Transférer ou prendre des rôles FSMO dans Active Directory Domain Services

Cet article explique quand et comment procéder au transfert ou à la saisie des rôles d’opérations à maître unique flottant (FSMO).

Produits concernés : Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Numéro de l’article d’origine dans la base de connaissances : 255504

Plus d’informations

Dans une forêt Active Directory Domain Services (AD DS), il existe des tâches spécifiques qui doivent être effectuées par un seul contrôleur de domaine (DC). Les contrôleurs de domaine affectés à l’exécution de ces opérations uniques portent le nom de « détenteurs de rôles FSMO ». Le tableau ci-dessous répertorie les rôles FSMO et leur positionnement dans Active Directory.

Role Portée Contexte d’appellation (partition Active Directory)
Contrôleur de schéma Forêt CN=Schema,CN=configuration,DC=<domaine_racine_forêt>
Maître d’opérations des noms de domaine Forêt CN=configuration,DC=<domaine_racine_forêt>
Émulateur PDC Domaine DC=<domaine>
Maître RID Domaine DC=<domaine>
Maître d’infrastructure Domaine DC=<domaine>

Pour plus d’informations sur les détenteurs de rôles FSMO et les recommandations relatives au positionnement des rôles, consultez l’article Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory.

Remarque

Les partitions d’application Active Directory qui incluent des partitions d’application DNS comportent des liens de rôle FSMO. Si une partition d’application DNS définit un détenteur pour le rôle Maître d’infrastructure, vous ne pouvez pas utiliser Ntdsutil, DCPromo ou d’autres outils pour supprimer cette partition d’application. Pour plus d’informations, consultez l’article La rétrogradation DCPROMO échoue si elle ne parvient pas à contacter le maître d’infrastructure DNS.

Quand un contrôleur de domaine faisant office de détenteur de rôle commence à s’exécuter (par exemple, après une défaillance ou un arrêt), il ne se comporte pas immédiatement comme détenteur de rôle. Le contrôleur de domaine attend de recevoir la réplication entrante pour son contexte d’appellation (par exemple, le détenteur du rôle Contrôleur de schéma attend de recevoir la réplication entrante de la partition de schéma).

Les informations que les contrôleurs de domaine transmettent dans le cadre de la réplication Active Directory incluent les identités des détenteurs de rôle FSMO actuels. Quand le contrôleur de domaine qui vient de démarrer reçoit les informations de réplication entrante, il vérifie s’il est toujours le détenteur du rôle. Si c’est le cas, il reprend les opérations habituelles. Si les informations répliquées indiquent qu’un autre contrôleur de domaine fait office de détenteur de rôle, le nouveau contrôleur de domaine démarré abandonne l’appartenance du rôle. Ce comportement réduit le risque de détenteurs de rôle FSMO en double dans le domaine ou la forêt.

Importante

Les opérations AD FS échouent si elles nécessitent un détenteur de rôle et si le nouveau détenteur de rôle démarré est en réalité le détenteur de rôle mais qu’il ne reçoit pas de réplication entrante.
Tout se passe alors comme si le détenteur de rôle était hors connexion.

Déterminer quand transférer ou prendre des rôles

Dans des conditions normales, les cinq rôles doivent tous être attribués à des contrôleurs de domaine « actifs » dans la forêt. Quand vous créez une forêt Active Directory, l’Assistant Installation d’Active Directory (Dcpromo.exe) attribue les cinq rôles FSMO au premier contrôleur de domaine qu’il crée dans le domaine racine de la forêt. Quand vous créez un domaine enfant ou de l’arborescence, Dcpromo.exe attribue les trois rôles de domaine au premier contrôleur du domaine.

Les contrôleurs de domaine continuent à détenir les rôles FSMO jusqu’à ce qu’ils soient réassignés par le biais d’une des méthodes suivantes :

  • Un administrateur réassigne le rôle à l’aide d’un outil d’administration à interface graphique.
  • Un administrateur réassigne le rôle à l’aide de la commande ntdsutil /roles.
  • Un administrateur rétrograde normalement un contrôleur de domaine détenteur de rôle par le biais de l’Assistant Installation d’Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt.
  • Un administrateur peut rétrograder un contrôleur de domaine détenteur de rôle à l’aide de la commande dcpromo /forceremoval.
  • Le contrôleur de domaine s’arrête et redémarre. Lorsque le contrôleur de domaine redémarre, il reçoit des informations de réplication entrante lui indiquant qu’un autre contrôleur de domaine est détenteur du rôle. Dans ce cas, le contrôleur de domaine nouvellement lancé renonce au rôle (tel que décrit précédemment).

Si un détenteur de rôle FSMO rencontre un dysfonctionnement ou est mis hors service avant le transfert de ses rôles, il convient de saisir et de transférer les rôles sur un contrôleur de domaine adapté et sain.

Nous recommandons de transférer des rôles FSMO dans les scénarios suivants :

  • Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO.
  • Vous pouvez facilement rétrograder un contrôleur de domaine qui détient actuellement les rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory.
  • Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à des contrôleurs de domaine actifs. Vous devrez peut-être transférer des rôles pour effectuer des opérations qui concernent le détenteur de rôle FSMO. Cela est particulièrement vrai pour le rôle d’émulateur du contrôleur de domaine principal (PDC). Il s’agit d’un problème moins important pour le rôle maître RID, le rôle de maître d’attribution de noms de domaine et les rôles de contrôleur de schéma.

Nous recommandons de prendre des rôles FSMO dans les scénarios suivants :

  • Le détenteur de rôle actuel rencontre une erreur opérationnelle qui empêche le bon déroulement d’une opération FSMO et ce rôle ne peut pas être transféré.

  • Vous utilisez la commande dcpromo /forceremoval pour rétrograder de force un contrôleur de domaine qui possède un rôle FSMO.

    Importante

    La commande dcpromo /forceremoval laisse les rôles FSMO dans un état non valide jusqu’à ce qu’ils soient réassignés par un administrateur.

  • Le système d’exploitation de l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.

Remarque

  • Nous vous recommandons de saisir tous les rôles uniquement lorsque l’autre contrôleur de domaine ne retourne pas au domaine.
  • Lorsque les rôles FSMO doivent être saisis dans les scénarios de récupération de forêt, suivez l’étape 5 de l’article Exécuter la récupération initiale, dans la section Restaurer le premier contrôleur de domaine inscriptible dans chaque domaine.
  • Après un transfert ou une saisie de rôle, le nouveau détenteur du rôle n’est pas opérationnel immédiatement. Au lieu de cela, le nouveau détenteur du rôle se comporte comme un détenteur de rôle redémarré et attend sa copie du contexte d’appellation pour le rôle (comme la partition de domaine) pour lancer efficacement un cycle de réplication entrante. Cette exigence de réplication permet de s’assurer que le nouveau détenteur de rôle est aussi à jour que possible avant d’entrer en action. Elle limite également le nombre d’erreurs potentielles. Cette fenêtre comprend uniquement les changements que le détenteur de rôle précédent n’a pas fini de reproduire sur les autres contrôleurs de domaine avant qu’il ne soit hors ligne. Pour une liste du contexte d’appellation de chaque rôle FSMO, consultez le tableau présenté dans la section Plus d’informations.

Identifier un nouveau titulaire de rôle

Le meilleur candidat pour le nouveau détenteur de rôle est un contrôleur de domaine répondant aux critères suivants :

  • Il réside dans le même domaine que le détenteur de rôle précédent.
  • Il dispose de la copie répliquée et non protégée la plus récente de la partition de rôle.

Supposons, par exemple, que vous deviez transférer le rôle de contrôleur de schéma. Le rôle de contrôleur de schéma fait partie de la partition de schéma de la forêt (cn=Schema,cn=Configuration,dc=<domaine racine de la forêt>). Le meilleur candidat pour un nouveau détenteur de rôle est un contrôleur de domaine qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le détenteur actuel du rôle.

Attention

Ne placez pas le rôle de maître d’infrastructure sur le même contrôleur de domaine que le serveur de catalogue global. Si le rôle de maître d’infrastructure est exécuté sur un serveur de catalogue global, il arrête la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt.

Pour vérifier si un contrôleur de domaine est également un serveur de catalogue global, procédez comme suit :

  1. Sélectionnez Démarrer>Programmes>Outils d’administration>Sites et services Active Directory.
  2. Dans le volet de navigation, double-cliquez sur Sites, puis recherchez le site approprié ou sélectionnez Default-first-site-name si aucun autre site n’est disponible.
  3. Ouvrez le dossier Serveurs, puis sélectionnez le contrôleur de domaine.
  4. Dans le dossier du contrôleur de domaine, double-cliquez sur Paramètres NTDS.
  5. Dans le menu Action, cliquez sur Propriétés.
  6. Sous l’onglet Général, vérifiez si la case à cocher Catalogue global est activée.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Définir ou transférer des rôles FSMO

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou transférer des rôles. Pour obtenir plus d’informations et consulter des exemples liés à l’utilisation de PowerShell pour ces tâches, consultez l’article Move-ADDirectoryServerOperationMasterRole.

Importante

Si vous devez saisir le rôle de maître RID, envisagez d’utiliser l’applet de commande Move-ADDirectoryServerOperationMasterRole au lieu de l’utilitaire Ntdsutil.exe.

Pour éviter le risque de SID dupliqués dans le domaine, Ntdsutil incrémente de 10 000 le prochain RID disponible dans le pool lorsque vous saisissez le rôle de maître RID. Ce comportement peut amener votre forêt à consommer complètement ses plages disponibles de valeurs RID. En revanche, si vous utilisez l’applet de commande PowerShell pour prendre le rôle Maître RID, le RID suivant disponible n’est pas affecté.

Pour prendre ou transférer les rôles FSMO à l’aide de l’utilitaire Ntdsutil, procédez comme suit :

  1. Connectez-vous à un ordinateur membre sur lequel les outils AD RSAT sont installés ou à un contrôleur de domaine situé dans la forêt où les rôles FSMO sont transférés.

    Remarque

    • Il est recommandé de vous connecter au contrôleur de domaine auquel vous attribuez des rôles FSMO.
    • L’utilisateur connecté doit être membre du groupe Administrateurs d’entreprise pour pouvoir transférer les rôles Contrôleur de schéma ou Maître d’opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles Émulateur PDC, Maître RID et Maître d’infrastructure sont transférés.
  2. Sélectionnez Démarrer>Exécuter, tapez ntdsutil dans la zone Ouvrir, puis sélectionnez OK.

  3. Tapez roles, puis appuyez sur Entrée.

    Remarque

    Pour afficher la liste des commandes disponibles dans une invite de l’utilitaire Ntdsutil, tapez ?, puis appuyez sur Entrée.

  4. Tapez connections, puis appuyez sur Entrée.

  5. Tapez connect to server <servername>, puis appuyez sur Entrée.

    Remarque

    Dans cette commande, <servername> correspond au nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO.

  6. À l’invite server connections, tapez q, puis appuyez sur Entrée.

  7. Effectuez l’une des opérations suivantes :

    • Pour transférer le rôle : tapez transfer <role>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <role> correspond au rôle à transférer.

    • Pour prendre le rôle : tapez seize <role>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <role> correspond au rôle à prendre.

    Par exemple, pour définir le rôle de maître RID, tapez seize rid master. Des exceptions concernent le rôle Émulateur PDC, dont la syntaxe est seize pdc, et le rôle Maître d’opérations des noms de domaine, dont la syntaxe est seize naming master.

    Pour afficher la liste des rôles que vous pouvez prendre ou transférer, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article.

  8. À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.

Considérations relatives à la réparation ou à la suppression des détenteurs de rôle précédents

Si c’est possible et si vous êtes en mesure de transférer les rôles au lieu de les prendre, corrigez le détenteur de rôle précédent. Si vous ne pouvez pas corriger le détenteur de rôle précédent ou si vous avez pris les rôles, supprimez le détenteur de rôle précédent du domaine.

Importante

Si vous envisagez d’utiliser l’ordinateur réparé en tant que contrôleur de domaine, il est recommandé de reconfigurer l’ordinateur en contrôleur de domaine à partir de zéro au lieu de restaurer le contrôleur de domaine à partir d’une sauvegarde. Le processus de restauration régénère le contrôleur de domaine en tant que détenteur de rôle.

  • Pour remettre l’ordinateur réparé dans la forêt en tant que contrôleur de domaine

    1. Effectuez l’une des opérations suivantes :

      • Formatez le disque dur de l’ancien détenteur de rôle, puis réinstallez Windows sur l’ordinateur.
      • Rétrogradez de force l’ancien détenteur de rôle en serveur membre.
    2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

    3. Après avoir nettoyé les métadonnées, vous pouvez à nouveau promouvoir l’ordinateur en contrôleur de domaine et lui retransférer un rôle.

  • Pour supprimer l’ordinateur de la forêt après avoir pris ses rôles

    1. Supprimez l’ordinateur du domaine.
    2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

Considérations relatives à la réintégration des îles de réplication

Quand une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une période prolongée, les sections isolées du domaine ou de la forêt sont appelées « îles de réplication ». Les contrôleurs de domaine d’une île ne peuvent pas se répliquer avec les contrôleurs de domaine d’autres îles. Après plusieurs cycles de réplication, les îles de réplication ne sont plus synchronisées. Si chaque île possède ses propres détenteurs de rôle FSMO, des problèmes peuvent se produire lors de la restauration de la communication entre les îles.

Importante

Dans la plupart des cas, vous pouvez tirer parti de l’exigence de réplication initiale (comme décrit dans cet article) pour éliminer les détenteurs de rôle en double. Un détenteur de rôle redémarré doit abandonner le rôle s’il détecte un détenteur de rôle en double.
Dans certains cas, il est impossible de résoudre ce comportement. Les informations contenues dans cette section peuvent alors être utiles.

Le tableau ci-dessous identifie les rôles FMSO qui peuvent poser des problèmes si une forêt ou un domaine comporte plusieurs détenteurs pour ce rôle :

Role Conflits potentiels entre plusieurs détenteurs de rôle ?
Contrôleur de schéma Oui
Maître d’opérations des noms de domaine Oui
Maître RID Oui
Émulateur PDC Non
Maître d’infrastructure Non

Ce problème ne concerne pas l’émulateur PDC et le maître d’infrastructure. Ces détenteurs de rôle ne conservent pas les données opérationnelles. En outre, le maître d’infrastructure n’apporte pas souvent de modifications. Par conséquent, si plusieurs îles comportent ces détenteurs de rôles, vous pouvez les réintégrer sans provoquer de problèmes à long terme.

Le contrôleur de schéma, le maître d’opérations des noms de domaine et le maître RID peuvent créer des objets et conserver les modifications dans Active Directory. Chaque île qui possède l’un de ces détenteurs de rôle peut avoir des objets Schéma, des domaines ou des pools RID en double et en conflit au moment de la restauration de la réplication. Avant de réintégrer des îles, déterminez les détenteurs de rôle à conserver. Supprimez les contrôleurs de schéma, les maîtres d’opérations des noms de domaine et les maîtres RID en double éventuels en suivant les procédures de réparation, de suppression et de nettoyage mentionnées dans cet article.

References

Pour plus d’informations, reportez-vous aux rubriques suivantes :