域控制器降级失败后如何删除 Active Directory 中的数据

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端，并且不恰当地修改了 Active Directory 对象的属性，则可能造成严重问题。要解决这些问题，您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安装。Microsoft 不保证能够解决因为 Active Directory 对象属性修改不当而导致的问题。修改这些属性需要您自担风险。 

Active Directory 安装向导 (Dcpromo.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的服务器）。作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于 Active Directory 的下列位置： 

CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=...

“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。

如果“NTDS 设置”对象未正确删除（例如，如果在降级尝试中错误地删除“NTDS 设置”对象），则管理员可以手动删除服务器对象的元数据。在 Windows Server 2008 和 Windows Server 2008 R2 中，管理员可以通过删除 Active Directory 用户和计算机管理单元中的服务器对象，删除服务器对象的元数据。

在 Windows Server 2003 和 Windows 2000 Server 中，管理员可以使用 Ntdsutil.exe 实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个 Ntdsutil 菜单上，管理员键入 help 可以获取有关可用选项的详细信息。 

回到顶端

Windows Server 2003 Service Pack 1 (SP1) 或更高版本的 Service Pack – Ntdsutil.exe 的增强版本

包含在 Windows Server 2003 的 Service Pack 1 或更高版本 Service Pack 中的 Ntdsutil.exe 版本已经得到增强，可完成元数据清除过程。在运行元数据清除时，SP1 或更高版本 Service Pack 中包含的 Ntdsutil.exe 版本将执行下列操作： 

∙删除“NTDSA 设置”或“NTDS 设置”主题。 

∙删除现有目标 DC 用于从要删除的源 DC 复制数据的入站 AD 连接对象。 

∙删除计算机帐户。 

∙删除 FRS 成员对象。 

∙删除 FRS 订阅者对象。 

∙尝试获取由要删除的 DC 所拥有的灵活单操作主机角色（又称为灵活单主机操作或 FSMO）。

警告：在手动删除任何服务器的“NTDS 设置”对象之前，管理员还必须确保在降级之后已进行了复制。错误使用 Ntdsutil 实用工具可能导致 Active Directory 功能的部分或全部丧失。 

回到顶端

过程 1：仅 Windows Server 2003 SP1 或更高版本 Service Pack

1.单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。 

2.在命令提示符处，键入 ntdsutil，然后按 Enter。 

3.键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。 

4.键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds DomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。 

5.键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息： 

错误 2094。不能删除 DSA 对象。0x2094

6.键入 quit，然后按 Enter。将出现“清除元数据”菜单。 

7.键入 select operation target，然后按 Enter。 

8.键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。 

9.键入 select domain number，然后按 Enter；其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 

10.键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。 

11.键入 select site number，然后按 Enter；其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。 

12.键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。 

13.键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。 

14.键入 quit，然后按 Enter。将出现“清除元数据”菜单。 

15.键入 remove selected server，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息，则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 DCPROMO 实用工具成功删除该对象后又执行了一次此操作。 

错误 8419 (0x20E3)

找不到 DSA 对象 

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。 

16.键入 quit，然后在每个菜单上按 Enter，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。 

17.在 DNS 的 _msdcs. 目录林的根域区域中删除 cname 记录。假定要重新安装并重新提升 DC，将创建一个新的“NTDS 设置”对象，它将具有新的 GUID 并在 DNS 中拥有一个匹配的 cname 记录。如果不希望现有 DC 使用旧的 cname 记录。

最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。 

18.在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。若要删除 A 记录，请右键单击 A 记录，然后单击“删除”。另外，请删除 _msdcs 容器中的 cname 记录。为此，请展开“_msdcs”容器，右键单击“cname”，然后单击“删除”。

重要说明：如果这是 DNS 服务器，请在“名称服务器”选项卡下删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下单击该域名，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。 

19.如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作： 

1.单击“开始”，单击“运行”，键入 adsiedit.msc，然后单击“确定”。 

2.展开“域 NC”容器。 

3.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。 

4.展开“CN=System”。 

5.右键单击“Trust Domain”对象，然后单击“删除”。

20.使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作： 

1.启动“Active Directory 站点和服务”。 

2.展开“站点”。 

3.展开服务器的站点。默认站点为“Default-First-Site-Name”。 

4.展开“服务器”。 

5.右键单击域控制器，然后单击“删除”。

21.当您在 Windows Server 2008 和更高版本中使用 DFS 复制时，Ntdsutil.exe 的当前版本不会清理 DFS 复制对象。在这种情况下，您可以使用 Adsiedit.msc 手动为 Active Directory 域服务 (AD DS) 更正 DFS 复制对象。若要进行此操作，请执行以下步骤： 

1.在受影响的域中，以域管理员身份登录域控制器。 

2.启动 Adsiedit.msc。 

3.连接到默认命名上下文。 

4.找到下面的 DFS 复制拓扑容器： 

CN=Topology、CN=Domain System Volume、CN=DFSR-Globalsettings、CN=System、DC=Your Domain、DC=Domain Suffix

5.删除具有旧计算机名称的 msDFSR-Member CN 对象。

回到顶端

过程 2：Windows 2000（所有版本）、Windows Server 2003 RTM

1.单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。 

2.在命令提示符处，键入 ntdsutil，然后按 Enter。 

3.键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。 

4.键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，则可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds DomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。 

5.键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息： 

错误 2094。不能删除 DSA 对象。0x2094

6.键入 quit，然后按 Enter。将出现“清除元数据”菜单。 

7.键入 select operation target，然后按 Enter。 

8.键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。 

9.键入 select domain number，然后按 Enter；其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 

10.键入 list sites，然后按 Enter。将显示一个站点列表，每个站点都有一个关联的编号。 

11.键入 select site number，然后按 Enter；其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。 

12.键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。 

13.键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。 

14.键入 quit，然后按 Enter。将出现“清除元数据”菜单。 

15.键入 remove selected server，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息： 

错误 8419 (0x20E3)

找不到 DSA 对象 

则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 Dcpromo 实用工具成功删除该对象后又执行了一次此操作。

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。 

16.在每个菜单中键入 quit，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。 

17.在 DNS 的 _msdcs.目录林的根域区域中删除 cname 记录。假定要重新安装并重新提升 DC，则如果使用新 GUID 和 DNS 中匹配的 cname 记录创建一个新“NTDS 设置”对象。您不希望现有 DC 使用旧的 cname 记录。

最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。

既然“NTDS 设置”对象已删除，因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname（或别名）记录、DNS 中的 A（或主机）记录、已删除的子域的 trustDomain 对象以及域控制器。

注意：在 Windows Server 2003 RTM 中不需要手动删除 FRS 成员对象，因为在您运行 Ntdsutil.exe 实用工具时，它已经删除了 FRS 成员对象。另外，如果 DC 的计算机帐户包含其他页对象，则无法删除该计算机帐户的元数据。例如，DC 上可能安装了远程安装服务 (RIS)。

Windows 2000 Server 和 Windows Server 2003 的 Windows 支持工具功能中都附带有 Adsiedit 实用工具。要安装 Windows 支持工具，请按照下列步骤操作： 

∙Windows 2000 Server：在 Windows 2000 Server CD 上，打开 Support\\Tools 文件夹，双击“Setup.exe”，然后按照屏幕上的说明操作。 

∙Windows Server 2003：在 Windows Server 2003 CD 上，打开 Support\\Tools 文件夹，双击“Suptools.msi”，单击“安装”，然后按照 Windows 支持工具安装向导中的步骤操作以完成安装。

1.使用 ADSIEdit 删除计算机帐户。为此，请按照下列步骤操作： 

1.单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。 

2.展开“域 NC”容器。 

3.展开“DC=您的域名, DC=COM, PRI, LOCAL, NET”。 

4.展开“OU=Domain Controllers”。 

5.右键单击“CN=域控制器名”，然后单击“删除”。

如果在试图删除 DSA 对象时出现“不能删除 DSA 对象”错误消息，请更改 UserAccountControl 值。要更改 UserAccountControl 值，请在 ADSIEdit 中右键单击该域控制器，然后单击“属性”。在“选择一个要查看的属性”下，单击“UserAccountControl”。单击“清除”，将该值更改为 4096，然后单击“设置”。现在您可以删除该对象了。

注意：删除计算机对象时，也将删除 FRS 订阅者对象，因为它是计算机帐户的子对象。 

2.使用 ADSIEdit 删除 FRS 成员对象。为此，请按照下列步骤操作： 

1.单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。 

2.展开“域 NC”容器。 

3.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。 

4.展开“CN=System”。 

5.展开“CN=File Replication Service”。 

6.展开“CN=Domain System Volume (SYSVOL share)”。 

7.右键单击要删除的域控制器，然后单击“删除”。

3.在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。若要删除 A 记录，请右键单击 A 记录，然后单击“删除”。还要删除“_msdcs”容器中的 cname（也称为“别名”）记录。为此，请展开“_msdcs”容器，右键单击 cname，然后单击“删除”。

重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡中删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下右键单击该域名，单击“属性”，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。 

4.如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作： 

1.单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。 

2.展开“域 NC”容器。 

3.展开“DC=您的域, DC=COM, PRI, LOCAL, NET”。 

4.展开“CN=System”。 

5.右键单击“Trust Domain”对象，然后单击“删除”。

5.使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作： 

1.启动“Active Directory 站点和服务”。 

2.展开“站点”。 

3.展开服务器的站点。默认站点为 Default-First-Site-Name。 

4.展开“服务器”。 

5.右键单击域控制器，然后单击“删除”。

Ntdsutil.exe SP1 或更高版本的高级可选语法

Windows Server 2003 SP1 引入了新的可用语法。通过使用新语法，不再需要绑定到 DS 以及选择操作目标。要使用新语法，您必须知道或获取要降级的服务器的“NTDS 设置”对象的 DN。若要为元数据清除使用新的语法，请按照下列步骤操作： 

1.运行 ntdsutil。 

2.切换到清除元数据提示符。 

3.运行以下命令， 

remove selected server <配置容器中的服务器对象的 DN>

下面给出了此命令的一个示例。

注意：下面的示例仅为一行，只是此处已经过换行。

Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=

4.在 DNS 的 _msdcs.<目录林的根域> 区域中删除 cname 记录。假定要重新安装并重新提升 DC，将使用新 GUID 和 DNS 中匹配的 cname 记录创建一个新“NTDS 设置”对象。您不希望现有 DC 使用旧 cname 记录。 

最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。 

5.如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作： 

1.单击“开始”，单击“运行”，键入 adsiedit.msc，然后单击“确定”。 

2.展开“域 NC”容器。 

3.展开“DC=您的域名, DC=COM, PRI, LOCAL, NET”。 

4.展开“CN=System”。 

5.右键单击“Trust Domain”对象，然后单击“删除”。

6.使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作： 

1.启动“Active Directory 站点和服务”。 

2.展开“站点”。 

3.展开服务器的站点。默认站点为 Default-First-Site-Name。 

4.展开“服务器”。 

5.右键单击域控制器，然后单击“删除”。

当您使用 Ntdsutil 命令行工具尝试删除已从您的网络中删除的域控制器的元数据时，您可能会收到以下错误消息： 

DsRemoveDsDomainW 错误 0x2015 （目录服务可以执行所请求的操作只能在叶对象上）。

回到顶端

原因 

可能会发生此问题时，应用程序分区命名上下文 (DC = DomainDnsZones） 为子域不会被删除 Active Directory 域控制器中移除时。...

可能会发生此问题时，应用程序分区命名上下文 (DC = DomainDnsZones） 为子域不会被删除 Active Directory 域控制器中移除时。 

回到顶端

解决方案 

若要解决此问题，请按照下列步骤操作： 单击 开始，单击 运行，键入 ntdsutil，然后按 ENTER 键。 在此 Ntdsutil 命令键入 域管理，然后按...

若要解决此问题，请按照下列步骤操作： 

1.单击 开始，单击 运行，键入 ntdsutil，然后按 ENTER 键。 

2.在此 Ntdsutil 命令键入 域管理，然后按 ENTER 键。 

3.键入 连接，然后按 ENTER 键。 

4.键入 连接到服务器 Domain_Controller_Name，然后按 ENTER 键。 

5.将显示以下消息后，键入 退出，然后按 ENTER 键： 

连接到 Domain_Controller_Name 使用本地登录的用户的凭据

6.域管理提示符，键入 列表，然后按 ENTER 键。 

7.请注意以下项： 

DC = DomainDnsZones，DC = Child_Domain，DC = extension

例如对于如果子域是 Contoso.com，请注意以下项： 

DC = DomainDnsZones，DC = contoso，DC = com

8.键入下面的命令，然后按 ENTER 键。 

删除 nc dc = domaindnszones，dc = Child_Domain，dc = extension

注意 在此命令 Child_Domain 表示要删除的子域的名称。例如对于如果子域是 Contoso.com，键入下面的命令，然后按 ENTER 键： 

删除 nc dc = domaindnszones，dc = contoso，dc = com

9.请退出 Ntdsutil。

在 Windows Server 2003 和 Windows 2000 Server 中使用 Active Directory 安装向导强制降级时，域控制器无法正常降级

查看本文应用于的产品

256986  (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 注册表说明

本页 

∙症状 

∙原因 

∙解决方案 

∙替代方法 

oWindows 2000 域控制器 

oWindows Server 2003 域控制器 

oWindows Server 2003 Service Pack 1 增强功能 

∙状态 

∙更多信息 

展开全部 | 关闭全部 

症状 

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用 Active Direc...

Microsoft Windows 2000 或 Microsoft Windows Server 2003 域控制器可能无法通过使用 Active Directory 安装向导(Dcpromo.exe) 正常降级。 

回到顶端

原因 

如果所需的相关项或操作失败，可能会出现此现象。这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directo...

如果所需的相关项或操作失败，可能会出现此现象。这包括网络连接、名称解析、身份验证、Active Directory 目录服务复制或 Active Directory 中关键对象的位置等。 

回到顶端

解决方案 

要解决此问题，请确定阻碍 Windows 2000 或 Windows Server 2003 域控制器正常降级的原因，然后再次尝试使用 Active Dire...

要解决此问题，请确定阻碍 Windows 2000 或 Windows Server 2003 域控制器正常降级的原因，然后再次尝试使用 Active Directory 安装向导将域控制器降级。 

回到顶端

替代方法 

如果不能解决此问题，可以使用以下变通方法对域控制器执行强制降级，以保留操作系统及其中任何应用程序的安装。警告：在使用以下任一变通方法之前，请确保您可以在目录服务...

如果不能解决此问题，可以使用以下变通方法对域控制器执行强制降级，以保留操作系统及其中任何应用程序的安装。

警告：在使用以下任一变通方法之前，请确保您可以在目录服务还原模式下成功启动。否则，在您强制降级该计算机后，您将无法登录。如果用户忘记了目录服务还原模式的密码，可以通过使用 Winnt\\System32 文件夹中的 Setpwd.exe 实用工具来重置密码。在 Windows Server 2003 中，Setpwd.exe 实用工具的功能已被集成到 NTDSUTIL 工具的 Set DSRM Password 命令中。 有关如何执行此过程的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 

2711  (http://support.microsoft.com/kb/2711/ ) “配置您的服务器向导”将恢复模式密码设为空白 

回到顶端

Windows 2000 域控制器

1.在运行 Service Pack 2 (SP2) 或更高版本的 Windows 2000 域控制器上安装 Q332199 修复程序，或者安装 Windows 2000 Service Pack 4 (SP4)。SP2 及更高版本都支持强制降级。然后重新启动计算机。 

2.单击“开始”，单击“运行”，然后键入以下命令： 

dcpromo /forceremoval

3.单击“确定”。 

4.在“欢迎使用 Active Directory 安装向导”页中，单击“下一步”。 

5.如果您要删除的计算机是全局编录服务器，请单击消息窗口中的“确定”。

注意：如果您要降级的域控制器是全局编录服务器，请根据需要提升林中或站点中的其他全局编录服务器。 

6.在“删除 Active Directory”页中，确保已清除“这个服务器是域中的最后一个域控制器”复选框，然后单击“下一步”。 

7.在“网络凭据”页中，键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称，然后单击“下一步”。 

8.在“管理员密码”中，键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。 

9.在“摘要”页上，单击“下一步”。 

10.在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。 

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 支持工具中包含的 Replmon.exe 或 Repadmin.exe 之类的工具可帮助您确定是否发生过端到端复制。Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。 

回到顶端

Windows Server 2003 域控制器

1.Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”，单击“运行”，然后键入以下命令： 

dcpromo /forceremoval

2.单击“确定”。 

3.在“欢迎使用 Active Directory 安装向导”页中，单击“下一步”。 

4.在“强制删除 Active Directory”页中，单击“下一步”。 

5.在“管理员密码”中，键入您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。 

6.在“摘要”中，单击“下一步”。 

7.在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。 

如果您通过使用 Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比 Windows Server 2003 慢。

如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或服务器来说是不可用的。如果您计划在该计算机上安装 Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表 (ACL)。如果您希望将该计算机保留为成员服务器或服务器，则必须转换或替换基于域本地组的任何权限。 有关从域控制器中删除 Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 

320230  (http://support.microsoft.com/kb/320230/ ) 域控制器降级后权限受到影响 

回到顶端

Windows Server 2003 Service Pack 1 增强功能

Windows Server 2003 SP1 增强了 dcpromo /forceremoval 进程。执行 dcpromo /forceremoval 时，进行检查以确定域控制器所承载的操作主机角色是域名系统 (DNS) 服务器，还是全局编录服务器。对于每个角色，管理员都会收到一条弹出警告，建议他采取适当的操作。 

回到顶端

状态 

Microsoft 已对运行 Windows 2000 或 Windows Server 2003 的域控制器进行了测试，并且支持对这些域控制器执行强制降级。...

Microsoft 已对运行 Windows 2000 或 Windows Server 2003 的域控制器进行了测试，并且支持对这些域控制器执行强制降级。 

回到顶端

更多信息 

Active Directory 安装向导会在基于 Windows 2000 的计算机和基于 Windows Server 2003 的计算机上创建 Activ...

Active Directory 安装向导会在基于 Windows 2000 的计算机和基于 Windows Server 2003 的计算机上创建 Active Directory 域控制器。Active Directory 安装向导所执行的操作包括安装新服务、更改现有服务的启动值以及将 Active Directory 转换为安全和身份验证领域。 

通过强制降级，域管理员可以强制删除 Active Directory 并回滚本地保存的系统更改，而无须与林中的其他域控制器进行联系或者将本地保存的更改复制到林中的其他域控制器。

由于强制降级会导致任何本地保存的更改丢失，如非绝对必要，请勿在生产域或测试域中使用强制降级。当无法解决连接、名称解析、身份验证或复制引擎相关项以致于无法执行正常降级时，您可以将域控制器强制降级。强制降级的有效方案包括： 

∙当您尝试将直接子域中的最后一个域控制器降级时，父域中当前没有可用的域控制器。 

∙由于在执行详细的疑难解答后存在无法解决的名称解析、身份验证、复制引擎或 Active Directory 对象相关项，因此 Active Directory 安装向导无法完成。 

∙在 Tombstone 存留天数（默认的 Tombstone 存留时间为 60 天）内，域控制器尚未为一个或多个命名上下文复制入站 Active Directory 更改。

重要说明：请不要恢复这类域控制器，除非它们是恢复特定域的唯一选择。 

∙由于您必须立即将域控制器投入使用，因此没有足够的时间进行更详细的疑难解答。

强制降级在实验和教学环境中可能非常有用，在这些环境中您可以删除现有域中的域控制器，却不必按顺序将每个域控制器降级。 

如果您强制进行域控制器降级，将丢失您正在强制降级的域控制器的 Active Directory 中所驻留的任何唯一的更改。这包括在运行 dcpromo /forceremoval 命令之前尚未复制的对用户、计算机、组、信任关系以及组策略或 Active Directory 配置所做的添加、删除或修改操作。此外，您还将丢失对这些对象的任一属性（如用户密码、计算机、信任关系以及组成员资格）所做的更改。

但是，如果您将域控制器强制降级，您会将操作系统恢复到与域中的最后一个域控制器成功降级时相同的状态（包括服务启动值和已安装的服务，还包括对帐户数据库使用基于注册表的 SAM 以及计算机是工作组的成员等方面）。降级的域控制器中安装的程序仍将继续保持已安装状态。

系统事件日志会以事件 ID 29234 标识出强制降级的 Windows 2000 域控制器以及 dcpromo /forceremoval 操作的实例。例如： 

类型:警告

来源:lsasrv

类别:无 

事件 ID: 29234

日期:MM/DD/YYYY

时间:HH:MM:SS AM|PM

用户:N/A

计算机:Computername 描述:此服务器被强制降级。它不再是一个域控制器。

系统事件日志以事件 ID 29239 标识出强制降级的 Windows Server 2003 域控制器。例如： 

类型:警告

来源:lsasrv

类别:无

事件 ID: 29239

日期:MM/DD/YYYY

时间:HH:MM:SS AM|PM

用户:N/A

计算机:Computername 描述:此服务器被强制降级。它不再是一个域控制器。

在您使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会 删除被降级的计算机的元数据。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 

2198  (http://support.microsoft.com/kb/2198/ ) 域控制器降级失败后如何删除 Active Directory 中的数据 

将域控制器强制降级后，您必须完成以下任务（如果适用）： 

1.从域中删除计算机帐户。 

2.验证 DNS 记录（例如 A 记录、CNAME 记录和 SRV 记录）是否已删除；如果它们仍然存在，则将它们删除。 

3.验证 FRS 成员对象（FRS 和 DFS）是否已删除；如果它们仍然存在，则将它们删除。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 

296183  (http://support.microsoft.com/kb/296183/ ) FRS 使用的 Active Directory 对象概述 

4.如果被降级的计算机是任何安全组的成员，请将其从这些组中删除。 

5.删除对被降级的服务器的任何 DFS 引用（例如，链接或根副本）。 

6.继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色（也称为灵活的单主机操作或 FSMO）。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 

255504  (http://support.microsoft.com/kb/255504/ ) 使用 Ntdsutil.exe 占用 FSMO 角色或将其转移到域控制器 

7.如果您要降级的域控制器是 DNS 服务器或全局编录服务器，则必须创建一个新的 GC 或 DNS 服务器，以满足林中的负载平衡、容错和配置设置。 

8.当您使用 NTDSUTIL 中的删除选定服务器命令时，NTDSDSA 对象（该对象是到您强制降级的域控制器的入站连接的父对象）将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中，请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器对象。