Les rôles de maîtres d opérations (v3.40)



Documents pareils
Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

Tout sur les relations d approbations (v2)

Comptes et groupes de services : VSA/MSA/gMSA

L annuaire et le Service DNS

Les noms uniques Identifie le domaine dans lequel est situé l objet, ainsi que le chemin complet CN=David Dubois,OU=Sales,DC=Consoto,DC=msft!

Mise en place d un cluster NLB (v1.12)

Migration 2003 vers 2008R2

Cours sur Active Directory

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Note technique. Recommandations de sécurité relatives à Active Directory.

Introduction aux services de domaine Active Directory

Installation de SCCM 2012 (v2)

FORMATION WS0801. Centre de formation agréé

Windows Server 2012 R2 Administration

Administration Active Directory Rédigé par Guillaume MATHIEU, consultant Pôle Architecture & Intégration MANPOWER / PROSERVIA

Migration d un serveur Windows Server 2008 vers un serveur Windows Server 2012

Service d'annuaire Active Directory

Déploiement automatisé de Windows Seven via le WAIK

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Recycle Bin (Corbeille Active directory)

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

MAGRET V86 Migration du contrôleur de domaine

Installation et configuration de SQL Server 2008 R2 (v3)

Services RDS de Windows Server 2012 R2 Remote Desktop Services : Installation et administration

Remplacement de Serveur : Windows Server 2000 par Windows Server 2003 avec migration des rôles FSMO

Introduction à LDAP et à Active Directory Étude de cas... 37

Active Directory. Qu'est-ce qu'un service d'annuaire?

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Installation et configuration de Windows Deployment Service (v3.1)

Active Directory Windows Serveur 2008

[Tuto] Migration Active Directory 2003 vers 2008

Installation Windows 2000 Server

Table des matières Page 1

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

SCOM 2012 (System Center Operations Manager) De l'installation à l'exploitation, mise en oeuvre et bonnes pratiques

Renommer un contrôleur de Domaine Active Directory Sous Windows Server 2008 R2

Windows Server Installation / mise à niveau / configuration de Windows Server 2003

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

OSSIR Groupe Sécurité Windows

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Solutions de conversion P2V et V2V (v2.1)

SharePoint Foundation 2013 Construire un intranet collaboratif en PME (édition enrichie de vidéos)

Errata partie 1 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Groupe Eyrolles, 2004 ISBN :

Serveur FTP. 20 décembre. Windows Server 2008R2

Active Directory. Structure et usage

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Active Directory et Windows PowerShell en action

Déploiement, administration et configuration

Etude d Active Directory

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

Logiciel : GLPI Version : SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

Administration de systèmes

Microsoft Windows 2000 Administration de Microsoft Windows 2000

Authentification unifiée Unix/Windows

Chapitre 1 Windows Server

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

2013 Microsoft Exchange 2007 OLIVIER D.

Expérience professionnelle

Présentation du service d annuaire Microsoft : Active Directory Domain Services

Spécialiste Systèmes et Réseaux

Windows Server 2012 R2

Module 3. Création d objets utilisateur et ordinateur AD DS

Formateur : Franck DUBOIS

Armelin ASIMANE. Services RDS. de Windows Server 2012 R2. Remote Desktop Services : Installation et administration

EVOLUTION ACTIVE DIRECTORY Windows 2012R2

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Windows 2000 Server Active Directory

Fiche Produit Conference Center

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

P R O J E T P E R S O N N A L I S E E N C A D R E

Préparation à l installation d Active Directory

SÉCURISATION D'UN SERVEUR WINDOWS 2000

Migration NT4 vers Windows 2003 Server

Gestion des identités Christian-Pierre Belin

La conception de la topologie de sites

Les Audits. 3kernels.free.fr 1 / 10

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

Eléments techniques tome I Installation Serveur Windows 2012

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Windows Serveur (Dernière édition) Programme de formation. France, Belgique, Allemagne, Pays-Bas, Autriche, Suisse, Roumanie - Canada

Mise en place d un cluster. De basculement. Et DHCP Failover. Installation. Préparation. Vérification

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Samson BISARO Christian MAILLARD

Formateur : Jackie DAÖN

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

Sécurisation du réseau

Fiche Produit Global Directory pour Jabber

DirXML License Auditing Tool version Guide de l'utilisateur

TP01: Installation de Windows Server 2012

UE5A Administration Réseaux LP SIRI

FILIÈRE TRAVAIL COLLABORATIF

Annexe C Corrections des QCM

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

Transcription:

Les rôles de maîtres d opérations (v3.40) Tutorial conçu et rédigé par Michel de CREVOISIER Août 2013 SOURCES Rôles FSMO : http://technet.microsoft.com/fr-fr/library/cc773108.aspx http://technet.microsoft.com/en-us/library/cc780487 Placements des rôles FSMO : http://www.alexwinner.com/articles/win2008/29-fsmoplacement.html http://www.petri.co.il/planning_fsmo_roles_in_ad.htm http://support.microsoft.com/kb/223346/en-us http://support.microsoft.com/kb/223346/fr http://www.windowsnetworking.com/articles-tutorials/windows-2003/managing-active-directory- FSMO-Roles.html 1

INDEX SOURCES... 1 INDEX... 2 Préambule... 3 1. Les maîtres d opérations... 4 2. Rôles niveau forêt... 4 2.1 Maître de schéma (Schema Master)... 4 2.2 Maître d attribution des noms domaine (Domain Naming Master)... 5 3. Rôles niveau domaine... 5 3.1 Maître d infrastructure (Infrastructure Master)... 5 3.2 Maitre RID (RID Master)... 6 3.3 Emulateur de contrôleur de domaine principal (PDC Emulator)... 7 4. Localisation des rôles... 9 4.1 Depuis un console CMD... 9 4.2 Depuis un console PowerShell... 10 Conclusion... 11 2

Préambule Avant de commencer, vous devez savoir qu il est nécessaire de maîtriser un minimum les fonctionnalités de base d un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour bien comprendre ce tutorial. Ce tuto va vous permettre d assimiler les différentes interactions entre les différents rôles des maîtres d opérations au sein d Active Directory. Par la même occasion, il vous présentera la structure logique d Active Directory ainsi que ses différents composants. Après quoi vous serez en mesure de concevoir une architecture complexe dans des environnements multi-domaines. 3

1. Les maîtres d opérations De par son fonctionnement, Active Directory utilise une réplication de type MultiMaster (fonctionnement détaillé ici et ici) avec l ensemble des contrôleurs de domaine. Toutefois, certaines opérations spécifiques ne peuvent pas s effectuer via cette méthode. C est donc pour cette raison que la notion de «Maître d opération» constituée de cinq rôles a été introduite. Ces rôles, également appelés «Rôles FSMO» (Flexible Single Master Operations) peuvent être attribués sur différents contrôleurs de domaine au sein d une forêt ou d un domaine. Il convient toutefois d en distinguer deux types : Ceux situés à la racine de la forêt : o Maître de schéma (SM) o Maître d attribution de noms de domaines (DNM) Ceux situés à la racine de chaque domaine : o Maître d infrastructure (IM) o Maître des ID relatifs (RID) o Emulateur du contrôleur principal de domaine (PDC) En résumé, on retrouvera ces cinq rôles au sein du domaine racine de la forêt, et les trois autres rôles à la racine de chaque domaine enfant. 2. Rôles niveau forêt 2.1 Maître de schéma (Schema Master) 2.1.1 Rôle Le Maître de schéma ou d opération gère l ensemble des mises à jour et modifications du schéma. Il assure également leur réplication sur l ensemble des contrôleurs de domaines. Il ne peut y avoir qu un seul Maître de schéma par forêt et seul le groupe «Administrateurs du schéma» peut y effectuer des modifications (source). Résumé : Pris en charge et contrôle des mises à jour du schéma Réplication des modifications apportées au schéma sur tous les contrôleurs de domaine de la forêt 2.1.2 Placement Au niveau du domaine racine de la forêt, ce rôle doit être placé avec le Maître d attribution des noms de domaine et également avec le PDC (recommandé). 2.1.3 Impact en cas d incident En cas de non disponibilité de ce rôle, aucune modification sur le schéma ne pourra être appliquée. De ce fait, l installation d applications (Exchange, Lync, Skype for Business, ) devant modifier ses propriétés sera impossible. 4

2.2 Maître d attribution des noms domaine (Domain Naming Master) 2.2.1 Rôle Le Maître d attribution de noms de domaine contrôle les ajouts et suppressions de domaines dans la forêt. De la même façon, il est en charge de la création et/ou suppression de relations avec les domaines externes (cf. point 3 de mon tuto sur les relations d approbation). Pour terminer, il gère les objets de références croisés qui servent à faire le lien entre les différentes partitions et le domaine. Ces objets sont stockés dans la partition de configuration. Résumé : Ajout et suppression tous types de partitions logiques dans Active Directory. Exemples : o Nom de domaine o Relation d approbation Gestion des objets de références croisés Renommage de domaine (à partir de Windows Server 2003) 2.2.2 Placement Au niveau du domaine racine de la forêt, ce rôle doit être placé avec le Maître de schéma et avec le PDC (recommandé). Si le contrôleur de domaine exécute Windows Server 2000, alors ce serveur devra également être GC. Dans le cas contraire, certaines opérations telles que la création de domaines grand-enfants échoueront. Enfin, si le contrôleur de domaine exécute Windows Server 2003 ou ultérieur, il ne devra en aucun cas être GC. 2.2.3 Impact en cas d incident En cas de non disponibilité de ce rôle, aucun ajout ou suppression de domaine ne sera possible. Toutefois, l impact restera minime même s il est recommandé de disposer d un serveur de secours avec une réplication directe de maître à partenaire. 3. Rôles niveau domaine 3.1 Maître d infrastructure (Infrastructure Master) 3.1.1 Rôle Le Maître d infrastructure a pour rôle de maintenir à jour les références d objet entre les différents domaines. Si un utilisateur d un domaine A est ajouté dans un groupe d un domaine B, il sera responsable de répliquer cette référence sur l ensemble du domaine B. Il agit également comme «traducteur» parmi les identifiants globaux uniques (GUID), les identifiants de sécurité (SIDs) et les «distinguished names» (DNs). Par exemple, si vous listez les utilisateurs d un groupe, vous pourrez parfois apercevoir des utilisateurs apparaissant avec leur SID (et non par leurs noms). Par ailleurs, si la corbeille Active Directory sous 2008 R2 est activée, ce rôle ne sera plus utilisé. Notez qu il ne peut y avoir qu un seul Maître d infrastructure par domaine. 5

Résumé : Mise à jour des références d objets entre les différents domaines Traduction des objets de type GUID, SID et DN en noms 3.1.2 Placement En environnement multi-domaines, ce rôle ne doit pas être installé sur un serveur hébergeant le GC. Toutefois, il existe deux exceptions à cette règle : Forêt mono-domaine : il n existe pas d objets fantôme et de ce fait, ce rôle peut être placé avec un GC Forêt multi-domaine où tous les DC sont GC : il n y aura pas d objets fantômes et ce rôle n aura pas de «travail supplémentaire» à faire Notez qu un objet de connexion direct vers un GC dans la forêt devra être créé (de préférence sur le même site). Note concernant les «Objets fantômes» : Fonctionnellement, le Maître d infrastructure met à jour des références d objets à partir d informations situées sur les GC d autres DC de la forêt. Si ce rôle est placé avec le GC, aucune référence ne sera créée ou actualisée. On parlera alors d objets fantômes. 3.1.3 Impact en cas d incident En cas de non disponibilité de ce rôle, l appartenance et la traduction d objets ne pourront plus être effectuées. Dans une forêt mono-domaine l impact sera quasi-négligeable. 3.2 Maitre RID (RID Master) 3.2.1 Rôle Le Maître RID est chargé d attribuer à chaque objet Active Directory (utilisateur, groupe, ordinateur, ) un identifiant unique de sécurité (SID). Ce dernier est structuré de la façon suivante : Un numéro de révision Un identificateur de sécurité du domaine (domaine SID) Un RID (Relative Identifier) Parallèlement, et afin que différents contrôleurs de domaine n assignent pas le même SID à deux objets différents, une plage RID est allouée à chaque DC. Lorsque cette plage est épuisée, une demande est effectuée auprès du RID afin de la renouveler. Notez qu il ne peut y avoir qu un seul Maître RID par domaine. A titre d information, vous trouverez ici la liste de l ensemble des SID prédéfinis dans Windows. Résumé : Distribution des pools RID aux différents contrôleurs de domaine 6

3.2.2 Placement Le RID doit être placé de préférence avec le PDC. Si la charge sur le serveur le justifie, les rôles PDC et RID pourront être placés sur des DC différents, situés toutefois sur le même domaine et site Active Directory. De plus, ils devront être des partenaires de réplication directe. Pour des questions de performances, il est recommandé ne pas le placer avec un GC. 3.2.3 Impact en cas d incident En cas de non disponibilité de ce rôle, les pools RID ne seront plus alloués au DC. Toutefois, il y a de fortes chances pour que les pools «RID» des DC ne soient pas totalement épuisés, sauf si la création de nombreux utilisateurs et postes est prévue 3.3 Emulateur de contrôleur de domaine principal (PDC Emulator) 3.3.1 Rôles Le rôle fondamental du PDC Emulator est de fournir une rétrocompatibilité avec les serveurs NT4.0 et les clients antérieurs à Windows 2000. Il est également chargé de la réplication des mots de passe et, de ce fait, est directement contacté en cas d échec d authentification afin de s assurer que des erreurs de réplication ne sont pas à l origine du problème. Le PDC agit également en tant que serveur de temps. Sous cet angle, il assure la synchronisation des horloges clientes avec les différents contrôleurs de domaine. Pour cela il utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante pour synchroniser leurs horloges : Ordinateur clients : nomment le DC d authentification comme partenaire de temps entrant Serveur membres : mêmes processus que les ordinateurs clients Contrôleurs de domaine d un domaine : nomment le maître d opérations du DC principal comme partenaire de temps entrant PDC : utilisent la hiérarchie des domaines pour sélectionner leur partenaire de temps via le protocole SNTP Le service de temps est également utilisé dans le cadre de l authentification Kerberos qui nécessite un horodatage des paquets d authentification. Autre point contrôlé par le PDC : les GPO. En effet, la console de gestion des stratégies de groupe «GPMC» utilise le DC hébergeant le rôle PDC comme DC par défaut pour toutes les opérations de création et de modification des GPO. En définitive, il s agit d un rôle crucial ayant un réel impact sur les performances d une infrastructure Active Directory. Résumé : Prise en charge des communications pour les serveurs NT4 et les clients antérieurs à 2000 Réplication des mots de passe utilisateur et ordinateur Gestion des erreurs d authentification et verrouillage des comptes Serveur de temps et synchronisation avec les clients Horodatage des paquets d authentification Kerberos v5 Serveur de gestion par défaut pour les mises à jour des GPO 7

3.3.2 Placement Ce rôle doit être placé de préférence avec le RID. Si la charge sur le serveur le justifie, les rôles PDC et RID pourront être placés sur des DC différents, situés toutefois sur le même domaine et site Active Directory. De plus, ils devront être des partenaires de réplication directe. Etant très sollicité et nécessitant une forte montée en charge, il est recommandé de placer ce rôle sur le site disposant du plus grand nombre d utilisateurs. De par sa criticité, il devra également être placé le plus proche possible des équipes techniques. Enfin, il faut faire en sorte qu il soit le moins sollicité par les clients. Pour cela il convient de réduire sa priorité et son poids dans les enregistrements DNS de type SRV. Cette action aura pour effet de favoriser l authentification sur les autres DC. 3.3.3 Impact en cas d incident Une défaillance de ce rôle peut entrainer : L impossibilité pour les serveurs NT4 et les clients antérieurs à 2000 de s authentifier Un arrêt de la réplication pour les domaines NT4 L impossibilité de verrouiller les comptes utilisateurs Une éventuelle perte de synchronisation entre les DC Des problèmes d authentification Kerberos Des problèmes pour changer/appliquer les GPO Afin d éviter des conflits d édition de GPO, il convient de définir un serveur «privilégié» pour ce type d opérations. Pour cela, modifier la stratégie ci-dessous selon vos besoins (source) : Configuration utilisateur / Modèles d administration / Systèmes /stratégie de groupe / Sélection du contrôleur de domaine de la stratégie de groupe 8

4. Localisation des rôles 4.1 Depuis un console CMD Il existe trois commandes permettant de localiser les rôles installés sur un serveur : NETDOM netdom query /domaine :domaine.com fsmo DCDIAG dcdiag /test:knowsofroleholders /v NTDSUTIL ntdsutil roles connection connect to server [serveur] quit select operation target list roles for connected server 9

4.2 Depuis un console PowerShell Import-Module ActiveDirectory Get-ADForest Get-ADDomain 10

Conclusion Grâce à ce tuto, vous êtes dorénavant capable de concevoir et solidifier une architecture Active Directory tout en vous imprégnant de ses différentes composantes. Vous trouverez ci-dessous un tableau résumant l ensemble des contraintes énumérées précédemment. Pour le comprendre, il faut d abord définir votre version de Windows Server (2000 ou 2003) puis définir votre type d architecture (forêt mono-domaine, forêt multi-domaine à faible charge ou forêt multi-domaine à charge importante). Ensuite choisissez un rôle FSMO situé sur l axe des abscisses et rechercher le rôle avec lequel vous souhaitez le faire «cohabiter». Reportez-vous ensuite à la légende en bas pour les éventuelles indications ou contre-indications. Forêt mono domaine Forêt multidomaine, faible charge Forêt multidomaine, charge importante SM DNM IM RID PDC SM DNM IM RID PDC SM DNM IM RID PDC Windows Server 2000 Windows Server 2003 ou supérieur SM DNM IM RID PDC GC SM DNM IM RID PDC GC Schéma Master SM Non recommandé Domain Naming Master DNM Recommandé Infrastructure Master IM A éviter RID Master RID Sous conditions PDC PDC Calatalogue global GC N hésitez pas m envoyer vos commentaires ou retours à l adresse suivante : m.decrevoisier A-R-0-B-A-5 outlook. com Soyez-en d ores et déjà remercié 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back