Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Contrôleurs de domaine qui contiennent des rôles de maître d’opérations, également appelés rôles FSMO (Flexible Single Master Operations), pour maintenir le bon fonctionnement du répertoire en effectuant un ensemble unique de tâches de gestion de domaine et de forêt. Les rôles FSMO empêchent les conflits dans le répertoire en s’assurant que certaines mises à jour sont traitées par un seul contrôleur de domaine à la fois. Cet article explique les cinq rôles FSMO et fournit des instructions pour les placer efficacement.
Rôles de maître d’opérations
Trois rôles de maître d’opérations existent dans chaque domaine :
Émulateur de contrôleur de domaine principal
Maître RID
Maître d'infrastructure
Deux rôles maître d’opérations sont présents au niveau de la forêt :
Master de schéma
Master d’affectation de noms de domaine
Émulateur de contrôleur de domaine principal
L’émulateur de contrôleur de domaine principal (PDC) reçoit la réplication privilégiée des modifications de mot de passe qui se produisent via d’autres contrôleurs de domaine dans le domaine. L’émulateur de contrôleur de domaine principal est la source des dernières informations de mot de passe chaque fois qu’une tentative de connexion échoue en raison d’un mot de passe incorrect. Il traite également les verrouillages de compte. Il s’agit d’un point d’administration préféré pour les services (par exemple, la stratégie de groupe et le système de fichiers distribués, DFS). Pour cette raison, de tous les rôles de maître des opérations, le rôle principal des opérations de l’émulateur PDC a le plus d’impact sur les performances du contrôleur de domaine qui héberge ce rôle. L’émulateur de contrôleur de domaine principal dans le domaine racine de la forêt est la source de temps du service de temps Windows faisant autorité pourW32time la forêt.
Maître RID
Le maître d’ID relatif (RID) alloue des pools RID à tous les contrôleurs de domaine pour vous assurer que de nouveaux principaux de sécurité peuvent être créés avec un identificateur unique. Le pool RID (Relative Identifier) est utilisé pour affecter des IDENTIFICATEURs de sécurité uniques (SID) à des objets au sein d’un domaine. Chaque contrôleur de domaine d’un domaine Active Directory est alloué à un pool de RID à partir duquel il peut dessiner pour créer des SID uniques pour les nouveaux principaux de sécurité (tels que les utilisateurs, les groupes et les ordinateurs). Lorsqu’un contrôleur de domaine a besoin d’un plus grand nombre de SID, il demande un bloc de RID à partir du maître RID.
Maître d'infrastructure
Le maître de l’infrastructure gère les références d’objets de son domaine aux objets d’autres domaines. Il met également à jour les références de groupe à utilisateur lorsque les membres des groupes sont renommés ou modifiés. Le maître d’infrastructure représente les références par GUID, SID ou DN de l’objet référencé.
Master de schéma
Le masque de schéma régit toutes les modifications apportées au contexte d’affectation de noms de schéma ou LDAP://cn=schema,cn=configuration,dc=<domain>. Le schéma Active Directory définit la structure et les règles des données du répertoire. Le schéma détermine quels types d’objets peuvent exister dans le répertoire, les attributs que ces objets peuvent avoir et les relations entre différents types d’objets. Par exemple, tels que les utilisateurs, les ordinateurs et les groupes. Il n’existe qu’un seul maître de schéma dans une forêt AD DS.
Master d’affectation de noms de domaine
Le maître d’affectation de noms de domaine ajoute et supprime les partitions d’annuaire de domaine et les partitions d’annuaire d’applications à et à partir de la forêt. Il est responsable du contexte de nommage de la configuration des partitions ou LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Ce rôle FSMO est chargé de garantir l’unicité des noms de domaine au sein d’une forêt et d’autoriser les modifications apportées à la structure de l’espace de noms de forêt. Il peut également ajouter ou supprimer des références croisées à des domaines dans des annuaires externes.
Recommandations en matière de placement de rôle
Vous pouvez affecter les rôles maître d’opérations au niveau de la forêt et au niveau du domaine à n’importe quel contrôleur de domaine dans la forêt et le domaine. Toutefois, le placement prudent de vos maîtres d’opérations devient plus important lorsque vous ajoutez d’autres domaines et sites à votre forêt. Pour effectuer leurs opérations respectives, les contrôleurs de domaine qui hébergent les rôles maîtres des opérations doivent être disponibles de manière cohérente. Les maîtres d’opération doivent se trouver dans les zones où la fiabilité du réseau est élevée.
Les instructions suivantes permettent de réduire la surcharge administrative et de garantir les performances appropriées de services de domaine Active Directory (AD DS). Les instructions simplifient le processus de récupération si un contrôleur de domaine qui héberge un rôle maître d’opérations échoue.
Instructions pour le placement de rôle principal des opérations :
Configurez un autre contrôleur de domaine en tant que maître d’opérations de secours pour les rôles au niveau de la forêt.
Configurez un autre contrôleur de domaine en tant que maître d’opérations de secours pour les rôles au niveau du domaine.
Placez des rôles au niveau du domaine sur un contrôleur de domaine hautes performances.
Laissez les rôles au niveau de la forêt sur un contrôleur de domaine dans le domaine racine de forêt.
Dans votre domaine racine de forêt, transférez les trois rôles au niveau du domaine vers un autre contrôleur de domaine qui a un niveau de performance élevé.
Dans tous les autres domaines, laissez les rôles au niveau du domaine sur le premier contrôleur de domaine.
Ajustez la charge de travail de l’émulateur PDC, si nécessaire.
Le rôle d’émulateur de contrôleur de domaine principal nécessite un contrôleur de domaine puissant et fiable pour s’assurer que le contrôleur de domaine est disponible et capable de gérer la charge de travail. De tous les rôles principaux d’opérations, le rôle d’émulateur de contrôleur de domaine principal crée la surcharge la plus élevée sur le serveur qui héberge le rôle. Il a l’interaction quotidienne la plus intensive avec d’autres systèmes sur le réseau. L’émulateur de contrôleur de domaine principal a le plus grand potentiel d’affecter les opérations quotidiennes du répertoire.
Le placement incorrect du rôle maître d’infrastructure peut entraîner l’exécution incorrecte du maître d’infrastructure. Si tous les contrôleurs de domaine d’un domaine hébergent également le catalogue global, tous les contrôleurs de domaine ont les données actuelles. Lorsque le maître d’infrastructure s’exécute sur un serveur de catalogue global, il cesse de mettre à jour les informations d’objet, car il ne contient aucune référence aux objets qu’il ne contient pas. Par conséquent, les références d’objets inter-domaines dans ce domaine ne sont pas mises à jour et un avertissement à cet effet est consigné dans le journal des événements de ce contrôleur de domaine. Lorsque la fonctionnalité facultative de corbeille est activée, chaque contrôleur de domaine est chargé de mettre à jour ses références d’objet inter-domaines lorsque l’objet référencé est déplacé, renommé ou supprimé. Dans ce cas, aucune tâche n’est associée au rôle FSMO Maître d’infrastructure,