====== Information sur les rôles FSMO et migration de ces derniers ======
{{ :wiki:windows:logo-active-directory.png?400 |}}
Cette petite fiche concerne les rôles FSMO d'active Directory et leurs utilités.
Cette documentation est réalisée dans le cadre d'un TP guidé, il peut donc y avoir d'autre méthode plus ou moins simple pour y parvenir.
## Les rôles FSMO (Flexible Single Master Operation)
* Dans AD, il existe 5 maîtres d’opération.
* Les contrôleurs FSMO endossent une fonction particulière
* Certaines tâches doivent être centralisées.
* Il peut exister un FSMO par domaine ou par forêt.
* Par défaut, AD attribue les rôles FSMO au premier contrôleur de domaine
* Il est fortement conseillé de rétrograder un CD avant de le supprimer du domaine surtout si c’est le premier installé (le transfert des rôles FSMO se fait alors automatiquement)
## 5 types de rôles dans AD
* Maître de schéma *(Schema Master)*
* Maître d’attribution de noms de domaine *(Domain Naming Master)*
* Maître RID *(RID Master)*
* Émulateur PDC *(PDC Emulator)*
* Maître d’infrastructure *(Infrastructure Master)*
### Maître de schéma (Schema Master)
* Unique dans une forêt
* Gère la structure AD (le schéma)
* Le Schéma ne peut être modifier que sur le serveur qui a ce rôle
* Il est ensuite répliqué sur les autres DC
* Exemple : Exchange modifie le schéma AD
* En cas d’indisponibilité : Impossible de modifier le schéma
### Maître d’attribution de noms de domaine (Domain Naming Master)
* Unique dans une forêt
* Gère l’attribution de noms de domaines
* Le maître d’opération de nom de domaine est en charge d’attribuer les nouveaux noms de domaines aux contrôleurs de domaine.
* Dès que vous lancez DCPROMO pour créer un nouveau domaine, DCPROMO s’arrête et localise le FSMO attribution de nom de domaine afin de vérifier que le nouveau domaine n’existe pas
* Si le nouveau contrôleur ne joint pas le maitre d’opération de nom de domaine, il refuse de continuer l’installation
* En cas d’indisponibilité : Impossible d’ajouter ou de modifier un nom de domaine
### Maître RID (RID Master)
* 1 par domaine
* Chaque objet possède un SID sous la forme :
* S-1-5-21-D1-D2-D3-RID
* D1*D2*D3 sont 3 nombres de 32 bits gérés aléatoirement à l’installation du domaines et ne bougent pas, tous les SID dans un domaine sont identiques à l’exception des derniers 32 bits appelés RID
* Si un DC a besoin de générer un nouveau SID, il connaît d’avance la première partie et n’a besoin que d’un RID.
* Par défaut le maître du pool des ID relatifs délivre 500 RID à chaque DC
* Les CD rechargent leur pool dès qu’ils ont utilisé 250 RID
* En cas d’indisponibilité : Pas d’effet immédiat, puis quand le pool est vide, impossible de créer de nouveaux objets
### Émulateur PDC (PDC Emulator)
* 1 par domaine
* Gère globalement la sécurité :
* Synchronise les modifications des stratégies de groupe du domaine (éviter les conflits et les écrasements)
* Synchroniser les horloges sur les DC (les jetons d’authentifications utilise un horodatage)
* Synchronise les verrouillages des comptes
* Synchronise les mots de passe
* En cas d’indisponibilité : pas de changement de mot de passe, pas de verrouillage de compte, pas de modifications de GPO
### Maître d’infrastructure (Infrastructure Master)
* 1 par domaine
* Dans un réseau multi-domaine, il est difficile de répercuter rapidement les modifications de comptes utilisateurs ou de groupes sur les différents domaines.
* Vous pouvez placer un utilisateur dans un groupe d’un autre domaine mais cette modification peut prendre un certain temps.
* Le maître d’infrastructure accélère ce processus : il maintient une sorte de table de référence : Utilisateur du domaine formation.test fait parti d’un groupe du domaine production.test
* En cas d’indisponibilité : lenteurs de réplication inter-domaine, impossibilité de faire des corrélations inter-domaine
## Savoir ou sont les rôles FSMO
netdom query fsmo
### Transfert en Powershell des rôles d'un serveur à un autre
Move-ADDirectoryServerOperationMasterRole -Identity "SRVAD02" -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster