最全面的额外域控制升级为主域控制器试验方法

1、额外域控制升级为主域控制器实验实验环境：域名为原主域控制器System:windows20003ServerFQDN:PDCIP:00Mask:DNS:二、实验目的：辅助域控制器System:windows2003ServerFQDNBDCIP:01Mask:DNS:在主域才$制器（PDC）出现故障的时候通过提升辅域控制器（BDC）为主域控制，从而不影响所有依靠AD的服务。一般公司部署两台ADserver来维持正常运行，一台为主域控制器，另外一台为

2、额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD3、 以下介绍三种额外域提升为主域方法（一）当主域正常运行时，如何将额外域控制器提升为主域控制器（命令行界面）（二）当主域正常运行时，如何将额外域控制器提升为主域控制器（图形化界面）（三）当主域永久DOW机时，如何将额外的域控制器提升为主域控制器（抢夺角色）4、 实验步骤：（一）当主域正常运行时，如何将额外域控制器提升为主域控制器（命令行界面）1 .安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注

3、意一点的是，两台域控器都要安装DNS1件。在第一台域控制安装好后，下面开始安装第二台域控制器（BDC,首先将要提升为辅助域控制的计算机的计算机名，IP地址及DNS跟据上面设置好以后，并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。2 .以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】-【运行】在运行里输入dcpromo打开活动目录安装向导，.点两个【下一步】，打开如图.3 .这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。如图4 .这里输入你的域管理员的用户名和密码，点【下一步】。如图：5 .这里提示你的这台域控制将成为哪个域的

4、额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：6.几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图：域的辅助域控制了DgmainControllersDomainControllers2个对象名称耀I辘sSc计宜就图TDC计算机MtiweDie艮口ry用户和i+篁机.tJ_|俣存的查何T：+：LJBuiltiii田Cfomputers出FtreignSecnrityfrincipk,朗user由Vstrs7.再查看一下FSMO

5、五种主控角色）的owner,安装WindowsServer安装光盘中的Support目录下的supporttools工具,然后打开提示符输入：netdomqueryfsmo以输出FSMO勺owner,如图:CvaMuidTrm>tC-Iplit17卧，l(olEr>netdli«qui&Ky;f&nuPOCzgiUMnDomLiA下01*电产FDC.tBVr3m靠FJDCmleFDC.Lest-cunHTO厘n1.rwinmerPDC!.t壮事E.tnnInfrastr-uctur-BPDC.test.conTlivvumndiiHg则iiw”的C二Pew

6、±"eUhFLitWuLppOFtToulQ.重点环节8.现在五个角色的woner都是PDG现在需要把这个五个角色转移到BDC±,使BDC成为owner。9.现在登陆PDC（主域控制器）打开命令提示符，输入ntdsutil;及ntdsutil?查看相关的命令；因为要更改角色的所有者，所以运行roles命令10.命令提示符下再输入：roles回车，输入connections回车，再输入connecttoserverBDC（备注：这里的BDd额外指服务器名称），提示绑定成功后，输入q退出，如图：erverco-nBE&tiDns"<oT*8fl

7、H7R057此幡li*Liiijilt-IIkI&ynt4Xl版urtihrobjndStttifijeaJMjdnJrimut11itdttnllsMieAh-H.-riA苴酰后息ira券件即洋翻舞常懿萨'霸三工林恃产ar，ntMftt/f<-t.TtHMtSxyMcb3£1匚上士-ilCzitilHicMUfifrWiMausF萌军5.I.37M1<C)M*.于91懂JAft3Kkraft%.修#11M中Ch*Bq|TBE.，E'i<4icco-UMtSck忖/i1，口0*.hlitifn«晦Fiiev“Flfai!*Hrlli

8、-hitlif-lilli1i|pKirriilllflLMvlpIPftIMPpvlicuxLMF*dL16-1ThflC-M-C“1,痴】.|Mtqd冏ca£le-AnuipIT.|4fiHXMhrtlfmW-l!4Fvpaipcl>ffFapupsori心1叶口EvfrGiSy44*£*LhH«.ItaW修国i*目口*<204*鼻InstART44Mh，二七.靛？身存用。，11r用力”魏馥-考赞»LW数晤隹京件-审理3P蝴邮-苑.DLDL荚同唱.LDM高口，-啦i夜计蝙耨的出班山心.1也-Tflfc1MC用芭谷片-第母毛使用璘覆鼻器地对

9、象管曜自塞分成NAJrl11 .命令提示符下输入？号，可以查看到通过使用Transfer命令做相关的5个角色的传递12 .然后分别输入：Transferinfrastructuremaster回车Transfernamingmaster回车TransferPDC回车TransferRIDmaster回车Transferschemamaster回车13 .以下的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES,如图：然后接着一条一条完成既可,完成以上按Q退出界面。ViHMTVll«ri4M«lpIfcKEHrat.uuuu七rMin*aiHHik户密封$Hd

10、PEhf*血FnrlLkJtrixHtilCri>>i.l“工lB；Jlrt11Jrjplpsaru4flliH4-aiM*hiiHt/圭h*0EhkFbJCPFiF<urrr.rrr.nLHknirbr.>lh.rrr口连己3已bmmtirrf-Btab*90Enalyqit工tKHNFiunuard*Eml.*Fir«4crvDVLiirA岫立t'tvixHniHKiBTnuctair*2FK$«mR3Diwct.frt.NE.lwiMPWB.*.*t/1*%+常Lithhxfar11r*z±riLKtuiMin&KtJ

11、ilr«P*fvrriMifliR«K«rIr4PffarFKlrwi>xftfr-,1。PMtilnrVAF+fitrAn向，*日.a+jih11).上一件二；：；,r这E哥百一Je,¥用王中.岸屯小扪加雪s唾号K*K*_#*守w:启品方交黑笠白ezl四*毡；«4niin6<ei*n>VW«rE-W1BEI.1-DHXI£.!»<t.(黑田'/:七怔连接iNIFvflP-iiitAHNgldiQHii彳CtiBBg-<*1旬口4ultRfI11rfrildMtlAiAAhf&

12、#163;ixaTdxtme晒*TME-L1*Hit|MJ-t«vUhMii工haiNihm3*01匕figTrAaxfvNtivulnTn-«A4lHr-infr>iiqTIl-MdfJSCTahM-3!*WTf*肝肝3i学力-小心卡蚪议31里awrtE片田*1由WfHCHlI-.二.4I5£箱IT,!的nrwwi»l-«ndLB44Jtr«n3i*rdiWMirtirifRd-t+r14 .这五个步骤完成以后，检查一下是否全部转移到BDC上了，开始>程序->运行->命令提示符下输入netdomqueryfs

13、mo如图：现在五个角色的owner都是BDC专移成功。工-ulJRM：«tAnE.trsr.e«nF®CroIeRDG.tnt.conRIDi»#lnnnngcr皆DC.test.cflftInftruetvrtwfflier，曲件rniwnnirteiinp-letfrilsuic-csseIFuI15 .角色转移成功以后，还要把GCfe转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。展开BDC右击【NTDSSettings】点【属性】，勾上全

14、局编录前面的勾，点确定，如图：16 .然后展开PDC右击【NTDSSettings】点【属性】,去掉全局编录前面的勾。如图：这样全局编录也转到BDC上去了,致此主域控制器已经变成BDC了。而PDCt成了辅助域控制器了中HciViU；E口WBdWLTLrxirSLi1一I-CUmi"iiMl口四#Ifiir:mil'fa*-_Jtii-Lar-Jfilitj-uisr卜J5fMLcLLn-3T>+FiisJ1-<hr«h-5itr-JMK明目川±1*1-_|EaTfuEliarf-_|5d»iLr士置捌a17 .现在已经可以把原来的主域

15、控制器（PDQ删除掉了，在（PDC）现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNStB是指向原来的主域控制器的，这样就会出现很多找不到域控制器的问题，所以我最简单的方法就是把BDC（现在的主域才$制器）的IP改为PDC（原来的主域才$制器）的IP就好To注：2003系统和2008R2系统安装AD域控制器和提升角色方法都一样，唯一不同的是2008R系统提升角色时不需要操作第15-16步骤，主域正常启动时与额外域处于转移

16、角色关系,netdomqueryfsmo查看角色转移成功后G5口上全局编录已自动更新为额外域无需在手动去操作。（命令行方式提升角色方法结束）8（二）当主域正常运行时，如何将额外域控制器提升为主域控制器（图形化界面）1 .一种图形界面，一种命令行；有两种有什么区别么呢，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，命令稍带优势；在操作fsmo角色传递时图形界面会报错，而通过命令操作一下就过了，大家把两个方式务必记住。详细实例见下：2 .额外域运行"regsvr32.exeschmmgmt.dll”来注册动态链接库，由于架构主机重要特殊，并没有预先设置的工具，所以

17、必须通过注册动态链接库来打开。3 .运行MMCC具打开控制台来添加Activedirectory架构窗口4.右击ActiveDirectory-更改域控制器一操作主机一更改一确定*1&一!向慢屿退三点mmdn-l事耳件中接作Htil）基磋丈如古口2却电皿5 .RID主机角色的传递：运行dsa.msc打开窗口,右击ActiveDirctory选择操作主机，选择RID标签单机更改然后确定6 .PDC主机角色的传递：选择PD的签单机更改然后确定7 .基础结构主机角色的传递：选择基础结构标签更改然后确定8 .域命名主机的彳递：运行domain.msc窗口，右击ActiveDirctory选择操

18、作主机，选择更改然后确定（图形化界面方式提升角色方法结束）8nC/nvRBKrCMVCINIBK.twt.c：o*Fl1看小TwI)餐sV»prMh4ta|a帆'木*卜事*津|ll*ri!l*Hlui!nvr«wZEII*1iLmaPri*jPdLfejaNkl-IMhilfaisrt»nFlU*3M.Hh.k.Hiti'gBit'Li'rkMii，nLMFxLkUj.IMFMofi>>I-1BEI”*Aaa-.IhciII">hrl<La«iupPAPIMl1,SMK-BU4KMI0向骐

19、“RiAie!t*diFi.+wRfr-*Ri-«+印装sr多卡百皿ma15空址上W6MI*51L1I',B|门由|叽|371.甲4>也产Id目一尊器s*-J二二FMtII巨旦KunFap.工一*匕I,4.，/mhldwitl?-明口千弘StL为ADLKMl坳渣SILAQ.nidiwi：ilI£«：ti«MMpaIxxuirinxLive.tunMiz£«rKfI.fHiMjnivHehlJAHE-litltexL«rS>r1»MhfM3g白.电.LauI.vpar*ll«*tarvi

20、tlifMMvtnrInfHKlKirlvripnaiIpr-IcMVM-rvr叼1*!-IrHtHFfKIt*-Fei-RIB“w”UrMMdHi"igq-m1Ur（三）当主域永久DOW机时，如何将额外的域控制器提升为主域控制器（抢夺角色）1.前面写的是在PDC（主域）还生效的情况下进行BDC（额外域）升PDC（主域）步骤，而如果主域出现了问题时呢，比如说PDC勺硬件出问题了或者系统坏了的情况下我们就要提升BD8PDCT,下面来讲解在PDCB现故障后BD/口何提升为PDC2.额外域BDC上打开AD用户和计算机，右击ActiveDirctory选择操作主机，此时在操作主机项显示的是错

21、误不能使用“更改”按钮，因此需要把BDCM改为操作主机使用命令行模式进行强制夺取。版ZmfMmtr加4Mli-rak*uh«rJ'KkLt即I口|«41JIMII'd|firBnFiH<：tuirtbfVMl*QWpl4t9ds寓£修¥6(11+.3.在命令提示符下输入netdomqueryfsmo查看一下当前的五个前色的owner是谁，如图a可以看到当前五个角色的owner还是PDC下面就开始强制夺取吧。4.下面我们就通过运行命令：ntdsutiltools强制将fsmo角色传递到DCB（额外域控制器）上首先在DCB上打开命令提示

22、符，输入ntdsutil;及ntdsutil?查看相关的命令5.看到关于ntdsutil的很多命令，使用管理NTDSlf色所有者的令牌，因为要将DCA上得角色传递到DCBi面，所以通过运行roles命令进行相关的操作，输入roles命令后再次敲打？号查看有哪些相关的操作。6.我们通过？号查看到很多得先关命令，我们这会明白，首先要通过connetions命令连接到我的DCBserver上，然后再通过命令强制将角色传递到该服务器。7.命令提示符下输入connections回车，再输入connecttoserverBDC（备注：这里的BDC是额外指服务器名称）,提示绑定成功后，输入q退出，如图：T”

23、，1”丁/*bnIwI>>I卜IdEOOiTl；MX嬴*f卜双忸旭白：:sJSmc4iwmte.»><<£早:t孑n/汇1141d-iFii.iE七扁口d1ntvJ4-ULtUi1*BW>7WK7papsiininptitLIIbhhIaye”/ntdzu.billvo!la#UdHCU4bJWI>U!«：CUFMIHE1.1419:i>金匹亡-Q仲:匚口口九史正£Zd修土曰SrilM-鸵定到Mb.解饕索的用户的凭近。Me.wvv-wcPifHHnt-ior*5s口£nu«it!4-8.

24、1. 入？号，来查看相关的操作命令，之前用了Transger进彳ffsmo的角色传递；下面需要使用Seize命令来执行fsmo的角色传递强制夺取，前提是两个域控制器之间完全没有通信。9.分别输入：Seizeinfrastructuremaster回车Seizenamingmaster回车SeizePDC回车SeizeRIDmaster回车Seizeschemamaster回车10.以下的命令在接下来输入完成后都会出现确认要占用角色，选择是，然后接着一条一条完成既可，因为主域PD5在线，结构角色会夺取到BDCk所以在夺取时会有这个出错信息。如图：E®S.，金Sj-SuitwiLfE&#

25、171;tzint.izc.；fSMMinfcKUAlicV-:写wir-aJjiit<ikanue-fAmllllflhF：hii-K；T"口o雷噩/SEF文ItlH-i;mFhi4flflttlf£«-ltiittRrntl-mtabgpa-t量；THOuitK电if用infncitl«rBflIDBifML'B3nrfPM/t首£ei«PiCIein101nulwfiflirflH<ih»FWirwntarSelectcc«rtlttn3M匕TrmfiQirli窿ftT*：WiiHtif|

26、id*：i4ifTiM>nrfif«rnatfirIPDCTiMoeferMB1T141巾步国/自丁唯产KM>NJjlLObrfNL-a"_二TI-4引一士rj-ij-i?-，ILi®=厨£匹IJrLLnlr匚LIEFL堂7毛仃于至于年FHE啦Ifr构rlR架第,口刃力力-ft息息器罟黑器'工；-?-.日:久融一之二M-rMnlMEF,帕朋用中限K<:.一二:.:_匚.L-.-F_?，?Ti-n-tfM-rTriiiiTflirTFn“srfrenTfT>存LkfPActFtactuH-nml«rRMl”Hdii

27、XlirFDCRIV1wctericbwiifl!；”rMumlfltBMJH«=:ei:eudiwtnja!tnr«mstc-r亶涉f匕35®寐£KH-tnmAK多名主机-E/nag*rtlrwt.C®i*UIC-I«3KCIMTK;.RMfjnilFiQMFAtin«.DC4-KUCH*唯才mt皿AtEs.t<«n>liwTAtw.DC-ttqt.K等电-CM-HTISEcttiAgrs.CH-TEI39.LN-ClMIIWFJitltll.Dt-tE5t.lCliRl1湛1,*可T、的HR冬必的L

28、0力B!DO*542泉*哂皿哂rn*h-Bmi,ZT;E:tit,3tETTsfiar上；g.'DT=t*ct.TC=rgI占1)，ii.ii：.hi-JU回hllCn-KIti>件品TMT削-帕KiL«N4MlMt.CN=Cn*ff4僧iInn.lKaK=c«m结构-IKfactln,(W=im-KBvaiAiw«ii,CN=nKfd*ltHPiwt-Elt»-lkMva4ilt一.f'MI!>'IEn»(iThf!-iim,F，mKiurtisvnferse-iehjmsihiwister蓝箕费麓或.,咫

29、占靠飞,7.热番青昊5作用工的-W-miKtinss-ffl-TKI-fii-rt-»itr-Hfl-*-CH-Sit是IO4-Q*BfifqlfdlVCbIa«trPC-C-CM命名主机-qtwhPQi=TBn-iM3.<w=s«Ntirai*fefmk-f-Eit*£ir<3i-GiMrifJfUNtUMiriK=t«-frtPl£=>CMPte-CWHIMtttf,CW-Ti£T-«Ct.ai,CHk-Flril-fi114-HmvIts3,CH-Cd*rdani,Krtc±trB

30、C-caniMA-OWITIESeceljBrn-rm-«a,ai4£TveM.I3MefJ!Ule-Pb4t-&aL»-N4«rCM<lteI.CN<ia*liw«ition.JKtflft,Xy*门生构一OHmHnttjji?E>a4-TE£I-IKE.QP&trverc.0»«Jult-Fint-%itc-lhwF.CH-SitCM-Cvafigvr-ai.I”.BC"trct8一gFC>NkVMi»"RMl£Wl«*l

31、Et-*GE+"!l-igiiirA(*.IK-C-MFW；-ETTES#*tin>f>9>«Oli-TE¥r-niMil;-Fir+t-i：J*euM-3!<：?i何=*i淤*r,TLHi¥-JtAI：r-i-iiwPit-EFTDC¥ettlOfi4.4>l-TESr-Ktlffl-mii,Q«-SFMlt-f1ir*t-«»!r-BlM#aCH-Bltori,CM-4(i»f1-fpriFH-CLilliDd-IrK.-hllM区构-bMBSEotvlJWi.ai&qu

32、ot;TBTHKVa“1axMafarFlyuEiQii.ECm.BC7”.而、-fi-la-t卜£i"工桔fMl*mK青工专作带-91HHTMSftff,.«-TIXT-«flIHtoMkhh_CN-Hrlr-PIacCIv»-Hhw£OPIIf“,E"C*»FIgm*lg.iKft.K>y塞主姐-OI-MTM*Hi*AllRT-Mr6re卤M,CM,rm«+3i9T：n/4IW.K-EitnM1aBpt>n旃m*14*4K-te4tM.七eFK-EWVWS4Zfa1441sWnFlJKBQ

33、FEEMCMfXlK-Tn.lwMHIWfe-inn：*tCr<”*DCfmPit-Ofl4ffMtotlifi.Wnr°n.«44mr«.QHfrfnlFlnC-«flCt>«filMtat.«Mlt4西.CN«*fi-vurdvfon_tCr曾,DC.口a*陪构-6丽幽H>iR.<M-TeST-KB.WI*r«vM.'ai-49-r<Mill：-?ln>C-41lv-ifam.'CN'tiCFu»1电UfTiQ4.DC"«

34、!*K*,G悬r-PO11.以上命令全部完成以后，已将fsmo角色全部传递到BDC上了，我们按Q退出，检查一下是否全部抢夺成功，开始程序-运行-输入netdomqueryfsmo,如图：现在五个角色的owner都是BDC了12.还要把全局编录转移到BDCk,这些步骤和上面的操作方法一样的就我这里就不在写了五、FSMOt色介绍：1架构主机(Schemamaster)架构主机角色是林范围的角色，每个林一个。此角色用于扩展ActiveDirectory林的架构或运行adprep/domainprep命令。2域命名主机(Domainnamingmaster)一域命名主机角色是林范围的角色，每个林一个。

35、此角色用于向林中添加或从林中删除域或应用程序分区。3RID主机(RIDmaster)RID主机角色是域范围的角色，每个域一个。此角色用于分配RID池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。4结构主机(Infrastructuremaster)结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行adprep/forestprep命令，以及更新跨域引用的对象的SID属性和可分辨名称属性。5PDC模拟器(PDCemulator)PDC模拟器角色是域范围的角色，每个域一个。将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。此外，拥

36、有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。六、AD数据库出错解决方法：现在我们删除已损坏DC的信息，对于网络中DC1损坏，虽然经过以上的FSM说色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示解决办法：以下内容来自微软KB216498;域控制器降级失败后如何删除ActiveDirectory中的数据本文介绍在域控制器降级失败后，如何删除ActiveDirectory中的数据。警告：如果使用“ADSI编辑”管理单元、LDP实用工具或任何其他LDAP版本3客户端，并且不恰当地修改了ActiveDirectory对象

37、的属性，则可能造成严重问题。要解决这些问题，您可能需要重新安装MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安装。Microsoft不保证能够解决因为ActiveDirectory对象属性修改不当而导致的问题。修改这些属性需要您自担风险。ActiveDirectory安装向导(Dcpromo.exe)用于将服务器提升为域控制器，以及将域控制器降级为成员服务器(或者在该域控制

38、器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器)。作为降级过程的一部分，此向导会将该域控制器的配置数据从ActiveDirectory中删除。此数据的形式是“NTDS设置"对象，在"ActiveDirectory站点和服务"中作为服务器对象的一个子对象存在。该信息位于ActiveDirectory中的以下位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>.“NTDS设置”对

39、象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。如果未正确删除“NTDS设置”对象(例如，未从降级尝试中正确删除“NTDS设置”对象)，管理员可以使用Ntdsutil.exe实用工具手动删除“NTDS设置”对象。以下步骤列出了在特定域控制器的ActiveDirectory中删除“NTDS设置”对象的过程。在每个Ntdsutil菜单上，管理员可以键入he

40、lp以了解有关可用选项的更多信息。飞回到顶端WindowsServer2003ServicePack1(SP1)-Ntdsutil.exe的增强版本WindowsServer2003ServicePack1中包含的Ntdsutil.exe版本已经过增强，可使元数据清除过程更加彻底。在运行元数据清除时，SP1中包含的Ntdsutil.exe将执行下列操作：删除“NTDS破置”或“NTDS设置”主题。删除现有目标DC用于从要删除的源DC复制数据的入站AD连接对象。删除计算机帐户。删除FRS成员对象。删除FRS订阅者对象。尝试获取由要删除的DC所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSM

41、O警告：在手动删除任彳服务器的“NTDS设置”对象之前，管理员还必须确保在降级之后已进行了复制。Ntdsutil实用工具使用不当可能导致ActiveDirectory功能部分或全部丧失。回到顶端过程1:仅限WindowsServer2003SP1单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。在命令提示符处，键入ntdsutil,然后按Enter。键入metadatacleanup,然后按Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。键入connections,然后按Enter。此菜单用于连接将发生这些更改的具体服务器。如果

42、当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入setcredsDomainNameUserNamePassword后按Enter。如果密码为空，则键入null作为密码参数。键入connecttoserverservername,然后按Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤15提到的服务器时，将显示以下错误消息：错误2094。不能删除DSA对象。0x2094键入quit,然后按Enter。将

43、出现“清除元数据”菜单。键入selectoperationtarget,然后按Enter。键入listdomains,然后按Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。键入selectdomainnumber然后按Enter；其中number是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。键入listsites,然后按Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。键入selectsitenumber;然后按Enter；其中number是与要删除的服务器所属站点相关联的编号。将出现一条确认

44、消息，其中列出了所选的站点和域。键入listserversinsite,然后按Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。键入selectservernumber其中number是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。键入quit,然后按Enter。将出现“清除元数据”菜单。键入removeselectedserver,然后按Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息，则说明“NTDS设置”对象可能已从ActiveDirecto

45、ry中删除，原因可能是其他管理员删除了该“NTDS设置”对象，或者在运行DCPROM侯用工具成功删除该对象后又执行了一次此操作。错误8419(0X20E3)找不到DSA对象注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。键入quit,然后在每个菜单上按Enter,退出Ntdsutil实用工具。将出现一条确认消息，说明连接已成功断开。在DNS的_msdcs.<目录林的根域>区域中删除cname记录。假定要重新安装并重新提升DC,将创建一个新的“NTDS设置”对象，它将具有新的GUID并在DNS中拥有一

46、个匹配的cname记录。您不希望现有DC使用旧的cname记录。最佳做法是删除主机名和其他DNS记录。如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间，另一个客户端即可获得问题DC的IP地址。在DNS控制台中，使用DNSMMC删除DNS中的A记录。A记录也称为“主机”记录。要删除A记录，请右键单击A记录，然后单击"删除"。另外，请删除_msdcs容器中的cname记录。为此，请展开"_msdcS'容器，右键单击"cnam3,然后单击“删除”。重要说明：如果这是一台DNS服务器，请在“名称服务器”选项卡下删除对该DC的引

47、用。为此，在DNS控制台中，在“正向查找区域”下单击该域名，然后从“名称服务器”选项卡中删除该服务器。注意：如果有反向查找区域，也要将服务器从这些区域中删除。如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用ADSIEdit删除该子域的trustDomain对象。为此，请按照下列步骤操作：单击“开始”，单击“运行”，键入adsiedit.msc,然后单击“确定”。展开“域NC容器。展开“DC=您的域，DC=COM,PRI,LOCAL,NET'。展开"CN=Systerfi。右键单击“TrustDomain”对象，然后单击“删除”。使用“ActiveDire

48、ctory站点和服务”删除域控制器。为此，请按照下列步骤操作：启动"ActiveDirectory站点和服务”。展开“站点”。展开服务器的站点。默认站点为"Default-First-Site-Name。展开“服务器”。右键单击域控制器，然后单击“删除”。电回到顶端过程2:Windows2000(所有版本)、WindowsServer2003RTM单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。在命令提示符处，键入ntdsutil,然后按Enter。键入metadatacleanup,然后按Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除

49、之前还必须指定另外一些配置参数。键入connections,然后按Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，则可以在建立连接之前指定要使用的替代凭据。为此，请键入setcredsDomainNameUserNamePasswo然后按Enter。如果密码为空，则键入null作为密码参数。键入connecttoserverservername,然后按Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除

50、步骤15提到的服务器时，将显示以下错误消息：错误2094。不能删除DSA对象。0x2094键入quit,然后按Enter。将出现“清除元数据”菜单。键入selectoperationtarget,然后按Enter。键入listdomains,然后按Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。键入selectdomainnumber然后按Enter；其中number是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。键入listsites,然后按Enter。将显示一个站点列表，每个站点都有一个关联的编号。键入se

51、lectsitenumber;然后按Enter；其中number是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。键入listserversinsite,然后按Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。键入selectservernumber其中number是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。键入quit,然后按Enter。将出现“清除元数据”菜单。键入removeselectedserver,然后按Enter。将

52、出现一条确认消息，说明删除成功完成。如果出现以下错误消息：错误8419(0X20E3)找不到DSA对象则说明“NTDS设置”对象可能已从ActiveDirectory中删除，原因可能是其他管理员删除了该“NTDS设置”对象，或者在运行Dcpromo实用工具成功删除该对象后又执行了一次此操作。注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。在每个菜单中键入quit,退出Ntdsutil实用工具。将出现一条确认消息，说明连接已成功断开。在DNS的_msdcs.<目录林的根域>区域中删除cname记录。假

53、定要重新安装并重新提升DC,将创建一个新的“NTDS设置”对象，它将具有新的GUID并在DNS中拥有一个匹配的cname记录。您不希望现有DC使用旧的cname记录。最佳做法是删除主机名和其他DNS记录。如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间，另一个客户端即可获得问题DC的IP地址。既然“NTDS设置”对象已删除，因此可以删除计算机帐户、FRS成员对象、_msdcs容器中的cname(或别名)记录、DNS中的A(或主机)记录、已删除的子域的trustDomain对象以及域控制器。注意：在WindowsServer2003RTM中不需要手动删除FRS成员对象

54、，因为在您运行Ntdsutil.exe实用工具时，它已经删除了FRS成员对象。另外，如果DC的计算机帐户包含其他页对象，则无法删除该计算机帐户的元数据。例如，DC上可能安装了远程安装服务(RIS)。Windows2000Server和WindowsServer2003的Windows支持工具功能中都附带有Adsiedit实用工具。要安装Windows支持工具，请按照下列步骤操作：Windows2000Server:在Windows2000ServerCD上，打开SupportT001s文件夹，双击"Setup.exe”,然后按照屏幕上的说明操作。WindowsServer2003:在

55、WindowsServer2003CD上，打开SupportTools文件夹，双击"Suptools.msi",单击"安装”，然后按照Windows支持工具安装向导中的步骤操作以完成安装。使用ADSIEdit删除计算机帐户。为此，请按照下列步骤操作：单击“开始”，单击“运行”，在“打开”框中键入adsiedit.msc,然后单击“确定”。展开“域NC容器。展开“DC=您的域名>,DC=COM,PRI,LOCAL,NET'。展开"OU=DomainControllers”。右键单击"CN=域控制器名>”，然后单击“删除”。如果在试图删除DSA对象时出现“不能删除DSA对象”错误消息，请更改UserAccountControl值。要更改UserAccountControl值，请在ADSIEdit中右键单击该域控制器，然后单击“属性”。在“选择一个要查看的属性”下，单击“UserAccountControl”。单击“清除”，将该值更改为4096,然后单击“设置”。现在您可以删除