Transférer ou saisir des rôles Operation Master dans services de domaine Active Directory

Cet article explique quand et comment transférer ou saisir des rôles Operation Master, anciennement appelés rôles FSMO (Flexible Single Master Operations).

Numéro de base de connaissances d’origine : 255504

Plus d’informations

Dans une forêt Active Directory Domain Services (AD DS), il existe des tâches spécifiques qui doivent être effectuées par un seul contrôleur de domaine (DC). Les contrôleurs de domaine affectés à l’exécution de ces opérations uniques sont appelés titulaires de rôles Operation Master. Le tableau suivant répertorie les rôles Operation Master et leur placement dans Active Directory.

Role	Étendue	Contexte d’appellation (partition Active Directory)
Contrôleur de schéma	Forêt	CN=Schema,CN=configuration,DC=<forest root domain>
Maître d’opérations des noms de domaine	Forêt	CN=configuration,DC=<domaine racine de forêt>
émulateur PDC	Domaine	DC=<domain>
Maître RID	Domaine	DC=<domain>
Maître d'infrastructure	Domaine	DC=<domain>

Pour plus d’informations sur les titulaires de rôles Operation Master et les recommandations relatives au placement des rôles, consultez placement et optimisation FSMO sur les contrôleurs de domaine Active Directory.

Note

Les partitions d’application Active Directory qui incluent des partitions d’application DNS ont des liens de rôle Operation Master. Si une partition d’application DNS définit un propriétaire pour le rôle maître d’infrastructure (IM), vous ne pouvez pas utiliser Ntdsutil, DCPromo ou d’autres outils pour supprimer cette partition d’application. Pour plus d’informations, consultez l’article La rétrogradation DCPROMO échoue si elle ne parvient pas à contacter le maître d’infrastructure DNS.

Lorsqu’un contrôleur de domaine agissant en tant que titulaire de rôle commence à s’exécuter (par exemple, après un échec ou un arrêt), il ne reprend pas immédiatement en tant que titulaire du rôle. Le contrôleur de domaine attend de recevoir la réplication entrante pour son contexte d’appellation (par exemple, le détenteur du rôle Contrôleur de schéma attend de recevoir la réplication entrante de la partition de schéma).

Les informations que les contrôleurs de domaine passent dans le cadre de la réplication Active Directory incluent les identités des titulaires de rôles Operation Master actuels. Lorsque le contrôleur de domaine nouvellement démarré reçoit les informations de réplication entrante, il vérifie s’il s’agit toujours du titulaire du rôle. Si c’est le cas, il reprend les opérations habituelles. Si les informations répliquées indiquent qu’un autre contrôleur de domaine fait office de détenteur de rôle, le nouveau contrôleur de domaine démarré abandonne l’appartenance du rôle. Ce comportement réduit le risque que le domaine ou la forêt ait des titulaires de rôles Operation Master en double.

Important

Les opérations AD FS échouent si elles nécessitent un titulaire de rôle et si le titulaire de rôle nouvellement démarré est, en fait, le titulaire du rôle et qu’il ne reçoit pas de réplication entrante.
Tout se passe alors comme si le détenteur de rôle était hors connexion.

Déterminer quand transférer ou prendre des rôles

Dans des conditions normales, les cinq rôles doivent tous être attribués à des contrôleurs de domaine « actifs » dans la forêt. Lorsque vous créez une forêt Active Directory, l’Assistant Installation d’Active Directory (Dcpromo.exe) affecte les cinq rôles Operation Master au premier contrôleur de domaine qu’il crée dans le domaine racine de la forêt. Lorsque vous créez un domaine enfant ou arborescence, le mécanisme de création affecte les trois rôles à l’échelle du domaine au premier contrôleur de domaine du domaine.

Les contrôleurs de domaine continuent à posséder des rôles Operation Master jusqu’à ce qu’ils soient réaffectés à l’aide de l’une des méthodes suivantes :

• Un administrateur réassigne le rôle à l’aide d’un outil d’administration à interface graphique.
• Un administrateur réassigne le rôle à l’aide de la commande ntdsutil /roles.
• Un administrateur rétrograde normalement un contrôleur de domaine détenteur de rôle par le biais de l’Assistant Installation d’Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt.
• Un administrateur rétrograde un contrôleur de domaine tenant un rôle à l’aide de la ou dcpromo /forceremoval de la Uninstall-ADDSDomainController -ForceRemoval commande.
• Le contrôleur de domaine s’arrête et redémarre. Lorsque le contrôleur de domaine redémarre, il reçoit des informations de réplication entrante lui indiquant qu’un autre contrôleur de domaine est détenteur du rôle. Dans ce cas, le contrôleur de domaine nouvellement lancé renonce au rôle (tel que décrit précédemment).

Si un titulaire de rôle Operation Master rencontre un échec ou s’il est retiré du service avant que ses rôles ne soient transférés, vous devez saisir et transférer tous les rôles vers un contrôleur de domaine approprié et sain.

Nous vous recommandons de transférer des rôles Operation Master dans les scénarios suivants :

• Le titulaire de rôle actuel est opérationnel et est accessible sur le réseau par le nouveau propriétaire de l’Opération Master.
• Vous rétrogradez normalement un contrôleur de domaine qui possède actuellement des rôles Operation Master que vous souhaitez affecter à un contrôleur de domaine spécifique dans votre forêt Active Directory.
• Le contrôleur de domaine qui possède actuellement des rôles Operation Master est mis hors connexion pour la maintenance planifiée et vous devez attribuer des rôles Operation Master spécifiques à des contrôleurs de domaine dynamiques. Vous devrez peut-être transférer des rôles pour effectuer des opérations qui affectent le propriétaire d’Operation Master. Cela est particulièrement vrai pour le rôle d’émulateur du contrôleur de domaine principal (PDC). Il s’agit d’un problème moins important pour le rôle maître RID, le rôle de maître d’attribution de noms de domaine et les rôles de contrôleur de schéma.

Nous vous recommandons de saisir des rôles Operation Master dans les scénarios suivants :

• Le titulaire de rôle actuel rencontre une erreur opérationnelle qui empêche une opération dépendante d’Operation Master de s’exécuter correctement et vous ne pouvez pas transférer le rôle.

• Vous utilisez la ou dcpromo /forceremoval la Uninstall-ADDSDomainController -ForceRemoval commande pour forcer la rétrogradation d’un contrôleur de domaine propriétaire d’un rôle Operation Master.

  Important

  La force-demote commande peut laisser les rôles Operation Master dans un état non valide tant qu’ils ne sont pas réaffectés par un administrateur.

• Le système d’exploitation de l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.

Note

• Nous vous recommandons de saisir uniquement tous les rôles lorsque le titulaire de rôle précédent ne revient pas au domaine.
• Si les rôles Operation Master doivent être saisis dans les scénarios de récupération de forêt, consultez l’étape 5 dans Effectuer la récupération initiale sous le premier contrôleur de domaine accessible en écriture dans chaque section de domaine .
• Après un transfert ou une saisie de rôle, le nouveau titulaire de rôle ne agit pas immédiatement. Au lieu de cela, le nouveau détenteur du rôle se comporte comme un détenteur de rôle redémarré et attend sa copie du contexte d'appellation pour le rôle (comme la partition de domaine) pour lancer efficacement un cycle de réplication entrante. Cette exigence de réplication permet de s’assurer que le nouveau détenteur de rôle est aussi à jour que possible avant d’entrer en action. Elle limite également le nombre d’erreurs potentielles. Cette fenêtre comprend uniquement les changements que le détenteur de rôle précédent n’a pas fini de reproduire sur les autres contrôleurs de domaine avant qu’il ne soit hors ligne. Pour obtenir la liste du contexte d’affectation de noms pour chaque rôle Operation Master, consultez le tableau de la section Plus d’informations .

Identifier un nouveau titulaire de rôle

Le meilleur candidat pour le nouveau détenteur de rôle est un contrôleur de domaine répondant aux critères suivants :

• Il réside dans le même domaine que le détenteur de rôle précédent.
• Il dispose de la copie répliquée et non protégée la plus récente de la partition de rôle.

Supposons, par exemple, que vous deviez transférer le rôle de contrôleur de schéma. Le rôle maître de schéma fait partie de la partition de schéma de la forêt (CN=Schema,CN=Configuration,DC=<forest root domain>). Le meilleur candidat pour un nouveau détenteur de rôle est un contrôleur de domaine qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le détenteur actuel du rôle.

Attention

Le rôle maître d’infrastructure n’est plus nécessaire si les conditions suivantes sont remplies :

• Tous les contrôleurs de domaine du domaine sont des catalogues globaux (GCS). Dans ce cas, les contrôleurs de groupe obtiennent des mises à jour qui suppriment les références inter-domaines.
• La Corbeille AD est activée dans la forêt. Dans ce cas, chaque contrôleur de domaine est responsable de la mise à jour de ses références.

Nous vous recommandons de définir toujours un propriétaire approprié du maître d’infrastructure pour éviter les erreurs et les avertissements des outils de surveillance.

Si vous avez toujours besoin du rôle principal d’infrastructure :
Ne placez pas le rôle principal d’infrastructure sur le même contrôleur de domaine que le serveur de catalogue global. Si le maître d’infrastructure s’exécute sur un serveur de catalogue global, il cesse de mettre à jour les informations d’objet, car il ne contient aucune référence aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt.

Le rôle maître d’infrastructure n’est plus utilisé une fois que vous activez la Corbeille Active Directory. La Corbeille AD modifie l’approche de gestion des références d’objets en cours de suppression.

Pour tester si un contrôleur de domaine est également un serveur de catalogue global, procédez comme suit :

Utilisation des sites et services Active Directory :

1. Sélectionnez Démarrer>Programmes>Outils d’administration>Sites et services Active Directory.
2. Dans le volet de navigation, double-cliquez sur Sites, puis recherchez le site approprié ou sélectionnez Default-first-site-name si aucun autre site n’est disponible.
3. Ouvrez le dossier Serveurs , puis sélectionnez le contrôleur de domaine.
4. Dans le dossier du contrôleur de domaine, double-cliquez sur Paramètres NTDS.
5. Dans le menu Action, cliquez sur Propriétés.
6. Sous l’onglet Général , activez la case à cocher Catalogue global pour voir s’il est sélectionné.

Utilisation de Windows PowerShell :

1. Démarrez PowerShell.

2. Tapez l’applet de commande suivante et ajustez-la DC_NAME avec le nom de votre contrôleur de domaine réel :

   (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
   

3. La sortie sera True ou False.

Pour plus d’informations, consultez l’article suivant :

• Récupération de la forêt Active Directory : prise d’un rôle de maître d’opérations
• Planification de l’emplacement des rôles de maître d’opérations

Saisir ou transférer des rôles Operation Master

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou transférer des rôles. Pour obtenir plus d’informations et consulter des exemples liés à l’utilisation de PowerShell pour ces tâches, consultez l’article Move-ADDirectoryServerOperationMasterRole.

Important

Pour éviter le risque de doublons de SID dans le domaine, les saisies Rid Master incrémentent le RID disponible suivant dans le pool lorsque vous saisissez le rôle maître RID. Ce comportement peut entraîner l’utilisation significative de plages de valeurs RID disponibles par votre forêt (également appelée brûlure RID). Ainsi, saisissez le Rid Master uniquement quand vous êtes sûr que le Rid Master actuel ne peut pas être ramené en service.

Si vous devez saisir le rôle maître RID, tenez compte des détails suivants :

• L’applet de commande Move-ADDirectoryServerOperationMasterRole augmente le pool Rid suivant de 30 000 à partir de ce qu’il trouve dans Active Directory.
• Lorsque vous utilisez l’utilitaire Ntdsutil.exe avec les roles commandes de catégorie, il augmente le pool Rid suivant de 10 000.

Pour saisir ou transférer les rôles Operation Master à l’aide de l’utilitaire Ntdsutil, procédez comme suit :

1. Connectez-vous à un ordinateur membre sur lequel les outils AD RSAT sont installés ou un contrôleur de domaine situé dans la forêt où les rôles Operation Master sont transférés.

   Note

   • Nous vous recommandons de vous connecter au contrôleur de domaine auquel vous affectez des rôles Operation Master.
   • L’utilisateur connecté doit être membre du groupe Administrateurs d’entreprise pour transférer des rôles maître de schéma ou de nommage de domaine, ou membre du groupe Administrateurs de domaine du domaine où l’émulateur PDC, le maître RID et les rôles de base d’infrastructure sont transférés.

2. Sélectionnez Démarrer>Exécuter, tapez ntdsutil dans la zone Ouvrir, puis sélectionnez OK.

3. Tapez roles, puis appuyez sur Entrée.

   Note

   Pour afficher la liste des commandes disponibles dans une invite de l’utilitaire Ntdsutil, tapez ?, puis appuyez sur Entrée.

4. Tapez connections, puis appuyez sur Entrée.

5. Tapez connectez-vous au nom du serveur<>, puis appuyez sur Entrée.

   Note

   Dans cette commande, <le nom> de serveur est le nom du contrôleur de domaine auquel vous souhaitez attribuer le rôle Operation Master.

6. À l’invite server connections, tapez q, puis appuyez sur Entrée.

7. Effectuez l’une des actions suivantes :

   • Pour transférer le rôle : tapez le rôle> de transfert<, puis appuyez sur Entrée.

     Note

     Dans cette commande, <le rôle> est le rôle que vous souhaitez transférer.

   • Pour saisir le rôle : tapez saisir <le rôle>, puis appuyez sur Entrée.

     Note

     Dans cette commande, <le rôle> est le rôle que vous souhaitez saisir.

   Par exemple, pour définir le rôle de maître RID, tapez seize rid master. Des exceptions concernent le rôle Émulateur PDC, dont la syntaxe est seize pdc, et le rôle Maître d’opérations des noms de domaine, dont la syntaxe est seize naming master.

   Pour afficher la liste des rôles que vous pouvez transférer ou saisir, tapez ? à l’invite de maintenance fsmo, puis appuyez sur Entrée ou consultez la liste des rôles au début de cet article.

8. À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.

Considérations relatives à la réparation ou à la suppression des détenteurs de rôle précédents

Si c’est possible et si vous êtes en mesure de transférer les rôles au lieu de les saisir, corrigez le titulaire de rôle précédent. Si vous ne pouvez pas corriger le titulaire de rôle précédent ou si vous avez saisi les rôles, supprimez le titulaire de rôle précédent du domaine.

Important

Si vous envisagez d’utiliser l’ordinateur réparé en tant que contrôleur de domaine, il est recommandé de reconfigurer l’ordinateur en contrôleur de domaine à partir de zéro au lieu de restaurer le contrôleur de domaine à partir d’une sauvegarde. Le processus de restauration régénère le contrôleur de domaine en tant que détenteur de rôle.

• Pour renvoyer l’ordinateur réparé à la forêt en tant que contrôleur de domaine :

  1. Effectuez l’une des actions suivantes :

     • Formatez le disque dur de l’ancien détenteur de rôle, puis réinstallez Windows sur l’ordinateur.
     • Rétrogradez de force l’ancien détenteur de rôle en serveur membre.

  2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

  3. Après avoir nettoyé les métadonnées, vous pouvez à nouveau promouvoir l’ordinateur en contrôleur de domaine et lui retransférer un rôle.

• Pour supprimer l’ordinateur de la forêt après avoir saisi ses rôles :

  1. Supprimez l'ordinateur du domaine.
  2. Sur un autre contrôleur de domaine de la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien détenteur de rôle. Pour plus d’informations, consultez la section Nettoyer les métadonnées du serveur à l’aide de Ntdsutil.

Considérations relatives à la réintégration des îles de réplication

Lorsqu’une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une durée prolongée, les sections isolées du domaine ou de la forêt sont appelées îles de réplication. Les contrôleurs de domaine d’une île ne peuvent pas répliquer avec les contrôleurs de domaine dans d’autres îles. Sur plusieurs cycles de réplication, les îles de réplication tombent hors de synchronisation. Si chaque île possède ses propres titulaires de rôle Maître de l’Opération, vous pouvez rencontrer des problèmes lorsque vous restaurez la communication entre les îles.

Important

Dans la plupart des cas, vous pouvez tirer parti de l’exigence de réplication initiale (comme décrit dans cet article) pour éliminer les détenteurs de rôle en double. Un détenteur de rôle redémarré doit abandonner le rôle s’il détecte un détenteur de rôle en double.
Dans certains cas, il est impossible de résoudre ce comportement. Les informations contenues dans cette section peuvent alors être utiles.

Le tableau suivant identifie les rôles Operation Master qui peuvent provoquer des problèmes si une forêt ou un domaine possède plusieurs titulaires de rôles pour ce rôle :

Rôle	Conflits potentiels entre plusieurs détenteurs de rôle ?
Contrôleur de schéma	Oui
Maître d’opérations des noms de domaine	Oui
Maître RID	Oui
émulateur PDC	Non
Maître d'infrastructure	Non

Ce problème n’affecte pas le maître de l’émulateur PDC ou le maître d’infrastructure. Ces titulaires de rôle ne conservent pas les données opérationnelles. En outre, le maître d’infrastructure n’apporte pas souvent de modifications. Par conséquent, si plusieurs îles comportent ces détenteurs de rôles, vous pouvez les réintégrer sans provoquer de problèmes à long terme.

Le contrôleur de schéma, le maître d’opérations des noms de domaine et le maître RID peuvent créer des objets et conserver les modifications dans Active Directory. Chaque île qui possède l’un de ces détenteurs de rôle peut avoir des objets Schéma, des domaines ou des pools RID en double et en conflit au moment de la restauration de la réplication. Avant de réintégrer des îles, déterminez les détenteurs de rôle à conserver. Supprimez les contrôleurs de schéma, les maîtres d’opérations des noms de domaine et les maîtres RID en double éventuels en suivant les procédures de réparation, de suppression et de nettoyage mentionnées dans cet article.

References

Pour plus d’informations, consultez l’article suivant :

• Rôles FSMO Active Directory dans Windows
• Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory
• Procédure de transfert et de prise des opérations à maître unique flottant
• PROCÉDURE : Utiliser Ntdsutil pour rechercher et nettoyer les identificateurs de sécurité en double dans Windows Server
• Fantômes, pierres tombales et maître d’infrastructure
• Résoudre les problèmes d’ID d’événement DNS 4013 : Le serveur DNS n’a pas pu charger les zones DNS intégrées à AD
• La rétrogradation DCPROMO échoue si elle ne parvient pas à contacter le maître d’infrastructure DNS
• Rôles FSMO
• Effectuer une récupération initiale
• Récupération de la forêt Active Directory : prise d’un rôle de maître d’opérations
• Nettoyer les métadonnées du serveur à l’aide de Ntdsutil
• Planification de l’emplacement des rôles de maître d’opérations
• Move-ADDirectoryServerOperationMasterRole