Transférer ou saisir des rôles Operation Master dans services de domaine Active Directory

  • Article

Cet article décrit quand et comment transférer ou saisir des rôles Operation Master, anciennement appelés rôles FSMO (Flexible Single Master Operations).

              Sʼapplique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de l’article d’origine dans la base de connaissances : 255504

Plus d’informations

Dans une forêt Active Directory Domain Services (AD DS), il existe des tâches spécifiques qui doivent être effectuées par un seul contrôleur de domaine (DC). Les contrôleurs de domaine affectés pour effectuer ces opérations uniques sont appelés titulaires de rôle Maître d’opérations. Le tableau suivant répertorie les rôles Operation Master et leur positionnement dans Active Directory.

Role Portée Contexte d’appellation (partition Active Directory)
Contrôleur de schéma Forêt CN=Schema,CN=configuration,DC=<domaine_racine_forêt>
Maître d’opérations des noms de domaine Forêt CN=configuration,DC=<domaine_racine_forêt>
Émulateur PDC Domaine DC=<domaine>
Maître RID Domaine DC=<domaine>
Maître d’infrastructure Domaine DC=<domaine>

Pour plus d’informations sur les titulaires de rôles Operation Master et les recommandations relatives au placement des rôles, consultez Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory.

Remarque

Les partitions d’application Active Directory qui incluent des partitions d’application DNS ont des liens de rôle Maître d’opération. Si une partition d’application DNS définit un propriétaire pour le rôle de master d’infrastructure, vous ne pouvez pas utiliser Ntdsutil, DCPromo ou d’autres outils pour supprimer cette partition d’application. Pour plus d’informations, consultez l’article La rétrogradation DCPROMO échoue si elle ne parvient pas à contacter le maître d’infrastructure DNS.

Lorsqu’un contrôleur de domaine qui a agi en tant que titulaire du rôle commence à s’exécuter (par exemple, après une défaillance ou un arrêt), il ne reprend pas immédiatement son comportement en tant que titulaire du rôle. Le contrôleur de domaine attend de recevoir la réplication entrante pour son contexte d’appellation (par exemple, le détenteur du rôle Contrôleur de schéma attend de recevoir la réplication entrante de la partition de schéma).

Les informations que les contrôleurs de domaine transmettent dans le cadre de la réplication Active Directory incluent les identités des titulaires de rôle Operation Master actuels. Lorsque le contrôleur de domaine nouvellement démarré reçoit les informations de réplication entrante, il vérifie s’il s’agit toujours du détenteur du rôle. Si c’est le cas, il reprend les opérations habituelles. Si les informations répliquées indiquent qu’un autre contrôleur de domaine fait office de détenteur de rôle, le nouveau contrôleur de domaine démarré abandonne l’appartenance du rôle. Ce comportement réduit le risque que le domaine ou la forêt ait des titulaires de rôle Maître d’opération en double.

Importante

Les opérations AD FS échouent si elles nécessitent un titulaire de rôle et si le détenteur de rôle nouvellement démarré est, en fait, le détenteur du rôle et qu’il ne reçoit pas de réplication entrante.
Tout se passe alors comme si le détenteur de rôle était hors connexion.

Déterminer quand transférer ou prendre des rôles

Dans des conditions normales, les cinq rôles doivent tous être attribués à des contrôleurs de domaine « actifs » dans la forêt. Lorsque vous créez une forêt Active Directory, l’Assistant Installation d’Active Directory (Dcpromo.exe) attribue les cinq rôles Operation Master au premier contrôleur de domaine qu’il crée dans le domaine racine de la forêt. Lorsque vous créez un domaine enfant ou arborescence, le mécanisme de création attribue les trois rôles à l’échelle du domaine au premier contrôleur de domaine du domaine.

Les contrôleurs de domaine continuent de posséder des rôles Operation Master jusqu’à ce qu’ils soient réaffectés à l’aide de l’une des méthodes suivantes :

  • Un administrateur réassigne le rôle à l’aide d’un outil d’administration à interface graphique.
  • Un administrateur réassigne le rôle à l’aide de la commande ntdsutil /roles.
  • Un administrateur rétrograde normalement un contrôleur de domaine détenteur de rôle par le biais de l’Assistant Installation d’Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt.
  • Un administrateur rétrograde un contrôleur de domaine détenant un rôle à l’aide de la Uninstall-ADDSDomainController -ForceRemoval commande ou dcpromo /forceremoval .
  • Le contrôleur de domaine s’arrête et redémarre. Lorsque le contrôleur de domaine redémarre, il reçoit des informations de réplication entrante lui indiquant qu’un autre contrôleur de domaine est détenteur du rôle. Dans ce cas, le contrôleur de domaine nouvellement lancé renonce au rôle (tel que décrit précédemment).

Si un titulaire de rôle Maître d’opération rencontre une défaillance ou est mis hors service avant que ses rôles ne soient transférés, vous devez saisir et transférer tous les rôles vers un contrôleur de domaine approprié et sain.

Nous vous recommandons de transférer les rôles Operation Master dans les scénarios suivants :

  • Le détenteur du rôle actuel est opérationnel et est accessible sur le réseau par le nouveau propriétaire du maître d’opération.
  • Vous rétrogradez normalement un contrôleur de domaine qui possède actuellement les rôles Operation Master que vous souhaitez affecter à un contrôleur de domaine spécifique dans votre forêt Active Directory.
  • Le contrôleur de domaine qui possède actuellement des rôles Operation Master est mis hors connexion pour la maintenance planifiée, et vous devez attribuer des rôles Operation Master spécifiques aux contrôleurs de domaine en direct. Vous devrez peut-être transférer des rôles pour effectuer des opérations qui affectent le propriétaire du maître d’opération. Cela est particulièrement vrai pour le rôle d’émulateur du contrôleur de domaine principal (PDC). Il s’agit d’un problème moins important pour le rôle maître RID, le rôle de maître d’attribution de noms de domaine et les rôles de contrôleur de schéma.

Nous vous recommandons de saisir les rôles Operation Master dans les scénarios suivants :

  • Le détenteur du rôle actuel rencontre une erreur opérationnelle qui empêche une opération dépendante du maître d’opération de s’exécuter correctement et vous ne pouvez pas transférer le rôle.

  • Vous utilisez la Uninstall-ADDSDomainController -ForceRemoval commande ou dcpromo /forceremoval pour forcer la rétrogradation d’un contrôleur de domaine qui possède un rôle de maître d’opération.

    Importante

    La force-demote commande peut laisser les rôles Operation Master dans un état non valide jusqu’à ce qu’ils soient réaffectés par un administrateur.

  • Le système d’exploitation de l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.

Remarque

  • Nous vous recommandons de saisir tous les rôles uniquement lorsque le détenteur du rôle précédent ne revient pas au domaine.
  • Si les rôles Operation Master doivent être saisis dans les scénarios de récupération de forêt, consultez l’étape 5 dans Effectuer la récupération initiale sous la section Restaurer le premier contrôleur de domaine accessible en écriture dans chaque domaine .
  • Après un transfert ou une saisie de rôle, le nouveau détenteur du rôle n’agit pas immédiatement. Au lieu de cela, le nouveau détenteur du rôle se comporte comme un détenteur de rôle redémarré et attend sa copie du contexte d’appellation pour le rôle (comme la partition de domaine) pour lancer efficacement un cycle de réplication entrante. Cette exigence de réplication permet de s’assurer que le nouveau détenteur de rôle est aussi à jour que possible avant d’entrer en action. Elle limite également le nombre d’erreurs potentielles. Cette fenêtre comprend uniquement les changements que le détenteur de rôle précédent n’a pas fini de reproduire sur les autres contrôleurs de domaine avant qu’il ne soit hors ligne. Pour obtenir la liste du contexte d’affectation de noms pour chaque rôle Operation Master, consultez le tableau dans la section Plus d’informations .

Identifier un nouveau titulaire de rôle

Le meilleur candidat pour le nouveau détenteur de rôle est un contrôleur de domaine répondant aux critères suivants :

  • Il réside dans le même domaine que le détenteur de rôle précédent.
  • Il dispose de la copie répliquée et non protégée la plus récente de la partition de rôle.

Supposons, par exemple, que vous deviez transférer le rôle de contrôleur de schéma. Le rôle de master de schéma fait partie de la partition de schéma de la forêt (CN=Schema,CN=Configuration,DC=<domaine racine de> forêt). Le meilleur candidat pour un nouveau détenteur de rôle est un contrôleur de domaine qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le détenteur actuel du rôle.

Attention

Le rôle master d’infrastructure n’est plus nécessaire si les conditions suivantes sont remplies :

  • Tous les contrôleurs de domaine du domaine sont des catalogues globaux (GC). Dans ce cas, les contrôleurs de groupe obtiennent des mises à jour qui suppriment les références inter-domaines.
  • La Corbeille AD est activée dans la forêt. Dans ce cas, chaque contrôleur de domaine est responsable de la mise à jour de ses références.

Nous vous recommandons de toujours définir un propriétaire approprié de l’infrastructure master pour éviter les erreurs et les avertissements des outils de supervision.

Si vous avez toujours besoin de l’infrastructure master rôle :
Ne placez pas l’infrastructure master rôle sur le même contrôleur de domaine que le serveur de catalogue global. Si l’infrastructure master s’exécute sur un serveur de catalogue global, elle cesse de mettre à jour les informations d’objet, car elle ne contient aucune référence aux objets qu’elle ne contient pas. Cela s’explique par le fait qu’un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt.

L’infrastructure master rôle n’est plus utilisé une fois que vous avez activé la Corbeille Active Directory. La Corbeille AD modifie l’approche de gestion des références d’objets qui sont supprimées.

Pour tester si un contrôleur de domaine est également un serveur de catalogue global, procédez comme suit :

Utilisation des sites et services Active Directory :

  1. Sélectionnez Démarrer>Programmes>Outils d’administration>Sites et services Active Directory.
  2. Dans le volet de navigation, double-cliquez sur Sites, puis recherchez le site approprié ou sélectionnez Default-first-site-name si aucun autre site n’est disponible.
  3. Ouvrez le dossier Serveurs , puis sélectionnez le contrôleur de domaine.
  4. Dans le dossier du contrôleur de domaine, double-cliquez sur Paramètres NTDS.
  5. Dans le menu Action, cliquez sur Propriétés.
  6. Sous l’onglet Général, affichez la zone Case activée catalogue global pour voir si elle est sélectionnée.

Utilisation de Windows PowerShell :

  1. Démarrez PowerShell.

  2. Tapez l’applet de commande suivante, puis ajustez DC_NAME avec votre nom de contrôleur de domaine réel :

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. La sortie est True ou False.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Saisir ou transférer des rôles Operation Master

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou transférer des rôles. Pour obtenir plus d’informations et consulter des exemples liés à l’utilisation de PowerShell pour ces tâches, consultez l’article Move-ADDirectoryServerOperationMasterRole.

Importante

Pour éviter le risque de sids dupliqués dans le domaine, les saisies Rid Master incrémentent le RID disponible suivant dans le pool lorsque vous saisissez le rôle de master RID. Ce comportement peut amener votre forêt à consommer considérablement les plages de valeurs RID disponibles (également appelées brûlure RID). Par conséquent, saisissez le Rid Master uniquement lorsque vous êtes sûr que le Rid Master actuel ne peut pas être remis en service.

Si vous devez saisir le rôle de master RID, tenez compte des détails suivants :

  • L’applet de commande Move-ADDirectoryServerOperationMasterRole augmente le pool Rid suivant de 30 000 par rapport à ce qu’il trouve dans Active Directory.
  • Lorsque vous utilisez l’utilitaire Ntdsutil.exe avec les roles commandes de catégorie, il augmente le pool Rid suivant de 10 000.

Pour saisir ou transférer les rôles Operation Master à l’aide de l’utilitaire Ntdsutil, procédez comme suit :

  1. Connectez-vous à un ordinateur membre sur lequel les outils AD RSAT sont installés ou à un contrôleur de domaine situé dans la forêt où les rôles Operation Master sont transférés.

    Remarque

    • Nous vous recommandons de vous connecter au contrôleur de domaine auquel vous attribuez des rôles Operation Master.
    • L’utilisateur connecté doit être membre du groupe Administrateurs d’entreprise pour transférer les rôles de master master ou de nommage de domaine, ou membre du groupe Administrateurs de domaine du domaine où l’émulateur PDC, l’master RID et les rôles de master d’infrastructure sont transférés.

  2. Sélectionnez Démarrer>Exécuter, tapez ntdsutil dans la zone Ouvrir, puis sélectionnez OK.

  3. Tapez roles, puis appuyez sur Entrée.

    Remarque

    Pour afficher la liste des commandes disponibles dans une invite de l’utilitaire Ntdsutil, tapez ?, puis appuyez sur Entrée.

  4. Tapez connections, puis appuyez sur Entrée.

  5. Tapez connect to server <servername>, puis appuyez sur Entrée.

    Remarque

    Dans cette commande, <servername> est le nom du contrôleur de domaine auquel vous souhaitez attribuer le rôle Maître d’opération.

  6. À l’invite server connections, tapez q, puis appuyez sur Entrée.

  7. Effectuez l’une des opérations suivantes :

    • Pour transférer le rôle : tapez transfer <role>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <role> correspond au rôle à transférer.

    • Pour prendre le rôle : tapez seize <role>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <role> correspond au rôle à prendre.

    Par exemple, pour définir le rôle de maître RID, tapez seize rid master. Des exceptions concernent le rôle Émulateur PDC, dont la syntaxe est seize pdc, et le rôle Maître d’opérations des noms de domaine, dont la syntaxe est seize naming master.

    Pour afficher la liste des rôles que vous pouvez prendre ou transférer, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article.

  8. À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.

Considérations relatives à la réparation ou à la suppression des détenteurs de rôle précédents

Si cela est possible, et si vous êtes en mesure de transférer les rôles au lieu de les saisir, corrigez le détenteur du rôle précédent. Si vous ne pouvez pas corriger le détenteur du rôle précédent, ou si vous avez saisi les rôles, supprimez le détenteur de rôle précédent du domaine.

Importante

Si vous envisagez d’utiliser l’ordinateur réparé en tant que contrôleur de domaine, il est recommandé de reconfigurer l’ordinateur en contrôleur de domaine à partir de zéro au lieu de restaurer le contrôleur de domaine à partir d’une sauvegarde. Le processus de restauration régénère le contrôleur de domaine en tant que détenteur de rôle.

  • Pour renvoyer l’ordinateur réparé à la forêt en tant que contrôleur de domaine :

    1. Effectuez l’une des opérations suivantes :

      • Formatez le disque dur de l’ancien détenteur de rôle, puis réinstallez Windows sur l’ordinateur.
      • Rétrogradez de force l’ancien détenteur de rôle en serveur membre.

    2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

    3. Après avoir nettoyé les métadonnées, vous pouvez à nouveau promouvoir l’ordinateur en contrôleur de domaine et lui retransférer un rôle.

  • Pour supprimer l’ordinateur de la forêt après avoir saisi ses rôles :

    1. Supprimez l’ordinateur du domaine.
    2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

Considérations relatives à la réintégration des îles de réplication

Lorsqu’une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une période prolongée, les sections isolées du domaine ou de la forêt sont appelées îlots de réplication. Les contrôleurs de domaine d’une île ne peuvent pas être répliqués avec les contrôleurs de domaine dans d’autres îles. Sur plusieurs cycles de réplication, les îlots de réplication ne sont plus synchronisés. Si chaque île a ses propres titulaires de rôle de maître d’opération, vous risquez d’avoir des problèmes lorsque vous rétablissez la communication entre les îles.

Importante

Dans la plupart des cas, vous pouvez tirer parti de l’exigence de réplication initiale (comme décrit dans cet article) pour éliminer les détenteurs de rôle en double. Un détenteur de rôle redémarré doit abandonner le rôle s’il détecte un détenteur de rôle en double.
Dans certains cas, il est impossible de résoudre ce comportement. Les informations contenues dans cette section peuvent alors être utiles.

Le tableau suivant identifie les rôles Operation Master qui peuvent entraîner des problèmes si une forêt ou un domaine a plusieurs titulaires de rôles pour ce rôle :

Role Conflits potentiels entre plusieurs détenteurs de rôle ?
Contrôleur de schéma Oui
Maître d’opérations des noms de domaine Oui
Maître RID Oui
Émulateur PDC Non
Maître d’infrastructure Non

Ce problème n’affecte pas le master de l’émulateur de contrôleur de domaine principal ou l’infrastructure master. Ces titulaires de rôle ne conservent pas les données opérationnelles. En outre, le master d’infrastructure n’apporte pas souvent de modifications. Par conséquent, si plusieurs îles comportent ces détenteurs de rôles, vous pouvez les réintégrer sans provoquer de problèmes à long terme.

Le contrôleur de schéma, le maître d’opérations des noms de domaine et le maître RID peuvent créer des objets et conserver les modifications dans Active Directory. Chaque île qui possède l’un de ces détenteurs de rôle peut avoir des objets Schéma, des domaines ou des pools RID en double et en conflit au moment de la restauration de la réplication. Avant de réintégrer des îles, déterminez les détenteurs de rôle à conserver. Supprimez les contrôleurs de schéma, les maîtres d’opérations des noms de domaine et les maîtres RID en double éventuels en suivant les procédures de réparation, de suppression et de nettoyage mentionnées dans cet article.

References

Pour plus d’informations, reportez-vous aux rubriques suivantes :