Présentation des rôles FSMO
Dans un environnement Active Directory, il existe 5 rôles FSMO (Flexible Single Master Opération), deux rôles sont uniques dans la forêt et les trois autres sont uniques dans un domaine.
Un contrôleur de domaine peut avoir aucun ou plusieurs rôles FSMO.
Maître d’attribution de noms de domaines
Il est unique dans la forêt, il est chargé de l’ajout et de la suppression de domaine dans la forêt.
Maître de schéma
Il est unique dans la forêt, il gère le schéma Active Directory qui contient l’ensemble des objets qui peuvent être créés et les attributs. Il est le seul à pouvoir modifier le schéma.
Exemple : lors de l’ajout du service Exchange au seins de votre organisation, c’est ce rôle qui modifie les attribues lors de la préparation de l’AD.
Maître RID
Il est unique au sein du domaine, il distribue un pool RID à chaque contrôleur de domaine pour s’assurer que chaque SID délivré par un DC sera unique
Émulateur de contrôleur principal de domaine (PDC)
Il est unique au sein du domaine, il se charge de la synchronisation de l’heure entre les différents serveurs et ordinateurs et de la modification des mots de passe ainsi que des verrouillages des comptes.
Maître infrastructure
Il est unique au sein du domaine, son rôle est de gérer les références inter-domaine.
Afficher les rôles FSMO
Pour afficher les rôles FSMO, plusieurs commandes sont disponibles :
netdom query fsmo
En PowerShell, il faut utiliser les cmdlet Get-ADForest et Get-ADDomain.
Get-ADDomain Get-ADForest
Depuis les consoles :
Ouvrir la console Utilisateurs et ordinateur Active Directory pour accéder au rôle FSMO du domaine, faire un clic droit sur le domaine et cliquer sur Maitres d’opération.
RID PDC Infrastructure master
La console Domaine et approbation Active Directory permet d’accéder au rôle FSMO Maitre d’opération d’attribution des noms. Faire un clic droit sur le nom de la console et cliquer sur Maître d’opération.
La console Schéma Active Directory permet d’accéder au rôle FSMO Contrôleur de schéma. Faire un clic droit sur le nom de la console et cliquer sur Maitre d’opération.
La console MMC Schéma Active Directory n’est pas disponible nativement, il est nécessaire de la déclarer
Transfert les rôles FSMO
Pour plusieurs raisons, vous pouvez être amené à transférer les rôles d’un contrôleur à un autre. Il existe deux méthodes :
Normal : utiliser cette méthode de préférence si vous le pouvez, cela nécessite que l’ensemble des contrôleurs soient disponibles.
Forcer : à utiliser si vous souhaitez transférer un rôle depuis un contrôleur hors ligne.
Le transfert peut être effectuer à l’aide de l’outil ntdsutil, en powershell avec Move-ADDirectoryServerOperationMasterRole ou l’aide des différentes consoles d’administration.
Pour un transfert forcé, il n’est pas possible de le faire par les consoles graphiques.
NTDSUTIL
Normal
Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :
ntdsutil
Entrer en mode maintenance des rôles FSMO :
roles
Entrer les commandes suivantes pour se connecter au serveur qui va recevoir le(s) rôle(s) :
connections connect to server nom_du_dc q
Les commandes pour faire le(s) transfert(s) :
# Maitre d'attribution transfer naming master # Contrôleur de schéma transfer schema master # Maitre RID transfer RID master # Emulateur PDC transfer pdc # Maitre infrastructure transfer infrastructure master
A chaque demande de transfert, vous devez confirmer votre action par le biais d’une boite de dialogue.
Quitter ntdsutil en entrant q.
Exemple de transfert :
Forcer
Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :
ntdsutil
Entrer en mode maintenance des rôles FSMO :
roles
Entrer les commandes suivantes pour seconnecter au serveur qui va recevoir le(s) rôle(s) :
connections connect to server nom_du_dc q
Les commandes pour faire le(s) transfert(s) :
# Maitre d'attribution seize naming master # Contrôleur de schéma seize schema master # Maitre RID seize RID master # Emulateur PDC seize pdc # Maitre infrastructure seize infrastructure master
A chaque demande de transfert, vous devez confirmer votre action par le biais d’une boite de dialogue.
Quitter ntdsutil en entrant q.
Exemple de saisie (seize) :
PowerShell : Move-ADDirectoryServerOperationMasterRole
Le transfert en PowerShell est plus simple, la même commande permet de faire les deux types de transfert. Il est aussi possible de transferer plusieurs rôles en une même commande.
Exemple de transfert normal :
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole PDCEmulator
Exemple de transfert forcé (seize) :
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole InfrastructureMaster -Force
Exemple de transfert de plusieurs rôles FSMO
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC1" -OperationMasterRole PDCEmulator, InfrastructureMaster
En valeur pour le paramètre -OperationMasterRole, il est possible d’indiquer un numéro qui correspond au rôle.
| Identifiant | Rôle FSMO |
| 0 | PDC Emulator |
| 1 | RID master |
| 2 | Infrastructure master |
| 3 | Schema master |
| 4 | Domain naming master |
Exemple de transfert en utilisant l’identifiant :
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole 0,2
