Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine



Documents pareils
Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS

[Tuto] Migration Active Directory 2003 vers 2008

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Migration 2003 vers 2008R2

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

Cours sur Active Directory

Stratégie de groupe dans Active Directory

Backup Exec 2014 Management Pack for Microsoft SCOM. - Guide de l'utilisateur

Préparer la synchronisation d'annuaires

MAGRET V86 Migration du contrôleur de domaine

WINDOWS SERVER 2003 Maintenance d'active directory V1.0

Tsoft et Groupe Eyrolles, 2005, ISBN :

Les noms uniques Identifie le domaine dans lequel est situé l objet, ainsi que le chemin complet CN=David Dubois,OU=Sales,DC=Consoto,DC=msft!

1 - EXCHANGE Installation

Service d'annuaire Active Directory

Module 0 : Présentation de Windows 2000

Symantec Backup Exec Remote Media Agent for Linux Servers

Remplacement de Serveur : Windows Server 2000 par Windows Server 2003 avec migration des rôles FSMO

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Introduction aux services de domaine Active Directory

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Installation de Windows 2000 Serveur

Installation de Windows 2003 Serveur

L annuaire et le Service DNS


FORMATION WS0801. Centre de formation agréé

Installation d'un Active Directory et DNS sous Windows Server 2008

D. Déploiement par le réseau

Cours 420-KEG-LG, Gestion de réseaux et support technique. Laboratoire 08. D. Création d usagers et de groupes pour la configuration des droits NTFS

Windows Internet Name Service (WINS)

Installation de Windows 2008 Serveur

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

CA ARCserve Replication and High Availability

Introduction aux services Active Directory

CA Desktop Migration Manager

L'assistance à distance

Préparation à l installation d Active Directory

Arcserve Replication and High Availability

Protéger les données et le poste informatique

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Module 7 : Accès aux ressources disque

AFTEC SIO 2. Christophe BOUTHIER Page 1

La console MMC. La console MMC Chapitre 13 02/08/2009

Date : NOM Prénom : TP n /5 DE WINDOWS SERVEUR

Microsoft Windows NT Server

Solutions informatiques

Module 9 : Installation d'active Directory

Mise à jour, sauvegarde et restauration de logiciels

Sharpdesk V3.3. Guide d installation Push pour les administrateurs système Version

Procédure : Sauvegarder un Windows 7 sur un disque réseau

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

SafeGuard Enterprise Aide administrateur. Version du produit : 5.60

Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe

Installation et configuration de base de l active Directory

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Formateur : Jackie DAÖN

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Printer Administration Utility 4.2

Installation 1K-Serveur

Arcserve Replication and High Availability

Exercices Active Directory (Correction)

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

HP Data Protector Express Software - Tutoriel 3. Réalisation de votre première sauvegarde et restauration de disque

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No 6-1

Active Directory. Qu'est-ce qu'un service d'annuaire?

Module 1 : Préparation de l'administration d'un serveur

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

Module 13 : Mise à jour de la base de données Active Directory

Guide de déploiement

Créer et partager des fichiers

Windows Serveur 2008

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Acronis Backup & Recovery for Mac. Acronis Backup & Recovery et Acronis ExtremeZ-IP ARCHITECTURE DE RÉFÉRENCE

Introduction à la notion de DOMAINE

Hyper-V Virtualisation de serveurs avec Windows Server 2008 R2 - Préparation à l'examen MCTS

Réseaux Active Directory

À propos du Guide de l'utilisateur final de VMware Workspace Portal

Mise en place Active Directory / DHCP / DNS

1. Introduction Sauvegardes Hyper-V avec BackupAssist Avantages Fonctionnalités Technologie granulaire...

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Sage 50 Version 2014 Guide d installation. Sage Suisse SA

PROJET PERSONNALISÉ ENCADRÉ : N 6

Windows 8 Installation et configuration

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

Gestionnaire de connexions Guide de l utilisateur

Guide d'installation. Release Management pour Visual Studio 2013

Laplink PCmover Express La façon la plus facile de transférer vers un nouveau PC Windows

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2

StreamServe Persuasion SP4

GUIDE DE L UTILISATEUR Recoveo Récupérateur de données

Procédure Création : 04/05/2009 ARCHIVAGE DE LA MESSAGERIE

Manuel d'utilisation de Palm BlueBoard 2.0

Extension WebEx pour la téléphonie IP Cisco Unified

Installation et Réinstallation de Windows XP

INSTALLATION WINDOWS SERVER 2008 R2

Network Camera. Camera. Network. Guide d installation v1.1. Installation Guide v R1.1. Anglais. Français. Espagnol. Allemand R1.

Transcription:

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine mars 2013 Nb. Pages 6 JLD Design Informatique Sarl Route du Boiron 17 1260 NYON (VD) SUISSE

Certaines opérations à l'échelle du domaine et de l'entreprise qui ne sont pas adaptées aux mises à jour multimaîtres sont effectuées par un contrôleur de domaine unique dans un domaine ou une forêt Active Directory. Les contrôleurs de domaine qui sont assignés pour effectuer ces opérations uniques portent le nom de maîtres d'opérations ou de détenteurs de rôles FSMO. La liste suivante décrit les 5 rôles FSMO uniques dans une forêt Active Directory et les opérations dépendantes qu'ils effectuent : Contrôleur de schéma - Le rôle de contrôleur de schéma est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour étendre le schéma d'une forêt Active Directory ou pour exécuter la commande adprep /domainprep. Maître d'opérations des noms de domaine - Le maître d'opérations des noms de domaine est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour ajouter ou supprimer des domaines ou des partitions d'applications dans une forêt. Maître RID - Le rôle de maître RID est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour allouer la réserve RID afin que les contrôleurs de domaine nouveaux ou existants puissent créer des comptes d'utilisateurs, des comptes d'ordinateurs ou des groupes de sécurité. Émulateur PDC - Le rôle d'émulateur PDC est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour le contrôleur de domaine qui envoie des mises à jour de base de données aux contrôleurs de domaine secondaires Windows NT. Le contrôleur de domaine qui détient ce rôle est ciblé également par certains outils d'administration et certaines mises à jour de mots de passe de comptes d'utilisateurs et de comptes d'ordinateurs. Maître d'infrastructure - Le rôle de maître d'infrastructure est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire aux contrôleurs de domaine pour exécuter la commande adprep /forestprep avec succès et mettre à jour les attributs SID Page 2

et attributs de noms uniques pour les objets qui sont référencés d'un domaine à un autre. L'Assistant Installation d'active Directory (Dcpromo.exe) assigne tous les 5 rôles FSMO au premier contrôleur de domaine dans le domaine racine de forêt. Les trois rôles à l'échelle du domaine sont assignés au premier contrôleur de domaine dans chaque nouveau domaine enfant ou domaine d'arborescence. Les contrôleurs de domaine continuent de détenir des rôles FSMO jusqu'à ce qu'ils soient réassignés par le biais d'une des méthodes suivantes : Un administrateur réassigne le rôle à l'aide d'un outil d'administration à interface graphique. Un administrateur réassigne le rôle à l'aide de la commande ntdsutil /roles. Un administrateur rétrograde gracieusement un contrôleur de domaine détenteur de rôle par le biais de l'assistant Installation d'active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt. Les rétrogradations effectuées à l'aide de la commande dcpromo /forceremoval laissent les rôles FSMO dans un état non valide jusqu'à ce qu'ils soient réassignés par un administrateur. Nous recommandons de transférer des rôles FSMO dans les scénarios suivants : Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO. Vous rétrogradez gracieusement un contrôleur de domaine qui détient actuellement des rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory. Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à un contrôleur de domaine «live». Cela peut être requis pour effectuer des opérations qui assurent une connexion au propriétaire FSMO. Cela serait particulièrement vrai pour le rôle d'émulateur PDC, mais moins vrai pour le rôle de maître RID, le rôle de maître d'opérations des noms de domaine et le rôle de contrôleur de schéma. Nous recommandons de prendre des rôles FSMO dans les scénarios suivants : Le détenteur de rôle actuel rencontre une erreur opérationnelle qui empêche une opération FSMO de se terminer avec succès et ce rôle ne peut pas être transféré. Un contrôleur de domaine qui possède un rôle FSMO est rétrogradé de force à l'aide de la commande dcpromo /forceremoval. Le système d'exploitation de l'ordinateur qui détenait à l'origine un rôle spécifique n'existe plus ou a été réinstallé. Lors de la réplication, les contrôleurs de domaine non-fsmo du domaine ou de la forêt sont informés de toutes les modifications apportées par les contrôleurs de domaine détenteurs de rôles FSMO. Si vous devez transférer un rôle, le meilleur candidat est un contrôleur de domaine qui se trouve dans le domaine approprié qui a effectué la dernière réplication entrante (ou récemment effectué une réplication entrante) d'une copie accessible en écriture de la «partition FSMO» à partir du détenteur de rôle existant. Par exemple, le détenteur du rôle de contrôleur de schéma a comme chemin de nom unique CN=schema,CN=configuration,dc=<domaine_racine_forêt>, ce qui signifie que des rôles sont répliqués dans le cadre de la partition CN=schema et résident dans celle-ci. Si le contrôleur de domaine qui détient le rôle de contrôleur de schéma rencontre une panne matérielle ou logicielle, un bon candidat pour le rôle serait un contrôleur de domaine du domaine racine situé dans le même site Active Directory que le propriétaire actuel. Les contrôleurs de domaine situés dans le même site Active Directory effectuent la réplication entrante toutes les 5 minutes ou 15 secondes. La partition de chaque rôle FSMO est répertoriée dans la liste suivante : Page 3

Rôle FSMO Schéma maître d'opérations des noms de domaine Émulateur PDC RID Infrastructure Partition CN=Schema,CN=configuration,DC=<domaine_racine_forêt> CN=configuration,DC=<domaine_racine_forêt> DC=<domaine> DC=<domaine> DC=<domaine> Un contrôleur de domaine dont les rôles FSMO ont été pris ne doit pas être autorisé à communiquer avec les contrôleurs de domaine existants dans la forêt. Dans ce scénario, vous devez soit formater le disque dur et réinstaller le système d'exploitation sur ces contrôleurs de domaine, soit forcer leur rétrogradation sur un réseau privé puis supprimer leurs métadonnées sur un contrôleur de domaine survivant dans la forêt par le biais de la commande ntdsutil /metadata cleanup. Le risque posé par l'introduction dans la forêt d'un ancien détenteur de rôle FSMO dont le rôle a été pris est que le détenteur de rôle d'origine peut continuer à fonctionner comme auparavant jusqu'à ce qu'il soit informé de la prise de rôle grâce à la réplication entrante. La possession de rôles FSMO identiques par deux contrôleurs de domaine présente des risques connus, tels que la création d'entités de sécurité ayant des réserves RID à chevauchement. Transfert de rôles FSMO Pour transférer les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit : 1. Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont transférés. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés. 2. Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 3. Tapez roles, puis appuyez sur Entrée. Remarque Pour afficher une liste des commandes disponibles aux invites de l'utilitaire Ntdsutil, tapez? et appuyez sur Entrée. 4. Tapez connections et appuyez sur Entrée. 5. Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO. 6. À l'invite server connections, tapez q, puis appuyez sur Entrée. 7. Tapez transfer rôle, où rôle est le rôle à transférer. Pour afficher une liste des rôles que vous pouvez transférer, tapez? à l'invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour transférer le rôle de maître RID, tapez transfer rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est transfer pdc, et non transfer pdc emulator. Page 4

8. À l'invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter Ntdsutil. Prise de rôles FSMO Pour prendre les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit : 1. Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont pris. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés. 2. Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 3. Tapez roles, puis appuyez sur Entrée. 4. Tapez connections et appuyez sur Entrée. 5. Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO. 6. À l'invite server connections, tapez q, puis appuyez sur Entrée. 7. Tapez seize rôle, où rôle est le rôle à prendre. Pour afficher une liste des rôles que vous pouvez prendre, tapez? à l'invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour prendre le rôle de maître RID, tapez seize rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est seize pdc, et non seize pdc emulator. 8. À l'invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter Ntdsutil. Remarques o Dans des conditions normales, tous les cinq rôles doivent être assignés à des contrôleurs de domaine «live» dans la forêt. Si un contrôleur de domaine qui possède un rôle FSMO est mis hors service avant que ses rôles soient transférés, vous devez prendre tous les rôles sur un contrôleur de domaine approprié et sain. Nous vous recommandons de prendre tous les rôles uniquement lorsque l'autre contrôleur de domaine ne retourne pas au domaine. Si possible, réparez le contrôleur de domaine défectueux auquel les rôles FSMO sont assignés. Vous devez identifier quels rôles doivent être assignés à quels contrôleurs de domaine restants afin que les cinq rôles ne soient pas tous assignés à un même contrôleur de domaine. Pour plus d'informations sur le placement des rôles FSMO, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. 223346 Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Active Directory o Si le contrôleur de domaine qui détenait auparavant un rôle FSMO n'est pas présent dans le domaine et si ses rôles ont été pris lors des étapes précédentes de cet article, supprimez-le de l'annuaire Active Directory en appliquant la procédure décrite dans l'article suivant de la Base de connaissances Microsoft : 216498 Comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine Page 5

o La suppression des métadonnées d'un contrôleur de domaine avec la version Windows 2000 ou Windows Server 2003 build 3790 de la commande ntdsutil /metadata cleanup ne déplace pas les rôles FSMO qui sont assignés à des contrôleurs de domaine «live». La version Windows Server 2003 Service Pack 1 (SP1) de l'utilitaire Ntdsutil automatise cette tâche et supprime des éléments supplémentaires des métadonnées de contrôleur de domaine. o Certains clients préfèrent ne pas restaurer de sauvegardes d'état du système de détenteurs de rôle FSMO, de peur que le rôle ait été réassigné depuis que la sauvegarde a été effectuée. o Ne placez pas le rôle de maître d'infrastructure sur le même contrôleur de domaine que le serveur de catalogue global. Si le rôle de maître d'infrastructure est exécuté sur un serveur de catalogue global, il arrête la mise à jour des informations sur les objets car il ne dispose pas de références aux objets qu'il ne contient pas. Cela s'explique par le fait qu'un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt. Pour vérifier si un contrôleur de domaine est également un serveur catalogue global, procédez comme suit : 1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Sites et services Active Directory. 2. Double-cliquez sur Sites dans le volet gauche, puis recherchez le site approprié ou cliquez sur premier_site_par_défaut si aucun autre site n'est disponible. 3. Ouvrez le dossier Servers, puis cliquez sur le contrôleur de domaine. 4. Dans le dossier du contrôleur de domaine, double-cliquez sur NTDS Settings. 5. Dans le menu Action, cliquez sur Propriétés. 6. Sous l'onglet Général, vérifiez si la case à cocher Catalogue global est activée. Pour plus d'informations sur les rôles FSMO, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft. Page 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back