Migration des rôles FSMO

Migration des rôles FSMO

17/01/2018 0 Par Vincent

La migration des rôles FSMO s’effectue entre deux serveurs qui possèdent les rôles de contrôleur de domaine, sur le même domaine bien entendu. Je détaille ici la procédure de migration des rôles ainsi que les pré-requis.

Prérequis

Les deux machines doivent appartenir au même domaine Active Directory. Ils doivent être tous les deux contrôleurs de domaine avec le même niveau hiérarchique. Il est nécessaire de s’assurer que le DNS est correctement répliqué entre les deux serveurs.

L’utilisateur qui va effectuer la migration doit disposer de tous les droits sur le serveur : Administrateur du poste (pour lancer le terminal cmd en administrateur), Administrateur du domaine pour migrer les trois rôles lié au domaine : maître RID, maître d’infrastructure et maître émultateur PDC, Administrateur du schéma pour migrer les deux rôles de plus haut niveau : maître d’attribution de nom et maître de schéma.

Pour rappel, les cinq rôles sont :

  • Contrôleur de schéma : gère les modifications de schéma, lors de l’installation de programme type Exchange, SharePoint… (un seul par forêt)
  • Maître d’attribution des noms de domaine : gère l’attribution des noms de domaine dans la forêt (un seul par forêt)
  • Maître RID : gère l’attribution des RID qui constitue une partie des UID de chaque élément sur le réseau : ID machine, ID utilisateur… (un par domaine)
  • Maître d’infrastructure : gère la cohérence entre les différents domaines d’une même forêt (un par domaine)
  • Émulateur PDC : gère les connexions Active Directory, la stratégie de réplication des mots de passe (un par domaine).

Migration des rôles FSMO

Pour lister l’état des rôles, on utilise la commande :

[pastacode lang= »bash » manual= »netdom%20query%20fsmo » message= » » highlight= » » provider= »manual »/]

Il y a plusieurs méthodes pour migrer les rôles : la méthode graphique et la méthode en ligne de commande, que je préfère car elle a l’avantage de ne pas passer par 3 consoles MMC différentes.

Méthode graphique

En ligne de commande, on commence par la console MMC : Utilisateurs et ordinateurs Active Directory.

Dans Action> Maitre d’opération, on trouve un onglet par maitre FSMO que l’on peut transférer. (RID, CDP pour émulateur PDC et Infrastructure)

On passe ensuite à la console MMC : Domaines et approbations Active Directory

Dans Action > Maitre d’opération, on trouve l’interface graphique pour le transfert du rôle : Contrôleur d’attribution des noms de domaines.

Pour terminer, il reste à migrer le contrôleur de schéma. Pour cela, il faut ouvrir une invite de commande et enregistrer la DLL nécessaire :

[pastacode lang= »bash » manual= »regsvr32.exe%20schmmgmt.dll » message= » » highlight= » » provider= »manual »/]

Maintenant on ouvre une nouvelle console mmc vide, puis en allant dans Fichier > Ajouter/Supprimer un composant enfichable, on ajoute : Schéma Active Directory.

Dans Active > Maitre d’opération, on trouve alors l’interface pour migrer le rôle : maitre de schéma.

Méthode en ligne de commande

Pour cela, on lance un terminal cmd avec les droits d’administrateur. On lance ensuite ntdsutil.exe

[pastacode lang= »bash » manual= »ntdsutil.exe » message= » » highlight= » » provider= »manual »/]

On passe ensuite en mode maintenance :

[pastacode lang= »bash » manual= »role » message= » » highlight= » » provider= »manual »/]

On va maintenant établir la connexion avec le second contrôleur de domaine. Dans mon cas, je travaille sur le contrôleur qui possède les cinq rôles :

[pastacode lang= »bash » manual= »connections%0Aconnect%20to%20server%20%3Cnomduserveur%3E%0Aq » message= » » highlight= » » provider= »manual »/]

C’est la qu’on rentre dans la migration en lançant successivement les commandes suivantes :

[pastacode lang= »markup » manual= »transfer%20RID%20master%0Atransfer%20infrastructure%20master%0Atransfer%20pdc%0A%0Atransfer%20naming%20master%0Atransfer%20schema%20master » message= » » highlight= » » provider= »manual »/]

Normalement, c’est terminé. Reste à quitter la session ntdsutil en tapant q et en validant.

Vérification de la migration

Pour vérifier que les rôles ont bien été migrés, on utilise la commande vu précédemment :

[pastacode lang= »bash » manual= »NETDOM%20QUERY%20%2FDomain%3A%3Cvotre-domaine%3E%20FSMO » message= » » highlight= » » provider= »manual »/]

J’ai volontairement rajouter le paramètre /Domain:<votre-domaine> qui permet de visualiser les maitres FSMO d’un domaine en particulier quand on est dans le cas d’un Active Directory avec une forêt composé de plusieurs domaines.