La migration des rôles FSMO s’effectue entre deux serveurs qui possèdent les rôles de contrôleur de domaine, sur le même domaine bien entendu. Je détaille ici la procédure de migration des rôles ainsi que les pré-requis.

Prérequis

Les deux machines doivent appartenir au même domaine Active Directory. Ils doivent être tous les deux contrôleurs de domaine avec le même niveau hiérarchique. Il est nécessaire de s’assurer que le DNS est correctement répliqué entre les deux serveurs.

L’utilisateur qui va effectuer la migration doit disposer de tous les droits sur le serveur : Administrateur du poste (pour lancer le terminal cmd en administrateur), Administrateur du domaine pour migrer les trois rôles lié au domaine : maître RID, maître d’infrastructure et maître émultateur PDC, Administrateur du schéma pour migrer les deux rôles de plus haut niveau : maître d’attribution de nom et maître de schéma.

Pour rappel, les cinq rôles sont :

• Contrôleur de schéma : gère les modifications de schéma, lors de l’installation de programme type Exchange, SharePoint… (un seul par forêt)
• Maître d’attribution des noms de domaine : gère l’attribution des noms de domaine dans la forêt (un seul par forêt)
• Maître RID : gère l’attribution des RID qui constitue une partie des UID de chaque élément sur le réseau : ID machine, ID utilisateur… (un par domaine)
• Maître d’infrastructure : gère la cohérence entre les différents domaines d’une même forêt (un par domaine)
• Émulateur PDC : gère les connexions Active Directory, la stratégie de réplication des mots de passe (un par domaine).

Migration des rôles FSMO

Pour lister l’état des rôles, on utilise la commande :

netdom query fsmo

Il y a plusieurs méthodes pour migrer les rôles : la méthode graphique et la méthode en ligne de commande, que je préfère car elle a l’avantage de ne pas passer par 3 consoles MMC différentes.

Méthode graphique

En ligne de commande, on commence par la console MMC : Utilisateurs et ordinateurs Active Directory.

Dans Action> Maitre d’opération, on trouve un onglet par maitre FSMO que l’on peut transférer. (RID, CDP pour émulateur PDC et Infrastructure)

On passe ensuite à la console MMC : Domaines et approbations Active Directory

Dans Action > Maitre d’opération, on trouve l’interface graphique pour le transfert du rôle : Contrôleur d’attribution des noms de domaines.

Pour terminer, il reste à migrer le contrôleur de schéma. Pour cela, il faut ouvrir une invite de commande et enregistrer la DLL nécessaire :

regsvr32.exe schmmgmt.dll

Maintenant on ouvre une nouvelle console mmc vide, puis en allant dans Fichier > Ajouter/Supprimer un composant enfichable, on ajoute : Schéma Active Directory.

Dans Active > Maitre d’opération, on trouve alors l’interface pour migrer le rôle : maitre de schéma.

Méthode en ligne de commande

Pour cela, on lance un terminal cmd avec les droits d’administrateur. On lance ensuite ntdsutil.exe

ntdsutil.exe

On passe ensuite en mode maintenance :

role

On va maintenant établir la connexion avec le second contrôleur de domaine. Dans mon cas, je travaille sur le contrôleur qui possède les cinq rôles :

connections
connect to server <nomduserveur>
q

C’est la qu’on rentre dans la migration en lançant successivement les commandes suivantes :

transfer RID master
transfer infrastructure master
transfer pdc

transfer naming master
transfer schema master

Normalement, c’est terminé. Reste à quitter la session ntdsutil en tapant q et en validant.

Vérification de la migration

Pour vérifier que les rôles ont bien été migrés, on utilise la commande vu précédemment :

NETDOM QUERY /Domain:<votre-domaine> FSMO

J’ai volontairement rajouter le paramètre /Domain:<votre-domaine> qui permet de visualiser les maitres FSMO d’un domaine en particulier quand on est dans le cas d’un Active Directory avec une forêt composé de plusieurs domaines.