Lorsque vous déployez un Active Directory qui contiendra logiquement plusieurs Domain Controllers, vous pouvez être amené à changer la répartition des rôles FSMO au sein de votre forêt pour adapter l’organisation à votre contexte ou par exemple durant une phase de transition telle qu’une migration.
Pour rappel, il existe 5 rôles FSMO qui sont les suivants :
On peut résumer ces différents rôles FSMO avec le schéma suivant ci-dessous :
Plus d’informations sur les rôles FSMO sur l’article suivant (en français) ou sur la page suivante si vous préférez l’anglais (Varonis [EN]).
Par défaut, lorsque vous souhaitez déplacer un rôle FSMO depuis un Domain Controller vers un autre DC, les 2 serveurs doivent être démarrés et accessibles afin de pouvoir effectuer cette transition. Dans ce cas, je vous invite à consulter l’ancien article suivant qui vous permettra de réaliser l’opération pour chaque rôle FSMO avec les différentes consoles graphiques de l’Active Directory.
Mais comment faire lorsque l’un de vos DC rencontre un grave dysfonctionnement et ne peut pas être récupéré ?
Heureusement, vous pourrez forcer le déplacement d’un rôle FSMO pour le transférer vers un nouveau DC. Dans ce cas, on parle de « seize » un rôle FSMO – c’est-à-dire que le rôle va être transféré même si le serveur qui le porte actuellement ne répond pas ou n’est plus présent au sein de l’infrastructure Active Directory.
Pour effectuer ce transfert de force, vous pouvez utiliser la commande ntsutil. Dans ce cas, je vous invite à consulter l’article suivant. Mais le point qui m’intéresse est que cette action est également réalisable en PowerShell :
Move-ADDirectoryServerOperationMasterRole -Identity ServerCible -OperationMasterRole SchemaMaster -Force
Renouvelez l’opération pour chacun des rôles FSMO que vous souhaitez déplacer. Si vous voulez tous les déplacer en une seule commande vous pouvez mettre les 5 noms de rôles FSMO séparés par une virgule.
Une fois que le changement est effectué. Soyez vigilant à ne pas tenter de ré-insérer votre ancien Domain Controller qui disposerait de ce rôle. Vu qu’il n’a pas été informé du changement, vous pourriez créer des incidents au sein de votre Active Directory – voir l’article suivant sur le site de Microsoft.
En cas de questions, comme d’habitude, n’hésitez pas à utiliser la zone dédiée aux commentaires ! 🙂
Cloudflare Bloque les Robots d’Exploration IA : Un Modèle Pay per Crawl Révolutionnaire Cloudflare bloque…
Let’s Encrypt : Fin des emails d’expiration des certificats pour réduire les coûts et améliorer…
FaceTime sous iOS 26 : Interruption automatique en cas de nudité FaceTime, l'application d'appel vidéo…
Le lieu où installer un kit plug and play est essentiel pour garantir une production…
Vous souhaitez installer de panneaux solaires, mais vous hésitez entre le monocristallin et le polycristallin…
Adieu à l'Écran Bleu : Microsoft Réinvente l'Expérience Utilisateur après 40 Ans L'écran bleu, symbole…