强制删除多余的域控制器

强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval强制删除命令强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息。

因为强制删除过程中，不会与域中其他的域控制器进行联系，也就不会删除域中的相关信息（如"Active Directory用户和计算机"控制台Domain Controllers容器中的域控制器信息，正常删除时会同步删除相关信息）。

1．强制删除域控制器本示例以在正常删除操作出现如图6-83所示错误的lycb-dc2额外域控制器删除为例进行介绍。

强制删除域控制器的具体步骤如下：（1）在要强制删除的域控制器lycb-dc2的"运行"窗口中键入dcpromo /forceremoval命令（forceremoval参数的作用就是执行强制删除），同样会打开如图6-76所示的"Active Directory安装向导"对话框。

（2）单击"下一步"按钮，打开如图6-83所示的对话框，提示这里进行的强制删除操作将不删除林数据信息。

（3）单击"下一步"按钮，打开如图6-84所示的对话框。

要求输入有权删除域控制器的域用户账户，也可直接输入域管理员账户信息。

（4）单击"下一步"按钮，打开如图6-85所示的对话框，显示了本步操作的选择摘要。

在不更新林数据的情况下强制删除该域控制器上的活动目录信息。

强制删除域控制器示例（2）完成后显示如图6-87所示的向导完成对话框，在其中提示已成功删除该域控制器上的活动目录。

强制删除域控制器后，lycb-dc2将不再成为域内的额外域控制器，而是会从域中脱离出去成为工作组中的独立服务器。

单击"完成"按钮结束域控制器的强制删除任务。

2．手工清除已删除域控制器的Active Directory元数据Lycb-dc2被强制删除后，林内的其他域控制器并不知道这件事情，因为在上述强制删除操作中不更新林数据。

创建⼀个完整的域前⾔我们按照下图来创建第⼀个林中的第⼀个域。

创建⽅法为先安装⼀台Windows服务器，然后将其升级为域控制器。

然后创建第⼆台域控制器，⼀台成员服务器与⼀台加⼊域的Win8计算机。

⼀般说主和备，主要是指担任PDC放置的⾓⾊的这台DC，所有修改密码的操作必须由这台DC应答。

除了修改密码、域管理、林管理，其他操作（主要是⾝份验证）都可以随便抓⼀台DC来完成。

DNS是⼀个列表，在整个林⾥⾯同步，除了PDC放置有单独的列表，其它DC⼀般没有权重。

也就是PDC故障，如果不需要修改⽤户的密码，可以不⽤管环境⽹络192.168.100.0/24 ⽹关192.168.100.2域名 配置ip，去掉ipv6，禁⽤TCP/IP上的NetBIOSDC1：192.168.100.11/24DC2：192.168.100.12/24Server：192.168.100.13/24PC1：192.168.100.14/24创建域的必备条件DNS域名：先要想好⼀个符合dns格式的域名，如 DNS服务器：域中需要将⾃⼰注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要⼀台可⽀持AD的DNS服务器，并且⽀持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要⼀个SYSVOL⽂件夹来存储域共享⽂件（例如域组策略有关的⽂件），该⽂件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建⽹络中的第⼀台域控制器创建更多的域控制器如果⼀个域内有多个域控制器，可以有如下好处.提⾼⽤户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核⽤户登录⾝份（账户与密码）的负担，让⽤户登录效率更佳。

排错功能：如果有域控制器发⽣故障，此时依然能有其他正常的域控制器继续提供域服务器。

我们将 DC2 升级为域控制器⾸先改名，改ip，主DNS填写⾃⼰的IP，备DNS填写主域控的IP（因为要发现当前环境中的域，那么DNS就要指向主域控的IP地址）后⾯都和前⾯⼀样安装功能，然后提升为域控需要注意的是，这⾥不同，将域控添加到现有域，输⼊域名，并且输⼊现有权限添加域控的账户contoso\administrator的密码。

过程1：仅限Windows Server 2003 SP11. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

2. 在命令提示符处，键入ntdsutil，然后按Enter。

3. 键入metadata cleanup，然后按Enter。

根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

4. 键入connections，然后按Enter。

此菜单用于连接将发生这些更改的具体服务器。

如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。

为此，请键入set creds DomainNameUserNamePassword，然后按Enter。

如果密码为空，则键入null 作为密码参数。

5. 键入connect to server servername，然后按Enter。

然后出现一条确认消息，说明已成功建立该连接。

如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤15 提到的服务器时，将显示以下错误消息：错误2094。

不能删除DSA 对象。

0x20946. 键入quit，然后按Enter。

将出现“清除元数据”菜单。

7. 键入select operation target，然后按Enter。

8. 键入list domains，然后按Enter。

将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

9. 键入select domain number，然后按Enter；其中number 是与要删除的服务器所属域相关联的编号。

您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。

10. 键入list sites，然后按Enter。

将出现一个站点列表，其中每个站点都带有一个关联的编号。

11. 键入select site number，然后按Enter；其中number 是与要删除的服务器所属站点相关联的编号。

引用：/zh-cn/library/cc771839(WS.10).aspx删除域中的最后一个Windows Server 2008 域控制器更新时间: 2009年1月应用到: Windows Server 2008, Windows Server 2008 R2此部分中的过程描述了下列用于删除域中最后一个域控制器的方法：该域可以是子域，也可以是域树。

∙使用Windows 界面删除域中最后一个Windows Server 2008 域控制器∙使用答案文件删除域中最后一个Windows Server 2008 域控制器∙通过在命令行输入无人参与安装参数删除域中最后一个Windows Server 2008 域控制器使用Windows 界面删除域中最后一个Windows Server 2008 域控制器Active Directory 域服务安装向导提供删除域所需的所有步骤。

在删除域期间，Active Directory 域服务安装向导显示了存储在域控制器上的所有应用程序目录分区的列表。

如果应用程序目录分区由Active Directory 域服务(AD DS) 之外的某个应用程序创建，则首先尝试使用该应用程序提供的相应工具来删除这些目录分区。

如果该应用程序没有提供这样的工具，则您可以让Active Directory 域服务安装向导删除目录分区。

如果您删除AD DS，则由AD DS 创建的应用程序目录分区（如DomainDNSZones应用程序目录分区）将无法保留。

如果域控制器承载的是任何集成了Active Directory 的DNS 区域，则该向导将删除这些区域，并且默认情况下还会尝试删除指向域控制器的区域的DNS 委派。

管理凭据若要完成此过程，您必须是林中Enterprise Admins 组的成员。

使用Windows 界面删除域中最后一个域控制器的步骤1.依次单击“开始”、“运行”，键入dcpromo，然后按Enter。

去除电脑域控的方法
要删除电脑的域控制器，可以按照以下步骤进行：
1. 打开Active Directory用户和计算机，找到Domain Controllers，右键点击要删除的辅助域控，在菜单上选择删除。

2. 确定删除这台域控制器，它将永远为脱机并且不再可用。

运行Active Directory安装向导（dcpromo）将其降级。

3. 确定删除后，到控制面板-->管理工具-->AD站点和服务-->Sites--
>Default-First-Site-Name-->servers下面找到其他的辅助域服务器。

在删除备份域服务器前先要把其下面的NTDS Settings删除。

4. 删除NTDS Settings以后就可以把辅助域服务器删除掉了。

以上步骤仅供参考，建议咨询专业人士以确保操作正确。

执行在Ad服务与站点中如图在只读域控制器的NTDS的右边RODC上右击更改无效的复制源DNS修改要在DNS记录中删除win08-1的信息在辅助域控的只读DNS设置在DNS-〉win08-2上右击属性将类型辅助区域更改为主要区域如图从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil:metadata cleanupmetadata cleanup:select operation targetselect operation target:connectionsserver connections:connect to domain server connections:quitselect operation target:list sitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target:select site0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target:List domains in siteFound1domain(s)0-DC=test,DC=comFound1domain(s)0-DC=test,DC=comselect operation target:select domain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain-DC=test,DC=comNo current serverNo current Naming Contextselect operation target:List servers for domain in siteFound2server(s)0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=com1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =test,DC=comselect operation target:select server０select operation target:quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。

b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

c) 分布式文件系统(DFS)客户端已被禁用。

2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。

产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。

b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

c) 分布式文件系统(DFS)客户端已被禁用。

2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。

卸载辅助域控制器步骤首先，先打开辅助域控制器，用管理员登陆
登陆后点开始-运行-dcpromo-确定,打开AD向导
点下一步，出现了删除域对话框
因为这里不是最后一台域控制器，所以什么都不选，点下一步
输入新管理员的密码，这里的管理员密码是用来本地登陆此计算机的管理员密码，因为做辅助域控制器就不允许本地登陆了，如果卸载了域控制器就会成为域中的成员计算机，成
员计算机是允许本地管理员进行本地登陆的，这里就是输入一个用管理员进行本地登陆的
密码。

点下一步
出现了摘要信息，删除完域控制器后，这台计算机会成为域的成员，也就是域的客户机，点下一步
现在开始进行删除操作拉，稍等片刻就会删除完成
已经删除完成，点完成
是否立即重新启动，点立即重新启动，辅助域控制器卸载完成。

清除已经不存在的域控制器对象1、Netsutil://命令符下输入 netsutil.exe2、Metadata cleanup: //Metadata cleanup进入数据库清理模式下面3、select operation target : //select operation target选择操作目标4、select operation target: connections//选择连接目标5、server connections: connect to domain //连接域名也可以连接现有服务器从图中我们可以看出我们连接lovelacedc01的时候提出出错，因为lovelacedc01已经down掉6、quit //退出7、list sites //列出站点8、select site 0 //选择站点09、list domain in stie //列出站点中的域10、select domain 0 //选择域0 这个数字排列一般是按照第一个域为0开始11、list servers for domain in site // 列出域中的服务器12、 select operation target: select server ０//这个可以看到找到两个server 根据对应的server名称来选择13、select operation target: quit //退出14、metadata cleanup:Remove selected server //数据库模式下删除刚才选择的server 出现对话框，按“确定“删除lovelacedc01主控服务器。

15、metadata cleanup:quit //退出16、ntdsutil: quit //退出也可以再次进入metada cleanup模式下进行查看是否清楚成功。

一步一步删除域残留信息去年《加入、升降级域故障的解决》一文讲述了降级失败后如何强制删除额外域控制器。

如果仍然想将计算机B（降级后）不改名称加入到原主域中，那就需要手动清除残留在原主域控制器的信息，清除方法如下：在主域服务器上单击“开始→运行”，输入“cmd”后点“确定”。

1.在命令提示符下，输入ntdsutil，然后按回车键。

2.接着输入metadata cleanup按回车键。

3.再输入connections按回车键，此菜单是用于连接将在其上进行这些更改的具体服务器。

4.输入connect to server主域服务器完整的计算机名称，你会收到一条说明该连接已经成功建立的确认消息。

5.输入quit，然后按回车键。

将显示Metadata Cleanup菜单。

6.输入select operation target，然后按回车键。

7.输入list domains，然后按回车键。

将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

8.输入select domain 编号，然后按回车键，其中编号是与域关联的编号，要删除的服务器是该域的成员。

选择的域用于确定正在删除的服务器是否为该域的最后一个域控制器。

9.输入list sites，然后按回车键。

将显示一个站点列表，每一个站点都有一个关联的编号。

10.输入select site 编号，然后按回车键，其中编号是与站点关联的编号，要删除的服务器是该站点的成员。

你会收到一条列出所选站点和域的确认消息。

11.输入list servers in site，然后按回车键。

将显示一个列出站点中所有服务器的列表，每一个服务器都有一个关联的编号。

12.输入 select server 编号，其中编号是与要删除的服务器（计算机B）关联的编号。

你会收到一条确认消息，其中列出所选的服务器、该服务器的“域名服务器” DNS 主机名，以及要删除的服务器（计算机B）账户的位置。

引用：/zh-cn/library/cc771844(WS.10).aspx从域中删除Windows Server 2008 域控制器更新时间: 2009年1月应用到: Windows Server 2008, Windows Server 2008 R2此部分中的过程描述了删除域中最后一个域控制器的方法：∙使用Windows 界面删除Windows Server 2008 域控制器∙使用答案文件删除Windows Server 2008 域控制器∙通过在命令行输入无人参与安装参数删除Windows Server 2008 域控制器使用Windows 界面删除Windows Server 2008 域控制器您可以使用Active Directory 域服务安装向导从现有域中删除域控制器。

如果域控制器承载的是任何集成了Active Directory 的DNS 区域，则该向导将删除这些区域，并且默认情况下还会尝试删除指向域控制器的区域的DNS 委派。

管理凭据若要执行此过程，您必须是域中Domain Admins 组的成员。

使用Windows 界面删除域控制器的步骤1.依次单击“开始”、“运行”，键入dcpromo，然后按Enter。

2.在“欢迎使用Active Directory 域服务安装向导”页面上，单击“下一步”。

3.如果该域控制器是全局编录服务器，则会出现一条消息，警告您从环境中删除全局编录服务器的后果。

单击“确定”继续。

4.在“删除域”页上，不进行任何选择，然后单击“下一步”。

5.如果该域控制器具有应用程序目录分区，则在“应用程序目录分区”页上，查看列表中的应用程序目录分区，然后按照如下方式删除或保留应用程序目录分区：∙如果您不想保留存储在域控制器上的任何应用程序目录分区，请单击“下一步”。

∙如果您想保留某个应用程序已经在域控制器上创建的某个应用程序目录分区，则使用创建该分区的应用程序删除它，然后单击“刷新”以更新列表。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

引用：/zh-cn/library/cc731871(WS.10).aspx强制删除Windows Server 2008 域控制器更新时间: 2009年1月应用到: Windows Server 2008, Windows Server 2008 R2此部分中的过程描述如何强制删除运行Windows Server 2008 的域控制器。

您可以使用Windows Server 2008 中的新功能强制删除域控制器，即使该域控制器已在目录服务还原模式下启动。

通常，只有当域控制器与其他域控制器没有连接时，才能强制删除该域控制器。

由于在操作期间该域控制器无法联系其他域控制器，因此当删除域控制器时AD DS 林元数据通常不会自动更新。

删除域控制器之后，您必须手动更新林元数据。

有关执行元数据清理的详细信息，请参阅Microsoft 知识库中的文章216498(/fwlink/?LinkId=80481)（可能为英文网页）。

您可以在命令行或使用答案文件强制删除域控制器。

强制删除Windows Server 2008 域控制器强制删除域控制器1.在命令提示符下，键入以下内容，然后按Enter：dcpromo /forceremoval如果域控制器托管任何操作主机角色，或者它是DNS 服务器或全局编录服务器，则会出现警告，解释强制删除将如何影响其余环境。

阅读每个警告之后，单击“是”。

若要在删除操作之前抑制警告，请在命令行键入/demotefsmo:yes。

2.在“欢迎使用Active Directory 域服务安装向导”页上，单击“下一步”。

3.在“强制删除Active Directory 域服务”页上，查看有关强制删除AD DS 和元数据清理要求的信息，然后单击“下一步”。

4.在“管理员密码”页面上，为本地Administrator 帐户键入安全密码并确认，然后单击“下一步”。

5.在“摘要”页上，检查您的选择。

域控制器的强制卸载上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。

为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。

例如我曾见过一个单位有10个域控制器，居然有7个不能相互复制，主要是管理员误以为域控制器越多越好….类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。

域控制器强行卸载的原理也很简单，那就是卸载时不再通知复制伙伴，直接把AD删除就好。

这样的卸载方式是要相对简单一些，但其实后续的操作很麻烦，例如我们需要在Active Directory中手工清除被强制卸载的域控制器，手工清除DNS中的SRV记录等。

因此，如果不是万不得已，还是用常规卸载比较好。

如下图所示，我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载，我们进行强制卸载的目标是shanghai站点的Firenze。

一强制卸载域控制器首先我们在被卸载的域控制器Firenze上打开cmd命令提示符，执行dcpromo/forceremoval，forceremoval参数的作用就是执行强制卸载，如下图所示，卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更新。

接下来我们需要设置Firenze本地管理员的口令。

强制卸载域控制器后，Firenze将不再成为域内的成员服务器，而是会从域中脱离出去成为工作组中的独立服务器。

如下图所示，点击完成结束了域控制器的强制卸载。

二手工清除Active Directory数据Firenze被强制卸载后，域内的其他域控制器并不知道这件事情，它们仍然认为Firenze是域控制器的一员，因此我们必须手工将Firenze从Active Directory中清除出去。

我们准备在Berlin上对Active Directory进行手工清理，然后Berlin再把清理后的Active Directory复制到其他域控制器就可以了。

域控制器的终极卸载在上篇博文中，我们介绍了用Dcpromo/Forceremoval对域控制器进行强行卸载。

一般情况下，用这种强制卸载方法基本可以解决问题。

但如果有些域控制器的Active Directory损坏严重，严重到了无法对Active Directory进行初始化，以致于无法登录操作系统。

这种情况下我们就要犯愁了，Dcpromo/forcer emoval需要登录系统后才能执行，现在系统无法正常登录，那该如何是好呢？别着急，本文将为大家介绍另外一种卸载Active Directory的方法，这种方法将更加麻烦，更加血腥，更加暴力，更加强大…..这种强制卸载方法的思路是先进入目录服务还原模式，这样就可以避开损坏的Active Directory，以安全模式进入系统。

然后通过修改注册表强行将域控制器改为独立服务器，最后再手工删除Active Directory数据库。

这样做完后从形式上看域控制器就变成一个成员服务器了，只是系统中还保留了一些域控制器使用的服务和注册表键值。

如果希望做得更完善一些，可以临时把这台计算机升级为一个域的域控制器，升级完成后立即进行域控制器的卸载，这样一番复杂操作后基本上可以保证卸载效果和运行Dcpromo/forceremoval大致相当。

我们以Florence为例为大家演示操作过程。

Florence是的域控制器，由于Active Directory损坏无法进入系统，我们首先要使用目录服务还原模式进入系统，在系统启动时我们按下F8，如下图所示，选择进入“目录服务还原模式”。

目录服务还原模式不加载Active Directory，因此可以避开损坏的Active D irectory所带来的问题，如下图所示，我们通过目录服务还原模式可以顺利进入系统。

登录进入系统后，我们要通过修改注册表键值把域控制器强行变为独立服务器，运行Regedit，如下图所示，定位到HKEY_Local_Machine\System\Curren tControlSet\Control\Productoptions\ProductType，这个键值决定了服务器的身份。

如何在主域控制器删除备份域控制器产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:2、a) 到当前域控制器的名称解析/网络连接。

3、b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

4、c) 分布式文件系统(DFS)客户端已被禁用。

5、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?? -Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles - Manage NTDS database filesHelp - Show this help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?? - Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup ,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?? - Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。