域控制器降級失敗後如何刪除 Active Directory 中的資料

概要
本文介紹在域控制器降級失敗後，如何刪除 Active Directory 中的資料。

警告：如果使用“ADSI 編輯”管理單元、LDP 實用工具或任何其他 LDAP 版本 3 客戶端，並且不恰當地修改了 Active Directory 物件的屬性，則可能造成嚴重問題。要解決這些問題，您可能需要重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安裝。Microsoft 不保證能夠解決因為 Active Directory 物件屬性修改不當而導致的問題。修改這些屬性需要您自擔風險。

Active Directory 安裝嚮導 (Dcpromo.exe) 用於將伺服器提升為域控制器，以及將域控制器降級為成員伺服器（或者在該域控制器是域中的最後一個域控制器時，將其降級為工作組中的獨立伺服器）。作為降級過程的一部分，此嚮導會將該域控制器的配置資料從 Active Directory 中刪除。此資料的形式是“NTDS 設定”物件，在“Active Directory 站點和服務”中作為伺服器物件的一個子物件存在。

該資訊位於 Active Directory 中的以下位置：
CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=...
“NTDS 設定”物件的屬性包括：代表如何針對域控制器的複製夥伴標識域控制器的資料、計算機中儲存的名稱上下文、域控制器是否為全域性編錄伺服器，以及預設查詢策略。“NTDS 設定”物件也是一個容器，其中可以包含代表域控制器的直接複製夥伴的子物件。該資料是域控制器在環境中執行所必需的，但域控制器降級後就不再使用該資料了。

如果未正確刪除“NTDS 設定”物件（例如，未從降級嘗試中正確刪除“NTDS 設定”物件），管理員可以使用 Ntdsutil.exe 實用工具手動刪除“NTDS 設定”物件。以下步驟列出了在特定域控制器的 Active Directory 中刪除“NTDS 設定”物件的過程。在每個 Ntdsutil 選單上，管理員可以鍵入 help 以瞭解有關可用選項的更多資訊。

警告：在手動刪除任何伺服器的“NTDS 設定”物件之前，管理員還必須確保在降級之後已進行了複製。Ntdsutil 實用工具使用不當可能導致 Active Directory 功能部分或全部喪失。

過程
1. 單擊“開始”，指向“程式”，指向“附件”，然後單擊“命令提示符”。
2. 在命令提示符處，鍵入 ntdsutil，然後按 Enter 鍵。
3. 鍵入 metadata cleanup，然後按 Enter 鍵。根據所給出的選項，管理員可以執行刪除操作，但在實施刪除之前還必須指定另外一些配置引數。
4. 鍵入 connections，然後按 Enter 鍵。此選單用於連線將發生這些更改的具體伺服器。如果當前登入的使用者沒有管理許可權，可以在建立連線之前指定要使用的替代憑據。為此，請鍵入 set creds DomainNameUserNamePassword，然後按 Enter 鍵。如果密碼為空，則鍵入 null 作為密碼引數。
5. 鍵入 connect to server servername，然後按 Enter 鍵。然後出現一條確認訊息，說明已成功建立該連線。如果出現錯誤，則確認連線中所用的域控制器是否可用，以及您提供的憑據對該伺服器是否有管理許可權。

注意：如果嘗試連線的伺服器正是要刪除的伺服器，那麼在嘗試刪除第 15 步提到的伺服器時，將顯示以下錯誤資訊：
Error 2094. The DSA Object cannot be deleted0x2094
6. 鍵入 quit，然後按 Enter 鍵。將出現清除後設資料選單。
7. 鍵入 select operation target，然後按 Enter 鍵。
8. 鍵入 list domains，然後按 Enter 鍵。將顯示一個列出目錄林中所有域的列表，每一個域都有一個關聯的編號。
9. 鍵入 select domain number，然後按 Enter 鍵；其中 number 是與要刪除的域相關聯的編號。您選擇的域用於確定要刪除的伺服器是否為該域的最後一個域控制器。
10. 鍵入 list sites，然後按 Enter 鍵。將顯示一個站點列表，每個站點都有一個關聯的編號。
11. 鍵入 select site number，然後按 Enter 鍵；其中 number 是與要刪除的域相關聯的編號。將出現一條確認訊息，其中列出了所選的站點和域。
12. 鍵入 list servers in site，然後按 Enter 鍵。將顯示一個列出站點中所有伺服器的列表，每個伺服器都有一個關聯的編號。
13. 鍵入 select server number，其中 number 是與要刪除的伺服器關聯的編號。將出現一條確認訊息，其中列出所選的伺服器、該伺服器的域名伺服器 (DNS) 主機名，以及要刪除的伺服器的計算機帳戶的位置。
14. 鍵入 quit，然後按 Enter 鍵。將出現清除後設資料選單。
15. 鍵入 remove selected server，然後按 Enter 鍵。將出現一條確認訊息，說明刪除成功完成。如果出現以下錯誤資訊：
Error 8419 (0x20E3)
The DSA object could not be found
則說明“NTDS 設定”物件可能已從 Active Directory 中刪除，原因是其他管理員刪除了該“NTDS 設定”物件，或者在執行 DCPROMO 實用工具成功刪除物件後再執行一次此操作。

注意：嘗試繫結到要刪除的域控制器時，也可能會出現此錯誤。Ntdsutil 必須繫結到要用 metadata cleanup 刪除的域控制器以外的其他域控制器。
16. 在每個選單中鍵入 quit，退出 NTDSUTIL 實用工具。將出現一條確認訊息，說明連線已成功斷開。
17. 在 DNS 的 _msdcs.root domain of forest 區域中刪除 cname 記錄。假定要重新安裝並重新提升 DC，因此使用新的 GUID 和 DNS 中匹配的 cname 記錄來建立新的“NTDS 設定”物件。您不希望現有 DC 使用舊的 cname 記錄。

最佳做法是刪除主機名和其他 DNS 記錄。如果已超出為離線伺服器分配的動態主機配置協議 (DHCP) 地址上所剩的租用時間，另一個客戶端即可獲得問題 DC 的 IP 地址。
既然“NTDS 設定”物件已刪除，因此可以刪除計算機帳戶、FRS 成員物件、_msdcs 容器中的 cname（或別名）記錄、DNS 中的 A（或主機）記錄、已刪除的子域的 trustDomain 物件以及域控制器。

Windows 2000 Server 和 Windows Server 2003 的 Windows 支援工具功能中都附帶有 Adsiedit 實用工具。要安裝 Windows 支援工具，請按照下列步驟操作：• Windows 2000 Server：在 Windows 2000 Server 安裝光碟上，開啟 SupportTools 資料夾，雙擊“Setup.exe”，然後按照螢幕上的說明操作。
• Windows Server 2003：在 Windows Server 2003 安裝光碟上，開啟 SupportTools 資料夾，雙擊“Suptools.msi”，單擊“安裝”，然後按照 Windows 支援工具安裝嚮導中的步驟操作以完成安裝。
1. 使用 ADSIEdit 刪除計算機帳戶。為此，請按照下列步驟操作：

a. 單擊“開始”，單擊“執行”，在“開啟”框中鍵入 adsiedit.msc，然後單擊“確定”。
b. 展開“域 NC”容器。
c. 展開“DC=Your Domain Name, DC=COM, PRI, LOCAL, NET”。
d. 展開“OU=Domain Controllers”。
e. 右鍵單擊“CN=domain controller name”，然後單擊“刪除”。
如果在試圖刪除 DSA 物件時出現“DSA object cannot be deleted”錯誤資訊，請更改 UserAccountControl 值。要更改 UserAccountControl 值，請在 ADSIEdit 中右鍵單擊該域控制器，然後單擊“屬性”。在“請選擇要檢視的屬性”下，單擊“UserAccountControl”。單擊“清除”，將該值更改為 4096，然後單擊“設定”。現在您可以刪除該物件了。

注意：刪除計算機物件時，也將刪除 FRS 訂戶物件，因為它是計算機帳戶的子物件。
2. 使用 ADSIEdit 刪除 FRS 成員物件。為此，請按照下列步驟操作：

a. 單擊“開始”，單擊“執行”，在“開啟”框中鍵入 adsiedit.msc，然後單擊“確定”。
b. 展開“域 NC”容器。
c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。
d. 展開“CN=System”。
e. 展開“CN=File Replication Service”。
f. 展開“CN=Domain System Volume (SYSVOL share)”。
g. 右鍵單擊要刪除的域控制器，然後單擊刪除。

3. 在 DNS 控制檯中，使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄也稱為“主機”記錄。要刪除 A 記錄，請右鍵單擊 A 記錄，然後單擊“刪除”。還要刪除“_msdcs”容器中的 cname（也稱為“別名”）記錄。為此，請展開“_msdcs”容器，右鍵單擊 cname，然後單擊“刪除”。

重要說明：如果這是一臺 DNS 伺服器，請在名稱伺服器選項卡中刪除對該 DC 的引用。為此，在 DNS 控制檯中，在正向搜尋區域下單擊該域名，然後從名稱伺服器選項卡中刪除該伺服器。

注意：如果有反向搜尋區域，也要將伺服器從這些區域中刪除。
4. 如果刪除的計算機是子域中的最後一個域控制器，而且該子域也已刪除，則使用 ADSIEdit 刪除該子域的 trustDomain 物件。為此，請按照下列步驟操作：

a. 單擊“開始”，單擊“執行”，在“開啟”框中鍵入 adsiedit.msc，然後單擊“確定”。
b. 展開“域 NC”容器。
c. 展開“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。
d. 展開“CN=System”。
e. 右鍵單擊“Trust Domain”物件，然後單擊“刪除”。

5. 使用“Active Directory 站點和服務”刪除域控制器。為此，請按照下列步驟操作：

a. 啟動“Active Directory 站點和服務”。
b. 展開“站點”。
c. 展開伺服器的站點。預設站點為“Default-First-Site-Name”。
d. 展開“伺服器”。
e. 右鍵單擊域控制器，然後單擊刪除。

另外，請考慮以下幾點：

• 如果刪除的域控制器曾經是一臺全域性編錄伺服器，請評估指向這臺離線全域性編錄伺服器的應用程式伺服器是否必須指向一臺活動的全域性編錄伺服器。
• 如果刪除的 DC 曾經是一臺全域性編錄伺服器，請評估是否必須提升其他全域性編錄，以解決站點、域或林全域性編錄的負載問題。
• 如果刪除的 DC 曾經擔任 Flexible Single Master Operation (FSMO) 角色，請將這些角色重新分配給一臺活動 DC。
• 如果刪除的 DC 曾經是一臺 DNS 伺服器，請更新所有成員工作站、成員伺服器以及其他可能使用過這臺 DNS 伺服器進行名稱解析的 DC 上的 DNS 客戶端配置。如果需要，請修改 DHCP 作用域，以反映出 DNS 伺服器已刪除。
• 如果刪除的 DC 曾經是一臺 DNS 伺服器，請更新所有其他可能指向該 DC 以進行名稱解析的 DNS 伺服器上的轉發器設定和委派設定。