Rétrogradation de contrôleurs de domaine et de domaines

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server

Cet article explique comment supprimer les services AD DS à l’aide du Gestionnaire de serveur ou de Windows PowerShell.

Workflow de suppression des services AD DS

AD DS removal workflow chart

Attention

La suppression des rôles AD DS avec Dism.exe ou le module DISM Windows PowerShell après la promotion vers un contrôleur de domaine n'est pas prise en charge et empêche le démarrage normal du serveur.

À la différence du Gestionnaire de serveur ou du module ADDSDeployment pour Windows PowerShell, DISM est un système de maintenance natif sans connaissance inhérente des services AD DS ni de leur configuration. N'utilisez pas Dism.exe ni le module DISM Windows PowerShell pour désinstaller le rôle AD DS sauf si le serveur n'est plus un contrôleur de domaine.

Rétrogradation et suppression de rôle avec PowerShell

Applets de commande ADDSDeployment et ServerManager Arguments (ceux en gras sont requis et ceux en italique peuvent être spécifiés à l’aide de Windows PowerShell ou de l’Assistant Configuration des services de domaine Active Directory.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Notes

L'argument -credential n'est requis que si vous n'êtes pas déjà connecté en tant que membre du groupe Administrateurs de l'entreprise (rétrogradation du dernier contrôleur de domaine dans un domaine) ou du groupe Admins du domaine (rétrogradation d'un contrôleur de domaine répliqué). L'argument -includemanagementtools n'est requis que si vous voulez supprimer tous les utilitaires de gestion des services AD DS.

Demote (Rétrograder)

Supprimer des rôles et des fonctionnalités

Le Gestionnaire de serveur offre deux interfaces permettant de supprimer le rôle Services de domaine Active Directory :

  • Menu Gérer du tableau de bord principal, avec Supprimer des rôles et fonctionnalités

    Server Manager - Remove Roles and Features

  • Sélectionnez AD DS ou Tous les serveurs dans le volet de navigation. Faites défiler les options jusqu'à la section Rôles et fonctionnalités. Cliquez avec le bouton droit sur Services de domaine Active Directory dans la liste Rôles et fonctionnalités et sélectionnez Supprimer un rôle ou une fonctionnalité. Cette interface ignore la page Sélection du serveur.

    Server Manager - All Servers- Remove Roles and Features

Les cmdlets ServerManager Uninstall-WindowsFeature et Remove-WindowsFeature vous empêchent de supprimer le rôle AD DS tant que vous n’avez pas rétrogradé le contrôleur de domaine.

Sélection du serveur

Remove Roles and Features Wizard select destination server

La boîte de dialogue Sélection du serveur vous permet de choisir l’un des serveurs précédemment ajoutés au pool, tant qu’il est accessible. Le serveur local exécutant le Gestionnaire de serveur est toujours automatiquement accessible.

Rôles et fonctionnalités de serveur

Remove Roles and Features Wizard - Select roles to remove

Décochez la case Services de domaine Active Directory pour rétrograder un contrôleur de domaine ; si le serveur est actuellement un contrôleur de domaine, le rôle AD DS n’est pas supprimé, mais une boîte de dialogue Résultats de la validation s’affiche avec la proposition de rétrogradation. Sinon, cette opération supprime les fichiers binaires comme toute autre fonctionnalité de rôle.

  • Ne supprimez aucun autre rôle ni fonctionnalité associés à AD DS (par exemple, DNS, GPMC ou les outils RSAT) si vous envisagez de promouvoir à nouveau le contrôleur de domaine dans l’immédiat. La suppression d'autres rôles et fonctionnalités augmente le temps nécessaire à une nouvelle promotion, car le Gestionnaire de serveur réinstalle ces fonctionnalités quand vous réinstallez le rôle.

  • Supprimez les rôles et fonctionnalités des services de domaine Active Directory inutiles selon vos souhaits si vous envisagez de rétrograder le contrôleur de domaine de façon définitive. Vous devez pour cela décocher les cases associées à ces rôles et fonctionnalités.

    La liste complète des rôles et fonctionnalités associés aux services de domaine Active Directory contient notamment :

    • Module Active Directory pour la fonctionnalité Windows PowerShell
    • Fonctionnalité des outils AD DS et AD LDS
    • Fonctionnalité du Centre d'administration Active Directory
    • Fonctionnalité des composants logiciels enfichables et outils en ligne de commande AD DS
    • Serveur DNS
    • Console de gestion des stratégies de groupe

Les applets de commande Windows PowerShell ADDSDeployment et ServerManager équivalentes sont les suivantes :

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Informations d'identification

Active Directory Domain Services Configuration Wizard - Credentials selection

La page Informations d’identification vous permet de configurer des options de rétrogradation. Entrez les informations d’identification nécessaires pour effectuer la rétrogradation à partir de la liste suivante :

  • La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des informations d’identification d’administrateur de domaine. Le fait de sélectionner Forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de domaine sans supprimer les métadonnées de l’objet contrôleur de domaine d’Active Directory.

    Avertissement

    Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen raisonnable ne permet de résoudre ce problème réseau. La rétrogradation forcée laisse des métadonnées orphelines dans Active Directory sur les contrôleurs de domaine restants dans la forêt. Par ailleurs, toutes les modifications non répliquées sur ce contrôleur de domaine, notamment les mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement perdues. Les métadonnées orphelines sont la cause première d’un grand nombre de problèmes soumis au support technique Microsoft pour AD DS, Exchange, SQL et d’autres logiciels.

    Si vous rétrogradez de force un contrôleur de domaine, vous devez immédiatement effectuer un nettoyage manuel des métadonnées. Pour la procédure à suivre, voir Nettoyage des métadonnées du serveur.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite l'appartenance au groupe Administrateurs de l'entreprise, cette opération entraînant la suppression du domaine à proprement parler (s'il s'agit du dernier domaine dans la forêt, la forêt est supprimée). Le Gestionnaire de serveur vous informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine dans le domaine. Cochez la case Dernier contrôleur de domaine du domaine pour confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine dans le domaine.

Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Avertissements

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

La page Avertissements vous informe des conséquences possibles de la suppression de ce contrôleur de domaine. Pour continuer, vous devez sélectionner Procéder à la suppression.

Avertissement

Si vous avez auparavant sélectionné Forcer la suppression de ce contrôleur de domaine dans la page Informations d'identification, la page Avertissements affiche tous les rôles FSMO (Flexible Single Master Operations) hébergés par ce contrôleur de domaine. Vous devez prendre les rôles d'un autre contrôleur de domaine immédiatement après la rétrogradation de ce serveur. Pour plus d’informations sur la prise des rôles FSMO, voir Prendre le rôle de maître d’opérations.

Cette page n’a pas d’argument Windows PowerShell ADDSDeployment équivalent.

Options de suppression

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

La page Options de suppression s'affiche en fonction de la sélection précédente du Dernier contrôleur de domaine du domaine dans la page Informations d'identification. Cette page vous permet de configurer d'autres options de suppression. Sélectionnez Ignorer le dernier serveur DNS pour zone, Supprimer les partitions d’application et Supprimer la délégation DNS pour activer le bouton Suivant.

Les options ne s'affichent que si elles sont applicables à ce contrôleur de domaine. Par exemple, s’il n’existe aucune délégation DNS pour ce serveur, cette case ne s’affiche pas.

Sélectionnez Modifier pour spécifier d’autres informations d’identification d’administration DNS. Sélectionnez Afficher les partitions pour afficher d’autres partitions que l’Assistant supprime pendant la rétrogradation. Par défaut, les seules autres partitions sont les zones DNS du domaine et DNS de la forêt. Toutes les autres partitions sont des partitions non-Windows.

Les arguments de l'applet de commande ADDSDeployment équivalents sont les suivants :

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Nouveau mot de passe d’administrateur

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

Quand la rétrogradation est terminée et que l’ordinateur devient un serveur membre de domaine ou un ordinateur de groupe de travail, la page Nouveau mot de passe d’administrateur vous demande de fournir un mot de passe pour le compte Administrateur de l’ordinateur local intégré.

L'applet de commande Uninstall-ADDSDomainController et les arguments suivent les mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.

L'argument LocalAdministratorPassword est spécial :

  • S'il n'est pas spécifié en tant qu'argument, l'applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
  • S'il est spécifié avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.

Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe sous forme d’une chaîne sécurisée à l’aide de la cmdlet Read-Host.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Avertissement

Étant donné que les deux options précédentes ne confirment pas le mot de passe, faites preuve de prudence, car le mot de passe n’est pas visible.

Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé. Par exemple :

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Avertissement

Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe d'administrateur local de cet ordinateur. Elle peut ensuite accéder à l'ensemble des données qu'il contient et emprunter l'identité du serveur lui-même.

Confirmation

Active Directory Domain Services Configuration Wizard - Review Options

La page Confirmation indique la rétrogradation planifiée ; elle ne répertorie pas les options de configuration de la rétrogradation. Il s'agit de la dernière page affichée par l'Assistant avant le début de la rétrogradation. Le bouton Afficher le script crée un script de rétrogradation Windows PowerShell.

Sélectionnez Rétrograder pour exécuter l’applet de commande de déploiement des services AD DS suivante :

Uninstall-ADDSDomainController

Utilisez l'argument Whatif facultatif avec Uninstall-ADDSDomainController et l'applet de commande pour passer en revue les informations de configuration. Cela vous permet de voir les valeurs explicites et implicites des arguments d'une applet de commande.

Par exemple :

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

L'invite de redémarrage représente votre dernière possibilité d'annuler cette opération quand vous utilisez Windows PowerShell ADDSDeployment. Pour remplacer cette invite, utilisez les arguments -force ou confirm:$false.

Rétrogradation

Active Directory Domain Services Configuration Wizard - Demotion in progress

Quand la page Rétrogradation s’affiche, la configuration du contrôleur de domaine commence et ne peut pas être arrêtée ni annulée. Les opérations détaillées s'affichent dans cette page et sont écrites dans les journaux :

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Comme Uninstall-ADDSDomainController et Uninstall-WindowsFeature n’ont qu’une action chacune, elles sont indiquées ici dans la phase de confirmation avec les arguments requis minimaux. En appuyant sur Entrée, vous démarrez le processus de rétrogradation irrévocable et redémarrez l'ordinateur.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell ADDSDeployment. Pour empêcher le serveur de redémarrer automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion:$false.

Avertissement

Il n'est pas conseillé de remplacer le redémarrage. Le serveur membre doit redémarrer pour fonctionner correctement.

PowerShell Uninstall-ADDSDomainController Force Example

Voici un exemple de rétrogradation forcée avec ses arguments requis minimaux pour -forceremoval et -demoteoperationmasterrole. L’argument -credential n’est pas requis, car l’utilisateur a ouvert une session en tant que membre du groupe Administrateurs de l’entreprise :

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Voici un exemple illustrant la suppression du dernier contrôleur de domaine dans le domaine avec ses arguments requis minimaux -lastdomaincontrollerindomain et -removeapplicationpartitions :

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Si vous tentez de supprimer le rôle AD DS avant la rétrogradation du serveur, Windows PowerShell vous bloque avec une erreur :

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Important

Vous devez redémarrer l'ordinateur après la rétrogradation du serveur avant de pouvoir supprimer les fichiers binaires du rôle AD-Domain-Services.

Résultats

You're About to be signed off warning after removal of AD DS

La page Résultats indique la réussite ou l'échec de la promotion et toute information d'administration importante. Le contrôleur de domaine redémarre automatiquement après 10 secondes.