Quels sont les rôles FSMO dans Active Directory ?

Active Directory permet de valider les créations, mises à jour et suppressions d’objets sur n’importe quel contrôleur de domaine faisant autorité. Cela est possible parce que chaque contrôleur de domaine Active Directory conserve une copie inscriptible de la partition de son propre domaine – à l’exception, bien sûr, des contrôleurs de domaine en lecture seule. Une fois qu’une modification a été validée, elle est répliquée automatiquement vers d’autres contrôleurs de domaine via un processus appelé réplication multi-maîtres., Ce comportement permet à la plupart des opérations d’être traitées de manière fiable par plusieurs contrôleurs de domaine et offre des niveaux élevés de redondance, de disponibilité et d’accessibilité dans Active Directory.

Une exception à ce comportement s’applique à certaines opérations Active Directory suffisamment sensibles pour que leur exécution soit limitée à un contrôleur de domaine spécifique. Active Directory traite ces situations à travers un ensemble spécial de rôles., Microsoft a commencé à désigner ces rôles sous le nom de rôles de maîtres D’opération, mais ils sont plus communément appelés par leur nom d’origine, rôles D’opérateur unique maître Flexible (« FSMO”).

quels sont les rôles FSMO?

Active Directory a cinq rôles FSMO (généralement prononcé « FIZZ-mo”), dont deux au niveau de l’entreprise (un par forêt) et trois au niveau du domaine (un par domaine). Les rôles FSMO au niveau de l’entreprise sont appelés maître de schéma et maître de nommage de domaine., Les rôles FSMO au niveau du domaine sont appelés L’émulateur de contrôleur de domaine principal, Le Maître D’identificateur relatif et le maître D’Infrastructure.

Les commandes suivantes peuvent être utilisées pour identifier les propriétaires de rôle FSMO. Invite de commande:

netdom query fsmo /domain:<DomainName>

PowerShell:

dans une nouvelle forêt Active Directory, les cinq rôles FSMO sont attribués au contrôleur de domaine initial dans le rootdomain de la forêt nouvellement créé.,

Lorsqu’un nouveau domaine est ajouté à une forêt existante, seuls les trois rôles FSMO au niveau du domaine sont attribués au contrôleur de domaine initial dans le domaine nouvellement créé; les deux rôles FSMO au niveau de l’entreprise existent déjà dans le domaine racine de la forêt.

Les rôles FSMO restent souvent attribués à leurs contrôleurs de domaine d’origine, mais ils peuvent être transférés si nécessaire.,

Le 5 Rôles FSMO de Active Directory

Schéma

Le Schéma est une entreprise au niveau du rôle FSMO; il isonly un contrôleur de Schéma dans une forêt Active Directory.

le propriétaire du rôle maître de schéma est le seul contrôleur de domaine dans une forêt Active Directory qui contient une partition de schéma inscriptible. En tant qu’aresult, le contrôleur de domaine qui possède le rôle FSMO maître de schéma doit être disponible pour modifier le schéma de sa forêt., Cela inclut des activités telles que l’élévation du niveau fonctionnel de la forêt et la mise à niveau du système d’exploitation d’adomain controller vers une version supérieure à celle qui existe actuellement dans la forêt,l’une ou l’autre introduisant des mises à jour du schéma Active Directory.

Le rôle maître du schéma a peu de frais généraux et sa perte peut entraîner peu ou pas d’impact opérationnel immédiat; si des modifications du schéma ne sont pas nécessaires, il peut rester hors ligne indéfiniment sans effet notable., Le rôle maître de schéma ne doit être saisi que lorsque le domaincontroller propriétaire du rôle ne peut pas être remis en ligne. La remise en ligne du propriétaire du rôle principal de theSchema après que le rôle a été saisi peut introduire de graves problèmes d’incohérence et d’intégrité des données dans la forêt.

domain Naming Master

Le Domain Naming Master est un rôle au niveau de l’entreprise; il n’y a qu’un seul Domain Naming Master dans une forêt Active Directory.,

le propriétaire du rôle maître de nommage de domaine est le seul domaincontroller dans une forêt Active Directory capable d’ajouter de nouveaux domaines et des partitions d’application à la forêt. Sa disponibilité est également nécessaire pour supprimerles domaines existants et les partitions d’application de la forêt.

Le rôle maître de nommage de domaine a peu de surcharge et on peut s’attendre à ce que sa perte ait peu ou pas d’impact opérationnel, car l’ajout et la suppression de domaines et de partitions sont rarement effectués et sont rarement des opérations critiques., Par conséquent, le rôle maître de nommage de domaine ne doit être saisi que lorsque le contrôleur de domaine propriétaire du rôle ne doit pas être remis en ligne.

maître RID

Le Maître D’identificateur relatif (« maître RID”) est un rôle de niveau adomain; il y a un maître RID dans chaque domaine dans une forêt ActiveDirectory.

le propriétaire du rôle maître RID est responsable de l’allocation des pools D’identificateurs relatifs actifs et de réserve (« RID”) aux contrôleurs de domaine dans itsdomain. Les piscines RID se composent d’une gamme unique et contiguë de rid., Ces RIDs sont utilisés lors de la création de l’objet pour générer L’identifiant de sécurité unique(« SID”) du nouvel objet. Le maître RID est également responsable du déplacement d’objets d’un domaine à un autre dans une forêt.

dans les domaines Matures, la surcharge générée par le maître RID est négligeable. Comme le PDC d’un domaine reçoit généralement le plus d’attention desadministrateurs, laisser ce rôle attribué au PDC de domaine permet d’assurer une disponibilité fiable., Il est également important de s’assurer que les domaincontrollers existants et les contrôleurs de domaine nouvellement promus, en particulier ceux promus dans les sites distants ou intermédiaires, ont une connectivité réseau avec le maître RID et sont en mesure d’obtenir des pools RID actifs et en attente.

la perte du maître RID d’un domaine entraînera éventuellement une incapacité à créer de nouveaux objets dans le domaine car les pools RID des domaincontrollers restants sont épuisés., Bien que l’indisponibilité du contrôleur de domaine qui possède le rôle maître RID puisse sembler causer des perturbations opérationnelles importantes, Le volume relativement faible d’événements de création d’objets dans un environnement mature tend à faire en sorte que l’impact d’un tel événement soit tolérable pendant une durée considérable. Remettre un RIDMaster en ligne après avoir saisi son rôle peut potentiellement introduire des Ridd dupliqués dans le domaine. Par conséquent, ce rôle ne devrait être saisi d’un contrôleur de domaine que si le contrôleur de domaine qui possède le rôle ne peut pas être remis en ligne.,

maître D’Infrastructure

Le Maître D’Infrastructure est un rôle au niveau du domaine; il y a un maître D’Infrastructure dans chaque domaine dans une forêt Active Directory.

le propriétaire du rôle maître de L’Infrastructure est le domaincontroller de chaque domaine responsable de la gestion des objets fantômes.Les objets fantômes sont utilisés pour suivre et gérer les références persistantes aux objets deletedobjects et aux attributs à valeur de lien qui font référence à des objets dans un autre domaine dans la forêt (par exemple, un groupe de sécurité de domaine local avec un utilisateur membre d’un autre domaine).,

Le Maître D’Infrastructure peut être placé sur n’importe quel domaincontroller d’un domaine, sauf si la forêt Active Directory inclut des domaincontrollers qui ne sont pas des hôtes de catalogue global. Dans ce cas, InfrastructureMaster doit être placé sur un contrôleur de domaine qui n’est pas un hôte de catalogue global.

la perte du contrôleur de domaine qui possède le rôle InfrastructureMaster n’est susceptible d’être perceptible que par les administrateurs et peut être interrompue pendant une période prolongée., Bien que son absence entraîne l’échec de la résolution correcte des liens d’objet names ofcross-domain, la possibilité d’utiliser les appartenances à des groupes de domaine cross-domain ne sera pas affectée.

PDC Emulator

L’émulateur de contrôleur de domaine principal (« PDC Emulator” ou »PDCE”) est un rôle au niveau du domaine; il y a un PDCE dans chaque domaine dans une forêt ActiveDirectory.

le propriétaire du rôle PDCE est responsable de plusieurs opérations cruciales:

  • compatibilité descendante. Le PDCE imite le comportement single-master d’un contrôleur de domaine principal Windows NT., Pour résoudre les problèmes de compatibilité descendante, le PDCE s’enregistre en tant que contrôleur de domaine cible pour les applications héritées qui effectuent des opérations inscriptibles et certains outils d’administration qui ne connaissent pas le comportement multi-maître des contrôleurs de domaine Active Directory.
  • synchronisation de L’heure. Chaque PDCE Sert de source de temps maître dans son domaine. Le PDCE dans le domaine racine de la forêt sert de serveur NTP (Network Time Protocol) préféré dans la forêt., Le PDCE de tous les autres domaines de la forêt synchronise son horloge avec le PDCE racine de la forêt, les contrôleurs de domaine non PDCE synchronisent leurs horloges avec le PDCE de leur domaine et les hôtes joints au domaine synchronisent leurs horloges avec leur contrôleur de domaine préféré.
    remarque: le protocole d’authentification Kerberos inclut des informations d’horodatage et est un exemple de l’importance de la synchronisation temporelle dans une forêt Active Directory., L’authentification Kerberos échouera si la différence entre l’horloge d’un hôte demandeur et l’horloge du contrôleur de domaine d’authentification dépasse 5 minutes (cette tolérance est configurable, mais la recommandation de bonne pratique de Microsoft est de maintenir la valeur par défaut de 5 minutes sur la tolérance maximale pour le paramètre de synchronisation de l’horloge de l’ordinateur). Ce comportement est destiné à contrer certaines activités malveillantes, telles que les « attaques de relecture”.
  • traitement de la mise à jour du mot de passe., Lorsque les mots de passe de l’ordinateur et de l’utilisateur sont modifiés ou réinitialisés par un contrôleur de domaine non PDCE, la mise à jour validée est immédiatement répliquée sur le PDCE du domaine. Si un compte tente de s’authentifier auprès d’un contrôleur de domaine qui n’a pas encore reçu de changement de mot de passe récent via la réplication planifiée, la demande est transmise au PDCE de domaine. Le PDCE tentera de traiter la demande d’authentification et de demander au contrôleur de domaine demandeur d’accepter ou de rejeter la demande d’authentification., Ce comportement garantit que les mots de passe peuvent être traités de manière fiable même si les modifications récentes ne se sont pas complètement propagées via la réplication planifiée. Le PDCE est également responsable du traitement des verrouillages de compte, car toutes les authentifications de mot de passe échouées sont transmises au PDCE.
  • mises à jour de la stratégie de groupe. Toutes les mises à jour des objets de stratégie de groupe (« GPO”) sont validées dans le PDCE de domaine. Cela évite les risques de conflits de versions qui pourraient survenir si un GPO était modifié sur deux contrôleurs de domaine à peu près en même temps.
  • Système de Fichiers Distribués., Par défaut, les serveurs racine du système de fichiers distribué (« DFS”) demanderont périodiquement des informations d’espace de noms DFS mises à jour au PDCE. Bien que ce comportement puisse conduire à un goulot d’étranglement des ressources, ce qui permet au Dfsutil.le paramètre D’évolutivité racine exe permettra aux serveurs racine DFS de demander des mises à jour au contrôleur de domaine le plus proche (voir https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) pour plus d’informations).

en raison de ses responsabilités, le PDCE devrait être placé sur un domaincontroller hautement accessible, bien connecté et performant., De plus, l’émulateur PDC du domaine racine de la forêt devrait êtreconfiguré avec une source de temps externe fiable.

bien que la perte du contrôleur de domaine propriétaire du rôle PDCEmulator puisse avoir un impact immédiat et significatif sur les opérations, la nature de ses responsabilités fait que la saisie du rôle depdce a moins d’implications pour le domaine que la saisie d’autres rôles. La saisie du rôle PDCE est considérée comme une pratique recommandée dans le cas où un contrôleur de domaine propriétaire du rôle PDCE devient indisponible à la suite d’une panne imprévue.,

transfert des rôles FSMO

comme mentionné précédemment dans cet article, Les rôles FSMO sont nécessairespour effectuer certaines opérations importantes et ils ne sont pas redondants. En conséquence, il peut être souhaitable ou nécessaire de déplacer les rôles FSMO d’un contrôleur de domaine à un autre.

une méthode de transfert des rôles FSMO consiste à rétrograder le contrôleur de domaine qui possède les rôles. Lorsqu’un contrôleur de domaine est rétrogradé, il tentera de transférer tous les rôles FSMO qu’il possède vers des contrôleurs de domaine appropriés sur le même site., Les rôles au niveau du domaine ne peuvent être transférés qu’à domaincontrollers dans le même domaine, mais les rôles au niveau de l’entreprise peuvent être transférés à n’importe quel contrôleur de domaine approprié dans la forêt. Bien qu’il existe des règles qui déterminent comment le contrôleur de domaine rétrogradé décidera où transférer ses rôles FSMO, il n’y a aucun moyen de contrôler directement où ses rôles FSMO seront transférés.

la méthode idéale pour déplacer un rôle FSMO est de le transférer activement en utilisant la console de gestion, PowerShell ou ntdsutil.EXE., Pendant le transfert amanual, le contrôleur de domaine source se synchronisera avec le contrôleur targetdomain avant de transférer le rôle.

le compte exécutant un rôle maître de schéma doit être membre du groupe Admins de schéma et Admins D’entreprise. L’adhésion au groupe Enterprise Admins est nécessaire pour transférer le rôle maître de nommage de domaine. Les rôles PDCE, RID Master et Infrastructure Master peuvent être transférés par un compte membre du groupe Administrateurs de domaine du domaine où les rôles sont transférés.,

console de gestion

le transfert de rôles FSMO à l’aide de la console de gestion peut nécessiter l’utilisation de jusqu’à trois modules snap-in différents.

transfert du rôle maître de schéma

le rôle maître de schéma peut être transféré à l’aide du composant logiciel enfichable Gestion de schéma ActiveDirectory.

Si le n’est pas parmi les snap-ins disponibles de la console de gestion, il devra être enregistré. Pour enregistrer la console de gestion de schéma Active Directory, ouvrez une invite de commande élevée, tapez regsvr32 schmmgmt.,dll, et appuyez sur Entrée:

une Fois la DLL a été enregistré, exécutez la Console de Gestion en tant qu’utilisateur membre du groupe Administrateurs du Schéma et ajouter le composant logiciel enfichable Schéma Active Directory pour la Gestion de la Console:

cliquez-Droit sur le nœud de Schéma Active Directory et sélectionnez « Changer de Contrôleur de Domaine Active Directory”.,div id= »51e1a53e4d »>

cliquez à nouveau avec le bouton droit sur le nœud de schéma Active Directory et sélectionnez « Operations Master”:

cliquez sur le bouton « Modifier” pour commencer le transfert du rôle maître de schéma vers le contrôleur de domaine ciblé:

transfert du rôle maître de nommage de domaine

le rôle maître de nommage peut être transféré à l’aide du composant logiciel enfichable Active Directory domains and Trusts Management Console.,

exécutez la console de gestion en tant qu’utilisateur membre du groupe Enterprise Admins et ajoutez le composant logiciel enfichable Active Directory Domains and Trusts à la console de gestion:

e noeud domaines et approbations Active Directory et sélectionnez « Changer le contrôleur de domaine Active Directory”., et sélectionnez à nouveau « Operations Master”:

Cliquez sur le bouton « Modifier” pour commencer le transfert du rôle maître de nommage de domaine vers le contrôleur de domaine ciblé:

transfert des rôles rid Master, infrastructure master ou PDC Emulator

Les rôles rid master, infrastructure master et PDC Emulatorroles peuvent tous être transférés à l’aide de la console Active Directory users and computersmanagement Snap-en.,

Exécuter la Console de Gestion en tant qu’utilisateur membre du groupe Administrateurs de Domaine dans le domaine où les rôles FSMO sont transférés et ajouter les Utilisateurs Active Directory et le composant logiciel enfichable Ordinateurs à la Console de Gestion:

clic Droit sur le nœud de Domaine Active Directory Utilisateurs et Ordinateurs nœud et sélectionnez « Changer de Contrôleur de Domaine Active Directory”.,v id= »0c7ce01ed8 »>

cliquez-Droit sur l’Active Directory Utilisateurs et Ordinateurs nœud et cliquez sur « Opérations de Maîtres”:

Sélectionnez l’onglet approprié et cliquez sur le bouton « Modifier” pour commencer le transfert des rôles FSMO sur le contrôleur de domaine:

PowerShell

Le mouvement-ADDirectoryServerOperationMasterrole applet de commande PowerShell peut être utilisé pour transférer les rôles FSMO., Les rôles transférés sont spécifiés à l’aide du paramètre-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe est un outil de ligne de commande léger qui peuteffectuer un certain nombre de fonctions utiles, y compris le transfert de rôles FSMO.

Les rôles FSMO peuvent être transférés en suivant les étapes suivantes:

  1. ouvrez une invite de commande élevée.
  2. tapez ntdsutil et appuyez sur Entrée. Une nouvelle fenêtre va s’ouvrir.
  3. à l’invite ntdsutil, tapez roles et appuyez sur Entrée.
  4. à l’invite de maintenance fsmo, tapez connexions et appuyez sur Entrée.,
  5. à l’invite connexions serveur, tapez connect to server <DC> (en remplaçant <DC> par le nom d’hôte du contrôleur de domaine que les rôles FSMO sont transférés à) et appuyez sur Entrée. Cela liera ntdsutil au contrôleur de domaine cible.
  6. tapez quit et appuyez sur Entrée.
  7. à l’invite de maintenance fsmo, entrez les commandes appropriées pour chaque rôle FSMO transféré:
    • pour transférer le rôle FSMO maître de schéma, tapez transfer schema master et appuyez sur Entrée.,
    • pour transférer le rôle FSMO domain Naming Master, tapez transfer naming master et appuyez sur Entrée.
    • pour transférer le rôle FSMO maître RID, tapez transférer maître rid et appuyez sur Entrée.
    • pour transférer le rôle FSMO Infrastructure Master, tapez transfer infrastructure master et appuyez sur Entrée.
    • pour transférer le rôle FSMO de L’émulateur PDC, tapez transfer pdc et appuyez sur Entrée.
  8. Pour quitter l’invite de maintenance fsmo, tapez quit et appuyez sur Entrée.
  9. Pour quitter l’invite ntdsutil, tapez quitter et appuyez sur Entrée.,

saisie des rôles FSMO

le transfert des rôles FSMO nécessite que le contrôleur de domaine source et les contrôleurs de domaine cible soient en ligne et fonctionnels. Si un contrôleur de domaine qui possède un ou plusieurs rôles FSMO est perdu ou sera indisponible pendant une période significative, ses rôles FSMO peuvent être « saisis” à un autre contrôleur de domaine.

dans la plupart des cas, les rôles FSMO ne doivent être saisis que si le propriétaire du rôle FSMO original ne peut pas être ramené dans l’environnement., La réintroduction d’un propriétaire de rôle FSMO à la suite de la saisie de ses rôles peut causer des dommages importants au domaine ou à la forêt. Cela est particulièrement vrai pour les rôles SchemaMaster et RID Master.

L’applet de commande Move-ADDirectoryServerOperationMasterrole permet l’utilisation du paramètre a-Force qui peut être utilisé pour saisir les rôles FSMO. L’utilisation du paramètre-Force dirigera l’applet de commande pour tenter un transfert de rôle FSMO et ensuite pour saisir les rôles si la tentative de transfert échoue.

les instructions suivantes peuvent être utilisées pour saisir les rôles FSMO avec le ntdsutil.,exe utilitaire:

  1. Ouvrez une invite de commande élevée.
  2. tapez ntdsutil et appuyez sur Entrée. Une nouvelle fenêtre va s’ouvrir.
  3. à l’invite ntdsutil, tapez roles et appuyez sur Entrée.
  4. à l’invite de maintenance fsmo, tapez connexions et appuyez sur Entrée.
  5. à l’invite connexions serveur, tapez connect to server <DC> (en remplaçant <DC> par le nom d’hôte du contrôleur de domaine saisi par les rôles FSMO à) et appuyez sur Entrée., Cela liera ntdsutil au contrôleur de domaine cible.
  6. tapez quit et appuyez sur Entrée.
  7. à l’invite de maintenance fsmo, entrez les commandes appropriées pour chaque rôle FSMO transféré:
    • pour transférer le rôle FSMO maître de schéma, tapez saisir le maître de schéma et appuyez sur Entrée.
    • pour transférer le rôle FSMO maître de nommage de domaine, tapez saisir maître de nommage et appuyez sur Entrée.
    • pour transférer le rôle FSMO maître RID, tapez saisir maître rid et appuyez sur Entrée.
    • pour transférer le rôle FSMO du maître de L’Infrastructure, tapez saisir le maître de l’infrastructure et appuyez sur Entrée.,
    • pour transférer le rôle FSMO de L’émulateur PDC, tapez saisir pdc et appuyez sur Entrée.
  8. Pour quitter l’invite de maintenance fsmo, tapez quit et appuyez sur Entrée.
  9. Pour quitter l’invite ntdsutil, tapez quitter et appuyez sur Entrée.

résumé

étant donné que chaque rôle n’existe qu’une seule fois dans une forêt ou un domaine, il est important de comprendre non seulement l’emplacement de chaque propriétaire de rôle FSMO et les responsabilités de chaque rôle FSMO, mais aussi l’impact opérationnel introduit par l’indisponibilité d’un contrôleur de domaine FSMO, Ces informations sont précieuses dans les situations où un contrôleur de domaine est indisponible, que ce soit en raison d’événements imprévus ou lors de la planification et de l’exécution des mises à niveau et de la maintenance planifiées.

Share

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *