Les maîtres d'opérations Active Directory

Envoyer

Sommaire

 

 

Introduction

Malgré la profusion d’articles traitant de ce sujet, nous avons décidé de vous le proposer afin de servir de référence pour d’autres articles qui analyseront en profondeur l’utilisation des rôles FSMO. Nous allons reprendre dans les grandes lignes les articles  que nous considérons comme le plus complet sur la question qui sont ceux à votre disposition sur le site de Technet (Operations Master RolesOperations Masters Technical ReferenceAdministering Operations Master Roles). Ces derniers étant en anglais, cette traduction vous apportera sans doute une aide supplémentaire.

Active Directory est une architecture multi-maître c'est-à-dire que chaque contrôleur du domaine est autonome et apte à prendre en compte des modifications et les répliquer sur ses pairs. Dans le cas où un contrôleur serait isolé, il fonctionnera indépendamment  jusqu’à pouvoir de nouveau communiquer avec les autres contrôleurs. Il peut en résulter des conflits qui sont généralement résolus efficacement par Active Directory. Cependant certaines opérations comme les modifications de schéma peuvent entrainer de lourdes conséquences sur le fonctionnement de votre annuaire.  Il a donc fallu introduire une solution de prévention pour éliminer toute possibilité de conflits lors d’une réplication. C’est donc là que certains rôles FSMO prennent tout leur sens (en effet, certains rôles sont là également pour régler des problèmes d'ordre sécuritaire). En prenant l’exemple de la modification du schéma Active Directory, le pilotage est réalisé par un seul et unique contrôleur disposant du rôle « maître de schéma » faisant partie de l’un des cinq rôles FSMO.

Nous allons donc voir ensemble et en détail ces rôles.

 

 

Présentation générale des maîtres d'opérations

FSMO signifie « Flexible Single-Master Operation » cependant cette appellation a disparu officiellement pour être désormais nommé « maîtres d'opérations ». Comme nous le disions en introduction, ils ont chacun un usage bien spécifique au niveau d’un domaine et d’une forêt.

 

Vous avez deux rôles au niveau de la forêt :

  • Schema Master (Maître de Schéma)
  • Domain Naming Master (Maître d’attribution de noms de domaine)

 

Vous avez trois rôles au niveau du domaine :

  • Infrastructure Master (Maître d’infrastructure)
  • RID Master (Maître RID)
  • PDC Emulator (Emulateur de contrôleur de domaine principal)

 

Vous aurez uniquement un maître de schéma et un maître d’attribution de noms de domaine dans une forêt alors que vous aurez un maître d’infrastructure, un maître RID et un Emulateur PDC pour chacun de vos domaines. Par exemple, pour une forêt « corpnet.net » et deux sous-domaines « france.corpnet.net » et « canada.corpnet.net », vous obtiendrez la répartition suivante :

  • Maître de schéma : corpnet.net
  • Maître d’attribution de noms de domaine : corpnet.net
  • Maître d’infrastructure : corpnet.net
  • Maître d’infrastructure : france.corpnet.net
  • Maître d’infrastructure : canada.corpnet.net
  • Maître RID : corpnet.net
  • Maître RID : france.corpnet.net
  • Maître RID : canada.corpnet.net
  • Emulateur PDC : corpnet.net
  • Emulateur PDC : france.corpnet.net
  • Emulateur PDC : canada.corpnet.net

 

Vous aurez donc deux rôles de niveau forêt par forêt et trois rôles au niveau domaine par domaine. Dans l’exemple ci-dessus, comme nous avons trois domaines dans une forêt, nous avons donc 11 rôles FSMO sur l’ensemble de la forêt. Nous constatons également que les rôles de niveau forêt sont placés sur le domaine racine « corpnet.net » cependant rien ne nous empêcherait de les placer sur les domaines « france.corpnet.net » ou « canada.corpnet.net ».

Lors de l’installation du premier contrôleur de domaine « corpnet.net », les 5 rôles ont été attribués à ce contrôleur. Lors de la création des deux domaines enfant, chacun des contrôleurs se sont vu attribuer les 3 rôles de niveau domaine.

 

 

Détail de chaque maître d'opérations

Nous allons désormais détailler chacun des rôles et leur fonction au sein de l’annuaire.

Maître de schéma : Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.

Maître d’attribution de noms de domaine : Ce rôle permet principalement de gérer  l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.

Maître d’infrastructure : Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d'un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l'utilisateur sur le domaine A sera répercutée par le maître d'infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.

Maître RID : Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur...), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

Emulateur PDC : Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.

 

 

Récapitulatif

Rôle

Description

Niveau

Maître de schéma

  • Mise à jour du schéma

Forêt

Maître d’attribution de noms de domaine

  • Ajout/Suppression de domaine
  • Renommage de domaine (à partir de Windows 2003)

Forêt

Maître d’infrastructure

  • Mise à jour et réplication des références d’objet inter-domaines

Domaine

Maître RID

  • Distribution des plages RID

Domaine

Emulateur PDC

  • Prise en charge des communications avec clients/serveurs de type NT (antérieur à 2000)
  • Réplication des modifications des mots de passe
  • Gestion des erreurs d’authentification
  • Serveur de temps par défaut

Domaine

 

 

Conclusion

Nous avons donc vu dans cet article la définition de chacun des maîtres d'opérations et leur utilité au sein d'un annuaire Active Directory.

Un autre élément composant l'annuaire Microsoft et qui nécessite approfondissement est le catalogue global. Nous vous invitons à découvrir également cette fonctionnalité depuis l'article Le catalogue global Active Directory.

Si vous désirez savoir quels sont les maîtres d'opérations de votre annuaire ou comment les déplacer, nous vous proposons également l'article Localiser et déplacer les maîtres d'opérations Active Directory.

Mise à jour le Mardi, 10 Avril 2012 08:00