域控制器的删除分析.docx

域控制器的删除6.2.3? 正常删除域控制器示例【注意】无论是正常删除，还是强制删除，当域控制器上安装了证书服务时，不能删除域控制器，必须先卸载证书服务组件。另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。如果群集管理器也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称 /forcecleanup当不再需要某服务器担当域控制器角色，而需要该服务器成为网络中的一台普通成员服务器时，可以通过删除其中的活动目录来降级该域控制器成为成员服务器。这也就是通常所说的域控制器删除。一般来说，可以通过正常运行Active Directory安装向导来删除域控制器。【经验之谈】可以删除域中的任何域控制器，包括第一台域控制器，但是如果要删除全局编录的域控制器，则要确保网络中还有其他域控制器配置为全局编录角色，否则网络中没有一台域控制器是全局编录角色，会影响用户的网络访问性能的。在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框，提示必须先要确保网络中有足够的全局编录角色域控制器。?（点击查看大图）图6-73? 删除全局编录角色域控制器时的警告提示框全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不需要其他域控制器参考搜索。配置域控制器为全局编录角色的方法是在Active Directory站点和服务管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器（如图6-74所示），然后在右侧窗格中的NTDS Settings项上右击，在常规选项卡中选择全局编录复选项，如图6-75所示。?（点击查看大图）图6-74? Active Directory站点和服务管理单元控制台?图6-75? 域控制器NTDS Settings属性对话框的常规选项卡下面介绍正常情况下的域控制器删除方法。在此以删除lycb.local中的一台额外域控制器lycb-dc2为例进行介绍。（1）在运行窗口中输入dcpromo命令，打开如图6-76所示的安装向导对话框。?（点击查看大图）图6-76? 欢迎使用Active Directory安装向导对话框（2）单击下一步按钮，打开如图6-77所示的对话框。如果删除的是当前域中的最后一个域控制器，则要选择这个服务器是域中的最后一个域控制器复选项；否则不选择这个复选项。?（点击查看大图）图6-77? 删除Active Directory对话框（3）单击下一步按钮，打开如图6-78所示的对话框。在这里要求输入有权删除域控制器的域账户，通常是域管理员或者委派了相应权限的其他账户。（4）单击下一步按钮，打开如图6-79所示的对话框，显示以上配置摘要。?（点击查看大图）图6-78? 管理员密码对话框?（点击查看大图）图6-79? 摘要对话框（5）单击下一步按钮，系统即开始删除域控制器，也就是删除域控制器上的活动目录。删除进程如图6-80所示。完成后弹出删除成功对话框，如图6-81所示。直接单击完成按钮，然后按要求重启系统。?（点击查看大图）图6-80? Active Directory删除进程对话框?（点击查看大图）图6-81? 正在完成Active Directory安装向导对话框6.2.4? 强制删除域控制器示例（1）一般情况下可以通过上节介绍的正常删除方法来删除域控制器，但有时也会在正常删除过程中出现各种故障，无法正常删除成功。如图6-82所示的就是在正常删除时所出现的一种错误。这时可以采取强制删除方式。?（点击查看大图）图6-82? 正常域控制器删除时出现的一种错误强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval强制删除命令强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息。因为强制删除过程中，不会与域中其他的域控制器进行联系，也就不会删除域中的相关信息（如Active Directory用户和计算机控制台Domain Controllers容器中的域控制器信息，正常删除时会同步删除相关信息）。1．强制删除域控制器本示例以在正常删除操作出现如图6-83所示错误的lycb-dc2额外域控制器删除为例进行介绍。强制删除域控制器的具体步骤如下：（1）在要强制删除的域控制器lycb-dc2的运行窗口中键入dcpromo /forceremoval命令（forceremoval参数的作用就是执行强制删除），同样会打开如图6-76所示的Active Directory安装向导对话框。（2）单击下一步按钮，打开如