I controller di dominio non abbassano di livello normalmente quando si usa l'Installazione guidata Active Directory per forzare l'abbassamento di livello

  • Articolo

Questo articolo fornisce una soluzione alternativa per un problema per cui i controller di dominio non abbassano di livello quando si usa l'Installazione guidata Active Directory (Dcpromo.exe) per forzare l'abbassamento di livello.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 332199

Sintomi

I controller di dominio di Microsoft Windows 2000 o Microsoft Windows Server 2003 potrebbero non abbassare di livello normalmente l'installazione guidata di Active Directory (Dcpromo.exe).

Causa

Questo comportamento può verificarsi se una dipendenza o un'operazione richiesta ha esito negativo. Questi includono connettività di rete, risoluzione dei nomi, autenticazione, replica del servizio directory Active Directory o il percorso di un oggetto critico in Active Directory.

Risoluzione

Per risolvere questo comportamento, determinare cosa impedisce l'abbassamento di livello normale del controller di dominio Windows 2000 o Windows Server 2003 e quindi provare a abbassare di livello il controller di dominio usando di nuovo l'Installazione guidata Active Directory.

Nota

Per Windows Server 2008, la modalità di ripristino di Servizi directory (DSRM) rimane invariata rispetto a Windows Server 2003 con un'eccezione. In Windows Server 2008 è possibile eseguire il dcpromo/forceremoval comando per rimuovere forzatamente Servizi di dominio Active Directory da un controller di dominio avviato in DSRM, proprio come è possibile nello stato arrestato di Active Directory Domain Services. Un controller di dominio deve ancora essere avviato in DSRM per ripristinare i dati sullo stato del sistema da un backup. Per altre informazioni su come eseguire questa operazione, vedere Guida dettagliata per Servizi di dominio Active Directory riavviabile.

Soluzione alternativa

Se non è possibile risolvere il comportamento, è possibile usare le soluzioni alternative seguenti per eseguire un abbassamento di livello forzato del controller di dominio per mantenere l'installazione del sistema operativo e di qualsiasi applicazione su di esso.

Avviso

Prima di usare una delle soluzioni alternative seguenti, assicurarsi di poter iniziare correttamente in modalità di ripristino di Servizi directory. In caso contrario, non sarà possibile accedere dopo aver abbassato di livello forzatamente il computer. Se non si ricorda la password della modalità di ripristino di Servizi directory, è possibile reimpostare la password usando l'utilità Setpwd.exe che si trova nella Winnt\System32 cartella. In Windows Server 2003 la funzionalità dell'utilità Setpwd.exe è stata integrata nel comando Imposta password DSRM dello strumento NTDSUTIL.

Controller di dominio Windows 2000

  1. Installare l'hotfix Q332199 in un controller di dominio Windows 2000 che esegue Service Pack 2 (SP2) o versione successiva oppure installare Windows 2000 Service Pack 4 (SP4). SP2 e versioni successive supportano l'abbassamento di livello forzato. Riavviare quindi il computer.

  2. Fare clic su Start, fare clic su Esegui e quindi digitare il comando : dcpromo /forceremoval.

  3. Fare clic su OK.

  4. Nella pagina Installazione guidata Active Directory fare clic su Avanti.

  5. Se il computer che si sta rimuovendo è un server di catalogo globale, fare clic su OK nella finestra del messaggio.

    Nota

    Alzare di livello cataloghi globali aggiuntivi nella foresta o nel sito se il controller di dominio che si sta abbassando di livello è un server di catalogo globale, in base alle esigenze.

  6. Nella pagina Rimuovi Active Directory verificare che la casella di controllo This server is the last domain controller in the domain (Questo server è l'ultimo controller di dominio nel dominio ) sia deselezionata e quindi fare clic su Avanti.

  7. Nella pagina Credenziali di rete digitare il nome, la password e il nome di dominio per un account utente con credenziali di amministratore dell'organizzazione nella foresta e quindi fare clic su Avanti.

  8. In Password amministratore digitare la password e la password confermata da assegnare all'account amministratore del database SAM locale e quindi fare clic su Avanti.

  9. Nella pagina Summary fare clic su Avanti.

  10. Eseguire una pulizia dei metadati per il controller di dominio abbassato di livello in un controller di dominio sopravvissuto nella foresta.

Se è stato rimosso un dominio dalla foresta usando il comando rimuovi dominio selezionato in Ntdsutil, verificare che tutti i controller di dominio e i server di catalogo globale nella foresta abbiano rimosso tutti gli oggetti e i riferimenti al dominio appena rimosso prima di alzare di livello un nuovo dominio nella stessa foresta con lo stesso nome di dominio. Strumenti come Replmon.exe o Repadmin.exe da Strumenti di supporto di Windows 2000 possono aiutare a determinare se si è verificata la replica end-to-end. Windows 2000 SP3 e i server di catalogo globale precedenti sono notevolmente più lenti per rimuovere oggetti e contesti di denominazione rispetto a Windows Server 2003.

Controller di dominio Windows Server 2003

  1. Per impostazione predefinita, i controller di dominio di Windows Server 2003 supportano l'abbassamento di livello forzato. Fare clic su Start, fare clic su Esegui e quindi digitare il comando : dcpromo /forceremoval.

  2. Fare clic su OK.

  3. Nella pagina Installazione guidata Active Directory fare clic su Avanti.

  4. Nella pagina Forza la rimozione di Active Directory fare clic su Avanti.

  5. In Password amministratore digitare la password e la password confermata da assegnare all'account amministratore del database SAM locale e quindi fare clic su Avanti.

  6. In Riepilogo fare clic su Avanti.

  7. Eseguire una pulizia dei metadati per il controller di dominio abbassato di livello in un controller di dominio sopravvissuto nella foresta.

Se è stato rimosso un dominio dalla foresta usando il comando rimuovi dominio selezionato in Ntdsutil, verificare che tutti i controller di dominio e i server di catalogo globale nella foresta abbiano rimosso tutti gli oggetti e i riferimenti al dominio appena rimosso prima di alzare di livello un nuovo dominio nella stessa foresta con lo stesso nome di dominio. Windows 2000 Service Pack 3 (SP3) e i server di catalogo globale precedenti sono notevolmente più lenti per rimuovere oggetti e contesti di denominazione rispetto a Windows Server 2003.

Se le voci di controllo di accesso alle risorse (ACL) nel computer da cui è stato rimosso Active Directory erano basate su gruppi locali di dominio, queste autorizzazioni potrebbero dover essere riconfigurate, perché questi gruppi non saranno disponibili per i server membri o autonomi. Se si prevede di installare Active Directory nel computer per renderlo un controller di dominio nel dominio originale, non è più necessario configurare gli elenchi di controllo di accesso (ACL). Se si preferisce lasciare il computer come membro o server autonomo, tutte le autorizzazioni basate su gruppi locali di dominio devono essere convertite o sostituite.

Miglioramenti di Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 migliora il dcpromo /forceremoval processo. Quando dcpromo /forceremoval viene eseguito, viene eseguito un controllo per determinare se il controller di dominio ospita un ruolo master operazioni, è un server DNS (Domain Name System) o è un server di catalogo globale. Per ognuno di questi ruoli, l'amministratore riceve un avviso popup che consiglia all'amministratore di intraprendere l'azione appropriata.

Se il controller di dominio non può essere avviato in modalità normale

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

Importante

Seguire questi passaggi solo come ultima risorsa se il controller di dominio non può essere avviato in modalità normale.

Per rimuovere Active Directory da un controller di dominio, seguire questa procedura:

  1. Riavviare il computer e quindi premere F8 per visualizzare il menu Opzioni avanzate di Windows 2000 .

  2. Scegliere Modalità di ripristino di Servizi directory, premere INVIO e quindi premere di nuovo INVIO per continuare il riavvio.

  3. Modificare la voce ProductType nel Registro di sistema. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

    2. Individuare la sottochiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdel Registro di sistema .

    3. Nel riquadro destro fare doppio clic su ProductType.

    4. Digitare ServerNT nella casella Dati valore e quindi fare clic su OK.

      Nota

      Se questo valore non è impostato correttamente o non è scritto correttamente, è possibile che venga visualizzato il messaggio di errore seguente:Processo di sistema - Violazione di licenza: il sistema ha rilevato manomissioni con il tipo di prodotto registrato. Si tratta di una violazione della licenza software. La manomissione del tipo di prodotto non è consentita.

    5. Chiudere l'editor del Registro di sistema.

  4. Riavviare il computer.

  5. Accedere con l'account amministratore e la password usati per la modalità di ripristino del servizio directory.

    Il computer si comporterà come un server membro. Tuttavia, nel computer sono ancora presenti alcuni file e voci del Registro di sistema rimanenti associati al controller di dominio.

  6. Avviare Editor del Registro di sistema e individuare la voce HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersdel Registro di sistema .

    Se è presente una voce per Src Root Domain Srv, fare clic con il pulsante destro del mouse sul valore e quindi scegliere Elimina. Questo valore deve essere eliminato in modo che il controller di dominio si veda come l'unico controller di dominio nel dominio dopo l'innalzamento di livello.

    Importante

    Il passaggio precedente è fondamentale. In caso contrario, la promozione nella foresta temporanea di Active Directory non verrà completata e non sarà possibile accedere al controller di dominio.

  7. Rimuovere i file rimanenti e le voci del Registro di sistema. A tal fine, attenersi alla seguente procedura:

    1. Avviare l'installazione guidata di Active Directory.

    2. Installare Active Directory per rendere il computer un controller di dominio per un nuovo dominio temporaneo, ad esempio psstemp.deleteme.

      Nota

      Assicurarsi di rendere il computer un controller di dominio in una foresta diversa.

    3. Dopo aver installato Active Directory, avviare di nuovo l'installazione guidata di Active Directory e quindi rimuovere Active Directory dal controller di dominio.

  8. Dopo aver rimosso Active Directory da un controller di dominio, rimuovere i metadati rimasti nel dominio. Per altre informazioni su come rimuovere questi metadati, vedere Come rimuovere i dati in Active Directory dopo un abbassamento di livello del controller di dominio non riuscito.

Stato

Microsoft ha testato e supporta l'abbassamento di livello forzato dei controller di dominio che eseguono Windows 2000 o Windows Server 2003.

Ulteriori informazioni

L'Installazione guidata Active Directory crea controller di dominio Active Directory in computer basati su Windows 2000 e Windows Server 2003. Le operazioni eseguite dall'Installazione guidata Active Directory includono l'installazione di nuovi servizi, le modifiche ai valori di avvio dei servizi esistenti e la transizione ad Active Directory come area di autenticazione e sicurezza.

Con l'abbassamento di livello forzato, un amministratore di dominio può rimuovere forzatamente Active Directory ed eseguire il rollback delle modifiche di sistema in locale senza dover contattare o replicare eventuali modifiche in locale in un altro controller di dominio nella foresta.

Poiché l'abbassamento di livello forzato causa la perdita di eventuali modifiche in locale, usarlo solo come ultima risorsa nei domini di produzione o di test. È possibile abbassare forzatamente i controller di dominio quando la connettività, la risoluzione dei nomi, l'autenticazione o le dipendenze del motore di replica non possono essere risolte in modo da poter eseguire un abbassamento di livello normale. Gli scenari validi per le abbassamenti di livello forzati includono quanto segue:

  • Non sono attualmente disponibili controller di dominio nel dominio padre quando si tenta di abbassare di livello l'ultimo controller di dominio in un dominio figlio immediato.

  • Impossibile completare l'installazione guidata di Active Directory perché è presente una risoluzione dei nomi, l'autenticazione, il motore di replica o una dipendenza di oggetti Active Directory che non è possibile risolvere dopo aver eseguito la risoluzione dettagliata dei problemi.

  • Un controller di dominio non ha replicato le modifiche in ingresso di Active Directory nel numero di giorni di durata di rimozione definitiva (la durata di rimozione definitiva predefinita è 60 giorni) per uno o più contesti di denominazione.

    Importante

    Non ripristinare tali controller di dominio a meno che non siano l'unica possibilità di ripristino per un determinato dominio.

  • Il tempo non consente la risoluzione dei problemi più dettagliata perché è necessario rendere immediatamente disponibile il controller di dominio. Le abbassamenti di livello forzati possono essere utili negli ambienti lab e per le classi in cui è possibile rimuovere i controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ogni controller di dominio in modo seriale.

Se si forza l'abbassamento di livello di un controller di dominio, si perderanno eventuali modifiche univoche che risiedono in Active Directory del controller di dominio che si sta abbassando forzatamente. Ciò include l'aggiunta, l'eliminazione o la modifica di utenti, computer, gruppi, relazioni di trust e Criteri di gruppo o configurazione di Active Directory che non è stata replicata prima dell'esecuzione del dcpromo /forceremoval comando. Inoltre, si perderanno le modifiche a uno qualsiasi degli attributi di questi oggetti, ad esempio password per utenti, computer e relazioni di trust e appartenenza a gruppi.

Tuttavia, se si forza l'abbassamento di livello di un controller di dominio, si restituisce il sistema operativo a uno stato uguale all'abbassamento di livello dell'ultimo controller di dominio in un dominio (valori di avvio del servizio, servizi installati, uso di un SAM basato sul Registro di sistema per il database dell'account, computer membro di un gruppo di lavoro). I programmi installati nel controller di dominio abbassato di livello rimangono installati.

Il registro eventi di sistema identifica i controller di dominio e le istanze di Windows 2000 abbassati forzatamente in base all'ID dcpromo /forceremoval evento 29234. Ad esempio: il registro eventi di sistema identifica i controller di dominio windows server 2003 abbassati forzatamente in base all'ID evento 29239. Ad esempio: dopo aver usato il dcpromo /forceremoval comando , i metadati per il computer abbassato di livello non vengono eliminati nei controller di dominio sopravvissuti. Per altre informazioni, vedere Pulire Dominio di Active Directory metadati del server controller.

Di seguito sono riportati gli elementi che è necessario risolvere, se applicabile, dopo aver abbassato forzatamente un controller di dominio:

  1. Rimuovere l'account computer dal dominio.
  2. Verificare che i record DNS, ad esempio A, CNAME e SRV Records, siano stati rimossi e rimuoverli se presenti.
  3. Verificare che gli oggetti membro FRS (FRS e DFS) siano stati rimossi e rimuoverli se sono presenti.
  4. Se il computer abbassato di livello è membro di qualsiasi gruppo di sicurezza, rimuoverlo da tali gruppi.
  5. Rimuovere eventuali riferimenti DFS al server abbassato di livello, ad esempio collegamenti o repliche radice.
  6. Un controller di dominio sopravvissuto deve assumere tutti i ruoli di master operazioni, noti anche come operazioni master singole flessibili o FSMO, precedentemente detenuti dal controller di dominio abbassato forzatamente. Per altre informazioni, vedere Trasferire o assegnare ruoli master operazione in Active Directory Domain Services.
  7. Se il controller di dominio che si sta abbassando di livello è un server DNS o un server di catalogo globale, è necessario creare un nuovo server GC o DNS per soddisfare le impostazioni di bilanciamento del carico, tolleranza di errore e configurazione nella foresta.
  8. Quando si usa il comando remove selected server in NTDSUTIL, l'oggetto NTDSDSA, l'oggetto padre per le connessioni in ingresso al controller di dominio abbassato forzatamente viene rimosso. Il comando non rimuove gli oggetti server padre visualizzati nello snap-in Siti e servizi. Usare lo snap-in MMC Siti e servizi di Active Directory per rimuovere l'oggetto server se il controller di dominio non verrà innalzato di livello nella foresta con lo stesso nome computer.