[rtfm] Принудительное понижение роли контроллеров домена

 

Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно

Список продуктов, к которым относится данная статья.

Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:

256986  Описание реестра Microsoft Windows

Проблема

В некоторых случаях правильно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается.

Перейти к началу страницы

Причина

Такое поведение наблюдается в случае сбоя определенной зависимости или операции, например подключения к сети, разрешения имен, проверки подлинности, репликации службы каталогов Active Directory или определения месторасположения критически важного объекта в Active Directory.

Перейти к началу страницы

Решение

Для устранения этой проблемы необходимо определить причину неправильного понижения роли контроллера домена под управлением Windows 2000 или Windows Server 2003 и повторить попытку с помощью мастера установки Active Directory.

Перейти к началу страницы

Временное решение

Если решить проблему не удается, воспользуйтесь представленными ниже способами принудительного понижения роли контроллеров домена с сохранением экземпляра операционной системы и установленных приложений.

Внимание! Предварительно убедитесь в наличии пароля для загрузки компьютера в режиме восстановления службы каталогов. В противном случае после понижения его роли войти в систему не удастся. Пароль для загрузки компьютера в режиме восстановления службы каталогов можно сбросить с помощью средства Setpwd.exe из папки Winnt\System32. В Windows Server 2003 функции средства Setpwd.exe интегрированы в команду Set DSRM Password (средство NTDSUTIL). Дополнительные сведения о необходимых для этого действиях см. в следующей статье базы знаний Майкрософт:

271641  Мастер настройки конфигурации компьютера оставляет пароль режима восстановления пустым (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Перейти к началу страницы

Контроллер домена под управлением Windows 2000

1. На контроллере домена под управлением Windows 2000 с пакетом обновления 2 (SP2) или более высокой версии установите исправление Q332199 или пакет обновления 4 (SP4). В пакетах обновления, начиная с 2 (SP2), реализована поддержка принудительного понижения роли контроллеров домена. Перезагрузите компьютер.
2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
   dcpromo /forceremoval
3. Нажмите кнопку ОК.
4. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
5. Нажмите в окне сообщения кнопку ОК, если удаляемый компьютер является сервером глобального каталога.
   
   Примечание. Если удаляемый компьютер является сервером глобального каталога, в соответствующем лесу или узле эту роль необходимо передать другому контроллеру домена.
6. На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.
7. На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.
8. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
9. Нажмите кнопку Далее на странице Сводка.
10. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса в программе Ntdsutil с помощью команды remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Для определения факта успешного завершения полной репликации воспользуйтесь средством Replmon.exe или Repadmin.exe из состава служебных программ Windows 2000. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Перейти к началу страницы

Контроллер домена под управлением Windows Server 2003

1. Поддержка принудительного понижения роли реализована в Windows Server 2003 изначально. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
   dcpromo /forceremoval
2. Нажмите кнопку ОК.
3. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
4. На странице Принудительное удаление службы Active Directory нажмите кнопку Далее.
5. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
6. Нажмите кнопку Далее на странице Сводка.
7. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса в программе Ntdsutil с помощью команды remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать. Для получения дополнительных сведений о том, как удаление Active Directory из контроллера домена влияет на существующие разрешения, обратитесь к следующей статье базы знаний Майкрософт:

320230  Понижение роли контроллера домена оказывает влияние на настроенные разрешения (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Перейти к началу страницы

Улучшения Windows Server 2003 с пакетом обновления 1 (SP1)

Пакет обновления Windows Server 2003 SP1 улучшает процесс dcpromo /forceremoval. При выполнении команды dcpromo /forceremoval осуществляется проверка, имеет ли контроллер домена роль хозяина операций, является сервером службы доменных имен (DNS) или сервером глобальных каталогов. Для каждой из этих ролей администратор получает всплывающее уведомление с указаниями по выполнению соответствующих действий.

Перейти к началу страницы

Статус

Корпорация Майкрософт провела тестирование и поддерживает принудительное понижение роли контроллеров домена под управлением Windows 2000 и Windows Server 2003.

Перейти к началу страницы

Дополнительная информация

Мастер установки Active Directory предназначен для повышения роли компьютеров под управлением Windows 2000 и Windows Server 2003 до контроллеров домена в Active Directory. К числу выполняемых мастером операций относятся установка новых служб, изменение типа запуска существующих служб и применение действующих в Active Directory параметров безопасности и проверки подлинности.

Принудительное понижение роли позволяет администратору домена удалить Active Directory и отменить локально хранимые системные изменения без выполнения репликации этих изменений на другие контроллеры домена в лесу.

Поскольку принудительное понижение роли приводит к потере локально хранимых изменений, пользуйтесь им только в самом крайнем случае. Принудительное понижение роли контроллера домена оправдано при наличии проблем с подключением к сети, разрешением имен, проверкой подлинности или зависимыми службами модуля репликации. К таким случаям следует отнести следующие:

• на момент понижения роли последнего контроллера в домене нет доступных контроллеров в родительском домене следующего уровня;
• работа мастера установки Active Directory не завершается из-за проблем с разрешением имен, проверкой подлинности, модулем репликации или зависимости объекта Active Directory даже после тщательного устранения неполадок;
• контроллер домена не реплицировал входящие изменения Active Directory как минимум для одного контекста именования в течение времени действия захоронения (по умолчанию — 60 дней);
  
  Внимание! Восстанавливать такой контроллер домена следует только в том случае, если нет других возможностей восстановления домена.
• нет времени на тщательный разбор и удаление неполадок, поскольку контроллер домена необходимо немедленно ввести в эксплуатацию.

Принудительное понижение роли может быть использовано в лабораторных условиях или в процессе обучения для удаления контроллеров из существующего домена без необходимости понижения роли каждого контроллера домена.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

Выполнение принудительного понижения роли контроллера домена под управлением Windows 2000 (запуск команды dcpromo /forceremoval) приводит к регистрации события с кодом 29234 в журнале системных событий.

Тип события: Предупреждение
Источник события: lsasrv
Категория события: Отсутствует
Код события: 29234
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: computername Описание: Роль этого сервера была принудительно понижена. Он больше не является контроллером домена.

Выполнение принудительного понижения роли контроллера домена под управлением Windows Server 2003 приводит к регистрации события с кодом 29239 в журнале системных событий.

Тип события: Предупреждение
Источник события: lsasrv
Категория события: Отсутствует
Код события: 29239
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: computername Описание: Роль этого сервера была принудительно понижена. Он больше не является контроллером домена.

Выполнение команды dcpromo /forceremoval не приводит к удалению метаданных пониженного в роли контроллера домена на оставшихся контроллерах домена. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

216498  Удаление данных из Active Directory после неудачного понижения роли контроллера домена

После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.

1. Удалите из домена учетную запись компьютера.
2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
   296183  Обзор объектов Active Directory, используемых службой FRS (эта ссылка может указывать на содержимое полностью или частично на английском языке)
4. Если пониженный в роли компьютер являлся членом групп безопасности, удалите его из состава этих групп.
5. Удалите все ссылки DFS на пониженный в роли сервер, например связи и корневые реплики.
6. Если пониженный в роли контроллер домена обладал одной из ролей хозяина операций (FSMO), ее должен захватить оставшийся контроллер домена. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
   255504  Использование программы Ntdsutil.exe для присвоения и передачи контроллеру домена роли FSMO
7. Если понижаемый в роли контроллер домена является сервером DNS или сервером глобального каталога, для соблюдения параметров балансировки нагрузки, отказоустойчивости и конфигурации в лесу необходимо создать новый сервер такого же типа.
8. Выполнение в программе NTDSUTIL команды remove selected server приводит к удалению объекта NTDSDSA (родительский объект для входящих подключений к принудительно пониженному в роли контроллеру домена), однако родительский объект сервера в оснастке «Active Directory — сайты и службы» сохраняется. Если контроллер домена не будет введен в состав леса под тем же именем, удалите объект сервера с помощью оснастки «Active Directory — сайты и службы».

сурс