Placement des Rôles Principaux des Opérations de Planification

S’applique à: Serveur Windows 2022, Serveur Windows 2019, Serveur Windows 2016, Serveur Windows 2012 R2, Serveur Windows 2012

Les services de domaine Active Directory (AD DS) prennent en charge la réplication multimaster des données d’annuaire, ce qui signifie que tout contrôleur de domaine peut accepter les modifications d’annuaire et répliquer les modifications à tous les autres contrôleurs de domaine. Cependant, certaines modifications, telles que les modifications de schéma, ne sont pas pratiques à effectuer de manière multimaster. Pour cette raison, certains contrôleurs de domaine, connus sous le nom de maîtres d’opérations, détiennent des rôles responsables de l’acceptation des demandes de certaines modifications spécifiques.

Trois rôles maîtres d’opérations (également appelés opérations simples flexibles ou FSMO) existent dans chaque domaine:

• Le maître des opérations de l’émulateur du contrôleur de domaine principal (PDC) traite toutes les mises à jour de mot de passe.

• Le maître des opérations d’ID relatif (RID) maintient le pool RID global pour le domaine et alloue des pools RID locaux à tous les contrôleurs de domaine pour s’assurer que tous les principes de sécurité créés dans le domaine ont un identifiant unique.

• Le maître des opérations d’infrastructure pour un domaine donné conserve une liste des principaux de sécurité d’autres domaines qui sont membres de groupes dans son domaine.

En plus des trois rôles principaux d’opérations au niveau du domaine, deux rôles principaux d’opérations existent dans chaque forêt:

• Le maître des opérations de schéma régit les modifications apportées au schéma.
• Le maître des opérations de nommage de domaine ajoute et supprime des domaines et d’autres partitions de répertoire (par exemple, des partitions d’applications DNS (Domain Name System)) vers et depuis la forêt.

Placez les contrôleurs de domaine hébergeant ces rôles maîtres d’opérations dans des zones où la fiabilité du réseau est élevée et assurez-vous que l’émulateur PDC et le maître RID sont toujours disponibles.

Les détenteurs de rôles principaux d’opérations sont automatiquement attribués lorsque le premier contrôleur de domaine d’un domaine donné est créé. Les deux rôles au niveau de la forêt (maître de schéma et maître de nommage de domaine) sont attribués au premier contrôleur de domaine créé dans une forêt. De plus, les trois rôles au niveau du domaine (maître RID, maître d’infrastructure et émulateur PDC) sont attribués au premier contrôleur de domaine créé dans un domaine.

Ces affectations de rôles maîtres d’opérations automatiques peuvent entraîner une utilisation très élevée du PROCESSEUR sur le premier contrôleur de domaine créé dans la forêt ou le domaine. Pour éviter cela, attribuez des rôles maîtres d’opérations (de transfert) à divers contrôleurs de domaine de votre forêt ou domaine. Placez les contrôleurs de domaine qui hébergent les rôles maîtres d’opérations dans des zones où le réseau est fiable et où les maîtres d’opérations sont accessibles à tous les autres contrôleurs de domaine de la forêt.

Vous devez également désigner des maîtres d’opérations de secours (de remplacement) pour tous les rôles de maîtres d’opérations. Les maîtres d’opérations en veille sont des contrôleurs de domaine vers lesquels vous pouvez transférer les rôles maîtres d’opérations en cas d’échec des détenteurs de rôles d’origine. Assurez-vous que les maîtres d’opérations de secours sont des partenaires de réplication directe des maîtres d’opérations réels.

Planification du placement de l’émulateur PDC

L’émulateur PDC traite les modifications du mot de passe client. Un seul contrôleur de domaine agit comme émulateur PDC dans chaque domaine de la forêt.

Même si tous les contrôleurs de domaine sont mis à niveau vers Windows 2000, Windows Server 2003 et Windows Server 2008, et que le domaine fonctionne au niveau fonctionnel natif de Windows 2000, l’émulateur PDC reçoit une réplication préférentielle des modifications de mot de passe effectuées par d’autres contrôleurs de domaine du domaine. Si un mot de passe a été récemment modifié, la réplication de ce changement prend du temps sur chaque contrôleur de domaine du domaine. Si l’authentification d’ouverture de session échoue sur un autre contrôleur de domaine en raison d’un mauvais mot de passe, ce contrôleur de domaine transmet la demande d’authentification à l’émulateur PDC avant de décider d’accepter ou de rejeter la tentative d’ouverture de session.

Placez l’émulateur PDC dans un emplacement contenant un grand nombre d’utilisateurs de ce domaine pour les opérations de transfert de mot de passe si nécessaire. De plus, assurez-vous que l’emplacement est bien connecté à d’autres emplacements pour minimiser la latence de réplication.

Pour obtenir une feuille de calcul qui vous aide à documenter les informations sur l’emplacement où vous prévoyez de placer des émulateurs PDC et le nombre d’utilisateurs pour chaque domaine représenté dans chaque emplacement, consultez le kit de déploiement Job Aids for Windows Server 2003, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et placement du contrôleur de domaine ouvert (DSSTOPO_4.doc).

Vous devez vous référer aux informations sur les emplacements dans lesquels vous devez placer des émulateurs PDC lorsque vous déployez des domaines régionaux. Pour plus d’informations sur le déploiement de domaines régionaux, consultez Déploiement de domaines régionaux Windows Server 2008.

Exigences pour le placement du maître d’infrastructure

Le maître d’infrastructure met à jour les noms des principaux de sécurité d’autres domaines qui sont ajoutés à des groupes dans son propre domaine. Par exemple, si un utilisateur d’un domaine est membre d’un groupe dans un deuxième domaine et que le nom de l’utilisateur est modifié dans le premier domaine, le deuxième domaine n’est pas informé que le nom de l’utilisateur doit être mis à jour dans la liste d’adhésion du groupe. Étant donné que les contrôleurs de domaine d’un domaine ne répliquent pas les principes de sécurité aux contrôleurs de domaine d’un autre domaine, le deuxième domaine ne prend jamais connaissance du changement en l’absence du maître d’infrastructure.

Le maître d’infrastructure surveille en permanence les adhésions aux groupes, à la recherche de responsables de sécurité d’autres domaines. S’il en trouve un, il vérifie auprès du domaine du responsable de la sécurité pour vérifier que les informations sont mises à jour. Si les informations sont obsolètes, le maître d’infrastructure effectue la mise à jour, puis réplique la modification aux autres contrôleurs de domaine de son domaine.

Deux exceptions s’appliquent à cette règle. Premièrement, si tous les contrôleurs de domaine sont des serveurs de catalogue globaux, le contrôleur de domaine qui héberge le rôle maître d’infrastructure est insignifiant car les catalogues globaux répliquent les informations mises à jour quel que soit le domaine auquel ils appartiennent. Deuxièmement, si la forêt n’a qu’un seul domaine, le contrôleur de domaine qui héberge le rôle maître d’infrastructure est insignifiant car les principes de sécurité d’autres domaines n’existent pas.

Ne placez pas le maître d’infrastructure sur un contrôleur de domaine qui est également un serveur de catalogue global. Si le maître d’infrastructure et le catalogue global sont sur le même contrôleur de domaine, le maître d’infrastructure ne fonctionnera pas. Le maître d’infrastructure ne trouvera jamais de données obsolètes ; par conséquent, il ne répliquera jamais les modifications apportées aux autres contrôleurs de domaine du domaine.

Placement du maître des opérations pour les réseaux à connectivité limitée

Sachez que si votre environnement dispose d’un emplacement central ou d’un site hub dans lequel vous pouvez placer des titulaires de rôle maître des opérations, certaines opérations du contrôleur de domaine qui dépendent de la disponibilité de ces titulaires de rôle maître des opérations peuvent être affectées.

Par exemple, supposons qu’une organisation crée des sites A, B, C et D. Des liens de sites existent entre A et B, entre B et C et entre C et D. La connectivité réseau reflète exactement la connectivité réseau des liens de sites. Dans cet exemple, tous les rôles principaux des opérations sont placés dans le site A et l’option permettant de relier tous les liens du site n’est pas sélectionnée.

Bien que cette configuration entraîne une réplication réussie entre tous les sites, les fonctions de rôle principal des opérations présentent les limitations suivantes:

• Les contrôleurs de domaine des sites C et D ne peuvent pas accéder à l’émulateur PDC du site A pour mettre à jour un mot de passe ou pour rechercher un mot de passe récemment mis à jour.
• Les contrôleurs de domaine des sites C et D ne peuvent pas accéder au maître RID du site A pour obtenir un pool RID initial après l’installation d’Active Directory et pour actualiser les pools RID lorsqu’ils sont épuisés.
• Les contrôleurs de domaine des sites C et D ne peuvent pas ajouter ou supprimer de partitions de répertoire, de DNS ou d’application personnalisée.
• Les contrôleurs de domaine des sites C et D ne peuvent pas modifier le schéma.

Pour une feuille de calcul qui vous aide à planifier le placement du rôle principal des opérations, reportez-vous au kit de déploiement des aides à la tâche pour Windows Server 2003, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et placement du contrôleur de domaine ouvert (DSSTOPO_4.doc).

Vous devez vous référer à ces informations lorsque vous créez le domaine racine de la forêt et les domaines régionaux. Pour plus d’informations sur le déploiement du domaine racine de la forêt, consultez Déploiement d’un domaine racine de la forêt Windows Server 2008. Pour plus d’informations sur le déploiement de domaines régionaux, consultez Déploiement de domaines régionaux Windows Server 2008.

Des informations supplémentaires sur le placement des rôles FSMO peuvent être trouvées dans la rubrique d’assistance Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory