最全面的額外域控制升級為主域控制器試驗方法

1、額外域限制升級為主域限制器實驗實驗環(huán)境：域名為test 原主域限制器System:windows20003ServerFQDN:PDC.test IP:192.168.10.100Mask:255.255.255.0DNS:192.168.10.1二、實驗?zāi)康模狠o助域限制器System:windows2003ServerFQDNBDC.test IP:192.168.10.101Mask:255.255.255.0DNS:192.168.10.1在主域才$制器PDC出現(xiàn)故障的時候通過提升輔域限制器BDC為主域限制,從而不影響所有依靠AD的效勞.一般公司部署兩臺ADserver來維持正常運行,一

2、臺為主域限制器,另外一臺為額外域限制器,如果主ADserver損壞可通過額外的域限制器來維持環(huán)境正常運行,如果之前沒有通過備份,同時AD由于硬件設(shè)備而導(dǎo)致不能正常工作,這個時候我們就需要將額外的域限制器提升為主AD3、 以下介紹三種額外域提升為主域方法一當(dāng)主域正常運行時,如何將額外域限制器提升為主域限制器命令行界面二當(dāng)主域正常運行時,如何將額外域限制器提升為主域限制器圖形化界面三當(dāng)主域永久DOW機(jī)時,如何將額外的域限制器提升為主域限制器搶奪角色4、 實驗步驟：一當(dāng)主域正常運行時,如何將額外域限制器提升為主域限制器命令行界面1 .安裝域限制器.第一臺域限制器的安裝我這里就不在說明了,但要注意一點

3、的是,兩臺域控器都要安裝DNS1件.在第一臺域限制安裝好后,下面開始安裝第二臺域限制器BDC,首先將要提升為輔助域限制的計算機(jī)的計算機(jī)名,IP地址及DNS跟據(jù)上面設(shè)置好以后,并參加到現(xiàn)有域,參加域后以域治理員的身份登陸,開始進(jìn)行安裝第二臺域限制器.2 .以域治理員身份登陸要提升為輔助域限制器的計算機(jī),點【開始】-【運行】在運行里輸入dcpromo翻開活動目錄安裝向?qū)?.點兩個【下一步】,翻開如圖.3 .這里由于是安裝第二臺域限制器,所以選擇【現(xiàn)有域的額外域限制器】,點【下一步】.如圖4 .這里輸入你的域治理員的用戶名和密碼,點【下一步】.如圖：5 .這里提示你的這臺域限制將成為哪個域的額外域限

4、制器,如果正確,點【下一步】,再連續(xù)點三個下一步,就開始安裝了,如圖,安裝完成大概要幾分鐘,你就耐心的等待吧,如圖：6.幾分鐘后安裝完成,提示重新啟動計算機(jī),重新啟動計算機(jī),此時你的計算機(jī)已經(jīng)成為了此時在活動目錄用戶和計算機(jī)的域限制器里已經(jīng)有兩臺域限制了,如圖：test 域的輔助域限制了DgmainControllersDomainControllers2個對象名稱耀I(xiàn)轆sSc計宜就圖TDC計算機(jī)MtiweDie艮口ry用戶和i+篁機(jī).tJ_|俁存的查何Tuptfest ：+：LJBuiltiii田Cfomputers出FtreignSecnrityfrincipk,朗user由Vstrs7.

5、再查看一下FSMO五種主控角色的owner,安裝WindowsServer安裝光盤中的Support目錄下的supporttools工具,然后翻開提示符輸入：netdomqueryfsmo以輸出FSMO勺o(hù)wner,如圖:CvaMuidTrm>tC-Iplit17臥,l(olEr>netdli«qui&Ky;f&nuPOCzgiUMnDomLiA下01*電產(chǎn)FDC.tBVr3m靠FJDCmleFDC.Lest-cunHTO厘n1.rwinmerPDC!.t壯事E.tnnInfrastr-uctur-BPDC.test.conTlivvumndiiHg那么i

6、iw的C二Pew±"eUhFLitWuLppOFtToulQ.重點環(huán)節(jié)8.現(xiàn)在五個角色的woner都是PDG現(xiàn)在需要把這個五個角色轉(zhuǎn)移到BDC±,使BDC成為owner.9.現(xiàn)在登陸PDC主域限制器翻開命令提示符,輸入ntdsutil;及ntdsutil?查看相關(guān)的命令；由于要更改角色的所有者,所以運行roles命令10.命令提示符下再輸入：roles回車,輸入connections回車,再輸入connecttoserverBDC備注：這里的BDd額外指效勞器名稱,提示綁定成功后,輸入q退出,如圖：erverco-nBE&tiDns"<oT

7、*8flH7R057此幡li*Liiijilt-IIkI&ynt4Xl版urtihrobjndStttifijeaJMjdnJrimut11itdttnllsMieAh-H.-riA苴酰后息ira券件即洋翻舞常懿薩'霸三工林恃產(chǎn)ar,ntMftt/f<-t.TtHMtSxyMcb3£1匚上士-ilCzitilHicMUfifrWiMausF萌軍5.I.37M1<C)M*.于91懂JAft3Kkraft%.修#11M中Ch*Bq|TBE.,E'i<4icco-UMtSck忖/i1,口0*.hlitifn«晦Fiiev“Flfai!*H

8、rlli-hitlif-lilli1i|pKirriilllflLMvlpIPftIMPpvlicuxLMF*dL16-1ThflC-M-C“1,癡】.|Mtqd冏ca£le-AnuipIT.|4fiHXMhrtlfmW-l!4Fvpaipcl>ffFapupsori心1葉口EvfrGiSy44*£*LhH«.ItaW修國i*目口*<204*鼻InstART44Mh,二七.靛身存用.,11r用力魏馥-考贊»LW數(shù)晤隹京件-審理3P蝴郵-苑.DLDL莢同唱.LDM高口,-啦i夜計蝙耨的出班山心.1也-Tflfc1MC用芭谷片-第母毛使用璘覆鼻器

9、地對象管曜自塞分成NAJrl11 .命令提示符下輸入號,可以查看到通過使用Transfer命令做相關(guān)的5個角色的傳遞12 .然后分別輸入：Transferinfrastructuremaster回車Transfernamingmaster回車TransferPDC回車TransferRIDmaster回車Transferschemamaster回車13 .以下的命令在輸入完成一條后都會有提示是否傳送角色到新的效勞器,選擇YES,如圖：然后接著一條一條完成既可,完成以上按Q退出界面.ViHMTVll«ri4M«lpIfcKEHrat.uuuu七rMin*aiHHik戶密封$H

10、dPEhf*血FnrlLkJtrixHtilCri>>i.l“工lB；Jlrt11Jrjplpsaru4flliH4-aiM*hiiHt/圭h*0EhkFbJCPFiF<urrr.rrr.nLHknirbr.>lh.rrr口連己3已bmmtirrf-Btab*90Enalyqit工tKHNFiunuard*Eml.*Fir«4crvDVLiirA岫立t'tvixHniHKiBTnuctair*2FK$«mR3Diwct.frt.NE.lwiMPWB.*.*t/1*%+常Lithhxfar11r*z±riLKtuiMin&Kt

11、Jilr«P*fvrriMifliR«K«rIr4PffarFKlrwi>xftfr-,1.PMtilnrVAF+fitrAn向,*日.a+jih11).上一件二；：；,r這E哥百一Je,¥用王中.岸屯小捫加雪s唾號K*K*_#*守w:啟品方交黑笠白ezl四*氈；«4niin6<ei*n>VW«rE-W1BEI.1-DHXI£.!»<t.(黑田'/:七怔連接iNIFvflP-iiitAHNgldiQHii彳CtiBBg-<*1旬口4ultRfI11rfrildMtlAiAAhf

12、£ixaTdxtme曬*TME-L1*Hit|MJ-t«vUhMii工haiNihm3*01匕figTrAaxfvNtivulnTn-«A4lHr-infr>iiqTIl-MdfJSCTahM-3!*WTf*肝肝3i學(xué)力-小心卡蚪議31里awrtE片田*1由WfHCHlI-.二.4I5£箱IT,!的nrwwi»l-«ndLB44Jtr«n3i*rdiWMirtirifRd-t+r14 .這五個步驟完成以后,檢查一下是否全部轉(zhuǎn)移到BDC上了,開始>程序->運行->命令提示符下輸入netdomqueryf

13、smo如圖：現(xiàn)在五個角色的owner都是BDC專移成功.工-ulJRM：«tAt nE.trsr.e«nF®CroIeRDG.tnt.conRIDi»#lnnnngcr皆DC.test.cflftInftruetvrtwfflier,曲件rniwnnirteiinp-letfrilsuic-csseIFuI15 .角色轉(zhuǎn)移成功以后,還要把GCfe轉(zhuǎn)移過去,翻開活動目錄站點和效勞,展開site->default-first-site-name->servers,你會看到兩臺域限制器都在下面.展開BDC右擊【NTDSSettings】點【屬性】,

14、勾上全局編錄前面的勾,點確定,如圖：16 .然后展開PDC右擊【NTDSSettings】點【屬性】,去掉全局編錄前面的勾.如圖：這樣全局編錄也轉(zhuǎn)到BDC上去了,致此主域限制器已經(jīng)變成BDC了.而PDCt成了輔助域限制器了中HciViU；E口WBdWLTLrxirSLi1一I-CUmi"iiMl口四#Ifiir:mil'fa*-_Jtii-Lar-Jfilitj-uisr卜J5fMLcLLn-3T>+FiisJ1-<hr«h-5itr-JMK明目川±1*1-_|EaTfuEliarf-_|5d»iLr士置捌a17 .現(xiàn)在已經(jīng)可以把原來

15、的主域限制器PDQ刪除掉了,在PDC現(xiàn)在的輔助域限制器上運行dcpromo根據(jù)提示一步一步的刪除它,然后將它退出域.就完成了整個升級過程.這里還有一點要注要的：升級完以后,你現(xiàn)在的主域限制器的IP地址是新的,而不是原來的那個IP地址了,而下面所有的客戶端的DNStB是指向原來的主域限制器的,這樣就會出現(xiàn)很多找不到域限制器的問題,所以我最簡單的方法就是把BDC現(xiàn)在的主域才$制器的IP改為PDC原來的主域才$制器的IP就好To注：2003系統(tǒng)和2021R2系統(tǒng)安裝AD域限制器和提升角色方法都一樣,唯一不同的是2021R系統(tǒng)提升角色時不需要操作第15-16步驟,主域正常啟動時與額外域處于轉(zhuǎn)移角色關(guān)系

16、,netdomqueryfsmo查看角色轉(zhuǎn)移成功后G5口上全局編錄已自動更新為額外域無需在手動去操作.命令行方式提升角色方法結(jié)束8二當(dāng)主域正常運行時,如何將額外域限制器提升為主域限制器圖形化界面1 .一種圖形界面,一種命令行；有兩種有什么區(qū)別么呢,用圖形界面能操作的命令行都能操作,當(dāng)用命令行能操作的圖形不一定能操作,命令稍帶優(yōu)勢；在操作fsmo角色傳遞時圖形界面會報錯,而通過命令操作一下就過了,大家把兩個方式務(wù)必記住.詳細(xì)實例見下：2 .額外域運行"regsvr32.exeschmmgmt.dll來注冊動態(tài)鏈接庫,由于架構(gòu)主機(jī)重要特殊,并沒有預(yù)先設(shè)置的工具,所以必須通過注冊動態(tài)鏈接庫

17、來翻開.3 .運行MMCC具翻開限制臺來添加Activedirectory架構(gòu)窗口4.右擊ActiveDirectory-更改域限制器一操作主機(jī)一更改一確定*1&一!向慢嶼退三點mmdn-l事耳件中接作Htil基磋丈如古口2卻電皿5 .RID主機(jī)角色的傳遞：運行dsa.msc翻開窗口,右擊ActiveDirctory選擇操作主機(jī),選擇RID標(biāo)簽單機(jī)更改然后確定6 .PDC主機(jī)角色的傳遞：選擇PD的簽單機(jī)更改然后確定7 .根底結(jié)構(gòu)主機(jī)角色的傳遞：選擇根底結(jié)構(gòu)標(biāo)簽更改然后確定8 .域命名主機(jī)的彳遞：運行domain.msc窗口,右擊ActiveDirctory選擇操作主機(jī),選擇更改然后確定

18、圖形化界面方式提升角色方法結(jié)束8nC/nvRBKrCMVCINIBK.twt.c：o*Fl1看小TwI)餐sV»prMh4ta|a帆'木*卜事*津|ll*ri!l*Hlui!nvr«wZEII*1iLmaPri*jPdLfejaNkl-IMhilfaisrt»nFlU*3M.Hh.k.Hiti'gBit'Li'rkMii,nLMFxLkUj.IMFMofi>>I-1BEI*Aaa-.IhciII">hrl<La«iupPAPIMl1,SMK-BU4KMI0向騏“RiAie!t*diFi.+

19、wRfr-*Ri-«+印裝sr多卡百皿ma15空址上W6MI*51L1I',B|門由|嘰|371.甲4>也產(chǎn)Id目一尊器s*-J二二FMtII巨旦KunFap.工一*匕I,4.,/mhldwitl?-明口千弘StL為ADLKMl坳渣SILAQ.nidiwi：ilI£«：ti«MMpaIxxuirinxLive.tunMiz£«rKfI.fHiMjnivHehlJAHE-litltexL«rS>r1»MhfM3g白.電.LauI.vpar*ll«*tarvitlifMMvtnrInfHK

20、lKirlvripnaiIpr-IcMVM-rvr叼1*!-IrHtHFfKIt*-Fei-RIB“wUrMMdHi"igq-m1Ur三當(dāng)主域永久DOW機(jī)時,如何將額外的域限制器提升為主域限制器搶奪角色1.前面寫的是在PDC主域還生效的情況下進(jìn)行BDC額外域升PDC主域步驟,而如果主域出現(xiàn)了問題時呢,比方說PDC勺硬件出問題了或者系統(tǒng)壞了的情況下我們就要提升BD8PDCT,下面來講解在PDCB現(xiàn)故障后BD/口何提升為PDC2.額外域BDC上翻開AD用戶和計算機(jī),右擊ActiveDirctory選擇操作主機(jī),此時在操作主機(jī)項顯示的是錯誤不能使用“更改按鈕,因此需要把BDCM改為操作主機(jī)

21、使用命令行模式進(jìn)行強(qiáng)制奪取.版ZmfMmtr加4Mli-rak*uh«rJ'KkLt即I口|«41JIMII'd|firBnFiH<：tuirtbfVMl*QWpl4t9ds寓£修¥6(11+.3.在命令提示符下輸入netdomqueryfsmo查看一下當(dāng)前的五個前色的owner是誰,如圖a可以看到當(dāng)前五個角色的owner還是PDC下面就開始強(qiáng)制奪取吧.4.下面我們就通過運行命令：ntdsutiltools強(qiáng)制將fsmo角色傳遞到DCB額外域限制器上首先在DCB上翻開命令提示符,輸入ntdsutil;及ntdsutil?查看相關(guān)的命

22、令5.看到關(guān)于ntdsutil的很多命令,使用治理NTDSlf色所有者的令牌,由于要將DCA上得角色傳遞到DCBi面,所以通過運行roles命令進(jìn)行相關(guān)的操作,輸入roles命令后再次敲打號查看有哪些相關(guān)的操作.6.我們通過號查看到很多得先關(guān)命令,我們這會明白,首先要通過connetions命令連接到我的DCBserver上,然后再通過命令強(qiáng)制將角色傳遞到該效勞器.7.命令提示符下輸入connections回車,再輸入connecttoserverBDC備注：這里的BDC是額外指效勞器名稱,提示綁定成功后,輸入q退出,如圖：T,1丁/*bnIwI>>I卜IdEOOiTl；MX嬴*f

23、卜雙忸旭白：:sJSmc4iwmte.»><<£早:t孑n/匯1141d-iFii.iE七扁口d1ntvJ4-ULtUi1*BW>7WK7papsiininptitLIIbhhIaye/ntdzu.billvo!la#UdHCU4bJWI>U!«：CUFMIHE1.1419:i>金匹亡-Q仲:匚口口九史正£Zd修土曰SrilM-鴕定到Mb.解饕索的用戶的憑近.Me.wvv-wcPifHHnt-ior*5s口£nu«it!4-8.1. 入號,來查看相關(guān)的操作命令,之前用了Transger進(jìn)彳ffsmo

24、的角色傳遞；下面需要使用Seize命令來執(zhí)行fsmo的角色傳遞強(qiáng)制奪取,前提是兩個域限制器之間完全沒有通信.9.分別輸入：Seizeinfrastructuremaster回車Seizenamingmaster回車SeizePDC回車SeizeRIDmaster回車Seizeschemamaster回車10.以下的命令在接下來輸入完成后都會出現(xiàn)確認(rèn)要占用角色,選擇是,然后接著一條一條完成既可,由于主域PD5在線,結(jié)構(gòu)角色會奪取到BDCk所以在奪取時會有這個出錯信息.如圖：E®S.,金Sj-SuitwiLfE«tzint.izc.；fSMMinfcKUAlicV-:寫wir-

25、aJjiit<ikanue-fAmllllflhF：hii-K；T"口o雷噩/SEF文ItlH-i;mFhi4flflttlf£«-ltiittRrntl-mtabgpa-t量；THOuitK電if用infncitl«rBflIDBifML'B3nrfPM/t首£ei«PiCIein101nulwfiflirflH<ih»FWirwntarSelectcc«rtlttn3M匕TrmfiQirli窿ftT*：WiiHtif|id*：i4ifTiM>nrfif«rnatfirIPDC

26、TiMoeferMB1T141巾步國/自丁唯產(chǎn)KM>NJjlLObrfNL-a"_二TI-4引一士rj-ij-i?-,ILi®=廚£匹IJrLLnlr匚LIEFL堂7毛仃于至于年FHE啦Ifr構(gòu)rlR架第,口刃力力-ft息息器罟黑器'工；-?-.日:久融一之二M-rMnlMEF,帕朋用中限K<:.一二:.:_匚.L-.-F_?,?Ti-n-tfM-rTriiiiTflirTFn“srfrenTfT>存LkfPActFtactuH-nml«rRMlHdiiXlirFDCRIV1wctericbwiifl!；rMumlfltBMJH

27、«=:ei:eudiwtnja!tnr«mstc-r亶涉f匕35®寐£KH-tnmAK多名主機(jī)-E/nag*rtlrwt.C®i*UIC-I«3KCIMTK;.RMfjnilFiQMFAtin«.DC4-KUCH*唯才mt皿AtEs.t<«n>liwTAtw.DC-ttqt.K等電-CM-HTISEcttiAgrs.CH-TEI39.LN-ClMIIWFJitltll.Dt-tE5t.lCliRl1湛1,*可T、的HR冬必的L0力B!DO*542泉*哂皿哂rn*h-Bmi,ZT;E:tit,3tETTs

28、fiar上；g.'DT=t*ct.TC=rgI占1),ii.ii：.hi-JU回hllCn-KIti>件品TMT削-帕KiL«N4MlMt =Cn*ff4僧iInn.lKaK=c«m結(jié)構(gòu)-IKfactln,(W=im-KBvaiAiw«ii,CN=nKfd*ltHPiwt-Elt»-lkMva4ilt一.f'MI!>'IEn»(iThf!-iim,F,mKiurtisvnferse-iehjmsihiwister藍(lán)箕費麓或.,咫占靠飛,7.熱番青昊5作用工的-W-miKtinss-ffl-TKI-fii-rt

29、-»itr-Hfl-*-CH-Sit是IO4-Q*BfifqlfdlVCbIa«trPC-C-CM命名主機(jī)-qtwhPQi=TBn-iM3.<w=s«Ntirai*fefmk-f-Eit*£ir<3i-GiMrifJfUNtUMiriK=t«-frtPl£=>CMPte-CWHIMtttf,CW-Ti£T-«Ct.ai,CHk-Flril-fi114-HmvIts3,CH-Cd*rdani,Krtc±trBC-caniMA-OWITIESeceljBrn-rm-«a,ai4&#

30、163;TveM.I3MefJ!Ule-Pb4t-&aL»-N4«rCM<lteI <ia*liw«ition.JKtflft,Xy*門生構(gòu)一OHmHnttjji?E>a4-TE£I-IKE.QP&trverc.0»«Jult-Fint-%itc-lhwF.CH-SitCM-Cvafigvr-ai.I.BC"trct8一gFC>NkVMi»"RMl£Wl«*lEt-*GE+"!l-igiiirA(*.IK-C-MFW；-ETTES#*t

31、in>f>9>«Oli-TE¥r-niMil;-Fir+t-i：J*euM-3!<：?i何=*i淤*r,TLHi¥-JtAI：r-i-iiwPit-EFTDC¥ettlOfi4.4>l-TESr-Ktlffl-mii,Q«-SFMlt-f1ir*t-«»!r-BlM#aCH-Bltori,CM-4(i»f1-fpriFH-CLilliDd-IrK.-hllM區(qū)構(gòu)-bMBSEotvlJWi.ai"TBTHKVa“1axMafarFlyuEiQii.ECm.BC7.而、-fi-l

32、a-t卜£i"工桔fMl*mK青工專作帶-91HHTMSftff,.«-TIXT-«flIHtoMkhh_CN-Hrlr-PIacCIv»-Hhw£OPIIf“,E"C*»FIgm*lg.iKft.K>y塞主姐-OI-MTM*Hi*AllRT-Mr6re鹵M,CM,rm«+3i9T：n/4IW.K-EitnM1aBpt>n旃m*14*4K-te4tM.七eFK-EWVWS4Zfa1441sWnFlJKBQFEEMCMfXlK-Tn.lwMHIWfe-inn：*tCr<*DCfmPit-O

33、fl4ffMtotlifi.Wnr°n.«44mr«.QHfrfnlFlnC-«flCt>«filMtat.«Mlt4西 «*fi-vurdvfon_tCr曾,DC.口a*陪構(gòu)-6麗幽H>iR.<M-TeST-KB.WI*r«vM.'ai-49-r<Mill：-?ln>C-41lv-ifam.'CN'tiCFu»1電UfTiQ4.DC"«!*K*,G懸r-PO11.以上命令全部完成以后,已將fsmo角色全部傳遞到BDC上了,我們按Q

34、退出,檢查一下是否全部搶奪成功,開始程序-運行-輸入netdomqueryfsmo,如圖：現(xiàn)在五個角色的owner都是BDC了12.還要把全局編錄轉(zhuǎn)移到BDCk,這些步驟和上面的操作方法一樣的就我這里就不在寫了五、FSMOt色介紹：1架構(gòu)主機(jī)(Schemamaster)架構(gòu)主機(jī)角色是林范圍的角色,每個林一個.此角色用于擴(kuò)展ActiveDirectory林的架構(gòu)或運行adprep/domainprep命令.2域命名主機(jī)(Domainnamingmaster)一域命名主機(jī)角色是林范圍的角色,每個林一個.此角色用于向林中添加或從林中刪除域或應(yīng)用程序分區(qū).3RID主機(jī)(RIDmaster)RID主機(jī)角

35、色是域范圍的角色,每個域一個.此角色用于分配RID池,以便新的或現(xiàn)有的域限制器能夠創(chuàng)立用戶帳戶、計算機(jī)帳戶或平安組.4結(jié)構(gòu)主機(jī)(Infrastructuremaster)結(jié)構(gòu)主機(jī)角色是域范圍的角色,每個域一個.此角色供域限制器使用,用于成功運行adprep/forestprep命令,以及更新跨域引用的對象的SID屬性和可分辨名稱屬性.5PDC模擬器(PDCemulator)PDC模擬器角色是域范圍的角色,每個域一個.將數(shù)據(jù)庫更新發(fā)送到WindowsNT備份域限制器的域限制器需要具備這個角色.此外,擁有此角色的域限制器也是某些治理工具的目標(biāo),它還可以更新用戶帳戶密碼和計算機(jī)帳戶密碼.六、AD數(shù)據(jù)

36、庫出錯解決方法：現(xiàn)在我們刪除已損壞DC的信息,對于網(wǎng)絡(luò)中DC1損壞,雖然經(jīng)過以上的FSM說色奪取到DC2上后,整個域已可以正常使用.但在日志中,還是會有AD數(shù)據(jù)庫復(fù)制信息出錯的提示解決方法：以下內(nèi)容來自微軟KB216498; :/support.microsoft /kb/216498/域限制器降級失敗后如何刪除ActiveDirectory中的數(shù)據(jù)本文介紹在域限制器降級失敗后,如何刪除ActiveDirectory中的數(shù)據(jù).警告：如果使用“ADSI編輯治理單元、LDP實用工具或任何其他LDAP版本3客戶端,并且不恰當(dāng)?shù)匦薷牧薃ctiveDirectory對象的屬性,那么可能造成嚴(yán)重問題.要解

37、決這些問題,您可能需要重新安裝MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安裝.Microsoft不保證能夠解決由于ActiveDirectory對象屬性修改不當(dāng)而導(dǎo)致的問題.修改這些屬性需要您自擔(dān)風(fēng)險.ActiveDirectory安裝向?qū)?Dcpromo.exe)用于將效勞器提升為域限制器,以及將域限制器降級為成員效勞器(或者在該域限制器是域中的最后一個域限制器時,將

38、其降級為工作組中的獨立效勞器).作為降級過程的一局部,此向?qū)⒃撚蚩刂破鞯呐渲脭?shù)據(jù)從ActiveDirectory中刪除.此數(shù)據(jù)的形式是“NTDS設(shè)置"對象,在"ActiveDirectory站點和效勞"中作為效勞器對象的一個子對象存在.該信息位于ActiveDirectory中的以下位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>.“NTDS設(shè)置對象的屬性包括：代表如何針對域限制器

39、的復(fù)制伙伴標(biāo)識域限制器的數(shù)據(jù)、計算機(jī)中保存的命名上下文、域限制器是否為全局編錄效勞器,以及默認(rèn)查詢策略.“NTDS設(shè)置對象也是一個容器,其中可以包含代表域限制器的直接復(fù)制伙伴的子對象.該數(shù)據(jù)是域限制器在環(huán)境中運行所必需的,但域限制器降級后就不再使用該數(shù)據(jù)了.如果未正確刪除“NTDS設(shè)置對象(例如,未從降級嘗試中正確刪除“NTDS設(shè)置對象),治理員可以使用Ntdsutil.exe實用工具手動刪除“NTDS設(shè)置對象.以下步驟列出了在特定域限制器的ActiveDirectory中刪除“NTDS設(shè)置對象的過程.在每個Ntdsutil菜單上,治理員可以鍵入help以了解有關(guān)可用選項的更多信息.飛回到頂端

40、WindowsServer2003ServicePack1(SP1)-Ntdsutil.exe的增強(qiáng)版本W(wǎng)indowsServer2003ServicePack1中包含的Ntdsutil.exe版本已經(jīng)過增強(qiáng),可使元數(shù)據(jù)去除過程更加徹底.在運行元數(shù)據(jù)去除時,SP1中包含的Ntdsutil.exe將執(zhí)行以下操作：刪除“NTDS破置或“NTDS設(shè)置主題.刪除現(xiàn)有目標(biāo)DC用于從要刪除的源DC復(fù)制數(shù)據(jù)的入站AD連接對象.刪除計算機(jī)帳戶.刪除FRS成員對象.刪除FRS訂閱者對象.嘗試獲取由要刪除的DC所擁有的靈活單操作主機(jī)角色(又稱為靈活單主機(jī)操作或FSMO警告：在手動刪除任彳效勞器的“NTDS設(shè)置對象

41、之前,治理員還必須保證在降級之后已進(jìn)行了復(fù)制.Ntdsutil實用工具使用不當(dāng)可能導(dǎo)致ActiveDirectory功能局部或全部喪失.回到頂端過程1:僅限WindowsServer2003SP1單擊“開始,指向“程序,指向“附件,然后單擊“命令提示符.在命令提示符處,鍵入ntdsutil,然后按Enter.鍵入metadatacleanup,然后按Enter.根據(jù)所給出的選項,治理員可以執(zhí)行刪除操作,但在實施刪除之前還必須指定另外一些配置參數(shù).鍵入connections,然后按Enter.此菜單用于連接將發(fā)生這些更改的具體效勞器.如果當(dāng)前登錄的用戶沒有治理權(quán)限,可以在建立連接之前指定要使用的

42、替代憑據(jù).為此,請鍵入setcredsDomainNameUserNamePassword后按Enter.如果密碼為空,那么鍵入null作為密碼參數(shù).鍵入connecttoserverservername,然后按Enter.然后出現(xiàn)一條確認(rèn)消息,說明已成功建立該連接.如果出現(xiàn)錯誤,那么確認(rèn)連接中所用的域限制器是否可用,以及您提供的憑據(jù)對該效勞器是否有治理權(quán)限.注意：如果嘗試連接的效勞器正是要刪除的效勞器,那么在嘗試刪除步驟15提到的效勞器時,將顯示以下錯誤消息：錯誤2094.不能刪除DSA對象.0x2094鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入selectoperatio

43、ntarget,然后按Enter.鍵入listdomains,然后按Enter.將顯示一個列出目錄林中所有域的列表,每一個域都有一個關(guān)聯(lián)的編號.鍵入selectdomainnumber然后按Enter；其中number是與要刪除的效勞器所屬的域相關(guān)聯(lián)的編號.您選擇的域?qū)⒂糜诖_定要刪除的效勞器是否為該域的最后一個域限制器.鍵入listsites,然后按Enter.將出現(xiàn)一個站點列表,其中每個站點都帶有一個關(guān)聯(lián)的編號.鍵入selectsitenumber;然后按Enter；其中number是與要刪除的效勞器所屬站點相關(guān)聯(lián)的編號.將出現(xiàn)一條確認(rèn)消息,其中列出了所選的站點和域.鍵入listserver

44、sinsite,然后按Enter.將顯示一個列出站點中所有效勞器的列表,每個效勞器都有一個關(guān)聯(lián)的編號.鍵入selectservernumber其中number是與要刪除的效勞器關(guān)聯(lián)的編號.將出現(xiàn)一條確認(rèn)消息,其中會列出所選的服務(wù)器、該效勞器的域名系統(tǒng)(DNS)主機(jī)名以及要刪除的效勞器的計算機(jī)帳戶位置.鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入removeselectedserver,然后按Enter.將出現(xiàn)一條確認(rèn)消息,說明刪除成功完成.如果出現(xiàn)以下錯誤消息,那么說明“NTDS設(shè)置對象可能已從ActiveDirectory中刪除,原因可能是其他治理員刪除了該“NTDS設(shè)置對象

45、,或者在運行DCPROM侯用工具成功刪除該對象后又執(zhí)行了一次此操作.錯誤8419(0X20E3)找不到DSA對象注意：當(dāng)您嘗試綁定到要刪除的域限制器時,也可能會出現(xiàn)此錯誤.Ntdsutil綁定到的域限制器不能是要通過去除元數(shù)據(jù)來刪除的域限制器.鍵入quit,然后在每個菜單上按Enter,退出Ntdsutil實用工具.將出現(xiàn)一條確認(rèn)消息,說明連接已成功斷開.在DNS的_msdcs.<目錄林的根域>區(qū)域中刪除cname記錄.假定要重新安裝并重新提升DC,將創(chuàng)立一個新的“NTDS設(shè)置對象,它將具有新的GUID并在DNS中擁有一個匹配的cname記錄.您不希望現(xiàn)有DC使用舊的cname記錄

46、.最正確做法是刪除主機(jī)名和其他DNS記錄.如果已超出為脫機(jī)效勞器分配的動態(tài)主機(jī)配置協(xié)議(DHCP)地址上所剩的租用時間,另一個客戶端即可獲得問題DC的IP地址.在DNS限制臺中,使用DNSMMC刪除DNS中的A記錄.A記錄也稱為“主機(jī)記錄.要刪除A記錄,請右鍵單擊A記錄,然后單擊"刪除".另外,請刪除_msdcs容器中的cname記錄.為此,請展開"_msdcS'容器,右鍵單擊"cnam3,然后單擊“刪除.重要說明：如果這是一臺DNS效勞器,請在“名稱效勞器選項卡下刪除對該DC的引用.為此,在DNS限制臺中,在“正向查找區(qū)域下單擊該域名,然后從“

47、名稱效勞器選項卡中刪除該效勞器.注意：如果有反向查找區(qū)域,也要將效勞器從這些區(qū)域中刪除.如果刪除的計算機(jī)是子域中的最后一個域限制器,而且該子域也已刪除,請使用ADSIEdit刪除該子域的trustDomain對象.為此,請根據(jù)以下步驟操作：單擊“開始,單擊“運行,鍵入adsiedit.msc,然后單擊“確定.展開“域NC容器.展開“DC=您的域,DC=COM,PRI,LOCAL,NET'.展開"CN=Systerfi.右鍵單擊“TrustDomain對象,然后單擊“刪除.使用“ActiveDirectory站點和效勞刪除域限制器.為此,請根據(jù)以下步驟操作：啟動"Ac

48、tiveDirectory站點和效勞.展開“站點.展開效勞器的站點.默認(rèn)站點為"Default-First-Site-Name.展開“效勞器.右鍵單擊域限制器,然后單擊“刪除.電回到頂端過程2:Windows2000(所有版本)、WindowsServer2003RTM單擊“開始,指向“程序,指向“附件,然后單擊“命令提示符.在命令提示符處,鍵入ntdsutil,然后按Enter.鍵入metadatacleanup,然后按Enter.根據(jù)所給出的選項,治理員可以執(zhí)行刪除操作,但在實施刪除之前還必須指定另外一些配置參數(shù).鍵入connections,然后按Enter.此菜單用于連接將發(fā)生

49、這些更改的具體效勞器.如果當(dāng)前登錄的用戶沒有治理權(quán)限,那么可以在建立連接之前指定要使用的替代憑據(jù).為此,請鍵入setcredsDomainNameUserNamePasswo然后按Enter.如果密碼為空,那么鍵入null作為密碼參數(shù).鍵入connecttoserverservername,然后按Enter.然后出現(xiàn)一條確認(rèn)消息,說明已成功建立該連接.如果出現(xiàn)錯誤,那么確認(rèn)連接中所用的域限制器是否可用,以及您提供的憑據(jù)對該效勞器是否有治理權(quán)限.注意：如果嘗試連接的效勞器正是要刪除的效勞器,那么在嘗試刪除步驟15提到的效勞器時,將顯示以下錯誤消息：錯誤2094.不能刪除DSA對象.0x2094鍵

50、入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入selectoperationtarget,然后按Enter.鍵入listdomains,然后按Enter.將顯示一個列出目錄林中所有域的列表,每一個域都有一個關(guān)聯(lián)的編號.鍵入selectdomainnumber然后按Enter；其中number是與要刪除的效勞器所屬的域相關(guān)聯(lián)的編號.您選擇的域?qū)⒂糜诖_定要刪除的效勞器是否為該域的最后一個域限制器.鍵入listsites,然后按Enter.將顯示一個站點列表,每個站點都有一個關(guān)聯(lián)的編號.鍵入selectsitenumber;然后按Enter；其中number是與要刪除的效勞器所屬站點相關(guān)

51、聯(lián)的編號.將出現(xiàn)一條確認(rèn)消息,其中列出了所選的站點和域.鍵入listserversinsite,然后按Enter.將顯示一個列出站點中所有效勞器的列表,每個效勞器都有一個關(guān)聯(lián)的編號.鍵入selectservernumber其中number是與要刪除的效勞器關(guān)聯(lián)的編號.將出現(xiàn)一條確認(rèn)消息,其中會列出所選的服務(wù)器、該效勞器的域名系統(tǒng)(DNS)主機(jī)名以及要刪除的效勞器的計算機(jī)帳戶位置.鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入removeselectedserver,然后按Enter.將出現(xiàn)一條確認(rèn)消息,說明刪除成功完成.如果出現(xiàn)以下錯誤消息：錯誤8419(0X20E3)找不到DS

52、A對象那么說明“NTDS設(shè)置對象可能已從ActiveDirectory中刪除,原因可能是其他治理員刪除了該“NTDS設(shè)置對象,或者在運行Dcpromo實用工具成功刪除該對象后又執(zhí)行了一次此操作.注意：當(dāng)您嘗試綁定到要刪除的域限制器時,也可能會出現(xiàn)此錯誤.Ntdsutil綁定到的域限制器不能是要通過去除元數(shù)據(jù)來刪除的域限制器.在每個菜單中鍵入quit,退出Ntdsutil實用工具.將出現(xiàn)一條確認(rèn)消息,說明連接已成功斷開.在DNS的_msdcs.<目錄林的根域>區(qū)域中刪除cname記錄.假定要重新安裝并重新提升DC,將創(chuàng)立一個新的“NTDS設(shè)置對象,它將具有新的GUID并在DNS中擁有

53、一個匹配的cname記錄.您不希望現(xiàn)有DC使用舊的cname記錄.最正確做法是刪除主機(jī)名和其他DNS記錄.如果已超出為脫機(jī)效勞器分配的動態(tài)主機(jī)配置協(xié)議(DHCP)地址上所剩的租用時間,另一個客戶端即可獲得問題DC的IP地址.既然“NTDS設(shè)置對象已刪除,因此可以刪除計算機(jī)帳戶、FRS成員對象、_msdcs容器中的cname(或別名)記錄、DNS中的A(或主機(jī))記錄、已刪除的子域的trustDomain對象以及域限制器.注意：在WindowsServer2003RTM中不需要手動刪除FRS成員對象,由于在您運行Ntdsutil.exe實用工具時,它已經(jīng)刪除了FRS成員對象.另外,如果DC的計算機(jī)

54、帳戶包含其他頁對象,那么無法刪除該計算機(jī)帳戶的元數(shù)據(jù).例如,DC上可能安裝了遠(yuǎn)程安裝效勞(RIS).Windows2000Server和WindowsServer2003的Windows支持工具功能中都附帶有Adsiedit實用工具.要安裝Windows支持工具,請根據(jù)以下步驟操作：Windows2000Server:在Windows2000ServerCD上,翻開SupportT001s文件夾,雙擊"Setup.exe,然后根據(jù)屏幕上的說明操作.WindowsServer2003:在WindowsServer2003CD上,翻開SupportTools文件夾,雙擊"Sup

55、tools.msi",單擊"安裝,然后根據(jù)Windows支持工具安裝向?qū)е械牟襟E操作以完成安裝.使用ADSIEdit刪除計算機(jī)帳戶.為此,請根據(jù)以下步驟操作：單擊“開始,單擊“運行,在“翻開框中鍵入adsiedit.msc,然后單擊“確定.展開“域NC容器.展開“DC=您的域名>,DC=COM,PRI,LOCAL,NET'.展開"OU=DomainControllers.右鍵單擊"CN=域限制器名>,然后單擊“刪除.如果在試圖刪除DSA對象時出現(xiàn)“不能刪除DSA對象錯誤消息,請更改UserAccountControl值.要更改UserAccountControl值,請在ADSIEdit中右鍵單擊該域限制器,然后單擊“屬性.在“選擇一個要查看的屬性下,單擊“UserAccountControl.單擊“去除,將