从AD中删除损坏的域控制器.doc

旧域控清理但仁刚【摘要】在生产环境中,会碰到要将停止使用的辅助域控制器删除的情况.就是将停止使用的域控服务器清除,清除其在AD数据库残留的旧域控信息,防止旧域控制器对AD复制有影响等问题的出现.【正文】一CMD命令清除AD051. 使用CMD命令连接到需要处理活动状态的域控服务器GHAD07，首先设置ntds作为活动实例，使用命令Activate Instance "NTDS"，依次使用命令metadata cleanup---connections---connect to server GHAD07---quit，如下所示；2. 执行命令Select operation target---list domains找到网络中的域，在此选择编号为0的域，使用命令select domain 0选择该域，如下；3. 依次使用命令，list sites（列出站点）---select site 2（选择站点），如下；4. list servers in site（列出详细站点信息）---select server 2（选择旧DC所在具体站点）---quit，如下所示；5. 使用CMD命令remove selected server删除服务器“垃圾”对象，如下；6. 弹出服务器删除确认对话框，点击“是”；7. 服务器AD05删除完成二删除AD05后续操作1. 在AD用户和计算机中查看所删除GHAD05计算机账户已清除，如下；2. 打开DNS管理器，右击属性，切换“名称服务器”选项卡，删除GHAD05的DNS记录，如下；3. 打开AD站点和服务，在“Shenzhen”站点中找到GHAD05并手动删除；三总结我们在用CMD命令将停止使用的域控制器删除后,一定要记得将DNS中记录删除,同时删除站点中的相关信息.这才是完整的DC清理流程.。

删除WindowsAD域控制器的三种方法一、域控可以正常工作1、删除辅助域控：单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval然后按提示操作。

2、删除主域控：1)打开Active Directory 用户和计算机->Domain Controllers,右键点击所要删除的辅助域控,在菜单上选择删除.确定删除这台域控制器永远为脱机并且不再能用，运行Active Directory 安装向导（dcpromo）将其降级确定删除然后到控制面板-->管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除；他会有3种选择：1.域控制器降级，继续当计算机使用2.重新开启AD复制3.这台域控制器永远为脱机并且不再能用Active Directory 安装向导（dcpromo）将其降级。

删除NTDS Settings以后就可以把辅助域服务器删除掉了。

二、某台辅助域控已经不可用：在主域控上使用ntdsutil来清除无效的域控，具体操作方法可以参考下面的链接：/kb/216498/zh-cn三、上面使用的是Microsoft推荐的标准方法，但我发现使用图形界面也能彻底删除已经彻底损坏的域控。

到管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除；再删除DNS服务器中所有记录并重启，也能够彻底删除掉废弃的域控。

但如果不重启主域控，则不能使用原域控的主机名作为新域控来重新加入。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

手工删除Active Directory 数据三、我们在上一篇博文中已经把实验环境搭建好了，现在万事具备只欠损坏主域控制器，下面我们关掉主域控制器（DENVER）。

如下图所示：先在FIRENZE的Active Directory中把DENVER删除掉，使用“ntdsutil”工具，打开FIRENZE在命令行中输入“ntdsutil”命令后，如果记不清使用什么命令，可以使用？问一下。

使用“metadata cleanup”清理不使用的服务器的对象使用“connections”连接到一个特定域控制器使用“connect to server firenze”连接到自己，使用“quit”退出到上一级菜单中。

使用“select operation target”选择站点使用“list sites”就会显示出所有的站点，我们只有一个站点，这里的站点是用0代表。

使用“select site 0”就是选中站点了。

使用“list domains in site”列出所选站点中的域，只有 一个域，还是用0代表。

使用“select domain 0”选中这个域。

使用“list server for domain in site”列出所选域和站点中的服务器，列出了主域控制器DENVER和额外域控制器FIRENZE，还是用数字0和1代表。

使用“select server 0”就是选中了DENVER，因为我们是在删除主DENVER。

我们想要选的服务器已经选中了，使用“quit”退出到上一个菜单中。

使用“remove selected server”删除所先的对象DENVER，出现了一个确认对话框，选择“是”。

最后使用“quit”命令退出就可以了。

我们打开“Active Directory 站点和服务”下把“DENVER”选中，右击“删除”。

出现一个对话框,选择“是”现在“DENVER”已经没有了，展开site->default-first-site-name->servers，展开FIRENZE，右击“NTDS Settings”点“属性”，勾上全局编录前面的勾，点确定，如图所示：现在把“全局编录”也转到FIRENZE上了。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

执行在Ad服务与站点中如图在只读域控制器的NTDS的右边RODC上右击更改无效的复制源DNS修改要在DNS记录中删除win08-1的信息在辅助域控的只读DNS设置在DNS-〉win08-2上右击属性将类型辅助区域更改为主要区域如图从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil:metadata cleanupmetadata cleanup:select operation targetselect operation target:connectionsserver connections:connect to domain server connections:quitselect operation target:list sitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target:select site0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target:List domains in siteFound1domain(s)0-DC=test,DC=comFound1domain(s)0-DC=test,DC=comselect operation target:select domain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain-DC=test,DC=comNo current serverNo current Naming Contextselect operation target:List servers for domain in siteFound2server(s)0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=com1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=comselect operation target:select server０select operation target:quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。

b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

c) 分布式文件系统(DFS)客户端已被禁用。

2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。

域控制器降级失败后如何删除AD中的数据1. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

2. 在命令提示符处，键入ntdsutil，然后按 Enter 键。

3. 键入metadata cleanup，然后按Enter 键。

根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

4. 键入connections，然后按 Enter 键。

此菜单用于连接将发生这些更改的具体服务器。

如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。

为此，请键入set creds DomainNameUserNamePassword，然后按Enter 键。

如果密码为空，则键入null 作为密码参数。

5. 键入connect to server servername，然后按 Enter 键。

然后出现一条确认消息，说明已成功建立该连接。

如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除第15 步提到的服务器时，将显示以下错误信息：Error 2094. The DSA Object cannot be deleted0x20946. 键入quit，然后按 Enter 键。

将出现清除元数据菜单。

7. 键入select operation target，然后按 Enter 键。

8. 键入list domains，然后按Enter 键。

将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

9. 键入select domain number，然后按 Enter 键；其中number是与要删除的域相关联的编号。

您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。

10. 键入list sites，然后按Enter 键。

将显示一个站点列表，每个站点都有一个关联的编号。

灾难恢复方法一.目的本文对域控制器的灾难恢复提供指导二．摘要本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复三．目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本四．正文1. Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。

卸载辅助域控制器步骤首先，先打开辅助域控制器，用管理员登陆
登陆后点开始-运行-dcpromo-确定,打开AD向导
点下一步，出现了删除域对话框
因为这里不是最后一台域控制器，所以什么都不选，点下一步
输入新管理员的密码，这里的管理员密码是用来本地登陆此计算机的管理员密码，因为做辅助域控制器就不允许本地登陆了，如果卸载了域控制器就会成为域中的成员计算机，成
员计算机是允许本地管理员进行本地登陆的，这里就是输入一个用管理员进行本地登陆的
密码。

点下一步
出现了摘要信息，删除完域控制器后，这台计算机会成为域的成员，也就是域的客户机，点下一步
现在开始进行删除操作拉，稍等片刻就会删除完成
已经删除完成，点完成
是否立即重新启动，点立即重新启动，辅助域控制器卸载完成。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

清除已经不存在的域控制器对象1、Netsutil://命令符下输入 netsutil.exe2、Metadata cleanup: //Metadata cleanup进入数据库清理模式下面3、select operation target : //select operation target选择操作目标4、select operation target: connections//选择连接目标5、server connections: connect to domain //连接域名也可以连接现有服务器从图中我们可以看出我们连接lovelacedc01的时候提出出错，因为lovelacedc01已经down掉6、quit //退出7、list sites //列出站点8、select site 0 //选择站点09、list domain in stie //列出站点中的域10、select domain 0 //选择域0 这个数字排列一般是按照第一个域为0开始11、list servers for domain in site // 列出域中的服务器12、 select operation target: select server ０//这个可以看到找到两个server 根据对应的server名称来选择13、select operation target: quit //退出14、metadata cleanup:Remove selected server //数据库模式下删除刚才选择的server 出现对话框，按“确定“删除lovelacedc01主控服务器。

15、metadata cleanup:quit //退出16、ntdsutil: quit //退出也可以再次进入metada cleanup模式下进行查看是否清楚成功。

如何彻底删除已经损坏或不用的DC
1、在存活的DC上运行 ntdsutil
2、输入metadata cleanup
3、输入connections
4、输入connect to server 存活DC的主机名（当前的DC就可以）
5、连接成功后，quit推出connect模式
6、输入select operation target（选择站点、域、服务器）
7、输入list domains（列出域）
8、输入select domain *（选择要删除dc所在的域，*代表那个域前面显示的数字）
9、输入list sites（列出站点）
10、输入select site 0（选择要删除的dc所在的站点，*代表站点前面显示的数字）
11、输入 list servers in site（列出所选站点下的服务器）
12、输入 select server *（*代表你要删除的dc前面的序号）
13、选择以后，输入 quit，推到metadata cleanup下
14、输入remove selected server
15、系统会出现对话框，提示是否删除，选择“是”
16、打开“AD站点和服务”，找到要删除的那个DC，删除即可
17、重启服务器
重启之后打开dns，发现以前的多余的dc的记录也已经随之删除了，删除的很干净
这里提出注意的几个点：
1、在选择域、站点、服务器的时候一定要看清楚，确定是要删除的那个，操作要仔细
2、在选择域、站点、服务器的时候，一定要用前面的序号，直接写名称无效，会报错的
3、在操作过程中，记不住具体的命令没关系，要学会使用“？”，
可以列出支持的命令，这样，就可以对照着操作了。

AD 域DNS 分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS 集成安装，而且集成安装的方法好处有：使DNS 也得到AD 的安全保护，DNS 的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS 服务器，并且即将安装的DC 控制器负载预计会很重，如果觉得DC 本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS 服务器（DNS-srv ）+主域控制器（AD-zhu ）+额外域控制器（AD-fu 点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址）huanjing.png对于DC 和DNS 分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS 。

先安装DC 在安装DNS 的话，需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录，Cname 记录，NS 记录。

那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤：1.DNS 服务器的安装；2.DC 主控制器的安装；3.DC 额外控制器的安装。

接下来我们分步实现······为了更加了解DC 和DNS 的关系，安装前请先参阅：/zh-cn/library/cc739159(v=ws.10)安装 Active Directory 的 DNS 要求 AD-zhu DC 192.168.23.20 Client-0客户端192.168.23.40DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

域控制器的删除6.2.3 正常删除域控制器示例【注意】无论是正常删除，还是强制删除，当域控制器上安装了"证书"服务时，不能删除域控制器，必须先卸载证书服务组件。

另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。

如果群集管理器也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称 /forcecleanup当不再需要某服务器担当域控制器角色，而需要该服务器成为网络中的一台普通成员服务器时，可以通过删除其中的活动目录来降级该域控制器成为成员服务器。

这也就是通常所说的域控制器删除。

一般来说，可以通过正常运行Active Directory安装向导来删除域控制器。

【经验之谈】可以删除域中的任何域控制器，包括第一台域控制器，但是如果要删除全局编录的域控制器，则要确保网络中还有其他域控制器配置为全局编录角色，否则网络中没有一台域控制器是全局编录角色，会影响用户的网络访问性能的。

在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框，提示必须先要确保网络中有足够的全局编录角色域控制器。

全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。

在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不需要其他域控制器参考搜索。

配置域控制器为全局编录角色的方法是在"Active Directory站点和服务"管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器（如图6-74所示），然后在右侧窗格中的NTDS Settings项上右击，在"常规"选项卡中选择"全局编录"复选项，如图6-75所示。

下面介绍正常情况下的域控制器删除方法。

在此以删除lycb.local中的一台额外域控制器lycb-dc2为例进行介绍。

域控制器的强制卸载上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。

为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。

例如我曾见过一个单位有10个域控制器，居然有7个不能相互复制，主要是管理员误以为域控制器越多越好….类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。

域控制器强行卸载的原理也很简单，那就是卸载时不再通知复制伙伴，直接把AD删除就好。

这样的卸载方式是要相对简单一些，但其实后续的操作很麻烦，例如我们需要在Active Directory中手工清除被强制卸载的域控制器，手工清除DNS中的SRV记录等。

因此，如果不是万不得已，还是用常规卸载比较好。

如下图所示，我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载，我们进行强制卸载的目标是shanghai站点的Firenze。

一强制卸载域控制器首先我们在被卸载的域控制器Firenze上打开cmd命令提示符，执行dcpromo/forceremoval，forceremoval参数的作用就是执行强制卸载，如下图所示，卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更新。

接下来我们需要设置Firenze本地管理员的口令。

强制卸载域控制器后，Firenze将不再成为域内的成员服务器，而是会从域中脱离出去成为工作组中的独立服务器。

如下图所示，点击完成结束了域控制器的强制卸载。

二手工清除Active Directory数据Firenze被强制卸载后，域内的其他域控制器并不知道这件事情，它们仍然认为Firenze是域控制器的一员，因此我们必须手工将Firenze从Active Directory中清除出去。

我们准备在Berlin上对Active Directory进行手工清理，然后Berlin再把清理后的Active Directory复制到其他域控制器就可以了。

主域控制器损坏后，备份域控制器抢夺五种角色在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

________________________________________Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

Windows_server_2003_AD_DC域配置-域控制器的卸载与清理我们现在已经有一些Active Directory的部署及管理经验了，今天我们要考虑一个问题，如果一个域控制器我们不需要了，那应该如何处理呢？直接把它砸了是不对的，这未免太暴力了，和当前的和谐环境有些格格不入哦。

关键是，如果我们让这台域控制器直接消失，那么其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制，客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。

如果这个被暴力卸载的域控制器还承担着一些操作主机角色，我们就更麻烦了。

因此，我们进行域控制器卸载时，一定要把工作做到位，优先使用常规卸载，争取不留后患。

有些朋友可能会说，我也希望用常规卸载，但有时就是不能正常卸载，没办法，只好…..我们要分析一下，为什么域控制器无法正常卸载呢？当域控制器进行常规卸载时，AD的内容发生了变化，域控制器会把这个变化通知自己的复制伙伴，再由自己的复制伙伴通知其他域控制器。

如果所有的域控制器都通知到了，那就肯定可以正常卸载，而且DNS记录，操作主机角色，AD复制拓扑等问题都可以迎刃而解。

因此，域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面，域控制器卸载时也要进行AD复制。

想知道一个域控制器是否可以正常卸载，我们只要在Active Directory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了，只要能进行AD 复制，基本卸载域控制器时就没有问题。

我们举一个域控制器正常卸载的例子，拓扑如下图所示，我们准备卸载shanghai站点内的域控制器perth。

从拓扑可以看出，perth的复制伙伴应该是Firenze，只要perth和Firenze之间可以进行AD 复制，perth应该就可以进行域控制器卸载。

在perth上运行Dcpromo，如下图所示，出现Active Directory安装向导，向导判断我们准备把Active Directory删除，点击“下一步”继续。