[AD PowerShell] Déplacement des rôles FSMO

J'avais écrit il y a pas mal de temps un article sur le déplacement des rôles FSMO depuis les consoles Active Directory : http://www.pbarth.fr/node/79 .

Dans cet article nous allons voir comment déplacer rapidement l'ensemble des rôles FSMO avec PowerShell.

Les premières commandes que nous allons voir, permettent de déterminer les serveurs qui disposent des rôles actuellement.

Pour déterminer les serveurs qui disposent des rôles FSMO du domaine vous pouvez utiliser la commande :

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

 

 

Si vous souhaitez récupérer le nom du serveur pour un rôle précis, vous pouvez utiliser la commande suivante :

(Get-ADDomain).InfrastructureMaster

(Get-ADDomain).PDCEmulator

(Get-ADDomain).RIDMaster

 

 

Pour les deux rôles spécifiques à la forêt il suffit d'utiliser « Get-ADForest » de la même manière.

Get-ADForest | Select SchemaMaster,DomainNamingMaster

 

Vous pouvez directement récupérer le nom du contrôleur ayant un rôle au niveau de la forêt avec une des commandes ci-dessous :

(Get-ADForest).SchemaMaster

(Get-ADForest).DomainNamingMaster

 

Nous allons maintenant voir, comment déplacer les rôles FSMO avec la commande « Move-ADDirectoryServerOperationMasterRole ». Dane l'exemple ci-dessous, nous déplaçons le rôle de « Maitre de schéma » sur le serveur 2016dc2. L'option « -Confirm :$False), supprime la demande de confirmation.

 

Move-ADDirectoryServerOperationMasterRole -Identity 2016DC2 `

-OperationMasterRole SchemaMaster -Confirm:$False

Il est possible de déplacer plusieurs rôles en même temps. La commande ci-dessous déplace les 3 rôles du domaine sur le serveur 2016DC2.

Move-ADDirectoryServerOperationMasterRole -Identity 2016DC2 `

-OperationMasterRole RIDMaster,PDCEmulator,InfrastructureMaster `

-Confirm:$False

 

Dans la commande précédente, vous avez la possibilité d'utiliser le nom du rôle pour l'option « -OperationMasterRole ». Vous pouvez également indiquer un numéro spécifiant le rôle. La liste ci-dessous vous indique le nombre correspondant à chaque rôle.

•    PDCEmulator ou 0

•    RIDMaster ou 1

•    InfrastructureMaster ou 2

•    SchemaMaster ou 3

•    DomainNamingMaster ou 4

Il est donc possible de déplacer l'ensemble des rôles vers un autre serveur avec une seule commande.

Move-ADDirectoryServerOperationMasterRole -Identity 2016DC1 `

-OperationMasterRole 0,1,2,3,4 `

-PassThru -Confirm:$False

 

 

L'option -Force de la commande Move-ADDirectoryServerOperationMasterRole permet de forcer le transfert des rôles FSMO si le serveur qui en disposait n'est plus disponible. Elle est équivalente à la commande « seize » de NtDSUtil  http://www.pbarth.fr/node/70

Si vous utilisez cette option, le serveur qui disposait du rôle avant ne devra plus être remis sur le réseau. N'utilisez l'option que s'il est définitivement hors ligne.

Une panne temporaire d'un contrôleur de domaine disposant d'un ou plusieurs rôles FSMO, n'est pas une situation bloquante. L'absence de catalogue global est un facteur d'indisponibilité nettement plus critique.

Theme: 

Systeme: 

Annee: