转载】强制删除域控制器

一般情况下可以通过上节介绍的正常删除方法来删除域控制器,但有时也会在正常删除过程中出现各种故障,无法正常删除成功。如图6-82

所示的就是在正常删除时所出现的一种错误。这时可以采取强制删除方式。

(点击查看大图)图6-82  正常域控制器删除时出现的一种错误

强制删除方式包括两个主要步骤:一是利用dcpromo /forceremoval强制删除命令强制删除域控制器上的活动目录;二是利用ntdsutil工具命

令清除域网络中这台已被删除的域控制器的相关信 息。因为强制删除过程中,不会与域中其他的域控制器进行联系,也就不会删除域中的相

关信息(如"Active Directory用户和计算机"控制台Domain Controllers容器中的域控制器信息,正常删除时会同步删除相关信息)。

1.强制删除域控制器

本示例以在正常删除操作出现如图6-83所示错误的lycb-dc2额外域控制器删除为例进行介绍。强制删除域控制器的具体步骤如下:

(1)在要强制删除的域控制器lycb-dc2的"运行"窗口中键入dcpromo /forceremoval命令(forceremoval参数的作用就是执行强制删除),同

样会打开如图6-76所示的"Active Directory安装向导"对话框。

(2)单击"下一步"按钮,打开如图6-83所示的对话框,提示这里进行的强制删除操作将不删除林数据信息。

(3)单击"下一步"按钮,打开如图6-84所示的对话框。要求输入有权删除域控制器的域用户账户,也可直接输入域管理员账户信息。

(点击查看大图)图6-83  "强制删除Active Directory"对话框
(点击查看大图)图6-84  "管理员密码"对话框

(4)单击"下一步"按钮,打开如图6-85所示的对话框,显示了本步操作的选择摘要。在不更新林数据的情况下强制删除该域控制器上的活动

目录信息。

(5)单击"下一步"按钮,系统即开始强制删除该域控制器上的活动目录信息。删除进程如图6-86所示。

(点击查看大图)图6-85  "摘要"对话框
图6-86  强制删除域控制器活动目录信息进程对话框

 

完成后显示如图6-87所示的向导完成对话框,在其中提示已成功删除该域控制器上的活动目录。强制删除域控制器后,lycb-dc2将不再成为

域内的额外域控制器,而是会从域中脱离出去成为工作组中的独立服务器。单击"完成"按钮结束域控制器的强制删除任务。

(点击查看大图)图6-87  "正在完成Active Directory安装向导"对话框

2.手工清除已删除域控制器的Active Directory元数据

Lycb-dc2被强制删除后,林内的其他域控制器并不知道这件事情,因为在上述强制删除操作中不更新林数据。林中其他域控制器仍然认为

lycb- dc2是域控制器的一员,因此必须手工清除林中所有有关lycb-dc2的Active Directory元数据。清理的工作可以在域网络中任意一台现有

域控制器或者任意一台成员服务器上通过ntdsutil工具进行。但要注意,使用此处介 绍的清理方法仅适用于域控制器强制降级后,不能仅通过

此处介绍的方法对域控制器降级。具体的清理Active Directory元数据的步骤如下:

(1)在命令提示符下输入ntdsutil命令,然后在ntdsutil提示符下输入"?",以了解该命令的可用上下文命令(也就是子命令)。 ntdsutil工具

是一个命令集,可以执行许多任务,在这里用来清理Active Directory元数据的子命令是metadata cleanup,如图6-88所示。

(点击查看大图)图6-88  ntdsutil工具可用的子命令

(2)在提示符下输入Metadata Cleanup命令,按Enter键进入Metadata Cleanup命令执行环境,准备清除已强制删除的域控制器上不再使

用的Active Directory元数据。

(3)在Metadata Cleanup提示符下输入"?",以便了解Metadata Cleanup命令下可以使用的子命令。这里的子命令几乎在后面都要用到,

但首先要用到的是connections子命令,连接到要清除元数据的对象。

(4)在Metadata Cleanup提示符下输入connections命令,按Enter键进入connections命令执行环境。然后再在server connections提示符

下输入"?",以了解connections命令下又有哪些子命令可以使用。

以上两步的操作如图6-89所示。

(5)在server connections提示符下输入connect to server lycb-dc2命令,绑定连接到要清除元数据的那台降级了的域控制器。

(6)再在server connections提示符下输入quit,退回到上级的metadata cleanup命令环境,正式对lycb-dc2服务器上的元数据进行清除工

作。如果不清楚metadata cleanup命令环境下可以执行哪些命令,可以再次输入"?"查看。

以上两步的操作如图6-90所示。

接下来需要使用metadata cleanup命令环境下的Select operation target子命令来定位要清理元数据的对象。要注意的是,对象的定位是遵循

从大到小规则的。先查找清理对象所在的站点,再在站点中找到对应的域,最终在 域中找到对应的服务器。

(点击查看大图)图6-89  Metadata Cleanup和connections命令下可用的子命令

(7)在metadata cleanup提示符下输入Select operation target命令,进入Select operation target命令操作环境。也可以输入"?"来查看当

前可用的子命令。

(8)在Select operation target提示符下输入list sites命令,查看当前网络中的所有站点,看要清理的对象在哪个站点上。本示例显示只有一

个站点,序号为0,如图6-91所示。

(点击查看大图)图6-91  查看当前网络中所有的站点

(9)在Select operation target提示符下输入list domain in site命令,查看各站点中所有的域。记下对应域控制器所在的域序号,本示例为

0。

(10)在Select operation target提示符下输入select domain 0命令,锁定对应的域。

【经验之谈】对于中小型企业网络,其实上面的第8和第9两步是无须进行的,因为在这类企业网络中通常只有一个域,序号肯定为0,直接

进行第10步即可。在这里列出是为了方便大家理解整个定位过程。

(11)在Select operation target提示符下输入list server for domain in site命令,查看上次锁定的域中的所有域控制器序号。本示例中有两

台域控制器,要清理元数据的lycb-dc2的序号为1。

(12)在Select operation target提示符下输入select server 1命令,锁定要清理的服务器。

(13)在Select operation target提示符下输入quit命令,退出Select operation target定位命令环境,因为要清理元数据的服务器已最终锁定。

以上第9~13步的操作如图6-92所示。

(点击查看大图)图6-92  锁定清理元数据操作的服务器

(14)在metadata cleanup提示符下输入remove selected server命令,对锁定的服务器执行正式的元数据清理工作。清理时会弹出一个确

认提示框,询问是否要进行删除操作,单击"是"按钮。

这样就把不能通过正常删除操作的域控制器降级并在林中删除了相关的Active Directory元数据,但还没有最终完成。

(15)在"Active Directory用户和计算机"管理单元控制台的Domain Controllers容器下删除该域控制器。在SP2版本中,这里的删除不是那么

简单,不能像以前版本那样直接删除。删除时会弹出如图6-93所示的对 话框。在这里要选择"这台域控制器永远为脱机并且不能再用Active

Directory安装向导(DCPROMO)将其降级"单选项,然后单击"删除"按钮,系统又会弹出如图6-94所示的警告提示框,单击"是"按钮。

(点击查看大图)图6-93  "删除域控制器"对话框
(点击查看大图)图6-94  删除域控制器的警告提示框

从 以上整个过程可以看出,域控制器的强制删除过程非常烦锁,特别是Active Directory元数据的清理过程。而且有时还不能清理成功,连接

到降级后的域控制器时出现如图6-95所示的DsBindW 0x6d9类错误提示。至于这类问题,一般是无法联系到林中其他域控制器的原因造成

的。

(点击查看大图)图6-95  连接降级后的域控制器时出现的错误

 

你可能感兴趣的:(windows,server)