一、強制降級命令
dcpromo /forceremoval
重要:由於強制降級會導致任何本地保存的更改丟失,如非絕對必要,請勿在生產域或測試域中使用強制降級。當無法解決連接、名稱解析、身份驗證或複製引擎相關項以致於無法執行正常降級時,您可以將域控制器強制降級。
二、刪除主域服務器上的備份域服務器:
1)打開Active Directory 用戶和計算機 ->Domain Controllers,右鍵點擊所要刪除的輔助域控,在菜單上選擇刪除。確定=>刪除,這臺域控制器永遠爲脫機並且不再能用Active Directory安裝嚮導(dcpromo)將其降級 確定=>刪除
2)控制面板=>管理工具=>AD站點和服務=>Sites=>Default-First-Site-Name=>servers下面找到其他的輔助域服務器,
在刪除備份域服務器前先要把其下面的NTDS Settings刪除;
會有3種選擇:
-
域控制器降級,繼續當計算機使用
-
重新開啓AD複製
3. 這臺域控制器永遠爲脫機並且不再能用Active Directory安裝嚮導(dcpromo)將其降級。刪除NTDS Settings以後就可以把輔助域服務器刪除掉了。
三、刪除DNS中的相關記錄
在DNS的名稱服務器中將相關記錄刪除
上篇博文中我們介紹瞭如何對域控制器進行常規卸載,本文中我們將介紹如何對域控制器進行強制卸載。載呢?如果域控制器不能和複製夥伴正常通訊,而且更正無望,那我們就要考慮進行強制卸載了。例如我曾見過一個單位有10個域控制器,居然有7個不能相互複製,主要是管理員誤以爲域控制器越多越好….類似這樣的情況,我們就可以果斷出手,把域控制器強行卸載掉。域控制器強行卸載的原理也很簡單,那就是卸載時不再通知複製夥伴,直接把AD刪除就好。這樣的卸載方式是要相對簡單一些,但其實後續的操作很麻煩,例如我們需要在Active Directory中手工清除被強制卸載的域控制器,手工清除DNS中的SRV記錄等。因此,如果不是萬不得已,還是用常規卸載比較好。如下圖所示,我們將利用如下圖所示的拓撲爲大家演示如何進行域控制器的強制卸載,我們進行強制卸載的目標是shanghai站點的Firenze。
一 強制卸載域控制器
首先我們在被卸載的域控制器Firenze上打開cmd命令提示符,執行dcpromo/forceremoval,forceremoval參數的作用就是執行強制卸載,如下圖所示,卸載嚮導提示我們這種卸載方式將不對其他域控制器的Active Directory數據進行更新。 
接下來我們需要設置Firenze本地管理員的口令。 強制卸載域控制器後,Firenze將不再成爲域內的成員服務器,而是會從域中脫離出去成
爲工作組中的獨立服務器。
如下圖所示,點擊完成結束了域控制器的強制卸載。
二 手工清除Active Directory數據
Firenze被強制卸載後,域內的其他域控制器並不知道這件事情,它們仍然認爲Firenze是域控制器的一員,因此我們必須手工將Firenze從Active Directory中清除出去。我們準備在Berlin上對Active Directory進行手工清理,然後Berlin再把清理後的Active Directory複製到其他域控制器就可以了。在Berlin上運行NTDSUTIL(此命令來源WINDOWS支持工具),如下圖所示,選擇“Metadata Cleanup”,準備清除不使用的服務器對象。 
然後使用“connections”準備連接到指定的域控制器執行刪除操作,輸入“connect to server berlin”連接到Berlin,然後輸入“quit”返回上級菜單。
接下來我們需要使用“Select operation target”來選擇被刪除的服務器對象,選擇服務器時,我們需要指定服務器所在的域和站點。我們可以先用list指令列出站點和域,然後再進行選擇。Firenze隸屬於shanghai站點,Firenze所在的域是adtest.com。 
如下圖所示,我們首先用“list sites”列出了當前站點,然後用“select site 1”選定了shanghai站點,我們可以看到對站點的描述用的是數字而不是字符。選擇了站點之後,我們接下來使用“list domains in site”列出了站點中的域,當前只有一個域adtest.com,編號是0,因此我們接下來使用“select domain 0”就可以把域也選定了。域和站點都選定了,我們就可以進行服務器的選擇了,使用“list servers for domain in site”可以列出所有的服務器,當前shanghai站點只有Firenze一個域控制器,因此我們使用“select server 0”選定服務器Firenze。至此,被手工清理的目標已被我們鎖定了。
用“quit”命令退出選擇操作對象的環境,返回到上級菜單,然後我們使用“Remove selected Server”刪除被選定的服務器對象Firenze。 NTDSUTIL提示我們對刪除Firenze服務器的行爲進行確認,我們選擇“Y”確定操作。 
這樣Firenze被我們從Berlin的Active Directory中清除了,然後我們在Berlin上打開Active Directory用戶和計算機,如下圖所示,刪除域控制器Firenze。 我們需要對刪除Firenze的原因進行描述,如下圖所示,Firenze是被我們強制卸載的。確定要進行刪除Firenze的操作,選擇“Y“。
至此,我們在Berlin上基本完成了對Firenze的手工清除,完成操作後還需要注意以下幾點:
1.手工清除DNS中Firenze的SRV記錄
2.如果Firenze承擔了操作主機角色,把操作主機角色轉移到其他域控制器
3.如果Firenze是全局編錄服務器,選擇其他的域控制器負責全局編錄
4.把Berlin的Active Directory複製到其他域控制器上綜上所述,我們發現其實對域控制器進行強制卸載是很麻煩的事,我們不應該把它當成一種常態行爲,只有當域控制器確實沒有希望進行常規卸載時,我們才考慮使用強制卸載,而且使用強制卸載後一定要注意後續對Active Directory的手工清理!