Descriptions des pages des Assistants Installation et Suppression des services de domaine Active Directory
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Cette rubrique décrit les commandes figurant sur les pages des Assistants suivants en rapport avec l’installation et la suppression du rôle serveur AD DS dans le Gestionnaire de serveur.
Configuration du déploiement
Dans le Gestionnaire de serveur, chaque installation d’un contrôleur de domaine débute par la page Configuration de déploiement. Dans cette page et les pages suivantes, les options disponibles et les champs requis varient selon l’opération de déploiement que vous sélectionnez. Par exemple, si vous créez une forêt, la page Options de préparation n’apparaît pas. En revanche, elle s’affiche si vous installez le premier contrôleur de domaine exécutant Windows Server 2012 dans une forêt ou un domaine existant.
Des tests de validation sont effectués sur cette page et, par la suite, dans le cadre de la vérification de la configuration requise. Par exemple, si vous essayez d’installer le premier contrôleur de domaine Windows Server 2012 dans une forêt ayant le niveau fonctionnel Windows 2000, une erreur apparaît sur cette page.
Les options suivantes apparaissent lorsque vous créez une forêt.
Lorsque vous créez une forêt, vous devez spécifier le nom du domaine racine de forêt. Le nom du domaine racine de forêt ne doit pas être en une partie (par exemple, vous devez utiliser « contoso.com » et non « contoso »). Il doit respecter les conventions d’affectation des noms des domaines DNS. Vous pouvez spécifier un nom de domaine international. Pour plus d’informations sur les conventions d’affectation des noms de domaine DNS, voir l’article 909264 de la Base de connaissances Microsoft.
Ne créez pas de forêts Active Directory portant le même nom que votre nom DNS externe. Par exemple, si votre URL DNS Internet est http://contoso.com, vous devez choisir un nom différent pour que votre forêt interne évite tout problème de compatibilité futur. Ce nom doit être unique et faire l’objet d’une utilisation peu probable en termes de trafic Web, comme corp.contoso.com.
Vous devez être membre du groupe Administrateurs sur le serveur sur lequel vous voulez créer une forêt.
Pour plus d’informations sur la création d’une forêt, voir Installer une nouvelle forêt Active Directory Windows Server 2012 (niveau 200).
Les options suivantes apparaissent lorsque vous créez un domaine.
Remarque
Si vous créez un domaine d’arborescence, vous devez spécifier le nom du domaine racine de forêt à la place du domaine parent, mais les pages et les options restantes de l’Assistant restent les mêmes.
Cliquez sur Sélectionner pour accéder au domaine parent ou à l’arborescence Active Directory, ou bien tapez un domaine parent valide ou un nom d’arborescence. Tapez ensuite le nom du nouveau domaine dans Nouveau nom de domaine.
Domaine d’arborescence : entrez un nom de domaine racine complet valide ; le nom ne doit pas être en une partie et doit satisfaire aux conditions d’attribution des noms de domaine DNS.
Domaine enfant : entrez un nom de domaine enfant en une partie valide ; le nom doit satisfaire aux conditions d’attribution des noms de domaine DNS.
L’Assistant Configuration des services de domaine Active Directory vous invite à entrer les informations d’identification du domaine si vos informations d’identification actuelles ne proviennent pas du domaine. Cliquez sur Modifier pour entrer les informations d’identification du domaine.
Pour plus d’informations sur la création d’un domaine, voir Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200).
Les options suivantes apparaissent lorsque vous ajoutez un nouveau contrôleur de domaine à un domaine existant.
Cliquez sur Sélectionner pour accéder au domaine ou tapez un nom de domaine valide.
Le cas échéant, le Gestionnaire de serveur vous invite à entrer des informations d’identification valides. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe Admins du domaine.
Par ailleurs, quand vous installez le premier contrôleur de domaine exécutant Windows Server 2012 dans une forêt, vos informations d’identification doivent inclure des appartenances aux groupes Administrateurs de l’entreprise et Administrateurs du schéma. L’Assistant Configuration des services de domaine Active Directory vous avertit par la suite si vos informations d’identification actuelles ne comptent pas les autorisations ou les appartenances aux groupes appropriées.
Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant (niveau 200).
Options de contrôleur de domaine :
Si vous créez une forêt, la page Options du contrôleur de domaine recense les options suivantes :
Les niveaux fonctionnels de forêt et de domaine sont définis sur Windows Server 2012 par défaut.
Une nouvelle fonctionnalité est disponible au niveau fonctionnel de domaine Windows Server 2012 : la stratégie de modèle d’administration du centre de distribution de clés Prise en charge du contrôle d’accès dynamique et du blindage Kerberos comprend deux paramètres (Toujours fournir des revendications et Rejeter les demandes d’authentification non blindées) qui nécessitent le niveau fonctionnel de domaine Windows Server 2012. Pour plus d’informations, consultez « Prise en charge des revendications, de l’authentification composée et du blindage Kerberos » dans Nouveautés de l’authentification Kerberos. Le niveau fonctionnel de forêt Windows Server 2012 ne fournit aucune nouvelle fonctionnalité, mais il garantit que tout domaine créé dans la forêt fonctionne automatiquement au niveau fonctionnel de domaine Windows Server 2012. Outre la prise en charge du contrôle d’accès dynamique et du blindage Kerberos, le niveau fonctionnel de domaine Windows Server 2012 ne propose pas d’autres nouveautés, mais il garantit que tout contrôleur de domaine dans le domaine exécute Windows Server 2012. Pour plus d’informations sur les autres fonctionnalités disponibles à différents niveaux fonctionnels, voir Présentation des niveaux fonctionnels des services de domaine Active Directory (AD DS).
Au-delà des niveaux fonctionnels, un contrôleur de domaine qui exécute Windows Server 2012 fournit des fonctionnalités supplémentaires qui ne sont pas disponibles sur un contrôleur de domaine exécutant une version antérieure de Windows Server. Par exemple, un contrôleur de domaine qui exécute Windows Server 2012 peut être utilisé pour le clonage de contrôleur de domaine virtuel, ce qui n’est pas possible avec un contrôleur de domaine qui exécute une version antérieure de Windows Server.
Le serveur DNS est sélectionné par défaut lorsque vous créez une forêt. Le premier contrôleur de domaine dans la forêt doit être un serveur de catalogue global. Il ne peut pas s’agir d’un contrôleur de domaine en lecture seule.
Le mot de passe du mode de restauration des services d’annuaire (DSRM) est requis pour ouvrir une session sur un contrôleur de domaine où les services AD DS ne s’exécutent pas. Le mot de passe que vous spécifiez doit respecter la stratégie de mot de passe appliquée au serveur. Celle-ci, par défaut, ne requiert pas un mot de passe fort, mais seulement un mot de passe non vide. Choisissez toujours un mot de passe fort complexe ou, de préférence, une phrase secrète. Pour plus d’informations sur la façon synchroniser le mot de passe DSRM avec le mot de passe d’un compte utilisateur de domaine, voir l’l’article 961320 de la Base de connaissances Microsoft.
Pour plus d’informations sur la création d’une forêt, voir Installer une nouvelle forêt Active Directory Windows Server 2012 (niveau 200).
Si vous créez un domaine enfant, la page Options du contrôleur de domaine recense les options suivantes :
Le niveau fonctionnel de domaine est défini sur Windows Server 2012 par défaut. Vous pouvez spécifier n’importe quelle autre valeur tant que celle-ci est au moins égale à la valeur du niveau fonctionnel de la forêt.
Parmi les options du contrôleur de domaine configurables figurent Serveur DNS et Catalogue global. Notez que vous ne pouvez pas configurer un contrôleur de domaine en lecture seule comme premier contrôleur de domaine dans un nouveau domaine.
Microsoft recommande que tous les contrôleurs de domaine fournissent des services DNS et de catalogue global à des fins de haute disponibilité dans les environnements distribués. Ces options sont donc activées par défaut dans l’Assistant lors de la création d’un domaine.
La page Options du contrôleur de domaine vous permet également de choisir le nom de site logique Active Directory approprié à partir de la configuration de la forêt. Par défaut, le sous-réseau le mieux adapté est sélectionné. S’il n’y a qu’un site, celui-ci est automatiquement sélectionné.
Important
Si le serveur n’appartient pas à un sous-réseau Active Directory et que plusieurs sites existent, rien n’est sélectionné et le bouton Suivant n’apparaît que lorsque vous choisissez un site dans la liste.
Pour plus d’informations sur la création d’un domaine, voir Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200).
Si vous ajoutez un contrôleur de domaine à un domaine, la page Options du contrôleur de domaine recense les options suivantes :
Parmi les options du contrôleur de domaine configurables figurent Serveur DNS, Catalogue global et Contrôleur de domaine en lecture seule.
Microsoft recommande que tous les contrôleurs de domaine fournissent des services DNS et de catalogue global à des fins de haute disponibilité dans les environnements distribués. Ces options sont donc activées par défaut dans l’Assistant. Pour plus d’informations sur le déploiement de contrôleurs de domaine en lecture seule, voir le guide de planification et de déploiement relatif aux contrôleurs de domaine en lecture seule.
Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant (niveau 200).
Options DNS
Si vous installez Serveur DNS, la page Options DNS suivante s’affiche :
Lorsque vous installez Serveur DNS, des enregistrements de délégation qui pointent vers le serveur DNS comme faisant autorité pour la zone doivent être créés dans la zone DNS (Domain Name System) parente. Les enregistrements de délégation transfèrent l’autorité en matière de résolution de noms et fournissent une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs faisant autorité pour la nouvelle zone. Il s’agit des enregistrements de ressources suivants :
Un enregistrement de serveur de noms (NS) pour rendre la délégation effective. Cet enregistrement de ressource annonce que le serveur nommé ns1.na.example.microsoft.com est un serveur faisant autorité pour le sous-domaine délégué.
Un enregistrement de ressource hôte (A ou AAAA), également appelé enregistrement de type glue, doit être présent pour résoudre le nom du serveur spécifié dans l’enregistrement de serveur de noms par son adresse IP. Le processus consistant à résoudre le nom de l’hôte dans cet enregistrement de ressource par le serveur DNS délégué dans l’enregistrement de serveur de noms est parfois appelé « recherche d’enregistrements de type glue ».
Vous pouvez configurer l’Assistant Configuration des services de domaine Active Directory de manière à ce qu’il les crée automatiquement. L’Assistant vérifie que les enregistrements appropriés existent dans la zone DNS parente une fois que vous avez cliqué sur Suivant dans la page Options du contrôleur de domaine. Si l’Assistant ne peut pas vérifier que les enregistrements existent dans le domaine parent, l’Assistant vous donne l’option de créer automatiquement une délégation DNS pour un nouveau domaine (ou de mettre à jour la délégation existante) avant de poursuivre l’installation du nouveau contrôleur de domaine.
Vous pouvez également créer ces enregistrements de délégation DNS avant d’installer le serveur DNS. Pour créer une délégation de zone, ouvrez le Gestionnaire DNS, cliquez avec le bouton droit sur le domaine parent, puis cliquez sur Nouvelle délégation. Suivez les étapes de l’Assistant Nouvelle délégation pour créer la délégation.
Le processus d’installation tente de créer la délégation pour vérifier que les ordinateurs des autres domaines peuvent résoudre les requêtes DNS pour les hôtes, notamment les contrôleurs de domaine et les ordinateurs membres, dans le sous-domaine DNS. Notez que les enregistrements de délégation ne peuvent être automatiquement créés que sur des serveurs DNS Microsoft. Si la zone de domaine DNS parente réside sur des serveurs DNS tiers tels que BIND, un avertissement vous informant de l’impossibilité de créer les enregistrements de délégation DNS apparaît sur la page Vérification de la configuration requise. Pour plus d’informations sur l’avertissement, voir Problèmes connus liés à l’installation des services de domaine Active Directory (AD DS).
Il est possible de créer et de valider des délégations entre le domaine parent et le sous-domaine qui est promu avant ou après l’installation. Il n’y a aucune raison de différer l’installation d’un nouveau contrôleur de domaine si vous ne pouvez pas créer ou mettre à jour la délégation DNS.
Pour plus d’informations sur la délégation, consultez Compréhension de la délégation de zone (https://go.microsoft.com/fwlink/?LinkId=164773). Si la délégation de zone n’est pas possible dans votre situation, vous pouvez envisager d’autres méthodes pour assurer la résolution de noms à partir d’autres domaines aux hôtes de votre domaine. Par exemple, l’administrateur DNS d’un autre domaine pourrait configurer des zones de stub de transfert conditionnel, ou des zones secondaires pour résoudre des noms dans votre domaine. Pour plus d'informations, voir les rubriques suivantes :
Compréhension des types de zone (https://go.microsoft.com/fwlink/?LinkID=157399)
Compréhension des zones de stub (https://go.microsoft.com/fwlink/?LinkId=164776)
Compréhension des redirecteurs (https://go.microsoft.com/fwlink/?LinkId=164778)
Options du contrôleur de domaine en lecture seule
Les options suivantes apparaissent lorsque vous installez un contrôleur de domaine en lecture seule (RODC).
Les comptes d’administrateurs délégués se voient octroyer des autorisations administratives locales au contrôleur de domaine en lecture seule. Ces utilisateurs bénéficient de privilèges équivalents à ceux du groupe Administrateurs de l’ordinateur local. Ils ne sont membres ni du groupe Admins du domaine ni du groupe Administrateurs intégré au domaine. Cette option est utile pour déléguer l’administration de filiales sans octroyer d’autorisations administratives au domaine. La configuration de la délégation de l’administration n’est pas requise. Pour plus d’informations, voir Séparation des rôles d’administrateur.
La stratégie de réplication de mot de passe joue le rôle de liste de contrôle d’accès. Elle détermine si un contrôleur de domaine en lecture seule est autorisé à mettre en cache un mot de passe. Lorsque le contrôleur de domaine en lecture seule reçoit une demande d’ouverture de session d’un utilisateur ou d’un d’ordinateur authentifié, il se rapporte à la Stratégie de réplication de mot de passe pour déterminer si le mot de passe pour le compte doit être mis en cache. Lors des ouvertures de session suivantes, le même compte peut alors opérer plus efficacement.
La Stratégie de réplication de mot de passe (PRP) répertorie les comptes dont les mots de passe sont autorisés à être mis en cache et les comptes pour lesquels la mise en cache des mots de passe est explicitement refusée. Même si des comptes d’utilisateurs et d’ordinateurs étant autorisés à être mis en cache figurent dans la liste, cela ne signifie pas nécessairement que le contrôleur de domaine en lecture seule a mis en cache les mots de passe pour ces comptes. Un administrateur peut, par exemple, spécifier à l’avance les comptes qu’un contrôleur de domaine en lecture seule mettra en cache. De cette façon, le contrôleur de domaine en lecture seule peut authentifier ces comptes, même si le lien WAN vers le site hub est hors connexion.
Les utilisateurs ou ordinateurs qui ne sont pas autorisés (même implicitement) ou qui font l’objet d’un refus ne mettent pas en cache leur mot de passe. Si ces utilisateurs ou ordinateurs n’ont pas accès à un contrôleur de domaine accessible en écriture, ils ne peuvent pas accéder aux ressources ou aux fonctionnalités fournies par les services AD DS. Pour plus d’informations sur la stratégie de réplication de mot de passe, voir Stratégie de réplication de mot de passe. Pour plus d’informations sur la gestion de la stratégie de réplication de mot de passe, voir Administration de la stratégie de réplication de mot de passe.
Pour plus d’informations sur l’installation de contrôleurs de domaine en lecture, voir Installer un contrôleur de domaine en lecture seule Active Directory Windows Server 2012 (niveau 200).
Options supplémentaires
L’option suivante apparaît dans la page Options supplémentaires lorsque vous créez un domaine :
Les options suivantes apparaissent dans la page Options supplémentaires lorsque vous installez un contrôleur de domaine supplémentaire dans un domaine existant :
Vous pouvez soit spécifier un contrôleur de domaine comme source de réplication, soit autoriser l’Assistant à choisir n’importe quel contrôleur de domaine comme source de réplication.
Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un support sauvegardé à l’aide de l’option Installation à partir du support (IFM). Si le support d’installation est stocké localement, l’option Installation à partir du support vous permet d’accéder à l’emplacement du fichier. L’option Parcourir n’est pas disponible dans le cadre d’une installation à distance. Vous pouvez cliquer sur Vérifier pour vous assurer que le chemin d’accès fourni pointe vers un support valide. Le support utilisé par l’option Installation à partir du support doit être créé avec Sauvegarde Windows Server ou Ntdsutil.exe à partir d’un autre ordinateur Windows Server 2012 existant uniquement. Vous ne pouvez pas utiliser Windows Server 2008 R2 ni un système d’exploitation antérieur pour créer des supports pour un contrôleur de domaine Windows Server 2012. Si le support est protégé avec SYSKEY, le Gestionnaire de serveur vous invite à entrer le mot de passe de l’image pendant la vérification.
Pour plus d’informations sur la création d’un domaine, voir Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200). Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant (niveau 200).
Chemins d'accès
Les options suivantes apparaissent dans la page Chemins d’accès.
- La page Chemins d’accès vous permet de remplacer les emplacements de dossier par défaut de la base de données AD DS, des journaux de transaction de base de données et du partage SYSVOL. Les emplacements par défaut sont toujours dans %systemroot%.
Spécifiez l’emplacement de la base de données AD DS (NTDS.DIT), des fichiers journaux et de SYSVOL. Pour une installation locale, vous pouvez accéder à l’emplacement où vous voulez stocker les fichiers.
Options de préparation
Si vous n’êtes pas actuellement connecté avec des informations d’identification suffisantes pour exécuter les commandes adprep.exe et que l’exécution d’adprep est requise afin d’effectuer l’installation des services AD DS, vous êtes invité à entrer des informations d’identification pour exécuter adprep.exe. L’exécution d’adprep est requise pour ajouter le premier contrôleur de domaine exécutant Windows Server 2012 à une forêt ou un domaine existant. Plus précisément :
Adprep /forestprep doit être exécuté pour ajouter le premier contrôleur de domaine exécutant Windows Server 2012 à une forêt existante. Cette commande doit être exécutée par un membre du groupe Administrateurs de l’entreprise, du groupe Administrateurs du schéma et du groupe Admins du domaine dans le domaine qui héberge le contrôleur de schéma. Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le contrôleur de schéma pour la forêt.
Adprep /domainprep doit être exécuté pour ajouter le premier contrôleur de domaine exécutant Windows Server 2012 à un domaine existant. Cette commande doit être exécutée par un membre du groupe Admins du domaine dans le domaine où vous installez le contrôleur de domaine exécutant Windows Server 2012. Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le maître d’infrastructure pour le domaine.
Vous devez exécuter la commande adprep /rodcprep pour ajouter le premier contrôleur de domaine en lecture seule à une forêt existante. Cette commande doit être exécutée par un membre du groupe Administrateurs de l’entreprise. Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le maître d’infrastructure pour chaque partition de l’annuaire d’applications dans la forêt.
Pour plus d’informations sur Adprep.exe, voir Intégration d’Adprep.exe et Exécution d’Adprep.exe.
Examiner les options
La page Examiner les options vous permet de valider vos paramètres et de vérifier qu’ils répondent à vos exigences avant le démarrage de l’installation. Notez que vous avez encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de serveur. Cette page vous permet simplement d’examiner et de confirmer vos paramètres avant de poursuivre la configuration.
La page Examiner les options du Gestionnaire de serveur offre également un bouton Afficher le script facultatif pour créer un fichier texte Unicode qui contient la configuration ADDSDeployment actuelle sous forme d’un script Windows PowerShell unique. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de serveur sous forme d’un studio de déploiement Windows PowerShell. Utilisez l’Assistant Configuration des services de domaine Active Directory pour configurer les options, exportez la configuration, puis annulez l’Assistant. Ce processus crée un exemple valide et correct du point de vue syntaxique pour permettre des modifications ultérieures ou une utilisation directe.
Vérification de la configuration requise
Parmi les avertissements qui apparaissent sur cette page, citons les suivants :
Les contrôleurs de domaine exécutant Windows Server 2008 (ou version ultérieure) ont un paramètre par défaut nommé « Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4 », qui empêche l’utilisation d’algorithmes de chiffrement plus faibles quand des sessions sont établies sur des canaux sécurisés. Pour plus d’informations sur l’impact potentiel et les solutions de contournement, consultez Désactiver le paramètre AllowNT4Crypto sur tous les contrôleurs de domaine concernés.
Impossible de créer ou de mettre à jour la délégation DNS. Pour plus d’informations, voir Options DNS.
La vérification de la configuration requise nécessite des appels WMI. Ceux-ci peuvent échouer s’ils sont bloqués par un bloc de règles de pare-feu et retourner une erreur indiquant l’indisponibilité du serveur RPC.
Pour plus d’informations sur les vérifications spécifiques de la configuration requise qui sont effectuées pour l’installation des services de domaine Active Directory, voir Tests de configuration requise.
Résultats
Dans cette page, vous pouvez examiner les résultats de l’installation.
Vous pouvez également choisir de redémarrer le serveur cible une fois l’Assistant terminé ; toutefois, si l’installation réussit, le serveur redémarre toujours, et ce quel que soit l’état de cette option. Dans certains cas, lorsque l’Assistant se termine sur un serveur cible qui n’a pas été joint au domaine avant l’installation, l’état du système du serveur cible peut rendre le serveur inaccessible sur le réseau ou l’état du système peut vous empêcher d’avoir les autorisations nécessaires pour gérer le serveur distant.
Si le serveur cible ne parvient pas à redémarrer dans ce cas, vous devez le redémarrer manuellement. Il est impossible de le redémarrer à l’aide d’outils tels que shutdown.exe ou Windows PowerShell. Vous pouvez utiliser les services Bureau à distance pour ouvrir une session et arrêter à distance le serveur cible.
Informations d’identification de suppression de rôle
La page Informations d’identification vous permet de configurer des options de rétrogradation. Entrez les informations d’identification nécessaires pour effectuer la rétrogradation à partir de la liste suivante :
La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des informations d’identification d’administrateur de domaine. Le fait de sélectionner Forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de domaine sans supprimer les métadonnées de l’objet contrôleur de domaine d’Active Directory.
Important
Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen raisonnable ne permet de résoudre ce problème réseau. La rétrogradation forcée laisse des métadonnées orphelines dans Active Directory sur les contrôleurs de domaine restants dans la forêt. Par ailleurs, toutes les modifications non répliquées sur ce contrôleur de domaine, notamment les mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement perdues. Les métadonnées orphelines sont la cause première d’un grand nombre de problèmes soumis au support technique Microsoft pour AD DS, Exchange, SQL et d’autres logiciels. Si vous rétrogradez de force un contrôleur de domaine, vous devez immédiatement effectuer un nettoyage manuel des métadonnées. Pour la procédure à suivre, voir Nettoyage des métadonnées du serveur.
La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite l’appartenance au groupe Administrateurs de l’entreprise, cette opération entraînant la suppression du domaine à proprement parler (s’il s’agit du dernier domaine dans la forêt, la forêt est supprimée). Le Gestionnaire de serveur vous informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine dans le domaine. Sélectionnez Dernier contrôleur de domaine du domaine pour confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine dans le domaine.
Pour plus d’informations sur la suppression des services AD DS, voir Supprimer les services de domaine Active Directory (niveau 100) et Rétrogradation de contrôleurs de domaine et de domaines (niveau 200).
Options et avertissements liés à la suppression des services AD DS
Si vous avez besoin d’aide au sujet de la page Examiner les options, voir Examiner les options.
Si le contrôleur de domaine héberge des rôles supplémentaires, tels que le rôle Serveur DNS ou le serveur de catalogue global, la page d’avertissement suivante apparaît :
Avant de cliquer sur Suivant pour continuer, vous devez cliquer sur Procéder à la suppression pour confirmer que les rôles supplémentaires ne seront plus disponibles.
Si vous forcez la suppression d’un contrôleur de domaine, toutes les modifications apportées à un objet Active Directory qui n’ont pas été répliquées vers d’autres contrôleurs de domaine dans le domaine seront perdues. Par ailleurs, si le contrôleur de domaine héberge des rôles de maître d’opérations, le catalogue global ou le rôle Serveur DNS, des opérations critiques dans le domaine et la forêt peuvent être touchées de la manière suivante. Avant de supprimer un contrôleur de domaine qui héberge un rôle quelconque de maître d’opérations, essayez de transférer le rôle vers un autre contrôleur de domaine. S’il n’est pas possible de transférer le rôle, supprimez d’abord les services de domaine Active Directory de cet ordinateur, puis utilisez Ntdsutil.exe pour prendre le rôle. Utilisez Ntdsutil sur le contrôleur de domaine auquel vous envisagez de prendre le rôle ; si possible, utilisez un partenaire de réplication récent dans le même site que ce contrôleur de domaine. Pour plus d’informations sur le transfert et la prise des rôles de maître d’opérations, voir l’article 255504 de la Base de connaissances Microsoft. Si l’Assistant n’est pas en mesure de déterminer si le contrôleur de domaine héberge un rôle de maître d’opérations, exécutez la commande netdom.exe pour déterminer si ce contrôleur de domaine effectue des rôles de maître d’opérations.
Catalogue global : les utilisateurs peuvent avoir des difficultés à ouvrir une session aux domaines de la forêt. Avant de supprimer un serveur de catalogue global, assurez-vous qu’il y a suffisamment de serveurs de ce type dans cette forêt et ce site pour traiter les ouvertures de session utilisateur. Au besoin, désignez un autre serveur de catalogue global et mettez à jour les clients et les applications avec les nouvelles informations.
Serveur DNS : toutes les données DNS qui sont stockées dans des zones intégrées à Active Directory seront perdues. Une fois les services AD DS supprimés, ce serveur DNS n’est plus en mesure d’effectuer la résolution de noms pour les zones DNS précédemment intégrées à Active Directory. Par conséquent, nous vous recommandons de mettre à jour la configuration DNS de tous les ordinateurs qui se rapportent actuellement à l’adresse IP de ce serveur DNS à des fins de résolution de noms avec l’adresse IP d’un nouveau serveur DNS.
Maître d’infrastructure : les clients du domaine peuvent avoir des difficultés à localiser des objets dans d’autres domaines. Avant de continuer, transférez le rôle de maître d’infrastructure à un contrôleur de domaine qui n’est pas un serveur de catalogue global.
Maître RID : des problèmes peuvent se produire lors de la création de nouveaux comptes d’utilisateur, comptes d’ordinateur et groupes de sécurité. Avant de continuer, transférez le rôle maître RID à un contrôleur de domaine dans le même domaine que ce contrôleur de domaine.
Émulateur de contrôleur de domaine principal : les opérations qui sont effectuées par l’émulateur de contrôleur de domaine principal, notamment les mises à jour de stratégie de groupe et les réinitialisations du mot de passe pour les comptes non-AD DS, ne fonctionnent pas correctement. Avant de continuer, transférez le rôle maître d’émulateur de contrôleur de domaine principal à un contrôleur de domaine qui se trouve dans le même domaine que ce contrôleur de domaine.
Contrôleur de schéma : vous ne pouvez plus modifier le schéma pour cette forêt. Avant de continuer, transférez le rôle de contrôleur de schéma à un contrôleur de domaine dans le domaine racine de la forêt.
Maître d’opérations des noms de domaine : vous ne pouvez plus ajouter de domaines à cette forêt ni en supprimer. Avant de continuer, transférez le rôle de maître d’opérations des noms de domaine à un contrôleur de domaine dans le domaine racine de la forêt.
Toutes les partitions de l’annuaire d’applications sur ce contrôleur de domaine Active Directory seront supprimées. Si un contrôleur de domaine contient le dernier réplica d’une ou plusieurs partitions de répertoire d’application, ces partitions n’existeront plus au terme de l’opération de suppression.
Sachez que le domaine n’existera plus à l’issue de la désinstallation des services de domaine Active Directory du dernier contrôleur de domaine dans le domaine.
Si le contrôleur de domaine est un serveur DNS qui est délégué pour héberger la zone DNS, la page suivante vous donne l’option de supprimer le serveur DNS de la délégation de zone DNS.
Pour plus d’informations sur la suppression des services AD DS, voir Supprimer les services de domaine Active Directory (niveau 100) et Rétrogradation de contrôleurs de domaine et de domaines (niveau 200).
Nouveau mot de passe d’administrateur
Quand la rétrogradation est terminée et que l’ordinateur devient un serveur membre de domaine ou un ordinateur de groupe de travail, la page Nouveau mot de passe d’administrateur vous demande de fournir un mot de passe pour le compte Administrateur de l’ordinateur local intégré.
Pour plus d’informations sur la suppression des services AD DS, voir Supprimer les services de domaine Active Directory (niveau 100) et Rétrogradation de contrôleurs de domaine et de domaines (niveau 200).
Page Examiner les options
La page Examiner les options vous donne la possibilité d’exporter les paramètres de configuration pour la rétrogradation vers un script Windows PowerShell de manière à automatiser des rétrogradations supplémentaires. Cliquez sur Rétrograder pour supprimer les services AD DS.
