Rétrogradation de contrôleurs de domaine et de domainesDemoting Domain Controllers and Domains

S’applique à : Windows ServerApplies To: Windows Server

Cette rubrique explique comment supprimer les services AD DS à l'aide du Gestionnaire de serveur ou de Windows PowerShell.This topic explains how to remove AD DS, using Server Manager or Windows PowerShell.

Flux de travail de suppression de AD DSAD DS removal workflow

Graphique de flux de travail de suppression de AD DS

Attention

La suppression des rôles AD DS avec Dism.exe ou le module DISM Windows PowerShell après la promotion vers un contrôleur de domaine n'est pas prise en charge et empêche le démarrage normal du serveur.Removing the AD DS roles with Dism.exe or the Windows PowerShell DISM module after promotion to a Domain Controller is not supported and will prevent the server from booting normally.

À la différence du Gestionnaire de serveur ou du module ADDSDeployment pour Windows PowerShell, DISM est un système de maintenance natif sans connaissance inhérente des services AD DS ni de leur configuration.Unlike Server Manager or the ADDSDeployment module for Windows PowerShell, DISM is a native servicing system that has no inherent knowledge of AD DS or its configuration. N'utilisez pas Dism.exe ni le module DISM Windows PowerShell pour désinstaller le rôle AD DS sauf si le serveur n'est plus un contrôleur de domaine.Do not use Dism.exe or the Windows PowerShell DISM module to uninstall the AD DS role unless the server is no longer a domain controller.

Rétrogradation et suppression des rôles avec PowerShellDemotion and role removal with PowerShell

Applets de commande ADDSDeployment et ServerManagerADDSDeployment and ServerManager Cmdlets Arguments (les arguments en gras sont obligatoires.Arguments (Bold arguments are required. Les arguments en italique peuvent être spécifiés à l'aide de Windows PowerShell ou de l'Assistant Configuration des services de domaine Active Directory.)Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Uninstall-ADDSDomainControllerUninstall-ADDSDomainController -SkipPreChecks-SkipPreChecks

-LocalAdministratorPassword-LocalAdministratorPassword

-Confirm-Confirm

-Credential-Credential

-DemoteOperationMasterRole-DemoteOperationMasterRole

-DNSDelegationRemovalCredential-DNSDelegationRemovalCredential

-Force-Force

-ForceRemoval-ForceRemoval

-IgnoreLastDCInDomainMismatch-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain-LastDomainControllerInDomain

-Norebootoncompletion-Norebootoncompletion

-RemoveApplicationPartitions-RemoveApplicationPartitions

-RemoveDNSDelegation-RemoveDNSDelegation

-RetainDCMetadata-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeatureUninstall-WindowsFeature/Remove-WindowsFeature -Name-Name

-IncludeManagementTools-IncludeManagementTools

-Redémarrer-Restart

-Remove-Remove

-Force-Force

-ComputerName-ComputerName

-Credential-Credential

-LogPath-LogPath

-Vhd-Vhd

Notes

L'argument -credential n'est requis que si vous n'êtes pas déjà connecté en tant que membre du groupe Administrateurs de l'entreprise (rétrogradation du dernier contrôleur de domaine dans un domaine) ou du groupe Admins du domaine (rétrogradation d'un contrôleur de domaine répliqué). L'argument -includemanagementtools n'est requis que si vous voulez supprimer tous les utilitaires de gestion des services AD DS.The -credential argument is only required if you are not already logged on as a member of the Enterprise Admins group (demoting last DC in a domain) or the Domain Admins group (demoting a replica DC).The -includemanagementtools argument is only required if you want to remove all of the AD DS management utilities.

RétrograderDemote

Supprimer des rôles et des fonctionnalitésRemove Roles and Features

Le Gestionnaire de serveur offre deux interfaces permettant de supprimer le rôle Services de domaine Active Directory :Server Manager offers two interfaces to removing the Active Directory Domain Services role:

  • Menu Gérer du tableau de bord principal, avec Supprimer des rôles et fonctionnalitésThe Manage menu on the main dashboard, using Remove Roles and Features

    Gestionnaire de serveur-supprimer des rôles et des fonctionnalités

  • Cliquez sur AD DS ou Tous les serveurs dans le volet de navigation.Click AD DS or All Servers on the navigation pane. Faites défiler les options jusqu'à la section Rôles et fonctionnalités .Scroll down to the Roles and Features section. Cliquez avec le bouton droit sur Services de domaine Active Directory dans la liste Rôles et fonctionnalités et cliquez sur Supprimer un rôle ou une fonctionnalité.Right-click Active Directory Domain Services in the Roles and Features list and click Remove Role or Feature. Cette interface ignore la page Sélection du serveur .This interface skips the Server Selection page.

    Gestionnaire de serveur-tous les serveurs-supprimer des rôles et des fonctionnalités

Les applets de commande ServerManager Uninstall-WindowsFeature et Remove-WindowsFeature vous empêchent de supprimer le rôle de AD DS tant que vous n’avez pas rétrogradé le contrôleur de domaine.The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature will prevent you from removing the AD DS role until you demote the domain controller.

Sélection du serveurServer Selection

Assistant Suppression de rôles et de fonctionnalités sélectionner le serveur de destination

La boîte de dialogue Sélection du serveur vous permet de choisir l'un des serveurs précédemment ajoutés au pool, tant qu'il est accessible.The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Le serveur local exécutant le Gestionnaire de serveur est toujours automatiquement accessible.The local server running Server Manager is always automatically available.

Rôles et fonctionnalités de serveurServer Roles and Features

Assistant Suppression de rôles et de fonctionnalités-sélectionner les rôles à supprimer

Décochez la case Services de domaine Active Directory pour rétrograder un contrôleur de domaine ; si le serveur est actuellement un contrôleur de domaine, le rôle AD DS n'est pas supprimé, mais une boîte de dialogue Résultats de la validation s'affiche avec la proposition de rétrogradation.Clear the Active Directory Domain Services check box to demote a domain controller; if the server is currently a domain controller, this does not remove the AD DS role and instead switches to a Validation Results dialog with the offer to demote. Dans le cas contraire, elle supprime les fichiers binaires comme toute autre fonctionnalité de rôle.Otherwise, it removes the binaries like any other role feature.

  • Ne supprimez aucun autre rôle ni fonctionnalité associés aux services de domaine Active Directory (par exemple, DNS, GPMC ou les outils RSAT) si vous envisagez de promouvoir à nouveau le contrôleur de domaine dans l'immédiat.Do not remove any other AD DS-related roles or features - such as DNS, GPMC, or the RSAT tools - if you intend to promote the domain controller again immediately. La suppression d'autres rôles et fonctionnalités augmente le temps nécessaire à une nouvelle promotion, car le Gestionnaire de serveur réinstalle ces fonctionnalités quand vous réinstallez le rôle.Removing additional roles and feature increases the time to re-promote, as Server Manager reinstalls these features when you reinstall the role.

  • Supprimez les rôles et fonctionnalités des services de domaine Active Directory inutiles selon vos souhaits si vous envisagez de rétrograder le contrôleur de domaine de façon définitive.Remove unneeded AD DS roles and features at your own discretion if you intend to demote the domain controller permanently. Vous devez pour cela décocher les cases associées à ces rôles et fonctionnalités.This requires clearing the check boxes for those roles and features.

    La liste complète des rôles et fonctionnalités associés aux services de domaine Active Directory contient notamment :The full list of AD DS-related roles and features include:

    • Module Active Directory pour la fonctionnalité Windows PowerShellActive Directory Module for Windows PowerShell feature
    • Fonctionnalité des outils AD DS et AD LDSAD DS and AD LDS Tools feature
    • Fonctionnalité du Centre d'administration Active DirectoryActive Directory Administrative Center feature
    • Fonctionnalité des composants logiciels enfichables et outils en ligne de commande AD DSAD DS Snap-ins and Command-line Tools feature
    • Serveur DNSDNS Server
    • Console de gestion des stratégies de groupeGroup Policy Management Console

Les applets de commande Windows PowerShell ADDSDeployment et ServerManager équivalentes sont les suivantes :The equivalent ADDSDeployment and ServerManager Windows PowerShell cmdlets are:

Uninstall-addsdomaincontroller  
Uninstall-windowsfeature  

Assistant Suppression de rôles et de fonctionnalités-boîte de dialogue de confirmation

Assistant Suppression de rôles et de fonctionnalités-validation

Informations d’identificationCredentials

Assistant Configuration de Active Directory Domain Services-sélection des informations d’identification

La page Informations d’identification vous permet de configurer des options de rétrogradation.You configure demotion options on the Credentials page. Entrez les informations d’identification nécessaires pour effectuer la rétrogradation à partir de la liste suivante :Provide the credentials necessary to perform the demotion from the following list:

  • La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des informations d’identification d’administrateur de domaine.Demoting an additional domain controller requires Domain Admin credentials. La sélection de forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de domaine sans supprimer les métadonnées de l’objet contrôleur de domaine de Active Directory.Selecting Force the removal of this domain controller demotes the domain controller without removing the domain controller object's metadata from Active Directory.

    Avertissement

    Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen raisonnable ne permet de résoudre ce problème réseau.Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. La rétrogradation forcée laisse des métadonnées orphelines dans Active Directory sur les contrôleurs de domaine restants dans la forêt.Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. Par ailleurs, toutes les modifications non répliquées sur ce contrôleur de domaine, notamment les mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement perdues.In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. Les métadonnées orphelines sont la cause première d’un grand nombre de problèmes soumis au support technique Microsoft pour AD DS, Exchange, SQL et d’autres logiciels.Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software.

    Si vous rétrogradez de force un contrôleur de domaine, vous devez immédiatement effectuer un nettoyage manuel des métadonnées.If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Pour la procédure à suivre, voir Nettoyage des métadonnées du serveur.For steps, review Clean Up Server Metadata.

    Assistant Configuration de Active Directory Domain Services-suppression forcée des informations d’identification

  • La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite l'appartenance au groupe Administrateurs de l'entreprise, cette opération entraînant la suppression du domaine à proprement parler (s'il s'agit du dernier domaine dans la forêt, la forêt est supprimée).Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if the last domain in the forest, this removes the forest). Le Gestionnaire de serveur vous informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine dans le domaine.Server Manager informs you if the current domain controller is the last domain controller in the domain. Cochez la case Dernier contrôleur de domaine du domaine pour confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine dans le domaine.Select the Last domain controller in the domain check box to confirm the domain controller is the last domain controller in the domain.

Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :The equivalent ADDSDeployment Windows PowerShell arguments are:

-credential <pscredential>  
-forceremoval <{ $true | false }>  
-lastdomaincontrollerindomain <{ $true | false }>  

AvertissementsWarnings

Assistant Configuration de Active Directory Domain Services : impact des rôles FSMO des informations d’identification

La page Avertissements vous informe des conséquences possibles de la suppression de ce contrôleur de domaine.The Warnings page alerts you to the possible consequences of removing this domain controller. Pour continuer, vous devez sélectionner Procéder à la suppression.To continue, you must select Proceed with removal.

Avertissement

Si vous avez auparavant sélectionné Forcer la suppression de ce contrôleur de domaine dans la page Informations d'identification, la page Avertissements affiche tous les rôles FSMO (Flexible Single Master Operations) hébergés par ce contrôleur de domaine.If you previously selected Force the removal of this domain controller on the Credentials page, then the Warnings page shows all Flexible Single Master Operations roles hosted by this domain controller. Vous devez prendre les rôles d'un autre contrôleur de domaine immédiatement après la rétrogradation de ce serveur.You must seize the roles from another domain controller immediately after demoting this server. Pour plus d’informations sur la prise des rôles FSMO, voir Prendre le rôle de maître d’opérations.For more information on seizing FSMO roles, see Seize the Operations Master Role.

Cette page n'a pas d'argument Windows PowerShell ADDSDeployment équivalent.This page does not have an equivalent ADDSDeployment Windows PowerShell argument.

Options de suppressionRemoval Options

Assistant configuration Active Directory Domain Services-les informations d’identification suppriment les partitions DNS et d’application

La page Options de suppression s'affiche en fonction de la sélection précédente du Dernier contrôleur de domaine du domaine dans la page Informations d'identification .The Removal Options page appears depending on previously selecting Last domain controller in the domain on the Credentials page. Cette page vous permet de configurer d'autres options de suppression.This page enables you to configure additional removal options. Sélectionnez ignorer le dernier serveur DNS pour la zone, Supprimer les partitions d’applicationet supprimer la délégation DNS pour activer le bouton suivant .Select Ignore last DNS server for zone, Remove application partitions, and Remove DNS Delegation to enable the Next button.

Les options ne s'affichent que si elles sont applicables à ce contrôleur de domaine.The options only appear if applicable to this domain controller. Par exemple, s'il n'existe aucune délégation DNS pour ce serveur, cette case ne s'affiche pas.For instance, if there is no DNS delegation for this server then that checkbox will not display.

Cliquez sur Modifier pour spécifier d'autres informations d'identification d'administration DNS.Click Change to specify alternate DNS administrative credentials. Cliquez sur Afficher les partitions pour afficher d'autres partitions que l'Assistant supprime pendant la rétrogradation.Click View Partitions to view additional partitions the wizard removes during the demotion. Par défaut, les seules autres partitions sont les zones DNS du domaine et DNS de la forêt.By default, the only additional partitions are Domain DNS and Forest DNS Zones. Toutes les autres partitions sont des partitions non-Windows.All other partitions are non-Windows partitions.

Les arguments de l'applet de commande ADDSDeployment équivalents sont les suivants :The equivalent ADDSDeployment cmdlet arguments are:

-ignorelastdnsserverforzone <{ $true | false }>  
-removeapplicationpartitions <{ $true | false }>  
-removednsdelegation <{ $true | false }>  
-dnsdelegationremovalcredential <pscredential>  

Nouveau mot de passe d’administrateurNew Administrator Password

Assistant configuration Active Directory Domain Services-informations d’identification nouveau mot de passe administrateur

La page nouveau mot de passe d’administrateur vous oblige à fournir un mot de passe pour le compte administrateur de l’ordinateur local intégré, une fois que la rétrogradation est terminée et que l’ordinateur devient un serveur membre de domaine ou un ordinateur de groupe de travail.The New Administrator Password page requires you to provide a password for the built-in local computer's Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.

L'applet de commande Uninstall-ADDSDomainController et les arguments suivent les mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.

L'argument LocalAdministratorPassword est spécial :The LocalAdministratorPassword argument is special:

  • S'il n'est pas spécifié en tant qu'argument, l'applet de commande vous invite à entrer et à confirmer un mot de passe masqué.If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.This is the preferred usage when running the cmdlet interactively.
  • S'il est spécifié avec une valeur, la valeur doit être une chaîne sécurisée.If specified with a value, then the value must be a secure string. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.This is not the preferred usage when running the cmdlet interactively.

Par exemple, vous pouvez demander manuellement un mot de passe à l’aide de l’applet de commande Read-Host pour inviter l’utilisateur à entrer une chaîne sécurisée.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Avertissement

Comme les deux options précédentes ne confirment pas le mot de passe, utilisez une extrême prudence : le mot de passe n’est pas visible.As the previous two options do not confirm the password, use extreme caution: the password is not visible.

Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged. Exemple :For example:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Avertissement

Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair.Providing or storing a clear text password is not recommended. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe d'administrateur local de cet ordinateur.Anyone running this command in a script or looking over your shoulder knows the local administrator password of that computer. Elle peut ensuite accéder à l'ensemble des données qu'il contient et emprunter l'identité du serveur lui-même.With that knowledge, they have access to all of its data and can impersonate the server itself.

ConfirmationConfirmation

Assistant configuration Active Directory Domain Services-options de révision

La page Confirmation indique la rétrogradation planifiée ; elle ne répertorie pas les options de configuration de la rétrogradation.The Confirmation page shows the planned demotion; the page does not list demotion configuration options. Il s'agit de la dernière page affichée par l'Assistant avant le début de la rétrogradation.This is the last page the wizard shows before the demotion begins. Le bouton Afficher le script crée un script de rétrogradation Windows PowerShell.The View Script button creates a Windows PowerShell demotion script.

Cliquez sur Rétrograder pour exécuter l'applet de commande de déploiement des services AD DS suivante :Click Demote to run the following AD DS Deployment cmdlet:

Uninstall-ADDSDomainController

Utilisez l'argument Whatif facultatif avec Uninstall-ADDSDomainController et l'applet de commande pour passer en revue les informations de configuration.Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. Cela vous permet de voir les valeurs explicites et implicites des arguments d'une applet de commande.This enables you to see the explicit and implicit values of a cmdlet's arguments.

Exemple :For example:

Exemple de désinstallation de PowerShell-ADDSDomainController

L'invite de redémarrage représente votre dernière possibilité d'annuler cette opération quand vous utilisez Windows PowerShell ADDSDeployment.The prompt to restart is your last opportunity to cancel this operation when using ADDSDeployment Windows PowerShell. Pour remplacer cette invite, utilisez les arguments -force ou confirm:$false.To override that prompt, use the -force or confirm:$false arguments.

RétrogradationDemotion

Assistant Configuration de Active Directory Domain Services-rétrogradation en cours

Quand la page Rétrogradation s'affiche, la configuration du contrôleur de domaine commence et ne peut pas être arrêtée ni annulée.When the Demotion page displays, the domain controller configuration begins and cannot be halted or canceled. Les opérations détaillées s'affichent dans cette page et sont écrites dans les journaux :Detailed operations display on this page and write to logs:

  • %systemroot%\debug\dcpromo.log%systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log%systemroot%\debug\dcpromoui.log

Étant donné que Uninstall-ADDSDomainController et Uninstall-WindowsFeature n’ont qu’une seule action, elles sont indiquées ici dans la phase de confirmation avec les arguments requis minimaux.Since Uninstall-ADDSDomainController and Uninstall-WindowsFeature only have one action apiece, they are shown here in the Confirmation phase with the minimum required arguments. En appuyant sur Entrée, vous démarrez le processus de rétrogradation irrévocable et redémarrez l'ordinateur.Pressing ENTER starts the irrevocable demotion process and restarts the computer.

Exemple de désinstallation de PowerShell-ADDSDomainController

Exemple de désinstallation de PowerShell-WindowsFeature

Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell ADDSDeployment.To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Pour empêcher le serveur de redémarrer automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion:$false.To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.

Avertissement

Il n'est pas conseillé de remplacer le redémarrage.Overriding the reboot is discouraged. Le serveur membre doit redémarrer pour fonctionner correctement.The member server must reboot to function correctly.

Exemple de force de désinstallation de PowerShell-ADDSDomainController

Voici un exemple de rétrogradation forcée avec ses arguments requis minimaux pour -forceremoval et -demoteoperationmasterrole.Here is an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. L’argument -credential n’est pas requis, car l’utilisateur a ouvert une session en tant que membre du groupe Administrateurs de l’entreprise :The -credential argument is not required because the user logged on as a member of the Enterprise Admins group:

Exemple de désinstallation de PowerShell-ADDSDomainController

Voici un exemple illustrant la suppression du dernier contrôleur de domaine dans le domaine avec ses arguments requis minimaux -lastdomaincontrollerindomain et -removeapplicationpartitions:Here is an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController-LastDomainControllerInDomain exemple

Si vous tentez de supprimer le rôle de AD DS avant de rétrograder le serveur, Windows PowerShell vous bloque avec une erreur :If you attempt to remove the AD DS role before demoting the server, Windows PowerShell blocks you with an error:

Une étape de désinstallation requise a échoué lors de la suppression des services de domaine Active Directory, et la désinstallation ne peut pas continuer.

Important

Vous devez redémarrer l'ordinateur après la rétrogradation du serveur avant de pouvoir supprimer les fichiers binaires du rôle AD-Domain-Services.You must restart the computer after demoting the server before you can remove the AD-Domain-Services role binaries.

RésultatsResults

Vous êtes sur le ou l’avertissement à l’issue de la suppression de AD DS

La page Résultats indique la réussite ou l'échec de la promotion et toute information d'administration importante.The Results page shows the success or failure of the promotion and any important administrative information. Le contrôleur de domaine redémarre automatiquement après 10 secondes.The domain controller will automatically reboot after 10 seconds.