Comment saisir et transférer les rôles FSMO (GUI et PowerShell)

Tutoriels

Il arrive un moment dans la carrière de tout administrateur Active Directory (AD) où il doit transférer les rôles FSMO (ou les saisir). Les contrôleurs de domaine (DC) viennent et partent, et les rôles FSMO hébergés sur ces DC doivent être déplacés.

Dans ce tutoriel, vous allez apprendre comment transférer et saisir tous les rôles FSMO de l’AD, étape par étape. Vous verrez comment déplacer les rôles FSMO via différents outils GUI et PowerShell.

Commençons !

Prérequis

Si vous souhaitez suivre, assurez-vous d’avoir ce qui suit :

  • Au moins deux DC – Ce tutoriel utilisera Windows Server 2019 avec un niveau fonctionnel de la forêt de Windows Server 2016, bien que peu de choses aient changé.
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

Connexe : Comment installer et importer le module PowerShell Active Directory

  • Windows PowerShell v5.1
  • Connectez-vous avec un compte AD sur un ordinateur connecté au domaine. Aucun privilège spécial n’est requis pour interroger les rôles. Cependant, des privilèges supplémentaires sont requis pour transférer ou saisir les rôles.

Transfert des rôles FSMO avec l’interface graphique

Il existe deux façons de transférer les rôles FSMO : l’interface graphique et PowerShell. Commençons par transférer les rôles FSMO via quelques snap-ins MMC différents.

Maître RID, PDCe et Maître d’Infrastructure

Commençons par régler les rôles FSMO spécifiques au domaine.

  1. Ouvrez ADUC (dsa.msc), faites un clic droit sur le domaine et choisissez Masters des opérations. Ici, vous trouverez tous les rôles FSMO propres au domaine (RID Master, PDCe et Infrastructure Master) représentés par les onglets RID, PDC et Infrastructure.
Domain-specific FSMO roles

2. Cliquez sur chaque onglet. Vous remarquerez le détenteur actuel du rôle FSMO (Masters des opérations) et un bouton de Changement.

3. Cliquez sur le bouton Changement sous chaque onglet et sélectionnez le nouveau DC pour effectuer les transferts pour les rôles FSMO de RID Master, PDCe et Infrastructure Master.

Master de nommage de domaine

Passons maintenant au rôle de Master de nommage de domaine. Vous pouvez voir et changer ce rôle FSMO dans la Console des domaines et approbations Active Directory.

  1. Ouvrez la Console des domaines et approbations Active Directory (domain.msc).

2. Faites un clic droit sur le nœud parent Domaines et approbations Active Directory et cliquez sur Masters des opérations. Ici, vous verrez le DC actuel détenant ce rôle décrit comme Master des opérations de nommage de domaine.

3. Cliquez sur le bouton Changement et choisissez le DC que vous souhaitez transférer.

Transferring the domain naming master FSMO role

Master de schéma

Enfin, le rôle de Master de schéma. Pour changer ce rôle, vous aurez besoin du plug-in MMC de schéma Active Directory.

Avant de commencer, assurez-vous d’être connecté avec un compte qui est dans le groupe AD des administrateurs de schéma.

  1. Ouvrez une invite de commandes élevée ou une console PowerShell et exécutez regsvr32.exe "schmmgmt.dll". La console de schéma Active Directory n’est pas disponible par défaut. Cette commande enregistre la DLL nécessaire pour la gestion du schéma.

2. Ouvrez l’utilitaire mmc.exe.

3. Cliquez sur Fichier —> Ajouter/Supprimer un composant logiciel enfichable.

4. Sélectionnez Active Directory Schema dans les Composants logiciels enfichables disponibles et cliquez sur Ajouter > et OK.

Add the Active Directory Schema in the MMC console

5. Une fois dans le composant logiciel enfichable, faites un clic droit sur Active Directory Schema [<le nom de votre domaine>] et choisissez Maître d’opérations pour afficher le Maître de schéma actuel dans la fenêtre contextuelle.

6. Cliquez sur Modifier et sélectionnez le nouveau contrôleur de domaine pour transférer le rôle de Maître de schéma.

Transferring the Schema Master role

Transfert des rôles FSMO avec PowerShell

Si vous préférez la ligne de commande, PowerShell est là pour vous aider.

Affichage des détenteurs actuels des rôles FSMO

Commençons par apprendre comment afficher les détenteurs actuels des rôles FSMO avant de les transférer avec PowerShell. Pour cela, ouvrez une console Windows PowerShell élevée et exécutez Get-ADDomain et Get-ADForest pour trouver les détenteurs de chaque rôle FSMO actuel, comme indiqué ci-dessous.

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

Transfert des rôles FSMO

Une fois que vous savez quels DC détiennent les rôles FSMO actuels, vous pouvez les transférer également. Pour ce faire dans Windows PowerShell, exécutez la commande Move-ADDirectoryServerOperationMasterRole en utilisant le paramètre Identity pour le DC vers lequel transférer le rôle FSMO (ChildDC1 dans ce cas) suivi du nom du rôle FSMO. L’exemple ci-dessous transfère le rôle de Maître RID.

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

Pour le nom du rôle FSMO, vous pouvez utiliser PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster et DomainNamingMaster.

Transferring FSMO roles with PowerShell

Vous pouvez également transférer plusieurs rôles en même temps en définissant chaque nom de rôle séparé par une virgule, par exemple Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.

Peut-être êtes-vous vraiment paresseux et ne voulez pas taper ces longs noms. Dans ce cas, vous pouvez également utiliser des nombres, chaque rôle FSMO correspondant à un numéro spécifique.

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

En utilisant les identifiants au lieu des noms de rôle, la commande pour transférer le rôle PDCE est aussi courte que Move-ADDirectoryServerOperationMasterRole ChildDc2 0

Vous êtes invité à propos du transfert du nom du rôle FSMO, juste pour être sûr que vous savez ce que vous faites. Étant donné que cela n’est pas une tâche fréquente, vous voudrez peut-être envisager d’utiliser le ou les noms complets du(des) rôle(s) que vous souhaitez transférer. Surtout si vous utilisez la commande dans un script que quelqu’un d’autre utilisera ; c’est plus facile à comprendre.

The short, lazy way to transfer the PDCE role

Transfert des rôles FSMO avec l’interface graphique (GUI)

Si vous devez déplacer un rôle FSMO d’un contrôleur de domaine à un autre, la meilleure option est toujours de transférer les rôles. Le transfert garantit que le rôle FSMO est complètement supprimé de l’ancien contrôleur de domaine et transféré vers le nouveau. Mais les choses ne se passent pas toujours comme prévu.

Si un contrôleur de domaine n’est plus en ligne ou a échoué d’une certaine manière, vous pouvez saisir les rôles FSMO, ce qui crée essentiellement un nouveau rôle FSMO sur un nouveau contrôleur de domaine sans supprimer l’ancien.

Ne saisissez un rôle FSMO que si vous êtes sûr de ne pas pouvoir rétablir le fonctionnement du détenteur actuel du rôle. Une fois que le rôle a été saisi, assurez-vous de ne jamais rétablir l’ancien détenteur du rôle FSMO.

La saisie des rôles avec l’interface graphique utilisateur se fait en supprimant un compte d’ordinateur DC dans la console Utilisateurs et ordinateurs Active Directory (ADUC). Pour ce faire :

  1. 1. Tout d’abord, connectez ADUC au contrôleur de domaine vers lequel vous souhaitez transférer le rôle FSMO. Pour cela, dans ADUC, cliquez avec le bouton droit de la souris sur le nœud racine Utilisateurs et ordinateurs Active Directory et cliquez sur Changer de contrôleur de domaine.

2. Recherchez le contrôleur de domaine auquel vous souhaitez vous connecter et connectez-vous à celui-ci.

3. Cliquez sur l’unité d’organisation Contrôleurs de domaine.

4. Cliquez avec le bouton droit de la souris sur le contrôleur de domaine dont vous souhaitez saisir le rôle FSMO, puis cliquez sur Supprimer.

Right-click the offline DC account and select Delete

5. Ensuite, cliquez sur Oui aux deux premières invitations.

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

6. Enfin, vous recevrez une invite vous indiquant que le DC était un détenteur de rôle FSMO et que le(s) rôle(s) sera/seront déplacé(s) vers un autre DC. Il s’agira du DC auquel votre console ADUC est connectée. Cliquez sur OK et le compte d’ordinateur du DC hors ligne sera supprimé et les rôles seront saisis et déplacés vers le nouveau DC.

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

Saisir les rôles FSMO avec PowerShell

Pour saisir les rôles FSMO avec PowerShell, assurez-vous d’avoir Windows PowerShell ouvert et exécutez la commande Move-ADDirectoryServerOperationMasterRole en fournissant le nom du nouveau DC en tant que valeur du paramètre Identity ainsi que le paramètre Force.

L’exemple ci-dessous saisit le rôle de maître RID et l’assigne au DC NewDC3.

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

Les mêmes noms de rôles FSMO utilisés pour le transfert s’appliquent également à la commande Move-ADDirectoryServerOperationMasterRole.

Conclusion

Le déplacement des rôles FSMO n’est pas une tâche quotidienne, mais lorsque vous promouvez de nouveaux DC, dégradez d’anciens DC et mettez hors service des serveurs, vous devez connaître les rôles FSMO.

Suivez les étapes de ce tutoriel pour vous aider à accomplir cette tâche !

Source:
https://adamtheautomator.com/transfer-fsmo-roles/