Utilisation de Ntdsutil.exe dans le cadre de la saisie ou du transfert des rôles FSMO vers un contrôleur de domaine
6 janvier 2020Informations supplémentaires
Certaines
opérations à l’échelle du domaine et de l’entreprise, non adaptées aux
mises à jour multimaîtres, sont effectuées par un contrôleur de domaine
unique, dans un domaine ou une forêt Active Directory. Les contrôleurs
de domaine qui sont assignés pour effectuer ces opérations uniques
portent le nom de maîtres d’opérations ou de détenteurs de rôles FSMO.
La liste suivante décrit les 5 rôles FSMO uniques dans une forêt Active
Directory et les opérations dépendantes qu’ils effectuent :
- Contrôleur de schéma : le rôle de contrôleur de schéma est à l’échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour étendre le schéma d’une forêt Active Directory ou pour exécuter la commande adprep /domainprep.
- Maître d’opérations des noms de domaine : le maître d’opérations des noms de domaine est à l’échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour ajouter ou supprimer des domaines ou des partitions d’applications dans une forêt.
- Maître RID : le rôle de maître RID est à l’échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour allouer la réserve RID afin que les contrôleurs de domaine nouveaux ou existants puissent créer des comptes d’utilisateurs, des comptes d’ordinateurs ou des groupes de sécurité.
- Émulateur PDC : le rôle d’émulateur PDC est à l’échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour le contrôleur de domaine qui envoie des mises à jour de base de données aux contrôleurs de domaine secondaires Windows NT. Le contrôleur de domaine qui détient ce rôle est ciblé également par certains outils d’administration et certaines mises à jour de mots de passe de comptes d’utilisateurs et de comptes d’ordinateurs.
- Maître d’infrastructure : le rôle de maître d’infrastructure est à l’échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire aux contrôleurs de domaine pour exécuter la commande adprep /forestprep et mettre à jour les attributs SID et les attributs de noms uniques pour les objets référencés d’un domaine à l’autre.
L’Assistant Installation d’Active Directory (Dcpromo.exe) assigne tous les 5 rôles FSMO au premier contrôleur de domaine dans le domaine racine de forêt. Les trois rôles à l’échelle du domaine sont assignés au premier contrôleur de domaine dans chaque nouveau domaine enfant ou domaine d’arborescence. Les contrôleurs de domaine continuent de détenir des rôles FSMO jusqu’à ce qu’ils soient réassignés par le biais d’une des méthodes suivantes :
- Un administrateur réassigne le rôle à l’aide d’un outil d’administration à interface graphique.
- Un administrateur réassigne le rôle à l’aide de la commande ntdsutil /roles.
- Un administrateur peut reléguer facilement un contrôleur de domaine détenteur de rôle, par le biais de l’Assistant Installation d’Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt. Les rétrogradations effectuées à l’aide de la commande dcpromo /forceremoval laissent les rôles FSMO dans un état non valide jusqu’à ce qu’ils soient réassignés par un administrateur.
Nous recommandons de transférer des rôles FSMO dans les scénarios suivants :
- Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO.
- Vous rétrogradez de manière normale un contrôleur de domaine qui détient actuellement des rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory.
- Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à un contrôleur de domaine « actif ». Cela peut être requis pour effectuer des opérations qui assurent une connexion au propriétaire FSMO. Cela serait particulièrement vrai pour le rôle d’émulateur PDC, mais moins vrai pour le rôle de maître RID, le rôle de maître d’opérations des noms de domaine et le rôle de contrôleur de schéma.
Nous recommandons de prendre des rôles FSMO dans les scénarios suivants :
- Le détenteur de rôle actuel rencontre une erreur opérationnelle qui
empêche une opération FSMO de se terminer avec succès et ce rôle ne
peut pas être transféré.
- Un contrôleur de domaine qui possède un rôle FSMO est rétrogradé de force à l’aide de la commande dcpromo /forceremoval.
- Le système d’exploitation de l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.
Lors de la réplication, les contrôleurs de domaine non-FSMO du domaine
ou de la forêt sont informés de toutes les modifications apportées par
les contrôleurs de domaine détenteurs de rôles FSMO. Si vous devez
transférer un rôle, le meilleur candidat est un contrôleur de domaine
qui se trouve dans le domaine approprié qui a effectué la dernière
réplication entrante (ou récemment effectué une réplication entrante)
d’une copie accessible en écriture de la « partition FSMO » à partir du
détenteur de rôle existant. Par exemple, le détenteur du rôle de
contrôleur de schéma a comme chemin de nom unique
CN=schema,CN=configuration,dc=<domaine_racine_forêt>, ce qui
signifie que des rôles sont répliqués dans le cadre de la partition
CN=schema et résident dans celle-ci. Si le contrôleur de domaine qui
détient le rôle de contrôleur de schéma rencontre une panne matérielle
ou logicielle, un bon candidat pour le rôle serait un contrôleur de
domaine du domaine racine situé dans le même site Active Directory que
le propriétaire actuel. Les contrôleurs de domaine situés dans le même
site Active Directory effectuent la réplication entrante toutes les
5 minutes ou 15 secondes.
La partition de chaque rôle FSMO est répertoriée dans la liste suivante :
| Rôle FSMO | Partition |
| Schéma | CN=Schema,CN=configuration,DC=<domaine_racine_forêt> |
| Maître d’opérations des noms de domaine | CN=configuration,DC=<domaine_racine_forêt> |
| Émulateur PDC | DC=<domaine> |
| RID | DC=<domaine> |
| Infrastructure | DC=<domaine> |
Un contrôleur de domaine dont les rôles FSMO ont été saisis ne doit pas
être autorisé à communiquer avec les contrôleurs de domaine existants
dans la forêt
Dans ce scénario, vous devez soit formater le disque dur et réinstaller le système d’exploitation sur ces contrôleurs de domaine, soit forcer leur rétrogradation sur un réseau privé puis supprimer leurs métadonnées sur un contrôleur de domaine survivant dans la forêt par le biais de la commande ntdsutil /metadata cleanup. Le risque de l’introduction dans la forêt d’un ancien détenteur de rôle FSMO dont le rôle a été défini est que le détenteur de rôle d’origine peut continuer à fonctionner comme avant, jusqu’à ce qu’il soit informé de la définition de rôle grâce à la réplication entrante. Des rôles FSMO identiques, détenus par deux contrôleurs de domaine, présentent des risques tels que la création d’entités de sécurité ayant des réserves RID à chevauchement.
Remarque :
Lorsque les rôles FSMO doivent être saisis dans les scénarios de récupération de forêt, voir l’étape 5 dans l’article Exécuter la récupération initiale dans la sectionRestaurer le premier contrôleur de domaine inscriptible dans chaque domaine.
Récupération de forêt AD – Saisie d’un rôle de maître d’opérations
Planification du placement du rôle de maître d’opérations
Transfert de rôles FSMO
Pour transférer les rôles FSMO à l’aide de l’utilitaire Ntdsutil, procédez comme suit :
- Ouvrez une session sur un ordinateur membre ou un contrôleur de domaine Windows 2000 Server ou Windows Server 2003 situé dans la forêt où les rôles FSMO sont transférés. Nous vous conseillons d’ouvrir une session sur le contrôleur de domaine auquel vous assignez des rôles FSMO. L’utilisateur ayant ouvert une session doit être membre du groupe Administrateurs d’entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d’opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d’émulateur PDC, de maître RID et de maître d’infrastructure sont transférés.
- Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK.
- Tapez roles, puis appuyez sur Entrée.
Remarque Pour afficher la liste des commandes disponibles dans une invite de l’outil Ntdsutil, tapez ?, puis appuyez sur Entrée. - Tapez connections, puis appuyez sur Entrée.
- Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur correspond au nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO.
- À l’invite server connections, tapez q, puis appuyez sur Entrée.
- Tapez transfer rôle, où rôle correspond au rôle à transférer. Pour afficher la liste des rôles que vous pouvez transférer, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour transférer le rôle de maître RID, tapez transfer rid master. L’unique exception concerne le rôle d’émulateur PDC, dont la syntaxe est transfer pdc, et non transfer pdc emulator.
- À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.
Définition de rôles FSMO
Pour prendre les rôles FSMO à l’aide de l’utilitaire Ntdsutil, procédez comme suit :
- Ouvrez une session sur un ordinateur membre ou un contrôleur de domaine Windows 2000 Server ou Windows Server 2003 situé dans la forêt où les rôles FSMO sont pris. Nous vous conseillons d’ouvrir une session sur le contrôleur de domaine auquel vous assignez des rôles FSMO. L’utilisateur ayant ouvert une session doit être membre du groupe Administrateurs d’entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d’opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d’émulateur PDC, de maître RID et de maître d’infrastructure sont transférés.
- Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK.
- Tapez roles, puis appuyez sur Entrée.
- Tapez connections, puis appuyez sur Entrée.
- Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur correspond au nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO.
- À l’invite server connections, tapez q, puis appuyez sur Entrée.
- Tapez seize rôle, où rôle correspond au rôle à prendre. Pour afficher la liste des rôles que vous pouvez prendre, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour définir le rôle de maître RID, tapez seize rid master. L’unique exception concerne le rôle d’émulateur PDC, dont la syntaxe est seize pdc, et non seize pdc emulator.
- À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.
Remarques- Dans des conditions normales, les cinq rôles doivent tous être
assignés à des contrôleurs de domaine « actifs » dans la forêt. Si un
contrôleur de domaine doté d’un rôle FSMO est mis hors service avant le
transfert de ses rôles, tous les rôles doivent être définis sur un
contrôleur de domaine adapté et sain. Nous vous recommandons de prendre
tous les rôles uniquement lorsque l’autre contrôleur de domaine ne
retourne pas au domaine. Si possible, réparez le contrôleur de domaine
défectueux auquel les rôles FSMO sont assignés. Vous devez identifier
quels rôles doivent être assignés à quels contrôleurs de domaine
restants afin que les cinq rôles ne soient pas tous assignés à un même
contrôleur de domaine. Pour plus d’informations sur le placement
des rôles FSMO, cliquez sur le numéro ci-dessous pour afficher l’article
correspondant dans la Base de connaissances Microsoft :
223346 Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Windows
- Si le contrôleur de domaine qui détenait auparavant un rôle FSMO
n’est pas présent dans le domaine et si ses rôles ont été pris lors des
étapes précédentes de cet article, supprimez-le de l’annuaire Active
Directory en appliquant la procédure décrite dans l’article suivant de
la Base de connaissances Microsoft :
216498 Comment supprimer des données dans Active Directory après l’échec d’une rétrogradation de contrôleur de domaine
- La suppression des métadonnées d’un contrôleur de domaine avec la version Windows 2000 ou Windows Server 2003 build 3790 de la commande ntdsutil /metadata cleanup ne déplace pas les rôles FSMO qui sont assignés à des contrôleurs de domaine « actifs ». La version Windows Server 2003 Service Pack 1 (SP1) de l’utilitaire Ntdsutil automatise cette tâche et supprime des éléments supplémentaires des métadonnées de contrôleur de domaine.
- Certains clients préfèrent ne pas restaurer de sauvegardes d’état du système de détenteurs de rôle FSMO, de peur que le rôle ait été réassigné depuis que la sauvegarde a été effectuée.
- Ne placez pas le rôle de maître d’infrastructure sur le même contrôleur de domaine que le serveur de catalogue global. Si le rôle de maître d’infrastructure est exécuté sur un serveur de catalogue global, il arrête la mise à jour des informations sur les objets car il ne dispose pas de références aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt.
- Dans des conditions normales, les cinq rôles doivent tous être
assignés à des contrôleurs de domaine « actifs » dans la forêt. Si un
contrôleur de domaine doté d’un rôle FSMO est mis hors service avant le
transfert de ses rôles, tous les rôles doivent être définis sur un
contrôleur de domaine adapté et sain. Nous vous recommandons de prendre
tous les rôles uniquement lorsque l’autre contrôleur de domaine ne
retourne pas au domaine. Si possible, réparez le contrôleur de domaine
défectueux auquel les rôles FSMO sont assignés. Vous devez identifier
quels rôles doivent être assignés à quels contrôleurs de domaine
restants afin que les cinq rôles ne soient pas tous assignés à un même
contrôleur de domaine. Pour plus d’informations sur le placement
des rôles FSMO, cliquez sur le numéro ci-dessous pour afficher l’article
correspondant dans la Base de connaissances Microsoft :
Pour vérifier si un contrôleur de domaine est également un serveur catalogue global, procédez comme suit :
- Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Sites et services Active Directory.
- Double-cliquez sur Sites dans le volet gauche, puis recherchez le site approprié ou cliquez sur Premier_Site_par_défaut si aucun autre site n’est disponible.
- Ouvrez le dossier Serveurs, puis cliquez sur le contrôleur de domaine.
- Dans le dossier du contrôleur de domaine, double-cliquez sur Paramètres NTDS.
- Dans le menu Action, cliquez sur Propriétés.
- Sous l’onglet Général, vérifiez si la case à cocher Catalogue global est activée.
