Active Directory : Transfert des rôles FSMO (Flexible Single Master Operations)
10 décembre 2020Présentation des rôles FSMO
« Flexible Single Master Operation ».
Il existe 5 rôles Flexible Single Master Opération, deux rôles sont uniques dans la forêt et les trois autres sont uniques dans un domaine.
Un contrôleur de domaine peut avoir aucun ou plusieurs rôles FSMO.
Pour afficher les rôles FSMO, la commande suivante doivent être exécutée sur un Contrôleur de domaine.
netdom query fsmo
Maître d’attribution des noms de domaine
Le maître d’opération est unique au sein de la forêt, et il est le seul autorisé à distribuer des noms de domaine aux contrôleurs de domaine, lors de la création d’un nouveau domaine.
Contrôleur de Schéma
Le schéma désigne la structure de l’annuaire Active Directory, Il est unique dans la forêt, il gère le schéma Active Directory qui contient l’ensemble des objets qui peuvent être créés et les attributs. Il est le seul à pouvoir modifier le schéma.
Maître RID
Il distribue un pool RID à chaque contrôleur de domaine pour s’assurer que chaque SID délivré par un DC sera unique
Émulateur de contrôleur principal de domaine (PDC)
Il est unique au sein du domaine, il se charge de la synchronisation de l’heure entre les différents serveurs et ordinateurs et de la modification des mots de passe ainsi que des verrouillages des comptes.
Maître infrastructure
Il est unique au sein du domaine, son rôle est de gérer les références inter-domaine.
On peut transférer un seul rôle ou plusieurs, vous pouvez transférer des rôles FSMO à l’aide de l’utilitaire de ligne de commande Ntdsutil.exe , PowerShell ou à l’aide de l’assistant graphique
Pour transférer le rôle FSMO, l’administrateur doit être membre du groupe suivant :
NTDSUTIL.exe
Pour cela il suffit d’aller dans Démarrer, Exécuter puis de saisir “ntdsutil.exe“.
- Tapez « roles » et appuyez sur Entrée.
- Tapez « connections» et appuyez sur Entrée.
- Tapez « connect to server ‘nom du serveur‘ » et appuyez sur Entrée. « le nom du serveur doit correspondre au serveur qui reçoit les rôles
- Tapez « quit» et appuyez sur Entrée.
Nous transférerons les rôles FSMO un par un avec la commande correspondante, selon le cas. Après chaque entrée apparaît une fenêtre de confirmation. Cliquez simplement sur Oui pour continuer.
- Pour Schema Master tapez « transfer schema master» et appuyez sur Entrée.
- Pour RID Master tapez « transfer rid master » et appuyez sur Entrée.
- Pour Domain Naming Master tapez « transfer naming master » et appuyez sur Entrée.
- Pour PDC Emulator tapez « transfer pdc » et appuyez sur Entrée.
- Pour Infrastructure Master tapez « transfer infrastructure master» et appuyez sur Entrée.
Une fois le transfert des rôles terminé, tapez « quit » pour quitter NTDSUTIL
PowerShell
Pour cela il suffit d’ouvrir une console PowerShell en tant qu’administrateur.
|
1 2 |
Import-Module ActiveDirectory » Move-ADDirectoryServerOperationMasterRole -Identity “S2” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster |
Assistant graphique
- Allez dans Utilisateurs et ordinateurs Active Directory
- Dans Action => Maitre d’opération, on trouve un onglet par maitre FSMO que l’on peut transférer. (RID, CDP pour émulateur PDC et Infrastructure)
- Pour terminer, il reste à migrer le contrôleur de schéma. Pour cela, il faut ouvrir une invite de commande et enregistrer la DLL nécessaire :
|
1 |
regsvr32.exe schmmgmt.dll |
- Maintenant ouvrez une nouvelle console MMC
- Puis allez dans Fichier => Ajouter/Supprimer un composant enfichable,
- Choisissez Schéma Active Directory.
- Dans Active => Maitre d’opération, vous trouverez l’interface pour migrer le rôle : maitre de schéma.
Vérification de la migration
Pour vérifier que les rôles ont bien été migrés, on utilise la commande vu précédemment
netdom query fsmo
Visits: 11488
