Transfert des roles FSMO Petit rappel sur les rôles serveurs au sein d’une infrastructure AD et explication pour le transfert des rôles Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory. Mais que se passerait-il si deux personnes changent la même donnée au même moment à des endroits différents ? Bien sûr, Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’ est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects interne à Active Directory. Dans un domaine Windows 2000 server et Windows Server 2003 et 2008, il existe 5 rôles FSMO. Ces rôles n’existaient pas sous Windows NT4 car les domaines NT4 disposaient d’une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles: Maître d’attribution de noms de domaines : Unique au sein de la forêt Controleur de schéma : Unique au sein de la forêt Maitre RID : Unique au sein d’un domaine Maitre d’infrastructure : Unique au sein d’un domaine Emulateur CPD : Unique au sein d’un domaine Maître d’attribution de noms de domaines Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau forêt de l’annuaire (c’est-à-dire le contexte de nommage PartitionsConfiguration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes. Controleur de schéma Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l’annuaire. Il existe un seul contrôleur de schéma par annuaire. Maître RID Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d’un déplacement d’objet. Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique pour chaque SID d’entité de sécurité créé dans un domaine. Chaque contrôleur de domaine Windows 2000 d’un domaine se voit allouer un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d’un annuaire. Maître d’infrastructure Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet interdomaine. Emulateur PDC L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows inclut l’outil de service de temps W32Time (Windows Time) requis par le protocole d’authentification Kerberos. Tous les ordinateurs Windows d’une entreprise utilisent une heure commune. L’objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l’autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun. L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC situé à la racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré de façon à percevoir l’heure d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant. Dans un domaine Windows, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes : Les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC. Les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que l’échec ne soit signalé à l’utilisateur dans un message. Le verrouillage de compte est traité sur l’émulateur PDC. L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs. Cette partie du rôle d’émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L’émulateur PDC continue d’exécuter les autres fonctions décrites dans un environnement Windows 2000. Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau : Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n’effectuent pas les écritures d’annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils utilisent n’importe quel contrôleur du domaine. Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200x, l’émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur. Les clients Windows 200x (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l’annuaire Active Directory pour localiser des ressources réseau. Ils n’ont pas besoin du service Explorateur d’ordinateur de Windows NT Transfert des rôles Transfert de rôles spécifiques à des domaines : RID, PDC et maître d’infrastructure Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur l’icône en regard de Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine. Dans la boîte de dialogue Modifier le maître d’opérations, cliquez sur l’onglet approprié (RID, PDC ou Infrastructure) pour choisir le rôle à transférer. Transfert du rôle de maître d’attribution de noms de domaine Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory. Cliquez avec le bouton droit sur l’icône Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître d’opération. Transfert du rôle de contrôleur de schéma Inscription de l’outil de schéma Cliquez sur Démarrer, puis sur Exécuter. Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK. Un message s’affiche indiquant que l’inscription a réussi. Transfert du rôle de contrôleur de schéma Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez sur Ajouter. Cliquez sur Schéma Active Directory. Cliquez sur Ajouter Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d’un composant logiciel enfichable autonome. Cliquez sur OK pour ajouter le composant logiciel enfichable à la console. Cliquez avec le bouton droit sur l’icône Schéma Active Directory, puis cliquez sur Maitres d’opérations. Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier