當您使用 Active Directory 安裝精靈強制降級時，域控制器不會正常降級

本文提供因應措施，說明當您使用 Active Directory 安裝精靈 （Dcpromo.exe） 強制降級時，域控制器不會降級的問題。

原始 KB 編號： 332199

徵兆

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能無法使用 Active Directory 安裝精靈（Dcpromo.exe）正常降級。

原因

如果必要的相依性或作業失敗，可能會發生此行為。 其中包括網路連線能力、名稱解析、驗證、Active Directory 目錄服務複寫，或 Active Directory 中重要物件的位置。

解決方法

若要解決此行為，請判斷防止 Windows 2000 或 Windows Server 2003 域控制器的正常降級，然後再次嘗試使用 Active Directory 安裝精靈降級域控制器。

注意

針對 Windows Server 2008，目錄服務還原模式 （DSRM） 與 Windows Server 2003 保持不變，但有一個例外。 在 Windows Server 2008 中，您可以執行 dcpromo/forceremoval 命令，強制從 DSRM 中啟動的域控制器移除 AD DS，就像您可以處於 AD DS 停止狀態一樣。 域控制器仍必須在 DSRM 中啟動，才能從備份還原系統狀態數據。 如需如何執行這項操作的詳細資訊，請參閱 可重新啟動的AD DS逐步指南。

因應措施

如果您無法解決此行為，您可以使用下列因應措施來執行域控制器的強制降級，以保留作業系統及其上任何應用程式的安裝。

警告

使用下列任一因應措施之前，請確定您已成功在目錄服務還原模式中啟動。 否則，在強制降級計算機之後，您將無法登入。 如果您不記得目錄服務還原模式密碼，您可以使用位於 Winnt\System32 資料夾中的 Setpwd.exe 公用程式來重設密碼。 在 Windows Server 2003 中，Setpwd.exe公用程式的功能已整合到 NTDSUTIL 工具的 Set DSRM Password 命令中。

Windows 2000 域控制器

1. 在執行 Service Pack 2 （SP2） 或更新版本的 Windows 2000 域控制器上安裝Q332199 Hotfix，或安裝 Windows 2000 Service Pack 4 （SP4）。 SP2 和更新版本支持強制降級。 然後，重新啟動計算機。

2. 按兩下 [ 開始]，按兩下 [執行]，然後輸入命令： dcpromo /forceremoval。

3. 按一下 [確定]。

4. 在 [ 歡迎使用 Active Directory 安裝精靈 ] 頁面上，按 [下一步]。

5. 如果您要移除的電腦是全域編錄伺服器，請在訊息視窗中按兩下 [ 確定 ]。

   注意

   如有需要降級的域控制器是全域編錄伺服器，請在樹系或站台中升級其他全域編錄。

6. 在 [ 移除 Active Directory ] 頁面上，確定 已清除 [此伺服器是網域 中的最後一個域控制器] 複選框，然後按 [下一步]。

7. 在 [ 網络認證] 頁面上，輸入樹系中具有企業系統管理員認證的用戶帳戶名稱、密碼和域名，然後按 [ 下一步]。

8. 在 [系統管理員密碼] 中，輸入您要指派給本機 SAM 資料庫的系統管理員帳戶的密碼和確認密碼，然後按 [下一步]。

9. 在 [ 摘要] 頁面上，按 [下一步]。

10. 在樹系中倖存的域控制器上，針對降級的域控制器執行元數據清除。

如果您使用 Ntdsutil 中移除選取的網域命令，從樹系中移除網域，請確認樹系中的所有域控制器和全域編錄伺服器都已移除所有物件和您剛才移除的網域參考，再將新網域升階為具有相同功能變數名稱的相同樹系。 Windows 2000 支援工具中的Replmon.exe或Repadmin.exe等工具，可協助您判斷是否已發生端對端復寫。 Windows 2000 SP3 和更早版本的全域編錄伺服器明顯較 Windows Server 2003 移除物件和命名內容的速度較慢。

Windows Server 2003 域控制器

1. 根據預設，Windows Server 2003 域控制器支持強制降級。 按兩下 [ 開始]，按兩下 [執行]，然後輸入命令： dcpromo /forceremoval。

2. 按一下 [確定]。

3. 在 [ 歡迎使用 Active Directory 安裝精靈 ] 頁面上，按 [下一步]。

4. 在 [ 強制移除 Active Directory ] 頁面上，按 [下一步]。

5. 在 [系統管理員密碼] 中，輸入您要指派給本機 SAM 資料庫的系統管理員帳戶的密碼和確認密碼，然後按 [下一步]。

6. 在 [摘要] 中，按 [下一步]。

7. 在樹系中倖存的域控制器上，針對降級的域控制器執行元數據清除。

如果您使用 Ntdsutil 中移除選取的網域命令，從樹系中移除網域，請確認樹系中的所有域控制器和全域編錄伺服器都已移除所有物件和您剛才移除的網域參考，再將新網域升階為具有相同功能變數名稱的相同樹系。 Windows 2000 Service Pack 3 （SP3） 和舊版全域編錄伺服器明顯較 Windows Server 2003 移除物件和命名內容的速度較慢。

如果您移除 Active Directory 之電腦上的資源存取控制專案是以網域本地組為基礎，則可能需要重新設定這些許可權，因為這些群組將無法供成員或獨立伺服器使用。 如果您打算在計算機上安裝 Active Directory，使其成為原始網域中的域控制器，您就不必再設定訪問控制清單 （ACL）。 如果您想要將計算機保留為成員或獨立伺服器，則必須翻譯或取代以網域本地組為基礎的任何許可權。

Windows Server 2003 Service Pack 1 增強功能

Windows Server 2003 SP1 可 dcpromo /forceremoval 增強程式。 執行時 dcpromo /forceremoval ，會進行檢查，以判斷域控制器裝載作業主機角色、是域名系統 （DNS） 伺服器，還是全域編錄伺服器。 針對每個角色，系統管理員會收到一則快顯警告，建議系統管理員採取適當的動作。

如果域控制器無法以正常模式啟動

重要

這個章節、方法或工作包含修改登錄的步驟。 然而，不當修改登錄可能會發生嚴重的問題。 因此，請務必小心執行下列步驟。 為增加保護起見，請先備份登錄，再進行修改。 然後，如果發生問題，您就可以還原登錄。 如需備份和還原登錄的詳細資訊，請參閱如何在 Windows 中備份及還原登錄。

重要

如果域控制器無法以正常模式啟動，請只遵循這些步驟作為最後手段。

若要從域控制器移除 Active Directory，請遵循下列步驟：

1. 重新啟動計算機，然後按 F8 以顯示 [Windows 2000 進階選項 ] 功能表。

2. 選擇 [目錄服務還原模式]，按 ENTER 鍵，然後按 ENTER 鍵以繼續重新啟動。

3. 修改登錄中的 ProductType 專案。 若要這樣做，請遵循下列步驟：

   1. 按一下 [開始]，按一下 [執行]，輸入 regedit，然後按一下 [確定]。

   2. 找出登錄子機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions。

   3. 在右窗格中，按兩下 [ProductType]。

   4. 在 [ 值數據 ] 方塊中輸入 ServerNT，然後按兩下 [ 確定]。

      注意

      如果未正確設定此值或拼錯，您可能會收到下列錯誤訊息：系統進程 - 授權違規：系統偵測到竄改已註冊的產品類型。 這是違反您的軟體授權。 不允許竄改產品類型。

   5. 結束登錄編輯程式。

4. 重新啟動電腦。

5. 使用用於目錄服務修復模式的系統管理員帳戶和密碼登入。

   計算機會以成員伺服器的形式運作。 不過，計算機上仍有一些與域控制器相關聯的其餘檔案和登錄專案。

6. 啟動註冊表編輯器，並找出登錄專案 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters。

   如果 Src 根域 Srv 有專案，請以滑鼠右鍵按鍵按鍵按鍵，然後按兩下 [刪除]。 必須刪除此值，讓域控制器在升級后，將自己視為網域中唯一的域控制器。

   重要

   上述步驟很重要。 如果沒有它，重新升級至暫時 AD 樹系將不會完成，而且您將無法登入域控制器。

7. 拿掉其餘的檔案和登錄專案。 若要這樣做，請遵循下列步驟：

   1. 啟動 Active Directory 安裝精靈。

   2. 安裝 Active Directory，讓電腦成為新的暫存網域的域控制器，例如 psstemp.deleteme。

      注意

      請確定計算機成為不同樹系中的域控制器。

   3. 安裝 Active Directory 之後，請再次啟動 [Active Directory 安裝精靈]，然後從域控制器移除 Active Directory。

8. 從域控制器移除 Active Directory 之後，請移除網域中剩餘的元數據。 如需如何移除此元數據的詳細資訊，請參閱 如何在失敗的域控制器降級后移除 Active Directory 中的數據。

狀態

Microsoft已測試並支援執行 Windows 2000 或 Windows Server 2003 的域控制器強制降級。

其他相關資訊

Active Directory 安裝精靈會在以 Windows 2000 和 Windows Server 2003 為基礎的計算機上建立 Active Directory 域控制器。 Active Directory 安裝精靈所執行的作業包括安裝新服務、現有服務的啟動值變更，以及轉換為 Active Directory 作為安全性和驗證領域。

強制降級后，網域系統管理員可以強制移除 Active Directory，並復原本機保留的系統變更，而不需要連絡或復寫樹系中其他域控制器的任何本機保留變更。

因為強制降級會導致遺失任何本機保留的變更，所以只將其當做生產或測試網域的最後手段使用。 當無法解析連線、名稱解析、驗證或複寫引擎相依性時，您可以強制降級域控制器，以便執行正常降級。 強制降級的有效案例包括下列各項：

• 當您嘗試降級立即子網域中的最後一個域控制器時，父域目前沒有可用的域控制器。

• Active Directory 安裝精靈無法完成，因為執行詳細疑難解答之後，您就無法解析名稱解析、驗證、復寫引擎或 Active Directory 物件相依性。

• 域控制器尚未復寫 Tombstone 存留期中傳入的 Active Directory 變更（預設的 Tombstone 存留期為 60 天），一或多個命名內容。

  重要

  除非這些域控制器是特定網域的唯一復原機會，否則請勿復原這類域控制器。

• 時間不允許更詳細的疑難解答，因為您必須立即將域控制器帶入服務。 強制降級在實驗室和教室環境中可能很有用，您可以在其中將域控制器從現有的網域中移除，但您不需要串行化每個域控制器。

如果您強制降級域控制器，您將失去位於您強制降級之域控制器 Active Directory 中的任何唯一變更。 這包括新增、刪除或修改使用者、計算機、群組、信任關係，以及執行命令之前未復寫 dcpromo /forceremoval 的組策略或 Active Directory 組態。 此外，您將遺失這些物件上任何一個屬性的變更，例如使用者、計算機的密碼，以及信任關係和群組成員資格。

不過，如果您強制降級域控制器，您會將操作系統傳回與網域中最後一個域控制器成功降級的狀態相同（服務啟動值、已安裝的服務、帳戶資料庫的登錄型 SAM，計算機是工作組的成員）。 在降級的域控制器上安裝的程式仍會保持安裝。

系統事件記錄檔會依事件標識碼 29234 識別強制降級的 dcpromo /forceremoval Windows 2000 域控制器和作業實例。 例如：系統事件記錄檔會依事件標識碼 29239 識別強制降級的 Windows Server 2003 域控制器。 例如：使用 dcpromo /forceremoval 命令之後，在倖存的域控制器上不會刪除降級計算機的元數據。 如需詳細資訊，請參閱清除 Active Directory 網域 控制器伺服器元數據。

以下是在強制降級域控制器之後，您必須處理的專案，如果適用的話：

1. 從網域中移除電腦帳戶。
2. 確認已移除 DNS 記錄，例如 A、CNAME 和 SRV 記錄，並在它們存在時加以移除。
3. 確認已移除 FRS 成員物件 （FRS 和 DFS），並在存在時將其移除。
4. 如果降級的計算機是任何安全組的成員，請從這些群組中移除它。
5. 拿掉降級伺服器的任何 DFS 參考，例如連結或根複本。
6. 倖存的域控制器必須擷取任何作業主機角色，也稱為彈性單一主機作業或 FSMO，先前由強行降級的域控制器所持有。 如需詳細資訊，請參閱 Active Directory 網域服務 中的傳輸或擷取作業主機角色。
7. 如果您要降級的域控制器是 DNS 伺服器或全域編錄伺服器，您必須建立新的 GC 或 DNS 伺服器，以滿足樹系中的負載平衡、容錯和組態設定。
8. 當您在 NTDSUTIL 中使用移除選取的伺服器命令時，NTDSDSA 物件會移除您強制降級之域控制器的父物件。 此命令不會移除出現在 Sites and Services 嵌入式管理單元中的父伺服器物件。 如果域控制器不會升級為具有相同計算機名稱的樹系，請使用 Active Directory Sites and Services MMC 嵌入式管理單元來移除伺服器物件。