Transférer ou saisir des rôles FSMO dans les services de domaine Active Directory

Cet article décrit quand et comment transférer ou saisir des rôles FSMO (Flexible Single Master Operations).

Version du produit d’origine :   Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Numéro de la ko d’origine :   255504

Plus d’informations

Au sein d’une forêt des services de domaine Active Directory (AD DS), il existe des tâches spécifiques qui doivent être effectuées par un seul contrôleur de domaine (DC). Les DCS qui sont affectés pour effectuer ces opérations uniques sont appelés titulaires du rôle FSMO. Le tableau suivant répertorie les rôles FSMO et leur placement dans Active Directory.

Role Portée Contexte d’attribution de noms (partition Active Directory)
Contrôleur de schéma À l’échelle de la forêt CN=Schema,CN=configuration,DC=<forest root domain>
Maître d’attribution de noms de domaine À l’échelle de la forêt CN=configuration,DC=<forest root domain>
Master RID À l’échelle du domaine DC=<domain>
Émulateur PDC À l’échelle du domaine DC=<domain>
Infrastructure master À l’échelle du domaine DC=<domain>

Pour plus d’informations sur les titulaires de rôles FSMO et des recommandations pour placer les rôles, voir placement et optimisation FSMO sur les contrôleurs de domaine Active Directory.

Notes

Les partitions d’application Active Directory qui incluent des partitions d’application DNS ont des liens de rôle FSMO. Si une partition d’application DNS définit un propriétaire pour le rôle principal d’infrastructure, vous ne pouvez pas utiliser Ntdsutil, DCPromo ou d’autres outils pour supprimer cette partition d’application. Pour plus d’informations, consultez l’exemple d’échec de la rétrogradation DCPROMOsi vous ne parvenez pas à contacter le maître d’infrastructure DNS.

Lorsqu’un dc qui agit en tant que titulaire de rôle commence à s’exécuter (par exemple, après un échec ou un arrêt), il ne reprend pas immédiatement son comportement de titulaire du rôle. Le dc attend qu’il reçoit la réplication entrante pour son contexte d’attribution de noms (par exemple, le propriétaire du rôle de maître de schéma attend de recevoir la réplication entrante de la partition de schéma).

Les informations que les DCS passent dans le cadre de la réplication Active Directory incluent les identités des titulaires de rôles FSMO actuels. Lorsque le dc nouvellement démarré reçoit les informations de réplication entrante, il vérifie s’il est toujours le titulaire du rôle. Si c’est le cas, il reprend les opérations classiques. Si les informations répliquées indiquent qu’un autre dc agit en tant que titulaire du rôle, le dc nouvellement démarré abandonner sa propriété de rôle. Ce comportement réduit le risque que le domaine ou la forêt auront des titulaires de rôle FSMO en double.

Important

Les opérations AD FS échouent si elles nécessitent un titulaire de rôle et si le détenteur de rôle nouvellement démarré est en fait le détenteur de rôle et qu’il ne reçoit pas la réplication entrante.
Le comportement résultant ressemble à ce qui se passerait si le titulaire du rôle était hors connexion.

Déterminer quand transférer ou saisir des rôles

Dans des conditions classiques, les cinq rôles doivent être attribués à des DCS « live » dans la forêt. Lorsque vous créez une forêt Active Directory, l’Assistant Installation d’Active Directory (Dcpromo.exe) affecte les cinq rôles FSMO au premier dc qu’il crée dans le domaine racine de la forêt. Lorsque vous créez un domaine enfant ou d’arborescence, Dcpromo.exe les trois rôles à l’échelle du domaine au premier dc du domaine.

Les DCS continuent à posséder des rôles FSMO jusqu’à ce qu’ils soient réassignés à l’aide de l’une des méthodes suivantes :

  • Un administrateur réaffecte le rôle à l’aide d’un outil d’administration d’interface graphique graphique.
  • Un administrateur réaffecte le rôle à l’aide de la ntdsutil /roles commande.
  • Un administrateur rétrograde normalement un dc de rôle à l’aide de l’Assistant Installation d’Active Directory. Cet Assistant réaffecte tous les rôles détenus localement à un dc existant dans la forêt.
  • Un administrateur rétrograde un dc de rôle à l’aide de la dcpromo /forceremoval commande.
  • Le dc s’arrête et redémarre. Lorsque le dc redémarre, il reçoit des informations de réplication entrante qui indiquent qu’un autre dc est le détenteur du rôle. Dans ce cas, le dc nouvellement démarré abandonner le rôle (comme décrit précédemment).

Si un titulaire de rôle FSMO subit une défaillance ou est mis hors service avant que ses rôles ne soient transférés, vous devez saisir et transférer tous les rôles vers un dc approprié et sain.

Nous vous recommandons de transférer des rôles FSMO dans les scénarios suivants :

  • Le titulaire du rôle actuel est opérationnel et est accessible sur le réseau par le nouveau propriétaire FSMO.
  • Vous rétrogradez normalement un dc qui possède actuellement des rôles FSMO que vous souhaitez attribuer à un dc spécifique dans votre forêt Active Directory.
  • Le dc qui possède actuellement des rôles FSMO est mis hors connexion pour une maintenance programmée et vous devez attribuer des rôles FSMO spécifiques à des DCS en direct. Vous de devez peut-être transférer des rôles pour effectuer des opérations qui affectent le propriétaire du FSMO. Cela est particulièrement vrai pour le rôle émulateur PDC. Il s’agit d’un problème moins important pour le rôle maître RID, le rôle principal d’attribution de noms de domaine et les rôles de maîtres de schéma.

Nous vous recommandons de saisir les rôles FSMO dans les scénarios suivants :

  • Le titulaire du rôle actuel rencontre une erreur opérationnelle qui empêche une opération FSMO de se terminer correctement et vous ne pouvez pas transférer le rôle.

  • Utilisez la commande pour forcer le rétrogradation d’un dc qui dcpromo /forceremoval possède un rôle FSMO.

    Important

    La commande laisse les rôles FSMO dans un état non valide jusqu’à ce qu’ils soient dcpromo /forceremoval réassignés par un administrateur.

  • Le système d’exploitation sur l’ordinateur qui possédait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.

Notes

  • Nous vous recommandons de ne saisir tous les rôles que lorsque le détenteur de rôle précédent ne revient pas au domaine.
  • Si les rôles FSMO doivent être saisis dans les scénarios de récupération de forêt, voir l’étape 5 dans Effectuer la récupération initiale sous restaurer le premier contrôleur de domaine accessible en écriture dans chaque section de domaine.
  • Après un transfert ou une crise de rôle, le nouveau titulaire de rôle n’agit pas immédiatement. Au lieu de cela, le nouveau titulaire de rôle se comporte comme un titulaire de rôle redémarré et attend sa copie du contexte d’attribution de noms pour que le rôle (par exemple, la partition de domaine) termine un cycle de réplication entrante réussi. Cette exigence de réplication permet de s’assurer que le nouveau titulaire du rôle est le plus à jour possible avant de prendre des mesures. Il limite également la fenêtre d’opportunité d’erreurs. Cette fenêtre inclut uniquement les modifications que le détenteur de rôle précédent n’a pas terminé de répliquer sur les autres DCS avant qu’elle ne soit déconnectée. Pour obtenir la liste du contexte d’attribution de noms pour chaque rôle FSMO, consultez le tableau dans la section Plus d’informations.

Identifier un nouveau titulaire de rôle

Le meilleur candidat pour le nouveau titulaire de rôle est un dc qui répond aux critères suivants :

  • Il réside dans le même domaine que le détenteur de rôle précédent.
  • Il possède la copie de la partition de rôle répliquée la plus récente.

Par exemple, supposons que vous devez transférer le rôle de maître de schéma. Le rôle de maître de schéma fait partie de la partition de schéma de la forêt (cn=Schema,cn=Configuration,dc= <forest root domain> ). Le meilleur candidat pour un nouveau titulaire de rôle est un dc qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le détenteur de rôle actuel.

Attention

Ne placez pas le rôle maître Infrastructure sur le même dc que le serveur de catalogue global. Si le maître d’infrastructure s’exécute sur un serveur de catalogue global, il arrête la mise à jour des informations d’objet, car il ne contient aucune référence à des objets qu’il ne contient pas. Cela est dû au fait qu’un serveur de catalogue global contient un réplica partiel de chaque objet de la forêt.

Pour tester si un dc est également un serveur de catalogue global, suivez les étapes suivantes :

  1. Sélectionnez Démarrer > les > outils d’administration > Outils d’administration Sites et services Active Directory.
  2. Dans le volet de navigation, double-cliquez sur Sites, puis recherchez le site approprié ou sélectionnez Default-first-site-name si aucun autre site n’est disponible.
  3. Ouvrez le dossier Serveurs, puis sélectionnez le dc.
  4. Dans le dossier de la dc, double-cliquez sur Paramètres NTDS.
  5. Dans le menu Action, sélectionnez Propriétés.
  6. Sous l’onglet Général, affichez la case à cocher Catalogue global pour voir si elle est sélectionnée.

Pour plus d’informations, voir :

Saisir ou transférer des rôles FSMO

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou transférer des rôles. Pour plus d’informations et des exemples d’utilisation de PowerShell pour ces tâches, voir Move-ADDirectoryServerOperationMasterRole.

Important

Si vous devez saisir le rôle maître RID, envisagez d’utiliser la cmdlet Move-ADDirectoryServerOperationMasterRole au lieu de l’utilitaire Ntdsutil.exe.

Pour éviter le risque de dupliquer des SID dans le domaine, Ntdsutil incrémente la prochaine rid disponible dans le pool de 10 000 lorsque vous saisissez le rôle principal RID. Ce comportement peut entraîner la consommation complète par votre forêt de ses plages disponibles pour les valeurs RID (également appelées incendies RID). En revanche, si vous utilisez l’cmdlet PowerShell pour saisir le rôle principal RID, le prochain RID disponible n’est pas affecté.

Pour saisir ou transférer les rôles FSMO à l’aide de l’utilitaire Ntdsutil, suivez les étapes suivantes :

  1. Connectez-vous à un ordinateur membre sur lequel les outils AD RSAT sont installés ou à un dc situé dans la forêt où les rôles FSMO sont transférés.

    Notes

    • Nous vous recommandons de vous connecter au dc auquel vous attribuez des rôles FSMO.
    • L’utilisateur inscrit doit être membre du groupe Administrateurs d’entreprise pour transférer les rôles maîtres de schéma ou de nommage de domaine, ou membre du groupe Administrateurs de domaine du domaine dans lequel les rôles d’émulateur PDC, de master RID et de maître d’infrastructure sont transférés.
  2. Sélectionnez > Démarrer l’utilisation, tapez ntdsutil dans la zone Ouvrir, puis sélectionnez OK.

  3. Tapez des rôles, puis appuyez sur Entrée.

    Notes

    Pour voir la liste des commandes disponibles à l’une des invites de l’utilitaire Ntdsutil, tapez ?, puis appuyez sur Entrée.

  4. Tapez connexions, puis appuyez sur Entrée.

  5. Tapez connectez-vous au <servername> serveur, puis appuyez sur Entrée.

    Notes

    Dans cette commande, est le nom du dc à qui vous souhaitez attribuer le <servername> rôle FSMO.

  6. À l’invite de connexions du serveur, tapez q, puis appuyez sur Entrée.

  7. Effectuez l’une des opérations suivantes :

    • Pour transférer le rôle : tapez transfert, <role> puis appuyez sur Entrée.

      Notes

      Dans cette commande, <role> est le rôle que vous souhaitez transférer.

    • Pour saisir le rôle : Tapez seize, <role> puis appuyez sur Entrée.

      Notes

      Dans cette commande, <role> est le rôle que vous souhaitez saisir.

    Par exemple, pour saisir le rôle maître RID, tapez seize rid master. La seule exception concerne le rôle d’émulateur PDC, dont la syntaxe est seize pdc, et non pour l’émulateur PDC.

    Pour voir la liste des rôles que vous pouvez transférer ou saisir, tapez ? à l’invite de maintenance fsmo, puis appuyez sur Entrée, ou consultez la liste des rôles au début de cet article.

  8. À l’invite de maintenance fsmo, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.

Considérations lors de la réparation ou de la suppression de titulaires de rôles précédents

Si c’est possible et si vous êtes en mesure de transférer les rôles au lieu de les saisir, corrigez le détenteur de rôle précédent. Si vous ne pouvez pas corriger le détenteur de rôle précédent ou si vous avez saisi les rôles, supprimez-le du domaine.

Important

Si vous prévoyez d’utiliser l’ordinateur réparé en tant que dc, nous vous recommandons de reconstruire l’ordinateur dans un dc à partir de zéro au lieu de restaurer le dc à partir d’une sauvegarde. Le processus de restauration resserre le dc en tant que titulaire de rôle.

  • Pour renvoyer l’ordinateur réparé dans la forêt en tant que dc

    1. Effectuez l’une des opérations suivantes :

      • Formatez le disque dur de l’ancien détenteur de rôle, puis réinstallez Windows sur l’ordinateur.
      • Rétrograder de force l’ancien détenteur de rôle vers un serveur membre.
    2. Sur un autre dc de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien titulaire du rôle. Pour plus d’informations, voir Pour nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

    3. Après avoir nettoyé les métadonnées, vous pouvez réentribuer l’ordinateur à un dc et lui transférer un rôle.

  • Pour supprimer l’ordinateur de la forêt après avoir saisi ses rôles

    1. Supprimez l’ordinateur du domaine.
    2. Sur un autre dc de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien titulaire du rôle. Pour plus d’informations, voir Pour nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

Considérations lors de la réintégration des îles de réplication

Lorsqu’une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une période prolongée, les sections isolées de domaine ou de forêt sont appelées îles de réplication. Les DCS d’une île ne peuvent pas répliquer avec les DCS d’autres îles. Sur plusieurs cycles de réplication, les îles de réplication ne sont plus synchronisées. Si chaque île possède ses propres titulaires de rôle FSMO, vous pouvez avoir des problèmes lors de la restauration de la communication entre les îles.

Important

Dans la plupart des cas, vous pouvez tirer parti de l’exigence de réplication initiale (comme décrit dans cet article) pour sortir les titulaires de rôles en double. Un titulaire de rôle redémarré doit abandonner le rôle s’il détecte un titulaire de rôle en double.
Vous pouvez rencontrer des circonstances dans le cas où ce comportement ne se résout pas. Dans ce cas, les informations de cette section peuvent être utiles.

Le tableau suivant identifie les rôles FMSO qui peuvent provoquer des problèmes si une forêt ou un domaine possède plusieurs titulaires de rôles pour ce rôle :

Role Conflits potentiels entre plusieurs titulaires de rôles ?
Contrôleur de schéma Oui
Maître d’attribution de noms de domaine Oui
Master RID Oui
Émulateur PDC Non
Infrastructure master Non

Ce problème n’affecte pas le maître de l’émulateur PDC ou le maître d’infrastructure. Ces titulaires de rôles ne persistent pas les données opérationnelles. En outre, le maître d’infrastructure n’a pas souvent apporté de modifications. Par conséquent, si plusieurs îles ont ces titulaires de rôle, vous pouvez les réintégrer sans provoquer de problèmes à long terme.

Le maître de schéma, le maître d’appellation de domaine et le master RID peuvent créer des objets et faire persister les modifications dans Active Directory. Chaque île qui possède l’un de ces titulaires de rôle peut avoir des objets de schéma, des domaines ou des pools RID en double et en conflit au moment de la restauration de la réplication. Avant de réintégré les îles, déterminez les titulaires de rôles à conserver. Supprimez les réplicateurs de schéma, les maîtres d’appellation de domaine et les maîtres RID en suivant les procédures de réparation, de suppression et de nettoyage mentionnées dans cet article.

Références

Pour plus d’informations, voir :