使用 Active Directory 安装向导强制降级时,域控制器不会正常降级

  • 项目

本文为使用 Active Directory 安装向导 (Dcpromo.exe) 强制降级时域控制器不降级的问题提供了解决方法。

适用于:Windows 10 - 所有版本,Windows Server 2012 R2
原始 KB 编号: 332199

症状

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法使用 Active Directory 安装向导 (Dcpromo.exe) 正常降级。

原因

如果所需的依赖项或操作失败,则可能会出现此行为。 其中包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置。

解决方案

若要解决此行为,请确定阻止 Windows 2000 或 Windows Server 2003 域控制器正常降级的内容,然后再次尝试使用 Active Directory 安装向导来降级域控制器。

注意

对于 Windows Server 2008,目录服务还原模式 (DSRM) 在 Windows Server 2003 中保持不变,但有一个例外。 在 Windows Server 2008 中,可以运行 dcpromo/forceremoval 命令从 DSRM 中启动的域控制器中强制删除 AD DS,就像处于 AD DS 已停止状态一样。 域控制器仍必须在 DSRM 中启动才能从备份还原系统状态数据。 有关如何执行此操作的详细信息,请参阅 可重启 AD DS 分步指南

解决方法

如果无法解决该行为,可以使用以下解决方法对域控制器执行强制降级,以保留操作系统及其上任何应用程序的安装。

警告

在使用以下任一解决方法之前,请确保可以在目录服务还原模式下成功启动 。 否则,在强制降级计算机后,将无法登录。 如果不记得目录服务还原模式密码,可以使用 文件夹中的 Setpwd.exe 实用工具 Winnt\System32 重置密码。 在 Windows Server 2003 中,Setpwd.exe 实用工具的功能已集成到 NTDSUTIL 工具的“设置 DSRM 密码”命令中。

Windows 2000 域控制器

  1. 在运行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安装Q332199修补程序,或者安装 Windows 2000 Service Pack 4 (SP4) 。 SP2 及更高版本支持强制降级。 然后重启计算机。

  2. 单击“ 开始”,单击“ 运行”,然后键入命令: dcpromo /forceremoval

  3. 单击“确定”

  4. “欢迎使用 Active Directory 安装向导” 页上,单击“ 下一步”。

  5. 如果要删除的计算机是全局编录服务器,请在消息窗口中单击“ 确定 ”。

    注意

    如果要降级的域控制器是全局编录服务器(如果需要),请在林或站点中升级其他全局编录。

  6. “删除 Active Directory”页上,确保清除“此服务器是域检查中的最后一个域控制器”框,然后单击“下一步”。

  7. 在“ 网络凭据” 页上,键入林中具有企业管理员凭据的用户帐户的名称、密码和域名,然后单击“ 下一步”。

  8. “管理员密码”中,键入要分配给本地 SAM 数据库的管理员帐户的密码和确认密码,然后单击“ 下一步”。

  9. 在“摘要”页上,单击“下一步”

  10. 对林中幸存的域控制器上降级的域控制器执行元数据清理。

如果在 Ntdsutil 中使用删除所选域命令从林中删除了域,请验证林中的所有域控制器和全局编录服务器是否已删除所有对象和对刚删除的域的引用,然后再将新域提升到具有相同域名的同一个林中。 Windows 2000 支持工具中的 Replmon.exe 或 Repadmin.exe 等工具可以帮助你确定是否发生了端到端复制。 与 Windows Server 2003 相比,Windows 2000 SP3 和更早版本的全局编录服务器删除对象和命名上下文的速度明显慢。

Windows Server 2003 域控制器

  1. 默认情况下,Windows Server 2003 域控制器支持强制降级。 单击“ 开始”,单击“ 运行”,然后键入命令: dcpromo /forceremoval

  2. 单击“确定”

  3. “欢迎使用 Active Directory 安装向导” 页上,单击“ 下一步”。

  4. “强制删除 Active Directory” 页上,单击“ 下一步”。

  5. “管理员密码”中,键入要分配给本地 SAM 数据库的管理员帐户的密码和确认密码,然后单击“ 下一步”。

  6. “摘要”中,单击“ 下一步”。

  7. 对林中幸存的域控制器上降级的域控制器执行元数据清理。

如果在 Ntdsutil 中使用删除所选域命令从林中删除了域,请验证林中的所有域控制器和全局编录服务器是否已删除所有对象和对刚删除的域的引用,然后再将新域提升到具有相同域名的同一个林中。 与 Windows Server 2003 相比,Windows 2000 Service Pack 3 (SP3) 及更早版本的全局编录服务器删除对象和命名上下文的速度明显变慢。

如果从中删除 Active Directory 的计算机上的资源访问控制条目 (ACE) 基于域本地组,则可能需要重新配置这些权限,因为这些组将不适用于成员服务器或独立服务器。 如果计划在计算机上安装 Active Directory 以使其成为原始域中的域控制器,则无需再配置访问控制列表 (ACL) 。 如果希望将计算机保留为成员或独立服务器,则必须转换或替换基于域本地组的任何权限。

Windows Server 2003 Service Pack 1 增强功能

Windows Server 2003 SP1 增强了 dcpromo /forceremoval 该过程。 执行 时dcpromo /forceremoval,将进行检查,以确定域控制器是托管操作主机角色,是域名系统 (DNS) 服务器,还是全局编录服务器。 对于其中每个角色,管理员会收到一个弹出警告,建议管理员采取适当的操作。

如果域控制器无法在正常模式下启动

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表

重要

仅当域控制器无法在正常模式下启动时,才执行这些步骤。

若要从域控制器中删除 Active Directory,请执行以下步骤:

  1. 重新启动计算机,然后按 F8 以显示 Windows 2000 高级选项 菜单。

  2. 选择 “目录服务还原模式”,按 Enter,然后再次按 Enter 继续重启。

  3. 修改注册表中的 ProductType 条目。 为此,请按照下列步骤操作:

    1. 依次单击“开始”、“运行”,键入 regedit,然后单击“确定”

    2. 找到注册表子项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions

    3. 在右窗格中,双击“ ProductType”。

    4. “值数据 ”框中键入“ServerNT”,然后单击“ 确定”。

      注意

      如果此值未正确设置或拼写错误,可能会收到以下错误消息:系统进程 - 许可证冲突:系统检测到已篡改已注册产品类型。 这违反了软件许可证。 不允许篡改产品类型。

    5. 退出注册表编辑器。

  4. 重启计算机。

  5. 使用用于目录服务修复模式的管理员帐户和密码登录。

    计算机将充当成员服务器。 但是,计算机上仍有一些与域控制器关联的剩余文件和注册表项。

  6. 启动注册表编辑器并找到注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    如果 Src 根域 Srv 有一个条目,请右键单击该值,然后单击“ 删除”。 必须删除此值,以便域控制器在升级后将自己视为域中的唯一域控制器。

    重要

    上述步骤至关重要。 如果没有它,重新提升到临时 AD 林将无法完成,你将无法登录到域控制器。

  7. 删除剩余的文件和注册表项。 为此,请按照下列步骤操作:

    1. 启动 Active Directory 安装向导。

    2. 安装 Active Directory,使计算机成为新的临时域(如 psstemp.deleteme)的域控制器。

      注意

      请确保将计算机设置为其他林中的域控制器。

    3. 安装 Active Directory 后,再次启动 Active Directory 安装向导,然后从域控制器中删除 Active Directory。

  8. 从域控制器中删除 Active Directory 后,请删除域中留下的元数据。 有关如何删除此元数据的详细信息,请参阅 在域控制器降级失败后如何删除 Active Directory 中的数据

状态

Microsoft 已测试并支持强制降级运行 Windows 2000 或 Windows Server 2003 的域控制器。

更多信息

Active Directory 安装向导在基于 Windows 2000 和基于 Windows Server 2003 的计算机上创建 Active Directory 域控制器。 Active Directory 安装向导执行的操作包括安装新服务、更改现有服务的启动值,以及转换为 Active Directory 作为安全和身份验证领域。

通过强制降级,域管理员可以强制删除 Active Directory 并回滚本地保存的系统更改,而无需联系任何本地保留的更改或复制到林中的另一个域控制器。

由于强制降级会导致丢失任何本地保留的更改,因此仅在生产或测试域中将其用作最后手段。 当无法解析连接、名称解析、身份验证或复制引擎依赖项时,可以强制降级域控制器,以便可以正常执行降级。 强制降级的有效方案包括:

  • 尝试降级直接子域中的最后一个域控制器时,父域中当前没有可用的域控制器。

  • Active Directory 安装向导无法完成,因为在执行详细故障排除后,存在无法解析的名称解析、身份验证、复制引擎或 Active Directory 对象依赖项。

  • 域控制器尚未复制逻辑删除生存期中的传入 Active Directory 更改 (默认逻辑删除生存期为 60 天) 一个或多个命名上下文的天数。

    重要

    请勿恢复此类域控制器,除非它们是特定域的唯一恢复机会。

  • 时间不允许进行更详细的故障排除,因为必须立即将域控制器投入服务。 在实验室和教室环境中,强制降级可能很有用,在这些环境中,你可以从现有域中删除域控制器,但不必按顺序降级每个域控制器。

如果强制降级域控制器,将丢失驻留在强制降级的域控制器的 Active Directory 中的任何唯一更改。 这包括在运行dcpromo /forceremoval命令之前未复制的用户、计算机、组、信任关系以及组策略或 Active Directory 配置的添加、删除或修改。 此外,你将丢失对这些对象上任何一个属性的更改,例如用户、计算机、信任关系和组成员身份的密码。

但是,如果强制降级域控制器,则会将操作系统返回到与域中最后一个域控制器的成功降级相同的状态, (服务启动值、已安装的服务、对帐户数据库使用基于注册表的 SAM,计算机是工作组) 的成员。 在降级的域控制器上安装的程序仍会保持安装状态。

系统事件日志按事件 ID 29234 标识强制降级的 dcpromo /forceremoval Windows 2000 域控制器和操作实例。 例如:系统事件日志通过事件 ID 29239 标识强制降级的 Windows Server 2003 域控制器。 例如:使用 dcpromo /forceremoval 命令后,不会在幸存的域控制器上删除已降级计算机的元数据。 有关详细信息,请参阅清理Active Directory 域控制器服务器元数据

以下是强制降级域控制器后必须处理的项(如果适用):

  1. 从域中删除计算机帐户。
  2. 验证是否删除了 DNS 记录(例如 A、CNAME 和 SRV 记录),并删除它们(如果存在)。
  3. 验证 FRS 成员对象 (FRS 和 DFS) 已删除,并删除它们(如果存在)。
  4. 如果降级的计算机是任何安全组的成员,请将其从这些组中删除。
  5. 删除对降级服务器的任何 DFS 引用,例如链接或根副本。
  6. 幸存的域控制器必须捕获任何操作主角色,也称为灵活的单一主操作或 FSMO,这些角色以前由强制降级的域控制器持有。 有关详细信息,请参阅转移或扣押 Active Directory 域服务 中的操作主机角色
  7. 如果要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建新的 GC 或 DNS 服务器,以满足林中的负载均衡、容错和配置设置。
  8. 在 NTDSUTIL 中使用 remove selected 服务器命令时,将删除 NTDSDSA 对象,即用于与强制降级的域控制器的传入连接的父对象。 命令不会删除“站点和服务”管理单元中显示的父服务器对象。 如果域控制器不会提升到具有相同计算机名称的林,请使用 Active Directory 站点和服务 MMC 管理单元删除服务器对象。