Les rles de matres

doprations
(v3.41)

Tutorial conu et rdig par Michel de CREVOISIER Aot 2013

SOURCES
Rles FSMO :

http://technet.microsoft.com/fr-fr/library/cc773108.aspx
http://technet.microsoft.com/en-us/library/cc780487

Placements des rles FSMO :

http://www.alexwinner.com/articles/win2008/29-fsmoplacement.html
http://www.petri.co.il/planning_fsmo_roles_in_ad.htm
http://support.microsoft.com/kb/223346/en-us
http://support.microsoft.com/kb/223346/fr
http://www.windowsnetworking.com/articles-tutorials/windows-2003/Managing-Active-DirectoryFSMO-Roles.html
1

INDEX

SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
1.

Les matres doprations................................................................................................................... 3

2.

Rles niveau fort............................................................................................................................. 3

3.

4.

2.1

Matre de schma (Schema Master)............................................................................................ 3

2.2

Matre dattribution des noms domaine (Domain Naming Master) ............................................... 4

Rles niveau domaine ....................................................................................................................... 4

3.1

Matre dinfrastructure (Infrastructure Master) ........................................................................... 4

3.2

Maitre RID (RID Master) ............................................................................................................. 5

3.3

Emulateur de contrleur de domaine principal (PDC Emulator) .................................................... 6

Localisation des rles........................................................................................................................ 8

4.1

Depuis un console CMD.............................................................................................................. 8

4.2

Depuis un console PowerShell .................................................................................................... 9

Conclusion ............................................................................................................................................. 10

1. Les matres doprations

De par son fonctionnement, Active Directory utilise une rplication de type MultiMaster
(fonctionnement dtaill ici et ici) avec lensemble des contrleurs de domaine. Toutefois, certaines
oprations spcifiques ne peuvent pas seffectuer via cette mthode. Cest donc pour cette raison
que la notion de Matre dopration constitue de cinq rles a t introduite. Ces rles,
galement appels Rles FSMO (Flexible Single Master Operations) peuvent tre attribus sur
diffrents contrleurs de domaine au sein dune fort ou dun domaine. Il convient toutefois den
distinguer deux types :
Ceux situs la racine de la fort :
o Matre de schma (SM)
o Matre dattribution de noms de domaines (DNM)
Ceux situs la racine de chaque domaine :
o Matre dinfrastructure (IM)
o Matre des ID relatifs (RID)
o Emulateur du contrleur principal de domaine (PDC)
En rsum, on retrouvera ces cinq rles au sein du domaine racine de la fort, et les trois autres rles
la racine de chaque domaine enfant.

2. Rles niveau fort

2.1Matre de schma (Schema Master)
2.1.1 Rle
Le Matre de schma ou dopration gre lensemble des mises jour et modifications du schma.
Il assure galement leur rplication sur lensemble des contrleurs de domaines. Il ne peut y avoir
quun seul Matre de schma par fort et seul le groupe Administrateurs du schma peut y
effectuer des modifications (source).
Rsum :
Pris en charge et contrle des mises jour du schma
Rplication des modifications apportes au schma sur tous les contrleurs de domaine de la
fort

2.1.2 Placement
Au niveau du domaine racine de la fort, ce rle doit tre plac avec le Matre dattribution des noms
de domaine et galement avec le PDC (recommand).

2.1.3 Impact en cas dincident

En cas de non disponibilit de ce rle, aucune modification sur le schma ne pourra tre applique.
De ce fait, linstallation dapplications (Exchange, Lync, Skype for Business, ) devant modifier ses
proprits sera impossible.
3

2.2Matre dattribution des noms domaine (Domain Naming Master)

2.2.1 Rle
Le Matre dattribution de noms de domaine contrle les ajouts et suppressions de domaines dans
la fort. De la mme faon, il est en charge de la cration et/ou suppression de relations avec les
domaines externes (cf. point 3 de mon tuto sur les relations dapprobation). Pour terminer, il gre
les objets de rfrences croiss qui servent faire le lien entre les diffrentes partitions et le
domaine. Ces objets sont stocks dans la partition de configuration.
Rsum :
Ajout et suppression tous types de partitions logiques dans Active Directory. Exemples :
o Nom de domaine
o Relation dapprobation
Gestion des objets de rfrences croiss
Renommage de domaine ( partir de Windows Server 2003)

2.2.2 Placement
Au niveau du domaine racine de la fort, ce rle doit tre plac avec le Matre de schma et avec le
PDC (recommand). Si le contrleur de domaine excute Windows Server 2000, alors ce serveur
devra galement tre GC. Dans le cas contraire, certaines oprations telles que la cration de
domaines grand-enfants choueront. Enfin, si le contrleur de domaine excute Windows Server
2003 ou ultrieur, il ne devra en aucun cas tre GC.

2.2.3 Impact en cas dincident

En cas de non disponibilit de ce rle, aucun ajout ou suppression de domaine ne sera possible.
Toutefois, limpact restera minime mme sil est recommand de disposer dun serveur de secours
avec une rplication directe de matre partenaire.

3. Rles niveau domaine

3.1Matre dinfrastructure (Infrastructure Master)
3.1.1 Rle
Le Matre dinfrastructure a pour rle de maintenir jour les rfrences dobjet entre les diffrents
domaines. Si un utilisateur dun domaine A est ajout dans un groupe dun domaine B, il sera
responsable de rpliquer cette rfrence sur lensemble du domaine B. Il agit galement comme
traducteur parmi les identifiants globaux uniques (GUID), les identifiants de scurit (SIDs) et les
distinguished names (DNs). Par exemple, si vous listez les utilisateurs dun groupe, vous pourrez
parfois apercevoir des utilisateurs apparaissant avec leur SID (et non par leurs noms). Par ailleurs, si
la corbeille Active Directory sous 2008 R2 est active, ce rle ne sera plus utilis. Notez quil ne peut
y avoir quun seul Matre dinfrastructure par domaine.

Rsum :
Mise jour des rfrences dobjets entre les diffrents domaines
Traduction des objets de type GUID, SID et DN en noms

3.1.2 Placement
En environnement multi-domaines, ce rle ne doit pas tre install sur un serveur hbergeant le GC.
Toutefois, il existe deux exceptions cette rgle :
Fort mono-domaine : il nexiste pas dobjets fantme et de ce fait, ce rle peut tre plac
avec un GC
Fort multi-domaine o tous les DC sont GC : il ny aura pas dobjets fantmes et ce rle
naura pas de tches supplmentaires raliser
Note concernant les Objets fantmes :
Fonctionnellement, le Matre dinfrastructure met jour des rfrences dobjets partir
dinformations situes sur les GC dautres DC de la fort. Si ce rle est pla c avec le GC, aucune
rfrence ne sera cre ou actualise. On parlera alors dobjets fantmes.

3.1.3 Impact en cas dincident

En cas de non disponibilit de ce rle, lappartenance et la traduction dobjets ne pourront plus tre
effectues. Dans une fort mono-domaine limpact sera quasi-ngligeable.

3.2Maitre RID (RID Master)

3.2.1 Rle
Le Matre RID est charg dattribuer chaque objet Active Directory (utilisateur, groupe, ordinateur,
) un identifiant unique de scurit (SID). Ce dernier est structur de la faon suivante :
Un numro de rvision
Un identificateur de scurit du domaine (domaine SID)
Un RID (Relative Identifier)
Paralllement, et afin que diffrents contrleurs de domaine nassignent pas le mme SID deux
objets diffrents, une plage RID est alloue chaque DC. Lorsque cette plage est puise, une
demande est effectue auprs du RID afin de la renouveler. Notez quil ne peut y avoir quun seul
Matre RID par domaine. A titre dinformation, vous trouverez ici la liste de lensemble des SID
prdfinis dans Windows.
Rsum :
Distribution des pools RID aux diffrents contrleurs de domaine

3.2.2 Placement
Le RID doit tre plac de prfrence avec le PDC. Si la charge sur le serveur le justifie, les rles PDC
et RID pourront tre placs sur des DC diffrents, situs toutefois sur le mme domaine et site Active
Directory. De plus, ils devront tre des partenaires de rplication directe. Pour des questions de
performances, il est recommand ne pas le placer avec un GC.

3.2.3 Impact en cas dincident

En cas de non disponibilit de ce rle, les pools RID ne seront plus allous au DC. Toutefois, il y a de
fortes chances pour que les pools RID des DC ne soient pas totalement puiss, sauf si la cration
de nombreux utilisateurs et postes est prvue

3.3Emulateur de contrleur de domaine principal (PDC Emulator)

3.3.1 Rles
Le rle fondamental du PDC Emulator est de fournir une rtrocompatibilit avec les serveurs NT4.0
et les clients antrieurs Windows 2000. Il est galement charg de la rplication des mots de passe
et, de ce fait, est directement contact en cas dchec dauthentification afin de sassurer que des
erreurs de rplication ne sont pas lorigine du problme.
Le PDC agit galement en tant que serveur de temps. Sous cet angle, il assure la synchronisation des
horloges clientes avec les diffrents contrleurs de domaine. Pour cela il utilise une relation
hirarchique qui contrle l'autorit et interdit les boucles. Par dfaut, les ordinateurs Windows
utilisent la hirarchie suivante pour synchroniser leurs horloges :
Ordinateur clients : nomment le DC dauthentification comme partenaire de temps entrant
Serveur membres : mmes processus que les ordinateurs clients
Contrleurs de domaine dun domaine : nomment le matre doprations du DC principal
comme partenaire de temps entrant
PDC : utilisent la hirarchie des domaines pour slectionner leur partenaire de temps via le
protocole SNTP
Le service de temps est galement utilis dans le cadre de lauthentification Kerberos qui ncessite
un horodatage des paquets dauthentification. Autre point contrl par le PDC : les GPO. En effet, la
console de gestion des stratgies de groupe GPMC utilise le DC hbergeant le rle PDC comme
DC par dfaut pour toutes les oprations de cration et de modification des GPO.
En dfinitive, il sagit dun rle crucial ayant un rel impact sur les performances dune infrastructure
Active Directory.
Rsum :
Prise en charge des communications pour les serveurs NT4 et les clients antrieurs 2000
Rplication des mots de passe utilisateur et ordinateur
Gestion des erreurs dauthentification et verrouillage des comptes
Serveur de temps et synchronisation avec les clients
Horodatage des paquets dauthentification Kerberos v5
Serveur de gestion par dfaut pour les mises jour des GPO
6

3.3.2 Placement
Ce rle doit tre plac de prfrence avec le RID. Si la charge sur le serveur le justifie, les rles PDC
et RID pourront tre placs sur des DC diffrents, situs toutefois sur le mme domaine et site Active
Directory. De plus, ils devront tre des partenaires de rplication directe. Etant trs sollicit et
ncessitant une forte monte en charge, il est recommand de placer ce rle sur le site disposant du
plus grand nombre dutilisateurs. De par sa criticit, il devra galement tre plac le plus proche
possible des quipes techniques.
Enfin, il faut faire en sorte quil soit le moins sollicit par les clients. Pour cela il convient de rduire
sa priorit et son poids dans les enregistrements DNS de type SRV. Cette action aura pour effet de
favoriser lauthentification sur les autres DC.

3.3.3 Impact en cas dincident

Une dfaillance de ce rle peut entrainer :
Limpossibilit pour les serveurs NT4 et les clients antrieurs 2000 de sauthentifier
Un arrt de la rplication pour les domaines NT4
Limpossibilit de verrouiller les comptes utilisateurs
Une ventuelle perte de synchronisation entre les DC
Des problmes dauthentification Kerberos
Des problmes pour changer/appliquer les GPO
Afin dviter des conflits ddition de GPO, il convient de dfinir un serveur privilgi pour ce type
doprations. Pour cela, modifier la stratgie ci-dessous selon vos besoins (source) :
Configuration utilisateur / Modles dadministration / Systmes /stratgie de groupe / Slection du
contrleur de domaine de la stratgie de groupe

4. Localisation des rles

4.1Depuis un console CMD
Il existe trois commandes permettant de localiser les rles installs sur un serveur :

NETDOM
netdom query /domaine :domaine.com fsmo

DCDIAG
dcdiag /test:KnowsOfRoleHolders /v

NTDSUTIL
ntdsutil
roles
connection
connect to server [serveur]
quit
select operation target
list roles for connected server

4.2Depuis un console PowerShell

Import-Module ActiveDirectory
Get-ADForest

Get-ADDomain

Conclusion
Grce ce tuto, vous tes dornavant capable de concevoir et solidifier une architecture Active
Directory tout en vous imprgnant de ses diffrentes composantes. Vous trouverez ci-dessous un
tableau rsumant lensemble des contraintes numres prcdemment. Pour le comprendre, il faut
dabord dfinir votre version de Windows Server (2000 ou 2003) puis dfinir votre type darchitecture
(fort mono-domaine, fort multi-domaine faible charge ou fort multi-domaine charge
importante). Ensuite choisissez un rle FSMO situ sur laxe des abscisses et rechercher le rle avec
lequel vous souhaitez le faire cohabiter . Reportez-vous ensuite la lgende en bas pour les
ventuelles indications ou contre-indications.

SM

Fort mono
domaine

Fort multidomaine,
faible charge

Fort multidomaine,
charge
importante

Windows Server 2000

DNM
IM RID PDC

GC

Windows Server 2003 ou suprieur

SM
DNM
IM RID PDC GC

SM
DNM
IM
RID
PDC
SM
DNM
IM
RID
PDC
SM
DNM
IM
RID
PDC

Schma Master
Domain Naming Master
Infrastructure Master
RID Master
PDC
Calatalogue global

SM
DNM
IM
RID
PDC
GC

Non recommand
Recommand
A viter
Sous conditions

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci

10