IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.

Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».

Chaque domaine dispose d’un contrôleur de domaine. 

Admettons que le contrôleur de domaine « lab4dc » du domaine « lab4.lan » a été supprimé sans qu’il ait été rétrogradé. Nous nous retrouvons avec un domaine dont les informations restent présentes dans Active Directory mais il n’est plus viable car il n’existe plus de contrôleur de domaine opérationnel.

Si nous essayons de forcer la réplication entre « lac4dc » et « lab1dc » depuis la console « Sites et  Services Active Directory » sur le serveur « lab1dc1 », nous obtenons une erreur car le serveur « lab4dc » ne peut être contacté.

Si nous essayons de supprimer « NTDSSettings » du contrôleur de domaine supprimé dans la console « Sites et Services Active Directory » sur le serveur du domaine racine « lab1dc1 » nous obtenons une erreur.

Nous devons donc trouver une autre solution pour nettoyer notre forêt Active Directory.

NtdsUtil est l’outil principal permettant entre de nettoyer les métas donnés concernant un contrôleur de domaine ou un domaine qui n’existe plus. S’il existe encore des contrôleurs de domaines pour le même domaine vous pouvez effectuer la même opération avec des outils graphiques en suivant ce tutoriel http://pbarth.fr/node/94.

Dans notre exemple il n’existe plus de contrôleur de domaine pour ce domaine et la partition du domaine (contenant les utilisateurs et les ordinateurs) est déjà perdue s’il n’y a pas de sauvegarde l’état du système !

Nous allons donc essayer de supprimer le domaine « lab4.lan » en utilisant les commandes suivantes avec « NTDSUtil » dans une fenêtre d’invite de commande en mode administrateur :

Ntdsutil

Metadata cleanup

Connections

Connect to server lab1dc1.lab1.lan

Quit

Select operation target

List domains

Select domain 2

Quit

Remove selected domain

Une boîte de dialogue nous demande la confirmation de la suppression du domaine :

Après avoir validé la suppression du domaine, nous constatons une erreur. En effet il existe encore des éléments présents dans le domaine qui empêche sa suppression.

Le premier élément indiqué dans la réponse ci-dessous et qu’il reste des informations concernant le contrôleur de domaine « lab4dc ».

Le deuxième élément est la partition dédiée au stockage des zones DNS qui sont répliquées vers tous les contrôleurs de domaine du même domaine (DomainDnsZone).

Nous allons maintenant à l’aide des commandes suivantes supprimer le contrôleur de domaine qui n’existe plus :

Ntdsutil

Metadata cleanup

Connections

Connect to server lab1dc1.lab1.lan

Quit

Select operation target

List domains

Select domain 2

List sites

Select site 0

List servers in site

Select  server 2

Une fois le serveur sélectionné nous quittons le mode sélection et nous supprimons le contrôleur de domaine :

Quit

Remove selected server

Après validation, nous constatons sur l’image ci-dessous que « lab4dc » a bien été supprimé.

Dans la console « Site et Services Active Directory » le serveur « Lab4DC » n’aura plus de « NTDSSettings », néanmoins il sera encore présent (comme pour tout DC qui a été rétrogradé). Il suffira de faire un clic droit et supprimer sur le nom du serveur.

Nous allons maintenant supprimer la partition contenant les zones DNS propre au domaine « lab4.lan ». Pour cela nous retournons dans NTDSUtil :

Ntdsutil

Metadata cleanup

Connections

Connect to server lab1dc1.lab1.lan

Quit

Select operation target

list naming contexts

select naming context 8

quit

remove selected naming context

Maintenant que nous avons supprimé les éléments dans le domaine « lab4.lan » nous pouvons supprimer le domaine :

…

Select operation target

List domains

Select domain 2

Quit

Remove selected domain

Une fois l’opération terminée nous pouvons voir dans la liste des domaines de la console « Utilisateurs et Ordinateurs Active Directory » que le domaine n’existe plus :

Nous vérifions l'état de la réplication entre les DC restants :

Il est également utile de nettoyer les redirecteurs DNS si vous en avez et de nettoyer les zones DNS de la forêt « _msdcs ». Comme par exemple dans l’image ci-dessous où il reste des redirecteurs conditionnels vers le nom DNS « lab4.lan » : 

Il vous faudra également supprimer l’ancien contrôleur de domaine de la liste des serveurs de noms pour la zone de la forêt :

Ensuite vous pourrez parcourir l’arborescence afin de supprimer les enregistrements DNS obsolètes :

Enfin je vous recommande vivement de vérifier l’état de vos contrôleurs de domaine après 24 heures pour s’assurer qu’il n’y a pas d’erreur.