3. Kattintson az OK gombra.

 4. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.

 5. Ha az eltávolítandó számítógép globáliskatalógus-kiszolgáló, kattintson az üzenetablakban az OK gombra.

  Megjegyzés: Léptessen elő igény szerint további globális katalógusokat az erdőben vagy helyen, ha a lefokozandó tartományvezérlő globáliskatalógus-kiszolgálóként működik.

 6. Az Active Directory eltávolítása lapon ellenőrizze, hogy nincs bejelölve az Ez a kiszolgáló az utolsó tartományvezérlő a tartományban jelölőnégyzet, majd kattintson a Tovább gombra.

 7. A Hálózati hitelesítő adatok lapon írja be egy vállalati rendszergazdai hitelesítő adatokkal rendelkező felhasználói fiók nevét, jelszavát és tartománynevét, és kattintson a Tovább gombra.

 8. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.

 9. Az Összegzés lapon kattintson a Tovább gombra.

 10. Törölje az erdő valamelyik megmaradt tartományvezérlőjén a lefokozott tartományvezérlő metaadatait.

Ha az erdő egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenőrizze, hogy az erdőben található tartományvezérlők és globáliskatalógus-kiszolgálók mindegyikéről törlődött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevű tartomány ugyanazon erdőben történő előléptetését megelőzően eltávolított. A Windows 2000 támogatási eszközei (például a Replmon.exe és Repadmin.exe) segítségével megállapíthatja, hogy sor került-e a végpontok közötti replikációra. A Windows 2000 SP3-alapú és korábbi globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003-alapú társaik.

Windows Server 2003 rendszerű tartományvezérlők

 1. A Windows Server 2003 rendszerű tartományvezérlők alapértelmezés szerint támogatják a kényszerített lefokozást. Kattintson a Start menü Futtatás parancsára, és írja be a következő parancsot:

  dcpromo /forceremoval

 2. Kattintson az OK gombra.

 3. Az Active Directory telepítése – üdvözli a varázsló lapon kattintson a Tovább gombra.

 4. Az Active Directory eltávolításának kényszerítése lapon kattintson a Tovább gombra.

 5. A Rendszergazda jelszava lapon írja be és erősítse meg a helyi SAM-adatbázis rendszergazdai fiókjához rendelni kívánt jelszót, majd kattintson a Tovább gombra.

 6. Az Összegzés lapon kattintson a Tovább gombra.

 7. Törölje az erdő egyik megmaradt tartományvezérlőjéről a lefokozott tartományvezérlő metaadatait.

Ha az erdő egyik tartományát az Ntdsutil eszköz remove selected domain parancsával távolította el, ellenőrizze, hogy az erdőben található tartományvezérlők és globáliskatalógus-kiszolgálók mindegyikéről törlődött az azon tartománnyal kapcsolatos összes objektum és hivatkozás, amelyet az azonos nevű tartomány ugyanazon erdőben történő előléptetését megelőzően eltávolított. A Windows 2000 Service Pack 3 (SP3) vagy korábbi rendszert futtató globáliskatalógus-kiszolgálók lényegesen lassabban távolítják el az objektumokat és névhasználati környezeteket, mint Windows Server 2003-alapú társaik.

Ha a tartomány helyi csoportjain alapulnak az azon a számítógépen található hozzáférés-szabályozási bejegyzések (ACE-k), amelyről eltávolította az Active Directory címtárat, elképzelhető, hogy újra be kell állítani ezeket az engedélyeket, mivel a csoportok nem lesznek elérhetők az önálló és tagkiszolgálókról. Ha az Active Directory telepítésével tartományvezérlővé szándékozik tenni a számítógépet az eredeti tartományban, nem szükséges beállítani a hozzáférés-szabályozási listákat (ACL-eket). Ha a számítógépet inkább meghagyja tag- vagy önálló kiszolgálóként, a tartomány helyi csoportjain alapuló összes engedélyt le kell fordítani vagy ki kell cserélni.Az Active Directory címtár tartományvezérlőről való eltávolításának engedélyekre gyakorolt hatásairól a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

A tartományvezérlők eltávolításának hatása az engedélyekre (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows Server 2003 Service Pack 1 szervizcsomag továbbfejlesztett szolgáltatásai

A Windows Server 2003 SP1 szervizcsomag a dcpromo /forceremoval folyamat továbbfejlesztett változatát tartalmazza. A dcpromo /forceremoval parancs futtatásakor a rendszer ellenőrzi, hogy a tartományvezérlő ellát-e műveleti főkiszolgálói, DNS-kiszolgálói vagy globáliskatalógus-kiszolgálói szerepkört. A rendszer a szerepkörök mindegyike esetén felhívja a rendszergazda figyelmét a szükséges műveletek elvégzésére.

Ha a tartományvezérlőt nem lehet elindítani normál módban

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

Fontos: Az alábbi lépések csak végső megoldásként szolgálnak arra az esetre, ha a tartományvezérlőt nem lehet normál módban elindítani.

Az Active Directory címtár tartományvezérlőről történő eltávolításához hajtsa végre az alábbi műveleteket:

 1. Indítsa újra a számítógépet, és az F8 billentyű lenyomásával jelenítse meg a Windows 2000 speciális indítási lehetőségeit tartalmazó menüt.

 2. Válassza a Címtárszolgáltatások helyreállító módja lehetőséget, és nyomja le az ENTER billentyűt, majd az újraindítás folytatásához nyomja le ismét az ENTER billentyűt.

 3. Módosítsa a beállításjegyzék ProductType bejegyzését. Ehhez hajtsa végre a következő lépéseket:

  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.

  2. Keresse meg a következő beállításkulcsot (korábbi nevén rendszerleíró kulcs):

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions

  3. A jobb oldali ablaktáblában kattintson duplán a ProductType azonosítóra.

  4. Az Érték mezőbe írja be a ServerNT értéket, majd kattintson az OK gombra.

   Megjegyzés: Ha ezen érték nincs beállítva vagy pontatlanul van megadva, a következő hibaüzenet jelenhet meg:

   Rendszerfolyamat - Licencmegsértés: A rendszer a regisztrált termék módosítását érzékelte. Ez a szoftver licencének megsértése. A termék módosítása nem engedélyezett.

  5. Lépjen ki a Beállításszerkesztőből.

 4. Indítsa újra a számítógépet.

 5. Jelentkezzen be a Címtárszolgáltatások helyreállító módjához használt rendszergazdai fiókkal és jelszóval.

  A számítógép önálló kiszolgálóként fog működni. A számítógépen azonban még megtalálható néhány olyan fájl és rendszerbeállítási bejegyzés, amely a tartományvezérlőhöz tartozik.

 6. Indítsa el a Beállításszerkesztőt, és keresse meg a következő beállításkulcsot:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersA jobb egérgombbal kattintson a(z) Src Root Domain Srv bejegyzésre (ha van ilyen), majd kattintson a Törlés parancsra. Ezt az értéket azért szükséges törölni, hogy a tartományvezérlő az előléptetést követően önmagát érzékelje a tartomány egyetlen tartományvezérlőjének.

  Fontos: A fenti lépés kritikus fontosságú. Enélkül az Active Directory-erdőbe történő ismételt előléptetés nem fejeződik be, így Ön nem fogja tudni naplózni a tartományvezérlő tevékenységeit.

 7. Távolítsa el a további fájlokat és rendszerbeállítási bejegyzéseket. Ehhez hajtsa végre a következő lépéseket:

  1. Indítsa el az Active Directory telepítővarázslót.

  2. Az Active Directory telepítésével tegye a számítógépet egy új ideiglenes tartomány (például „psstemp.torolni”) tartományvezérlőjévé.

   Megjegyzés: Lényeges, hogy a számítógépet egy másik erdő tartományvezérlőjévé tegye.

  3. Az Active Directory telepítését követően indítsa el ismét az Active Directory telepítővarázslót, és távolítsa el az Active Directory címtárat a tartományvezérlőről.

 8. Az Active Directory címtárnak a tartományvezérlőről való eltávolítását követően törölje a tartományban maradt metaadatokat.A metaadatok eltávolításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

  Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően

Állapot

A Microsoft a Windows 2000 és Windows Server 2003 rendszert futtató tartományvezérlők kényszerített lefokozását tesztelte és támogatja.

További információ

Az Active Directory telepítővarázslóval Active Directory-alapú tartományvezérlők hozhatók létre Windows 2000- és Windows Server 2003-alapú számítógépeken. Az Active Directory telepítővarázsló elvégzi az új szolgáltatások telepítését, módosítja a meglévő szolgáltatások indítási értékeit, illetve az Active Directory címtárat vezeti be biztonsági és hitelesítési tartománynak.

Kényszerített lefokozással a tartományi rendszergazdák eltávolíthatják az Active Directory címtárat és visszaállíthatják a helyileg nyilvántartott rendszerváltozásokat anélkül, hogy az erdő egy másik tartományvezérlőjével kapcsolatba kellene lépniük vagy a változásokat arra replikálniuk kellene.

Mivel a kényszerített lefokozás a helyileg nyilvántartott változások elvesztését eredményezi, csak végső megoldásként használja üzemi és teszttartományok esetén. A tartományvezérlők lefokozását akkor érdemes kikényszeríteni, ha a kapcsolati, névfeloldási, hitelesítési vagy a replikációs motorral kapcsolatos függőségek nem oldhatók fel, így a szabályos lefokozás nem lehetséges. A lefokozás kikényszerítése többek között a következő forgatókönyvek esetén alkalmazható:

 • Nem áll rendelkezésre tartományvezérlő a szülőtartományban, mivel egy közvetlen gyermektartomány utolsó tartományvezérlőjét készül lefokozni.

 • Az Active Directory telepítővarázsló nem tudott sikeresen lefutni, mivel a névfeloldáshoz, hitelesítéshez, a replikációs motor működéséhez vagy egy Active Directory objektumhoz szükséges függőség nem oldható fel a részletes hibakeresést követően sem.

 • Az egyik tartományvezérlő nem replikálta az Active Directory változásait a szemét napokban kifejezett élettartamán (alapértelmezés szerint 60 nap) belül egy vagy több névhasználati környezetben.

  Fontos: Ne állítsa vissza az ilyen tartományvezérlőket, hacsak nem ez az egyetlen lehetőség egy adott tartomány helyreállítására.

 • Nem áll rendelkezésre elegendő idő az alapos hibakeresésre, mivel azonnal üzembe kell állítani a tartományvezérlőt.

A kényszerített lefokozás hasznos lehet olyan laboratóriumi vagy osztálytermi környezetekben, ahol a meglévő tartományok tartományvezérlői eltávolíthatók anélkül, hogy sorban le kellene fokozni az egyes tartományokat.

Ha kikényszeríti egy tartományvezérlő lefokozását, elveszik az összes egyedi változtatás, amely az eltávolított tartományvezérlő Active Directory címtárában van nyilvántartva. Elveszhetnek például a felhasználók, számítógépek, csoportok, bizalmi kapcsolatok hozzáadását, törlését vagy módosítását magukban foglaló változások, illetve a Csoportházirend vagy az Active Directory konfigurációja, amennyiben nem fejeződött be sikeresen a dcpromo /forceremoval paranccsal kezdeményezett replikáció. Ezenfelül elveszik ezen objektumok minden attribútuma (például a felhasználók, számítógépek és bizalmi kapcsolatok jelszava, illetve a csoporttagság).

Ha azonban kikényszeríti egy tartományvezérlő lefokozását, visszaállítja az operációs rendszert egy olyan állapotba, amely megfelel a tartomány utolsó tartományvezérlője sikereses eltávolításának (a szolgáltatások indítási értékének, a telepített szolgáltatásoknak, a fiókadatbázis beállításjegyzéken alapuló biztonsági fiókkezelőjének, illetve a számítógép csoporttagságának tekintetében). A lefokozott tartományvezérlőre telepített programok továbbra is telepítve maradnak.

A rendszer eseménynaplója a 29234-es azonosítójú eseménnyel jelzi a Windows 2000-alapú tartományvezérlők kényszerített lefokozását és a dcpromo /forceremoval utasítás használatát. Például:A rendszer eseménynaplója a 29239-es azonosítójú eseménnyel jelzi a Windows 2003-alapú tartományvezérlők kényszerített lefokozását. Például:A dcpromo /forceremoval parancs használatát követően a lefokozott számítógép metaadatai nem törlődnek a megmaradt tartományvezérlőkön. A Microsoft Tudásbázis kapcsolódó cikke:

Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően

A következő feladatokat kell elvégezni a tartományvezérlők kényszerített lefokozását követően (amennyiben lehetséges):

 1. Távolítsa el a számítógép fiókját a tartományból.

 2. Ellenőrizze, hogy a DNS rekordjai (például az A, CNAME és SRV rekordok) el lettek-e távolítva, és amennyiben még megtalálhatók névtérben, távolítsa el azokat.

 3. Ellenőrizze, hogy a fájlreplikációs szolgáltatás tagobjektumai (FRS és DFS) el lettek-e távolítva, és ha még nem, távolítsa el azokat.A Microsoft Tudásbázis kapcsolódó cikke:

  A fájlreplikációs szolgáltatás által használt Active Directory-objektumok áttekintése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

 4. Ha a lefokozott számítógép tagja biztonsági csoportoknak, távolítsa el azokból.

 5. Távolítsa el a lefokozott kiszolgálóra mutató összes DFS-hivatkozást, például a kapcsolatokat és gyökérreplikákat.

 6. Valamelyik tartományvezérlőnek zárolnia kell az összes olyan műveleti főkiszolgálói (FSMO-) szerepkört, amelyet korábban a kényszerítve lefokozott tartományvezérlő töltött be.A Microsoft Tudásbázis kapcsolódó cikke:

  Az FSMO-szerepkörök zárolása vagy másik tartományvezérlőre való átvitele az Ntdsutil.exe segédprogrammal

 7. Ha a lefokozott tartományvezérlő DNS- vagy globáliskatalógus-kiszolgáló, új globáliskatalógus- vagy DNS-kiszolgálót kell létrehozni a terheléselosztás, a hibatűrés és az erdő konfigurációjának nyilvántartása érdekében.

 8. Ha az NTDSUTIL eszköz remove selected server parancsát használja, az NTDSDSA objektumot – vagyis a kényszerítve eltávolított tartományvezérlő bejövő kapcsolatainak szülőobjektumát – is eltávolítja a rendszer. A parancs ugyanakkor nem távolítja el a Helyek és szolgáltatások beépülő modulban megjelenő kiszolgálóobjektumokat. Az Active Directory – helyek és szolgáltatások MMC beépülő modul segítségével eltávolítható a kiszolgálóobjektum, ha a tartományvezérlőt nem kívánja változatlan számítógépnévvel előléptetni az erdőben.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×