本文介绍在域控制器降级失败后,如何删除Acti ve Directory 中的数据。
警告:如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端,并且不恰当地修改了Active Directory 对象的属性,则可能造成严重问题。要解决这些问题,您可能需要重新安装Microsoft Windows 2000 Server、Mi crosoft Windows Server 2003、Mi crosoft Exchange 2000 Server 或Microsoft Ex change Server 2003,或者 Windows 和Ex change 二者都需要重新安装。Microsoft 不保证能够解决因为Acti ve Directory 对象属性修改不当而导致的问题。修改这些属性需要您自担风险。
Active Directory 安装向导 (Dcprom o.exe) 用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。作为降级过程的一部分,此向导会将该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“N TDS 设置”对象,在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。
此信息位于 Active Directory 的下列位置:
CN=NTDS
Settings,CN=
“NTDS 设置”对象的属性包括:代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器,以及默认查询策略。“N TDS 设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。
如果“N TDS 设置”对象未正确删除(例如,如果在降级尝试中错误地删除“NTDS 设置”对象),则管理员可以手动删除服务器对象的元数据。在Windows Server 2008 和 Windows Server 2008 R2 中,管理员可以通过删除 Active Directory 用户和计算机管理单元中的服务器对象,删除服务器对象的元数据。
在Windows Server 2003 和 Windows 2000 Server 中,管理员可以使用Ntdsutil.exe 实用工具手动删除“N TDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个Ntdsutil 菜单上,管理员键入help可以获取有关可用选项的详细信息。
回到顶端
Windows Server 2003 Service Pack 1 (SP1) 或更高版本的 Service Pack – Ntdsutil.exe 的增强版本
包含在Windows Server 2003 的 Servi ce Pack 1 或更高版本 Service Pack 中的Ntdsutil.exe 版本已经得到增强,可完成元数据清除过程。在运行元数据清除时,SP1 或更高版本Servi ce Pack 中包含的N tdsutil.exe 版本将执行下列操作:
?删除“N TDSA 设置”或“N TDS 设置”主题。
?删除现有目标DC 用于从要删除的源DC 复制数据的入站AD 连接对象。
?删除计算机帐户。
?删除 FRS 成员对象。
?删除 FRS 订阅者对象。
?尝试获取由要删除的DC 所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSMO)。
警告:在手动删除任何服务器的“NTD S 设置”对象之前,管理员还必须确保在降级之后已进行了复制。错误使用Ntdsutil 实用工具可能导致Active Directory 功能的部分或全部丧失。
回到顶端
过程 1:仅Windows Server 2003 SP1 或更高版本Service Pack
1.单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
2.在命令提示符处,键入ntdsutil,然后按Enter。
3.键入metadata cleanup,然后按Enter。根据所给出的选项,管理员可以执行删
除操作,但在实施删除之前还必须指定另外一些配置参数。
4.键入connections,然后按Enter。此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。为此,
请键入set creds DomainNameUserNamePassword,然后按Enter。如果
密码为空,则键入null作为密码参数。
5.键入connect to server servername,然后按Enter。然后出现一条确认消息,
说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及
您提供的凭据对该服务器是否有管理权限。
注意:如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15 提到的服
务器时,将显示以下错误消息:
错误2094。不能删除DSA 对象。0x2094
6.键入quit,然后按Enter。将出现“清除元数据”菜单。
7.键入select operation target,然后按Enter。
8.键入list domains,然后按Enter。将显示一个列出目录林中所有域的列表,每一个
域都有一个关联的编号。
9.键入select domain number,然后按Enter;其中number是与要删除的服务
器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
10.键入list sites,然后按Enter。将出现一个站点列表,其中每个站点都带有一个关联
的编号。
11.键入select site number,然后按Enter;其中number是与要删除的服务器所
属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。
12.键入list servers in site,然后按Enter。将显示一个列出站点中所有服务器的列表,
每个服务器都有一个关联的编号。
13.键入select server number,其中number是与要删除的服务器关联的编号。将
出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。
14.键入quit,然后按Enter。将出现“清除元数据”菜单。
15.键入remove selected server,然后按Enter。将出现一条确认消息,说明删除
成功完成。如果出现以下错误消息,则说明“N TDS 设置”对象可能已从Active
Directory 中删除,原因可能是其他管理员删除了该“N TDS 设置”对象,或者在运行DCPROMO 实用工具成功删除该对象后又执行了一次此操作。
错误8419 (0x20E3)
找不到DSA 对象
注意:当您尝试绑定到要删除的域控制器时,也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。
16.键入quit,然后在每个菜单上按Enter,退出Ntdsutil 实用工具。将出现一条确认
消息,说明连接已成功断开。
17.在DNS 的_m sdcs. 目录林的根域区域中删除 cnam e 记录。假定要重新安装并重新
提升DC,将创建一个新的“NTDS 设置”对象,它将具有新的GUID 并在DNS 中拥有一个匹配的 cnam e 记录。如果不希望现有DC 使用旧的 cnam e 记录。
最佳做法是删除主机名和其他DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议(DHCP) 地址上所剩的租用时间,另一个客户端即可获得问题DC 的IP 地址。
18.在DNS 控制台中,使用DNS MMC 删除DNS 中的 A 记录。A 记录也称为“主机”
记录。若要删除A 记录,请右键单击 A 记录,然后单击“删除”。另外,请删除_m sdcs 容器中的 cnam e 记录。为此,请展开“_m sdcs”容器,右键单击“cnam e”,然后单击“删除”。
重要说明:如果这是DNS 服务器,请在“名称服务器”选项卡下删除对该DC 的引用。
为此,在DNS 控制台中,在“正向查找区域”下单击该域名,然后从“名称服务器”选项
卡中删除该服务器。
注意:如果有反向查找区域,也要将服务器从这些区域中删除。
19.如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用
ADSIEdit 删除该子域的 trustDom ain 对象。为此,请按照下列步骤操作:
a.单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
b.展开“域NC”容器。
c.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。
d.展开“CN=System”。
e.右键单击“Trust Dom ain”对象,然后单击“删除”。
20.使用“Active Directory 站点和服务”删除域控制器。为此,请按照下列步骤操作:
.启动“Active Directory 站点和服务”。
a.展开“站点”。
b.展开服务器的站点。默认站点为“Defaul t-First-Site-Nam e”。
c.展开“服务器”。
d.右键单击域控制器,然后单击“删除”。
21.当您在Windows Server 2008 和更高版本中使用DFS 复制时,N tdsutil.exe 的当
前版本不会清理DFS 复制对象。在这种情况下,您可以使用Adsiedi t.m sc 手动为
Active Directory 域服务(AD DS) 更正DFS 复制对象。若要进行此操作,请执行以
下步骤:
.在受影响的域中,以域管理员身份登录域控制器。
a.启动 Adsiedit.m sc。
b.连接到默认命名上下文。
c.找到下面的DFS 复制拓扑容器:
CN=Topology、CN=Dom ain System Volum e、
CN=DFSR-Globalsettings、CN=System、DC=Your Dom ain、
DC=Dom ain Suffix
d.删除具有旧计算机名称的msD FSR-Member CN 对象。
回到顶端
过程 2:Windows 2000(所有版本)、Windows Server 2003 RTM
1.单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
2.在命令提示符处,键入ntdsutil,然后按Enter。
3.键入metadata cleanup,然后按Enter。根据所给出的选项,管理员可以执行删
除操作,但在实施删除之前还必须指定另外一些配置参数。
4.键入connections,然后按Enter。此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,则可以在建立连接之前指定要使用的替代凭据。为此,请键入set creds DomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
5.键入connect to server servername,然后按Enter。然后出现一条确认消息,
说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15 提到的服务器时,将显示以下错误消息:
错误2094。不能删除DSA 对象。0x2094
6.键入quit,然后按Enter。将出现“清除元数据”菜单。
7.键入select operation target,然后按Enter。
8.键入list domains,然后按Enter。将显示一个列出目录林中所有域的列表,每一个
域都有一个关联的编号。
9.键入select domain number,然后按Enter;其中number是与要删除的服务
器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
10.键入list sites,然后按Enter。将显示一个站点列表,每个站点都有一个关联的编号。
11.键入select site number,然后按Enter;其中number是与要删除的服务器所
属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。
12.键入list servers in site,然后按Enter。将显示一个列出站点中所有服务器的列表,
每个服务器都有一个关联的编号。
13.键入select server number,其中number是与要删除的服务器关联的编号。将
出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。
14.键入quit,然后按Enter。将出现“清除元数据”菜单。
15.键入remove selected server,然后按Enter。将出现一条确认消息,说明删除
成功完成。如果出现以下错误消息:
错误8419 (0x20E3)
找不到DSA 对象
则说明“N TDS 设置”对象可能已从Active Directory 中删除,原因可能是其他管理员删除了该“N TDS 设置”对象,或者在运行Dcprom o 实用工具成功删除该对象后又执
行了一次此操作。
注意:当您尝试绑定到要删除的域控制器时,也可能会出现此错误。Ntdsutil 绑定到的
域控制器不能是要通过清除元数据来删除的域控制器。
16.在每个菜单中键入quit,退出N tdsutil 实用工具。将出现一条确认消息,说明连接已
成功断开。
17.在DNS 的_m sdcs.目录林的根域区域中删除 cnam e 记录。假定要重新安装并重新
提升DC,则如果使用新GUID 和DNS 中匹配的 cnam e 记录创建一个新“N TDS
设置”对象。您不希望现有DC 使用旧的 cnam e 记录。
最佳做法是删除主机名和其他DNS 记录。如果已超出为脱机服务器分配的动态主机配
置协议(DHCP) 地址上所剩的租用时间,另一个客户端即可获得问题DC 的IP 地
址。
既然“N TDS 设置”对象已删除,因此可以删除计算机帐户、FRS 成员对象、_m sdcs 容器中的cnam e(或别名)记录、DNS 中的A(或主机)记录、已删除的子域的 trustDom ain 对象以及域控制器。
注意:在Windows Server 2003 RTM 中不需要手动删除 FRS 成员对象,因为在您运行Ntdsutil.exe 实用工具时,它已经删除了 FRS 成员对象。另外,如果DC 的计算机帐户包含其他页对象,则无法删除该计算机帐户的元数据。例如,DC 上可能安装了远程安装服务(RIS)。
Windows 2000 Server 和Windows Server 2003 的Windows 支持工具功能中都附带有Adsiedit 实用工具。要安装 Windows 支持工具,请按照下列步骤操作:
?Windows 2000 Server:在 Windows 2000 Server CD 上,打开Support\Tools 文件夹,双击“Setup.exe”,然后按照屏幕上的说明操作。
?Windows Server 2003:在 Windows Server 2003 CD 上,打开Support\Tools 文件夹,双击“Suptools.m si”,单击“安装”,然后按照 Windows 支持工具安装向导中
的步骤操作以完成安装。
1.使用 ADSIEdit 删除计算机帐户。为此,请按照下列步骤操作:
a.单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
b.展开“域NC”容器。
c.展开“DC=您的域名, DC=COM, PRI, LOCAL, NET”。
d.展开“OU=Dom ain Controllers”。
e.右键单击“CN=域控制器名”,然后单击“删除”。
如果在试图删除DSA 对象时出现“不能删除DSA 对象”错误消息,请更改
UserAccountControl 值。要更改UserAccountControl值,请在 ADSIEdit 中右键单击该域控制器,然后单击“属性”。在“选择一个要查看的属性”下,单击
“UserAccountControl”。单击“清除”,将该值更改为4096,然后单击“设置”。现在您可以删除该对象了。
注意:删除计算机对象时,也将删除 FRS 订阅者对象,因为它是计算机帐户的子对象。
2.使用 ADSIEdit 删除 FRS 成员对象。为此,请按照下列步骤操作:
.单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
a.展开“域NC”容器。
b.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。
c.展开“CN=System”。
d.展开“CN=File Replication Servi ce”。
e.展开“CN=Dom ain System Volum e (SYSVOL share)”。
f.右键单击要删除的域控制器,然后单击“删除”。
3.在DNS 控制台中,使用DNS MMC 删除DNS 中的 A 记录。A 记录也称为“主机”
记录。若要删除A 记录,请右键单击 A 记录,然后单击“删除”。还要删除“_m sdcs”
容器中的 cnam e(也称为“别名”)记录。为此,请展开“_m sdcs”容器,右键单击
cnam e,然后单击“删除”。
重要说明:如果这是一台DNS 服务器,请在“名称服务器”选项卡中删除对该DC 的引用。为此,在DNS 控制台中,在“正向查找区域”下右键单击该域名,单击“属性”,然后从“名称服务器”选项卡中删除该服务器。
注意:如果有反向查找区域,也要将服务器从这些区域中删除。
4.如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,则使用
ADSIEdit 删除该子域的 trustDom ain 对象。为此,请按照下列步骤操作: .单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
a.展开“域NC”容器。
b.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。
c.展开“CN=System”。
d.右键单击“Trust Dom ain”对象,然后单击“删除”。
5.使用“Active Directory 站点和服务”删除域控制器。为此,请按照下列步骤操作: .启动“Active Directory 站点和服务”。
a.展开“站点”。
b.展开服务器的站点。默认站点为Default-First-Site-Name。
c.展开“服务器”。
d.右键单击域控制器,然后单击“删除”。
Ntdsutil.exe SP1 或更高版本的高级可选语法
Windows Server 2003 SP1 引入了新的可用语法。通过使用新语法,不再需要绑定到DS 以及选择操作目标。要使用新语法,您必须知道或获取要降级的服务器的“N TDS 设置”对象的DN。
若要为元数据清除使用新的语法,请按照下列步骤操作:
1.运行ntdsutil。
2.切换到清除元数据提示符。
3.运行以下命令,
remove selected server <配置容器中的服务器对象的 DN>
下面给出了此命令的一个示例。
注意:下面的示例仅为一行,只是此处已经过换行。
Remove selected server
cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuratio
n,dc=
4.在DNS 的_m sdcs.<目录林的根域>区域中删除 cnam e 记录。假定要重新安装并
重新提升DC,将使用新GUID 和DNS 中匹配的 cnam e 记录创建一个新“N TDS
设置”对象。您不希望现有DC 使用旧 cnam e 记录。
最佳做法是删除主机名和其他DNS 记录。如果已超出为脱机服务器分配的动态主机配
置协议(DHCP) 地址上所剩的租用时间,另一个客户端即可获得问题DC 的IP 地
址。
5.如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用
ADSIEdit 删除该子域的 trustDom ain 对象。为此,请按照下列步骤操作:
a.单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
b.展开“域NC”容器。
c.展开“DC=您的域名, D C=COM, PRI, LOCAL, NET”。
d.展开“CN=System”。
e.右键单击“Trust Dom ain”对象,然后单击“删除”。
6.使用“Active Directory 站点和服务”删除域控制器。为此,请按照下列步骤操作: .启动“Active Directory 站点和服务”。
a.展开“站点”。
b.展开服务器的站点。默认站点为Default-First-Site-Name。
c.展开“服务器”。
d.右键单击域控制器,然后单击“删除”。
当您使用Ntdsutil 命令行工具尝试删除已从您的网络中删除的域控制器的元数据时,您可能会收到以下错误消息:
DsRem oveDsDom ainW 错误0x2015 (目录服务可以执行所请求的操作只能在叶对象上)。回到顶端
原因
可能会发生此问题时,应用程序分区命名上下文(DC = Dom ainDnsZones)为子域不会被删除Active Directory 域控制器中移除时。
回到顶端
解决方案
若要解决此问题,请按照下列步骤操作:
1.单击开始,单击运行,键入ntdsutil,然后按EN TER 键。
2.在此N tdsutil 命令键入域管理,然后按EN TER 键。
3.键入连接,然后按EN TER 键。
4.键入连接到服务器Domain_Controller_Name,然后按EN TER 键。
5.将显示以下消息后,键入退出,然后按ENTER 键:
连接到Domain_Controller_Name使用本地登录的用户的凭据
6.域管理提示符,键入列表,然后按EN TER 键。
7.请注意以下项:
DC = Dom ainDnsZones,DC =Child_Domain,DC =extension
例如对于如果子域是https://www.doczj.com/doc/a49516278.html,,请注意以下项:
DC = Dom ainDnsZones,DC = contoso,DC = com
8.键入下面的命令,然后按EN TER 键。
删除 nc dc = domaindnszones,dc = Child_Domain,dc = extension
注意在此命令Child_Domain表示要删除的子域的名称。例如对于如果子域是
https://www.doczj.com/doc/a49516278.html,,键入下面的命令,然后按EN TER 键:
删除 nc dc = domaindnszones,dc = contoso,dc = com
9.请退出Ntdsutil。
在Windows Server 2003 和Windows 2000 Server 中使用Active Directory 安装向导强制降级时,域控制器无法正常降级
查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:
256986Microsoft Windows 注册表说明
本页
?症状
?原因
?解决方案
?替代方法
o Windows 2000 域控制器
o Windows Server 2003 域控制器
o Windows Server 2003 Servi ce Pack 1 增强功能
?状态
?更多信息
展开全部 | 关闭全部
症状
Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用Active Directory 安装向导(Dcprom o.exe) 正常降级。
回到顶端
原因
如果所需的相关项或操作失败,可能会出现此现象。这包括网络连接、名称解析、身份验证、Acti ve Directory 目录服务复制或 Active Directory 中关键对象的位置等。
回到顶端
解决方案
要解决此问题,请确定阻碍Windows 2000 或Windows Server 2003 域控制器正常降级的原因,然后再次尝试使用Active Directory 安装向导将域控制器降级。
回到顶端
替代方法
如果不能解决此问题,可以使用以下变通方法对域控制器执行强制降级,以保留操作系统及其中任何应用程序的安装。
警告:在使用以下任一变通方法之前,请确保您可以在目录服务还原模式下成功启动。否则,在您强制降级该计算机后,您将无法登录。如果用户忘记了目录服务还原模式的密码,可以通过使用Winnt\System32 文件夹中的 Setpwd.exe 实用工具来重置密码。在Windows Server 2003 中,Setpwd.exe 实用工具的功能已被集成到N TDSUTIL 工具的Set DSRM Password命令中。有关如何执行此过程的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:
271641“配置您的服务器向导”将恢复模式密码设为空白
回到顶端
Windows 2000 域控制器
1.在运行Service Pack 2 (SP2) 或更高版本的Windows 2000 域控制器上安装
Q332199 修复程序,或者安装Windows 2000 Servi ce Pack 4 (SP4)。SP2 及更
高版本都支持强制降级。然后重新启动计算机。
2.单击“开始”,单击“运行”,然后键入以下命令:
dcpromo /forceremoval
3.单击“确定”。
4.在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
5.如果您要删除的计算机是全局编录服务器,请单击消息窗口中的“确定”。
注意:如果您要降级的域控制器是全局编录服务器,请根据需要提升林中或站点中的其
他全局编录服务器。
6.在“删除Active Directory”页中,确保已清除“这个服务器是域中的最后一个域控制器”
复选框,然后单击“下一步”。
7.在“网络凭据”页中,键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称,
然后单击“下一步”。
8.在“管理员密码”中,键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码,
然后单击“下一步”。
9.在“摘要”页上,单击“下一步”。
10.在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。
如果您通过使用Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 支持工具中包含的Replm on.exe 或Repadm in.exe 之类的工具可帮助您确定是否发生过端到端复制。Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。
回到顶端
Windows Server 2003 域控制器
1.Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击
“运行”,然后键入以下命令:
dcpromo /forceremoval
2.单击“确定”。
3.在“欢迎使用 Active Directory 安装向导”页中,单击“下一步”。
4.在“强制删除Active Directory”页中,单击“下一步”。
5.在“管理员密码”中,键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码,
然后单击“下一步”。
6.在“摘要”中,单击“下一步”。
7.在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。
如果您通过使用Ntdsutil 中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。
如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表(ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。有关从域控制器中删除 Active Directory 后对权限有何影响的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:
320230域控制器降级后权限受到影响
回到顶端
Windows Server 2003 Service Pack 1 增强功能
Windows Server 2003 SP1 增强了dcpromo /forceremoval进程。执行dcpromo /forceremoval时,进行检查以确定域控制器所承载的操作主机角色是域名系统(DNS) 服务器,还是全局编录服务器。对于每个角色,管理员都会收到一条弹出警告,建议他采取适当的操作。回到顶端
状态
Microsoft 已对运行 Windows 2000 或 Windows Server 2003 的域控制器进行了测试,并且支持对这些域控制器执行强制降级。
回到顶端
更多信息
Active Directory 安装向导会在基于 Windows 2000 的计算机和基于Windows Server 2003 的计算机上创建Active Directory 域控制器。Active Directory 安装向导所执行的操作包括安装新服务、更改现有服务的启动值以及将 Active Directory 转换为安全和身份验证领域。
通过强制降级,域管理员可以强制删除Active Directory 并回滚本地保存的系统更改,而无须与林中的其他域控制器进行联系或者将本地保存的更改复制到林中的其他域控制器。
由于强制降级会导致任何本地保存的更改丢失,如非绝对必要,请勿在生产域或测试域中使用强制降级。当无法解决连接、名称解析、身份验证或复制引擎相关项以致于无法执行正常降级时,您可以将域控制器强制降级。强制降级的有效方案包括:
?当您尝试将直接子域中的最后一个域控制器降级时,父域中当前没有可用的域控制器。
?由于在执行详细的疑难解答后存在无法解决的名称解析、身份验证、复制引擎或Acti ve Directory 对象相关项,因此Active Directory 安装向导无法完成。
?在 Tom bstone 存留天数(默认的 Tom bstone 存留时间为60 天)内,域控制器尚未为一个或多个命名上下文复制入站Active Directory 更改。
重要说明:请不要恢复这类域控制器,除非它们是恢复特定域的唯一选择。
由于您必须立即将域控制器投入使用,因此没有足够的时间进行更详细的疑难解答。
强制降级在实验和教学环境中可能非常有用,在这些环境中您可以删除现有域中的域控制器,却不必按顺序将每个域控制器降级。
如果您强制进行域控制器降级,将丢失您正在强制降级的域控制器的Acti ve Directory 中所驻留的任何唯一的更改。这包括在运行dcpromo /forceremoval命令之前尚未复制的对用户、计算机、组、信任关系以及组策略或 Active Directory 配置所做的添加、删除或修改操作。此外,您还将丢失对这些对象的任一属性(如用户密码、计算机、信任关系以及组成员资格)所做的更改。
但是,如果您将域控制器强制降级,您会将操作系统恢复到与域中的最后一个域控制器成功降级时相同的状态(包括服务启动值和已安装的服务,还包括对帐户数据库使用基于注册表的SAM 以及计算机是工作组的成员等方面)。降级的域控制器中安装的程序仍将继续保持已安装状态。
系统事件日志会以事件ID 29234 标识出强制降级的 Windows 2000 域控制器以及dcpromo /forceremoval操作的实例。例如:
类型:警告
来源:lsasrv
类别:无
事件ID: 29234
日期:MM/DD/YYYY
时间:HH:MM:SS AM|PM
用户:N/A
计算机:Computername描述:此服务器被强制降级。它不再是一个域控制器。
系统事件日志以事件ID 29239 标识出强制降级的Windows Server 2003 域控制器。例如:
类型:警告
来源:lsasrv
类别:无
事件ID: 29239
日期:MM/DD/YYYY
时间:HH:MM:SS AM|PM
用户:N/A
计算机:Computername描述:此服务器被强制降级。它不再是一个域控制器。
在您使用dcpromo /forceremoval命令后,在继续存在的域控制器上不会删除被降级的计算机的元数据。有关更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:216498域控制器降级失败后如何删除Acti ve Directory 中的数据
将域控制器强制降级后,您必须完成以下任务(如果适用):
1.从域中删除计算机帐户。
2.验证DNS 记录(例如 A 记录、CNAME 记录和SRV 记录)是否已删除;如果它们
仍然存在,则将它们删除。
3.验证 FRS 成员对象(FRS 和DFS)是否已删除;如果它们仍然存在,则将它们删除。
有关更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:
296183 FRS 使用的 Active Directory 对象概述
4.如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。
5.删除对被降级的服务器的任何DFS 引用(例如,链接或根副本)。
6.继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色
(也称为灵活的单主机操作或 FSMO)。有关更多信息,请单击下面的文章编号,以
查看 Microsoft 知识库中相应的文章:
255504使用N tdsutil.exe 占用 FSMO 角色或将其转移到域控制器
7.如果您要降级的域控制器是DNS 服务器或全局编录服务器,则必须创建一个新的GC
或DNS 服务器,以满足林中的负载平衡、容错和配置设置。
8.当您使用N TDSUTIL 中的删除选定服务器命令时,N TDSDSA 对象(该对象是到您强
制降级的域控制器的入站连接的父对象)将被删除。该命令不会删除“站点和服务”管理
单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中,请使
用“Active Directory 站点和服务”MMC 管理单元删除该服务器对象。
主域控挂掉后的方法.txt婚姻是键盘,太多秩序和规则;爱情是鼠标,一点就通。男人自比主机,内存最重要;女人好似显示器,一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/a49516278.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
需要注意的域控制器五种错误操作 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是笔者在这儿要建议大家一个字:等!除了PDC仿真器这个角色以外,其它角
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
添加新域控后,手动删除旧主域控制器 如何手动删除/清除遗留的DC?我有一个DC,由于硬件损坏导致系统无法正常使用,DC的名字为DC02。 我重新安装了一台新的DC,取名为DC03。 我的问题是: 1 当类似有DC损坏,我重新安装新的DC时,是否可以将新的DC取名为DC02,这样会有问题么? 2 如果向我上面那些安装新的DC03,原有的DC02的信息还在AD的数据库中,因为DC02已经无法降级,我该如何正确的将DC02从AD中清除掉 回答:根据您的描述,我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验,针对我们现在所遇到的情况,我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02,则在提升域控操作之前,我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法,我们可以参照 (KB216498)https://www.doczj.com/doc/a49516278.html,/kb/216498/zh-cn 1. 单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。 2. 在命令提示符处,键入 ntdsutil,然后按 Enter。 3. 键入 metadata cleanup,然后按 Enter。根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4. 键入 connections,然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。为此,请键入 set credsDomainNameUserNamePassword,然后按 Enter。如果密码为空,则键入 null 作为密码参数。 5. 键入 connect to server servername,然后按 Enter。然后出现一条确认消息,说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit,然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target,然后按 Enter。 8. 键入 list domains,然后按 Enter。将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。 9. 键入 select domain number,然后按 Enter;其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites,然后按 Enter。将出现一个站点列表,其中每个站点都带有一个关联的编号。 11. 键入 select site number,然后按 Enter;其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。 12. 键入 list servers in site,然后按 Enter。将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。 13. 键入 select server number,其中 number 是与要删除的服务器关联的编号。将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除
Windows域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中,右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中,键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”。 5. 单击其中要改的选项卡,然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中,右键单击“Active Directory 架构”,然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中,右键单击“Active Directory 架构”,然后单击“操作主机”。
如前面一片文章所提到的。比较麻烦的是,Exchange 2003的邮件服务器是安装在主域控制器上的,所以,主域控制器也被干掉了。 型号,做文件服务器的那台服务器也是域控制器,就要将这台文件服务器,升级到主域控制器了。 如果你没有执行过这样的动作,会觉得这是个很麻烦的事情。当我们操作过之后,你就会发现,其实这个不难。 首先,我们执行【netdom query fsmo】命令,来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.doczj.com/doc/a49516278.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样,我们这台域控制器,就成为了主域了。 最后,我们还要将这台服务器成为全局编目服务器。方法如下: 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目,把空格勾上就好 本文转自☆★黑白前线★☆- https://www.doczj.com/doc/a49516278.html, 转载请注明出处,侵权必究! 原文链接:https://www.doczj.com/doc/a49516278.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]
Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/a49516278.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的,目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机 默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析
win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下: 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2003 Enterprise Edition SP1 提供服务: Domain Control、DNS 完成升级后,增加 Server2008为域控制器 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2008 R2 enterprise 提供服务: Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中
3、对Forest(林)、 Domian(域)和RODC(域控制器)进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具,该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下,复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意:扩展操作在DC2003(域控制器)上进行操作。 开始-运行-CMD,进入D分区的ADPREP目录输入 adprep /forestprep 根据提示,选择”C “,并按下 Enter键继续。(林拓展)
管好域控制器对于一个网络管理员来说,是专业性的技术体现。笔者通过多年经验,以及论坛上朋友们的种种方案,总结了域控制器的常见五种错误操作,希望能够与广大技术爱好者共享。 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。所以,笔者认为“预防永远大于急救”。笔者的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,没有发生过任何软件问题。毕竟,对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。
简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。 说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤: 步骤1.备份DC的安装
(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常 (5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server https://www.doczj.com/doc/a49516278.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize
主域控制器的迁移 现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。 目的:将主域控制器迁移到新的服务器6850上 步骤:1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作: (1)运行dcpromo命令 (3)弹出Active Directory安装向导,点“下一步” (4)这里以默认,点“下一步”
(5)选“现有域的额外域控制器”,点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了) 加入过程中可能会碰到问题,如果有的话 参考https://www.doczj.com/doc/a49516278.html,/archiver/tid-151189.html https://www.doczj.com/doc/a49516278.html,/t/20030910/10/2243270.html# 然后到google上去查找! 运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.doczj.com/doc/a49516278.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0
List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复,最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考,在狗狗搜索NNN编,但为何还是要写这篇呢,‘听不如看,看不如做,做不如写’嘿嘿,反正写写没多难,最紧要入脑袋!! 其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~ 本贴说明: ....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!! AD、DC说明: .域名:https://www.doczj.com/doc/a49516278.html, ..主域:DC-ISA-NLB-1 ..副域:DC-ISA-NLB-2 .系统:2003企业版 故障情况:(真实环境跑完全过程..) ..主域崩溃,副域无法正常工作,如: ....无法浏览https://www.doczj.com/doc/a49516278.html, 中 Active Directory用户和计算机,提示无法连接错误; ....AD管理项目均报错,组策略.....等; ....域用户无法登录; 解决方法:(以上是在副域上操作) ..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录; ..使用命令:ntdsutil.....AD工具 ..过程:(大概6-8分钟) C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...~~ 以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧: ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’; .....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’; ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA-NLB-1’; ...........a.选中分支‘NTDS Settings’; ...........b.点击‘删除’,对话框‘选择第三项’; .....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’; .....3.点击‘DC-ISA-NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’,全局编录前打上勾; 完工....以上搞点后,余下就可以慢慢修复你的主域了。
多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/a49516278.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
域控制器降级操作指南 1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击“运行”,然后键入以下命令: dcpromo /forceremoval 2. 单击“确定”。 3. 在“欢迎使用Active Directory 安装向导”页中,单击“下一步”。 4. 在“强制删除Active Directory”页中,单击“下一步”。 5. 在“管理员密码”中,键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。 6. 在“摘要”中,单击“下一步”。 7. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。 如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。 如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表(ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。有关从域控制器中删除Active Directory 后对权限有何影响的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章。使用 dcpromo /forceremoval 命令后,在继续存在的域控制器上不会删除被降级的计算机的元数据。 将域控制器强制降级后,您必须完成以下任务(如果适用): 1. 从域中删除计算机帐户。 2. 验证DNS 记录(例如A 记录、CNAME 记录和SRV 记录)是否已删除;如果它们仍然存在,则将它们删除。 3. 验证FRS 成员对象(FRS 和DFS)是否已删除;如果它们仍然存在,则将它们删除。 4. 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。 5. 删除对被降级的服务器的任何DFS 引用(例如,链接或根副本)。 6. 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色(也称为灵活的单主机操作或FSMO)。有关更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章: 使用Ntdsutil.exe 占用FSMO 角色或将其转移到域控制器 7. 如果您要降级的域控制器是DNS 服务器或全局编录服务器,则必须创建一个新的GC 或DNS 服务器,以满足林中的负载平衡、容错和配置设置。[专业建EXCHANGE服务器找plumlee] 8. 当您使用NTDSUTIL 中的删除选定服务器命令时,NTDSDSA 对象(该对象是到您强制降级的域控制器的入站连接的父对象)将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中,请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器
如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签:2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作: 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。 3. 键入 roles,然后按 Enter。 注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。 4. 键入 connections,然后按 Enter。 5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入 q,然后按 Enter。 7. 键入 transfer role,其中 role 是要转移的角色。要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。例如,要转移 RID 主机角色,键入 transfer rid master。PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。键入 q,然后按 Enter,退出 Ntdsutil 实用工具。
域服务器备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows
2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面