最近遇到了一個域控問題,域控伺服器一直運作都是沒問題的,突然有一天添加新使用者時候,提示“目錄服務已經用完相對辨別池”,以為是小問題,後面點選AD時出現了“找不到命名資訊,因為:指定的域不存在,或無法聯系。請與系統管理者聯系,以确認您的域配置正确并且處于聯機狀态。”後面重新開機伺服器又可以用了,但是一段時間後又是同樣的問題。。。
後面得知之前是有一台額外域伺服器,由于伺服器問題被淘汰了。最終按照這個問題找了些資料,得知是由于額外域沒有正常的降級退域。本文将簡要闡述DC解除安裝和手動清理其他正常運作的DC上已經不存在的DC資訊,防止後期域控出現問題。
DC解除安裝可使用正常情況下解除安裝,輸入dcpromo,輸入本地管理者密碼,在配置解除安裝頁面上可以看到正在删除域控、操作主要以及複制夥伴關系。重新開機之後,便删除了DC。
DC解除安裝也可使用強制解除安裝,即将無法複制的DC從域環境中脫離出來,使用dcpromo/ forceremoval強制解除安裝,
彈出如下對話框;
若删除AD域内其他DC(非PDC),則直接彈出強制解除安裝向導;
随後開始進行AD配置,開始解除安裝DC
單擊完成,完成解除安裝。
由于強制解除安裝,域内其他DC不知此DC已不存在,需要在其複制夥伴上将其手動清理,然後把清理後的AD資訊複制到其他DC上。告知其他DC此DC已不存在。在指令行提示符下輸入ntdsutil,輸入metadata cleanup;如圖:
連接配接到進行手動删除AD資料的此DC上(目前主機)
select operation target的指令如下
依次選擇“列出站點”、“選擇所列出的站點”
“列出站點中的域”、“選擇所列出的域”
“列出站點下AD域下的伺服器名稱”、“選擇伺服器”如圖;
即反複使用“list”“select”列出站點,選擇站點,列出站點下的域,選擇域,列出站點下域下的伺服器,選擇伺服器;至此,完成了所要手動清理的DC的選擇;
移除所選擇的伺服器,如圖;
如圖,從操作的主機上手動删除了強制解除安裝的DC,
然後打開“AD使用者和計算機”domain controllers,在右側選擇已經删除的伺服器win2003-2右擊删除,如圖;
對删除win2003-2的原因進行描述,完成了對DCwin2003-2的删除;
随後,手動删除DNS中原DC的SRV記錄,若原DC為操作主要伺服器,使用奪取将操作主要轉移到其他DC,若原DC為全局編目伺服器,選擇其他DC為全局編目伺服器,将在此伺服器的AD複制到其他DC上。
隻有當DC無法進行正常解除安裝時,才能考慮使用強制解除安裝,且使用強制解除安裝後一定要注意後續對AD的手工清理。
如果正常使用的DC突然系統出現故障,無法正常登入系統,無法使用指令調出強制解除安裝,隻得進入目錄服務還原模式将其解除安裝,點F8進入目錄服務還原模式,修改系統資料庫将DC強行變為獨立伺服器,定位到HKEY_Local_Machine\System\CurrentControlSet\Control\Productoptions\ProductType,這個鍵值決定了伺服器的身份。