使用 DCPROMO/FORCEREMOVAL 命令强制将 Active Directory 域控制器降级

原创 2005年02月26日 09:10:00
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要备份注册表,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明

症状

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用“Active Directory 安装向导”(Dcpromo.exe) 正常降级。

原因

如果所需的相关项或操作失败,可能会出现此现象。这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置等。

解决方案

要解决此问题,请确定阻碍 Windows 2000 或 Windows Server 2003 域控制器正常降级的原因,然后再次尝试使用“Active Directory 安装向导”将域控制器降级。

替代方法

如果不能解决此问题,可以使用以下变通方法对域控制器执行强制降级,以保留操作系统及其中任何应用程序的安装。

警告:在使用以下任一变通方法之前,请确保您可以在目录服务还原模式下成功启动。否则,在您强制降级该计算机后,您将无法登录。如果用户忘记了目录服务还原模式的密码,可以通过使用 Winnt/System32 文件夹中的 Setpwd.exe 实用程序来重置密码。在 Windows Server 2003 中,Setpwd.exe 实用程序的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。

有关如何执行此过程的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
271641 “配置您的服务向导”将恢复模式密码设为空白

Windows 2000 域控制器

1. 在运行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安装 Q332199 修复程序,或是安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制降级。然后重新启动计算机。
2. 单击“开始”,单击“运行”,然后键入以下命令:
dcpromo /forceremoval
3. 单击“确定”。
4. 在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
5. 如果您要删除的计算机是全局编录服务器,请单击消息窗口中的“确定”。

注意:如果您要降级的域控制器是全局编录服务器,请根据需要提升林中或站点中的其他全局编录。
6. 在“删除 Active Directory”页中,确保已清除“这个服务器是域中的最后一个域控制器”复选框,然后单击“下一步”。
7. 在“网络凭据”页中,键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称,然后单击“下一步”。
8. 在“管理员密码”中,键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。
9. 在“摘要”页上,单击“下一步”。
10. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 支持工具中包含的 Replmon.exe 和 Repadmin.exe 等工具可帮助您确定是否发生过端到端复制。Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。

Windows Server 2003 域控制器

1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击“运行”,然后键入以下命令:
dcpromo /forceremoval
2. 单击“确定”。
3. 在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
4. 在“强制删除 Active Directory”页中,单击“下一步”。
5. 在“管理员密码”中,键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。
6. 在“摘要”中,单击“下一步”。
7. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。

如果域控制器无法在正常模式下启动

注意:在域控制器无法在正常模式下启动的情况下,如非绝对必要,请勿采取以下步骤。

警告:“注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用“注册表编辑器”需要您自担风险。

要从域控制器中删除 Active Directory,请按照下列步骤操作:
1. 重新启动计算机,然后按 F8 键以显示“Windows 2000 高级选项”菜单。
2. 选择“目录服务还原模式”,按 Enter 键,然后再次按 Enter 键以继续重新启动。
3. 修改注册表中的 ProductType 项。为此,请执行下列步骤:
a. 启动注册表编辑器。
b. 单击以下注册表子键下的“ProductType”项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/ProductOptions
c. 在“编辑”菜单上,单击“字符串”,键入 ServerNT,然后单击“确定”。

注意:如果此值未正确设置,或拼写有误,则您可能收到以下错误信息:
System Process - License Violation:The system has detected tampering with your registered product type.This is a violation of your software license.Tampering with product type is not permitted.
d. 退出“注册表编辑器”。
4. 重新启动计算机。
5. 使用用于目录服务修复模式的管理员帐户和密码登录。

该计算机将作为成员服务器运行。但是,在该计算机上仍存在一些与域控制器有关的剩余文件和注册表项。
6. 请删除这些剩余的文件和注册表项。为此,请执行下列步骤:
a. 启动“Active Directory 安装向导”。
b. 安装 Active Directory,将该计算机作为某个新的临时域(如“psstemp.deleteme”)的域控制器。

注意:请确保使该计算机成为不同的林中的域控制器。
c. 安装 Active Directory 后,再次启动“Active Directory 安装向导”,然后从域控制器中删除 Active Directory。
7. 从域控制器中删除 Active Directory 后,删除留在该域中的元数据。

有关如何删除此元数据的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498 如何在域控制器降级失败后删除 Active Directory 中的数据
如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表 (ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除 Active Directory 后对权限有何影响的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320230 域控制器降级后影响权限

状态

Microsoft 已对运行 Windows 2000 或 Windows Server 2003 的域控制器进行了测试,并且支持对这些域控制器执行强制降级。

更多信息

“Active Directory 安装向导”会在基于 Windows 2000 的计算机和基于 Windows Server 2003 的计算机上创建 Active Directory 域控制器。“Active Directory 安装向导”所执行的操作包括安装新服务、更改现有服务的启动值以及将 Active Directory 转换为安全和身份验证领域。

通过强制降级,域管理员可以强制删除 Active Directory 并回滚本地保存的系统更改,而无须与林中的其他域控制器进行联系或者将本地保存的更改复制到林中的其他域控制器。

由于强制降级会导致任何本地保存的更改丢失,如非绝对必要,请勿在生产域或测试域中使用强制降级。当无法解决连接、名称解析、身份验证或复制引擎相关项以致于无法执行正常降级时,您可以将域控制器强制降级。强制降级的有效方案包括:
当您尝试将直接子域中的最后一个域控制器降级时,父域中当前没有可用的域控制器。
由于在执行详细的疑难解答后存在无法解决的名称解析、身份验证、复制引擎或 Active Directory 对象相关项,因此“Active Directory 安装向导”无法完成。
在 Tombstone 存留时间(默认的 Tombstone 存留时间为 60 天)内,域控制器尚未为一个或多个命名上下文复制入站 Active Directory 更改。

重要说明:请不要恢复这类域控制器,除非它们是恢复特定域的唯一选择。
由于您必须立即将域控制器投入使用,因此没有足够的时间进行更详细的疑难解答。
强制降级在实验和教学环境中可能非常有用,在这些环境中您可以删除现有域中的域控制器,却不必按顺序将每个域控制器降级。

如果您将域控制器强制降级,您将会丢失要强制降级的域控制器的 Active Directory 中包含的任何独特更改,这包括在您运行 dcpromo /forceremoval 命令之前没有进行复制的对用户、计算机、组、信任关系以及组策略或 Active Directory 配置所做的添加、删除或修改。此外,您还将丢失对这些对象的任何属性(如用户密码、计算机、信任关系以及组成员资格)所做的更改。

但是,如果您将域控制器强制降级,您会将操作系统恢复到与域中的最后一个域控制器成功降级时相同的状态(包括服务启动值和已安装的服务,还包括对帐户数据库使用基于注册表的 SAM 以及计算机是工作组的成员等方面)。降级的域控制器中安装的程序仍将继续保持已安装状态。

“系统”事件日志会以事件 ID 29234 标识出强制降级的 Windows 2000 域控制器(以及 dcpromo /forceremoval 操作的实例)。例如:
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29234
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.“系统”事件日志以事件 ID 29239 标识出强制降级的 Windows Server 2003 域控制器。例如:
Event Type:WARNING
Event Source:lsasrv
Event Category:None
Event ID: 29239
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:Computername Description:The server was force demoted.It is no longer a Domain controller.在您使用 dcpromo /forceremoval 命令后,在继续存在的域控制器上不会 删除被降级的计算机的元数据。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498 如何在域控制器降级失败后删除 Active Directory 中的数据
将域控制器强制降级后,您必须完成以下任务(如果适用的话):
1. 从域中删除计算机帐户。
2. 验证 DNS 记录(包括 A 记录、CNAME 记录和 SRV 记录)是否已删除;如果它们仍然存在,则将它们删除。
3. 验证 FRS 成员对象(FRS 和 DFS)是否已删除;如果它们仍然存在,则将它们删除。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
296183 FRS 使用的 Active Directory 对象的概述
4. 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。
5. 删除对被降级的服务器的任何 DFS 引用(链接或根副本)。
6. 继续存在的域控制器必须获取以前由被强制降级的域控制器所拥有的任何操作主机角色(也称为灵活的单主机操作或 FSMO)。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255504 使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器
7. 如果您要降级的域控制器是 DNS 服务器或全局编录服务器,则必须创建一个新的 GC 或 DNS 服务器,以满足林中的负载平衡、容错和配置设置。
8. 当您使用 NTDSUTIL 中的删除选定服务器命令时,NTDSDSA 对象(该对象是到您强制降级的域控制器的入站连接的父对象)将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中,请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器对象。

相关文章推荐

【WIN08R2 Active Directory】之一 部署企业中第一台Windows Server 2008 R2域控制器

转自: http://liulike.blog.51cto.com/1355103/299629 前言 对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软...

【WIN08R2 Active Directory】之一 部署企业中第一台Windows Server 2008 R2域控制器

允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://liulike.blog.51cto.com/1355103/299629 前言 对...

无法与域的active directory域控制器连接

解决方法:   将客户机的DNS设为AD的IP 问题:      注意: 此信息主要供网络管理员参考。如果您不是网络的管理员,请通知网络管理员您收到了此信息...
  • kelsel
  • kelsel
  • 2016年10月08日 17:07
  • 2407

Perforce集成Active Directory域控制器登陆设置方法

今天搭了一个Perforce服务器,好像20个人以下的用户是免费的,哈哈,对于人比较少的Team,似乎是个蛮不错的选择。 我在以前公司就用过Perforce,但是都是用的客户端,今天有机会让我也尝试...
  • soulery
  • soulery
  • 2013年11月11日 20:27
  • 1133

模拟鼠标移动程序实现——解决域控制器策略强制电脑锁屏问题

今天分享一个小程序,真的很小,主要解决强制电脑锁屏的问题。

【WIN08R2 Active Directory】之二 部署企业中Windows Server 2008 R2额外域控制器

http://liulike.blog.51cto.com/1355103/315536 通过《部署企业中第一台Windows Server 2008 R2域控制器》(http://liul...

部署额外域控制器,Active Directory系列之四

转载 http://yuelei.blog.51cto.com/202879/117599 部署额外域控制器 在前面的博文中我们介绍了域控制器在进行网络资源分配时的核心作用,而且我们分析了...
  • kkdelta
  • kkdelta
  • 2013年04月07日 13:59
  • 1404

Active Directory(AD)域环境本地测试(外加部分内网渗透命令)

基本概念 活动目录(Active Directory):简单的说,活动目录是实现域环境的一个载体,要想实现一个大型的域环境组织和管理,通过AD可以轻松地实现。AD存储了有关网络对象(object...

域控制器的安装和配置使用

  • 2011年08月13日 15:43
  • 1.36MB
  • 下载

使用Apache Shiro进行身份认证-Active Directory认证

Apache Shiro 支持基于活动目录的用户认证。 其配置文件shiro.ini配置如下: activeDirectoryRealm = org.apache.shiro.realm.acti...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:使用 DCPROMO/FORCEREMOVAL 命令强制将 Active Directory 域控制器降级
举报原因:
原因补充:

(最多只允许输入30个字)