Windows Server 2003 DC降級時,無法移除AD?
到iT邦幫忙

spacemonkey(IT邦初學者10級)發問:
原本的DC伺服器要降級成一般成員伺服器,大部分伺服器都已移除,只剩AD,但在移除AD時發生錯誤,原因是找不到網域的其他網域控制站,但是有另外兩臺DC正常運作中,請問這種情況該如何解決?

kevinhuang(IT邦初學者10級):
在Active Directory的環境中,伺服器之間的查詢,都是仰賴DNS伺服器,所以請先確認你的DNS伺服器都已正確設定。DNS伺服器的設定方法有二::

1. 指向另一臺DC伺服器

2. 將欲降級的伺服器的DNS服務啟用,然後複寫另一臺DC伺服器的記錄,再將主要DNS 指向自己的IP位置即可。

順便再確認原本的IP和電腦名稱是否保持原設定值。

經過上述的步驟還是無法運作,就強制退出網域,再依照 KB216498將不必要的資訊移除。

jackaitw(IT邦初學者9級):
把要降級伺服器的DNS指向另一臺DC伺服器的IP,並確認名稱解析是否正常。

如果無法降級,還有一個可能性是中毒,可以在伺服器上執行掃毒檢查。

以上的手段如果都無法成功,就執行ntdsutil,輸入「metadata cleanup」,並指定要刪除要降級的伺服器。最後輸入「remove selected server」,將該伺服器移除即可。

另外可以到微軟網站下載MPSRPT_DirSvc.EXE,它可以搜集DC與網路的相關記錄檔,協助你分析問題。

在解決過程中,如果有需要重建Active Directory中的DNS紀錄,可以先到運作中的那臺DC伺服器,依序執行下列指令:

net stop netlogon
ipconfig /registerdns
cd\
cd c:\WINDOWS\system32\config\
ren netlogon.dnb netlogon.dnb.old
ren netlogon.dns netlogon.dns.old
net start netlogon

再將這臺伺服器重新開機,就可以完成重建。

aliceyeh(IT邦初學者9級):
不知道你的應用程式採用的是什麼程式語言開發的?像JSP和ASP都有支援Web Service,可以將AD認證的邏輯移至Web Service。不過這開發工程有點難度。

alston0115(IT邦初學者10級):
先不要移除要降級那臺伺服器的DNS Service,並將DNS與其他正常運作中的DC伺服器的DNS同步,然後將TCP/IP的DNS Server指向自己,再執行dcpromo,也許就能解決無法找到其他DC的問題。

januslin(IT邦初學者7級):
可以使用「dcpromo /forceremoval」指令,強制執行降級,解決降級失敗的問題。


Advertisement

更多 iThome相關內容