Rôles FSMO de Windows 2000 Active Directory

Microsoft Windows 2000 Active Directory est le référentiel central où sont stockés tous les objets d'une entreprise et leurs attributs respectifs. Il s'agit d'une base de données active hiérarchique, multimaître, capable de stocker des millions d'objets. Puisqu'elle est multimaître, les modifications apportées à la base de données peuvent être traitées sur n'importe quel contrôleur de domaine de l'entreprise, que celui-ci soit ou non connecté au réseau.

Modèle multimaître Windows 2000

Une base de données multimaître, telle qu'Active Directory, offre une souplesse qui permet d'apporter des modifications à partir de n'importe quel contrôleur de domaine de l'entreprise. Ce faisant, elle ouvre également la voie à des conflits susceptibles d'entraîner des problèmes une fois les données répliquées dans le reste de l'entreprise. L'une des méthodes de gestion des mises à jour conflictuelles dans Windows 2000 consiste à gérer des différences de valeurs à l'aide d'un algorithme qui va résoudre les conflits en favorisant le contrôleur de domaine sur lequel les modifications ont été apportées en dernier (c'est-à-dire « le dernier qui écrit gagne »), tout en ignorant les modifications apportées sur tous les autres contrôleurs de domaine. Si cette méthode de résolution est acceptable dans certains cas, il existe des situations où les conflits sont trop complexes pour être résolus de cette façon. Le mieux est alors d'empêcher le conflit de se produire, plutôt que d'essayer de le résoudre a posteriori.

Pour certains types de modifications, Windows 2000 incorpore des méthodes visant à empêcher le déroulement de mises à jour Active Directory conflictuelles.

Modèle à maître unique Windows 2000

Pour empêcher les mises à jour conflictuelles dans Windows 2000, Active Directory effectue des mises à jour vers certains objets selon la méthode du maître unique. Dans un modèle à maître unique, un seul des contrôleurs de domaine de tout l'annuaire est autorisé à traiter les mises à jour. Ce mode de fonctionnement est similaire au rôle donné à un contrôleur principal de domaine dans les versions antérieures de Windows (comme Microsoft Windows NT 3.51 et 4.0), où le contrôleur principal de domaine est responsable du traitement de toutes les mises à jour intervenant dans un domaine donné.

Windows 2000 Active Directory étend le modèle à maître unique des versions antérieures de Windows pour contenir plusieurs rôles et la capacité de transférer des rôles vers n'importe quel contrôleur de domaine de l'entreprise. Un rôle Active Directory n'étant pas lié à un seul contrôleur de domaine, il est désigné par le terme « opération en tant que maître unique flottant » (FSMO, Floating Single Master Operation). Actuellement dans Windows 2000, il existe cinq rôles FSMO :

• maître de schéma ;
• maître d'attribution de noms de domaine ;
• maître RID ;
• émulateur PDC ;
• démon d'infrastructure.

Rôle FSMO Contrôleur de schéma

Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d'effectuer les mises à jour vers le schéma d'annuaire (c'est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=<domaine>). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il existe un seul contrôleur de schéma par annuaire.

Rôle FSMO Maître d'attribution de noms de domaine

Le détenteur du rôle FSMO Maître d'attribution de noms de domaine est le contrôleur de domaine chargé d'apporter des modifications à l'espace de noms des domaines de niveau forêt de l'annuaire (c'est-à-dire le contexte de nommage Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=<domaine>). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l'annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.

Rôle FSMO Maître RID

Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d'un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d'un déplacement d'objet.

Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, il joint à l'objet un ID de sécurité (SID) unique. Ce SID est constitué d'un SID de domaine (le même pour tous les SID créés dans un domaine) et d'un ID relatif (RID), unique pour chaque SID d'entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows 2000 d'un domaine se voit allouer un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsque le pool de RID d'un contrôleur de domaine tombe en deçà d'un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d'un annuaire.

Rôle FSMO Émulateur PDC

L'émulateur PDC est nécessaire pour synchroniser l'heure dans une entreprise. Windows 2000 inclut l'outil de service de temps W32Time (Windows Time) requis par le protocole d'authentification Kerberos. Tous les ordinateurs Windows 2000 d'une entreprise utilisent une heure commune. L'objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L'émulateur PDC d'un domaine fait autorité pour le domaine. L'émulateur PDC situé à la racine de la forêt acquiert l'autorité pour l'entreprise et doit être configuré de façon à percevoir l'heure d'une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows 2000, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :

• Les modifications de mot de passe exécutées par d'autres contrôleurs de domaine du domaine sont répliquées de préférence sur l'émulateur PDC.
• Les échecs d'authentification qui se produisent en raison d'un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l'émulateur PDC avant que l'échec ne soit signalé à l'utilisateur dans un message.
• Le verrouillage de compte est traité sur l'émulateur PDC.
• L'émulateur PDC exécute toutes les fonctionnalités qu'un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.

Cette partie du rôle d'émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L'émulateur PDC continue d'exécuter les autres fonctions décrites dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :

• Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n'effectuent pas les écritures d'annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s'est autoproclamé contrôleur principal de domaine ; ils utilisent n'importe quel contrôleur du domaine.
• Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 2000, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
• Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l'annuaire Active Directory pour localiser des ressources réseau. Ils n'ont pas besoin du service Explorateur d'ordinateur de Windows NT.

Rôle FSMO Infrastructure

Lorsqu'un objet d'un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l'objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d'un objet dans une référence d'objet interdomaine.

REMARQUE : Le rôle Maître d'infrastructure doit être assuré par un contrôleur de domaine qui n'est pas un serveur de catalogues global. Si le rôle Maître d'infrastructure est exécuté sur un serveur de catalogues global, il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu'il ne contient pas. Cela s'explique par le fait qu'un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d'objets interdomaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d'un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d'infrastructure.