Obniżenie kontrolerów domeny wymuszane za pomocą Kreatora instalacji usługi Active Directory w systemach Windows Server 2003 i Windows 2000 Server nie jest łagodne

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Symptomy
Obniżenie kontrolerów domeny z systemem Microsoft Windows 2000 lub Microsoft Windows Server 2003 przy użyciu Kreatora instalacji usługi Active Directory (Dcpromo.exe) może nie być łagodne.
Przyczyna
Zachowanie to może wystąpić w przypadku niepowodzenia wymaganej zależności lub operacji. Dotyczy to łączenia się z siecią, rozpoznania nazwy, uwierzytelnienia, replikacji usługi katalogowej Active Directory oraz lokalizacji obiektu krytycznego w usłudze Active Directory.
Rozwiązanie
Aby rozwiązać ten problem, należy określić, co uniemożliwia łagodne obniżenie kontrolera domeny z systemem Windows 2000 lub Windows Server 2003, a następnie ponowić próbę obniżenia kontrolera domeny przy użyciu Kreatora instalacji usługi Active Directory.

Uwaga W systemie Windows Server 2008 tryb przywracania usług katalogowych jest taki sam jak w systemie Windows Server 2003 z jednym wyjątkiem. W systemie Windows Server 2008 można uruchomić polecenie dcpromo/forceremoval, aby wymusić usunięcie usług AD DS z kontrolera domeny uruchomionego w trybie przywracania usług katalogowych, tak samo jak w stanie zatrzymania usług AD DS. Musi być jednak uruchomiony kontroler domeny w trybie przywracania usług katalogowych na potrzeby przywrócenia danych stanu systemu z kopii zapasowej. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz następujący artykuł w witrynie TechNet:
Obejście problemu
Jeśli rozwiązanie tego problemu jest niemożliwe, można zastosować następujące obejścia w celu wymuszenia obniżenia kontrolera domeny i zachowania instalacji systemu operacyjnego oraz jego ewentualnych aplikacji.

Ostrzeżenie: Przed użyciem dowolnego z następujących obejść problemu należy się upewnić, czy możliwe jest uruchomienie komputera w trybie przywracania usług katalogowych. W przeciwnym wypadku nie będzie można zalogować się po wymuszonym obniżeniu komputera. Nie pamiętając hasła trybu przywracania usług katalogowych, można zresetować hasło, korzystając z narzędzia Setpwd.exe zlokalizowanego w folderze Winnt\System32. W systemie Windows Server 2003 funkcja narzędzia Setpwd.exe została zintegrowana z poleceniem Set DSRM Password narzędzia NTDSUTIL. Aby uzyskać więcej informacji dotyczących wykonywania tej procedury, należy kliknąć następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
271641 Configure Your Server Wizard sets a blank recovery mode password

Kontrolery domeny z systemem Windows 2000

 1. Zainstaluj poprawkę Q332199 na kontrolerze domeny z systemem Windows 2000, na którym jest uruchomiony dodatek Service Pack 2 (SP2) lub nowszy, lub zainstaluj dodatek Service Pack 4 (SP4) dla systemu Windows 2000. Wymuszanie obniżenia jest obsługiwane przez dodatek SP2 i nowszy. Następnie ponownie uruchom komputer.
 2. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz następujące polecenie:
  dcpromo /forceremoval
 3. Kliknij przycisk OK.
 4. Na stronie Kreator instalacji usługi Active Directory - Zapraszamy! kliknij przycisk Dalej.
 5. Jeśli usuwany komputer jest serwerem wykazu globalnego, kliknij przycisk OK w oknie komunikatu.

  Uwaga: Jeśli kontroler domeny, który ma zostać obniżony, jest serwerem wykazu globalnego, należy, w razie potrzeby, podwyższyć dodatkowe wykazy globalne w lesie lub w witrynie.
 6. Na stronie Usuwanie usługi Active Directory upewnij się, że jest wyczyszczone pole wyboru Ten serwer jest ostatnim kontrolerem domeny w tej domenie i kliknij przycisk Dalej.
 7. Na stronie Poświadczenia sieciowe wpisz nazwę, hasło i nazwę domeny dla konta użytkownika z poświadczeniami administratora w lesie, a następnie kliknij przycisk Dalej.
 8. Na stronie Hasło administratora wpisz hasło wraz z potwierdzeniem, które chcesz przypisać do konta Administrator lokalnej bazy danych SAM, a następnie kliknij przycisk Dalej.
 9. Na stronie Podsumowanie kliknij przycisk Dalej.
 10. Wykonaj czyszczenie metadanych dla kontrolera domeny o obniżonym poziomie na pozostałym kontrolerze domeny w lesie.
Jeśli domena została usunięta z lasu przy użyciu polecenia usunięcia wybranej domeny w narzędziu Ntdsutil, zweryfikuj, czy wszystkie obiekty i odwołania do usuniętej właśnie domeny zostały usunięte na wszystkich kontrolerach domeny i serwerach wykazu globalnego w lesie i dopiero potem podwyższ nową domenę w tym samym lesie z tą samą nazwą domeny. Za pomocą pewnych narzędzi, np. Replmon.exe lub Repadmin.exe z pakietu narzędzi obsługi systemu Windows 2000, można z łatwością ustalić, czy nastąpiła całościowa replikacja. Usuwanie obiektów i kontekstów nazewnictwa przebiega na serwerach wykazu globalnego z systemem Windows 2000 z dodatkiem SP3 lub starszym znacznie wolniej niż na serwerach z systemem Windows Server 2003.

Kontrolery domeny z systemem Windows Server 2003

 1. Wymuszanie obniżenia jest domyślnie obsługiwane przez kontrolery domeny z systemem Windows Server 2003. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz następujące polecenie:
  dcpromo /forceremoval
 2. Kliknij przycisk OK.
 3. Na stronie Kreator instalacji usługi Active Directory - Zapraszamy! kliknij przycisk Dalej.
 4. Na stronie Wymuś usunięcie usługi Active Directory kliknij przycisk Dalej.
 5. Na stronie Hasło administratora wpisz hasło wraz z potwierdzeniem, które chcesz przypisać do konta Administrator lokalnej bazy danych SAM, a następnie kliknij przycisk Dalej.
 6. Na stronie Podsumowanie kliknij przycisk Dalej.
 7. Wykonaj czyszczenie metadanych dla kontrolera domeny o obniżonym poziomie na pozostałym kontrolerze domeny w lesie.
Jeśli domena została usunięta z lasu przy użyciu polecenia usunięcia wybranej domeny w narzędziu Ntdsutil, zweryfikuj, czy wszystkie obiekty i odwołania do usuniętej właśnie domeny zostały usunięte na wszystkich kontrolerach domeny i serwerach wykazu globalnego w lesie i dopiero potem podwyższ nową domenę w tym samym lesie z tą samą nazwą domeny. Usuwanie obiektów i kontekstów nazewnictwa przebiega na serwerach wykazu globalnego z systemem Windows 2000 z dodatkiem Service Pack 3 (SP3) lub starszym znacznie wolniej niż na serwerach z systemem Windows Server 2003.

Jeżeli wpisy kontroli dostępu do zasobów (ACE) na komputerze, z którego usunięto usługę Active Directory, były oparte na lokalnych grupach domeny, konieczna może być ponowna konfiguracja tych uprawnień, ponieważ te grupy będą niedostępne dla serwerów członkowskich lub autonomicznych. Jeżeli planowana jest instalacja usługi Active Directory na komputerze, który będzie pełnić funkcję kontrolera domeny w oryginalnej domenie, ponowne konfigurowanie list kontroli dostępu (ACL) nie jest konieczne. Jeżeli komputer będzie nadal pełnić funkcję serwera członkowskiego lub autonomicznego, uprawnienia oparte na lokalnych grupach domeny muszą być poddane translacji lub zastąpione.Aby uzyskać więcej informacji dotyczących wpływu usunięcia usługi Active Directory z kontrolera domeny na uprawnienia, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
320230 Obniżenie poziomu kontrolera domeny wpływa na uprawnienia

Ulepszenia w dodatku Service Pack 1 dla systemu Windows Server 2003

W dodatku SP1 dla systemu Windows Server 2003 ulepszono proces dcpromo /forceremoval. W czasie wykonywania procesu dcpromo /forceremoval następuje sprawdzenie, czy kontroler domeny pełni rolę wzorca operacji, czy jest serwerem DNS (Domain Name System) i czy jest serwerem wykazu globalnego. W przypadku każdej z tych ról na ekranie komputera administratora jest wyświetlane okno podręczne z ostrzeżeniem i radą podjęcia stosownych działań.

Jeśli kontroler domeny nie uruchamia się w trybie normalnym

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows


Ważne Te czynności należy wykonać tylko w ostateczności, gdy nie można uruchomić kontrolera domeny w trybie normalnym.

Aby usunąć usługę Active Directory z kontrolera domeny, wykonaj następujące kroki:
 1. Uruchom ponownie komputer, a następnie naciśnij i przytrzymaj klawisz F8, aż na ekranie pojawi się menu Menu opcji zaawansowanych systemu Windows 2000.
 2. Wybierz opcję Tryb przywracania usług katalogowych, naciśnij klawisz ENTER, a następnie ponownie naciśnij klawisz ENTER, aby kontynuować ponowne uruchamianie komputera.
 3. Zmodyfikuj wpis ProductType w rejestrze. W tym celu wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit, a następnie kliknij przycisk OK.
  2. Odszukaj następujący podklucz rejestru:
  3. W prawym okienku kliknij dwukrotnie pozycję ProductType.
  4. Wpisz wartość ServerNT w polu Dane wartości, a następnie kliknij przycisk OK.

   Uwaga: Jeżeli ta wartość zostanie skonfigurowana lub wpisana niepoprawnie, może zostać wyświetlony następujący komunikat o błędzie:
   Proces systemowy - naruszenie licencji: System wykrył próbę nieautoryzowanej modyfikacji zarejestrowanego typu produktu. Oznacza to naruszenie licencji na oprogramowanie. Nieautoryzowana modyfikacja typu produktu jest zabroniona.
  5. Zamknij Edytor rejestru.
 4. Ponownie uruchom komputer.
 5. Zaloguj się przy użyciu konta administratora i hasła używanego w trybie naprawy usług katalogowych.

  Komputer będzie zachowywać się jak serwer członkowski. Pozostaną na nim jednak nadal pliki i wpisy rejestru skojarzone z kontrolerem domeny.
 6. Uruchom Edytor rejestru i zlokalizuj następujący wpis rejestru: Jeśli istnieje wpis
  Src Root Domain Srv
  , kliknij wartość prawym przyciskiem myszy, a następnie kliknij polecenie Usuń. Wartość ta musi zostać usunięta, aby po podwyższeniu kontroler domeny widział siebie jako jedyny kontroler domeny w domenie.

  Ważne Powyższa czynność ma krytyczne znaczenie. Bez niego, ponowne podniesienie poziomu w tymczasowym lesie usługi AD nie zostanie ukończone i nie będzie można zalogować się na kontrolerze domeny.
 7. Usuń ręcznie pozostałe pliki i wpisy rejestru. W tym celu wykonaj następujące kroki:
  1. Uruchom Kreatora instalacji usługi Active Directory.
  2. Zainstaluj usługę Active Directory, aby przekształcić komputer w kontroler domeny dla nowej, tymczasowej domeny, takiej jak „psstemp.dousuniecia”.

   Uwaga: Należy upewnić się, że komputer jest kontrolerem domeny w innym lesie.
  3. Po zainstalowaniu usługi Active Directory uruchom ponownie Kreatora instalacji usługi Active Directory, a następnie usuń usługę Active Directory z kontrolera domeny.
 8. Po usunięciu usługi Active Directory z kontrolera domeny usuń metadane pozostające w domenie.Aby uzyskać więcej informacji dotyczących usuwania metadanych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  216498 Jak usunąć dane w usłudze Active Directory po niepomyślnej próbie obniżenia poziomu kontrolera domeny
Stan
Firma Microsoft przetestowała wymuszone obniżanie kontrolerów domeny z systemem Windows 2000 lub Windows Server 2003 i obsługuje je.
Więcej informacji
Kontrolery domeny usługi Active Directory są tworzone na komputerach z systemem Windows 2000 i Windows Server 2003 przez kreatora instalacji usługi Active Directory. Kreator instalacji usługi Active Directory wykonuje między innymi takie operacje, jak instalacja nowych usług, zmiana wartości uruchamiania istniejących usług i przejście do usługi Active Directory jako obszaru zabezpieczeń i uwierzytelniania.

Wymuszenie obniżenia poziomu umożliwia administratorowi domeny usunięcie usługi Active Directory na zawołanie i cofnięcie lokalnie przechowywanych zmian systemowych bez konieczności nawiązywania kontaktu z innymi kontrolerami domeny w lesie lub replikowania na nich jakichkolwiek lokalnie przechowywanych zmian.

Ponieważ wymuszenie obniżenia powoduje utratę wszystkich lokalnie przechowywanych zmian, należy je traktować wyłącznie jako ostateczność w domenach produkcyjnych lub testowych. Obniżenie kontrolerów domeny można wymusić, jeśli występują niemożliwe do usunięcia zależności łączenia się, rozpoznawania nazw, uwierzytelnienia lub aparatu replikacji, które nie pozwalają na wykonanie łagodnego obniżenia poziomu. Prawidłowe scenariusze dla wymuszonego obniżenia są między innymi następujące:
 • W domenie nadrzędnej nie ma kontrolerów domen, gdy próbujesz obniżyć ostatni kontroler domeny w domenie bezpośrednio podrzędnej.
 • Kreator instalacji usługi Active Directory nie może ukończyć działania, ponieważ występuje zależność łączenia się, rozpoznawania nazw, uwierzytelnienia, aparatu replikacji lub obiektu usługi Active Directory, której nie można usunąć mimo przeprowadzenia szczegółowej procedury rozwiązywania problemów.
 • Przychodzące zmiany usługi Active Directory nie zostały zreplikowane w okresie istnienie reliktu (domyślny okres istnienia reliktu wynosi 60 dni) dla jednego lub większej liczby kontekstów nazewnictwa.

  Ważne: Takich kontrolerów domeny nie należy odzyskiwać, chyba że są jedyną szansą odzyskania danej domeny.
 • Czas nie zezwala na przeprowadzenie bardziej szczegółowej procedury rozwiązywania problemów, ponieważ kontroler domeny musi zostać natychmiast włączony do obsługi.
Wymuszenie obniżenia poziomu może być przydatne w środowiskach klasowych i laboratoryjnych, gdzie można usunąć kontrolery domeny z istniejących domen, ale nie trzeba obniżać po kolei każdego kontrolera domeny.

Wymuszenie obniżenia kontrolera domeny spowoduje utratę wszelkich unikatowych zmian wprowadzonych w usłudze Active Directory na tym kontrolerze. Dotyczy to dodanych, usuniętych lub zmodyfikowanych użytkowników, komputerów, grup, relacji zaufania i ustawień konfiguracji Zasad grupy bądź usługi Active Directory, które nie zostały zreplikowane przed uruchomieniem polecenia dcpromo /forceremoval. Ponadto zostaną utracone zmiany wprowadzone we wszystkich atrybutach tych obiektów, takie jak hasła użytkowników, komputerów i relacji zaufania oraz członkostwo w grupach.

Jeśli jednak wymusisz obniżenie kontrolera domeny, przywrócisz system operacyjny do stanu odpowiadającego dokładnie stanowi po obniżeniu ostatniego kontrolera domeny w domenie (wartości uruchamiania usług, zainstalowane usługi, korzystanie z opartego na rejestrze menedżera SAM dla bazy danych kont, komputer jest członkiem grupy roboczej). Programy zainstalowane na kontrolerze domeny, którego poziom został obniżony, są na nim nadal zainstalowane.

Wymuszenia obniżenia kontrolerów domeny z systemem Windows 2000 (i wystąpienia operacji dcpromo /forceremoval) w dzienniku zdarzeń systemu są identyfikowane przez identyfikator zdarzenia 29234. Na przykład:

Typ zdarzenia: Ostrzeżenie
Źródło zdarzenia: lsasrv
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 29234
Data: RRRR-MM-DD
Godzina: GG:MM:SS
Użytkownik: Brak
Komputer: nazwa_komputera Opis: Wymuszono obniżenie tego serwera. Nie jest już kontrolerem domeny.

Wymuszenia obniżenia kontrolerów domeny z systemem Windows Server 2003 są identyfikowane w dzienniku zdarzeń systemu przez identyfikator zdarzenia 29239. Na przykład:

Typ zdarzenia: Ostrzeżenie
Źródło zdarzenia: lsasrv
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 29239
Data: RRRR-MM-DD
Godzina: GG:MM:SS
Użytkownik: Brak
Komputer: nazwa_komputera Opis: Wymuszono obniżenie tego serwera. Nie jest już kontrolerem domeny.

Po użyciu polecenia dcpromo /forceremoval metadane dla komputera, którego poziom obniżono, nie są usuwane na pozostałych kontrolerach domeny. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
216498 How to remove data in Active Directory after an unsuccessful domain controller demotion
Po wymuszeniu obniżenia kontrolera domeny należy wykonać następujące działania, o ile mają one zastosowanie:
 1. Usuń konto komputera z domeny.
 2. Sprawdź, czy zostały usunięte rekordy DNS, takie jak rekordy A, CNAME i SRV, i usuń je, jeśli jeszcze istnieją.
 3. Zweryfikuj, czy zostały usunięte obiekty członków FRS (FRS i DFS) i usuń je, jeśli jeszcze istnieją.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  296183 Overview of Active Directory objects that are used by FRS
 4. Jeśli komputer, którego poziom został obniżony, jest członkiem dowolnych grup zabezpieczeń, usuń go z tych grup.
 5. Usuń wszystkie odwołania DFS do obniżonego serwera (łącza lub repliki katalogu głównego).
 6. Pozostały kontroler domeny musi przejąć wszystkie role wzorca operacji (zwane także elastycznymi rolami wzorca operacji), które wcześniej należały do obniżonego kontrolera domeny.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  255504 Using Ntdsutil.exe to seize or transfer FSMO roles to a domain controller
 7. Jeśli obniżany kontroler domeny jest serwerem DNS lub serwerem wykazu globalnego, musisz utworzyć nowy serwer DNS lub serwer wykazu globalnego, aby zaspokoić wymagania w zakresie równoważenia obciążenia, odporności na uszkodzenia i konfiguracji w lesie.
 8. Użycie polecenia usunięcia wybranego serwera w narzędziu NTDSUTIL powoduje usunięcie obiektu NTDSDSA (obiektu nadrzędnego dla połączeń przychodzących do kontrolera domeny, którego obniżenie jest wymuszane). Użycie tego polecenia nie powoduje usunięcia nadrzędnych obiektów serwera, które są wyświetlane w przystawce Lokacje i usługi. Musisz użyć przystawki MMC Lokacje i usługi Active Directory, aby usunąć obiekt serwera, jeśli poziom kontrolera domeny nie będzie podwyższany do lasu z tą samą nazwą komputera.
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.
Właściwości

Identyfikator artykułu: 332199 — ostatni przegląd: 06/27/2014 13:18:00 — zmiana: 1.0

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

 • kbhotfixserver kbqfe kbbug KB332199
Opinia