Certaines opérations à l'échelle du domaine et de l'entreprise qui ne sont pas adaptées aux mises à jour multimaîtres sont effectuées par un contrôleur de domaine unique dans un domaine ou une forêt Active Directory. Les contrôleurs de domaine qui sont assignés pour effectuer ces opérations uniques portent le nom de maîtres d'opérations ou de détenteurs de rôles FSMO.
La liste suivante décrit les 5 rôles FSMO uniques dans une forêt Active Directory et les opérations dépendantes qu'ils effectuent :
| • | Contrôleur de schéma - Le rôle de contrôleur de schéma est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour étendre le schéma d'une forêt Active Directory ou pour exécuter la commande adprep /domainprep. |
| • | Maître d'opérations des noms de domaine - Le maître d'opérations des noms de domaine est à l'échelle de la forêt et il y en a un pour chaque forêt. Ce rôle est nécessaire pour ajouter ou supprimer des domaines ou des partitions d'applications dans une forêt. |
| • | Maître RID - Le rôle de maître RID est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour allouer la réserve RID afin que les contrôleurs de domaine nouveaux ou existants puissent créer des comptes d'utilisateurs, des comptes d'ordinateurs ou des groupes de sécurité. |
| • | Émulateur PDC - Le rôle d'émulateur PDC est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire pour le contrôleur de domaine qui envoie des mises à jour de base de données aux contrôleurs de domaine secondaires Windows NT. Le contrôleur de domaine qui détient ce rôle est ciblé également par certains outils d'administration et certaines mises à jour de mots de passe de comptes d'utilisateurs et de comptes d'ordinateurs. |
| • | Maître d'infrastructure - Le rôle de maître d'infrastructure est à l'échelle du domaine et il y en a un pour chaque domaine. Ce rôle est nécessaire aux contrôleurs de domaine pour exécuter la commande adprep /forestprep avec succès et mettre à jour les attributs SID et attributs de noms uniques pour les objets qui sont référencés d'un domaine à un autre. |
L'Assistant Installation d'Active Directory (Dcpromo.exe) assigne tous les 5 rôles FSMO au premier contrôleur de domaine dans le domaine racine de forêt. Les trois rôles à l'échelle du domaine sont assignés au premier contrôleur de domaine dans chaque nouveau domaine enfant ou domaine d'arborescence. Les contrôleurs de domaine continuent de détenir des rôles FSMO jusqu'à ce qu'ils soient réassignés par le biais d'une des méthodes suivantes :
| • | Un administrateur réassigne le rôle à l'aide d'un outil d'administration à interface graphique. |
| • | Un administrateur réassigne le rôle à l'aide de la commande ntdsutil /roles. |
| • | Un administrateur rétrograde gracieusement un contrôleur de domaine détenteur de rôle par le biais de l'Assistant Installation d'Active Directory. Cet Assistant réassigne tout rôle détenu localement à un contrôleur de domaine existant dans la forêt. Les rétrogradations effectuées à l'aide de la commande dcpromo /forceremoval laissent les rôles FSMO dans un état non valide jusqu'à ce qu'ils soient réassignés par un administrateur. |
Nous recommandons de transférer des rôles FSMO dans les scénarios suivants :
| • | Le détenteur de rôle actuel est opérationnel et accessible sur le réseau par le nouveau propriétaire FSMO. |
| • | Vous rétrogradez gracieusement un contrôleur de domaine qui détient actuellement des rôles FSMO que vous souhaitez assigner à un contrôleur de domaine spécifique dans votre forêt Active Directory. |
| • | Le contrôleur de domaine qui détient actuellement des rôles FSMO est placé hors connexion pour des opérations de maintenance planifiées et certains rôles FSMO spécifiques doivent être assignés à un contrôleur de domaine « live ». Cela peut être requis pour effectuer des opérations qui assurent une connexion au propriétaire FSMO. Cela serait particulièrement vrai pour le rôle d'émulateur PDC, mais moins vrai pour le rôle de maître RID, le rôle de maître d'opérations des noms de domaine et le rôle de contrôleur de schéma. |
Nous recommandons de prendre des rôles FSMO dans les scénarios suivants :
| • | Le détenteur de rôle actuel rencontre une erreur opérationnelle qui empêche une opération FSMO de se terminer avec succès et ce rôle ne peut pas être transféré. |
| • | Un contrôleur de domaine qui possède un rôle FSMO est rétrogradé de force à l'aide de la commande dcpromo /forceremoval. |
| • | Le système d'exploitation de l'ordinateur qui détenait à l'origine un rôle spécifique n'existe plus ou a été réinstallé. |
Lors de la réplication, les contrôleurs de domaine non-FSMO du domaine ou de la forêt sont informés de toutes les modifications apportées par les contrôleurs de domaine détenteurs de rôles FSMO. Si vous devez transférer un rôle, le meilleur candidat est un contrôleur de domaine qui se trouve dans le domaine approprié qui a effectué la dernière réplication entrante (ou récemment effectué une réplication entrante) d'une copie accessible en écriture de la « partition FSMO » à partir du détenteur de rôle existant. Par exemple, le détenteur du rôle de contrôleur de schéma a comme chemin de nom unique CN=schema,CN=configuration,dc=<domaine_racine_forêt>, ce qui signifie que des rôles sont répliqués dans le cadre de la partition CN=schema et résident dans celle-ci. Si le contrôleur de domaine qui détient le rôle de contrôleur de schéma rencontre une panne matérielle ou logicielle, un bon candidat pour le rôle serait un contrôleur de domaine du domaine racine situé dans le même site Active Directory que le propriétaire actuel. Les contrôleurs de domaine situés dans le même site Active Directory effectuent la réplication entrante toutes les 5 minutes ou 15 secondes.
La partition de chaque rôle FSMO est répertoriée dans la liste suivante :
| Rôle FSMO | Partition |
| Schéma | CN=Schema,CN=configuration,DC=<domaine_racine_forêt> |
| maître d'opérations des noms de domaine | CN=configuration,DC=<domaine_racine_forêt> |
| Émulateur PDC | DC=<domaine> |
| RID | DC=<domaine> |
| Infrastructure | DC=<domaine> |
Un contrôleur de domaine dont les rôles FSMO ont été pris ne doit pas être autorisé à communiquer avec les contrôleurs de domaine existants dans la forêt. Dans ce scénario, vous devez soit formater le disque dur et réinstaller le système d'exploitation sur ces contrôleurs de domaine, soit forcer leur rétrogradation sur un réseau privé puis supprimer leurs métadonnées sur un contrôleur de domaine survivant dans la forêt par le biais de la commande ntdsutil /metadata cleanup. Le risque posé par l'introduction dans la forêt d'un ancien détenteur de rôle FSMO dont le rôle a été pris est que le détenteur de rôle d'origine peut continuer à fonctionner comme auparavant jusqu'à ce qu'il soit informé de la prise de rôle grâce à la réplication entrante. La possession de rôles FSMO identiques par deux contrôleurs de domaine présente des risques connus, tels que la création d'entités de sécurité ayant des réserves RID à chevauchement.
Transfert de rôles FSMO
Pour transférer les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit :
| 1. | Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont transférés. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés. |
| 2. | Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. |
| 3. | Tapez roles, puis appuyez sur ENTRÉE. |
| 4. | Tapez connections et appuyez sur ENTRÉE. |
| 5. | Tapez connect to server nom_serveur, puis appuyez sur ENTRÉE, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO. |
| 6. | À l'invite server connections, tapez q, puis appuyez sur ENTRÉE. |
| 7. | Tapez transfer rôle, où rôle est le rôle à transférer. Pour afficher une liste des rôles que vous pouvez transférer, tapez ? à l'invite fsmo maintenance, puis appuyez sur ENTRÉE, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour transférer le rôle de maître RID, tapez transfer rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est transfer pdc, et non transfer pdc emulator. |
| 8. | À l'invite fsmo maintenance, tapez q, puis appuyez sur ENTRÉE pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur ENTRÉE pour quitter Ntdsutil. |
Prise de rôles FSMO
Pour prendre les rôles FSMO à l'aide de l'utilitaire Ntdsutil, procédez comme suit :
| 1. | Ouvrez une session sur un ordinateur membre Windows 2000 Server ou Windows Server 2003 ou sur un contrôleur de domaine situé dans la forêt où les rôles FSMO sont pris. Nous vous conseillons de vous connecter au contrôleur de domaine auquel vous assignez des rôles FSMO. L'utilisateur connecté doit être membre du groupe Administrateurs d'entreprise pour pouvoir transférer des rôles de contrôleur de schéma ou de maître d'opérations des noms de domaine, ou membre du groupe Administrateurs de domaine du domaine où les rôles d'émulateur PDC, de maître RID et de maître d'infrastructure sont transférés. | ||||||||||
| 2. | Cliquez sur Démarrer, sur Exécuter, tapez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. | ||||||||||
| 3. | Tapez roles, puis appuyez sur ENTRÉE. | ||||||||||
| 4. | Tapez connections et appuyez sur ENTRÉE. | ||||||||||
| 5. | Tapez connect to server nom_serveur, puis appuyez sur ENTRÉE, où nom_serveur est le nom du contrôleur de domaine auquel vous souhaitez assigner le rôle FSMO. | ||||||||||
| 6. | À l'invite server connections, tapez q, puis appuyez sur ENTRÉE. | ||||||||||
| 7. | Tapez seize rôle, où rôle est le rôle à prendre. Pour afficher une liste des rôles que vous pouvez prendre, tapez ? à l'invite fsmo maintenance, puis appuyez sur ENTRÉE, ou consultez la liste des rôles fournie au début de cet article. Par exemple, pour prendre le rôle de maître RID, tapez seize rid master. L'unique exception concerne le rôle d'émulateur PDC, dont la syntaxe est seize pdc, et non seize pdc emulator. | ||||||||||
| 8. | À l'invite fsmo maintenance, tapez q, puis appuyez sur ENTRÉE pour accéder à l'invite ntdsutil. Tapez q, puis appuyez sur ENTRÉE pour quitter Ntdsutil.
|
Pour vérifier si un contrôleur de domaine est également un serveur catalogue global, procédez comme suit :
| 1. | Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Sites et services Active Directory. |
| 2. | Double-cliquez sur Sites dans le volet gauche, puis recherchez le site approprié ou cliquez sur premier_site_par_défaut si aucun autre site n'est disponible. |
| 3. | Ouvrez le dossier Servers, puis cliquez sur le contrôleur de domaine. |
| 4. | Dans le dossier du contrôleur de domaine, double-cliquez sur NTDS Settings. |
| 5. | Dans le menu Action, cliquez sur Propriétés. |
| 6. | Sous l'onglet Général, vérifiez si la case à cocher Catalogue global est activée. |
Pour plus d'informations sur les rôles FSMO, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
197132 (http://support.microsoft.com/kb/197132/) Rôles FSMO de Windows 2000 Active Directory
223787 (http://support.microsoft.com/kb/223787/) Processus de transfert et de prise de rôles FSMO (Flexible Single Master Operation)
Il faut utiliser l’utilitaire en ligne de commande NTDSUTIL.
Cette procédure permet de forcer un contrôleur de domaine afin qui prenne le rôle FSMO souhaité. L’ancien contrôleur est donc hors ligne.
La procédure à suivre est la suivante:
Cliquez sur Démarrer, puis Exécuter...
Tapez cmd, puis NTDSUTIL
Ensuite tapez "roles", puis "connections".
Il est maintenant nécessaire de vous connecter sur le nouveau DC à l'aide de la commande "connect to server %nom-du-nouveau-dc%" .
Une fois la connection effectuée, tapez "quit"
La fonction seize permet de prendre le contrôle d’un rôle :
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
Une fois les transferts effectués, tapez quit jusqu'à retourner a l’invite de commande.
Note : La fonction transfert permet de transférer proprement un rôle.
Aucun commentaire:
Enregistrer un commentaire