本文介绍了域控制器降级的相关基础知识,如域控制器可能无法通过使用 Active Directory 安装向导(Dcpromo.exe) 正常降级的症状,并给出了原因和解决方案;以及Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器降级的具体步骤。
域控制器降级也就是删除Active Directory 服务的过程,即将域控制器降级为成员服务器或独立服务器。当有新服务器接替域控制器的工作或者网络重新规划的情况下,可能就需要执行此操作。
重要说明:
本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
症状
Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用 Active Directory 安装向导(Dcpromo.exe) 正常降级。
原因
如果所需的相关项或操作失败,可能会出现此现象。这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置等。
解决方案
要解决此问题,请确定阻碍 Windows 2000 或 Windows Server 2003 域控制器正常降级的原因,然后再次尝试使用 Active Directory 安装向导将域控制器降级。
替代方法
如果不能解决此问题,可以使用以下变通方法对域控制器执行强制降级,以保留操作系统及其中任何应用程序的安装。
警告:在使用以下任一变通方法之前,请确保您可以在目录服务还原模式下成功启动。否则,在您强制降级该计算机后,您将无法登录。如果用户忘记了目录服务还原模式的密码,可以通过使用 Winnt\System32 文件夹中的 Setpwd.exe 实用工具来重置密码。在 Windows Server 2003 中,Setpwd.exe 实用工具的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。 有关如何执行此过程的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
Windows 2000 域控制器
1. 在运行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安装 Q332199 修复程序,或者安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制降级。然后重新启动计算机。
2. 单击“开始”,单击“运行”,然后键入以下命令:
dcpromo /forceremoval
3. 单击“确定”。
4. 在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
5. 如果您要删除的计算机是全局编录服务器,请单击消息窗口中的“确定”。
注意:如果您要降级的域控制器是全局编录服务器,请根据需要提升林中或站点中的其他全局编录服务器。
6. 在“删除 Active Directory”页中,确保已清除“这个服务器是域中的最后一个域控制器”复选框,然后单击“下一步”。
7. 在“网络凭据”页中,键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称,然后单击“下一步”。
8. 在“管理员密码”中,键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。
9. 在“摘要”页上,单击“下一步”。
10. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。
如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 支持工具中包含的 Replmon.exe 或 Repadmin.exe 之类的工具可帮助您确定是否发生过端到端复制。Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。
Windows Server 2003 域控制器
1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击“运行”,然后键入以下命令:
dcpromo /forceremoval
2. 单击“确定”。
3. 在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
4. 在“强制删除 Active Directory”页中,单击“下一步”。
5. 在“管理员密码”中,键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。
6. 在“摘要”中,单击“下一步”。
7. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。
如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。
如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表 (ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。
小编提示:
域控制器降级实施时需注意以下事项:
1.如果该域内还有其他域控制器,则该域控制器会被降级会成员服务器。
2.如果该域控制器是域内最后一个域控制器,则该域控制器会被降级会最后一个独立服务器。
3.如果该域控制器还担任了“全局编录”,则在实施降级操作之前,请先确认网络中还有其他“全局编录”,否则,将影响用户的登录操作。