Vérifier les droits FSMO et la bonne réplication d’Active Directory

Voici quelques commandes pratiques pour connaitre le propriétaire des rôles FSMO (Flexible Single Master Operation) et l’état de santé de son annuaire Active Directory.

La commande suivante permet de vérifier l’attribution des rôles FSMO sur le ou les contrôleur(s) de domaine.
netdom query fsmo

Contrôleur de schéma        vs-ad1.test.invalid
Maître des noms de domaine  vs-ad1.test.invalid
Contrôleur domaine princip. vs-ad1.test.invalid
Gestionnaire du pool RID    vs-ad1.test.invalid
Maître d'infrastructure     vs-ad1.test.invalid
L'opération s'est bien déroulée.

La commande suivante permet de voir très facilement l’état de synchronisation des différentes branches vers les autres contrôleurs Active Directory.
repadmin /showrepl

Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
Premier-Site-par-defaut\VS-AD1
Options DSA : IS_GC
Options de site : (none)
GUID de l'objet DSA : ac16bb2b-0d2b-4c39-899e-6b91690ab7d8
ID de l'invocation DSA : 94bb07b5-0860-4ebe-b189-526e41b7f6e0

=== INSTANCES VOISINES ENTRANTES ==================================

DC=test,DC=invalid
    Premier-Site-par-defaut\VS-AD2 via RPC
        GUID de l'objet DSA : 7902372f-ebb3-4e8d-84f7-9c7fce0a04eb
        La dernière tentative, le 2016-02-19 10:37:10, a réussi.

CN=Configuration,DC=test,DC=invalid
    Premier-Site-par-defaut\VS-AD2 via RPC
        GUID de l'objet DSA : 7902372f-ebb3-4e8d-84f7-9c7fce0a04eb
        La dernière tentative, le 2016-02-19 09:55:11, a réussi.

CN=Schema,CN=Configuration,DC=test,DC=invalid
    Premier-Site-par-defaut\VS-AD2 via RPC
        GUID de l'objet DSA : 7902372f-ebb3-4e8d-84f7-9c7fce0a04eb
        La dernière tentative, le 2016-02-19 09:55:11, a réussi.

DC=ForestDnsZones,DC=test,DC=invalid
    Premier-Site-par-defaut\VS-AD2 via RPC
        GUID de l'objet DSA : 7902372f-ebb3-4e8d-84f7-9c7fce0a04eb
        La dernière tentative, le 2016-02-19 09:55:11, a réussi.

DC=DomainDnsZones,DC=test,DC=invalid
    Premier-Site-par-defaut\VS-AD2 via RPC
        GUID de l'objet DSA : 7902372f-ebb3-4e8d-84f7-9c7fce0a04eb
        La dernière tentative, le 2016-02-19 10:36:45, a réussi.

La commande suivant permet d’avoir un rapport de l’état de synchronisation entre tous les contrôleurs de domaine Active Directory.
repadmin /replsum

Heure de début du résumé de la réplication : 2016-02-19 10:38:37

Début de la collecte des données pour le résumé de la réplication ;
cette opération peut prendre un certain temps :
  .....


DSA source             différence max    nb échecs %%   erreur
 VS-AD2                   43m:26s    0 /   5    0
 VS-AD1               41m:20s    0 /   5    0


DSA de destination     différence max    nb échecs %%   erreur
 VS-AD2                   41m:20s    0 /   5    0
 VS-AD1               43m:26s    0 /   5    0

Renommer un nom de domaine Active Directory

Si un jour l’envie de renommer le nom de domaine Active Directory vous viens à l’idée, sachez que c’est possible. L’opération reste tout de même périlleuse, car si elle échoue, elle peut rendre le contrôleur de domaine inopérant et impacter les services l’utilisant …
Attention néanmoins si vous avez un serveur Microsoft Exchange, il semblerait que ce ne soit pas possible avec cette technique. N’ayant pas de serveur Exchange, je n’ai pas poussé les recherches, mais beaucoup de sites et de personnes mentionnent avoir rencontrés des problèmes de migration.

Rendom

Microsoft met à disposition un outil en ligne de commande pour nous faciliter la tâche dans cette migration, son nom : « rendom ». Il est déjà disponible dans les versions Windows Server 2008 et 2008 R2. Pour les autres, il faudra récupérer le fichier dans le CD d’installation de Windows Server 2003.

Fichiers Rendom

La commande qui suit a pour but de générer le fichier XML « Domainlist » suivant. Vous le trouverez dans le dossier indiqué par le prompt (dans mon cas « C:\Users\Administrateur\ »).
rendom /list

<?xml version ="1.0"?>
<Forest>
	<Domain>
		<!-- PartitionType:Application -->
		<Guid>90580e30-119d-4cc6-b7f9-1a0e2bf184dc</Guid>
		<DNSname>DomainDnsZones.entreprise.invalid</DNSname>
		<NetBiosName></NetBiosName>
		<DcName></DcName>
	</Domain>
	<Domain>
		<!-- PartitionType:Application -->
		<Guid>322ce353-89d9-41ea-ac9e-cf2abf0b1376</Guid>
		<DNSname>ForestDnsZones.entreprise.invalid</DNSname>
		<NetBiosName></NetBiosName>
		<DcName></DcName>
	</Domain>
	<Domain>
		<!-- ForestRoot -->
		<Guid>c9731862-a075-420c-8bee-f88e67474e9a</Guid>
		<DNSname>entreprise.invalid</DNSname>
		<NetBiosName>ENTREPRISE</NetBiosName>
		<DcName></DcName>
	</Domain>
</Forest>

Il faut remplacer toutes les occurrences mentionnant l’ancien nom de domaine par le nouveau (ici, j’ai remplacé « entreprise.invalid » par « entreprise.exemple »). Ceci fait, enregistrez le fichier et constater vos modifications via la commande suivante.
rendom /showforest

S’il y a bien concordance, nous allons pouvoir envoyer ce fichier au serveur.
rendom /upload

Nous préparons les contrôleurs de domaine pour le renommage. Chaque contrôleur servant le nom de domaine est contacté et mis en condition.
rendom /prepare

Lancement de la procédure de renommage.
rendom /execute

Le serveur va redémarrer automatiquement, laissez le faire.

Nous allons pouvoir terminer par réparer les liens des stratégies de groupe (GPOs) présents dans Active Directory …
gpfixup /olddns:entreprise.invalid /newdns:entreprise.exemple

… et si besoin la partie concernant NetBIOS si celui-ci change.
gpfixup /oldnb:entreprise.invalid/newnb:entreprise.exemple

Attention ! Cette ultime commande est à exécuter si et seulement si tous les postes ont pris en compte le changement ! Car elle a pour but de supprimer les redirecteurs de migration (« msDS-DnsRootAlias » et « msDS-UpdateScript ») de l’ancien domaine vers le nouveau listés dans Active Directory. Si cette commande est exécutée trop tôt, elle peut empêcher les postes d’ouvrir une session utilisateur, et il faudra refaire la jonction du poste au domaine …
rendom /clean

Vous pouvez maintenant aller dans la console de gestion DNS pour supprimer l’ancienne zone DNS devenue maintenant obsolète.

Liens utiles

Attribuer les rôles FSMO à un autre contrôleur de domaine Active Directory

Il existe cinq rôles FSMO (Flexible Single Master Operations) dans une forêt Active Directory :

  • Contrôleur de schéma – Un détenteur du rôle de contrôleur par forêt. Le détenteur du rôle FSMO de contrôleur de schéma est le contrôleur de domaine chargé de mettre à niveau le schéma d’annuaire.
  • Maître d’attribution de noms de domaine – Un détenteur du rôle de maître par forêt. Le détenteur du rôle FSMO de maître d’attribution de noms de domaine est le contrôleur de domaine chargé de modifier l’espace de noms du domaine dans toute la forêt de l’annuaire.
  • Maître d’infrastructure – Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO de maître d’infrastructure est le contrôleur de domaine chargé de mettre à jour l’identificateur de sécurité (SID) et le nom unique d’un objet dans une référence d’objet entre domaines.
  • Maître RID – Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO de maître RID est le contrôleur de domaine unique chargé de traiter les demandes du pool RID provenant de tous les contrôleurs de domaine d’un domaine particulier.
  • Émulateur PDC – Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO d’émulateur PDC est un contrôleur de domaine Windows 2000 qui se proclame contrôleur principal de domaine auprès des postes de travail, serveurs membres et contrôleurs de domaine de versions antérieures. Il agit aussi comme l’explorateur principal du domaine et traite les incohérences de mots de passe.

Voici la procédure à suivre pour changer le contrôleur de domaine responsable des rôles FSMO :

  1. Ouvrez une session sur le contrôleur de domaine qui va devenir responsable des rôles FSMO. L’utilisateur connecté doit être membre du groupe Administrateurs d’entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d’opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d’émulateur PDC, de maître RID et de maître d’infrastructure sont transférés,
  2. Ouvrez une invite de commande, puis tapez ntdsutil avant de valider par Entrée,
  3. Tapez roles, puis appuyez sur Entrée,
    Remarque : Pour afficher la liste des commandes disponibles aux invites de l’utilitaire Ntdsutil, tapez ? et appuyez sur Entrée.
  4. Tapez connections et appuyez sur Entrée,
  5. Tapez connect to server nom_serveur, puis appuyez sur Entrée, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO,
  6. À l’invite server connections, tapez q, puis appuyez sur Entrée,
  7. Tapez transfer rôle, où rôle est le rôle à transférer,
    Pour afficher une liste des rôles que vous pouvez transférer, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour transférer le rôle de maître RID, tapez transfer rid master. L’unique exception concerne le rôle d’émulateur PDC, dont la syntaxe est transfer pdc, et non transfer pdc emulator.
  8. À l’invite fsmo maintenance, tapez q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter Ntdsutil.