Rôles FSMO de répertoire actifs dans Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 197132 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. Le support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions fin du Support de Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez la Politique de Support Microsoft.
Agrandir tout | Réduire tout

Sommaire

Résumé

Active Directory est le référentiel central dans lequel tous les objets d'une entreprise et leurs attributs respectifs sont stockés. Il s'agit d'une base hiérarchique, multimaître, capable de stocker des millions d'objets. Dans la mesure où elle est multimaître, les modifications apportées à la base de données peuvent être traitées sur n'importe quel contrôleur de domaine donné (DC) de l'entreprise, quel que soit le contrôleur de domaine est connecté ou déconnecté du réseau.

Plus d'informations

Modèle multimaître

Une base de données activée multimaître, comme Active Directory, offre la possibilité d'autoriser des modifications apportées à n'importe quel contrôleur de domaine dans l'entreprise, mais elle présente également la possibilité de conflits susceptibles d'entraîner des problèmes une fois que les données sont répliquées sur le reste de l'entreprise. La première Windows traite des mises à jour conflictuelles consiste en faisant un algorithme de résolution de conflit à gérer des différences de valeurs en résolvant le contrôleur de domaine dans lequel les modifications ont été écrites en dernier (c'est-à-dire « le dernier gagne »), tout en ignorant les modifications apportées à tous les autres contrôleurs de domaine. Bien que cette méthode de résolution est acceptable dans certains cas, il existe des heures où les conflits sont trop difficiles à résoudre à l'aide de l'approche « le dernier qui écrit gagne ». Dans ce cas, il est préférable d'éviter le conflit plutôt que tenter de le résoudre après coup.

Pour certains types de modifications, Windows intègre des méthodes pour empêcher les mises à jour Active Directory conflictuelles.

Modèle à maître unique

Pour empêcher les mises à jour conflictuelles dans Windows, Active Directory effectue des mises à jour de certains objets dans un mode à maître unique. Dans un modèle à maître unique, un seul contrôleur de domaine dans tout l'annuaire est autorisé à traiter les mises à jour. Ceci est similaire au rôle donné à un contrôleur de domaine principal (PDC) dans les versions antérieures de Windows (comme Microsoft Windows NT 3.51 et 4.0), où le contrôleur principal de domaine est responsable du traitement de toutes les mises à jour dans un domaine donné.

Active Directory étend le modèle à maître unique des versions antérieures de Windows afin d'inclure plusieurs rôles et la possibilité de transférer des rôles vers n'importe quel contrôleur de domaine (DC) de l'entreprise. Dans la mesure où un rôle Active Directory n'est pas lié à un seul contrôleur de domaine, il est appelé un rôle FSMO Flexible Single Master opération (). Actuellement dans Windows, il existe cinq rôles FSMO :

  • Contrôleur de schéma
  • Maître de nommage de domaine
  • Maître RID
  • Émulateur de contrôleur principal de domaine
  • Maître d'infrastructure

Rôle FSMO contrôleur de schéma

Le détenteur du rôle FSMO maître schéma est le contrôleur de domaine chargé de performingupdates du schéma d'annuaire (c'est-à-dire, l'orLDAP://cn=schema de contexte d'appellation de schéma, cn = configuration, dc =<domain>). Ce contrôleur de domaine est que le seul onethat peut traiter les mises à jour du schéma d'annuaire. Une fois le démarre de schéma terminée, elle est répliquée du contrôleur de schéma pour tous les autres contrôleurs de domaine dans le répertoire. Il existe un seul contrôleur de schéma par annuaire.</domain>

Rôle FSMO maître d'attribution de noms de domaine

Domaine d'attribution de noms principal détenteur du rôle FSMO est la formaking responsable du contrôleur de domaine passe à l'espace de noms de domaine de la forêt de l'annuaire (c'est-à-dire, la Partitions\Configuration d'appellation contexte orLDAP://CN=Partitions, CN = Configuration, DC =<domain>). Ce contrôleur de domaine est l'onlyone qui peut ajouter ou supprimer un domaine de l'annuaire. Il peut également addor supprimer des références croisées aux domaines dans des annuaires externes.</domain>

Rôle FSMO maître RID

Le détenteur du rôle FSMO maître RID est les seul demandes du Pool RID DC forprocessing responsable de tous les contrôleurs de domaine d'un domaine donné. Il isalso, responsable de la suppression d'un objet de son domaine et en le mettant domaine inanother au cours d'un déplacement d'objet.

Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, un ID de sécurité unique (SID) de l'objet itattaches. Ce SID est constitué d'adomain SID (le même pour tous les SID créés dans un domaine) et un ID(RID) relatif qui est unique pour chaque SID d'entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine dans un domaine Windows est affecté à un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsqu'un contrôleur de domaine affecté le pool RID tombe en dessous d'un seuil, que DC émet une demande des RID supplémentaires au maître RID du domaine. Le maître RID du domaine répond à la demande en récupérant des RID du pool RID non alloués du domaine et les affecte au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine dans un annuaire.

Rôle FSMO d'émulateur de contrôleur principal de domaine

L'émulateur PDC est nécessaire pour synchroniser l'heure dans une entreprise. Windows inclut la W32Time service de temps (Windows Time) requis par le protocole d'authentification Kerberos. Tous les ordinateurs fonctionnant sous Windows au sein d'une entreprise utilisent une heure commune. L'objectif du service de temps est de s'assurer que le service de temps Windows utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L'émulateur de contrôleur principal de domaine d'un domaine fait autorité pour le domaine. L'émulateur PDC à la racine de la forêt acquiert l'autorité pour l'entreprise et doit être configuré pour collecter l'horloge d'une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows, le détenteur du rôle émulateur PDC conserve les fonctions suivantes :
  • Les modifications de mot de passe effectuées par d'autres contrôleurs de domaine dans le domaine sont répliquées préférentiellement sur l'émulateur de contrôleur principal de domaine.
  • Échecs d'authentification qui se produisent sur un contrôleur de domaine dans un domaine en raison d'un mot de passe sont transférés à l'émulateur PDC avant un message d'échec de mot de passe incorrect est signalé à l'utilisateur.
  • Le verrouillage de compte est traité sur l'émulateur de contrôleur principal de domaine.
  • L'émulateur PDC exécute toutes les fonctionnalités un contrôleur principal de domaine Microsoft Windows NT Server 4.0 ou antérieur exécute pour les clients basés sur Windows NT 4.0 ou une version antérieures.
Cette partie du rôle d'émulateur PDC devienne inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine qui exécutent Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L'émulateur PDC exécute toujours les autres fonctions comme décrit dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications qui se produisent pendant le processus de mise à niveau :
  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n'effectuent pas les écritures d'annuaire (comme les changements de mot de passe) préférentiellement sur le contrôleur de domaine qui s'est autoproclamé contrôleur principal de domaine ; ils utilisent un contrôleur de domaine pour le domaine.
  • Une fois les contrôleurs secondaires de domaine (BDC) dans les domaines de bas niveau sont mis à niveau vers Windows 2000, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent Active Directory pour localiser des ressources réseau. Ils ne nécessitent pas le service Explorateur Windows NT.

Rôle FSMO d'infrastructure

Lorsqu'un objet d'un domaine est référencé par un autre objet dans anotherdomain, il représente la référence par le GUID, le SID (pour les entités de sécurité referencesto) et le nom unique de l'objet référencé. Détenteur du rôle FSMO de Theinfrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique dans une référence d'objet inter-domaines d'anobject.

Remarque: les rôles de maître d'Infrastructure du (IM) doivent être assuré par un contrôleur de domaine qui n'est pas un serveur de catalogue Global. Si le maître d'Infrastructure est exécuté sur un serveur de catalogue Global, il arrêtera mise à jour des informations sur les objets car il ne contient-elle pas de références aux objets qu'il ne détient pas. C'est parce que le serveur de catalogue Global comprend un réplica partiel de chaque objet dans la forêt. Par conséquent, l'objet inter-domaines fait référence dans ce domaine ne sera pas mis à jour et un avertissement à cet effet sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d'un domaine hébergent également le catalogue global, tous les contrôleurs de domaine contiennent les données actuelles et n'importe quel contrôleur de domaine détient le rôle de maître d'infrastructure.

Lorsque la Corbeille facultatif est activée, chaque contrôleur de domaine est responsable de la mise à jour de ses références d'objet inter-domaines lorsque l'objet référencé est déplacé, renommé ou supprimé. Dans ce cas, il n'y a aucune tâche associé au rôle FSMO d'Infrastructure, et n'importe quel contrôleur de domaine détient le rôle de maître d'Infrastructure. Pour plus d'informations, consultez 6.1.5.5 au rôle FSMO d'Infrastructure http://msdn.Microsoft.com/en-us/library/cc223753.aspx

Propriétés

Numéro d'article: 197132 - Dernière mise à jour: mercredi 23 avril 2014 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Mots-clés : 
kbinfo kbmt KB197132 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 197132
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com