域控制器的删除

1、 域控制器的删除6.2.3  正常删除域控制器示例【注意】无论是正常删除，还是强制删除，当域控制器上安装了"证书"服务时，不能删除域控制器，必须先卸载证书服务组件。另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。如果群集管理器也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称 /forcecleanup当不再需要某服务器担当域控制器角色，而需要该服务器成为网络中的一台普通成员服务器时，可以通过删除其中的活动目录来降级该域控制器成为成员服务器。这也就是通常所说

2、的域控制器删除。一般来说，可以通过正常运行Active Directory安装向导来删除域控制器。【经验之谈】可以删除域中的任何域控制器，包括第一台域控制器，但是如果要删除全局编录的域控制器，则要确保网络中还有其他域控制器配置为全局编录角色，否则网络中没有一台域控制器是全局编录角色，会影响用户的网络访问性能的。在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框，提示必须先要确保网络中有足够的全局编录角色域控制器。 （点击查看大图）图6-73  删除全局编录角色域控制器时的警告提示框全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。在全局编录

3、中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不需要其他域控制器参考搜索。配置域控制器为全局编录角色的方法是在"Active Directory站点和服务"管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器（如图6-74所示），然后在右侧窗格中的NTDS Settings项上右击，在"常规"选项卡中选择"全局编录"复选项，如图6-75所示。 （点击查看大图）图6-74  "Active Directory站点和服务"管理单元控制台&

4、#160;图6-75  域控制器"NTDS Settings属性"对话框的"常规"选项卡下面介绍正常情况下的域控制器删除方法。在此以删除lycb.local中的一台额外域控制器lycb-dc2为例进行介绍。（1）在"运行"窗口中输入dcpromo命令，打开如图6-76所示的安装向导对话框。 （点击查看大图）图6-76  "欢迎使用Active Directory安装向导"对话框（2）单击"下一步"按钮，打开如图6-77所示的对话框。如果删除的是当前域中的最后一个域控

5、制器，则要选择"这个服务器是域中的最后一个域控制器"复选项；否则不选择这个复选项。 （点击查看大图）图6-77  "删除Active Directory"对话框（3）单击"下一步"按钮，打开如图6-78所示的对话框。在这里要求输入有权删除域控制器的域账户，通常是域管理员或者委派了相应权限的其他账户。（4）单击"下一步"按钮，打开如图6-79所示的对话框，显示以上配置摘要。 （点击查看大图）图6-78  "管理员密码"对话框 （点击查看大图）图6-

6、79  "摘要"对话框（5）单击"下一步"按钮，系统即开始删除域控制器，也就是删除域控制器上的活动目录。删除进程如图6-80所示。完成后弹出删除成功对话框，如图6-81所示。直接单击"完成"按钮，然后按要求重启系统。 （点击查看大图）图6-80  Active Directory删除进程对话框 （点击查看大图）图6-81  "正在完成Active Directory安装向导"对话框6.2.4  强制删除域控制器示例（1）一般情况下可以通过上节介绍的正常删除

7、方法来删除域控制器，但有时也会在正常删除过程中出现各种故障，无法正常删除成功。如图6-82所示的就是在正常删除时所出现的一种错误。这时可以采取强制删除方式。 （点击查看大图）图6-82  正常域控制器删除时出现的一种错误强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval强制删除命令强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息。因为强制删除过程中，不会与域中其他的域控制器进行联系，也就不会删除域中的相关信息（如"Active Directory用户和计算机"控制台D

8、omain Controllers容器中的域控制器信息，正常删除时会同步删除相关信息）。1强制删除域控制器本示例以在正常删除操作出现如图6-83所示错误的lycb-dc2额外域控制器删除为例进行介绍。强制删除域控制器的具体步骤如下：（1）在要强制删除的域控制器lycb-dc2的"运行"窗口中键入dcpromo /forceremoval命令（forceremoval参数的作用就是执行强制删除），同样会打开如图6-76所示的"Active Directory安装向导"对话框。（2）单击"下一步"按钮，打开如图6-83所示的对话框，提示这

9、里进行的强制删除操作将不删除林数据信息。（3）单击"下一步"按钮，打开如图6-84所示的对话框。要求输入有权删除域控制器的域用户账户，也可直接输入域管理员账户信息。 （点击查看大图）图6-83  "强制删除Active Directory"对话框 （点击查看大图）图6-84  "管理员密码"对话框（4）单击"下一步"按钮，打开如图6-85所示的对话框，显示了本步操作的选择摘要。在不更新林数据的情况下强制删除该域控制器上的活动目录信息。（5）单击"下一步"按

10、钮，系统即开始强制删除该域控制器上的活动目录信息。删除进程如图6-86所示。 （点击查看大图）图6-85  "摘要"对话框 图6-86  强制删除域控制器活动目录信息进程对话框6.2.4  强制删除域控制器示例（2）完成后显示如图6-87所示的向导完成对话框，在其中提示已成功删除该域控制器上的活动目录。强制删除域控制器后，lycb-dc2将不再成为域内的额外域控制器，而是会从域中脱离出去成为工作组中的独立服务器。单击"完成"按钮结束域控制器的强制删除任务。 （点击查看大图）图6-87 

11、 "正在完成Active Directory安装向导"对话框2手工清除已删除域控制器的Active Directory元数据Lycb-dc2被强制删除后，林内的其他域控制器并不知道这件事情，因为在上述强制删除操作中不更新林数据。林中其他域控制器仍然认为lycb-dc2是域控制器的一员，因此必须手工清除林中所有有关lycb-dc2的Active Directory元数据。清理的工作可以在域网络中任意一台现有域控制器或者任意一台成员服务器上通过ntdsutil工具进行。但要注意，使用此处介绍的清理方法仅适用于域控制器强制降级后，不能仅通过此处介绍的方法对域控制器降级。具体的清理

12、Active Directory元数据的步骤如下：（1）在命令提示符下输入ntdsutil命令，然后在ntdsutil提示符下输入"？"，以了解该命令的可用上下文命令（也就是子命令）。ntdsutil工具是一个命令集，可以执行许多任务，在这里用来清理Active Directory元数据的子命令是metadata cleanup，如图6-88所示。 （点击查看大图）图6-88  ntdsutil工具可用的子命令（2）在提示符下输入Metadata Cleanup命令，按Enter键进入Metadata Cleanup命令执行环境，准备清除已强制删除的域控

13、制器上不再使用的Active Directory元数据。（3）在Metadata Cleanup提示符下输入"？"，以便了解Metadata Cleanup命令下可以使用的子命令。这里的子命令几乎在后面都要用到，但首先要用到的是connections子命令，连接到要清除元数据的对象。（4）在Metadata Cleanup提示符下输入connections命令，按Enter键进入connections命令执行环境。然后再在server connections提示符下输入"？"，以了解connections命令下又有哪些子命令可以使用。以上两步的操作如图6

14、-89所示。（5）在server connections提示符下输入connect to server lycb-dc2命令，绑定连接到要清除元数据的那台降级了的域控制器。（6）再在server connections提示符下输入quit，退回到上级的metadata cleanup命令环境，正式对lycb-dc2服务器上的元数据进行清除工作。如果不清楚metadata cleanup命令环境下可以执行哪些命令，可以再次输入"？"查看。以上两步的操作如图6-90所示。接下来需要使用metadata cleanup命令环境下的Select operation target子命

15、令来定位要清理元数据的对象。要注意的是，对象的定位是遵循从大到小规则的。先查找清理对象所在的站点，再在站点中找到对应的域，最终在域中找到对应的服务器。6.2.4  强制删除域控制器示例（3）（7）在metadata cleanup提示符下输入Select operation target命令，进入Select operation target命令操作环境。也可以输入"？"来查看当前可用的子命令。（8）在Select operation target提示符下输入list sites命令，查看当前网络中的所有站点，看要清理的对象在哪个站点上。本示例显示只有一个站点，序

16、号为0，如图6-91所示。 （点击查看大图）图6-91  查看当前网络中所有的站点（9）在Select operation target提示符下输入list domain in site命令，查看各站点中所有的域。记下对应域控制器所在的域序号，本示例为0。（10）在Select operation target提示符下输入select domain 0命令，锁定对应的域。【经验之谈】对于中小型企业网络，其实上面的第8和第9两步是无须进行的，因为在这类企业网络中通常只有一个域，序号肯定为0，直接进行第10步即可。在这里列出是为了方便大家理解整个定位过程。（11）在Select

17、 operation target提示符下输入list server for domain in site命令，查看上次锁定的域中的所有域控制器序号。本示例中有两台域控制器，要清理元数据的lycb-dc2的序号为1。（12）在Select operation target提示符下输入select server 1命令，锁定要清理的服务器。（13）在Select operation target提示符下输入quit命令，退出Select operation target定位命令环境，因为要清理元数据的服务器已最终锁定。以上第913步的操作如图6-92所示。 （点击查看大图）图6-92&

18、#160; 锁定清理元数据操作的服务器（14）在metadata cleanup提示符下输入remove selected server命令，对锁定的服务器执行正式的元数据清理工作。清理时会弹出一个确认提示框，询问是否要进行删除操作，单击"是"按钮。这样就把不能通过正常删除操作的域控制器降级并在林中删除了相关的Active Directory元数据，但还没有最终完成。（15）在"Active Directory用户和计算机"管理单元控制台的Domain Controllers容器下删除该域控制器。在SP2版本中，这里的删除不是那么简单，不能像以前版本那样直接删除。删除时会弹出如图6-93所示的对话框。在这里要选择"这台域控制器永远为脱机并且不能再用Active Directory安装向导（DCPROMO）将其降级"单选项，然后单击"删除"按钮，系统又会弹出如图6-94所示的警告提示框，单击"是"按钮。 （点击查看大图）图6-93  "删除域控制器"对话框 （点击查看大图）图6-94  删除域控制器的警告提示框从以上整个过程可以看出，域控制器的强制删除过程非