EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
· SSL/TLS Alert Protocol & the Alert Codes
· Intégration d'un serveur et Workstation Linux dans AD
· How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows
· Forest Functional Level
· WIN10 (version1511) No Télémétrie & No WebApp
· Kerberos Failure Codes
· En bref les rôles FSMO
· Ajout d'un ordinateur Macintosh dans un domaine AD
· License Logging Service
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
En bref les rôles FSMO
 

FSMO
Emplacement
Rôle
Maître d'attribution des noms de domaine Unique au sein d'une forêt Inscription de domaines dans la forêt
Contrôleur de schéma Unique au sein d'une forêt Gère la modification du schéma Active Directory
Maître RID Unique au sein d'un domaine Distribue des plages RID pour les SIDs
Maître d'infrastructure Unique au sein d'un domaine Gère le déplacement des objets
Emulateur CPD Unique au sein d'un domaine Garantie une compatiblité avec les anciens systèmes

1. Maître d'attribution de noms de domaine

Ce maître d'opération, unique dans une forêt, se charge de contrôler l’ajout ou la suppression de domaines dans la forêt. En effet, lorsque vous ajoutez des contrôleurs de domaine dans une forêt Active Directory, le maître d'attribution des noms de domaine est le seul contrôleur de domaine capable d'ajouter le nouveau domaine.
De part cette fonction, il permet d'éviter l'insertion de domaine ayant le même nom dans la forêt.

Lorsque vous utilisez l'assistant Installation de Active Directory pour créer un domaine enfant, celui-ci va contacter le maître d'attribution de noms de domaine pour demander l'ajout ou la suppression. Si ce maître d'opération est indisponible, la fonctionnalité d'ajout ou de suppression de domaine dans la forêt ne sera pas disponible.
 

2. Contrôleur de schéma

Le schéma Active Directory contient les définitions des types d'objets qui peuvent être créés et stockés dans Active Directory. Les types d'objet contiennent des attributs spécifiques et des informations qui s'y rapportent. Toutes ces informations sont stockées au sein d'Active Directory sous forme d'objet. Le contrôleur de schéma intervient dans le cas d'un mise à jour, d'une modification de ces objets. C'est donc le seul contrôleur de domaine apte à modifier le schéma Active Directory. De ce fait, chaque forêt ne possède qu'un seul contrôleur de schéma pour éviter les conflits de mise à jour simultanée du schéma.

Lorsque vous créez un objet dans Active Directory, le contrôleur de domaine sur lequel vous créez l'objet va interroger le schéma pour récupérer la liste des attributs et la classe d'objet correspondant à l'objet que vous souhaitez créer. Heureusement, le contrôleur de domaine possédant le rôle de contrôleur de schéma n'est pas le seul à disposer du schéma Active Directory. En effet, les autres contrôleurs de domaine disposent aussi d'une copie du schéma Active Directory dans leur partition de schéma, par contre, cette copie est en lecture seule. De ce fait, la création d'objets dans Active Directory sera toujours possible, puisque les classes d'objets sont disponible.

Un contrôleur de schéma rempli 4 fonctions au sein d'une forêt Active Directory :

  • Il contrôle les mises à jour d'origine apportés au schéma.
  • Il contient la liste des classes d'objets et des attributs utilisés pour la création d'objet dans Active Directory.
  • Il réplique les mises à jour apportés au schéma sur les tous autres contrôleur de domaine de la forêt via la partition de schéma.
  • Il autorise uniquement les administrateurs du schéma à modifier le schéma. 

 

3. Rôle du maitre RID

Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d'allouer des blocs d'identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque contrôleur de domaine possède donc un pool de RID unique à attribuer aux nouveau objets créés. Lorsqu'un contrôleur de domaine à épuisé son pool d'identificateurs relatif, il contacte de maître RID par un dérivé du protocole RPC qui lui alloue une nouvelle plage d'identificateurs.

Si le maître RID ne peut être joint, la création d'un objet est impossible sur un contrôleur de domaine dont la réserve d'identificateurs relatifs est épuisée. L'utilitaire dcdiag situé dans le dossier \Support\Tools du cd-rom de Windows 2003 server permet d'afficher la réserve d'identifiants relatifs du contrôleur de domaine.
 

4.Rôle du maître d'infrastructure

Si un objet auquel un objet fantôme fait référence a été modifié ou supprimé, l'objet fantôme doit être modifié ou supprimé du domaine le contenant. Le contrôleur de domaine possédant le rôle de maître d'infrastructure est chargé de ces opérations au sein du domaine dans lequel il opère.

Le maître d'infrastructure compare régulièrement les informations des objets fantômes présent dans sa base de donnée avec la dernière version du répliquas des objets sur un serveur de catalogue global. Si les SID ou les distinguished name  ne correspondent pas avec ceux des objets fantômes, alors le maître d'infrastructure met à jour les objets fantômes qu'il contient.

Plus en détail, si le maître d'infrastructure détecte que l'objet original auquel réfère un objet fantôme à changé ou a été supprimé , il crée un objet infrastructure-Update dans le conteneur CN=Infrastructure,DC=DomainName,DC=… , cet objet est ensuite répliqué aux autres contrôleurs de domaine excepté les serveurs de catalogue global
 

N.B : Le maître d'infrastructure ne peut pas être serveur de catalogue global!
En effet, comme le serveur de catalogue global contient un répliquât partiel  de chaque objet contenu dans Active Directory, aucun objet fantôme n'est créé sur ce contrôleur de domaine. Le maître d'infrastructure ne stocke donc pas les versions fantômes des objets étrangers car il possède déjà une copie de ces objets dans le catalogue. Si le maître d'infrastructure est placé sur un serveur de catalogue vous pourrez voir dans l'observateur d'évènement une erreur avec un event ID 1419

Il existe seulement deux exceptions à cette règle :

  • dans le cadre d'une forêt contenant un seul domaine,  il n'y a pas d'objets fantômes (car pas d'objets étrangers venant d'autres domaines), donc le maître d'infrastructure n'est pas utile, il peut donc être placé sur n'importe quel contrôleur de domaine.

  • Dans une forêt multi-domaine, ou chaque contrôleur de domaine est également serveur de catalogue global, il n'y a également pas d'objets fantômes. Le maître d'infrastructure n'est donc pas utile, il reste dans un état dormant et peut être placé sur n'importe quel contrôleur de domaine.

Si le maître d'infrastructure n'est pas joignable, il n'est pas possible de déplacer des objets.
 
 

5. Le maître d'émulateur du contrôleur de domaine ( PDC Emulator)

Lors de l'installation d'un nouveau domaine, le premier contrôleur de domaine endosse le rôle d'émulateur PDC(Primary Domain Controller). Ce rôle est particulièrement important au bon fonctionnement de chaque domaine de la forêt. Attention, il ne peut exister qu'un émulateur PDC au sein d'un domaine.

Le maître d'émulateur PDC assure 4 fonctions au sein d'un domaine Active Directory :

  • Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup Domain Controller).
  • La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe.
  • Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine, ils sont par exemple nécessaires aux horodatage insérés dans les paquets d’authentification Kerberos v.5.
  • Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d'interdire toute possibilité d’écrasement et de conflit.
 

Article N° 135, du 01.02.2007, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=135

© 2017 VPSI - EXAPP - TC