Introduction
Active Directory est une architecture multi-maître c'est-à-dire que chaque contrôleur du domaine est autonome et apte à prendre en compte des modifications et les répliquer sur ses pairs. Dans le cas où un contrôleur serait isolé, il fonctionnera indépendamment jusqu’à pouvoir de nouveau communiquer avec les autres contrôleurs. Il peut en résulter des conflits qui sont généralement résolus efficacement par Active Directory. Cependant certaines opérations comme les modifications de schéma peuvent entrainer de lourdes conséquences sur le fonctionnement de votre annuaire. Il a donc fallu introduire une solution de prévention pour éliminer toute possibilité de conflits lors d’une réplication. C’est donc là que certains rôles FSMO prennent tout leur sens (en effet, certains rôles sont là également pour régler des problèmes d'ordre sécuritaire). En prenant l’exemple de la modification du schéma Active Directory, le pilotage est réalisé par un seul et unique contrôleur disposant du rôle « maître de schéma » faisant partie de l’un des cinq rôles FSMO.
Nous allons donc voir ensemble et en détail ces rôles.
Présentation générale des maîtres d'opérations
FSMO signifie « Flexible Single-Master Operation » cependant cette appellation a disparu officiellement pour être désormais nommé «maîtres d'opérations ». Comme nous le disions en introduction, ils ont chacun un usage bien spécifique au niveau d’un domaine et d’une forêt.
Vous avez deux rôles au niveau de la forêt :
Schema Master (Maître de Schéma)
Domain Naming Master (Maître d’attribution de noms de domaine)
Vous avez trois rôles au niveau du domaine :
Infrastructure Master (Maître d’infrastructure)
RID Master (Maître RID)
PDC Emulator (Emulateur de contrôleur de domaine principal)
Vous aurez uniquement un maître de schéma et un maître d’attribution de noms de domaine dans une forêt alors que vous aurez un maître d’infrastructure, un maître RID et un Emulateur PDC pour chacun de vos domaines. Par exemple, pour une forêt « corpnet.net » et deux sous-domaines « france.corpnet.net » et « canada.corpnet.net », vous obtiendrez la répartition suivante :
Maître de schéma : corpnet.net
Maître d’attribution de noms de domaine : corpnet.net
Maître d’infrastructure : corpnet.net
Maître d’infrastructure : france.corpnet.net
Maître d’infrastructure : canada.corpnet.net
Maître RID : corpnet.net
Maître RID : france.corpnet.net
Maître RID : canada.corpnet.net
Emulateur PDC : corpnet.net
Emulateur PDC : france.corpnet.net
Emulateur PDC : canada.corpnet.net
Vous aurez donc deux rôles de niveau forêt par forêt et trois rôles au niveau domaine par domaine. Dans l’exemple ci-dessus, comme nous avons trois domaines dans une forêt, nous avons donc 11 rôles FSMO sur l’ensemble de la forêt. Nous constatons également que les rôles de niveau forêt sont placés sur le domaine racine « corpnet.net » cependant rien ne nous empêcherait de les placer sur les domaines « france.corpnet.net » ou « canada.corpnet.net ».
Lors de l’installation du premier contrôleur de domaine « corpnet.net », les 5 rôles ont été attribués à ce contrôleur. Lors de la création des deux domaines enfant, chacun des contrôleurs se sont vu attribuer les 3 rôles de niveau domaine.
Détails de chaque maître d'opérations
Nous allons désormais détailler chacun des rôles et leur fonction au sein de l’annuaire.
Maître de schéma: Le Maître de schéma ou d’opération gère l’ensemble des mises à jour et modifications du schéma.
Il assure également leur réplication sur l’ensemble des contrôleurs de domaines. Il ne peut y avoir
qu’un seul Maître de schéma par forêt et seul le groupe « Administrateurs du schéma » peut y
effectuer des modifications (source).
Résumé :
Il assure également leur réplication sur l’ensemble des contrôleurs de domaines. Il ne peut y avoir
qu’un seul Maître de schéma par forêt et seul le groupe « Administrateurs du schéma » peut y
effectuer des modifications (source).
Résumé :
- Pris en charge et contrôle des mises à jour du schéma
- Réplication des modifications apportées au schéma sur tous les contrôleurs de domaine de la forêt
Maître d’attribution de noms de domaine: Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.
Résumé :
- Ajout et suppression tous types de partitions logiques dans Active Directory. Exemples :
Relation d’approbation
- Gestion des objets de références croisés
- Renommage de domaine (à partir de Windows Server 2003)
Maître d’infrastructure: Le Maître d’infrastructure a pour rôle de maintenir à jour les références d’objet entre les différents
domaines. Si un utilisateur d’un domaine A est ajouté dans un groupe d’un domaine B, il sera
responsable de répliquer cette référence sur l’ensemble du domaine B. Il agit également comme
« traducteur » parmi les identifiants globaux uniques (GUID), les identifiants de sécurité (SIDs) et les
« distinguished names » (DNs). Par exemple, si vous listez les utilisateurs d’un groupe, vous pourrez
parfois apercevoir des utilisateurs apparaissant avec leur SID (et non par leurs noms). Par ailleurs, si
la corbeille Active Directory sous 2008 R2 est activée, ce rôle ne sera plus utilisé. Notez qu’il ne peut
y avoir qu’un seul Maître d’infrastructure par domaine.
Maître RID: Le Maître RID est chargé d’attribuer à chaque objet Active Directory (utilisateur, groupe, ordinateur,…) un identifiant unique de sécurité (SID). Ce dernier est structuré de la façon suivante :
Un numéro de révision
Un identificateur de sécurité du domaine (domaine SID)
Un RID (Relative Identifier)
Parallèlement, et afin que différents contrôleurs de domaine n’assignent pas le même SID à deux
objets différents, une plage RID est allouée à chaque DC. Lorsque cette plage est épuisée, une
demande est effectuée auprès du RID afin de la renouveler. Notez qu’il ne peut y avoir qu’un seul
Maître RID par domaine.
Emulateur PDC: Le rôle fondamental du PDC Emulator est de fournir une rétrocompatibilité avec les serveurs NT4.0
et les clients antérieurs à Windows 2000. Il est également chargé de la réplication des mots de passe
et, de ce fait, est directement contacté en cas d’échec d’authentification afin de s’assurer que des
erreurs de réplication ne sont pas à l’origine du problème.
Le PDC agit également en tant que serveur de temps. Sous cet angle, il assure la synchronisation des
horloges clientes avec les différents contrôleurs de domaine. Pour cela il utilise une relation
hiérarchique qui contrôle l'autorité et interdit les boucles. Par défaut, les ordinateurs Windows
utilisent la hiérarchie suivante pour synchroniser leurs horloges :
Ordinateur clients : nomment le DC d’authentification comme partenaire de temps entrant
Serveur membres : mêmes processus que les ordinateurs clients
Contrôleurs de domaine d’un domaine : nomment le maître d’opérations du DC principal
comme partenaire de temps entrant
PDC : utilisent la hiérarchie des domaines pour sélectionner leur partenaire de temps via le
protocole SNTP
Le service de temps est également utilisé dans le cadre de l’authentification Kerberos qui nécessite
un horodatage des paquets d’authentification. Autre point contrôlé par le PDC : les GPO. En effet, la
console de gestion des stratégies de groupe « GPMC » utilise le DC hébergeant le rôle PDC comme
DC par défaut pour toutes les opérations de création et de modification des GPO.
En définitive, il s’agit d’un rôle crucial ayant un réel impact sur les performances d’une infrastructure
Active Directory.
Résumé:
Prise en charge des communications pour les serveurs NT4 et les clients antérieurs à 2000
Réplication des mots de passe utilisateur et ordinateur
Gestion des erreurs d’authentification et verrouillage des comptes
Serveur de temps et synchronisation avec les clients
Horodatage des paquets d’authentification Kerberos v5
Serveur de gestion par défaut pour les mises à jour des GPO
Enregistrer un commentaire