Freigeben über

Domänencontroller herabstufen nicht ordnungsgemäß, wenn Sie den Active Directory-Installations-Assistenten verwenden, um die Herabstufung zu erzwingen

  • Artikel

Dieser Artikel enthält eine Problemumgehung für ein Problem, bei dem Domänencontroller nicht herabstufen, wenn Sie den Active Directory-Installations-Assistenten (Dcpromo.exe) verwenden, um die Herabstufung zu erzwingen.

Ursprüngliche KB-Nummer: 332199

Symptome

Microsoft Windows 2000- oder Microsoft Windows Server 2003-Domänencontroller können mithilfe des Active Directory-Installations-Assistenten (Dcpromo.exe) nicht ordnungsgemäß tiefer stufen.

Ursache

Dieses Verhalten kann auftreten, wenn eine erforderliche Abhängigkeit oder ein Erforderlicher Vorgang fehlschlägt. Dazu gehören Netzwerkkonnektivität, Namensauflösung, Authentifizierung, Active Directory-Verzeichnisdienstreplikation oder der Speicherort eines kritischen Objekts in Active Directory.

Lösung

Um dieses Verhalten zu beheben, bestimmen Sie, was die ordnungsgemäße Herabstufung des Windows 2000- oder Windows Server 2003-Domänencontrollers verhindert, und versuchen Sie dann erneut, den Domänencontroller zu herabstufen, indem Sie den Active Directory-Installations-Assistenten erneut verwenden.

Notiz

Für Windows Server 2008 ist der Verzeichnisdienste-Wiederherstellungsmodus (DSRM) von Windows Server 2003 mit einer Ausnahme unverändert. In Windows Server 2008 können Sie den dcpromo/forceremoval Befehl ausführen, um AD DS forcibly von einem Domänencontroller zu entfernen, der in DSM gestartet wird, genau wie im AD DS-Status beendet. Ein Domänencontroller muss weiterhin in DSRM gestartet werden, um Systemstatusdaten aus einer Sicherung wiederherzustellen. Weitere Informationen dazu finden Sie in der schrittweisen Anleitung für einen neustartfähigen AD DS.

Problemumgehung

Wenn Sie das Verhalten nicht beheben können, können Sie die folgenden Problemumgehungen verwenden, um eine erzwungene Herabstufung des Domänencontrollers durchzuführen, um die Installation des Betriebssystems und aller Anwendungen zu erhalten.

Warnung

Bevor Sie eine der folgenden Problemumgehungen verwenden, stellen Sie sicher, dass der Wiederherstellungsmodus für Verzeichnisdienste erfolgreich gestartet werden kann. Andernfalls können Sie sich nicht anmelden, nachdem Sie den Computer erzwungen tiefer stufen. Wenn Sie sich das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste nicht merken, können Sie das Kennwort mithilfe des dienstprogramms Setpwd.exe zurücksetzen, das sich im Winnt\System32 Ordner befindet. In Windows Server 2003 wurde die Funktionalität des Hilfsprogramms Setpwd.exe in den Befehl "DSRM-Kennwort festlegen" des NTDSUTIL-Tools integriert.

Windows 2000-Domänencontroller

  1. Installieren Sie den Q332199 Hotfix auf einem Windows 2000-Domänencontroller, der Service Pack 2 (SP2) oder eine höhere Version ausführt, oder installieren Sie Windows 2000 Service Pack 4 (SP4). SP2 und höhere Versionen unterstützen erzwungene Herabstufung. Starten Sie den Computer dann neu.

  2. Klicken Sie auf "Start", klicken Sie auf "Ausführen", und geben Sie dann den Befehl ein: dcpromo /forceremoval.

  3. Klicken Sie auf OK.

  4. Klicken Sie auf der Seite "Willkommen beim Active Directory-Installations-Assistenten " auf "Weiter".

  5. Wenn es sich bei dem Computer, den Sie entfernen, um einen globalen Katalogserver handelt, klicken Sie im Nachrichtenfenster auf "OK ".

    Notiz

    Höherstufen zusätzlicher globaler Kataloge in der Gesamtstruktur oder am Standort, wenn der Domänencontroller, den Sie herabstufen, nach Bedarf ein globaler Katalogserver ist.

  6. Stellen Sie auf der Seite "Active Directory entfernen " sicher, dass der Server der letzte Domänencontroller im Domänenkontrollkästchen deaktiviert ist, und klicken Sie dann auf "Weiter".

  7. Geben Sie auf der Seite "Netzwerkanmeldeinformationen" den Namen, das Kennwort und den Domänennamen für ein Benutzerkonto mit Unternehmensadministratoranmeldeinformationen in der Gesamtstruktur ein, und klicken Sie dann auf "Weiter".

  8. Geben Sie im Administratorkennwort das Kennwort und das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie dann auf "Weiter".

  9. Klicken Sie auf der Seite "Zusammenfassung " auf "Weiter".

  10. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem überlebenden Domänencontroller in der Gesamtstruktur aus.

Wenn Sie eine Domäne aus der Gesamtstruktur mithilfe des Befehls "Ausgewählte Domäne entfernen" in Ntdsutil entfernt haben, überprüfen Sie, ob alle Domänencontroller und die globalen Katalogserver in der Gesamtstruktur alle Objekte und verweise auf die Domäne entfernt haben, die Sie soeben entfernt haben, bevor Sie eine neue Domäne in dieselbe Gesamtstruktur mit demselben Domänennamen höher stufen. Tools wie Replmon.exe oder Repadmin.exe von Windows 2000-Supporttools helfen Ihnen möglicherweise, festzustellen, ob die End-to-End-Replikation erfolgt ist. Windows 2000 SP3 und frühere globale Katalogserver sind spürbar langsamer, um Objekte und Namenskontexte zu entfernen, als Windows Server 2003 ist.

Windows Server 2003-Domänencontroller

  1. Standardmäßig unterstützen Windows Server 2003-Domänencontroller erzwungene Herabstufung. Klicken Sie auf "Start", klicken Sie auf "Ausführen", und geben Sie dann den Befehl ein: dcpromo /forceremoval.

  2. Klicken Sie auf OK.

  3. Klicken Sie auf der Seite "Willkommen beim Active Directory-Installations-Assistenten " auf "Weiter".

  4. Klicken Sie auf der Seite "Entfernen von Active Directory erzwingen" auf "Weiter".

  5. Geben Sie im Administratorkennwort das Kennwort und das bestätigte Kennwort ein, das Sie dem Administratorkonto der lokalen SAM-Datenbank zuweisen möchten, und klicken Sie dann auf "Weiter".

  6. Klicken Sie in "Zusammenfassung" auf "Weiter".

  7. Führen Sie eine Metadatenbereinigung für den herabgestuften Domänencontroller auf einem überlebenden Domänencontroller in der Gesamtstruktur aus.

Wenn Sie eine Domäne aus der Gesamtstruktur mithilfe des Befehls "Ausgewählte Domäne entfernen" in Ntdsutil entfernt haben, überprüfen Sie, ob alle Domänencontroller und die globalen Katalogserver in der Gesamtstruktur alle Objekte und verweise auf die Domäne entfernt haben, die Sie soeben entfernt haben, bevor Sie eine neue Domäne in dieselbe Gesamtstruktur mit demselben Domänennamen höher stufen. Windows 2000 Service Pack 3 (SP3) und frühere globale Katalogserver sind spürbar langsamer, um Objekte und Namenskontexte zu entfernen, als Windows Server 2003 ist.

Wenn Die Einträge für die Ressourcenzugriffskontrolle (Access Control Entries, ACEs) auf dem Computer, von dem Sie Active Directory entfernt haben, auf lokalen Domänengruppen basieren, müssen diese Berechtigungen möglicherweise neu konfiguriert werden, da diese Gruppen nicht für Mitglieder oder eigenständige Server verfügbar sind. Wenn Sie beabsichtigen, Active Directory auf dem Computer zu installieren, um es zu einem Domänencontroller in der ursprünglichen Domäne zu machen, müssen Sie keine Zugriffssteuerungslisten (Access Control Lists, ACLs) mehr konfigurieren. Wenn Sie den Computer lieber als Mitglied oder eigenständigen Server verlassen möchten, müssen alle Berechtigungen, die auf lokalen Domänengruppen basieren, übersetzt oder ersetzt werden.

Verbesserungen von Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 verbessert den dcpromo /forceremoval Prozess. Wenn dcpromo /forceremoval sie ausgeführt wird, wird eine Überprüfung durchgeführt, um festzustellen, ob der Domänencontroller eine Operationsmasterrolle hostt, ob es sich um einen DNS-Server (Domain Name System) handelt oder ob es sich um einen globalen Katalogserver handelt. Für jede dieser Rollen erhält der Administrator eine Popupwarnung, die den Administrator angibt, geeignete Maßnahmen zu ergreifen.

Wenn der Domänencontroller nicht im normalen Modus gestartet werden kann

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Wichtig

Führen Sie diese Schritte nur als letztes Mittel aus, wenn der Domänencontroller nicht im normalen Modus gestartet werden kann.

Führen Sie die folgenden Schritte aus, um Active Directory von einem Domänencontroller zu entfernen:

  1. Starten Sie den Computer neu, und drücken Sie dann F8, um das Menü "Erweiterte Optionen" von Windows 2000 anzuzeigen.

  2. Wählen Sie den Wiederherstellungsmodus für Verzeichnisdienste aus, drücken Sie die EINGABETASTE, und drücken Sie dann erneut die EINGABETASTE, um den Neustart fortzusetzen.

  3. Ändern Sie den ProductType-Eintrag in der Registrierung. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit& ein, und klicken Sie auf OK.

    2. Suchen Sie den Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions.

    3. Doppelklicken Sie im rechten Bereich auf "ProductType".

    4. Geben Sie "ServerNT" in das Feld "Wertdaten " ein, und klicken Sie dann auf "OK".

      Notiz

      Wenn dieser Wert nicht ordnungsgemäß festgelegt ist oder falsch geschrieben ist, erhalten Sie möglicherweise die folgende Fehlermeldung:Systemprozess - Lizenzverletzung: Das System hat Manipulationen mit Ihrem registrierten Produkttyp erkannt. Dies ist ein Verstoß gegen Ihre Softwarelizenz. Manipulationen des Produkttyps sind nicht zulässig.

    5. Beenden Sie den Registrierungs-Editor.

  4. Starten Sie den Computer neu.

  5. Melden Sie sich mit dem Administratorkonto und dem Kennwort an, das für den Reparaturmodus des Verzeichnisdiensts verwendet wird.

    Der Computer verhält sich als Mitgliedsserver. Es gibt jedoch noch einige verbleibende Dateien und Registrierungseinträge auf dem Computer, die dem Domänencontroller zugeordnet sind.

  6. Starten Sie den Registrierungs-Editor, und suchen Sie den Registrierungseintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

    Wenn ein Eintrag für Src Root Domain Srv vorhanden ist, klicken Sie mit der rechten Maustaste auf den Wert, und klicken Sie dann auf "Löschen". Dieser Wert muss gelöscht werden, damit sich der Domänencontroller nach der Heraufwertung als einziger Domänencontroller in der Domäne sieht.

    Wichtig

    Der obige Schritt ist wichtig. Ohne die erneute Heraufstufung in die temporäre AD-Gesamtstruktur wird nicht abgeschlossen, und Sie können sich nicht beim Domänencontroller anmelden.

  7. Entfernen Sie die verbleibenden Dateien und Registrierungseinträge. Gehen Sie dazu wie folgt vor:

    1. Starten Sie den Active Directory-Installations-Assistenten.

    2. Installieren Sie Active Directory, um den Computer zu einem Domänencontroller für eine neue, temporäre Domäne wie "psstemp.deleteme" zu machen.

      Notiz

      Stellen Sie sicher, dass Sie den Computer als Domänencontroller in einer anderen Gesamtstruktur festlegen.

    3. Starten Sie nach der Installation von Active Directory den Active Directory-Installations-Assistenten erneut, und entfernen Sie Dann Active Directory vom Domänencontroller.

  8. Nachdem Sie Active Directory aus einem Domänencontroller entfernt haben, entfernen Sie Metadaten, die in der Domäne verbleiben. Weitere Informationen zum Entfernen dieser Metadaten finden Sie unter Entfernen von Daten in Active Directory nach einer nicht erfolgreichen Herabstufung des Domänencontrollers.

Status

Microsoft hat die erzwungene Herabstufung von Domänencontrollern unter Windows 2000 oder Windows Server 2003 getestet und unterstützt.

Weitere Informationen

Der Active Directory-Installations-Assistent erstellt Active Directory-Domänencontroller auf Windows 2000-basierten und Windows Server 2003-basierten Computern. Vorgänge, die vom Active Directory-Installations-Assistenten ausgeführt werden, umfassen die Installation neuer Dienste, Änderungen an den Startwerten vorhandener Dienste und den Übergang zu Active Directory als Sicherheits- und Authentifizierungsbereich.

Mit erzwungener Herabstufung kann ein Domänenadministrator Active Directory entfernen und lokal gehaltene Systemänderungen zurücksetzen, ohne sich an einen anderen Domänencontroller in der Gesamtstruktur wenden oder replizieren zu müssen.

Da erzwungene Herabstufung den Verlust von lokal gehaltenen Änderungen verursacht, verwenden Sie sie nur als letzte Möglichkeit in Produktions- oder Testdomänen. Sie können Domänencontroller forcibly tieferstufen, wenn Konnektivitäts-, Namensauflösungs-, Authentifizierungs- oder Replikationsmodulabhängigkeiten nicht aufgelöst werden können, sodass eine ordnungsgemäße Herabstufung ausgeführt werden kann. Gültige Szenarien für erzwungene Herabstufungen umfassen Folgendes:

  • Es sind derzeit keine Domänencontroller in der übergeordneten Domäne verfügbar, wenn Sie versuchen, den letzten Domänencontroller in einer unmittelbar untergeordneten Domäne zu herabstufen.

  • Der Active Directory-Installations-Assistent kann nicht abgeschlossen werden, da eine Namensauflösung, eine Authentifizierung, ein Replikationsmodul oder eine Active Directory-Objektabhängigkeit vorhanden ist, die nach der detaillierten Problembehandlung nicht aufgelöst werden kann.

  • Ein Domänencontroller hat keine eingehenden Active Directory-Änderungen in Tombstone Lifetime (Standard Tombstone Lifetime ist 60 Tage) Anzahl von Tagen für einen oder mehrere Namenskontexte repliziert.

    Wichtig

    Stellen Sie solche Domänencontroller nicht wieder her, es sei denn, sie sind die einzige Möglichkeit der Wiederherstellung für eine bestimmte Domäne.

  • Die Zeit lässt keine detailliertere Problembehandlung zu, da Sie den Domänencontroller sofort in den Dienst bringen müssen. Erzwungene Herabstufungen können in Labor- und Klassenzimmerumgebungen nützlich sein, in denen Sie Domänencontroller aus vorhandenen Domänen entfernen können, doch müssen Sie nicht jeden Domänencontroller serial herabstufen.

Wenn Sie die Herabstufung eines Domänencontrollers erzwingen, gehen alle eindeutigen Änderungen verloren, die sich im Active Directory des Domänencontrollers befinden, den Sie forcibly herabstufen. Dies umfasst das Hinzufügen, Löschen oder Ändern von Benutzern, Computern, Gruppen, Vertrauensstellungen und Gruppenrichtlinien oder Active Directory-Konfigurationen, die nicht repliziert wurden, bevor Sie den dcpromo /forceremoval Befehl ausgeführt haben. Darüber hinaus gehen Änderungen an einem der Attribute für diese Objekte verloren, z. B. Kennwörter für Benutzer, Computer und Vertrauensstellungen und Gruppenmitgliedschaften.

Wenn Sie jedoch die Herabstufung eines Domänencontrollers erzwingen, geben Sie das Betriebssystem in einen Zustand zurück, der mit der erfolgreichen Herabstufung des letzten Domänencontrollers in einer Domäne übereinstimmt (Dienststartwerte, installierte Dienste, Verwendung einer registrierungsbasierten SAM für die Kontodatenbank, Computer ist Mitglied einer Arbeitsgruppe). Programme, die auf dem herabgestuften Domänencontroller installiert sind, bleiben installiert.

Das Systemereignisprotokoll identifiziert forcibly herabgestufte Windows 2000-Domänencontroller und Instanzen des dcpromo /forceremoval Vorgangs nach Ereignis-ID 29234. Beispiel: Das Systemereignisprotokoll identifiziert forcibly herabgestufte Windows Server 2003-Domänencontroller nach Ereignis-ID 29239. Beispiel: Nachdem Sie den dcpromo /forceremoval Befehl verwendet haben, werden metadaten für den herabgestuften Computer nicht auf überlebenden Domänencontrollern gelöscht. Weitere Informationen finden Sie unter Bereinigen Active Directory-Domäne Controllerservermetadaten.

Im Folgenden finden Sie Elemente, die Sie ggf. adressieren müssen, nachdem Sie einen Domänencontroller forcibly herabgestuft haben:

  1. Entfernen Sie das Computerkonto aus der Domäne.
  2. Stellen Sie sicher, dass DNS-Einträge wie A- und CNAME- und SRV-Einträge entfernt werden, und entfernen Sie sie, wenn sie vorhanden sind.
  3. Überprüfen Sie, ob FRS-Memberobjekte (FRS und DFS) entfernt werden, und entfernen Sie sie, wenn sie vorhanden sind.
  4. Wenn der herabgestufte Computer Mitglied einer Sicherheitsgruppe ist, entfernen Sie ihn aus diesen Gruppen.
  5. Entfernen Sie alle DFS-Verweise auf den herabgestuften Server, z. B. Links oder Stammreplikate.
  6. Ein überlebender Domänencontroller muss alle Operationsmasterrollen, auch als flexible Einzelmastervorgänge oder FSMO bezeichnet, ergreifen, die zuvor vom forcibly herabgestuften Domänencontroller gehalten wurden. Weitere Informationen finden Sie unter Übertragen oder Ergreifen von Vorgangsmasterrollen in Active Directory-Domäne Services.
  7. Wenn der Domänencontroller, den Sie herabstufen, ein DNS-Server oder ein globaler Katalogserver ist, müssen Sie einen neuen GC- oder DNS-Server erstellen, um den Lastenausgleich, die Fehlertoleranz und die Konfigurationseinstellungen in der Gesamtstruktur zu erfüllen.
  8. Wenn Sie den ausgewählten Serverbefehl in NTDSUTIL verwenden, wird das NTDSDSA-Objekt, das übergeordnete Objekt für eingehende Verbindungen mit dem Domänencontroller, den Sie forcibly herabgestuft haben, entfernt. Der Befehl entfernt nicht die übergeordneten Serverobjekte, die im Snap-In "Websites und Dienste" angezeigt werden. Verwenden Sie das MMC-Snap-In für Active Directory-Standorte und -Dienste, um das Serverobjekt zu entfernen, wenn der Domänencontroller nicht mit demselben Computernamen in die Gesamtstruktur höhergestuft wird.