شرح les rôles FSMO Windows server 2019 /FSMO Roles

Описание: FSMO(Flexible Single Master Operations)


I) Partie Théorique :

Les rôles FSMO (Flexible Single Master Operations) sont des rôles spécialisés attribués à certains contrôleurs de domaine dans un environnement Active Directory.

Même si Active Directory fonctionne en multi-maître (multi-master), certaines opérations critiques ne peuvent être exécutées que par un seul contrôleur de domaine (DC) à la fois. Pour éviter les conflits et assurer la cohérence des données, Microsoft a défini 5 rôles uniques appelés FSMO.


IL Y'A 5 Rôles FSMO:

** 2 rôles au niveau Forêt (Forest-wide)
** 3 rôles au niveau Domaine (Domain-wide)



🌲 II) Rôles FSMO au niveau Forêt : Ces rôles sont uniques dans toute la forêt.

1️⃣ Maître de Schéma (Schema Master) : Le Schema Master est le contrôleur de domaine responsable de toutes les modifications du schéma Active Directory.

Le schéma définit :
Les types d’objets (User, Group, Computer…)
Les attributs associés à ces objets (nom, SID, mail, etc.)

👉 Toute modification du schéma doit passer obligatoirement par ce DC.

🔹 Exemples d’utilisation

Installation de Microsoft Exchange Server
Installation de Microsoft SQL Server (certaines extensions)
Ajout d’applications qui étendent le schéma


2️⃣ Maître d’attribution des noms (Domain Naming Master) : Le Domain Naming Master contrôle L’ajout de nouveaux domaines et La suppression de domaines L’ajout de nouveaux arbres dans la forêt

Il garantit que :
Aucun nom de domaine ne soit dupliqué
La structure logique de la forêt reste cohérente



🏢 III) Rôles FSMO au niveau Domaine

Ces rôles sont uniques dans chaque domaine.

3️⃣ Maître RID (Relative ID Master) : Le RID Master est responsable de la distribution des blocs RID aux contrôleurs de domaine.

🔹 Rappel sur le SID: Chaque objet dans Active Directory possède un SID (Security Identifier) composé de :

SID du domaine
RID unique

Le RID Master attribue des blocs RID (par exemple 500 RID) aux DC
Chaque DC utilise son bloc pour créer utilisateurs, groupes, ordinateurs

⚠️ Problème possible:

Si :
** Le RID Master est indisponible longtemps
** Et les pools RID sont épuisés
➡️ Impossible de créer de nouveaux objets dans le domaine.

4️⃣ Émulateur PDC (PDC Emulator) :Le PDC Emulator est le rôle FSMO le plus important dans un domaine.

Il émule l’ancien contrôleur principal (Primary Domain Controller des anciens systèmes).

🔹 Fonctions principales
✅ Source officielle de synchronisation NTP du domaine
✅ Gestion prioritaire des changements de mots de passe
✅ Gestion des verrouillages de comptes
✅ Référence principale pour les GPO

Il est fortement lié au service de temps Windows et aux stratégies de groupe.


⚠️ Pourquoi il est critique ?
** Si le PDC tombe :
** Problèmes de synchronisation d’heure
** Problèmes d’authentification
** Conflits de mot de passe

C’est généralement le rôle à surveiller en priorité.

5️⃣ Maître d’infrastructure (Infrastructure Master) : Le Infrastructure Master est responsable de la mise à jour des références inter-domaines.

🔹 Rôle technique
Il met à jour :
** Les SID
** Les noms d’objets provenant d’autres domaines


Exemple :
** Si un utilisateur d’un autre domaine est membre d’un groupe local, et que son nom change, l’Infrastructure Master met à jour cette référence.




Supposons :

** SRVDC1 (Contrôleur principal)
** SRVDC2 (Contrôleur secondaire)

🔎 1️⃣ Afficher les rôles FSMO
A) Méthode Graphique (GUI en français)

🔹 Maître de schéma
Ouvrir win + R
Taper :
regsvr32 schmmgmt.dll

Taper :
mmc

Fichier → Ajouter/Supprimer un composant logiciel enfichable

Ajouter : Schéma Active Directory
Clic droit → Maître d’opérations


🔹 Maître d’attribution des noms
Ouvrir : Domaines et approbations Active Directory
Clic droit sur la racine → Maître d’opérations


🔹 Les 3 rôles Domaine

Ouvrir le console : Utilisateurs et ordinateurs Active Directory

Clic droit sur le domaine → Maître d’opérations


B) Méthode PowerShell
✔️ Afficher tous les rôles
netdom query fsmo


Transfert = propre (le DC source fonctionne)

🔹 Via interface graphique

Dans chaque console → Maître d’opérations → Modifier

🔹 Via PowerShell (méthode recommandée)

Transférer tous les rôles vers SRVDC2 :
Move-ADDirectoryServerOperationMasterRole -Identity "SRVDC2" -OperationMasterRole "nom du role"


🚨 3️⃣ Seize (Prise de force des rôles)
Quand utiliser “Seize” ?

On utilise Seize uniquement si :
** L’ancien contrôleur de domaine (DC) est HS définitivement
** Il ne reviendra plus jamais en ligne

Si le DC fonctionne encore ➜ on fait un Transfer, pas un Seize.

Procédure Seize avec ntdsutil

Ouvrir Invite de commandes en Administrateur
Se placer sur le nouveau DC (ex : SRVDC2)

1️⃣ Lancer l’outil
ntdsutil

2️⃣ Entrer dans la gestion des rôles
roles
3️⃣ Se connecter au nouveau serveur
connections
connect to server SRVDC2

Si message :
Connected to SRVDC2

Puis :

quit
🔥 4️⃣ Seize des rôles

Tu peux saisir un rôle ou tous les rôles un par un.

🔹 Seize PDC
seize pdc
...