Partager via


Les contrôleurs de domaine ne rétrogradent pas correctement lorsque vous utilisez l’Assistant Installation d’Active Directory pour forcer la rétrogradation

Cet article fournit une solution de contournement pour un problème où les contrôleurs de domaine ne rétrogradent pas lorsque vous utilisez l’Assistant Installation d’Active Directory (Dcpromo.exe) pour forcer la rétrogradation.

Numéro de la base de connaissances d’origine : 332199

Symptômes

Les contrôleurs de domaine Microsoft Windows 2000 ou Microsoft Windows Server 2003 ne peuvent pas rétrograder normalement à l’aide de l’Assistant Installation d’Active Directory (Dcpromo.exe).

Cause

Ce comportement peut se produire si une dépendance ou une opération requise échoue. Il s’agit notamment de la connectivité réseau, de la résolution de noms, de l’authentification, de la réplication du service d’annuaire Active Directory ou de l’emplacement d’un objet critique dans Active Directory.

Résolution

Pour résoudre ce comportement, déterminez ce qui empêche la rétrogradation normale du contrôleur de domaine Windows 2000 ou Windows Server 2003, puis essayez de rétrograder le contrôleur de domaine à l’aide de l’Assistant Installation d’Active Directory.

Remarque

Pour Windows Server 2008, le mode de restauration des services d’annuaire (DSRM) est inchangé par rapport à Windows Server 2003, à une exception près. Dans Windows Server 2008, vous pouvez exécuter la dcpromo/forceremoval commande pour supprimer de force AD DS d’un contrôleur de domaine démarré dans DSRM, comme vous le pouvez dans l’état ARRÊTÉ AD DS. Un contrôleur de domaine doit toujours être démarré dans DSRM pour restaurer les données d’état du système à partir d’une sauvegarde. Pour plus d’informations sur la procédure à suivre, consultez Guide pas à pas pour le redémarrage d’AD DS.

Solution de contournement

Si vous ne pouvez pas résoudre le comportement, vous pouvez utiliser les solutions de contournement suivantes pour effectuer une rétrogradation forcée du contrôleur de domaine afin de préserver l’installation du système d’exploitation et de toutes les applications sur celui-ci.

Avertissement

Avant d’utiliser l’une des solutions de contournement suivantes, assurez-vous que vous pouvez démarrer correctement en mode restauration des services d’annuaire. Sinon, vous ne serez pas en mesure de vous connecter après avoir rétrogradé de force l’ordinateur. Si vous ne vous souvenez pas du mot de passe du mode restauration des services d’annuaire, vous pouvez réinitialiser le mot de passe à l’aide de l’utilitaire Setpwd.exe qui se trouve dans le Winnt\System32 dossier. Dans Windows Server 2003, les fonctionnalités de l’utilitaire Setpwd.exe ont été intégrées à la commande Définir le mot de passe DSRM de l’outil NTDSUTIL.

Contrôleurs de domaine Windows 2000

  1. Installez le correctif logiciel Q332199 sur un contrôleur de domaine Windows 2000 exécutant Service Pack 2 (SP2) ou une version ultérieure, ou installez Windows 2000 Service Pack 4 (SP4). SP2 et versions ultérieures prennent en charge la rétrogradation forcée. Ensuite, redémarrez votre ordinateur.

  2. Cliquez sur Démarrer, sur Exécuter, puis tapez la commande : dcpromo /forceremoval.

  3. Cliquez sur OK.

  4. Dans la page Bienvenue dans l’Assistant Installation d’Active Directory , cliquez sur Suivant.

  5. Si l’ordinateur que vous supprimez est un serveur de catalogue global, cliquez sur OK dans la fenêtre de message.

    Remarque

    Promouvoir des catalogues globaux supplémentaires dans la forêt ou dans le site si le contrôleur de domaine que vous rétrogradez est un serveur de catalogue global, selon les besoins.

  6. Dans la page Supprimer Active Directory , vérifiez que la case Ce serveur est le dernier contrôleur de domaine du domaine est décochée, puis cliquez sur Suivant.

  7. Dans la page Informations d’identification réseau , tapez le nom, le mot de passe et le nom de domaine d’un compte d’utilisateur avec des informations d’identification d’administrateur d’entreprise dans la forêt, puis cliquez sur Suivant.

  8. Dans Mot de passe de l’administrateur, tapez le mot de passe et le mot de passe confirmé que vous souhaitez attribuer au compte Administrateur de la base de données SAM locale, puis cliquez sur Suivant.

  9. Dans la page Résumé , cliquez sur Suivant.

  10. Effectuez un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.

Si vous avez supprimé un domaine de la forêt à l’aide de la commande remove selected domain dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et les serveurs de catalogue global de la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Des outils tels que Replmon.exe ou Repadmin.exe à partir des outils de support Windows 2000 peuvent vous aider à déterminer si la réplication de bout en bout s’est produite. Windows 2000 SP3 et les serveurs de catalogue global antérieurs sont sensiblement plus lents à supprimer les objets et les contextes de nommage que Windows Server 2003.

Contrôleurs de domaine Windows Server 2003

  1. Par défaut, les contrôleurs de domaine Windows Server 2003 prennent en charge la rétrogradation forcée. Cliquez sur Démarrer, sur Exécuter, puis tapez la commande : dcpromo /forceremoval.

  2. Cliquez sur OK.

  3. Dans la page Bienvenue dans l’Assistant Installation d’Active Directory , cliquez sur Suivant.

  4. Dans la page Forcer la suppression d’Active Directory , cliquez sur Suivant.

  5. Dans Mot de passe de l’administrateur, tapez le mot de passe et le mot de passe confirmé que vous souhaitez attribuer au compte Administrateur de la base de données SAM locale, puis cliquez sur Suivant.

  6. Dans Résumé, cliquez sur Suivant.

  7. Effectuez un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.

Si vous avez supprimé un domaine de la forêt à l’aide de la commande remove selected domain dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et les serveurs de catalogue global de la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Windows 2000 Service Pack 3 (SP3) et les serveurs de catalogue global antérieurs sont sensiblement plus lents à supprimer les objets et les contextes de nommage que Windows Server 2003.

Si les entrées de contrôle d’accès aux ressources sur l’ordinateur dont vous avez supprimé Active Directory étaient basées sur des groupes locaux de domaine, ces autorisations peuvent devoir être reconfigurées, car ces groupes ne seront pas disponibles pour les serveurs membres ou autonomes. Si vous envisagez d’installer Active Directory sur l’ordinateur pour en faire un contrôleur de domaine dans le domaine d’origine, vous n’avez plus besoin de configurer des listes de contrôle d’accès (ACL). Si vous préférez laisser l’ordinateur en tant que serveur membre ou autonome, toutes les autorisations basées sur des groupes locaux de domaine doivent être traduites ou remplacées.

Améliorations apportées à Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 améliore le dcpromo /forceremoval processus. Lorsque dcpromo /forceremoval est exécuté, une vérification est effectuée pour déterminer si le contrôleur de domaine héberge un rôle maître d’opérations, s’il s’agit d’un serveur DNS (Domain Name System) ou d’un serveur de catalogue global. Pour chacun de ces rôles, l’administrateur reçoit un avertissement contextuel qui conseille à l’administrateur de prendre les mesures appropriées.

Si le contrôleur de domaine ne peut pas démarrer en mode normal

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Importante

Suivez ces étapes uniquement en dernier recours si le contrôleur de domaine ne peut pas démarrer en mode normal.

Pour supprimer Active Directory d’un contrôleur de domaine, procédez comme suit :

  1. Redémarrez l’ordinateur, puis appuyez sur F8 pour afficher le menu Options avancées de Windows 2000 .

  2. Choisissez Le mode de restauration des services d’annuaire, appuyez sur ENTRÉE, puis appuyez de nouveau sur Entrée pour continuer le redémarrage.

  3. Modifiez l’entrée ProductType dans le Registre. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer et sur Exécuter, tapez regedit, puis cliquez sur OK.

    2. Recherchez la sous-clé de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsRegistre .

    3. Dans le volet droit, double-cliquez sur ProductType.

    4. Tapez ServerNT dans la zone Données de la valeur , puis cliquez sur OK.

      Remarque

      Si cette valeur n’est pas définie correctement ou est mal orthographié, vous pouvez recevoir le message d’erreur suivant : Processus système - Violation de licence : Le système a détecté une falsification de votre type de produit inscrit. Il s’agit d’une violation de votre licence logicielle. La falsification du type de produit n’est pas autorisée.

    5. Quittez l’Éditeur du Registre.

  4. Redémarrez l'ordinateur.

  5. Connectez-vous avec le compte d’administrateur et le mot de passe utilisés pour le mode de réparation du service d’annuaire.

    L’ordinateur se comporte comme un serveur membre. Toutefois, il reste des fichiers et des entrées de Registre sur l’ordinateur associés au contrôleur de domaine.

  6. Démarrez l’Éditeur du Registre et recherchez l’entrée HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersde Registre .

    S’il existe une entrée pour Src Root Domain Srv, cliquez avec le bouton droit sur la valeur, puis cliquez sur Supprimer. Cette valeur doit être supprimée afin que le contrôleur de domaine se considère comme le seul contrôleur de domaine dans le domaine après la promotion.

    Importante

    L’étape ci-dessus est critique. Sans elle, la re-promotion dans la forêt AD temporaire ne sera pas terminée et vous ne pourrez pas vous connecter au contrôleur de domaine.

  7. Supprimez les fichiers et les entrées de Registre restants. Pour cela, procédez comme suit :

    1. Démarrez l’Assistant Installation d’Active Directory.

    2. Installez Active Directory pour faire de l’ordinateur un contrôleur de domaine pour un nouveau domaine temporaire, tel que psstemp.deleteme.

      Remarque

      Veillez à faire de l’ordinateur un contrôleur de domaine dans une autre forêt.

    3. Après avoir installé Active Directory, redémarrez l’Assistant Installation d’Active Directory, puis supprimez Active Directory du contrôleur de domaine.

  8. Après avoir supprimé Active Directory d’un contrôleur de domaine, supprimez les métadonnées qui restent dans le domaine. Pour plus d’informations sur la suppression de ces métadonnées, consultez Comment supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine infructueuse.

État

Microsoft a testé et prend en charge la rétrogradation forcée des contrôleurs de domaine qui exécutent Windows 2000 ou Windows Server 2003.

Informations supplémentaires

L’Assistant Installation d’Active Directory crée des contrôleurs de domaine Active Directory sur des ordinateurs Windows 2000 et Windows Server 2003. Les opérations effectuées par l’Assistant Installation d’Active Directory incluent l’installation de nouveaux services, les modifications apportées aux valeurs de démarrage des services existants et la transition vers Active Directory en tant que domaine de sécurité et d’authentification.

Avec la rétrogradation forcée, un administrateur de domaine peut supprimer de force Active Directory et restaurer les modifications système conservées localement sans avoir à contacter ou à répliquer les modifications conservées localement sur un autre contrôleur de domaine dans la forêt.

Étant donné que la rétrogradation forcée entraîne la perte de toutes les modifications conservées localement, utilisez-la uniquement en dernier recours dans les domaines de production ou de test. Vous pouvez rétrograder de force les contrôleurs de domaine lorsque la connectivité, la résolution de noms, l’authentification ou les dépendances du moteur de réplication ne peuvent pas être résolues afin que la rétrogradation appropriée puisse être effectuée. Les scénarios valides pour les rétrogradations forcées sont les suivants :

  • Aucun contrôleur de domaine n’est actuellement disponible dans le domaine parent lorsque vous essayez de rétrograder le dernier contrôleur de domaine dans un domaine enfant immédiat.

  • L’Assistant Installation d’Active Directory ne peut pas se terminer, car il existe une résolution de noms, une authentification, un moteur de réplication ou une dépendance d’objet Active Directory que vous ne pouvez pas résoudre après avoir effectué une résolution détaillée des problèmes.

  • Un contrôleur de domaine n’a pas répliqué les modifications Active Directory entrantes dans la durée de vie de Tombstone (la durée de vie par défaut de Tombstone est de 60 jours) pour un ou plusieurs contextes d’affectation de noms.

    Importante

    Ne récupérez pas ces contrôleurs de domaine, sauf s’ils sont la seule chance de récupération pour un domaine particulier.

  • Le temps ne permet pas de résoudre les problèmes plus détaillés, car vous devez immédiatement mettre en service le contrôleur de domaine. Les rétrogradations forcées peuvent être utiles dans les environnements de laboratoire et de classe où vous pouvez supprimer des contrôleurs de domaine des domaines existants, mais vous n’avez pas besoin de rétrograder chaque contrôleur de domaine en série.

Si vous forcez la rétrogradation d’un contrôleur de domaine, vous perdrez toutes les modifications uniques qui résident dans l’annuaire Active Directory du contrôleur de domaine que vous rétrogradez de force. Cela inclut l’ajout, la suppression ou la modification d’utilisateurs, d’ordinateurs, de groupes, de relations d’approbation et de stratégie de groupe ou de configuration Active Directory qui n’ont pas été répliqués avant d’exécuter la dcpromo /forceremoval commande. En outre, vous perdrez les modifications apportées à l’un des attributs sur ces objets, tels que les mots de passe des utilisateurs, les ordinateurs, les relations d’approbation et l’appartenance au groupe.

Toutefois, si vous forcez la rétrogradation d’un contrôleur de domaine, vous retournez le système d’exploitation à un état identique à la rétrogradation réussie du dernier contrôleur de domaine dans un domaine (valeurs de début de service, services installés, utilisation d’un sam basé sur le registre pour la base de données de compte, l’ordinateur est membre d’un groupe de travail). Les programmes installés sur le contrôleur de domaine rétrogradé restent installés.

Le journal des événements système identifie les contrôleurs de domaine Windows 2000 et les instances de l’opération rétrogradés de force par l’ID dcpromo /forceremoval d’événement 29234. Par exemple : le journal des événements système identifie les contrôleurs de domaine Windows Server 2003 rétrogradés de force par l’ID d’événement 29239. Par exemple : après avoir utilisé la commande , les dcpromo /forceremoval métadonnées de l’ordinateur rétrogradé ne sont pas supprimées sur les contrôleurs de domaine survivants. Pour plus d’informations, consultez Nettoyer les métadonnées du serveur du contrôleur de domaine Active Directory.

Voici les éléments que vous devez traiter, le cas échéant, après la rétrogradation forcée d’un contrôleur de domaine :

  1. Supprimez le compte d’ordinateur du domaine.
  2. Vérifiez que les enregistrements DNS, tels que les enregistrements A, CNAME et SRV, sont supprimés, puis supprimez-les s’ils sont présents.
  3. Vérifiez que les objets membres FRS (FRS et DFS) sont supprimés et supprimez-les s’ils sont présents.
  4. Si l’ordinateur rétrogradé est membre d’un groupe de sécurité, supprimez-le de ces groupes.
  5. Supprimez toutes les références DFS au serveur rétrogradé, telles que les liens ou les réplicas racine.
  6. Un contrôleur de domaine survivant doit saisir tous les rôles de maître d’opérations, également appelés opérations monomaître flexibles ou FSMO, qui étaient précédemment détenus par le contrôleur de domaine rétrogradé de force. Pour plus d’informations, consultez Transférer ou saisir des rôles Operation Master dans Active Directory Domain Services.
  7. Si le contrôleur de domaine que vous rétrogradez est un serveur DNS ou un serveur de catalogue global, vous devez créer un serveur GC ou DNS pour satisfaire les paramètres d’équilibrage de charge, de tolérance de panne et de configuration dans la forêt.
  8. Lorsque vous utilisez la commande remove selected server dans NTDSUTIL, l’objet NTDSDSA, l’objet parent pour les connexions entrantes au contrôleur de domaine que vous avez rétrogradé de force, est supprimé. La commande ne supprime pas les objets serveur parent qui apparaissent dans le composant logiciel enfichable Sites et services. Utilisez le composant logiciel enfichable MMC Sites et services Active Directory pour supprimer l’objet serveur si le contrôleur de domaine n’est pas promu dans la forêt avec le même nom d’ordinateur.