Compartilhar via

Os controladores de domínio não são despromovidos corretamente quando utiliza o Assistente de Instalação do Active Directory para forçar a despromoção

  • Artigo

Este artigo fornece uma solução para um problema em que os controladores de domínio não são despromovidos quando utiliza o Assistente de Instalação do Active Directory (Dcpromo.exe) para forçar a despromoção.

Número original da BDC: 332199

Sintomas

Os controladores de domínio do Microsoft Windows 2000 ou Microsoft Windows Server 2003 podem não ser despromover corretamente utilizando o Assistente de Instalação do Active Directory (Dcpromo.exe).

Motivo

Este comportamento pode ocorrer se uma dependência ou operação necessária falhar. Estes incluem a conectividade de rede, a resolução de nomes, a autenticação, a replicação do serviço de diretório do Active Directory ou a localização de um objeto crítico no Active Directory.

Solução

Para resolver este comportamento, determine o que está a impedir a despromoção correta do Controlador de domínio do Windows 2000 ou do Windows Server 2003 e, em seguida, tente despromover o controlador de domínio utilizando novamente o Assistente de Instalação do Active Directory.

Observação

Para o Windows Server 2008, o Modo de Restauro dos Serviços de Diretório (DSRM) permanece inalterado face ao Windows Server 2003 com uma exceção. No Windows Server 2008, pode executar o comando para remover à força o dcpromo/forceremoval AD DS de um controlador de domínio iniciado no DSRM, tal como no estado parado do AD DS. Um controlador de domínio ainda tem de ser iniciado no DSRM para restaurar os dados de estado do sistema a partir de uma cópia de segurança. Para obter mais informações sobre como fazê-lo, veja Restartable AD DS Step-by-Step Guide (Guia Passo a Passo do AD DS Reiniciável).

Solução alternativa

Se não conseguir resolver o comportamento, pode utilizar as seguintes soluções para efetuar uma despromoção forçada do controlador de domínio para preservar a instalação do sistema operativo e de quaisquer aplicações no mesmo.

Aviso

Antes de utilizar uma das seguintes soluções, certifique-se de que pode iniciar com êxito no modo de Restauro dos Serviços de Diretório. Caso contrário, não poderá iniciar sessão depois de despromover o computador com força. Se não se lembrar da palavra-passe do modo de Restauro dos Serviços de Diretório, pode repor a palavra-passe com o utilitário Setpwd.exe que está localizado na Winnt\System32 pasta. No Windows Server 2003, a funcionalidade do utilitário Setpwd.exe foi integrada no comando Definir Palavra-passe DSRM da ferramenta NTDSUTIL.

Controladores de domínio do Windows 2000

  1. Instale a correção Q332199 num controlador de domínio do Windows 2000 com o Service Pack 2 (SP2) ou uma versão posterior ou instale o Windows 2000 Service Pack 4 (SP4). O SP2 e as versões posteriores suportam a despromoção forçada. Em seguida, reinicie o computador.

  2. Clique em Iniciar, clique em Executar e, em seguida, escreva o comando: dcpromo /forceremoval.

  3. Clique em OK.

  4. Na página Bem-vindo ao Assistente de Instalação do Active Directory , clique em Seguinte.

  5. Se o computador que está a remover for um servidor de catálogo global, clique em OK na janela da mensagem.

    Observação

    Promova catálogos globais adicionais na floresta ou no site se o controlador de domínio que está a despromover for um servidor de catálogo global, conforme necessário.

  6. Na página Remover Active Directory , certifique-se de que a caixa de verificação Este servidor é o último controlador de domínio no domínio está desmarcada e, em seguida, clique em Seguinte.

  7. Na página Credenciais de Rede , escreva o nome, a palavra-passe e o nome de domínio de uma conta de utilizador com credenciais de administrador empresarial na floresta e, em seguida, clique em Seguinte.

  8. Em Palavra-passe de Administrador, escreva a palavra-passe e a palavra-passe confirmada que pretende atribuir à conta de Administrador da base de dados SAM local e, em seguida, clique em Seguinte.

  9. Na página Resumo, clique em Próximo.

  10. Efetue uma limpeza de metadados para o controlador de domínio despromovido num controlador de domínio sobrevivente na floresta.

Se removeu um domínio da floresta com o comando remover domínio selecionado no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo global na floresta removeram todos os objetos e as referências ao domínio que removeu antes de promover um novo domínio para a mesma floresta com o mesmo nome de domínio. Ferramentas como Replmon.exe ou Repadmin.exe das Ferramentas de Suporte do Windows 2000 podem ajudá-lo a determinar se a replicação ponto a ponto ocorreu. O Windows 2000 SP3 e os servidores de catálogo global anteriores são visivelmente mais lentos para remover objetos e contextos de nomenclatura do que o Windows Server 2003.

Controladores de domínio do Windows Server 2003

  1. Por predefinição, os controladores de domínio do Windows Server 2003 suportam a despromoção forçada. Clique em Iniciar, clique em Executar e, em seguida, escreva o comando: dcpromo /forceremoval.

  2. Clique em OK.

  3. Na página Bem-vindo ao Assistente de Instalação do Active Directory , clique em Seguinte.

  4. Na página Forçar a Remoção do Active Directory , clique em Seguinte.

  5. Em Palavra-passe de Administrador, escreva a palavra-passe e a palavra-passe confirmada que pretende atribuir à conta de Administrador da base de dados SAM local e, em seguida, clique em Seguinte.

  6. Em Resumo, clique em Seguinte.

  7. Efetue uma limpeza de metadados para o controlador de domínio despromovido num controlador de domínio sobrevivente na floresta.

Se removeu um domínio da floresta com o comando remover domínio selecionado no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo global na floresta removeram todos os objetos e as referências ao domínio que removeu antes de promover um novo domínio para a mesma floresta com o mesmo nome de domínio. O Windows 2000 Service Pack 3 (SP3) e os servidores de catálogo global anteriores são visivelmente mais lentos a remover objetos e contextos de nomenclatura do que o Windows Server 2003.

Se as entradas de controlo de acesso a recursos (ACEs) no computador do qual removeu o Active Directory se basearam em grupos locais de domínio, estas permissões poderão ter de ser reconfiguradas, uma vez que estes grupos não estarão disponíveis para servidores autónomos ou membros. Se planear instalar o Active Directory no computador para torná-lo um controlador de domínio no domínio original, já não tem de configurar listas de controlo de acesso (ACLs). Se preferir deixar o computador como membro ou servidor autónomo, todas as permissões baseadas em grupos locais de domínio têm de ser traduzidas ou substituídas.

Melhorias do Windows Server 2003 Service Pack 1

O Windows Server 2003 SP1 melhora o dcpromo /forceremoval processo. Quando dcpromo /forceremoval é executado, é efetuada uma verificação para determinar se o controlador de domínio aloja uma função de mestre de operações, é um servidor do Sistema de Nomes de Domínio (DNS) ou se é um servidor de catálogo global. Para cada uma destas funções, o administrador recebe um aviso de pop-up que aconselha o administrador a tomar as medidas adequadas.

Se o controlador de domínio não conseguir iniciar no modo normal

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Importante

Siga estes passos apenas como último recurso se o controlador de domínio não conseguir iniciar no modo normal.

Para remover o Active Directory de um controlador de domínio, siga estes passos:

  1. Reinicie o computador e, em seguida, prima F8 para apresentar o menu Opções Avançadas do Windows 2000 .

  2. Selecione Modo de Restauro dos Serviços de Diretório, prima ENTER e, em seguida, prima ENTER novamente para continuar a reiniciar.

  3. Modifique a entrada ProductType no registo. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

    2. Localize a subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdo registo .

    3. No painel direito, faça duplo clique em ProductType.

    4. Escreva ServerNT na caixa Dados do valor e, em seguida, clique em OK.

      Observação

      Se este valor não estiver definido corretamente ou estiver mal escrito, poderá receber a seguinte mensagem de erro:Processo do Sistema – Violação de Licença: O sistema detetou adulteração com o tipo de produto registado. Trata-se de uma violação da sua licença de software. Não é permitida a adulteração do tipo de produto.

    5. Saia do Editor do Registro.

  4. Reinicie o computador.

  5. Inicie sessão com a conta de administrador e a palavra-passe utilizadas para o modo de Reparação do Serviço de Diretório.

    O computador comportar-se-á como um servidor membro. No entanto, ainda existem alguns ficheiros e entradas de registo restantes no computador que estão associados ao controlador de domínio.

  6. Inicie o Editor de Registo e localize a entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersde registo .

    Se existir uma entrada para Src Root Domain Srv, clique com o botão direito do rato no valor e, em seguida, clique em Eliminar. Este valor tem de ser eliminado para que o controlador de domínio se veja como o único controlador de domínio no domínio após a promoção.

    Importante

    O passo acima é crítico. Sem ela, a nova promoção para a floresta temporária do AD não será concluída e não poderá iniciar sessão no controlador de domínio.

  7. Remova os restantes ficheiros e entradas de registo. Para fazer isso, siga estas etapas:

    1. Inicie o Assistente de Instalação do Active Directory.

    2. Instale o Active Directory para tornar o computador num controlador de domínio para um domínio novo e temporário, como psstemp.deleteme.

      Observação

      Certifique-se de que torna o computador um controlador de domínio numa floresta diferente.

    3. Depois de instalar o Active Directory, inicie novamente o Assistente de Instalação do Active Directory e, em seguida, remova o Active Directory do controlador de domínio.

  8. Depois de remover o Active Directory de um controlador de domínio, remova os metadados restantes no domínio. Para obter mais informações sobre como remover estes metadados, veja Como remover dados no Active Directory após uma despromoção sem êxito do controlador de domínio.

Status

A Microsoft testou e suporta a despromoção forçada de controladores de domínio com o Windows 2000 ou o Windows Server 2003.

Mais informações

O Assistente de Instalação do Active Directory cria controladores de domínio do Active Directory em computadores baseados no Windows 2000 e no Windows Server 2003. As operações executadas pelo Assistente de Instalação do Active Directory incluem a instalação de novos serviços, as alterações aos valores de arranque dos serviços existentes e a transição para o Active Directory como um domínio de segurança e autenticação.

Com a despromoção forçada, um administrador de domínio pode forçar a remoção do Active Directory e reverter as alterações de sistema mantidas localmente sem ter de contactar ou replicar quaisquer alterações mantidas localmente para outro controlador de domínio na floresta.

Uma vez que a despromoção forçada causa a perda de quaisquer alterações realizadas localmente, utilize-a apenas como último recurso em domínios de produção ou de teste. Pode despromover os controladores de domínio à força quando a conectividade, a resolução de nomes, a autenticação ou as dependências do motor de replicação não podem ser resolvidas, pelo que é possível efetuar uma despromoção correta. Os cenários válidos para despromoções forçadas incluem o seguinte:

  • Não existem controladores de domínio atualmente disponíveis no domínio principal quando tenta despromover o último controlador de domínio num domínio subordinado imediato.

  • O Assistente de Instalação do Active Directory não pode ser concluído porque existe uma resolução de nomes, autenticação, motor de replicação ou dependência de objetos do Active Directory que não pode resolver depois de realizar uma resolução de problemas detalhada.

  • Um controlador de domínio não replica as alterações recebidas do Active Directory na Duração do Tombstone (Duração Predefinida do Tombstone é de 60 dias) número de dias para um ou mais contextos de nomenclatura.

    Importante

    Não recupere esses controladores de domínio, a menos que sejam a única hipótese de recuperação para um determinado domínio.

  • O tempo não permite uma resolução de problemas mais detalhada porque tem de colocar imediatamente em serviço o controlador de domínio. As despromoções forçadas podem ser úteis em ambientes de laboratório e sala de aula onde pode remover controladores de domínio dos domínios existentes, mas não precisa de despromover cada controlador de domínio em série.

Se forçar a despromoção de um controlador de domínio, perderá quaisquer alterações exclusivas que residam no Active Directory do controlador de domínio que está a despromover à força. Isto inclui a adição, eliminação ou modificação de utilizadores, computadores, grupos, relações de confiança e a configuração da Política de Grupo ou do Active Directory que não foi replicada antes de executar o dcpromo /forceremoval comando. Além disso, perderá as alterações a qualquer um dos atributos nestes objetos, como palavras-passe para utilizadores, computadores e relações de confiança e associação a grupos.

No entanto, se forçar a despromoção de um controlador de domínio, devolve o sistema operativo a um estado que é o mesmo que a despromoção com êxito do último controlador de domínio num domínio (valores de início do serviço, serviços instalados, utilização de um SAM baseado no registo para a base de dados de conta, o computador é membro de um grupo de trabalho). Os programas instalados no controlador de domínio despromovido permanecem instalados.

O registo de eventos do Sistema identifica instâncias e controladores de domínio do Windows 2000 despromovidos à força da dcpromo /forceremoval operação pelo ID do evento 29234. Por exemplo: o registo de eventos do Sistema identifica controladores de domínio do Windows Server 2003 despromovidos à força pelo ID do evento 29239. Por exemplo: depois de utilizar o comando, os dcpromo /forceremoval metadados do computador despromovido não são eliminados nos controladores de domínio sobreviventes. Para obter mais informações, veja Limpar metadados do servidor do Controlador de Domínio do Active Directory.

Seguem-se os itens que tem de abordar, se aplicável, após a despromover à força um controlador de domínio:

  1. Remova a conta de computador do domínio.
  2. Verifique se os registos DNS, como A, CNAME e SRV Records, são removidos e remova-os se estiverem presentes.
  3. Verifique se os objetos de membro do FRS (FRS e DFS) foram removidos e remova-os se estiverem presentes.
  4. Se o computador despromovido for membro de quaisquer grupos de segurança, remova-o desses grupos.
  5. Remova quaisquer referências DFS ao servidor despromovido, como ligações ou réplicas de raiz.
  6. Um controlador de domínio sobrevivente tem de apreender quaisquer funções de mestre de operações, também conhecidas como operações mestre únicas flexíveis ou FSMO, que eram anteriormente detidas pelo controlador de domínio despromovido à força. Para obter mais informações, veja Transferir ou apreender funções de Mestre de Operações nos Serviços de Domínio do Active Directory.
  7. Se o controlador de domínio que está a despromover for um servidor DNS ou um servidor de catálogo global, tem de criar um novo servidor GC ou DNS para satisfazer o balanceamento de carga, a tolerância a falhas e as definições de configuração na floresta.
  8. Quando utiliza o comando remover servidor selecionado no NTDSUTIL, o objeto NTDSDSA, o objeto principal para ligações de entrada ao controlador de domínio que despromoveu à força é removido. O comando não remove os objetos de servidor principal que aparecem no snap-in Sites e Serviços. Utilize o snap-in MMC de Sites e Serviços do Active Directory para remover o objeto de servidor se o controlador de domínio não for promovido para a floresta com o mesmo nome de computador.