Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 255504 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F255504
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment utiliser l'outil Ntdsutil.exe pour transférer ou prendre des rôles FSMO (Flexible Single Master Operations).

Plus d'informations

Certaines opérations à l'échelle du domaine et de l'entreprise qui ne sont pas adaptées aux mises à jour multimaîtres sont effectuées par un contrôleur de domaine unique dans un domaine ou une forêt Active Directory. Les contrôleurs de domaine qui sont assignés pour effectuer ces opérations uniques portent le nom de maîtres d'opérations ou de détenteurs de rôles FSMO.

La liste suivante décrit les 5 rôles FSMO uniques dans une forêt Active Directory et les opérations dépendantes qu'ils effectuent :
  • Contrôleur de schéma - Le rôle de contrôleur de schéma est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour étendre le schéma d'une forêt Active Directory ou pour exécuter la commande adprep /domainprep.
  • Maître d'opérations des noms de domaine - Le maître d'opérations des noms de domaine est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour ajouter ou supprimer des domaines ou des partitions d'applications dans une forêt.
  • Maître RID - Le rôle de maître RID est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour allouer la réserve RID afin que les contrôleurs de domaine nouveaux ou existants puissent créer des comptes d'utilisateurs, des comptes d'ordinateurs ou des groupes de sécurité.
  • Émulateur PDC - Le rôle d'émulateur PDC est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour le contrôleur de domaine qui envoie des mises à jour de base de données aux contrôleurs de domaine secondaires Windows NT. Le contrôleur de domaine qui détient ce rôle est ciblé également par certains outils d'administration et certaines mises à jour de mots de passe de comptes d'utilisateurs et de comptes d'ordinateurs.
  • Maître d'infrastructure - Le rôle de maître d'infrastructure est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire aux contrôleurs de domaine pour exécuter la commande adprep /forestprep avec succès et mettre à jour les attributs SID et attributs de noms uniques pour les objets qui sont référencés d'un domaine à un autre.
L'Assistant Installation d'Active Directory (Dcpromo.exe) assigne tous les 5 rôles FSMO au premier contrôleur de domaine dans le domaine racine de forêt. Les trois rôles à l'échelle du domaine sont assignés au premier contrôleur de domaine dans chaque nouveau domaine enfant ou domaine d'arborescence. Les contrôleurs de domaine continuent de détenir des rôles FSMO jusqu'à ce qu'ils soient réassignés par le biais d'une des méthodes suivantes :
  • Un administrateur réassigne le rôle à l'aide d'un outil d'administration à interface graphique.
  • Un administrateur réassigne le rôle à l'aide de la commande ntdsutil /roles.
  • Un administrateur rétrograde gracieusement un contrôleur de domaine détenteur de rôle par le biais de l'Assistant Installation d'Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt. Les rétrogradations effectuées à l'aide de la commande dcpromo /forceremoval laissent les rôles FSMO dans un état non valide jusqu'à ce qu'ils soient réassignés par un administrateur.
Nous recommandons de transférer des rôles FSMO dans les scénarios suivants :
  • Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO.
  • Vous rétrogradez gracieusement un contrôleur de domaine qui détient actuellement des rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory.
  • Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à un contrôleur de domaine « live ». Cela peut être requis pour effectuer des opérations qui assurent une connexion au propriétaire FSMO. Cela serait particulièrement vrai pour le rôle d'émulateur PDC, mais moins vrai pour le rôle de maître RID, le rôle de maître d'opérations des noms de domaine et le rôle de contrôleur de schéma.
Nous recommandons de prendre des rôles FSMO dans les scénarios suivants :
  • Le détenteur de rôle actuel rencontre une erreur opérationnelle qui empêche une opération FSMO de se terminer avec succès et ce rôle ne peut pas être transféré.
  • Un contrôleur de domaine qui possède un rôle FSMO est rétrogradé de force à l'aide de la commande dcpromo /forceremoval.
  • Le système d'exploitation de l'ordinateur qui détenait à l'origine un rôle spécifique n'existe plus ou a été réinstallé.
Lors de la réplication, les contrôleurs de domaine non-FSMO du domaine ou de la forêt sont informés de toutes les modifications apportées par les contrôleurs de domaine détenteurs de rôles FSMO. Si vous devez transférer un rôle, le meilleur candidat est un contrôleur de domaine qui se trouve dans le domaine approprié qui a effectué la dernière réplication entrante (ou récemment effectué une réplication entrante) d'une copie accessible en écriture de la « partition FSMO » à partir du détenteur de rôle existant. Par exemple, le détenteur du rôle de contrôleur de schéma a comme chemin de nom unique CN=schema,CN=configuration,dc=<domaine_racine_forêt>, ce qui signifie que des rôles sont répliqués dans le cadre de la partition CN=schema et résident dans celle-ci. Si le contrôleur de domaine qui détient le rôle de contrôleur de schéma rencontre une panne matérielle ou logicielle, un bon candidat pour le rôle serait un contrôleur de domaine du domaine racine situé dans le même site Active Directory que le propriétaire actuel. Les contrôleurs de domaine situés dans le même site Active Directory effectuent la réplication entrante toutes les 5 minutes ou 15 secondes.

La partition de chaque rôle FSMO est répertoriée dans la liste suivante :

Réduire ce tableauAgrandir ce tableau
Rôle FSMOPartition
SchémaCN=Schema,CN=configuration,DC=<domaine_racine_forêt>
maître d'opérations des noms de domaineCN=configuration,DC=<domaine_racine_forêt>
Émulateur PDCDC=<domaine>
RIDDC=<domaine>
InfrastructureDC=<domaine>


Un contrôleur de domaine dont les rôles FSMO ont été pris ne doit pas être autorisé à communiquer avec les contrôleurs de domaine existants dans la forêt. Dans ce scénario, vous devez soit formater le disque dur et réinstaller le système d'exploitation sur ces contrôleurs de domaine, soit forcer leur rétrogradation sur un réseau privé puis supprimer leurs métadonnées sur un contrôleur de domaine survivant dans la forêt par le biais de la commande ntdsutil /metadata cleanup. Le risque posé par l'introduction dans la forêt d'un ancien détenteur de rôle FSMO dont le rôle a été pris est que le détenteur de rôle d'origine peut continuer à fonctionner comme auparavant jusqu'à ce qu'il soit informé de la prise de rôle grâce à la réplication entrante. La possession de rôles FSMO identiques par deux contrôleurs de domaine présente des risques connus, tels que la création d'entités de sécurité ayant des réserves RID à chevauchement.

Transfert de rôles FSMO

Pour transférer les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit :
  1. Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont transférés. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés.
  2. Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK.
  3. Tapez roles, puis appuyez sur Entrée.

    Remarque Pour afficher une liste des commandes disponibles aux invites de l'utilitaire Ntdsutil, tapez ? et appuyez sur Entrée.
  4. Tapez connections et appuyez sur Entrée.
  5. Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO.
  6. À l'invite server connections, tapez q, puis appuyez sur Entrée.
  7. Tapez transfer rôle, où rôle est le rôle à transférer. Pour afficher une liste des rôles que vous pouvez transférer, tapez ? à l'invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour transférer le rôle de maître RID, tapez transfer rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est transfer pdc, et non transfer pdc emulator.
  8. À l'invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter Ntdsutil.

Prise de rôles FSMO

Pour prendre les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit :
  1. Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont pris. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés.
  2. Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK.
  3. Tapez roles, puis appuyez sur Entrée.
  4. Tapez connections et appuyez sur Entrée.
  5. Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO.
  6. À l'invite server connections, tapez q, puis appuyez sur Entrée.
  7. Tapez seize rôle, où rôle est le rôle à prendre. Pour afficher une liste des rôles que vous pouvez prendre, tapez ? à l'invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour prendre le rôle de maître RID, tapez seize rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est seize pdc, et non seize pdc emulator.
  8. À l'invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter Ntdsutil.

    Remarques
    • Dans des conditions normales, tous les cinq rôles doivent être assignés à des contrôleurs de domaine « live » dans la forêt. Si un contrôleur de domaine qui possède un rôle FSMO est mis hors service avant que ses rôles soient transférés, vous devez prendre tous les rôles sur un contrôleur de domaine approprié et sain. Nous vous recommandons de prendre tous les rôles uniquement lorsque l'autre contrôleur de domaine ne retourne pas au domaine. Si possible, réparez le contrôleur de domaine défectueux auquel les rôles FSMO sont assignés. Vous devez identifier quels rôles doivent être assignés à quels contrôleurs de domaine restants afin que les cinq rôles ne soient pas tous assignés à un même contrôleur de domaine. Pour plus d'informations sur le placement des rôles FSMO, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      223346 Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Windows 2000
    • Si le contrôleur de domaine qui détenait auparavant un rôle FSMO n'est pas présent dans le domaine et si ses rôles ont été pris lors des étapes précédentes de cet article, supprimez-le de l'annuaire Active Directory en appliquant la procédure décrite dans l'article suivant de la Base de connaissances Microsoft :
      216498 Comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine
    • La suppression des métadonnées d'un contrôleur de domaine avec la version Windows 2000 ou Windows Server 2003 build 3790 de la commande ntdsutil /metadata cleanup ne déplace pas les rôles FSMO qui sont assignés à des contrôleurs de domaine « live ». La version Windows Server 2003 Service Pack 1 (SP1) de l'utilitaire Ntdsutil automatise cette tâche et supprime des éléments supplémentaires des métadonnées de contrôleur de domaine.
    • Certains clients préfèrent ne pas restaurer de sauvegardes d'état du système de détenteurs de rôle FSMO, de peur que le rôle ait été réassigné depuis que la sauvegarde a été effectuée.
    • Ne placez pas le rôle de maître d'infrastructure sur le même contrôleur de domaine que le serveur de catalogue global. Si le rôle de maître d'infrastructure est exécuté sur un serveur de catalogue global, il arrête la mise à jour des informations sur les objets car il ne dispose pas de références aux objets qu'il ne contient pas. Cela s'explique par le fait qu'un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt.
Pour vérifier si un contrôleur de domaine est également un serveur catalogue global, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Sites et services Active Directory.
  2. Double-cliquez sur Sites dans le volet gauche, puis recherchez le site approprié ou cliquez sur premier_site_par_défaut si aucun autre site n'est disponible.
  3. Ouvrez le dossier Servers, puis cliquez sur le contrôleur de domaine.
  4. Dans le dossier du contrôleur de domaine, double-cliquez sur NTDS Settings.
  5. Dans le menu Action, cliquez sur Propriétés.
  6. Sous l'onglet Général, vérifiez si la case à cocher Catalogue global est activée.
Pour plus d'informations sur les rôles FSMO, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
197132 Rôles FSMO de Windows 2000 Active Directory
223787 Procédure de cessation et de transfert FSMO

Procédure pour reproduire le problème

Exécutez DCPROMO sur un ordinateur Windows Server 2008 pour associer un domaine où le maître RID est en mode hors connexion. Vous recevrez un avertissement que vous devez avoir un maître RID actif. Ensuite, vous verrez une référence à l'article 255504 de la Base de connaissances.
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation.

Propriétés

Numéro d'article: 255504 - Dernière mise à jour: mardi 2 juillet 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbhowto KB255504
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com