[ AD DS] Rôle FSMO, qu’est-ce que c’est ?

Soumis par philippe le

Dans une forêt Active Directory il existe 5 rôles particuliers qui ne sont pas partagés par l'ensemble des contrôleurs de domaine. Ces rôles sont les rôles de maitre d'opération (Flexible Single Master Operations). Il existe 2 rôles présents sur un seul contrôleur de domaine de la forêt et 3 rôles présents sur un seul contrôleur de domaine de chaque domaine de la forêt. Les différents rôles FSMO ne se trouvent pas forcément sur le même contrôleur de domaine.

Il s'agit des rôles suivants pour la forêt :

  • Le maître de schéma : toute modification de schéma (par exemple lors de l'installation d'un serveur de messagerie Microsoft Exchange ou lors de la migration vers des contrôleurs de domaine sur un système d'exploitation plus récent) doit être exécutée sur le contrôleur de domaine qui dispose du rôle de maître de schéma ;
  • Le maitre d'attribution des noms de domaines : lorsque vous créez un nouveau domaine dans une forêt Active Directory le nom de ce domaine est vérifié et validé par le contrôleur de domaine qui dispose de ce rôle ;

Au niveau de chaque domaine les 3 rôles sont :

  • L'émulateur PDC : le rôle d'émulateur PDC est particulier. Au départ il a été créé pour assurer la compatibilité avec les contrôleurs de domaine secondaires de NT4. A première vue il n'a plus une grande utilité aujourd'hui, et pourtant l'émulateur PDC joue un rôle important au sein du domaine. Le premier élément est qu'il est par défaut utilisé comme source de temps dans un domaine Active Directory. Les postes clients et les serveurs synchronisent leur horloge sur les contrôleurs de domaine. Les contrôleurs de domaine d'un domaine utilisent par défaut l'émulateur PDC du domaine pour se synchroniser. L'émulateur PDC de chaque domaine synchronise automatiquement son horloge sur l'émulateur PDC du domaine racine de la Forêt. Il suffit donc de configurer la synchronisation de l'horloge sur l'émulateur PDC du domaine racine de la Forêt vers une source de temps fiable. Un autre élément important du rôle émulateur PDC est lié aux changements de mots de passe. Dans ce cas, une réplication urgente se fait vers l'émulateur PDC et le mécanisme de réplication garantie un temps de latence faible pour ce changement qui concerne la sécurité.
  • Le maitre d'infrastructure : il assure les mises à jour des références des objets de son domaine par rapport aux autres domaines. Par défaut ce rôle ne doit pas être hébergé sur un contrôleur de domaine qui est catalogue global. Quelques exceptions existent par exemple dans le cas d'une Forêt avec un seul domaine (voir le chapitre sur le catalogue global).
  • Le maitre RID : Active Directory étant multi maître chaque contrôleur de domaine peut créer des objets. Chaque objet doit disposer d'un identifiant unique. Pour réaliser cela, le maître RID distribue des plages différentes d'identifiants à chaque contrôleur de domaine qui seront utilisés lors des prochaines créations d'objets. Quand un contrôleur de domaine a utilisé tous les identifiants qui lui ont été attribués il demande une nouvelle plage d'identifiant au maître RID.

Theme: 

Systeme: 

Annee: 

Type: