• Windows Server

Comme expliqué dans notre article "Les bases de l'Active Directory", il existe 5 rôles FSMO dans une infrastructure Active Directory.
Pour chaque rôle, vous ne pouvez avoir qu'un maitre d'opération par forêt pour les rôles "Maître de schéma" et "Maître d'attribution des noms de domaines", et un maitre d'opération par domaine pour les 3 autres rôles FSMO : Maître d’opérations RID, Emulateur PDC et Maitre d'infrastructure.

Voici comment connaitre quel contrôleur est désigné comme maitre pour chacun de ces rôles et comment transférer proprement un rôle FSMO (via l'interface graphique ou en ligne de commandes) d'un contrôleur de domaine à un autre.

  1. Afficher les maîtres d'opérations (rôles FSMO)
  2. Transférer proprement un rôle FSMO via l'interface graphique
  3. Connecter une console Active Directory à un autre contrôleur de domaine
  4. Transférer proprement un rôle FSMO via la ligne de commandes (ntdsutil)
    1. Transférer le rôle FSMO "Maître d’opérations RID" en ligne de commandes (ntdsutil)
    2. Transférer le rôle FSMO "Emulateur PDC" en ligne de commandes (ntdsutil)
    3. Transférer le rôle FSMO "Maitre d'infrastructure" en ligne de commandes (ntdsutil)
    4. Transférer le rôle FSMO "Maître d'attribution des noms de domaines" en ligne de commandes (ntdsutil)
    5. Transférer le rôle FSMO "Maître de schéma" en ligne de commandes (ntdsutil)
    6. Quitter ntdsutil
    7. Vérifier que les rôles FSMO ont été transférés

1. Afficher les maîtres d'opérations (rôles FSMO)

Pour afficher les maitres d'opérations uniques par domaine, ouvrez la console "Utilisateurs et ordinateurs Active Directory" et faites un clic droit "Maîtres d'opérations" sur votre nom de domaine Active Directory.

Dans la fenêtre "Maître d'opérations" qui s'affiche, vous pourrez connaitre quel contrôleur de domaine est désigné comme "Maître d’opérations RID" dans l'onglet "RID".

L'émulateur PDC dans l'onglet "CDP".

Et le maitre d'infrastructure dans l'onglet "Infrastructure".

Pour connaitre le maître d'attribution des noms de domaines dans votre forêt Active Directory, ouvrez la console "Domaines et approbations Active Directory" et faites un clic droit "Maîtres d'opérations" sur le noeud racine.

Le maître d'attribution des noms de domaines de votre forêt Active Directory s'affiche.

Pour finir, pour connaitre quel contrôleur de domaine est désigné comme "Maître de schéma", vous devrez activer la console "Schéma Active Directory" qui n'est pas activée par défaut par mesure de sécurité.
Pour cela, ouvrez un invite de commandes en tant qu'administrateur et tapez ceci :

Batch

regsvr32.exe schmmgmt.dll

Une fois cette console activée, lancez le programme "mmc" et allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "Schéma Active Directory" et cliquez sur Ajouter.

Grâce à cette console "Schéma Active Directory", vous pourrez connaitre la liste des classes et des attributs disponibles dans votre schéma Active Directory.
Lorsque vous installez certains programmes professionnels, il arrive que des classes ou des attributs soient ajoutés à votre schéma Active Directory.
Néanmoins, ne le modifiez pas vous-même, car cela pourrait corrompre définitivement votre infrastructure Active Directory. C'est pour cette raison que cette console n'est pas activée par défaut.

Maintenant que vous avez accès à cette console, vous pouvez connaitre le maître de schéma en effectuant un clic droit "Maîtres d'opérations" sur "Schéma Active Directory".

2. Transférer proprement un rôle FSMO via l'interface graphique

Pour transférer proprement un rôle FSMO d'un contrôleur de domaine à un autre, il faut que le contrôleur de domaine de source et celui de destination soient disponibles.
Ensuite, pour transférer un rôle FSMO, vous devez vous connecter sur le contrôleur de domaine de destination (donc celui qui va devenir le nouveau maitre pour le rôle souhaité).

Notez que vous pouvez aussi utiliser l'option "Changer le contrôleur de domaine Active Directory" disponible dans diverses consoles Active Directory, comme expliqué à l'étape suivante.

Comme vous pouvez le voir, dans notre cas, le maitre RID est actuellement le DC1 et nous sommes actuellement connecté sur le DC2.
Nous pouvons donc transférer le maitre RID du DC1 au DC2 en cliquant sur le bouton "Modifier".

Répondre "Oui" à la question "Voulez-vous vraiment transférer le rôle de maître d'opérations ?".

Le message "Le rôle de maître d'opérations a été transféré correctement" apparait.

Maintenant, le maitre RID actuel est DC2 au lieu de DC1.

Attention : notez que le transfert d'un ou plusieurs rôles engendre forcément la réplication de données via le réseau.

3. Connecter une console Active Directory à un autre contrôleur de domaine

Comme indiqué précédemment, pour transférer un rôle FSMO, vous devez être connecté sur le serveur de destination.
Pour cet exemple, nous nous sommes connectés sur le DC1 qui est le maitre actuel pour le rôle que l'on souhaite transférer.
Le transfert de ce rôle n'est donc pas possible pour le moment.

Comme vous pouvez le voir, notre console "Domaines et approbations Active Directory" est actuellement connectée au contrôleur de domaine "DC1".

Plutôt que d'ouvrir une nouvelle session Windows directement sur le serveur de destination, vous pouvez aussi utiliser l'option "Changer le contrôleur de domaine Active Directory" pour que cette console se connecte sur le contrôleur de domaine souhaité.

Sélectionnez le contrôleur de domaine vers lequel vous souhaitez transférer ce rôle FSMO.
Dans notre cas, le contrôleur de domaine DC2.

Comme vous pouvez le voir, notre console "Domaines et approbations Active Directory" est maintenant connectée au contrôleur de domaine DC2.
Faites à nouveau un clic droit "Maître d'opérations".

Maintenant, nous pouvons transférer le rôle FSMO souhaité du DC1 vers le DC2 en cliquant sur le bouton "Modifier".

4. Transférer proprement un rôle FSMO via la ligne de commandes (ntdsutil)

Si vous souhaitez transférer proprement un rôle FSMO en ligne de commandes, vous pouvez utiliser le programme "ntdsutil" présent sur tous les contrôleurs de domaine.

Pour commencer, vous pouvez connaitre les commandes disponibles avec ntdsutil en tapant :

Batch

ntdsutil
?

Parmi les options disponibles, vous trouverez la ligne :

Plain Text

Roles - Gérer les jetons du propriétaire du rôle NTDS

Pour accéder au mode "fsmo maintenance", tapez :

Batch

ntdsutil roles

La ligne "fsmo maintenance" s'affiche. Tapez "?" pour afficher la liste des commandes disponibles pour ce mode de maintenance fsmo.

Batch

?

Comme vous pouvez le voir, il existe principalement 2 types de commandes :

  • Seize [nom du rôle FSMO] : permet d'acquérir un rôle FSMO lorsque le contrôleur de domaine source est en panne. Attention : une fois le rôle FSMO obtenu, assurez-vous de ne jamais remettre le contrôleur de domaine source sur le réseau. Sinon, vous risquez de corrompre votre infrastructure AD.
  • Transfer [nom du rôle FSMO] : permet de transférer proprement un rôle FSMO d'un contrôleur de domaine à un autre.

Contrairement aux consoles disponibles dans l'interface graphique de Windows Server qui se connectent automatiquement par défaut sur le serveur sur lequel vous avez ouvert une session Windows, ce n'est pas le cas du programme "ntdsutil".

Donc, vous devrez indiquer à ntdsutil sur quel contrôleur de domaine vous souhaitez vous connecter. A savoir, le contrôleur de domaine vers lequel vous souhaitez transférer un rôle FSMO.
Pour cela, dans le mode de maintenance FSMO, tapez :

Batch

connections
connect to server dc2

Ce qui donne :

Plain Text

Liaison à dc2...
Connecté à dc2 en utilisant les informations d'identification d'un utilisateur connecté localement.
server connections:

Une fois connecté au contrôleur de destination, retournez dans le mode de maintenance FSMO en tapant :

Batch

q

Cette ligne s'affiche :

Batch

fsmo maintenance

Pour transférer le ou les rôles souhaités, utilisez une ou plusieurs des commandes suivantes.

4.1. Transférer le rôle FSMO "Maître d’opérations RID" en ligne de commandes (ntdsutil)

Pour transférer le rôle FSMO "Maître d’opérations RID", tapez :

Batch

transfer RID master

Lorsque vous transférez un rôle (quel qu'il soit), ntdsutil vous affiche à chaque fois le contrôleur de domaine qui est désigné comme maitre d'opérations pour chaque rôle.

Plain Text

Le serveur « dc2 » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=informatiweb,DC=lan
Maître d'attribution de noms - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=informatiweb,DC=lan
PDC - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=informatiweb,DC=lan
RID - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=informatiweb,DC=lan
Infrastructure - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=informatiweb,DC=lan

4.2. Transférer le rôle FSMO "Emulateur PDC" en ligne de commandes (ntdsutil)

Pour transférer le rôle FSMO "Emulateur PDC", tapez :

Batch

transfer pdc

4.3. Transférer le rôle FSMO "Maitre d'infrastructure" en ligne de commandes (ntdsutil)

Pour transférer le rôle FSMO "Maitre d'infrastructure", tapez :

Batch

transfer infrastructure master

4.4. Transférer le rôle FSMO "Maître d'attribution des noms de domaines" en ligne de commandes (ntdsutil)

Pour transférer le rôle FSMO "Maître d'attribution des noms de domaines", tapez :

Batch

transfer domain naming master

Si la commande ci-dessus ne fonctionne pas, alors utilisez celle-ci :

Batch

transfer naming master

4.5. Transférer le rôle FSMO "Maître de schéma" en ligne de commandes (ntdsutil)

Pour transférer le rôle FSMO "Maître de schéma", tapez :

Batch

transfer schema master

4.6. Quitter ntdsutil

Pour finir, pour quitter proprement ntdsutil, tapez 2 fois "q" :

Batch

fsmo maintenance: q
ntdsutil: q

4.7. Vérifier que les rôles FSMO ont été transférés

Pour vérifier que les rôles FSMO souhaités ont bien été transférés, vous pouvez utiliser la commande :

Batch

NETDOM QUERY /Domain:informatiweb.lan FSMO

Comme vous pouvez le voir, dans notre cas, nous avons transférer tous les rôles FSMO sur le DC2.

Plain Text

Contrôleur de schéma        dc2.informatiweb.lan
Maître des noms de domaine  dc2.informatiweb.lan
Contrôleur domaine princip. dc2.informatiweb.lan
Gestionnaire du pool RID    dc2.informatiweb.lan
Maître d’infrastructure     dc2.informatiweb.lan
L’opération s’est bien déroulée.

A voir également

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.