最近遇到了一個域控問題,域控服務器一直運行都是沒問題的,突然有一天添加新用戶時候,提示“目錄服務已經用完相對標識池”,以爲是小問題,後面點擊AD時出現了“找不到命名信息,因爲:指定的域不存在,或無法聯繫。請與系統管理員聯繫,以確認您的域配置正確並且處於聯機狀態。”後面重啓服務器又可以用了,但是一段時間後又是同樣的問題。。。
後面得知之前是有一臺額外域服務器,由於服務器問題被淘汰了。最終按照這個問題找了些資料,得知是由於額外域沒有正常的降級退域。本文將簡要闡述DC卸載和手動清理其他正常運行的DC上已經不存在的DC信息,防止後期域控出現問題。
DC卸載可使用常規情況下卸載,輸入dcpromo,輸入本地管理員密碼,在配置卸載頁面上可以看到正在刪除域控、操作主控以及複製夥伴關係。重啓之後,便刪除了DC。
DC卸載也可使用強制卸載,即將無法複製的DC從域環境中脫離出來,使用dcpromo/ forceremoval強制卸載,
彈出如下對話框;
若刪除AD域內其他DC(非PDC),則直接彈出強制卸載嚮導;
隨後開始進行AD配置,開始卸載DC
單擊完成,完成卸載。
由於強制卸載,域內其他DC不知此DC已不存在,需要在其複製夥伴上將其手動清理,然後把清理後的AD信息複製到其他DC上。告知其他DC此DC已不存在。在命令行提示符下輸入ntdsutil,輸入metadata cleanup;如圖:
連接到進行手動刪除AD數據的此DC上(當前主機)
select operation target的命令如下
依次選擇“列出站點”、“選擇所列出的站點”
“列出站點中的域”、“選擇所列出的域”
“列出站點下AD域下的服務器名稱”、“選擇服務器”如圖;
即反覆使用“list”“select”列出站點,選擇站點,列出站點下的域,選擇域,列出站點下域下的服務器,選擇服務器;至此,完成了所要手動清理的DC的選擇;
移除所選擇的服務器,如圖;
如圖,從操作的主機上手動刪除了強制卸載的DC,
然後打開“AD用戶和計算機”domain controllers,在右側選擇已經刪除的服務器win2003-2右擊刪除,如圖;
對刪除win2003-2的原因進行描述,完成了對DCwin2003-2的刪除;
隨後,手動刪除DNS中原DC的SRV記錄,若原DC爲操作主控服務器,使用奪取將操作主控轉移到其他DC,若原DC爲全局編目服務器,選擇其他DC爲全局編目服務器,將在此服務器的AD複製到其他DC上。
只有當DC無法進行常規卸載時,才能考慮使用強制卸載,且使用強制卸載後一定要注意後續對AD的手工清理。
如果正常使用的DC突然系統出現故障,無法正常登錄系統,無法使用命令調出強制卸載,只得進入目錄服務還原模式將其卸載,點F8進入目錄服務還原模式,修改註冊表將DC強行變爲獨立服務器,定位到HKEY_Local_Machine\System\CurrentControlSet\Control\Productoptions\ProductType,這個鍵值決定了服務器的身份。
將ProductType的鍵值改爲ServerNT,將此服務器設置爲與AD無關的服務器,然後手動刪除C:\Windows\NTDS,重啓之後,提升此服務器爲BDC,加入到之前的域中,然後在降級刪除AD域!即可(因爲此係統中還有很多服務以及註冊表鍵值和AD有關,必須將其先升級在降級徹底消除隱患,避免日後AD出錯)