Durcissement Windows 2000 - Contrôleur de Domaine (DC)

Les rôles d'un DC

• Flexible Single Master Operation : les rôles

FSMO

– Schema master (un par forêt)

– Domain naming master(un par forêt)

– RID master(un par domaine)

– PDC master (un par domaine)

– Infrastructure master (un par domaine)

• Déterminer les rôles des DCs, Kit de

ressources:

– netdom query fsmo

– Dumpfsmos.cmd

Les rôles de maître d'opérations prennent en charge les requêtes qui ne peuvent être traitées par plusieurs machines simultanément. Ainsi, un certain nombre de fonctions liées à Active Directory doivent être spécifiques à un serveur unique.

On peut distinguer deux catégories de maîtres d'opérations selon leur portée.

1. Liés à la foret:

§Contrôleur de schéma (schema master): Il est le seul habilité à intervenir sur la description du schéma global de la foret. Toute mise à jour doit être effectué sur le maître et est ensuite répliqué à travers la forêt.

§Maître d'attribution de noms de domaine (domain naming master): Il contrôle l'ajout et la suppression des domaines de la forêt. Il s’assure de l’unicité des noms de domaine

2. Liés au domaine:

§Maître RID (RID master): Il contrôle l'unicité des identifiants (ID) des objets du domaine. Ces identifiants sont créés à partir de l'ID du domaine et d'un ID unique à l'objet. Un RID est une partie du SID. Chaque DC reçoit initialement un jeu de 512 RIDs et en demande un nouveau quand cela est nécessaire.

§Émulateur PDC (PDC): Permet d'assurer une rétro-compatibilité avec les machines fonctionnant sous Windows NT 4. Il émule sur le domaine le rôle de PDC et permet de maintenir, pendant une phase de migration, le fonctionnement de Contrôleur Secondaire de domaine sous NT 4.
L'émulateur PDC permet aussi, sous un environnement Windows 2000 natif, de maintenir de façon prioritaire toutes les modifications liées aux mots de passe. En effet, si un utilisateurs modifie celui-ci, le changement n'est pas répercuté de façon instantané sur l'ensemble des DC. Donc si l'authentification échoue, une requête sera envoyée à l'émulateur PDC pour demander un éventuel changement de mot de passe de l'utilisateur.

§Maître d'infrastructure (infrastructure master): Il permet de maintenir l'intégrité des liens entre objets de domaines différents. Si un group ou un nom d’utilisateur change, sa responsabilité est d’effectuer le changement dans le domaine et de répliquer le changement à tous les autres répliquats.

3. Le serveur Global Catalog

Il doit effectuer les recherches dans l’annuaire de la forêt. Il doit être situé sur un DC. Ce rôle ne coexiste pas avec le maître d’infrastrucure.

Pour info:

Global Catalogs contain commonly-searched attributes from all Naming Contexts of a forest. An attribute is included in the Global Catalog if the partialAttributeSet property of attribute is set to TRUE in the schema Naming Context. Q232517,

The Global Catalog contains a partial replica of the domain Active Directory for every domain in an enterprise forest. The Global Catalog server replicates a copy of all objects from every domain in the forest, but only contains a subset of each object's attributes. The attributes that are replicated by default are those that are those used in most common queries. The Global Catalog provides one information store that can be queried to locate forest-wide information. Q229662


	Les rôles de maître d'opérations prennent en charge les requêtes qui ne peuvent être traitées par plusieurs machines simultanément. Ainsi, un certain nombre de fonctions liées à Active Directory doivent être spécifiques à un serveur unique.
	On peut distinguer deux catégories de maîtres d'opérations selon leur portée.
	1. Liés à la foret:
	§Contrôleur de schéma (schema master): Il est le seul habilité à intervenir sur la description du schéma global de la foret. Toute mise à jour doit être effectué sur le maître et est ensuite répliqué à travers la forêt.
	§Maître d'attribution de noms de domaine (domain naming master): Il contrôle l'ajout et la suppression des domaines de la forêt. Il s’assure de l’unicité des noms de domaine
	2. Liés au domaine:
	§Maître RID (RID master): Il contrôle l'unicité des identifiants (ID) des objets du domaine. Ces identifiants sont créés à partir de l'ID du domaine et d'un ID unique à l'objet. Un RID est une partie du SID. Chaque DC reçoit initialement un jeu de 512 RIDs et en demande un nouveau quand cela est nécessaire.
	§Émulateur PDC (PDC): Permet d'assurer une rétro-compatibilité avec les machines fonctionnant sous Windows NT 4. Il émule sur le domaine le rôle de PDC et permet de maintenir, pendant une phase de migration, le fonctionnement de Contrôleur Secondaire de domaine sous NT 4. L'émulateur PDC permet aussi, sous un environnement Windows 2000 natif, de maintenir de façon prioritaire toutes les modifications liées aux mots de passe. En effet, si un utilisateurs modifie celui-ci, le changement n'est pas répercuté de façon instantané sur l'ensemble des DC. Donc si l'authentification échoue, une requête sera envoyée à l'émulateur PDC pour demander un éventuel changement de mot de passe de l'utilisateur.
	§Maître d'infrastructure (infrastructure master): Il permet de maintenir l'intégrité des liens entre objets de domaines différents. Si un group ou un nom d’utilisateur change, sa responsabilité est d’effectuer le changement dans le domaine et de répliquer le changement à tous les autres répliquats.

	3. Le serveur Global Catalog
	Il doit effectuer les recherches dans l’annuaire de la forêt. Il doit être situé sur un DC. Ce rôle ne coexiste pas avec le maître d’infrastrucure.
	Pour info:
	Global Catalogs contain commonly-searched attributes from all Naming Contexts of a forest. An attribute is included in the Global Catalog if the partialAttributeSet property of attribute is set to TRUE in the schema Naming Context. Q232517,
	The Global Catalog contains a partial replica of the domain Active Directory for every domain in an enterprise forest. The Global Catalog server replicates a copy of all objects from every domain in the forest, but only contains a subset of each object's attributes. The attributes that are replicated by default are those that are those used in most common queries. The Global Catalog provides one information store that can be queried to locate forest-wide information. Q229662