Académique Documents
Professionnel Documents
Culture Documents
Articles et tutoriaux
Sommaire
Windows 2008 / R2
Introduction
Windows 2003 / R2
Présentation générale des maîtres d'opérations
Windows SBS
Détails de chaque maîtres d'opérations
Divers Récapitulatif
Tips Conclusion
Téléchargements
Contact
Introduction
CONNEXION
Malgré la profusion d’articles traitant de ce sujet, nous avons décidé de vous le proposer afin de servir de référence pour d’autres articles
Identifiant qui analyseront en profondeur l’utilisation des rôles FSMO. Nous allons reprendre dans les grandes lignes les articles que nous
considérons comme le plus complet sur la question qui sont ceux à votre disposition sur le site de Technet (Operations Master Roles –
Operations Masters Technical Reference – Administering Operations Master Roles). Ces derniers étant en anglais, cette traduction
Mot de passe vous apportera sans doute une aide supplémentaire.
Active Directory est une architecture multi-maître c'est-à-dire que chaque contrôleur du domaine est autonome et apte à prendre en compte
Se souvenir de moi des modifications et les répliquer sur ses pairs. Dans le cas où un contrôleur serait isolé, il fonctionnera indépendamment jusqu’à pouvoir
CONNEXION de nouveau communiquer avec les autres contrôleurs. Il peut en résulter des conflits qui sont généralement résolus efficacement par Active
Directory. Cependant certaines opérations comme les modifications de schéma peuvent entrainer de lourdes conséquences sur le
Mot de passe oublié ? fonctionnement de votre annuaire. Il a donc fallu introduire une solution de prévention pour éliminer toute possibilité de conflits lors d’une
réplication. C’est donc là que certains rôles FSMO prennent tout leur sens (en effet, certains rôles sont là également pour régler des
Identifiant oublié ?
problèmes d'ordre sécuritaire). En prenant l’exemple de la modification du schéma Active Directory, le pilotage est réalisé par un seul et
Créer un compte unique contrôleur disposant du rôle « maître de schéma » faisant partie de l’un des cinq rôles FSMO.
Vous aurez uniquement un maître de schéma et un maître d’attribution de noms de domaine dans une forêt alors que vous aurez un maître
d’infrastructure, un maître RID et un Emulateur PDC pour chacun de vos domaines. Par exemple, pour une forêt « corpnet.net » et deux
sous-domaines « france.corpnet.net » et « canada.corpnet.net », vous obtiendrez la répartition suivante :
Vous aurez donc deux rôles de niveau forêt par forêt et trois rôles au niveau domaine par domaine. Dans l’exemple ci-dessus, comme nous
avons trois domaines dans une forêt, nous avons donc 11 rôles FSMO sur l’ensemble de la forêt. Nous constatons également que les rôles
de niveau forêt sont placés sur le domaine racine « corpnet.net » cependant rien ne nous empêcherait de les placer sur les domaines «
france.corpnet.net » ou « canada.corpnet.net ».
Lors de l’installation du premier contrôleur de domaine « corpnet.net », les 5 rôles ont été attribués à ce contrôleur. Lors de la création des
deux domaines enfant, chacun des contrôleurs se sont vu attribuer les 3 rôles de niveau domaine.
Maître de schéma : Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory
pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.
Maître d’attribution de noms de domaine : Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt.
Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et
depuis des domaines externes.
Maître d’infrastructure : Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un
compte utilisateur d’un domaine A est ajouté à un groupe d'un domaine B, le maître d’Infrastructure sera responsable de cette référence pour
ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l'utilisateur sur le
domaine A sera répercutée par le maître d'infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont
appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID
(Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the
infrastructure master.
Maître RID : Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur...), il assigne à cet
objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID
(Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque
contrôleur qui en fait la demande.
Emulateur PDC : Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme
le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité
avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active
Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT
4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégiée
pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur
d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de
performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.
Récapitulatif
Maître d’infrastructure Mise à jour et réplication des références d’objet inter-domaines Domaine
Conclusion
Nous avons donc vu dans cet article la définition de chacun des maîtres d'opérations et leur utilité au sein d'un annuaire Active Directory.
Un autre élément composant l'annuaire Microsoft et qui nécessite approfondissement est le catalogue global. Nous vous invitons à découvrir
également cette fonctionnalité depuis l'article Le catalogue global Active Directory.
Si vous désirez savoir quels sont les maîtres d'opérations de votre annuaire ou comment les déplacer, nous vous proposons également
l'article Localiser et déplacer les maîtres d'opérations Active Directory.
AJOUTER UN COMMENTAIRE
Nom (obligatoire)
Rafraîchir
Enregistrer
JComments