DC 强制移除.docx
《DC 强制移除.docx》由会员分享,可在线阅读,更多相关《DC 强制移除.docx(17页珍藏版)》请在冰豆网上搜索。
DC强制移除
如何清除域中无效的DC信息收藏
1.用ntdsutil来清除无效的DC信息!
假如你的备份域为主域为,现在备份域坏了。
那么你在装有supertools的主控域上执行如下命令:
C:
\>ntdsutil
ntdsutil:
metadatacleanup-清理不使用的服务器的对象
metadatacleanup:
selectoperationtarget-选择的站点,服务器,域,角色和命名上下文
selectoperationtarget:
connections-连接到一个特定域控制器
serverconnections:
connecttoserver--绑定到ctu.
用本登录的用户的凭证连接ctu。
serverconnections:
quit-返回上一层目录
selectoperationtarget:
listsite-在企业中列出站点(找到1个站点,标识为0)
找到1站点
0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
selectoperationtarget:
selectsite0-将标识为0的站点定为所选站点
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
没有当前域
没有当前服务器
当前的命名上下文
selectoperationtarget:
listdomains-列出所有包含交叉引用的域
找到1域
0-DC=mstc,DC=com
selectoperationtarget:
selectdomain0-将标识为0的域定为所选域
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
域-DC=mstc,DC=com
没有当前服务器
当前的命名上下文
selectoperationtarget:
listserversfordomaininsite-列出所选域和站点中的服务器(找到两个:
0-;1-ctu.)
找到2服务器
0-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
1-CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
selectoperationtarget:
selectserver0-将标识为0的服务器(abc)定为所选服务器——也就是要删除的DC
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com
域-DC=mstc,DC=com
服务器-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
DSA对象-CN=NTDSSettings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS主机名称-
计算机对象-CN=ABC,OU=DomainControllers,DC=mstc,DC=com
当前的命名上下文
selectoperationtarget:
quit-返回上一层目录
metadatacleanup:
removeselectserver-从所选服务器上删除DS对象
在弹出的对话提示框上选择“是”,
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com”删除了,从服务器“ctu”
现在,这个Dc对象就在你的AD里消失了.
本文来自CSDN博客,转载请标明出处:
如何清除域中无效的DC信息
2010-04-1114:
14
现在假如我的的域控制器坏了,我在上面清除srv1的信息。
C:
\DocumentsandSettings\Administrator>cd\
C:
\>ntdsutil
ntdsutil:
metadatacleanup
metadatacleanup:
selectoperationtarget
selectoperationtarget:
connections
serverconnections:
connecttoserver
绑定到...
用本登录的用户的凭证连接。
serverconnections:
quit
selectoperationtarget:
listsite
找到1站点
0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b,DC=com
selectoperationtarget:
selectsite0
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b,DC=com
没有当前域
没有当前服务器
当前的命名上下文
selectoperationtarget:
listdomains
找到1域
0-DC=b,DC=com
selectoperationtarget:
selectdomain0
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b,DC=com
域-DC=b,DC=com
没有当前服务器
当前的命名上下文
selectoperationtarget:
listserversfordomaininsite
找到2服务器
0-CN=SRV2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b
DC=com
1-CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b
DC=com
selectoperationtarget:
selectserver1
站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b,DC=com
域-DC=b,DC=com
服务器-CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration
DC=b,DC=com
DSA对象-CN=NTDSSettings,CN=SRV1,CN=Servers,CN=Default-First-Site-Nam
e,CN=Sites,CN=Configuration,DC=b,DC=com
DNS主机名称-
计算机对象-CN=SRV1,OU=DomainControllers,DC=b,DC=com
当前的命名上下文
selectoperationtarget:
quit
metadatacleanup:
removeselectserver
正在从选定的服务器传送/获取FSMO角色。
从选定的服务器删除元数据。
搜索"CN=SRV1,OU=DomainControllers,DC=b,DC=com"下的FRS成员。
正在删除FRS成员"CN=SRV1,CN=DomainSystemVolume(SYSVOLshare),CN=FileReplic
ationService,CN=System,DC=b,DC=com"。
正在删除"CN=SRV1,CN=DomainSystemVolume(SYSVOLshare),CN=FileReplicationSer
vice,CN=System,DC=b,DC=com"下的子树。
正在删除"CN=SRV1,OU=DomainControllers,DC=b,DC=com"下的子树。
尝试删除CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration
DC=b,DC=com上的FRS设置失败,原因是"找不到元素。
";
继续清除元数据。
“CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=b,D
C=com”删除了,从服务器“”
metadatacleanup:
备注:
1.利用ntdsutil工具把第2台DC的残留信息删除
2.利用adsiedit.msc删除没用的信息
3.进入活动目录站点与服务,删除相应的站点与服务
4.在主域控制器的dsa.msc的domaincontrollers里删除没有用的DC
*完成以上步骤就可以彻底删除域内残留的DC信息
删除AD中的一个DC
2008年08月25日星期一下午06:
40
公司原来有两个DC,一个是DC1,一个是DC3,DC3服务器崩溃了,然后用另外一台服务器新建了DC,新装DC3服务器,让其成为成员服务器,但是需要将DC中DC3的信息删除。
删除方法:
步骤一:
c:
>ntdsutil
ntdsutil:
metadatacleanup
metadatacleanup:
selectoperationtarget
selectoperationtarget:
connections
serverconnections:
connecttodomain
selectoperationtarget:
listsites
Found1site(s)
0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
selectoperationtarget:
selectsite0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Nocurrentdomain
Nocurrentserver
NocurrentNamingContext
selectoperationtarget:
Listdomainsinsite
Found1domain(s)
0-DC=test,DC=com
Found1domain(s)
0-DC=test,DC=com
selectoperationtarget:
selectdomain0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain-DC=test,DC=com
Nocurrentserver
NocurrentNamingContext
selectoperationtarget:
Listserversfordomaininsite
Found2server(s)
0-CN=A,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1-CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
selectoperationtarget:
selectserver0
selectoperationtarget:
quit
metadatacleanup:
Removeselectedserver
出现对话框,按“确定“删除A主控服务器。
metadatacleanup:
quit
ntdsutil:
quit
然后在ActiveDirectoryusersandcomputers中的Domaincontrollers中删除A服务器对象
再到ActiveDirectorySitesandService中删除A服务器对象。
步骤二,在当尝试从ActiveDirectory站点和服务删除孤立的NTDS设置时,您可能会收到以下错误信息:
DSAobjectcannotbedeleted(不能删除DSA对象)
参考MS的文章:
参考这两篇文章后,彻底将DC清除,重新加入域,OK
错误信息:
无法删除DSA对象
查看本文应用于的产品
系统提示注意:
本篇文章的内容适用于其他版本的Windows(不包括您正在使用的版本)。
本篇文章的内容可能不适用您的电脑。
浏览WindowsXP帮助和支持中心
展开全部|关闭全部
症状
当尝试从ActiveDirectory站点和服务删除孤立的NTDS设置时,您可能会收到以下错误信息:
DSAobjectcannotbedel...
当尝试从ActiveDirectory站点和服务删除孤立的NTDS设置时,您可能会收到以下错误信息:
DSAobjectcannotbedeleted(不能删除DSA对象)。
注意,在“ActiveDirectory站点和服务”中的“服务器”文件夹中,每个服务器下通常只存在一个NTDS设置。
如果显示两个“NTDS设置”,则没有关联的连接对象(在右窗格中)的那一设置可能就是孤立的NTDS设置。
回到顶端
原因
Dcpromo.exe降级过程必须从服务器中删除NTDS设置。
不过,即使删除了连接对象,Dcpromo.exe过程也可能不会删除NTDS设置。
如果具...
Dcpromo.exe降级过程必须从服务器中删除NTDS设置。
不过,即使删除了连接对象,Dcpromo.exe过程也可能不会删除NTDS设置。
如果具有多个域控制器,ActiveDirectory复制过程就可能无法从该域控制器中删除NTDS设置。
回到顶端
解决方案
如想变通解决该问题,请针对具有孤立NTDS设置的域控制器完成以下过程。
启动“ADSI编辑”,然后展开以下分支:
配置NCCN=Configurati...
如想变通解决该问题,请针对具有孤立NTDS设置的域控制器完成以下过程。
1.启动“ADSI编辑”,然后展开以下分支:
o配置NC
oCN=Configuration,DC=domain,DC=com
oCN=Sites
oCN=您的站点名称
oCN=Servers
2.找到具有孤立NTDS设置的服务器。
右键单击该孤立NTDS设置,然后单击删除。
3.如果具有多个域控制器,则要确保此更改复制到所有的域控制器。
还可以在“ADSI编辑”中“配置容器”下的LostAndFoundConfig容器中找到孤立的NTDS设置对象。
可以使用类似的过程删除此对象。
为此,请按照下列步骤操作:
1.启动“ADSI编辑”,然后展开以下分支:
o配置NC
oCN=Configuration,DC=domain,DC=com
oCN=LostAndFoundConfig
2.右键单击孤立的NTDS设置对象,然后单击“删除”。
在删除NTDS设置对象之前,要确保不存在相关的服务器对象。
回到顶端
新人发帖:
WINDOWSSERVER2003从入门到精通之AD中的5种操作主机
在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:
为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.
首先我们先来了解什么是"操作主机","操作主机"都包括什么?
在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)
在林范围内包括以下两种:
1)架构主机
2)域命名主机
在每个林中这些角色都必须是唯一的!
在域范围内包括以下:
1)主域控制器仿真主机(PDCEmulator)
2)相对ID(RID)主机
3)基础结构主机
以上三种在每个域中必须是唯一的!
1.架构主机(SchemaMaster)
架构主机控制对整个林的架构的全部更新
在整个林中,只能有一个架构主机
如何管理架构主机(默认没有安装管理架构的工具):
1)注册架构管理工具regsvr32schmmgmt.dll
2)使用mmc添加【ActiveDirectory架构】
3)查看架构主机
2.域命名主机(DomainNamingMaster)
控制林中域的添加或删除,可以防止林中的域名重复
在整个林中只能有一个域命名主机
注意:
任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器
使用【ActiveDirectory域和信任关系】查看域命名主机
3.PDC仿真主机(PDCEmulatorMaster)
PDC仿真主机作为混合模式域中的WindowsNTPDC(主域控制器)
林中的每个域中只能有一个PDC仿真主机
PDC仿真主机的主要作用:
1)管理来自客户端(WindowsNT/95/98)的密码更改
2)最小化密码变化的复制等待时间
3)同步整个域内所有域控制器上的时间
4)查看PDC仿真主机
4.RID主机(RIDMaster)
RID主机将相对ID(RID)序列分配给域中每个域控制器
林中的每个域中只能有一个RID主机
每次当DC创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。
SID包含一个域SID(它与域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。
对象的SID=域SID+RID
使用【ActiveDirectory用户和计算机】查看RID主机
5.基础结构主机(InfrastructureMaster)
负责更新从它所在的域中的对象到其他域中对象的引用
每个域中只能有一个基础结构主机
基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!
使用基础结构主机的要点:
1)除非域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器
2)如果域中的所有域控制器都存有全局编录,则无论哪个域控制器承担基础结构主机角色均不重要
3)负责在重命名或更改组成员时更新“组到用户”的引用
操作主机角色总结:
接下来我们来做转移操作主机角色
案例:
BENET公司组建了一个单域,有两台DC,第一台DC的硬件配置比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都在第一台DC上,如何将之转移到第二台DC上?
1)转移PDC主机,RID主机和基础结构主机角色
a)打开"AD用户与计算机"工具,右击"AD用户与计算机"然后单击"连接到域控制器",在"输入另一个DC的名称"窗口中,输入要担任PDC主机角色的DC的名称()或单击可用的DC列表中的该DC.在控制台树中,右击"AD用户与计算机",指向"所有任务",然后单击"操作主机"---"PDC"命令,显示当前的操作主机是"":
b)选择"更改":
c)查看操作主机已经被转移成功,转移操作是可逆的!
2)转移架构主机角色
a)使用"AD架构"工具"来更改域控制器:
b)指定名称:
c)更改架构主机:
转移架构主机注意:
执行此过程的帐户必须是AD中Schemaadmins组的成员,后者必须被委派了相应的权限
要想在控制台中添加AD架构管理单元,需要执行"regsvr32schmmmgmt.dll"命令注册该管理单元
3)转移域命名主机角色
a)打开"AD域和信任关系"工具,选择"连接到DC",在"输入另一个DC的名称"窗口中输入要担任域命名主机角色的DC的名称.
b)在控制台中,右击"AD域和信任关系",然后单击"操作主机",显示域命名主机是""
c)选择更改:
转移域命名主机角色要注意:
执行此过程的帐户必须是AD中