最全面的额外域控制升级为主域控制器试验方法

1、额外域限制升级为主域限制器实验实验环境：域名为test 原主域限制器System:windows20003ServerFQDN:PDC.test IP:192.168.10.100Mask:255.255.255.0DNS:192.168.10.1二、实验目的：辅助域限制器System:windows2003ServerFQDNBDC.test IP:192.168.10.101Mask:255.255.255.0DNS:192.168.10.1在主域才$制器PDC出现故障的时候通过提升辅域限制器BDC为主域限制,从而不影响所有依靠AD的效劳.一般公司部署两台ADserver来维持正常运行,一

2、台为主域限制器,另外一台为额外域限制器,如果主ADserver损坏可通过额外的域限制器来维持环境正常运行,如果之前没有通过备份,同时AD由于硬件设备而导致不能正常工作,这个时候我们就需要将额外的域限制器提升为主AD3、 以下介绍三种额外域提升为主域方法一当主域正常运行时,如何将额外域限制器提升为主域限制器命令行界面二当主域正常运行时,如何将额外域限制器提升为主域限制器图形化界面三当主域永久DOW机时,如何将额外的域限制器提升为主域限制器抢夺角色4、 实验步骤：一当主域正常运行时,如何将额外域限制器提升为主域限制器命令行界面1 .安装域限制器.第一台域限制器的安装我这里就不在说明了,但要注意一点

3、的是,两台域控器都要安装DNS1件.在第一台域限制安装好后,下面开始安装第二台域限制器BDC,首先将要提升为辅助域限制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并参加到现有域,参加域后以域治理员的身份登陆,开始进行安装第二台域限制器.2 .以域治理员身份登陆要提升为辅助域限制器的计算机,点【开始】-【运行】在运行里输入dcpromo翻开活动目录安装向导,.点两个【下一步】,翻开如图.3 .这里由于是安装第二台域限制器,所以选择【现有域的额外域限制器】,点【下一步】.如图4 .这里输入你的域治理员的用户名和密码,点【下一步】.如图：5 .这里提示你的这台域限制将成为哪个域的额外域限

4、制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图：6.几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了此时在活动目录用户和计算机的域限制器里已经有两台域限制了,如图：test 域的辅助域限制了DgmainControllersDomainControllers2个对象名称耀I辘sSc计宜就图TDC计算机MtiweDie艮口ry用户和i+篁机.tJ_|俣存的查何Tuptfest ：+：LJBuiltiii田Cfomputers出FtreignSecnrityfrincipk,朗user由Vstrs7.

5、再查看一下FSMO五种主控角色的owner,安装WindowsServer安装光盘中的Support目录下的supporttools工具,然后翻开提示符输入：netdomqueryfsmo以输出FSMO勺owner,如图:CvaMuidTrm>tC-Iplit17卧,l(olEr>netdli«qui&Ky;f&nuPOCzgiUMnDomLiA下01*电产FDC.tBVr3m靠FJDCmleFDC.Lest-cunHTO厘n1.rwinmerPDC!.t壮事E.tnnInfrastr-uctur-BPDC.test.conTlivvumndiiHg那么i

6、iw的C二Pew±"eUhFLitWuLppOFtToulQ.重点环节8.现在五个角色的woner都是PDG现在需要把这个五个角色转移到BDC±,使BDC成为owner.9.现在登陆PDC主域限制器翻开命令提示符,输入ntdsutil;及ntdsutil?查看相关的命令；由于要更改角色的所有者,所以运行roles命令10.命令提示符下再输入：roles回车,输入connections回车,再输入connecttoserverBDC备注：这里的BDd额外指效劳器名称,提示绑定成功后,输入q退出,如图：erverco-nBE&tiDns"<oT

7、*8flH7R057此幡li*Liiijilt-IIkI&ynt4Xl版urtihrobjndStttifijeaJMjdnJrimut11itdttnllsMieAh-H.-riA苴酰后息ira券件即洋翻舞常懿萨'霸三工林恃产ar,ntMftt/f<-t.TtHMtSxyMcb3£1匚上士-ilCzitilHicMUfifrWiMausF萌军5.I.37M1<C)M*.于91懂JAft3Kkraft%.修#11M中Ch*Bq|TBE.,E'i<4icco-UMtSck忖/i1,口0*.hlitifn«晦Fiiev“Flfai!*H

8、rlli-hitlif-lilli1i|pKirriilllflLMvlpIPftIMPpvlicuxLMF*dL16-1ThflC-M-C“1,痴】.|Mtqd冏ca£le-AnuipIT.|4fiHXMhrtlfmW-l!4Fvpaipcl>ffFapupsori心1叶口EvfrGiSy44*£*LhH«.ItaW修国i*目口*<204*鼻InstART44Mh,二七.靛身存用.,11r用力魏馥-考赞»LW数晤隹京件-审理3P蝴邮-苑.DLDL荚同唱.LDM高口,-啦i夜计蝙耨的出班山心.1也-Tflfc1MC用芭谷片-第母毛使用璘覆鼻器

9、地对象管曜自塞分成NAJrl11 .命令提示符下输入号,可以查看到通过使用Transfer命令做相关的5个角色的传递12 .然后分别输入：Transferinfrastructuremaster回车Transfernamingmaster回车TransferPDC回车TransferRIDmaster回车Transferschemamaster回车13 .以下的命令在输入完成一条后都会有提示是否传送角色到新的效劳器,选择YES,如图：然后接着一条一条完成既可,完成以上按Q退出界面.ViHMTVll«ri4M«lpIfcKEHrat.uuuu七rMin*aiHHik户密封$H

10、dPEhf*血FnrlLkJtrixHtilCri>>i.l“工lB；Jlrt11Jrjplpsaru4flliH4-aiM*hiiHt/圭h*0EhkFbJCPFiF<urrr.rrr.nLHknirbr.>lh.rrr口连己3已bmmtirrf-Btab*90Enalyqit工tKHNFiunuard*Eml.*Fir«4crvDVLiirA岫立t'tvixHniHKiBTnuctair*2FK$«mR3Diwct.frt.NE.lwiMPWB.*.*t/1*%+常Lithhxfar11r*z±riLKtuiMin&Kt

11、Jilr«P*fvrriMifliR«K«rIr4PffarFKlrwi>xftfr-,1.PMtilnrVAF+fitrAn向,*日.a+jih11).上一件二；：；,r这E哥百一Je,¥用王中.岸屯小扪加雪s唾号K*K*_#*守w:启品方交黑笠白ezl四*毡；«4niin6<ei*n>VW«rE-W1BEI.1-DHXI£.!»<t.(黑田'/:七怔连接iNIFvflP-iiitAHNgldiQHii彳CtiBBg-<*1旬口4ultRfI11rfrildMtlAiAAhf

12、£ixaTdxtme晒*TME-L1*Hit|MJ-t«vUhMii工haiNihm3*01匕figTrAaxfvNtivulnTn-«A4lHr-infr>iiqTIl-MdfJSCTahM-3!*WTf*肝肝3i学力-小心卡蚪议31里awrtE片田*1由WfHCHlI-.二.4I5£箱IT,!的nrwwi»l-«ndLB44Jtr«n3i*rdiWMirtirifRd-t+r14 .这五个步骤完成以后,检查一下是否全部转移到BDC上了,开始>程序->运行->命令提示符下输入netdomqueryf

13、smo如图：现在五个角色的owner都是BDC专移成功.工-ulJRM：«tAt nE.trsr.e«nF®CroIeRDG.tnt.conRIDi»#lnnnngcr皆DC.test.cflftInftruetvrtwfflier,曲件rniwnnirteiinp-letfrilsuic-csseIFuI15 .角色转移成功以后,还要把GCfe转移过去,翻开活动目录站点和效劳,展开site->default-first-site-name->servers,你会看到两台域限制器都在下面.展开BDC右击【NTDSSettings】点【属性】,

14、勾上全局编录前面的勾,点确定,如图：16 .然后展开PDC右击【NTDSSettings】点【属性】,去掉全局编录前面的勾.如图：这样全局编录也转到BDC上去了,致此主域限制器已经变成BDC了.而PDCt成了辅助域限制器了中HciViU；E口WBdWLTLrxirSLi1一I-CUmi"iiMl口四#Ifiir:mil'fa*-_Jtii-Lar-Jfilitj-uisr卜J5fMLcLLn-3T>+FiisJ1-<hr«h-5itr-JMK明目川±1*1-_|EaTfuEliarf-_|5d»iLr士置捌a17 .现在已经可以把原来

15、的主域限制器PDQ删除掉了,在PDC现在的辅助域限制器上运行dcpromo根据提示一步一步的删除它,然后将它退出域.就完成了整个升级过程.这里还有一点要注要的：升级完以后,你现在的主域限制器的IP地址是新的,而不是原来的那个IP地址了,而下面所有的客户端的DNStB是指向原来的主域限制器的,这样就会出现很多找不到域限制器的问题,所以我最简单的方法就是把BDC现在的主域才$制器的IP改为PDC原来的主域才$制器的IP就好To注：2003系统和2021R2系统安装AD域限制器和提升角色方法都一样,唯一不同的是2021R系统提升角色时不需要操作第15-16步骤,主域正常启动时与额外域处于转移角色关系

16、,netdomqueryfsmo查看角色转移成功后G5口上全局编录已自动更新为额外域无需在手动去操作.命令行方式提升角色方法结束8二当主域正常运行时,如何将额外域限制器提升为主域限制器图形化界面1 .一种图形界面,一种命令行；有两种有什么区别么呢,用图形界面能操作的命令行都能操作,当用命令行能操作的图形不一定能操作,命令稍带优势；在操作fsmo角色传递时图形界面会报错,而通过命令操作一下就过了,大家把两个方式务必记住.详细实例见下：2 .额外域运行"regsvr32.exeschmmgmt.dll来注册动态链接库,由于架构主机重要特殊,并没有预先设置的工具,所以必须通过注册动态链接库

17、来翻开.3 .运行MMCC具翻开限制台来添加Activedirectory架构窗口4.右击ActiveDirectory-更改域限制器一操作主机一更改一确定*1&一!向慢屿退三点mmdn-l事耳件中接作Htil基磋丈如古口2却电皿5 .RID主机角色的传递：运行dsa.msc翻开窗口,右击ActiveDirctory选择操作主机,选择RID标签单机更改然后确定6 .PDC主机角色的传递：选择PD的签单机更改然后确定7 .根底结构主机角色的传递：选择根底结构标签更改然后确定8 .域命名主机的彳递：运行domain.msc窗口,右击ActiveDirctory选择操作主机,选择更改然后确定

18、图形化界面方式提升角色方法结束8nC/nvRBKrCMVCINIBK.twt.c：o*Fl1看小TwI)餐sV»prMh4ta|a帆'木*卜事*津|ll*ri!l*Hlui!nvr«wZEII*1iLmaPri*jPdLfejaNkl-IMhilfaisrt»nFlU*3M.Hh.k.Hiti'gBit'Li'rkMii,nLMFxLkUj.IMFMofi>>I-1BEI*Aaa-.IhciII">hrl<La«iupPAPIMl1,SMK-BU4KMI0向骐“RiAie!t*diFi.+

19、wRfr-*Ri-«+印装sr多卡百皿ma15空址上W6MI*51L1I',B|门由|叽|371.甲4>也产Id目一尊器s*-J二二FMtII巨旦KunFap.工一*匕I,4.,/mhldwitl?-明口千弘StL为ADLKMl坳渣SILAQ.nidiwi：ilI£«：ti«MMpaIxxuirinxLive.tunMiz£«rKfI.fHiMjnivHehlJAHE-litltexL«rS>r1»MhfM3g白.电.LauI.vpar*ll«*tarvitlifMMvtnrInfHK

20、lKirlvripnaiIpr-IcMVM-rvr叼1*!-IrHtHFfKIt*-Fei-RIB“wUrMMdHi"igq-m1Ur三当主域永久DOW机时,如何将额外的域限制器提升为主域限制器抢夺角色1.前面写的是在PDC主域还生效的情况下进行BDC额外域升PDC主域步骤,而如果主域出现了问题时呢,比方说PDC勺硬件出问题了或者系统坏了的情况下我们就要提升BD8PDCT,下面来讲解在PDCB现故障后BD/口何提升为PDC2.额外域BDC上翻开AD用户和计算机,右击ActiveDirctory选择操作主机,此时在操作主机项显示的是错误不能使用“更改按钮,因此需要把BDCM改为操作主机

21、使用命令行模式进行强制夺取.版ZmfMmtr加4Mli-rak*uh«rJ'KkLt即I口|«41JIMII'd|firBnFiH<：tuirtbfVMl*QWpl4t9ds寓£修¥6(11+.3.在命令提示符下输入netdomqueryfsmo查看一下当前的五个前色的owner是谁,如图a可以看到当前五个角色的owner还是PDC下面就开始强制夺取吧.4.下面我们就通过运行命令：ntdsutiltools强制将fsmo角色传递到DCB额外域限制器上首先在DCB上翻开命令提示符,输入ntdsutil;及ntdsutil?查看相关的命

22、令5.看到关于ntdsutil的很多命令,使用治理NTDSlf色所有者的令牌,由于要将DCA上得角色传递到DCBi面,所以通过运行roles命令进行相关的操作,输入roles命令后再次敲打号查看有哪些相关的操作.6.我们通过号查看到很多得先关命令,我们这会明白,首先要通过connetions命令连接到我的DCBserver上,然后再通过命令强制将角色传递到该效劳器.7.命令提示符下输入connections回车,再输入connecttoserverBDC备注：这里的BDC是额外指效劳器名称,提示绑定成功后,输入q退出,如图：T,1丁/*bnIwI>>I卜IdEOOiTl；MX嬴*f

23、卜双忸旭白：:sJSmc4iwmte.»><<£早:t孑n/汇1141d-iFii.iE七扁口d1ntvJ4-ULtUi1*BW>7WK7papsiininptitLIIbhhIaye/ntdzu.billvo!la#UdHCU4bJWI>U!«：CUFMIHE1.1419:i>金匹亡-Q仲:匚口口九史正£Zd修土曰SrilM-鸵定到Mb.解饕索的用户的凭近.Me.wvv-wcPifHHnt-ior*5s口£nu«it!4-8.1. 入号,来查看相关的操作命令,之前用了Transger进彳ffsmo

24、的角色传递；下面需要使用Seize命令来执行fsmo的角色传递强制夺取,前提是两个域限制器之间完全没有通信.9.分别输入：Seizeinfrastructuremaster回车Seizenamingmaster回车SeizePDC回车SeizeRIDmaster回车Seizeschemamaster回车10.以下的命令在接下来输入完成后都会出现确认要占用角色,选择是,然后接着一条一条完成既可,由于主域PD5在线,结构角色会夺取到BDCk所以在夺取时会有这个出错信息.如图：E®S.,金Sj-SuitwiLfE«tzint.izc.；fSMMinfcKUAlicV-:写wir-

25、aJjiit<ikanue-fAmllllflhF：hii-K；T"口o雷噩/SEF文ItlH-i;mFhi4flflttlf£«-ltiittRrntl-mtabgpa-t量；THOuitK电if用infncitl«rBflIDBifML'B3nrfPM/t首£ei«PiCIein101nulwfiflirflH<ih»FWirwntarSelectcc«rtlttn3M匕TrmfiQirli窿ftT*：WiiHtif|id*：i4ifTiM>nrfif«rnatfirIPDC

26、TiMoeferMB1T141巾步国/自丁唯产KM>NJjlLObrfNL-a"_二TI-4引一士rj-ij-i?-,ILi®=厨£匹IJrLLnlr匚LIEFL堂7毛仃于至于年FHE啦Ifr构rlR架第,口刃力力-ft息息器罟黑器'工；-?-.日:久融一之二M-rMnlMEF,帕朋用中限K<:.一二:.:_匚.L-.-F_?,?Ti-n-tfM-rTriiiiTflirTFn“srfrenTfT>存LkfPActFtactuH-nml«rRMlHdiiXlirFDCRIV1wctericbwiifl!；rMumlfltBMJH

27、«=:ei:eudiwtnja!tnr«mstc-r亶涉f匕35®寐£KH-tnmAK多名主机-E/nag*rtlrwt.C®i*UIC-I«3KCIMTK;.RMfjnilFiQMFAtin«.DC4-KUCH*唯才mt皿AtEs.t<«n>liwTAtw.DC-ttqt.K等电-CM-HTISEcttiAgrs.CH-TEI39.LN-ClMIIWFJitltll.Dt-tE5t.lCliRl1湛1,*可T、的HR冬必的L0力B!DO*542泉*哂皿哂rn*h-Bmi,ZT;E:tit,3tETTs

28、fiar上；g.'DT=t*ct.TC=rgI占1),ii.ii：.hi-JU回hllCn-KIti>件品TMT削-帕KiL«N4MlMt =Cn*ff4僧iInn.lKaK=c«m结构-IKfactln,(W=im-KBvaiAiw«ii,CN=nKfd*ltHPiwt-Elt»-lkMva4ilt一.f'MI!>'IEn»(iThf!-iim,F,mKiurtisvnferse-iehjmsihiwister蓝箕费麓或.,咫占靠飞,7.热番青昊5作用工的-W-miKtinss-ffl-TKI-fii-rt

29、-»itr-Hfl-*-CH-Sit是IO4-Q*BfifqlfdlVCbIa«trPC-C-CM命名主机-qtwhPQi=TBn-iM3.<w=s«Ntirai*fefmk-f-Eit*£ir<3i-GiMrifJfUNtUMiriK=t«-frtPl£=>CMPte-CWHIMtttf,CW-Ti£T-«Ct.ai,CHk-Flril-fi114-HmvIts3,CH-Cd*rdani,Krtc±trBC-caniMA-OWITIESeceljBrn-rm-«a,ai4&#

30、163;TveM.I3MefJ!Ule-Pb4t-&aL»-N4«rCM<lteI <ia*liw«ition.JKtflft,Xy*门生构一OHmHnttjji?E>a4-TE£I-IKE.QP&trverc.0»«Jult-Fint-%itc-lhwF.CH-SitCM-Cvafigvr-ai.I.BC"trct8一gFC>NkVMi»"RMl£Wl«*lEt-*GE+"!l-igiiirA(*.IK-C-MFW；-ETTES#*t

31、in>f>9>«Oli-TE¥r-niMil;-Fir+t-i：J*euM-3!<：?i何=*i淤*r,TLHi¥-JtAI：r-i-iiwPit-EFTDC¥ettlOfi4.4>l-TESr-Ktlffl-mii,Q«-SFMlt-f1ir*t-«»!r-BlM#aCH-Bltori,CM-4(i»f1-fpriFH-CLilliDd-IrK.-hllM区构-bMBSEotvlJWi.ai"TBTHKVa“1axMafarFlyuEiQii.ECm.BC7.而、-fi-l

32、a-t卜£i"工桔fMl*mK青工专作带-91HHTMSftff,.«-TIXT-«flIHtoMkhh_CN-Hrlr-PIacCIv»-Hhw£OPIIf“,E"C*»FIgm*lg.iKft.K>y塞主姐-OI-MTM*Hi*AllRT-Mr6re卤M,CM,rm«+3i9T：n/4IW.K-EitnM1aBpt>n旃m*14*4K-te4tM.七eFK-EWVWS4Zfa1441sWnFlJKBQFEEMCMfXlK-Tn.lwMHIWfe-inn：*tCr<*DCfmPit-O

33、fl4ffMtotlifi.Wnr°n.«44mr«.QHfrfnlFlnC-«flCt>«filMtat.«Mlt4西 «*fi-vurdvfon_tCr曾,DC.口a*陪构-6丽幽H>iR.<M-TeST-KB.WI*r«vM.'ai-49-r<Mill：-?ln>C-41lv-ifam.'CN'tiCFu»1电UfTiQ4.DC"«!*K*,G悬r-PO11.以上命令全部完成以后,已将fsmo角色全部传递到BDC上了,我们按Q

34、退出,检查一下是否全部抢夺成功,开始程序-运行-输入netdomqueryfsmo,如图：现在五个角色的owner都是BDC了12.还要把全局编录转移到BDCk,这些步骤和上面的操作方法一样的就我这里就不在写了五、FSMOt色介绍：1架构主机(Schemamaster)架构主机角色是林范围的角色,每个林一个.此角色用于扩展ActiveDirectory林的架构或运行adprep/domainprep命令.2域命名主机(Domainnamingmaster)一域命名主机角色是林范围的角色,每个林一个.此角色用于向林中添加或从林中删除域或应用程序分区.3RID主机(RIDmaster)RID主机角

35、色是域范围的角色,每个域一个.此角色用于分配RID池,以便新的或现有的域限制器能够创立用户帐户、计算机帐户或平安组.4结构主机(Infrastructuremaster)结构主机角色是域范围的角色,每个域一个.此角色供域限制器使用,用于成功运行adprep/forestprep命令,以及更新跨域引用的对象的SID属性和可分辨名称属性.5PDC模拟器(PDCemulator)PDC模拟器角色是域范围的角色,每个域一个.将数据库更新发送到WindowsNT备份域限制器的域限制器需要具备这个角色.此外,拥有此角色的域限制器也是某些治理工具的目标,它还可以更新用户帐户密码和计算机帐户密码.六、AD数据

36、库出错解决方法：现在我们删除已损坏DC的信息,对于网络中DC1损坏,虽然经过以上的FSM说色夺取到DC2上后,整个域已可以正常使用.但在日志中,还是会有AD数据库复制信息出错的提示解决方法：以下内容来自微软KB216498; :/support.microsoft /kb/216498/域限制器降级失败后如何删除ActiveDirectory中的数据本文介绍在域限制器降级失败后,如何删除ActiveDirectory中的数据.警告：如果使用“ADSI编辑治理单元、LDP实用工具或任何其他LDAP版本3客户端,并且不恰当地修改了ActiveDirectory对象的属性,那么可能造成严重问题.要解

37、决这些问题,您可能需要重新安装MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安装.Microsoft不保证能够解决由于ActiveDirectory对象属性修改不当而导致的问题.修改这些属性需要您自担风险.ActiveDirectory安装向导(Dcpromo.exe)用于将效劳器提升为域限制器,以及将域限制器降级为成员效劳器(或者在该域限制器是域中的最后一个域限制器时,将

38、其降级为工作组中的独立效劳器).作为降级过程的一局部,此向导会将该域控制器的配置数据从ActiveDirectory中删除.此数据的形式是“NTDS设置"对象,在"ActiveDirectory站点和效劳"中作为效劳器对象的一个子对象存在.该信息位于ActiveDirectory中的以下位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>.“NTDS设置对象的属性包括：代表如何针对域限制器

39、的复制伙伴标识域限制器的数据、计算机中保存的命名上下文、域限制器是否为全局编录效劳器,以及默认查询策略.“NTDS设置对象也是一个容器,其中可以包含代表域限制器的直接复制伙伴的子对象.该数据是域限制器在环境中运行所必需的,但域限制器降级后就不再使用该数据了.如果未正确删除“NTDS设置对象(例如,未从降级尝试中正确删除“NTDS设置对象),治理员可以使用Ntdsutil.exe实用工具手动删除“NTDS设置对象.以下步骤列出了在特定域限制器的ActiveDirectory中删除“NTDS设置对象的过程.在每个Ntdsutil菜单上,治理员可以键入help以了解有关可用选项的更多信息.飞回到顶端

40、WindowsServer2003ServicePack1(SP1)-Ntdsutil.exe的增强版本WindowsServer2003ServicePack1中包含的Ntdsutil.exe版本已经过增强,可使元数据去除过程更加彻底.在运行元数据去除时,SP1中包含的Ntdsutil.exe将执行以下操作：删除“NTDS破置或“NTDS设置主题.删除现有目标DC用于从要删除的源DC复制数据的入站AD连接对象.删除计算机帐户.删除FRS成员对象.删除FRS订阅者对象.尝试获取由要删除的DC所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSMO警告：在手动删除任彳效劳器的“NTDS设置对象

41、之前,治理员还必须保证在降级之后已进行了复制.Ntdsutil实用工具使用不当可能导致ActiveDirectory功能局部或全部丧失.回到顶端过程1:仅限WindowsServer2003SP1单击“开始,指向“程序,指向“附件,然后单击“命令提示符.在命令提示符处,键入ntdsutil,然后按Enter.键入metadatacleanup,然后按Enter.根据所给出的选项,治理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数.键入connections,然后按Enter.此菜单用于连接将发生这些更改的具体效劳器.如果当前登录的用户没有治理权限,可以在建立连接之前指定要使用的

42、替代凭据.为此,请键入setcredsDomainNameUserNamePassword后按Enter.如果密码为空,那么键入null作为密码参数.键入connecttoserverservername,然后按Enter.然后出现一条确认消息,说明已成功建立该连接.如果出现错误,那么确认连接中所用的域限制器是否可用,以及您提供的凭据对该效劳器是否有治理权限.注意：如果尝试连接的效劳器正是要删除的效劳器,那么在尝试删除步骤15提到的效劳器时,将显示以下错误消息：错误2094.不能删除DSA对象.0x2094键入quit,然后按Enter.将出现“去除元数据菜单.键入selectoperatio

43、ntarget,然后按Enter.键入listdomains,然后按Enter.将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号.键入selectdomainnumber然后按Enter；其中number是与要删除的效劳器所属的域相关联的编号.您选择的域将用于确定要删除的效劳器是否为该域的最后一个域限制器.键入listsites,然后按Enter.将出现一个站点列表,其中每个站点都带有一个关联的编号.键入selectsitenumber;然后按Enter；其中number是与要删除的效劳器所属站点相关联的编号.将出现一条确认消息,其中列出了所选的站点和域.键入listserver

44、sinsite,然后按Enter.将显示一个列出站点中所有效劳器的列表,每个效劳器都有一个关联的编号.键入selectservernumber其中number是与要删除的效劳器关联的编号.将出现一条确认消息,其中会列出所选的服务器、该效劳器的域名系统(DNS)主机名以及要删除的效劳器的计算机帐户位置.键入quit,然后按Enter.将出现“去除元数据菜单.键入removeselectedserver,然后按Enter.将出现一条确认消息,说明删除成功完成.如果出现以下错误消息,那么说明“NTDS设置对象可能已从ActiveDirectory中删除,原因可能是其他治理员删除了该“NTDS设置对象

45、,或者在运行DCPROM侯用工具成功删除该对象后又执行了一次此操作.错误8419(0X20E3)找不到DSA对象注意：当您尝试绑定到要删除的域限制器时,也可能会出现此错误.Ntdsutil绑定到的域限制器不能是要通过去除元数据来删除的域限制器.键入quit,然后在每个菜单上按Enter,退出Ntdsutil实用工具.将出现一条确认消息,说明连接已成功断开.在DNS的_msdcs.<目录林的根域>区域中删除cname记录.假定要重新安装并重新提升DC,将创立一个新的“NTDS设置对象,它将具有新的GUID并在DNS中拥有一个匹配的cname记录.您不希望现有DC使用旧的cname记录

46、.最正确做法是删除主机名和其他DNS记录.如果已超出为脱机效劳器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址.在DNS限制台中,使用DNSMMC删除DNS中的A记录.A记录也称为“主机记录.要删除A记录,请右键单击A记录,然后单击"删除".另外,请删除_msdcs容器中的cname记录.为此,请展开"_msdcS'容器,右键单击"cnam3,然后单击“删除.重要说明：如果这是一台DNS效劳器,请在“名称效劳器选项卡下删除对该DC的引用.为此,在DNS限制台中,在“正向查找区域下单击该域名,然后从“

47、名称效劳器选项卡中删除该效劳器.注意：如果有反向查找区域,也要将效劳器从这些区域中删除.如果删除的计算机是子域中的最后一个域限制器,而且该子域也已删除,请使用ADSIEdit删除该子域的trustDomain对象.为此,请根据以下步骤操作：单击“开始,单击“运行,键入adsiedit.msc,然后单击“确定.展开“域NC容器.展开“DC=您的域,DC=COM,PRI,LOCAL,NET'.展开"CN=Systerfi.右键单击“TrustDomain对象,然后单击“删除.使用“ActiveDirectory站点和效劳删除域限制器.为此,请根据以下步骤操作：启动"Ac

48、tiveDirectory站点和效劳.展开“站点.展开效劳器的站点.默认站点为"Default-First-Site-Name.展开“效劳器.右键单击域限制器,然后单击“删除.电回到顶端过程2:Windows2000(所有版本)、WindowsServer2003RTM单击“开始,指向“程序,指向“附件,然后单击“命令提示符.在命令提示符处,键入ntdsutil,然后按Enter.键入metadatacleanup,然后按Enter.根据所给出的选项,治理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数.键入connections,然后按Enter.此菜单用于连接将发生

49、这些更改的具体效劳器.如果当前登录的用户没有治理权限,那么可以在建立连接之前指定要使用的替代凭据.为此,请键入setcredsDomainNameUserNamePasswo然后按Enter.如果密码为空,那么键入null作为密码参数.键入connecttoserverservername,然后按Enter.然后出现一条确认消息,说明已成功建立该连接.如果出现错误,那么确认连接中所用的域限制器是否可用,以及您提供的凭据对该效劳器是否有治理权限.注意：如果尝试连接的效劳器正是要删除的效劳器,那么在尝试删除步骤15提到的效劳器时,将显示以下错误消息：错误2094.不能删除DSA对象.0x2094键

50、入quit,然后按Enter.将出现“去除元数据菜单.键入selectoperationtarget,然后按Enter.键入listdomains,然后按Enter.将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号.键入selectdomainnumber然后按Enter；其中number是与要删除的效劳器所属的域相关联的编号.您选择的域将用于确定要删除的效劳器是否为该域的最后一个域限制器.键入listsites,然后按Enter.将显示一个站点列表,每个站点都有一个关联的编号.键入selectsitenumber;然后按Enter；其中number是与要删除的效劳器所属站点相关

51、联的编号.将出现一条确认消息,其中列出了所选的站点和域.键入listserversinsite,然后按Enter.将显示一个列出站点中所有效劳器的列表,每个效劳器都有一个关联的编号.键入selectservernumber其中number是与要删除的效劳器关联的编号.将出现一条确认消息,其中会列出所选的服务器、该效劳器的域名系统(DNS)主机名以及要删除的效劳器的计算机帐户位置.键入quit,然后按Enter.将出现“去除元数据菜单.键入removeselectedserver,然后按Enter.将出现一条确认消息,说明删除成功完成.如果出现以下错误消息：错误8419(0X20E3)找不到DS

52、A对象那么说明“NTDS设置对象可能已从ActiveDirectory中删除,原因可能是其他治理员删除了该“NTDS设置对象,或者在运行Dcpromo实用工具成功删除该对象后又执行了一次此操作.注意：当您尝试绑定到要删除的域限制器时,也可能会出现此错误.Ntdsutil绑定到的域限制器不能是要通过去除元数据来删除的域限制器.在每个菜单中键入quit,退出Ntdsutil实用工具.将出现一条确认消息,说明连接已成功断开.在DNS的_msdcs.<目录林的根域>区域中删除cname记录.假定要重新安装并重新提升DC,将创立一个新的“NTDS设置对象,它将具有新的GUID并在DNS中拥有

53、一个匹配的cname记录.您不希望现有DC使用旧的cname记录.最正确做法是删除主机名和其他DNS记录.如果已超出为脱机效劳器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址.既然“NTDS设置对象已删除,因此可以删除计算机帐户、FRS成员对象、_msdcs容器中的cname(或别名)记录、DNS中的A(或主机)记录、已删除的子域的trustDomain对象以及域限制器.注意：在WindowsServer2003RTM中不需要手动删除FRS成员对象,由于在您运行Ntdsutil.exe实用工具时,它已经删除了FRS成员对象.另外,如果DC的计算机

54、帐户包含其他页对象,那么无法删除该计算机帐户的元数据.例如,DC上可能安装了远程安装效劳(RIS).Windows2000Server和WindowsServer2003的Windows支持工具功能中都附带有Adsiedit实用工具.要安装Windows支持工具,请根据以下步骤操作：Windows2000Server:在Windows2000ServerCD上,翻开SupportT001s文件夹,双击"Setup.exe,然后根据屏幕上的说明操作.WindowsServer2003:在WindowsServer2003CD上,翻开SupportTools文件夹,双击"Sup

55、tools.msi",单击"安装,然后根据Windows支持工具安装向导中的步骤操作以完成安装.使用ADSIEdit删除计算机帐户.为此,请根据以下步骤操作：单击“开始,单击“运行,在“翻开框中键入adsiedit.msc,然后单击“确定.展开“域NC容器.展开“DC=您的域名>,DC=COM,PRI,LOCAL,NET'.展开"OU=DomainControllers.右键单击"CN=域限制器名>,然后单击“删除.如果在试图删除DSA对象时出现“不能删除DSA对象错误消息,请更改UserAccountControl值.要更改UserAccountControl值,请在ADSIEdit中右键单击该域限制器,然后单击“属性.在“选择一个要查看的属性下,单击“UserAccountControl.单击“去除,将