Suppression d'objets essentiels dans Active Directory sous Windows 2000

Numéro d'article: F298450


Cet article technique concerne le(s) produit(s) suivant(s) :


 

Résumé

Cet article décrit les problèmes qui peuvent se produire si vous supprimez des objets essentiels dans Active Directory, les conséquences de cette opération et les actions entreprises par Microsoft pour résoudre ces problèmes. Ce problème concerne tous les utilisateurs Windows 2000 et Active Directory. Les services de support technique de Microsoft ont reçu de nombreux appels de la part d'utilisateurs ayant supprimé, accidentellement ou intentionnellement, des objets essentiels dans Active Directory.

Plus d'informations

Dans Microsoft Windows NT 4.0, une procédure de dépannage couramment employée consiste à supprimer certains objets du Gestionnaire de serveur pour tenter de synchroniser un contrôleur secondaire de domaine (BDC, Backup Domain Controller) avec le contrôleur principal de domaine (PDC, Primary Domain Controller). Cette procédure peut toutefois créer de sérieux problèmes dans Windows 2000.

Cette description porte sur deux objets spécifiques : d'une part le compte d'ordinateur, principalement utilisé à des fins d'authentification entre les deux contrôleurs de domaine et, d'autre part, l'objet Paramètres NTDS, qui sert à localiser d'autres contrôleurs de domaine et à déterminer la topologie de réplication Active Directory de l'entreprise. Ces objets sont les principaux responsables des problèmes s'ils sont supprimés ; mais notez que la suppression d'autres objets essentiels peut aussi créer des problèmes. Parmi ceux-ci, on peut citer les objets d'autorisation DHCP (Dynamic Host Configuration Protocol), les objets d'abonnement au service de réplication de fichiers, les objets Domaine approuvé, tout élément dans l'unité d'organisation système, etc.

À moins que le contrôleur de domaine ne soit en permanence en mode hors connexion, ne supprimez pas manuellement le compte d'ordinateur du contrôleur de domaine (dans Utilisateurs et ordinateurs Active Directory) ni l'objet Paramètres NTDS (dans Sites et Services Active Directory) associé au contrôleur de domaine. Si l'ordinateur est en permanence en mode hors connexion, reportez-vous à l'article suivant de la Base de connaissances Microsoft qui décrit la procédure à suivre pour supprimer l'objet Paramètres NTDS à l'aide de l'utilitaire Ntdsutil :

F216498 Procédure de suppression des données de Active Directory après l'échec de la rétrogradation d'un contrôleur de domaine

Après avoir supprimé l'objet Paramètres NTDS, vous pouvez supprimer en toute sécurité le compte d'ordinateur.

Conséquences

Si vous supprimez des objets essentiels, certains contrôleurs de domaine peuvent être orphelins dans la topologie de réplication d'entreprise. Pour cette raison, les modifications apportées à Active Directory, tout comme le contrôleur de domaine, sont orphelins, ce qui entraîne des échecs au niveau de l'ouverture de session client.

Remarque technique : d'une manière générale, si un administrateur tente de supprimer l'objet Paramètres NTDS du contrôleur de domaine auquel l'objet s'applique, l'ordinateur local rejète la demande et l'administrateur reçoit un message. Toutefois, d'autres contrôleurs de domaine peuvent autoriser cette opération. Si le serveur auquel l'objet Paramètres NTDS s'applique est "actif" sur le réseau lorsque cette modification est répliquée sur le serveur, le serveur n'autorise pas la suppression de l'objet. En règle générale, le processus s'inverse automatiquement et l'objet est réanimé. Cependant, d'autres contrôleurs de domaine peuvent ne jamais détecter cette modification. Le vérificateur de la cohérence des données n'inclut donc pas l'ordinateur dans la topologie et l'ordinateur devient orphelin. Pour le compte d'ordinateur, les problèmes se traduisent généralement par des échecs d'authentification entre contrôleurs de domaine et entre contrôleurs de domaine et clients. L'authentification manuelle, le système DNS (Domain Name System) et les données propres au domaine sont conservés dans les comptes d'ordinateur du contrôleur de domaine. Ces données sont nécessaires à certaines opérations telles que la réplication Active Directory.

À court terme

Si vous supprimez l'objet Paramètres NTDS, reportez-vous à l'article suivant de la Base de connaissances Microsoft qui décrit la marche à suivre pour créer manuellement un lien de réplication entre deux contrôleurs de domaine afin de réintroduire un contrôleur de domaine dans la topologie :

Q232538 Échec de la réplication sans listage de partenaires

La procédure décrite dans l'article ci-dessus de la Base de connaissances Microsoft permet d'établir manuellement un lien de réplication entre le contrôleur de domaine orphelin et un autre contrôleur de domaine. La réplication est alors déclenchée et les objets essentiels peuvent être répliqués vers au moins un autre ordinateur. Cette procédure dépend de la réplication Active Directory qui a la charge de propager cet objet sur d'autres contrôleurs de domaine. Après un certain temps, le vérificateur de la cohérence des données sur chaque contrôleur de domaine doit déterminer qu'un nouvel objet serveur est présent et doit adapter la topologie de réplication en conséquence.

Si un compte d'ordinateur pour un contrôleur de domaine est supprimé dans Utilisateurs et ordinateurs Active Directory, il n'est pas facile de le récupérer. Des données d'authentification spécifiques sont écrites sur cet objet et ne peuvent pas être récupérées sans restauration de la sauvegarde. L'article suivant de la Base de connaissances Microsoft décrit la procédure de récupération d'un compte d'ordinateur supprimé :

Q257288 Restauration d'un compte d'ordinateur d'un contrôleur de domaine supprimé dans Windows 2000

Dans la plupart des cas, pour récupérer les données d'un compte d'ordinateur, vous devez rétrograder, puis promouvoir à nouveau le serveur pour vous assurer que toutes les données sont correctement réécrites sur le compte.

Si une sauvegarde est disponible, il peut être préférable de procéder à une restauration faisant autorité portant uniquement sur l'objet dont vous avez besoin. Pour plus d'informations sur l'exécution d'une restauration faisant autorité, reportez-vous au Kit de ressources techniques Windows 2000, Guide des systèmes distribués , Chapitre 9.

À long terme

Les outils d'administration (Utilisateurs et ordinateurs Active Directory et Sites et Services Active Directory) sont en cours de révision. À l'avenir, un administrateur recevra un message s'il tente de supprimer des comptes d'ordinateur correspondant à des contrôleurs de domaine ou si l'objet Paramètres NTDS, qui représente le serveur en tant que contrôleur de domaine pour tous les autres contrôleurs de domaine, est supprimé. Dans les deux cas, l'interface utilisateur dirige l'administrateur vers la procédure appropriée si le serveur n'est pas hors connexion, ou rétrograde l'ordinateur si le serveur est connecté et que l'administrateur souhaite supprimer le serveur du réseau.

Notez, cependant, que cette modification ne restreint pas la portée d'autres outils d'administration, tels que ADSI Edit et LDP, et qu'elle ne vous empêche pas de supprimer ces objets par programmation.

Mots supplémentaires de recherche: FRS NTFRS ad tshoot troubleshoot problem OU

Mots clés: kbenv kbPerformance w2000frs w2000adrep w2000perf kbActiveDirectoryRepl
Type de problème: kbinfo
Produits et Technologie: kbwin2000AdvServ kbwin2000AdvServSearch kbwin2000DataServ kbwin2000DataServSearch kbwin2000Serv kbwin2000ServSearch kbwin2000Search kbwin2000ProSearch kbwin2000Pro kbWinAdvServSearch kbWinDataServSearch