15/11/2024

Active Directory

Supprimer un contrôleur de domaine hors service

I. Présentation

Lorsqu'on souhaite retirer le rôle de contrôleur de domaine à un serveur Windows, on utilise généralement la commande "dcpromo" pour qu'il redevienne un simple serveur membre. Sauf que si ce serveur est hors service, corrompu ou à une panne d'Active Directory il peut être intéressant d'être en mesure de le supprimer autrement.

Plantons le décor : Je dispose de deux contrôleurs de domaine, l'un nommé JUPITER, l'autre SATURNE, tous deux fonctionnant sur Windows Server 2012. JUPITER dispose des 5 rôles FSMO et ces deux serveurs jouent le rôle de Catalogue global. Suite à un crash, le système d'exploitation de SATURNE ne veut plus se démarrer, il faut que je réinstalle un nouveau contrôleur, mais avant cela que je le supprime de l'annuaire Active Directory proprement. Voyons comment faire.

II. Suppression de l'annuaire

Si dans votre cas le serveur qui est hors service dispose d'un ou de plusieurs rôles FSMO, vous allez devoir effectuer un seizing des rôles FSMO depuis le serveur sur lequel vous souhaitez les transférer pour qu'il les récupère de force. Pour cela, consultez notre tutoriel sur le seizing de rôles FSMO.

Accédez à votre annuaire Active Directory grâce à la console "Utilisateurs et ordinateurs Active Directory". Développez l'arborescence et sélectionnez "Domain Controllers" puisque cette unité d'organisation contient automatiquement vos serveurs contrôleurs de domaine. Pour ma part, je vois bien mes deux contrôleurs de domaine.

dcoff1

Faites clic droit sur le DC à supprimer puis cliquez sur "Supprimer" dans le menu contextuel. Un message vous demandant de valider la suppression apparaîtra :

dcoff2

Cliquez sur "Oui" puis un second message apparaîtra. Cochez la case puisque ce contrôleur de domaine est définitivement hors connexion et que l'on ne peut pas le rétrograder à l'aide de DCPROMO. Ensuite, cliquez sur "Supprimer".

dcoff3
Le DNS va être nettoyé, c'est-à-dire que les enregistrements DNS liés au contrôleur que l'on supprime vont être retirés des fichiers de zone. De plus, l'annuaire Active Directory va être nettoyé afin de retirer les traces concernant le contrôleur qui n'en est plus un, on parlera de "metadata cleanup".

Note : Un metadata cleanup peut se faire manuellement en effectuant des modifications avec l'éditeur ADSI, mais dans ce cas il est effectué automatiquement.

III. Suppression dans Sites et services Active Directory

Il est nécessaire de supprimer le serveur obsolète des connexions au sein de la console "Sites et services Active Directory" accessible depuis les outils d'administration. Parcourez l'arborescence, via "Sites", "Premier-Site-par-defaut" (ou votre site) puis "Servers". Une fois que vous y êtes faites clic droit sur le serveur hors connexion puis "Supprimer".

dcoff5

IV. Quelques commandes utiles

La procédure de suppression est terminée, cependant, pour ceux qui le souhaite vous pouvez exécuter quelques commandes afin de vérifier que les traces du serveur sont bien absentes.

  • nslookup gc._msdsc.foret.fr : Interroger le DNS pour savoir quels sont les contrôleurs désignés comme Catalogue Global (adaptez "foret.fr" selon votre cas).
  • nslookup domaine.fr : Interroger le DNS sur le nom de votre domaine, cela retournera les adresses IP des contrôleurs de domaine de votre domaine (adaptez "domaine.fr" selon votre cas).
  • repadmin /showrepl : Affiche l'état de la réplication et les partenaires de réplication.
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “Supprimer un contrôleur de domaine hors service

  • petite erreur je pense

    vous avez mis nslookup gc._msdsc.foret.fr je pense que c’est plutôt nslookup gc._msdcs.foret.fr

    Répondre
    • Bonjour,

      Je confirme l’inversion, c’est bien gc._msdcs.foret.fr.
      Vous pouvez le voir dans la console DNS dans les zones de recherche direct.

      Répondre
  • Bonjour, je viens découvrir l’article alors que je cherchais des réponse pour un problème qui s’est présenté sur mon serveur sur win serveur 2012 r2 essentiel.
    depuis quelques jours, il me dit accès refusé au domaine. dès lors les clients ne trouve plus le serveur j’ai fais les mise à jours Windows, j’ai essayé de relancer les services mais rien n’y fait. je n’arrive pas à trouver la solution. j’ai besoin d’aide je suis vraiment dans une impasse.
    pouvez vous m’aider?

    Répondre
    • Bonjour a tu trouvé une réponse je me retrouve dans un cas similaire, suite a une restauration veeam (agent windows local pas de backup and recovery ni de gestion de l’AD) du serveur DC secondaire.
      résultat plus de replication entre les dc. J’ai nettoyé le dc principale et retirer toute trace du secondaire dans l’AD mais ne parviens pas a retirer le dole ADDS du secondaire pour le réinstaller proprement..
      Malheureusement je ne peut pas réinstaller le système complet car ce serveur n’a pas qu’un seul rôle (je sais c’est pas bien). Quelqu’un aurait une idée?

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.