Administrateur Réseau

Comment interroger les rôles FSMO dans Active Directory

Comment interroger les rôles FSMO dans Active Directory



Active Directory (AD)est un service d'annuaire propriétaire Microsoft développé pour les réseaux de domaine Windows

Il est inclus dans la plupart des systèmes d'exploitation Windows Server, permettant aux administrateurs réseau de créer et de gérer des domaines, des utilisateurs, des objets, des privilèges et des accès au sein d'un réseau. AD est une base de données hiérarchique multi-maîtres qui peut stocker des millions de choses.



La disposition AD suit une structure à plusieurs niveaux composée de domaines, d'arborescences et de forêts. Un domaine est un groupe d'objets (tels que des utilisateurs ou des appareils) partageant la même base de données AD. Un arbre est un ensemble de domaines et une forêt est un ensemble d'arbres. Ainsi, toute modification apportée à la base de données AD peut être traitée sur n'importe quel contrôleur de domaine (DC) donné de l'entreprise, quel que soit son état de connexion réseau (c'est-à-dire s'il est connecté ou déconnecté du réseau). Examinons maintenant les deux modèles standard utilisés pour la mise à jour et la réplication de bases de données dans Active Directory : la réplication multi-maître et la réplication à maître unique.

Comprendre le modèle multi-maître et mono-maître

Une base de données multi-maîtres, telle qu'Active Directory, offre la flexibilité nécessaire pour permettre aux modifications de se produire sur n'importe quel contrôleur de domaine de l'entreprise. Le modèle de base de données multi-maîtres permettra aux données d'être stockées par plusieurs contrôleurs de domaine et mises à jour par n'importe lequel d'entre eux. Tous les membres sont responsables des requêtes de données client, propageant les modifications de données de chaque membre au reste du groupe et résolvant tout conflit entre les modifications simultanées apportées par différents membres. Cependant, il arrive parfois que les conflits deviennent trop difficiles à déterminer. Dans de tels cas, il est préférable d’empêcher la guerre de se produire plutôt que de tenter de la résoudre après coup.



Active Directory effectue des mises à jour d'objets particuliers en utilisant l'approche à maître unique pour éviter les mises à jour conflictuelles dans Windows. C’est ce qu’on appelle le modèle à maître unique. Dans ce modèle, un DC agit en tant que maître (source faisant autorité) et en contrôle un ou plusieurs synchronisés avec lui. Un seul contrôleur de domaine dans l’ensemble du répertoire est autorisé à traiter les mises à jour. Active Directory étend le modèle à maître unique pour inclure plusieurs rôles et transférer des rôles vers n'importe quel contrôleur de domaine de l'entreprise. Étant donné que les rôles Active Directory ne sont pas liés à un seul contrôleur de domaine, un tel modèle offre une grande flexibilité. C’est ce qu’on appelle les rôles FSMO (Flexible Single Master Operation).

Comprendre l'attribution des rôles FSMO

FSMO est un ensemble de tâches de contrôleur de domaine (DC) spécialisé utilisé lorsque les méthodes standard de transfert de données et de mise à jour sont inadéquates. FSMO joue un rôle essentiel dans Microsoft Active Directory, qui repose généralement sur plusieurs contrôleurs de domaine homologues. Chaque contrôleur de domaine possède une copie de la base de données AD et est synchronisé par réplication multi-maître. Le FSMO intervient lorsque d'autres tâches ne sont pas adaptées à la réplication multi-maître. Ces tâches sont effectuées à l'aide de l'approche de réplication de base de données à maître unique.

Avant d'expliquer comment interroger les rôles FSMO dans AD, examinons d'abord chaque rôle FSMO et sa relation avec Active Directory. Par exemple, sous Windows, il existe cinq rôles FSMO, décrits en détail ci-dessous :

Maître de schéma : Le maître de schéma est un rôle FSMO spécifique à la forêt situé dans le domaine racine de la forêt. L'objectif de ce rôle est de répliquer les modifications de schéma sur tous les autres contrôleurs de domaine de la forêt. Le titulaire du rôle FSMO de maître de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour du schéma d’annuaire. Ce contrôleur de domaine est le seul capable de traiter les mises à jour du schéma d’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du maître de schéma vers tous les autres contrôleurs de domaine du répertoire. Ainsi, il n’y a qu’un seul maître de schéma par répertoire. Ce rôle est généralement impliqué dans des situations nécessitant des modifications du schéma Active Directory, telles que le déploiement de Skype pour le serveur d'entreprise et le serveur Exchange.

Maître de noms de domaine : Il s'agit d'un autre rôle FSMO spécifique à la forêt qui réside également dans le domaine racine de la forêt. Le titulaire du rôle FSMO de maître de dénomination de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms de domaine à l’échelle de la forêt de l’annuaire. Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l'annuaire et ajouter ou supprimer des références croisées vers des domaines dans des annuaires externes. Si ce rôle ne fonctionne pas correctement, cela peut empêcher l'ajout d'un nouveau domaine enfant ou d'une nouvelle arborescence de domaines.

Maître RID : Le maître RID est un rôle FSMO spécifique au domaine. Il existe un maître RID par domaine dans un répertoire. Le titulaire du rôle FSMO maître RID est le seul contrôleur de domaine responsable du traitement des demandes de pool RID de tous les contrôleurs de domaine d’un domaine donné. Il est également responsable du déplacement d'un objet d'un domaine à un autre lors d'un déplacement d'objet interdomaine. Lorsqu’un contrôleur de domaine crée un objet de sécurité principal tel qu’un utilisateur ou un groupe, il attache un SID unique à l’objet. Ce SID se compose de :

  • Un SID de domaine identique pour tous les SID créés dans un domaine.
  • Un ID relatif (RID) unique pour chaque SID d’entité de sécurité créé dans un domaine.

Émulateur PDC : L'émulateur PDC est un autre rôle FSMO spécifique au domaine, et il existe un émulateur PDC pour chaque domaine d'une forêt. Ce rôle possède le plus large éventail de fonctions et est le plus utilisé de tous les rôles FSMO. L'émulateur PDC est la source de domaine pour la synchronisation temporelle de tous les autres contrôleurs de domaine. Par exemple, dans un domaine Windows, le titulaire du rôle d'émulateur PDC conserve les fonctions suivantes :

  • Les modifications de mot de passe effectuées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC.
  • Lorsque des échecs d'authentification se produisent sur un contrôleur de domaine donné en raison d'un mot de passe incorrect, les pertes sont transmises à l'émulateur PDC avant qu'un message d'échec de mot de passe erroné ne soit signalé à l'utilisateur.
  • Le verrouillage du compte est traité sur l'émulateur PDC.

Dans une forêt multidomaine, l'émulateur PDC de chaque domaine se synchronise avec l'émulateur PDC racine de la forêt. Tous les autres ordinateurs membres du domaine se synchronisent sur leurs contrôleurs de domaine respectifs.

le comportement de l
Graphique 1.0 | Diagramme montrant le comportement de l'émulateur PDC | Crédit : Microsoft

Maître d'infrastructure : Il s'agit d'un autre rôle FSMO spécifique au domaine, et il n'existe qu'un seul maître d'infrastructure pour chaque domaine dans une forêt. Le titulaire du rôle FSMO d’infrastructure est le contrôleur de domaine responsable de la mise à jour du SID et du nom unique d’un objet dans une référence d’objet inter-domaines. Le but de ce rôle est de garantir que les références d’objets inter-domaines sont correctement gérées. Par exemple, si un utilisateur d'un domaine est ajouté à un groupe de sécurité d'un autre domaine, le maître d'infrastructure garantit que cela est effectué correctement. Toutefois, si le déploiement AD ne comporte qu'un seul domaine, le rôle de maître d'infrastructure ne fonctionne pas.

Ce sont les différents rôles FSMO dans Active Directory décrits ci-dessus. Il est recommandé de diviser les parties FSMO afin que les contrôleurs de domaine de secours puissent être prêts à assumer chaque rôle. L'émulateur PDC et le maître RID doivent être sur le même contrôleur de domaine, si possible. Le maître de schéma et le maître de dénomination de domaine doivent également se trouver sur le même contrôleur de domaine. Lorsqu'un rôle FSMO est transféré vers un autre DC, le titulaire FSMO d'origine et le nouveau titulaire FSMO communiquent pour garantir qu'aucune donnée n'est perdue pendant le transfert. Si le titulaire initial du FSMO rencontrait une défaillance irrécupérable, un autre DC pourrait être amené à reprendre (saisir) les rôles perdus. Cela empêche le contrôleur de domaine d’héberger à nouveau ce rôle FSMO, à l’exception des rôles Émulateur PDC et Infrastructure Master Operation.

Comment interroger les rôles FSMO

En tant qu'administrateur de domaine, il est essentiel de savoir où les rôles sont installés dans votre environnement AD. Cela vous prépare à mieux réagir en cas de catastrophe. Dans cet article, nous allons vous montrer deux méthodes simples pour interroger les rôles FSMO. La première méthode utilise l'outil de requête Netdom et la seconde utilise Windows PowerShell.

Méthode 1 : outil de ligne de commande FSMO de requête Netdom : Netdom est un outil en ligne de commande qui permet la gestion des domaines Windows et des relations de confiance. L'outil est intégré au système d'exploitation Windows Server depuis 2003 et les éditions ultérieures. Il est disponible si le rôle serveur Active Directory Domain Services (AD DS) est installé. Nous allons utiliser l'outil Netdom pour vérifier les rôles FSMO. Les étapes sont les suivantes:

  • Ouvrez et exécutez l'invite de commande en tant qu'administrateur sur votre contrôleur de domaine.
  • Entrez la commande :requête netdom fsmo
  • La sortie affichera tous les rôles FSMO et quel contrôleur de domaine les détient.
la sortie des rôles et le contrôleur de domaine qui les détient
Graphique 1.0 | Capture d'écran montrant la sortie des rôles et le contrôleur de domaine qui les détient

Méthode 2 : PowerShell obtient les rôles FSMO : La méthode PowerShell pour obtenir les rôles FSMO nécessite que vous vérifiiez séparément les rôles à l’échelle du domaine et à l’échelle de la forêt. Cela implique deux lignes de commandes, une pour renvoyer les rôles de forêt et une autre pour produire les rôles de domaine, comme indiqué ci-dessous :

  • Ouvrez et exécutez PowerShell en tant qu'administrateur sur votre contrôleur de domaine
  • Entrez la commande ci-dessous pour renvoyer les rôles FSMO de la forêt :

Nom de domaine Get-ADForest | SchemaMaster de table de format, DomainNamingMaster

sortie des rôles FSMO forestiers
Graphique 2.0 | Capture d'écran montrant la sortie des rôles FSMO de la forêt
  • Pour les autres rôles, ouvrez et exécutez PowerShell en tant qu'administrateur sur votre contrôleur de domaine
  • Entrez la commande ci-dessous pour renvoyer les rôles FSMO du domaine :

Get-ADDomain votredomaine | table de format PDCEmulator, RIDMaster,InfrastructureMaster

Cela renverra le reste des rôles FSMO et leur titulaire, comme indiqué dans la capture d'écran ci-dessous :

sortie des rôles FSMO et de leur titulaire
Graphique 3.0 | Capture d'écran montrant la sortie des rôles FSMO et leur titulaire

Conclusion

Comme vous pouvez le constater, les rôles FSMO évitent les conflits dans Active Directory et, en même temps, vous offrent la flexibilité nécessaire pour gérer différentes opérations au sein d'Active Directory. Comme indiqué précédemment, il est essentiel que vous sachiez quels contrôleurs de domaine détiennent quels rôles dans votre environnement, quels sont ces rôles et les contrôleurs de domaine qui les détiennent en cas de sinistre ou si vous avez une raison spécifique de les déplacer. Si une catastrophe survient et que vous devez récupérer rapidement, il est recommandé de restaurer uniquement le titulaire du rôle FSMO pour éviter des problèmes inutiles.

^