Site icon RDR-IT

Les rôles FSMO

Présentation des rôles FSMO

Dans un environnement Active Directory, il existe 5 rôles FSMO (Flexible Single Master Opération), deux rôles sont uniques dans la forêt et les trois autres sont uniques dans un domaine.

Un contrôleur de domaine peut avoir aucun ou plusieurs rôles FSMO.

Maître d’attribution de noms de domaines

Il est unique dans la forêt, il est chargé de l’ajout et de la suppression de domaine dans la forêt.

Maître de schéma

Il est unique dans la forêt, il gère le schéma Active Directory qui contient l’ensemble des objets qui peuvent être créés et les attributs. Il est le seul à pouvoir modifier le schéma.
Exemple : lors de l’ajout du service Exchange au seins de votre organisation, c’est ce rôle qui modifie les attribues lors de la préparation de l’AD.

Maître RID

Il est unique au sein du domaine, il distribue un pool RID à chaque contrôleur de domaine pour s’assurer que chaque SID délivré par un DC sera unique

Émulateur de contrôleur principal de domaine (PDC)

Il est unique au sein du domaine, il se charge de la synchronisation de l’heure entre les différents serveurs et ordinateurs et de la modification des mots de passe ainsi que des verrouillages des comptes.

Maître infrastructure

Il est unique au sein du domaine, son rôle est de gérer les références inter-domaine.

Afficher les rôles FSMO

Pour afficher les rôles FSMO, plusieurs commandes sont disponibles :

netdom query fsmo

En PowerShell, il faut utiliser les cmdlet Get-ADForest et Get-ADDomain.

Depuis les consoles :

Ouvrir la console Utilisateurs et ordinateur Active Directory pour accéder au rôle FSMO du domaine, faire un clic droit sur le domaine et cliquer sur Maitres d’opération.

La console Domaine et approbation Active Directory permet d’accéder au rôle FSMO Maitre d’opération d’attribution des noms. Faire un clic droit sur le nom de la console et cliquer sur Maître d’opération.

La console Schéma Active Directory permet d’accéder au rôle FSMO Contrôleur de schéma. Faire un clic droit sur le nom de la console et cliquer sur Maitre d’opération.

La console MMC Schéma Active Directory n’est pas disponible nativement, il est nécessaire de la déclarer

Transfert les rôles FSMO

Pour plusieurs raisons, vous pouvez être amené à transférer les rôles d’un contrôleur à un autre. Il existe deux méthodes :

Normal : utiliser cette méthode de préférence si vous le pouvez, cela nécessite que l’ensemble des contrôleurs soient disponibles.

Forcer : à utiliser si vous souhaitez transférer un rôle depuis un contrôleur hors ligne.

Le transfert peut être effectuer à l’aide de l’outil ntdsutil, en powershell avec Move-ADDirectoryServerOperationMasterRole ou l’aide des différentes consoles d’administration.

Pour un transfert forcé, il n’est pas possible de le faire par les consoles graphiques.

NTDSUTIL

Normal

Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :

ntdsutil

Entrer en mode maintenance des rôles FSMO :

roles

Entrer les commandes suivantes pour se connecter au serveur qui va recevoir le(s) rôle(s) :

connections
connect to server nom_du_dc
q

Les commandes pour faire le(s) transfert(s) :

# Maitre d'attribution
transfer naming master
# Contrôleur de schéma
transfer schema master
# Maitre RID
transfer RID master
# Emulateur PDC
transfer pdc
# Maitre infrastructure
transfer infrastructure master

A chaque demande de transfert, vous devez confirmer votre action par le biais d’une boite de dialogue.

Quitter ntdsutil en entrant q.

Exemple de transfert :

Forcer

Ouvrir une fenêtre de commande en mode « Administrateur » et entrer la commande suivante :

ntdsutil

Entrer en mode maintenance des rôles FSMO :

roles

Entrer les commandes suivantes pour seconnecter au serveur qui va recevoir le(s) rôle(s) :

connections
connect to server nom_du_dc
q

Les commandes pour faire le(s) transfert(s) :

# Maitre d'attribution
seize naming master
# Contrôleur de schéma
seize schema master
# Maitre RID
seize RID master
# Emulateur PDC
seize pdc
# Maitre infrastructure
seize infrastructure master

A chaque demande de transfert, vous devez confirmer votre action par le biais d’une boite de dialogue.

Quitter ntdsutil en entrant q.

Exemple de saisie (seize) :

PowerShell : Move-ADDirectoryServerOperationMasterRole

Le transfert en PowerShell est plus simple, la même commande permet de faire les deux types de transfert. Il est aussi possible de transferer plusieurs rôles en une même commande.

Exemple de transfert normal :

Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole PDCEmulator

Exemple de transfert forcé (seize) :

Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole InfrastructureMaster -Force

Exemple de transfert de plusieurs rôles FSMO

Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC1" -OperationMasterRole PDCEmulator, InfrastructureMaster 

En valeur pour le paramètre -OperationMasterRole, il est possible d’indiquer un numéro qui correspond au rôle.

IdentifiantRôle FSMO
0PDC Emulator
1RID master
2Infrastructure master
3Schema master
4Domain naming master

Exemple de transfert en utilisant l’identifiant :

Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole 0,2
Quitter la version mobile