2008 R2 : Transfert des rôles FSMO vers un nouveau Contrôleur

microsoft-windows-2008

Si pour certaines raison, votre PDC qui contenait les 5 Rôles FSMO n’est plus joignable ( crash, vole, ….) et que vous devez promouvoir un nouveau contrôleur de domaine alors ce qui suit, va certainement vous aidez.

 

– Connectez vous sur le Contrôleur de domaine qui va obtenir les rôles

– ouvrez une invite de commandes (avec le clic droit : Exécuter en tant qu’Administrateur).

– Entrez : ntdsutil.exe et faites Entrée
– A « ntdsutil.exe: » entrez « roles »
– A « fsmo mantenance: » entrez « connections »
– A « server connections: » entrez « connect to server LE-NOM-DE-CE-PDC »
– A « server connections: » entrez « q »
– A « fsmo maintenance: » : Entrez

Si vous êtes certains que le serveur qui disposait de ces rôles ne sera plus jamais redémarrer sur le réseau et plus jamais joignable sur votre domaine, alors vous devez exécuter ces commandes :

– seize RID master

– Cliquez sur le bouton YES de la fenêtre Role Seizure Confirmation Dialog

– Patientez le temps que la commande se termine.

 

Puis enchaînez avec ce rôle :

– seize PDC

– Cliquez sur le bouton YES de la fenêtre.

– Patientez le temps que la commande se termine.

 

Puis enchaînez avec ce rôle :

– seize infrastructure master

– Cliquez sur le bouton YES de la fenêtre.

– Patientez le temps que la commande se termine.

 

Puis enchaînez avec ce rôle :

– seize schema master

– Cliquez sur le bouton YES de la fenêtre.

– Patientez le temps que la commande se termine.

 

Puis enchaînez avec ce dernier rôle :

– seize naming master

– Cliquez sur le bouton YES de la fenêtre.

– Patientez le temps que la commande se termine.

 

Pour vérifier si votre nouveau serveur détient bien les rôles, dans une autre invite de commandes entrez :

 

netdom query fsmo

 

Si tout c’est bien passé, votre serveur détient désormais tous les rôles. Si ce n’est pas le cas, dans votre première invite de commande, entrez la commande qui correspond au rôle manquant.

A partir d’ici on considère que votre nouveau PDC est désormais le chef ^^.

Il reste cette étape à faire, je me permet d’utiliser un copier-coller de la procédure MICROSOFT qui est très bien détaillée.

Source : http://support.microsoft.com/kb/216498/fr

Procédure 1 : Windows Server 2003 SP1 ou Service Packs ultérieurs uniquement

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commandes.
  2. À l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.
  3. Tapez metadata cleanup et appuyez sur Entrée. En fonction des options proposées, l’administrateur peut effectuer la suppression, mais des paramètres de configuration supplémentaires doivent être spécifiés pour que la suppression puisse se produire.
  4. Tapez connections et appuyez sur Entrée. Ce menu est utilisé pour se connecter au serveur spécifique où les modifications ont lieu. Si l’utilisateur qui a ouvert une session ne dispose pas d’autorisations administratives, il peut spécifier d’autres informations d’identification avant d’établir la connexion. Pour cela, tapez set credsnom_domainenom_utilisateurmot_passe, puis appuyez sur Entrée. Pour un mot de passe nul, tapez null comme paramètre du mot de passe.
  5. Tapez connect to server nom_serveur, puis appuyez sur Entrée. La confirmation de l’établissement de la connexion doit s’afficher. Si une erreur se produit, vérifiez que le contrôleur de domaine utilisé dans la connexion est disponible et que les informations d’identification que vous avez fournies disposent d’autorisations administratives sur le serveur.Remarque Si vous essayez de vous connecter au serveur à supprimer, lorsque vous essayez de supprimer le serveur auquel l’étape 15 fait référence, le message d’erreur suivant peut s’afficher :
    Erreur 2094. Impossible de supprimer l’objet DSA 0x2094
  6. Tapez quit et appuyez sur Entrée. Le menu Metadata Cleanup s’affiche.
  7. Tapez select operation target et appuyez sur Entrée.
  8. Tapez list domains et appuyez sur Entrée. Une liste des domaines de la forêt s’affiche, chacun avec un numéro associé.
  9. Tapez select domain numéro et appuyez sur Entrée. Numéro est le numéro associé au domaine auquel appartient le serveur que vous supprimez. Le domaine que vous sélectionnez est utilisé pour déterminer si le serveur en cours de suppression est le dernier contrôleur de domaine de ce domaine.
  10. Tapez list sites et appuyez sur Entrée. Une liste des sites, chacun avec un numéro associé, s’affiche.
  11. Tapez select site numéro et appuyez sur Entrée. Numéro est le numéro associé au site auquel appartient le serveur que vous supprimez. Une confirmation doit s’afficher, indiquant le site et le domaine que vous avez choisis.
  12. Tapez list servers in site et appuyez sur Entrée. Une liste des serveurs du site, chacun avec un numéro associé, s’affiche.
  13. Tapez select server numéro où numéro est le numéro associé au serveur à supprimer. Une confirmation s’affiche. Elle répertorie le serveur sélectionné, son nom d’hôte DNS (Domain Name Server) et l’emplacement du compte d’ordinateur du serveur à supprimer.
  14. Tapez quit et appuyez sur Entrée. Le menu Metadata Cleanup s’affiche.
  15. Tapez remove selected server et appuyez sur Entrée. Un message de confirmation de suppression doit s’afficher. Si vous recevez le message d’erreur suivant, l’objet Paramètres NTDS peut déjà avoir été supprimé d’Active Directory par un autre administrateur ou par réplication de la suppression réussie de l’objet Paramètres NTDS après exécution de l’utilitaire DCPROMO.
    Erreur 8419 (0x20E3)
    Impossible de trouver l’objet DSA.

    Remarque Cette erreur peut également s’afficher lorsque vous essayez d’établir une liaison avec le contrôleur de domaine qui sera supprimé. Ntdsutil doit établir une liaison avec un contrôleur de domaine autre que celui qui sera supprimé avec le nettoyage des métadonnées.

  16. Tapez quit, puis appuyez sur Entrée sur chaque menu pour quitter Ntdsutil. Vous devriez recevoir un message de confirmation de déconnexion.
  17. Supprimez l’enregistrement cname dans la zone _msdcs domaine_racine_forêt du serveur DNS. En supposant que ce contrôleur de domaine sera réinstallé et fera l’objet d’une nouvelle promotion, un nouvel objet Paramètres NTDS est créé avec un nouveau GUID et un enregistrement cname correspondant dans le serveur DNS. Vous ne voulez pas que les contrôleurs de domaine existants utilisent l’ancien enregistrement cname.La pratique recommandée veut que vous supprimiez le nom d’hôte et les autres enregistrements DNS. Si la durée restante du bail de l’adresse DHCP (Dynamic Host Configuration Protocol) affectée au serveur hors connexion est dépassée, un autre client peut obtenir l’adresse IP du contrôleur de domaine qui rencontre le problème.
  18. Dans la console DNS, utilisez la console MMC DNS pour supprimer l’enregistrement A dans le serveur DNS. L’enregistrement A est également connu sous le nom d’enregistrement hôte. Pour supprimer l’enregistrement A, cliquez dessus avec le bouton droit, puis cliquez sur Supprimer. De plus, vous devez supprimer l’enregistrement cname dans le conteneur _msdcs. Pour cela, développez le conteneur _msdcs, cliquez avec le bouton droit sur l’enregistrement cname, puis cliquez sur Supprimer.Important S’il s’agit d’un serveur DNS, supprimez la référence à ce contrôleur de domaine sous l’onglet Serveurs de noms. Pour cela, dans la console DNS, cliquez sur le nom de domaine sous Zones de recherche directes, puis supprimez ce serveur de l’onglet Serveurs de noms.Remarque Si vous disposez de zones de recherche inversée, supprimez également le serveur de ces zones.
  19. Si l’ordinateur supprimé est le dernier contrôleur de domaine dans un domaine enfant et si le domaine enfant a également été supprimé, utilisez ADSIEdit pour supprimer l’objet trustDomain de l’enfant. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.
    2. Développez le conteneur Domain NC.
    3. Développez DC=votre_domaine, DC=COM, PRI, LOCAL, NET.
    4. Développez CN=System.
    5. Cliquez avec le bouton droit sur l’objet Trust Domain, puis cliquez sur Supprimer.
  20. Utilisez Sites et services Active Directory pour supprimer le contrôleur de domaine. Pour cela, procédez comme suit :
    1. Démarrez Sites et services Active Directory.
    2. Développez Sites.
    3. Développez le site du serveur. Le site par défaut est Premier-Site-par-defaut.
    4. Développez Serveur.
    5. Cliquez avec le bouton droit sur le contrôleur de domaine, puis cliquez sur Supprimer.
  21. Lorsque vous utilisez la réplication DFS dans Windows Server 2008 et les versions ultérieures, la version actuelle de Ntdsutil.exe ne nettoie pas l’objet de réplication DFS. Dans ce cas, vous pouvez utiliser Adsiedit.msc pour corriger manuellement les objets de réplication DFS pour les services de domaine Active Directory (AD DS). Pour ce faire, procédez comme suit :
    1. Connectez-vous à un contrôleur de contrôleur de domaine en tant qu’administrateur de domaine dans le domaine concerné.
    2. Démarrez Adsiedit.msc.
    3. Connectez-vous au contexte de nommage par défaut.
    4. Recherchez le conteneur de topologie de réplication DFS suivant :
      CN = Topology, CN = Domain System Volume, CN = DFSR-Globalsettings, CN = System, DC = votre domaine, DC = suffixe de domaine
    5. Supprimez l’objet CN msDFSR-Member qui a le nom de l’ancien ordinateur.

 

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *