Processus flexible de transfert et de saisie d’opération à maître unique

  • Article

Cet article décrit comment les rôles FSMO (Flexible Single Master Operations) sont transférés d’un contrôleur de domaine à un autre et comment ce rôle peut être nommé avec force si le contrôleur de domaine qui détenait précédemment le rôle n’est plus disponible.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 223787

Transfert du rôle d’opération monomaître flexible

Le transfert d’un rôle FSMO est la forme suggérée de déplacement d’un rôle FSMO entre des contrôleurs de domaine et peut être initié par l’administrateur ou en rétrogradant un contrôleur de domaine, mais n’est pas initié automatiquement par le système d’exploitation. Cela inclut un serveur dans un état d’arrêt. Les rôles FSMO ne sont pas automatiquement déplacés pendant le processus d’arrêt. Cela doit être pris en compte lors de l’arrêt d’un contrôleur de domaine qui a un rôle FSMO pour la maintenance, par exemple.

Dans un transfert normal d’un rôle FSMO entre deux contrôleurs de domaine, une synchronisation des données gérées par le propriétaire du rôle FSMO vers le serveur recevant le rôle FSMO est effectuée avant le transfert du rôle afin de garantir que toutes les modifications ont été enregistrées avant la modification du rôle.

Les attributs opérationnels sont des attributs qui se traduisent par une action sur le serveur. Ce type d’attribut n’est pas défini dans le schéma, mais est plutôt géré par le serveur et intercepté lorsqu’un client tente de le lire ou d’y écrire. Lorsque l’attribut est lu, le résultat est généralement un résultat calculé du serveur. Lorsque l’attribut est écrit, une action prédéfinie se produit sur le contrôleur de domaine.

Les attributs opérationnels suivants sont utilisés pour transférer des rôles FSMO et se trouvent sur l’entrée RootDSE (ou Root DSA Specific Entry, la racine de l’arborescence Active Directory pour un contrôleur de domaine donné où des informations spécifiques sur le contrôleur de domaine sont conservées). Dans l’opération d’écriture dans l’attribut opérationnel approprié sur le contrôleur de domaine pour recevoir le rôle FSMO, l’ancien contrôleur de domaine est rétrogradé et le nouveau contrôleur de domaine est automatiquement promu. Aucune intervention manuelle n’est nécessaire. Les attributs opérationnels qui représentent les rôles FSMO sont les suivants :

  • becomeRidMaster
  • becomeSchemaMaster
  • becomeDomainMaster
  • becomePDC
  • becomeInfrastructureMaster

Si l’administrateur spécifie le serveur pour recevoir le rôle FSMO à l’aide d’un outil tel que Ntdsutil, l’échange du rôle FSMO est défini entre le propriétaire actuel et le contrôleur de domaine spécifié par l’administrateur.

Lorsqu’un contrôleur de domaine est rétrogradé, l’attribut opérationnel « GiveAwayAllFsmoRoles » est écrit, ce qui déclenche le contrôleur de domaine pour localiser d’autres contrôleurs de domaine afin de décharger tous les rôles qu’il possède actuellement. Windows 2000 détermine les rôles que le contrôleur de domaine rétrogradé possède actuellement et localise un contrôleur de domaine approprié en suivant ces règles :

  1. Localisez un serveur dans le même site.
  2. Recherchez un serveur auquel il existe une connectivité RPC.
  3. Utilisez un serveur sur un transport asynchrone (tel que SMTP).

Dans tous les transferts, si le rôle est un rôle spécifique au domaine, le rôle peut être déplacé uniquement vers un autre contrôleur de domaine dans le même domaine. Sinon, tout contrôleur de domaine de l’entreprise est candidat.

Saisie du rôle d’opération à maître unique flexible

Les administrateurs doivent faire preuve d’une extrême prudence lors de la saisie des rôles FSMO. Dans la plupart des cas, cette opération doit être effectuée uniquement si le propriétaire du rôle FSMO d’origine n’est pas rétabli dans l’environnement.

Lorsque l’administrateur saisit un rôle FSMO à partir d’un ordinateur existant, l’attribut « fsmoRoleOwner » est modifié sur l’objet qui représente la racine des données en contournant directement la synchronisation des données et le transfert approprié du rôle. L’attribut « fsmoRoleOwner » de chacun des objets suivants est écrit avec le nom unique (DN) de l’objet NTDS Settings (les données dans Active Directory qui définit un ordinateur en tant que contrôleur de domaine) du contrôleur de domaine qui prend possession de ce rôle. À mesure que la réplication de cette modification commence à se propager, d’autres contrôleurs de domaine apprennent le changement de rôle FSMO.

Contrôleur de domaine principal (PDC) FSMO : LDAP ://DC=MICROSOFT,DC=COM RID Master FSMO : LDAP ://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM Schema Master FSMO : LDAP ://CN=Schema ,CN=Configuration,DC=Microsoft,DC=Com Infrastructure Master FSMO : LDAP ://CN=Infrastructure,DC=Microsoft,DC=Com Domain Naming Master FSMO : LDAP ://CN=Partitions,CN=Configuration,DC=Microsoft, DC=Com Par exemple, si Server1 est le contrôleur de domaine principal dans le domaine Microsoft.com et qu’il est mis hors service et que l’administrateur ne peut pas rétrograder correctement l’ordinateur, Server2 doit se voir attribuer le rôle FSMO du contrôleur de domaine principal. Une fois le rôle saisi, la valeur CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com est présente sur l’objet suivant : LDAP ://DC=MICROSOFT,DC=COM

References

Pour plus d’informations sur les rôles FSMO en général, consultez l’article suivant dans la Base de connaissances Microsoft :
197132 rôles FSMO Windows 2000 Active Directory

Pour plus d’informations sur le placement correct des rôles FSMO, consultez l’article suivant dans la Base de connaissances Microsoft :
placement et optimisation 223346 FSMO sur les domaines Windows 2000