股起勇氣,把系統架構昇級到 Server 2008 Active Directory 的等級。
雖然計劃是為了迎接即將到來的 Windows Vista 時代,但其實更深層的原因是希望解決處理長久以來 Windows 2000 Server 網域控制站的問題。
因為目前 AD 網域中的 DC,最早一台是 Windows 2000 Server,上頭綁著「憑證服務」也包含著 SUS,沒錯最早期的 Microsoft Software Update Server 的服務,但很慘地,這兩個服務已經開不起來,而這台伺服器也移除不了,這一回主要就是要一併解決舊主機的問題。
查詢分享一些技術資料:
【在 Windows Server 2003 和 Windows 2000 Server 中,使用 Active Directory 安裝精靈強制降級網域控制站時,無法順利將網域控制站降級】
使用 Active Directory 安裝精靈 (Dcpromo.exe),可能無法順利將 Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制站降級。
根據預設,Windows Server 2003 網域控制站支援強制降級。
- 點按「開始」→「執行」,輸入「dcpromo /forceremoval」。
- 在「歡迎使用 Active Directory 安裝精靈」頁面上,點按「下一步」按鈕。
- 在「強制移除 Active Directory」頁面上,點按「下一步」按鈕。
- 在「系統管理員密碼」中,輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼,重複確認密碼後,點按「下一步」按鈕。
- 在「摘要」上,點按「下一步」按鈕。
- 在樹系中其餘的網域控制站上,清除降級的網域控制站的中繼資料。
【如何在網域控制站降級失敗後,移除 Active Directory 中的資料】
本文將告訴您,如何在網域控制站降級失敗之後,移除 Active Directory 中的資料。
- 點按螢幕左下角的「開始」→「程式集」→「附屬應用程式」,選擇「命令提示字元」。
- 在命令提示字元視窗中,輸入「ntdsutil」,然後按 Enter 鍵。
- 輸入「metadata cleanup」,然後按 Enter 鍵;在進行移除之前,必須先指定設定參數。
- 輸入「connections」,然後按 Enter 鍵。此功能表是用於連線至發生變更的特定伺服器。
- 輸入「connect to server servername」,然後按 Enter 鍵。您應該會收到已成功建立連線的確認訊息。如果發生錯誤,請確認連線所使用的網域控制站是否可以使用,以及您所提供的憑證在伺服器上是否擁有系統管理員權限。
- 輸入「quit」,然後按 Enter 鍵,「中繼資料清除」功能表便會出現。
- 輸入「select operation target」,然後按 Enter 鍵。
- 輸入「list domains」,然後按 Enter 鍵:顯示樹系的網域清單,每個網域都有相關的編號。
- 輸入「select domain number」,然後按 Enter 鍵;其中 number 是剛剛上頭顯示的與網域相關的編號,選擇要移除的伺服器。
- 輸入「list sites」,然後按 Enter 鍵;顯示網站清單和相關編號。
- 輸入「select site number」,然後按 Enter 鍵;選擇上頭欲刪除的網站及其編號。
- 輸入「list servers in site」,然後按 ENTER。隨即出現網站的伺服器清單,每個伺服器都有相關的編號。
- 輸入「select server number」,然後按 Enter 鍵;其中 number 是您要移除的伺服器的相關編號。會顯示確認訊息,列出所選伺服器、其網域名稱系統 (DNS) 主機名稱以及所要移除的伺服器電腦帳戶位置。
- 輸入「quit」,然後按 Enter 鍵,「中繼資料清除」功能表便會出現。
- 輸入「remove selected server」,然後按 Enter 鍵;將會顯示已成功移除的確認訊息。
- 在每個功能表輸入「quit」,然後按 Enter 鍵,以結束 Ntdsutil 公用程式,最後應會顯示成功中斷連線的確認訊息。
- 移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄。
在 DNS 主控台中,使用 DNS MMC 刪除 DNS 中的 A 記錄 (主機記錄)。 - 在 DNS 主控台中的「正向對應區域」下按一下網域名稱,然後由「名稱伺服器」標籤頁中移除此伺服器。
- 如果有反向對應區域,也請從這些區域中移除伺服器。
- 若刪除的伺服器是子網域中最後一個網域控制站,而子網域也已經刪除,請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作,請依照下列步驟執行:
- 按一下「開始」→「執行」,輸入「adsiedit.msc」,點按「確定」按鈕。
- 展開「網域 NC」容器。
- 展開「DC=Your Domain, DC=COM, PRI, LOCAL, NET」。
- 展開「CN=System」。
- 於「信任網域」物件上滑鼠右鍵,選擇「刪除」。
- 使用「Active Directory 站台及服務」移除網域控制站,依下列步驟執行:
- 啟動「Active Directory 站台及服務」。
- 展開「站台」。
- 展開伺服器的站台。預設的站台為 Default-First-Site-Name。
- 展開「伺服器」。
- 於網域控制站上 點按滑鼠右鍵,選擇「刪除」。
Microsoft Windows Server 2003 Service Pack 2 32-bit Support Tools 官方下載頁
【由 Windows 2000 / 2003 網域中,手動方式移除 Windows 企業憑證授權單位】
- 備份:備份所有節點, 包括 Active Directory 相關資料的 Windows 網域控制站、 Exchange 伺服器、 Active Directory 連接器、 具有 Windows Server Services for Windows 企業憑證授權單位。
- 執行「 Active Directory 站台及服務 」,由左側視窗點選至最上層。
- 由下拉式功能表中選擇「檢視」,點選「顯示服務」。
- 由左側選擇並展開「Services」,然後再展開 「Public Key Services」。
- 選擇「AIA」節點:於右側窗格,尋找並刪除「certificateAuthority」物件。
- 選擇「CDP」節點:於右側窗格, 尋找已安裝憑證服務的伺服器,刪除該容器及其包含的物件。
- 選擇「Certificate Authorities」節點:尋找並刪除「certificateAuthority 」 物件。
- 選擇「Enrollment Services」節點:於右側窗格,尋找並刪除「pKIEnrollmentService」。
- 開啟展開「Certificate Templates」節點:於右側窗格,刪除所有憑證範本。
- 選擇「Public Key Servies」:尋找「NTAuthCertificates」物件,如果沒有其他企業或獨立式 CA 安裝在樹系中,刪除該物件,不然就不刪除。
- 使用「 Active Directory 站台及服務 」 或 Windows Resource Kit 中的「Repadmin」命令來強制執行複寫資訊 到其他的網域 / 樹系中的網域控制站。
Microsoft Windows Server 2003 Resource Kit Tools 官方下載頁
至於 Server 2008 相關的 Active Directory 昇級,和以往的版本一樣:
於網域的「基礎結構主機」角色的 DC 上,執行以下步驟:
- 切換至 Windows Server 2008 安裝光碟的 \Source \adprep 目錄下。
- 輸入 adprep /forestprep
- 輸入 adprep /domainprep /gpprep
- 輸入 adprep /rodcprep
留言列表
wwtech (0)
