本文提供了一种解决方法,说明使用 Active Directory 安装向导(Dcpromo.exe)强制降级时域控制器不会降级的问题。
原始 KB 数: 332199
现象
Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法使用 Active Directory 安装向导(Dcpromo.exe)正常降级。
原因
如果所需的依赖项或操作失败,则可能会发生此行为。 其中包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置。
解决方法
若要解决此行为,请确定阻止正常降级 Windows 2000 或 Windows Server 2003 域控制器的内容,然后再次尝试使用 Active Directory 安装向导降级域控制器。
注意
对于 Windows Server 2008,目录服务还原模式(DSRM)与 Windows Server 2003 保持不变,但有一个例外。 在 Windows Server 2008 中,可以运行 dcpromo/forceremoval 该命令,强制从 DSRM 中启动的域控制器中删除 AD DS,就像在 AD DS 停止状态中一样。 域控制器仍必须在 DSRM 中启动,才能从备份还原系统状态数据。 有关如何执行此操作的详细信息,请参阅 可重启 AD DS 分步指南。
解决方法
如果无法解决此行为,可以使用以下解决方法来执行域控制器的强制降级,以保留操作系统及其上的任何应用程序的安装。
警告
在使用以下任一解决方法之前,请确保可以在目录服务还原模式下成功启动。 否则,在强制降级计算机后,将无法登录。 如果不记得目录服务还原模式密码,可以使用文件夹中 Winnt\System32 的Setpwd.exe实用工具重置密码。 在 Windows Server 2003 中,Setpwd.exe实用工具的功能已集成到 NTDSUTIL 工具的 Set DSRM 密码命令中。
Windows 2000 域控制器
在运行 Service Pack 2(SP2)或更高版本的 Windows 2000 域控制器上安装Q332199修补程序,或者安装 Windows 2000 Service Pack 4(SP4)。 SP2 和更高版本支持强制降级。 然后,重新启动计算机。
单击“开始”,单击“运行”,然后键入命令:
dcpromo /forceremoval单击“确定”。
在 “欢迎使用 Active Directory 安装向导 ”页上,单击“ 下一步”。
如果要删除的计算机是全局编录服务器,请在消息窗口中单击“ 确定 ”。
注意
如果需要降级的域控制器是全局编录服务器,请升级林或站点中的其他全局目录。
在“删除 Active Directory”页中,确保清除“此服务器是域”复选框中的最后一个域控制器,然后单击“下一步”。
在“ 网络凭据 ”页上,键入林中具有企业管理员凭据的用户帐户的名称、密码和域名,然后单击“ 下一步”。
在 “管理员密码”中,键入要分配给本地 SAM 数据库的管理员帐户的密码并确认密码,然后单击“ 下一步”。
在“摘要”页上,单击“下一步”。
在林中幸存的域控制器上对降级的域控制器执行元数据清理。
如果使用 Ntdsutil 中的“删除所选域”命令从林中删除了域,请验证林中的所有域控制器和全局目录服务器是否已删除所有对象和对刚删除的域的引用,然后再将新域提升到具有相同域名的同一林中。 Windows 2000 支持工具中的Replmon.exe或Repadmin.exe等工具可以帮助你确定是否发生了端到端复制。 与 Windows Server 2003 相比,删除对象和命名上下文的速度明显慢于 Windows 2000 SP3 和更早版本的全局编录服务器。
Windows Server 2003 域控制器
默认情况下,Windows Server 2003 域控制器支持强制降级。 单击“开始”,单击“运行”,然后键入命令:
dcpromo /forceremoval单击“确定”。
在 “欢迎使用 Active Directory 安装向导 ”页上,单击“ 下一步”。
在 “强制删除 Active Directory ”页中,单击“ 下一步”。
在 “管理员密码”中,键入要分配给本地 SAM 数据库的管理员帐户的密码并确认密码,然后单击“ 下一步”。
在“摘要”中,单击“下一步”。
在林中幸存的域控制器上对降级的域控制器执行元数据清理。
如果使用 Ntdsutil 中的“删除所选域”命令从林中删除了域,请验证林中的所有域控制器和全局目录服务器是否已删除所有对象和对刚删除的域的引用,然后再将新域提升到具有相同域名的同一林中。 与 Windows Server 2003 相比,删除对象和命名上下文的速度明显慢于 Windows 2000 Service Pack 3(SP3)和更早版本的全局编录服务器。
如果从中删除 Active Directory 的计算机上的资源访问控制条目(ACE)基于域本地组,则可能需要重新配置这些权限,因为这些组将不适用于成员或独立服务器。 如果计划在计算机上安装 Active Directory,使其成为原始域中的域控制器,则无需再配置访问控制列表(ACL)。 如果希望将计算机保留为成员或独立服务器,则必须转换或替换基于域本地组的任何权限。
Windows Server 2003 Service Pack 1 增强功能
Windows Server 2003 SP1 增强了 dcpromo /forceremoval 该过程。 执行时 dcpromo /forceremoval ,进行检查以确定域控制器是托管操作主角色、是域名系统(DNS)服务器还是全局编录服务器。 对于每个角色,管理员会收到一条弹出警告,建议管理员采取适当的操作。
如果域控制器无法在正常模式下启动
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅:如何备份和还原 Windows 中的注册表。
重要
仅当域控制器无法以正常模式启动时,才执行这些步骤。
若要从域控制器中删除 Active Directory,请执行以下步骤:
重新启动计算机,然后按 F8 显示 Windows 2000 高级选项 菜单。
选择 “目录服务还原模式”,按 Enter,然后再次按 Enter 继续重启。
修改注册表中的 ProductType 条目。 为此,请按照下列步骤进行操作:
单击“开始”,再单击“运行”,键入“regedit& ”,然后单击“确定”。
找到注册表子项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions。在右窗格中,双击 ProductType。
在 “值”数据 框中键入 ServerNT,然后单击“ 确定”。
注意
如果未正确设置此值或拼写错误,可能会收到以下错误消息:系统进程 - 许可证冲突:系统检测到篡改已注册的产品类型。 这是违反软件许可证的行为。 不允许篡改产品类型。
退出注册表编辑器。
重新启动计算机。
使用用于目录服务修复模式的管理员帐户和密码登录。
计算机将充当成员服务器。 但是,计算机上仍有一些与域控制器关联的剩余文件和注册表项。
启动注册表编辑器并找到注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters。如果 Src 根域 Srv 有条目,请右键单击该值,然后单击“删除”。 必须删除此值,以便域控制器在升级后将自己视为域中的唯一域控制器。
重要
上述步骤至关重要。 如果没有重新升级,临时 AD 林将无法完成,你将无法登录到域控制器。
删除其余文件和注册表项。 为此,请按照下列步骤进行操作:
启动 Active Directory 安装向导。
安装 Active Directory,使计算机成为新临时域(如 psstemp.deleteme)的域控制器。
注意
请确保将计算机设为其他林中的域控制器。
安装 Active Directory 后,再次启动 Active Directory 安装向导,然后从域控制器中删除 Active Directory。
从域控制器中删除 Active Directory 后,删除域中剩余的元数据。 有关如何删除此元数据的详细信息,请参阅 在域控制器降级失败后如何在 Active Directory 中删除数据。
Status
Microsoft已测试并支持强制降级运行 Windows 2000 或 Windows Server 2003 的域控制器。
详细信息
Active Directory 安装向导在基于 Windows 2000 和基于 Windows Server 2003 的计算机上创建 Active Directory 域控制器。 Active Directory 安装向导执行的操作包括新服务的安装、对现有服务的启动值的更改,以及作为安全和身份验证领域的转换到 Active Directory。
强制降级后,域管理员可以强行删除 Active Directory 并回滚本地保留的系统更改,而无需联系或将任何本地保留的更改复制到林中的另一个域控制器。
由于强制降级会导致任何本地保留的更改丢失,因此仅将其用作生产或测试域中的最后手段。 当无法解析连接、名称解析、身份验证或复制引擎依赖项时,可以强制降级域控制器,以便可以执行正常降级。 强制降级的有效方案包括:
尝试降级直接子域中的最后一个域控制器时,父域中当前没有可用的域控制器。
Active Directory 安装向导无法完成,因为执行详细故障排除后,存在名称解析、身份验证、复制引擎或 Active Directory 对象依赖项无法解析。
对于一个或多个命名上下文,域控制器尚未复制 Tombstone 生存期(默认逻辑删除生存期为 60 天)中的传入 Active Directory 更改。
重要
请勿恢复此类域控制器,除非它们是特定域的唯一恢复机会。
时间不允许进行更详细的故障排除,因为必须立即进入域控制器的服务。 强制降级在实验室和教室环境中可能很有用,可以在其中从现有域中删除域控制器,但不必串行降级每个域控制器。
如果强制降级域控制器,将丢失驻留在域控制器的 Active Directory 中的任何唯一更改,这些更改将强制降级。 这包括添加、删除或修改用户、计算机、组、信任关系以及运行命令之前 dcpromo /forceremoval 未复制的组策略或 Active Directory 配置。 此外,这些对象中的任何一个属性都将丢失更改,例如用户、计算机的密码以及信任关系和组成员身份。
但是,如果强制降级域控制器,则会将操作系统返回到与域中最后一个域控制器成功降级的状态(服务启动值、已安装的服务、对帐户数据库使用基于注册表的 SAM)的状态相同,计算机是工作组的成员。 在降级的域控制器上安装的程序将保持不变。
系统事件日志通过事件 ID 29234 标识强行降级的 dcpromo /forceremoval Windows 2000 域控制器和操作实例。 例如:系统事件日志通过事件 ID 29239 标识强行降级的 Windows Server 2003 域控制器。 例如:使用 dcpromo /forceremoval 命令后,在幸存的域控制器上不会删除降级计算机的元数据。 有关详细信息,请参阅清理Active Directory 域控制器服务器元数据。
以下是在强行降级域控制器后必须解决的项(如果适用):
- 从域中删除计算机帐户。
- 验证是否删除了 DNS 记录(如 A、CNAME 和 SRV 记录),并删除它们(如果存在)。
- 验证是否删除了 FRS 成员对象(FRS 和 DFS),并删除它们(如果存在)。
- 如果降级的计算机是任何安全组的成员,请将其从这些组中删除。
- 删除对降级服务器的任何 DFS 引用,例如链接或根副本。
- 幸存的域控制器必须抓住任何操作主角色(也称为灵活的单主操作或 FSMO),这些角色以前由强行降级的域控制器持有。 有关详细信息,请参阅Active Directory 域服务中的转移或抓住操作主角色。
- 如果要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建新的 GC 或 DNS 服务器,以满足林中的负载均衡、容错和配置设置。
- 在 NTDSUTIL 中使用删除选定的服务器命令时,NTDSDSA 对象将删除你强行降级到域控制器的传入连接的父对象。 此命令不会删除站点和服务管理单元中显示的父服务器对象。 如果域控制器不会提升到具有相同计算机名称的林中,请使用 Active Directory 站点和服务 MMC 管理单元删除服务器对象。