vendredi 14 avril 2017

Gérer l'emplacement des rôles FSMO

Transférer les rôles FSMO vers un autre contrôleur de domaine:

Le rôle Gestionnaire du pool RID , le Maitre d'infrastructure et le PDC sont gérés au niveau du domaine. Pour les déplacer il faut utiliser un compte membre du groupe Admins du domaine.

Le rôle contrôleur de schéma, est géré au niveau du domaine root de la forêt. Pour le déplacer, il faut utiliser un compte membre du groupe Administrateur du schéma.

Le rôle maître des noms du domaine, est géré au niveau du domaine root de la forêt. Pour le déplacer, il faut utiliser un compte membre du groupe Administrateur de l'entreprise.

Déplacer les rôles FSMO via l'interface graphique:

Transférer les rôles gestionnaires du pool RID ,PDC et maître d'infrastructure via l'interface graphique:


Ouvrir la console Utilisateurs et ordinateurs active directory, se connecter sur le contrôleur de domaine cible, cliquer sur le bouton droit sur le nom du domaine et cliquer sur maîtres d'opération:



Une fenêtre s'affiche avec trois onglets (RID,PDC,Infrastructure), dans chaque onglet cliquer sur Change et puis sur close:





Transférer le rôle maître des noms de domaine:



Depuis la console Domains and Trusts, se connecter sur le contrôleur de domaine cible, puis cliquer sur le bouton droit sur Active Directory Domains and trusts et cliquer sur Operations Master:





Une fenêtre s'affiche indiquant l'emplacement actuel du rôle Domain naming operation master , cliquer sur Change pour le transférer vers le contrôleur de domaine cible :





Transférer le contrôleur du schéma via l'interface graphique:



Pour activer la console Active Directory Schema , taper la commande regsvr32 schmmgmt.dll:




Pour ouvrir la console Active Directory Schema, taper la commande mmc:




Cliquer sur File puis sur ADD/Remove Snap-in:




Sélectionner la console Active Directory Schema et cliquer sur Add puis sur OK:  





Depuis la console Active Directory Schema , se connecter sur le contrôleur de domaine cible, cliquer avec le bouton droit sur Active Directory Schema, puis sur Operation Master:





Une fenêtre s'affiche indiquant l'emplacement actuel du rôle contrôleur du schéma, cliquer sur Change transférer le rôle:





Déplacer les rôles FSMO via PowerShell:

Pour transférer les rôles FSMO via PowerShell , il faut utiliser Windows 8.1, Windows 10, Windows 2012 R2 ,Windows 2016 ou bien installer PowerShell 4.0.

Pour transférer un rôle FSMO vers un autre contrôleur de domaine via PowerShell, il faut lancer cette commande:

Move-ADDirectoryServerOperationMasterRole -Identity Target_DC_Name -operationMasterrole fsmo_role_name

Ci-dessous un exemple d'une commande pour déplacer le rôle Schema Master vers le contrôleur de domaine DC1:


Il est possible également de déplacer plusieurs rôle à travers une seule commande powershell:

Move-ADDirectoryServerOperationMasterRole -Identity Target_DC_Name -operationMasterrole fsmo_role_name1, fsmo_role_name2, fsmo_role_name3, fsmo_role_name4, fsmo_role_name5

Ci-dessous un exemple de basculement de tous les rôles FSMO vers le contrôleur de domaine DC2:





Déplacer les rôles FSMO via l'invite de commande:

Pour déplacer les rôles FSMO via l'invite, il suffit d'exécuter cette commande:

ntdsutil "roles" "connections" "connect to server Tagget_DC_Name" q "transfer fsmo_role_name" q q q

Ci-dessous un exemple pour déplacer le rôle schema master vers le contrôleur de domaine DC2:

Il est possible d'utiliser la même commande pour déplacer plusieurs rôles:

ntdsutil "roles" "connections" "connect to server Tagget_DC_Name" q "transfer fsmo_role_name1" "transfer fsmo_role_name2" "transfer fsmo_role_name3" "transfer fsmo_role_name4" "transfer fsmo_role_name5" q q q

Dans l'exemple ci-dessous, une seule commande qui a été lancée pour transférer tous les rôles FSMO vers le contrôleur de domaine DC2:





Seizing de rôles FSMO :

Si un contrôleur de domaine avec un ou plusieurs rôles FSMO ne peut plus contacter ses partenaires suite à un problème hardware ou réseaux, pour récupérer les rôles FSMO sur un autre domaine on ne peut pas lancer l'opération de transfert (expliquée ci-dessus) , vue que le contrôleur de domaine source est injoignable. Dans ce cas il faut lancer l'opération de Seizing via cette commande :

ntdsutil "roles" "connections" "connect to server Tagget_DC_Name" q "Seize fsmo_role_name" q q q


Dans l'exemple ci-dessous, une commande pour le lancer l'opération du Seizing du rôle Schema master vers DC2:


On peut également lancer l'opération de Seizing de plusieurs rôles FSMO via une seule commande:

ntdsutil "roles" "connections" "connect to server Tagget_DC_Name" q "Seize fsmo_role_name1" "Seize  fsmo_role_name2" "Seize  fsmo_role_name3" "Seize  fsmo_role_name4" "Seize  fsmo_role_name5" q q q

Dans l'exemple ci-dessous, une commande pour lancer le seizing de tous des rôles vers DC2:




NB : Si vous avez lancé le seizing d'un ou plusieurs rôles FSMO, il ne faut pas  reconnecter  l’ancien serveur au réseau, pour le réutiliser, il faut le rétrograder manuellement via la procédure Metadata CleanUp ensuite le réinstaller à nouveau .