活动目录管理常见问题一览.docxVIP

1、正常卸载AD时的常见问题??????? 在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。 1、卸载时会提示给新的本地管理员设置密码 2、附加DC卸载后，仍在域中。 3、如果AD不能卸载，应从以下几方面考虑： （1）网卡是否正常工作 即使你整个林中只有一台计算机，也要保证网卡正常工作，才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载，提示“卸载SYSVOL文件夹出错” （2）权限 权限要求与安装AD时类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员（Enterprise Admins）权限；卸载附加DC需要该域的域管理员（Domain Admins）权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。 （3）DNS ??????? 一般应保证与安装时所用DNS一致。如果做了DNS规划，必须保证1中权限所要求的管理员身份能通过DNS找到相应DC，进行验证。 （4）域命名主控 ??????? 卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。 但要注意的是：卸载时，域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同，具体是：由于以下原因，操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。 （5）卸载的顺序 ??????? 与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。否则将导致子域无法卸载，而存在的子域还有问题，找不到林根域、树根域了。 ??????? 因为这时极有可能架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删除林根域了。 2、AD无法正常卸载，或者说DC无法正常降级为成员服务器？1、Dcpromo /forceremoval强制卸载AD 2、重设目录恢复模式下的管理员密码： 2000：winnt\system32\setpwd.exe 03：使用ntdsutil实用工具，set dsrm password ??????? 如果按照上例的要求，还是无法正常卸载AD，且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序，你还不想重做系统，可考虑使用如下办法。 1、开始/运行，在命令行中输入regedit或regedt32打开注册表编辑器。 2、找到以下的键值： 　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options 　　键值：ProductType?? 类型：REG_SZ 3、 将原来的值“LanmanNT”改为“ServerNT”。 ???????????????说明： （1）LanmanNT表示本机为域控制器DC，ServerNT表示本机为非DC。 （2）只有当CurrentControlSet1和CurrentControlSet下的键值：ProductType 所等于的数据不同时，即一个为ServerNT，一个为LanmanNT才允许修改。否则将会出如下提示： ¨????? 对于2000：“系统已检测到干预您的注册产品类型，这是您对软件许可证的侵犯。干预产品类型是不允许的。” ¨????? 对于03：“系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。” 接下来，方法一： 1、重新启动计算机，按F8键进入到“目录服务恢复模式”。 说明： （1）在此模式下，AD不工作，以便对AD库文件及系统卷sysvol进行操作。 （2）登录的口令不同于平时所用的口令，是在安装AD时，所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。 2、删除存放活动目录数据库的文件夹，默认为C:\WinNT\NTDS，或C:\Windows\NTDS。 3、删除存放系统卷的文件夹，默认为C:\WinNT\SYSVOL，或C:\Windows\SYSVOL 4、重新启动计算机。 5、由于还有一些作为域控制器的注册表键值和文件存在，所以在重新启动完计算机后，还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器（域名可以任意填写），然后再用dcpromo命令降级，这样才会完整地删除所有和域控制器相关的注册表键值和文件。 方法二 1、开始/运行，在命令行中输入dcpromo 2、由于前面已经修改了注册表，此时为AD安装界面，而非卸载界面。 3、会遇到如下出错提示：“由于网络上名称冲突，选定默认的NetBIOS域名‘xxx’”。 说明：xxx为你修改注册表前原来域的N