Transfert des roles FSMO
Transfert des roles FSMO
Petit rappel sur les rôles serveurs au sein d’une infrastructure AD et explication pour le
transfert des rôles
Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent
une réplique de la base de données Active Directory. Ce système de réplication est dit
multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de
données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous
possèdent la même base de données Active Directory.
Mais que se passerait-il si deux personnes changent la même donnée au même moment à des
endroits différents ?
Bien sûr, Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter
les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop
importantes pour être résolues avec ces règles, comme par exemple la modification du schéma
Active Directory. C’ est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible
Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de
manière à ce que seuls certains serveurs permettent de modifier des aspects interne à Active
Directory. Dans un domaine Windows 2000 server et Windows Server 2003 et 2008, il existe
5 rôles FSMO. Ces rôles n’existaient pas sous Windows NT4 car les domaines NT4
disposaient d’une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon
fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des
contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues
différentes et des domaines de réplication différents. On distingue parmi les 5 rôles:
Maître d’attribution de noms de domaines : Unique au sein de la forêt
Controleur de schéma : Unique au sein de la forêt
Maitre RID : Unique au sein d’un domaine
Maitre d’infrastructure : Unique au sein d’un domaine
Emulateur CPD : Unique au sein d’un domaine
Maître d’attribution de noms de domaines
Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de
domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau
forêt de l’annuaire (c’est-à-dire le contexte de nommage PartitionsConfiguration ou
LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à
pouvoir ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou
supprimer des références croisées aux domaines dans des annuaires externes.
Controleur de schéma
Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé
d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage
du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le
seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du
schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de
domaine de l’annuaire. Il existe un seul contrôleur de schéma par annuaire.
Maître RID
Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du
traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d’un
domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre
dans un autre domaine au cours d’un déplacement d’objet.
Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un
groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de
domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique
pour chaque SID d’entité de sécurité créé dans un domaine.
Chaque contrôleur de domaine Windows 2000 d’un domaine se voit allouer un pool de RID
qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur
de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID
supplémentaires au maître RID du domaine. Le maître RID répond à la demande en
récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du
contrôleur de domaine demandeur. Il existe un maître RID par domaine d’un annuaire.
Maître d’infrastructure
Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il
représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le
nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le
contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une
référence d’objet interdomaine.
Emulateur PDC
L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows
inclut l’outil de service de temps W32Time (Windows Time) requis par le protocole
d’authentification Kerberos. Tous les ordinateurs Windows d’une entreprise utilisent une
heure commune. L’objectif du service de temps est de garantir que le service Windows Time
utilise une relation hiérarchique qui contrôle l’autorité et interdit les boucles afin de garantir
une utilisation appropriée du temps commun.
L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC situé à la
racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré de façon à
percevoir l’heure d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la
hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.
Dans un domaine Windows, le détenteur du rôle Émulateur PDC conserve les fonctions
suivantes :
Les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du
domaine sont répliquées de préférence sur l’émulateur PDC.
Les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur
un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que
l’échec ne soit signalé à l’utilisateur dans un message.
Le verrouillage de compte est traité sur l’émulateur PDC.
L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine
principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients
Windows NT 4.0 ou antérieurs.
Cette partie du rôle d’émulateur PDC devient inutile lorsque toutes les stations de travail,
serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis
à niveau vers Windows 2000. L’émulateur PDC continue d’exécuter les autres fonctions
décrites dans un environnement Windows 2000.
Les informations suivantes décrivent les modifications survenant lors du processus de mise à
niveau :
Les clients Windows (stations de travail et serveurs membres) et les clients de bas
niveau qui ont installé le package client de services distribués n’effectuent pas les
écritures d’annuaire (comme les changements de mots de passe) de préférence sur le
contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils
utilisent n’importe quel contrôleur du domaine.
Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à
niveau vers Windows 200x, l’émulateur PDC ne reçoit pas de demandes de réplica de
niveau inférieur.
Les clients Windows 200x (stations de travail et serveurs membres) et les clients de
bas niveau qui ont installé le package client de services distribués utilisent l’annuaire
Active Directory pour localiser des ressources réseau. Ils n’ont pas besoin du service
Explorateur d’ordinateur de Windows NT
Transfert des rôles
Transfert de rôles spécifiques à des domaines : RID, PDC et maître d’infrastructure
Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis
cliquez sur Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur l’icône en regard de Utilisateurs et ordinateurs Active
Directory, puis cliquez sur Se connecter au contrôleur de domaine. Dans la boîte de
dialogue Modifier le maître d’opérations, cliquez sur l’onglet approprié (RID, PDC ou
Infrastructure) pour choisir le rôle à transférer.
Transfert du rôle de maître d’attribution de noms de domaine
Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis
cliquez sur Domaines et approbations Active Directory.
Cliquez avec le bouton droit sur l’icône Domaines et approbations Active Directory,
puis cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître
d’opération.
Transfert du rôle de contrôleur de schéma
Inscription de l’outil de schéma
Cliquez sur Démarrer, puis sur Exécuter.
Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK. Un message s’affiche indiquant
que l’inscription a réussi.
Transfert du rôle de contrôleur de schéma
Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable.
Cliquez sur Ajouter.
Cliquez sur Schéma Active Directory.
Cliquez sur Ajouter
Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d’un composant logiciel
enfichable autonome.
Cliquez sur OK pour ajouter le composant logiciel enfichable à la console.
Cliquez avec le bouton droit sur l’icône Schéma Active Directory, puis cliquez sur
Maitres d’opérations.
Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier
1
/
4
100%
