当您在 Windows Server 2003 和 Windows 2000 Server 中使用 Active Directory 安装向导强制降级时,域控制器不正常降级

症状

Microsoft Windows 2000 或 Microsoft Windows Server 2003 的域控制器可能未妥善降级使用 Active Directory 安装向导 (Dcpromo.exe)。

原因

如果所需的依赖项或操作失败,则可能发生此问题。这些包括在 Active Directory 中的网络连接、 名称解析、 身份验证、 Active Directory 目录服务复制或关键对象的位置。

解决方案

若要解决此问题,请确定什么阻碍正常的 Windows 2000 或 Windows Server 2003 的域控制器降级,然后尝试再次使用 Active Directory 安装向导降级的域控制器。

注意:对于 Windows Server 2008 中,目录服务还原模式 (DSRM) 是从 Windows Server 2003 有一种例外不变。在 Windows Server 2008 中,您可以运行dcpromo/forceremoval命令强行启动 DSRM 中,在域控制器中删除 AD DS,就像可以在 AD DS 中停止状态。域控制器仍必须启动 DSRM 要从备份中还原系统状态数据中。有关如何执行此操作的详细信息,请参阅下面的 TechNet 文章︰


解决方法

如果您无法解决此问题,可以使用以下解决方法来执行保留安装操作系统和所有应用程序在其上的域控制器强制的降级。

警告使用以下解决方法之前,请确保您可以成功启动目录服务还原模式中。否则,您将不能登录后强制降级该计算机。如果您不记得目录服务还原模式的密码,您可以通过使用位于 Winnt\System32 文件夹中的 Setpwd.exe 实用程序重置密码。在 Windows Server 2003 中,Setpwd.exe 实用程序的功能已经集成到 NTDSUTIL 工具设置 DSRM 密码命令。
有关如何执行此过程,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

配置您的服务器向导设置一个空的故障恢复模式密码

Windows 2000 域控制器

  1. 在 Service Pack 2 (SP2) 或更高版本,则运行 Windows 2000 域控制器上安装 Q332199 修补程序或安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制的降级。然后,重新启动计算机。

  2. 单击开始,单击运行,然后键入下面的命令︰

    dcpromo /forceremoval

  3. 单击确定

  4. Active Directory 安装向导的欢迎页上,单击下一步

  5. 如果您要删除的计算机是全局编录服务器,请单击消息窗口中的确定

    请注意如果您要降级的域控制器是全局编录服务器,根据需要,提升林中或站点中的其他全局编录。

  6. 删除活动目录页中,请确保清除了此服务器是域中的最后一个域控制器复选框,,然后单击下一步

  7. 网络凭据页中,键入林中的名称、 密码和域具有企业管理员凭据的用户帐户的名称,然后单击下一步

  8. 管理员密码键入密码和确认您要分配给本地 SAM 数据库的管理员帐户的密码,然后单击下一步

  9. 摘要页上,单击下一步

  10. 在树林中继续存在的域控制器的降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定的域命令从林中删除域,请验证所有域控制器以及林中的全局编录服务器删除了所有对象之前您刚都删除的域的引用将一个新域提升到同一林中使用相同的域名。Replmon.exe 或从 Windows 2000 支持工具 Repadmin.exe 这样的工具可以帮助您确定是否发生了端到端复制。Windows 2000 SP3 和更早版本的全局编录服务器是明显降低的速度比 Windows Server 2003 中删除对象和命名上下文。

Windows Server 2003 的域控制器

  1. 默认情况下,Windows Server 2003 的域控制器都支持强制的降级。单击开始,单击运行,然后键入下面的命令︰

    dcpromo /forceremoval

  2. 单击确定

  3. Active Directory 安装向导的欢迎页上,单击下一步

  4. 强制 Active Directory 删除的页面上,单击下一步

  5. 管理员密码键入密码和确认您要分配给本地 SAM 数据库的管理员帐户的密码,然后单击下一步

  6. 摘要框中,单击下一步

  7. 在树林中继续存在的域控制器的降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定的域命令从林中删除域,请验证所有域控制器以及林中的全局编录服务器删除了所有对象之前您刚都删除的域的引用将一个新域提升到同一林中使用相同的域名。Windows 2000 Service Pack 3 (SP3) 和更早版本的全局编录服务器是明显降低的速度比 Windows Server 2003 中删除对象和命名上下文。

如果您删除从 Active Directory 的计算机上的资源的访问控制项 (Ace) 基于域本地组,这些权限可能需要重新配置,因为这些组将不会提供给成员或独立服务器。如果您计划以使其在原始域中的域控制器的计算机上安装 Active Directory,您不需要更加配置访问控制列表 (Acl)。如果您希望将计算机作为成员或独立服务器,必须转换或替换基于域本地组的任何权限。有关权限从域控制器删除 Active Directory 后如何受到影响的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

后降级域控制器权限受到影响

Windows 服务器 2003 Service Pack 1 的增强功能

Windows Server 2003 SP1 增强dcpromo /forceremoval过程。 Dcpromo /forceremoval在执行时,会进行检查以确定域控制器承载操作主机角色,是域名系统 (DNS) 服务器,或者是全局编录服务器。 对于每个角色,管理员将收到一条弹出警告,建议他采取适当行动。

如果域控制器无法在正常模式下启动

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

如何备份和还原在 Windows 注册表

重要:如果域控制器无法在正常模式下启动,请按照下列步骤仅作为最后的手段。

若要删除 Active Directory 域控制器,请执行以下步骤︰

  1. 重新启动计算机,然后按 f8 键,以显示Windows 2000 高级选项菜单。

  2. 选择目录服务恢复模式下,按 enter 键,然后按 enter 键,再次要继续重新启动。

  3. 修改注册表中的 ProductType 条目。若要执行此操作,请执行以下步骤:

    1. 单击开始,单击运行,键入regedit,然后单击确定

    2. 找到下面的注册表子项︰

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions

    3. 在右窗格中,双击ProductType

    4. 数值数据框中,键入ServerNT ,然后单击确定

      注意:如果此值设置不正确,或拼写错误,您可能会收到以下错误消息︰

      系统过程 — 许可冲突︰ 系统已检测到您的注册的产品类型干预。这是软件许可证的侵犯。不允许篡改产品类型。

    5. 退出注册表编辑器。

  4. 重新启动计算机。

  5. 使用管理员帐户和密码用于目录服务修复模式下登录。

    计算机将表现为成员服务器。但是,仍有一些剩余的文件和计算机上的域控制器与相关联的注册表项。

  6. 启动注册表编辑器并找到以下注册表项︰

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters如果Src 根域 Srv项,右键单击值,然后单击删除。这样,域控制器将自身视为域中唯一的域控制器升级后,必须删除此值。

    重要:上面的步骤是至关重要的。没有它不能完成重新提升到临时 AD 林中,您将无法登录到域控制器。

  7. 删除剩余的文件和注册表项。若要执行此操作,请执行以下步骤:

    1. 启动 Active Directory 安装向导。

    2. 安装 Active Directory 以使计算机成为域控制器的新的、 临时的域名,如"psstemp.deleteme"。

      注意:请确保您计算机的域控制器在不同的目录林中。

    3. 安装 Active Directory 后,再次启动 Active Directory 安装向导,然后从域控制器删除当前目录。

  8. 从域控制器删除 Active Directory 后,删除保留域中的元数据。有关如何删除此元数据的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

    如何成功的域控制器降级后在 Active Directory 中删除数据

状态

Microsoft 已经测试并支持正在运行 Windows 2000 或 Windows Server 2003 的域控制器强制的降级。

详细信息

在基于 Windows 2000 的和基于 Windows Server 2003 的计算机上,Active Directory 安装向导创建活动目录域控制器。通过 Active Directory 安装向导执行的操作包括新服务,更改现有的服务的启动值,作为安全性和身份验证领域过渡到 Active Directory 的安装。

通过强制降级,域管理员可以强制删除 Active Directory 和回滚本地保存的系统更改而无需联系或任何本地保存的更改复制到林中的其他域控制器。

由于强制的降级会导致任何损失本地保存的更改,只作为最后的手段,在生产环境中使用它,或测试域。连接、 名称解析、 身份验证或复制引擎依赖项不能解决,以便可以执行正常降级时,可以强制降级的域控制器。强制降级的有效方案包括︰

  • 没有域控制器当前父域中尝试直接子域中的最后一个域控制器降级时。

  • Active Directory 安装向导无法完成,因为没有名称解析、 身份验证、 复制引擎或 Active Directory 对象依赖关系,它不能解决您执行详细的故障排除后。

  • 域控制器在逻辑删除存留时间不复制传入活动目录更改 (默认的逻辑删除存留时间为 60 天) 的一个或多个命名上下文的天。

    重要:无法恢复这些域控制器,除非它们是恢复特定域的唯一机会。

  • 时间不允许详细诊断,因为您必须立即使到服务的域控制器。

强制的降级可能有用在实验室和课堂环境位置可以从现有的域的域控制器中删除,但您不必按顺序将每个域控制器的降级。

如果您强制降级的域控制器,您将丢失任何驻留在您要强制降级的域控制器在 Active Directory 中的唯一更改。这包括添加、 删除或修改用户、 计算机、 组、 信任关系以及组策略或 Active Directory 配置运行dcpromo /forceremoval命令之前没有复制关闭。此外,您将丢失更改为任何这些对象,如用户、 计算机和信任关系以及组成员资格的密码特性。

但是,如果您强制降级的域控制器,则会操作系统返回到域中的最后一个域控制器成功降级时相同的状态 (服务启动值和已安装的服务、 使用注册表基于 SAM 帐户数据库,计算机是工作组的成员)。降级的域控制器上安装的程序保留其安装。

系统事件日志标识强制降级的 Windows 2000 域控制器和按事件 ID 29234 dcpromo /forceremoval操作的实例。例如︰ 系统事件日志可以确定按事件 ID 为 29239 的强制降级的 Windows Server 2003 的域控制器。例如︰ 使用dcpromo /forceremoval的命令后,元数据被降级的计算机是在继续运行的域控制器不会被删除。的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

如何成功的域控制器降级后在 Active Directory 中删除数据

以下是项目,您必须完成,如果适用的话之后强制降级的域控制器,︰

  1. 从域中删除计算机帐户。

  2. 请验证该 DNS 记录,如 A、 CNAME 和 SRV 记录被删除,而删除它们,如果它们存在。

  3. 验证 (FRS 和 DFS) 的 FRS 成员对象被删除,而删除它们,如果它们存在。的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

    由 FRS 的概述的 Active Directory 对象

  4. 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。

  5. 删除对被降级的服务器,例如,链接或根副本的任何 DFS 引用。

  6. 未出现故障的域控制器必须占用任何操作主机角色,也称为灵活单主机操作或 FSMO,以前由被强制降级的域控制器。的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

    使用 Ntdsutil.exe 占用或将 FSMO 角色转移到域控制器

  7. 如果您要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建新的 GC 或 DNS 服务器以满足负载平衡、 容错和配置设置在树林中。

  8. 当 NTDSUTIL 的 NTDSDSA 对象,用中删除所选的服务器命令强制降级的域控制器的入站连接的父对象被删除。该命令不会删除在网站中出现的父服务器对象和服务管理单元使用 Active Directory 站点和服务 MMC 管理单元中删除服务器对象的域控制器将不会提升到林中具有相同的计算机名称。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×