Suppression d'objets essentiels dans Active Directory sous Windows 2000 et Windows Server 2003

Cet article décrit les problèmes qui peuvent se produire si vous supprimez des objets essentiels dans Active Directory, les conséquences de cette opération et les actions entreprises par Microsoft pour résoudre ces problèmes. Ce problème concerne tous les utilisateurs Windows 2000, Windows Server 2003 et Active Directory. Les services de support technique de Microsoft ont reçu de nombreux appels de la part d'utilisateurs ayant supprimé, accidentellement ou intentionnellement, des objets essentiels dans Active Directory.

Dans Microsoft Windows NT 4.0, une procédure de dépannage couramment utilisée consiste à supprimer certains objets du Gestionnaire de serveur pour tenter de synchroniser un contrôleur secondaire de domaine (BDC, Backup Domain Controller) avec le contrôleur principal de domaine (PDC, Primary Domain Controller). Cette procédure peut toutefois créer de sérieux problèmes dans Windows 2000 et Windows Server 2003.

Cette description porte sur deux objets spécifiques : d'une part le compte d'ordinateur, principalement utilisé à des fins d'authentification entre deux contrôleurs de domaine et, d'autre part, l'objet Paramètres NTDS qui sert à rechercher d'autres contrôleurs de domaine et à déterminer la topologie de réplication Active Directory de l'entreprise. Lorsqu'ils sont supprimés, ces objets sont les principaux responsables des problèmes, mais notez que la suppression d'autres objets essentiels peut aussi créer des problèmes. Parmi ces objets, citons les objets d'autorisation DHCP (Dynamic Host Configuration Protocol), les objets d'abonnement au service de réplication de fichiers (FRS), les objets Domaine approuvé, tout élément dans l'unité d'organisation système, etc.

À moins que le contrôleur de domaine ne soit en permanence en mode hors connexion, ne supprimez pas manuellement le compte d'ordinateur du contrôleur de domaine (dans Utilisateurs et ordinateurs Active Directory) ni l'objet Paramètres NTDS (dans Sites et services Active Directory) associé au contrôleur de domaine. Si l'ordinateur est en permanence en mode hors connexion, reportez-vous à l'article suivant de la Base de connaissances Microsoft qui décrit la procédure à appliquer pour supprimer l'objet Paramètres NTDS à l'aide de l'utilitaire Ntdsutil : Une fois que vous avez supprimé l'objet Paramètres NTDS, vous pouvez supprimer en toute sécurité le compte d'ordinateur.

Conséquences

Si vous supprimez des objets essentiels, certains contrôleurs de domaine peuvent être orphelins dans la topologie de réplication d'entreprise. Pour cette raison, les modifications apportées à Active Directory, tout comme le contrôleur de domaine, sont orphelines, ce qui entraîne des échecs au niveau de l'ouverture de session client.

Remarque technique : d'une manière générale, si un administrateur tente de supprimer l'objet Paramètres NTDS sur le contrôleur de domaine auquel l'objet s'applique, l'ordinateur local rejette la demande et l'administrateur reçoit un message. Toutefois, d'autres contrôleurs de domaine peuvent autoriser cette opération. Si le serveur auquel l'objet Paramètres NTDS s'applique est « actif » sur le réseau lorsque cette modification se réplique sur le serveur, le serveur n'autorise pas la suppression de l'objet. En règle générale, le processus s'inverse automatiquement et l'objet est réanimé. Cependant, d'autres contrôleurs de domaine peuvent ne jamais détecter cette modification. Le vérificateur de la cohérence des données n'inclut donc pas l'ordinateur dans la topologie et l'ordinateur devient orphelin. Pour le compte d'ordinateur, les problèmes se traduisent généralement par des échecs d'authentification entre contrôleurs de domaine et entre contrôleurs de domaine et clients. L'authentification manuelle, le système DNS (Domain Name System) et les données propres au domaine sont conservés dans les comptes d'ordinateur du contrôleur de domaine. Ces données sont nécessaires à certaines opérations telles que la réplication Active Directory.

À court terme

Si vous supprimez l'objet Paramètres NTDS, reportez-vous à l'article suivant de la Base de connaissances Microsoft qui décrit la procédure à suivre pour créer manuellement un lien de réplication entre deux contrôleurs de domaine afin de réintroduire un contrôleur de domaine dans la topologie : La procédure décrite dans l'article ci-dessus de la Base de connaissances Microsoft permet d'établir manuellement un lien de réplication entre le contrôleur de domaine orphelin et un autre contrôleur de domaine. La réplication est alors déclenchée et les objets essentiels peuvent être répliqués vers au moins un autre ordinateur. Cette procédure dépend de la réplication Active Directory qui a la charge de propager cet objet sur d'autres contrôleurs de domaine. Après un certain temps, le vérificateur de la cohérence des données sur chaque contrôleur de domaine doit déterminer qu'un nouvel objet serveur est présent et doit adapter la topologie de réplication en conséquence.

Si un compte d'ordinateur d'un contrôleur de domaine est supprimé dans Utilisateurs et ordinateurs Active Directory, il n'est pas facile de le récupérer. Des données d'authentification spécifiques sont écrites sur cet objet et elles ne peuvent pas être récupérées sans restauration de la sauvegarde. L'article suivant de la Base de connaissances Microsoft décrit la procédure de récupération à partir d'un compte d'ordinateur supprimé : Dans la plupart des cas cependant, pour récupérer les données d'un compte d'ordinateur, vous devez rétrograder, puis promouvoir à nouveau le serveur pour vous assurer que toutes les données sont correctement réécrites sur le compte.

Si une sauvegarde est disponible, il peut être préférable de procéder à une restauration faisant autorité portant uniquement sur l'objet dont vous avez besoin. Pour plus d'informations sur l'exécution d'une restauration faisant autorité, reportez-vous au Kit de ressources techniques Windows 2000, Distributed Systems Guide (Guide des systèmes distribués), chapitre 9, page 451.

À long terme

Les outils d'administration (Utilisateurs et ordinateurs Active Directory et Sites et services Active Directory) sont en cours de révision. À l'avenir, un administrateur recevra un message s'il tente de supprimer des comptes d'ordinateur correspondant à des contrôleurs de domaine ou si l'objet Paramètres NTDS, qui représente le serveur en tant que contrôleur de domaine pour tous les autres contrôleurs de domaine, est supprimé. Dans les deux cas, l'interface utilisateur dirige l'administrateur vers la procédure appropriée si le serveur n'est pas hors connexion, ou rétrograde l'ordinateur si le serveur est connecté et que l'administrateur souhaite supprimer le serveur du réseau.

Notez cependant que cette modification ne restreint pas la portée d'autres outils d'administration tels que ADSI Edit et LDP et qu'elle ne vous empêche pas de supprimer ces objets par programmation.