Retirer un ancien AD injoignable et augmenter le niveau de forêt

Les contrôleurs de domaine sous Windows Server peuvent être puissants mais tout aussi très, très pénibles ; surtout lorsqu’un AD est défaillant, inutilisable et qu’il s’agit du dernier AD à être le maître du domaine… explications.

Contexte

Un serveur Windows Server 2008 R2 est un contrôleur de domaine sur le réseau. Cet AD était à l’origine sous Windows Server 2003, avec un niveau fonctionnel « Windows Server 2000 ». L’objectif, c’est de pouvoir migrer cet AD vers un nouveau contrôleur de domaine sous Windows Server 2012 R2.

Problèmes

  • L’AD n’a pas été migré de Windows Server 2003 vers Windows Server 2008 – Le Windows Server 2008 est juste un contrôleur de domaine supplémentaire dans une forêt déjà existente
  • Le Windows Server 2003 n’existe plus du tout, serveur HS
  • La migration a été faite en partie : pas eu de transfert de rôles, juste une synchronisation d’AD et rien de plus

Autre problème, le Windows Server 2008 R2 n’est plus tout jeune et donc, n’est plus en grande forme (corruptions du système de fichiers, nombreux chkdsk au démarrage). Bien que le système soit encore utilisable, l’AD n’est pas dans un très bel état intègre.


Comprendre où en est l’AD

Lorsque vous êtes au niveau de votre contrôleur de domaine et notamment dans la partie gestion des forêts, si vous tentez le clic droit sur le nom de votre forêt puis sur « Augmenter le niveau fonctionnel de la forêt », vous pouvez avoir ce genre d’erreur :

En définitive, il s’agit là d’un problème assez dramatique : le serveur AD sur lequel vous êtes actuellement n’arrive pas à être le maître de la forêt / du domaine. Plutôt contraignant puisque cela veut dire que le serveur AD qui a cette erreur n’a donc pas les droits pour effectuer quelconque manipulation sur le domaine…

En allant dans l’UO « Domain Controllers« , je me suis aperçu qu’il y avait encore des traces / restes de l’ancien serveur AD, ici intitulé « SERVEUR ». Je ne l’ai pas (encore) supprimé ici, tant qu’il est présent ne serait-ce que de nom, c’est toujours utile.

Attaquons les choses sérieuses, la commandes repadmin.
Avec cette commande DOS, vous pouvez contrôler l’état de la réplication de votre contrôleur de domaine, c’est-à-dire si votre second serveur AD est bien la « copie » de votre premier serveur AD. Il y a un système de master/client lorsque deux serveurs AD s’occupent de la même forêt – le premier serveur AD étant le serveur à l’origine du domaine, lors de sa création.

Ouvrez une fenêtre DOS et saisissez cette première commande :

N’oubliez pas de changer « DOMAIN » par votre nom de domaine complet et le mot de passe juste après « pw: ».

Cette première commande permet de contrôler si aucune demande de migration (ou autre demande vis-à-vis de l’AD comme la réplication) est en cours. Il est primordial de s’assurer qu’aucune demande soit en cours. Une seconde commande est à passer pour avoir un récapitulatif sur la réplication :

Dans l’image ci-dessus, il est possible de voir que la dernière (tentative) de réplication a voulu se faire le 23/03/2017 mais est en erreur : le serveur au nom de « serveur.etude.local » est introuvable – ce dernier est le serveur « maître ».


Reprendre le contrôle sur le domaine

Maintenant, l’objectif, c’est de récupérer les droits complets sur ce domaine. Nous allons pour cela utiliser de nombreuses commandes DOS via l’utilitaire « ntdsutil« . Attention, les commandes sont assez lourdes de même que la procédure. Soyez toutefois informé que le domaine peut être corrompu suite à ces manipulations. Pensez donc bien à effectuer une sauvegarde de votre AD.

Ouvrez un invite de commande MS-DOS puis saisissez les commandes suivantes à la suite, une par une (une ligne à la fois) — Ne prenez pas en compte dans les lignes de commande tout ce qui est après le hashtag !

Explications

  1. Un chiffre apparaîtra à côté des serveurs – il faut sélectionner le serveur que vous souhaitez supprimer.
  2. Mettez ici le numéro du serveur que vous souhaitez supprimer (ici, « serveur.etude.local »)
  3. Une nouvelle fois, mettez le numéro du serveur que vous souhaitez supprimer

 

Après toute ces commandes, vous devez avoir une fenêtre de confirmation, pour vous certifier que le serveur que vous avez choisi va être définitivement supprimé du domaine.

Par la suite, n’oubliez pas de supprimer de votre serveur DNS toutes les lignes correspondant à l’ancien serveur (vu précédemment).

Enfin, attendez au moins 10 minutes le temps que votre DC actuel face le test de réplication – cette réplication va alors échouer et ne plus s’effectuer, puisqu’aucun serveur n’est maintenant accessible.

Source

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.

Close
Close