Contrôleurs de domaine ne rétrogradent pas harmonieusement quand vous utilisez l'Assistant Installation de Active Directory pour forcer la rétrogradation dans Windows Server 2003 et dans Windows 2000 Server

Traductions disponibles Traductions disponibles
Numéro d'article: 332199 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Les contrôleurs de domaine Microsoft Windows 2000 ou Microsoft Windows Server 2003 peuvent ne pas rétrogradent normalement à l'aide de l'Assistant Installation de Active Directory (Dcpromo.exe).

Cause

Ce comportement peut se produire si une dépendance requise ou l'opération échoue. Citons notamment la connectivité réseau, résolution de noms, l'authentification, réplication de service d'annuaire Active Directory ou l'emplacement d'un objet essentiel dans Active Directory.

Résolution

Pour résoudre ce problème, déterminez ce qui empêche la rétrogradation harmonieuse de Windows 2000 ou le contrôleur de domaine Windows Server 2003 et essayez de rétrograder le contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory à nouveau.

Remarque : Pour Windows Server 2008, Directory Services Restore Mode (DSRM) est inchangé depuis Windows Server 2003 avec une exception. Dans Windows Server 2008, vous pouvez exécuter les dcpromo/forceremoval commande pour forcer la suppression AD DS à partir d'un contrôleur de domaine est démarré en DSRM, tout comme vous pouvez le faire dans les services AD DS arrêté état. Un contrôleur de domaine doit toujours être démarré en DSRM pour restaurer les données d'état système à partir d'une sauvegarde. Pour plus d'informations, consultez l'article TechNet suivant :
Guide pas à pas de redémarrage AD DS

Contournement

Si vous ne pouvez pas résoudre ce problème, vous pouvez utiliser des solutions de contournement suivantes pour effectuer une rétrogradation forcée du contrôleur de domaine afin de préserver l'installation du système d'exploitation et des applications qu'il contient.

Avertissement Avant d'utiliser une des solutions de contournement suivantes, assurez-vous que vous parvenez à démarrer en mode restauration des Services d'annuaire. Sinon, vous ne pourrez pas ouvrir une session après la rétrogradation forcée de l'ordinateur. Si vous avez oublié le mot de passe en mode restauration des Services d'annuaire, vous pouvez réinitialiser le mot de passe à l'aide de l'utilitaire Setpwd.exe qui se trouve dans le dossier Winnt\System32. Dans Windows Server 2003, la fonctionnalité de l'utilitaire Setpwd.exe a été intégrée dans la commande Set DSRM Password de l'outil NTDSUTIL. Pour plus d'informations comment faire pour effectuer cette procédure, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
271641Configurer votre serveur Assistant définit un mot de passe du mode de récupération vide

Contrôleurs de domaine Windows 2000

  1. Installez le correctif Q332199 sur un contrôleur de domaine Windows 2000 qui exécute le Service Pack 2 (SP2) ou une version ultérieure, ou Windows 2000 Service Pack 4 (SP4). SP2 et versions ultérieures prennent en charge la rétrogradation forcée. Ensuite, redémarrez votre ordinateur.
  2. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez la commande suivante :
    dcpromo /forceremoval
  3. Cliquez sur OK.
  4. À la Bienvenue dans l'Assistant Installation de Active Directory page, cliquez sur Suivant.
  5. Si l'ordinateur que vous supprimez un serveur de catalogue global, cliquez sur OK dans la fenêtre de message.

    Remarque Promouvoir des catalogues globaux supplémentaires dans la forêt ou dans le site si le contrôleur de domaine que vous rétrogradez est un serveur de catalogue global, en fonction des besoins.
  6. À la Supprimer Active Directory page, assurez-vous que le Ce serveur est le dernier contrôleur de domaine dans le domaine case à cocher est désactivée, puis cliquez sur Suivant.
  7. À la Informations d'identification réseau page, tapez le nom, mot de passe et nom de domaine pour un utilisateur de compte avec des informations d'identification administrateur d'entreprise dans la forêt, puis cliquez sur Suivant.
  8. Dans Mot de passe administrateur, tapez le mot de passe et le mot de passe confirmé que vous souhaitez attribuer au compte administrateur de la base de données SAM locale, puis cliquez sur Suivant.
  9. Sur la Résumé page, cliquez sur Suivant.
  10. Effectuer un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.
Si vous avez supprimé un domaine de la forêt en utilisant la commande remove selected domain dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et serveurs de catalogue global dans la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Outils Replmon.exe ou Repadmin.exe à partir de Windows 2000 Support Tools peuvent vous aider à déterminer si la réplication de bout à bout a eu lieu. Windows 2000 SP3 et les serveurs de catalogue global antérieurs sont sensiblement plus lents à supprimer des objets et des contextes d'appellation que ne l'est Windows Server 2003.

Contrôleurs de domaine Windows Server 2003

  1. Par défaut, les contrôleurs de domaine Windows Server 2003 prend en charge la rétrogradation forcée. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez la commande suivante :
    dcpromo /forceremoval
  2. Cliquez sur OK.
  3. À la Bienvenue dans l'Assistant Installation de Active Directory page, cliquez sur Suivant.
  4. À la Forcer la suppression d'Active Directory page, cliquez sur Suivant.
  5. Dans Mot de passe administrateur, tapez le mot de passe et le mot de passe confirmé que vous souhaitez attribuer au compte administrateur de la base de données SAM locale, puis cliquez sur Suivant.
  6. Dans Résumé, cliquez sur Suivant.
  7. Effectuer un nettoyage des métadonnées pour le contrôleur de domaine rétrogradé sur un contrôleur de domaine survivant dans la forêt.
Si vous avez supprimé un domaine de la forêt en utilisant la commande remove selected domain dans Ntdsutil, vérifiez que tous les contrôleurs de domaine et serveurs de catalogue global dans la forêt ont supprimé tous les objets et les références au domaine que vous venez de supprimer avant de promouvoir un nouveau domaine dans la même forêt avec le même nom de domaine. Windows 2000 Service Pack 3 (SP3) et les serveurs de catalogue global antérieurs sont sensiblement plus lents à supprimer des objets et des contextes d'appellation que ne l'est Windows Server 2003.

Si les entrées de contrôle d'accès aux ressources (ACE) sur l'ordinateur que vous avez supprimé Active Directory à partir étaient basées sur les groupes locaux de domaine, ces autorisations peut-être être reconfigurés, car ces groupes ne seront pas disponibles pour les serveurs membres ou autonomes. Si vous prévoyez d'installer Active Directory sur l'ordinateur pour en faire un contrôleur de domaine dans le domaine d'origine, vous n'avez pas configurer des listes de contrôle d'accès (ACL) plus. Si vous préférez laisser l'ordinateur comme un serveur membre ou autonome, toutes les autorisations qui sont basées sur les groupes locaux de domaine doivent être traduites ou remplacées.Pour plus d'informations sur la façon dont les autorisations sont affectées après avoir supprimé Active Directory d'un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
320230Les autorisations sont affectées après avoir rétrogradé un contrôleur de domaine

Améliorations de Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 améliore le processus dcpromo /forceremoval . Lors de l'exécution de dcpromo /forceremoval , une vérification est effectuée pour déterminer si le contrôleur de domaine héberge un rôle de maître d'opérations, est un serveur de nom de domaine (DNS) ou est un serveur de catalogue global. Pour chacun de ces rôles, l'administrateur reçoit un avertissement contextuel qui indique à l'administrateur de prendre les mesures appropriées.

Si le contrôleur de domaine ne peut pas démarrer en mode normal

Important Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, les problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows


Important Suivez ces étapes uniquement en dernier recours si le contrôleur de domaine ne peut pas démarrer en mode normal.

Pour supprimer Active Directory d'un contrôleur de domaine, procédez comme suit :
  1. Redémarrez l'ordinateur et appuyez sur F8 pour afficher le Options avancées de Windows 2000 menu.
  2. Choisissez Mode restauration Active Directory, appuyez sur entrée et appuyez sur ENTRÉE pour continuer.
  3. Modifiez l'entrée ProductType dans le Registre. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
    2. Recherchez la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. Dans le volet droit, double-cliquez sur ProductType.
    4. Type ServerNT dans le Données de la valeur zone, puis cliquez sur OK.

      Remarque : Si cette valeur n'est pas définie correctement ou est mal orthographiée, vous pouvez recevoir le message d'erreur suivant :
      Processus du système - Violation de licence : Le système a détecté une falsification de votre type de produit enregistré. Il s'agit d'une violation de la licence du logiciel. Falsification de type de produit n'est pas autorisée.
    5. Quittez l'Éditeur du Registre.
  4. Redémarrez l'ordinateur.
  5. Ouvrez une session avec le compte administrateur et le mot de passe utilisé pour le mode de réparation du Service annuaire.

    L'ordinateur se comporte comme un serveur membre. Toutefois, il existe toujours certaines entrées de Registre sur l'ordinateur qui sont associées avec le contrôleur de domaine et des fichiers restants.
  6. Démarrez l'Éditeur du Registre et recherchez l'entrée de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    S'il existe une entrée pour
    Srv du domaine racine de la src
    , avec le bouton droit de la valeur, puis cliquez sur Supprimer. Cette valeur doit être supprimée afin que le contrôleur de domaine lui-même considère comme le seul contrôleur de domaine dans le domaine après la promotion.

    Important L'étape ci-dessus est critique. Sans qu'il la re-promotion dans la forêt Active Directory temporaire échoue et vous ne pourrez pas ouvrir une session sur le contrôleur de domaine.
  7. Supprimer les entrées de Registre et les fichiers restants. Pour ce faire, procédez comme suit :
    1. Démarrez l'Assistant Installation de Active Directory.
    2. Installer Active Directory pour que l'ordinateur contrôleur de domaine pour un domaine temporaire, comme « psstemp.deleteme ».

      Remarque : Assurez-vous que vous l'ordinateur un contrôleur de domaine dans une forêt différente.
    3. Après avoir installé Active Directory, redémarrez l'Assistant Installation de Active Directory et puis supprimer Active Directory du contrôleur de domaine.
  8. Après avoir supprimé Active Directory d'un contrôleur de domaine, supprimez les métadonnées qui sont restées dans le domaine.Pour plus d'informations sur la suppression de ces métadonnées, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    216498Comment faire pour supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine a échoué

Statut

Microsoft a testé et prend en charge la rétrogradation forcée des contrôleurs de domaine qui exécutent Windows 2000 ou Windows Server 2003.

Plus d'informations

L'Assistant Installation de Active Directory crée des contrôleurs de domaine Active Directory sur les ordinateurs Windows 2000 et Windows Server 2003. Les opérations effectuées par l'Assistant Installation de Active Directory incluent l'installation de nouveaux services, les modifications apportées aux valeurs de démarrage des services existants et la transition vers Active Directory comme un domaine de sécurité et d'authentification.

Avec une rétrogradation forcée, un administrateur de domaine peut supprimer de force Active Directory et du rouleau apportées localement au système sans avoir à contacter ou à répliquer des modifications apportées localement à un autre contrôleur de domaine dans la forêt.

Car la rétrogradation forcée provoque la perte des localement détenus des modifications, utilisez qu'en dernier ressort dans la production ou tester des domaines. Vous pouvez forcer la rétrogradation de contrôleurs de domaine lors de la connectivité, la résolution de noms, d'authentification ou dépendances du moteur de réplication ne peut pas être résolus pour que puisse être effectuée une rétrogradation. Voici des scénarios valides de rétrogradations forcées :
  • Il n'existe aucun contrôleur de domaine actuellement disponibles dans le domaine parent lorsque vous essayez de rétrograder le dernier contrôleur de domaine dans un domaine enfant immédiat.
  • Impossible de terminer l'Assistant Installation de Active Directory, car il existe une résolution de noms, une authentification, un moteur de réplication ou une dépendance d'objet Active Directory que vous ne pouvez pas résoudre après l'exécution de dépannage détaillées.
  • Un contrôleur de domaine n'a pas répliqué les modifications Active Directory entrantes dans durée de vie (durée de vie de désactivation par défaut est 60 jours) nombre de jours pour un ou plusieurs contextes de nommage.

    Important Ne récupérez pas ces contrôleurs de domaine, sauf s'ils sont l'unique chance de récupération pour un domaine particulier.
  • Temps ne permet pas de dépannage plus détaillées, car vous devez immédiatement mettre en service le contrôleur de domaine.
Rétrogradations forcées peuvent être utiles dans les environnements de laboratoire et de la classe dans laquelle vous pouvez supprimer des contrôleurs de domaine hors des domaines existants, mais vous n'avez pas à la rétrogradation en série de chaque contrôleur de domaine.

Si vous forcez la rétrogradation d'un contrôleur de domaine, vous perdrez toutes les modifications uniques qui résident dans Active Directory du contrôleur de domaine que vous rétrogradez. Cela inclut l'ajout, la suppression ou la modification des utilisateurs, ordinateurs, groupes, relations d'approbation et configuration de stratégie de groupe ou Active Directory non répliqués avant l'exécution de la commande dcpromo /forceremoval . En outre, vous perdrez les modifications à l'un des attributs de ces objets, tels que les mots de passe des utilisateurs, ordinateurs et les relations d'approbation et l'appartenance au groupe.

Toutefois, si vous forcez la rétrogradation d'un contrôleur de domaine, vous retournez le système d'exploitation à un état qui est identique à la rétrogradation réussie du dernier contrôleur de domaine dans un domaine (service de démarrer les services installés, les valeurs, SAM basé sur l'utilisation d'un Registre pour la base de données de compte, ordinateur appartient à un groupe de travail). Programmes qui sont installés sur le contrôleur de domaine rétrogradé restent en place.

Le journal des événements système identifie les contrôleurs de domaine Windows 2000 rétrogradés et instances de l'opération dcpromo /forceremoval par ID d'événement 29234. Par exemple :

Type d'événement : avertissement
Source d'événement : lsasrv
Catégorie d'événement : aucun
ID d'événement : 29234
Date : JJ/MM/AAAA
Heure : Hh : mm : ssPM
Utilisateur : n/A
Ordinateur : Nom_Ordinateur Description : Le serveur a été rétrogradé de force. Il n'est plus un contrôleur de domaine.

Le journal des événements système identifie les contrôleurs de domaine Windows Server 2003 rétrogradés par ID d'événement 29239. Par exemple :

Type d'événement : avertissement
Source d'événement : lsasrv
Catégorie d'événement : aucun
ID d'événement : 29239
Date : JJ/MM/AAAA
Heure : Hh : mm : ssPM
Utilisateur : n/A
Ordinateur : Nom_Ordinateur Description : Le serveur a été rétrogradé de force. Il n'est plus un contrôleur de domaine.

Après avoir utilisé la commande dcpromo /forceremoval , les métadonnées de l'ordinateur rétrogradé sont pas supprimés sur les contrôleurs de domaine survivants. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
216498Comment faire pour supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine a échoué
Les éléments suivants sont à prendre, le cas échéant, après la rétrogradation forcée d'un contrôleur de domaine :
  1. Supprimer le compte d'ordinateur du domaine.
  2. Vérifiez que les enregistrements DNS, tels que A, CNAME et les enregistrements SRV, sont supprimés et les supprimer si elles sont présentes.
  3. Vérifiez que les objets membres FRS (FRS et DFS) sont supprimés et les supprimer si elles sont présentes.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    296183Vue d'ensemble des objets Active Directory qui sont utilisés par FRS
  4. Si l'ordinateur rétrogradé est membre de groupes de sécurité, le supprimer de ces groupes.
  5. Supprimez toutes les références au serveur rétrogradé, tels que des liens ou réplicas de racine DFS.
  6. Un contrôleur de domaine survivant doit saisir tout rôle de maître, également appelées opérations à maître unique flottant ou FSMO, précédemment détenu par le contrôleur de domaine rétrogradé de force.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    255504Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine
  7. Si le contrôleur de domaine que vous rétrogradez est un serveur DNS ou un serveur de catalogue global, vous devez créer un nouveau serveur GC ou DNS pour satisfaire à l'équilibrage de charge, la tolérance de pannes et les paramètres de configuration de la forêt.
  8. Lorsque vous utilisez la commande remove selected server dans NTDSUTIL, l'objet NTDSDSA, l'objet parent pour les connexions entrantes au contrôleur de domaine rétrogradé de force est supprimé. La commande ne supprime pas les objets du serveur parent qui apparaissent dans les Sites et Services utilisation enfichable Active Directory Sites et Services MMC snap-in pour supprimer l'objet serveur si le contrôleur de domaine ne sera pas promu dans la forêt avec le même nom d'ordinateur.

Propriétés

Numéro d'article: 332199 - Dernière mise à jour: mercredi 11 juillet 2012 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhotfixserver kbqfe kbbug kbmt KB332199 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 332199
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com