域控制器的强制卸载，Active Directory系列之十四

域控制器的强制卸载

上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。例如我曾见过一个单位有10个域控制器，居然有7个不能相互复制，主要是管理员误以为域控制器越多越好….类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。域控制器强行卸载的原理也很简单，那就是卸载时不再通知复制伙伴，直接把AD删除就好。这样的卸载方式是要相对简单一些，但其实后续的操作很麻烦，例如我们需要在Active Directory中手工清除被强制卸载的域控制器，手工清除DNS中的SRV记录等。因此，如果不是万不得已，还是用常规卸载比较好。

如下图所示，我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载，我们进行强制卸载的目标是shanghai站点的Firenze。

一 强制卸载域控制器

首先我们在被卸载的域控制器Firenze上打开cmd命令提示符，执行dcpromo/forceremoval，forceremoval参数的作用就是执行强制卸载，如下图所示，卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更新。

接下来我们需要设置Firenze本地管理员的口令。

强制卸载域控制器后，Firenze将不再成为域内的成员服务器，而是会从域中脱离出去成为工作组中的独立服务器。

如下图所示，点击完成结束了域控制器的强制卸载。

二 手工清除Active Directory数据

Firenze被强制卸载后，域内的其他域控制器并不知道这件事情，它们仍然认为Firenze

是域控制器的一员，因此我们必须手工将Firenze从Active Directory中清除出去。我们准备在Berlin上对Active Directory进行手工清理，然后Berlin再把清理后的Active Directory复制到其他域控制器就可以了。

在Berlin上运行NTDSUTIL，如下图所示，选择“Metadata Cleanup”，准备清除不使用的服务器对象。

然后使用“connections”准备连接到指定的域控制器执行删除操作，输入“connect to server berlin”连接到Berlin，然后输入“quit”返回上级菜单。

接下来我们需要使用“Select operation target”来选择被删除的服务器对象，选择服务器时，我们需要指定服务器所在的域和站点。我们可以先用list指令列出站点和域，然后再进行选择。Firenze隶属于shanghai站点，Firenze所在的域是adtest.com。

如下图所示，我们首先用“list sites”列出了当前站点，然后用“select site 1”选定了shanghai站点，我们可以看到对站点的描述用的是数字而不是字符。选择了站点之后，我们接下来使用“list domains in site”列出了站点中的域，当前只有一个域adtest.com，编号是0，因此我们接下来使用“select domain 0”就可以把域也选定了。域和站点都选定了，我们就可以进行服务器的选择了，使用“list servers for domain in site”可以列出所有的服务器，当前shanghai站点只有Firenze一个域控制器，因此我们使用“select server 0”选定服务器Firenze。至此，被手工清理的目标已被我们锁定了。