Partager via

Les contrôleurs de domaine ne rétrogradent pas correctement lorsque vous utilisez l’Assistant Installation d’Active Directory pour forcer la rétrogradation

  • Article

Cet article fournit une solution de contournement pour un problème où les contrôleurs de domaine ne rétrogradent pas lorsque vous utilisez l’Assistant Installation d’Active Directory (Dcpromo.exe) pour forcer la rétrogradation.

Numéro de base de connaissances d’origine : 332199

Symptômes

Les contrôleurs de domaine Microsoft Windows 2000 ou Microsoft Windows Server 2003 ne peuvent pas rétrograder correctement à l’aide de l’Assistant Installation d’Active Directory (Dcpromo.exe).

Cause

Ce comportement peut se produire si une dépendance ou une opération requise échoue. Il s’agit notamment de la connectivité réseau, de la résolution de noms, de l’authentification, de la réplication du service Active Directory ou de l’emplacement d’un objet critique dans Active Directory.

Résolution

Pour résoudre ce comportement, déterminez ce qui empêche la rétrogradation normale de Windows 2000 ou du contrôleur de domaine Windows Server 2003, puis essayez de rétrograder le contrôleur de domaine à l’aide de l’Assistant Installation d’Active Directory.

Note

Pour Windows Server 2008, le mode de restauration des services d’annuaire (DSRM) n’est pas modifié par rapport à Windows Server 2003 avec une exception. Dans Windows Server 2008, vous pouvez exécuter la dcpromo/forceremoval commande pour supprimer de force AD DS d’un contrôleur de domaine démarré dans DSRM, tout comme vous pouvez dans l’état d’arrêt AD DS. Un contrôleur de domaine doit toujours être démarré dans DSRM pour restaurer les données d’état du système à partir d’une sauvegarde. Pour plus d’informations sur la procédure à suivre, consultez le Guide pas à pas ad DS redémarré.

Solution de contournement

Si vous ne pouvez pas résoudre le comportement, vous pouvez utiliser les solutions de contournement suivantes pour effectuer une rétrogradation forcée du contrôleur de domaine afin de préserver l’installation du système d’exploitation et de toutes les applications sur celle-ci.

Avertissement

Avant d’utiliser l’une des solutions de contournement suivantes, assurez-vous que vous pouvez démarrer correctement en mode restauration des services d’annuaire. Sinon, vous ne serez pas en mesure de vous connecter après avoir rétrogradé avec force l’ordinateur. Si vous ne vous souvenez pas du mot de passe du mode de restauration des services d’annuaire, vous pouvez réinitialiser le mot de passe à l’aide de l’utilitaire Setpwd.exe qui se trouve dans le Winnt\System32 dossier. Dans Windows Server 2003, les fonctionnalités de l’utilitaire de Setpwd.exe ont été intégrées à la commande Définir le mot de passe DSRM de l’outil NTDSUTIL.

Contrôleurs de domaine Windows 2000

  1. Installez le correctif logiciel Q332199 sur un contrôleur de domaine Windows 2000 exécutant Service Pack 2 (SP2) ou une version ultérieure, ou installez Windows 2000 Service Pack 4 (SP4). SP2 et versions ultérieures prennent en charge la rétrogradation forcée. Ensuite, redémarrez votre ordinateur.

  2. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez la commande : dcpromo /forceremoval.

  3. Cliquez sur OK.

  4. Dans la page Bienvenue dans l’Assistant Installation d’Active Directory, cliquez sur Suivant.

  5. Si l’ordinateur que vous supprimez est un serveur de catalogue global, cliquez sur OK dans la fenêtre de message.

    Note

    Promouvoir des catalogues globaux supplémentaires dans la forêt ou dans le site si le contrôleur de domaine que vous rétrogradez est un serveur de catalogue global, si nécessaire.

  6. Dans la page Supprimer Active Directory , vérifiez que ce serveur est le dernier contrôleur de domaine dans la case à cocher domaine , puis cliquez sur Suivant.

  7. Dans la page Informations d’identification réseau, tapez le nom, le mot de passe et le nom de domaine d’un compte d’utilisateur avec les informations d’identification de l’administrateur d’entreprise dans la forêt, puis cliquez sur Suivant.

  8. Dans Mot de passe administrateur, tapez le mot de passe et confirmez le mot de passe que vous souhaitez affecter au compte Administrateur de la base de données SAM locale, puis cliquez sur Suivant.

  9. Dans la page Résumé , cliquez sur Suivant.

  10. Effectuez un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.

Si vous avez supprimé un domaine de la forêt à l’aide de la commande supprimer le domaine sélectionné dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et les serveurs de catalogue globaux de la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Les outils tels que Replmon.exe ou Repadmin.exe à partir des outils de support Windows 2000 peuvent vous aider à déterminer si la réplication de bout en bout s’est produite. Les serveurs de catalogue global Windows 2000 SP3 et antérieurs sont sensiblement plus lents à supprimer des objets et des contextes d’affectation de noms que Windows Server 2003.

Contrôleurs de domaine Windows Server 2003

  1. Par défaut, les contrôleurs de domaine Windows Server 2003 prennent en charge la rétrogradation forcée. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez la commande : dcpromo /forceremoval.

  2. Cliquez sur OK.

  3. Dans la page Bienvenue dans l’Assistant Installation d’Active Directory, cliquez sur Suivant.

  4. Dans la page Forcer la suppression d’Active Directory , cliquez sur Suivant.

  5. Dans Mot de passe administrateur, tapez le mot de passe et confirmez le mot de passe que vous souhaitez affecter au compte Administrateur de la base de données SAM locale, puis cliquez sur Suivant.

  6. Dans Résumé, cliquez sur Suivant.

  7. Effectuez un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.

Si vous avez supprimé un domaine de la forêt à l’aide de la commande supprimer le domaine sélectionné dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et les serveurs de catalogue globaux de la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Windows 2000 Service Pack 3 (SP3) et les serveurs de catalogue globaux antérieurs sont sensiblement plus lents à supprimer des objets et des contextes d’affectation de noms que Windows Server 2003.

Si les entrées de contrôle d’accès aux ressources sur l’ordinateur dont vous avez supprimé Active Directory étaient basées sur des groupes locaux de domaine, ces autorisations peuvent être reconfigurées, car ces groupes ne seront pas disponibles pour les serveurs membres ou autonomes. Si vous envisagez d’installer Active Directory sur l’ordinateur pour le rendre un contrôleur de domaine dans le domaine d’origine, vous n’avez plus besoin de configurer les listes de contrôle d’accès (ACL). Si vous préférez laisser l’ordinateur en tant que membre ou serveur autonome, toutes les autorisations basées sur des groupes locaux de domaine doivent être traduites ou remplacées.

Améliorations apportées à Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 améliore le dcpromo /forceremoval processus. Quand dcpromo /forceremoval elle est exécutée, une vérification est effectuée pour déterminer si le contrôleur de domaine héberge un rôle maître d’opérations, est un serveur DNS (Domain Name System) ou un serveur de catalogue global. Pour chacun de ces rôles, l’administrateur reçoit un avertissement contextuel qui conseille à l’administrateur de prendre les mesures appropriées.

Si le contrôleur de domaine ne peut pas démarrer en mode normal

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Important

Suivez ces étapes uniquement en dernier recours si le contrôleur de domaine ne peut pas démarrer en mode normal.

Pour supprimer Active Directory d’un contrôleur de domaine, procédez comme suit :

  1. Redémarrez l’ordinateur, puis appuyez sur F8 pour afficher le menu Options avancées de Windows 2000.

  2. Choisissez le mode de restauration des services d’annuaire, appuyez sur Entrée, puis appuyez à nouveau sur Entrée pour continuer le redémarrage.

  3. Modifiez l’entrée ProductType dans le Registre. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit& , puis cliquez sur OK.

    2. Recherchez la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsde Registre .

    3. Dans le volet droit, double-cliquez sur ProductType.

    4. Tapez ServerNT dans la zone de données Valeur, puis cliquez sur OK.

      Note

      Si cette valeur n’est pas correctement définie ou est mal orthographié, vous pouvez recevoir le message d’erreur suivant : Processus système - Violation de licence : le système a détecté une falsification avec votre type de produit inscrit. Il s’agit d’une violation de votre licence logicielle. La falsification du type de produit n’est pas autorisée.

    5. Quittez l'Éditeur du Registre.

  4. Redémarrez l'ordinateur.

  5. Connectez-vous avec le compte administrateur et le mot de passe utilisés pour le mode de réparation du service d’annuaire.

    L’ordinateur se comporte en tant que serveur membre. Toutefois, il existe toujours des fichiers restants et des entrées de Registre sur l’ordinateur qui sont associées au contrôleur de domaine.

  6. Démarrez l’Éditeur du Registre et recherchez l’entrée HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersde Registre .

    S’il existe une entrée pour Src Root Domain Srv, cliquez avec le bouton droit sur la valeur, puis cliquez sur Supprimer. Cette valeur doit être supprimée afin que le contrôleur de domaine se voit comme le seul contrôleur de domaine dans le domaine après la promotion.

    Important

    L’étape ci-dessus est essentielle. Sans cela, la re-promotion dans la forêt AD temporaire ne sera pas terminée et vous ne pourrez pas vous connecter au contrôleur de domaine.

  7. Supprimez les fichiers restants et les entrées de Registre. Pour ce faire, procédez comme suit :

    1. Démarrez l’Assistant Installation d’Active Directory.

    2. Installez Active Directory pour rendre l’ordinateur un contrôleur de domaine pour un nouveau domaine temporaire, tel que psstemp.deleteme.

      Note

      Veillez à faire de l’ordinateur un contrôleur de domaine dans une autre forêt.

    3. Après avoir installé Active Directory, redémarrez l’Assistant Installation d’Active Directory, puis supprimez Active Directory du contrôleur de domaine.

  8. Après avoir supprimé Active Directory d’un contrôleur de domaine, supprimez les métadonnées restantes dans le domaine. Pour plus d’informations sur la suppression de ces métadonnées, consultez Comment supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine infructueuse.

État

Microsoft a testé et prend en charge la rétrogradation forcée des contrôleurs de domaine exécutant Windows 2000 ou Windows Server 2003.

Plus d’informations

L’Assistant Installation d’Active Directory crée des contrôleurs de domaine Active Directory sur des ordinateurs Windows 2000 et Windows Server 2003. Les opérations effectuées par l’Assistant Installation d’Active Directory incluent l’installation de nouveaux services, les modifications apportées aux valeurs de démarrage des services existants et la transition vers Active Directory en tant que domaine de sécurité et d’authentification.

Avec la rétrogradation forcée, un administrateur de domaine peut supprimer De force Active Directory et restaurer les modifications système conservées localement sans avoir à contacter ou à répliquer des modifications conservées localement sur un autre contrôleur de domaine dans la forêt.

Étant donné que la rétrogradation forcée entraîne la perte de toutes les modifications détenues localement, utilisez-la uniquement comme dernier recours dans les domaines de production ou de test. Vous pouvez rétrograder de force les contrôleurs de domaine lorsque la connectivité, la résolution de noms, l’authentification ou les dépendances du moteur de réplication ne peuvent pas être résolues afin que la rétrogradation appropriée puisse être effectuée. Les scénarios valides pour les rétrogradations forcées sont les suivants :

  • Aucun contrôleur de domaine n’est actuellement disponible dans le domaine parent lorsque vous essayez de rétrograder le dernier contrôleur de domaine dans un domaine enfant immédiat.

  • L’Assistant Installation d’Active Directory ne peut pas se terminer, car il existe une dépendance de nom, d’authentification, de moteur de réplication ou d’objet Active Directory que vous ne pouvez pas résoudre après avoir effectué une résolution détaillée des problèmes.

  • Un contrôleur de domaine n’a pas répliqué les modifications entrantes d’Active Directory dans la durée de vie tombstone (durée de vie tombstone par défaut est de 60 jours) pour un ou plusieurs contextes d’affectation de noms.

    Important

    Ne récupérez pas de tels contrôleurs de domaine, sauf s’ils sont la seule chance de récupération pour un domaine particulier.

  • Le temps n’autorise pas la résolution des problèmes plus détaillée, car vous devez immédiatement entrer en service le contrôleur de domaine. Les rétrogradations forcées peuvent être utiles dans les environnements de laboratoire et de classe où vous pouvez supprimer des contrôleurs de domaine hors des domaines existants, mais vous n’avez pas besoin de rétrograder chaque contrôleur de domaine en série.

Si vous forcez la rétrogradation d’un contrôleur de domaine, vous perdez toutes les modifications uniques qui résident dans l’Active Directory du contrôleur de domaine que vous rétrogradez de force. Cela inclut l’ajout, la suppression ou la modification d’utilisateurs, d’ordinateurs, de groupes, de relations d’approbation et de stratégie de groupe ou de configuration Active Directory qui n’ont pas été répliquées avant d’exécuter la dcpromo /forceremoval commande. En outre, vous perdez les modifications apportées à l’un des attributs de ces objets, tels que les mots de passe pour les utilisateurs, les ordinateurs et les relations d’approbation et l’appartenance au groupe.

Toutefois, si vous forcez la rétrogradation d’un contrôleur de domaine, vous renvoyez le système d’exploitation à un état identique à la rétrogradation réussie du dernier contrôleur de domaine dans un domaine (valeurs de démarrage du service, services installés, utilisation d’un SAM basé sur le Registre pour la base de données de compte, l’ordinateur est membre d’un groupe de travail). Les programmes installés sur le contrôleur de domaine rétrogradé restent installés.

Le journal des événements système identifie les contrôleurs de domaine Windows 2000 rétrogradés de force et les instances de l’opération dcpromo /forceremoval par ID d’événement 29234. Par exemple : le journal des événements système identifie les contrôleurs de domaine Windows Server 2003 rétrogradés de force par ID d’événement 29239. Par exemple : après avoir utilisé la dcpromo /forceremoval commande, les métadonnées de l’ordinateur rétrogradé ne sont pas supprimées sur les contrôleurs de domaine survivants. Pour plus d’informations, consultez Nettoyer domaine Active Directory métadonnées du serveur contrôleur.

Voici les éléments que vous devez traiter, le cas échéant, après la rétrogradation forcée d’un contrôleur de domaine :

  1. Supprimez le compte d’ordinateur du domaine.
  2. Vérifiez que les enregistrements DNS, tels que A, CNAME et SRV, sont supprimés et supprimez-les s’ils sont présents.
  3. Vérifiez que les objets membres FRS (FRS et DFS) sont supprimés et supprimez-les s’ils sont présents.
  4. Si l’ordinateur rétrogradé est membre d’un groupe de sécurité, supprimez-le de ces groupes.
  5. Supprimez les références DFS au serveur rétrogradé, telles que les liens ou les réplicas racines.
  6. Un contrôleur de domaine survivant doit saisir tous les rôles de maître d’opérations, également appelés opérations de base unique flexibles ou FSMO, qui ont été précédemment détenues par le contrôleur de domaine rétrogradé de force. Pour plus d’informations, consultez Transférer ou saisir des rôles Operation Master dans services de domaine Active Directory.
  7. Si le contrôleur de domaine que vous rétrogradez est un serveur DNS ou un serveur de catalogue global, vous devez créer un nouveau serveur GC ou DNS pour répondre aux paramètres d’équilibrage de charge, de tolérance de panne et de configuration dans la forêt.
  8. Lorsque vous utilisez la commande supprimer le serveur sélectionné dans NTDSUTIL, l’objet NTDSDSA, l’objet parent pour les connexions entrantes au contrôleur de domaine que vous avez rétrogradé de force est supprimé. La commande ne supprime pas les objets serveur parent qui apparaissent dans le composant logiciel enfichable Sites et Services. Utilisez le composant logiciel enfichable MMC Sites et Services Active Directory pour supprimer l’objet serveur si le contrôleur de domaine ne sera pas promu dans la forêt avec le même nom d’ordinateur.