Quels sont les 5 roles FSMO et lesquels dois-je transferer ?

Les cinq roles FSMO sont : Schema Master (par foret), Domain Naming Master (par foret), PDC Emulator (par domaine), RID Master (par domaine) et Infrastructure Master (par domaine). Lors de la mise hors service d'un controleur de domaine, vous devez transferer tous les roles FSMO qu'il detient vers un autre DC avant de le retrograder. Le PDC Emulator est le role le plus sensible au temps car il gere les changements de mot de passe, la synchronisation horaire et les Group Policy.

Quelle est la difference entre transferer et saisir des roles FSMO ?

Le transfert est la methode elegante ou le detenteur actuel du role communique avec le nouveau detenteur et transmet le role proprement. La saisie est la methode forcee, utilisee uniquement lorsque le detenteur actuel du role est definitivement hors ligne ou irrecuperable. Un detenteur de role saisi ne doit jamais etre remis en ligne. Essayez toujours le transfert en premier.

Dois-je executer dcpromo sur un Windows Server moderne ?

Non. La commande dcpromo a ete abandonnee dans Windows Server 2012. Sur Server 2012 et versions ulterieures, utilisez l'assistant d'installation AD DS dans Server Manager ou le cmdlet Install-ADDSDomainController de PowerShell pour promouvoir un serveur en controleur de domaine. Pour la retrogradation, utilisez Uninstall-ADDSDomainController.

Comment transferer votre domaine AD d'un serveur a un autre

La migration d’un domaine Active Directory d’un serveur a un autre est une operation critique qui necessite le transfert des roles FSMO (Flexible Single Master Operations), la verification de la replication correcte et la mise hors service propre de l’ancien controleur de domaine. Ce guide vous accompagne dans le processus complet, de la comprehension des roles FSMO a la realisation du transfert et au nettoyage par la suite.

Comprendre les roles FSMO

Active Directory utilise un modele de replication multi-maitre ou la plupart des modifications peuvent etre effectuees sur n’importe quel controleur de domaine. Cependant, cinq operations specifiques necessitent un seul serveur faisant autorite pour eviter les conflits. Ce sont les roles FSMO.

Roles au niveau de la foret (un par foret)

Role	Objectif
Schema Master	Controle toutes les modifications de schema (ajout d’attributs, de classes). Un seul DC peut modifier le schema a la fois.
Domain Naming Master	Controle l’ajout et la suppression de domaines dans la foret. Doit etre disponible lors de la creation ou de la suppression de domaines.

Roles au niveau du domaine (un par domaine)

Role	Objectif
PDC Emulator	Gere les changements de mot de passe, les verrouillages de compte, la synchronisation horaire et les mises a jour de Group Policy. Le role le plus critique pour les operations quotidiennes.
RID Master	Alloue des pools de Relative IDs (RIDs) aux controleurs de domaine. Chaque objet de securite (utilisateur, groupe, ordinateur) a besoin d’un RID unique.
Infrastructure Master	Met a jour les references inter-domaines (par exemple, lorsqu’un utilisateur d’un domaine est membre d’un groupe dans un autre domaine).

Identifier les detenteurs actuels des roles FSMO

Avec PowerShell (recommande) :

# Show all FSMO role holders for the domain
Get-ADDomain | Select-Object InfrastructureMaster, PDCEmulator, RIDMaster

# Show forest-wide role holders
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

# Quick view of all roles
netdom query fsmo

Avec l’interface graphique :

Schema Master : Ouvrez le snap-in Schema (enregistrez schmmgmt.dll d’abord avec regsvr32 schmmgmt.dll), clic droit sur “Active Directory Schema” > Operations Master
Domain Naming Master : Active Directory Domains and Trusts > clic droit sur la racine > Operations Master
PDC Emulator, RID Master, Infrastructure Master : Active Directory Users and Computers > clic droit sur le domaine > Operations Masters

Processus de migration etape par etape

Etape 1 : Preparer le nouveau serveur

Installez le nouveau Windows Server et configurez :

Adresse IP statique et parametres DNS corrects (pointant vers le DC actuel)
Nom d’hote du serveur
Mises a jour Windows appliquees

Etape 2 : Promouvoir le nouveau serveur en controleur de domaine

Windows Server 2012 et versions ulterieures (Assistant d’installation AD DS) :

Ouvrez Server Manager > Add Roles and Features
Selectionnez Active Directory Domain Services
Apres l’installation, cliquez sur le drapeau de notification et selectionnez Promote this server to a domain controller
Choisissez Add a domain controller to an existing domain
Entrez le nom de domaine et les identifiants
Configurez les options DNS et Global Catalog
Terminez l’assistant et redemarrez

Avec PowerShell :

# Install the AD DS role
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# Promote to domain controller
Install-ADDSDomainController `
    -DomainName "corp.example.com" `
    -InstallDns:$true `
    -Credential (Get-Credential) `
    -SiteName "Default-First-Site-Name" `
    -DatabasePath "C:\Windows\NTDS" `
    -LogPath "C:\Windows\NTDS" `
    -SysvolPath "C:\Windows\SYSVOL" `
    -NoGlobalCatalog:$false `
    -Force:$true

Heritage : dcpromo (Windows Server 2008 R2 et anterieur) :

dcpromo /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:corp.example.com /ConfirmGc:Yes /UserName:CORP\admin /Password:*

Etape 3 : Verifier la replication

Avant de transferer les roles, assurez-vous que la replication AD est saine entre les anciens et nouveaux DC :

# Check replication status
repadmin /replsummary

# Show replication partners
repadmin /showrepl

# Force replication
repadmin /syncall /AdeP

# Check replication with PowerShell
Get-ADReplicationPartnerMetadata -Target "newdc01.corp.example.com"

Attendez que la replication ne montre aucune erreur avant de continuer.

Etape 4 : Transferer les roles FSMO

Methode A : Avec PowerShell (Recommandee)

# Transfer all five roles to the new DC
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

# Confirm when prompted

Pour transferer les roles individuellement :

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole InfrastructureMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole SchemaMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole DomainNamingMaster

Methode B : Avec ntdsutil (Ligne de commande)

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
transfer schema master
transfer naming master
transfer pdc
transfer rid master
transfer infrastructure master
quit
quit

Chaque commande de transfert demandera une confirmation.

Methode C : Avec l’interface graphique

PDC Emulator, RID Master, Infrastructure Master :
1. Ouvrez Active Directory Users and Computers
2. Clic droit sur le domaine > Change Domain Controller > Selectionnez le nouveau DC
3. Clic droit sur le domaine > Operations Masters
4. Transferez chaque role dans son onglet respectif
Domain Naming Master :
1. Ouvrez Active Directory Domains and Trusts
2. Changez le focus vers le nouveau DC
3. Clic droit > Operations Master > Change
Schema Master :
1. Enregistrez le snap-in : regsvr32 schmmgmt.dll
2. Ouvrez un MMC et ajoutez le snap-in Active Directory Schema
3. Changez le focus vers le nouveau DC
4. Clic droit sur Active Directory Schema > Operations Master > Change

Etape 5 : Verifier le transfert

# Confirm new role holders
netdom query fsmo

# Should show NEWDC01 for all roles
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

Saisie des roles FSMO (Urgence uniquement)

Si l’ancien DC est definitivement hors ligne et ne peut pas etre recupere, vous devez saisir les roles au lieu de les transferer :

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
seize schema master
seize naming master
seize pdc
seize rid master
seize infrastructure master
quit
quit

Ou avec PowerShell :

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster `
    -Force

Avertissement : Un controleur de domaine dont les roles ont ete saisis ne doit jamais etre reconnecte au reseau. Cela provoquerait des conflits dans l’annuaire.

Retrogradation de l’ancien controleur de domaine

Une fois tous les roles transferes et verifies :

Windows Server 2012 et versions ulterieures :

# Demote the old DC
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -Force

# After reboot, remove the AD DS role
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Heritage (Windows Server 2008 R2 et anterieur) :

dcpromo /forceremoval

Apres la retrogradation

Verifiez que l’ancien DC n’apparait plus dans Active Directory Sites and Services
Supprimez tous les enregistrements DNS pointant vers l’ancien DC
Verifiez que les partages SYSVOL et NETLOGON fonctionnent sur le nouveau DC

Nettoyage des metadonnees

Si l’ancien DC n’a pas ete correctement retrograde (panne, suppression forcee), nettoyez ses metadonnees :

ntdsutil
metadata cleanup
connections
connect to server NEWDC01.corp.example.com
quit
select operation target
list domains
select domain 0
list sites
select site 0
list servers in site
select server [number of old DC]
quit
remove selected server
quit
quit

Ou utilisez PowerShell pour supprimer le compte ordinateur et les enregistrements DNS :

# Remove the old DC's computer object
Get-ADDomainController -Identity "OLDDC01" | Remove-ADDomainController -Force

# Clean up DNS records manually
# Open DNS Manager and remove A, CNAME, SRV records for the old DC

Considerations DNS

Le DNS est etroitement integre a Active Directory. Pendant la migration :

Assurez-vous que le nouveau DC est un serveur DNS — Installez le role DNS lors de la promotion du DC.
Verifiez que les zones DNS integrees a AD sont repliquees vers le nouveau DC.
Mettez a jour le DHCP — Si le DHCP distribue des adresses de serveurs DNS, mettez-les a jour pour pointer vers le nouveau DC.
Mettez a jour les parametres DNS des clients — Les machines utilisant l’IP de l’ancien DC pour le DNS doivent etre mises a jour.
Verifiez les enregistrements SRV — Assurez-vous que _ldap._tcp, _kerberos._tcp et les autres enregistrements SRV pointent vers le nouveau DC :
```
nslookup -type=srv _ldap._tcp.dc._msdcs.corp.example.com
```

Resume

Transferer un domaine AD d’un serveur a un autre implique la promotion d’un nouveau DC, la verification de la replication, le transfert des cinq roles FSMO et la retrogradation propre de l’ancien DC. Utilisez Move-ADDirectoryServerOperationMasterRole de PowerShell pour le transfert de roles le plus simple et verifiez toujours avec netdom query fsmo par la suite. Si l’ancien DC est irrecuperable, saisissez les roles et effectuez le nettoyage des metadonnees. Portez une attention particuliere au DNS tout au long du processus, car AD depend entierement d’une configuration DNS correcte.