Transfert ou saisie des rôles FSMO dans les services de domaine Active Directory

S’applique à : Windows Server, version 2004, all editionsWindows Server, version 1903, all editionsWindows Server 2019, all editions

Résumé


Cet article explique quand et comment procéder au transfert ou à la saisie des rôles d’opérations à maître unique flottant (FSMO). 

Informations supplémentaires


Dans une forêt AD DS (Services de domaine Active Directory), il existe des tâches spécifiques qui ne doivent être exécutées que par un seul contrôleur de domaine. Les contrôleurs de domaine assignés à l’exécution de ces opérations uniques sont connus sous le nom de FSMO (Flexible Single Operations Master). Le tableau suivant répertorie les rôles FSMO et leur placement dans Active Directory.

Rôle
Portée
Contexte d’appellation (partition Active Directory)
maître de schéma ; À l’échelle de la forêt CN=Schéma,CN=configuration,DC=<domaine_racine_forêt>
maître d'attribution de noms de domaine ; À l’échelle de la forêt CN=configuration,DC=<domaine_racine_forêt>
maître RID ; À l’échelle du domaine DC=<domaine>
émulateur PDC ; À l’échelle du domaine DC=<domaine>
Maître d’infrastructure À l’échelle du domaine DC=<domaine>
 

Pour plus d’informations sur les détenteurs de rôle FSMO et les recommandations relatives au placement des rôles, consultez l’article Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Active Directory

Lorsqu’un contrôleur de domaine agissant précédemment en tant que détenteur de rôle commence à s’exécuter (par exemple, après une défaillance ou un arrêt), il n’aura pas immédiatement un comportement de détenteur de rôle. Le contrôleur de domaine attend de recevoir la réplication entrante pour son contexte d’appellation (par exemple, le détenteur de rôle Contrôleur de schéma attend de recevoir la réplication entrante de la partition du schéma).

Les informations que les contrôleurs de domaine transmettent dans le cadre de la réplication Active Directory comprennent l’identité des détenteurs actuels de rôles FSMO. Lorsque le contrôleur de domaine récent reçoit les informations de réplication entrante, il vérifie s’il s’agit toujours du détenteur de rôle. Si c’est le cas, les opérations type sont relancées. Si les informations répliquées indiquent qu’un autre contrôleur de domaine agit au titre du détenteur du rôle, le nouveau contrôleur de domaine renonce à la détention du rôle. Ce comportement réduit la possibilité de duplication des détenteurs de rôles FSMO dans le domaine ou la forêt.

Pour plus d’informations, consultez l’article suivant de la Base de connaissances :

305476 Exigences initiales de synchronisation pour les détenteurs de rôles de maître d’opérations Windows Server

 

Déterminer quand transférer ou saisir des rôles

Dans des conditions normales, les cinq rôles doivent tous être assignés à des contrôleurs de domaine « actifs » dans la forêt. Lorsque vous créez une forêt Active Directory, l’Assistant Installation d'Active Directory (Dcpromo.exe) assigne les cinq rôles FSMO au premier contrôleur de domaine qu’il crée dans le domaine racine de la forêt. Lorsque vous créez un domaine enfant ou un domaine d’arborescence, Dcpromo.exe assigne les trois rôles à l’échelle du domaine au premier contrôleur de domaine.

Les contrôleurs de domaine continuent de détenir des rôles FSMO jusqu’à ce qu’ils soient réassignés par le biais d’une des méthodes suivantes :

  • Un administrateur réassigne le rôle à l’aide d’un outil d’administration à interface graphique.
  • Un administrateur réassigne le rôle à l’aide de la commande ntdsutil /roles.
  • Un administrateur peut facilement rétrograder un contrôleur de domaine détenteur de rôle, par le biais de l’Assistant Installation d’Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt.
  • Un administrateur peut rétrograder un contrôleur de domaine détenteur de rôle à l’aide de la commande dcpromo /forceemoval.
  • Le contrôleur de domaine s’arrête et redémarre. Lorsque le contrôleur de domaine redémarre, il reçoit des informations de réplication entrante lui indiquant qu’un autre contrôleur de domaine est détenteur du rôle. Dans ce cas, le contrôleur de domaine nouvellement lancé renonce au rôle (tel que décrit précédemment).

Si un détenteur de rôle FSMO rencontre un dysfonctionnement ou est mis hors service avant le transfert de ses rôles, il convient de saisir et de transférer les rôles sur un contrôleur de domaine adapté et sain.

Nous recommandons le transfert des rôles FSMO dans les scénarios suivants :

  • Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO.
  • Vous pouvez facilement rétrograder un contrôleur de domaine qui détient actuellement les rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory.
  • Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à des contrôleurs de domaine « actifs ». Vous devrez peut-être transférer des rôles pour effectuer des opérations qui concernent le détenteur de rôle FSMO. Cela est particulièrement vrai pour le rôle d’émulateur du contrôleur de domaine principal (PDC). Il s’agit d’une question moins importante pour le rôle de maître RID, le rôle de maître d’opérations des noms de domaine et les rôles de contrôleur de schéma.

Nous recommandons de prendre des rôles FSMO dans les scénarios suivants :

  • Le détenteur de rôle actuel rencontre une erreur opérationnelle qui empêche le bon déroulement d’une opération FSMO et ce rôle ne peut pas être transféré.
  • Vous utilisez la commande dcpromo /forceemoval pour rétrograder de force un contrôleur de domaine qui possède un rôle FSMO.
  • Le système d’exploitation de l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé. 


Identifier un nouveau détenteur de rôle

Le meilleur candidat pour le nouveau détenteur de rôle est un contrôleur de domaine répondant aux critères suivants :

  • Il réside dans le même domaine que le détenteur de rôle précédent.
  • Il dispose de la copie répliquée et non protégée la plus récente de la partition de rôle.

Supposons, par exemple, que vous deviez transférer le rôle de contrôleur de schéma. Le rôle de contrôleur de schéma fait partie de la partition de schéma de la forêt (cn=Schéma, cn=configuration, dc=<domaine_racine_forêt>). Le meilleur candidat pour un nouveau détenteur de rôle est un contrôleur de domaine qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le détenteur actuel du rôle.

Pour plus d’informations, consultez visitez les ressources suivantes :


Saisie ou transfert de rôles FSMO

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou transférer des rôles. Pour accéder à des informations supplémentaires et à des exemples concernant l’utilisation de PowerShell pour ces tâches, voir Move-ADDirectoryServerOperationMasterRole.

Pour saisir ou transférer des rôles FSMO à l’aide de l’utilitaire Ntdsutil, procédez comme suit :

  1. Connectez-vous à un ordinateur membre qui a installé les outils AD RSAT, ou à un contrôleur de domaine situé dans la forêt où les rôles FSMO sont en train d'être transférés.
  2. Cliquez sur Démarrer > Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK.
  3. Tapez roles, puis appuyez sur Entrée.
  4. Tapez connections, puis appuyez sur Entrée.
  5. Tapez connect to server servername, puis appuyez sur Entrée.
  6. À l’invite server connections, tapez q, puis appuyez sur Entrée.
  7. Effectuez l’une des opérations suivantes :
    • Pour transférer le rôle : Tapez transfer <role>, puis appuyez sur Entrée.
    • Pour saisir le rôle, procédez comme suit : Tapez seize <role>, puis appuyez sur Entrée.
    Par exemple, pour définir le rôle de maître RID, tapez seize rid master. L’unique exception concerne le rôle d’émulateur PDC, dont la syntaxe est seize pdc, et non seize pdc emulator.

    Pour afficher la liste des rôles que vous pouvez transférer ou saisir, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles, fournie au début de cet article.
  8. À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.


Éléments à prendre en compte lors de la réparation ou de l’élimination des détenteurs de rôles précédents

Si c’est possible, et si vous étiez en mesure de transférer les rôles au lieu de les saisir, tâchez de corriger le détenteur de rôle précédent. Si vous ne pouvez pas corrigé le détenteur de rôle précédent, ou si vous avez saisi les rôles, retirez le détenteur de rôle précédent du domaine.

Pour redéfinir l’ordinateur réparé dans la forêt en tant que contrôleur de domaine

  1. Effectuez l’une des opérations suivantes :
    • Formatez le disque dur de l’ancien détenteur du rôle, puis réinstallez Windows sur l’ordinateur.
    • Rétrogradez de force l’ancien détenteur de rôle vers un serveur membre.
  2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour retirer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez l’article Nettoyer les métadonnées du serveur en utilisant Ntdsutil.
  3. Après avoir nettoyé les métadonnées, vous pouvez réaffecter l’ordinateur à un contrôleur de domaine et y transférer à nouveau un rôle.

Pour retirer l’ordinateur de la forêt après avoir saisi ses rôles

  1. Retirez le compte d’ordinateur du domaine.
  2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées du détenteur de rôle précédent. Pour plus d’informations, consultez l’article Pour nettoyer les métadonnées du serveur à l’aide de Ntdsutil.


Éléments à prendre en compte lors de la réintégration des îlots de réplication

Lorsqu’une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une période prolongée, les sections isolées du domaine ou de la forêt sont connues sous le nom d’îlots de réplication. Les contrôleurs de domaine d’un îlot ne peuvent pas se répliquer avec les contrôleurs de domaine d’autres îlots. Sur plusieurs cycles de réplication, les îlots de réplication se désynchronisent. Si chaque îlot dispose de ses propres détenteurs de rôle FSMO, le rétablissement de la communication entre les îlots peut provoquer des problèmes.

Le tableau suivant identifie les rôles FMSO qui peuvent causer des problèmes si une forêt ou un domaine a plusieurs détenteurs pour ce rôle :

Rôle
Conflits potentiels entre plusieurs détenteurs de rôles ?
maître de schéma ;

Oui

maître d'attribution de noms de domaine ; Oui
maître RID ; Oui
émulateur PDC ; Non
Maître d’infrastructure Non
 

Ce problème n’affecte ni le maître d’émulateur de contrôleur de domaine principal, ni le maître d’infrastructure. Ces détenteurs de rôle ne perpétuent pas les données opérationnelles. De plus, le maître d’infrastructure n’effectue pas souvent de modifications. Par conséquent, si plusieurs îles ont ces détenteurs de rôles, vous pouvez réintégrer les îles sans causer de problèmes à long terme.

Le contrôleur de schéma, le maître d'opérations des noms de domaine et le maître RID peuvent créer des objets et maintenir des changements dans Active Directory. Lors de la restauration de la réplication, chaque île dotée de l’un de ces détenteurs de rôles peut avoir des objets dupliqués ou conflictuels : schémas, domaines ou pools RID. Avant de réintégrer les îles, déterminez les détenteurs de rôle à conserver. Supprimez les doublons de contrôleurs de schéma, de maîtres d'opérations des noms de domaine et de maîtres RID, en suivant les procédures de réparation, d’enlèvement et de nettoyage énoncées dans cet article.

Références


Les articles suivants sont disponibles dans la Base de Connaissances Microsoft :

  • 197132 Rôles FSMO Active Directory dans Windows
  • 223346 Mise en place et optimisation du rôle FSMO sur les contrôleurs de domaine Active Directory
  • 223787 Procédure de saisie et de transfert des rôles FSMO
  • 305476 Exigences initiales de synchronisation pour les détenteurs de rôles de maître d’opérations Windows Server
  • 816099 COMMENT : Utiliser Ntdsutil pour trouver et nettoyer les identificateurs de sécurité en double dans Windows Server
  • 2001093 Dépannage de l’événement DNS ID 4013 : Le serveur DNS n’a pas été en mesure de charger les zones DNS intégrées à Active Directory
  • 2694933 La rétrogradation de DCPROMO échoue si elle n’est pas en mesure de communiquer avec le maître d’infrastructure DNS

Les articles suivants sont disponibles dans la Documentation en ligne de Microsoft :