Windows Server 2012 R2 : Les rôles FSMO
Dans cet article, je vais vous présenter les rôles FSMO (Flexible Single Master Operations) utilisés par les administrateurs systèmes afin d'effectuer diverses opérations sur le réseau.
Cet article liste et résume les principaux rôles FSMO ainsi que leurs fonctionnalités au sein de l'environnement de travail.
Il est nécessaire de connaître quelques notions d'Active Directory et DNS afin de pouvoir comprendre intégralement et sans difficulté cette présentation.
I. Description
La question que l'on va se poser est la suivante : en quoi les rôles FSMO sont-ils importants pour les administrateurs systèmes ?
Afin de répondre à cette problématique, nous allons donc voir les différentes interactions entre ces rôles de maitre d'opérations de l'Active Directory.
Avant de commencer, il faut savoir que ces derniers sont utilisés pour par exemple des tâches de migration de serveurs : une entreprise dispose d'une multitude de serveurs fonctionnant sous Windows Server 2008 et Windows Server 2008 R2 et souhaite migrer vers des serveurs sous Windows 2012 ou 2012 R2 suivant certains besoins.
1. Les maîtres d’opérations
Active Directory utilise une réplication de type MultiMaster avec l’ensemble des contrôleurs de domaine.
Cependant, certaines opérations spécifiques ne peuvent pas s’effectuer avec cette méthode.
C'est la raison pour laquelle la notion de « Maître d’opération » constituée de ces cinq rôles a été instaurée.
Ces derniers peuvent être attribués sur différents contrôleurs de domaine dans une forêt ou un domaine.
Il en existe deux types :
- Les rôles situés à la racine de la forêt :
- Maître de schéma (SM)
- Maître d’attribution de noms de domaines (DNM)
- Les rôles situés à la racine de chaque domaine :
- Maître d’infrastructure (IM)
- Maître des ID relatifs (RID)
- Emulateur du contrôleur principal de domaine (PDC)
Ci-dessous, un petit exemple d'architecture
On retrouve bien nos rôles bien implémentés dans la forêt et dans les différents domaines de l'organisation.
II. Rôle « Maître d’attribution des noms de domaine »
Le maître d’opération qui détient ce rôle est unique au sein de la forêt, et il est le seul autorisé à distribuer des noms de domaine aux contrôleurs de domaine, lors de la création d’un nouveau domaine.
De ce fait, il est notamment utilisé lors de la création d’un nouveau domaine. Le contrôleur de domaine à l’initiative de la création doit impérativement être en mesure de contacter le contrôleur de domaine disposant du rôle FSMO « Maître d’attribution des noms de domaine » sinon la procédure échouera.
Enfin, je tiens à préciser qu’il a également pour mission de renommer les noms de domaine.
En résumé, il est unique au sein d’une forêt et attribue les noms de domaine.
III. Rôle « Contrôleur de schéma »
Pour rappel, le schéma désigne la structure de l’annuaire Active Directory, le schéma est donc un élément critique au sein de l’environnement Active Directory. Cela implique l’unicité au sein de la forêt de ce maître d’opération, qui sera le seul – contrôleur de domaine – à pouvoir initier des changements au niveau de la structure de l’annuaire (schéma). En fait, comme le schéma est unique, son gestionnaire est unique également.
En résumé, il est unique au sein d’une forêt et gère la structure du schéma.
IV. Rôle « Maître RID »
Comme vous le savez déjà, les objets créés au sein de l’annuaire Active Directory dispose de plusieurs identifiants uniques. Parmi eux, il y a notamment le GUID et le DistinguishedName mais aussi l’identifiant de sécurité « SID », c’est ce dernier qui nous intéresse dans le cadre du maître RID.
- Pourquoi RID ?
Le RID est un identifiant relatif qui est unique au sein de chaque SID, afin d’être sûr d’avoir un SID unique pour chaque objet de l’annuaire. Le SID étant constitué d’une partie commune qui correspond au domaine, le RID est essentiel pour rendre unique chaque SID. C’est là que le maître RID intervient...
Unique au sein d’un domaine, ce maître d’opération devra allouer des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Ainsi, chaque contrôleur de domaine aura un bloc (pool) de RID unique qu’il pourra attribuer aux futurs objets créés dans l’annuaire.
Bien sûr, tous les contrôleurs de domaine ne vont pas épuiser le pool de RID au même rythme… Un contrôleur de domaine qui atteindra un certain niveau d’épuisement de son stock de RID disponible contactera le Maître RID pour en obtenir des nouveaux. Cela implique que la création d’un objet est impossible si le Maître RID du domaine n’est pas disponible.
En résumé, il est unique au sein d’un domaine et attribue des blocs de RID aux contrôleurs de domaine pour assurer que les SID des objets soient unique.
V. Rôle « Maître d’infrastructure »
Unique au sein d’un domaine, le contrôleur de domaine qui dispose du rôle de Maître d’infrastructure a pour objectif de gérer les références entre plusieurs objets.
Prenons un exemple pour mieux comprendre ce que cela signifie. Imaginons qu’un utilisateur d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette référence et devra s’assurer de la réplication de cette information sur tous les contrôleurs de domaine du domaine.
Ces références d’objets sont également appelées « objets fantômes » et permettent au contrôleur de domaine de faciliter les liens entre les différents objets. Un objet fantôme contiendra peu d’information au sujet de l’objet auquel il fait référence (DN, SID et GUID). Dans le cas de l’exemple ci-dessus, un objet fantôme sera créé sur le domaine B afin de faire référence à l’utilisateur du domaine A.
De ce fait, si l’objet est modifié ou supprimé à l’avenir, le Maître d’infrastructure devra se charger de déclencher la mise à jour de l’objet fantôme auprès des autres contrôleurs de domaine. En quelque sorte, il accélère les processus de réplication et la communication entre les contrôleurs de domaine.
En résumé, il est unique au sein d’un domaine et doit gérer les références d’objets au sein du domaine.
VI. Rôle « Émulateur PDC »
L’émulateur PDC (Primary Domain Controller) est unique au sein d’un domaine et se doit d’assurer cinq missions principales :
- Modification des stratégies de groupe du domaine (éviter les conflits et les écrasements)
- Synchroniser les horloges sur tous les contrôleurs de domaine (heure et date)
- Gérer le verrouillage des comptes
- Changer les mots de passe
- Assure la compatibilité avec les contrôleurs de domaine Windows NT
En résumé, il est unique au sein d’un domaine et assure diverses missions liées à la sécurité et par défaut il joue le rôle de serveur de temps pour l’ensemble du domaine.
VII. La gestion des maîtres d’opération
Par défaut, le premier contrôleur de domaine du domaine détient les cinq rôles FSMO, par faute de choix. Cependant, il est possible de transférer les rôles si vous souhaitez les répartir entre plusieurs contrôleurs de domaine, il y a une véritable flexibilité à ce niveau-là.
Pour transférer un rôle d’un contrôleur de domaine vers un autre, on pourra utiliser l’interface graphique de Windows ou encore l’utilitaire « ntdsutil ».