Vous êtes sur la page 1sur 3

Page 1 of 3

Prsentation des rles de matres d'oprations sous Windows Server 2003 (FSMO)
http://www.laboratoire-microsoft.org/articles/win/FSMO/ Camille BEFFARA MGI CONSULTANTS Ingnieur systme et rseau Tous les articles de cet auteur Mathieu MANSION EXAKIS Ingnieur d'tudes Tous les articles de cet auteur

Imprimer cet Article

Nicolas MILBRAND LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingnieur systmes et rseaux Tous les articles de cet auteur

4. Matre d'infrastructure
4.1 Les objets fantmes
Dans Active Directory, certains types de groupes peuvent contenir des comptes d'utilisateurs des domaines approuvs. Afin d'tre sur de l'authenticit des noms dans le groupe d'appartenance, les GUID des utilisateurs sont utiliss (en effet, le GUID est unique dans la fort). Lorsque l'on affiche tous les membres d'un groupe comprenant des utilisateurs de domaines approuvs, Active Directory doit pouvoir afficher le nom actuel de l'utilisateur de manire prcise, sans pour cela avoir contacter le contrleur de domaine du domaine approuv ou un serveur de catalogue global. Active Directory utilise donc des objets fantmes pour les rfrences aux utilisateurs des diffrents domaines. Cet objet fantme est un objet spcial qui ne peut tre vu d'aucune faon par les outils d'exploration LDAP. Ces enregistrements fantmes contiennent une quantit minimale d'informations qui permet un contrleur de domaine de se rfrer l'emplacement dans lequel l'objet original existe. Cet objet fantme contient les informations suivantes de l'objet auquel il fait rfrence: - le nom unique, - le SID - le GUID. Lors de l'ajout d'un membre d'un domaine diffrent dans un groupe, le contrleur de domaine local qui contient le groupe cre cet objet fantme pour l'utilisateur tranger. Si le nom de cet utilisateur est modifi, ou bien lors d'une suppression, l'objet fantme doit tre mis jour ou supprim du groupe sur tous les contrleurs de domaine du domaine contenant cette rfrence. C'est le rle du matre d'infrastructure.

4.2 Rle du matre d'infrastructure


Si un objet auquel un objet fantme fait rfrence a t modifi ou supprim, l'objet fantme doit tre modifi ou supprim du domaine le contenant. Le contrleur de domaine possdant le rle de matre d'infrastructure est charg de ces oprations au sein du domaine dans lequel il opre. Le matre d'infrastructure compare rgulirement les informations des objets fantmes prsent dans sa base de donne avec la dernire version du rpliquas des objets sur un serveur de catalogue global. Si les SID ou les distinguished name ne correspondent pas avec ceux des objets fantmes, alors le matre d'infrastructure met jour les objets fantmes qu'il contient. Plus en dtail, si le matre d'infrastructure dtecte que l'objet original auquel rfre un objet fantme chang ou a t supprim , il cre un objet infrastructure-Update dans le conteneur CN=Infrastructure,DC=DomainName,DC= , cet objet est ensuite rpliqu aux autres contrleurs de domaine except les serveurs de catalogue global.

http://www.laboratoire-microsoft.org/articles/win/FSMO/3/?action=print

03/01/2009

Page 2 of 3

Si l'objet original t renomm, la valeur de l'attribut DNReferenceUpdate de l'objet infrastructure-Update contient le nouveau nom. Si l'objet original t supprim, le nom unique de l'objet (DN) est modifi de manire ce que (esc)DEL:GUID apparaisse dans le nom original. Les contrleurs de domaines utilisent les informations contenues dans l'objet infrastructure-Update afin de mettre jour en consquence leur copie locale de l'objet fantme. Lors d'une suppression, les contrleurs de domaine suppriment l'objet fantme ainsi que tous les attributs correspondants cette rfrence (par exemple l'attribut member dans un groupe). Une fois les mises jour des objets fantmes effectues, l'objet infrastructure-Update est lui mme supprim. Sous Windows 2000 L'intervalle d'actualisation peut tre personnalis en changeant une cl dans la base de registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Days per database phantom scann. Par dfaut cette valeur est de 2 jours. source : http://support.microsoft.com/default.aspx?scid=kb;en-us;248047 N.B : Le matre d'infrastructure ne peut pas tre serveur de catalogue global! En effet, comme le serveur de catalogue global contient un rpliqut partiel de chaque objet contenu dans Active Directory, aucun objet fantme n'est cr sur ce contrleur de domaine. Le matre d'infrastructure ne stocke donc pas les versions fantmes des objets trangers car il possde dj une copie de ces objets dans le catalogue. Si le matre d'infrastructure est plac sur un serveur de catalogue vous pourrez voir dans l'observateur d'vnement une erreur avec un event ID 1419 Il existe seulement deux exceptions cette rgle : dans le cadre d'une fort contenant un seul domaine, il n'y a pas d'objets fantmes (car pas d'objets trangers venant d'autres domaines), donc le matre d'infrastructure n'est pas utile, il peut donc tre plac sur n'importe quel contrleur de domaine. Dans une fort multi-domaine, ou chaque contrleur de domaine est galement serveur de catalogue global, il n'y a galement pas d'objets fantmes. Le matre d'infrastructure n'est donc pas utile, il reste dans un tat dormant et peut tre plac sur n'importe quel contrleur de domaine. Si le matre d'infrastructure n'est pas joignable, il n'est pas possible de dplacer des objets.

4.3 Ou l'identifier?
- Par l'interface graphique : ouvrir la console MMC Utilisateurs et ordinateurs Active Directory, cliquer droit sur le nom du domaine et slectionner Matres d'oprations.

http://www.laboratoire-microsoft.org/articles/win/FSMO/3/?action=print

03/01/2009

Page 3 of 3

- En ligne de commande : taper dsquery server -hasfsmo infr

Sommaire 1. Maitre d'attribution des noms de domaine 1.1 Son rle 1.2 Problmes 1.3 O l'identifier 2. Contrleur de schma 2.1 Son rle 2.2 Si il n'est pas disponible 2.3 Modifier le schma 2.4 Le catalogue global 2.5 O l'identifier 3. Matre RID 3.1 SID 3.2 GUID 3.2 Rle 3.3 O l'identifier 4. Matre d'infrastructure 4.1 Les objets fantomes 4.2 Rle 4.3 O l'identifier 5. Emulateur PDC 5.1 Son rle 5.2 Verrouillage des comptes 5.3 Changement des mots de passe 5.4 Gestion des GPO 5.5 Mecanisme horaire 5.6 Localisation par les clients 5.7 Comment l'identifier 5.8 Positionnement 6. Transfert de rle 6.1 Transfrer le rle de controleur de schma 6.2 Transfrer le rle de matre d'attribution des noms de domaine 6.3 Transfrer les autres matres 6.4 Transfert en ligne de commande 7. Prise de rle 7.1 Le matre RID 7.2 L'mulateur PDC 7.3 Le matre d'infrastructure 7.4 Le matre d'attribution des noms de domaine 7.5 Le matre de schma Conclusion

(c) Laboratoire Microsoft

http://www.laboratoire-microsoft.org/articles/win/FSMO/3/?action=print

03/01/2009