Active Directory Domain Services (AD DS) 設定精靈是伺服器管理員中的工具,可讓系統管理員將伺服器升級至域控制器,或視需要降級伺服器。 本文提供精靈頁面的詳細概觀,包括其控件和選項,以協助您有效地瀏覽安裝和移除程式。 無論您是要建立新的樹系、將域控制器新增至現有網域或降級域控制器,本指南都會概述每個作業的步驟和考慮。
每個頁面的摘要
本節中的表格摘要說明當您使用 Active Directory 網域服務設定精靈將伺服器升級至域控制器或降級域控制器時所看到的頁面。 選取每個頁面的連結,以深入瞭解您在該頁面上看到的選項和控件。
當您將伺服器升級至域控制器時,您可以瀏覽下列頁面:
| Active Directory 組態頁面 | Description |
|---|---|
| Deployment Configuration | 選取您想要執行的部署作業類型:建立新的樹系(第一個域控制器)、在現有的樹系內建立新的網域,或將其他域控制器新增至現有的網域。 此頁面也會驗證基本需求,並提示網域名稱。 |
| 網域控制站選項 | 設定樹系和網域功能等級、選取域控制器角色,包括 DNS 伺服器、全域編錄,以及 Read-Only 域控制器選項。 設定離線 AD DS 作業和維護所需的目錄服務還原模式 (DSRM) 密碼。 |
| DNS Options | 安裝 DNS 伺服器角色時設定 DNS 委派設定。 在父 DNS 區域中建立委派記錄,以確保新域控制器 DNS 區域的正確名稱解析和授權單位傳輸。 |
| RODC Options | 設定可管理本機只讀域控制器的委派系統管理員帳戶,並設定密碼複製策略 (PRP) 來控制 RODC 上可快取哪些使用者和計算機帳戶密碼以進行驗證。 |
| Additional Options | 指定新網域的 NetBIOS 網域名稱,選取特定的網域控制器作為複寫來源,並使用透過 Windows Server Backup 建立的備份媒體或 ntdsutil.exe 來配置從媒體安裝的選項,以減少安裝時間。 |
| Paths | 設定 Active Directory 資料庫 (ntds.dit)、資料庫事務歷史記錄和 SYSVOL 共用資料夾的自訂檔案系統位置,而不是使用預設系統磁碟驅動器位置,以提升效能或記憶體管理。 |
| Preparation Options | 當目前的使用者帳戶沒有足夠的許可權進行架構或網域準備時,請提供企業系統管理員、架構管理員或網域管理員認證來執行必要的 adprep.exe 命令(forestprep、 domainprep或 rodcprep)。 |
| Review Options | 開始安裝程式之前,請先檢閱並驗證所有選取的組態設定。 將設定導出為 Windows PowerShell 腳本以進行自動化或文件用途,並視需要進行最終調整。 |
| Prerequisites Check | 顯示必要條件驗證檢查的完整結果,包括網路連線、DNS 解析、許可權驗證和系統需求。 顯示在繼續之前必須解決的任何警告或錯誤。 |
| Results | 顯示域控制器安裝或升級程式的最終結果和狀態,包括成功確認、任何安裝後警告,以及重新啟動伺服器以完成設定的選項。 |
當您降級域控制器時,您會瀏覽下列頁面:
| Active Directory 組態頁面 | Description |
|---|---|
| Credentials | 提供降級作業所需的認證,包括網域中最後一個域控制器的網域管理員認證,或網域中最後一個域控制器的企業系統管理員認證。 如果域控制器無法連絡其他域控制器,請設定強制移除選項。 |
| Warnings | 檢閱有關移除域控制器所裝載之重要角色和服務的相關警告,例如 DNS 伺服器、全域編錄或作業主機角色。 在繼續降級之前,請先確認移除這些角色的影響。 |
| Removal Options | 當降級的域控制器正在托管 DNS 區域時,配置 DNS 區域委派移除選項。 從區域委派中移除 DNS 伺服器,以防止降級后的 DNS 解析問題。 |
| 新的系統管理員密碼 | 設定內建本機系統管理員帳戶的新密碼,當計算機變成成員伺服器或工作組計算機而不是域控制器時,將會在降級之後使用。 |
| Review Options | 開始程式之前,請先檢閱並驗證所有降級設定。 將設定匯出為 Windows PowerShell 腳本以進行自動化,並在開始域控制器降級之前確認最終設定。 |
升級伺服器為網域控制器時的頁面
下列各節說明當您使用 Active Directory 網域服務設定精靈將伺服器升級至域控制器時所看到的頁面。
Deployment Configuration
Server Manager begins every domain controller installation with the Deployment Configuration page. 您在此頁面上看到的選項和必要字段和後續頁面,取決於您選取的部署作業。
The wizard runs some validations and tests on the Deployment Configuration page and again later as part of prerequisite checks. 例如,當您嘗試在樹系中安裝第一個 Windows Server 域控制器時,就會執行檢查。 如果樹系的功能等級不支援域控制器的 Windows Server 版本,此頁面上會出現錯誤。
下列各節說明您可以在此頁面選取的部署作業。
建立樹系
下列螢幕快照顯示當您建立樹系時出現的選項:
![精靈 [部署組態] 頁面的螢幕快照。已選取新增樹系的選項,而且會顯示根域名。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_deploymentconfiguration_forest.gif)
當您建立樹系時,您必須指定樹系根域的名稱。
- 樹系根域名不能單一標記。 例如,它必須是
example-domain.com而非example-domain。 - 它必須使用允許的功能變數名稱系統 (DNS) 網域命名慣例。 如需 DNS 網域命名慣例的詳細資訊,請參閱 計算機、網域、網站和 OU 的 Active Directory 命名慣例。
- 您可以設置國際化域名(IDN)。
- 樹系根域名不能單一標記。 例如,它必須是
您所建立的任何 Active Directory 樹系名稱必須與外部 DNS 名稱不同。 例如,如果您的因特網 DNS URL 是
https://example-domain.com,您必須為內部樹系選擇不同的名稱,以避免未來的相容性問題。 該名稱應該是唯一的,不容易出現在網路流量中,例如corp.example-domain.com。您必須是您想要建立樹系之伺服器上的 Administrators 群組成員。
如需如何建立樹系的詳細資訊,請參閱安裝新的 Windows Server 2012 Active Directory 樹系 (等級 200)。
建立網域
下列螢幕快照顯示當您建立網域時出現的選項:
![精靈 [部署組態] 頁面的畫面截圖。已選取新增網域的選項,且可見父網域名稱。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_deploymentconfiguration_childdomain.gif)
Note
如果您建立樹狀網域,則必須指定樹系根域的名稱,而不是父域。 但是,無論您建立子域或樹狀域,其餘的精靈頁面和選項都相同。
針對 父域名,選取 以移至父域或 Active Directory 樹狀結構,或輸入有效的父域或樹狀目錄名稱。
針對 新網域名稱,輸入新的網域名稱。
- 提供樹型網域的有效且完整的根網域名稱。 名稱不能是單標籤,而且必須符合 DNS 網域名稱需求。
- 針對子域名,請提供有效的單一標籤子域名。 名稱必須符合 DNS 網域名稱需求。
如果您目前的認證不是來自網域,Active Directory 網域服務設定精靈會提示您輸入網域認證。 Select Change to provide domain credentials.
如需如何建立網域的詳細資訊,請參閱安裝新的 Windows Server 2012 Active Directory 子網域或樹狀目錄網域 (等級 200)。
將域控制器新增至現有的網域
下列螢幕快照顯示當您將新的域控制器新增至現有網域時出現的選項:
![精靈 [部署組態] 頁面的螢幕快照。已選取將域控制器新增至現有網域的選項。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_deploymentconfiguration_replica.gif)
For Domain, select Select to go to the domain, or enter a valid domain name.
如有需要,伺服器管理員會提示您輸入有效的認證。 安裝其他網域控制站需要 Domain Admins 群組成員資格。
此外,在樹系中安裝第一個執行 Windows Server 的域控制器,需要包含 Enterprise Admins 和 Schema Admins 群組中群組成員資格的認證。 如果您目前的認證不具有適當的權限或群組成員資格,稍後 [Active Directory 網域服務設定精靈] 會提示您。
如需如何將網域控制站新增到現有網域的詳細資訊,請參閱在現有網域中安裝複本 Windows Server 2012 網域控制站 (等級 200)。
網域控制器選項
您在 [域控制器選項 ] 頁面上看到的選項取決於您的部署作業。 下列各節說明您為每個作業設定的選項。
新的森林選項
當您建立樹系時, [域控制器選項 ] 頁面會顯示下列螢幕快照中顯示的選項:
![精靈 [域控制器選項] 頁面的螢幕快照。樹系和網域功能等級、可用的角色和密碼欄位都可見。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_dcoptions_forest.gif)
樹系和網域功能等級的預設值取決於您的 Windows Server 版本。
從 Windows Server 2012 版本開始,網域功能等級會在密鑰發佈中心 (KDC) 系統管理範本原則 KDC 支援宣告、復合驗證和 Kerberos 防護中提供下列設定:
- 一律提供聲明
- 失敗未加密的驗證要求
如需詳細資訊,請參閱 宣告、組合式驗證和 Kerberos 防護的支援。
您在樹系中建立的任何網域,都會在等於所選樹系功能等級的網域功能等級自動運作。 此外,網域中的任何域控制器會執行所選網域功能等級的 Windows Server 版本。
如需各種功能層級可用功能的詳細資訊,請參閱 Active Directory 網域服務功能等級。
域控制器上可用的功能取決於域控制器執行的 Windows Server 版本。
當您建立樹系時,會預設選取 網域名稱系統 (DNS) 伺服器 選項。 樹系中的第一個域控制器必須是全域編錄伺服器,並且不能是唯讀域控制器(RODC)。
若要登入未執行 AD DS 的域控制器,您需要目錄服務還原模式 (DSRM) 密碼。 您指定的密碼必須遵守套用至伺服器的密碼原則。 根據預設,該原則不需要強密碼。 它只需要非空白的密碼。 務必選擇複雜的強式密碼,或者最好是使用密語。 如需如何同步 DSRM 密碼與網域用戶帳戶密碼的相關信息,請參閱 同步處理密碼的支援文章。
如需如何建立樹系的詳細資訊,請參閱安裝新的 Windows Server 2012 Active Directory 樹系 (等級 200)。
新的子域選項
當您建立子域時, [域控制器選項 ] 頁面會顯示下列螢幕快照中顯示的選項:
![精靈 [域控制器選項] 頁面的螢幕快照。可以看到網域功能等級、可用的角色和 DSRM 密碼欄位。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_dcoptions_child.gif)
網域功能等級的預設值取決於您的 Windows Server 版本。 您可以指定大於或等於樹系功能等級的任何值。
您可以設定下列域控制器選項:
- 網域名稱系統 (DNS) 伺服器
- 全域編錄 (GC)
您無法將新網域中的第一個域控制器設定為 RODC。
我們建議所有域控制器都提供 DNS 和全域編錄服務,以在分散式環境中提供高可用性。 因此,當您建立網域時,精靈預設會啟用這些選項。
您也可以使用此頁面,從樹系設定中選取適當的 Active Directory 邏輯站點名稱。 根據預設,會選取有最正確之子網路的站台。 如果只有一個網站,則會自動選取該網站。
Important
如果伺服器不屬於 Active Directory 子網,而且存在多個站點,則不會選取任何站點。 The Next button isn't available until you select a site from the list.
如需如何建立網域的詳細資訊,請參閱安裝新的 Windows Server 2012 Active Directory 子網域或樹狀目錄網域 (等級 200)。
將域控制器新增至網域的選項
當您將域控制器新增至網域時,[ 域控制器選項 ] 頁面會顯示下列螢幕快照中顯示的選項:
您可以設定下列域控制器選項:
- 網域名稱系統 (DNS) 伺服器
- 全域編錄 (GC)
- 唯讀域控制器 (RODC)
我們建議所有域控制器都提供 DNS 和全域編錄服務,以在分散式環境中提供高可用性。 因此,預設會啟用這些選項。 如需部署 RODC 的詳細資訊,請參閱唯讀網域控制站規劃和部署指南。
如需如何將網域控制站新增到現有網域的詳細資訊,請參閱在現有網域中安裝複本 Windows Server 2012 網域控制站 (等級 200)。
DNS Options
If you install the DNS server role, the following DNS Options page appears:
![精靈 [DNS 選項] 頁面的螢幕快照。已選取用來建立 DNS 委派的選項。顯示變更認證的按鈕。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_dnsoptions_replica.gif)
當您安裝 DNS 伺服器角色時,應在父 DNS 區域中建立委派記錄,指明 DNS 伺服器作為該區域的授權伺服器。 委派記錄移轉名稱解析權限。 它們還向其他 DNS 伺服器和用戶端提供正確的轉介,指向對新區域擁有授權的新伺服器。 這些資源記錄包括下列記錄:
- 名稱伺服器 (NS) 資源記錄,此記錄可讓委派生效。 此資源記錄會公告名為
ns1.na.example.microsoft.com的伺服器是委派子域的授權伺服器。 - 主機 (A 或 AAAA) 資源記錄,也稱為黏附記錄。 此記錄必須存在,才能將 NS 資源記錄中指定的伺服器名稱解析為其 IP 位址。 The process of resolving the host name in this resource record to the delegated DNS server in the NS resource record is sometimes referred to as glue chasing.
您可以讓 Active Directory 網域服務設定精靈自動建立這些記錄。 在 [ 域控制器選項 ] 頁面上,如果您選取 [ 下一步],精靈會驗證父 DNS 區域中是否有適當的記錄。 如果精靈無法驗證父網域中的記錄是否存在,精靈會提供選項,讓您建立新網域的 DNS 委派(或自動更新現有的委派),並繼續安裝新的域控制器。
或者,您可以先建立這些 DNS 委派記錄,再安裝 DNS 伺服器角色。 To create a zone delegation, open DNS Manager, right-click the parent domain, and then select New Delegation. 請遵循新增委派精靈中的步驟來建立委派。
安裝程序會嘗試建立委派,以確認其他網域中的電腦可以解析 DNS 子網域中主機 (包含網域控制站和成員電腦) 的 DNS 查詢。 委派記錄只能在Microsoft DNS 伺服器上自動建立。 If the parent DNS domain zone resides on third-party DNS servers such as Berkeley Internet Name Domain (BIND) servers, a warning about the failure to create DNS delegation records appears on the Prerequisites Check page. 如需警告的詳細資訊,請參閱 安裝和移除 AD DS 的已知問題。
父系網域與升級之子網域之間的委派,可以在安裝前或安裝後建立及驗證。 因為您無法建立或更新 DNS 委派,因此沒有理由延遲新域控制器的安裝。
如需委派的詳細資訊,請參閱 瞭解區域委派。 如果您的情況中無法委派區域,您可以考慮其他方法,將其他網域的名稱解析提供給網域中的主機。 例如,另一個網域的 DNS 系統管理員可以設定條件式轉送、存根區域或次要區域,以解析網域中的名稱。 如需詳細資訊,請參閱下列資源:
RODC Options
下列螢幕快照顯示當您安裝 RODC 時出現的選項。
![精靈 [RODC 選項] 頁面的螢幕快照,顯示哪些帳戶會及不會複寫密碼,並包含編輯帳戶的按鈕。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_rodcoptions.gif)
您可以使用 [委派的系統管理員帳戶 ] 選項來指定指派本機系統管理許可權給 RODC 的帳戶。 這些使用者可以使用與本機電腦系統管理員群組對等的權限進行操作。 他們不是 Domain Admins 群組的成員或網域內建的 Administrators 群組的成員。 此選項適用於委派分公司管理,而不授與網域系統管理許可權。 不需要設定委派管理權限。 如需詳細資訊,請參閱 系統管理員角色分離。
您可以使用頁面上的其餘選項來設定密碼複寫策略 (PRP),做為存取控制清單 (ACL)。 此原則會決定 RODC 是否可以快取密碼。 RODC 收到已驗證的使用者或電腦登入要求之後,它會參考 PRP 來判斷是否應快取帳戶的密碼。 然後,相同的帳戶可以更有效率地執行後續登入。 當帳戶已被快取時,即使通往總部的 WAN 連線已離線,RODC 仍然可以驗證該帳戶。
PRP 會列出兩種類型的帳戶:
- 具有可快取密碼的帳戶
- 具有明確拒絕快取密碼的帳戶
如果使用者或計算機帳戶位於可快取的帳戶清單中,RODC 不一定快取該帳戶的密碼。 例如,系統管理員可以事先指定 RODC 應該快取的帳戶。
任何未被明確或隱含拒絕或允許的使用者或電腦帳戶,其密碼皆不會被快取。 如果這些使用者或計算機無法存取可寫入域控制器,他們就無法存取 AD DS 提供的資源或功能。 如需PRP的詳細資訊,請參閱 密碼複製策略。 如需管理PRP的詳細資訊,請參閱 管理密碼複製策略。
如需安裝 RODC 的詳細資訊,請參閱安裝 Windows Server 2012 Active Directory 唯讀網域控制站 (RODC) (等級 200)。
Additional Options
The following screenshot shows the option that appears on the Additional Options page when you create a domain:
![精靈 [其他選項] 頁面的螢幕快照。編輯網域 NetBIOS 名稱的欄位可見。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_additionaloptions_child.gif)
The following screenshot shows the options that appear on the Additional Options page when you add a domain controller to an existing domain:
![精靈 [其他選項] 頁面的螢幕快照。可以看到媒體安裝路徑。複寫來源會設定為任何域控制器。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_additionaloptions_replica.gif)
You can use the Replicate from option to specify a domain controller as the replication source, or to allow the wizard to choose any domain controller as the replication source.
您可以使用 [ 從媒體安裝 ] 選項來指定用來安裝域控制器的備份媒體來源。 If the installation media is stored locally, you can use the Path option to select the file location. 這個選項不適用於遠端安裝。 You can select Verify to ensure the provided path is valid media. 您必須使用 Windows Server Backup 或從另一部現有的 Windows Server 伺服器來建立您用於此選項的媒體。 您無法使用早於 Windows Server 2012 的操作系統來為網域控制器建立媒體。 如果媒體受到 SysKey 密碼的保護,伺服器管理員會在驗證期間提示映像的密碼。
如需如何建立網域的詳細資訊,請參閱安裝新的 Windows Server 2012 Active Directory 子網域或樹狀目錄網域 (等級 200)。 如需如何將網域控制站新增到現有網域的詳細資訊,請參閱在現有網域中安裝複本 Windows Server 2012 網域控制站 (等級 200)。
Paths
The following screenshot shows the options that appear on the Paths page:
![精靈 [路徑] 頁面的螢幕快照。欄位可用於輸入資料庫、記錄檔和 SYSVOL 資料夾。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_paths.gif)
You can use the Paths page to override the default folder locations of the AD DS database (NTDS.DIT), the database transaction logs, and the SYSVOL share. 預設位置一律位於 %systemroot% 資料夾中。 針對本機安裝,您可以選取儲存檔案的位置。
Preparation Options
The following screenshot shows the Preparation Options page:
![精靈 [準備選項] 頁面的螢幕快照。顯示許可權不足的文字。按鈕可用於變更使用者。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_preparationoptions.gif)
此頁面會提示您提供認證來執行 adprep.exe。 當符合下列兩個條件時,精靈會顯示此頁面:
- 您目前未使用足夠的認證登入,無法執行
adprep.exe命令。 - 若要完成 AD DS 安裝,
adprep.exe必須執行。
需要 adprep.exe 此工具,才能在下列情況下執行:
adprep /forestprep必須執行 命令,才能將執行 Windows Server 2012 的第一個域控制器新增至現有的樹系。 若要執行此命令,您必須是 Enterprise Admins 群組、架構管理員群組,以及裝載架構主機之網域的 Domain Admins 群組成員。 若要讓此命令順利執行,您必須在執行命令的計算機與樹系的架構主機之間連線。adprep /domainprep必須執行 命令,才能將執行 Windows Server 2012 的第一個域控制器新增至現有的網域。 此命令必須由您安裝執行 Windows Server 之域控制器之網域的 Domain Admins 群組成員執行。 若要讓此命令順利執行,您必須在執行命令的計算機與網域的基礎結構主機之間連線。adprep /rodcprep必須執行 命令,才能將第一個 RODC 新增至現有的樹系。 這個命令必須由 Enterprise Admins 群組的成員執行。 若要讓此命令順利執行,您必須確保執行命令的計算機與樹系中每個應用程式目錄分割區的基礎結構主控站之間的網路連線。
For more information about adprep.exe, see Adprep.exe integration and Running Adprep.exe.
Review Options
The following screenshot shows the Review Options page:
![精靈 [檢閱選項] 頁面的螢幕快照。文字摘要說明正在成為域控制器之伺服器的選取選項。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_reviewoptions.gif)
You can use the Review Options page to validate your settings and ensure that they meet your requirements before you start the installation. 此頁面不是伺服器管理員中停止安裝的最後機會。 您可以使用此頁面來檢閱並確認您的設定,再繼續設定。
On this page, you also have the option of using the View script button to create a Unicode text file that contains the current
ADDSDeploymentmodule configuration as a single Windows PowerShell script. 因此,您可以使用伺服器管理員圖形化介面作為 Windows PowerShell 部署 Studio:- 使用 [Active Directory 網域服務組態精靈] 來設定選項。
- 匯出組態。
- 取消精靈。
這個程序會建立一個有效且合乎語義的正確範例,以備日後修改或直接使用。
Prerequisites Check
The following screenshot shows the Prerequisites Check page:
![精靈 [必要條件檢查] 頁面的螢幕快照。結果欄位會列出密碼編譯演算法和封鎖 DNS 委派的相關警告。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_prerequisitescheck.gif)
此頁面會顯示在必要條件檢查期間偵測到的潛在問題。 結果可以列出警告,包括下列警告:
執行 Windows Server 的域控制器具有預設設定 [允許與 Windows NT 4 相容的密碼編譯演算法],以防止使用較弱密碼編譯演算法的用戶端建立安全通道會話。 如需可能的影響及因應措施的詳細資訊,請參閱 在所有受影響的網域控制站上停用 AllowNT4Crypto 設定。
無法建立或更新 DNS 委派。 For more information, see DNS Options.
Windows Management Instrumentation (WMI) 呼叫失敗。 先決條件檢查需要 WMI 呼叫。 如果防火牆規則封鎖了 WMI 呼叫,它可能會失敗,並返回遠端程序呼叫(RPC)伺服器無法使用的錯誤訊息。
For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite tests.
Results
The following screenshot shows the Results page:
![精靈 [結果] 頁面的螢幕快照。文字表示域控制器的成功設定。會顯示警告。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_smi_smresultsbeta.gif)
您可以在這個頁面上檢閱安裝的結果。
您也可以在精靈完成之後,從此頁面重新啟動目標伺服器。 但是,如果安裝成功,不論您是否選取該選項,伺服器都會重新啟動。
在某些情況下,目標伺服器無法重新啟動。 如果精靈在安裝之前未加入網域的目標伺服器上完成,則目標伺服器的系統狀態可以讓伺服器上的伺服器無法連線。 系統狀態也可以防止您擁有管理遠端伺服器的許可權。
如果目標伺服器在這些情況下無法重新啟動,您必須手動重新啟動它。 您無法使用工具,例如 shutdown.exe 或 Windows PowerShell 來重新啟動它。 您可以使用遠端桌面服務來登入並遠端關閉目標伺服器。
降級域控制器時的頁面
下列各節說明當您使用 Active Directory 網域服務設定精靈降級域控制器時所看到的頁面。
Credentials
The following screenshot shows the Credentials page that appears at the start of the demotion process.
![精靈 [認證] 頁面的螢幕快照,其中包含變更認證的按鈕,以及強制移除域控制器的選項。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_rrw_credentials.gif)
在此頁面上,您會設定降級選項。 在各種情況下,需要下列認證才能執行降級:
降級其他網域控制站需要 Domain Admin 認證。 選取 [強制移除網域控制站] 會將網域控制站降級,但不會從 Active Directory 移除網域控制站物件的中繼資料。
Important
請勿選取 [強制移除此域控制器 ] 選項,除非域控制器無法連絡其他域控制器,而且 無法合理解決 該網路問題。 強制降級會在樹系中剩餘的網域控制站上的 Active Directory 中留下孤立的後設資料。 此外,該域控制器上所有未複製的變更,例如密碼或新的用戶帳戶,都會永遠遺失。 孤立的中繼資料是 Microsoft AD DS、Microsoft Exchange、SQL Server 和其他軟體支援案例中大量問題的根本原因。 If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. 如需指示,請參閱 清除伺服器元數據。
降級網域中的最後一個網域控制器需要 Enterprise Admins 群組成員資格,因為此操作會移除網域本身。 如果網域是樹系中的最後一個網域,此操作也會移除整個樹系。 如果目前的域控制器是網域中最後一部域控制器,伺服器管理員會通知您。 選取 [網域中的最後一個網域控制站],確認網域控制站是網域中的最後一個網域控制站。
如需移除 AD DS 的詳細資訊,請參閱 移除 Active Directory 網域服務 (層級 100) 和 降級域控制器和網域。
Warnings
當您使用伺服器管理員降級域控制器時,精靈在某些情況下會顯示警告。 If the domain controller also hosts other roles, such as the DNS server or global catalog server roles, the following Warnings page appears:
![精靈 [警告] 頁面的螢幕快照。已選取移除域控制器的選項,並列出其目前的角色。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_rrw_warnings.gif)
Before you can select Next to continue, you must select Proceed with removal to acknowledge that demoting the domain controller makes those roles unavailable.
如果您強制移除網域控制器:
任何未復寫到網域中其他域控制器的 Active Directory 物件變更都會遺失。
域控制器上的所有應用程式目錄分割區都會移除。 如果域控制器保存一或多個應用程式目錄分割的最後一個複本,當移除作業完成時,這些分割區就不再存在。
如果域控制器裝載特定角色,網域和樹系中的重大作業可能會受到下列方式的影響:
Role 拿掉域控制器的結果 繼續之前要採取的動作 Global catalog 使用者可能無法登入樹系中的網域。 請確定樹系和站台中有足夠的全域編錄伺服器來服務使用者登入。如有必要,請指定另一部全域編錄伺服器,並使用新的資訊更新客戶端和應用程式。 DNS 伺服器 儲存在 Active Directory 整合區域中的所有 DNS 數據都會遺失。 拿掉AD DS之後,DNS 伺服器無法針對已整合 Active Directory 的 DNS 區域執行名稱解析。 更新目前參考 DNS 伺服器 IP 位址之所有電腦的 DNS 組態,以取得名稱解析。 使用新 DNS 伺服器的 IP 位址進行設定。 Infrastructure master 網域中的用戶端可能難以在其他網域中尋找物件。 將基礎結構主要角色傳輸到不是全域編錄伺服器的域控制器。 相對標識碼(RID)主控 您可能在建立使用者帳戶、計算機帳戶和安全組時遇到問題。 將 RID 主要角色傳輸到與您要降級之域控制器相同網域中的域控制器。 主要域控制器 (PDC) 模擬器 PDC 模擬器所執行的作業,例如非 AD DS 帳戶的組策略更新和密碼重設,無法正常運作。 將 PDC 模擬器主機角色轉移到與您要降級的域控制器相同網域中的另一個域控制器。 Schema master 您無法再修改樹系的架構。 將架構主機角色傳送至樹系根域中的域控制器。 網域命名主機 您無法再將網域新增至樹系或移除網域。 將網域命名主機角色傳輸至樹系根域中的域控制器。
拿掉裝載任何作業主機角色的域控制器之前,請先嘗試將角色傳輸到另一個域控制器。
如果無法傳輸角色,請先從計算機移除 AD DS。 然後在您打算抓住角色 ntdsutil.exe 的域控制器上使用 來擷取角色。 可能的話,請在與您降級的域控制器相同的站台中使用最近的復寫夥伴。 如需傳輸和擷取作業主要角色的詳細資訊,請參閱 在 Active Directory 網域服務中傳輸或擷取作業主機角色。
如果精靈無法判斷域控制器是否裝載作業主機角色,請執行 netdom.exe 命令來判斷域控制器是否執行任何作業主機角色。
從網域中的最後一個域控制器卸載 AD DS 之後,網域就不再存在。
Removal Options
如果您降級的域控制器是被委派來托管 DNS 區域的 DNS 伺服器,您會看到以下頁面。 它提供從 DNS 區域委派中移除 DNS 伺服器的選項。
![精靈 [移除選項] 頁面的螢幕快照。已選取移除 DNS 區域和委派的選項。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_rrw_removaloptions.gif)
如需移除 AD DS 的詳細資訊,請參閱 移除 Active Directory 網域服務 (層級 100) 和 降級域控制器和網域。
新系統管理員密碼
[ 新增系統管理員密碼 ] 頁面會要求您提供內建本機計算機系統管理員帳戶的密碼。 當降級完成且計算機變成網域成員伺服器或工作組計算機時,會使用此密碼。
![精靈 [新增系統管理員密碼] 頁面的螢幕快照。輸入和確認密碼的欄位是可見的。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_rrw_newadminpwd.gif)
如需移除 AD DS 的詳細資訊,請參閱 移除 Active Directory 網域服務 (層級 100) 和 降級域控制器和網域。
Review Options
The following screenshot shows the Review Options page that you see when you demote a domain controller:
![精靈最終 [檢閱選項] 頁面的螢幕快照。文字摘要說明降級域控制器的選取選項。](media/ad-ds-installation-and-removal-wizard-page-descriptions/adds_rrw_reviewoptions.gif)
您可以使用此頁面來檢閱您的選擇,並開始降低等級。
此頁面也可讓您將降級的組態設定導出至 Windows PowerShell 腳本,讓您可以自動化其他降級。
To demote the server, select Demote.