2014年5月4日 星期日

如何在網域控制站降級失敗之後,移除 Active Directory 中的資料。


轉貼文章  

本文將告訴您,如何在網域控制站降級失敗之後,移除 Active Directory 中的資料。

警告 如果您使用「ADSI 編輯器」嵌入式管理單元、LDP 公用程式或任何其他 LDAP 第 3 版用戶端,並且錯誤地修改 Active Directory 物件的屬性,將會導致嚴重的問題。這些問題可能會導致您必須重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003,或者重新安裝 Windows 和 Exchange。Microsoft 不保證可以解決您不當修改 Active Directory 物件屬性所導致的問題。請自行承擔修改這些屬性的一切風險。

「Active Directory 安裝精靈」(Dcpromo.exe) 可以將伺服器升級為網域控制站,或將網域控制站降級為成員伺服器 (如果網域控制站為網域中的最後一個,則降為工作群組中的獨立伺服器)。在降級程序中,精靈會從 Active Directory 移除網域控制站的設定資料。此資料的形式是「NTDS 設定」物件,該物件在「Active Directory 站台和服務」中是伺服器物件的子系。

這項資訊位於 Active Directory 的下列位置:
CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...
「NTDS 設定」物件的屬性包括代表網域控制器如何被複寫協力電腦辨識出來的資料、電腦上保留的名稱內容、網域控制站是否為通用類別目錄伺服器以及預設的查詢原則。「NTDS 設定」物件也是一種容器,可能含有代表網域控制站的複寫協力電腦的子物件。網域控制站在環境中作業時需要這些資料,但降級後則不會再用到。

如果「NTDS 設定」物件未被正確地移除 (例如,如果「NTDS 設定」物件未在降級後正確移除),系統管理員可以使用 Ntdsutil.exe 公用程式手動移除「NTDS 設定」物件。下列步驟列出了為特定網域控制站移除 Active Directory 中的「NTDS 設定」物件的程序。在每個 Ntdsutil 功能表中,系統管理員可以輸入 help,以取得有關可用選項的詳細資訊。
Windows Server 2003 Service Pack 1 (SP1) – Ntdsutil.exe 的增強版本

Windows Server 2003 的 Service Pack 1 隨附的 Ntdsutil.exe 版本已有所增強,讓中繼資料清除程序得以完成。當執行中繼資料清除時,SP1 隨附的 Ntdsutil.exe 會執行下列工作:
移除 NTDSA 或 NTDS 設定主體。
移除現有目的 DC 用來複寫即將刪除的來源 DC 的輸入 AD 連線物件。
移除電腦帳戶。
移除 FRS 成員物件。
移除 FRS 訂戶物件。
嘗試收回由即將移除的 DC 所持有的彈性單一操作主機角色 (亦稱為彈性單一主機操作或 FSMO)。


警告 系統管理員在手動移除任何伺服器的 NTDS 設定物件之前,還必須先確定自降級以來是否已執行過複寫。不當使用 Ntdsutil 公用程式可能會導致喪失部分或全部的 Active Directory 功能。
程序 1:僅限 Windows Server 2003 SP1

1. 按一下 [開始],指向 [程式集],指向 [附屬應用程式],然後按一下 [命令提示字元]。
2. 在命令提示字元中,輸入 ntdsutil,然後按 ENTER。
3. 輸入 metadata cleanup,然後按 ENTER。系統管理員可以根據所提供的選項執行移除,但在進行移除之前,必須先指定其他設定參數。
4. 輸入 connections,然後按 ENTER。此功能表是用於連線至發生變更的特定伺服器。如果目前登入的使用者沒有系統管理權限,可以先指定使用不同的認證,再建立連線。如果要執行這項操作,請輸入 set creds DomainNameUserNamePassword,然後按 ENTER。如需 null 密碼,請輸入 null 做為密碼參數。
5. 輸入 connect to server servername,然後按 ENTER。您應該會收到已成功建立連線的確認訊息。如果發生錯誤,請確認連線所使用的網域控制站是否可以使用,以及您所提供的憑證在伺服器上是否擁有系統管理員權限。

注意 如果您嘗試連線到同一個想要刪除的伺服器,當刪除步驟 15 中提及的伺服器時,您可能會收到下列錯誤訊息:
錯誤 2094。無法刪除 DSA 物件 0x2094
6. 輸入 quit,然後按 ENTER。[中繼資料清除] 功能表便會出現。
7. 輸入 select operation target,然後按 ENTER。
8. 輸入 list domains,然後按 ENTER。隨即出現樹系的網域清單,每個網域都有相關的編號。
9. 輸入 select domain number,然後按 ENTER,其中 number 是與網域相關的編號,而您要移除的伺服器為該網域的成員。您所選取的網域是用來判斷要移除的伺服器是否為該網域的最後一個網域控制站。
10. 輸入 list sites,然後按 ENTER。隨即出現網站清單,其中每個網站都有相關的編號。
11. 輸入 select site number,然後按 ENTER,其中 number 是與網站相關的編號,而您要移除的伺服器為該網站的成員。您應該會收到列出所選擇網站與網域的確認訊息。
12. 輸入 list servers in site,然後按 ENTER。隨即出現網站的伺服器清單,每個伺服器都有相關的編號。
13. 輸入 select server number,其中 number 是您要移除的伺服器的相關編號。您會收到確認訊息,其中列出所選伺服器、其網域名稱系統 (DNS) 主機名稱以及所要移除的伺服器電腦帳戶位置。
14. 輸入 quit,然後按 ENTER。[中繼資料清除] 功能表便會出現。
15. 輸入 remove selected server,然後按 ENTER。您應該會收到已成功移除的確認訊息。如果您收到下列錯誤訊息,即表示由於其他系統管理員在執行 DCPROMO 公用程式之後移除了「NTDS 設定」物件,或者複寫成功移除的物件,「NTDS 設定」物件可能已經從 Active Directory 移除。
錯誤 8419 (0x20E3)
找不到 DSA 物件


注意 當您嘗試繫結至即將被移除的網域控制站時,可能也會看到這個錯誤。Ntdsutil 不可繫結至中繼資料清除公用程式即將移除的網域控制站。
16. 在每個功能表輸入 quit,然後按下 ENTER 以結束 Ntdsutil 公用程式。您應該會收到成功中斷連線的確認訊息。
17. 移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄。假設 DC 即將重新安裝並重新升級,以新的 GUID 與相符的 DNS cname 記錄建立新的「NTDS 設定」物件。您不希望現有的 DC 使用舊的 cname 記錄。

最好的做法是,刪除主機名稱與其他 DNS 記錄。如果已經超過指定給離線伺服器使用之「動態主機設定通訊協定」(DHCP) 位址上保留的最少時間,另一個用戶端就可以取得問題 DC 的 IP 位址。
18. 在 DNS 主控台中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄又稱主機記錄。如果要刪除 A 記錄,請用滑鼠右鍵按一下 A 記錄,然後按一下 [刪除]。另外,也請刪除 _msdcs 容器中的 cname 記錄。如果要執行這項操作,請展開 [_msdcs] 容器,用滑鼠右鍵按一下 [cname],然後按一下 [刪除]。

重要 如果這是 DNS 伺服器,請在 [名稱伺服器] 索引標籤下移除此 DC 的參照。如果要執行這項操作,請在 DNS 主控台中的 [正向對應區域] 下按一下網域名稱,然後從 [名稱伺服器] 索引標籤中移除此伺服器。

注意 如果您有反向對應區域,也請從這些區域中移除伺服器。
19. 如果刪除的電腦是子網域中最後一個網域控制站,而子網域也已經刪除,請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作,請依照下列步驟執行:
a. 按一下 [開始],按一下 [執行],輸入 adsiedit.msc,然後按一下 [確定]。
b. 展開 [網域 NC] 容器。
c. 展開 [DC=Your Domain, DC=COM, PRI, LOCAL, NET]。
d. 展開 [CN=System]。
e. 用滑鼠右鍵按一下 [信任網域] 物件,然後按一下 [刪除]。
20. 使用「Active Directory 站台及服務」移除網域控制站。如果要執行這項操作,請依照下列步驟執行:
a. 啟動「Active Directory 站台及服務」。
b. 展開 [站台]。
c. 展開伺服器的站台。預設的站台為 Default-First-Site-Name。
d. 展開 [伺服器]。
e. 用滑鼠右鍵按一下網域控制站,然後按一下 [刪除]。
程序 2:Windows 2000 (所有版本) Windows Server 2003 RTM
1. 按一下 [開始],指向 [程式集],指向 [附屬應用程式],然後按一下 [命令提示字元]。
2. 在命令提示字元中,輸入 ntdsutil,然後按 ENTER。
3. 輸入 metadata cleanup,然後按 ENTER。系統管理員可以根據所提供的選項執行移除,但在進行移除之前,必須先指定其他設定參數。
4. 輸入 connections,然後按 ENTER。此功能表是用於連線至發生變更的特定伺服器。如果目前登入的使用者沒有系統管理權限,可以先指定使用不同的認證,再建立連線。如果要執行這項操作,請輸入 set creds DomainNameUserNamePassword,然後按 ENTER。如需 null 密碼,請輸入 null 做為密碼參數。
5. 輸入 connect to server servername,然後按 ENTER。您應該會收到已成功建立連線的確認訊息。如果發生錯誤,請確認連線所使用的網域控制站是否可以使用,以及您所提供的憑證在伺服器上是否擁有系統管理員權限。

注意 如果您嘗試連線到同一個想要刪除的伺服器,當刪除步驟 15 中提及的伺服器時,您可能會收到下列錯誤訊息:
錯誤 2094。無法刪除 DSA 物件 0x2094
6. 輸入 quit,然後按 ENTER。[中繼資料清除] 功能表便會出現。
7. 輸入 select operation target,然後按 ENTER。
8. 輸入 list domains,然後按 ENTER。隨即出現樹系的網域清單,每個網域都有相關的編號。
9. 輸入 select domain number,然後按 ENTER,其中 number 是與網域相關的編號,而您要移除的伺服器為該網域的成員。您所選取的網域是用來判斷要移除的伺服器是否為該網域的最後一個網域控制站。
10. 輸入 list sites,然後按 ENTER。隨即出現網站清單,其中每個網站都有相關的編號。
11. 輸入 select site number,然後按 ENTER,其中 number 是與網站相關的編號,而您要移除的伺服器為該網站的成員。您應該會收到列出所選擇網站與網域的確認訊息。
12. 輸入 list servers in site,然後按 ENTER。隨即出現網站的伺服器清單,每個伺服器都有相關的編號。
13. 輸入 select server number,其中 number 是您要移除的伺服器的相關編號。您會收到確認訊息,其中列出所選伺服器、其網域名稱系統 (DNS) 主機名稱以及所要移除的伺服器電腦帳戶位置。
14. 輸入 quit,然後按 ENTER。[中繼資料清除] 功能表便會出現。
15. 輸入 remove selected server,然後按 ENTER。您應該會收到已成功移除的確認訊息。如果您收到下列錯誤訊息:
錯誤 8419 (0x20E3)
找不到 DSA 物件
由於其他系統管理員在執行 Dcpromo 公用程式之後移除了「NTDS 設定」物件,或者複寫成功移除的物件,「NTDS 設定」物件可能已經從 Active Directory 移除。

注意 當您嘗試繫結至即將被移除的網域控制站時,可能也會看到這個錯誤。Ntdsutil 不可繫結至中繼資料清除公用程式即將移除的網域控制站。
16. 在每個功能表輸入 quit 以結束 Ntdsutil 公用程式。您應該會收到成功中斷連線的確認訊息。
17. 移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄。假設 DC 即將重新安裝並重新升級,以新的 GUID 與相符的 DNS cname 記錄建立新的「NTDS 設定」物件。您不希望現有的 DC 使用舊的 cname 記錄。

最好的做法是,刪除主機名稱與其他 DNS 記錄。如果已經超過指定給離線伺服器使用之「動態主機設定通訊協定」(DHCP) 位址上保留的最少時間,另一個用戶端就可以取得問題 DC 的 IP 位址。
現在「NTDS 設定」物件已經被刪除,您可以刪除電腦帳戶、FRS 成員物件、_msdcs 容器中的 cname (或別名) 記錄、DNS 中的 A (或主機) 記錄、被刪除子網域的 trustDomain 物件與網域控制站。

注意 您不需要在 Windows Server 2003 RTM 中手動移除 FRS 成員物件,因為 Ntdsutil.exe 公用程式已經在您執行公用程式時移除了 FRS 成員物件。此外,如果 DC 的電腦帳戶包含另一個分葉物件,便無法移除電腦帳戶的中繼資料。例如,「遠端安裝服務」(RIS) 可能安裝在 DC 上。

Adsiedit 公用程式是隨附於 Windows 2000 Server 和 Windows Server 2003 的 Windows 支援工具功能中。如果要安裝 Windows 支援工具,請依照下列步驟執行:
Windows 2000 Server:在 Windows 2000 Server 光碟片上,開啟 Support\Tools 資料夾,按兩下 Setup.exe,然後依照畫面上的指示進行。
Windows Server 2003:在 Windows Server 2003 光碟片上,開啟 Support\Tools 資料夾,按兩下 Suptools.msi,按一下 [安裝],然後依照 Windows 支援工具安裝精靈中的步驟完成安裝。
1. 使用 ADSIEdit 刪除電腦帳戶。如果要執行這項操作,請依照下列步驟執行:
a. 按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 adsiedit.msc,然後按一下 [確定]。
b. 展開 [網域 NC] 容器。
c. 展開 [DC=Your Domain Name, DC=COM, PRI, LOCAL, NET]。
d. 展開 [OU=Domain Controllers]。
e. 用滑鼠右鍵按一下 [CN=domain controller name],然後按一下 [刪除]。
當您嘗試刪除物件,卻收到「無法刪除 DSA 物件」的錯誤訊息,請變更 UserAccountControl 值。如果要變更 UserAccountControl 值,請用滑鼠右鍵按一下 ADSIEdit 中的網域控制站,然後按一下 [內容]。在 [選取內容來檢視] 下,按一下 [UserAccountControl]。按一下 [清除],將值變更為 4096,然後按一下 [設定]。現在您可以刪除物件了。

注意 在刪除電腦物件時,FRS 訂戶物件也會一併刪除,因為它是電腦帳戶的子項目。
2. 使用 ADSIEdit 刪除 FRS 成員物件。如果要執行這項操作,請依照下列步驟執行:
a. 按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 adsiedit.msc,然後按一下 [確定]。
b. 展開 [網域 NC] 容器。
c. 展開 [DC=Your Domain, DC=COM, PRI, LOCAL, NET]。
d. 展開 [CN=System]。
e. 展開 [CN=File Replication Service]。
f. 展開 [CN=Domain System Volume (SYSVOL share)]。
g. 用滑鼠右鍵按一下要刪除的網域控制站,然後按一下 [刪除]。
3. 在 DNS 主控台中,使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄又稱主機記錄。如果要刪除 A 記錄,請用滑鼠右鍵按一下 A 記錄,然後按一下 [刪除]。此外,也一併刪除 _msdcs 容器中的 cname (又稱 Alias) 記錄。如果要執行這項操作,請展開 [_msdcs] 容器,用滑鼠右鍵按一下 cname,然後按一下 [刪除]。

重要 如果這之前是 DNS 伺服器,請在 [名稱伺服器] 索引標籤下移除此 DC 的參照。如果要執行這項操作,請用滑鼠右鍵按一下 [正向對應區域] 下的網域名稱,按一下 [內容],然後從 [名稱伺服器] 索引標籤中移除此伺服器。

注意 如果您有反向對應區域,也請從這些區域中移除伺服器。
4. 如果刪除的電腦是子網域中最後一個網域控制站,而子網域也已經刪除,請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作,請依照下列步驟執行:
a. 按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 adsiedit.msc,然後按一下 [確定]。
b. 展開 [網域 NC] 容器。
c. 展開 [DC=Your Domain, DC=COM, PRI, LOCAL, NET]。
d. 展開 [CN=System]。
e. 用滑鼠右鍵按一下 [信任網域] 物件,然後按一下 [刪除]。
5. 使用「Active Directory 站台及服務」移除網域控制站。如果要執行這項操作,請依照下列步驟執行:
a. 啟動「Active Directory 站台及服務」。
b. 展開 [站台]。
c. 展開伺服器的站台。預設的站台為 [Default-First-Site-Name]。
d. 展開 [伺服器]。
e. 用滑鼠右鍵按一下網域控制站,然後按一下 [刪除]。
Ntdsutil.exe SP1 版本的進階選用語法

Windows Server 2003 SP1 引進了新語法。透過使用新語法,就不再需要繫結至 DS 及選擇您的操作目標。如果要使用新語法,您必須知道或取得即將降級的伺服器的 NTDS 設定物件的 DN。如果要對中繼資料清除使用新語法,請依照下列步驟執行: <>。
1. 執行 ntdsutil。
2. 切換至中繼資料清除提示字元。
3. 執行下列命令
remove selected server <DN of the server object in the config container>
此命令的範例如下。

注意 下行已換行。
Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<forest_root_domain>例如:Remove selected server cn=dc,cn=servers,cn=Defult-first-site,cn=sites,cn=configuration,dc=abc,dc=com,dc=tw。
4. 移除 DNS 中樹系區域的 _msdcs.root 網域的 cname 記錄。假設 DC 即將重新安裝並重新升級,以新的 GUID 與相符的 DNS cname 記錄建立新的「NTDS 設定」物件。您不希望現有的 DC 使用舊的 cname 記錄。

最好的做法是,刪除主機名稱與其他 DNS 記錄。如果已經超過指定給離線伺服器使用之「動態主機設定通訊協定」(DHCP) 位址上保留的最少時間,另一個用戶端就可以取得問題 DC 的 IP 位址。
5. 如果刪除的電腦是子網域中最後一個網域控制站,而子網域也已經刪除,請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作,請依照下列步驟執行:
a. 按一下 [開始],按一下 [執行],輸入 adsiedit.msc,然後按一下 [確定]。
b. 展開 [網域 NC] 容器。
c. 展開 [DC=Your Domain Name, DC=COM, PRI, LOCAL, NET]。
d. 展開 [CN=System]。
e. 用滑鼠右鍵按一下 [信任網域] 物件,然後按一下 [刪除]。
6. 使用「Active Directory 站台及服務」移除網域控制站。如果要執行這項操作,請依照下列步驟執行:
a. 啟動「Active Directory 站台及服務」。
b. 展開 [站台]。
c. 展開伺服器的站台。預設的站台為 [Default-First-Site-Name]。
d. 展開 [伺服器]。
e. 用滑鼠右鍵按一下網域控制站,然後按一下 [刪除]。

沒有留言:

張貼留言