Utilizzo del comando DCPROMO /FORCEREMOVAL per imporre l'abbassamento di livello dei controller di dominio di Active Directory

Numero di articolo : 332199
Ultima revisione : mercoledì 22 ottobre 2003
Revisione : 4.2

Sintomi

È possibile che l'abbassamento di livello dei controller di dominio di Windows 2000 o Windows Server 2003 non avvenga correttamente utilizzando l'Installazione guidata di Active Directory (Dcpromo.exe).

Cause

Questo problema può verificarsi in caso di errore di una dipendenza o di un'operazione necessaria, ad esempio la connettività di rete, la risoluzione dei nomi, l'autenticazione, la replica di Active Directory o l'individuazione di un oggetto fondamentale in Active Directory.

Risoluzione

Per risolvere il problema, determinare la causa del mancato abbassamento di livello normale del controller di dominio di Windows 2000 o Windows Server 2003, quindi riprovare ad abbassare di livello il controller di dominio mediante l'Installazione guidata di Active Directory.

Workaround

Se non si riesce a risolvere il problema, è possibile utilizzare le soluzioni alternative descritte di seguito per imporre l'abbassamento di livello del controller di dominio in modo da conservare il sistema operativo e le applicazioni installate.

Avviso Prima di utilizzare una delle soluzioni descritte di seguito, assicurarsi che l'utente sia in grado di eseguire l'avvio in modalità ripristino servizi directory. In caso contrario, dopo l'abbassamento di livello forzato del computer l'utente non sarà più in grado di effettuare l'accesso. Se l'utente ha dimenticato la password per la modalità ripristino servizi directory, è possibile ripristinarla mediante l'utilità Setpwd.exe che si trova nella cartella Winnt\System32. Per ulteriori informazioni su come effettuare questa procedura, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
271641 The Configure Your Server Wizard Sets Blank Recovery Mode Password

Controller di dominio Windows 2000

1. Installare la correzione rapida Q332199 in un controller di dominio di Windows 2000 che esegue il Service Pack 2 (SP2) o successivo oppure installare Windows 2000 Service Pack 4 (SP4), non appena disponibile. Nel Service Pack 2 e versioni successive è supportato l'abbassamento di livello forzato. Riavviare il computer.
2. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
dcpromo /forceremoval
3. Scegliere OK.
4. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
5. Se il computer che si sta rimuovendo è un server di catalogo globale, scegliere OK nella finestra di messaggio.

Nota Innalzare di livello altri cataloghi globali nell'insieme di strutture o nel sito se il controller di dominio che si sta abbassando di livello è un server di catalogo globale, secondo le esigenze.
6. Nella pagina di rimozione di Active Directory assicurarsi che la casella di controllo Questo server è l'ultimo controller di dominio nel dominio sia deselezionata, quindi scegliere Avanti.
7. Nella pagina Credenziali di rete digitare il nome, la password e il nome di dominio di un account utente con credenziali di amministratore dell'organizzazione nell'insieme di strutture, quindi scegliere Avanti.
8. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
9. Nella pagina Riepilogo scegliere Avanti.
10. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

Se è stato rimosso un dominio dall'insieme di strutture utilizzando il comando remove selected domain in Ntdsutil, assicurarsi che in tutti i controller di dominio e i server di catalogo globale nell'insieme di strutture siano stati rimossi completamente tutti gli oggetti e i riferimenti al dominio rimosso prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. Per stabilire se è stata eseguita la replica end-to-end, possono essere utili strumenti quali Replmon.exe o Repadmin.exe presenti negli Strumenti di supporto di Windows 2000. Rispetto a Windows Server 2003, Windows 2000 SP3 e i server di catalogo globale precedenti sono caratterizzati da una velocità notevolmente inferiore nella rimozione di oggetti e contesti dei nomi.

Controller di dominio di Windows Server 2003

1. I controller di dominio di Windows Server 2003 supportano l'imposizione dell'abbassamento di livello in base all'impostazione predefinita. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
dcpromo /forceremoval
2. Scegliere OK.
3. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
4. Nella pagina Imponi rimozione di Active Directory scegliere Avanti.
5. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
6. Nella pagina Riepilogo scegliere Avanti.
7. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

Se è stato rimosso un dominio dall'insieme di strutture utilizzando il comando remove selected domain in Ntdsutil, assicurarsi che in tutti i controller di dominio e i server di catalogo globale nell'insieme di strutture siano stati rimossi completamente tutti gli oggetti e i riferimenti al dominio rimosso prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. Rispetto a Windows Server 2003, in Windows 2000 Service Pack 3 (SP3) e nei server di catalogo globale precedenti è disponibile una velocità notevolmente inferiore nella rimozione di oggetti e contesti dei nomi.

Status

Microsoft ha eseguito delle verifiche e fornisce il supporto per l'imposizione dell'abbassamento di livello dei controller di dominio che eseguono Windows 2000 o Windows Server 2003.

Informazioni

Mediante l'Installazione guidata di Active Directory vengono creati controller di dominio di Active Directory in computer con Windows 2000 e Windows Server 2003. Durante l'Installazione guidata di Active Directory vengono effettuate diverse operazioni, fra cui l'installazione di nuovi servizi, l'esecuzione di modifiche ai valori di avvio di servizi esistenti e il passaggio ad Active Directory come area di protezione e autenticazione.

Con l'imposizione dell'abbassamento di livello, gli amministratori di dominio possono forzare la rimozione di Active Directory ed eseguire il rollback delle modifiche di sistema apportate a livello locale senza contattare altri controller di dominio nell'insieme di strutture o replicare alcuna modifica locale.

Dato che l'abbassamento di livello imposto comporta la perdita delle modifiche apportate a livello locale, deve essere utilizzato solo come soluzione estrema nei domini di produzione o nelle verifiche. È possibile forzare l'abbassamento di livello dei controller di dominio quando le dipendenze relative a connettività, risoluzione dei nomi, autenticazione o motore di replica non possono essere risolte, in modo da consentire un abbassamento di livello normale. Gli scenari validi per l'imposizione dell'abbassamento di livello comprendono i seguenti casi:
Nel dominio padre non è disponibile alcun controller di dominio quando si tenta di abbassare di livello l'ultimo controller di dominio in un dominio figlio diretto.
L'Installazione guidata di Active Directory non può essere completata a causa di una dipendenza relativa alla risoluzione dei nomi, all'autenticazione, al motore di replica o a oggetti di Active Directory che non può essere risolta dopo un accurato intervento di risoluzione dei problemi.
Le modifiche di Active Directory in ingresso non sono state replicate da un controller di dominio entro la durata dell'oggetto contrassegnato per rimozione (in base all'impostazione predefinita, entro 60 giorni) per uno o più contesti dei nomi.

Importante: ripristinare tali controller di dominio solo se costituiscono l'unica possibilità di ripristino per un determinato dominio.
Il tempo disponibile non consente una risoluzione dei problemi accurata, poiché è necessario rendere immediatamente operativo il controller di dominio.

L'imposizione dell'abbassamento di livello può rivelarsi utile in ambienti di laboratorio o didattici, in cui è possibile rimuovere i controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ciascun controller di dominio in successione.

Se si impone l'abbassamento di livello di un controller di dominio, andranno perse le modifiche univoche residenti in Active Directory del controller di dominio di cui si sta abbassando forzatamente il livello, tra cui l'aggiunta, l'eliminazione e la modifica di utenti, computer, gruppi, relazioni di trust, criteri di gruppo o configurazione di Active Directory di cui non è stata eseguita la replica prima dell'esecuzione del comando dcpromo /forceremoval. Andranno inoltre perse le modifiche apportate a qualsiasi attributo di tali oggetti, quali le password per gli utenti, i computer, le relazioni di trust e l'appartenenza ai gruppi.

Se si impone un abbassamento di livello di un controller di dominio, tuttavia, viene ripristinato uno stato del sistema operativo corrispondente a quello ottenuto con l'abbassamento di livello dell'ultimo controller di dominio in un dominio, per quanto riguarda i valori iniziali dei servizi, i servizi installati, l'utilizzo di un sistema SAM basato sul Registro di sistema per il database degli account e l'appartenenza del computer a un gruppo di lavoro. I programmi installati sul controller di dominio abbassato di livello rimangono installati.

Nel registro eventi di sistema, i controller di dominio di Windows 2000 di cui è stato forzatamente abbassato il livello, nonché le istanze dell'operazione dcpromo /forceremoval, vengono identificati mediante l'ID evento 29234. Ad esempio:


Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuna
ID evento: 29234
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Nel registro eventi di sistema, i controller di dominio Windows Server 2003 a cui viene imposto un abbassamento di livello vengono identificati mediante l'ID evento 29239. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuna
ID evento: 29239
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Dopo avere utilizzato il comando dcpromo /forceremoval, i metadati per il computer abbassato di livello non vengono eliminati nei controller di dominio rimanenti. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

216498 HOW TO: Remove Data in Active Directory After an Unsuccessful Domain Controller Demotion

Di seguito sono indicate alcune operazioni da effettuare, se necessario, dopo avere imposto l'abbassamento di livello di un controller di dominio:

1. Rimuovere l'account computer dal dominio.
2. Rimuovere i record DNS, compresi i record A, CNAME e SRV.
3. Rimuovere gli oggetti membro FRS (FRS e DFS). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
296183 Overview of Active Directory Objects That Are Used by FRS

.

4. Se il computer abbassato di livello è membro di gruppi di protezione, deve essere rimosso da tali gruppi.
5. Rimuovere tutti i riferimenti del DFS, rappresentati da collegamenti o repliche della directory principale, nel server abbassato di livello.
6. Un controller di dominio rimanente deve requisire i ruoli di master operazioni (FSMO, Flexible Single Master Operations) precedentemente gestiti dal controller di dominio a cui è stato imposto un abbassamento di livello. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
255504 Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller

.


Le informazioni in questo articolo si applicano a
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 64-bit Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003
Microsoft Windows 2000 Enterprise Edition
Microsoft Windows 2000 Enterprise Edition
Microsoft Windows 2000 Enterprise Edition