Cet article est en fait un extrait de mes stages d'administration Active Directory. Comme il s'agit d'une question plutôt mal traitée par la documentation Microsoft, j'ai pensé que cela pourrait rendre service. L'article porte sur la version 2003 des GPOs mais rien n'a changé dans le principe et toutes les informations données ici sont portables à Windows 2012 par exemple.
Pour la gestion d’Active Directory, du réseau ou de Terminal Server, quelques ordinateurs du domaine doivent assurer un rôle particulier. Certains de ces rôles sont uniques dans un conteneur d’autres pas. Il existe de nombreuses contraintes quant aux interactions de ces rôles entre eux mais aussi des incompatibilités. Microsoft laisse à la charge des administrateurs la répartition des rôles entre les machines et n’a pas prévu de procédé élégant de gestion des pannes.
CONTRÔLEUR DE SCHÉMA
Réalise les modifications du schéma (structure de la base Active Directory). Rôle de maître unique dans la forêt.
Doit être la même machine que le Maître d’Attribution de noms de domaines et donc un serveur de Global Catalog.
En cas de panne, toute modification du schéma est impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine racine de la forêt à prendre ce rôle. Après cette opération, l’ancien Contrôleur de schéma ne doit jamais être remis en ligne.
MAÎTRE D’ATTRIBUTION DE NOMS DE DOMAINES
Veille à l’unicité des noms de domaines. Rôle de maître unique dans la forêt.
Doit être la même machine que le Contrôleur de schéma et, sauf pour un Active Directory Windows 2003, doit être un serveur de Global Catalog (GC) afin de pouvoir interroger le GC pour s’assurer que le nom n’existe pas.
En cas de panne, la création de nouveaux domaines est impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine racine de la forêt à prendre ce rôle. Après cette opération, l’ancien Maître d’attribution de noms de domaines ne doit jamais être remis en ligne.
MAÎTRE DES RID
Délivre des fourchettes d’identifiants de sécurité (SID) aux contrôleurs de domaine de son domaine et assure le déplacement d’objets entre domaines. En effet, seul le Maître des RID du domaine de départ peut réaliser l’opération afin d’éviter d’attribuer deux fois le même identifiant unique si l’on faisait simultanément un déplacement du même objet vers deux domaines différents, et ce, à partir de deux contrôleurs de domaine. Rôle de maître unique dans le domaine.
En cas de panne, si l’un des contrôleurs de domaine vient à épuiser son stock d’identifiants, il ne peut plus créer d’objets. De plus, le déplacement d’objets entre domaines devient impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine à prendre ce rôle. Après cette opération, l’ancien Maître des RID ne doit jamais être remis en ligne.
Assure la cohérence des références entre les membres d’un groupe et le groupe quand on déplace ou renomme un membre. Rôle de maître unique dans le domaine.
Ce rôle est incompatible avec celui de serveur de Global Catalog à partir du moment où l’on a plus d’un contrôleur dans le domaine ou qu'il existe un seul contrôleur non serveur de Global Catalog). Périodiquement, le Maître d’infrastructure examine, dans sa réplique, les références des objets non détenus par lui et interroge le CG pour savoir s’ils ont changé en se basant sur le SID et le Distinguished Name (DN) des objets. S’il constate un changement de référence, c’est à dire un objet dont le GUID est le même (par définition) mais dont le SID a changé (donc l’objet a changé de domaine) ou dont le DN a changé (donc l’objet a changé de contexte et si le SID est le même, il l’a fait à l’intérieur du domaine), il effectue la modification dans sa réplique propre et la répercute sur les autres contrôleurs. Mais, comme un serveur de GC détient une référence sur tous les objets existants, il ne trouve jamais d’objets non détenus par lui.
En cas de panne, les changements de noms ou le déplacement d’objets n’apparaissent pas. Si la panne est définitive ou risque de se prolonger, on doit forcer un contrôleur du domaine à prendre ce rôle. Si on le répare, on peut remettre en service le Maître d’infrastructure et lui redonner son rôle.
ÉMULATEUR DE PDC
Émule un PDC pour les clients Windows 9.x (sans client Active Directory) ou NT. De plus, les autres contrôleurs de domaine répliquent vers lui de manière préférentielle les changements de mots de passe. Ainsi, les contrôleurs de domaine s’adressent à lui pour vérifier un mot de passe si l’utilisateur semble n’avoir pas donné le bon avant de rejeter l’ouverture de session. Rôle de maître unique dans le domaine.
En cas de panne, les utilisateurs des clients pré-2000 ne peuvent plus changer de mot de passe (et si celui-ci est expiré ne peuvent plus ouvrir de session). Si la panne est définitive ou risque de se prolonger, on doit forcer un contrôleur du domaine à prendre ce rôle. Si on le répare, on peut remettre en service l’Émulateur de PDC et lui redonner son rôle.
Il est nécessaire de se servir de NTDSUTIL pour attribuer à un serveur le rôle de Contrôleur de schéma, de Maître d’attribution de noms de domaines, de Maître d’infrastructure, d’Émulateur de PDC et de Maître des RID. Dans une invite de commande, frappez :
NTDSUTIL ROLES CONNECTIONS
CONNECT TO DOMAIN mondomaine
CONNECT TO SERVER nouveauserveurderole
QUIT
Puis, selon le cas :
SEIZE DOMAIN NAMING MASTER
SEIZE SCHEMA MASTER
SEIZE INFRASTRUCTURE MASTER
SEIZE RID MASTER
SEIZE PDC
Notez que les commandes SEIZE ne doivent être utilisées que si le serveur d’origine n’est plus en ligne. Il s’agit de forcer le serveur destination à prendre le rôle et non d’un transfert gracieux que l’on effectue avec TRANSFER.
Sortez enfin de NTDSUTIL en utilisant la commande QUIT autant de fois que nécessaire.
SERVEURS DE GLOBAL CATALOG
Il y a un Global Catalog (GC) commun à la forêt mais il devrait y avoir un serveur de GC par site puisqu’il assure la recherche des comptes lors de l’ouverture de session dans un domaine AD natif (où donc il peut exister des groupes universels) ou que l’on essaie d’accéder à un objet hors de son domaine. D’autre part, Exchange 2000 utilise AD pour la gestion des boîtes aux lettres et fait appel lui aussi au serveur de CG de son site.
Si la présence du GC sur un site tend à faire diminuer le trafic d’ouverture de session et de recherche des objets, elle provoque du trafic de réplication.
Le rôle de serveur de Catalogue Global est incompatible avec celui de Maître d’infrastructure (sauf si TOUS les contrôleurs de domaine de la forêt sont déclarés comme serveurs de Global Catalog). Voir MAÎTRE D’INFRASTRUCTURE.
SERVEUR DE LICENCES TERMINAL SERVER
Un serveur de licences Terminal Server doit être installé dans chaque site où se trouve un serveur TSE.
Ce service doit être installé sur un contrôleur de domaine.
CONTRÔLEUR DE DOMAINE
La règle de base, quoique non absolue, est l’on place un contrôleur de domaine par site voire deux si l’on ne fait pas confiance au WAN pour l’authentification au cas ou le seul DC tomberait.
DNS
Il faut naturellement au moins un DNS par réseau mais il est souhaitable d’en placer un sur chaque gros site pour réduire le trafic. Dans ce cas, le DNS doit avoir autorité sur la zone _msdcs.nomdeforêt où sont déclarés les contrôleurs de domaine du site.
INTERSITE TOPOLOGY GENERATOR (ITG)
Un seul contrôleur de domaine établit la topologie de réplication inter-sites quel que soit le nombre de domaines dans le site. Ce rôle est normalement dévolu au premier contrôleur de domaine placé dans le site et ne peut être affecté manuellement. L’ITG affecte toutes les 30 minutes un attribut de l’objet NTDS setting. En cas de panne, le KCC d’un autre contrôleur de domaine prend le relais au bout d’une heure.
Il est possible que des modifications de propriétés de connexions inter-sites soient écrasées par le KCC. Il vaut donc mieux procéder à ces opérations sur l’ITG.
TÊTE DE PONT (BRIDGEHEAD)
Dans chaque site et pour chaque domaine, un contrôleur de domaine effectue la réplication inter-site. Il est normalement désigné automatiquement par le KCC mais on peut soit en forcer un (en ne désignant que lui comme tête de pont privilégiée), soit choisir plusieurs et le KCC n’en utilisera qu’un parmi ceux-ci.
En cas de panne d’une tête de pont, le KCC en sélectionne un autre (au bout de deux heures) s’il y en a de disponible.
DHCP
Ce rôle est incompatible avec celui de contrôleur de domaine car les entrées qu’il créerait dans le DNS ne seraient pas sécurisées.
© Jean-Claude Berger, 2002.
 |
 |
 |
 |
 |
 |
Consultant Formateur Windows Server et Station, SQL Server, Azure, Office365
Microsoft Certified Trainer (MCT), Microsoft
Certified IT Professional Enterprise Administrator (MCITP) Windows 2008
R2,Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Technology Specialist (MCTS),
Microsoft Certified Systems Administrator (MCSA), Microsoft Certified Product Specialist (MCPS), Microsoft Certified
Professional (MCP).
