Compartilhar via

Os controladores de domínio não são rebaixados normalmente quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento

  • Artigo

Este artigo fornece uma solução alternativa para um problema em que os controladores de domínio não são rebaixados quando você usa o Assistente de Instalação do Active Directory (Dcpromo.exe) para forçar o rebaixamento.

Número original do KB: 332199

Sintomas

Os controladores de domínio do Microsoft Windows 2000 ou do Microsoft Windows Server 2003 não podem ser rebaixados normalmente usando o Assistente de Instalação do Active Directory (Dcpromo.exe).

Motivo

Esse comportamento pode ocorrer se uma dependência ou operação necessária falhar. Isso inclui conectividade de rede, resolução de nomes, autenticação, replicação do serviço de diretório do Active Directory ou o local de um objeto crítico no Active Directory.

Resolução

Para resolver esse comportamento, determine o que está impedindo o rebaixamento normal do controlador de domínio do Windows 2000 ou do Windows Server 2003 e tente rebaixar o controlador de domínio usando o Assistente de Instalação do Active Directory novamente.

Observação

Para o Windows Server 2008, o DSRM (Modo de Restauração dos Serviços de Diretório) permanece inalterado em relação ao Windows Server 2003, com uma exceção. No Windows Server 2008, você pode executar o comando para remover à força o dcpromo/forceremoval AD DS de um controlador de domínio iniciado no DSRM, assim como no estado parado do AD DS. Um controlador de domínio ainda deve ser iniciado no DSRM para restaurar os dados de estado do sistema de um backup. Para obter mais informações sobre como fazer isso, consulte Guia passo a passo do AD DS reiniciável.

Solução alternativa

Se você não puder resolver o comportamento, poderá usar as seguintes soluções alternativas para executar um rebaixamento forçado do controlador de domínio para preservar a instalação do sistema operacional e de todos os aplicativos nele.

Aviso

Antes de usar uma das soluções alternativas a seguir, verifique se você pode iniciar com êxito no modo de Restauração dos Serviços de Diretório. Caso contrário, você não poderá fazer logon depois de rebaixar o computador à força. Se você não se lembrar da senha do modo de restauração dos serviços de diretório, poderá redefinir a senha usando o utilitário Setpwd.exe localizado na Winnt\System32 pasta. No Windows Server 2003, a funcionalidade do utilitário Setpwd.exe foi integrada ao comando Definir Senha DSRM da ferramenta NTDSUTIL.

Controladores de domínio do Windows 2000

  1. Instale o hotfix Q332199 em um controlador de domínio do Windows 2000 que esteja executando o Service Pack 2 (SP2) ou uma versão posterior ou instale o Windows 2000 Service Pack 4 (SP4). O SP2 e versões posteriores oferecem suporte ao rebaixamento forçado. Em seguida, reinicie o computador.

  2. Clique em Iniciar, clique em Executar e digite o comando: dcpromo /forceremoval.

  3. Clique em OK.

  4. Na página Bem-vindo ao Assistente de Instalação do Active Directory, clique em Avançar.

  5. Se o computador que você está removendo for um servidor de catálogo global, clique em OK na janela de mensagem.

    Observação

    Promova catálogos globais adicionais na floresta ou no site se o controlador de domínio que você está rebaixando for um servidor de catálogo global, conforme necessário.

  6. Na página Remover Active Directory , verifique se a caixa de seleção Este servidor é o último controlador de domínio no domínio está desmarcada e clique em Avançar.

  7. Na página Credenciais de Rede , digite o nome, a senha e o nome de domínio de uma conta de usuário com credenciais de administrador corporativo na floresta e clique em Avançar.

  8. Em Senha do Administrador, digite a senha e a senha confirmada que você deseja atribuir à conta de Administrador do banco de dados SAM local e clique em Avançar.

  9. Na página Resumo , clique em Avançar.

  10. Execute uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se você removeu um domínio da floresta usando o comando remove selected domain no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo global na floresta removeram todos os objetos e as referências ao domínio que você acabou de remover antes de promover um novo domínio para a mesma floresta com o mesmo nome de domínio. Ferramentas como Replmon.exe ou Repadmin.exe das Ferramentas de Suporte do Windows 2000 podem ajudá-lo a determinar se ocorreu replicação de ponta a ponta. O Windows 2000 SP3 e os servidores de catálogo global anteriores são visivelmente mais lentos para remover objetos e contextos de nomenclatura do que o Windows Server 2003.

Controladores de domínio do Windows Server 2003

  1. Por padrão, os controladores de domínio do Windows Server 2003 oferecem suporte ao rebaixamento forçado. Clique em Iniciar, clique em Executar e digite o comando: dcpromo /forceremoval.

  2. Clique em OK.

  3. Na página Bem-vindo ao Assistente de Instalação do Active Directory, clique em Avançar.

  4. Na página Forçar a remoção do Active Directory, clique em Avançar.

  5. Em Senha do Administrador, digite a senha e a senha confirmada que você deseja atribuir à conta de Administrador do banco de dados SAM local e clique em Avançar.

  6. Em Resumo, clique em Avançar.

  7. Execute uma limpeza de metadados para o controlador de domínio rebaixado em um controlador de domínio sobrevivente na floresta.

Se você removeu um domínio da floresta usando o comando remove selected domain no Ntdsutil, verifique se todos os controladores de domínio e os servidores de catálogo global na floresta removeram todos os objetos e as referências ao domínio que você acabou de remover antes de promover um novo domínio para a mesma floresta com o mesmo nome de domínio. O Windows 2000 Service Pack 3 (SP3) e os servidores de catálogo global anteriores são visivelmente mais lentos para remover objetos e contextos de nomenclatura do que o Windows Server 2003.

Se as entradas de controle de acesso a recursos (ACEs) no computador do qual você removeu o Active Directory forem baseadas em grupos locais de domínio, essas permissões poderão ter que ser reconfiguradas, pois esses grupos não estarão disponíveis para servidores membros ou autônomos. Se você planeja instalar o Active Directory no computador para torná-lo um controlador de domínio no domínio original, não é mais necessário configurar listas de controle de acesso (ACLs). Se você preferir deixar o computador como um servidor membro ou autônomo, todas as permissões baseadas em grupos locais de domínio deverão ser convertidas ou substituídas.

Aprimoramentos do Windows Server 2003 Service Pack 1

O Windows Server 2003 SP1 aprimora o dcpromo /forceremoval processo. Quando dcpromo /forceremoval executado, é feita uma verificação para determinar se o controlador de domínio hospeda uma função de mestre de operações, é um servidor DNS (Sistema de Nomes de Domínio) ou é um servidor de catálogo global. Para cada uma dessas funções, o administrador recebe um aviso pop-up que aconselha o administrador a tomar as medidas apropriadas.

Se o controlador de domínio não puder ser iniciado no modo normal

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Importante

Siga estas etapas apenas como último recurso se o controlador de domínio não puder ser iniciado no modo normal.

Para remover o Active Directory de um controlador de domínio, siga estas etapas:

  1. Reinicie o computador e pressione F8 para exibir o menu Opções avançadas do Windows 2000.

  2. Escolha o Modo de Restauração dos Serviços de Diretório, pressione ENTER e pressione ENTER novamente para continuar a reiniciar.

  3. Modifique a entrada ProductType no registro. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, clique em Executar, digite regedit& e clique em OK.

    2. Localize a subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdo Registro .

    3. No painel direito, clique duas vezes em ProductType.

    4. Digite ServerNT na caixa Dados do valor e clique em OK.

      Observação

      Se esse valor não estiver definido corretamente ou estiver incorreto, você poderá receber a seguinte mensagem de erro:Processo do sistema - Violação de licença: O sistema detectou adulteração no tipo de produto registrado. Isso é uma violação da sua licença de software. Tampering com o tipo de produto não é permitido.

    5. Feche o Editor do Registro.

  4. Reinicie o computador.

  5. Faça logon com a conta de administrador e a senha usadas para o modo de reparo do serviço de diretório.

    O computador se comportará como um servidor membro. No entanto, ainda há alguns arquivos e entradas do Registro restantes no computador associados ao controlador de domínio.

  6. Inicie o Editor do Registro e localize a entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersdo Registro .

    Se houver uma entrada para Src Root Domain Srv, clique com o botão direito do mouse no valor e clique em Excluir. Esse valor deve ser excluído para que o controlador de domínio se veja como o único controlador de domínio no domínio após a promoção.

    Importante

    A etapa acima é crítica. Sem ele, a nova promoção para a floresta temporária do AD não será concluída e você não poderá fazer logon no controlador de domínio.

  7. Remova os arquivos e entradas de registro restantes. Para fazer isso, siga estas etapas:

    1. Inicie o Assistente de Instalação do Active Directory.

    2. Instale o Active Directory para tornar o computador um controlador de domínio para um novo domínio temporário, como psstemp.deleteme.

      Observação

      Certifique-se de tornar o computador um controlador de domínio em uma floresta diferente.

    3. Depois de instalar o Active Directory, inicie o Assistente de Instalação do Active Directory novamente e remova o Active Directory do controlador de domínio.

  8. Depois de remover o Active Directory de um controlador de domínio, remova os metadados deixados no domínio. Para obter mais informações sobre como remover esses metadados, consulte Como remover dados no Active Directory após um rebaixamento malsucedido do controlador de domínio.

Status

A Microsoft testou e oferece suporte ao rebaixamento forçado de controladores de domínio que executam o Windows 2000 ou o Windows Server 2003.

Mais informações

O Assistente de Instalação do Active Directory cria controladores de domínio do Active Directory em computadores baseados no Windows 2000 e no Windows Server 2003. As operações executadas pelo Assistente de Instalação do Active Directory incluem a instalação de novos serviços, alterações nos valores de inicialização dos serviços existentes e a transição para o Active Directory como um domínio de segurança e autenticação.

Com o rebaixamento forçado, um administrador de domínio pode remover o Active Directory à força e reverter as alterações do sistema mantidas localmente sem precisar entrar em contato ou replicar as alterações mantidas localmente para outro controlador de domínio na floresta.

Como o rebaixamento forçado causa a perda de quaisquer alterações mantidas localmente, use-o apenas como último recurso em domínios de produção ou teste. Você pode rebaixar controladores de domínio à força quando as dependências de conectividade, resolução de nomes, autenticação ou mecanismo de replicação não puderem ser resolvidas para que o rebaixamento normal possa ser executado. Os cenários válidos para rebaixamentos forçados incluem o seguinte:

  • Não há controladores de domínio disponíveis no domínio pai quando você tenta rebaixar o último controlador de domínio em um domínio filho imediato.

  • O Assistente de Instalação do Active Directory não pode ser concluído porque há uma resolução de nomes, autenticação, mecanismo de replicação ou dependência de objeto do Active Directory que você não pode resolver depois de executar a solução de problemas detalhada.

  • Um controlador de domínio não replicou as alterações de entrada do Active Directory no número de dias do Tempo de Vida da Marca de Exclusão (o Tempo de Vida da Marca de Exclusão Padrão é de 60 dias) para um ou mais contextos de nomenclatura.

    Importante

    Não recupere esses controladores de domínio, a menos que eles sejam a única chance de recuperação para um domínio específico.

  • O tempo não permite uma solução de problemas mais detalhada porque você deve colocar imediatamente em serviço o controlador de domínio. Os rebaixamentos forçados podem ser úteis em ambientes de laboratório e sala de aula em que você pode remover controladores de domínio de domínios existentes, mas não é necessário rebaixar cada controlador de domínio em série.

Se você forçar o rebaixamento de um controlador de domínio, perderá todas as alterações exclusivas que residem no Active Directory do controlador de domínio que você está rebaixando à força. Isso inclui a adição, exclusão ou modificação de usuários, computadores, grupos, relações de confiança e configuração de Diretiva de Grupo ou Active Directory que não foram replicados antes de você executar o dcpromo /forceremoval comando. Além disso, você perderá alterações em qualquer um dos atributos nesses objetos, como senhas para usuários, computadores e relações de confiança e associação a grupos.

No entanto, se você forçar o rebaixamento de um controlador de domínio, retornará o sistema operacional a um estado que é o mesmo que o rebaixamento bem-sucedido do último controlador de domínio em um domínio (valores iniciais de serviço, serviços instalados, uso de um SAM baseado em registro para o banco de dados da conta, o computador é membro de um grupo de trabalho). Os programas instalados no controlador de domínio rebaixado permanecem instalados.

O log de eventos do sistema identifica controladores de domínio do Windows 2000 rebaixados à força e instâncias da operação pela ID de dcpromo /forceremoval evento 29234. Por exemplo: O log de eventos do sistema identifica controladores de domínio do Windows Server 2003 rebaixados à força pela ID de evento 29239. Por exemplo: Depois de usar o dcpromo /forceremoval comando, os metadados do computador rebaixado não são excluídos nos controladores de domínio sobreviventes. Para obter mais informações, consulte Limpar metadados do servidor do Controlador de Domínio do Active Directory.

Veja a seguir os itens que você deve abordar, se aplicável, após o rebaixamento forçado de um controlador de domínio:

  1. Remova a conta do computador do domínio.
  2. Verifique se os registros DNS, como A, CNAME e SRV, foram removidos e remova-os se estiverem presentes.
  3. Verifique se os objetos de membro do FRS (FRS e DFS) foram removidos e remova-os se estiverem presentes.
  4. Se o computador rebaixado for membro de algum grupo de segurança, remova-o desses grupos.
  5. Remova todas as referências DFS ao servidor rebaixado, como links ou réplicas raiz.
  6. Um controlador de domínio sobrevivente deve aproveitar todas as funções de mestre de operações, também conhecidas como operações de mestre único flexível ou FSMO, que foram mantidas anteriormente pelo controlador de domínio rebaixado à força. Para obter mais informações, consulte Transferir ou capturar funções de Mestre de Operação nos Serviços de Domínio Active Directory.
  7. Se o controlador de domínio que você está rebaixando for um servidor DNS ou um servidor de catálogo global, você deverá criar um novo GC ou servidor DNS para atender ao balanceamento de carga, à tolerância a falhas e às definições de configuração na floresta.
  8. Quando você usa o comando remover servidor selecionado em NTDSUTIL, o objeto NTDSDSA, o objeto pai para conexões de entrada com o controlador de domínio que você rebaixou à força é removido. O comando não remove os objetos do servidor pai que aparecem no snap-in Sites e Serviços. Use o snap-in MMC Sites e Serviços do Active Directory para remover o objeto de servidor se o controlador de domínio não for promovido para a floresta com o mesmo nome de computador.