locked
windows 2008R2無法使用dcpromo退網域完成... RRS feed

  • 問題

  • 目前公司網域有一台DC_A(windows 2008R2)無法正常使用dcpromo退網域完成,

    事發經過如下:
    農曆年前想將此台服務移轉到win2016繼續提供服務,此DC_A是一台VM建置在Hyper-V上,且因為Hyper-V resource不足,
    我便將DC_A匯出到另一Hyper-V上開機提供服務,同時在原本那台Hyper-V安裝建置windows 2016並升級成DC,
    在過年前有將移到另一台Hyper-V上的DC_A開機做AD資料複寫的動作,然後關機,

    2/14要進行DC_A退網域作業時,我錯亂開到匯出前的DC_A,結果造成此台DC_A無法進行AD資料複寫作業,
    後來將匯出前的DC_A關機並將匯出後的DC_A開機想試試看複寫會不會回復正常,但是並沒有,

    查找資料後發現現在只能使用dcpromo /forceremoval進行強制退網域的作業,

    想請問dcpromo /forceremoval要在匯出前DC_A上執行??還是在匯出後的DC_A上執行呢??

    2019年2月14日 上午 09:28

解答

  • 如果確認 DC_A 無法哪一個版本都無法與其他正常的網域控制站溝通,
    可以考慮直接廢掉 DC_A 不再開機,
    然後從其他正常的網域控制站做清理 DC_A 的動作

    另外還要注意是否有五大角色是存在於 DC_A 上,
    如果有,也務必將五大角色奪回到正常的 DC 上


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    • 已標示為解答 a810162 2019年2月18日 上午 05:34
    2019年2月14日 下午 02:31
    版主

所有回覆

  • 如果確認 DC_A 無法哪一個版本都無法與其他正常的網域控制站溝通,
    可以考慮直接廢掉 DC_A 不再開機,
    然後從其他正常的網域控制站做清理 DC_A 的動作

    另外還要注意是否有五大角色是存在於 DC_A 上,
    如果有,也務必將五大角色奪回到正常的 DC 上


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    • 已標示為解答 a810162 2019年2月18日 上午 05:34
    2019年2月14日 下午 02:31
    版主
  • 感謝版主的回覆,我後來參考到你"網域控制站的目標主體名稱不正確事件"這篇文章,看來是一樣的錯誤,目前已經排除了,

    不知道是否可以再問一下勾選"刪除指向這部伺服器DNS委派..."是什麼意思??
    第一次遇到,之前都沒出現過,
    請問這個會勾選後會刪除整個網域中的DNS資料嗎??還是只是針對這台要降級的DC移除它本身的DNS服務資料??

    2019年2月15日 上午 02:46
  • 您好,

    如果在DC上有做DNS委派的話,就不要打勾.

    如果不確定或不知道的話,也不要勾選"刪除指向這部伺服器DNS委派..."

    提供您參考,

    希望對您有所幫助

    謝謝.

    2019年2月15日 上午 04:40
  • 好的感謝前輩的說明,後續我執行dcpromo會出現以下錯誤(error 8606)

    而且我發現有問題的都是windows 2016那台來源複製資料會有問題,
    後來我參考這篇文章https://akhpark.wordpress.com/2014/07/03/active-directory-server-wont-replicate-if-one-of-the-server-was-offline-for-a-long-time/
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

    值從1改成0就不會再報錯,不知道前輩們有沒有遇過這個狀況??不確定這樣是不是已排除錯誤還是只是隱藏錯誤不報...

    2019年2月15日 上午 06:21
  • 你的後續執行 dcpromo 是指在同一台已經被強制降級的 2008 R2 上執行動作嗎?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2019年2月15日 上午 10:42
    版主
  • 是同一台,但是我還沒執行強制降級的動作。
    現在是在DC_A上執行dcpromo如果有出現錯誤中止,再針對錯誤進行排除後執行dcpromo確認是否還有錯誤,這樣嘗試與排除作業。

    於上禮拜五下班前我在DC_A上執行以下刪除過時資料指令,
    repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory_mode
    然後在執行repadmin /syncall,確認同步完成沒有任何錯誤,在今天執行dcpromo已經可以正常將DC_A退網域了,且在AD使用者和電腦中DC_A已不在DomainControllers目錄裡面,

    但是我執行dsquery server名單中依然有DC_A在,請問這是因為有時間差嗎??

    2019年2月18日 上午 02:39
  • 您好,

    只要確定五大角色+GC是在Server 2016上的話,

    且用戶端可以正常登入,就可以無需理會它了.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2019年2月18日 上午 05:13
  • 好的,感謝前輩們的幫忙,目前確認ADSI DomainControllers裡面已無DC_A的資料,且確認repadmin /syncall, repadmin /replsummary執行結果都沒有錯誤,另外有使用ntdsutil.exe去站台裡面確認也沒有DC_A的資料,使用者登入也都可以正常完成,我再觀察幾天看看。

    謝謝大家的幫忙,感謝。

    2019年2月18日 上午 05:32
  • 剛剛測試手動將AD站台及服務中的DC_A紀錄刪除,再使用dsquery server查詢DC資訊已經不會再顯示DC_A的資訊了。謝謝。
    2019年2月18日 上午 09:22