Supprimer un contrôleur de domaine hors service

I. Présentation

Lorsqu'on souhaite retirer le rôle de contrôleur de domaine à un serveur Windows, on utilise généralement la commande "dcpromo" pour qu'il redevienne un simple serveur membre. Sauf que si ce serveur est hors service, corrompu ou à une panne d'Active Directory il peut être intéressant d'être en mesure de le supprimer autrement.

Plantons le décor : Je dispose de deux contrôleurs de domaine, l'un nommé JUPITER, l'autre SATURNE, tous deux fonctionnant sur Windows Server 2012. JUPITER dispose des 5 rôles FSMO et ces deux serveurs jouent le rôle de Catalogue global. Suite à un crash, le système d'exploitation de SATURNE ne veut plus se démarrer, il faut que je réinstalle un nouveau contrôleur, mais avant cela que je le supprime de l'annuaire Active Directory proprement. Voyons comment faire.

II. Suppression de l'annuaire

Si dans votre cas le serveur qui est hors service dispose d'un ou de plusieurs rôles FSMO, vous allez devoir effectuer un seizing des rôles FSMO depuis le serveur sur lequel vous souhaitez les transférer pour qu'il les récupère de force. Pour cela, consultez notre tutoriel sur le seizing de rôles FSMO.

Accédez à votre annuaire Active Directory grâce à la console "Utilisateurs et ordinateurs Active Directory". Développez l'arborescence et sélectionnez "Domain Controllers" puisque cette unité d'organisation contient automatiquement vos serveurs contrôleurs de domaine. Pour ma part, je vois bien mes deux contrôleurs de domaine.

dcoff1

Faites clic droit sur le DC à supprimer puis cliquez sur "Supprimer" dans le menu contextuel. Un message vous demandant de valider la suppression apparaîtra :

dcoff2

Cliquez sur "Oui" puis un second message apparaîtra. Cochez la case puisque ce contrôleur de domaine est définitivement hors connexion et que l'on ne peut pas le rétrograder à l'aide de DCPROMO. Ensuite, cliquez sur "Supprimer".

dcoff3
Le DNS va être nettoyé, c'est-à-dire que les enregistrements DNS liés au contrôleur que l'on supprime vont être retirés des fichiers de zone. De plus, l'annuaire Active Directory va être nettoyé afin de retirer les traces concernant le contrôleur qui n'en est plus un, on parlera de "metadata cleanup".

Note : Un metadata cleanup peut se faire manuellement en effectuant des modifications avec l'éditeur ADSI, mais dans ce cas il est effectué automatiquement.

III. Suppression dans Sites et services Active Directory

Il est nécessaire de supprimer le serveur obsolète des connexions au sein de la console "Sites et services Active Directory" accessible depuis les outils d'administration. Parcourez l'arborescence, via "Sites", "Premier-Site-par-defaut" (ou votre site) puis "Servers". Une fois que vous y êtes faites clic droit sur le serveur hors connexion puis "Supprimer".

dcoff5

IV. Quelques commandes utiles

La procédure de suppression est terminée, cependant, pour ceux qui le souhaite vous pouvez exécuter quelques commandes afin de vérifier que les traces du serveur sont bien absentes.

  • nslookup gc._msdsc.foret.fr : Interroger le DNS pour savoir quels sont les contrôleurs désignés comme Catalogue Global (adaptez "foret.fr" selon votre cas).
  • nslookup domaine.fr : Interroger le DNS sur le nom de votre domaine, cela retournera les adresses IP des contrôleurs de domaine de votre domaine (adaptez "domaine.fr" selon votre cas).
  • repadmin /showrepl : Affiche l'état de la réplication et les partenaires de réplication.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2147 posts and counting.See all posts by florian

5 pensées sur “Supprimer un contrôleur de domaine hors service

  • Ping :

  • petite erreur je pense

    vous avez mis nslookup gc._msdsc.foret.fr je pense que c’est plutôt nslookup gc._msdcs.foret.fr

    Répondre
    • Bonjour,

      Je confirme l’inversion, c’est bien gc._msdcs.foret.fr.
      Vous pouvez le voir dans la console DNS dans les zones de recherche direct.

      Répondre
  • Bonjour, je viens découvrir l’article alors que je cherchais des réponse pour un problème qui s’est présenté sur mon serveur sur win serveur 2012 r2 essentiel.
    depuis quelques jours, il me dit accès refusé au domaine. dès lors les clients ne trouve plus le serveur j’ai fais les mise à jours Windows, j’ai essayé de relancer les services mais rien n’y fait. je n’arrive pas à trouver la solution. j’ai besoin d’aide je suis vraiment dans une impasse.
    pouvez vous m’aider?

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.