[Active Directory] Rôles FSMO

Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multi maitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

Bien que Microsoft ait implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes à Active Directory.

Il existe donc depuis Windows 2000 cinq rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement des différents domaines et forêts de l’infrastructure. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents.

On distingue parmi les 5 rôles:

• Maître d’attribution de noms de domaines
• Contrôleur de schéma
• Maitre RID
• Maitre d’infrastructure
• Emulateur PDC

Le Maitre d’attribution de noms de domaines et le contrôleur de schéma ont une portée au niveau de la forêt, pour laquelle ils sont uniques.

Le maitre RID, le maitre d’infrastructure et l’émulateur PDC ont une portée au niveau du domaine, pour lequel ils sont uniques.

Nous allons présenter plus en détail les différents rôles ainsi que l’impact de leur indisponibilité.

Maître d’attribution de noms de domaines

Présentation

Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau forêt de l’annuaire (c’est-à-dire le contexte de nommage PartitionsConfiguration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l’annuaire.

C’est un rôle qui n’est donc utilisé que très occasionnellement.

En cas d’indisponibilité

En cas d’indisponibilité du maitre d’attribution des noms de domaine, il n’est plus possible d’ajouter ou d’enlever des domaines à la forêt.

Contrôleur de schéma

Présentation

Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l’annuaire. Il existe un seul contrôleur de schéma par forêt

Un contrôleur de schéma rempli 4 fonctions au sein d’une forêt Active Directory :

• Il contrôle les mises à jour d’origines apportées au schéma.
• Il contient la liste des classes d’objets et des attributs utilisés pour la création d’objet dans Active Directory.
• Il réplique les mises à jour apportées au schéma sur les tous autres contrôleurs de domaine de la forêt via la partition de schéma.
• Il autorise uniquement les administrateurs du schéma à modifier le schéma.

En cas d’indisponibilité

Si le contrôleur de schéma n’est pas joignable, les modifications sur le schéma ne pourront pas être appliquées. Le schéma stockant les classes d’objets et les attributs, il ne sera par exemple pas possible d’installer une application devant modifier certains attributs, comme Microsoft Exchange par exemple.

La perte de ce contrôleur à de faibles conséquences car les modifications du schéma sont des opérations rares.

Maitre RID

Présentation

Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID (blocs d’identificateurs relatifs) émanant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d’un déplacement d’objet.

Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique pour chaque SID d’entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine se voit allouer un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur.

En cas d’indisponibilité

Si le maître RID ne peut être joint, la création d’un objet est impossible sur un contrôleur de domaine dont la réserve de RID est épuisée. Chaque contrôleur de domaine obtenant des blocs de 500 identificateurs à chaque demande, l’impact est plus ou moins important selon la taille de l’infrastructure Active Directory.

Maitre d’infrastructure

Présentation

Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet interdomaine.

Pour ce faire, Active Directory utilise des objets fantômes pour les références aux utilisateurs des différents domaines. Cet objet fantôme est un objet spécial qui ne peut être vu d’aucune façon par les outils d’exploration LDAP.

Ces enregistrements fantômes contiennent une quantité minimale d’informations qui permet à un contrôleur de domaine de se référer à l’emplacement dans lequel l’objet original existe.

Si un objet auquel un objet fantôme fait référence a été modifié ou supprimé, l’objet fantôme doit être modifié ou supprimé du domaine le contenant. Le maître d’infrastructure compare régulièrement les informations des objets fantômes présent dans sa base de donnée avec la dernière version du répliquas des objets sur un serveur de catalogue global. Si les SID ou les distinguished name  ne correspondent pas avec ceux des objets fantômes, alors le maître d’infrastructure met à jour les objets fantômes qu’il contient.

En cas d’indisponibilité

Si le détenteur du maître d’infrastructure est hors ligne, il ne sera plus possible d’utiliser des sécurités mettant en œuvre des groupes composés d’utilisateurs d’un autre domaine. Si le nom d’un utilisateur d’un autre domaine est modifié, ou bien lors d’une suppression, l’objet fantôme ne pourra pas être mis à jour ou supprimé du groupe sur tous les contrôleurs de domaine du domaine contenant cette référence.

L’impact de la perte de ce rôle dépend donc grandement de l’infrastructure Active Directory en place puisqu’il est nul pour une infrastructure mono forêt mono domaine.

Emulateur PDC

Présentation

Le rôle émulateur PDC (contrôleur de domaine principal) est particulièrement important au bon fonctionnement de chaque domaine de la forêt.

Il assure quatre fonctions au sein d’un domaine Active Directory :

• Permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT
• Gère le verrouillage des comptes utilisateurs et du changement des mots de passe
• Gère les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine (nécessaires aux horodatage insérés dans les paquets d’authentification Kerberos)
• Réalise les modifications des stratégies de groupe du domaine (GPO) afin d’interdire toute possibilité d’écrasement et de conflit.

L’émulateur PDC est donc un rôle fondamental puisque les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC. De plus, les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que l’échec ne soit signalé à l’utilisateur dans un message.

En cas d’indisponibilité

La perte du contrôleur qui détient le rôle émulateur PDC est lourde de conséquences. En effet, la perte de ce contrôleur empêche tout nouveau changement de mot de passe et le verrouillage de compte utilisateur, peut entrainer une perte de synchronisation entre les DC ainsi que des problèmes d’authentification Kerberos et des problèmes lors de l’application des GPO.

Synthèse