邪恶八进制信息安全团队技术讨论组 » 骨干网络运营{ Backbone Security } » [转载]安全地卸载win2000域控制器 [查看完整版本]

EvilOctal 2005-6-3 05:14

[转载]安全地卸载win2000域控制器

文章作者：henha66

在命令行运行：dcpromo   按照提示执行，其中它会提示你选最后一个域控制器还是备份域控制器，你选最后一个域控制器即OK，  
如果你要卸载的不是最后一个域控制器且之前已出错，那你要先删除域控的数据  
下面文章可供参考：  
1.单击“开始”，依次指向“程序”、“附件”，然后单击“命令提示符”。  
2.在命令提示符下，键入  ntdsutil，然后按  ENTER  键。  
3.键入  metadata  cleanup，然后按  ENTER  键。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还需要指定另外一些配置参数。  
4.键入  connections，然后按  ENTER  键。此菜单用于连接将在其上发生这些更改的具体服务器。如果当前登录的用户没有管理员权限，可以在连接之前指定要使用的替代凭据。为此，请键入  set  creds  域名用户名密码，然后按  ENTER  键。如果密码为空，则为密码参数键入  null。  
5.键入  connect  to  server  服务器名称，然后按  ENTER  键。您会收到一条说明该连接已成功建立的确认消息。如果出现错误，请确认连接中所用的域控制器是否可用以及您提供的凭据对该服务器是否有管理权限。  

备注：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除第  15  步提到的服务器时，将显示以下错误信息：  
Error  2094.  The  DSA  Object  cannot  be  deleted0x2094   

6.键入  quit，然后按  ENTER  键。将显示  Metadata  Cleanup  菜单。  
7.键入  select  operation  target，然后按  ENTER  键。  
8.键入  list  domains，然后按  ENTER  键。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。  
9.键入  select  domain  编号，然后按  ENTER  键，其中编号  是与域关联的编号，要删除的服务器是该域的成员。您选择的域用于确定正在删除的服务器是否为该域的最后一个域控制器。  
10.键入  list  sites，然后按  ENTER  键。将显示一个站点列表，每一个站点都有一个关联的编号。  
11.键入  select  site  编号，然后按  ENTER  键，其中编号  是与站点关联的编号，要删除的服务器是该站点的成员。您会收到一条列出所选站点和域的确认消息。  
12.键入  list  servers  in  site，然后按  ENTER  键。将显示一个列出站点中所有服务器的列表，每一个服务器都有一个关联的编号。  
13.键入  select  server  编号，其中编号  是与要删除的服务器关联的编号。您会收到一条确认消息，其中列出所选的服务器、该服务器的“域名服务器”(DNS)  主机名，以及要删除的服务器计算机帐户的位置。  
14.键入  quit，然后按  ENTER  键。将显示Metadata  Cleanup  菜单。  
15.键入  remove  selected  server，然后按  ENTER  键。您会收到一条说明删除成功的确认消息。如果出现以下错误信息：  

Error  8419  (0x20E3)  
The  DSA  object  could  not  be  found   
则说明“NTDS  设置”对象可能已从  Active  Directory  中删除，原因是其他管理员删除了该“NTDS  设置”对象，或在运行  DCPROMO  实用工具之后对成功删除对象这一操作进行了复制。  

备注：尝试绑定到要删除的域控制器时，可能也会出现此错误。Ntdsutil  需要绑定到要用  metadata  cleanup  删除的域控制器以外的其他域控制器。  

16.在每个菜单上键入  quit，退出  NTDSUTIL  实用工具。您会收到一条说明连接已成功断开的确认消息。  
17.在  DNS  的  _msdcs.目录林的根域  区域中删除  cname  记录。假定将要重新安装并重新提升  DC，因此使用新的全局唯一标识符  (GUID)  和  DNS  中匹配的  cname  记录来创建新的  NTDS  设置对象。您不会希望现有  DC  使用旧的  cname  记录。  

最佳做法是删除主机名和其他  DNS  记录。如果分配给脱机服务器的“动态主机配置协议”(DHCP)  地址上所剩的租用时间被超出，另一个客户端即可获得问题  DC  的  IP  地址。  

二.已经删除了  NTDS  设置对象，现在可以删除以下对象了：   

1.使用  ADSIEdit  删除  OU=Domain  Controllers,DC=domain...  中的计算机帐户  

备注：删除计算机对象时，也将删除  FRS  订阅对象，因为它是计算机帐户的子对象。  

2.使用  ADSIEdit  删除  CN=Domain  System  Volume  (SYSVOL  share),CN=file  replication  service,CN=system....  中的  FRS  成员对象。  
3.在  DNS  控制台中，使用  DNS  MMC  删除  _msdcs  容器中的  cname（也称为“别名”）记录。  
4.在  DNS  控制台中，使用  DNS  MMC  删除  DNS  中的  A（也称为“主机”）记录。  
5.如果删除的计算机是子域中的最后一个域控制器，而且该子域也已被删除，则使用  ADSIEdit  在  CN=System,  DC=domain,  DC=domain,  Domain  NC  中删除该子域的  trustDomain  对象

查看完整版本: [转载]安全地卸载win2000域控制器

© 1999-2008 EvilOctal Security Team