Lors de la promotion d’un second contrôleur de domaine, l’assistant AD DS peut s’arrêter avec « Domain rename in progress ». Voici comment diagnostiquer, sécuriser et corriger proprement la situation pour permettre la création de l’objet NTDS Settings et finaliser la promotion.
Contexte et message d’erreur
Pendant l’exécution de AD DS Configuration Wizard (ex‑dcpromo) pour ajouter un contrôleur de domaine supplémentaire, l’assistant s’interrompt avec un message du type :
“Active Directory Domain Services could not create the NTDS Settings object … The Directory Service cannot perform the requested operation because a domain rename operation is in progress.”
Ce message signifie qu’Active Directory a détecté, au niveau forêt, un état de renommage de domaine non terminé ou non correctement annulé. Dans cet état, le service AD DS protège l’intégrité du schéma et des partitions en bloquant les opérations structurantes (création d’un nouvel objet NTDS Settings, promotion d’un DC, élévations de niveaux fonctionnels, etc.).
Pourquoi AD DS bloque la promotion ?
La procédure Domain Rename (outil rendom) modifie des éléments critiques : noms DNS/NetBIOS de domaines, références de partitions, SPN et identités de services, GPO via gpfixup, etc. Pour éviter des incohérences irréversibles, AD DS impose un verrou forêt tant que chaque contrôleur de domaine n’a pas confirmé l’étape en cours. Les états typiques sont :
- Prepared : les instructions de renommage ont été diffusées, mais non exécutées.
- Executing : les DC appliquent les changements (phase transitoire).
- Completed : tous les DC ont terminé ; l’opération peut être clôturée par
rendom /end.
Une promotion échoue si au moins un DC est encore vu comme Prepared ou Executing : la forêt est alors considérée comme « en renommage ».
Situations courantes qui déclenchent le blocage
- Une tentative de renommage (
rendom /prepare//execute) a été lancée puis interrompue. - Des DC inaccessibles (morts, isolés, retirés sans nettoyage) n’ont pas accusé réception de la fin de procédure.
- Des métadonnées résiduelles subsistent : attribut
msDS-UpdateScriptencore présent, fichiers ou scripts de renommage restés localement/SYSVOL (par ex.Domainlist.xml), objets NTDS Settings partiellement créés. - Un retour de snapshot/clone non maîtrisé a réintroduit un état antérieur de la base AD sur un DC.
Procédure de résolution
La démarche se déroule en trois temps : constater l’état, annuler ou finaliser proprement, puis nettoyer et reprendre la promotion.
| Étape | Action | Commande / Outil | Résultat attendu |
|---|---|---|---|
| 1 | Vérifier l’état du renommage | rendom /showforest (depuis n’importe quel DC ou serveur RSAT) | Tous les DC doivent être en état Completed. Un seul DC en Prepared/Executing suffit à maintenir le verrou. |
| 2 | Abandonner si le renommage n’était pas souhaité | rendom /abort puis rendom /clean | Suppression des drapeaux et scripts associés, fin de l’opération de renommage. |
| 3 | Ou Finaliser si le renommage était voulu | Forcer la réplication à convergence (Sites & Services → Replicate Now) puis rendom /end et redémarrage de tous les DC | Clôture propre de la procédure, déverrouillage de l’annuaire. |
| 4 | Nettoyer les métadonnées | ADSI Edit : Configuration → Sites → Servers ; supprimer tout objet NTDS Settings incomplet | Prévention de doublons et d’objets orphelins. |
| 5 | Vérifier les autorisations | Le compte doit être Domain Admins et Enterprise Admins | Autorise la création de l’objet NTDS Settings lors de la promotion. |
| 6 | Relancer la promotion | Server Manager → AD DS → Promote this server to a domain controller | L’assistant aboutit sans erreur. |
Détails et commandes pour chaque étape
Contrôler l’état de la forêt
# À exécuter dans une console admin (cmd ou PowerShell)
rendom /showforest
Interprétez la sortie :
- Completed : le DC a appliqué toutes les étapes.
- Prepared : le DC a reçu les instructions mais ne les a pas appliquées.
- Executing : le DC est en exécution (ou coincé à ce stade).
Si un DC listé n’existe plus, planifiez un nettoyage de métadonnées (voir plus bas) et privilégiez l’annulation (/abort) ou la finalisation (/end) selon votre objectif initial.
Annuler une tentative de renommage
rendom /abort
rendom /clean
/abort lève le verrou forêt ; /clean purge les références de scripts de mise à jour et réinitialise l’état des DC. Accélérez la propagation :
repadmin /syncall /AdeP
Contrôlez ensuite que rendom /showforest ne remonte plus d’état Prepared/Executing.
Finaliser un renommage légitime
Si le renommage était volontaire mais resté en plan :
- Assurez‑vous que tous les DC sont joignables (
ping,wmicouTest-Connection), l’horloge synchronisée (NTP), et la réplication saine (voir section Santé AD). - Forcez la réplication jusqu’à convergence (Sites & Services ou
repadmin /syncall /AdeP). - Exécutez
rendom /endpuis redémarrez tous les DC.
Après redémarrage, la promotion du nouveau DC doit se dérouler normalement.
Nettoyage des métadonnées et objets orphelins
- ADSI Edit : sous Configuration → Sites → <Site> → Servers → <NomDC>, supprimez tout NTDS Settings incomplet.
- Attributs de contrôle : vérifiez, au besoin, l’existence d’un
msDS-UpdateScriptrésiduel au niveau de la configuration et supprimez‑le si la procédure est abandonnée. - Fichiers résiduels : supprimez d’éventuels scripts Domain Rename oubliés (ex.
Domainlist.xml) dans les emplacements de travail/SYSVOL s’ils n’ont plus d’objet. - DC disparus : procédez à un metadata cleanup si des contrôleurs n’existent plus mais apparaissent encore dans AD (via
ntdsutilou la console).
Vérifier les privilèges de promotion
Le compte doit être membre des groupes Domain Admins et Enterprise Admins. Contrôlez‑le rapidement :
whoami /groups
Relancer la promotion du DC
Sur le serveur cible, installez le rôle Active Directory Domain Services, puis utilisez Promote this server to a domain controller. En PowerShell, l’équivalent minimal :
Install-WindowsFeature AD-Domain-Services
Import-Module ADDSDeployment
Install-ADDSDomainController -DomainName "contoso.local" -InstallDns `
-Credential (Get-Credential) -SiteName "Default-First-Site-Name" -NoRebootOnCompletion:$false
Vérifications de santé recommandées avant / après
La réussite d’un abort ou d’un end dépend de la qualité de réplication et des enregistrements DNS. Exécutez ces contrôles et corrigez les erreurs signalées.
Contrôles AD et réplication
dcdiag /v /c /e /s:<Nom_DC_de_référence>
repadmin /replsum
repadmin /showrepl * /csv > C:\Temp\repl.csv
Assurez‑vous qu’aucune partition (Schema, Configuration, Domain, ForestDNSZones, DomainDNSZones) ne présente d’échecs. Résolvez d’abord tout problème de réplication (Access Denied, RPC, DNS, Time Skew, etc.).
Contrôles DNS essentiels
La zone _msdcs.<domaine> doit contenir les enregistrements SRV/CNAME utiles. Vérifiez par requêtes SRV :
nslookup -type=SRV _ldap._tcp.dc._msdcs.<domaine>
nslookup -type=SRV _kerberos._tcp.<domaine>
nslookup -type=SRV _gc._tcp.<forêt>
| Enregistrement | Rôle | Impact si manquant |
|---|---|---|
| _ldap._tcp.dc._msdcs.<domaine> | Découverte des DC | Promotion impossible ou erratique |
| _kerberos._tcp.<domaine> | Authentification Kerberos | Échecs d’authentification |
| _gc._tcp.<forêt> | Localisation Global Catalog | Résolutions multi-domaines défaillantes |
| CNAME GUID._msdcs | Références DC par GUID | Réplication et KCC affectés |
Bonnes pratiques avant de toucher au Domain Rename
- Instantané de SYSVOL : sauvegardez
\\<DC>\SYSVOL\<domaine>\scriptset tout répertoire de travail rendom. - Sauvegarde système d’au moins un DC (État du système) pour disposer d’un point de retour.
- Assainir la réplication (
dcdiag,repadmin) avant d’exécuter ou d’annuler un renommage. - DNS cohérent : nettoyez les références à d’anciens DC dans
_msdcset les zones AD‑intégrées. Supprimez les enregistrements liés aux DC retirés. - Plan de communication : évitez qu’un opérateur relance un
rendomisolément.
Cas particuliers et mises en garde
- Contrôleurs hors ligne : un DC éteint pendant
/preparepeut revenir plus tard et ré‑imposer l’état « en renommage ». Réalisez un metadata cleanup si le DC ne reviendra plus. - RODC : bien que lecteurs, les RODC héritent d’un état forêt. Assurez‑vous qu’aucun RODC ne conserve d’artefacts du renommage.
- Messagerie Exchange : si votre forêt héberge Exchange (2007+), le Domain Rename n’est pas pris en charge. Ne tentez pas de finaliser un renommage dans ce contexte ; annulez‑le proprement.
- Synchronisation Azure AD Connect : un renommage impacte les ancrages d’identité. Si vous avez un connecteur, préparez la bascule (ou annulez le renommage) pour éviter des duplications d’objets cloud.
- Snapshots : ne revertez jamais un DC à partir d’un instantané non préparé. Utilisez la virtualization‑safe restore ou des sauvegardes d’État du système.
Diagnostic rapide : symptômes typiques
- L’assistant de promotion échoue immédiatement après l’étape de création de l’objet NTDS Settings.
rendom /showforestindique au moins un DC non Completed.- Des événements Directory Service évoquent un renommage forêt/domaine inachevé.
- Des restes de scripts rendom (
Domainlist.xml, commandesgpfixup) traînent dans les dépôts d’administration.
Playbook opératoire
- Stop : ne relancez pas la promotion tant que rendom n’est pas terminé ou annulé.
- État : exécutez
rendom /showforestet conservez la sortie. - Décision : vouliez‑vous renommer ? Oui : finalisez (
/end+ redémarrage). Non :/abortpuis/clean. - Réplication : assurez la convergence (
repadmin /syncall /AdeP). - Nettoyage : supprimez les objets NTDS Settings incomplets et les fichiers/scripts résiduels.
- Contrôles :
dcdiag,repadmin, vérifications DNS. - Promotion : relancez l’assistant/PowerShell.
Script PowerShell d’inventaire (exemple)
Ce petit script (à exécuter depuis un hôte RSAT/administrateur du domaine) collecte des informations utiles avant correction.
# Inventaire succinct de l’état AD avant correction
$Domain = (Get-ADDomain).DNSRoot
$Forest = (Get-ADForest).Name
Write-Host "Domaine : $Domain"
Write-Host "Forêt : $Forest"
Write-Host "`n-- DCs (Get-ADDomainController -Filter *):"
Get-ADDomainController -Filter * | Select-Object HostName,Site,IsGC,IPv4Address
Write-Host "`n-- Résumé réplication (repadmin /replsum):"
repadmin /replsum
Write-Host "`n-- Vérif SRV LDAP/Kerberos:"
nslookup -type=SRV _ldap._tcp.dc._msdcs.$Domain
nslookup -type=SRV _kerberos._tcp.$Domain Adaptez‑le selon vos standards (journalisation, export CSV, etc.) et conservez les sorties dans votre dossier d’exploitation.
Erreurs et confusions fréquentes
- Relancer la promotion en boucle : sans lever le verrou rendom, cela ne servira à rien.
- Supprimer un DC coincé sans nettoyage : vous laissez des objets (NTDS Settings, connexion de réplication) qui maintiennent l’état incohérent.
- Mélanger abort et end : choisissez l’un ou l’autre selon l’objectif initial. Un
/endaprès un/abortn’a pas de sens. - Ignorer le redémarrage des DC après
rendom /end: requis pour purger complètement l’état de renommage.
Exemple de fil de résolution
- Constat : promotion échoue avec « Domain rename in progress ».
- Contrôle :
rendom /showforest→ 5 DC Completed, 1 DC Prepared (serveur retiré il y a 6 mois). - Action :
ntdsutilpour nettoyer le DC disparu, puisrendom /abortetrendom /clean. - Propagation :
repadmin /syncall /AdeP+ vérification DNS. - Vérification :
rendom /showforest→ plus aucun DC en Prepared/Executing. - Résultat : la promotion est relancée et réussit.
FAQ
Q : Puis‑je promouvoir un DC pendant un renommage ?
R : Non. Attendez la fin (rendom /end) et le redémarrage de tous les DC, ou annulez (/abort + /clean).
Q : Un seul DC en Prepared suffit‑il à bloquer ?
R : Oui. Tant qu’un DC n’est pas Completed et que la procédure n’est pas close, AD DS reste verrouillé.
Q : Je ne retrouve plus la machine mentionnée par rendom.
R : Faites un metadata cleanup du DC disparu, puis annulez/finalisez la procédure selon le cas.
Q : Faut‑il lancer gpfixup ?
R : Uniquement dans un vrai renommage terminé. Inutile (voire nuisible) si vous annulez.
Q : Pourquoi rendom /end exige un redémarrage ?
R : Pour purger les caches et recharger les partitions/liaisons avec la nouvelle topologie.
Checklist de fin avant promotion
rendom /showforest→ tout le monde Completed, puis/endou/abort//cleanselon le cas.- Réplication OK (
repadmin /replsumpropre). - DNS : SRV LDAP/Kerberos/GC présents, CNAME GUID des DC actuels uniquement.
- Pas d’objets NTDS Settings incomplets.
- Compte opérateur dans Enterprise Admins et Domain Admins.
Conclusion
Dans la quasi‑totalité des cas, l’échec de promotion d’un contrôleur de domaine secondaire avec « Domain rename in progress » provient d’un renommage de domaine non finalisé. La stratégie gagnante est toujours la même : constater l’état (rendom /showforest), choisir entre finaliser (/end + redémarrage) ou annuler (/abort + /clean), assainir la réplication et les métadonnées, puis reprendre la promotion. En respectant ce chemin, l’objet NTDS Settings est créé sans heurt et votre nouveau DC rejoint le domaine dans des conditions stables et supportables.
Annexes : commandes de référence
# Vérifier l’état de la forêt vis‑à‑vis du Domain Rename
rendom /showforest
# Annuler un renommage non désiré
rendom /abort
rendom /clean
# Finaliser un renommage légitime
# (après réplication et avant redémarrage de tous les DC)
rendom /end
# Forcer la réplication vers tous les partenaires
repadmin /syncall /AdeP
# Santé AD
dcdiag /v /c /e /s:
repadmin /replsum
# Vérifications DNS
nslookup -type=SRV _ldap._tcp.dc._msdcs.
nslookup -type=SRV _kerberos._tcp.
nslookup -type=SRV _gc._tcp. Astuce : centralisez toutes les sorties (logs rendom, dcdiag, CSV repadmin) dans un dossier d’intervention. Cette traçabilité accélère les approbations de changement et facilite les retours d’expérience.