====== Rôles FSMO ======
{{tag>systemes:windows:windows_server:active_directory}}
===== Définition des rôles =====
^ Rôle ^ Description ^ Niveau ^
| Maître de schéma | Mise à jour du schéma | Forêt |
| Maître d’attribution de noms de domaine | Ajout/Suppression de domaine Renommage de domaine (à partir de Windows 2003) | Forêt |
| Maître d’infrastructure | Mise à jour et réplication des références d’objet inter-domaines | Domaine |
| Maître RID | Distribution des plages RID | Domaine |
| Emulateur PDC | Prise en charge des communications avec clients/serveurs de type NT (antérieur à 2000) - Réplication des modifications des mots de passe - Gestion des erreurs d’authentification - Serveur de temps par défaut | Domaine |
==== Maître de schéma ====
Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.
==== Maître d’attribution de noms de domaine ====
Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.
==== Maître d’infrastructure ====
Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d'un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l'utilisateur sur le domaine A sera répercutée par le maître d'infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.
==== Maître RID ====
Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur...), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.
==== Emulateur PDC ====
Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.
===== NTDSUTIL =====
L'outil NTDSUTIL permet de gérer un contrôleur de domaine.
==== Liste des rôle ====
Commandes pour lister les rôles FSMO :
roles
connection
connect to server [MONSERVEUR]
quit
select operation target
list roles for connected server
==== Transfert des rôle ====
Commandes pour le transfert des rôles :
roles
connection
connect to server [MONSERVEUR]
quit
transfer PDC
transfer RID master
transfer infrastructure master
transfer naming master
transfer schema master
==== Transfert forcé des rôle ====
Cette procédure est une procédure d'urgence à n'appliquer que si le serveur de domaine principal n'est plus exploitable. L'ancien serveur de domaine ne devra surtout pas être redémarré sur le même réseau.
Commandes pour le transfert des rôles :
roles
connection
connect to server [MONSERVEUR]
quit
seize PDC
seize RID master
seize infrastructure master
seize naming master
seize schema master