活动目录降级失败后的操作方法

 1<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...   
 2  
 3“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的名称上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。   
 4  
 5如果未正确删除“NTDS 设置”对象（例如，未从降级尝试中正确删除“NTDS 设置”对象），管理员可以使用 Ntdsutil.exe 实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个 Ntdsutil 菜单上，管理员可以键入 help 以了解有关可用选项的更多信息。   
 6  
 7警告：在手动删除任何服务器的“NTDS 设置”对象之前，管理员还必须确保在降级之后已进行了复制。Ntdsutil 实用工具使用不当可能会导致 Active Directory 功能部分或全部丧失。   
 8  
 9单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。   
10在命令提示符下，键入 ntdsutil，然后按 Enter 键。   
11键入 metadata cleanup，然后按 Enter 键。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。   
12键入 connections，然后按 Enter 键。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds domain nameusernamepassword，然后按 Enter 键。如果密码为空，则键入 null 作为密码参数。   
13键入 connect to server servername，然后按 Enter 键。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据是否有该服务器的管理权限。   
14  
15注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除第 15 步提到的服务器时，将显示以下错误信息：   
16  
17Error 2094. The DSA Object cannot be deleted0x2094   
18键入 quit，然后按 Enter 键。将出现清除元数据菜单。   
19键入 select operation target，然后按 Enter 键。   
20键入 list domains，然后按 Enter 键。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。   
21键入 select domain number，然后按 Enter 键；其中 number 是与要删除的域相关联的编号。您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。   
22键入 list sites，然后按 Enter 键。将显示一个站点列表，每个站点都有一个关联的编号。   
23键入 select site number，然后按 Enter 键；其中 number 是与要删除的域相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。   
24键入 list servers in site，然后按 Enter 键。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。   
25键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中列出所选的服务器、该服务器的域名服务器 (DNS) 主机名，以及要删除的服务器的计算机帐户的位置。   
26键入 quit，然后按 Enter 键。将出现清除元数据菜单。   
27键入 remove selected server，然后按 Enter 键。将出现一条确认消息，说明删除成功。如果出现以下错误信息：   
28  
29Error 8419 (0x20E3)   
30The DSA object could not be found   
31则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因是其他管理员删除了该“NTDS 设置”对象，或在运行 DCPROMO 实用工具成功删除对象后再执行一次此操作。   
32  
33注意：尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 必须绑定到要用 metadata cleanup 删除的域控制器以外的其他域控制器。   
34在每个菜单中键入 quit，退出 NTDSUTIL 实用工具。将出现一条确认消息，说明连接已成功断开。   
35在 DNS 的 _msdcs.root domain of forest 区域中删除 cname 记录。假定要重新安装并重新提升 DC，因此使用新的 GUID 和 DNS 中匹配的 cname 记录来创建新的 NTDS 设置对象。您不会希望现有 DC 使用旧的 cname 记录。   
36  
37最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。   
38既然“NTDS 设置”对象已删除，因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname（或别名）记录、DNS 中的 A（或主机）记录、已删除的子域的 trustDomain 对象以及域控制器。   
39使用 ADSIEdit 删除计算机帐户。为此，请按照下列步骤操作：   
40启动 ADSIEdit。   
41展开“域 NC”容器。   
42展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。   
43展开“OU=Domain Controllers”。   
44右键单击“CN=domain controller name”，然后单击“删除”。   
45如果在试图删除对象时出现“DSA object cannot be deleted”错误，请更改 UserAccountControl 值。若要更改 UserAccountControl 值，请在 ADSIEdit 中右键单击该域控制器，然后单击“属性”。在“请选择要查看的属性”下面，单击“UserAccountControl”。单击“清除”，将该值更改为 4096，然后单击“设置”。现在您可以删除该对象了。   
46  
47注意：删除计算机对象时，也将删除 FRS 订户对象，因为它是计算机帐户的子对象。   
48使用 ADSIEdit 删除 FRS 成员对象。为此，请按照下列步骤操作：   
49启动 ADSIEdit。   
50展开“域 NC”容器。   
51展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。   
52展开“CN=System”。   
53展开“CN=File Replication Service”。   
54展开“CN=Domain System Volume (SYSVOL share)”。   
55右键单击要删除的域控制器，然后单击删除。   
56在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。若要删除 A 记录，请右键单击 A 记录，然后单击“删除”。还要删除“_msdcs”容器中的 cname（也称为“别名”）记录。为此，请展开“_msdcs”容器，右键单击 cname，然后单击“删除”。   
57  
58重要说明：如果这是一台 DNS 服务器，请在名称服务器选项卡中删除对该 DC 的引用。为此，在 DNS 控制台中，在正向搜索区域下面单击该域名，然后从名称服务器选项卡中删除该服务器。   
59  
60注意：如果有反向搜索区域，也要将服务器从这些区域中删除。   
61如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：   
62启动 ADSIEdit。   
63展开“域 NC”容器。   
64展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。   
65展开“CN=System”。   
66右键单击“Trust Domain”对象，然后单击“删除”。   
67使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：   
68启动“Active Directory 站点和服务”。   
69展开“站点”。   
70展开服务器的站点。默认站点为“Default-First-Site-Name”。   
71展开“服务器”。   
72右键单击域控制器，然后单击删除。</domain></sitename></servername>