Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Rôles FSMO de l'Active Directory dans Windows

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 197132
Avertissement
Cet article s’applique à Windows 2000. De support de Windows 2000 prend fin le 13 juillet 2010. Le Centre de solutions fin du Support de Windows 2000 est le point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d’informations, consultez la Politique de Support de Microsoft.
Résumé
Active Directory est le référentiel central dans lequel tous les objets d’une entreprise et leurs attributs respectifs sont stockés. Il est hiérarchique, multimaître, capable de stocker des millions d’objets. Dans la mesure où il est multimaître, les modifications apportées à la base de données peuvent être traitées à n'importe quel contrôleur de domaine donné (DC) de l'entreprise, que le contrôleur de domaine soit connecté ou déconnecté du réseau.
Plus d'informations

Modèle multimaître

Une base de données activée multimaître, comme Active Directory, fournit la possibilité d’autoriser des modifications apportées à n’importe quel contrôleur de domaine dans l’entreprise, mais il introduit également la possibilité de conflits susceptibles d’entraîner des problèmes une fois que les données sont répliquées sur le reste de l’entreprise. L'une des manières dont Windows traite des mises à jour conflictuelles se fait par un algorithme de résolution de conflit gérant les différences de valeurs en déterminant le contrôleur de domaine dans lequel les modifications ont été écrites en dernier (c'est-à-dire « le dernier gagne »), tout en ignorant les modifications apportées à tous les autres contrôleurs de domaine. Bien que cette méthode de résolution est acceptable dans certains cas, il existe des cas où les conflits sont trop difficiles à résoudre à l'aide de l'approche « le dernier qui écrit gagne ». Dans ce cas, il est préférable d'éviter le conflit plutôt que de tenter de le résoudre après coup.

Pour certains types de modifications, Windows intègre des méthodes pour empêcher les mises à jour Active Directory conflictuelles.

Modèle à maître unique

Pour empêcher les mises à jour conflictuelles dans Windows, Active Directory effectue des mises à jour de certains objets dans un mode à maître unique. Dans un modèle à maître unique, un seul contrôleur de domaine dans tout l’annuaire est autorisé à traiter les mises à jour. Ceci est similaire au rôle donné à un contrôleur de domaine principal (PDC) dans les versions antérieures de Windows (comme Microsoft Windows NT 3.51 et 4.0), où le contrôleur de domaine principal est chargé de traiter les mises à jour dans un domaine donné.

Active Directory étend le modèle à maître unique des versions antérieures de Windows pour inclure plusieurs rôles et la possibilité de transférer des rôles vers n’importe quel contrôleur de domaine (DC) de l’entreprise. Dans la mesure où un rôle Active Directory n'est pas lié à un seul contrôleur de domaine, il est appelé un rôle Flexible Single Master opération (FSMO). Actuellement dans Windows, il existe cinq rôles FSMO :

  • Contrôleur de schéma
  • Maître de nommage de domaine
  • Maître RID
  • Émulateur de contrôleur principal de domaine
  • Maître d’infrastructure

Rôle FSMO contrôleur de schéma

Le détenteur du rôle FSMO maître schéma est le contrôleur de domaine chargé de performingupdates du schéma d’annuaire (c'est-à-dire, l’orLDAP://cn=schema de contexte d’attribution de noms de schéma, cn = configuration, dc =<domain>). Ce contrôleur de domaine est que le seul onethat peut traiter les mises à jour du schéma d’annuaire. Une fois le schéma démarre terminée, elle est répliquée du contrôleur de schéma pour tous les autres contrôleurs de domaine dans le répertoire. Il existe un seul contrôleur de schéma par annuaire.</domain>

Rôle FSMO maître d’attribution de noms de domaine

Domaine d’attribution de noms principal détenteur du rôle FSMO est la formaking responsable du contrôleur de domaine passe à l’espace de noms de domaine de la forêt de l’annuaire (c'est-à-dire le Partitions\Configuration d’attribution de noms contexte orLDAP://CN=Partitions, CN = Configuration, DC =<domain>). Ce contrôleur de domaine est l’onlyone qui peut ajouter ou supprimer un domaine de l’annuaire. Il peut également addor supprimer des références croisées aux domaines dans des annuaires externes.</domain>

Rôle FSMO maître RID

Le détenteur du rôle FSMO maître RID est les seul demandes du Pool RID DC forprocessing responsable de tous les contrôleurs de domaine dans un domaine donné. Il isalso, responsable de la suppression d’un objet de son domaine et en le mettant domaine inanother au cours d’un déplacement d’objet.

Lorsqu’un contrôleur de domaine crée un objet entité de sécurité comme un utilisateur ou un groupe, itattaches un ID de sécurité unique (SID) de l’objet. Ce SID est constitué d’adomain SID (le même pour tous les SID créés dans un domaine) et un ID(RID) relatif qui est unique pour chaque SID d’entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine dans un domaine Windows est affecté à un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsqu’un contrôleur de domaine affecté pool RID tombe en dessous d’un seuil, que DC émet une demande des RID supplémentaires au maître RID du domaine le. Le maître RID du domaine répond à la demande en récupérant des RID du pool RID non alloués du domaine et les affecte au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine dans un répertoire.

Rôle FSMO d’émulateur de contrôleur principal de domaine

L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows inclut la W32Time service de temps (Windows Time) requis par le protocole d’authentification Kerberos. Tous les ordinateurs fonctionnant sous Windows au sein d’une entreprise utilisent un temps commun. L'objectif du service de temps est de s'assurer que le service de temps Windows utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée de l'horloge commune.

L’émulateur de contrôleur principal de domaine d’un domaine fait autorité pour le domaine. L’émulateur PDC à la racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré pour collecter l’horloge d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows, le détenteur du rôle émulateur PDC conserve les fonctions suivantes :
  • Les modifications de mot de passe effectuées par d’autres contrôleurs de domaine dans le domaine sont répliquées de préférence sur l’émulateur de contrôleur principal de domaine.
  • Échecs d’authentification qui se produisent au niveau d’un contrôleur de domaine dans un domaine en raison d’un mot de passe sont transférés à l’émulateur PDC avant un message d’échec de mot de passe incorrect est signalé à l’utilisateur.
  • Le verrouillage de compte est traité sur l’émulateur de contrôleur principal de domaine.
  • L’émulateur PDC exécute toutes les fonctionnalités un contrôleur principal de domaine Microsoft Windows NT Server 4.0 ou antérieur exécute pour les clients basés sur Windows NT 4.0 ou une version antérieures.
Cette partie du rôle d'émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine qui exécutent Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L’émulateur PDC exécute toujours les autres fonctions comme décrit dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications qui se produisent pendant le processus de mise à niveau :
  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n’effectuent pas les écritures d’annuaire (comme les changements de mot de passe) préférentiellement sur le contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils utilisent un contrôleur de domaine pour le domaine.
  • Une fois les contrôleurs secondaires de domaine (BDC) contenant des domaines de niveau inférieur mis à niveau vers Windows 2000, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
  • Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent Active Directory pour localiser des ressources réseau. Ils ne nécessitent pas le service Explorateur de Windows NT.

Rôle FSMO d’infrastructure

Lorsqu’un objet d’un domaine est référencé par un autre objet dans anotherdomain, il représente la référence par le GUID, le SID (pour les entités de sécurité referencesto) et le nom unique de l’objet référencé. Détenteur du rôle FSMO de Theinfrastructure est le contrôleur de domaine responsable de la mise à jour d’anobject SID et le nom unique dans une référence d’objet interdomaine.

Remarque: les rôles de maître d’Infrastructure du (IM) doivent être assuré par un contrôleur de domaine qui n’est pas un serveur de catalogue Global. Si le maître d'Infrastructure est exécuté sur un serveur de catalogue Global, cela entrainera l'arrêt des mises à jours des informations car il ne dispose d'aucune référence sur les objets qu'il ne contient pas. C’est parce que le serveur de catalogue Global conserve un réplica partiel de chaque objet de la forêt. Par conséquent, les références d'objet inter-domaines présentes dans ce domaine ne seront pas mises à jour et un avertissement à cet effet sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d'un domaine hébergent également le catalogue global, tous les contrôleurs de domaine contiennent les données actuelles et n'importe lequel des contrôleurs de domaine peut détenir le rôle de maître d'infrastructure.

Lorsque la Corbeille facultatif est activée, chaque contrôleur de domaine est responsable de la mise à jour de ses références inter-domaines objet lorsque l’objet référencé est déplacé, renommé ou supprimé. Dans ce cas, il n’y a aucune tâche associé au rôle FSMO d’Infrastructure, et n’importe quel contrôleur de domaine détient le rôle de maître d’Infrastructure. Pour plus d’informations, consultez 6.1.5.5 au rôle FSMO d’Infrastructure http://msdn.Microsoft.com/en-us/library/cc223753.aspx

Avertissement : cet article a été traduit automatiquement

Propriétés

ID d'article : 197132 - Dernière mise à jour : 05/15/2016 19:06:00 - Révision : 4.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbinfo kbmt KB197132 KbMtfr
Commentaires
var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" ="" ng-click="setLanguage(language);" class="ng-binding" id="language-ja-jp">日本 - 日本語
Eesti - Eesti
Norge - Bokmål
United States (English)
香港特別行政區 - 繁體中文
El Salvador - Español
Panamá - Español
Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> cation.protocol) + "//c.microsoft.com/ms.js'><\/script>");