Home » BTS SIO (Services Informatiques aux Organisations) » Serveur 2025 – Transfert des rôles FSMO du PDC vers autre DC

Serveur 2025 – Transfert des rôles FSMO du PDC vers autre DC

By in BTS SIO (Services Informatiques aux Organisations), Tutoriels on

Contexte : Osiris est en panne. AD ne veut plus authentifier des comptes y compris son compte local (Administrateur) : « Erreur de résolution de cible Kerberos ».

La connexion aux partages administratifs fonctionne (curieux) :

net use l: \\osiris\c$ /USER:Administrateur@turgot-paris.si xxxxx MDP xxxxxxxx
ou : 
net use l: \\osiris\d$ /USER:Administrateur@turgot-paris.si xxxxx MDP xxxxxxxx

Cela m’a permis de récupérer les programmes utiles sur « c:\ » et les données utilisateurs sur « d:\ ».

🛠 Étapes pour transférer le rôle de PDC Emulator à un autre DC

1. ✅ Vérifie les rôles FSMO actuels

Sur un DC fonctionnel, ouvrir PowerShell en tant qu’administrateur et taper :

netdom query fsmo

Réponse : 

PS C:\Users\administrateur.TURGOT-PARIS> netdom query fsmo Contrôleur de schéma osiris.turgot-paris.si
Maître des noms de domaine osiris.turgot-paris.si
Contrôleur domaine princip. osiris.turgot-paris.si
Gestionnaire du pool RID osiris.turgot-paris.si
Maître d’infrastructure osiris.turgot-paris.si
L’opération s’est bien déroulée.

Osiris.turgot-paris.si détient les rôles FSMO, dont le PDC Emulator.

2. 🔄 Transfèrt les rôles FSMO manuellement

Si l’ancien PDC est hors ligne définitivement, on doit forcer le transfert des rôles FSMO vers un autre DC.

Move-ADDirectoryServerOperationMasterRole -Identity "isis" -OperationMasterRole PDCEmulator
Déplacer le rôle de maître d’opérations
Voulez-vous déplacer le rôle « SchemaMaster » vers le serveur « ISIS.turgot-paris.si » ?
[O] Oui [T] Oui pour tout [N] Non [U] Non pour tout [S] Suspendre [?] Aide...

Même chose en tentant le transfert de tous les 5 rôles FSMO d’un coup : 

Move-ADDirectoryServerOperationMasterRole -Identity "isis" -OperationMasterRole SchemaMaster, DomainNamingMaster, RIDMaster, PDCEmulator, InfrastructureMaster

Je reçois « le service d’annuaire n’est pas disponible », cela signifie que le DC actuel ne peut pas communiquer avec Active Directory — probablement parce que le PDC était aussi le seul DC avec le rôle de catalogue global ou DNS, ou que la réplication est cassée (c’est le cas, la réplication est cassée)..

Plan d’action pour rétablir un DC fonctionnel et reprendre le contrôle du domaine :

🧩 Étapes pour restaurer un DC quand l’annuaire est indisponible

1. 🔍 Vérifier qu’on est sur un DC

S’assurer que la machine sur laquelle on travaille est bien un contrôleur de domaine, pas un simple membre du domaine.

On peut vérifier avec :

Get-ADDomainController

Si ça échoue, c’est que le service d’annuaire est vraiment hors service.

Cela fonctionne : Réponse : 

PS C:\Users\administrateur.TURGOT-PARIS> Get-ADDomainController
ComputerObjectDN : CN=ISIS,OU=Domain Controllers,DC=turgot-paris,DC=si
DefaultPartition : DC=turgot-paris,DC=si
Domain : turgot-paris.si
Enabled : True
Forest : turgot-paris.si
HostName : ISIS.turgot-paris.si
InvocationId : 52b1ad04-ae94-4257-aa62-4bd56846c66b
IPv4Address : 172.31.0.2
IPv6Address : ::1
IsGlobalCatalog : True
IsReadOnly : False
LdapPort : 389
Name : ISIS
NTDSSettingsObjectDN : CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=turgot-paris,DC=si
OperatingSystem : Windows Server 2025 Standard
OperatingSystemHotfix :
OperatingSystemServicePack :
OperatingSystemVersion : 10.0 (26100)
OperationMasterRoles : {}
Partitions : {DC=ForestDnsZones,DC=turgot-paris,DC=si, DC=DomainDnsZones,DC=turgot-paris,DC=si,
CN=Schema,CN=Configuration,DC=turgot-paris,DC=si,
CN=Configuration,DC=turgot-paris,DC=si…}
ServerObjectDN : CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC
=si
ServerObjectGuid : faa3a911-1696-45ef-a70e-b3555fed6b36
Site : Default-First-Site-Name
SslPort : 636

2. 🧼 Nettoyer les métadonnées de l’ancien DC (si définitivement perdu)

Utiliser ntdsutil pour supprimer les traces de l’ancien DC :

ntdsutil <entrée>
metadata cleanup <entrée>
connections <entrée>
connect to server NOM_DU_DC_FONCTIONNEL <entrée>
quit <entrée> 
select operation target <entrée>
list domains vselect domain <entrée>
list sites <entrée>
select site <entrée>
list servers in site <entrée>
select server <entrée>
quit <entrée>
remove selected server <entrée>
quit <entrée>

Cela nettoie les références de l’ancien DC dans AD.

C’est très long, car il essaye de contacter Osiris (qui est en panne)…

Il transfère les 5 rôles FSMO un par un, avec une boîte de dialogue à chaque fois qui demande si on est vraiment sûr de transférer le rôle à ISIS. Réponse choisie « Oui ».

Messages : 

PS C:\Users\administrateur.TURGOT-PARIS> ntdsutil
C:\WINDOWS\system32\ntdsutil.exe: metadata cleanup
metadata cleanup: connections
server connections: connect to server ISIS
Liaison à ISIS…
Connecté à ISIS en utilisant les informations d'identification d'un
utilisateur connecté localement.
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 domaine(s) trouvé(s)
0 - DC=turgot-paris,DC=si
select operation target: select domain 0
Aucun site actuellement
Domaine - DC=turgot-paris,DC=si
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: list sites
1 site(s) trouvé(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Domaine - DC=turgot-paris,DC=si
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: list servers in site
2 serveur(s) trouvé(s)
0 - CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
1 - CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
select operation target: select server 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Domaine - DC=turgot-paris,DC=si
Serveur - CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Objet DSA - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Nom d'hôte DNS - osiris.turgot-paris.si
Objet Ordinateur - CN=OSIRIS,OU=Domain Controllers,DC=turgot-paris,DC=si
Pas de contexte de nommage en cours
select operation target: quit
metadata cleanup: remove selected server
Transfert ou prise des rôles FSMO depuis le serveur sélectionné.
Liaison à ISIS.turgot-paris.si…
Déplacement du rôle FSMO Domain Naming Master vers « CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si ».
Tentative de transfert sûr de domain naming FSMO avant la cessation.       ---- Rôle 1 ----
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-03210550, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou
de transfert de rôle.
Le transfert de domain naming FSMO a échoué, cessation en cours…
Le serveur « ISIS » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Maître d'attribution de noms - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
PDC - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
RID - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Infrastructure - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Déplacement du rôle FSMO Schema Master vers « CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si ».
Tentative de transfert sûr de schema FSMO avant la cessation.              ---- Rôle 2 ----
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-03210550, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou
de transfert de rôle.
Le transfert de schema FSMO a échoué, cessation en cours…
Le serveur « ISIS » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Maître d'attribution de noms - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
PDC - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
RID - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Infrastructure - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Déplacement du rôle FSMO PDC vers « CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si ».
Tentative de transfert sûr de PDC FSMO avant la cessation.                 ---- Rôle 3 ----
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-03210912, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou
de transfert de rôle.
Le transfert de PDC FSMO a échoué, cessation en cours…
Le serveur « ISIS » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Maître d'attribution de noms - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
PDC - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
RID - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Infrastructure - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Déplacement du rôle FSMO Rid Master vers « CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si ».
Tentative de transfert sûr de RID FSMO avant la cessation.                 ---- Rôle 4 ----
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-032113D7, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou
de transfert de rôle.
Le transfert de RID FSMO a échoué, cessation en cours…
Recherche en cours du pool RID le plus élevé dans le domaine
Le serveur « ISIS » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Maître d'attribution de noms - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
PDC - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
RID - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Infrastructure - CN=NTDS Settings,CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
*** Avertissement : impossible de trouver un contrôleur de domaine autre qu'un contrôleur de catalogue global pour héberger le rôle de maître d'infrastructure. Hébergez à la place le rôle sur un catalogue global.
Déplacement du rôle FSMO Infrastructure Master vers « CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si ».
Tentative de transfert sûr de infrastructure FSMO avant la cessation.     ---- Rôle 5 ----
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-03210550, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou
de transfert de rôle.
Le transfert de infrastructure FSMO a échoué, cessation en cours…
Le serveur « ISIS » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Maître d'attribution de noms - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
PDC - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
RID - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Infrastructure - CN=NTDS Settings,CN=ISIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si
Suppression des métadonnées FRS du serveur sélectionné
Recherche des membres FRS sous « CN=OSIRIS,OU=Domain Controllers,DC=turgot-paris,DC=si ».
Suppression de l'arborescence sous « CN=OSIRIS,OU=Domain Controllers,DC=turgot-paris,DC=si ».
La tentative de suppression des paramètres FRS sur CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si a échoué.
Raison : « Élément introuvable. ».
Le nettoyage des métadonnées continue.
« CN=OSIRIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=turgot-paris,DC=si » supprimé du serveur « ISIS »
metadata cleanup: quit
C:\WINDOWS\system32\ntdsutil.exe: quit

Vérification que tout s’est bien passé.

PS C:\Users\administrateur.TURGOT-PARIS> nltest /dsgetdc:turgot-paris.si /server:isis.turgot-paris.si
Contrôleur de domaine : \ISIS.turgot-paris.si
Adresse : \172.31.0.2
GUID dom : cdf9c175-db18-46e8-baf1-97f51b9e4847
Nom dom : turgot-paris.si
Nom de la forêt : turgot-paris.si
Nom de site du contrôleur de domaine : Default-First-Site-Name
Nom de notre site : Default-First-Site-Name
Indicateurs : PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST DS_13
La commande a été correctement exécutée
PS C:\Users\administrateur.TURGOT-PARIS>

Isis est bien PDC, rôle que le serveur n’avait pas avant.