今天在CSDN上又看一个关于Windows Server 2003 域控制器可能无法通过使用 Active Directory 安装向导(Dcpromo.exe) 正常降级的问题。
现象:
局域网中有两台域控制器A、B,一日其中一台主域控制器A 崩溃,重装后A 建了另一个域。
要将B降级,运行dcpromo之后,如果勾寻这是最后一个域控制器”选项,结果提示B 不是最后的域控制器,不能降级;如果不勾寻这是最后一个域控制器”选项,则要求选择此域的一个域控制器作为主域控制器,但此域中除B 以外已无其他域控制器,结果还是不能降级!
原因:
造成这种情况的原因有网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置等。但根据情况来看,不属于网络连接问题。
解决:
在查阅了微软官方网站后得到以下资料:
| 1. | Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击“运行”,然后键入以下命令: dcpromo /forceremoval |
| 2. | 单击“确定”。 |
| 3. | 在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。 |
| 4. | 在“强制删除 Active Directory”页中,单击“下一步”。 |
| 5. | 在“管理员密码”中,键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。 |
| 6. | 在“摘要”中,单击“下一步”。 |
| 7. | 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。 |
如果您通过使用 Ntdsutil 中的
删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。[AD:买条码检测仪就找广州信亦达]
如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表 (ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。 有关从域控制器中删除 Active Directory 后对权限有何影响的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章。
使用 dcpromo /forceremoval 命令后,在继续存在的域控制器上不会删除被降级的计算机的元数据。
将域控制器强制降级后,您必须完成以下任务(如果适用):
| 1. | 从域中删除计算机帐户。 |
| 2. | 验证 DNS 记录(例如 A 记录、CNAME 记录和 SRV 记录)是否已删除;如果它们仍然存在,则将它们删除。 |
| 3. | 验证 FRS 成员对象(FRS 和 DFS)是否已删除;如果它们仍然存在,则将它们删除。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: () FRS 使用的 Active Directory 对象概述 |
| 4. | 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。 |
| 5. | 删除对被降级的服务器的任何 DFS 引用(例如,链接或根副本)。 |
| 6. | 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色(也称为灵活的单主机操作或 FSMO)。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: () 使用 Ntdsutil.exe 占用 FSMO 角色或将其转移到域控制器 |
| 7. | 如果您要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建一个新的 GC 或 DNS 服务器,以满足林中的负载平衡、容错和配置设置。[专业建EXCHANGE服务器找plumlee] |
| 8. | 当您使用 NTDSUTIL 中的删除选定服务器命令时,NTDSDSA 对象(该对象是到您强制降级的域控制器的入站连接的父对象)将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中,请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器 |
