ntdsutil metadata cleanup

par | 14 novembre 2022 | Annuaire

ntdsutil metadata cleanup

ntdsutil est un outil en ligne de commande qui fournit des fonctions de gestion pour les annuaires Microsoft (ADDS, ADLDS).

Il est utilisable pour mener à bien la maintenance de ces bases de données transactionnelles, contrôler les rôles uniques ou encore de supprimer les métadonnées laissées par les contrôleurs retirés de l’infrastructure.

L’ajout inabouti tout comme la suppression incomplète d’un contrôleur de domaine entraîne sans nul doute une incohérence dans la topologie et la réplication de l’annuaire Active Directory.

La présence dans la base NTDS.DIT d’une information erronée va multiplier fatalement les incohérences, puisque cette base de données transactionnelles doit représenter la réalité de l’état de chaque nœud de votre infrastructure Active Directory.

Maintenir ce style d’incohérence revient à créer volontairement une entrave au mécanisme natif de sa réplication Active Directory.

A l’aide de l’utilitaire ntdsutil, les étapes suivantes vous montrent la marche à suivre pour mener à bien un nettoyage des métadonnées Active Directory, i.e. la suppression d’un serveur Active Directory inexistant et les fonctionnalités connexes :

  1. Lancez l’utilitaire ntdsutil : ntdsutil
  1. Tapez metadata cleanup
  1. Tapez connections
  1. Tapez connect to server %servername%
  1. Remontez d’un niveau par rapport au menu : q
  1. Tapez select operation target
  1. Listez les domaines : list domains
  1. Sélectionnez le domaine d’appartenance de l’objet à supprimer : select domain %domainid%
  1. Listez les sites : list sites
  1. Sélectionnez le site d’appartenance de l’objet à supprimer : select site %siteid%
  1. Listez les serveurs du site sélectionné : list server in site
  1. Sélectionnez le serveur à supprimer : select server %idserver%
  1. Remontez d’un niveau par rapport au menu : q
  1. Supprimez maintenant le serveur préalablement sélectionné (l’objet incohérent en question) : remove selected server
  1. Quittez l’utilitaire ntdsutil

Active Directory vous invite à confirmer cette opération de suppression, cela par mesure de sécurité.

Pour le reste, le bon sens l’emporte dans la mesure où vous devez supprimer les enregistrements DNS correspondants au serveur contrôleur de domaine qui vient d’être décommissionné de force.

Enfin, lancer ntdsutil pour lancer ntdsutil n’a aucun intérêt, puisque nous menons toujours des actions techniques uniquement pour répondre à des besoins concrets, comme lors de la restauration d’un contrôleur de domaine à la suite d’une défaillance (problème d’installation, problème système lié à une campagne de mise à jour) ou encore dans le cadre du PRA (Plan de Reprise d’Activité).

De ma fenêtre, cet outil est réservé aux intervenants expérimentés, gare à l’effet papillon.