你目前正处于脱机状态,正在等待 Internet 重新连接

使用 活动目录(AD) 安装向导以强制降级,在 Windows Server 2003 和 Windows 2000 Server 时,不妥善降级域控制器

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 332199
症状
Microsoft Windows 2000 或 Microsoft Windows Server 2003 的域控制器可能未妥善降级使用 活动目录(AD) 安装向导 (Dcpromo.exe)。
原因
如果所需的依赖项或操作失败,则可能会出现此行为。其中包括在 活动目录(AD) 中的网络连接、 名称解析、 身份验证、 活动目录(AD) 目录服务复制或关键对象的位置。
解决方案
若要解决此问题,请确定什么阻碍正常的 Windows 2000 或 Windows Server 2003 的域控制器降级,然后尝试再次使用 活动目录(AD) 安装向导降级的域控制器。

注意对于 Windows Server 2008 中,目录服务还原模式 (DSRM) 不会改变从 Windows Server 2003 有一种例外。在 Windows Server 2008 中,您可以运行dcpromo/forceremoval命令,就像可以在 AD DS 中,强行启动 DSRM 中,在域控制器中删除 AD DS 停止状态。域控制器仍必须启动 DSRM 要从备份中还原系统状态数据中。有关如何执行此操作的详细信息,请参阅下面的 TechNet 文章:
替代方法
如果您无法解决此问题,可以使用以下解决方法来执行强制的降级的域控制器,以保留和在其上的任何应用程序的操作系统的安装。

警告使用以下解决方法之前,请确保您可以成功地启动目录服务还原模式中。否则,您将无法登录后强制降级该计算机。如果您不记得目录服务还原模式的密码,您可以通过使用 Setpwd.exe 实用程序位于 Winnt\System32 文件夹中重置密码。在 Windows Server 2003 中,Setpwd.exe 实用程序的功能已集成到 NTDSUTIL 工具设置 DSRM 密码命令。 有关如何执行此过程,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
271641 配置您的服务器向导密码设为空白的恢复模式

Windows 2000 的域控制器

  1. Service Pack 2 (SP2) 或更高版本中,正在运行的 Windows 2000 域控制器上安装 Q332199 修复程序,或安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制的降级。然后,重新启动计算机。
  2. 单击开始,单击运行,然后键入下面的命令:
    dcpromo /forceremoval
  3. 单击确定
  4. 活动目录(AD) 安装向导的欢迎页上,单击下一步
  5. 如果您要删除的计算机是全局编录服务器,请单击消息窗口中的确定

    注意如果您要降级的域控制器是全局编录服务器中,根据需要提升林中或站点中的其他全局编录。
  6. 删除活动目录页中,请确保清除此服务器是域中的最后一个域控制器复选框,然后单击下一步
  7. 网络凭据页中,键入林中的名称、 密码和域具有企业管理员凭据的用户帐户的名称,然后单击下一步
  8. 管理员密码框中,键入密码和确认您要指派给本地 SAM 数据库中,管理员帐户的密码,然后单击下一步
  9. 摘要页上,单击下一步
  10. 降级的域控制器在树林中继续存在的域控制器上执行元数据清除。
如果您通过使用 Ntdsutil 中的删除选定的域命令从林中删除域,验证所有域控制器以及林中的全局编录服务器删除了所有对象之前您刚都删除的域的引用将一个新域提升到同一林中域的名称相同。工具 (如 Replmon.exe 或 Repadmin.exe 从 Windows 2000 支持工具可帮助您确定是否发生了端到端复制。Windows 2000 SP3 和更早版本的全局编录服务器是明显降低的速度比 Windows Server 2003 中删除对象和命名上下文。

Windows Server 2003 的域控制器

  1. 默认情况下,Windows Server 2003 的域控制器都支持强制的降级。单击开始,单击运行,然后键入下面的命令:
    dcpromo /forceremoval
  2. 单击确定
  3. 活动目录(AD) 安装向导的欢迎页上,单击下一步
  4. 强制 活动目录(AD) 删除的页面上,单击下一步
  5. 管理员密码框中,键入密码和确认您要指派给本地 SAM 数据库中,管理员帐户的密码,然后单击下一步
  6. 摘要框中,单击下一步
  7. 降级的域控制器在树林中继续存在的域控制器上执行元数据清除。
如果您通过使用 Ntdsutil 中的删除选定的域命令从林中删除域,验证所有域控制器以及林中的全局编录服务器删除了所有对象之前您刚都删除的域的引用将一个新域提升到同一林中域的名称相同。Windows 2000 Service Pack 3 (SP3) 和更早版本的全局编录服务器是明显降低的速度比 Windows Server 2003 中删除对象和命名上下文。

如果删除 活动目录(AD) 中的计算机上的资源的访问控制项 (Ace) 基于域本地组,这些权限可能需要重新配置,因为这些组将不会对成员或独立服务器可用。如果您计划以使其在原始域中的域控制器的计算机上安装 Active Directory,您不需要更加配置访问控制列表 (Acl)。如果您希望将计算机作为成员或独立的服务器,必须转换或替换基于域本地组的任何权限。有关权限从域控制器删除 活动目录(AD) 后如何受影响的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320230 域控制器降级后权限受到影响

Windows 服务器 2003 Service Pack 1 的增强功能

Windows Server 2003 SP1 增强dcpromo /forceremoval进程。Dcpromo /forceremoval在执行时,进行检查以确定域控制器承载操作主机角色,是域名系统 (DNS) 服务器,或者是一个全局编录服务器。对于每个角色,管理员会收到一条弹出警告,建议他采取适当的措施。

如果域控制器无法在正常模式下启动

重要提示此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表


重要提示如果域控制器无法在正常模式下启动,请按照下列步骤仅作为最后的手段。

若要删除 活动目录(AD) 域控制器,请执行以下步骤:
  1. 重新启动计算机,然后按 f8 键,以显示Windows 2000 高级选项菜单。
  2. 选择目录服务还原模式,按 enter 键,然后按 enter 键再次要继续重新启动。
  3. 修改注册表中的 ProductType 项。若要执行此操作,请执行以下步骤:
    1. 单击开始,然后单击运行,类型 注册表编辑器然后单击确定
    2. 找到下面的注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. 在右窗格中,双击ProductType
    4. 键入 ServerNT值数据中,然后再单击确定

      注意如果此值设置不正确,或拼写错误,您可能会收到以下错误消息:
      系统过程 — 许可冲突: 系统已检测到篡改您的已注册的产品类型。这是您的软件许可证的侵犯。篡改产品类型不是允许的。
    5. 退出注册表编辑器。
  4. 重新启动计算机。
  5. 使用管理员帐户和密码用于目录服务修复模式下登录。

    计算机将表现为成员服务器。但是,仍有一些剩余的文件和计算机上的注册表项,与域控制器。
  6. 启动注册表编辑器,然后找到下面的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    如果没有对应的项
    Src Root Domain Srv
    用鼠标右键单击该值,然后单击删除。这样,域控制器将自身视为唯一的域控制器的域中升级后,必须先删除此值。

    重要提示上面提到的步骤是至关重要的。没有它重新提升到临时 AD 林不能完成,您将无法登录到域控制器上。
  7. 删除剩余的文件和注册表项。若要执行此操作,请执行以下步骤:
    1. 开始 活动目录(AD) 安装向导。
    2. 设置 活动目录(AD) 以使计算机成为域控制器的新的、 临时的域名,如"psstemp.deleteme。"

      注意请确保您计算机的域控制器中不同的林。
    3. 设置 活动目录(AD) 后,再次启动 活动目录(AD) 安装向导,然后从域控制器中删除活动目录。
  8. 从域控制器删除 活动目录(AD) 后,删除不在域中的元数据。有关如何删除此元数据的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    216498 如何在 活动目录(AD) 中的数据删除失败的域控制器降级后
状态
Microsoft 已经测试并支持正在运行 Windows 2000 或 Windows Server 2003 的域控制器强制的降级。
更多信息
在基于 Windows 2000 的和基于 Windows Server 2003 的计算机上,Active Directory 安装向导创建 活动目录(AD) 域控制器。通过 活动目录(AD) 安装向导执行的操作包括安装新的服务,对现有的服务的启动值的更改和转换到 活动目录(AD) 作为安全性和身份验证的领域。

通过强制降级,域管理员可以强制删除 活动目录(AD) 并回滚本地保存的系统更改而无需联系或将任何本地保存的更改复制到林中的其他域控制器。

由于强制的降级会导致任何损失本地保存的更改,只作为最后的手段,在生产环境中使用它,或测试域。连接、 名称解析、 身份验证或复制引擎依赖项不能解决,以便可以执行正常降级时,可以强制降级的域控制器。强制降级的有效方案包括:
  • 没有域控制器当前可用父域中时,您将直接子域中的最后一个域控制器降级。
  • 活动目录(AD) 安装向导无法完成,因为名称解析、 身份验证、 复制引擎,或者无法解析的 活动目录(AD) 对象依赖项执行详细的故障诊断之后。
  • 域控制器在逻辑删除存留时间不复制传入的活动目录更改 (默认的逻辑删除存留时间为 60 天) 的一个或多个命名上下文的天。

    重要提示无法恢复这些域控制器,除非它们是特定域的故障恢复的唯一机会。
  • 时间不允许更详细疑难解答,因为您必须立即使到服务的域控制器。
强制的降级可能很有用,在其中可以从现有的域的域控制器中删除,但您无需将每个域控制器降级顺序进行实验和教学环境。

强制域控制器降级时,如果您将丢失任何强行要降级的域控制器的当前目录中的唯一更改。这包括添加、 删除或修改用户、 计算机、 组、 信任关系以及组策略或 活动目录(AD) 配置之前运行dcpromo /forceremoval命令没有复制关闭。此外,您将丢失更改到任一这些对象,如用户、 计算机和信任关系以及组成员资格的密码属性。

但是,如果强制降级的域控制器,则会操作系统返回到域中的最后一个域控制器成功降级时相同的状态 (服务启动值和已安装的服务、 使用注册表基于 SAM 帐户数据库) 的计算机是工作组的成员。降级的域控制器上安装的程序保留其安装。

系统事件日志标识强制降级,Windows 2000 域控制器并按事件 ID 29234 dcpromo /forceremoval操作的实例。例如:

事件类型: 警告
事件源: 出现 lsasrv
事件类别: 无
事件 ID: 29234
日期: MM/DD/YYYY
时间:: 分: 秒 AM|下午
用户:N/A
计算机: 计算机名 说明: 服务器被强制降级。它不再是域控制器。

系统事件日志标识按事件 ID 为 29239 的强制降级的 Windows Server 2003 的域控制器。例如:

事件类型: 警告
事件源: 出现 lsasrv
事件类别: 无
事件 ID: 29239
日期: MM/DD/YYYY
时间:: 分: 秒 AM|下午
用户:N/A
计算机: 计算机名 说明: 服务器被强制降级。它不再是域控制器。

使用dcpromo /forceremoval命令时元数据被降级的计算机后,在继续运行的域控制器会被删除。 有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498 如何在 活动目录(AD) 中的数据删除失败的域控制器降级后
以下是,您必须完成,如果适用的话之后强制降级的域控制器,:
  1. 从域中删除计算机帐户。
  2. 请验证该 DNS 记录,如 A,CNAME 和 SRV 记录被删除,而如果它们存在,请删除它们。
  3. 确认 FRS 成员对象 (FRS 和 DFS) 被删除,而如果它们存在,请删除它们。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    296183 由 FRS 的 活动目录(AD) 对象的概述
  4. 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。
  5. 删除对被降级的服务器,例如,链接或根副本的任何 DFS 引用。
  6. 未出现故障的域控制器必须占用任何操作主机角色,也称为灵活单主机操作或 FSMO) 以前由被强制降级的域控制器。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    255504 使用 Ntdsutil.exe 占用或将 FSMO 角色转移到域控制器
  7. 如果您要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建新的 GC 或 DNS 服务器,以满足负载平衡、 容错和树林中的配置设置。
  8. NTDSUTIL 的 NTDSDSA 对象,使用删除所选的服务器命令时强制降级的域控制器到传入连接的父对象被删除。该命令不会删除在网站中出现的父服务器对象和服务管理单元使用 活动目录(AD) 站点和服务 MMC 管理单元中要删除的服务器对象,如果域控制器将不会提升到该目录林中具有相同的计算机名称。

警告:本文已自动翻译

属性

文章 ID:332199 - 上次审阅时间:04/02/2014 16:49:00 - 修订版本: 2.0

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbhotfixserver kbqfe kbbug kbmt KB332199 KbMtzh
反馈