Rétrogradation des contrôleurs de domaine et des domaines
Cet article explique comment supprimer les services de domaine Active Directory (AD DS) à l'aide du Gestionnaire de serveur ou de Windows PowerShell.
Workflow de suppression des services AD DS
Attention
La suppression des rôles AD DS avec Dism.exe ou le module DISM de Windows PowerShell après la promotion à un contrôleur de domaine (DC) n'est pas prise en charge et empêche le serveur de démarrer normalement.
À la différence du Gestionnaire de serveur ou du module ADDSDeployment pour Windows PowerShell, DISM est un système de maintenance natif sans connaissance inhérente des services AD DS ni de leur configuration. Nous vous déconseillons d'utiliser Dism.exe ou le module Windows PowerShell DISM pour désinstaller le rôle AD DS, sauf si le serveur n'est plus un contrôleur de domaine.
Rétrogradation et suppression de rôle avec PowerShell
Applets de commande ADDSDeployment et ServerManager | Arguments (ceux en gras sont requis et ceux en italique peuvent être spécifiés à l’aide de Windows PowerShell ou de l’Assistant Configuration des services de domaine Active Directory.) |
---|---|
Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Pour en savoir plus sur la façon de rétrograder votre DC à l'aide de PowerShell, consultez les références PowerShell Uninstall-ADDSDomainController et Uninstall-WindowsFeature.
Lorsque vous utilisez Uninstall-ADDSDomainController
et Uninstall-WindowsFeature
, ces commandes ne requièrent que le minimum d'arguments, car elles n'effectuent qu'une seule action. En appuyant sur la touche Entrée pendant la phase de confirmation, vous lancez le processus de rétrogradation irrévocable et redémarrez votre appareil.
Remarque
L'argument Credential n'est requis que si vous n'êtes pas déjà connecté en tant que membre du groupe Enterprise Admins ou du groupe Domain Admins. L'argument IncludeManagementTools n'est nécessaire que si vous souhaitez supprimer tous les utilitaires de gestion AD DS.
Demote (Rétrograder)
Supprimer des rôles et des fonctionnalités
Vous pouvez utiliser deux méthodes pour supprimer le rôle AD DS :
Menu Gérer du tableau de bord principal, avec Supprimer des rôles et fonctionnalités
Sélectionnez AD DS ou Tous les serveurs dans le volet de navigation. Faites défiler les options jusqu'à la section Rôles et fonctionnalités. Cliquez avec le bouton droit sur Services de domaine Active Directory dans la liste Rôles et fonctionnalités et sélectionnez Supprimer un rôle ou une fonctionnalité. Cette interface ignore la page Sélection du serveur.
Les cmdlets ServerManager Uninstall-WindowsFeature et Remove-WindowsFeature vous empêchent de supprimer le rôle AD DS tant que vous n’avez pas rétrogradé le contrôleur de domaine.
Sélection du serveur
La boîte de dialogue Sélection du serveur vous permet de choisir l’un des serveurs précédemment ajoutés au pool, tant qu’il est accessible. Le serveur local exécutant le Gestionnaire de serveur est toujours automatiquement accessible.
Rôles et fonctionnalités de serveur
Décochez la case Services de domaine Active Directory pour rétrograder un contrôleur de domaine ; si le serveur est actuellement un contrôleur de domaine, le rôle AD DS n’est pas supprimé, mais une boîte de dialogue Résultats de la validation s’affiche avec la proposition de rétrogradation. Sinon, cette opération supprime les fichiers binaires comme toute autre fonctionnalité de rôle.
Ne supprimez aucun autre rôle ni fonctionnalité associés à AD DS (par exemple, DNS, GPMC ou les outils RSAT) si vous envisagez de promouvoir à nouveau le contrôleur de domaine dans l’immédiat. La suppression d'autres rôles et fonctionnalités augmente le temps nécessaire à une nouvelle promotion, car le Gestionnaire de serveur réinstalle ces fonctionnalités quand vous réinstallez le rôle.
Supprimez les rôles et fonctionnalités des services de domaine Active Directory inutiles selon vos souhaits si vous envisagez de rétrograder le contrôleur de domaine de façon définitive. Vous devez pour cela décocher les cases associées à ces rôles et fonctionnalités.
La liste complète des rôles et fonctionnalités associés aux services de domaine Active Directory contient notamment :
- Module Active Directory pour la fonctionnalité Windows PowerShell
- Fonctionnalité des outils AD DS et AD LDS
- Fonctionnalité du Centre d'administration Active Directory
- Fonctionnalité des composants logiciels enfichables et outils en ligne de commande AD DS
- Serveur DNS
- Console de gestion des stratégies de groupe
Les applets de commande Windows PowerShell ADDSDeployment et ServerManager équivalentes sont les suivantes :
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Informations d'identification
La page Informations d’identification vous permet de configurer des options de rétrogradation. Entrez les informations d’identification nécessaires pour effectuer la rétrogradation à partir de la liste suivante :
La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des informations d’identification d’administrateur de domaine. Le fait de sélectionner Forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de domaine sans supprimer les métadonnées de l’objet contrôleur de domaine d’Active Directory.
Avertissement
Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen raisonnable ne permet de résoudre ce problème réseau. La rétrogradation forcée laisse des métadonnées orphelines dans Active Directory sur les contrôleurs de domaine restants dans la forêt. Par ailleurs, toutes les modifications non répliquées sur ce contrôleur de domaine, notamment les mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement perdues. Les métadonnées orphelines sont la cause première d’un grand nombre de problèmes soumis au support technique Microsoft pour AD DS, Exchange, SQL et d’autres logiciels.
Si vous rétrogradez de force un contrôleur de domaine, vous devez immédiatement effectuer un nettoyage manuel des métadonnées. Pour la procédure à suivre, voir Nettoyage des métadonnées du serveur.
La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite l'appartenance au groupe Administrateurs de l'entreprise, cette opération entraînant la suppression du domaine à proprement parler (s'il s'agit du dernier domaine dans la forêt, la forêt est supprimée). Le Gestionnaire de serveur vous informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine dans le domaine. Cochez la case Dernier contrôleur de domaine du domaine pour confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine dans le domaine.
Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Avertissements
La page Avertissements vous informe des conséquences possibles de la suppression de ce contrôleur de domaine. Pour continuer, vous devez sélectionner Procéder à la suppression.
Avertissement
Si vous avez auparavant sélectionné Forcer la suppression de ce contrôleur de domaine dans la page Informations d'identification, la page Avertissements affiche tous les rôles FSMO (Flexible Single Master Operations) hébergés par ce contrôleur de domaine. Vous devez prendre les rôles d'un autre contrôleur de domaine immédiatement après la rétrogradation de ce serveur. Pour plus d’informations sur la prise des rôles FSMO, voir Prendre le rôle de maître d’opérations.
Cette page n’a pas d’argument Windows PowerShell ADDSDeployment équivalent.
Options de suppression
La page Options de suppression s'affiche en fonction de la sélection précédente du Dernier contrôleur de domaine du domaine dans la page Informations d'identification. Cette page vous permet de configurer d'autres options de suppression. Sélectionnez Ignorer le dernier serveur DNS pour zone, Supprimer les partitions d’application et Supprimer la délégation DNS pour activer le bouton Suivant.
Les options ne s'affichent que si elles sont applicables à ce contrôleur de domaine. Par exemple, s’il n’existe aucune délégation DNS pour ce serveur, cette case ne s’affiche pas.
Sélectionnez Modifier pour spécifier d’autres informations d’identification d’administration DNS. Sélectionnez Afficher les partitions pour afficher d’autres partitions que l’Assistant supprime pendant la rétrogradation. Par défaut, les seules autres partitions sont les zones DNS du domaine et DNS de la forêt. Toutes les autres partitions sont des partitions non-Windows.
Les arguments de l'applet de commande ADDSDeployment équivalents sont les suivants :
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Nouveau mot de passe d’administrateur
Quand la rétrogradation est terminée et que l’ordinateur devient un serveur membre de domaine ou un ordinateur de groupe de travail, la page Nouveau mot de passe d’administrateur vous demande de fournir un mot de passe pour le compte Administrateur de l’ordinateur local intégré.
L'applet de commande Uninstall-ADDSDomainController et les arguments suivent les mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.
L'argument LocalAdministratorPassword est spécial :
- S'il n'est pas spécifié en tant qu'argument, l'applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
- S'il est spécifié avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe sous forme d’une chaîne sécurisée à l’aide de la cmdlet Read-Host.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Avertissement
Étant donné que les deux options précédentes ne confirment pas le mot de passe, faites preuve de prudence, car le mot de passe n’est pas visible.
Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé. Par exemple :
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Avertissement
Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe d'administrateur local de cet ordinateur. Elle peut ensuite accéder à l'ensemble des données qu'il contient et emprunter l'identité du serveur lui-même.
Confirmation
La page Confirmation indique la rétrogradation planifiée ; elle ne répertorie pas les options de configuration de la rétrogradation. Il s'agit de la dernière page affichée par l'Assistant avant le début de la rétrogradation. Le bouton Afficher le script crée un script de rétrogradation Windows PowerShell.
Sélectionnez Rétrograder pour exécuter l’applet de commande de déploiement des services AD DS suivante :
Uninstall-ADDSDomainController
Utilisez l'argument Whatif facultatif avec Uninstall-ADDSDomainController et l'applet de commande pour passer en revue les informations de configuration. Cela vous permet de voir les valeurs explicites et implicites des arguments d'une applet de commande.
Par exemple :
L'invite de redémarrage représente votre dernière possibilité d'annuler cette opération quand vous utilisez Windows PowerShell ADDSDeployment. Pour remplacer cette invite, utilisez les arguments -force ou confirm:$false.
Rétrogradation
Quand la page Rétrogradation s’affiche, la configuration du contrôleur de domaine commence et ne peut pas être arrêtée ni annulée. Les opérations détaillées s'affichent dans cette page et sont écrites dans les journaux :
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell ADDSDeployment. Pour empêcher le serveur de redémarrer automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion:$false.
Avertissement
Il n'est pas conseillé de remplacer le redémarrage. Le serveur membre doit redémarrer pour fonctionner correctement.
Voici un exemple de rétrogradation forcée avec ses arguments requis minimaux pour -forceremoval et -demoteoperationmasterrole. L’argument -credential n’est pas requis, car l’utilisateur a ouvert une session en tant que membre du groupe Administrateurs de l’entreprise :
Voici un exemple illustrant la suppression du dernier contrôleur de domaine dans le domaine avec ses arguments requis minimaux -lastdomaincontrollerindomain et -removeapplicationpartitions :
Si vous tentez de supprimer le rôle AD DS avant la rétrogradation du serveur, Windows PowerShell vous bloque avec une erreur :
Important
Vous devez redémarrer l'ordinateur après la rétrogradation du serveur avant de pouvoir supprimer les fichiers binaires du rôle AD-Domain-Services.
Résultats
La page Résultats indique la réussite ou l'échec de la promotion et toute information d'administration importante. Le contrôleur de domaine redémarre automatiquement après 10 secondes.