域控制器降级失败后,如何删除 Active Directory 中的数据

合集下载

当DC无法正常降级时

当DC无法正常降级时

在Windows Server 2003 和Windows 2000 Server 中使用Active Directory 安装向导强制降级时,域控制器无法正常降级查看本文应用于的产品系统提示。

本篇文章的内容可能不适用您的电脑。

重要说明:本文包含有关如何修改注册表的信息。

修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。

有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:256986Microsoft Windows 注册表说明本页∙症状∙原因∙解决方案∙替代方法o Windows 2000 域控制器o Windows Server 2003 域控制器o Windows Server 2003 Service Pack 1 增强功能∙状态∙更多信息展开全部| 关闭全部Microsoft Windows 2000 或Microsoft Windows Server 2003 域控制器可能无法通过使用Active Directory 安装向导(Dcpromo.exe) 正常降级。

回到顶端如果所需的相关项或操作失败,可能会出现此现象。

这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或Active Directory 中关键对象的位置等。

回到顶端要解决此问题,请确定阻碍Windows 2000 或Windows Server 2003 域控制器正常降级的原因,然后再次尝试使用Active Directory 安装向导将域控制器降级。

回到顶端如果不能解决此问题,可以使用以下变通方法对域控制器执行强制降级,以保留操作系统及其中任何应用程序的安装。

警告:在使用以下任一变通方法之前,请确保您可以在目录服务还原模式下成功启动。

否则,在您强制降级该计算机后,您将无法登录。

如果用户忘记了目录服务还原模式的密码,可以通过使用Winnt\System32 文件夹中的Setpwd.exe 实用工具来重置密码。

活动目录(Active_Directory)域故障解决实例

活动目录(Active_Directory)域故障解决实例

这部分内容将以实例的形式,介绍活动目录(Active Directory)的域故障排除,基本上遵循由易到难,由简到繁的顺序来讲解讨论。

Q1、客户机无法加入到域?一、权限问题。

要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。

普通用户登录进来,更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。

”吗?这时如何在这台计算机上登录到域呀!显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。

也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。

注意:域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。

解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。

在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。

DNS不可用时,也可以利用浏览服务,但会比较慢。

2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。

完全删除WSUS3.0的办法

完全删除WSUS3.0的办法

完全删除wsus3.0升级域控或降级域控后,wsus 服务通常会失效,只能通过手工彻底删除wsus3.0 然后再重新安装,下面是经过数次尝试后总结出来的详细操作步骤:1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services如果没有其他数据库,请删除:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server 。

进行第三步的时候,可能会卸载不成功,建议先到注册表删除以上的项。

2、打开IIS 管理控制台,删除WSUS 站点及应用程序池( wsuspool )。

3、要删除Window Internal Database 服务, 请运行下面的命令行:msiexec /x {CEB5780F-1A70-44A9-850F-DE6C4F6AA8FB} callerid=ocsetup.exe4、在特殊情况下,如果WSUS 不能通过添加/ 删除程序进行删除,我们只好通过手工方式清除WSUS 的组件。

a)运行下面的命令行。

2C0D7E35-EE6E-4dc7-BA13-2C68AEDEB59D 是WSUS3.0 的产品码:Msizap T {2C0D7E35-EE6E-4dc7-BA13-2C68AEDEB59D}MSIZAP 工具需要自己下载(将msizp.exe copy 到C 盘根目录,用命令行来运行它)b)在下面的注册表中删除所有WSUS 开头的服务名称:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesc)请重启机器。

d)查找注册表,删除所有包含“ Update Services ”的键值。

e)删除安装目录:C:\Program Files\Update Servicesf)重新安装WSUS。

g)重装完成后wsus无法与客户端取得通信,此时需要修改wsus站点的权限,勾选读取和目录浏览,目录安全性设置匿名访问用户为domain name\IUSR_xxxxx ,保存后与客户机通信恢复正常。

主域控损坏Active Directory转移

主域控损坏Active Directory转移

手工删除Active Directory 数据三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。

如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。

使用“metadata cleanup”清理不使用的服务器的对象使用“connections”连接到一个特定域控制器使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。

使用“select operation target”选择站点使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。

使用“select site 0”就是选中站点了。

使用“list domains in site”列出所选站点中的域,只有 一个域,还是用0代表。

使用“select domain 0”选中这个域。

使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。

使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。

我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。

使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。

最后使用“quit”命令退出就可以了。

我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。

出现一个对话框,选择“是”现在“DENVER”已经没有了,展开site->default-first-site-name->servers,展开FIRENZE,右击“NTDS Settings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:现在把“全局编录”也转到FIRENZE上了。

删除失效的域控

删除失效的域控

执行在Ad服务与站点中如图在只读域控制器的NTDS的右边RODC上右击更改无效的复制源DNS修改要在DNS记录中删除win08-1的信息在辅助域控的只读DNS设置在DNS-〉win08-2上右击属性将类型辅助区域更改为主要区域如图从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从AD中删除;c:>ntdsutilntdsutil:metadata cleanupmetadata cleanup:select operation targetselect operation target:connectionsserver connections:connect to domain server connections:quitselect operation target:list sitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target:select site0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target:List domains in siteFound1domain(s)0-DC=test,DC=comFound1domain(s)0-DC=test,DC=comselect operation target:select domain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain-DC=test,DC=comNo current serverNo current Naming Contextselect operation target:List servers for domain in siteFound2server(s)0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=com1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=comselect operation target:select server0select operation target:quitmetadata cleanup:Remove selected server出现对话框,按“确定“删除DC-01主控服务器。

一步一步删除域残留信息

一步一步删除域残留信息

一步一步删除域残留信息去年《加入、升降级域故障的解决》一文讲述了降级失败后如何强制删除额外域控制器。

如果仍然想将计算机B(降级后)不改名称加入到原主域中,那就需要手动清除残留在原主域控制器的信息,清除方法如下:在主域服务器上单击“开始→运行”,输入“cmd”后点“确定”。

1.在命令提示符下,输入ntdsutil,然后按回车键。

2.接着输入metadata cleanup按回车键。

3.再输入connections按回车键,此菜单是用于连接将在其上进行这些更改的具体服务器。

4.输入connect to server主域服务器完整的计算机名称,你会收到一条说明该连接已经成功建立的确认消息。

5.输入quit,然后按回车键。

将显示Metadata Cleanup菜单。

6.输入select operation target,然后按回车键。

7.输入list domains,然后按回车键。

将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。

8.输入select domain 编号,然后按回车键,其中编号是与域关联的编号,要删除的服务器是该域的成员。

选择的域用于确定正在删除的服务器是否为该域的最后一个域控制器。

9.输入list sites,然后按回车键。

将显示一个站点列表,每一个站点都有一个关联的编号。

10.输入select site 编号,然后按回车键,其中编号是与站点关联的编号,要删除的服务器是该站点的成员。

你会收到一条列出所选站点和域的确认消息。

11.输入list servers in site,然后按回车键。

将显示一个列出站点中所有服务器的列表,每一个服务器都有一个关联的编号。

12.输入 select server 编号,其中编号是与要删除的服务器(计算机B)关联的编号。

你会收到一条确认消息,其中列出所选的服务器、该服务器的“域名服务器” DNS 主机名,以及要删除的服务器(计算机B)账户的位置。

(ActiveDirectory)域故障解决实例(二)

(ActiveDirectory)域故障解决实例(二)

(ActiveDirectory)域故障解决实例(二)Q18、如何清理AD数据库中的垃圾对象。

如果我们非正常卸载AD子域、DC等,就会在AD元数据库中留下垃圾。

比如上面的例子,又比如未经AD 卸载就把DC计算机的系统重做了。

这些垃圾对象一般来讲无碍大局,但如果我们想优化AD的性能,不想给用户带来不必要的麻烦(比如用户选择登录到已经不存在的子域),就可以利用ntdsutil工具进行元数据库清理(metadata cleanup),来删除垃圾对象。

具体操作如下:1、开始/运行:cmd,在命令行下键入ntdsutil。

说明:(1)直接,开始/运行:ntdsutil,也可以。

(2)进行元数据库清理,不要进到目录恢复模式下。

(3)进行元数据库清理,可以在非DC的2000/XP/03计算机上进行。

但有些操作(如使用ntdsutil工具进行授权恢复、整理移动AD 库文件)必须在DC上进行。

(4)在ntdsutil的每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。

2、在ntdsutil:提示符下,键入metadata cleanup,然后按ENTER。

说明:ntdsutil是个分层的多级命令行工具,用户在键入名字时,可简写,只要不同于本级命令中的其它命令即可。

比如上面的命令metadata cleanup可简写为m c。

3、在metadata cleanup:提示符下,键入connections,然后按ENTER。

4、在server connections:提示符下,键入connect to server servername,然后按ENTER。

说明:(1)其中servername是指域控制器的DNS名称,用主机名或FQDN均可。

注意:虽然联机说明中提到了可以用IP去连,但实际上发现用IP去连接,会出现参数不正确的出错提示。

(2)在这里要连接的DC,应是一个正常工作的、可操作的DC,而不是你要清理的那个DC对象。

域控制器降级操作指南

域控制器降级操作指南

域控制器降级操作指南服务器域降级操作域控制器降级操作指南1. Windows Server 2003 域控制器在默认情况下支持强制降级。

单击“开始”,单击“运行”,然后键入以下命令:dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中,单击“下一步”。

4. 在“强制删除Active Directory”页中,单击“下一步”。

5. 在“管理员密码”中,键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。

6. 在“摘要”中,单击“下一步”。

7. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。

如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表(ACL)。

如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除Active Directory 后对权限有何影响的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章。

使用 dcpromo /forceremoval 命令后,在继续存在的域控制器上不会删除被降级的计算机的元数据。

域控制器的删除

域控制器的删除

域控制器的删除6.2.3 正常删除域控制器示例【注意】无论是正常删除,还是强制删除,当域控制器上安装了"证书"服务时,不能删除域控制器,必须先卸载证书服务组件。

另外,如果域控制器是某个服务器群集的节点之一,也不能删除域控制器,得先通过群集管理器把该服务器从群集中退出。

如果群集管理器也不能成功退出,则可使用以下命令从群集中清除该服务器节点:cluster node 节点服务器名称 /forcecleanup当不再需要某服务器担当域控制器角色,而需要该服务器成为网络中的一台普通成员服务器时,可以通过删除其中的活动目录来降级该域控制器成为成员服务器。

这也就是通常所说的域控制器删除。

一般来说,可以通过正常运行Active Directory安装向导来删除域控制器。

【经验之谈】可以删除域中的任何域控制器,包括第一台域控制器,但是如果要删除全局编录的域控制器,则要确保网络中还有其他域控制器配置为全局编录角色,否则网络中没有一台域控制器是全局编录角色,会影响用户的网络访问性能的。

在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框,提示必须先要确保网络中有足够的全局编录角色域控制器。

全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。

在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不需要其他域控制器参考搜索。

配置域控制器为全局编录角色的方法是在"Active Directory站点和服务"管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器(如图6-74所示),然后在右侧窗格中的NTDS Settings项上右击,在"常规"选项卡中选择"全局编录"复选项,如图6-75所示。

下面介绍正常情况下的域控制器删除方法。

在此以删除lycb.local中的一台额外域控制器lycb-dc2为例进行介绍。

从windows 2000 server 域升级到windows 2008 r2 server

从windows 2000 server 域升级到windows 2008 r2 server

从windows 2000 server 域升级到windows 2008 r2 server可以采用3种方式。

(1)通过VirtualBox虚拟软件直接安装windows 2000 server 虚拟机。

由于windows 2000 server存在bug,因此安装windows 2000时将内存设置为128mb,否则安装过程会不断循环,无法安装系统。

安装完毕后再将内存扩大到2g。

(2)重新搭建windows 2008 域。

由于windows 2000的批量导入导出功能无法直接用于windows 2008 r2。

可以先安装windows 2008 尝试然后将用户和密码通过amt的方式导入,然后再升级到windows 2008 r2。

(3)直接从从windows 2000 server 域升级到windows 2008 r2 server一.首先检查windows 2000 server的域运行是否正常,是否存在失效的的域服务器。

所有角色是否在需要升级的域服务器上。

Windows 2000 server 域是否是本机模式执行windows 2008 server r2 光盘的:\support\adprep\adprep32/forestprep命令然后在每个windows 域服务器上执行:\support\adprep\adprep32/domainprep /gpprep) 命令/zh-cn/library/cc731654%28v=ws.10%29.as px参考内容/kb/255504不适合多主机更新的某些域和企业范围的操作由 Active Directory 域或林中的一台域控制器完成。

为执行这些特殊操作而指定的域控制器称为操作主机或FSMO 角色担任者。

以下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型,以及这些角色执行的相关操作:∙架构主机 (Schema master) -架构主机角色是林范围的角色,每个林一个。

解决active directory域服务问题的方法

解决active directory域服务问题的方法

解决active directory域服务问题的方法全文共四篇示例,供读者参考第一篇示例:Active Directory(AD)是微软Windows操作系统中常用的目录服务,用于管理网络中的用户、计算机和其他资源。

在使用过程中,有时候会碰到一些问题,如用户无法登录、组策略无效等。

本文将介绍解决这些问题的方法,帮助管理员更好地管理和维护AD域服务。

一、用户无法登录1. 检查网络连接:首先要确保网络连接正常,AD域控制器可以被访问。

可以通过ping命令测试AD服务器的可达性。

2. 检查用户名和密码:确认用户输入的用户名和密码是否正确,如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。

3. 检查用户帐户是否被锁定:如果用户连续多次输入错误密码,有可能触发帐户锁定策略,解锁用户帐户即可解决登录问题。

4. 检查域控制器日志:查看域控制器的事件日志,可能会有相关登录失败的日志记录,从而找到问题的原因。

二、组策略无效1. 强制更新组策略:可以使用gpupdate /force命令强制更新组策略,使其立即生效。

2. 检查组策略设置:确保组策略设置正确,没有重复或冲突的设置。

可以通过组策略管理工具查看和修改组策略设置。

3. 检查组策略范围:确认组策略应用范围是否覆盖了需要生效的用户或计算机,有时候由于配置错误导致组策略无法正确应用。

4. 重启计算机:有时候组策略更新后需要重新启动计算机才能生效,尝试重启计算机查看是否问题解决。

三、AD域服务异常1. 检查AD域控制器状态:确保AD域控制器正常运行,未出现硬件故障或软件故障,可以通过性能监视器监控AD域控制器的运行状态。

2. 检查AD域服务配置:查看AD域服务的配置是否正确,包括DNS设置、时间同步、网络设置等,这些配置对AD域服务的正常运行至关重要。

3. 检查AD域数据库:如果出现用户丢失或其他异常情况,可能是AD域数据库损坏或存储空间不足,可以尝试修复数据库或清理存储空间。

域控制器的终极卸载:Active Directory系列之十五

域控制器的终极卸载:Active Directory系列之十五

域控制器的终极卸载在上篇博文中,我们介绍了用Dcpromo/Forceremoval对域控制器进行强行卸载。

一般情况下,用这种强制卸载方法基本可以解决问题。

但如果有些域控制器的Active Directory损坏严重,严重到了无法对Active Directory进行初始化,以致于无法登录操作系统。

这种情况下我们就要犯愁了,Dcpromo/forcer emoval需要登录系统后才能执行,现在系统无法正常登录,那该如何是好呢?别着急,本文将为大家介绍另外一种卸载Active Directory的方法,这种方法将更加麻烦,更加血腥,更加暴力,更加强大…..这种强制卸载方法的思路是先进入目录服务还原模式,这样就可以避开损坏的Active Directory,以安全模式进入系统。

然后通过修改注册表强行将域控制器改为独立服务器,最后再手工删除Active Directory数据库。

这样做完后从形式上看域控制器就变成一个成员服务器了,只是系统中还保留了一些域控制器使用的服务和注册表键值。

如果希望做得更完善一些,可以临时把这台计算机升级为一个域的域控制器,升级完成后立即进行域控制器的卸载,这样一番复杂操作后基本上可以保证卸载效果和运行Dcpromo/forceremoval大致相当。

我们以Florence为例为大家演示操作过程。

Florence是的域控制器,由于Active Directory损坏无法进入系统,我们首先要使用目录服务还原模式进入系统,在系统启动时我们按下F8,如下图所示,选择进入“目录服务还原模式”。

目录服务还原模式不加载Active Directory,因此可以避开损坏的Active D irectory所带来的问题,如下图所示,我们通过目录服务还原模式可以顺利进入系统。

登录进入系统后,我们要通过修改注册表键值把域控制器强行变为独立服务器,运行Regedit,如下图所示,定位到HKEY_Local_Machine\System\Curren tControlSet\Control\Productoptions\ProductType,这个键值决定了服务器的身份。

dfs出错修复

dfs出错修复

Windows 2000 服务器和域控制器将DFS 配置信息存储在注册表和Active Directory 中。

在某些种情况下可能以返回到稳定状态很有用。

本文介绍如何删除DFS 配置注册表和Active Directory 中的数据。

重要此分区、方法,或任务包含告诉您如何修改注册表的步骤。

但是,如果注册表修改不当可能会出现严重问题。

因此,请确保您仔细按照这些步骤。

附加的保护注册表之前先备份您对其进行修改。

然后,您可以在出现问题时还原注册表。

有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:322756如何备份和还原在Windows 注册表故障容错的DFS 根目录1.通过将网络停止dfs关联在命令提示符处停止DFS 服务。

2.启动注册表编辑器并删除以下注册表项,请执行以下操作:a.删除卷文件夹和$ HKLM\SOFTWARE\Microsoft\DfsHost 下的任何子文件夹。

b.删除所有子文件夹下HKLM\SYSTEM\CurrentControlSet\Services\DfsDriver\LocalVolumes,使LocalVolumes 保持不变。

3.从Active Directory 用户和计算机管理单元中,单击在视图菜单上的高级功能。

打开系统文件夹下的,DFS 配置容器。

删除DFS 根目录,在右窗格中。

注意还可以从使用LDAP 或Adsiedit.msc 活动目录中删除DFS 配置数据。

在与容错DFS 根目录名为DFSFT 域中的计算机的LDAP 路径应CN = DFS-配置CN = 系统,DC = A,DC = COM。

4.在第1 步中,重新启动您停止了DFS 服务。

独立的DFS 根和Windows 2000 群集服务器1.通过将网络停止dfs关联在命令提示符处停止DFS 服务。

2.启动注册表编辑器并删除以下注册表项,请执行以下操作:a.删除卷文件夹和$ HKLM\SOFTWARE\Microsoft\DfsHost 下的任何子文件夹。

Windows_server_2003_AD_DC域配置(12)域控制器的卸载与清理

Windows_server_2003_AD_DC域配置(12)域控制器的卸载与清理

Windows_server_2003_AD_DC域配置-域控制器的卸载与清理我们现在已经有一些Active Directory的部署及管理经验了,今天我们要考虑一个问题,如果一个域控制器我们不需要了,那应该如何处理呢?直接把它砸了是不对的,这未免太暴力了,和当前的和谐环境有些格格不入哦。

关键是,如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。

如果这个被暴力卸载的域控制器还承担着一些操作主机角色,我们就更麻烦了。

因此,我们进行域控制器卸载时,一定要把工作做到位,优先使用常规卸载,争取不留后患。

有些朋友可能会说,我也希望用常规卸载,但有时就是不能正常卸载,没办法,只好…..我们要分析一下,为什么域控制器无法正常卸载呢?当域控制器进行常规卸载时,AD的内容发生了变化,域控制器会把这个变化通知自己的复制伙伴,再由自己的复制伙伴通知其他域控制器。

如果所有的域控制器都通知到了,那就肯定可以正常卸载,而且DNS记录,操作主机角色,AD复制拓扑等问题都可以迎刃而解。

因此,域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面,域控制器卸载时也要进行AD复制。

想知道一个域控制器是否可以正常卸载,我们只要在Active Directory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了,只要能进行AD 复制,基本卸载域控制器时就没有问题。

我们举一个域控制器正常卸载的例子,拓扑如下图所示,我们准备卸载shanghai站点内的域控制器perth。

从拓扑可以看出,perth的复制伙伴应该是Firenze,只要perth和Firenze之间可以进行AD 复制,perth应该就可以进行域控制器卸载。

在perth上运行Dcpromo,如下图所示,出现Active Directory安装向导,向导判断我们准备把Active Directory删除,点击“下一步”继续。

Windows 2008 R2 辅助域控制器强制降级

Windows 2008 R2 辅助域控制器强制降级

重要:由于强制降级会导致任何本地保存的更改丢失,如非绝对必要,请勿在生产域或测试域中使用强制降级。

当无法解决连接、名称解析、身份验证或复制引擎相关项以致于无法执行正常降级时,您可以将域控制器强制降级。

二、删除主域服务器上的备份域服务器:
1)打开Active Directory 用户和计算机-> Domain Controllers,右键点击所要删除的辅助域控,在菜单上选择删除.
确定=>删除
这台域控制器永远为脱机并且不再能用Active Directory 安装向导(dcpromo)将其降级
确定=>删除
2)控制面板=>管理工具=>AD站点和服务=> Sites=>Default-First-Site-Name=>servers下面找到其他的辅助域服务器
在删除备份域服务器前先要把其下面的NTDS Settings 删除;
会有3种选择:
1.域控制器降级,继续当计算机使用
2.重新开启AD复制
3.这台域控制器永远为脱机并且不再能用Active Directory 安装向导(dcpromo)将其降级。

删除NTDS Settings 以后就可以把辅助域服务器删除掉了。

辅域控升级成主域控

辅域控升级成主域控

辅域控升级成主域控一.其实,对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机 (Schema master) -架构主机角色是林范围的角色,每个林一个。

此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

★域命名主机 (Domain naming master) -域命名主机角色是林范围的角色,每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机 (RID master) - RID 主机角色是域范围的角色,每个域一个。

此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器 (PDC emulator) - PDC 模拟器角色是域范围的角色,每个域一个。

将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。

此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。

★结构主机 (Infrastructure master) -结构主机角色是域范围的角色,每个域一个。

此角色供域控制器使用,用于成功运行 adprep /forestprep 命令,以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器/kb/255504/zh-cn2.域控制器降级失败后如何删除 Active Directory 中的数据/kb/216498/3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)/kb/216498/zh-cn四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername 可以写作con to ser,我这里写的是全名)命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种FSMO操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.关于辅域控制器夺取主域控制器角色,接替其工作时的一些疑问及回答1 为了出于安全角度的考虑,一般在一个域环境内至少有两个域控制器,即pdc 及bdc,在windows2003中辅助域的角色定义给淡化了,取而代之的是额外域控制器。

如何使用无人参与的模式安装和删除在基于 Windows Server 2008 的域控制器上的 Active Directory 域服务

如何使用无人参与的模式安装和删除在基于 Windows Server 2008 的域控制器上的 Active Directory 域服务

如何使用无人参与的模式安装和删除在基于Windows Server 2008 的域控制器上的Active Directory 域服务应答文件是ASCII 文本文件,每一页中的Active Directory 域服务安装向导中提供自动化的用户输入。

若要在无人参与模式下运行Active Directory 域服务安装向导中,请在命令提示符处使用以下命令:dcpromo / unattend:<应答文件的路径>注意<应答文件的路径>占位符值,该值代表将用来安装或删除AD DS 的应答文件的路径。

您必须登录为计算机的本地管理员才能运行此命令。

字段值应答文件"[DCInstall]"一节中的字段指定安装或删除操作的详细信息。

下面的列表提供了用于每个操作的公共字段。

如果未指定该选项,则使用默认值。

这些字段的默认值"域定义"部分所述。

∙新目录林中安装的下列选项适用:[DCINSTALL]InstallDNS = 是NewDomain = 林NewDomainDNSName = <的完全限定的域名系统(DNS) 名称>DomainNetBiosName<按默认值完全合格的DNS 名称的第一个标签> =SiteName = <Default-First-Site-Name>ReplicaOrNewDomain = 域ForestLevel = <目录林功能级别数>DomainLevel = <域功能级别数>DatabasePath = <的路径"的本地卷上的文件夹>LogPath = <的路径"的本地卷上的文件夹>RebootOnCompletion = 是SYSVOLPath = <的路径"的本地卷上的文件夹>SafeModeAdminPassword = <脱机管理员帐户的密码>∙对于子的域安装下列选项适用:[DCINSTALL]ParentDomainDNSName = <父域的完全限定的DNS 名称>用户名= <父域中的管理帐户>UserDomain = <的用户帐户的域的名称>密码= <用户帐户的密码>指定* 在安装过程中提示用户的凭据。

本文介绍在域控制器降级失败后

本文介绍在域控制器降级失败后

本文介绍在域控制器降级失败后,如何删除Active Directory 中的数据。

警告:如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本 3 客户端,并且不恰当地修改了Active Directory 对象的属性,则可能造成严重问题。

要解决这些问题,您可能需要重新安装Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或Microsoft Exchange Server 2003,或者Windows 和Exchange 二者都需要重新安装。

Microsoft 不保证能够解决因为Active Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导(Dcpromo.exe) 用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。

作为降级过程的一部分,此向导会将该域控制器的配置数据从Active Directory 中删除。

此数据的形式是“NTDS 设置”对象,在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于Active Directory 的下列位置:CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuratio n,DC=<domain>...“NTDS 设置”对象的属性包括:代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器,以及默认查询策略。

“NTDS 设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。

如何清理域控及站点残留信息

如何清理域控及站点残留信息

如何清理域控及站点残留信息张琦【摘要】在企业环境中,有时候域控会因为某些原因或故障导致不能跟其他域控正常通信,在⽆法修复的情况下,通常会对该域控进⾏强制降级,强制降级后域内的其他域控并不知情,所以还会保留该域控的信息,我们就需要⼿动在其他域内的其他域控删除残留已降级的域控信息。

本⽂章将介绍如何清理域控信息和站点信息。

【正⽂】⼀环境准备1.1 环境介绍Ø 两台域控,域控DC01和域控BJDC;Ø 本⽂档将清理BJ站点及BJ站点域控信息。

⼆开始实验2.1 清除域控残留信息1、连接到被清除域控所在的域:1) 以管理员的⾝份运⾏cmd,输⼊ntdsutil2) 输⼊metadata cleanup3) 输⼊connections4) 输⼊connect to domain <domain>,操作环境下<domain>为5) 输⼊quit2、按照以下步骤选择要清除的域控对象:1) 输⼊select operation target2) 输⼊list domains,显⽰域信息,信息前有编号信息;输⼊select domain 0 选择要删除域控信息所在的domain3) 输⼊list sites,显⽰站点信息,信息前有编号信息;输⼊select site 1,选择要删除域控信息所在的站点。

4) 输⼊list servers in site,显⽰服务器信息;输⼊select server 0,选中要删除的域控。

完成此步则已选定要清除数据的域控。

5) 输⼊quit,输⼊remove selected server,此时出现服务器删除确认对话框,点击确定。

请注意此时的提⽰信息,此服务器应该已经永久脱机且不在返回服务。

6) 输⼊两次quit,退出ntdsutil。

3、查看服务器列表,输⼊dsquery server,确认服务器对象被删除。

2.2 清除站点信息1、在Active Directroy站点和服务中右键删除BJ站点。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

域控制器降级失败后,如何删除Active Directory 中的数据本文介绍在域控制器降级失败后,如何删除Active Directory 中的数据。

警告:如果使用&#8220;ADSI 编辑&#8221;管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端,并且不恰当地修改了Active Directory 对象的属性,则可能造成严重问题。

要解决这些问题,您可能需要重新安装Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或Microsoft Exchange Server 2003,或者Windows 和Exchange 二者都需要重新安装。

Microsoft 不保证能够解决因为Active Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导(Dcpromo.exe) 用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。

作为降级过程的一部分,此向导会将该域控制器的配置数据从Active Directory 中删除。

此数据的形式是&#8220;NTDS 设置&#8221;对象,在&#8220;Active Directory 站点和服务&#8221;中作为服务器对象的一个子对象存在。

此信息位于Active Directory 的下列位置:CN=NTDSSettings,CN=&lt;servername&gt;,CN=Servers,CN=&lt;sitename&gt;,CN=Sites,CN=Configuration,DC=&lt;domain&gt; ...&#8220;NTDS 设置&#8221;对象的属性包括:代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器,以及默认查询策略。

&#8220;NTDS 设置&#8221;对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。

该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。

如果&#8220;NTDS 设置&#8221;对象未正确删除(例如,如果在降级尝试中错误地删除&#8220;NTDS 设置&#8221;对象),则管理员可以手动删除服务器对象的元数据。

在Windows Server 2008 和Windows Server 2008 R2 中,管理员可以通过删除Active Directory 用户和计算机管理单元中的服务器对象,删除服务器对象的元数据。

在Windows Server 2003 和Windows 2000 Server 中,管理员可以使用Ntdsutil.exe 实用工具手动删除&#8220;NTDS 设置&#8221;对象。

以下步骤列出了在特定域控制器的Active Directory 中删除&#8220;NTDS 设置&#8221;对象的过程。

在每个Ntdsutil 菜单上,管理员键入help 可以获取有关可用选项的详细信息。

回到顶端Windows Server 2003 Service Pack 1 (SP1) 或更高版本的Service Pack &#8211; Ntdsutil.exe 的增强版本包含在Windows Server 2003 的Service Pack 1 或更高版本Service Pack 中的Ntdsutil.exe 版本已经得到增强,可完成元数据清除过程。

在运行元数据清除时,SP1 或更高版本Service Pack 中包含的Ntdsutil.exe 版本将执行下列操作:删除&#8220;NTDSA 设置&#8221;或&#8220;NTDS 设置&#8221;主题。

删除现有目标DC 用于从要删除的源DC复制数据的入站AD 连接对象。

删除计算机帐户。

删除FRS 成员对象。

删除FRS 订阅者对象。

尝试获取由要删除的DC 所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSMO)。

警告:在手动删除任何服务器的&#8220;NTDS 设置&#8221;对象之前,管理员还必须确保在降级之后已进行了复制。

错误使用Ntdsutil 实用工具可能导致Active Directory 功能的部分或全部丧失。

回到顶端过程1:仅Windows Server 2003 SP1 或更高版本Service Pack单击&#8220;开始&#8221;,指向&#8220;程序&#8221;,指向&#8220;附件&#8221;,然后单击&#8220;命令提示符&#8221;。

在命令提示符处,键入ntdsutil,然后按Enter。

键入metadata cleanup,然后按Enter。

根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。

键入connections,然后按Enter。

此菜单用于连接将发生这些更改的具体服务器。

如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。

为此,请键入set credsDomainNameUserNamePassword,然后按Enter。

如果密码为空,则键入null 作为密码参数。

键入connect to server servername,然后按Enter。

然后出现一条确认消息,说明已成功建立该连接。

如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。

注意:如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15 提到的服务器时,将显示以下错误消息:错误2094。

不能删除DSA 对象。

0x2094键入quit,然后按Enter。

将出现&#8220;清除元数据&#8221;菜单。

键入select operation target,然后按Enter。

键入list domains,然后按Enter。

将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。

键入select domain number,然后按Enter;其中number 是与要删除的服务器所属的域相关联的编号。

您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。

键入list sites,然后按Enter。

将出现一个站点列表,其中每个站点都带有一个关联的编号。

键入select site number,然后按Enter;其中number 是与要删除的服务器所属站点相关联的编号。

将出现一条确认消息,其中列出了所选的站点和域。

键入list servers in site,然后按Enter。

将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。

键入select server number,其中number 是与要删除的服务器关联的编号。

将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统(DNS) 主机名以及要删除的服务器的计算机帐户位置。

键入quit,然后按Enter。

将出现&#8220;清除元数据&#8221;菜单。

键入remove selected server,然后按Enter。

将出现一条确认消息,说明删除成功完成。

如果出现以下错误消息,则说明&#8220;NTDS 设置&#8221;对象可能已从Active Directory 中删除,原因可能是其他管理员删除了该&#8220;NTDS 设置&#8221;对象,或者在运行DCPROMO 实用工具成功删除该对象后又执行了一次此操作。

错误8419 (0x20E3)找不到DSA 对象注意:当您尝试绑定到要删除的域控制器时,也可能会出现此错误。

Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。

键入quit,然后在每个菜单上按Enter,退出Ntdsutil 实用工具。

将出现一条确认消息,说明连接已成功断开。

在DNS 的_msdcs. 目录林的根域区域中删除cname 记录。

假定要重新安装并重新提升DC,将创建一个新的&#8220;NTDS 设置&#8221;对象,它将具有新的GUID 并在DNS 中拥有一个匹配的cname 记录。

如果不希望现有DC 使用旧的cname 记录。

最佳做法是删除主机名和其他DNS 记录。

如果已超出为脱机服务器分配的动态主机配置协议(DHCP) 地址上所剩的租用时间,另一个客户端即可获得问题DC 的IP 地址。

在DNS 控制台中,使用DNS MMC 删除DNS 中的A 记录。

A 记录也称为&#8220;主机&#8221;记录。

若要删除A 记录,请右键单击A 记录,然后单击&#8220;删除&#8221;。

另外,请删除_msdcs 容器中的cname 记录。

为此,请展开&#8220;_msdcs&#8221;容器,右键单击&#8220;cname&#8221;,然后单击&#8220;删除&#8221;。

重要说明:如果这是DNS 服务器,请在&#8220;名称服务器&#8221;选项卡下删除对该DC 的引用。

为此,在DNS 控制台中,在&#8220;正向查找区域&#8221;下单击该域名,然后从&#8220;名称服务器&#8221;选项卡中删除该服务器。

注意:如果有反向查找区域,也要将服务器从这些区域中删除。

如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用ADSIEdit 删除该子域的trustDomain 对象。

为此,请按照下列步骤操作:单击&#8220;开始&#8221;,单击&#8220;运行&#8221;,键入adsiedit.msc,然后单击&#8220;确定&#8221;。

展开&#8220;域NC&#8221;容器。

展开&#8220;DC=您的域, DC=COM, PRI, LOCAL, NET&#8221;。

相关文档
最新文档