Les rôles FSMO

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Présentation des rôles FSMO

Dans un environnement Active Directory, il existe 5 rôles FSMO (Flexible Single Master Opération), deux rôles sont uniques dans la forêt et les trois autres sont uniques dans un domaine.

Un contrôleur de domaine peut avoir aucun ou plusieurs rôles FSMO.

Maître d’attribution de noms de domaines

Il est unique dans la forêt, il est chargé de l’ajout et de la suppression de domaine dans la forêt.

Maître de schéma

Il est unique dans la forêt, il gère le schéma Active Directory qui contient l’ensemble des objets qui peuvent être créés et les attributs. Il est le seul à pouvoir modifier le schéma.
Exemple : lors de l’ajout du service Exchange au seins de votre organisation, c’est ce rôle qui modifie les attribues lors de la préparation de l’AD.

Maître RID

Il est unique au sein du domaine, il distribue un pool RID à chaque contrôleur de domaine pour s’assurer que chaque SID délivré par un DC sera unique

Émulateur de contrôleur principal de domaine (PDC)

Il est unique au sein du domaine, il se charge de la synchronisation de l’heure entre les différents serveurs et ordinateurs et de la modification des mots de passe ainsi que des verrouillages des comptes.

Maître infrastructure

Il est unique au sein du domaine, son rôle est de gérer les références inter-domaine.

Afficher les rôles FSMO

Pour afficher les rôles FSMO, plusieurs commandes sont disponibles :

En PowerShell, il faut utiliser les cmdlet Get-ADForest et Get-ADDomain.

Depuis les consoles :

Ouvrir la console Utilisateurs et ordinateur Active Directory pour accéder au rôle FSMO du domaine, faire un clic droit sur le domaine et cliquer sur Maitres d’opération.

La console Domaine et approbation Active Directory permet d’accéder au rôle FSMO Maitre d’opération d’attribution des noms. Faire un clic droit sur le nom de la console et cliquer sur Maître d’opération.

La console Schéma Active Directory permet d’accéder au rôle FSMO Contrôleur de schéma. Faire un clic droit sur le nom de la console et cliquer sur Maitre d’opération.

La console MMC Schéma Active Directory n’est pas disponible nativement, il est nécessaire de la déclarer

Transfert les rôles FSMO

Pour plusieurs raisons, vous pouvez être amené à transférer les rôles d’un contrôleur à un autre. Il existe deux méthodes :

Normal : utiliser cette méthode de préférence si vous le pouvez, cela nécessite que l’ensemble des contrôleurs soient disponibles.

Forcer : à utiliser si vous souhaitez transférer un rôle depuis un contrôleur hors ligne.

Le transfert peut être effectuer à l’aide de l’outil ntdsutil, en powershell avec Move-ADDirectoryServerOperationMasterRole ou l’aide des différentes consoles d’administration.

Pour un transfert forcé, il n’est pas possible de le faire par les consoles graphiques.

NTDSUTIL

Normal

Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :

Entrer en mode maintenance des rôles FSMO :

Entrer les commandes suivantes pour se connecter au serveur qui va recevoir le(s) rôle(s) :

Les commandes pour faire le(s) transfert(s) :

A chaque demande de transfert, vous devrez confirmer votre action par le biais d’une boite de dialogue.

Quitter ntdsutil en entrant q.

Exemple de transfert :

Transfer with ntdsutil

Forcer

Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :

Entrer en mode maintenance des rôles FSMO :

Entrer les commandes suivantes pour seconnecter au serveur qui va recevoir le(s) rôle(s) :

Les commandes pour faire le(s) transfert(s) :

A chaque demande de transfert, vous devrez confirmer votre action par le biais d’une boite de dialogue.

Quitter ntdsutil en entrant q.

Exemple de saisie (seize) :

seize fsmo

PowerShell : Move-ADDirectoryServerOperationMasterRole

Le transfert en PowerShell est plus simple, la même commande permet de faire les deux types de transfert. Il est aussi possible de transferer plusieurs rôles en une même commande.

Exemple de transfert normale :

Exemple de transfert forcé (seize) :

Exemple de transfert de plusieurs rôles FSMO

En valeur pour le paramètre -OperationMasterRole, il est possible d’indiquer un numéro qui correspond au rôle.

IdentifiantRôle FSMO
0PDC Emulator
1RID master
2Infrastructure master
3Schema master
4Domain naming master

Exemple de transfert en utilisant l’identifiant :



Related Posts


GPO : rendre les utilisateurs administrateur de leur poste

SommairePrésentationCréer la stratégie de groupe pour être administrateur localValider l'application de la stratégie de groupe - GPOAvertissement pour les serveurs RDS Présentation Dans ce tutoriel, n

GPO pour Firefox

Pour les entreprises qui utilisent firefox comme navigateur, celui-ci était difficile à contrôler par manque de fichier admx et la mise en place de stratégies passait pas des scripts de copie de fichi

ADMT : outil de migration de domaine Active Directory

ADMT (Active Directory Migration Tool) est un outil mis à disposition gratuitement par Microsoft qui permet la migration d'objets (Utilisateurs, Ordinateurs et Groupes) entre deux domaines Active Dire

Retour haut de page