Domeincontrollers degraderen niet correct wanneer u de wizard Active Directory-installatie gebruikt om degradatie af te dwingen

  • Artikel

Dit artikel biedt een tijdelijke oplossing voor een probleem waarbij domeincontrollers niet degraderen wanneer u de wizard Active Directory-installatie (Dcpromo.exe) gebruikt om degradatie af te dwingen.

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 332199

Symptomen

Microsoft Windows 2000- of Microsoft Windows Server 2003-domeincontrollers worden mogelijk niet correct gedegradeerd met behulp van de wizard Active Directory-installatie (Dcpromo.exe).

Oorzaak

Dit gedrag kan optreden als een vereiste afhankelijkheid of bewerking mislukt. Deze omvatten netwerkconnectiviteit, naamomzetting, verificatie, Active Directory-adreslijstservicereplicatie of de locatie van een kritiek object in Active Directory.

Oplossing

Als u dit gedrag wilt oplossen, bepaalt u wat de probleemloze degradatie van de Windows 2000- of Windows Server 2003-domeincontroller verhindert en probeert u vervolgens de domeincontroller te degraderen met behulp van de wizard Active Directory-installatie.

Opmerking

Voor Windows Server 2008 is DSRM (Directory Services Restore Mode) ongewijzigd ten opzichte van Windows Server 2003, met één uitzondering. In Windows Server 2008 kunt u de dcpromo/forceremoval opdracht uitvoeren om AD DS geforceerd te verwijderen van een domeincontroller die is gestart in DSRM, net zoals u kunt in de status AD DS gestopt. Een domeincontroller moet nog steeds worden gestart in DSRM om systeemstatusgegevens te herstellen vanuit een back-up. Zie Stapsgewijze handleiding voor herstartbare AD DS voor meer informatie over hoe u dit doet.

Tijdelijke oplossing

Als u het gedrag niet kunt oplossen, kunt u de volgende tijdelijke oplossingen gebruiken om een geforceerde degradatie van de domeincontroller uit te voeren om de installatie van het besturingssysteem en eventuele toepassingen erop te behouden.

Waarschuwing

Voordat u een van de volgende tijdelijke oplossingen gebruikt, moet u ervoor zorgen dat u de kunt starten in de herstelmodus van Directory Services. Anders kunt u zich niet aanmelden nadat u de computer geforceerd hebt gedegraded. Als u het wachtwoord voor de modus Directory Services terugzetten niet meer weet, kunt u het wachtwoord opnieuw instellen met behulp van het hulpprogramma Setpwd.exe dat zich in de Winnt\System32 map bevindt. In Windows Server 2003 is de functionaliteit van het hulpprogramma Setpwd.exe geïntegreerd in de opdracht DSRM-wachtwoord instellen van het hulpprogramma NTDSUTIL.

Windows 2000-domeincontrollers

  1. Installeer de hotfix Q332199 op een Windows 2000-domeincontroller waarop Service Pack 2 (SP2) of een latere versie wordt uitgevoerd, of installeer Windows 2000 Service Pack 4 (SP4). SP2 en latere versies ondersteunen geforceerde degradatie. Start vervolgens de computer opnieuw op.

  2. Klik op Start, klik op Uitvoeren en typ de opdracht: dcpromo /forceremoval.

  3. Klik op OK.

  4. Klik op de pagina Welkom bij de wizard Active Directory-installatie op Volgende.

  5. Als de computer die u verwijdert een globale catalogusserver is, klikt u op OK in het berichtvenster.

    Opmerking

    Promoot aanvullende globale catalogi in het forest of op de site als de domeincontroller die u degradeert een globale catalogusserver is, indien nodig.

  6. Controleer op de pagina Active Directory verwijderen of het selectievakje Deze server is de laatste domeincontroller in het domein is uitgeschakeld en klik vervolgens op Volgende.

  7. Typ op de pagina Netwerkreferenties de naam, het wachtwoord en de domeinnaam voor een gebruikersaccount met ondernemingsbeheerdersreferenties in het forest en klik vervolgens op Volgende.

  8. Typ in Beheerderswachtwoord het wachtwoord en het bevestigde wachtwoord dat u wilt toewijzen aan het beheerdersaccount van de lokale SAM-database en klik vervolgens op Volgende.

  9. Klik op de pagina Samenvatting op Volgende.

  10. Voer een opschoning van metagegevens uit voor de gedegradeerde domeincontroller op een overlevende domeincontroller in het forest.

Als u een domein uit het forest hebt verwijderd met behulp van de opdracht Geselecteerde domein verwijderen in Ntdsutil, controleert u of alle domeincontrollers en de globale catalogusservers in het forest alle objecten en verwijzingen naar het domein hebben verwijderd die u zojuist hebt verwijderd voordat u een nieuw domein promoveert in hetzelfde forest met dezelfde domeinnaam. Hulpprogramma's zoals Replmon.exe of Repadmin.exe van Windows 2000-ondersteuningshulpprogramma's kunnen u helpen bepalen of end-to-end-replicatie heeft plaatsgevonden. Windows 2000 SP3 en eerdere globale catalogusservers zijn merkbaar langzamer in het verwijderen van objecten en naamgevingscontexten dan Windows Server 2003.

Windows Server 2003-domeincontrollers

  1. Standaard ondersteunen Windows Server 2003-domeincontrollers geforceerde degradatie. Klik op Start, klik op Uitvoeren en typ de opdracht: dcpromo /forceremoval.

  2. Klik op OK.

  3. Klik op de pagina Welkom bij de wizard Active Directory-installatie op Volgende.

  4. Klik op de pagina Verwijdering van Active Directory forceren op Volgende.

  5. Typ in Beheerderswachtwoord het wachtwoord en het bevestigde wachtwoord dat u wilt toewijzen aan het beheerdersaccount van de lokale SAM-database en klik vervolgens op Volgende.

  6. Klik in Samenvatting op Volgende.

  7. Voer een opschoning van metagegevens uit voor de gedegradeerde domeincontroller op een overlevende domeincontroller in het forest.

Als u een domein uit het forest hebt verwijderd met behulp van de opdracht Geselecteerde domein verwijderen in Ntdsutil, controleert u of alle domeincontrollers en de globale catalogusservers in het forest alle objecten en verwijzingen naar het domein hebben verwijderd die u zojuist hebt verwijderd voordat u een nieuw domein promoveert in hetzelfde forest met dezelfde domeinnaam. Windows 2000 Service Pack 3 (SP3) en eerdere globale catalogusservers zijn merkbaar trager bij het verwijderen van objecten en naamgevingscontexten dan Windows Server 2003.

Als vermeldingen voor toegangsbeheer van resources op de computer waaruit u Active Directory hebt verwijderd, zijn gebaseerd op lokale domeingroepen, moeten deze machtigingen mogelijk opnieuw worden geconfigureerd, omdat deze groepen niet beschikbaar zijn voor lidservers of zelfstandige servers. Als u van plan bent om Active Directory op de computer te installeren om er een domeincontroller in het oorspronkelijke domein van te maken, hoeft u geen toegangsbeheerlijsten (ACL's) meer te configureren. Als u de computer liever als lid of zelfstandige server wilt verlaten, moeten alle machtigingen die zijn gebaseerd op lokale domeingroepen, worden vertaald of vervangen.

Verbeteringen in Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 verbetert het dcpromo /forceremoval proces. Wanneer dcpromo /forceremoval wordt uitgevoerd, wordt een controle uitgevoerd om te bepalen of de domeincontroller als host fungeert voor een operations master-rol, een DNS-server (Domain Name System) of een globale catalogusserver is. Voor elk van deze rollen ontvangt de beheerder een pop-upwaarschuwing die de beheerder adviseert om de juiste actie te ondernemen.

Als de domeincontroller niet kan worden gestart in de normale modus

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Belangrijk

Volg deze stappen alleen als laatste redmiddel als de domeincontroller niet kan worden gestart in de normale modus.

Voer de volgende stappen uit om Active Directory van een domeincontroller te verwijderen:

  1. Start de computer opnieuw op en druk vervolgens op F8 om het menu Geavanceerde opties voor Windows 2000 weer te geven.

  2. Kies Herstelmodus voor Adreslijstservices, druk op Enter en druk nogmaals op Enter om door te gaan met het opnieuw opstarten.

  3. Wijzig de vermelding ProductType in het register. Ga hiervoor als volgt te werk:

    1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.

    2. Zoek de registersubsleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions.

    3. Dubbelklik in het rechterdeelvenster op ProductType.

    4. Typ ServerNT in het vak Waardegegevens en klik vervolgens op OK.

      Opmerking

      Als deze waarde niet juist is ingesteld of onjuist is gespeld, kan het volgende foutbericht worden weergegeven:Systeemproces - Licentieschending: Het systeem heeft gedetecteerd dat er is geknoeid met uw geregistreerde producttype. Dit is een schending van uw softwarelicentie. Manipulatie met producttype is niet toegestaan.

    5. Sluit de Register-editor af.

  4. Start de computer opnieuw op.

  5. Meld u aan met het beheerdersaccount en het wachtwoord dat wordt gebruikt voor de herstelmodus voor adreslijstservices.

    De computer gedraagt zich als een lidserver. Er zijn echter nog enkele resterende bestanden en registervermeldingen op de computer die zijn gekoppeld aan de domeincontroller.

  6. Start Register Editor en zoek de registervermelding HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersop.

    Als er een vermelding is voor Src Root Domain Srv, klikt u met de rechtermuisknop op de waarde en klikt u vervolgens op Verwijderen. Deze waarde moet worden verwijderd, zodat de domeincontroller zichzelf ziet als de enige domeincontroller in het domein na promotie.

    Belangrijk

    De bovenstaande stap is essentieel. Zonder dit wordt de herpromotie naar het tijdelijke AD-forest niet voltooid en kunt u zich niet aanmelden bij de domeincontroller.

  7. Verwijder de resterende bestanden en registervermeldingen. Ga hiervoor als volgt te werk:

    1. Start de wizard Active Directory-installatie.

    2. Installeer Active Directory om van de computer een domeincontroller te maken voor een nieuw, tijdelijk domein, zoals psstemp.deleteme.

      Opmerking

      Zorg ervoor dat u van de computer een domeincontroller in een ander forest maakt.

    3. Nadat u Active Directory hebt geïnstalleerd, start u de wizard Active Directory-installatie opnieuw en verwijdert u Vervolgens Active Directory van de domeincontroller.

  8. Nadat u Active Directory van een domeincontroller hebt verwijderd, verwijdert u metagegevens die zich in het domein bevinden. Zie Gegevens verwijderen in Active Directory na een mislukte degradatie van domeincontrollers voor meer informatie over het verwijderen van deze metagegevens.

Status

Microsoft heeft de geforceerde degradatie van domeincontrollers met Windows 2000 of Windows Server 2003 getest en ondersteund.

Meer informatie

De wizard Active Directory installeren maakt Active Directory-domeincontrollers op Windows 2000- en Windows Server 2003-computers. Bewerkingen die worden uitgevoerd door de wizard Active Directory-installatie omvatten de installatie van nieuwe services, wijzigingen in de opstartwaarden van bestaande services en de overgang naar Active Directory als beveiligings- en verificatiedomein.

Met geforceerde degradatie kan een domeinbeheerder Active Directory geforceerd verwijderen en lokaal opgeslagen systeemwijzigingen terugdraaien zonder dat ze contact hoeven te maken met of lokaal bewaarde wijzigingen hoeven te repliceren naar een andere domeincontroller in het forest.

Omdat geforceerde degradatie het verlies van lokaal bewaarde wijzigingen veroorzaakt, kunt u deze alleen gebruiken als laatste redmiddel in productie- of testdomeinen. U kunt domeincontrollers geforceerd degraderen wanneer connectiviteit, naamomzetting, verificatie of replicatie-engineafhankelijkheden niet kunnen worden opgelost, zodat een probleemloze degradatie kan worden uitgevoerd. Geldige scenario's voor geforceerde degradaties zijn onder andere:

  • Er zijn momenteel geen domeincontrollers beschikbaar in het bovenliggende domein wanneer u de laatste domeincontroller in een direct onderliggend domein probeert te degraderen.

  • De wizard Active Directory-installatie kan niet worden voltooid omdat er een naamomzetting, verificatie, replicatie-engine of Active Directory-objectafhankelijkheid is die u niet kunt oplossen nadat u gedetailleerde probleemoplossing hebt uitgevoerd.

  • Een domeincontroller heeft geen binnenkomende Active Directory-wijzigingen gerepliceerd in Tombstone Lifetime (Standaard tombstone-levensduur is 60 dagen) voor een of meer naamgevingscontexten.

    Belangrijk

    Herstel dergelijke domeincontrollers niet, tenzij ze de enige kans op herstel zijn voor een bepaald domein.

  • Tijd biedt geen meer gedetailleerde probleemoplossing, omdat u de domeincontroller onmiddellijk in gebruik moet nemen. Geforceerde degradaties kunnen nuttig zijn in lab- en lesomgevingen waar u domeincontrollers uit bestaande domeinen kunt verwijderen, maar u hoeft niet elke domeincontroller serieel te degraderen.

Als u de degradatie van een domeincontroller afdwingt, verliest u unieke wijzigingen die zich bevinden in de Active Directory van de domeincontroller die u geforceerd degradeert. Dit omvat het toevoegen, verwijderen of wijzigen van gebruikers, computers, groepen, vertrouwensrelaties en groepsbeleid of Active Directory-configuratie die niet is gerepliceerd voordat u de dcpromo /forceremoval opdracht hebt uitgevoerd. Bovendien verliest u wijzigingen in een van de kenmerken van deze objecten, zoals wachtwoorden voor gebruikers, computers en vertrouwensrelaties en groepslidmaatschap.

Als u echter de degradatie van een domeincontroller afdwingt, keert u het besturingssysteem terug naar een status die gelijk is aan de geslaagde degradatie van de laatste domeincontroller in een domein (servicestartwaarden, geïnstalleerde services, gebruik van een op een register gebaseerde SAM voor de accountdatabase, computer is lid van een werkgroep). Programma's die zijn geïnstalleerd op de gedegradeerde domeincontroller blijven geïnstalleerd.

Het systeemgebeurtenislogboek identificeert geforceerd gedegradeerde Windows 2000-domeincontrollers en exemplaren van de dcpromo /forceremoval bewerking op gebeurtenis-id 29234. Bijvoorbeeld: het gebeurtenislogboek systeem identificeert geforceerd gedegradeerde Windows Server 2003-domeincontrollers op gebeurtenis-id 29239. Bijvoorbeeld: nadat u de dcpromo /forceremoval opdracht hebt gebruikt, worden metagegevens voor de gedegradeerde computer niet verwijderd op overlevende domeincontrollers. Zie Metagegevens van Active Directory-domein controllerserver opschonen voor meer informatie.

Hier volgen items die u moet aanpakken, indien van toepassing, na het geforceerd degraderen van een domeincontroller:

  1. Verwijder het computeraccount uit het domein.
  2. Controleer of DNS-records, zoals A, CNAME en SRV Records, zijn verwijderd en verwijder ze als ze aanwezig zijn.
  3. Controleer of FRS-lidobjecten (FRS en DFS) zijn verwijderd en verwijder deze als ze aanwezig zijn.
  4. Als de gedegradeerde computer lid is van een beveiligingsgroep, verwijdert u deze uit die groepen.
  5. Verwijder ALLE DFS-verwijzingen naar de gedegradeerde server, zoals koppelingen of hoofdreplica's.
  6. Een overlevende domeincontroller moet alle operations master-rollen overnemen, ook wel flexibele enkelvoudige masterbewerkingen of FSMO genoemd, die eerder door de geforceerd gedegradeerde domeincontroller werden gehouden. Zie Operation Master-rollen overdragen of overnemen in Active Directory Domain Services voor meer informatie.
  7. Als de domeincontroller die u degradeert een DNS-server of globale catalogusserver is, moet u een nieuwe GC- of DNS-server maken om te voldoen aan taakverdeling, fouttolerantie en configuratie-instellingen in het forest.
  8. Wanneer u de opdracht geselecteerde server verwijderen in NTDSUTIL gebruikt, wordt het NTDSDSA-object, het bovenliggende object voor inkomende verbindingen met de domeincontroller die u geforceerd hebt gedegradeerd, verwijderd. Met de opdracht worden de bovenliggende serverobjecten die worden weergegeven in de module Sites en services niet verwijderd. Gebruik de MMC-module Active Directory-sites en -services om het serverobject te verwijderen als de domeincontroller niet met dezelfde computernaam in het forest wordt gepromoveerd.