Quick-Tutoriel.com Network & System Admin.
Dans un environnement de domaine Windows Server 2003, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multi maîtres car chaque contrôleur de domaine à la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.
Bien sûr, Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes à Active Directory.
Dans un domaine Windows 2000 server et Windows Server 2003, il existe 5 rôles FSMO. Ces rôles n’existaient pas sous Windows NT4 car les domaines NT4 disposaient d’une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents.
On distingue parmi les 5 rôles :
- Maître d’attribution des noms de domaine (Unique au sein d’une forêt) : Inscription de domaines dans la forêt
- Contrôleur de schéma (Unique au sein d’une forêt) : Gère la modification du schéma Active Directory
- Maître RID (Unique au sein d’un domaine) : Distribue des plages RID pour les SIDs
- Maître d’infrastructure (Unique au sein d’un domaine) Gère le déplacement des objets
- Emulateur CPD (Unique au sein d’un domaine) : Garantie une compatibilité avec les anciens systèmes
Avant de vous montrez comment identifier rapidement les rôles FSMO de votre architecture active directory, une petite définition s’impose sur les différents rôles :
Maître d’attribution de noms de domaine
Ce maître d’opération, unique dans une forêt, se charge de contrôler l’ajout ou la suppression de domaines dans la forêt. En effet, lorsque vous ajoutez des contrôleurs de domaine dans une forêt Active Directory, le maître d’attribution des noms de domaine est le seul contrôleur de domaine capable d’ajouter le nouveau domaine.
De part cette fonction, il permet d’éviter l’insertion de domaine ayant le même nom dans la forêt.
Lorsque vous utilisez l’assistant Installation d’Active Directory pour créer un domaine enfant, celui-ci va contacter le maître d’attribution de noms de domaine pour demander l’ajout ou la suppression. Si ce maître d’opération est indisponible, la fonctionnalité d’ajout ou de suppression de domaine dans la forêt ne sera pas disponible.
Lorsque que vous ajoutez ou supprimez un nouveau domaine, vous ajoutez ou supprimez des partitions logiques dans Active Directory. Ainsi, le maître d’attribution des noms de domaine permet d’ajouter ou de supprimer tous les types de partition, ainsi que la gestion des objets de références croisés. Dans la version Windows Server 2003, le maître d’attribution de nom de domaine prend en charge le renommage des domaines.
Contrôleur de schéma
Le schéma Active Directory contient les définitions des types d’objets qui peuvent être créés et stockés dans Active Directory. Les types d’objet contiennent des attributs spécifiques et des informations qui s’y rapportent. Toutes ces informations sont stockées au sein d’Active Directory sous forme d’objet. Le contrôleur de schéma intervient dans le cas d’une mise à jour, d’une modification de ces objets. C’est donc le seul contrôleur de domaine apte à modifier le schéma Active Directory. De ce fait, chaque forêt ne possède qu’un seul contrôleur de schéma pour éviter les conflits de mise à jour simultanée du schéma.
Lorsque vous créez un objet dans Active Directory, le contrôleur de domaine sur lequel vous créez l’objet va interroger le schéma pour récupérer la liste des attributs et la classe d’objet correspondant à l’objet que vous souhaitez créer. Heureusement, le contrôleur de domaine possédant le rôle de contrôleur de schéma n’est pas le seul à disposer du schéma Active Directory.
En effet, les autres contrôleurs de domaine disposent aussi d’une copie du schéma Active Directory dans leur partition de schéma, par contre, cette copie est en lecture seule. De ce fait, la création d’objets dans Active Directory sera toujours possible, puisque les classes d’objets sont disponibles.
Un contrôleur de schéma rempli 4 fonctions au sein d’une forêt Active Directory :
- Il contrôle les mises à jour d’origines apportées au schéma.
- Il contient la liste des classes d’objets et des attributs utilisés pour la création d’objet dans Active Directory.
- Il réplique les mises à jour apportées au schéma sur les tous autres contrôleurs de domaine de la forêt via la partition de schéma.
- Il autorise uniquement les administrateurs du schéma à modifier le schéma.
Maitre RID
Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d’allouer des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque contrôleur de domaine possède donc un pool de RID unique à attribuer aux nouveaux objets créés. Lorsqu’un contrôleur de domaine à épuisé son pool d’identificateurs relatif, il contacte de maître RID par un dérivé du protocole RPC qui lui alloue une nouvelle plage d’identificateurs.
Si le maître RID ne peut être joint, la création d’un objet est impossible sur un contrôleur de domaine dont la réserve d’identificateurs relatifs est épuisée. L’utilitaire dcdiag situé dans le dossier \Support\Tools du cd-rom de Windows 2003 server permet d’afficher la réserve d’identifiants relatifs du contrôleur de domaine.
Dès qu’un contrôleur de domaine crée une entité de sécurité (un objet tel qu’un utilisateur, un groupe, un ordinateur), il attribut à cet objet un identificateur de sécurité unique, le SID (Security IDentifier). ce SID est composé de deux blocs : un SID de domaine (identique pour tous les objets du domaine), et un identifiant relatif (RID), qui est unique pour chaque SID d’objet créé dans le domaine.
Maître d’infrastructure
Dans Active Directory, certains types de groupes peuvent contenir des comptes d’utilisateurs des domaines approuvés. Afin d’être sur de l’authenticité des noms dans le groupe d’appartenance, les GUID des utilisateurs sont utilisés (en effet, le GUID est unique dans la forêt). Lorsque l’on affiche tous les membres d’un groupe comprenant des utilisateurs de domaines approuvés, Active Directory doit pouvoir afficher le nom actuel de l’utilisateur de manière précise, sans pour cela avoir à contacter le contrôleur de domaine du domaine approuvé ou un serveur de catalogue global.
Active Directory utilise donc des objets fantômes pour les références aux utilisateurs des différents domaines. Cet objet fantôme est un objet spécial qui ne peut être vu d’aucune façon par les outils d’exploration LDAP.
Ces enregistrements fantômes contiennent une quantité minimale d’informations qui permet à un contrôleur de domaine de se référer à l’emplacement dans lequel l’objet original existe. Cet objet fantôme contient les informations suivantes de l’objet auquel il fait référence: – le nom unique, – le SID – le GUID.
Lors de l’ajout d’un membre d’un domaine différent dans un groupe, le contrôleur de domaine local qui contient le groupe crée cet objet fantôme pour l’utilisateur étranger. Si le nom de cet utilisateur est modifié, ou bien lors d’une suppression, l’objet fantôme doit être mis à jour ou supprimé du groupe sur tous les contrôleurs de domaine du domaine contenant cette référence. C’est le rôle du maître d’infrastructure.
Le maître d’émulateur du contrôleur de domaine ( PDC Emulator)
Lors de l’installation d’un nouveau domaine, le premier contrôleur de domaine endosse le rôle d’émulateur PDC(Primary Domain Controller). Ce rôle est particulièrement important au bon fonctionnement de chaque domaine de la forêt. Attention, il ne peut exister qu’un émulateur PDC au sein d’un domaine.
Le maître d’émulateur PDC assure 4 fonctions au sein d’un domaine Active Directory :
- Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup Domain Controller).
- La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe.
- Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine, ils sont par exemple nécessaires aux horodatage insérés dans les paquets d’authentification Kerberos v.5.
- Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d’interdire toute possibilité d’écrasement et de conflit.
Après cette brève description, passons maintenant à l’action. Pour voir la répartition des rôles dans votre réseau, vous devez utiliser le logiciel Identify FSMO Roles, que vous pouvez télécharger ici :
Voyons pour mon réseau comment se répartissent les rôles :
Nous voyons ici que nous disposons de 6 contrôleurs de domaine, mais le plus important est le serveur LMA3, qui à lui seul, se charge de gérer tous les rôles. Une petite répartition s’impose.
Voila un outil simple et pratique que tous les administrateurs système devraient posséder.
That’s All.
Difficulté : 
Modification :-
Crédits : Merci au site Labo-Microsoft, pour sa présentation des rôles FSMO.
Bravo pour le tuto ! Garder un oeil sur la doc microsoft à ce sujet https://docs.microsoft.com/fr-FR/troubleshoot/windows-server/identity/view-transfer-fsmo-roles