控制器降級失敗後如何删除 Active Directory 中的資料

--注：當您接管一家新公司的域控伺服器時，也許總會碰到沒有正常被降級的域控伺服器存在。就按照本文操作吧。轉載自微軟

本文介紹在域控制器降級失敗後，如何删除 Active Directory 中的資料。

警告：如果使用“ADSI 編輯”管理單元、LDP 實用工具或任何其他 LDAP 版本 3 用戶端，并且不恰當地修改了 Active Directory 對象的屬性，則可能造成嚴重問題。要解決這些問題，您可能需要重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安裝。Microsoft 不保證能夠解決因為 Active Directory 對象屬性修改不當而導緻的問題。修改這些屬性需要您自擔風險。

Active Directory 安裝向導 (Dcpromo.exe) 用于将伺服器提升為域控制器，以及将域控制器降級為成員伺服器（或者在該域控制器是域中的最後一個域控制器時，将其降級為工作組中的獨立伺服器）。作為降級過程的一部分，此向導會将該域控制器的配置資料從 Active Directory 中删除。此資料的形式是“NTDS 設定”對象，在“Active Directory 站點和服務”中作為伺服器對象的一個子對象存在。

該資訊位于 Active Directory 中的以下位置：

CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...

“NTDS 設定”對象的屬性包括：代表如何針對域控制器的複制夥伴辨別域控制器的資料、計算機中儲存的名稱上下文、域控制器是否為全局編錄伺服器，以及預設查詢政策。“NTDS 設定”對象也是一個容器，其中可以包含代表域控制器的直接複制夥伴的子對象。該資料是域控制器在環境中運作所必需的，但域控制器降級後就不再使用該資料了。

如果未正确删除“NTDS 設定”對象（例如，未從降級嘗試中正确删除“NTDS 設定”對象），管理者可以使用 Ntdsutil.exe 實用工具手動删除“NTDS 設定”對象。以下步驟列出了在特定域控制器的 Active Directory 中删除“NTDS 設定”對象的過程。在每個 Ntdsutil 菜單上，管理者可以鍵入 help 以了解有關可用選項的更多資訊。

警告：在手動删除任何伺服器的“NTDS 設定”對象之前，管理者還必須確定在降級之後已進行了複制。Ntdsutil 實用工具使用不當可能導緻 Active Directory 功能部分或全部喪失。

過程

1. 單擊“開始”，指向“程式”，指向“附件”，然後單擊“指令提示符”。 

2. 在指令提示符處，鍵入 ntdsutil，然後按 Enter 鍵。 

3. 鍵入 metadata cleanup，然後按 Enter 鍵。根據所給出的選項，管理者可以執行删除操作，但在實施删除之前還必須指定另外一些配置參數。 

4. 鍵入 connections，然後按 Enter 鍵。此菜單用于連接配接将發生這些更改的具體伺服器。如果目前登入的使用者沒有管理權限，可以在建立連接配接之前指定要使用的替代憑據。為此，請鍵入 set creds DomainName  UserName Password，然後按 Enter 鍵。如果密碼為空，則鍵入 null 作為密碼參數。 

5. 鍵入 connect to server servername，然後按 Enter 鍵。然後出現一條确認消息，說明已成功建立該連接配接。如果出現錯誤，則确認連接配接中所用的域控制器是否可用，以及您提供的憑據對該伺服器是否有管理權限。

注意：如果嘗試連接配接的伺服器正是要删除的伺服器，那麼在嘗試删除第 15 步提到的伺服器時，将顯示以下錯誤資訊：

Error 2094. The DSA Object cannot be deleted0x2094 

6. 鍵入 quit，然後按 Enter 鍵。将出現清除中繼資料菜單。 

7. 鍵入 select operation target，然後按 Enter 鍵。 

8. 鍵入 list domains，然後按 Enter 鍵。将顯示一個列出目錄林中所有域的清單，每一個域都有一個關聯的編号。 

9. 鍵入 select domain number，然後按 Enter 鍵；其中 number 是與要删除的域相關聯的編号。您選擇的域用于确定要删除的伺服器是否為該域的最後一個域控制器。 

10. 鍵入 list sites，然後按 Enter 鍵。将顯示一個站點清單，每個站點都有一個關聯的編号。 

11. 鍵入 select site number，然後按 Enter 鍵；其中 number 是與要删除的域相關聯的編号。将出現一條确認消息，其中列出了所選的站點和域。 

12. 鍵入 list servers in site，然後按 Enter 鍵。将顯示一個列出站點中所有伺服器的清單，每個伺服器都有一個關聯的編号。 

13. 鍵入 select server number，其中 number 是與要删除的伺服器關聯的編号。将出現一條确認消息，其中列出所選的伺服器、該伺服器的域名伺服器 (DNS) 主機名，以及要删除的伺服器的計算機帳戶的位置。 

14. 鍵入 quit，然後按 Enter 鍵。将出現清除中繼資料菜單。 

15. 鍵入 remove selected server，然後按 Enter 鍵。将出現一條确認消息，說明删除成功完成。如果出現以下錯誤資訊：

Error 8419 (0x20E3)

The DSA object could not be found 

則說明“NTDS 設定”對象可能已從 Active Directory 中删除，原因是其他管理者删除了該“NTDS 設定”對象，或者在運作 DCPROMO 實用工具成功删除對象後再執行一次此操作。

注意：嘗試綁定到要删除的域控制器時，也可能會出現此錯誤。Ntdsutil 必須綁定到要用 metadata cleanup 删除的域控制器以外的其他域控制器。 

16. 在每個菜單中鍵入 quit，退出 NTDSUTIL 實用工具。将出現一條确認消息，說明連接配接已成功斷開。 

17. 在 DNS 的 _msdcs.root domain of forest 區域中删除 cname 記錄。假定要重新安裝并重新提升 DC，是以使用新的 GUID 和 DNS 中比對的 cname 記錄來建立新的“NTDS 設定”對象。您不希望現有 DC 使用舊的 cname 記錄。

最佳做法是删除主機名和其他 DNS 記錄。如果已超出為脫機伺服器配置設定的動态主機配置協定 (DHCP) 位址上所剩的租用時間，另一個用戶端即可獲得問題 DC 的 IP 位址。 

既然“NTDS 設定”對象已删除，是以可以删除計算機帳戶、FRS 成員對象、_msdcs 容器中的 cname（或别名）記錄、DNS 中的 A（或主機）記錄、已删除的子域的 trustDomain 對象以及域控制器。

Windows 2000 Server 和 Windows Server 2003 的 Windows 支援工具功能中都附帶有 Adsiedit 實用工具。要安裝 Windows 支援工具，請按照下列步驟操作：• Windows 2000 Server：在 Windows 2000 Server 安裝CD光牒上，打開 Support\Tools 檔案夾，輕按兩下“Setup.exe”，然後按照螢幕上的說明操作。 

• Windows Server 2003：在 Windows Server 2003 安裝CD光牒上，打開 Support\Tools 檔案夾，輕按兩下“Suptools.msi”，單擊“安裝”，然後按照 Windows 支援工具安裝向導中的步驟操作以完成安裝。 

1. 使用 ADSIEdit 删除計算機帳戶。為此，請按照下列步驟操作： a.  單擊“開始”，單擊“運作”，在“打開”框中鍵入 adsiedit.msc，然後單擊“确定”。 

b.  展開“域 NC”容器。 

c.  展開“DC=Your Domain Name, DC=COM, PRI, LOCAL, NET”。 

d.  展開“OU=Domain Controllers”。 

e.  右鍵單擊“CN=domain controller name”，然後單擊“删除”。 

如果在試圖删除 DSA 對象時出現“DSA object cannot be deleted”錯誤資訊，請更改 UserAccountControl 值。要更改 UserAccountControl 值，請在 ADSIEdit 中右鍵單擊該域控制器，然後單擊“屬性”。在“請選擇要檢視的屬性”下，單擊“UserAccountControl”。單擊“清除”，将該值更改為 4096，然後單擊“設定”。現在您可以删除該對象了。

注意：删除計算機對象時，也将删除 FRS 訂戶對象，因為它是計算機帳戶的子對象。 

2. 使用 ADSIEdit 删除 FRS 成員對象。為此，請按照下列步驟操作： a.  單擊“開始”，單擊“運作”，在“打開”框中鍵入 adsiedit.msc，然後單擊“确定”。 

c.  展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。 

d.  展開“CN=System”。 

e.  展開“CN=File Replication Service”。 

f.  展開“CN=Domain System Volume (SYSVOL share)”。 

g.  右鍵單擊要删除的域控制器，然後單擊删除。 

3. 在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要删除 A 記錄，請右鍵單擊 A 記錄，然後單擊“删除”。還要删除“_msdcs”容器中的 cname（也稱為“别名”）記錄。為此，請展開“_msdcs”容器，右鍵單擊 cname，然後單擊“删除”。

重要說明：如果這是一台 DNS 伺服器，請在名稱伺服器頁籤中删除對該 DC 的引用。為此，在 DNS 控制台中，在正向搜尋區域下單擊該域名，然後從名稱伺服器頁籤中删除該伺服器。

注意：如果有反向搜尋區域，也要将伺服器從這些區域中删除。 

4. 如果删除的計算機是子域中的最後一個域控制器，而且該子域也已删除，則使用 ADSIEdit 删除該子域的 trustDomain 對象。為此，請按照下列步驟操作： a.  單擊“開始”，單擊“運作”，在“打開”框中鍵入 adsiedit.msc，然後單擊“确定”。 

e.  右鍵單擊“Trust Domain”對象，然後單擊“删除”。 

5. 使用“Active Directory 站點和服務”删除域控制器。為此，請按照下列步驟操作： a.  啟動“Active Directory 站點和服務”。 

b.  展開“站點”。 

c.  展開伺服器的站點。預設站點為“Default-First-Site-Name”。 

d.  展開“伺服器”。 

e.  右鍵單擊域控制器，然後單擊删除。 

另外，請考慮以下幾點：• 如果删除的域控制器曾經是一台全局編錄伺服器，請評估指向這台脫機全局編錄伺服器的應用程式伺服器是否必須指向一台活動的全局編錄伺服器。 

• 如果删除的 DC 曾經是一台全局編錄伺服器，請評估是否必須提升其他全局編錄，以解決站點、域或林全局編錄的負載問題。 

• 如果删除的 DC 曾經擔任 Flexible Single Master Operation (FSMO) 角色，請将這些角色重新配置設定給一台活動 DC。 

• 如果删除的 DC 曾經是一台 DNS 伺服器，請更新所有成員工作站、成員伺服器以及其他可能使用過這台 DNS 伺服器進行名稱解析的 DC 上的 DNS 用戶端配置。如果需要，請修改 DHCP 作用域，以反映出 DNS 伺服器已删除。 

• 如果删除的 DC 曾經是一台 DNS 伺服器，請更新所有其他可能指向該 DC 以進行名稱解析的 DNS 伺服器上的轉發器設定和委派設定。 

本文轉自 qinling_bai 51CTO部落格，原文連結：http://blog.51cto.com/22494/11938，如需轉載請自行聯系原作者