Active Directory est le socle d’identité de 90 % des entreprises mondiales (ITTA, 2026). Au cœur de cette architecture, cinq rôles FSMO gouvernent en silence des opérations critiques : synchronisation des mots de passe, attribution des SID, mise à jour du schéma. Quand tu hérites d’un domaine ou que tu audites ton infrastructure, la première question est toujours : qui détient quoi ?
Key Takeaways
- Les 5 rôles FSMO se divisent en 2 rôles forêt (Schema Master, Domain Naming Master) et 3 rôles domaine (PDC Emulator, RID Master, Infrastructure Master).
- Commande rapide :
netdom query FSMOouGet-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMasteren PowerShell.- Par défaut, le premier DC de la forêt héberge les 5 rôles — à distribuer sur plusieurs serveurs en production pour éliminer le point de défaillance unique.
Qu’est-ce que les rôles FSMO dans Active Directory ?
FSMO signifie Flexible Single Master Operation. Contrairement à la réplication multi-maître classique d’AD — où tous les contrôleurs de domaine peuvent écrire — certaines opérations sensibles doivent être gérées par un seul DC à la fois. C’est le principe des maîtres d’opérations : une seule source de vérité pour chaque fonction critique.
Il existe cinq rôles, répartis sur deux niveaux :
| Rôle FSMO | Niveau | Responsabilité principale |
|---|---|---|
| Schema Master | Forêt | Seul DC autorisé à modifier le schéma AD (ajout d’attributs, de classes d’objets) |
| Domain Naming Master | Forêt | Contrôle l’ajout et la suppression de domaines dans la forêt |
| PDC Emulator | Domaine | Synchronise l’horloge, gère les verrouillages de comptes et les changements de mot de passe |
| RID Master | Domaine | Distribue les pools de RID aux DC pour la création de SID uniques |
| Infrastructure Master | Domaine | Met à jour les références d’objets inter-domaines (SID, DN) |
Le PDC Emulator est souvent le rôle le plus critique en production. Sa défaillance impacte immédiatement l’authentification et la synchronisation de l’heure sur tout le domaine (Microsoft Learn). À surveiller en priorité.
Méthode 1 : netdom query FSMO (invite de commande)
C’est la méthode historique, compatible depuis Windows Server 2003. Elle fonctionne sans module PowerShell AD supplémentaire, ce qui la rend utile sur les anciens serveurs ou dans les environnements restreints.
Ouvre une invite de commande en tant qu’administrateur et exécute :
netdom query FSMO /Domain:DOMLABRemplace DOMLAB par le nom NetBIOS ou le nom DNS complet de ton domaine. La sortie retournée ressemble à ceci :
Schema owner DC01.domlab.com
Domain role owner DC01.domlab.com
PDC role DC02.domlab.com
RID pool manager DC02.domlab.com
Infrastructure owner DC02.domlab.com
The command completed successfully.Dans cet exemple, les deux rôles forêt (Schema Master et Domain Naming Master) sont sur DC01, et les trois rôles domaine sont portés par DC02. C’est une répartition classique en production pour éviter qu’un seul contrôleur de domaine soit un Single Point of Failure.
Méthode 2 : PowerShell (recommandée depuis Windows Server 2016)
PowerShell avec le module RSAT Active Directory Domain Services est la méthode recommandée aujourd’hui. Les sorties sont structurées, filtrables et intégrables dans des scripts d’audit automatisés. Depuis Windows Server 2016, Microsoft privilégie cette approche dans sa documentation officielle (Microsoft Learn).
Vérifie d’abord que le module est disponible :
Import-Module ActiveDirectoryEnsuite, deux commandes pour couvrir les cinq rôles — parce que certains sont au niveau forêt, d’autres au niveau domaine :
# Rôles forêt (Schema Master + Domain Naming Master)
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster | Format-List
# Rôles domaine (PDC Emulator, RID Master, Infrastructure Master)
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster | Format-ListTu préfères une vue consolidée en une seule commande ? Utilise cette fonction :
$forest = Get-ADForest
$domain = Get-ADDomain
[PSCustomObject]@{
"Schema Master" = $forest.SchemaMaster
"Domain Naming Master" = $forest.DomainNamingMaster
"PDC Emulator" = $domain.PDCEmulator
"RID Master" = $domain.RIDMaster
"Infrastructure Master"= $domain.InfrastructureMaster
} | Format-ListLa sortie liste clairement les cinq rôles et leurs DC respectifs, prêts à être copiés dans un rapport d’audit.
Méthode 3 : via l’interface graphique (GUI)
Pour une consultation ponctuelle sans ligne de commande, trois snap-ins MMC permettent de voir les rôles FSMO directement depuis l’interface graphique de Windows Server.
- PDC Emulator, RID Master, Infrastructure Master : ouvre Utilisateurs et ordinateurs Active Directory (
dsa.msc), fais un clic droit sur le domaine, puis Maîtres d’opérations. - Domain Naming Master : ouvre Domaines et approbations Active Directory (
domain.msc), clic droit sur le nœud racine, puis Maître d’opérations. - Schema Master : le snap-in Schéma AD doit être enregistré manuellement. Exécute d’abord
regsvr32 schmmgmt.dll, ajoute ensuite le composant Schéma Active Directory dans une console MMC vierge.
La GUI est pratique pour une vérification rapide. Pour tout ce qui touche à l’audit ou à l’automatisation, PowerShell reste bien plus efficace.
Que faire si un rôle FSMO est défaillant ?
La réponse dépend du rôle concerné et de l’état du DC en question. Voici les priorités d’intervention :
- PDC Emulator hors ligne : impact immédiat sur les authentifications et la synchronisation de l’heure. Transfère le rôle dès que possible si le DC est encore accessible, ou saisis-le avec
ntdsutils’il est définitivement perdu. - RID Master hors ligne : les DC épuisent progressivement leur pool de RID. Tu as généralement le temps d’intervenir sans urgence immédiate.
- Schema Master hors ligne : aucun impact sur le fonctionnement courant de l’annuaire. L’indisponibilité ne bloque que les modifications du schéma (installation d’Exchange, migration vers une nouvelle version d’AD).
Transfert propre d’un rôle en PowerShell — ici l’exemple du PDC Emulator vers DC02 :
Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole PDCEmulatorPour la saisie forcée (DC source définitivement indisponible), consulte la documentation Microsoft sur ntdsutil avant toute action en production.
FAQ — Rôles FSMO Active Directory
Combien y a-t-il de rôles FSMO dans Active Directory ?
Il y en a cinq au total : deux au niveau de la forêt (Schema Master et Domain Naming Master) et trois au niveau de chaque domaine (PDC Emulator, RID Master, Infrastructure Master). Dans une infrastructure à domaine unique, les cinq peuvent être portés par le même contrôleur de domaine — c’est la configuration par défaut à l’installation (Microsoft Learn).
Quelle est la différence entre netdom et PowerShell pour consulter les rôles FSMO ?
netdom query FSMO est une commande ancienne, sans dépendance de module, utile sur Windows Server 2008/2012 ou dans les environnements sans RSAT installé. PowerShell avec le module ActiveDirectory offre une sortie structurée et scriptable. Depuis Windows Server 2016, Microsoft recommande PowerShell pour tous les scripts d’administration AD.
Peut-on avoir deux DC qui portent le même rôle FSMO ?
Non. Par définition, chaque rôle FSMO est détenu par un seul contrôleur de domaine à la fois. C’est précisément ce qui garantit la cohérence des opérations critiques. Un transfert (si le DC est en ligne) ou une saisie via ntdsutil (si le DC est perdu) est nécessaire pour basculer un rôle vers un autre DC.
Que se passe-t-il si le Schema Master est indisponible ?
L’annuaire continue de fonctionner normalement pour toutes les opérations courantes : authentification, stratégies de groupe, création d’utilisateurs. L’indisponibilité du Schema Master ne bloque que les modifications du schéma AD lui-même, comme lors de l’installation d’Exchange Server ou d’une mise à jour majeure du niveau fonctionnel de la forêt.
📖 Retrouve tous nos tutoriels Windows, sécurité et PowerShell dans notre Guide Windows, IT & Sécurité 2026.