kb-ms-ad-fsmo - My Personal Knowledge Base

# AD : Manipuler les rôles FSMO Dans cet article, nous allons manipuler les rôles FSMO avec différentes commandes PowerShell et des outils spécifiques installés par défaut sur les DC comme ntdsutil, netdom ou dcdiag. # Trouver les titulaires des rôles FSMO ## En ligne de commande Vérification avec la commande netdom : ```batch netdom query /domain:domaine.fr fsmo ``` Vérification en PowerShell : ```powershell Get-ADDomain | Select-Object SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator ``` avec dcdiag : ``` DCdiag /test:Knowsofroleholders /v ``` Avec ntdsutil : 1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez cmd dans la zone Ouvrir, puis appuyez sur Entrée. 2. Tapez ntdsutil, puis appuyez sur Entrée. 3. Tapez la gestion du domaine, puis appuyez sur Entrée. 4. Tapez connections et appuyez sur Entrée. 5. Tapez la connexion au serveur **ServerName**, où **ServerName** est le nom du contrôleur de domaine que vous souhaitez afficher, puis appuyez sur Entrée. 6. Tapez quitter, puis appuyez sur Entrée. 7. Tapez sélectionner la cible de l’opération, puis appuyez sur Entrée. 8. Tapez des rôles de liste pour le serveur connecté, puis appuyez sur Entrée. Une liste s’affiche de la même façon que celle répertoriée ci-dessous. Les résultats peuvent très dépendre des rôles que le contrôleur de domaine particulier peut contenir. Si vous recevez un message d’erreur, vérifiez l’orthographe des commandes en tant que syntaxe des commandes doit être exacte. Si vous avez besoin de la syntaxe d’une commande, tapez ? ## Via l'interface graphique ### RID, PDC et Infrastructure 1. Cliquez droit sur Démarrer, sur Exécuter, tapez **dsa.msc**, puis cliquez sur OK. 2. Cliquez avec le bouton droit sur l’objet domaine sélectionné dans le volet supérieur gauche, puis cliquez sur Operations Masters. 3. Cliquez sur l’onglet Contrôleur de domaine principal pour afficher le serveur contenant le rôle principal du contrôleur de domaine principal. 4. Cliquez sur l’onglet Infrastructure pour afficher le serveur contenant le rôle maître d’infrastructure. 5. Cliquez sur l’onglet Pool RID pour afficher le serveur contenant le rôle maître RID. ### Schema master 1. Cliquez sur Démarrer, sur Exécuter, tapez **mmc**, puis cliquez sur OK. 2. Dans le menu console, cliquez sur **Ajouter/Supprimer le composant logiciel enfichable**, cliquez sur Ajouter, double-cliquez sur Schéma Active Directory, sur Fermer, puis sur OK. 3. Cliquez avec le bouton droit sur Le schéma Active Directory dans le volet supérieur gauche, puis cliquez sur Operations Masters pour afficher le serveur contenant le rôle maître de schéma. > [!info] À savoir ! Pour que le composant logiciel enfichable Schéma Active Directory soit disponible, vous devrez peut-être inscrire le fichier Schmmgmt.dll. Pour ce faire, cliquez sur Démarrer, cliquez sur Exécuter, tapez regsvr32 schmmgmt.dll dans la zone Ouvrir, puis cliquez sur OK. Un message s’affiche indiquant que l’inscription a réussi. ### Domain name master 1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK. 2. Dans le menu console, cliquez sur **Ajouter/Supprimer le composant logiciel enfichable**, cliquez sur Ajouter, double-cliquez sur **domaine Active Directory s et approbations**, cliquez sur Fermer, puis sur OK. 3. Dans le volet gauche, cliquez sur **domaine Active Directory s et approbations**. 4. Cliquez avec le bouton droit sur **domaine Active Directory s et approuver**, puis cliquez sur Operations Master pour afficher le serveur contenant le rôle maître de nommage de domaine dans la forêt. # Transférer ou saisir les rôles FSMO > [!danger] Attention ! Si vous n'avez jamais transféré ou saisi de rôle FSMO, prenez connaissance de l'article Microsoft Learn : [Déterminer quand transférer ou saisir un rôle FSMO](https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/active-directory/transfer-or-seize-operation-master-roles-in-ad-ds#determine-when-to-transfer-or-seize-roles). Il existe deux méthodes principales pour changer le titulaire d'un rôle FSMO : - **Transfert (transfer)** : Cette méthode est utilisée lorsque l'état de santé de la forêt Active Directory est stable. Elle convient parfaitement pour des opérations planifiées, telles que des travaux de maintenance, des mises à niveau ou la réorganisation de l'infrastructure. Le transfert implique une communication active entre les contrôleurs de domaine et garantit une transition fluide du rôle FSMO d'un serveur à un autre. - **Saisie (seize)** : Cette méthode s'applique en situation de panne critique où le contrôleur de domaine titulaire d'un rôle FSMO n'est plus opérationnel et ne peut pas être remis en service rapidement. La saisie consiste à forcer un autre contrôleur de domaine à assumer le rôle FSMO, ce qui peut entraîner des risques de corruption ou des incohérences si le contrôleur initial revient en ligne sans précautions. ## Transférer en PowerShell Commande magique pour basculer les rôles FSMO : ```PowerShell Move-ADDirectoryServerOperationMasterRole -Identity "AD01" -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator ``` Pour l'option `-OperationMasterRole` il est possible de remplacer le nom du rôle par son numéro : - 0 pour PDCEmulator - 1 pour RIDMaster - 2 pour InfrastructureMaster - 3 pour SchemaMaster - 4 pour DomainNamingMaster ```PowerShell Move-ADDirectoryServerOperationMasterRole -Identity "AD01" -OperationMasterRole 0,1,2,3,4 ``` ## Transférer ou saisir un rôle avec ntdsutil Pour saisir ou transférer les rôles Operation Master à l’aide de l’utilitaire Ntdsutil, procédez comme suit : > [!info] À savoir ! L’utilisateur connecté doit être membre du groupe Administrateurs d’entreprise pour transférer des rôles maître de schéma ou de nommage de domaine, ou membre du groupe Administrateurs de domaine du domaine où l’émulateur PDC, le maître RID et les rôles de base d’infrastructure sont transférés. > [!warning] Rappel ! Nous vous recommandons de vous connecter au contrôleur de domaine auquel vous affectez des rôles Operation Master. 1. Connectez-vous à un contrôleur de domaine situé dans la forêt où les rôles Operation Master sont transférés. 2. Sélectionnez **Démarrer**>**Exécuter**, tapez _ntdsutil_ dans la zone **Ouvrir**, puis sélectionnez **OK**. 3. Tapez _roles_, puis appuyez sur Entrée. 4. Tapez _connections_, puis appuyez sur Entrée. 5. Tapez _connect to AD02_, puis appuyez sur Entrée (rempalcez AD02, par le nom du DC qui va récupérer les rôles FSMO) 6. À l’invite **server connections**, tapez _q_, ensuite appuyez sur Entrée pour quitter le menu de connexion 7. Effectuez l’une des actions suivantes, remplacez _`<rôle>`_ est le rôle que vous souhaitez saisir : - Pour transférer le rôle : tapez _`transfer <rôle>`_, puis appuyez sur Entrée. - Pour saisir le rôle : tapez _`seize <rôle>`_, puis appuyez sur Entrée. Par exemple, pour définir le rôle de maître RID, tapez _seize rid master_. Des exceptions concernent le rôle Émulateur PDC, dont la syntaxe est **seize pdc**, et le rôle Maître d’opérations des noms de domaine, dont la syntaxe est **seize naming master**. 8. À l’invite **fsmo maintenance**, tapez _q_, puis appuyez sur Entrée pour accéder à l’invite **ntdsutil**. Tapez _q_, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil. > [!info] À savoir ! Pour afficher la liste des options disponibles vous pouvez taper **`?`** à chaque étape des menus ntdsutils. Dans l'exemple ci-dessous la séquence permet de saisir les 5 rôles FSMO sur AD02 avec l'outil ntdsutil : ```cmd ntdsutil roles connections connect to AD02 q seize naming master seize RID master seize PDC seize schema master seize infrastructure master q q ``` # Références - Microsoft Learn : - [Find servers holding FSMO roles](https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/active-directory/find-servers-holding-fsmo-role) - [Transfer or Seize fsmo](https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/active-directory/transfer-or-seize-operation-master-roles-in-ad-ds) - IT CONNECT : - [Active Directory : transfert des rôles FSMO avec NTDSUTIL](https://www.it-connect.fr/transfert-des-roles-fsmo-avec-ntdsutil/ "Active Directory : transfert des rôles FSMO avec NTDSUTIL") - [Seizing de rôles FSMO de l’Active Directory avec ntdsutil](https://www.it-connect.fr/seizing-de-roles-fsmo/ "Seizing de rôles FSMO de l’Active Directory avec ntdsutil")