May.02

Active Directory : redéfinir correctement TOUS les rôles FSMO y compris le Forest et Domain Dns Zone

Je me suis retrouvé il y a quelques semaines à refaire l’infrastructure IT chez Wygwam en migrant d’un environnement Virtual Server / VM Ware ESX / Windows 2003 vers un environnement full Microsoft avec Windows 2008 R2 / Hyper-V, SCVMM, SCDPM, & Co…

En supprimant proprement des contrôleurs de domaine (via dcpromo) une erreur m’en empêche  m’indiquant que des rôles FSMO ont été supprimés et n’existent plus :
Ownership of the following FSMO role is set to a server which is deleted or does not exist.
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
FSMO Role: CN=Infrastructure,DC=DomainDnsZones,DC=wygwam,DC=com
FSMO Server DN: CN=NTDS Settings\0ADEL:18a67e84-64fc-4be4-97cc-e28dd0100576,CN=WYGSERVER\0ADEL:6cc8b949-b186-4120-9f6b-085c8c84806b,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=wygwam,DC=com

J’ai donc sur ce pas vérifié dans la console MMC d’Active Directory, les “Operations Master” de notre domaine. Mais rien d’anormal, le ou les serveurs pour les différents rôles sont correctement configurés.

image

Pour creuser un peu plus loin, vous pouvez aussi vérifier voir redéfinir les bons serveurs avec l’utilitaire “NTDSUtil” (en mode “fsmo maintenance”) en suivant notamment la KB255504. Là aussi, dans mon cas, rien d’anormal, tous les rôles FSMO sont correctement configurés vers les bons serveurs comme me le confirme un “netdom query fsmo” :

image

En relisant l’erreur, ce qui m’a le plus perturbé, c’est le nom du serveur qui pose problème : “WYGSERVER\0ADEL:6cc8b949-b186-4120-9f6b-085c8c84806b”. WYGSERVER étant chez nous un ancien contrôleur de domaine qui nous a “lâché” il y a déjà plusieurs mois/années. Nous avions pourtant à cette époque correctement migré tous les rôles Active Directory, et supprimé complètement les objets AD et DNS vers ce serveur.

En relisant aussi ce message d’erreur, autre interrogation concernant le rôle FSMO qui pose problème : “CN=Infrastructure,DC=DomainDnsZones,DC=wygwam,DC=com”. Visiblement bien que supprimé ce rôle était toujours sous l’appartenance de l’ancien contrôleur “WYGSERVER” et je ne savais où le vérifier (par rapport aux différentes MMC pour la gestion d’Active Directory).

J’ai donc sorti l’artillerie lourde avec “ADSIEdit” pour fouiller ce qu’il y a vraiment dans notre Active Directory. Je n’ai pas tout de suite trouvé car cet objet ne se trouve pas dans les “Naming Context” connus par défaut. Il faut spécifier le “Distinguished  Name”, dans notre cas “DC=DomainDnsZones,DC=wygwam,DC=com” :

image

Il devient alors possible d’accéder à notre objet “Infrastruture” qui semble être à la source du problème :

image

En éditant les propriétés de cet objet, j’ai pu constater que l’attribut “fsmoRoleOwner” défini pointé vers notre ancien contrôleur de domaine d’où la présence du “0ADEL:xxxx” dû fait que ce contrôleur n’existait plus :

image

J’ai donc pu correctement redéfinir cet attribut en sous la forme : “CN=NTDS Settings,CN=<SERVER_NAME>,CN=Servers,CN=<SITE_NAME>, CN=Sites,CN=Configuration,DC=wygwam,DC=com” (en remplaçant respectivement SERVER_NAME et SITE_NAME par le nom de votre serveur et le nom de votre site AD) :

image

Il a fallut faire de même avec le rôle “ForestDnsZones” en éditant la valeur de l’attribut “fsmoRoleOwner” sur l’objet “Infrastructure” du schéma “CN=ForestDnsZones,DC=wygwam,DC=com”.

Une fois ces rôles correctement configurés, le retrait de contrôleur de domaine dans notre organisation ne vous posera plus de problème 😉

Infra
Share this Story:
  • facebook
  • twitter
  • gplus

Comments(14)

  1. roland
    le 29 novembre 2010 à 15:23

    Merci pour ce retour d’informations

  2. Gab
    le 5 octobre 2011 à 09:35

    Je stocke ton retour d’expérience au cas où. Merci.

  3. Yohan
    le 12 avril 2013 à 10:15

    Bonjour,
    Je te remercie pour cet aide très bien faite qui m’a été très utile.

  4. Thierry Mac
    le 2 juin 2014 à 13:28

    Merci pour cette solution, cela m’a été très utile.

  5. Benoit
    le 26 novembre 2014 à 13:12

    Merci pour ce retour d’experience. Tu m’as enlevé une belle épine du pied.

  6. Anthony
    le 5 novembre 2015 à 10:15

    Merci bien j’ai pu régler mon souci grâce à toi. En revanche pour la partie ForestDnsZones c’est DC=ForestDNSZones et non CN

  7. Jacky
    le 26 novembre 2015 à 15:50

    Merci beau coup super efficace!

  8. Rémi
    le 21 avril 2016 à 05:03

    Bonjour,
    petite précision, il faut faire la modification dans forest avant domain car sinon message d’erreur d’écriture 5003

    Merci

  9. Fabrice
    le 20 juin 2016 à 17:02

    Merci beaucoup.

  10. Michel
    le 23 mars 2017 à 19:25

    Bonjour,
    Merci pour ces informations. Elles m’ont sauvé des heures de recherches et de prises de tête.
    Par contre je confirme les remarques d’Anthony et de Rémi.
    Dans mon cas le changement fait pour le domaine a du être fait après la forêt.
    Merci encore.

  11. Damien
    le 27 mars 2017 à 13:37

    Bonjour,

    Malgré tous mes essais, je bloque avec une erreur 5003, que je fasse la forêt ou le domaine en premier.
    Quelqu’un pour m’éclairer ?

  12. Stéphane
    le 15 février 2018 à 15:19

    Pour info 1 an après et pour répondre: Il faut effectuer la manip depuis le nouveau serveur détenant les rôles et non depuis le serveur que l’on souhaite rétrograder

  13. richard.roger@scet.fr
    le 9 août 2018 à 15:29

    Même si ce post date de 8 ans maintenant, il nous a bien servi aujourd’hui à corriger notre problème de dé promotion d’un contrôleur . Un grand merci pour cette information qui reste entièrement d’actualité.

  14. Simon
    le 6 août 2019 à 18:42

    Bonjour, merci pour ce post, qui a bien fonctionné pour nous également.

Leave a comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Comment