Контроллеры домена не понижают нормально при использовании мастера установки Active Directory для принудительного понижения

  • Статья

В этой статье описано решение проблемы, из-за которой контроллеры домена не понижают их при использовании мастера установки Active Directory (Dcpromo.exe) для принудительного понижения.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 332199

Симптомы

Контроллеры домена Microsoft Windows 2000 или Microsoft Windows Server 2003 могут неправильно понизить их с помощью мастера установки Active Directory (Dcpromo.exe).

Причина

Такое поведение может возникать в случае сбоя требуемой зависимости или операции. К ним относятся сетевое подключение, разрешение имен, проверка подлинности, репликация службы Каталогов Active Directory или расположение критического объекта в Active Directory.

Разрешение

Чтобы устранить эту проблему, определите, что препятствует корректному понижению уровня контроллера домена Windows 2000 или Windows Server 2003, а затем попробуйте понизить его, используя мастер установки Active Directory.

Примечание.

Для Windows Server 2008 режим восстановления служб каталогов (DSRM) остается неизменным по сравнению с Windows Server 2003 с одним исключением. В Windows Server 2008 можно выполнить dcpromo/forceremoval команду, чтобы принудительно удалить AD DS из контроллера домена, запущенного в DSRM, так же, как и в состоянии остановлено AD DS. Контроллер домена по-прежнему должен быть запущен в DSRM для восстановления данных состояния системы из резервной копии. Дополнительные сведения о том, как это сделать, см. в разделе Пошаговое руководство по перезапуску AD DS.

Обходной путь

Если устранить проблему не удается, можно использовать следующие обходные пути, чтобы выполнить принудительное понижение уровня контроллера домена, чтобы сохранить установку операционной системы и любых приложений на ней.

Предупреждение

Прежде чем использовать одно из следующих обходных решений, убедитесь, что можно успешно запустить в режиме восстановления служб каталогов. В противном случае вы не сможете войти в систему после принудительного понижения уровня компьютера. Если вы не помните пароль режима восстановления служб каталогов, можно сбросить пароль с помощью программы Setpwd.exe, которая находится в папке Winnt\System32 . В Windows Server 2003 функциональность программы Setpwd.exe была интегрирована в команду Set DSRM Password средства NTDSUTIL.

Контроллеры домена Windows 2000

  1. Установите исправление Q332199 на контроллере домена Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии или windows 2000 с пакетом обновления 4 (SP4). С пакетом обновления 2 (SP2) и более поздние версии поддерживают принудительное понижение. Затем перезагрузите компьютер.

  2. Нажмите кнопку Пуск, нажмите кнопку Выполнить, а затем введите команду : dcpromo /forceremoval.

  3. Нажмите кнопку OK.

  4. На странице Добро пожаловать в мастер установки Active Directory нажмите кнопку Далее.

  5. Если компьютер, который вы удаляете, является сервером глобального каталога, нажмите кнопку ОК в окне сообщения.

    Примечание.

    Повысьте дополнительные глобальные каталоги в лесу или на сайте, если контроллер домена, который вы понижаете, является сервером глобального каталога по мере необходимости.

  6. На странице Удаление Active Directory убедитесь, что флажок Этот сервер является последним контроллером домена в домене проверка, и нажмите кнопку Далее.

  7. На странице Учетные данные сети введите имя, пароль и доменное имя для учетной записи пользователя с учетными данными администратора предприятия в лесу, а затем нажмите кнопку Далее.

  8. В поле Пароль администратора введите пароль и подтвержденный пароль, которые нужно назначить учетной записи администратора локальной базы данных SAM, а затем нажмите кнопку Далее.

  9. На странице Summary (Сводка) нажмите кнопку Next (Далее).

  10. Выполните очистку метаданных для пониженного контроллера домена на уцелевший контроллер домена в лесу.

Если вы удалили домен из леса с помощью команды удалить выбранный домен в Ntdsutil, убедитесь, что все контроллеры домена и серверы глобального каталога в лесу удалили все объекты и ссылки на домен, который вы только что удалили, прежде чем продвигать новый домен в том же лесу с тем же доменным именем. Такие средства, как Replmon.exe или Repadmin.exe из средств поддержки Windows 2000, могут помочь определить, была ли выполнена сквозная репликация. Серверы глобального каталога Windows 2000 с пакетом обновления 3 (SP3) и более ранних версий заметно медленнее удаляют объекты и контексты именования, чем Windows Server 2003.

Контроллеры домена Windows Server 2003

  1. По умолчанию контроллеры домена Windows Server 2003 поддерживают принудительное понижение. Нажмите кнопку Пуск, нажмите кнопку Выполнить, а затем введите команду : dcpromo /forceremoval.

  2. Нажмите кнопку OK.

  3. На странице Добро пожаловать в мастер установки Active Directory нажмите кнопку Далее.

  4. На странице Принудительное удаление Active Directory нажмите кнопку Далее.

  5. В поле Пароль администратора введите пароль и подтвержденный пароль, которые нужно назначить учетной записи администратора локальной базы данных SAM, а затем нажмите кнопку Далее.

  6. В разделе Сводка нажмите кнопку Далее.

  7. Выполните очистку метаданных для пониженного контроллера домена на уцелевший контроллер домена в лесу.

Если вы удалили домен из леса с помощью команды удалить выбранный домен в Ntdsutil, убедитесь, что все контроллеры домена и серверы глобального каталога в лесу удалили все объекты и ссылки на домен, который вы только что удалили, прежде чем продвигать новый домен в том же лесу с тем же доменным именем. Windows 2000 с пакетом обновления 3 (SP3) и более ранних версий серверов глобального каталога заметно медленнее удалять объекты и контексты именования, чем Windows Server 2003.

Если записи управления доступом к ресурсам (ACE) на компьютере, с который вы удалили Active Directory, были основаны на локальных группах домена, эти разрешения, возможно, потребуется перенастроить, так как эти группы будут недоступны для членов или автономных серверов. Если вы планируете установить Active Directory на компьютере, чтобы сделать его контроллером домена в исходном домене, вам больше не нужно настраивать списки управления доступом (ACL). Если вы предпочитаете оставить компьютер членом или автономным сервером, все разрешения, основанные на локальных группах домена, должны быть преобразованы или заменены.

Улучшения Windows Server 2003 с пакетом обновления 1 (SP1)

Windows Server 2003 с пакетом обновления 1 (SP1) улучшает этот dcpromo /forceremoval процесс. При dcpromo /forceremoval выполнении выполняется проверка, чтобы определить, размещает ли контроллер домена операцию master роли, является ли dns-сервером или сервером глобального каталога. Для каждой из этих ролей администратор получает всплывающее предупреждение с рекомендацией администратору принять соответствующие меры.

Если контроллер домена не может запуститься в обычном режиме

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Важно!

Выполните эти действия только в крайнем случае, если контроллер домена не может запуститься в обычном режиме.

Чтобы удалить Active Directory с контроллера домена, выполните следующие действия.

  1. Перезагрузите компьютер и нажмите клавишу F8, чтобы открыть меню Windows 2000 Дополнительные параметры .

  2. Выберите Режим восстановления служб каталогов, нажмите клавишу ВВОД, а затем нажмите клавишу ВВОД еще раз, чтобы продолжить перезапуск.

  3. Измените запись ProductType в реестре. Для этого выполните следующие действия:

    1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

    2. Найдите подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsреестра .

    3. В правой области дважды щелкните ProductType.

    4. Введите ServerNT в поле Значение и нажмите кнопку ОК.

      Примечание.

      Если это значение задано неправильно или указано с ошибкой, может появилось следующее сообщение об ошибке:Системный процесс — нарушение лицензии: Система обнаружила незаконное изменение зарегистрированного типа продукта. Это является нарушением вашей лицензии на программное обеспечение. Изменение типа продукта запрещено.

    5. Закройте редактор реестра.

  4. Перезагрузите компьютер.

  5. Войдите в систему с учетной записью администратора и паролем, которые используются в режиме восстановления службы каталогов.

    Компьютер будет работать как рядовой сервер. Однако на компьютере по-прежнему остаются некоторые файлы и записи реестра, связанные с контроллером домена.

  6. Запустите Редактор реестра и найдите запись HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersреестра .

    Если есть запись для Srv корневого домена Src, щелкните правой кнопкой мыши значение и выберите команду Удалить. Это значение необходимо удалить, чтобы контроллер домена считал себя единственным контроллером домена в домене после повышения.

    Важно!

    Описанный выше шаг является критически важным. Без этого повторное повышение во временный лес AD не будет завершено, и вы не сможете войти в контроллер домена.

  7. Удалите остальные файлы и записи реестра. Для этого выполните следующие действия:

    1. Запустите мастер установки Active Directory.

    2. Установите Active Directory, чтобы сделать компьютер контроллером домена для нового временного домена, например psstemp.deleteme.

      Примечание.

      Убедитесь, что компьютер является контроллером домена в другом лесу.

    3. После установки Active Directory снова запустите мастер установки Active Directory, а затем удалите Active Directory из контроллера домена.

  8. После удаления Active Directory из контроллера домена удалите метаданные, оставшиеся в домене. Дополнительные сведения об удалении этих метаданных см. в статье Удаление данных в Active Directory после неудачного понижения уровня контроллера домена.

Состояние

Корпорация Майкрософт протестирует и поддерживает принудительное понижение уровня контроллеров домена под управлением Windows 2000 или Windows Server 2003.

Дополнительная информация

Мастер установки Active Directory создает контроллеры домена Active Directory на компьютерах под управлением Windows 2000 и Windows Server 2003. Операции, выполняемые мастером установки Active Directory, включают установку новых служб, изменение значений запуска существующих служб и переход на Active Directory в качестве области безопасности и проверки подлинности.

При принудительном понижении администратор домена может принудительно удалить Active Directory и откатить локальные системные изменения без необходимости обращаться к другому контроллеру домена в лесу или реплицировать любые локальные изменения.

Так как принудительное понижение уровня приводит к потере любых локальных изменений, используйте его только в крайнем случае в рабочей или тестовой областях. Вы можете принудительно понизить число контроллеров домена, если не удается разрешить зависимости подсистемы подключения, разрешения имен, проверки подлинности или репликации, чтобы можно было выполнить корректное понижение. Допустимые сценарии принудительного понижения включают следующие:

  • В настоящее время в родительском домене отсутствуют доступные контроллеры домена при попытке понижения последнего контроллера домена в непосредственном дочернем домене.

  • Не удается завершить мастер установки Active Directory, так как существует разрешение имен, проверка подлинности, подсистема репликации или зависимость объекта Active Directory, которую невозможно устранить после выполнения подробного устранения неполадок.

  • Контроллер домена не реплицировал входящие изменения Active Directory в tombstone Lifetime (По умолчанию Tombstone Lifetime — 60 дней) количество дней для одного или нескольких контекстов именования.

    Важно!

    Не восстанавливайте такие контроллеры домена, если они не являются единственным шансом восстановления для определенного домена.

  • Время не позволяет более подробно устранять неполадки, так как необходимо немедленно привести контроллер домена в эксплуатацию. Принудительное понижение может быть полезно в лабораторных и учебных средах, где контроллеры домена можно удалить из существующих доменов, но вам не нужно последовательно понижать каждый контроллер домена.

При принудительном понижении уровня контроллера домена вы потеряете все уникальные изменения, которые находятся в Active Directory контроллера домена, который вы принудительно понижаете. Это включает добавление, удаление или изменение пользователей, компьютеров, групп, отношений доверия и групповая политика или конфигурации Active Directory, которые не реплицировались до выполнения dcpromo /forceremoval команды. Кроме того, вы потеряете изменения любого из атрибутов этих объектов, таких как пароли для пользователей, компьютеров, отношения доверия и членство в группах.

Однако при принудительном понижении уровня контроллера домена операционная система возвращается в состояние, аналогичное успешному понижению уровня последнего контроллера домена в домене (значения запуска службы, установленные службы, использование SAM на основе реестра для базы данных учетной записи, компьютер является членом рабочей группы). Программы, установленные на пониженном контроллере домена, остаются установленными.

Журнал системных событий определяет принудительно пониженные контроллеры домена Windows 2000 и экземпляры dcpromo /forceremoval операции по идентификатору события 29234. Например: журнал системных событий определяет принудительно пониженные контроллеры домена Windows Server 2003 по идентификатору события 29239. Например: после использования dcpromo /forceremoval команды метаданные для пониженного уровня компьютера не удаляются на оставшихся контроллерах домена. Дополнительные сведения см. в статье Очистка метаданных сервера контроллера домен Active Directory.

Ниже приведены элементы, к которым необходимо обратиться после принудительного понижения уровня контроллера домена.

  1. Удалите учетную запись компьютера из домена.
  2. Убедитесь, что записи DNS, такие как A, CNAME и записи SRV, удалены, и удалите их, если они присутствуют.
  3. Убедитесь, что объекты-члены FRS (FRS и DFS) удалены, и удалите их, если они присутствуют.
  4. Если пониженный компьютер является членом какой-либо группы безопасности, удалите его из этих групп.
  5. Удалите все ссылки DFS на пониженный сервер, например ссылки или корневые реплики.
  6. Уцелевший контроллер домена должен захватить все операции master ролей, также известные как гибкие операции с одним master или FSMO, которые ранее были удержаны принудительно пониженным контроллером домена. Дополнительные сведения см. в статье Передача или захват ролей хозяина операций в доменные службы Active Directory.
  7. Если контроллер домена, который вы понижаете, является DNS-сервером или сервером глобального каталога, необходимо создать новый сервер GC или DNS-сервер для удовлетворения параметров балансировки нагрузки, отказоустойчивости и конфигурации в лесу.
  8. При использовании команды удалить выбранный сервер в NTDSUTIL, объект NTDSDSA, родительский объект для входящих подключений к контроллеру домена, который вы принудительно понизили. Команда не удаляет объекты родительского сервера, которые отображаются в оснастке "Сайты и службы". Используйте оснастку MMC "Сайты и службы Active Directory", чтобы удалить объект сервера, если контроллер домена не будет повышен в лес с тем же именем компьютера.