Outils pour utilisateurs
wiki:windows:scripting:fsmomigration
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| wiki:windows:scripting:fsmomigration [2022/11/08 14:44] – [Maître d’attribution de noms de domaine (Domain Naming Master)] DEROUET Valentin | wiki:windows:scripting:fsmomigration [2022/11/08 15:57] (Version actuelle) – DEROUET Valentin | ||
|---|---|---|---|
| Ligne 3: | Ligne 3: | ||
| {{ : | {{ : | ||
| + | |||
| Cette petite fiche concerne les rôles FSMO d' | Cette petite fiche concerne les rôles FSMO d' | ||
| Cette documentation est réalisée dans le cadre d'un TP guidé, il peut donc y avoir d' | Cette documentation est réalisée dans le cadre d'un TP guidé, il peut donc y avoir d' | ||
| - | Pour mieux s'y retrouver cette documentation disposera de plusieurs screenshots illustrant les consignes. | + | ## Les rôles FSMO (Flexible Single Master Operation) |
| - | ## Les rôles FSMO (Flexible Single Master Operation | + | * Dans AD, il existe 5 maîtres d’opération. |
| + | * | ||
| + | * Certaines tâches doivent être centralisées. | ||
| + | * Il peut exister un FSMO par domaine ou par forêt. | ||
| + | * Par défaut, AD attribue les rôles FSMO au premier contrôleur de domaine | ||
| + | * Il est fortement conseillé de rétrograder un CD avant de le supprimer du domaine surtout si c’est le premier installé (le transfert des rôles FSMO se fait alors automatiquement) | ||
| - | ● Dans AD, il existe 5 maîtres d’opération. | ||
| - | ● Les contrôleurs FSMO endossent une fonction particulière | ||
| - | ● Certaines tâches doivent être centralisées. | ||
| - | ● Il peut exister un FSMO par domaine ou par forêt. | ||
| - | ● Par défaut, AD attribue les rôles FSMO au premier contrôleur | ||
| - | de domaine | ||
| - | ● Il est fortement conseillé de rétrograder un CD avant de le | ||
| - | supprimer du domaine surtout si c’est le premier installé (le | ||
| - | transfert des rôles FSMO se fait alors automatiquement) | ||
| ## 5 types de rôles dans AD | ## 5 types de rôles dans AD | ||
| - | - Maître de schéma (Schema Master) | + | * Maître de schéma |
| - | - Maître d’attribution de noms de domaine (Domain Naming Master) | + | * Maître d’attribution de noms de domaine |
| - | - Maître RID (RID Master) | + | * Maître RID *(RID Master)* |
| - | - Émulateur PDC (PDC Emulator) | + | * Émulateur PDC *(PDC Emulator)* |
| - | - Maître d’infrastructure (Infrastructure Master) | + | * Maître d’infrastructure |
| ### Maître de schéma (Schema Master) | ### Maître de schéma (Schema Master) | ||
| - | - Unique dans une forêt | + | * Unique dans une forêt |
| - | - Gère la structure AD (le schéma) | + | * Gère la structure AD (le schéma) |
| - | - Le Schéma ne peut être modifier que sur le serveur qui a ce rôle | + | * Le Schéma ne peut être modifier que sur le serveur qui a ce rôle |
| - | - Il est ensuite répliqué sur les autres DC | + | * Il est ensuite répliqué sur les autres DC |
| - | - Exemple : Exchange modifie le schéma AD | + | * Exemple : Exchange modifie le schéma AD |
| - | - En cas d’indisponibilité : Impossible de modifier le schéma | + | * En cas d’indisponibilité : Impossible de modifier le schéma |
| ### Maître d’attribution de noms de domaine (Domain Naming Master) | ### Maître d’attribution de noms de domaine (Domain Naming Master) | ||
| - | - | + | * Unique dans une forêt |
| - | - | + | * Gère l’attribution de noms de domaines |
| - | - Le maître d’opération de nom de domaine est en charge d’attribuer les nouveaux noms de domaines aux contrôleurs de domaine. | + | * Le maître d’opération de nom de domaine est en charge d’attribuer les nouveaux noms de domaines aux contrôleurs de domaine. |
| - | - | + | * Dès que vous lancez DCPROMO pour créer un nouveau domaine, DCPROMO s’arrête et localise le FSMO attribution de nom de domaine afin de vérifier que le nouveau domaine n’existe pas |
| - | - Si le nouveau contrôleur ne joint pas le maitre d’opération de nom de domaine, il refuse de continuer l’installation | + | * Si le nouveau contrôleur ne joint pas le maitre d’opération de nom de domaine, il refuse de continuer l’installation |
| - | - | + | * En cas d’indisponibilité : Impossible d’ajouter ou de modifier un nom de domaine |
| ### Maître RID (RID Master) | ### Maître RID (RID Master) | ||
| - | ● | + | * 1 par domaine |
| - | ● | + | * Chaque objet possède un SID sous la forme : |
| - | – | + | * S-1-5-21-D1-D2-D3-RID |
| - | ● | + | * D1*D2*D3 sont 3 nombres de 32 bits gérés aléatoirement à l’installation du domaines et ne bougent pas, tous les SID dans un domaine sont identiques à l’exception des derniers 32 bits appelés RID |
| - | ● | + | * Si un DC a besoin de générer un nouveau SID, il connaît d’avance la première partie et n’a besoin que d’un RID. |
| - | ● | + | * Par défaut le maître du pool des ID relatifs délivre 500 RID à chaque DC |
| - | ● | + | * Les CD rechargent leur pool dès qu’ils ont utilisé 250 RID |
| - | ● | + | * En cas d’indisponibilité : Pas d’effet immédiat, puis quand le pool est vide, impossible de créer de nouveaux objets |
| - | ### Émulateur PDC (PDC Emulator) | + | ### Émulateur PDC (PDC Emulator) |
| - | ● | + | * 1 par domaine |
| - | ● | + | * Gère globalement la sécurité : |
| - | – | + | * Synchronise les modifications des stratégies de groupe du domaine (éviter les conflits et les écrasements) |
| - | – | + | * Synchroniser les horloges sur les DC (les jetons d’authentifications utilise un horodatage) |
| - | – | + | * Synchronise les verrouillages des comptes |
| - | – | + | * Synchronise les mots de passe |
| - | ● | + | * En cas d’indisponibilité : pas de changement de mot de passe, pas de verrouillage de compte, pas de modifications de GPO |
| - | ### Maître d’infrastructure (Infrastructure Master) | + | ### Maître d’infrastructure (Infrastructure Master) |
| - | ● | + | |
| - | ● | + | * 1 par domaine |
| - | ● | + | * Dans un réseau multi-domaine, |
| - | ● | + | * Vous pouvez placer un utilisateur dans un groupe d’un autre domaine mais cette modification peut prendre un certain temps. |
| - | ● | + | * Le maître d’infrastructure accélère ce processus : il maintient une sorte de table de référence : Utilisateur du domaine formation.test fait parti d’un groupe du domaine production.test |
| + | * En cas d’indisponibilité : lenteurs de réplication inter-domaine, | ||
| ## Savoir ou sont les rôles FSMO | ## Savoir ou sont les rôles FSMO | ||
| - | < | + | |
| + | < | ||
| ### Transfert en Powershell des rôles d'un serveur à un autre | ### Transfert en Powershell des rôles d'un serveur à un autre | ||
| - | < | + | < |
wiki/windows/scripting/fsmomigration.1667915049.txt.gz · Dernière modification : 2022/11/08 14:44 de DEROUET Valentin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution 4.0 International
