域控制器降级操作指南

域控制器降级操作指南

1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”，单击“运行”，然后键入以下命令：

dcpromo /forceremoval

2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

4. 在“强制删除Active Directory”页中，单击“下一步”。

5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

6. 在“摘要”中，单击“下一步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。

将域控制器强制降级后，您必须完成以下任务（如果适用）：

1. 从域中删除计算机帐户。

2. 验证DNS 记录（例如A 记录、CNAME 记录和SRV 记录）是否已删除；如果它们仍然存在，则将它们删除。

3. 验证FRS 成员对象（FRS 和DFS）是否已删除；如果它们仍然存在，则将它们删除。

4. 如果被降级的计算机是任何安全组的成员，请将其从这些组中删除。

5. 删除对被降级的服务器的任何DFS 引用（例如，链接或根副本）。

6. 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色（也称为灵活的单主机操作或FSMO）。有关更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：

使用Ntdsutil.exe 占用FSMO 角色或将其转移到域控制器

7. 如果您要降级的域控制器是DNS 服务器或全局编录服务器，则必须创建一个新的GC 或DNS 服务器，以满足林中的负载平衡、容错和配置设置。[专业建EXCHANGE服务器找plumlee]

8. 当您使用NTDSUTIL 中的删除选定服务器命令时，NTDSDSA 对象（该对象是到您强制降级的域控制器的入站连接的父对象）将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中，请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器