Windows 2000 Server 2
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.


SOMMARIO

Windows 2000 Active Directory FSMO Roles (http://support.microsoft.com/default.aspx?scid=kb;en-us;197132)

How to Configure an Authoritative Time Server in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;216734)

Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller (http://support.microsoft.com/default.aspx?scid=kb;en-us;255504)

Utilizzo di Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;255504)

HOW TO: View and Transfer FSMO Roles in the Graphical User Interface (http://support.microsoft.com/default.aspx?scid=kb;en-us;255690)

Creating Windows 9x Home Directories on Windows NT Server (http://support.microsoft.com/default.aspx?scid=kb;en-us;137979)

Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;216498)

HOW TO: Eseguire un ripristino autorevole su un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;241594)

HOW TO: Eseguire il backup e ripristinare lo stato del sistema utilizzando il programma di backup di Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;240363)

HOW TO: Ripristino dell'account computer di un controller di dominio eliminato (http://support.microsoft.com/default.aspx?scid=kb;IT;248132)

Promozione e retrocessione del controller di dominio in server membro in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;238369)

HOW TO: Eseguire il backup e ripristinare lo stato del sistema utilizzando il programma di backup di Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;240363)

Utilizzo del comando DCPROMO /FORCEREMOVAL per imporre l'abbassamento di livello dei controller di dominio Active Directory (http://support.microsoft.com/default.aspx?scid=kb;it;332199)

Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio

Mancato abbassamento di livello dei controller di dominio quando si utilizza l'Installazione guidata di Active Directory per forzare l'abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

 

 

 

 


Windows 2000 Active Directory FSMO Roles (http://support.microsoft.com/default.aspx?scid=kb;en-us;197132)

The information in this article applies to:
This article was previously published under Q197132

SUMMARY
The Microsoft Windows 2000 Active Directory is the central repository in which all objects in an enterprise and their respective attributes are stored. It is a hierarchical, multi-master enabled database, capable of storing millions of objects. Because it is multi-master, changes to the database can be processed at any given domain controller (DC) in the enterprise regardless of whether the DC is connected or disconnected from the network.

MORE INFORMATION

Windows 2000 Multi-Master Model

A multi-master enabled database, such as the Active Directory, provides the flexibility of allowing changes to occur at any DC in the enterprise, but it also introduces the possibility of conflicts that can potentially lead to problems once the data is replicated to the rest of the enterprise. One way Windows 2000 deals with conflicting updates is by having a conflict resolution algorithm handle discrepancies in values by resolving to the DC to which changes were written last (that is, "the last writer wins"), while discarding the changes in all other DCs. Although this resolution method may be acceptable in some cases, there are times when conflicts are just too difficult to resolve using the "last writer wins" approach. In such cases, it is best to prevent the conflict from occurring rather than to try to resolve it after the fact.

For certain types of changes, Windows 2000 incorporates methods to prevent conflicting Active Directory updates from occurring.

Windows 2000 Single-Master Model

To prevent conflicting updates in Windows 2000, the Active Directory performs updates to certain objects in a single-master fashion. In a single-master model, only one DC in the entire directory is allowed to process updates. This is similar to the role given to a primary domain controller (PDC) in earlier versions of Windows (such as Microsoft Windows NT 3.51 and 4.0), in which the PDC is responsible for processing all updates in a given domain.

The Windows 2000 Active Directory extends the single-master model found in earlier versions of Windows to include multiple roles, and the ability to transfer roles to any domain controller (DC) in the enterprise. Because an Active Directory role is not bound to a single DC, it is referred to as a Flexible Single Master Operation (FSMO) role. Currently in Windows 2000 there are five FSMO roles:
 

Schema Master FSMO Role

The schema master FSMO role holder is the DC responsible for performing updates to the directory schema (that is, the schema naming context or LDAP://cn=schema,cn=configuration,dc=<domain>). This DC is the only one that can process updates to the directory schema. Once the Schema update is complete, it is replicated from the schema master to all other DCs in the directory. There is only one schema master per directory.

Domain Naming Master FSMO Role

The domain naming master FSMO role holder is the DC responsible for making changes to the forest-wide domain name space of the directory (that is, the Partitions\Configuration naming context or LDAP://CN=Partitions, CN=Configuration, DC=<domain>). This DC is the only one that can add or remove a domain from the directory. It can also add or remove cross references to domains in external directories.

RID Master FSMO Role

The RID master FSMO role holder is the single DC responsible for processing RID Pool requests from all DCs within a given domain. It is also responsible for removing an object from its domain and putting it in another domain during an object move.

When a DC creates a security principal object such as a user or group, it attaches a unique Security ID (SID) to the object. This SID consists of a domain SID (the same for all SIDs created in a domain), and a relative ID (RID) that is unique for each security principal SID created in a domain.

Each Windows 2000 DC in a domain is allocated a pool of RIDs that it is allowed to assign to the security principals it creates. When a DC's allocated RID pool falls below a threshold, that DC issues a request for additional RIDs to the domain's RID master. The domain RID master responds to the request by retrieving RIDs from the domain's unallocated RID pool and assigns them to the pool of the requesting DC. There is one RID master per domain in a directory.

PDC Emulator FSMO Role

The PDC emulator is necessary to synchronize time in an enterprise. Windows 2000 includes the W32Time (Windows Time) time service that is required by the Kerberos authentication protocol. All Windows 2000-based computers within an enterprise use a common time. The purpose of the time service is to ensure that the Windows Time service uses a hierarchical relationship that controls authority and does not permit loops to ensure appropriate common time usage.

The PDC emulator of a domain is authoritative for the domain. The PDC emulator at the root of the forest becomes authoritative for the enterprise, and should be configured to gather the time from an external source. All PDC FSMO role holders follow the hierarchy of domains in the selection of their in-bound time partner.

In a Windows 2000 domain, the PDC emulator role holder retains the following functions:

Note that the PDC emulator role becomes unnecessary as down-level workstations, member servers, and domain controllers are all upgraded to Windows 2000, in which case the following information applies:

Infrastructure FSMO Role

When an object in one domain is referenced by another object in another domain, it represents the reference by the GUID, the SID (for references to security principals), and the DN of the object being referenced. The infrastructure FSMO role holder is the DC responsible for updating an object's SID and distinguished name in a cross-domain object reference.

NOTE: The Infrastructure Master (IM) role should be held by a domain controller that is not a Global Catalog server(GC). If the Infrastructure Master runs on a Global Catalog server it will stop updating object information because it does not contain any references to objects that it does not hold. This is because a Global Catalog server holds a partial replica of every object in the forest. As a result, cross-domain object references in that domain will not be updated and a warning to that effect will be logged on that DC's event log.


How to Configure an Authoritative Time Server in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;216734)

The information in this article applies to:
This article was previously published under Q216734
For a Microsoft Windows XP version of this article, see 314054.
 

SUMMARY

This article describes how to configure an authoritative time server in Windows.

MORE INFORMATION

Windows includes the W32Time Time service tool that is required by the Kerberos authentication protocol. The purpose of the Time service is to ensure that all computers that are running Windows 2000 or later in an organization use a common time. The Time service uses a hierarchical relationship that controls authority and does not permit loops to ensure appropriate common time usage.

Windows-based computers use the following hierarchy by default:

Following this hierarchy, the PDC operations master at the root of the forest becomes authoritative for the organization, and you should configure the PDC operations master to gather the time from an external source. This is logged in the System event log on the computer as event ID 62. Administrators can configure the Time service on the PDC operations master at the root of the forest to recognize an external Simple Network Time Protocol (SNTP) time server as authoritative by using the following net time command, where server_list is the server list:

net time /setsntp:server_list

There are several SNTP time servers run by the U.S. Naval Observatory that are satisfactory for this function, for example:

After you set the SNTP time server as authoritative, run either of the following commands on a computer other than the domain controller to reset the local computer's time against the authoritative time server:

More information about the net time command is available at a command prompt if you type the following command:

net time /?

SNTP defaults to using User Datagram Protocol (UDP) port 123. If this port is not open to the Internet, you cannot synchronize your server to Internet SNTP servers.

NOTE: Administrators can also configure an internal time server as authoritative by using the net time command. If the administrator directs the command to the operations master, it may be necessary to reboot the server for the changes to take effect.

For additional information, see the following Microsoft white paper:

The Windows Time Service
http://www.microsoft.com/windows2000/docs/wintimeserv.doc


Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller (http://support.microsoft.com/default.aspx?scid=kb;en-us;255504)

The information in this article applies to:
This article was previously published under Q255504

SUMMARY

This article describes how to use the Ntdsutil.exe tool to seize or transfer Flexible Single Master Operations (FSMO) roles.

MORE INFORMATION

The first Microsoft Windows 2000 Active Directory domain controller in a forest is granted five FSMO roles when you run the Dcpromo.exe program and install Active Directory. There are two FSMO roles that are forest-wide and three that are per domain. If child domains are created, the two forest-wide roles do not change. A forest with two domains would have eight FSMOs; two for the forest and three domain specific FSMO roles in each domain.

The five FSMO roles are:

To move the FSMO roles from one computer to another, you can use two different methods. The first method is a transfer and is the method that is recommended. You can use the first method if both computers are running. Use the second method if the FSMO roles holder is offline. The second method requires you to use the Ntdsutil.exe tool to seize the roles.

Note Only seize the FSMO roles to the remaining Active Directory domain controllers if you are removing the FSMO role holder from the domain or forest.

To seize or transfer the FSMO roles by using Ntdsutil, follow these steps:

  1. On any domain controller, click Start, click Run, type ntdsutil in the Open box, and then click OK.

    Note Microsoft recommends that you use the domain controller that is taking the FSMO roles.
  2. Type roles, and then press ENTER.

    To see a list of available commands at any of the prompts in the Ntdsutil tool, type
    ?
    , and then press ENTER.
  3. Type connections, and then press ENTER.
  4. Type connect to server servername, where servername is the name of the server you want to use, and then press ENTER.
  5. At the server connections: prompt, type q, and then press ENTER again.
  6. Type seize role, where role is the role you want to seize. For a list of roles that you can seize, type ? at the Fsmo maintenance: prompt, and then press ENTER, or consult the list of roles at the beginning of this article. For example, to seize the RID Master role, you would type seize rid master. The one exception is for the PDC Emulator role, whose syntax would be "seize pdc" and not "seize pdc emulator".

    Note All five roles need to be in the forest. If the first domain controller is out of the forest then seize all roles. Determine which roles are to be on which remaining domain controllers so that all five roles are not on only one server.

    Microsoft recommends that you only seize all roles when the other domain controller is not returning to the domain, otherwise fix the broken domain controller with the roles.

    If the original domain controller with the FSMO roles is still online, transfer the roles. Type
    transfer role
    .
  7. After you seize or transfer the roles, type q, and then press ENTER until you quit the Ntdsutil tool.

Note Do not put the Infrastructure Master role on the same domain controller as the global catalog.

To check if a domain controller is also a global catalog server:

  1. Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Sites and Services.
  2. Double-click Sites in the left pane, and then browse to the appropriate site or click Default-first-site-name if no other sites are available.
  3. Open the Servers folder, and then click the domain controller.
  4. In the domain controller's folder, double-click NTDS Settings.
  5. On the Action menu, click Properties.
  6. On the General tab, locate the Global Catalog check box to see if it is selected.

For additional information about FSMO roles, click the article numbers below to view the articles in the Microsoft Knowledge Base:

197132 Windows 2000 Active Directory FSMO Roles

223787 Flexible Single Master Operation Transfer and Seizure Process

NOTE: Do not put the Infrastructure Master (IM) role on the same domain controller as the global catalog server. If the Infrastructure Master runs on a global catalog server it will stop updating object information because it does not contain any references to objects that it does not hold. This is because a global catalog server holds a partial replica of every object in the forest.

TRADUZIONE

Utilizzo di Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;255504)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I255504

Sommario

In questo articolo viene descritto come utilizzare lo strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO (Flexible Single Master Operations).

Informazioni

Quando si esegue il programma Dcpromo.exe e si installa Active Directory, al primo controller di dominio Active Directory di Microsoft Windows 2000 in un insieme di strutture vengono concessi cinque ruoli FSMO: due ruoli FSMO a livello di insieme di strutture e tre a livello di singolo dominio. I due ruoli a livello di insieme di strutture non cambiano se vengono creati domini figli. Un insieme di strutture con due domini disporrà di otto ruoli FSMO: due a livello di insieme di strutture e tre specifici per ciascun dominio.

I cinque ruoli FSMO sono i seguenti:

Per spostare i ruoli FSMO da un computer a un altro, sono disponibili due diversi metodi. Il primo metodo comporta un trasferimento ed è quello consigliato, ma può essere utilizzato solo se entrambi i computer interessati sono in esecuzione. Se invece il computer che detiene i ruoli FSMO è attualmente non in linea si utilizza il secondo metodo, che richiede l'utilizzo dello strumento Ntdsutil.exe per l'assegnazione dei ruoli.

NOTA: assegnare i ruoli FSMO agli altri controller di dominio Active Directory solo se è necessario rimuovere il computer che detiene il ruolo FSMO dal dominio o dall'insieme di strutture.

Per assegnare o trasferire i ruoli FSMO utilizzando lo strumento Ntdsutil, attenersi alla procedura descritta di seguito:

  1. In qualsiasi controller di dominio fare clic sul pulsante Start, scegliere Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.

    NOTA: Microsoft consiglia di utilizzare il controller di dominio che assumerà i ruoli FSMO.
  2. Digitare roles, quindi premere INVIO.

    NOTA: per visualizzare un elenco dei comandi disponibili a ciascuno dei prompt dello strumento Ntdsutil, digitare
    ?, quindi premere INVIO.
  3. Digitare connections, quindi premere INVIO.
  4. Digitare connect to server nomeserver, dove nomeserver è il nome del server che si desidera utilizzare, quindi premere INVIO.
  5. Al prompt server connections: digitare q, quindi premere di nuovo INVIO.
  6. Digitare seize ruolo, dove ruolo è il ruolo che si desidera assegnare. Per un elenco dei ruoli che è possibile assegnare, digitare ? al prompt Fsmo maintenance:, quindi premere INVIO oppure consultare l'elenco dei ruoli riportato all'inizio di questo articolo. Per assegnare ad esempio il ruolo Master RID, digitare seize rid master. L'unica eccezione riguarda il ruolo Emulatore PDC, la cui sintassi sarà "seize pdc" anziché "seize pdc emulator".

    NOTA: tutti e cinque i ruoli devono trovarsi all'interno dell'insieme di strutture. Se il primo controller di dominio si trova al di fuori dell'insieme di strutture, sarà necessario assegnare tutti i ruoli. Determinare quali ruoli dovranno essere assegnati ai controller di dominio restanti, in modo che i cinque ruoli non risultino assegnati a un unico server.

    Microsoft consiglia di assegnare tutti i ruoli solo nel caso in cui l'altro controller di dominio non venga reinserito nel dominio, oppure di correggere il controller di dominio interrotto con i ruoli.

    Se il controller di dominio originale a cui sono assegnati i ruoli FSMO è ancora in linea, è consigliabile trasferire i ruoli. Digitare
    transfer ruolo.
  7. Una volta assegnati o trasferiti i ruoli, digitare q, quindi premere INVIO fino a uscire dallo strumento Ntdsutil.

NOTA: non assegnare il ruolo Master infrastrutture allo stesso controller di dominio del server di catalogo globale.

Per verificare se un controller di dominio è anche un server di catalogo globale:

  1. Fare clic sul pulsante Start, scegliere Programmi, quindi Strumenti di amministrazione e infine Siti e servizi di Active Directory.
  2. Fare doppio clic su Siti nel riquadro sinistro, quindi passare al sito appropriato oppure fare clic su Nome-predefinito-primo-sito, qualora non sia disponibile alcun altro sito.
  3. Aprire la cartella Server e fare clic sul controller di dominio.
  4. Nella cartella del controller di dominio fare doppio clic su Impostazioni NTDS.
  5. Scegliere Proprietà dal menu Azione.
  6. Nella scheda Generico verificare che la casella di controllo Catalogo globale sia selezionata.

Per ulteriori informazioni sui ruoli FSMO, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

197132 Windows 2000 Active Directory FSMO Roles

223787 Flexible Single Master Operation Transfer and Seizure Process

NOTA: non assegnare il ruolo Master infrastrutture allo stesso controller di dominio del server di catalogo globale. Se il Master infrastrutture viene eseguito su un server di catalogo globale, smetterà di aggiornare le informazioni degli oggetti in quanto non disporrà di alcun riferimento a oggetti non contenuti in tale server. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto presente nell'insieme di strutture.


HOW TO: View and Transfer FSMO Roles in the Graphical User Interface (http://support.microsoft.com/default.aspx?scid=kb;en-us;255690)

The information in this article applies to:
This article was previously published under Q255690
For a Microsoft Windows Server 2003 version of this article, see 324801.

IN THIS TASK

SUMMARY

There are five Flexible Single Master Operations (FSMO) roles in a Windows 2000 forest. There are two ways to transfer a FSMO role in Windows 2000. This article describes how to transfer all five FSMO roles by using Microsoft Management Console (MMC) snap-ins. The five FSMO roles are:

For additional information about FSMO roles in Windows 2000, click the article number below to view the article in the Microsoft Knowledge Base:

197132 Windows 2000 Active Directory FSMO Roles

Note To successfully perform the steps in this article, you must be a member of the Enterprise Administrators group.

Transferring FSMO Roles with MMC Tools

You can transfer all five FSMO roles through the MMC tool in Windows 2000. In order for a transfer to work both computers must be available on-line. If a computer no longer exists, then the role must be seized. To seize a role, you must use a utility called Ntdsutil. For additional information, click the following article number to view the article in the Microsoft Knowledge Base:

255504 Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller

Transferring the Domain-Specific Roles: RID, PDC, and Infrastructure Master

  1. Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Users and Computers.
  2. Right-click the icon next to Active Directory Users and Computers, and then click Connect to Domain Controller.NOTE: If you are not on the domain controller where you want to transfer the role ,you need to take this step. It is not necessary if you are connected to the domain controller whose role you want to transfer.

     
  3. Click the domain controller which will be the new role holder, and then click OK.
  4. Right-click Active Directory Users and Computers icon, and then click Operation Masters.
  5. In the Change Operations Master dialog box, click the appropriate tab (RID, PDC, or Infrastructure) for the role you want to transfer.
  6. Click Change in the Change Operations Master dialog box.
  7. Click OK to confirm that you want to transfer the role.
  8. Click OK.
  9. Click Cancel to close the dialog box.

Transferring the Domain Naming Master role

  1. Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Domains and Trusts.
  2. Right-click the Active Directory Domains and Trusts icon, and then click Connect to Domain Controller.NOTE: If you are not on the domain controller where you want to transfer the role ,you need to take this step. It is not necessary if you are connected to the domain controller whose role you want to transfer.

     
  3. click the domain controller that will be the new role holder, and then click OK.
  4. Right-click Active Directory Domains and Trusts, and then click Operation Masters.
  5. In the Change Operations Master dialog box, click Change.
  6. Click OK to confirm that you want to transfer the role.
  7. Click OK.
  8. Click Cancel to close the dialog box.

Transferring the Schema Master Role

You can use the Schema Master tool to transfer the role. However, the Schmmgmt.dll dynamic-link library must be registered in order to make the Schema tool available as an MMC snap-in.

Registering the Schema Tool

  1. Click Start, and then click Run.
  2. Type regsvr32 schmmgmt.dll, and then click OK. A message should be displayed stating that the registration was successful.

Transferring the Schema Master Role

  1. Click Start, click run, type mmc, and then click OK.
  2. On the Console, menu click Add/Remove Snap-in.
  3. Click Add.
  4. Click Active Directory Schema.
  5. Click Add.
  6. Click Close to close the Add Standalone Snap-in dialog box.
  7. Click OK to add the snap-in to the console.
  8. Right-click the Active Directory Schema icon, and then click Change Domain Controller.NOTE: If you are not on the domain controller where you want to transfer the role ,you need to take this step. It is not necessary if you are connected to the domain controller whose role you want to transfer.
  9. Click Specify Domain Controller, type the name of the domain controller that will be the new role holder, and then click OK.
  10. Right-click Active Directory Schema, and then click Operation Masters.
  11. In the Change Schema Master dialog box, click Change.
  12. Click OK.
  13. Click OK .
  14. Click Cancel to close the dialog box.

Creating Windows 9x Home Directories on Windows NT Server (http://support.microsoft.com/default.aspx?scid=kb;en-us;137979)

The information in this article applies to:
This article was previously published under Q137979

SYMPTOMS

Your Windows 95 clients cannot connect to their home directories even though you create a profile in Windows NT User Manager that specifies the Windows 95 users' home directory and drive letter to use for the connection.

CAUSE

Administrators cannot assign a home directory to Win 9x clients when they create users in User Manager. For Win9x, the home directory cannot be assigned in the user properties. This needs to be done in a logon script. The logon script can be run for all users but it simply fails for NT clients because their home directory is already assigned in user properties.

RESOLUTION

To allow Windows 95 users to connect to their home directories on the server, create a logon script to connect a Windows 95 client to a home directory and configure your Windows NT Primary Domain Controller (PDC) as follows:

  1. Create a test logon script on the Windows NT PDC for Windows 95 client workstations:
           echo on
           net use * /HOME
           pause
  2. Place the script file in the SYSTEM32\REPL\IMPORT\SCRIPTS directory on the Windows NT PDC. (You may also want to set up File Replication so the logon scripts you create are available on all domain controllers.)
  3. Make sure that the test user logging on has Full control of the \SCRIPTS directory and at least Read permission on the Netlogon share (the default share of \WINNT35\SYSTEM32\REPL\IMPORT\SCRIPTS).
  4. Create a subdirectory called TEST in the shared Users directory. By default the shared Users directory is C:\USERS.
  5. Share the Test subdirectory with the share name TEST and give the test user 'Full Control' permission to the share.
  6. Run User Manager for Domains and select the user for the test.
  7. From the User menu, choose Properties.
  8. Choose Profile in the User Properties dialog box.
  9. Type the test logon script name in the Logon Script Name field.
  10. Under Home Directory, in the To field type:

    \\<server_name>\TEST

    NOTE: Ignore the drive letter in the Connect field.

  11. Log on as the test user at the Windows 95 client.

    The following text appears at the command prompt:

    c:\win95>echo on
    c:\win95>net use * /home
    d: connected to \\<servername>\TEST
    c:\win95> pause
    Press any key to continue. . .

  12. On the Windows 95 client, press any key to continue. Then doubleclick the My Computer icon.

    NOTE: In My Computer, the home directory maps to D: (or the next available drive letter on the client).
  13. If the logon script executes correctly, you may delete the Echo On and pause lines from your script resulting in your script consisting of only the following line:

    net use * /HOME

    NOTE: You may specify a drive letter in place of the Next Available Drive symbol, the star (*). You may also rename the Users\Test directory to any name; be sure to make the corresponding changes wherever this new directory name is used.

MORE INFORMATION

Using NET USE * /HOME from Multiple MS-DOS Command Prompts

If you use the NET USE * /HOME command from more than one MS-DOS command prompt in Windows 95, your current directory is going to be set incorrectly. Your current directory is going to be the root of the server containing your home directory instead of your default home directory.


Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;216498)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I216498

Sommario

In questo articolo viene descritto come rimuovere dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio.

Informazioni

ATTENZIONE: se si utilizza uno snap-in ADSI Edit, l'utilità LDP o qualsiasi altro client LDAP versione 3 e si modificano erroneamente gli attributi degli oggetti di Active Directory, è possibile causare seri problemi che potrebbero richiedere la reinstallazione di Microsoft Windows 2000 Server e/o Microsoft Exchange 2000 Server. Microsoft non garantisce che i problemi derivanti dall'errata modifica degli attributi di oggetti di Active Directory possano essere risolti. La modifica di tali attributi è a rischio e pericolo dell'utente.

L'utilità DCPROMO (Dcpromo.exe) viene utilizzata per alzare di livello un server a controller di dominio e per abbassare di livello un controller di dominio a server membro oppure a server autonomo in un gruppo di lavoro se il controller di dominio è l'ultimo del dominio. Nell'ambito del processo di abbassamento di livello l'utilità DCPROMO consente di rimuovere da Active Directory i dati di configurazione relativi al controller di dominio. Questi dati assumono la forma di un oggetto "Impostazioni NTDS" presente come figlio dell'oggetto server in Gestione siti e servizi di Active Directory.

Le informazioni sono memorizzate nella seguente posizione in Active Directory:

CN=Impostazioni NTDS,CN=<nome server>,CN=Server,CN=<nomesito>,CN=Siti,CN=Configurazione,DC=<dominio>...

Gli attributi dell'oggetto Impostazioni NTDS includono i dati che rappresentano la modalità di identificazione del controller di dominio in relazione ai partner di replica, i contesti dei nomi mantenuti nel computer, se il controller di dominio è un server di catalogo globale e i criteri di ricerca predefiniti. L'oggetto Impostazioni NTDS è inoltre un contenitore nel quale possono essere inclusi oggetti figlio che rappresentano i partner di replica diretti del controller di dominio. Questi dati sono richiesti per il funzionamento del controller di dominio nell'ambiente, ma vengono rimossi dopo l'abbassamento di livello.

Se l'oggetto Impostazioni NTDS non viene rimosso correttamente, ad esempio a seguito di un tentativo di abbassamento di livello, l'amministratore potrà impiegare l'utilità Ntdsutil.exe per rimuovere manualmente questo oggetto. Di seguito è illustrata la procedura per rimuovere l'oggetto Impostazioni NTDS da Active Directory per un determinato controller di dominio. In ogni menu di NTDSUTIL è possibile digitare
help per visualizzare ulteriori informazioni sulle opzioni disponibili.

ATTENZIONE: prima di rimuovere manualmente l'oggetto Impostazioni NTDS per qualsiasi server, l'amministratore dovrà inoltre verificare che dopo l'abbassamento di livello sia stata eseguita l'operazione di replica. L'uso improprio dell'utilità NTDSUTIL può causare la perdita parziale o totale delle funzionalità di Active Directory.

  1. Fare clic sul pulsante Start, scegliere Programmi, Accessori, quindi fare clic su Prompt dei comandi.
  2. Al prompt dei comandi digitare ntdsutil.
  3. Digitare metadata cleanup, quindi premere INVIO. A seconda delle opzioni fornite, l'amministratore potrà procedere alla rimozione, tuttavia prima di completare l'operazione sarà necessario specificare ulteriori parametri di configurazione.
  4. Digitare connections e premere INVIO. Questo menu viene utilizzato per stabilire la connessione al server specifico sul quale vengono eseguite le modifiche. Se l'utente attualmente connesso non dispone di privilegi amministrativi, prima di stabilire la connessione è possibile fornire credenziali alternative specificando quali si desidera utilizzare. A questo scopo digitare set creds nome dominio nomeutente password e premere INVIO. Se non si desidera immettere una password, digitare null come parametro per la password.
  5. Digitare connect to server nomeserver, quindi premere INVIO. Verrà visualizzato un messaggio per confermare che la connessione è stata stabilita. Se si verifica un errore, assicurarsi che il controller di dominio utilizzato durante la connessione sia disponibile e che le credenziali fornite dispongano di privilegi amministrativi sul server.

    NOTA: se si stabilisce la connessione allo stesso server che si desidera rimuovere, quando si tenta di procedere all'eliminazione del server specificato nel passaggio 15, è possibile che venga visualizzato un messaggio di errore simile al seguente:
     
    Errore 2094. Impossibile eliminare l'oggetto DSA0x2094
  6. Digitare quit e premere INVIO. Verrà visualizzato il menu Metadata Cleanup.
  7. Digitare select operation target e premere INVIO.
  8. Digitare list domains e premere INVIO. Verrà visualizzato un elenco dei domini nell'insieme di strutture, ognuno con un numero associato.
  9. Digitare select domain numero e premere INVIO, dove numero è il numero associato al dominio di cui è membro il server che si desidera rimuovere. Il dominio selezionato viene utilizzato per determinare se il server in fase di rimozione è l'ultimo controller di dominio presente nel dominio.
  10. Digitare list sites e premere INVIO. Verrà visualizzato un elenco di siti, ognuno con un numero associato.
  11. Digitare select site numero e premere INVIO, dove numero è il numero associato al sito di cui è membro il server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l'indicazione del sito e del dominio scelti.
  12. Digitare list servers in site e premere INVIO. Verrà visualizzato un elenco dei server nel sito, ognuno con un numero associato.
  13. Digitare select server numero, dove numero è il numero associato al server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l'indicazione del server selezionato, il relativo nome host DNS (Domain Name Server) e il percorso dell'account computer del server che si desidera rimuovere.
  14. Digitare quit e premere INVIO. Verrà visualizzato il menu Metadata Cleanup.
  15. Digitare remove selected server e premere INVIO. Verrà visualizzato un messaggio per confermare che la rimozione è stata completata. Se viene visualizzato il seguente messaggio d'errore:
     
    Errore 8419 (0x20E3)
    Impossibile trovare l'oggetto DSA.

    è possibile che l'oggetto Impostazioni NTDS sia già stato rimosso da Active Directory a seguito di un'operazione di rimozione eseguita da un altro amministratore o della replica della rimozione dell'oggetto tramite l'utilità DCPROMO.

    NOTA: questo messaggio di errore potrebbe essere visualizzato anche quando si tenta di eseguire il binding al controller di dominio in fase di rimozione. Il binding tramite Ntdsutil deve essere eseguito a un controller di dominio diverso da quello che si sta per rimuovere con il comando metadata cleanup.

  16. Digitare quit in ognuno dei menu per uscire dall'utilità NTDSUTIL. Verrà visualizzato un messaggio per confermare che la connessione è stata terminata.
  17. Rimuovere il record cname nella zona _msdcs. dominio principale dell'insieme di strutture in DNS. Presupponendo che il controller di dominio verrà reinstallato e alzato nuovamente di livello, viene creato un nuovo oggetto Impostazioni NTDS con un nuovo GUID (Globally Unique Identifier) e un record cname corrispondente in DNS. Non è opportuno utilizzare il vecchio record cname per i controller di dominio esistenti.

    La soluzione migliore è quella di eliminare il nomehost e altri record di DNS. Se viene superata la durata del lease rimanente per l'indirizzo DHCP (Dynamic Host Configuration Protocol) assegnato al server non in linea, un altro client potrà ottenere l'indirizzo IP del controller di dominio sul quale si è verificato il problema.

Dopo avere eliminato l'oggetto Impostazioni NTDS, è possibile procedere alla rimozione dei seguenti oggetti:

  1. Utilizzare ADSIEdit per eliminare l'account computer in OU=Controller di dominio,DC=dominio...

    NOTA: l'oggetto Sottoscrittore FRS viene eliminato quando si elimina l'oggetto Computer, essendo figlio dell'account computer.
  2. Utilizzare ADSIEdit per eliminare l'oggetto Membro FRS in CN=Volume di sistema del dominio (condivisione SYSVOL),CN=servizio Replica file,CN=sistema....
  3. Nella console DNS utilizzare DNS MMC per eliminare il record cname (definito anche Alias) nel contenitore _msdcs.
  4. Nella console DNS utilizzare DNS MMC per eliminare il record A (definito anche Host) in DNS.
  5. Se il computer eliminato era l'ultimo controller di dominio in un dominio figlio ed è stato eliminato anche quest'ultimo, utilizzare ADSIEdit per eliminare l'oggetto trustDomain dal dominio figlio in CN=Sistema, DC=dominio, DC=dominio, Contesto dei nomi di dominio.

HOW TO: Eseguire un ripristino autorevole su un controller di dominio (http://support.microsoft.com/default.aspx?scid=kb;it;241594)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I241594
 

CONTENUTO DELL'ATTIVITÀ

Sommario

In questo articolo viene descritto come eseguire un ripristino autorevole di Active Directory su un controller di dominio basato su Windows 2000.

Durante una normale operazione di ripristino di file, Microsoft Windows Backup viene eseguito in modalità di ripristino non autorevole. Quando è attiva questa modalità, vengono ripristinati tutti i file, inclusi gli oggetti di Active Directory, con i relativi numeri di sequenza di aggiornamento (USN) originali. Il sistema di replica di Active Directory utilizza i numeri USN per rilevare e replicare le modifiche di Active Directory a tutti i controller di dominio della rete. Tutti i dati ripristinati in modo non autorevole vengono visti dal sistema di replica di Active Directory come dati obsoleti. I dati obsoleti non vengono mai replicati ad altri controller di dominio. Il sistema di replica di Active Directory aggiorna i dati ripristinati con i dati più recenti da altri controller di dominio. L'esecuzione di un ripristino autorevole consente di risolvere questo problema.

NOTA: utilizzare il ripristino autorevole con estrema cautela, a causa dell'impatto che potrebbe avere su Active Directory. Un ripristino autorevole deve essere eseguito subito dopo il ripristino del computer da un precedente backup, prima di riavviare il controller di dominio in modalità normale. Durante l'esecuzione di un ripristino autorevole tutti gli oggetti e gli attributi memorizzati in Active Directory vengono replicati a ogni controller di dominio nell'insieme di strutture. Per eseguire un ripristino autorevole nel computer, è necessario utilizzare lo strumento Ntdsutil.exe per apportare le necessarie modifiche degli USN al database di Active Directory.
 

Esecuzione di un ripristino autorevole

Dopo il ripristino dei dati utilizzare Ntdsutil.exe per eseguire il ripristino autorevole:
 

  1. Al prompt dei comandi digitare ntdsutil , quindi premere INVIO.
  2. Digitare authoritative restore e premere INVIO.
  3. Digitare restore database , premere INVIO, scegliere OK, quindi fare clic su .

Ripristino di una sottostruttura

In molti casi potrebbe essere inopportuno ripristinare l'intero database, a causa dell'impatto che la replica avrebbe sul dominio e sull'insieme di strutture. La procedura che segue consentirà di eseguire un ripristino autorevole di una sottostruttura in un insieme di strutture.
 

  1. Riavviare il controller di dominio.
  2. Quando viene visualizzato il menu di avvio di Windows 2000 selezionare Modalità di ripristino servizi directory, quindi premere INVIO.
  3. Al prompt dei comandi digitare "ntdsutil" (senza virgolette), quindi premere INVIO.
  4. Digitare "authoritative restore" (senza virgolette), quindi premere INVIO.
  5. Digitare "restore subtree "ou=<Nome UO>,dc=<nome dominio>,dc=<xxx>"" (senza virgolette), quindi premere INVIO, dove <Nome UO> è il nome dell'unità organizzativa che si desidera ripristinare, <nome dominio> è il nome di dominio in cui risiede l'UO e <xxx> è il nome di dominio di livello superiore del controller di dominio, ad esempio com, org o net.
  6. Digitare "quit" (senza virgolette), premere INVIO, digitare "quit" (senza virgolette), quindi premere INVIO.
  7. Digitare "exit" (senza virgolette), quindi premere INVIO.
  8. Riavviare il controller di dominio.

RIFERIMENTI

Per ulteriori informazioni sul ripristino dello stato del sistema su un controller di dominio da un backup precedente, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

240363HOW TO: Eseguire il backup e ripristinare lo stato del sistema utilizzando il programma di backup di Windows 2000Per ulteriori informazioni sull'impatto di un ripristino autorevole, fare clic sui numeri degli articoli della Knowledge Base riportati di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):
216243 Authoritative Restore of Active Directory and Impact on Trusts and Computer Accounts
248132HOW TO: Ripristino dell'account computer di un controller di dominio eliminato


HOW TO: Eseguire il backup e ripristinare lo stato del sistema utilizzando il programma di backup di Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;240363)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I240363
 

CONTENUTO DELL'ATTIVITÀ

Sommario

In questo articolo viene descritto come eseguire, se lo si desidera, il backup dello stato del sistema servendosi del relativo programma di Windows 2000 per il backup e il ripristino dei dati di sistema di importanza cruciale. Quando si sceglie di eseguire il backup dello stato del sistema su un controller di dominio, sono presenti i seguenti elementi:

Quando si esegue il backup dello stato del sistema in un computer che non è un controller di dominio, sono presenti i seguenti elementi:

Quando si esegue il backup su un server membro o controller di dominio in cui è installato Certificate Server, è presente anche il seguente elemento:

Servendosi del programma di backup di Windows 2000 è possibile eseguire il backup e il ripristino di Active Directory in controller di dominio in cui è installato Windows 2000. L'operazione di backup può essere eseguita mentre il controller di dominio è in linea. L'operazione di ripristino può invece essere eseguita solo quando il controller di dominio viene avviato in modalità ripristino servizi directory, premendo F8 durante l'avvio del server.

Eseguire il backup dello stato del sistema su un controller di dominio

  1. Fare clic sul pulsante Start, scegliere Programmi, Accessori, Utilità di sistema e infine Backup.
  2. Scegliere la scheda Backup.
  3. Selezionare la casella di controllo Stato del sistema. Tutti i componenti di cui eseguire il backup sono elencati nel riquadro di destra. Non è possibile selezionare ciascun elemento singolarmente.

    NOTA: durante il backup dello stato del sistema è necessario selezionare il backup della cartella Winnt\Sysvol. Occorre inoltre selezionare questa opzione durante l'operazione di ripristino perché in seguito a tale operazione sysvol sia funzionante.

Le seguenti informazioni si applicano solo ai controller di dominio. È possibile ripristinare i server membri nello stesso modo, ma in modalità normale.

Se non vengono soddisfatte tutte le condizioni riportate di seguito, lo stato del sistema non viene ripristinato. Il tentativo di ripristinare lo stato del sistema non ha esito positivo.

Ripristinare lo stato del sistema su un controller di dominio

  1. Per ripristinare lo stato del sistema su un controller di dominio, prima riavviare il computer in modalità ripristino servizi directory. Per eseguire questa operazione, riavviare il computer e premere F8 mentre è visualizzato il menu di avvio.
  2. Scegliere Modalità ripristino servizi directory.
  3. Chiudere l'installazione di Windows 2000 di cui si desidera eseguire il ripristino e premere INVIO.
  4. Al prompt di accesso fornire le credenziali per la modalità ripristino servizi directory immesse durante il l'esecuzione di Dcpromo.exe.
  5. Scegliere OK per confermare che si utilizza la modalità provvisoria.
  6. Fare clic sul pulsante Start, scegliere Programmi, Accessori, Utilità di sistema e infine Backup.
  7. Scegliere la scheda Ripristina.
  8. Scegliere il supporto di backup corretto e lo stato del sistema da ripristinare.

    NOTA: durante l'operazione di ripristino è necessario selezionare per il ripristino la cartella Winnt\Sysvol perché sysvol sia funzionante dopo tale processo. Verificare inoltre che sia selezionata l'opzione avanzata per il ripristino dei "punti di congiunzione e dei dati" prima di procedere al ripristino. I punti di congiunzione sysvol verranno in tal modo ricreati.
  9. Nella casella Restore Files to scegliere Percorso alternativo.

    NOTA: quando si sceglie di ripristinare un file in un altro percorso o in un singolo file, non tutti i dati di stato del sistema vengono ripristinati. Queste opzioni sono utilizzate in larga misura per i file di avvio o le chiavi del Registro di sistema.
  10. Scegliere Start Restore.
  11. Riavviare il computer una volta completato il processo di ripristino.

HOW TO: Ripristino dell'account computer di un controller di dominio eliminato (http://support.microsoft.com/default.aspx?scid=kb;IT;248132)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I248132
 

CONTENUTO DELL'ATTIVITÀ

Sommario

In questo articolo viene illustrato come ripristinare l'account computer di un controller di dominio che è stato eliminato accidentalmente.

Poiché l'Installazione guidata Active Directory richiede una connessione attiva a un altro controller di dominio del dominio, non è possibile utilizzarla per abbassare e quindi alzare di livello il controller di dominio isolato.

Per ripristinare un account computer del controller di dominio isolato, utilizzare il metodo corretto:
 

Metodo 1

  1. Eseguire il programma di installazione di Windows 2000 sul controller di dominio isolato per reinstallare il sistema operativo.
  2. Configurare il computer come controller di dominio.

Metodo 2

NOTA: la seguente procedura deve essere eseguita sul controller di dominio isolato e su tutti gli altri controller di dominio del dominio.

  1. Riavviare il controller di dominio.
  2. Quando viene visualizzato il menu di avvio di Windows 2000, selezionare Modalità di ripristino servizi directory, quindi premere INVIO.
  3. Al prompt dei comandi digitare ntdsutil, quindi premere INVIO.
  4. Ripristinare lo stato del sistema da un set di backup creato prima dell'eliminazione dell'account computer.
  5. Digitare authoritative restore, quindi premere INVIO.
  6. Digitare restore subtree "cn= controller di dominio,ou=Domain Controllers,dc= nome dominio,dc= xxx " e premere INVIO, dove controller di dominio è il nome computer del controller di dominio, nome dominio è il nome di dominio in cui risiede il controller di dominio e xxx è il nome di dominio di livello superiore del controller di dominio, ad esempio com, org o net.
  7. Digitare quit, premere INVIO, digitare quit, quindi premere INVIO.
  8. Digitare exit, quindi premere INVIO.
  9. Riavviare il controller di dominio.

RIFERIMENTI


Per ulteriori informazioni sui controller di dominio isolati, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

230306 How to Remove Orphaned Domains from Active Directory

Per ulteriori informazioni sull'innalzamento e l'abbassamento di livello dei controller di dominio, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

238369Promozione e retrocessione del controller di dominio in server membro in Windows 2000

Per ulteriori informazioni sull'esecuzione di un ripristino autorevole, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (informazioni in lingua inglese):

241594HOW TO: Eseguire un ripristino autorevole su un controller di dominio


Promozione e retrocessione del controller di dominio in server membro in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;238369)

Le informazioni in questo articolo si applicano a
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I238369

Sommario

In questo articolo viene descritto come promuovere o retrocedere un controller di dominio in un server autonomo in Windows 2000. La promozione di un server in un controller di dominio implica l'installazione dei servizi Active Directory su tale server. La retrocessione di un controller di dominio implica invece la rimozione di Active Directory e l'attivazione di un UAS (User Accounts System) locale. Prima di promuovere un server in un controller di dominio, è necessario pianificare la struttura in modo che risulti adeguata alle esigenze organizzative e alle topologie di rete. Di seguito sono riportate le opzioni disponibili per un amministratore che intenda promuovere un server a controller di dominio:

Si consiglia la lettura del documento "Migrating from Microsoft Windows NT Server 4.0 to Windows 2000 Server" disponibile presso il seguente sito Web di Microsoft (informazioni in lingua inglese):

http://www.microsoft.com/ntserver/nts/deployment/migration/nt4tont5/1_Introduction.asp

Il servizio DNS (Domain Name System) rappresenta una parte integrante di Active Directory per la risoluzione dei nomi. DNS definisce lo spazio dei nomi Windows 2000 ed è caratterizzato da un'estrema flessibilità. Per ulteriori informazioni sui requisiti e l'installazione di DNS, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (informazioni in lingua inglese):

237675Configurazione di Domain Name System (DNS) per Active Directory

Dopo aver pianificato la configurazione e decisa l'opzione da adottare durante il processo di promozione, utilizzare la procedura riportata nella sezione appropriata. Le sezioni che seguono contengono tutte le informazioni necessarie per il processo di promozione.

Informazioni

Installazione del primo controller di dominio in un nuovo insieme di strutture

NOTA: è necessario installare un server DNS in un momento qualsiasi prima o durante il processo di promozione. Una volta promosso il computer a controller di dominio, verranno registrati i servizi di DNS che consentono di eseguire query LDAP (Lightweight Directory Access Protocol) sulla directory di tale controller.

  1. Fare clic su Start, scegliere Esegui, digitare dcpromo , quindi scegliere OK.
  2. Verrà avviata l'Installazione guidata di Active Directory. Fare clic su Avanti.
  3. Nel corso dell'Installazione guidata di Active Directory verranno poste alcune domande che consentiranno di stabilire il ruolo di questo server. Poiché il server viene installato come primo controller di dominio nell'insieme di strutture, fare clic su Controller di dominio di un nuovo dominio.
  4. Fare clic su Avanti.
  5. Poiché questo controller di dominio sarà anche il primo controller di una nuova struttura di dominio, fare clic su Crea una nuova struttura di dominio.
  6. Fare clic su Avanti.
  7. Poiché questo sarà il primo controller di dominio del nuovo insieme di strutture, sarà anche il primo dominio dell'organizzazione, pertanto fare clic su Crea un nuovo insieme di strutture di dominio.
  8. Fare clic su Avanti.
  9. Nella schermata Nome nuovo dominio digitare il nome DNS completo del nuovo dominio utilizzando il formato di un nome di dominio completo, ad esempio Microsoft.com.
  10. Nella schermata Nome NetBIOS del dominio la casella Nome NetBIOS viene compilata con la prima parte del nome completo del dominio, ad esempio MICROSOFT.
  11. Nelle caselle Percorso database e Percorso registro viene indicato il percorso predefinito (Rootdrive\Winnt\Ntds). Per prestazioni ottimali e un più rapido ripristino, memorizzare il database e i registri in un disco rigido diverso. Specificare un altro disco rigido nel campo Posizione registro.
  12. Fare clic su Avanti.
  13. Nella schermata Volume di sistema condiviso la posizione predefinita Rootdrive\Winnt\Sysvol è accettabile finché per il volume viene utilizzato il file system NTFS. Questa posizione è obbligatoria per la cartella Sysvol.
  14. Fare clic su Avanti.
  15. Se non è disponibile un server DNS, viene visualizzato il messaggio "La procedura guidata non riesce a contattare il server DNS che gestisce il nome Nome dominio per determinare se supporta l'aggiornamento dinamico. Controllare la configurazione DNS o installare e configurare un server DNS nel computer".
  16. Scegliere OK.
  17. Nella schermata Configurazione di DNS fare clic su Sì, installare e configurare il DNS su questo computer (scelta consigliata).
  18. Fare clic su Avanti.
  19. Nella schermata Server RAS di Windows NT 4.0 scegliere se si desidera o meno consentire l'accesso RAS (Remote Access Services) a questo server. Fare clic su Avanti.
  20. Nella schermata Password di amministratore modalità ripristino servizi directory specificare una password di amministratore da utilizzare per l'avvio del computer in modalità ripristino servizi directory. È possibile utilizzare la modalità ripristino servizi directory quando è necessario ripristinare il database di Active Directory.

    NOTA: assicurarsi di prendere nota della password. Senza password non sarà possibile ripristinare Active Directory in caso di necessità.
  21. Nella schermata Riepilogo confermare le opzioni, quindi fare clic su Avanti.
  22. Per verificare che Active Directory sia installato, esaminare i messaggi visualizzati. Una volta installato Active Directory, fare clic su Fine per uscire dalla procedura guidata.
  23. Riavviare il computer.

Installazione del primo controller di dominio in un insieme di strutture esistente

NOTA: l'installazione e la configurazione del servizio DNS su questo computer dipende dalla struttura del spazio dei nomi. Se le impostazioni TCP/IP sono configurate correttamente in modo da puntare a un server DNS esistente, non è necessario installare il servizio DNS su questo server.

  1. Fare clic su Start, scegliere Esegui, digitare dcpromo , quindi scegliere OK.
  2. Verrà avviata l'Installazione guidata di Active Directory. Fare clic su Avanti.
  3. Nel corso dell'Installazione guidata di Active Directory verranno poste alcune domande che consentiranno di stabilire il ruolo di questo server. Poiché il server viene installato come primo controller di dominio nell'insieme di strutture, fare clic su Controller di dominio di un nuovo dominio.
  4. Fare clic su Avanti.
  5. Poiché questo controller di dominio sarà anche il primo controller di una nuova struttura di dominio, fare clic su Crea una nuova struttura di dominio.
  6. Fare clic su Avanti.
  7. Poiché questo non sarà il primo controller di dominio del nuovo insieme di strutture, non sarà nemmeno il primo dominio dell'organizzazione, pertanto fare clic su Inserisci la nuova struttura di dominio in un insieme di strutture esistente.
  8. Fare clic su Avanti.
     
  9. Nella schermata successiva verranno richieste le credenziali di rete. Digitare il nome utente, la password e il nome di dominio per l'account da utilizzare per questa operazione. L'account deve disporre di privilegi amministrativi completi. Il formato del nome di dominio può essere quello FDQN.
  10. Nella schermata Nuova struttura di dominio digitare il nome DNS completo del nuovo dominio utilizzando il formato di un nome di dominio completo, ad esempio Microsoft.com.
  11. Nella schermata Nome NetBIOS del dominio la casella Nome NetBIOS viene compilata con la prima parte del nome completo del dominio, ad esempio MICROSOFT.
  12. Nelle caselle Percorso database e Percorso registro viene indicato il percorso predefinito (Rootdrive\Winnt\Ntds). Per prestazioni ottimali e un più rapido ripristino, memorizzare il database e i registri in un disco rigido diverso. Specificare un altro disco rigido nel campo Posizione registro.
  13. Fare clic su Avanti.
  14. Nella schermata Volume di sistema condiviso la posizione predefinita Rootdrive\Winnt\Sysvol è accettabile finché per il volume viene utilizzato il file system NTFS. Questa posizione è obbligatoria per la cartella Sysvol.
  15. Fare clic su Avanti.
  16. Se non è disponibile un server DNS, viene visualizzato il messaggio "La procedura guidata non riesce a contattare il server DNS che gestisce il nome Nome dominio per determinare se supporta l'aggiornamento dinamico. Controllare la configurazione DNS o installare e configurare un server DNS nel computer".
  17. Scegliere OK.
  18. Nella schermata Configurazione di DNS fare clic su Sì, installare e configurare il DNS su questo computer (scelta consigliata).
  19. Fare clic su Avanti.
  20. Nella schermata Server RAS di Windows NT 4.0 scegliere se si desidera o meno consentire l'accesso RAS (Remote Access Services) a questo server. Fare clic su Avanti.
  21. Nella schermata Password di amministratore modalità ripristino servizi directory specificare una password di amministratore da utilizzare per l'avvio del computer in modalità ripristino servizi directory. È possibile utilizzare la modalità ripristino servizi directory quando è necessario ripristinare il database di Active Directory.

    NOTA: assicurarsi di prendere nota della password. Senza password non sarà possibile ripristinare Active Directory in caso di necessità.
  22. Nella schermata Riepilogo confermare le opzioni, quindi fare clic su Avanti.
  23. Per verificare che Active Directory sia installato, esaminare i messaggi visualizzati. Una volta installato Active Directory, fare clic su Fine per uscire dalla procedura guidata.
  24. Riavviare il computer.

Installazione del primo controller di dominio in un nuovo dominio figlio

NOTA: è necessario aver configurato correttamente le impostazioni DNS sul server prima di promuoverlo a controller di dominio in un dominio figlio. Durante il processo di promozione, il server deve risolvere il nome completo del dominio padre.

  1. Fare clic su Start, scegliere Esegui, digitare dcpromo , quindi scegliere OK.
  2. Verrà avviata l'Installazione guidata di Active Directory. Fare clic su Avanti.
  3. Nel corso dell'Installazione guidata di Active Directory verranno poste alcune domande che consentiranno di stabilire il ruolo di questo server. Poiché il server viene installato come primo controller di dominio di un nuovo dominio, fare clic su Controller di dominio di un nuovo dominio.
  4. Fare clic su Avanti.
  5. Poiché questo controller di dominio sarà anche il primo controller di un nuovo dominio figlio, fare clic su Crea un nuovo dominio figlio in una struttura di dominio esistente.
  6. Fare clic su Avanti.
  7. Nella schermata successiva verranno richieste le credenziali di rete. Digitare il nome utente, la password e il nome di dominio per l'account da utilizzare per questa operazione. L'account deve disporre di privilegi amministrativi completi. Per installare un dominio figlio, assicurarsi che il servizio DNS sia configurato correttamente in modo da individuare il dominio padre. Se il servizio DNS è configurato correttamente e il server punta al server DNS che contiene il nome di dominio corretto, è possibile specificare nella casella Dominio un nome di dominio completo.
  8. Nella schermata Installazione del dominio figlio digitare il nome DNS completo del dominio padre utilizzando il formato di un nome di dominio completo, ad esempio Microsoft.com.
  9. Nella casella Dominio figlio digitare il nome del dominio figlio, ad esempio Spese. Fare clic su Avanti.
  10. Nella schermata Nome NetBIOS del dominio la casella Nome NetBIOS viene compilata con la prima parte del nome completo del dominio, ad esempio Spese.
  11. Nelle caselle Percorso database e Percorso registro viene indicato il percorso predefinito (Rootdrive\Winnt\Ntds). Per prestazioni ottimali e un più rapido ripristino, memorizzare il database e i registri in un disco rigido diverso. Specificare un altro disco rigido nel campo Posizione registro.
  12. Fare clic su Avanti.
  13. Nella schermata Volume di sistema condiviso la posizione predefinita Rootdrive\Winnt\Sysvol è accettabile finché per il volume viene utilizzato il file system NTFS. Questa posizione è obbligatoria per la cartella Sysvol.
  14. Fare clic su Avanti.
  15. Se non è disponibile un server DNS, viene visualizzato il messaggio "La procedura guidata non riesce a contattare il server DNS che gestisce il nome Nome dominio per determinare se supporta l'aggiornamento dinamico. Controllare la configurazione DNS o installare e configurare un server DNS nel computer".
  16. Scegliere OK.
  17. Nella schermata Configurazione di DNS fare clic su Sì, installare e configurare il DNS su questo computer (scelta consigliata).
  18. Fare clic su Avanti.
  19. Nella schermata Server RAS di Windows NT 4.0 scegliere se si desidera o meno consentire l'accesso RAS (Remote Access Services) a questo server. Fare clic su Avanti.
  20. Nella schermata Password di amministratore modalità ripristino servizi directory specificare una password di amministratore da utilizzare per l'avvio del computer in modalità ripristino servizi directory. È possibile utilizzare la modalità ripristino servizi directory quando è necessario ripristinare il database di Active Directory.

    NOTA: assicurarsi di prendere nota della password. Senza password non sarà possibile ripristinare Active Directory in caso di necessità.
  21. Nella schermata Riepilogo confermare le opzioni, quindi fare clic su Avanti.
  22. Per verificare che Active Directory sia installato, esaminare i messaggi visualizzati. Una volta installato Active Directory, fare clic su Fine per uscire dalla procedura guidata.
  23. Riavviare il computer.

Installazione di un controller di dominio aggiuntivo per un dominio esistente

NOTA: è necessario aver configurato correttamente le impostazioni DNS sul server prima di promuoverlo a controller di dominio in un dominio esistente. Durante il processo di promozione, il server deve risolvere il nome completo del dominio.

  1. Fare clic su Start, scegliere Esegui, digitare dcpromo , quindi scegliere OK.
  2. Verrà avviata l'Installazione guidata di Active Directory. Fare clic su Avanti.
  3. Nel corso dell'Installazione guidata di Active Directory verranno poste alcune domande che consentiranno di stabilire il ruolo di questo server. Poiché il server viene installato come controller di dominio aggiuntivo in un dominio, fare clic su Controller aggiuntivo di dominio in un dominio esistente.
  4. Fare clic su Avanti.
  5. Nella schermata successiva verranno richieste le credenziali di rete. Digitare il nome utente, la password e il nome di dominio per l'account da utilizzare per questa operazione. L'account deve disporre di privilegi amministrativi completi. Il formato del nome di dominio non deve essere quello FDQN.
  6. Nella schermata Controller di dominio aggiuntivo digitare il nome DNS completo del dominio esistente utilizzando il formato di un nome di dominio completo, ad esempio Microsoft.com.
  7. Nelle caselle Percorso database e Percorso registro viene indicato il percorso predefinito (Rootdrive\Winnt\Ntds). Per prestazioni ottimali e un più rapido ripristino, memorizzare il database e i registri in un disco rigido diverso. Specificare un altro disco rigido nel campo Posizione registro.
  8. Fare clic su Avanti.
  9. Nella schermata Volume di sistema condiviso la posizione predefinita Rootdrive\Winnt\Sysvol è accettabile finché per il volume viene utilizzato il file system NTFS. Questa posizione è obbligatoria per la cartella Sysvol.
  10. Fare clic su Avanti.
  11. Se non è disponibile un server DNS, viene visualizzato il messaggio "La procedura guidata non riesce a contattare il server DNS che gestisce il nome Nome dominio per determinare se supporta l'aggiornamento dinamico. Controllare la configurazione DNS o installare e configurare un server DNS nel computer".
  12. Scegliere OK.
  13. Nella schermata Configurazione di DNS fare clic su Sì, installare e configurare il DNS su questo computer (scelta consigliata).
  14. Fare clic su Avanti.
  15. Nella schermata Server RAS di Windows NT 4.0 scegliere se si desidera o meno consentire l'accesso RAS (Remote Access Services) a questo server. Fare clic su Avanti.
  16. Nella schermata Password di amministratore modalità ripristino servizi directory specificare una password di amministratore da utilizzare per l'avvio del computer in modalità ripristino servizi directory. È possibile utilizzare la modalità ripristino servizi directory quando è necessario ripristinare il database di Active Directory.

    NOTA: assicurarsi di prendere nota della password. Senza password non sarà possibile ripristinare Active Directory in caso di necessità.
  17. Durante la fase di replica del processo di promozione, è disponibile un'opzione che consente di effettuare la replica in un secondo momento. È possibile scegliere quest'opzione per diversi motivi, ad esempio se si utilizza un collegamento lento durante la giornata e si desidera attendere la sera.
  18. Per verificare che Active Directory sia installato, esaminare i messaggi visualizzati. Una volta installato Active Directory, fare clic su Fine per uscire dalla procedura guidata.
  19. Riavviare il computer.

Rimozione di Active Directory dal controller di dominio

NOTA: se si retrocede un controller di dominio non utilizzato per ultimo nel dominio, viene eseguita una replica finale prima del trasferimento dei ruoli a un altro controller di dominio. Nell'ambito del processo di retrocessione l'utilità Dcpromo consente di rimuovere da Active Directory i dati di configurazione relativi al controller di dominio. Questi dati assumono la forma di un oggetto Impostazioni NTDS, presente come figlio dell'oggetto server in Gestione siti e servizi di Active Directory. Una volta retrocesso il controller di dominio, le informazioni di Active Directory non saranno più disponibili e verrà utilizzato il database SAM (Security Accounts Manager) per le informazioni locali del database. Se il controller di dominio corrisponde a un catalogo globale, tale ruolo non verrà trasferito a un altro controller. In questo caso, sarà necessario selezionare manualmente la casella in Gestione siti e servizi di Active Directory per assegnare tale ruolo a un altro controller.

Se il processo di retrocessione non viene completato per un qualsiasi motivo, è necessario eliminare manualmente questi metadati dalla directory. Utilizzare l'utilità Ntdsutil.exe per rimuovere manualmente l'oggetto Impostazioni NTDS. Per ulteriori informazioni sull'utilizzo di Ntdsutil.exe, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (informazioni in lingua inglese):

216498Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

  1. Fare clic su Start, scegliere Esegui, digitare dcpromo , quindi scegliere OK.
  2. Verrà avviata l'Installazione guidata di Active Directory. Fare clic su Avanti.
  3. Nella schermata Rimozione di Active Directory è presente una casella di controllo. Se questo computer è l'ultimo controller del dominio, selezionare la casella di controllo. In caso contrario, fare clic su Avanti.
  4. Nella schermata successiva impostare la password del server per l'account dell'amministratore una volta rimosso Active Directory. Digitare la password corretta nelle caselle Password e Conferma password, quindi fare clic su Avanti.
  5. Nella schermata Riepilogo esaminare e confermare le opzioni, quindi fare clic su Avanti.
  6. Verrà avviato il processo di rimozione di Active Directory dal server. Al termine del processo, verrà visualizzato un messaggio che indica il corretto completamento dell'operazione.
  7. Fare clic su Fine per uscire dalla procedura guidata.
  8. Riavviare il computer.

HOW TO: Eseguire il backup e ripristinare lo stato del sistema utilizzando il programma di backup di Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;IT;240363)

Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I240363
 

CONTENUTO DELL'ATTIVITÀ

  • SOMMARIO
  •  
    • Eseguire il backup dello stato del sistema su un controller di dominio
    • Ripristinare lo stato del sistema su un controller di dominio
  • RIFERIMENTI

Sommario

In questo articolo viene descritto come eseguire, se lo si desidera, il backup dello stato del sistema servendosi del relativo programma di Windows 2000 per il backup e il ripristino dei dati di sistema di importanza cruciale. Quando si sceglie di eseguire il backup dello stato del sistema su un controller di dominio, sono presenti i seguenti elementi:

  • Active Directory (NTDS)
  • I file di avvio
  • Il database di registrazione delle classi COM+
  • Il Registro di sistema
  • Il volume di sistema (SYSVOL)

Quando si esegue il backup dello stato del sistema in un computer che non è un controller di dominio, sono presenti i seguenti elementi:

  • Il file di avvio
  • Il database di registrazione delle classi COM+
  • Il Registro di sistema

Quando si esegue il backup su un server membro o controller di dominio in cui è installato Certificate Server, è presente anche il seguente elemento:

  • Server di certificazione

Servendosi del programma di backup di Windows 2000 è possibile eseguire il backup e il ripristino di Active Directory in controller di dominio in cui è installato Windows 2000. L'operazione di backup può essere eseguita mentre il controller di dominio è in linea. L'operazione di ripristino può invece essere eseguita solo quando il controller di dominio viene avviato in modalità ripristino servizi directory, premendo F8 durante l'avvio del server.
 

Eseguire il backup dello stato del sistema su un controller di dominio

  1. Fare clic sul pulsante Start, scegliere Programmi, Accessori, Utilità di sistema e infine Backup.
  2. Scegliere la scheda Backup.
  3. Selezionare la casella di controllo Stato del sistema. Tutti i componenti di cui eseguire il backup sono elencati nel riquadro di destra. Non è possibile selezionare ciascun elemento singolarmente.

    NOTA: durante il backup dello stato del sistema è necessario selezionare il backup della cartella Winnt\Sysvol. Occorre inoltre selezionare questa opzione durante l'operazione di ripristino perché in seguito a tale operazione sysvol sia funzionante.

Le seguenti informazioni si applicano solo ai controller di dominio. È possibile ripristinare i server membri nello stesso modo, ma in modalità normale.

Se non vengono soddisfatte tutte le condizioni riportate di seguito, lo stato del sistema non viene ripristinato. Il tentativo di ripristinare lo stato del sistema non ha esito positivo.

  • La lettera di unità in cui si trova la cartella %SystemRoot% deve essere la stessa di quando è stato eseguito il backup.
  • La cartella %SystemRoot% deve essere identica a quando è stato eseguito il backup.
  • Se sysvol o altri database Active Directory si trovavano in un altro volume, essi devono essere esistenti e avere le stesse lettere di unità. Le dimensioni del volume non hanno importanza.

Ripristinare lo stato del sistema su un controller di dominio

  1. Per ripristinare lo stato del sistema su un controller di dominio, prima riavviare il computer in modalità ripristino servizi directory. Per eseguire questa operazione, riavviare il computer e premere F8 mentre è visualizzato il menu di avvio.
  2. Scegliere Modalità ripristino servizi directory.
  3. Chiudere l'installazione di Windows 2000 di cui si desidera eseguire il ripristino e premere INVIO.
  4. Al prompt di accesso fornire le credenziali per la modalità ripristino servizi directory immesse durante il l'esecuzione di Dcpromo.exe.
  5. Scegliere OK per confermare che si utilizza la modalità provvisoria.
  6. Fare clic sul pulsante Start, scegliere Programmi, Accessori, Utilità di sistema e infine Backup.
  7. Scegliere la scheda Ripristina.
  8. Scegliere il supporto di backup corretto e lo stato del sistema da ripristinare.

    NOTA: durante l'operazione di ripristino è necessario selezionare per il ripristino la cartella Winnt\Sysvol perché sysvol sia funzionante dopo tale processo. Verificare inoltre che sia selezionata l'opzione avanzata per il ripristino dei "punti di congiunzione e dei dati" prima di procedere al ripristino. I punti di congiunzione sysvol verranno in tal modo ricreati.
  9. Nella casella Restore Files to scegliere Percorso alternativo.

    NOTA: quando si sceglie di ripristinare un file in un altro percorso o in un singolo file, non tutti i dati di stato del sistema vengono ripristinati. Queste opzioni sono utilizzate in larga misura per i file di avvio o le chiavi del Registro di sistema.
  10. Scegliere Start Restore.
  11. Riavviare il computer una volta completato il processo di ripristino.

RIFERIMENTI

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

235478 Recovering from Failed System Drive with Non-Default %SystemRoot% Folder


Utilizzo del comando DCPROMO /FORCEREMOVAL per imporre l'abbassamento di livello dei controller di dominio Active Directory (http://support.microsoft.com/default.aspx?scid=kb;it;332199)

Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition a 64 bit
  • Microsoft Windows Server 2003, Enterprise Edition a 64 bit
  • Microsoft Windows Server 2003, Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition
  • Microsoft Windows Server 2003, Standard Edition
  • Microsoft Windows Server 2003, Web Edition
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web da cui la versione del prodotto è stata scaricata.

Sintomi

È possibile che l'abbassamento di livello dei controller di dominio Windows 2000 non possa essere eseguito normalmente mediante l'Installazione guidata di Active Directory.

Cause

Questo comportamento può verificarsi se un'operazione necessaria, come la risoluzione dei nomi, l'autenticazione, la replica di Active Directory o l'individuazione di un oggetto di importanza critica in Active Directory, ha esito negativo.

Risoluzione

Per risolvere il problema, determinare la causa che impedisce l'abbassamento di livello del controller di dominio Windows 2000, quindi riprovare ad abbassare di livello il controller di dominio mediante l'Installazione guidata di Active Directory.

Workaround

Se non è possibile risolvere il problema, utilizzare le soluzioni alternative descritte di seguito per imporre l'abbassamento di livello del controller di dominio, in modo da conservare il sistema operativo e le applicazioni installate.

Controller di dominio Windows 2000

  1. Installare QFE Q332199 o Windows 2000 Service Pack 4, se disponibile, per supportare l'imposizione dell'abbassamento di livello, quindi riavviare il computer.
  2. Fare clic su Start, scegliere Esegui, quindi digitare il seguente comando:

    dcpromo /forceremoval

  3. Scegliere OK.
  4. Nella schermata Installazione guidata di Active Directory scegliere Avanti
  5. Se il computer rimosso costituisce un server di catalogo globale, scegliere OK nella finestra di messaggio.

    NOTA: aggiungere funzionalità di catalogo globale ad altri controller di dominio in base alle esigenze.
  6. Nella schermata Rimozione di Active Directory assicurarsi che la casella di controllo Questo server è l'ultimo controller di dominio nel dominio sia deselezionata, quindi scegliere Avanti.
  7. Nella schermata Credenziali di rete digitare il nome, la password e il nome di dominio di un account utente con credenziali di amministratore dell'organizzazione all'interno dell'insieme di strutture, quindi scegliere Avanti.
  8. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
  9. Nella schermata Riepilogo scegliere Avanti.
  10. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

    In caso di rimozione di un dominio dall'insieme di strutture mediante il comando remove selected domain di Ntdsutil, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio verificare che in tutti i controller di dominio e nei server di catalogo globale dell'insieme di strutture siano stati completamente eliminati tutti gli oggetti e i riferimenti al dominio appena rimosso. Strumenti, quali lo strumento di supporto replmon.exe o repadmin.exe, consentono di determinare se è stata eseguita la replica end-to-end. Rispetto a Windows Server 2003, Windows 2000 SP3 e i server di catalogo globale precedenti sono caratterizzati da una velocità notevolmente inferiore nella rimozione di oggetti e contesti dei nomi.

Controller di dominio Windows Server 2003

  1. I controller di dominio Windows Server 2003 supportano l'imposizione dell'abbassamento di livello, per impostazione predefinita. Fare clic su Start, scegliere Esegui, quindi digitare il seguente comando:

    dcpromo /forceremoval

    .

  2. Scegliere OK.
  3. Nella schermata Installazione guidata di Active Directory scegliere Avanti.
  4. Nella schermata Imponi rimozione di Active Directory scegliere Avanti.
  5. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
  6. Nella schermata Riepilogo scegliere Avanti.
  7. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

    In caso di rimozione di un dominio dall'insieme di strutture mediante il comando remove selected domain di Ntdsutil, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio verificare che in tutti i controller di dominio e nei server di catalogo globale dell'insieme di strutture siano stati completamente eliminati tutti gli oggetti e i riferimenti al dominio appena rimosso. Rispetto a Windows Server 2003, Windows 2000 Service Pack 3 (SP3) e i server di catalogo globale precedenti sono caratterizzati da una velocità notevolmente inferiore nella rimozione di oggetti e contesti dei nomi.

Status

Microsoft ha eseguito test e fornisce il supporto per l'imposizione dell'abbassamento di livello dei controller di dominio che eseguono Windows Server 2003.

Informazioni

Mediante l'Installazione guidata di Active Directory vengono creati controller di dominio Active Directory su computer Windows 2000. Vengono installati nuovi servizi, vengono modificati i valori di avvio dei servizi esistenti e viene installato Active Directory come archivio di database e area di protezione e autenticazione.

Con l'imposizione dell'abbassamento di livello, un amministratore di dominio può imporre la rimozione di Active Directory ed eseguire il rollback delle modifiche apportate con l'innalzamento di livello eseguito mediante l'Installazione guidata di Active Directory. Non è necessario contattare un altro controller di dominio o replicare le modifiche gestite in locale su un altro controller di dominio dell'insieme di strutture.

Nei domini di produzione utilizzare l'imposizione dell'abbassamento di livello solo come soluzione estrema. In questo modo, non è necessario installare il sistema operativo e i programmi nei controller di dominio Windows 2000 che non possono essere abbassati di livello normalmente. È inoltre possibile imporre l'abbassamento di livello quando non sono presenti dipendenze che consentono un abbassamento di livello normale. Gli scenari validi per l'imposizione dell'abbassamento di livello comprendono i seguenti casi:

  • Nel dominio padre non sono presenti controller di dominio quando si tenta di abbassare di livello l'ultimo controller di dominio in un dominio figlio diretto.
  • Non sono presenti controller di dominio aggiuntivi nello stesso dominio o il controller di dominio aggiuntivo è in grado di supportare l'abbassamento di livello normale dell'ultimo controller di dominio nello stesso dominio.
  • L'Installazione guidata di Active Directory non può essere completata a causa di una dipendenza relativa alla risoluzione dei nomi, all'autenticazione, al motore di replica o a oggetti di Active Directory che non può essere risolta dopo un accurato intervento di risoluzione dei problemi.
  • Le modifiche di Active Directory in ingresso non sono state replicate da un controller di dominio entro la durata dell'oggetto contrassegnato per rimozione (per impostazione predefinita, entro 60 giorni) per uno o più contesti dei nomi.

    IMPORTANTE: ripristinare tali controller di dominio solo se costituiscono l'unica possibilità di ripristino per un determinato dominio.
  • Il tempo disponibile non consente una risoluzione dei problemi accurata, poiché è necessario rendere immediatamente operativo il controller di dominio.

L'imposizione dell'abbassamento di livello può rivelarsi utile in ambienti di laboratorio o didattici, in cui è possibile eseguire la transizione dei controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ciascun controller di dominio in successione.

Se si impone un abbassamento di livello a un controller di dominio, andranno perse le modifiche univoche residenti in Active Directory, tra cui l'aggiunta, l'eliminazione e la modifica degli utenti, dei computer, dei gruppi, dei trust, dei membri dei gruppi, dei criteri di gruppo o della configurazione di Active Directory di cui non è stata eseguita la replica prima dell'esecuzione del comando dcpromo /forceremoval. Andranno inoltre perse le modifiche apportate a qualsiasi attributo di tali oggetti, quali le password per gli utenti, i computer e le relazioni di trust.

Se si impone un abbassamento di livello a un controller di dominio, verrà tuttavia ripristinato uno stato del sistema operativo corrispondente a quello ottenuto con l'abbassamento di livello corretto dell'ultimo controller di dominio in un dominio, per quanto riguarda i valori iniziali dei servizi, i servizi installati, l'utilizzo di un sistema SAM basato sul Registro di sistema per il database degli account e l'appartenenza del computer a un gruppo di lavoro. I programmi installati nel controller di dominio abbassato di livello rimangono installati.

Nel registro eventi di sistema i controller di dominio Windows 2000 a cui viene imposto un abbassamento di livello e le istanze dell'operazione dcpromo /forceremoval vengono identificati mediante l'ID evento 29234. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29234
Data: GG/MM/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Nel registro eventi di sistema i controller di dominio Windows Server 2003 a cui viene imposto un abbassamento di livello vengono identificati mediante l'ID evento 29239. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29239
Data: GG/MM/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Dopo l'utilizzo del comando dcpromo /forceremoval i metadati del computer abbassato di livello vengono eliminati su un controller di dominio rimanente. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

216498 Remove Data in Active Directory After an Unsuccessful Domain Controller Demotion

Interventi necessari, se applicabili, dopo l'imposizione di un abbassamento di livello a un controller di dominio:

  1. Rimuovere l'account computer dal dominio.
  2. Rimuovere i record DNS, comprendenti record A, CNAME e SRV.
  3. Rimuovere gli oggetti membro FRS (FRS e DFS)..
  4. Se il computer abbassato di livello è membro di gruppi di protezione, deve essere rimosso da tali gruppi.
  5. Rimuovere tutti i riferimenti del DFS, rappresentati da collegamenti o repliche della directory principale, al server abbassato di livello.
  6. Un controller di dominio rimanente deve requisire i ruoli di master operazioni (FSMO, Flexible Single Master Operations) precedentemente gestiti dal controller di dominio a cui è stato imposto un abbassamento di livello...

Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio

Identificativo articolo : 255504
Ultima modifica : martedì 21 giugno 2005
Revisione : 6.0
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I255504
Su questa pagina
  Sommario
  Informazioni
    Trasferimento dei ruoli FSMO
    Assegnazione dei ruoli FSMO
  Le informazioni in questo articolo si applicano a

Sommario

In questo articolo viene descritto come utilizzare lo strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO (Flexible Single Master Operations).

Informazioni

Alcuni domini e operazioni a livello di azienda che non sono validi per gli aggiornamenti multimaster vengono eseguiti da un singolo controller di dominio di un dominio o di un insieme di strutture di Active Directory. I controller di dominio assegnati per l'esecuzione di queste operazioni univoche sono denominati master operazioni proprietari dei ruoli FSMO.

L'elenco riportato di seguito descrive i 5 ruoli FSMO univoci di un insieme di strutture di Active Directory e le operazioni dipendenti che vengono eseguite:
Master schema - Il ruolo Master schema è a livello di insieme di strutture, uno per ogni insieme. Questo ruolo è necessario per estendere lo scherma di un insieme di strutture di Active Directory o per l'esecuzione del comando adprep /forestprep.
Master per la denominazione dei domini - Il ruolo Master per la denominazione dei domini è a livello di insieme di strutture, uno per ogni insieme. Questo ruolo è necessario per aggiungere o rimuovere domini o partizioni di applicazioni a o da un insieme di strutture.
Mater RID - Il ruolo Master RID è a livello di dominio, uno per ogni dominio. Questo ruolo è necessario per allocare il pool di RID per fare in modo che i controller di dominio nuovi o già esistenti possano creare account utente, account computer o gruppi di protezione.
Emulatore PDC - Il ruolo Emulatore PDC è a livello di dominio, uno per ogni dominio. Questo ruolo è necessario per il controller di dominio che invia gli aggiornamenti di database ai controller di dominio di backup di Windows NT. Anche il controller di dominio che detiene questo ruolo è il destinatario di alcuni strumenti di amministrazione e aggiornamenti alle password degli account utente e degli account computer.
Master infrastrutture - Il ruolo di Master infrastrutture è a livello di dominio, uno per ogni dominio. Questo ruolo è necessario perché i controller di dominio eseguano il comando adprep /forestprep e aggiornino gli attributi SID e gli attributi dei nomi distinti per gli oggetti a cui si fa riferimento tra i domini.

L'Installazione guidata di Active Directory (Dcpromo.exe) assegna i cinque ruoli FSMO al primo controller di dominio del dominio principale dell'insieme di strutture. Il primo controller di dominio di ogni nuovo dominio figlio o struttura viene assegnato ai tre ruoli a livello di dominio. I controller di dominio continuano a detenere i ruoli FSMO finché non vengono riassegnati mediante uno dei seguenti metodi:

Un amministratore riassegna il ruolo mediante uno strumento di amministrazione dell'interfaccia utente.
Un amministratore riassegna il ruolo mediante il comando ntdsutil /roles.
Un amministratore abbassa di livello un controller di dominio detentore di un ruolo mediante l'Installazione guidata di Active Directory. Questa procedura guidata riassegna ogni ruolo detenuto localmente a un controller di dominio esistente nell'insieme di strutture. Gli abbassamenti di livello eseguiti mediante il comando dcpromo /forceremoval lasciano i ruoli FSMO in uno stato non valido finché non vengono riassegnati da un amministratore.

Si consiglia di trasferire i ruoli FSMO nei seguenti scenari:

Il detentore corrente del ruolo è operativo e il nuovo proprietario del ruolo FSMO può accedervi dalla rete.
Si sta eseguendo l'abbassamento di livello di un controller di dominio che possiede correntemente i ruoli FSMO che si desidera assegnare a un controller di dominio specifico dell'insieme di strutture di Active Directory.
Il controller di dominio che detiene correntemente i ruoli FSMO è in modalità non in linea per la manutenzione pianificata e sono necessari ruoli FSMO specifici da assegnare a un controller di dominio in linea. Questa operazione potrebbe essere necessaria per eseguire operazioni per la connessione al proprietario del ruolo FSMO, in particolare per il ruolo Emulatore PDC, ma non per i ruoli Master RID, Master per la denominazione dei domini e Master schema.

Si consiglia di assegnare i ruoli FSMO nei seguenti scenari:

Si verifica un errore operativo in corrispondenza del detentore corrente del ruolo che impedisce il completamento di un'operazione dipendente dal ruolo FSMO e il trasferimento del ruolo.
Un controller di dominio che detiene un ruolo FSMO viene forzatamente abbassato di livello dal comando dcpromo /forceremoval.
Il sistema operativo nel computer che in origine deteneva un ruolo specifico non esiste più o è stato reinstallato.

Quando si verifica la replica, i controller di dominio non FSMO del dominio o dell'insieme di strutture acquisiscono una conoscenza completa dei cambiamenti apportati dai controller di dominio che detengono ruoli FSMO. Se è necessario trasferire un ruolo, il controller di dominio più adatto è quello del dominio appropriato in cui si è verificata l'ultima replica in ingresso o in cui si è verificata una replica in ingresso recente di una copia scrivibile della "partizione FSMO" da parte del detentore del ruolo esistente. Ad esempio, il detentore del ruolo Master schema ha un percorso del nome distinto CN=schema,CN=configuration,dc=<dominio principale dell'insieme di strutture>, il che significa che i ruoli sono residenti e replicati come parte della partizione CN=schema. Se nel controller di dominio che detiene il ruolo Master schema si verifica un errore hardware o software, un detentore di ruolo possibile candidato sarebbe un controller di dominio del dominio principale e dello stesso sito di Active Directory del proprietario corrente. Nei controller di dominio dello stesso sito di Active Directory la replica in ingresso viene eseguita ogni 5 minuti o 15 secondi.
La partizione per ogni ruolo FSMO è riportata nel seguente elenco:

Ruolo FSMO Partizione
Schema CN=Schema,CN=configuration,DC=<dominio principale dell'insieme di strutture>
Master per la denominazione dei domini CN=configuration,DC=<dominio principale dell'insieme di strutture>
PDC DC=<dominio>
RID DC=<dominio>
Infrastrutture DC=<dominio>



In un controller di dominio i cui ruoli FSMO sono stati assegnati non deve essere possibile comunicare con controller di dominio esistenti nell'insieme di strutture. In questo scenario è necessario formattare il disco rigido e reinstallare il sistema operativo in tali controller di dominio o abbassare forzatamente di livello tali controller di dominio in una rete privata e rimuovere i metadati in un controller di dominio rimasto nell'insieme di strutture mediante il comando ntdsutil /metadata cleanup. Il rischio di introdurre un detentore del ruolo FSMO precedente i cui ruoli sono stati assegnati nell'insieme di strutture è dato dal fatto che il detentore originale potrebbe continuare a funzionare come in precedenza finché non viene effettuata la replica in ingresso della notizia dell'assegnazione dei ruoli. I rischi noti derivanti da due controller di dominio che detengono gli stessi ruoli FSMO comprendono la creazione di identità di protezione con pool di RID sovrapposti e altri problemi.

Trasferimento dei ruoli FSMO

Per trasferire i ruoli FSMO mediante lo strumento Ntdsutil, attenersi alla seguente procedura:

1. Accedere a un computer membro o a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo degli amministratori dell'organizzazione per trasferire i ruoli Master schema o Master per la denominazione dei domini, oppure un membro del gruppo degli amministratori di dominio del dominio in cui verranno trasferiti i ruoli Emulatore PDC, Master RID e Master infrastrutture.
2. Fare clic sul pulsante Start, scegliere Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.
3. Digitare roles, quindi premere INVIO.

Nota Per visualizzare un elenco dei comandi disponibili a ciascuno dei prompt dello strumento Ntdsutil, digitare ?, quindi premere INVIO.
4. Digitare connections, quindi premere INVIO.
5. Digitare connect to server nomeserver, quindi premere INVIO, dove nomeserver è il nome del controller di dominio a cui si desidera assegnare il ruolo FSMO.
6. Al prompt server connections digitare q, quindi premere INVIO.
7. Digitare transfer ruolo, dove ruolo rappresenta il ruolo che si desidera trasferire. Per un elenco dei ruoli che è possibile trasferire, digitare ? al prompt fsmo maintenance, quindi premere INVIO oppure consultare l'elenco dei ruoli riportati all'inizio del presente articolo. Per trasferire, ad esempio, il ruolo Master RID, digitare transfer rid master. L'unica eccezione riguarda il ruolo Emulatore PDC, la cui sintassi sarà transfer pdc e non transfer pdc emulator.
8. Al prompt fsmo maintenance digitare q, quindi premere INVIO per ottenere l'accesso al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere lo strumento Ntdsutil.

Assegnazione dei ruoli FSMO

Per assegnare i ruoli FSMO mediante lo strumento Ntdsutil, attenersi alla seguente procedura:

1. Accedere a un computer membro o a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere assegnati i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo degli amministratori dell'organizzazione per trasferire i ruoli Master schema o Master per la denominazione dei domini, oppure un membro del gruppo degli amministratori di dominio del dominio in cui verranno trasferiti i ruoli Emulatore PDC, Master RID e Master infrastrutture.
2. Fare clic sul pulsante Start, scegliere Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.
3. Digitare roles, quindi premere INVIO.
4. Digitare connections, quindi premere INVIO.
5. Digitare connect to server nomeserver, quindi premere INVIO, dove nomeserver è il nome del controller di dominio a cui si desidera assegnare il ruolo FSMO.
6. Al prompt server connections digitare q, quindi premere INVIO.
7. Digitare seize ruolo, dove ruolo rappresenta il ruolo che si desidera assegnare. Per un elenco dei ruoli che è possibile assegnare, digitare ? al prompt fsmo maintenance, quindi premere INVIO oppure consultare l'elenco dei ruoli riportati all'inizio del presente articolo. Per assegnare ad esempio il ruolo Master RID, digitare seize rid master. L'unica eccezione riguarda il ruolo Emulatore PDC, la cui sintassi sarà seize pdc e non seize pdc emulator.
8. Al prompt fsmo maintenance digitare q, quindi premere INVIO per ottenere l'accesso al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere lo strumento Ntdsutil.

Note
In condizioni normali tutti e cinque i ruoli devono essere assegnati a controller di dominio in linea dell'insieme di strutture. Se un controller di dominio che detiene un ruolo FSMO si trova all'esterno del servizio prima che i ruoli vengano trasferiti, sarà necessario assegnare tutti i ruoli a un controller di dominio appropriato e integro. Si consiglia di assegnare tutti i ruoli solo nel caso in cui l'altro controller di dominio non venga reinserito nel dominio. Se possibile, correggere il controller di dominio interrotto a cui sono stati assegnati i ruoli FSMO. È necessario determinare quali ruoli devono essere nei controller di dominio rimanenti per fare in modo che i cinque ruoli vengano assegnati a un singolo controller di dominio. Per ulteriori informazioni sul posizionamento dei ruoli FSMO, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
223346 (http://support.microsoft.com/kb/223346/) Posizionamento e ottimizzazione di FSMO in controller di dominio Active Directory
Se il controller di dominio che in precedenza deteneva un ruolo FSMO non è presente nel dominio e se i ruoli relativi sono stati assegnati tramite i passaggi indicati nel presente articolo, rimuovere il controller di dominio da Active Directory seguendo la procedura descritta nel seguente articolo della Microsoft Knowledge Base:
216498 (http://support.microsoft.com/kb/216498/) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
La rimozione dei metadati del controller di dominio con la versione per Windows 2000 o per Windows Server 2003 build 3790 del comando ntdsutil /metadata cleanup non ricolloca i ruoli FSMO assegnati ai controller di dominio in linea. La versione per Windows Server 2003 Service Pack 1 (SP1) dello strumento Ntdsutil automatizza questa attività e rimuove ulteriori elementi dei metadati del controller di dominio.
Alcuni clienti preferiscono non ripristinare i backup dello stato del sistema dei detentori dei ruoli FSMO nel caso in cui il ruolo sia stato riassegnato dopo un eventuale backup.
Non assegnare il ruolo Master infrastrutture allo stesso controller di dominio del server di catalogo globale. Se il Master infrastrutture viene eseguito su un server di catalogo globale, smetterà di aggiornare le informazioni degli oggetti in quanto non disporrà di alcun riferimento a oggetti non contenuti in tale server. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto presente nell'insieme di strutture.

Per verificare se un controller di dominio è anche un server di catalogo globale:

1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Siti e servizi di Active Directory.
2. Fare doppio clic su Siti nel riquadro sinistro, quindi individuare il sito appropriato o fare clic su Nome-predefinito-primo-sito qualora non sia disponibile alcun altro sito.
3. Aprire la cartella Server e fare clic sul controller di dominio.
4. Nella cartella del controller di dominio fare doppio clic su Impostazioni NTDS.
5. Scegliere Proprietà dal menu Azione.
6. Nella scheda Generale verificare che la casella di controllo Catalogo globale sia selezionata.

Per ulteriori informazioni sui ruoli FSMO, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (il contenuto potrebbe essere in inglese):

197132 (http://support.microsoft.com/kb/197132/) Ruoli FSMO di Active Directory in Windows 2000
223787 (http://support.microsoft.com/kb/223787/) Processo di trasferimento e assegnazione dei ruoli FSMO (Flexible Single Master Operation)

Mancato abbassamento di livello dei controller di dominio quando si utilizza l'Installazione guidata di Active Directory per forzare l'abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

Identificativo articolo : 332199
Ultima modifica : mercoledì 17 agosto 2005
Revisione : 13.0
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo e di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 (http://support.microsoft.com/kb/256986/) Descrizione del Registro di sistema di Microsoft Windows
Su questa pagina
  Sintomi
  Cause
  Risoluzione
  Workaround
    Controller di dominio di Windows 2000
    Controller di dominio di Windows Server 2003
    Miglioramenti introdotti in Windows Server 2003 Service Pack 1
  Status
  Informazioni
  Le informazioni in questo articolo si applicano a

Sintomi

È possibile che l'abbassamento di livello dei controller di dominio Microsoft Windows 2000 o Microsoft Windows Server 2003 non venga eseguito correttamente mediante l'Installazione guidata di Active Directory (Dcpromo.exe).

Cause

Questo problema può verificarsi in caso di errore di una dipendenza o di un'operazione necessaria, ad esempio la connettività di rete, la risoluzione dei nomi, l'autenticazione, la replica del servizio directory di Active Directory o l'individuazione di un oggetto fondamentale in Active Directory.

Risoluzione

Per risolvere il problema, determinare la causa del mancato abbassamento di livello normale del controller di dominio di Windows 2000 o Windows Server 2003, quindi provare di nuovo a eseguire l'operazione mediante l'Installazione guidata di Active Directory.

Workaround

Se non si riesce a risolvere il problema, è possibile utilizzare le soluzioni alternative descritte di seguito per forzare l'abbassamento di livello del controller di dominio in modo da mantenere l'installazione del sistema operativo e le applicazioni installate.

Avviso Prima di utilizzare una delle soluzioni descritte di seguito, assicurarsi di poter eseguire l'avvio in modalità ripristino servizi directory. In caso contrario, dopo l'abbassamento di livello forzato del computer non sarà possibile effettuare l'accesso. Se si è dimenticata la password per la modalità ripristino servizi directory, sarà possibile ripristinarla mediante l'utilità Setpwd.exe che si trova nella cartella Winnt\System32. In Windows Server 2003 la funzionalità dell'utilità Setpwd.exe è stata integrata nel comando Set DSRM Password dello strumento NTDSUTIL. Per ulteriori informazioni su come effettuare questa procedura, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
271641 (http://support.microsoft.com/kb/271641/) Impostazione di una password vuota per la modalità di ripristino da parte della Configurazione guidata server

Controller di dominio di Windows 2000

1. Installare l'aggiornamento rapido (hotfix) Q332199 su un controller di dominio di Windows 2000 che esegue il Service Pack 2 (SP2) o versione successiva oppure installare Windows 2000 Service Pack 4 (SP4). Nel Service Pack 2 e nelle versioni successive è supportato l'abbassamento di livello forzato. Riavviare il computer.
2. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
dcpromo /forceremoval
3. Scegliere OK.
4. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
5. Se il computer che si sta rimuovendo è un server di catalogo globale, scegliere OK nella finestra di messaggio.

Nota Innalzare di livello altri cataloghi globali nell'insieme di strutture o nel sito se il controller di dominio che si sta abbassando di livello è un server di catalogo globale, secondo le esigenze.
6. Nella pagina Rimozione di Active Directory assicurarsi che la casella di controllo Questo server è l'ultimo controller di dominio nel dominio sia deselezionata, quindi scegliere Avanti.
7. Nella pagina Credenziali di rete digitare il nome, la password e il nome di dominio di un account utente con credenziali di amministratore dell'organizzazione nell'insieme di strutture, quindi scegliere Avanti.
8. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
9. Nella pagina Riepilogo scegliere Avanti.
10. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

Se è stato rimosso un dominio dall'insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell'insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. Per stabilire se è stata eseguita la replica end-to-end, possono essere utili strumenti quali Replmon.exe o Repadmin.exe disponibili negli Strumenti di supporto di Windows 2000. La rimozione di oggetti e contesti dei nomi in Windows 2000 SP3 e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

Controller di dominio di Windows Server 2003

1. Per impostazione predefinita, i controller di dominio di Windows Server 2003 supportano l'abbassamento di livello forzato. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
dcpromo /forceremoval
2. Scegliere OK.
3. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
4. Nella pagina Imponi rimozione di Active Directory scegliere Avanti.
5. In Password amministratore digitare e confermare la password da assegnare all'account amministratore del database SAM locale, quindi scegliere Avanti.
6. Nella pagina Riepilogo scegliere Avanti.
7. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell'insieme di strutture.

Se è stato rimosso un dominio dall'insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell'insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. La rimozione di oggetti e contesti dei nomi in Windows 2000 Service Pack 3 (SP3) e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

Se le voci di controllo di accesso (ACE) presenti nel computer da cui è stato rimosso Active Directory erano basate su gruppi locali di dominio, potrebbe essere necessario riconfigurare queste autorizzazioni, in quanto questi gruppi non saranno disponibili per i server membri o i server autonomi. Se si ha intenzione di installare Active Directory in un computer che verrà innalzato a livello di controller di dominio del dominio originale, non sarà più necessario configurare le voci di controllo di accesso. Se si preferisce mantenere il computer a livello di server membro o di server autonomo, è necessario convertire o sostituire le eventuali autorizzazioni basate su gruppi locali di dominio. Per ulteriori informazioni sulla modifica delle autorizzazioni a seguito della rimozione di Active Directory da un controller di dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

320230 (http://support.microsoft.com/kb/320230/) Conseguenze sulle autorizzazioni dopo l'abbassamento di livello di un controller di dominio

Miglioramenti introdotti in Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 consente di migliorare il processo dcpromo /forceremoval. Quando si esegue il comando dcpromo /forceremoval, viene effettuata una verifica per determinare se il controller di dominio svolge il ruolo di master operazioni, è un server DNS (Domain Name System) o un server di catalogo globale. Per ciascuno di questi ruoli l'amministratore riceve un avviso popup per l'esecuzione dell'azione appropriata.

Status

Microsoft ha eseguito test e fornisce il supporto per forzare l'abbassamento di livello dei controller di dominio che eseguono Windows 2000 o Windows Server 2003.

Informazioni

Mediante l'Installazione guidata di Active Directory vengono creati controller di dominio di Active Directory in computer basati su Windows 2000 e su Windows Server 2003. Durante l'Installazione guidata di Active Directory vengono effettuate diverse operazioni, fra cui l'installazione di nuovi servizi, l'esecuzione di modifiche ai valori di avvio di servizi esistenti e il passaggio ad Active Directory come area di protezione e autenticazione.

Con l'imposizione dell'abbassamento di livello, gli amministratori di dominio possono forzare la rimozione di Active Directory ed eseguire il rollback delle modifiche di sistema apportate a livello locale senza contattare altri controller di dominio nell'insieme di strutture o replicare alcuna modifica locale.

Dato che l'abbassamento di livello forzato comporta la perdita delle modifiche apportate a livello locale, deve essere utilizzato solo come soluzione estrema nei domini di produzione o test. È possibile forzare l'abbassamento di livello dei controller di dominio quando le dipendenze relative a connettività, risoluzione dei nomi, autenticazione o motore di replica non possono essere risolte, in modo da consentire un abbassamento di livello normale. Gli scenari validi per l'abbassamento di livello forzato comprendono:
Nel dominio padre non è disponibile alcun controller di dominio quando si tenta di abbassare di livello l'ultimo controller di dominio in un dominio figlio diretto.
L'Installazione guidata di Active Directory non può essere completata a causa di una dipendenza relativa alla risoluzione dei nomi, all'autenticazione, al motore di replica o a oggetti di Active Directory che non può essere risolta dopo un'accurata procedura di risoluzione dei problemi.
Le modifiche di Active Directory in ingresso non sono state replicate da un controller di dominio entro la durata dell'oggetto contrassegnato per rimozione (per impostazione predefinita, entro 60 giorni) per uno o più contesti dei nomi.

Importante Ripristinare tali controller di dominio solo se costituiscono l'unica possibilità di ripristino per un determinato dominio.
Il tempo disponibile non consente una risoluzione dei problemi accurata, poiché è necessario rendere immediatamente operativo il controller di dominio.

L'abbassamento di livello forzato può rivelarsi utile in ambienti di laboratorio o didattici, in cui è possibile rimuovere i controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ciascun controller di dominio in successione.

Se si forza l'abbassamento di livello di un controller di dominio, andranno perse le modifiche univoche residenti in Active Directory del controller di dominio di cui si sta effettuando l'abbassamento forzato del livello, tra cui l'aggiunta, l'eliminazione o la modifica di utenti, di computer, di gruppi, di relazioni di trust, di criteri di gruppo o della configurazione di Active Directory di cui non è stata eseguita la replica prima dell'esecuzione del comando dcpromo /forceremoval. Andranno inoltre perse le modifiche apportate a qualsiasi attributo di tali oggetti, quali le password per gli utenti, i computer, le relazioni di trust e l'appartenenza ai gruppi.

Se tuttavia si forza un abbassamento di livello di un controller di dominio, viene ripristinato uno stato del sistema operativo corrispondente a quello ottenuto con l'abbassamento di livello dell'ultimo controller di dominio in un dominio, per quanto riguarda i valori iniziali dei servizi, i servizi installati, l'utilizzo di un sistema SAM basato sul Registro di sistema per il database degli account e l'appartenenza del computer a un gruppo di lavoro. I programmi installati nel controller di dominio abbassato di livello rimangono installati.

Nel registro eventi di sistema i controller di dominio di Windows 2000 di cui è stato forzatamente abbassato il livello, nonché le istanze dell'operazione dcpromo /forceremoval, sono identificati dall'ID evento 29234. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29234
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Nel registro eventi di sistema i controller di dominio di Windows Server 2003 a cui viene imposto un abbassamento di livello sono identificati dall'ID evento 29239. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29239
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Dopo avere utilizzato il comando dcpromo /forceremoval, i metadati per il computer abbassato di livello non vengono eliminati nei controller di dominio rimanenti. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

216498 (http://support.microsoft.com/kb/216498/) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

Di seguito sono indicate alcune operazioni da effettuare, se necessario, dopo avere imposto l'abbassamento di livello di un controller di dominio:

1. Rimuovere l'account computer dal dominio.
2. Verificare che i record DNS, quali i record A, CNAME e SRV, siano stati rimossi ed eventualmente rimuoverli se ancora presenti.
3. Verificare che gli oggetti membro del servizio Replica file (FRS e DFS) siano stati rimossi ed eventualmente rimuoverli se ancora presenti. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
296183 (http://support.microsoft.com/kb/296183/) Panoramica degli oggetti Active Directory utilizzati da FRS
4. Se il computer abbassato di livello è membro di gruppi di protezione, rimuoverlo da tali gruppi.
5. Rimuovere tutti i riferimenti del file system DFS, rappresentati da collegamenti o repliche della directory principale, al server abbassato di livello.
6. A un controller di dominio rimanente devono essere assegnati i ruoli di master operazioni o FSMO (Flexible Single Master Operations) precedentemente gestiti dal controller di dominio a cui è stato imposto un abbassamento di livello. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
255504 (http://support.microsoft.com/kb/255504/) Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio
7. Se il controller di dominio che si sta abbassando di livello è un server DNS o un server di catalogo globale, è necessario creare un nuovo server DNS o di catalogo globale per soddisfare le impostazioni di bilanciamento del carico, di tolleranza d'errore e di configurazione nell'insieme di strutture.
8. Quando si utilizza il comando remove selected server di NTDSUTIL, viene rimosso l'oggetto NTDSDSA, ovvero l'oggetto padre per le connessioni in ingresso verso il controller di dominio di cui si sta abbassando forzatamente il livello. Il comando non rimuove gli oggetti server padre visualizzati nello snap-in Siti e servizi di Active Directory. Utilizzare lo snap-in MMC Siti e servizi di Active Directory per rimuovere l'oggetto server se il controller di dominio non verrà innalzato di livello nell'insieme di strutture mantenendo lo stesso nome computer.

Le informazioni in questo articolo si applicano a
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 64-bit Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Small Business Server 2003 Standard Edition
Microsoft Windows Small Business Server 2003 Premium Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server