Rôles FSMO Active Directory dans Windows

  • Article

Cet article vous permet principalement de découvrir les rôles d’opérations à maître unique flottant (FSMO, Flexible Single Master Operation) dans Active Directory.

Produits concernés : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 et Windows Server 2022
Numéro de l’article d’origine dans la base de connaissances : 197132

Résumé

Active Directory est le référentiel central qui stocke tous les objets d’une entreprise et leurs attributs respectifs. Il s’agit d’une base de données hiérarchique multimaître qui peut stocker des millions d’objets. Les modifications apportées à la base de données peuvent être traitées sur n’importe quel contrôleur de domaine (DC) de l’entreprise, qu’il soit connecté ou déconnecté du réseau.

Modèle multimaître

Une base de données multimaître, telle qu’Active Directory, offre la possibilité d’autoriser les modifications sur n’importe quel contrôleur de domaine de l’entreprise. Elle introduit toutefois aussi la possibilité de conflits qui peuvent potentiellement entraîner des problèmes une fois que les données sont répliquées dans le reste de l’entreprise. Pour gérer les mises à jour conflictuelles, Windows dispose notamment d’un algorithme de résolution des conflits qui gère les écarts dans les valeurs. Pour ce faire, il effectue une résolution sur le contrôleur de domaine dans lequel les modifications ont été écrites en dernier. Il s’agit du principe « last writer wins » (dernière version valide). Les modifications apportées à tous les autres contrôleurs de domaine sont ignorées. Bien que cette méthode soit acceptable dans certains cas, il peut arriver que la résolution des conflits soit trop difficile à l’aide de l’approche « last writer wins ». Dans ce cas, il est préférable d’empêcher le conflit de se produire plutôt que d’essayer de le résoudre après sa survenance.

Pour certains types de modifications, Windows intègre des méthodes pour éviter que des mises à jour Active Directory conflictuelles ne se produisent.

Modèle à maître unique

Pour empêcher les mises à jour conflictuelles dans Windows, Active Directory effectue des mises à jour de certains objets selon le modèle à maître unique. Dans ce modèle, un seul contrôleur de domaine de l’annuaire est autorisé à traiter les mises à jour. Il est similaire au rôle attribué à un contrôleur de domaine principal (PDC) dans les versions antérieures de Windows, comme Microsoft Windows NT 3.51 et 4.0. Dans les versions antérieures de Windows, le contrôleur de domaine principal est chargé de traiter toutes les mises à jour dans un domaine donné.

Active Directory étend le modèle à maître unique qui figure dans les versions antérieures de Windows pour inclure plusieurs rôles et la possibilité de transférer des rôles vers n’importe quel contrôleur de domaine de l’entreprise. Étant donné qu’un rôle Active Directory n’est pas lié à un seul contrôleur de domaine, il est appelé « rôle FSMO ». Actuellement, il existe cinq rôles FSMO dans Windows :

  • Contrôleur de schéma
  • Maître d’opérations des noms de domaine
  • Maître RID
  • Émulateur PDC
  • Maître d’infrastructure

En règle générale, une appartenance de rôle FSMO est exécutée uniquement quand le contrôleur de domaine a répliqué le contexte d’appellation (NC) où l’appartenance est stockée depuis le démarrage du service d’annuaire. Assurez-vous qu’une prise de rôle FSMO atteint le détenteur précédent avant l’utilisation du rôle.

Rôle FSMO Contrôleur de schéma

Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’exécuter les mises à jour du schéma d’annuaire, c’est-à-dire le contexte d’appellation du schéma ou LDAP://cn=schema,cn=configuration,dc=<domain>. Ce contrôleur de domaine est le seul qui peut traiter les mises à jour du schéma d’annuaire. Une fois la mise à jour du schéma terminée, il est répliqué du contrôleur de schéma vers tous les autres contrôleurs de domaine de l’annuaire. Il n’existe qu’un seul contrôleur de schéma par forêt.

Exigences de réplication initiale et de connectivité

  • Le détenteur de ce rôle FSMO n’est actif que quand le détenteur du rôle a effectué une réplication entrante correcte du contexte d’appellation du schéma depuis le démarrage du service d’annuaire.
  • Les contrôleurs de domaine et les membres de la forêt contactent uniquement le rôle FSMO quand ils mettent à jour le schéma.

Rôle FSMO Maître d’opérations des noms de domaine

Le détenteur du rôle FSMO Maître d’opérations des noms de domaine est le contrôleur de domaine chargé d’apporter les modifications à l’espace de noms de domaine à l’échelle de la forêt de l’annuaire, c’est-à-dire le contexte d’appellation des partitions\configuration ou LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Ce contrôleur de domaine est le seul qui peut ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou supprimer des références croisées à des domaines dans des annuaires externes.

Exigences de réplication initiale et de connectivité

  • Le détenteur de ce rôle FSMO n’est actif que quand le détenteur du rôle a effectué une réplication entrante correcte du contexte d’appellation de la configuration depuis le démarrage du service d’annuaire.

  • Les membres de domaine de la forêt contactent uniquement le détenteur du rôle FSMO quand ils mettent à jour les références croisées. Les contrôleurs de domaine contactent le détenteur du rôle FSMO dans les cas suivants :

    • Des domaines sont ajoutés ou supprimés dans la forêt.
    • De nouvelles instances de partitions d’annuaire d’application sur des contrôleurs de domaine sont ajoutées. Par exemple, un serveur DNS a été inscrit pour les partitions d’annuaire d’application DNS par défaut.

Rôle FSMO Maître RID

Le détenteur du rôle FSMO Maître RID est le contrôleur de domaine unique chargé de traiter les demandes du pool RID provenant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le placer dans un autre domaine lors d’un déplacement d’objet.

Quand un contrôleur de domaine crée un objet principal de sécurité, tel qu’un utilisateur ou un groupe, il attache un ID de sécurité (SID) unique à l’objet. Ce SID se compose des éléments suivants :

  • Un SID de domaine identique pour tous les SID créés dans un domaine.
  • Un ID relatif (RID) unique pour chaque SID de principal de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows d’un domaine est alloué à un pool de RID qu’il est autorisé à affecter aux principaux de sécurité qu’il crée. Quand le pool RID alloué d’un contrôleur de domaine passe sous un seuil donné, il émet une demande de RID supplémentaires au maître RID du domaine. Le maître RID du domaine répond à la demande en récupérant les RID du pool RID non alloué du domaine et les affecte au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine dans un annuaire.

Exigences de réplication initiale et de connectivité

  • Le détenteur de ce rôle FSMO n’est actif que quand le détenteur du rôle a effectué une réplication entrante correcte du contexte d’appellation du domaine depuis le démarrage du service d’annuaire.
  • Les contrôleurs de domaine contactent le détenteur du rôle FSMO quand ils récupèrent un nouveau pool RID. Le nouveau pool RID est remis aux contrôleurs de domaine via la réplication AD.

Rôle FSMO Émulateur PDC

L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows inclut le service de temps W32Time (Temps Windows) requis par le protocole d’authentification Kerberos. Tous les ordinateurs Windows d’une entreprise utilisent une heure commune. Le service de temps vise à garantir que le service Temps Windows utilise une relation hiérarchique qui contrôle l’autorité. Il n’autorise pas les boucles pour garantir une utilisation appropriée d’une heure commune.

L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC à la racine de la forêt fait autorité pour l’entreprise et doit être configuré pour collecter l’heure à partir d’une source externe. Tous les détenteurs du rôle FSMO PDC respectent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :

  • Les changements de mot de passe effectués par d’autres contrôleurs de domaine dans le domaine sont répliqués de manière préférentielle vers l’émulateur PDC.
  • Quand un échec d’authentification se produit sur un contrôleur de domaine donné en raison d’un mot de passe incorrect, cet échec est transféré à l’émulateur PDC avant qu’un message d’échec de mot de passe incorrect soit signalé à l’utilisateur.
  • Le verrouillage de compte est traité sur l’émulateur PDC.
  • L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine principal Windows NT 4.0 Server ou version antérieure effectue pour les clients Windows NT 4.0 ou version antérieure.

Cette partie du rôle Émulateur PDC est inutile dans la situation suivante :
Toutes les stations de travail, tous les serveurs membres et tous les contrôleurs de domaine qui exécutent Windows NT 4.0 ou version antérieure sont mis à niveau vers Windows 2000.

L’émulateur PDC effectue toujours les autres fonctions décrites dans un environnement Windows 2000.

Les informations ci-dessous décrivent les modifications qui se produisent pendant le processus de mise à niveau :

  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client des services distribués n’effectuent pas d’écritures d’annuaire (telles que les changements de mot de passe) préférentiellement sur le contrôleur de domaine qui s’est annoncé comme PDC. Ils utilisent n’importe quel contrôleur de domaine pour le domaine.
  • Une fois que les contrôleurs de domaine secondaires (BDC) dans les domaines de bas niveau sont mis à niveau vers Windows 2000, l’émulateur PDC ne reçoit aucune demande de réplica de bas niveau.
  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client des services distribués utilisent Active Directory pour localiser les ressources réseau. Ils ne nécessitent pas le service Explorateur Windows NT.

Exigences de réplication initiale et de connectivité

  • Le détenteur de ce rôle FSMO est toujours actif quand l’émulateur PDC constate que l’attribut fSMORoleOwner de l’en-tête du contexte d’appellation du domaine pointe vers lui-même. Il n’existe aucune exigence de réplication entrante.

  • Les contrôleurs de domaine contactent le détenteur du rôle FSMO quand ils ont un nouveau mot de passe ou que la vérification du mot de passe local échoue. Aucune erreur ne se produit quand l’émulateur PDC n’est pas accessible ou que la valeur du Registre AvoidPdcOnWan est définie sur 1.

  • Vous pouvez utiliser l’applet de commande suivante pour exécuter les conditions préalables à la rétrogradation d’un contrôleur de domaine.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Voici un exemple de sortie quand l’émulateur PDC n’est pas accessible.

    Message : échec de la vérification des conditions préalables pour la promotion du contrôleur de domaine. Vous avez indiqué que ce contrôleur de domaine Active Directory n’est pas le dernier du domaine « contoso.com ». Toutefois, aucun autre contrôleur de domaine de ce domaine ne peut être contacté. Si vous continuez, toutes les modifications apportées à ce contrôleur de domaine par les services de domaine Active Directory seront perdues. Pour poursuivre néanmoins, indiquez l’option « IgnoreLastDCInDomainMismatch ».
    Contexte : Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired : False
    État : Erreur

Rôle FSMO Maître d’infrastructure

Quand un objet d’un domaine est référencé par un autre objet d’un autre domaine, il représente la référence par les éléments suivants :

  • le GUID ;
  • le SID (pour les références aux principaux de sécurité) ;
  • le DN de l’objet référencé.

Le détenteur du rôle FSMO Maître d’infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet inter-domaines.

Remarque

Le rôle Maître d’infrastructure (IM) doit être détenu par un contrôleur de domaine qui n’est pas un serveur de catalogue global (GC). Si le maître d’infrastructure est exécuté sur un serveur de catalogue global, il arrête la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogue global comprend un réplica partiel de chaque objet de la forêt. Par conséquent, les références d’objets inter-domaines dans ce domaine ne sont pas mises à jour et un avertissement correspondant est consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d’un domaine hébergent également le catalogue global, ils disposent tous des données actuelles, peu importe le contrôleur de domaine qui détient le rôle Maître d’infrastructure.

Quand la fonctionnalité facultative Corbeille est activée, chaque contrôleur de domaine est chargé de mettre à jour ses références d’objets inter-domaines quand l’objet référencé est déplacé, renommé ou supprimé. Dans ce cas, aucune tâche n’est associée au rôle FSMO Maître d’infrastructure, peu importe le contrôleur de domaine qui détient le rôle Maître d’infrastructure. Pour plus d’informations, consultez l’article 6.1.5.5 Infrastructure FSMO Role (en anglais uniquement).

Exigences de réplication initiale et de connectivité

  • Le détenteur de ce rôle FSMO n’est actif que quand le détenteur du rôle a effectué une réplication entrante correcte du contexte d’appellation du domaine depuis le démarrage du service d’annuaire.
  • Il n’existe aucune exigence de connectivité pour le détenteur de ce rôle FSMO. Il s’agit d’une fonctionnalité de nettoyage interne de la forêt.