1

Les rôles de maîtres

d’opérations (v3.21)

Tutorial conçu et rédigé par Michel de CREVOISIER – Août 2013

SOURCES

Rôles FSMO : http://technet.microsoft.com/fr-fr/library/cc773108.aspx

http://technet.microsoft.com/en-us/library/cc780487

Placements des rôles FSMO : http://www.alexwinner.com/articles/win2008/29-fsmoplacement.html

http://www.petri.co.il/planning_fsmo_roles_in_ad.htm

http://support.microsoft.com/kb/223346/en-us

http://support.microsoft.com/kb/223346/fr

http://www.windowsnetworking.com/articles-tutorials/windows-2003/Managing-Active-Directory-FSMO-Roles.html

2

INDEX

SOURCES .............................................................................................................................................................. 1

INDEX ................................................................................................................................................................... 2

Préambule ........................................................................................................................................................... 3

1. Les maîtres d’opérations ............................................................................................................................ 4

1.1 Fonctionnement .................................................................................................................................. 4

1.2 Structure Active Directory ................................................................................................................... 4

2. Rôles niveau forêt ....................................................................................................................................... 7

2.1 Maître de schéma (Schema Master) ................................................................................................... 7

2.2 Maître d’attribution des noms domaine (Domain Naming Master) ................................................... 7

3. Rôles niveau domaine................................................................................................................................. 8

3.1 Maître d’infrastructure (Infrastructure Master) ................................................................................. 8

3.2 Maitre RID (RID Master) ...................................................................................................................... 9

3.3 Emulateur de contrôleur de domaine principal (PDC Emulator) ........................................................ 9

4. Localisation des rôles ................................................................................................................................ 11

4.1 Depuis un console CMD ..................................................................................................................... 11

4.2 Depuis un console PowerShell .......................................................................................................... 12

Conclusion ......................................................................................................................................................... 13

3

Préambule Avant de commencer, vous devez savoir qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour bien comprendre ce tutorial. Ce tuto va vous permettre d’assimiler les différentes interactions entre les différents rôles des maîtres d’opérations au sein d’Active Directory. Par la même occasion, il vous présentera la structure logique d’Active Directory ainsi que ses différents composants. Après quoi vous serez en mesure de concevoir une architecture complexe dans des environnements multi-domaines.

4

1. Les maîtres d’opérations

1.1 Fonctionnement De par son fonctionnement, Active Directory utilise une réplication de type MultiMaster (fonctionnement détaillé ici et ici) avec l’ensemble des contrôleurs de domaine. Toutefois, certaines opérations spécifiques ne peuvent s’effectuer via cette méthode. Et c’est pour cette raison que la notion de « Maître d’opération » constituée de 5 rôles a été introduite. Ces rôles, également appelés « Rôles FSMO » (Flexible Single Master Operations) peuvent être attribués sur plusieurs contrôleurs de domaines. Il convient toutefois d’en distinguer deux types :

Ceux situés à la racine de chaque forêt : o Maître de schéma o Maître d’attribution de noms de domaines

Ceux situés à la racine de chaque domaine : o Maître d’infrastructure o Maître des ID relatifs (RID) o Emulateur du contrôleur principal de domaine (PDC)

En résumé, on retrouvera ces 5 rôles sur le premier DC racine de la forêt, et les 3 autres rôles à la racine de chaque domaine enfant. On peut calculer le nombre de Maîtres d’opérations selon la formule suivante : 2 + (n x 3), où n est le nombre de domaines dans la forêt (ne pas oublier le domaine racine).

1.2 Structure Active Directory La base de données Active Directory est divisée en plusieurs partitions logiques, à savoir (source) :

Schéma

Configuration

Domaine

Application Chacune d’entre elle est répliquée sur une étendue spécifique avec les autres DC. Dans un domaine, les partitions « Schéma » et « Configuration » sont communes à tous les DC de la forêt.

5

1.2.1 Partition Schéma La partition « Schéma » (source) contient les définitions de classes et d’attributs pour tous les objets existants et possibles dans Active Directory. Ces informations sont stockées dans cn=schema,cn=configuration,dc=forestRootDomain et répliquées sur l’ensemble des DC de la forêt. Le contenu de cette partition est visible au travers de la console Active Directory Schema console

(pour l’afficher, suivre le point 3.1.1 de mon tuto).

1.2.2 Partition Configuration

La partition « Configuration » contient des informations concernant les objets de la forêt (domaines, sites, DC, services …) dans cn=configuration,dc=forestRootDomain. Cette partition est répliquée sur l’ensemble des DC de la forêt. Son contenu est visible au travers de la console ADSI Edit.

6

1.2.3 Partition Domaine Il peut exister plusieurs partitions « Domaine » au sein d’une forêt. Celles-ci sont stockées sur chaque DC d’un domaine donné et contiennent les informations concernant les utilisateurs, les groupes, les UO, les ordinateurs, … Cette partition est répliquée sur l’ensemble des DC du domaine et également dans le catalogue global si l’attribut est marqué pour la réplication. Son contenu est visible depuis la console Active Directory Domains and Trusts et également depuis la console Active Directory Users and Computers (pensez à afficher les fonctionnalités avancées).

1.2.4 Partition Application

La partition « Application » (source) stocke les informations concernant les applications Active Directory. Toutefois, chaque application définie la façon dont ses données sont stockées et structurées. De la même façon qu’une partition « Domaine », la partition « Application » ne peut pas stocker d’identifiants de sécurité. Par ailleurs, aucune des informations dont elle dispose ne peuvent être stockées dans le catalogue global. Enfin, sachez qu’il est possible de créer des partitions manuellement et de limiter leur réplication. Un exemple application utilisant cette partition est le DNS, mais uniquement quand les zones sont intégrées à Active Directory (source). Vous trouverez plus de détails concernant ces zones au point

1.1.4 (partie 2) de mon tuto sur le DNS.

7

2. Rôles niveau forêt

2.1 Maître de schéma (Schema Master)

2.1.1 Rôle Le Maître de schéma ou d’opération gère l’ensemble des mises à jour et modifications du schéma. Il assure également leur réplication sur l’ensemble des contrôleurs de domaines. Il ne peut y avoir qu’un seul Maître de schéma par forêt et seul le groupe « Administrateurs du schéma » peut y effectuer des modifications (source). Résumé :

Modifications et mises à jour du schéma

Réplication des modifications dans tous les domaines de la forêt

2.1.2 Placement Au niveau du domaine racine de la forêt, ce rôle doit être placé avec le Maître d’attribution des noms de domaine et également avec le PDC (recommandé).

2.1.3 Impact en cas d’incident En cas de panne ou d’incident impliquant ce rôle, le schéma ne pourra pas être étendu. Toutefois, l’impact sur la production sera minime, sauf si une mise à jour du schéma est prévue.

2.2 Maître d’attribution des noms domaine (Domain Naming Master)

2.2.1 Rôle Le Maître d’attribution de noms de domaine contrôle les ajouts et suppression de domaines dans la forêt. Il a également pour rôle la création et/ou suppression de relations avec les domaines externes

(cf. point 3 de mon tuto sur les relations d’approbation). Notez qu’il ne peut y avoir qu’un seul Maître

d’attribution de noms de domaine dans l’ensemble de la forêt. Résumé :

Ajout et suppression de domaines ou de partitions « Applications »

Création et suppression des relations entre les domaines

Renommage de domaine (à partir de Windows Server 2003)

2.2.2 Placement Au niveau du domaine racine de la forêt, ce rôle doit être placé avec le Maître de schéma et avec le PDC (recommandé). Si le contrôleur de domaine exécute Windows Server 2000, alors ce serveur devra également être GC. Dans le cas contraire, certaines opérations telles que la création de domaines grand-enfants échoueront. Enfin, si le contrôleur de domaine exécute Windows Server 2003 ou ultérieur, il ne devra en aucun cas être GC.

8

2.2.3 Impact en cas d’incident Si ce rôle n’est plus disponible, aucun ajout ou suppression de domaine (dcpromo) ne sera possible. Toutefois, l’impact restera minime même s’il est recommandé de disposer d’un serveur de secours avec une réplication directe de maître à partenaire.

3. Rôles niveau domaine

3.1 Maître d’infrastructure (Infrastructure Master)

3.1.1 Rôle Le Maître d’infrastructure a pour rôle de maintenir à jour les références d’objet entre les différents domaines. Si un utilisateur d’un domaine A est ajouté dans un groupe d’un domaine B, il sera responsable de répliquer cette référence sur l’ensemble du domaine B. Il agit également comme « traducteur » parmi les identifiants globaux uniques (GUID), les identifiants de sécurité (SIDs) et les « distinguished names » (DNs). Par exemple, si vous listez les utilisateurs d’un groupe, vous pourrez parfois apercevoir des utilisateurs apparaissant avec leur SID (et non par leurs noms). Par ailleurs, si la corbeille Active Directory sous 2008 R2 est activée, ce rôle ne sera plus utilisé. Notez qu’il ne peut y avoir qu’un seul Maître d’infrastructure par domaine. Résumé :

Mise à jour des références d’objets entre les différents domaines

Traduction des objets de type GUID, SID et DN en noms

3.1.2 Placement En environnement multi-domaines, ce rôle ne doit pas être installé sur un serveur hébergeant le GC. Toutefois, il existe deux exceptions à cette règle :

Forêt mono-domaine : il n’existe pas d’objets fantôme et de ce fait, ce rôle peut être placé avec un GC

Forêt multi-domaine où tous les DC sont GC : il n’y aura pas d’objets fantômes et ce rôle n’aura pas de « travail supplémentaire » à faire

Notez qu’un objet de connexion direct vers un GC dans la forêt devra être créé (de préférence sur le même site). Note concernant les « Objets fantômes » : Fonctionnellement, le Maître d’infrastructure met à jour des références d’objets à partir d’informations situées sur les GC d’autres DC de la forêt. Si ce rôle est placé avec le GC, aucune référence ne sera créée ou actualisée. On parlera alors d’objets fantômes.

9

3.1.3 Impact en cas d’incident Si ce rôle n’est plus disponible, l’appartenance et la traduction d’objets ne pourront plus être effectuées. Dans une forêt mono-domaine l’impact sera quasi-négligeable.

3.2 Maitre RID (RID Master)

3.2.1 Rôle Le Maître RID est chargé d’attribuer à chaque objet Active Directory (utilisateur, groupe, ordinateur, …) un identifiant unique de sécurité (SID). Ce dernier est structuré de la façon suivante :

Un numéro de révision

Un identificateur de sécurité du domaine (domaine SID)

Un RID (Relative Identifier) Parallèlement, et afin que différents contrôleurs de domaine n’assignent pas le même SID à deux objets différents, une plage RID est allouée à chaque DC. Lorsque cette plage est épuisée, une demande est effectuée auprès du RID afin de la renouveler. Notez qu’il ne peut y avoir qu’un seul Maître RID par domaine. A titre d’information, vous trouverez ici la liste de l’ensemble des SID prédéfinis dans Windows. Résumé :

Distribution des pools RID aux différents contrôleurs de domaine

3.2.2 Placement Le RID doit être placé de préférence avec le PDC. Si la charge sur le serveur le justifie, les rôles PDC et RID pourront être placés sur des DC différents, situés toutefois sur le même domaine et site Active Directory. De plus, ils devront être des partenaires de réplication directe. Pour des questions de performances, il est recommandé ne pas le placer avec un GC.

3.2.3 Impact en cas d’incident Si ce rôle n’est plus disponible, les pools RID ne seront plus alloués au DC. Toutefois, il y a de fortes chances pour que les pools « RID » des DC ne soient pas totalement épuisés, sauf si la création de nombreux utilisateurs et postes est prévue…

3.3 Emulateur de contrôleur de domaine principal (PDC Emulator)

3.3.1 Rôles Le rôle fondamental du PDC Emulator est de fournir une rétrocompatibilité avec les serveurs NT4.0 et les clients antérieurs à Windows 2000. Il est également chargé de la réplication des mots de passe et, de ce fait, est directement contacté en cas d’échec d’authentification afin de s’assurer que des erreurs de réplication ne sont pas à l’origine du problème. Le PDC agit également en tant que serveur de temps. Sous cet angle, il assure la synchronisation des horloges clientes avec les différents contrôleurs de domaine. Pour cela il utilise une relation

10

hiérarchique qui contrôle l'autorité et interdit les boucles. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante pour synchroniser leurs horloges :

Ordinateur clients : nomment le DC d’authentification comme partenaire de temps entrant

Serveur membres : mêmes processus que les ordinateurs clients

Contrôleurs de domaine d’un domaine : nomment le maître d’opérations du DC principal comme partenaire de temps entrant

PDC : utilisent la hiérarchie des domaines pour sélectionner leur partenaire de temps via le protocole SNTP

Le service de temps est également utilisé dans le cadre de l’authentification Kerberos qui nécessite un horodatage des paquets d’authentification. Autre point contrôlé par le PDC : les GPO. En effet, la console de gestion des stratégies de groupe « GPMC » utilise le DC hébergeant le rôle PDC comme DC par défaut pour toutes les opérations de création et de modification des GPO. En définitive, il s’agit d’un rôle crucial ayant un réel impact sur les performances d’une infrastructure Active Directory. Résumé :

Prise en charge des communications pour les serveurs NT4 et les clients antérieurs à 2000

Réplication des mots de passe utilisateur et ordinateur

Gestion des erreurs d’authentification et verrouillage des comptes

Serveur de temps et synchronisation avec les clients

Horodatage des paquets d’authentification Kerberos v5

Serveur de gestion par défaut pour les mises à jour des GPO

3.3.2 Placement Ce rôle doit être placé de préférence avec le RID. Si la charge sur le serveur le justifie, les rôles PDC et RID pourront être placés sur des DC différents, situés toutefois sur le même domaine et site Active Directory. De plus, ils devront être des partenaires de réplication directe. Etant très sollicité et nécessitant une forte montée en charge, il est recommandé de placer ce rôle sur le site disposant du plus grand nombre d’utilisateurs. De par sa criticité, il devra également être placé le plus proche possible des équipes techniques. Enfin, il faut faire en sorte qu’il soit le moins sollicité par les clients. Pour cela il convient de réduire sa priorité et son poids dans les enregistrements DNS de type SRV. Cette action aura pour effet de favoriser l’authentification sur les autres DC.

3.3.3 Impact en cas d’incident Une défaillance de ce rôle peut entrainer :

L’impossibilité pour les serveurs NT4 et les clients antérieurs à 2000 de s’authentifier

Un arrêt de la réplication pour les domaines NT4

L’impossibilité de verrouiller les comptes utilisateurs

Une éventuelle perte de synchronisation entre les DC

Des problèmes d’authentification Kerberos

Des problèmes pour changer/appliquer les GPO

11

Afin d’éviter des conflits d’édition de GPO, il convient de définir un serveur « privilégié » pour ce type d’opérations. Pour cela, modifier la stratégie ci-dessous selon vos besoins (source) : Configuration utilisateur / Modèles d’administration / Systèmes /stratégie de groupe / Sélection du contrôleur de domaine de la stratégie de groupe

4. Localisation des rôles

4.1 Depuis un console CMD Il existe trois commandes permettant de localiser les rôles installés sur un serveur :

NETDOM netdom query /domaine :domaine.com fsmo

DCDIAG

dcdiag /test:KnowsOfRoleHolders /v

NTDSUTIL

ntdsutil roles connection connect to server [serveur] quit select operation target list roles for connected server

12

4.2 Depuis un console PowerShell

Import-Module ActiveDirectory Get-ADForest

Get-ADDomain

13

Conclusion Grâce à ce tuto, vous êtes dorénavant capable de concevoir et solidifier une architecture Active Directory tout en vous imprégnant de ses différentes composantes. Vous trouverez ci-dessous un tableau résumant l’ensemble des contraintes énumérées précédemment. Pour le comprendre, il faut d’abord définir votre version de Windows Server (2000 ou 2003) puis définir votre type d’architecture (forêt mono-domaine, forêt multi-domaine à faible charge ou forêt multi-domaine à charge importante). Ensuite choisissez un rôle FSMO situé sur l’axe des abscisses et rechercher le rôle avec lequel vous souhaitez le faire « cohabiter ». Reportez-vous ensuite à la légende en bas pour les éventuelles indications ou contre-indications.

Windows Server 2000 Windows Server 2003 ou supérieur

SM DNM IM RID PDC GC SM DNM IM RID PDC GC

Forêt mono domaine

SM

DNM

IM F F

RID F : SC F : SC

PDC

Forêt multi-domaine, faible

charge

SM F F F F

DNM F F F / D F F

IM F/D : SC F/D : SC

RID F / D F / D

PDC F / D F / D

Forêt multi-domaine, charge

importante

SM F F F F

DNM F F F / D F F

IM F/D : SC F/D : SC

RID

PDC

Schéma Master SM Interdit D Domaine enfant

Domain Naming Master DNM Recommandé F Domaine racine de forêt

Infrastructure Master IM A éviter SC Sous conditions

RID Master RID

PDC PDC

Catalogue global GC

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en d’ores et déjà remercié