[Active Directory] – Présentation des rôles FSMO

L’une des choses qui différencie les domaines (et les contrôleurs de domaines, DC en anglais – Domain Controller) Active Directory des domaines NT4, est la réplication multimaître, par opposition à la réplication « monomaître ». En effet, sous un domaine NT4 (et antérieurs), un contrôleur de domaine principal (si, si rappelez-vous le PDC – Primary Domain Controller!), possédait une copie du fichier SAM (Security Accounts Manager) qui contenait les comptes utilisateurs. Ce fichier sur le PDC était le seul que vous pouviez modifier et c’était donc le seul serveur qui pouvait gérer votre domaine. Tous les autres contrôleurs de domaines dans un domaine NT4 (et antérieurs) étaient de type « secondaires » (BDC – Backup Domain Controller) et pouvaient seulement lire les informations de votre domaine et non les gérer/modifier.

Le principal but d’un contrôleur de domaine est d’authentifier et de permettre l’accès au domaine à des utilisateurs. Les PDC NT4 acceptaient donc les modifications de leurs comptes contrairement à un BDC. L’administrateur NT4 pouvait donc réaliser différentes tâches qui lui était alors confiés sur ce contrôleur de domaine en écriture (toujours notre PDC!) et celui-ci se chargeait alors de répliquer ces nouvelles informations sur les contrôleurs de domaines secondaires (nos BDC!).

Problème; prenons le cas ou le lien WAN (Wide Area Network) de votre infrastructure est trop lent ou qu’il est rompu pendant une certaine période, le PDC aura bien du mal à répliquer ces informations sur vos BDC et ceux-ci n’auront donc pas la dernière base de données de comptes à jour ce qui engendrera irrémédiablement un refus de l’ouverture de session des utilisateurs au bout d’un certain temps!

 

Active Directory à donc fait un pas en avant pour proposer un système de réplication multimaître. TOUS les contrôleurs de domaines peuvent maintenant effectuer des modifications sur la base de données.

Note : La réplication multimaître n’est possible qu’une fois le domaine Active Directory en « mode natif Windows 2000 », c’est à dire que tous vos contrôleurs de domaine doivent au minimum être hébergés par le système d’exploitation Windows 2000 Server. En effet, par défaut, lorsque vous installerez votre annuaire Microsoft, soit Active Directory, dans votre infrastructure, celui-ci sera en mode fonctionnel « Windows 2000 mixte » et vous permettra d’héberger également vos PDC et BDC NT4.

 

  • Vous avez dit multimaître?

Votre base de données d’annuaire Active Directory est donc bien multimaître! Cependant, certains contrôleurs de domaine ont plus de responsabilités (ou de pouvoir à votre choix!) que d’autres. Le modèle du contrôle décentralisé ne s’applique donc pas partout…

Ces contrôleurs de domaines, que je qualifierai de « spéciaux« , sont appelés plus communément rôles de maîtres d’opérations et le terme que vous rencontrez dans les documentations techniques ou lors d’une discussion avec un confrère sera « FSMO – Flexible Single Master Operation« 

 

  • FSM…quoi?

Que se cache derrière cette acronyme (un de plus me direz-vous dans notre beau métier qui est l’informatique!) ?

Certaines tâches de votre Active Directory doivent être centralisées : voilà pourquoi nous avons besoin des rôles FSMO! Pour comprendre leurs utilités, prenons un exemple d’entreprise. Supposons que nous avons un domaine nommé « info.local » (société de prestation de services informatique) et que nous décidions de créer un domaine enfant, « fr.info.local » (filiale française de notre société). La création de notre domaine enfant va générer un grand nombre de structures de données (1 domaine pour « fr.info.local » donc plus de travail pour le catalogue global, des modifications sur la base de données Active Directory, etc.). Maintenant, imaginons que deux personnes essaient chacune de créer un nouveau domaine appelé « fr.info.local » au même moment. Horreur! Le domaine parent, soit « info.local » recevrait des requêtes en conflits visant à modifier la base de données Active Directory engendrant des problèmes de sécurité  mais surtout le fonctionnement de votre forêt Active Directory (l’ensemble de vos domaines).

Note : Active Directory ne requiert une synchronisation entre les contrôleurs de domaines que tous les 60 jours maximum.

Que dites-vous? Les chances de créer deux domaines identiques au même moment sont improbables. Vous pourriez très bien tomber sur 2 personnes différentes, situées sur deux sites différents de votre société et qui tentent, chacune de leur côté, de créer un domaine du même nom à quelques jours d’intervalles. Pour contrer cela, Active Directory élit un contrôleur de domaine qui fait office de « bureau central » pour la création de nouveaux domaines. Dans les faits, dès que vous lancez un DCPROMO pour créer un nouveau domaine, DCPROMO s’arrête et localise le contrôleur de domaine dans la forêt entière qui se charge d’être le « responsable des noms de domaines ». Ce contrôleur de domaine est appelé « Maître d’attribution de noms de domaine ». Donc, sur le futur contrôleur de domaine, si DCPROMO ne parvient pas à contacter ce « maître d’attributions de noms de domaine », il refuse d’aller plus loin.

Entendons-nous bien – même si votre entreprise possède plusieurs bureaux (et donc plusieurs sites) à l’international composée de dizaines de domaines et de centaines de bureaux éparpillés à travers la planète et donc que cette infrastructure est gérée par des milliers de contrôleurs de domaines et des centaines de milliers de stations de travail, il existe un seul ordinateur qui agit en tant que « maître d’attribution de noms de domaine ».

 

  • Pourquoi les administrateurs doivent-ils connaître les FSMO?

L’exemple type cité dessus n’est pas un défaut lié à Active Directory! Vous n’allez pas créer des domaines aussi souvent que cela. En général, vous n’aurez pas à vous préoccupez des contrôleurs de domaines de votre forêt qui agissent en tant que FSMO. Cependant, vous devez placer correctement ces différents rôles (il y en a cinq que nous allons voir en détail après) et surtout savoir comment attribuer un de ceux-ci à un contrôleur de domaine en particulier. Les rôles FSMO se gèrent manuellement, Active Directory ne sait pas les redistribuer automatiquement en cas de problème!

Note : le premier contrôleur de domaine que vous installez cumulera les cinq rôles.

Note : Il existe un seul cas où Active Directory sait redistribuer automatiquement un rôle FSMO. Lorsque vous utiliserez DCPROMO pour rétrograder un contrôleur de domaine qui s’est vu attribuer un rôle FSMO. DCPROMO trouvera alors un autre contrôleur de domaine approprié et lui transfèrera le rôle adéquat.

 

  • Les 5 rôles FSMO

Il existe cinq rôles FSMO dans Active Directory;

 – Contrôleur de schéma (unique au sein de la forêt Active Directory)

                    * Assigné au sein de la forêt  Active Directory (1 schéma par forêt Active Directory => 1 rôle schéma par forêt Active Directory)

                    * Seul contrôleur de domaine qui possède des droits d’écriture sur le schéma (les autres contrôleurs de domaine ont des droits en lecture)

                    * Évite d’avoir des conflits sur le schéma Active Directory

                    * Groupe ayant les droits d’écriture « administrateurs du schéma »

Note : pour connaître le contrôleur de domaine qui est contrôleur de schéma, utilisez la commande dsquery server -hasfsmo schema

 

 – Maître d’attribution de noms de domaine (unique au sein de la forêt Active Directory)

                    * Assigné au niveau de la forêt (voir exemple concret ci-dessus)

                    * Seul contrôleur de domaine habilité à ajouter des domaines (ou renommer les existants) dans une forêt

                    * Si ce contrôleur de domaine est indisponible, il sera impossible d’ajouter (ou de renommer, ou de supprimer) des domaines dans une forêt

                    * Ce contrôleur de domaine est également serveur de catalogue global (GC – Global Catalog)

Note : pour connaître le contrôleur de domaine qui est maître d’attribution de noms de domaine, utilisez la commande dsquery server -hasfsmo name

 

 – Emulateur PDC (unique au sein d’un domaine Active Directory)

                     * Assigné au niveau de chaque domaine

                     * Permet d’assurer une rétro-compatibilité avec les versions antérieurs de Windows 2000

                                  -> Prend en charge les BDC de NT4

                                  -> Gestion des modifications des mots de passe pour les clients antérieurs à Windows 2000

                     * Authentification de secours

                                  -> Si vous modifiez votre mot de passe sur votre ordinateur et que vous vous connectez dessus peu de temps après, la réplication n’aura peut-être pas eu lieu entre les différents contrôleurs de domaines.

                                  Le contrôleur de domaine qui vérifiera votre mot de passe ira demander confirmation à l’émulateur PDC avant de vous refuser l’accès.

                     * Serveur NTPNetwork Time Protocol (par défaut) – synchronise l’heure de tous les contrôleurs de domaines en fonction de son horloge.

                     * Elimine le risque d’écrasement des GPO (Group Policy Object)

                                   -> par défaut, la modification de GPO se fait sur ce contrôleur de domaine


 – Maître RID (unique au sein d’un domaine Active Directory)

                     * Assigné au niveau de chaque domaine

                     * Distribue une plage RID (Relative IDentifier) à chacun des contrôleurs de domaine pour éviter que deux contrôleurs de domaine assignent le même SID à deux objets différents

                                    -> Lorsque la plage RID à été utilisée, le contrôleur de domaine demande une nouvelle plage RID à celui-ci.

                     * Prend en charge les déplacements inter-domaines pour éviter la duplication d’objets.

Note : pour connaître le contrôleur de domaine qui est maître RID, utilisez la commande dsquery server -hasfsmo rid


 – Maître d’infrasctructure (unique au sein d’un domaine Active Directory)

                     * Assigné au niveau de chaque domaine

                     * Sert à mettre à jour, dans son domaine, les références des objets situés dans d’autres domaines (par le biais d’une réplication)

                     * Ne peut pas être catalogue global!!

Note : pour connaître le contrôleur de domaine qui est maître d’infrastructure, utilisez la commande dsquery server -hasfsmo infr

 

Note : pour connaître la liste des cinq rôles FSMO de votre infrastructure, utilisez la commande netdom query /domain:NOM_DU_DOMAINE fsmo

 

Ressources :

http://technet.microsoft.com/fr-fr/library/cc773108%28WS.10%29.aspx

http://technet.microsoft.com/fr-fr/library/cc781578%28WS.10%29.aspx

http://technet.microsoft.com/fr-fr/library/cc737648%28WS.10%29.aspx

Non classé

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *