Rétrogradation d un contrôleur de domaine Windows 2000 Rédacteur : Eric Drezet Administrateur réseau CNRS-CRHEA 07/2004 Groupe Admin06 But du papier : montrer comment rétrograder un contrôleur de domaine Windows 2000 en serveur membre Préalable : Disposer d autres contrôleurs dans le domaine Liens : COMMENT FAIRE : Utiliser l'outil Dcpromo.exe pour supprimer Active Directory dans Windows Server 2003 http://support.microsoft.com/default.aspx?scid=kb;fr;816108&product=winsvr2003 (article 816108 de la base de connaissance française) Procédure : Ouvrez une session avec les droits d administration du domaine sur le contrôleur à rétrograder. Ouvrez ensuite une fenêtre de commande (exécutez cmd.exe) et tapez : Dcpromo.exe L assistant d installation d Active Directory s affiche alors (cf. figure 1). Cliquez sur le bouton «Suivant >» pour continuer. Eric Drezet Administrateur réseau CNRS-CRHEA 1
Figure 1 : lancement de la procédure de rétrogradation d un DC Si ce contrôleur de domaine est également «Catalogue global», le panneau suivant s affiche (cf. figure 2). Cliquez sur le bouton «OK» si vous disposez d au moins un autre contrôleur de domaine assumant ce rôle. Note : pour voir comment donner le rôle de «Catalogue global» à un contrôleur de domaine, consultez le papier «Catalogue global.pdf». Figure 2 : Avertissement dans le cas d un catalogue global Si le contrôleur de domaine actuel est le seul, le supprimer revient à la destruction du domaine (perte des comptes de machines, d utilisateurs, des stratégies de groupes, ). Cochez la case à cocher pour indiquer que ce serveur est le dernier DC si c est le cas. Dans notre exemple, d autres DC existent dans le domaine, donc on laisse la case à cocher vide (cf. figure 3). Cliquez sur le bouton «Suivant >» pour continuer. Eric Drezet Administrateur réseau CNRS-CRHEA 2
Figure 3 : Précisions relatives à la topologie du domaine L assistant d installation d Active Directory nous invite maintenant à entrer un mot de passe pour le compte Administrateur du serveur (cf. figure 4). Cliquez sur le bouton «Suivant >» pour continuer. Rappel : Sur un serveur membre, les comptes locaux sont stockés dans la SAM (base des comptes locaux) du serveur. Si ce serveur devient un contrôleur de domaine, les comptes de la SAM ne sont plus accessibles mais sont remplacés par les comptes de domaine stockés dans l annuaire LDAP Active Directory. Donc, quand on rétrograde un contrôleur de domaine, on supprime sur ce serveur la copie de l annuaire Active Directory et on recréée la base des comptes SAM locale au serveur. Ce serveur doit avoir au moins un compte administrateur pour être géré et c est son mot de passe qui est demandé à ce stade. Eric Drezet Administrateur réseau CNRS-CRHEA 3
Figure 4 : Saisie du mot de passe administrateur L assistant d installation d Active Directory affiche un résumé de la procédure de rétrogradation nous avertissant une dernière fois qu une fois le processus achevé, le serveur (et nom pas le domaine comme indiqué dans la fenêtre ci-dessous) sera serveur membre du domaine (cf. figure 5). Cliquez sur le bouton «Suivant >» pour continuer. Eric Drezet Administrateur réseau CNRS-CRHEA 4
Figure 5 : Résumé de la procédure de rétrogradation d un DC La rétrogradation d un contrôleur de domaine entraîne une série de modifications de l annuaire LDAP Active Directory. Plusieurs minutes seront nécessaires suivant la rapidité du système, la taille du domaine, pour mener à bien cette opération (cf. figure 6). Figure 6 : Modification d Active Directory Quand la procédure de rétrogradation est terminée, l assistant d installation d Active Directory vous invite à terminer le processus. Cliquez sur le bouton «Terminer». Eric Drezet Administrateur réseau CNRS-CRHEA 5
Figure 7 : Fin de la rétrogradation Afin de terminer complètement la rétrogradation du DC en serveur membre, il est nécessaire de redémarrer la machine (cf. figure 8). Cliquez sur le bouton «Redémarrer maintenant». Note : Après le redémarrage, le serveur est devenu serveur membre. Il peut être utilisé en tant que tel. Toutefois, son ancien rôle peut avoir laissé des traces (répertoires, fichiers, clés orphelines dans la base de registre, ), c est pourquoi nous préconisons, après ce redémarrage nécessaire, de formater la partition système puis réinstaller le système d exploitation. Figure 8 : Redémarrer l ordinateur Eric Drezet Administrateur réseau CNRS-CRHEA 6