本文介紹在域控制器降級失敗後,如何刪除 Active Directory 中的數據。
警告:如果使用“ADSI 編輯”管理單元、LDP 實用工具或任何其他 LDAP 版本 3 客戶端,並且不恰當地修改了 Active Directory 對象的屬性,則可能造成嚴重問題。要解決這些問題,您可能需要重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003,或者 Windows 和 Exchange 二者都需要重新安裝。Microsoft 不保證能夠解決因爲 Active Directory 對象屬性修改不當而導致的問題。修改這些屬性需要您自擔風險。
Active Directory 安裝嚮導 (Dcpromo.exe) 用於將服務器提升爲域控制器,以及將域控制器降級爲成員服務器(或者在該域控制器是域中的最後一個域控制器時,將其降級爲工作組中的獨立服務器)。作爲降級過程的一部分,此嚮導會將該域控制器的配置數據從 Active Directory 中刪除。此數據的形式是“NTDS 設置”對象,在“Active Directory 站點和服務”中作爲服務器對象的一個子對象存在。
該信息位於 Active Directory 中的以下位置:
CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...
“NTDS 設置”對象的屬性包括:代表如何針對域控制器的複製夥伴標識域控制器的數據、計算機中保存的命名上下文、域控制器是否爲全局編錄服務器,以及默認查詢策略。“NTDS 設置”對象也是一個容器,其中可以包含代表域控制器的直接複製夥伴的子對象。該數據是域控制器在環境中運行所必需的,但域控制器降級後就不再使用該數據了。
如果未正確刪除“NTDS 設置”對象(例如,未從降級嘗試中正確刪除“NTDS 設置”對象),管理員可以使用 Ntdsutil.exe 實用工具手動刪除“NTDS 設置”對象。以下步驟列出了在特定域控制器的 Active Directory 中刪除“NTDS 設置”對象的過程。在每個 Ntdsutil 菜單上,管理員可以鍵入 help 以瞭解有關可用選項的更多信息。
如果未正確刪除“NTDS 設置”對象(例如,未從降級嘗試中正確刪除“NTDS 設置”對象),管理員可以使用 Ntdsutil.exe 實用工具手動刪除“NTDS 設置”對象。以下步驟列出了在特定域控制器的 Active Directory 中刪除“NTDS 設置”對象的過程。在每個 Ntdsutil 菜單上,管理員可以鍵入 help 以瞭解有關可用選項的更多信息。
Windows Server 2003 Service Pack 1 (SP1) - Ntdsutil.exe 的增強版本
Windows Server 2003 Service Pack 1 中包含的 Ntdsutil.exe 版本已經過增強,可使元數據清除過程更加徹底。在運行元數據清除時,SP1 中包含的 Ntdsutil.exe 將執行下列操作:
- 刪除“NTDSA 設置”或“NTDS 設置”主題。
- 刪除現有目標 DC 用於從要刪除的源 DC 複製數據的入站 AD 連接對象。
- 刪除計算機帳戶。
- 刪除 FRS 成員對象。
- 刪除 FRS 訂閱者對象。
- 嘗試獲取由要刪除的 DC 所擁有的靈活單操作主機角色(又稱爲靈活單主機操作或 FSMO)。
警告:在手動刪除任何服務器的“NTDS 設置”對象之前,管理員還必須確保在降級之後已進行了複製。Ntdsutil 實用工具使用不當可能導致 Active Directory 功能部分或全部喪失。
過程 1:僅限 Windows Server 2003 SP1
- 單擊“開始”,指向“程序”,指向“附件”,然後單擊“命令提示符”。
- 在命令提示符處,鍵入 ntdsutil,然後按 Enter。
- 鍵入 metadata cleanup,然後按 Enter。根據所給出的選項,管理員可以執行刪除操作,但在實施刪除之前還必須指定另外一些配置參數。
- 鍵入 connections,然後按 Enter。此菜單用於連接將發生這些更改的具體服務器。如果當前登錄的用戶沒有管理權限,可以在建立連接之前指定要使用的替代憑據。爲此,請鍵入 set creds DomainNameUserNamePassword,然後按 Enter。如果密碼爲空,則鍵入 null 作爲密碼參數。
- 鍵入 connect to server servername,然後按 Enter。然後出現一條確認消息,說明已成功建立該連接。如果出現錯誤,則確認連接中所用的域控制器是否可用,以及您提供的憑據對該服務器是否有管理權限。
注意:如果嘗試連接的服務器正是要刪除的服務器,那麼在嘗試刪除步驟 15 提到的服務器時,將顯示以下錯誤消息:錯誤 2094。不能刪除 DSA 對象。0x2094 - 鍵入 quit,然後按 Enter。將出現“清除元數據”菜單。
- 鍵入 select operation target,然後按 Enter。
- 鍵入 list domains,然後按 Enter。將顯示一個列出目錄林中所有域的列表,每一個域都有一個關聯的編號。
- 鍵入 select domain number,然後按 Enter;其中 number 是與要刪除的服務器所屬的域相關聯的編號。您選擇的域將用於確定要刪除的服務器是否爲該域的最後一個域控制器。
- 鍵入 list sites,然後按 Enter。將出現一個站點列表,其中每個站點都帶有一個關聯的編號。
- 鍵入 select site number,然後按 Enter;其中 number 是與要刪除的服務器所屬站點相關聯的編號。將出現一條確認消息,其中列出了所選的站點和域。
- 鍵入 list servers in site,然後按 Enter。將顯示一個列出站點中所有服務器的列表,每個服務器都有一個關聯的編號。
- 鍵入 select server number,其中 number 是與要刪除的服務器關聯的編號。將出現一條確認消息,其中會列出所選的服務器、該服務器的域名系統 (DNS) 主機名以及要刪除的服務器的計算機帳戶位置。
- 鍵入 quit,然後按 Enter。將出現“清除元數據”菜單。
- 鍵入 remove selected server,然後按 Enter。將出現一條確認消息,說明刪除成功完成。如果出現以下錯誤消息,則說明“NTDS 設置”對象可能已從 Active Directory 中刪除,原因可能是其他管理員刪除了該“NTDS 設置”對象,或者在運行 DCPROMO 實用工具成功刪除該對象後又執行了一次此操作。
錯誤 8419 (0x20E3)
找不到 DSA 對象
注意:當您嘗試綁定到要刪除的域控制器時,也可能會出現此錯誤。Ntdsutil 綁定到的域控制器不能是要通過清除元數據來刪除的域控制器。 - 鍵入 quit,然後在每個菜單上按 Enter,退出 Ntdsutil 實用工具。將出現一條確認消息,說明連接已成功斷開。
- 在 DNS 的 _msdcs.<目錄林的根域> 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC,將創建一個新的“NTDS 設置”對象,它將具有新的 GUID 並在 DNS 中擁有一個匹配的 cname 記錄。您不希望現有 DC 使用舊的 cname 記錄。
最佳做法是刪除主機名和其他 DNS 記錄。如果已超出爲脫機服務器分配的動態主機配置協議 (DHCP) 地址上所剩的租用時間,另一個客戶端即可獲得問題 DC 的 IP 地址。 - 在 DNS 控制檯中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱爲“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。另外,請刪除 _msdcs 容器中的 cname 記錄。爲此,請展開“_msdcs”容器,右鍵單擊“cname”,然後單擊“刪除”。
重要說明:如果這是一臺 DNS 服務器,請在“名稱服務器”選項卡下刪除對該 DC 的引用。爲此,在 DNS 控制檯中,在“正向查找區域”下單擊該域名,然後從“名稱服務器”選項卡中刪除該服務器。
注意:如果有反向查找區域,也要將服務器從這些區域中刪除。 - 如果刪除的計算機是子域中的最後一個域控制器,而且該子域也已刪除,請使用 ADSIEdit 刪除該子域的 trustDomain 對象。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,鍵入 adsiedit.msc,然後單擊“確定”。
- 展開“域 NC”容器。
- 展開“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。
- 展開“CN=System”。
- 右鍵單擊“Trust Domain”對象,然後單擊“刪除”。
- 使用“Active Directory 站點和服務”刪除域控制器。爲此,請按照下列步驟操作:
- 啓動“Active Directory 站點和服務”。
- 展開“站點”。
- 展開服務器的站點。默認站點爲“Default-First-Site-Name”。
- 展開“服務器”。
- 右鍵單擊域控制器,然後單擊“刪除”。
過程 2:Windows 2000(所有版本)、Windows Server 2003 RTM
- 單擊“開始”,指向“程序”,指向“附件”,然後單擊“命令提示符”。
- 在命令提示符處,鍵入 ntdsutil,然後按 Enter。
- 鍵入 metadata cleanup,然後按 Enter。根據所給出的選項,管理員可以執行刪除操作,但在實施刪除之前還必須指定另外一些配置參數。
- 鍵入 connections,然後按 Enter。此菜單用於連接將發生這些更改的具體服務器。如果當前登錄的用戶沒有管理權限,則可以在建立連接之前指定要使用的替代憑據。爲此,請鍵入 set creds DomainNameUserNamePassword,然後按 Enter。如果密碼爲空,則鍵入 null 作爲密碼參數。
- 鍵入 connect to server servername,然後按 Enter。然後出現一條確認消息,說明已成功建立該連接。如果出現錯誤,則確認連接中所用的域控制器是否可用,以及您提供的憑據對該服務器是否有管理權限。
注意:如果嘗試連接的服務器正是要刪除的服務器,那麼在嘗試刪除步驟 15 提到的服務器時,將顯示以下錯誤消息:錯誤 2094。不能刪除 DSA 對象。0x2094 - 鍵入 quit,然後按 Enter。將出現“清除元數據”菜單。
- 鍵入 select operation target,然後按 Enter。
- 鍵入 list domains,然後按 Enter。將顯示一個列出目錄林中所有域的列表,每一個域都有一個關聯的編號。
- 鍵入 select domain number,然後按 Enter;其中 number 是與要刪除的服務器所屬的域相關聯的編號。您選擇的域將用於確定要刪除的服務器是否爲該域的最後一個域控制器。
- 鍵入 list sites,然後按 Enter。將顯示一個站點列表,每個站點都有一個關聯的編號。
- 鍵入 select site number,然後按 Enter;其中 number 是與要刪除的服務器所屬站點相關聯的編號。將出現一條確認消息,其中列出了所選的站點和域。
- 鍵入 list servers in site,然後按 Enter。將顯示一個列出站點中所有服務器的列表,每個服務器都有一個關聯的編號。
- 鍵入 select server number,其中 number 是與要刪除的服務器關聯的編號。將出現一條確認消息,其中會列出所選的服務器、該服務器的域名系統 (DNS) 主機名以及要刪除的服務器的計算機帳戶位置。
- 鍵入 quit,然後按 Enter。將出現“清除元數據”菜單。
- 鍵入 remove selected server,然後按 Enter。將出現一條確認消息,說明刪除成功完成。如果出現以下錯誤消息:
則說明“NTDS 設置”對象可能已從 Active Directory 中刪除,原因可能是其他管理員刪除了該“NTDS 設置”對象,或者在運行 Dcpromo 實用工具成功刪除該對象後又執行了一次此操作。錯誤 8419 (0x20E3)
找不到 DSA 對象
注意:當您嘗試綁定到要刪除的域控制器時,也可能會出現此錯誤。Ntdsutil 綁定到的域控制器不能是要通過清除元數據來刪除的域控制器。 - 在每個菜單中鍵入 quit,退出 Ntdsutil 實用工具。將出現一條確認消息,說明連接已成功斷開。
- 在 DNS 的 _msdcs.<目錄林的根域> 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC,將創建一個新的“NTDS 設置”對象,它將具有新的 GUID 並在 DNS 中擁有一個匹配的 cname 記錄。您不希望現有 DC 使用舊的 cname 記錄。
最佳做法是刪除主機名和其他 DNS 記錄。如果已超出爲脫機服務器分配的動態主機配置協議 (DHCP) 地址上所剩的租用時間,另一個客戶端即可獲得問題 DC 的 IP 地址。
注意:在 Windows Server 2003 RTM 中不需要手動刪除 FRS 成員對象,因爲在您運行 Ntdsutil.exe 實用工具時,它已經刪除了 FRS 成員對象。另外,如果 DC 的計算機帳戶包含其他頁對象,則無法刪除該計算機帳戶的元數據。例如,DC 上可能安裝了遠程安裝服務 (RIS)。
Windows 2000 Server 和 Windows Server 2003 的 Windows 支持工具功能中都附帶有 Adsiedit 實用工具。要安裝 Windows 支持工具,請按照下列步驟操作:
- Windows 2000 Server:在 Windows 2000 Server CD 上,打開 Support\Tools 文件夾,雙擊“Setup.exe”,然後按照屏幕上的說明操作。
- Windows Server 2003:在 Windows Server 2003 CD 上,打開 Support\Tools 文件夾,雙擊“Suptools.msi”,單擊“安裝”,然後按照 Windows 支持工具安裝嚮導中的步驟操作以完成安裝。
- 使用 ADSIEdit 刪除計算機帳戶。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。
- 展開“域 NC”容器。
- 展開“DC=<您的域名>, DC=COM, PRI, LOCAL, NET”。
- 展開“OU=Domain Controllers”。
- 右鍵單擊“CN=<域控制器名>”,然後單擊“刪除”。
注意:刪除計算機對象時,也將刪除 FRS 訂閱者對象,因爲它是計算機帳戶的子對象。 - 使用 ADSIEdit 刪除 FRS 成員對象。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。
- 展開“域 NC”容器。
- 展開“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。
- 展開“CN=System”。
- 展開“CN=File Replication Service”。
- 展開“CN=Domain System Volume (SYSVOL share)”。
- 右鍵單擊要刪除的域控制器,然後單擊“刪除”。
- 在 DNS 控制檯中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱爲“主機”記錄。要刪除 A 記錄,請右鍵單擊 A 記錄,然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname(也稱爲“別名”)記錄。爲此,請展開“_msdcs”容器,右鍵單擊 cname,然後單擊“刪除”。
重要說明:如果這是一臺 DNS 服務器,請在“名稱服務器”選項卡中刪除對該 DC 的引用。爲此,在 DNS 控制檯中,在“正向查找區域”下右鍵單擊該域名,單擊“屬性”,然後從“名稱服務器”選項卡中刪除該服務器。
注意:如果有反向查找區域,也要將服務器從這些區域中刪除。 - 如果刪除的計算機是子域中的最後一個域控制器,而且該子域也已刪除,則使用 ADSIEdit 刪除該子域的 trustDomain 對象。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,在“打開”框中鍵入 adsiedit.msc,然後單擊“確定”。
- 展開“域 NC”容器。
- 展開“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。
- 展開“CN=System”。
- 右鍵單擊“Trust Domain”對象,然後單擊“刪除”。
- 使用“Active Directory 站點和服務”刪除域控制器。爲此,請按照下列步驟操作:
- 啓動“Active Directory 站點和服務”。
- 展開“站點”。
- 展開服務器的站點。默認站點爲“Default-First-Site-Name”。
- 展開“服務器”。
- 右鍵單擊域控制器,然後單擊“刪除”。
Ntdsutil.exe SP1 版本中的高級可選語法
Windows Server 2003 SP1 引入了新的可用語法。通過使用新語法,不再需要綁定到 DS 以及選擇操作目標。要使用新語法,您必須知道或獲取要降級的服務器的“NTDS 設置”對象的 DN。若要爲元數據清除使用新的語法,請按照下列步驟操作:- 運行 ntdsutil。
- 切換到清除元數據提示符。
- 運行以下命令
remove selected server <配置容器中的服務器對象的 DN>下面給出了此命令的一個示例。
注意:下面的示例僅爲一行,只是此處已經過換行。
Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<forest_root_domain> - 在 DNS 的 _msdcs.<目錄林的根域> 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC,將創建一個新的“NTDS 設置”對象,它將具有新的 GUID 並在 DNS 中擁有一個匹配的 cname 記錄。您不希望現有 DC 使用舊的 cname 記錄。
最佳做法是刪除主機名和其他 DNS 記錄。如果已超出爲脫機服務器分配的動態主機配置協議 (DHCP) 地址上所剩的租用時間,另一個客戶端即可獲得問題 DC 的 IP 地址。 - 如果刪除的計算機是子域中的最後一個域控制器,而且該子域也已刪除,請使用 ADSIEdit 刪除該子域的 trustDomain 對象。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,鍵入 adsiedit.msc,然後單擊“確定”。
- 展開“域 NC”容器。
- 展開“DC=<您的域名>, DC=COM, PRI, LOCAL, NET”。
- 展開“CN=System”。
- 右鍵單擊“Trust Domain”對象,然後單擊“刪除”。
- 使用“Active Directory 站點和服務”刪除域控制器。爲此,請按照下列步驟操作:
- 啓動“Active Directory 站點和服務”。
- 展開“站點”。
- 展開服務器的站點。默認站點爲“Default-First-Site-Name”。
- 展開“服務器”。
- 右鍵單擊域控制器,然後單擊“刪除”。
有關如何強制降級 Windows Server 2003 或 Windows 2000 域控制器的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
332199 ([url]http://support.microsoft.com/kb/332199/[/url] ) 在 Windows Server 2003 和 Windows 2000 Server 中使用 Active Directory 安裝嚮導強制降級時,域控制器無法正常降級
確定服務器的 DN
有多種方式可獲取要刪除的服務器對象的 DN。下面的示例使用 Ldp.exe。要通過使用 Ldp.exe 獲取 DN,請按照下列步驟操作:
- 運行 LDP。
- 綁定到 rootDSE。
- 選擇“視圖”\“樹”。基 DN 應爲 cn=configuration,dc=rootdomain,dc=<suffix>。
- 展開“站點”。
- 展開服務器對象所在的站點。
- 展開“服務器”。
- 展開要刪除的服務器。
- 在右側查找以 DN 開頭的行。
- 複製除 DN 之外的整行內容。
LDP 結果第一部分的截取示例爲:
展開基“CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com”... 結果 <0>:(null) 匹配的 DN: 獲得 1 項: >> Dn:“CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com” 應複製的內容爲: “CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com”
有關更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
887424 ([url]http://support.microsoft.com/kb/887424/[/url] ) 在 Windows Server 2003 上嘗試使用 Ntdsutil 刪除一個已從網絡中刪除的域控制器的元數據時收到“DsRemoveDsDomainW error 0x2015”(DsRemoveDsDomainW 錯誤 0x2015)錯誤消息