EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
· Event ID 2087: DNS lookup failure caused replication to fail
· Comment Enlever un DC orphelin d'un domaine
· Pour restaurer les données d’un DC
· oublié le Mot de passe de restauration du service d'annuaire
· Documentation minimale pour la restauration des domaines contrôleurs de facultés
· DOC-Modèle pour la restauration des domaines contrôleurs de facultés
· Comment rétrograder un DC irréparable sans reformater la machine
· Réparation de l'Active Directory
· Compactage et réindexation de la base de données Active Directory
· topologie réseau avec VISIO
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Comment Enlever un DC orphelin d'un domaine
 

How to remove data in Active Directory after an unsuccessful domain controller demotion

SUMMARY

This article describes how to remove data in Active Directory after an unsuccessful domain controller demotion.

Warning If you use the ADSI Edit snap-in, the LDP utility, or any other LDAP version 3 client, and you incorrectly modify the attributes of Active Directory objects, you can cause serious problems. These problems may require you to reinstall Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, or both Windows and Exchange. Microsoft cannot guarantee that problems that occur if you incorrectly modify Active Directory object attributes can be solved. Modify these attributes at your own risk.

The Active Directory Installation Wizard (Dcpromo.exe) is used for promoting a server to a domain controller and for demoting a domain controller to a member server (or to a stand-alone server in a workgroup if the domain controller is the last in the domain). As part of the demotion process, the wizard removes the configuration data for the domain controller from Active Directory. This data takes the form of an NTDS Settings object that exists as a child of the server object in Active Directory Sites and Services.

The information is in the following location in Active Directory:
CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...
The attributes of the NTDS Settings object include data representing how the domain controller is identified in respect to its replication partners, the naming contexts that are maintained on the machine, whether the domain controller is a global catalog server, and the default query policy. The NTDS Settings object is also a container that may have child objects that represent the domain controller's direct replication partners. This data is required for the domain controller to operate in the environment, but is retired upon demotion.

In the event that the NTDS Settings object is not removed correctly (for example, if the NTDS Settings object is not correctly removed from a demotion attempt), the administrator can use the Ntdsutil.exe utility to manually remove the NTDS Settings object. The following steps list the procedure for removing the NTDS Settings object in Active Directory for a particular domain controller. At each Ntdsutil menu, the administrator can type help for more information about the available options.

Windows Server 2003 Service Pack 1 (SP1) – Enhanced version of Ntdsutil.exe

The version of Ntdsutil.exe that is included with Service Pack 1 for Windows Server 2003 has been enhanced to make the metadata cleanup process complete. Ntdsutil.exe that is included with SP1 does the following when metadata cleanup is run:
Removes the NTDSA or NTDS Setting subject.
Removes inbound AD connection objects that existing destination DCs use to replicate from the source DC being deleted .
Removes the computer account .
Removes FRS member object.
Removes FRS subscriber objects.
Tries to seize flexible single operations master roles (also known as flexible single master operations or FSMO) held by the DC that are being removed .


Caution The administrator must also make sure that replication has occurred since the demotion before manually removing the NTDS Settings object for any server. Using the Ntdsutil utility incorrectly may result in partial or complete loss of Active Directory functionality.
 

Procedure 1: Windows Server 2003 SP1 only

1. Click Start, point to Programs, point to Accessories, and then click Command Prompt.
2. At the command prompt, type ntdsutil, and then press ENTER.
3. Type metadata cleanup, and then press ENTER. Based on the options given, the administrator can perform the removal, but additional configuration parameters must be specified before the removal can occur.
4. Type connections and press ENTER. This menu is used to connect to the specific server where the changes occur. If the currently logged on user does not have administrative permissions, different credentials can be supplied by specifying the credentials to use before making the connection. To do this, type set creds DomainNameUserNamePassword, and then press ENTER. For a null password, type null for the password parameter.
5. Type connect to server servername, and then press ENTER. You should receive confirmation that the connection is successfully established. If an error occurs, verify that the domain controller being used in the connection is available and the credentials you supplied have administrative permissions on the server.

Note If you try to connect to the same server that you want to delete, when you try to delete the server that step 15 refers to, you may receive the following error message:
Error 2094. The DSA Object cannot be deleted0x2094
6. Type quit, and then press ENTER. The Metadata Cleanup menu appears.
7. Type select operation target and press ENTER.
8. Type list domains and press ENTER. A list of domains in the forest is displayed, each with an associated number.
9. Type select domain number and press ENTER, where number is the number associated with the domain the server you are removing is a member of. The domain you select is used to determine whether the server being removed is the last domain controller of that domain.
10. Type list sites and press ENTER. A list of sites, each with an associated number, appears.
11. Type select site number and press ENTER, where number is the number associated with the site the server you are removing is a member of. You should receive a confirmation listing the site and domain you chose.
12. Type list servers in site and press ENTER. A list of servers in the site, each with an associated number, is displayed.
13. Type select server number, where number is the number associated with the server you want to remove. You receive a confirmation listing the selected server, its Domain Name System (DNS) host name, and the location of the server's computer account you want to remove.
14. Type quit and press ENTER. The Metadata Cleanup menu appears.
15. Type remove selected server and press ENTER. You should receive confirmation that the removal completed successfully. If you receive the following error message, the NTDS Settings object may already be removed from Active Directory as the result of another administrator removing the NTDS Settings object or replication of the successful removal of the object after running the DCPROMO utility.
Error 8419 (0x20E3)
The DSA object could not be found


Note You may also see this error when you try to bind to the domain controller that will be removed. Ntdsutil has to bind to a domain controller other than the one that will be removed with metadata cleanup.
16. Type quit at each menu to quit the Ntdsutil utility. You should receive confirmation that the connection disconnected successfully.
17. Remove the cname record in the _msdcs.root domain of forest zone in DNS. Assuming that DC will be reinstalled and re-promoted, a new NTDS Settings object is created with a new GUID and a matching cname record in DNS. You do not want the DCs that exist to use the old cname record.

As best practice, you should delete the host name and other DNS records. If the lease time that remains on Dynamic Host Configuration Protocol (DHCP) address assigned to offline server is exceeded then another client can obtain the IP address of the problem DC.
18. In the DNS console, use the DNS MMC to delete the A record in DNS. The A record is also known as the Host record. To delete the A record, right-click the A record, and then click Delete. Also, delete the cname record in the _msdcs container. To do this, expand the _msdcs container, right-click cname, and then click Delete.

Important If this is a DNS server, remove the reference to this DC under the Name Servers tab. To do this, in the DNS console, click the domain name under Forward Lookup Zones, and then remove this server from the Name Servers tab.

Note If you have reverse lookup zones, also remove the server from these zones.
19. If the deleted computer is the last domain controller in a child domain, and the child domain was also deleted, use ADSIEdit to delete the trustDomain object for the child. To do this, follow these steps:
a. Click Start, click Run, type adsiedit.msc, and then click OK
b. Expand the Domain NC container.
c. Expand DC=Your Domain, DC=COM, PRI, LOCAL, NET.
d. Expand CN=System.
e. Right-click the Trust Domain object, and then click Delete.
20. Use Active Directory Sites and Services to remove the domain controller. To do this, follow these steps:
a. Start Active Directory Sites and Services.
b. Expand Sites.
c. Expand the server's site. The default site is Default-First-Site-Name.
d. Expand Server.
e. Right-click the domain controller, and then click Delete.


Procedure 2: Windows 2000 (All versions) Windows Server 2003 RTM

1. Click Start, point to Programs, point to Accessories, and then click Command Prompt.
2. At the command prompt, type ntdsutil, and then press ENTER.
3. Type metadata cleanup, and then press ENTER. Based on the options given, the administrator can perform the removal, but additional configuration parameters must be specified before the removal can occur.
4. Type connections and press ENTER. This menu is used to connect to the specific server where the changes occur. If the currently logged on user does not have administrative permissions, different credentials can be supplied by specifying the credentials to use before you make the connection. To do this, type set creds DomainNameUserNamePassword, and then press ENTER. For a null password, type null for the password parameter.
5. Type connect to server servername, and then press ENTER. You should receive confirmation that the connection is successfully established. If an error occurs, verify that the domain controller being used in the connection is available and the credentials you supplied have administrative permissions on the server.

Note If you try to connect to the same server that you want to delete, when you try to delete the server that step 15 refers to, you may receive the following error message:
Error 2094. The DSA Object cannot be deleted0x2094
6. Type quit, and then press ENTER. The Metadata Cleanup menu appears.
7. Type select operation target and press ENTER.
8. Type list domains and press ENTER. A list of domains in the forest is displayed, each with an associated number.
9. Type select domain number and press ENTER, where number is the number associated with the domain the server you are removing is a member of. The domain you select is used to determine whether the server being removed is the last domain controller of that domain.
10. Type list sites and press ENTER. A list of sites, each with an associated number, is displayed.
11. Type select site number and press ENTER, where number is the number associated with the site the server you are removing is a member of. You should receive a confirmation listing the site and domain you chose.
12. Type list servers in site and press ENTER. A list of servers in the site, each with an associated number, is displayed.
13. Type select server number, where number is the number associated with the server you want to remove. You receive a confirmation listing the selected server, its Domain Name System (DNS) host name, and the location of the server's computer account you want to remove.
14. Type quit and press ENTER. The Metadata Cleanup menu appears.
15. Type remove selected server and press ENTER. You should receive confirmation that the removal completed successfully. If you receive the following error message:
Error 8419 (0x20E3)
The DSA object could not be found
the NTDS Settings object may already be removed from Active Directory as the result of another administrator removing the NTDS Settings object, or replication of the successful removal of the object after you run the Dcpromo utility.

Note You may also see this error when you try to bind to the domain controller that will be removed. Ntdsutil has to bind to a domain controller other than the one that will be removed with metadata cleanup.
16. Type quit at each menu to quit the Ntdsutil utility. You should receive confirmation that the connection disconnected successfully.
17. Remove the cname record in the _msdcs.root domain of forest zone in DNS. Assuming that DC will be reinstalled and re-promoted, a new NTDS Settings object is created by using a new GUID and a matching cname record in DNS. You do not want the DC's that exist to use the old cname record.

As best practice you should delete the hostname and other DNS records. If the lease time that remains on Dynamic Host Configuration Protocol (DHCP) address assigned to offline server is exceeded then another client can obtain the IP address of the problem DC.
Now that the NTDS Settings object has been deleted, you can delete the computer account, the FRS member object, the cname (or Alias) record in the _msdcs container, the A (or Host) record in DNS, the trustDomain object for a deleted child domain, and the domain controller.

The Adsiedit utility is included with the Windows Support Tools feature in both Windows 2000 Server and Windows Server 2003. To install the Windows Support Tools, following these steps:
Windows 2000 Server: On the Windows 2000 Server CD, open the Support\Tools folder, double-click Setup.exe, and then follow the instructions that appear on the screen.
Windows Server 2003: On the Windows Server 2003 CD, open the Support\Tools folder, double-click Suptools.msi, click Install, and then follow the steps in the Windows Support Tools Setup Wizard to complete the installation.
1. Use ADSIEdit to delete the computer account. To do this, follow these steps:
a. Click Start, click Run, type adsiedit.msc in the Open box, and then click OK.
b. Expand the Domain NC container.
c. Expand DC=Your Domain Name, DC=COM, PRI, LOCAL, NET.
d. Expand OU=Domain Controllers.
e. Right-click CN=domain controller name, and then click Delete.
If you receive the "DSA object cannot be deleted" error message when you try to delete the object, change the UserAccountControl value. To change the UserAccountControl value, right-click the domain controller in ADSIEdit, and then click Properties. Under Select a property to view, click UserAccountControl. Click Clear, change the value to 4096, and then click Set. You can now delete the object.

Note The FRS subscriber object is deleted when the computer object is deleted because it is a child of the computer account.
2. Use ADSIEdit to delete the FRS member object. To do this, follow these steps:
a. Click Start, click Run, type adsiedit.msc in the Open box, and then click OK
b. Expand the Domain NC container.
c. Expand DC=Your Domain, DC=COM, PRI, LOCAL, NET.
d. Expand CN=System.
e. Expand CN=File Replication Service.
f. Expand CN=Domain System Volume (SYSVOL share).
g. Right-click the domain controller you are removing, and then click Delete.
3. In the DNS console, use the DNS MMC to delete the A record in DNS. The A record is also known as the Host record. To delete the A record, right-click the A record, and then click Delete. Also delete the cname (also known as the Alias) record in the _msdcs container. To do so, expand the _msdcs container, right-click the cname, and then click Delete.

Important If this was a DNS server, remove the reference to this DC under the Name Servers tab. To do this, in the DNS console, click the domain name under Forward Lookup Zones, and then remove this server from the Name Servers tab.

Note If you have reverse lookup zones, also remove the server from these zones.
4. If the deleted computer was the last domain controller in a child domain and the child domain was also deleted, use ADSIEdit to delete the trustDomain object for the child. To do this, follow these steps:
a. Click Start, click Run, type adsiedit.msc in the Open box, and then click OK
b. Expand the Domain NC container.
c. Expand DC=Your Domain, DC=COM, PRI, LOCAL, NET.
d. Expand CN=System.
e. Right-click the Trust Domain object, and then click Delete.
5. Use Active Directory Sites and Services to remove the domain controller. To do this, follow these steps:
a. Start Active Directory Sites and Services.
b. Expand Sites.
c. Expand the server's site. The default site is Default-First-Site-Name.
d. Expand Server.
e. Right-click the domain controller, and then click Delete.

Advanced optional syntax with the SP1 version of Ntdsutil.exe

Windows Server 2003 SP1 introduced a new syntax that can be used. By using the new syntax, it is no longer required to bind to the DS and select your operation target. To use the new syntax, you must know or obtain the DN of the NTDS settings object of the server that is being demoted. To use the new syntax for Metadata cleanup, follow these steps:
1. Run ntdsutil.
2. Switch to the metadata cleanup prompt.
3. Run the following command
remove selected server <DN of the server object in the config container>
An example of this command is as follows.

Note The following is one line but has been wrapped.
Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<forest_root_domain>
4. Remove the cname record in the _msdcs.root domain of forest zone in DNS. Assuming that DC will be reinstalled and re-promoted, a new NTDS Settings object is created by using a new GUID and a matching cname record in DNS. You do not want the DCs that exist to use the old cname record.

As best practice, you should delete the host name and other DNS records. If the lease time that remains on Dynamic Host Configuration Protocol (DHCP) address assigned to offline server is exceeded, another client can obtain the IP address of the problem DC.
5. If the deleted computer was the last domain controller in a child domain, and the child domain was also deleted, use ADSIEdit to delete the trustDomain object for the child. To do this, follow these steps:
a. Click Start, click Run, type adsiedit.msc, and then click OK.
b. Expand the Domain NC container.
c. Expand DC=Your Domain Name, DC=COM, PRI, LOCAL, NET.
d. Expand CN=System.
e. Right-click the Trust Domain object,, and then click Delete.
6. Use Active Directory Sites and Services to remove the domain controller. To do this, follow these steps:
a. Start Active Directory Sites and Services.
b. Expand Sites.
c. Expand the server's site. The default site is Default-First-Site-Name.
d. Expand Server.
e. Right-click the domain controller, and then click Delete.
 

MORE INFORMATION

For additional information about how to forcefully demote a Windows Server 2003 or Windows 2000 domain controller, click the following article number to view the article in the Microsoft Knowledge Base:
332199 (http://support.microsoft.com/kb/332199/) Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server


Determine the DN of the server

There are several ways to obtain the DN of the server object that is to be removed. The following example uses Ldp.exe. To obtain the DN by using Ldp.exe, follow these steps:
1. Run LDP.
2. Bind to rootDSE .
3. Select View\tree. Base DN should be cn=configuration,dc=rootdomain,dc=<suffix>.
4. Expand Sites.
5. Expand the site where the server object resides.
6. Expand Servers.
7. Expand the server that you are removing.
8. Look for a line on the right hand side that starts with DN.
9. Copy whole line excluding the DN.

Example snip of the first part of the LDP spew:

Expanding base 'CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com”

What you would copy would be 

"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com"
For more information, click the following article number to view the article in the Microsoft Knowledge Base:
887424 (http://support.microsoft.com/kb/887424/) "DsRemoveDsDomainW error 0x2015" error message when you use Ntdsutil to try to remove metadata for a domain controller that was removed from your network in Windows Server 2003
 

APPLIES TO
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

 

 

Comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine

Numéro d'article : 216498
Dernière mise à jour : vendredi 23 mars 2007
Version : 9.1

Résumé

Cet article explique comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine.

Avertissement Si vous utilisez le composant logiciel enfichable Modification ADSI, l'utilitaire LDP ou tout autre client LDAP version 3 et si vous effectuez une modification incorrecte des attributs d'objets Active Directory, vous risquez de générer des problèmes graves. Ces problèmes peuvent vous obliger à réinstaller Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou Windows et Exchange. Microsoft n'est pas en mesure de garantir que les problèmes résultant d'une modification incorrecte des attributs d'objets Active Directory pourront être résolus. Si vous modifiez ces attributs, vous devez en assumer les risques.

L'Assistant Installation de Active Directory (Dcpromo.exe) sert à promouvoir un serveur en contrôleur de domaine et à rétrograder un contrôleur de domaine en serveur membre (ou en serveur autonome dans un groupe de travail si le contrôleur de domaine est le dernier du domaine). Dans le cadre du processus de rétrogradation, l'Assistant supprime les données de configuration du contrôleur de domaine depuis Active Directory. Ces données prennent la forme d'un objet Paramètres NTDS qui existe en tant qu'enfant de l'objet serveur dans Sites et services Active Directory.

Ces informations se trouvent à l'emplacement suivant dans Active Directory :
CN=Paramètres NTDS,CN=<nom_serveur>,CN=Servers,CN=<nom_site>,CN=Sites,CN=Configuration,DC=<domaine>...
Les attributs de l'objet Paramètres NTDS comprennent des données qui indiquent la façon dont le contrôleur de domaine est identifié auprès de ses partenaires de réplication, les contextes d'attribution de noms conservés sur l'ordinateur, si le contrôleur de domaine est un serveur de catalogues global ainsi que la stratégie de requête par défaut. L'objet Paramètres NTDS est également un conteneur qui peut avoir des objets enfants représentant les partenaires de réplication directs du contrôleur de domaine. Ces données sont indispensables pour permettre le fonctionnement du contrôleur de domaine dans l'environnement, mais elles sont supprimées en cas de rétrogradation.

Au cas où l'objet Paramètres NTDS n'est pas supprimé correctement (par exemple, lors d'une tentative de rétrogradation), l'administrateur peut utiliser l'utilitaire Ntdsutil.exe pour supprimer manuellement l'objet Paramètres NTDS. Les étapes suivantes décrivent la procédure à suivre pour supprimer l'objet Paramètres NTDS dans Active Directory pour un contrôleur de domaine particulier. À chaque menu Ntdsutil, l'administrateur peut taper aide pour obtenir plus d'informations sur les options disponibles.

Retour au début

Windows Server 2003 Service Pack 1 (SP1) – Version améliorée de Ntdsutil.exe

La version de Ntdsutil.exe fournie avec Windows Server 2003 Service Pack 1 a été améliorée de façon à rendre complet le processus de nettoyage des métadonnées. La version de Ntdsutil.exe fournie avec le SP1 effectue les actions suivantes lors de l'exécution du nettoyage de métadonnées :
Suppression de l'objet Paramètres NTDS ou NTDS.
Suppression des objets de connexion Active Directory entrants utilisés par les contrôleurs de domaine de destination existants pour répliquer à partir du contrôleur de domaine source supprimé.
Suppression du compte d'ordinateur.
Suppression de l'objet membre FRS.
Suppression des objets d'abonnés FRS.
Tentative de saisie des rôles de maîtres d'opérations FSMO (Flexible Single Master Operations) détenus par le contrôleur de domaine supprimé.


Attention L'administrateur doit également s'assurer que la réplication s'est produite depuis la rétrogradation avant de supprimer manuellement l'objet Paramètres NTDS de tout serveur. Une utilisation incorrecte de l'utilitaire Ntdsutil peut entraîner une perte partielle ou complète des fonctionnalités de Active Directory.

Retour au début

Procédure 1 : Windows Server 2003 SP1 uniquement

1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commandes.
2. À l'invite de commandes, tapez ntdsutil, puis appuyez sur ENTRÉE.
3. Tapez metadata cleanup et appuyez sur ENTRÉE. En fonction des options proposées, l'administrateur peut effectuer la suppression, mais des paramètres de configuration supplémentaires doivent être spécifiés pour que la suppression puisse se produire.
4. Tapez connections et appuyez sur ENTRÉE. Ce menu est utilisé pour se connecter au serveur spécifique où les modifications ont lieu. Si l'utilisateur qui a ouvert une session ne dispose pas d'autorisations administratives, il peut spécifier d'autres informations d'identification avant d'établir la connexion. Pour cela, tapez set creds nom_domainenom_utilisateurmot_passe, puis appuyez sur ENTRÉE. Pour un mot de passe nul, tapez null comme paramètre du mot de passe.
5. Tapez connect to server nom_serveur, puis appuyez sur ENTRÉE. La confirmation de l'établissement de la connexion doit s'afficher. Si une erreur se produit, vérifiez que le contrôleur de domaine utilisé dans la connexion est disponible et que les informations d'identification que vous avez fournies disposent d'autorisations administratives sur le serveur.

Remarque Si vous essayez de vous connecter au serveur à supprimer, lorsque vous essayez de supprimer le serveur auquel l'étape 15 fait référence, le message d'erreur suivant peut s'afficher :
Erreur 2094. Impossible de supprimer l'objet DSA 0x2094
6. Tapez quit et appuyez sur ENTRÉE. Le menu Metadata Cleanup s'affiche.
7. Tapez select operation target et appuyez sur ENTRÉE.
8. Tapez list domains et appuyez sur ENTRÉE. Une liste des domaines de la forêt s'affiche, chacun avec un numéro associé.
9. Tapez select domain numéro et appuyez sur ENTRÉE. Numéro est le numéro associé au domaine auquel appartient le serveur que vous supprimez. Le domaine que vous sélectionnez est utilisé pour déterminer si le serveur en cours de suppression est le dernier contrôleur de domaine de ce domaine.
10. Tapez list sites et appuyez sur ENTRÉE. Une liste des sites, chacun avec un numéro associé, s'affiche.
11. Tapez select site numéro et appuyez sur ENTRÉE. Numéro est le numéro associé au site auquel appartient le serveur que vous supprimez. Une confirmation doit s'afficher, indiquant le site et le domaine que vous avez choisis.
12. Tapez list servers in site et appuyez sur ENTRÉE. Une liste des serveurs du site, chacun avec un numéro associé, s'affiche.
13. Tapez select server numéronuméro est le numéro associé au serveur à supprimer. Une confirmation s'affiche. Elle répertorie le serveur sélectionné, son nom d'hôte DNS (Domain Name Server) et l'emplacement du compte d'ordinateur du serveur à supprimer.
14. Tapez quit et appuyez sur ENTRÉE. Le menu Metadata Cleanup s'affiche.
15. Tapez remove selected server et appuyez sur ENTRÉE. Un message de confirmation de suppression doit s'afficher. Si vous recevez le message d'erreur suivant, l'objet Paramètres NTDS peut déjà avoir été supprimé d'Active Directory par un autre administrateur ou par réplication de la suppression réussie de l'objet Paramètres NTDS après exécution de l'utilitaire DCPROMO.
Erreur 8419 (0x20E3)
Impossible de trouver l'objet DSA.


Remarque Cette erreur peut également s'afficher lorsque vous essayez d'établir une liaison avec le contrôleur de domaine qui sera supprimé. Ntdsutil doit établir une liaison avec un contrôleur de domaine autre que celui qui sera supprimé avec le nettoyage des métadonnées.
16. Tapez quit, puis appuyez sur ENTRÉE sur chaque menu pour quitter Ntdsutil. Vous devriez recevoir un message de confirmation de déconnexion.
17. Supprimez l'enregistrement cname dans la zone _msdcs domaine_racine_forêt du serveur DNS. En supposant que ce contrôleur de domaine sera réinstallé et fera l'objet d'une nouvelle promotion, un nouvel objet Paramètres NTDS est créé avec un nouveau GUID et un enregistrement cname correspondant dans le serveur DNS. Vous ne voulez pas que les contrôleurs de domaine existants utilisent l'ancien enregistrement cname.

La pratique recommandée veut que vous supprimiez le nom d'hôte et les autres enregistrements DNS. Si la durée restante du bail de l'adresse DHCP (Dynamic Host Configuration Protocol) affectée au serveur hors connexion est dépassée, un autre client peut obtenir l'adresse IP du contrôleur de domaine qui rencontre le problème.
18. Dans la console DNS, utilisez la console MMC DNS pour supprimer l'enregistrement A dans le serveur DNS. L'enregistrement A est également connu sous le nom d'enregistrement hôte. Pour supprimer l'enregistrement A, cliquez dessus avec le bouton droit, puis cliquez sur Supprimer. De plus, vous devez supprimer l'enregistrement cname dans le conteneur _msdcs. Pour cela, développez le conteneur _msdcs, cliquez avec le bouton droit sur l'enregistrement cname, puis cliquez sur Supprimer.

Important S'il s'agit d'un serveur DNS, supprimez la référence à ce contrôleur de domaine sous l'onglet Serveurs de noms. Pour cela, dans la console DNS, cliquez sur le nom de domaine sous Zones de recherche directes, puis supprimez ce serveur de l'onglet Serveurs de noms.

Remarque Si vous disposez de zones de recherche inversée, supprimez également le serveur de ces zones.
19. Si l'ordinateur supprimé est le dernier contrôleur de domaine dans un domaine enfant et si le domaine enfant a également été supprimé, utilisez ADSIEdit pour supprimer l'objet trustDomain de l'enfant. Pour cela, procédez comme suit :
a. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.
b. Développez le conteneur Domain NC.
c. Développez DC=votre_domaine, DC=COM, PRI, LOCAL, NET.
d. Développez CN=System.
e. Cliquez avec le bouton droit sur l'objet Trust Domain, puis cliquez sur Supprimer.
20. Utilisez Sites et services Active Directory pour supprimer le contrôleur de domaine. Pour cela, procédez comme suit :
a. Démarrez Sites et services Active Directory.
b. Développez Sites.
c. Développez le site du serveur. Le site par défaut est Premier-Site-par-defaut.
d. Développez Serveur.
e. Cliquez avec le bouton droit sur le contrôleur de domaine, puis cliquez sur Supprimer.

Retour au début

Procédure 2 : Windows 2000 (toutes les versions) Windows Server 2003 RTM

1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commandes.
2. À l'invite de commandes, tapez ntdsutil, puis appuyez sur ENTRÉE.
3. Tapez metadata cleanup et appuyez sur ENTRÉE. En fonction des options proposées, l'administrateur peut effectuer la suppression, mais des paramètres de configuration supplémentaires doivent être spécifiés pour que la suppression puisse se produire.
4. Tapez connections et appuyez sur ENTRÉE. Ce menu permet de se connecter au serveur spécifique où les modifications ont lieu. Si l'utilisateur qui a ouvert une session ne dispose pas d'autorisations administratives, il peut spécifier d'autres informations d'identification avant d'établir la connexion. Pour cela, tapez set creds nom_domainenom_utilisateurmot_passe, puis appuyez sur ENTRÉE. Pour un mot de passe nul, tapez null comme paramètre du mot de passe.
5. Tapez connect to server nom_serveur, puis appuyez sur ENTRÉE. La confirmation de l'établissement de la connexion doit s'afficher. Si une erreur se produit, vérifiez que le contrôleur de domaine utilisé dans la connexion est disponible et que les informations d'identification que vous avez fournies disposent d'autorisations administratives sur le serveur.

Remarque Si vous essayez de vous connecter au serveur à supprimer, lorsque vous essayez de supprimer le serveur auquel l'étape 15 fait référence, le message d'erreur suivant peut s'afficher :
Erreur 2094. Impossible de supprimer l'objet DSA 0x2094
6. Tapez quit et appuyez sur ENTRÉE. Le menu Metadata Cleanup s'affiche.
7. Tapez select operation target et appuyez sur ENTRÉE.
8. Tapez list domains et appuyez sur ENTRÉE. Une liste des domaines de la forêt s'affiche, chacun avec un numéro associé.
9. Tapez select domain numéro et appuyez sur ENTRÉE. Numéro est le numéro associé au domaine auquel appartient le serveur que vous supprimez. Le domaine sélectionné est utilisé pour déterminer si le serveur en cours de suppression est le dernier contrôleur de domaine de ce domaine.
10. Tapez list sites et appuyez sur ENTRÉE. Une liste des sites, chacun avec un numéro associé, s'affiche.
11. Tapez select site numéro et appuyez sur ENTRÉE. Numéro est le numéro associé au site auquel appartient le serveur que vous supprimez. Une confirmation doit s'afficher, indiquant le site et le domaine que vous avez choisis.
12. Tapez list servers in site et appuyez sur ENTRÉE. Une liste des serveurs du site, chacun avec un numéro associé, s'affiche.
13. Tapez select server numéronuméro est le numéro associé au serveur que vous souhaitez supprimer. Une confirmation s'affiche. Elle répertorie le serveur sélectionné, son nom d'hôte DNS et l'emplacement du compte d'ordinateur du serveur à supprimer.
14. Tapez quit et appuyez sur ENTRÉE. Le menu Metadata Cleanup s'affiche.
15. Tapez remove selected server et appuyez sur ENTRÉE. La confirmation que la suppression s'est correctement déroulée doit s'afficher. Si le message d'erreur suivant s'affiche :
Erreur 8419 (0x20E3)
Impossible de trouver l'objet DSA.
L'objet Paramètres NTDS peut déjà avoir été supprimé d'Active Directory par un autre administrateur ou par réplication de la suppression réussie de l'objet Paramètres NTDS après exécution de l'utilitaire Dcpromo.

Remarque Cette erreur peut également s'afficher lorsque vous essayez d'établir une liaison avec le contrôleur de domaine qui sera supprimé. Ntdsutil doit établir une liaison avec un contrôleur de domaine autre que celui qui sera supprimé avec le nettoyage des métadonnées.
16. Tapez quit à chaque menu pour quitter l'utilitaire Ntdsutil. Vous devriez recevoir un message de confirmation de déconnexion.
17. Supprimez l'enregistrement cname dans la zone _msdcs domaine_racine_forêt du serveur DNS. En supposant que ce contrôleur de domaine sera réinstallé et fera l'objet d'une nouvelle promotion, un nouvel objet Paramètres NTDS est créé avec un nouveau GUID et un enregistrement cname correspondant dans le serveur DNS. Vous ne voulez pas que les contrôleurs de domaine existants utilisent l'ancien enregistrement cname.

La pratique recommandée veut que vous supprimiez le nom d'hôte et les autres enregistrements DNS. Si la durée restante du bail de l'adresse DHCP (Dynamic Host Configuration Protocol ) affectée au serveur hors connexion est dépassée, un autre client peut obtenir l'adresse IP du contrôleur de domaine qui rencontre le problème.
Maintenant que l'objet Paramètres NTDS a été supprimé, vous pouvez supprimer le compte d'ordinateur, l'objet membre FRS, l'enregistrement cname (ou Alias) du conteneur _msdcs, l'enregistrement A (ou Host) du serveur DNS, l'objet trustDomain d'un domaine enfant supprimé et le contrôleur de domaine.

Remarque Il n'est pas nécessaire de supprimer manuellement l'objet membre FRS dans Windows Server 2003 car l'utilitaire Ntdsutil.exe l'a déjà supprimé lors de son exécution. En outre, les métadonnées du compte d'ordinateur ne peuvent pas être supprimées si le compte d'ordinateur du contrôleur de domaine contient un autre objet feuille. Par exemple, le service d'installation à distance (RIS, Remote Installation Services) peut être installé sur le contrôleur de domaine.

L'utilitaire Adsiedit est fourni avec la fonctionnalité Outils de support de Windows dans Windows 2000 Server et Windows Server 2003. Pour installer les Outils de support Windows, procédez comme suit :
Windows 2000 Server : Sur le CD-ROM Windows 2000 Server, ouvrez le dossier Support\Tools, double-cliquez sur Setup.exe, puis suivez les instructions qui s'affichent à l'écran.
Windows Server 2003 : Sur le CD-ROM Windows Server 2003, ouvrez le dossier Support\Tools, double-cliquez sur Suptools.msi, cliquez sur Installer, puis suivez les étapes fournies par l'Assistant Installation des Outils de support Windows pour terminer l'installation.
1. Utilisez l'utilitaire ADSIEdit pour supprimer le compte d'ordinateur. Pour cela, procédez comme suit :
a. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc dans la zone Ouvrir, puis cliquez sur OK.
b. Développez le conteneur Domain NC.
c. Développez DC=votre_nom_domaine, DC=COM, PRI, LOCAL, NET.
d. Développez OU=Domain Controllers.
e. Cliquez avec le bouton droit sur CN=nom_contrôleur_domaine, puis cliquez sur Supprimer.
Si le message d'erreur « Impossible de supprimer l'objet DSA » s'affiche lorsque vous essayez de supprimer l'objet, modifiez la valeur UserAccountControl. Pour modifier la valeur UserAccountControl, cliquez avec le bouton droit sur le contrôleur de domaine dans ADSIEdit, puis cliquez sur Propriétés. Sous Sélectionnez une propriété à afficher, cliquez sur UserAccountControl. Cliquez sur Effacer, remplacez la valeur par 4096, puis cliquez sur Définir. Vous pouvez maintenant supprimer l'objet.

Remarque L'objet abonné FRS est supprimé lorsque l'objet ordinateur est supprimé car il s'agit d'un enfant du compte d'ordinateur.
2. Utilisez l'utilitaire ADSIEdit pour supprimer l'objet membre FRS. Pour cela, procédez comme suit :
a. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc dans la zone Ouvrir, puis cliquez sur OK.
b. Développez le conteneur Domain NC.
c. Développez DC=votre_domaine, DC=COM, PRI, LOCAL, NET.
d. Développez CN=System.
e. Développez CN=File Replication Service.
f. Développez CN=Domain System Volume (SYSVOL share).
g. Cliquez avec le bouton droit sur le contrôleur de domaine que vous supprimez, puis cliquez sur Supprimer.
3. Dans la console DNS, utilisez la MMC DNS pour supprimer l'enregistrement A dans le serveur DNS. L'enregistrement A est également connu sous le nom d'enregistrement hôte. Pour supprimer l'enregistrement A, cliquez dessus avec le bouton droit, puis cliquez sur Supprimer. Supprimez également l'enregistrement cname (également appelé l'Alias) dans le conteneur _msdcs. Pour cela, développez le conteneur _msdcs, cliquez avec le bouton droit sur l'enregistrement cname, puis cliquez sur Supprimer.

Important Si c'était un serveur DNS, supprimez la référence à ce contrôleur de domaine sous l'onglet Serveurs de noms. Pour cela, dans la console DNS, cliquez avec le bouton droit sur le nom de domaine sous Zones de recherche directes, cliquez sur Propriétés, puis supprimez ce serveur de l'onglet Serveurs de noms.

Remarque Si vous disposez de zones de recherche inversée, supprimez également le serveur de ces zones.
4. Si l'ordinateur supprimé était le dernier contrôleur de domaine dans un domaine enfant et si le domaine enfant a également été supprimé, utilisez ADSIEdit pour supprimer l'objet trustDomain de l'enfant. Pour cela, procédez comme suit :
a. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc dans la zone Ouvrir, puis cliquez sur OK.
b. Développez le conteneur Domain NC.
c. Développez DC=votre_domaine, DC=COM, PRI, LOCAL, NET.
d. Développez CN=System.
e. Cliquez avec le bouton droit sur l'objet Trust Domain, puis cliquez sur Supprimer.
5. Utilisez Sites et services Active Directory pour supprimer le contrôleur de domaine. Pour cela, procédez comme suit :
a. Démarrez Sites et services Active Directory.
b. Développez Sites.
c. Développez le site du serveur. Le site par défaut est Premier-Site-par-defaut.
d. Développez Serveur.
e. Cliquez avec le bouton droit sur le contrôleur de domaine, puis cliquez sur Supprimer.

Syntaxe facultative avancée avec la version SP1 de Ntdsutil.exe

Windows Server 2003 SP1 a introduit une nouvelle syntaxe qui peut être utilisée. En utilisant la nouvelle syntaxe, il n'est plus nécessaire de créer de liaison avec le service d'annuaire et de sélectionner votre cible d'opération. Pour utiliser la nouvelle syntaxe, vous devez connaître ou obtenir le nom de domaine de l'objet Paramètres NTDS du serveur rétrogradé. Pour utiliser la nouvelle syntaxe pour le nettoyage des métadonnées, procédez comme suit :
1. Exécutez ntdsutil.
2. Basculez vers l'invite de nettoyage des métadonnées.
3. Exécutez la commande suivante
remove selected server <nom de domaine de l'objet serveur dans le conteneur de configuration>
Vous trouverez ci-dessous un exemple de cette commande.

Remarque La commande suivante tient sur une seule ligne.
Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<domaine_racine_forêt>
4. Supprimez l'enregistrement cname dans le domaine _msdcs.root de zone de forêt sur le serveur DNS. En supposant que ce contrôleur de domaine sera réinstallé et fera l'objet d'une nouvelle promotion, un nouvel objet Paramètres NTDS est créé avec un nouveau GUID et un enregistrement cname correspondant dans le serveur DNS. Vous ne voulez pas que les contrôleurs de domaine existants utilisent l'ancien enregistrement cname.

La pratique recommandée veut que vous supprimiez le nom d'hôte et les autres enregistrements DNS. Si la durée restante du bail de l'adresse DHCP (Dynamic Host Configuration Protocol ) affectée au serveur hors connexion est dépassée, un autre client peut obtenir l'adresse IP du contrôleur de domaine qui rencontre le problème.
5. Si l'ordinateur supprimé était le dernier contrôleur de domaine dans un domaine enfant et si le domaine enfant a également été supprimé, utilisez ADSIEdit pour supprimer l'objet trustDomain de l'enfant. Pour cela, procédez comme suit :
a. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.
b. Développez le conteneur Domain NC.
c. Développez DC=votre_nom_domaine, DC=COM, PRI, LOCAL, NET.
d. Développez CN=System.
e. Cliquez avec le bouton droit sur l'objet Trust Domain, puis cliquez sur Supprimer.
6. Utilisez Sites et services Active Directory pour supprimer le contrôleur de domaine. Pour cela, procédez comme suit :
a. Démarrez Sites et services Active Directory.
b. Développez Sites.
c. Développez le site du serveur. Le site par défaut est Premier-Site-par-defaut.
d. Développez Serveur.
e. Cliquez avec le bouton droit sur le contrôleur de domaine, puis cliquez sur Supprimer.

Retour au début

Plus d'informations

Pour plus d'informations sur la façon de rétrograder un contrôleur de domaine Windows Server 2003 ou Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
332199 (http://support.microsoft.com/kb/332199/) Les contrôleurs de domaine ne rétrogradent pas harmonieusement quand vous utilisez l'Assistant Installation de Active Directory pour forcer la rétrogradation dans Windows Server 2003 et dans Windows 2000 Server

Détermination du nom de domaine du serveur

Il existe plusieurs manières d'obtenir le nom de domaine de l'objet serveur à supprimer. L'exemple suivant utilise Ldp.exe. Pour obtenir le nom de domaine à l'aide de Ldp.exe, procédez comme suit :
1. Exécutez LDP.
2. Établissez une liaison avec rootDSE.
3. Sélectionnez View\tree. Base DN doit être cn=configuration,dc=rootdomain,dc=<suffixe>.
4. Développez Sites.
5. Développez le site où réside l'objet serveur.
6. Développez Serveurs.
7. Développez le serveur à supprimer.
8. Recherchez sur le côté droit une ligne commençant par DN.
9. Copiez la ligne entière à l'exclusion de DN.

Exemple de première partie de la sortie LDP :

Expanding base 'CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com'... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com”

Vous copieriez alors

"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com"
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
887424 (http://support.microsoft.com/kb/887424/) Message d'erreur « DsRemoveDsDomainW erreur 0x2015 » lorsque vous utilisez Ntdsutil pour supprimer des métadonnées pour un contrôleur de domaine qui a été supprimé de votre réseau dans Windows Server 2003.

Retour au début

Article N° 123, du 08.11.2006, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=123

© 2017 VPSI - EXAPP - TC