vendredi 20 janvier 2012

Rôles FSMO


Salut,

Aujourd'hui on va parler des rôles serveurs au sein d'une infrastructure AD et plus précisément des rôles FSMO.

Dans vos infrastructures, vous avez des contrôleurs de domaine (on va supposer que vous en avez plusieurs). Ceux-ci contiennent une réplique de la base de données Active Directory.
On peut noter le fait que chaque contrôleur de domaine peut apporter des modifications à cette base de données et transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory. Ce système de réplication est dit multimaître.

Depuis Windows 2000 Server, les rôles FSMO (Flexible Single Master Operation) ont été créé. Ce sont des rôles qui sont attribués à différents serveurs de manière à ce que seuls certains serveurs soient autorisés à modifier des aspects internes à Active Directory.

Sous Windows Server 2000, 2003 et 2008, il existe 5 rôles FSMO :
  • Maître d'attibution de noms de domaines (unique au sein de la forêt)
  • Contrôleur de schéma (unique au sein de la forêt)
  • Maître RID (unique au sein du domaine)
  • Maître d'infrastructure (unique au sein du domaine)
  • Emulateur PDC (unique au sein du domaine)

Nous allons tout de suite donner plus de détails sur ces 5 rôles.

Maître d'attribution de noms de domaines
-- Assigné au niveau de la forêt ;
-- Seul contrôleur de domaine habilité à ajouter des domaines ou renommer les existants dans une forêt ;
-- Si le contrôleur de domaine qui possède le rôle est indisponible, il sera impossible d'ajouter, renommer ou
supprimer des domaines dans la forêt ;
-- En règle générale, ce contrôleur de domaine est également serveur de catalogue global.
=> Pour savoir quel contrôleur de domaine a le rôle de maître d'attribution on peut taper la commande : dsquery server -hasfsmo name

Contrôleur de schéma
-- Assigné au niveau de la forêt ;
-- Seul contrôleur de domaine qui possède des droits d'écriture sur le schéma (les autres contrôleurs de domaine auront des droits en lecture seule) ;
-- Evite les conflits sur le schéma AD
-- Associé au groupe "Administrateurs du schéma" ;
=> Pour savoir quel contrôleur de domaine a le rôle de contrôleur de schéma on peut taper la commande : dsquery server -hasfsmo schema

Maître RID
-- Assigné au niveau de chaque domaine ;
-- Distribue une plage RID (Relative IDentifier) à chacun des contrôleurs de domaine. Permet d'éviter que deux contrôleurs de domaine assigne le même SID à deux objets différents ;
-- Prend en charge les déplacements inter-domaines pour éviter la duplication d'objets.
=> Pour savoir quel contrôleur de domaine a le rôle de maître RID on peut taper la commande : dsquery server -hasfsmo rid

Maître d'infrastructure
-- Assigné au niveau d'un domaine ;
-- Sert à mettre à jour les références des objets situés dans d'autres domaines (utilise la réplication) ;
-- Ne peut pas être catalogue global.
=> Pour savoir quel contrôleur de domaine a le rôle de maître RID on peut taper la commande : dsquery server -hasfsmo infr

Emulateur PDC
-- Assigné au niveau de chaque domaine ;
-- Permet d'assurer la rétro-compatibilité avec les versions antérieures à Windows 2000 ;
-- Authentification de secours (dans le cas où l'on modifie son mot de passe sur son ordinateur et que la réplication n'a pas eu le temps de se faire, le contrôleur de domaine qui vérifiera le mot de passe ira demander confirmation à l'émulateur PDC) ;
-- Serveur NTP (Network Time Protocol) : synchronise l'heure de tous les contrôleurs de domaines en fonction de son horloge atomique.
-- Elimine le risque d'écrasement des GPO (Group Policy Object).

Note : Le premier contrôleur de domaine que l'on installe cumulera les cinq rôles.

Note : Il existe un seul cas où Active Directory sait redistribuer automatiquement un rôle FSMO. Lorsque l'on utilise DCPROMO pour rétrograder un contrôleur de domaine qui s'est vu attribuer un rôle FSMO. DCPROMO trouvera alors un autre contrôleur de domaine approprié et lui transférera le rôle adéquat.


Virtual87
En informatique, rien n'est impossible, mais, ce n'est pas toujours évident ...