configuration de windows server 2008 active directorypetaouchnoc.free.fr/du/du...

Configuration de Windows Server 2008 Active Directory

Module 9 : Gestion des maîtres d'opérations

Vue d'ensemble

Présentation des rôles de maître d'opérationsTransfert et prise de rôles de maîtres

d'opérationsPlanification du placement des maîtres

d'opérations

- 2 - Formation Permanente

Leçon : Présentation des rôles de maître d'opérations

Définition d'un contrôleur de schémaDéfinition d'un maître d'attribution de noms de

domaineDéfinition de l'émulateur PDCDéfinition d'un maître RIDDéfinition d'un maître d'infrastructure


Présentation des rôles de maître d'opérations

Il s'agit de rôles spéciaux attribués à un ou plusieurs contrôleurs de domaine. Ces rôles sont connus sous la dénomination FSMO pour Flexible Single Master Operations


Définition d'un contrôleur de schéma

Le schéma Active Directory contient les définitions des types d'objets qui peuvent être créés et stockés dans Active Directory. Les types d'objet contiennent des attributs spécifiques et des informations qui s'y rapportent.

Toutes ces informations sont stockées au sein d'Active Directory sous forme d'objet. Le contrôleur de schéma intervient dans le cas d'un mise à jour, d'une modification de ces objets. C'est donc le seul contrôleur de domaine apte à modifier le schéma Active Directory. De ce fait, chaque forêt ne possède qu'un seul contrôleur de schéma pour éviter les conflits de mise à jour simultanée du schéma.



Lorsque vous créez un objet dans Active Directory, le contrôleur de domaine sur lequel vous créez l'objet va interroger le schéma pour récupérer la liste des attributs et la classe d'objet correspondant à l'objet que vous souhaitez créer.

Heureusement, le contrôleur de domaine possédant le rôle de contrôleur de schéma n'est pas le seul à disposer du schéma Active Directory.

En effet, les autres contrôleurs de domaine disposent aussi d'une copie du schéma Active Directory dans leur partition de schéma, par contre, cette copie est en lecture seule.



Un contrôleur de schéma rempli 4 fonctions au sein d'une forêt Active Directory :

Il contrôle les mises à jour d'origine apportés au schéma. Il contient la liste des classes d'objets et des attributs

utilisés pour la création d'objet dans Active Directory. Il réplique les mises à jour apportés au schéma sur les

tous autres contrôleur de domaine de la forêt via la partition de schéma.

Il autorise uniquement les administrateurs du schéma à modifier le schéma



Si le contrôleur de schéma n'est pas disponible Nous avons vu que le contrôleur de schéma gérait toute

la partie schéma d'Active Directory. Si celui-ci n'est plus joignable, les modifications sur le schéma ne pourrons être appliquées. Ce qui veut dire que la partition de schéma de chaque contrôleur de domaine de la forêt ne sera plus à jour.

Le schéma stockant les classes d'objets et les attributs, vous ne pourrez pas installer une application devant modifier certains attributs si le contrôleur de schéma est indisponible. C'est le cas de Microsoft Exchange. En effet, lors de l'installation, Microsoft Exchange va rajouter des attributs dans certaines classes, mail par exemple pour la classe user.


Définition d'un maître d'attribution de noms de domaine

Ce maître d'opération, unique dans une forêt, se charge de contrôler l’ajout ou la suppression de domaines dans la forêt.

En effet, lorsque vous ajoutez des contrôleurs de domaine dans une forêt Active Directory, le maître d'attribution des noms de domaine est le seul contrôleur de domaine capable d'ajouter le nouveau domaine.

De part cette fonction, il permet d'éviter l'insertion de domaine ayant le même nom dans la forêt.


Définition d'un maître d'attribution de noms de domaine

Lorsque vous utilisez l'assistant Installation de Active Directory pour créer un domaine enfant, celui-ci va contacter le maître d'attribution de noms de domaine pour demander l'ajout ou la suppression.

Si ce maître d'opération est indisponible, la fonctionnalité d'ajout ou de suppression de domaine dans la forêt ne sera pas disponible.


Définition de l'émulateur PDC

Lors de l'installation d'un nouveau domaine, le premier contrôleur de domaine endosse le rôle d'émulateur PDC(Primary Domain Controller).

Ce rôle est particulièrement important au bon fonctionnement de chaque domaine de la forêt. Attention, il ne peut exister qu'un émulateur PDC au sein d'un domaine.


Définition de l'émulateur PDC

Le maître d'émulateur PDC assure 4 fonctions au sein d'un domaine Active Directory :

Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup Domain Controller).

La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe.

Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine.

Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d'interdire toute possibilité d’écrasement et de conflit


Définition d'un maître RID

Dès qu'un contrôleur de domaine crée une entité de sécurité (un objet tel qu'un utilisateur, un groupe, un ordinateur), il attribut à cet objet un identificateur de sécurité unique, le SID (Security IDentifier). ce SID est composé de deux blocs : un SID de domaine (identique pour tous les objets du domaine), et un identifiant relatif (RID), qui est unique pour chaque SID d'objet créé dans le domaine



C'est le SID qui permet d'identifier les différents utilisateurs et objets, et donc par conséquent de leur appliquer les permissions NTFS, se qui explique que deux utilisateurs peuvent avoir le même nom d'utilisateur sans qu'il y ai de conflits.

Un SID étant unique, il est alors impossible de recréer un compte utilisateur supprimé en le nommant par le même nom que le compte précédant car les permissions NTFS se basent sur le SID et non pas le nom affiché



Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d'allouer des blocs d'identificateurs relatifs à chaque contrôleur de domaine du domaine.

Chaque contrôleur de domaine possède donc un pool de RID unique à attribuer aux nouveau objets créés.

Lorsqu'un contrôleur de domaine à épuisé son pool d'identificateurs relatif, il contacte de maître RID qui lui alloue une nouvelle plage d'identificateurs.

Si le maître RID ne peut être joint, la création d'un objet est impossible sur un contrôleur de domaine dont la réserve d'identificateurs relatifs est épuisée.


Définition d'un maître d'infrastructure

Le maître d'infrastructure est responsable de la mise à jour des références groupe-utilisateur, après un renommage ou un déplacement par exemple d'un membre d'un groupe.


Leçon : Transfert et prise de rôles de maîtres d'opérations

Transfert des rôles de maîtres d'opérations

À quel moment prendre les rôles de maîtres d'opérations


Comment transférer le rôle de contrôleur de schéma ?

Cliquez sur Démarrer, cliquez sur Exécuter, tapez regsvr32 schmmgmt.dll. dans la zone Ouvrir, puis cliquez deux fois sur OK.

Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.

Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

Cliquez sur Ajouter.



Cliquez sur Schéma Active Directory, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur OK.

Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Changer le contrôleur de domaine.

Cliquez sur Spécifier un nom, tapez le nom du contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.



Cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d'opérations...

Cliquez sur Modifier, puis cliquez sur OUI.


Comment transférer le rôle Maître d'attribution de noms de domaine ?

Cliquez sur Démarrer, sélectionnez Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.

Si vous n'êtes pas sur le contrôleur de domaine qui accueillera le rôle Maître d'attribution de noms de domaine, faites un clique droit sur Domaines et approbations Active Directory,



puis cliquez sur Se connecter au contrôleur de domaine, dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle,

puis cliquez sur OK ou dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.



Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d'opérations...

Cliquez sur Modifier


Comment transférer les rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure ?

Cliquez sur Démarrer, sélectionnez Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

Si vous n'êtes pas sur le contrôleur de domaine qui accueillera l'un de ces trois rôle, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine, dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle,



puis cliquez sur OK ou bien dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle , puis cliquez sur OK.



Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tâches, puis cliquez sur Maître d'opérations...

Cliquez sur l'onglet approprié pour le rôle que vous voulez transférer (RID, CDP ou Infrastructure), puis cliquez sur Modifier


Comment transférer les rôles FSMO en ligne de commande à l'aide de l'utilitaire Ntdsutil?

Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis appuyez sur ENTRÉE.

Tapez ntdsutil et appuyez sur ENTRÉE. Tapez roles et appuyez sur ENTRÉE. Tapez connection et appuyez sur ENTRÉE. Tapez connect to server nom_serveur, où

nom_serveur est le nom du contrôleur de domaine où sera assigné ce rôle, puis appuyez sur ENTRÉE.


Comment transférer les rôles FSMO en ligne de commande à l'aide de l'utilitaire Ntdsutil?

Tapez quit et appuyez sur ENTRÉE. Selon le rôle a transférer, tapez transfer

infrastructure master, transfer PDC, transferRID master, transfer domain naming master ou transfer infrastructure master et appuyez sur ENTRÉE.



Ne transférez les rôles qu'en cas de modification majeure de l'infrastructure du domaine

Nouveaumaître d'opérations

Maître d'opérations en fonctionnement

Transférez le rôle à un autre contrôleur de domaine


À quel moment prendre les rôles de maîtres d'opérations

Prenez un rôle uniquement si le transfert est impossibleLa prise de rôle peut entraîner une perte de données

Maître d'opérationsen fonctionnement

Maître d'opérationshors service

Prenez le rôle et réaffectez-le à un autre contrôleur de domaine


Prises de rôles des maîtres d'opération

La prise de rôle des maîtres d'opérations ne doit être faite que si le vous ne pouvez pas les transférer. En effet la prise de rôle est une opération qui ne doit être effectué seulement si l'ancien maître ne sera jamais rallumé ou disponible sur le réseau.



Afin de pouvoir prendre le rôle d'un maître, vous devrez exécuter la commande en étant membre du groupe Admin du domaine ou bien Administrateurs de l'entreprise. Pour des raisons de sécurités, nous vous recommandons de la lancer avec l'option "Exécuter en tant que ...".

Enfin, avant d'exécuter la commande sur le serveur qui prendra le rôle, vous pouvez utiliser la commande repadmin pour vérifier que le nouveau maître a reçu des mises à jour de l'ancien propriétaire du rôle, et ensuite retirez l'ancien maître du réseau.



Les procédures suivantes sont à exécuter sur les nouveaux serveurs auxquels vous voulez donner le rôle

Ouvrez une Invite de commande en tapant cmd dans une boîte de dialogue Exécuter (Touche Windows + R).

Tapez ntdsutil. Dans l'invite de commande ntdsutil, tapez : roles. Dans l'invite de commande fsmo maintenance, tapez :

connections. Dans l'invite de commande server connections, tapez :

connect to server nom_du_server_qui_sera_maitreSCHEMA.



Une fois la commande exécutée, vous serez connecté au serveur vers lequel vous souhaiter donner le rôle. Tapez quit pour retourner à l'invite fsmo maintenance.

Dans l'invite de commande fsmo maintenance, tapez : seize schema master.

Lorsque vous aurez validé la commande, un boite de dialogue vous demandera si vous confirmez la cessation du rôle de maître de schéma au profit du serveur cible. Cliquez sur Oui si vous voulez donner le rôle.


Leçon : Planification du placement des maîtres d'opération

Instructions de placement des maîtres d'opérations Instructions de placement du contrôleur de schéma Instructions de placement du maître d'attribution de

noms de domaine Instructions de placement du maître d'émulateur PDC Instructions de placement du maître RID Instructions de placement du maître d'infrastructure


Instructions de placement du contrôleur de schéma

Le contrôleur de domaine attaché au rôle de contrôleur de schéma doit être hautement disponible, mais ne doit pas nécessairement avoir des capacités élevées


Instructions de placement du maître d'attribution de noms de domaine

Le contrôleur de domaine attaché au rôle de maître d'attribution des noms de domaine doit être hautement disponible, mais ne doit pas nécessairement avoir des capacités élevées


Instructions de placement du maître d'émulateur PDC

Le maître émulateur PDC doit être attaché à un contrôleur de domaine disposant de capacités élevées, offrant une haute disponibilité et centralisé


Instructions de placement du maître RID

Le contrôleur de domaine attaché au rôle de maître RID doit être hautement disponible, mais ne doit pas nécessairement avoir des capacités élevées

Le maître RID doit être placé dans un site qui crée grand nombre d'objets principaux de sécurité

Le maître RID doit être placé de manière centrale si un seul site ne crée pas plusieurs objets principaux de sécurité


Instructions de placement du maître d'infrastructure

Le maître d'infrastructure ne doit pas être un contrôleur de domaine hautement disponible ou avec des capacités élevées, et ne devrait pas héberger le catalogue global


Instructions relatives à la prise de rôles de maîtres d'opérations

Calculez la durée estimée de la panne

Réparez rapidement la défaillance d'un émulateur PDC

Ne prenez le rôle de maître d'infrastructure que si la panne risque d'être longue et que vous devez résoudre le problème


Atelier 9 : Gestion des maîtres d'opérations

Prise de rôles de maîtres d'opérations



configuration de windows server 2008 active directorypetaouchnoc.free.fr/du/du...

Documents