Déplacer les rôles FSMO en PowerShell
19 mars 2019
Pour en savoir plus sur les rôles FSMO, l’article sur IT-Connect détails précisément les différences de chaque roles : https://www.it-connect.fr/chapitres/les-cinq-roles-fsmo/
Pour pouvoir déplacer les rôles FSMO, il faut se connecter en tant qu’administrateur de domaine à un serveur contrôleur de domaine, le contrôleur de domaine en question n’a pas besoin d’être celui qui possède le ou les rôles FSMO qui sont déplacés, ni celui qui va les recevoir. Une fois connecter avec un compte administrateur de domaine, il faut lancer l’application PowerShell :
Pour savoir sur quels serveurs sont présents les rôles FSMO, la commande
netom query fsmo
permet de lister les rôles et les serveurs qui possèdent chaque rôle.
La commande pour déplacer les rôles FSMO est :
Move-ADDirectoryServerOperationMasterRole –Identity « contrôleur de domaine cible » -OperationMasterRole [rôles FSMO].
À la place de « contrôleur de domaine cible » renseigner le nom du contrôleur de domaine qui va recevoir les rôles FSMO.
À la place de [rôles FSMO] renseigner soit le nom du rôle sans espace entre les mots, par exemple « SchemaMaster » et non « Schema master », ou renseigner le chiffre qui correspond au rôle FSMO, ci-après un tableau associatif des rôles FSMO avec leurs chiffres attribués.
Si plusieurs rôles doivent être déplacés en même temps il faut espacer chaque rôle par une virgule.
Pour illustrer ce qui a été dit précédemment, les rôles « Schema master » et « PDC » vont être déplacés depuis le contrôleur de domaine « SRV-ADMASTER01 » vers le contrôleur de domaine « ADANI002 », la commande qui le permet est donc
Move-ADDirectoryServerOperationMasterRole –Identity «ADANI002» -OperationMasterRole 0,3 ».
Confirmer par la lettre « Y », le déplacement de chaque rôles FSMO.
Aucune erreur n’a été soulevé par PowerShell, le déplacement des rôles FSMO s’est donc déroulé sans encombre.
Vous pouvez ensuite vérifier avec la commande :
netom query fsmo
Le bon déplacement des rôles FSMO sur votre serveur, je vous conseil d’attendre quelques heures après ces actions avant de redémarrer vos serveur Active Directory. Deplus la répartition des rôles FSMO sur plusieurs contrôleurs de domaine améliore la sécurité d’une infrastructure Active Directory.
