Supprimer (rétrograder) un contrôleur de domaine de l’Active Directory (Guide)

Tutoriels
PowerShell

Supprimer (Déclasser) le contrôleur de domaine de l’Active Directory (Guide). Une fois que nous avons installé de nouveaux contrôleurs de domaine (DC), un moment se présente où il devient nécessaire d’éliminer ou, plus précisément, de déclasser le contrôleur de domaine existant. Nous devons faire plus que simplement éteindre les anciens DC inutilisés; nous devons les décommissionner et les déconnecter correctement du domaine. Nous expliquons les deux méthodes pour déclasser un contrôleur de domaine dans cet article.

Lire aussi Comment configurer Active Directory sur Windows Server 2022

Supprimer (Déclasser) le contrôleur de domaine de l’Active Directory (Guide)

Parfois, l’accès à l’ancien contrôleur de domaine n’est peut-être plus disponible. La portée des étapes de cet article couvre toutes les versions de Windows Server, de Windows Server 2008R2 à la plus récente. Cet article est utile, surtout si nous avons encore des DC avec des systèmes d’exploitation en fin de vie.

Préparation du domaine

Avant d’initier le processus de déclassement du contrôleur de domaine, examinez les aspects suivants pour garantir une transition fluide et éviter les complications potentielles. Assurez-vous de créer une liste de contrôle préliminaire qui contient les éléments suivants :

  • Vérifier la réplication – Assurez-vous que la réplication entre l’ancien et le nouveau contrôleur de domaine s’effectue sans erreur. Utilisez la commande ci-dessous pour vérifier s’il y a des erreurs de réplication.
repadmin /replsummary
  • DHCP et DNS – Confirmez que si l’ancien contrôleur de domaine gère le DHCP et le DNS, nous transférons ces services de manière transparente vers le nouveau contrôleur de domaine.
  • DNS sur les clients – Vérifiez que les enregistrements DNS sur les clients (ainsi que sur d’autres serveurs) dirigent vers le nouveau contrôleur de domaine pour assurer des connexions réussies; sinon, de mauvais acteurs pourraient compromettre votre réseau.
  • Créer une sauvegarde – Générer une sauvegarde complète de l’ancien contrôleur de domaine et valider son intégrité. Cela permet la restauration du serveur en cas de problèmes imprévus.

Nous pouvons transférer les Rôles de maître unique flexible (FSMO) automatiquement lorsque nous rétrogradons le contrôleur de domaine. Vérifiez où les rôles FSMO s’exécutent avec la commande ci-dessous.

netdom query FSMO

Lire aussi Meilleures pratiques de sécurité du contrôleur de domaine – Renforcement (Liste de contrôle)

Rétrograder un contrôleur de domaine actif

Si nous avons toujours accès au contrôleur de domaine, nous pouvons facilement le supprimer en utilisant le Gestionnaire de serveur. Assurez-vous d’avoir vérifié les points ci-dessus avant de continuer.

  1. Lancez le Gestionnaire de serveur en y accédant via le menu Démarrer et en naviguant vers Gérer > Supprimer les rôles et fonctionnalités.
    • a. Open the Server Manager from the Start Menu.
    • b. Click on Manage > Remove Roles and Features.

2. Sélectionnez l’ancien contrôleur de domaine dans la Sélection du serveur.

3. Désactivez le rôle des Services de domaine Active Directory en le désélectionnant. Dans la fenêtre contextuelle suivante, cliquez sur Supprimer les fonctionnalités.

4. Lancez le processus de rétrogradation du Contrôleur de domaine, en reconnaissant l’erreur anticipée dans l’échec de validation de l’assistant d’installation. Cliquez sur Rétrograder ce contrôleur de domaine.

5. Vérifiez et, si nécessaire, modifiez les informations d’identification dans l’écran suivant. Il est habituel d’exécuter ces étapes avec les privilèges d’administrateur de domaine. Laissez l’option Forcer la suppression de ce contrôleur de domaine décochée à moins que ce ne soit le dernier contrôleur de domaine dans le réseau.

6. Poursuivez avec la suppression, en veillant à ce que les clients soient dirigés vers le nouveau serveur DNS, en particulier si les Services et sites Active Directory (ADDS) et les services DNS sont sur le serveur. Sélectionnez Poursuivre avec la suppression et cliquez sur Suivant.

7. Optez pour la suppression de DNS parmi les options de suppression fournies, en veillant à ce que Supprimer la délégation DNS soit sélectionné, et poursuivez en cliquant sur Suivant.

8. Définissez un nouveau mot de passe administrateur ; ceci est pour le compte administrateur local après la suppression du domaine.

9. Examinez les paramètres configurés et cliquez sur Déclasser pour lancer la suppression du DC. Le serveur redémarre pour finaliser le processus.

Remarque : Il y a un bouton voir le script qui génère un script PowerShell pour automatiser toutes les étapes que nous venons de parcourir. Si nous avons d’autres contrôleurs de domaine à supprimer, utilisez ce script.

10. Après le redémarrage du serveur, la dernière étape consiste à supprimer le serveur des Sites et Services Active Directory.

  • Ouvrez Active Directory Sites and Services (ADDS) depuis le menu Démarrer.
  • Développez Sites > Nom du premier site par défaut > Serveurs
  • Cliquez avec le bouton droit sur l’ancien DC et choisissez Supprimer.

Les captures d’écran ci-dessus sont des captures d’écran que nous voyons à partir des versions modernes de Windows Server (Build 9600 et supérieur). Cependant, cela suit toujours le même processus que Windows Server 2008. Donc, il n’y a pas de problème si nous utilisons encore des serveurs hérités.

Essayez nos outils de reporting et d’audit Active Directory & Office 365.

Essayez-nous gratuitement. Des centaines de modèles de rapports disponibles. Personnalisez facilement vos propres rapports sur AD, Azure AD & Office 365.




Lisez aussi Essayez InfraSOS Active Directory Reporting & Auditing Tool

Vérifiez la suppression du contrôleur de domaine

Assurer la vérification approfondie de la suppression d’un contrôleur de domaine est une étape critique du processus de déclassement, validant le succès de l’opération et maintenant l’intégrité de l’Active Directory. Suivez ces étapes pour vérifier la suppression efficacement :

  1. Utilisateurs et ordinateurs Active Directory :
    • Naviguez jusqu’à l’unité organisationnelle « Contrôleurs de domaine » et confirmez l’absence du contrôleur déclassé.
  2. Enregistrements DNS :
    • Vérifiez les enregistrements DNS pour vous assurer que nous avons supprimé toutes les références au contrôleur déclassé, évitant ainsi d’éventuels problèmes de connectivité.
  3. ADSIEdit.msc :
    • Utilisez ADSIEdit.msc pour inspecter la base de données Active Directory et vérifier que les entrées liées au contrôleur dégradé n’existent plus.
  4. Sites et services :
    • Consultez les sites et services Active Directory pour confirmer que notre domaine a supprimé le contrôleur rétrogradé du site correspondant.
  5. Surveillance de la réplication :
    • Surveillez l’état de la réplication pour vous assurer que le processus de rétrogradation s’est correctement propagé à tous les contrôleurs de domaine.

En suivant ces étapes de vérification, les administrateurs confirment avec confiance le retrait complet d’un contrôleur de domaine, maintenant un environnement Active Directory fonctionnel et sécurisé.

Rétrograder un contrôleur de domaine en utilisant PowerShell

PowerShell offre une alternative efficace pour rétrograder le contrôleur de domaine, en rationalisant le processus avec quelques commandes :

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Cette approche remplace la nécessité de naviguer à travers plusieurs écrans, permettant une rétrogradation de contrôleur de domaine plus concise et basée sur des scripts.

Lire aussi DCDiag : Comment vérifier la santé du contrôleur de domaine en utilisant Powershell

Supprimer manuellement un contrôleur de domaine injoignable

Nous pouvons également supprimer manuellement un contrôleur de domaine. Cette étape est recommandée uniquement lorsque nous n’avons plus accès au serveur.

  1. Ouvrez Active Directory et Services sur le contrôleur de domaine actif.
  2. Accédez à l’unité d’organisation Contrôleurs de domaine.
  3. Supprimez l’ancien contrôleur de domaine et confirmez en cliquant sur Oui.

4. Optez pour Supprimer ce contrôleur de domaine de toute façon.
5. Cliquez sur Supprimer et confirmez l’action en cliquant à nouveau sur Oui.

La dernière étape consiste à supprimer le serveur des Sites et Services Active Directory :

  1. Ouvrez Active Directory Sites and Services (ADDS) dans le menu Démarrer.
  2. Développez Sites > Nom du premier site par défaut > Serveurs.
  3. Faites un clic droit sur l’ancien contrôleur de domaine et sélectionnez Supprimer.

Contrôleur de domaine injoignable avec un rôle DNS

Si l’ancien contrôleur de domaine avait un rôle DNS, des étapes supplémentaires sont nécessaires :

  1. Ouvrez Gestionnaire DNS sur le contrôleur de domaine actif.
  2. Développez Zones de recherche directe.
  3. Faites un clic droit sur le domaine et choisissez Propriétés.
  4. Ouvrez l’onglet Serveurs de noms.
  5. Supprimez l’ancien serveur des serveurs de noms.

Supprimez également l’enregistrement de Serveur de noms (NS) de la zone DNS du domaine et de tout sous-dossier.

  1. Lancez le Gestionnaire DNS sur le contrôleur de domaine actif.
  2. Dans le Gestionnaire DNS, développez la section Zones de recherche directe.
  3. Identifiez et cliquez avec le bouton droit sur le domaine que vous souhaitez supprimer de l’enregistrement NS.
  4. Choisissez Propriétés dans le menu contextuel.
  5. Dans les propriétés de la zone, accédez à l’onglet Serveurs de noms.
  6. Sélectionnez l’enregistrement NS correspondant à l’ancien serveur.
  7. Cliquez sur Supprimer ou utilisez la touche Suppr de votre clavier.
  8. Confirmez la suppression de l’enregistrement NS lorsqu’on vous le demande.
  9. S’il y a des sous-dossiers ou des sous-zones dans le domaine, répétez les étapes 3 à 7 pour chaque sous-dossier pertinent.
  10. Revoyez vos modifications et enregistrez la configuration DNS mise à jour.

Retirer un contrôleur de domaine de notre environnement, même s’il est éteint, est considéré comme une meilleure pratique dans la gestion de l’infrastructure. Si le contrôleur de domaine n’est pas retiré, le domaine considère toujours le serveur comme faisant partie du réseau et cela peut entraîner des problèmes de domaine inattendus. En suivant les étapes ci-dessus, nous retirons efficacement le contrôleur de domaine même s’il est injoignable ou éteint.

Lire aussi Essayez l’outil InfraSOS Active Directory Replication Status

Raisons pour lesquelles nous devons mettre hors service un contrôleur de domaine

La mise hors service des contrôleurs de domaine est une manœuvre stratégique dans l’administration réseau, motivée par divers facteurs visant à optimiser et rationaliser l’environnement Active Directory. Voici les principales raisons pour la mise hors service :

  1. Améliorations/remplacements matériels :
    • Veillez à ce que le réseau reste robuste et à jour en retirant ou remplaçant le matériel vieillissant.
  2. Changements organisationnels :
    • S’adapter aux changements structurels tels que les fusions ou les réductions d’effectifs, nécessitant des ajustements dans les configurations des contrôleurs de domaine pour s’aligner sur le paysage professionnel en évolution.
  3. Optimisation des ressources :
    • Gérez efficacement la distribution des ressources à travers le réseau pour améliorer les performances.
  4. Posture de sécurité renforcée :
  5. Écosystème informatique dynamique :
    • Maintenez l’agilité dans l’infrastructure réseau pour accommoder les besoins évolutifs d’un environnement informatique dynamique.

Les administrateurs abordent de manière proactive ces considérations en rétrogradant les contrôleurs de domaine, favorisant ainsi un environnement Active Directory plus résilient, adaptatif et sécurisé.

C’est tout. Merci d’avoir lu Retirer (Rétrograder) le Contrôleur de Domaine de l’Active Directory (Guide).

Lire aussi Comment Protéger un Serveur Windows : Malwares, Rançongiciels, Attaques par Déni de Service (DDoS) & Autres Menaces

Conclusion du Guide Retirer (Rétrograder) le Contrôleur de Domaine de l’Active Directory

En concluant ce guide détaillé sur la suppression ou la rétrogradation d’un contrôleur de domaine de l’Active Directory, il est évident que la planification et l’exécution minutieuses sont cruciales pour maintenir une infrastructure réseau saine. En suivant les étapes décrites, les administrateurs naviguent sans heurts dans le processus de rétrogradation, garantissant une perturbation minimale de l’environnement Active Directory. Cet article permet en toute confiance aux professionnels de l’informatique de superviser la transformation de leur architecture réseau.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/