如何在网域控制站降级失败後移除ActiveDirectory中的资料.docVIP

如何在網域控制站降級失敗後，移除 Active Directory 中的資料 警告 如果您使用「ADSI 編輯器」嵌入式管理單元、LDP 公用程式或任何其他 LDAP 第 3 版用戶端，並且錯誤地修改 Active Directory 物件的屬性，將會導致嚴重的問題。這些問題可能會導致您必須重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003，或者重新安裝 Windows 和 Exchange。Microsoft 不保證可以解決您不當修改 Active Directory 物件屬性所導致的問題。請自行承擔修改這些屬性的一切風險。 「Active Directory 安裝精靈」(Dcpromo.exe) 可以將伺服器升級為網域控制站，或將網域控制站降級為成員伺服器 (如果網域控制站為網域中的最後一個，則降為工作群組中的獨立伺服器)。在降級程序中，精靈會從 Active Directory 移除網域控制站的設定資料。此資料的形式是「NTDS 設定」物件，該物件在「Active Directory 站台和服務」中是伺服器物件的子系。 這項資訊位於 Active Directory 的下列位置： CN=NTDS Settings,CN=servername,CN=Servers,CN=sitename,CN=Sites,CN=Configuration,DC=domain... 「NTDS 設定」物件的屬性包括代表網域控制器如何被複寫協力電腦辨識出來的資料、電腦上保留的名稱內容、網域控制站是否為通用類別目錄伺服器以及預設的查詢原則。「NTDS 設定」物件也是一種容器，可能含有代表網域控制站的複寫協力電腦的子物件。網域控制站在環境中作業時需要這些資料，但降級後則不會再用到。 如果「NTDS 設定」物件未被正確地移除 (例如，如果「NTDS 設定」物件未在降級後正確移除)，系統管理員可以使用 Ntdsutil.exe 公用程式手動移除「NTDS 設定」物件。下列步驟列出了為特定網域控制站移除 Active Directory 中的「NTDS 設定」物件的程序。在每個 Ntdsutil 功能表中，系統管理員可以輸入 help，以取得有關可用選項的詳細資訊。 Windows Server 2003 Service Pack 1 (SP1) – Ntdsutil.exe 的增強版本 Windows Server 2003 的 Service Pack 1 隨附的 Ntdsutil.exe 版本已有所增強，讓中繼資料清除程序得以完成。當執行中繼資料清除時，SP1 隨附的 Ntdsutil.exe 會執行下列工作： ? 移除 NTDSA 或 NTDS 設定主體。 ? 移除現有目的 DC 用來複寫即將刪除的來源 DC 的輸入 AD 連線物件。 ? 移除電腦帳戶。 ? 移除 FRS 成員物件。 ? 移除 FRS 訂戶物件。 ? 嘗試收回由即將移除的 DC 所持有的彈性單一操作主機角色 (亦稱為彈性單一主機操作或 FSMO)。 警告 系統管理員在手動移除任何伺服器的 NTDS 設定物件之前，還必須先確定自降級以來是否已執行過複寫。不當使用 Ntdsutil 公用程式可能會導致喪失部分或全部的 Active Directory 功能。 程序 1：僅限 Windows Server 2003 SP11. 按一下 [開始]，指向 [程式集]，指向 [附屬應用程式]，然後按一下 [命令提示字元]。 2. 在命令提示字元中，輸入 ntdsutil，然後按 ENTER。 3. 輸入 metadata cleanup，然後按 ENTER。系統管理員可以根據所提供的選項執行移除，但在進行移除之前，必須先指定其他設定參數。 4. 輸入 connections，然後按 ENTER。此功能表是用於連線至發生變更的特定伺服器。如果目前登入的使用者沒有系統管理權限，可以先指定使用不同的認證，再建立連線。如果要執行這項操作，請輸入 set creds DomainNameUserNamePassword，然後按 ENTER。如需 null 密碼，請輸入 null 做為密碼參數。 5. 輸入 connect to server servername，然後按 ENTER。您應該會收到已成功建立連線的確認訊息。如果發生錯誤，請確認連線所使用的網域控制站是否可以使用，以及您所提供的憑證在伺服器上是否擁有系統管理員權限。 注意 如果您嘗試連線到同一個想要刪除的伺服器，當刪除步驟 15 中提及的