如果無法解決這個問題,您可以使用下列方式,強制降級網域控制站,以保存作業系統的完整以及所安裝的應用程式。
警告 請先確定您能成功啟動「目錄服務還原」模式,再嘗試下列方式,否則,在強制降級電腦之後,您將無法登入。如果您忘記「目錄服務還原」模式的密碼,可以使用 Winnt\System32 資料夾下的 Setpwd.exe 公用程式,重設密碼。在 Windows Server 2003 中,Setpwd.exe 公用程式的功能已經整合至 NTDSUTIL 工具的 Set DSRM Password 命令中。 如需有關如何執行這項程序的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
在移除 Active Directory 電腦上的資源存取控制項 (ACE),如果是以網域本機群組為基礎,這些權限必須重新設定,因為成員或獨立伺服器無法使用這些群組。如果您計畫在電腦上安裝 Active Directory,使其成為原本網域中的網域控制站,便無需再設定存取控制清單 (ACL)。如果您要將電腦當成是成員或獨立伺服器,任何以網域本機群組為基準的權限都必須轉譯或替換。 如需有關從網域控制站中移除 Active Directory 後權限會受到何種影響的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
警告 請先確定您能成功啟動「目錄服務還原」模式,再嘗試下列方式,否則,在強制降級電腦之後,您將無法登入。如果您忘記「目錄服務還原」模式的密碼,可以使用 Winnt\System32 資料夾下的 Setpwd.exe 公用程式,重設密碼。在 Windows Server 2003 中,Setpwd.exe 公用程式的功能已經整合至 NTDSUTIL 工具的 Set DSRM Password 命令中。 如需有關如何執行這項程序的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
271641 (http://support.microsoft.com/kb/271641/ ) Configure Your Server Wizard sets a blank recovery mode password
回此頁最上方Windows 2000 網域控制站
- 請在執行 Service Pack 2 (SP2) 或更新版本的 Windows 2000 網域控制站上安裝 Q332199 Hotfix,或安裝 Windows 2000 Service Pack 4 (SP4)。SP2 與更新版本都支援強制降級。重新啟動電腦。
- 按一下 [開始],再按 [執行],然後輸入下列命令:dcpromo /forceremoval
- 按一下 [確定]。
- 在 [歡迎使用 Active Directory 安裝精靈] 頁面上,按一下 [下一步]。
- 如果您要移除的電腦為通用類別目錄伺服器,請按一下訊息視窗中的 [確定]。
注意 如果您要降級的網域控制站為通用類別目錄伺服器,請將樹系或站台中的其他通用類別目錄升級。 - 在 [移除 Active Directory] 頁面中,確認清除 [這台伺服器是網域中最後一個網域控制站] 選取方塊,然後按一下 [下一步]。
- 在 [網路認證] 頁面中,替樹系內企業系統管理員認證的使用者帳戶,輸入名稱、密碼以及網域名稱,再按 [下一步]。
- 在 [系統管理員密碼] 中,輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼,重複確認密碼後,再按 [下一步]。
- 在 [摘要] 頁面上按一下 [下一步]。
- 在樹系中其餘的網域控制站上,針對降級的網域控制站清除中繼資料。
Windows Server 2003 網域控制站
- 根據預設,Windows Server 2003 網域控制站支援強制降級。按一下 [開始],再按 [執行],然後輸入下列命令:dcpromo /forceremoval
- 按一下 [確定]。
- 在 [歡迎使用 Active Directory 安裝精靈] 頁面上,按一下 [下一步]。
- 在 [強制移除 Active Directory] 頁面上按一下 [下一步]。
- 在 [系統管理員密碼] 中,輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼,重複確認密碼後,再按 [下一步]。
- 在 [摘要] 上按一下 [下一步]。
- 在樹系中其餘的網域控制站上,針對降級的網域控制站清除中繼資料。
在移除 Active Directory 電腦上的資源存取控制項 (ACE),如果是以網域本機群組為基礎,這些權限必須重新設定,因為成員或獨立伺服器無法使用這些群組。如果您計畫在電腦上安裝 Active Directory,使其成為原本網域中的網域控制站,便無需再設定存取控制清單 (ACL)。如果您要將電腦當成是成員或獨立伺服器,任何以網域本機群組為基準的權限都必須轉譯或替換。 如需有關從網域控制站中移除 Active Directory 後權限會受到何種影響的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
320230 (http://support.microsoft.com/kb/320230/ ) Permissions Are Affected After You Demote a Domain Controller
Windows Server 2003 Service Pack 1 增強功能
Windows Server 2003 SP1 增強了 dcpromo /forceremoval 程序的功能。dcpromo /forceremoval 在執行時會進行檢查,以判斷網域控制站是否擔任操作主機角色,是不是「網域名稱系統」(DNS) 伺服器或通用類別目錄伺服器。針對這每一種角色,系統管理員會各收到一個快顯警告,提醒系統管理員採取適當的措施。狀況說明Microsoft 已經針對執行 Windows 2000 或 Windows Server 2003 的網域控制站進行測試,確認可以提供強制降級的支援。...
Microsoft 已經針對執行 Windows 2000 或 Windows Server 2003 的網域控制站進行測試,確認可以提供強制降級的支援。
其他相關資訊Active Directory 安裝精靈可以在 Windows 2000 及 Windows Server 2003 的電腦上,建立 Active Dire...
Active Directory 安裝精靈可以在 Windows 2000 及 Windows Server 2003 的電腦上,建立 Active Directory 網域控制站。Active Directory 安裝精靈執行的作業,包括安裝新服務、變更現行服務的啟動值,以及轉換至 Active Directory,成為安全性及驗證的領域。執行強制降級之後,網域系統管理員無需透過聯絡的方式,或將本機所做的變更,複寫到樹系中的另一個網域控制站,即可強制移除 Active Directory 並回復本機上的系統變更。
由於強制降級會導致任何本機所做的變更遺失,因此不管是在實際生產網域或是測試網域,如非必要,請不要使用這個方法。如果連線、名稱解析、驗證或複寫引擎 相依性的問題無法解決,使您必須採取降級的措施時,便可以強制降級網域控制站。可以強制降級的情形包括下列各項:
- 在您試著要降級立即子網域中最後一個網域控制站時,合作網域內沒有網域控制站可以使用。
- 針對問題進行仔細的疑難排解後,仍有名稱解析、驗證、複寫引擎,或 Active Directory 物件相依性的問題無法解決,導致 Active Directory 安裝精靈無法完成。
- 在 Tombstone 存留時間 (預設的 Tombstone 存留時間為 60 天) 內,網域控制站尚未複寫一或多個命名內容的傳入 Active Directory 變更。
重要 除非是修復特定網域的唯一方法,否則請勿修復這類的網域控制站。 - 網域控制站必須立即開始使用,因此在時間上不允許進行更仔細的疑難排解程序。
如果您強制降級網域控制站,在強制降級的網域控制站中 Active Directory 內的特殊變更就會消失不見,包括在執行 dcpromo /forceremoval 命令前尚未複寫的增加項目、刪除項目,或是使用者、電腦、群組、信任關係、「群組原則」或 Active Directory 設定等項目的修改。此外,這些物件的任何屬性變更,像是使用者或電腦的密碼、信任關係及群組成員關係,也會消失不見。
然而,如果您強制降級網域控制站,就等於將作業系統回復成網域中最後一個網域控制站成功降級的狀態 (服務啟動值、安裝的服務、在帳戶資料庫中使用以登錄檔為基礎的 SAM、電腦為工作群組的成員)。降級的網域控制器上安裝的程式不會受到影響。
系統事件日誌會透過事件識別碼 29234,識別強制降級的 Windows 2000 網域控制站 (以及 dcpromo /forceremoval 作業的例項),例如:
事件類型:警告
事件來源:lsasrv
事件類別目錄:無
事件識別碼:29234
日期:MM/DD/YYYY
時間:上午|下午 HH:MM:SS
使用者:N/A
電腦:computername 描述:伺服器被強制降級,再也不是網域控制站。
事件類型:警告
事件來源:lsasrv
事件類別目錄:無
事件識別碼:29239
日期:MM/DD/YYYY
時間:上午|下午 HH:MM:SS
使用者:N/A
電腦:computername 描述:伺服器被強制降級,再也不是網域控制站。
216498 (http://support.microsoft.com/kb/216498/ ) HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
在強制降級網域控制站後,請視情況執行下列操作: - 從網域移除電腦帳號。
- 確認 DNS 記錄都完整移除 (例如 A、CNAME 和 SRV 記錄),如發現這些記錄,請移除。
- 確認 FRS 成員物件 (FRS 及 DFS) 都完整移除,如發現這些成員,請移除。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:296183 (http://support.microsoft.com/kb/296183/ ) Overview of Active Directory Objects That Are Used by FRS
- 如果降級的電腦為任何安全性群組的成員,請從這些群組中移除。
- 移除降級伺服器的任何 DFS 參考,例如連結或根複寫。
- 剩下的網域控制站,必須取回之前由強制降級網域控制站所擔任的操作主機角色 (也就是彈性單一主機操作,縮寫為 FSMO)。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:255504 (http://support.microsoft.com/kb/255504/ ) 使用 Ntdsutil.exe 抓取或傳輸 FSMO 角色到網域控制站
- 如果要降級的網域控制站為 DNS 伺服器或通用類別目錄伺服器,您必須建立新的 GC 或 DNS 伺服器,以滿足樹系中的載入平衡、容錯度及設定等需求。
- 在使用 NTDSUTIL 中的 remove selected server 命令時,會移除 NTDSDSA 物件 (連入連線的父物件,此連入連線是指與要強制移除的網域控制站之間的連線)。這個命令不會移除「站台及服務」嵌入式管理單元中出現的父伺服器物件。如果網域控制站不會以相同的電腦名稱升級至樹系中,請使用「 Active Directory 站台及服務 MMC」嵌入式管理單元移除伺服器物件。
沒有留言:
張貼留言