Cet article est en fait un extrait de mes stages d'administration Active Directory. Comme il s'agit d'une question plutôt mal traitée par la documentation Microsoft, j'ai pensé que cela pourrait rendre service. L'article porte sur la version 2003 des GPOs mais rien n'a changé dans le principe et toutes les informations données ici sont portables à Windows 2012 par exemple.
Pour la gestion dActive Directory, du réseau ou de Terminal Server, quelques ordinateurs du domaine doivent assurer un rôle particulier. Certains de ces rôles sont uniques dans un conteneur dautres pas. Il existe de nombreuses contraintes quant aux interactions de ces rôles entre eux mais aussi des incompatibilités. Microsoft laisse à la charge des administrateurs la répartition des rôles entre les machines et na pas prévu de procédé élégant de gestion des pannes.
CONTRÔLEUR DE SCHÉMA
Réalise les modifications du schéma (structure de la base Active Directory). Rôle de maître unique dans la forêt.
Doit être la même machine que le Maître dAttribution de noms de domaines et donc un serveur de Global Catalog.
En cas de panne, toute modification du schéma est impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine racine de la forêt à prendre ce rôle. Après cette opération, lancien Contrôleur de schéma ne doit jamais être remis en ligne.
MAÎTRE DATTRIBUTION DE NOMS DE DOMAINES
Veille à lunicité des noms de domaines. Rôle de maître unique dans la forêt.
Doit être la même machine que le Contrôleur de schéma et, sauf pour un Active Directory Windows 2003, doit être un serveur de Global Catalog (GC) afin de pouvoir interroger le GC pour sassurer que le nom nexiste pas.
En cas de panne, la création de nouveaux domaines est impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine racine de la forêt à prendre ce rôle. Après cette opération, lancien Maître dattribution de noms de domaines ne doit jamais être remis en ligne.
MAÎTRE DES RID
Délivre des fourchettes didentifiants de sécurité (SID) aux contrôleurs de domaine de son domaine et assure le déplacement dobjets entre domaines. En effet, seul le Maître des RID du domaine de départ peut réaliser lopération afin déviter dattribuer deux fois le même identifiant unique si lon faisait simultanément un déplacement du même objet vers deux domaines différents, et ce, à partir de deux contrôleurs de domaine. Rôle de maître unique dans le domaine.
En cas de panne, si lun des contrôleurs de domaine vient à épuiser son stock didentifiants, il ne peut plus créer dobjets. De plus, le déplacement dobjets entre domaines devient impossible. Si la panne est définitive, on doit forcer un contrôleur du domaine à prendre ce rôle. Après cette opération, lancien Maître des RID ne doit jamais être remis en ligne.
Assure la cohérence des références entre les membres dun groupe et le groupe quand on déplace ou renomme un membre. Rôle de maître unique dans le domaine.
Ce rôle est incompatible avec celui de serveur de Global Catalog à partir du moment où lon a plus dun contrôleur dans le domaine ou qu'il existe un seul contrôleur non serveur de Global Catalog). Périodiquement, le Maître dinfrastructure examine, dans sa réplique, les références des objets non détenus par lui et interroge le CG pour savoir sils ont changé en se basant sur le SID et le Distinguished Name (DN) des objets. Sil constate un changement de référence, cest à dire un objet dont le GUID est le même (par définition) mais dont le SID a changé (donc lobjet a changé de domaine) ou dont le DN a changé (donc lobjet a changé de contexte et si le SID est le même, il la fait à lintérieur du domaine), il effectue la modification dans sa réplique propre et la répercute sur les autres contrôleurs. Mais, comme un serveur de GC détient une référence sur tous les objets existants, il ne trouve jamais dobjets non détenus par lui.
En cas de panne, les changements de noms ou le déplacement dobjets napparaissent pas. Si la panne est définitive ou risque de se prolonger, on doit forcer un contrôleur du domaine à prendre ce rôle. Si on le répare, on peut remettre en service le Maître dinfrastructure et lui redonner son rôle.
ÉMULATEUR DE PDC
Émule un PDC pour les clients Windows 9.x (sans client Active Directory) ou NT. De plus, les autres contrôleurs de domaine répliquent vers lui de manière préférentielle les changements de mots de passe. Ainsi, les contrôleurs de domaine sadressent à lui pour vérifier un mot de passe si lutilisateur semble navoir pas donné le bon avant de rejeter louverture de session. Rôle de maître unique dans le domaine.
En cas de panne, les utilisateurs des clients pré-2000 ne peuvent plus changer de mot de passe (et si celui-ci est expiré ne peuvent plus ouvrir de session). Si la panne est définitive ou risque de se prolonger, on doit forcer un contrôleur du domaine à prendre ce rôle. Si on le répare, on peut remettre en service lÉmulateur de PDC et lui redonner son rôle.
Il est nécessaire de se servir de NTDSUTIL pour attribuer à un serveur le rôle de Contrôleur de schéma, de Maître dattribution de noms de domaines, de Maître dinfrastructure, dÉmulateur de PDC et de Maître des RID. Dans une invite de commande, frappez :
NTDSUTIL ROLES CONNECTIONS
CONNECT TO DOMAIN mondomaine
CONNECT TO SERVER nouveauserveurderole
QUIT
Puis, selon le cas :
SEIZE DOMAIN NAMING MASTER
SEIZE SCHEMA MASTER
SEIZE INFRASTRUCTURE MASTER
SEIZE RID MASTER
SEIZE PDC
Notez que les commandes SEIZE ne doivent être utilisées que si le serveur dorigine nest plus en ligne. Il sagit de forcer le serveur destination à prendre le rôle et non dun transfert gracieux que lon effectue avec TRANSFER.
Sortez enfin de NTDSUTIL en utilisant la commande QUIT autant de fois que nécessaire.
SERVEURS DE GLOBAL CATALOG
Il y a un Global Catalog (GC) commun à la forêt mais il devrait y avoir un serveur de GC par site puisquil assure la recherche des comptes lors de louverture de session dans un domaine AD natif (où donc il peut exister des groupes universels) ou que lon essaie daccéder à un objet hors de son domaine. Dautre part, Exchange 2000 utilise AD pour la gestion des boîtes aux lettres et fait appel lui aussi au serveur de CG de son site.
Si la présence du GC sur un site tend à faire diminuer le trafic douverture de session et de recherche des objets, elle provoque du trafic de réplication.
Le rôle de serveur de Catalogue Global est incompatible avec celui de Maître dinfrastructure (sauf si TOUS les contrôleurs de domaine de la forêt sont déclarés comme serveurs de Global Catalog). Voir MAÎTRE DINFRASTRUCTURE.
SERVEUR DE LICENCES TERMINAL SERVER
Un serveur de licences Terminal Server doit être installé dans chaque site où se trouve un serveur TSE.
Ce service doit être installé sur un contrôleur de domaine.
CONTRÔLEUR DE DOMAINE
La règle de base, quoique non absolue, est lon place un contrôleur de domaine par site voire deux si lon ne fait pas confiance au WAN pour lauthentification au cas ou le seul DC tomberait.
DNS
Il faut naturellement au moins un DNS par réseau mais il est souhaitable den placer un sur chaque gros site pour réduire le trafic. Dans ce cas, le DNS doit avoir autorité sur la zone _msdcs.nomdeforêt où sont déclarés les contrôleurs de domaine du site.
INTERSITE TOPOLOGY GENERATOR (ITG)
Un seul contrôleur de domaine établit la topologie de réplication inter-sites quel que soit le nombre de domaines dans le site. Ce rôle est normalement dévolu au premier contrôleur de domaine placé dans le site et ne peut être affecté manuellement. LITG affecte toutes les 30 minutes un attribut de lobjet NTDS setting. En cas de panne, le KCC dun autre contrôleur de domaine prend le relais au bout dune heure.
Il est possible que des modifications de propriétés de connexions inter-sites soient écrasées par le KCC. Il vaut donc mieux procéder à ces opérations sur lITG.
TÊTE DE PONT (BRIDGEHEAD)
Dans chaque site et pour chaque domaine, un contrôleur de domaine effectue la réplication inter-site. Il est normalement désigné automatiquement par le KCC mais on peut soit en forcer un (en ne désignant que lui comme tête de pont privilégiée), soit choisir plusieurs et le KCC nen utilisera quun parmi ceux-ci.
En cas de panne dune tête de pont, le KCC en sélectionne un autre (au bout de deux heures) sil y en a de disponible.
DHCP
Ce rôle est incompatible avec celui de contrôleur de domaine car les entrées quil créerait dans le DNS ne seraient pas sécurisées.
© Jean-Claude Berger, 2002.
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
Consultant Formateur Windows Server et Station, SQL Server, Azure, Office365
Microsoft Certified Trainer (MCT), Microsoft
Certified IT Professional Enterprise Administrator (MCITP) Windows 2008
R2,Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Technology Specialist (MCTS),
Microsoft Certified Systems Administrator (MCSA), Microsoft Certified Product Specialist (MCPS), Microsoft Certified
Professional (MCP).