Lorsque vous déployez un Active Directory qui contiendra logiquement plusieurs Domain Controllers, vous pouvez être amené à changer la répartition des rôles FSMO au sein de votre forêt pour adapter l’organisation à votre contexte ou par exemple durant une phase de transition telle qu’une migration.
Rappel des 5 rôles FSMO pour tout Active Directory
Pour rappel, il existe 5 rôles FSMO qui sont les suivants :
- Domain Naming Master : gère les ajouts et suppressions de domaine(s) dans la forêt – 1 par forêt
- Schema Master : gère la modification du schéma Active Directory (pour Exchange par exemple) – 1 par forêt
- RID Master : distribue des plages RID pour les SIDs – 1 par domaine
- Infrastructure Master : gère le déplacement des objects – 1 par domaine
- PDC Emulator : probablement le rôle le plus important qui gère notamment le verrouillage des comptes, les changements de mots de passe, synchronisation NTP, etc. – 1 par domaine
On peut résumer ces différents rôles FSMO avec le schéma suivant ci-dessous :
Plus d’informations sur les rôles FSMO sur l’article suivant (en français) ou sur la page suivante si vous préférez l’anglais (Varonis [EN]).
Forcer le déplacement d’un rôle FSMO (Seize)
Par défaut, lorsque vous souhaitez déplacer un rôle FSMO depuis un Domain Controller vers un autre DC, les 2 serveurs doivent être démarrés et accessibles afin de pouvoir effectuer cette transition. Dans ce cas, je vous invite à consulter l’ancien article suivant qui vous permettra de réaliser l’opération pour chaque rôle FSMO avec les différentes consoles graphiques de l’Active Directory.
Mais comment faire lorsque l’un de vos DC rencontre un grave dysfonctionnement et ne peut pas être récupéré ?
Heureusement, vous pourrez forcer le déplacement d’un rôle FSMO pour le transférer vers un nouveau DC. Dans ce cas, on parle de « seize » un rôle FSMO – c’est-à-dire que le rôle va être transféré même si le serveur qui le porte actuellement ne répond pas ou n’est plus présent au sein de l’infrastructure Active Directory.
Pour effectuer ce transfert de force, vous pouvez utiliser la commande ntsutil. Dans ce cas, je vous invite à consulter l’article suivant. Mais le point qui m’intéresse est que cette action est également réalisable en PowerShell :
Move-ADDirectoryServerOperationMasterRole -Identity ServerCible -OperationMasterRole SchemaMaster -Force
Renouvelez l’opération pour chacun des rôles FSMO que vous souhaitez déplacer. Si vous voulez tous les déplacer en une seule commande vous pouvez mettre les 5 noms de rôles FSMO séparés par une virgule.
- DomainNamingMaster
- InfrastructureMaster
- PDCEmulator
- RIDMaster
- SchemaMaster
Une fois que le changement est effectué. Soyez vigilant à ne pas tenter de ré-insérer votre ancien Domain Controller qui disposerait de ce rôle. Vu qu’il n’a pas été informé du changement, vous pourriez créer des incidents au sein de votre Active Directory – voir l’article suivant sur le site de Microsoft.
En cas de questions, comme d’habitude, n’hésitez pas à utiliser la zone dédiée aux commentaires ! 🙂
