天丫

股起勇氣，把系統架構昇級到 Server 2008 Active Directory 的等級。

雖然計劃是為了迎接即將到來的 Windows Vista 時代，但其實更深層的原因是希望解決處理長久以來 Windows 2000 Server 網域控制站的問題。

因為目前 AD 網域中的 DC，最早一台是 Windows 2000 Server，上頭綁著「憑證服務」也包含著 SUS，沒錯最早期的 Microsoft Software Update Server 的服務，但很慘地，這兩個服務已經開不起來，而這台伺服器也移除不了，這一回主要就是要一併解決舊主機的問題。

查詢分享一些技術資料：

【在 Windows Server 2003 和 Windows 2000 Server 中，使用 Active Directory 安裝精靈強制降級網域控制站時，無法順利將網域控制站降級】

使用 Active Directory 安裝精靈 (Dcpromo.exe)，可能無法順利將 Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域控制站降級。

根據預設，Windows Server 2003 網域控制站支援強制降級。

1. 點按「開始」→「執行」，輸入「dcpromo /forceremoval」。
2. 在「歡迎使用 Active Directory 安裝精靈」頁面上，點按「下一步」按鈕。
3. 在「強制移除 Active Directory」頁面上，點按「下一步」按鈕。
4. 在「系統管理員密碼」中，輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼，重複確認密碼後，點按「下一步」按鈕。
5. 在「摘要」上，點按「下一步」按鈕。
6. 在樹系中其餘的網域控制站上，清除降級的網域控制站的中繼資料。

【如何在網域控制站降級失敗後，移除 Active Directory 中的資料】

本文將告訴您，如何在網域控制站降級失敗之後，移除 Active Directory 中的資料。

1. 點按螢幕左下角的「開始」→「程式集」→「附屬應用程式」，選擇「命令提示字元」。
2. 在命令提示字元視窗中，輸入「ntdsutil」，然後按 Enter 鍵。
3. 輸入「metadata cleanup」，然後按 Enter 鍵；在進行移除之前，必須先指定設定參數。
4. 輸入「connections」，然後按 Enter 鍵。此功能表是用於連線至發生變更的特定伺服器。
5. 輸入「connect to server servername」，然後按 Enter 鍵。您應該會收到已成功建立連線的確認訊息。如果發生錯誤，請確認連線所使用的網域控制站是否可以使用，以及您所提供的憑證在伺服器上是否擁有系統管理員權限。
6. 輸入「quit」，然後按 Enter 鍵，「中繼資料清除」功能表便會出現。
7. 輸入「select operation target」，然後按 Enter 鍵。
8. 輸入「list domains」，然後按 Enter 鍵：顯示樹系的網域清單，每個網域都有相關的編號。
9. 輸入「select domain number」，然後按 Enter 鍵；其中 number 是剛剛上頭顯示的與網域相關的編號，選擇要移除的伺服器。
10. 輸入「list sites」，然後按 Enter 鍵；顯示網站清單和相關編號。
11. 輸入「select site number」，然後按 Enter 鍵；選擇上頭欲刪除的網站及其編號。
12. 輸入「list servers in site」，然後按 ENTER。隨即出現網站的伺服器清單，每個伺服器都有相關的編號。
13. 輸入「select server number」，然後按 Enter 鍵；其中 number 是您要移除的伺服器的相關編號。會顯示確認訊息，列出所選伺服器、其網域名稱系統 (DNS) 主機名稱以及所要移除的伺服器電腦帳戶位置。
14. 輸入「quit」，然後按 Enter 鍵，「中繼資料清除」功能表便會出現。
15. 輸入「remove selected server」，然後按 Enter 鍵；將會顯示已成功移除的確認訊息。
16. 在每個功能表輸入「quit」，然後按 Enter 鍵，以結束 Ntdsutil 公用程式，最後應會顯示成功中斷連線的確認訊息。
17. 移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄。
    在 DNS 主控台中，使用 DNS MMC 刪除 DNS 中的 A 記錄 (主機記錄)。
18. 在 DNS 主控台中的「正向對應區域」下按一下網域名稱，然後由「名稱伺服器」標籤頁中移除此伺服器。
19. 如果有反向對應區域，也請從這些區域中移除伺服器。
20. 若刪除的伺服器是子網域中最後一個網域控制站，而子網域也已經刪除，請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作，請依照下列步驟執行：
    1. 按一下「開始」→「執行」，輸入「adsiedit.msc」，點按「確定」按鈕。
    2. 展開「網域 NC」容器。
    3. 展開「DC=Your Domain, DC=COM, PRI, LOCAL, NET」。
    4. 展開「CN=System」。
    5. 於「信任網域」物件上滑鼠右鍵，選擇「刪除」。
    6. 使用「Active Directory 站台及服務」移除網域控制站，依下列步驟執行：
       1. 啟動「Active Directory 站台及服務」。
       2. 展開「站台」。
       3. 展開伺服器的站台。預設的站台為 Default-First-Site-Name。
       4. 展開「伺服器」。
       5. 於網域控制站上 點按滑鼠右鍵，選擇「刪除」。

Microsoft Windows Server 2003 Service Pack 2 32-bit Support Tools 官方下載頁

【由 Windows 2000 / 2003 網域中，手動方式移除 Windows 企業憑證授權單位】

1. 備份：備份所有節點， 包括 Active Directory 相關資料的 Windows 網域控制站、 Exchange 伺服器、 Active Directory 連接器、 具有 Windows Server Services for Windows 企業憑證授權單位。
2. 執行「 Active Directory 站台及服務 」，由左側視窗點選至最上層。
3. 由下拉式功能表中選擇「檢視」，點選「顯示服務」。
4. 由左側選擇並展開「Services」，然後再展開 「Public Key Services」。
5. 選擇「AIA」節點：於右側窗格，尋找並刪除「certificateAuthority」物件。
6. 選擇「CDP」節點：於右側窗格， 尋找已安裝憑證服務的伺服器，刪除該容器及其包含的物件。
7. 選擇「Certificate Authorities」節點：尋找並刪除「certificateAuthority 」 物件。
8. 選擇「Enrollment Services」節點：於右側窗格，尋找並刪除「pKIEnrollmentService」。
9. 開啟展開「Certificate Templates」節點：於右側窗格，刪除所有憑證範本。
10. 選擇「Public Key Servies」：尋找「NTAuthCertificates」物件，如果沒有其他企業或獨立式 CA 安裝在樹系中，刪除該物件，不然就不刪除。
11. 使用「 Active Directory 站台及服務 」 或 Windows Resource Kit 中的「Repadmin」命令來強制執行複寫資訊       到其他的網域 / 樹系中的網域控制站。 

Microsoft Windows Server 2003 Resource Kit Tools 官方下載頁

至於 Server 2008 相關的 Active Directory 昇級，和以往的版本一樣：

於網域的「基礎結構主機」角色的 DC 上，執行以下步驟：

1. 切換至 Windows Server 2008 安裝光碟的 \Source \adprep 目錄下。
2. 輸入 adprep /forestprep
3. 輸入 adprep /domainprep /gpprep
4. 輸入 adprep /rodcprep