- Maitre d'opération
-
Maître d'opérations
Le Maître d’opérations (master operation en anglais) désigne certains types de contrôleur de domaine dans Active Directory, de Microsoft. Ce sont ceux qui jouent un rôle nécessitant un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques pour tous les domaines de la forêt ; d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine.
L’ancienne dénomination (avant 2005) était FSMO qui signifiait Flexible Single Master Operation ; le F de FSMO peut signifier flexible ou floating.
Sommaire
Les 5 types de maîtres d’opérations
Maître d’opérations unique à l’intérieur d’une forêt de domaine
- Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu’un seul maître de schéma dans une forêt de domaines.
- Le maître d’attribution de noms de domaine (Domain Naming Master) qui gère l’ajout et la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu’un seul maître de ce type dans une forêt de domaines.
Maître d’opérations unique à l’intérieur d’un simple domaine
- Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l’intérieur d’un domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory). L’association de ce RID avec l’identificateur du domaine forme le SID (l’identificateur de sécurité). Le maître RID gère aussi le déplacement d’un objet d’un domaine à un autre, à l’intérieur de la forêt.
- A un instant donné, il ne peut y avoir qu’un seul maître RID dans un domaine.
- Le maître d’infrastructure qui maintient les SID (identificateurs de sécurité) et les GUID. Le plus souvent, il s’agit seulement de maintenir les liens entre les utilisateurs et les groupes auxquels ils appartiennent.
- Émulateur d'un contrôleur de domaine principal de NT 4.0 (en anglais, un PDC Primary Domain Controller, voir (en) Primary Domain Controller). C'est aussi ce contrôleur de domaine qui est choisi préférentiellement pour
- la réplication vers les autres contrôleurs de domaine pour les changements de mots de passe
- comme serveur de temps, w32time, basé sur le protocole SNTP (Simple NTP)
Ces différents rôles peuvent facilement être déplacés d'un contrôleur de domaine à un autre en utilisant
- Outils Utilisateurs et ordinateurs Active Directory (dsa.msc)
- Pour l'acronyme DSA, voir (en) Directory System Agent ; pour l'extension MSC, voir (en) MMC (Microsoft Management Console)
- L'outil ntdsutil : Un utilitaire en ligne de commande
Maître d’opérations et Catalogue Global
Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est aussi par défaut le serveur de Catalogue Global. Le Catalogue Global a plusieurs fonctions : Il stocke les informations sur tous les objets, gère les requêtes sur ces objets et leurs attributs, il autorise ou refuse la connexion d’un utilisateur à un domaine
Certains maîtres d’opérations peuvent être aussi serveur de Catalogue Global ou, indirectement, dépendre d’un serveur de Catalogue Général. Par exemple, il est préférable qu'un maître d’infrastructure ne soit pas hébergé par le même contrôleur de domaine que le serveur de Catalogue Global dans une forêt de domaines (à moins que tous les contrôleurs de domaine ne soient aussi serveurs de Catalogue Global). Voir (en) Phantoms, Tombstones and the Infrastructure Master.
A l’inverse, un maître d’attribution de noms de domaine devrait être hébergé seulement sur un contrôleur de domaine qui est aussi serveur de Catalogue Global.
Les maîtres d’opérations entre eux
Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est par défaut le maître d’opérations pour chacun des différents rôles. C’est une situation transitoire, que l’administrateur a intérêt à changer par la suite. Microsoft recommande de faire très attention à la répartition des rôles de maîtres d’opérations sur les différents contrôleurs de domaine. En cas de panne d’un serveur ayant un des rôles maîtres d’opérations, il faut pouvoir transmettre ce rôle à l’un des autres contrôleurs de domaine.
Il est mieux de mettre l’émulateur de PDC et le maître RID sur le même contrôleur de domaine. De même, il est mieux de mettre le maître de schéma et le maître d’attribution de noms de domaine sur le même contrôleur de domaine.
Références externes
- Documentation Microsoft
- Procédures concernant les rôles de maîtres d'opérations sous Windows Server 2003 (FSMO) par C. BEFFARA, M. MANSION et N. MILBRAND
- Portail de la sécurité informatique
Catégorie : Active Directory
Wikimedia Foundation. 2010.