域控制器降级失败后如何删除 Active Directory 中的数据.docx
《域控制器降级失败后如何删除 Active Directory 中的数据.docx》由会员分享,可在线阅读,更多相关《域控制器降级失败后如何删除 Active Directory 中的数据.docx(8页珍藏版)》请在冰点文库上搜索。
域控制器降级失败后如何删除ActiveDirectory中的数据
域控制器降级失败后,如何删除ActiveDirectory中的数据
本文介绍在域控制器降级失败后,如何删除ActiveDirectory中的数据。
警告:
如果使用“ADSI编辑”管理单元、LDP实用工具或任何其他LDAP版本3客户端,并且不恰当地修改了ActiveDirectory对象的属性,则可能造成严重问题。
要解决这些问题,您可能需要重新安装MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安装。
Microsoft不保证能够解决因为ActiveDirectory对象属性修改不当而导致的问题。
修改这些属性需要您自担风险。
ActiveDirectory安装向导(Dcpromo.exe)用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。
作为降级过程的一部分,此向导会将该域控制器的配置数据从ActiveDirectory中删除。
此数据的形式是“NTDS设置”对象,在“ActiveDirectory站点和服务”中作为服务器对象的一个子对象存在。
此信息位于ActiveDirectory的下列位置:
CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...“NTDS设置”对象的属性包括:
代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器,以及默认查询策略。
“NTDS设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。
该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。
如果“NTDS设置”对象未正确删除(例如,如果在降级尝试中错误地删除“NTDS设置”对象),则管理员可以手动删除服务器对象的元数据。
在WindowsServer2008和WindowsServer2008R2中,管理员可以通过删除ActiveDirectory用户和计算机管理单元中的服务器对象,删除服务器对象的元数据。
在WindowsServer2003和Windows2000Server中,管理员可以使用Ntdsutil.exe实用工具手动删除“NTDS设置”对象。
以下步骤列出了在特定域控制器的ActiveDirectory中删除“NTDS设置”对象的过程。
在每个Ntdsutil菜单上,管理员键入help可以获取有关可用选项的详细信息。
回到顶端WindowsServer2003ServicePack1(SP1)或更高版本的ServicePack–Ntdsutil.exe的增强版本包含在WindowsServer2003的ServicePack1或更高版本ServicePack中的Ntdsutil.exe版本已经得到增强,可完成元数据清除过程。
在运行元数据清除时,SP1或更高版本ServicePack中包含的Ntdsutil.exe版本将执行下列操作:
删除“NTDSA设置”或“NTDS设置”主题。
删除现有目标DC用于从要删除的源DC复制数据的入站AD连接对象。
删除计算机帐户。
删除FRS成员对象。
删除FRS订阅者对象。
尝试获取由要删除的DC所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSMO)。
警告:
在手动删除任何服务器的“NTDS设置”对象之前,管理员还必须确保在降级之后已进行了复制。
错误使用Ntdsutil实用工具可能导致ActiveDirectory功能的部分或全部丧失。
回到顶端过程1:
仅WindowsServer2003SP1或更高版本ServicePack单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
在命令提示符处,键入ntdsutil,然后按Enter。
键入metadatacleanup,然后按Enter。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
键入connecttoserverservername,然后按Enter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:
错误2094。
不能删除DSA对象。
0x2094键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入selectoperationtarget,然后按Enter。
键入listdomains,然后按Enter。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
键入selectdomainnumber,然后按Enter;其中number是与要删除的服务器所属的域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
键入listsites,然后按Enter。
将出现一个站点列表,其中每个站点都带有一个关联的编号。
键入selectsitenumber,然后按Enter;其中number是与要删除的服务器所属站点相关联的编号。
将出现一条确认消息,其中列出了所选的站点和域。
键入listserversinsite,然后按Enter。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。
键入selectservernumber,其中number是与要删除的服务器关联的编号。
将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。
键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入removeselectedserver,然后按Enter。
将出现一条确认消息,说明删除成功完成。
如果出现以下错误消息,则说明“NTDS设置”对象可能已从ActiveDirectory中删除,原因可能是其他管理员删除了该“NTDS设置”对象,或者在运行DCPROMO实用工具成功删除该对象后又执行了一次此操作。
错误8419(0x20E3)找不到DSA对象注意:
当您尝试绑定到要删除的域控制器时,也可能会出现此错误。
Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。
键入quit,然后在每个菜单上按Enter,退出Ntdsutil实用工具。
将出现一条确认消息,说明连接已成功断开。
在DNS的_msdcs.目录林的根域区域中删除cname记录。
假定要重新安装并重新提升DC,将创建一个新的“NTDS设置”对象,它将具有新的GUID并在DNS中拥有一个匹配的cname记录。
如果不希望现有DC使用旧的cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
在DNS控制台中,使用DNSMMC删除DNS中的A记录。
A记录也称为“主机”记录。
若要删除A记录,请右键单击A记录,然后单击“删除”。
另外,请删除_msdcs容器中的cname记录。
为此,请展开“_msdcs”容器,右键单击“cname”,然后单击“删除”。
重要说明:
如果这是DNS服务器,请在“名称服务器”选项卡下删除对该DC的引用。
为此,在DNS控制台中,在“正向查找区域”下单击该域名,然后从“名称服务器”选项卡中删除该服务器。
注意:
如果有反向查找区域,也要将服务器从这些区域中删除。
如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用ADSIEdit删除该子域的trustDomain对象。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
展开“域NC”容器。
展开“DC=您的域,DC=COM,PRI,LOCAL,NET”。
展开“CN=System”。
右键单击“TrustDomain”对象,然后单击“删除”。
使用“ActiveDirectory站点和服务”删除域控制器。
为此,请按照下列步骤操作:
启动“ActiveDirectory站点和服务”。
展开“站点”。
展开服务器的站点。
默认站点为“Default-First-Site-Name”。
展开“服务器”。
右键单击域控制器,然后单击“删除”。
当您在WindowsServer2008和更高版本中使用DFS复制时,Ntdsutil.exe的当前版本不会清理DFS复制对象。
在这种情况下,您可以使用Adsiedit.msc手动为ActiveDirectory域服务(ADDS)更正DFS复制对象。
若要进行此操作,请执行以下步骤:
在受影响的域中,以域管理员身份登录域控制器。
启动Adsiedit.msc。
连接到默认命名上下文。
找到下面的DFS复制拓扑容器:
CN=Topology、CN=DomainSystemVolume、CN=DFSR-Globalsettings、CN=System、DC=YourDomain、DC=DomainSuffix删除具有旧计算机名称的msDFSR-MemberCN对象。
回到顶端过程2:
Windows2000(所有版本)、WindowsServer2003RTM单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
在命令提示符处,键入ntdsutil,然后按Enter。
键入metadatacleanup,然后按Enter。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,则可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
键入connecttoserverservername,然后按Enter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:
错误2094。
不能删除DSA对象。
0x2094键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入selectoperationtarget,然后按Enter。
键入listdomains,然后按Enter。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
键入selectdomainnumber,然后按Enter;其中number是与要删除的服务器所属的域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
键入listsites,然后按Enter。
将显示一个站点列表,每个站点都有一个关联的编号。
键入selectsitenumber,然后按Enter;其中number是与要删除的服务器所属站点相关联的编号。
将出现一条确认消息,其中列出了所选的站点和域。
键入listserversinsite,然后按Enter。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。
键入selectservernumber,其中number是与要删除的服务器关联的编号。
将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。
键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入removeselectedserver,然后按Enter。
将出现一条确认消息,说明删除成功完成。
如果出现以下错误消息:
错误8419(0x20E3)找不到DSA对象则说明“NTDS设置”对象可能已从ActiveDirectory中删除,原因可能是其他管理员删除了该“NTDS设置”对象,或者在运行Dcpromo实用工具成功删除该对象后又执行了一次此操作。
注意:
当您尝试绑定到要删除的域控制器时,也可能会出现此错误。
Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。
在每个菜单中键入quit,退出Ntdsutil实用工具。
将出现一条确认消息,说明连接已成功断开。
在DNS的_msdcs.目录林的根域区域中删除cname记录。
假定要重新安装并重新提升DC,则如果使用新GUID和DNS中匹配的cname记录创建一个新“NTDS设置”对象。
您不希望现有DC使用旧的cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
既然“NTDS设置”对象已删除,因此可以删除计算机帐户、FRS成员对象、_msdcs容器中的cname(或别名)记录、DNS中的A(或主机)记录、已删除的子域的trustDomain对象以及域控制器。
注意:
在WindowsServer2003RTM中不需要手动删除FRS成员对象,因为在您运行Ntdsutil.exe实用工具时,它已经删除了FRS成员对象。
另外,如果DC的计算机帐户包含其他页对象,则无法删除该计算机帐户的元数据。
例如,DC上可能安装了远程安装服务(RIS)。
Windows2000Server和WindowsServer2003的Windows支持工具功能中都附带有Adsiedit实用工具。
要安装Windows支持工具,请按照下列步骤操作:
Windows2000Server:
在Windows2000ServerCD上,打开Support\Tools文件夹,双击“Setup.exe”,然后按照屏幕上的说明操作。
WindowsServer2003:
在WindowsServer2003CD上,打开Support\Tools文件夹,双击“Suptools.msi”,单击“安装”,然后按照Windows支持工具安装向导中的步骤操作以完成安装。
使用ADSIEdit删除计算机帐户。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
展开“域NC”容器。
展开“DC=您的域名,DC=COM,PRI,LOCAL,NET”。
展开“OU=DomainControllers”。
右键单击“CN=域控制器名”,然后单击“删除”。
如果在试图删除DSA对象时出现“不能删除DSA对象”错误消息,请更改UserAccountControl值。
要更改UserAccountControl值,请在ADSIEdit中右键单击该域控制器,然后单击“属性”。
在“选择一个要查看的属性”下,单击“UserAccountControl”。
单击“清除”,将该值更改为4096,然后单击“设置”。
现在您可以删除该对象了。
注意:
删除计算机对象时,也将删除FRS订阅者对象,因为它是计算机帐户的子对象。
使用ADSIEdit删除FRS成员对象。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
展开“域NC”容器。
展开“DC=您的域,DC=COM,PRI,LOCAL,NET”。
展开“CN=System”。
展开“CN=FileReplicationService”。
展开“CN=DomainSystemVolume(SYSVOLshare)”。
右键单击要删除的域控制器,然后单击“删除”。
在DNS控制台中,使用DNSMMC删除DNS中的A记录。
A记录也称为“主机”记录。
若要删除A记录,请右键单击A记录,然后单击“删除”。
还要删除“_msdcs”容器中的cname(也称为“别名”)记录。
为此,请展开“_msdcs”容器,右键单击cname,然后单击“删除”。
重要说明:
如果这是一台DNS服务器,请在“名称服务器”选项卡中删除对该DC的引用。
为此,在DNS控制台中,在“正向查找区域”下右键单击该域名,单击“属性”,然后从“名称服务器”选项卡中删除该服务器。
注意:
如果有反向查找区域,也要将服务器从这些区域中删除。
如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,则使用ADSIEdit删除该子域的trustDomain对象。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
展开“域NC”容器。
展开“DC=您的域,DC=COM,PRI,LOCAL,NET”。
展开“CN=System”。
右键单击“TrustDomain”对象,然后单击“删除”。
使用“ActiveDirectory站点和服务”删除域控制器。
为此,请按照下列步骤操作:
启动“ActiveDirectory站点和服务”。
展开“站点”。
展开服务器的站点。
默认站点为Default-First-Site-Name。
展开“服务器”。
右键单击域控制器,然后单击“删除”。
Ntdsutil.exeSP1或更高版本的高级可选语法WindowsServer2003SP1引入了新的可用语法。
通过使用新语法,不再需要绑定到DS以及选择操作目标。
要使用新语法,您必须知道或获取要降级的服务器的“NTDS设置”对象的DN。
若要为元数据清除使用新的语法,请按照下列步骤操作:
运行ntdsutil。
切换到清除元数据提示符。
运行以下命令,removeselectedserver<配置容器中的服务器对象的DN>下面给出了此命令的一个示例。
注意:
下面的示例仅为一行,只是此处已经过换行。
Removeselectedservercn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<forest_root_domain>在DNS的_msdcs.<目录林的根域>区域中删除cname记录。
假定要重新安装并重新提升DC,将使用新GUID和DNS中匹配的cname记录创建一个新“NTDS设置”对象。
您不希望现有DC使用旧cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用ADSIEdit删除该子域的trustDomain对象。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
展开“域
升级会员 