Les rôles FSMO
Introduction
Les FSMO (Flexible Single Master Operations) sont des rôles spéciaux dans un environnement Active Directory de Microsoft.
Bien que l'infrastructure AD soit distribuée et souvent répliquée entre plusieurs contrôleurs de domaine, certains services critiques nécessitent un seul « maître » pour éviter des conflits de données ou des duplications. Les rôles FSMO répondent à ce besoin.
1. Pourquoi des rôles FSMO ?
Active Directory est conçu pour fonctionner en mode multi-maître : tous les contrôleurs de domaine (DC) sont capables d'effectuer la plupart des opérations en écriture. Cependant, certaines opérations ne peuvent pas être exécutées simultanément par plusieurs maîtres pour des raisons de cohérence (exemple : la gestion de l'architecture du schéma).
C'est là que les rôles FSMO entrent en jeu, en définissant des maîtres uniques pour certaines fonctions essentielles.
2. Présentation des 5 rôles FSMO
On classe souvent les 5 rôles FSMO en deux grandes catégories :
- Rôles « Forest-wide » (portée forêt) : Schema Master, Domain Naming Master
- Rôles « Domain-wide » (portée domaine) : RID Master, PDC Emulator, Infrastructure Master
2.1. Schema Master
- Rôle : Gérer le schéma de la forêt. Le schéma définit la structure même des objets Active Directory (attributs, classes, etc.).
- Unicité : Il n'y a qu'un seul Schema Master dans toute la forêt.
- Mission :
- Autoriser les modifications du schéma (ajout de nouveaux attributs, classes, etc.).
- Toutes les mises à jour du schéma (par exemple, lors de l'installation d'un nouvel Exchange qui étend le schéma) doivent être validées par le DC qui détient ce rôle.
2.2. Domain Naming Master
- Rôle : Contrôler les modifications de la structure logique de la forêt, c'est-à-dire la création ou la suppression de domaines et d'arbres (Trees).
- Unicité : Il n'y a qu'un seul Domain Naming Master dans toute la forêt.
- Mission :
- Valider l'ajout ou la suppression de domaines dans la forêt.
- Garantir que les noms de domaines restent uniques dans la forêt.
2.3. RID Master (voir le cours à ce sujet)
- Rôle : Gérer la distribution des blocs de RIDs (Relative ID) pour générer des SIDs (Security Identifiers) uniques dans un domaine.
- Unicité : Un seul RID Master par domaine (et non par forêt).
- Mission :
- Distribuer par blocs des RIDs aux autres DC du domaine.
- Assurer que chaque objet dans le domaine (utilisateur, groupe, ordinateur) ait un SID unique.
2.4. PDC Emulator
- Rôle :
- Servir de contrôleur principal pour la compatibilité avec les anciens environnements Windows NT 4.0 (côté historique).
- Gérer certains services critiques tels que la gestion des mots de passe, la synchronisation de l'horloge (NTP) ou encore les stratégies de groupe (GPO) lorsqu'un GPO est créé ou modifié.
- Unicité : Un seul PDC Emulator par domaine.
- Mission :
- Gestion des mots de passe : il est le DC le plus à jour pour les modifications de mots de passe d'un domaine.
- Synchronisation du temps : il sert souvent de référence NTP pour l'ensemble des DC et clients du domaine. La précision de l'horloge est essentielle en environnement AD.
- GPO (Group Policy Objects) : pour la modification et la réplication initiale des GPO.
- Authentification : en cas de mot de passe récent, les autres DC se réfèrent au PDC Emulator pour valider un mot de passe si leur propre base n'est pas encore répliquée.
2.5. Infrastructure Master
- Rôle : Maintenir la cohérence des références d'objets entre plusieurs domaines dans la forêt (en particulier, la liste des groupes universels et les appartenances trans-domaines).
- Unicité : Un seul Infrastructure Master par domaine.
- Mission :
- Gérer les références externes (cross-domain) pour les groupes.
- Veiller à ce que, si un objet est déplacé ou renommé dans un autre domaine, la référence de cet objet soit mise à jour correctement dans les groupes du domaine local.
3. Portée des rôles et emplacement
3.1. Rôles à l'échelle de la forêt
- Schema Master et Domain Naming Master : uniques dans la forêt.
- Ils résident habituellement sur le premier contrôleur de domaine du domaine racine de la forêt par défaut.
3.2. Rôles à l'échelle du domaine
- RID Master, PDC Emulator et Infrastructure Master : un par domaine.
- Ils se trouvent généralement (par défaut) sur le premier DC promu dans chaque domaine.
4. Gestion, transfert et saisie des rôles
- Transfert : Opération normale quand le contrôleur de domaine FSMO actuel est en ligne et qu'on souhaite passer le rôle à un autre DC. On utilise les consoles AD (Active Directory Users and Computers, Active Directory Domains and Trusts, AD Schema) ou des outils PowerShell/NTDSUtil.
- Saisie (Seizing) : Opération d'urgence quand le contrôleur de domaine qui détient le rôle est hors-ligne de manière irréversible. On force alors un autre DC à prendre le rôle via NTDSUtil, en sachant que l'ancien propriétaire ne doit plus jamais revenir en ligne.
5. Conseils de déploiement et bonnes pratiques
1. Concentration ou distribution ?
- Dans les petits environnements (un seul domaine, quelques DC), il est courant de laisser les 5 rôles FSMO sur un seul contrôleur de domaine (souvent le premier DC).
- Dans des environnements plus grands ou critiques, on peut séparer certains rôles. Notamment, il est parfois conseillé de mettre Schema Master et Domain Naming Master sur un DC dédié dans le domaine racine, et de regrouper PDC Emulator, RID Master et Infrastructure Master sur un autre DC (toujours dans le domaine concerné).
2. Rôle Infrastructure Master
- Il est souvent recommandé de ne pas héberger l'Infrastructure Master sur un DC qui est également Catalogueur Global (Global Catalog), sauf si vous n'avez qu'un seul domaine dans la forêt ou si tous vos DC sont GCs. Dans un environnement multi-domaines, l'IM doit se situer sur un DC qui n'est pas GC pour éviter des problèmes de mise à jour de références.
3. Disponibilité et reprise
- Assurez-vous de toujours savoir qui détient les rôles et comment y accéder.
- Documentez la procédure de transfert et surtout de saisie de rôle en cas de panne majeure.
4. Surveillance et alertes
- Les FSMO sont vitaux pour le bon fonctionnement de l'AD. Utilisez des outils de supervision pour surveiller la santé de ces rôles et générer des alertes en cas de défaillance.
6. Quels risques en cas de panne ?
- Schema Master : Les modifications du schéma ne seront plus possibles, mais l'AD continuera de fonctionner si aucune modification du schéma n'est requise.
- Domain Naming Master : Impossible d'ajouter ou de supprimer des domaines dans la forêt. Les domaines existants fonctionnent normalement, mais la structure ne peut plus être modifiée.
- RID Master : Les DC peuvent continuer à créer des objets (comptes, etc.) tant qu'ils ont un stock (pool) de RIDs disponible. Une fois épuisé, plus de création de comptes possible.
- PDC Emulator : Problèmes potentiels d'authentification (verrouillage de comptes, synchronisation de mots de passe) et de synchronisation de l'horloge. Dans un grand domaine, cela peut rapidement devenir critique.
- Infrastructure Master : Des erreurs de résolution d'objets (conflits ou références non mises à jour) peuvent survenir pour les groupes multi-domaines (moins critique en single domain).
7. Conclusion
Les rôles FSMO sont un élément clé du fonctionnement d'Active Directory. Même si la plupart des opérations AD sont distribuées, ces rôles garantissent la cohérence et l'unicité de certaines opérations critiques (structure du schéma, création de domaines, génération de SIDs, synchronisation des mots de passe, etc.).
Retenez :
- Il existe 5 rôles FSMO : 2 à l'échelle de la forêt, 3 à l'échelle du domaine.
- Chaque rôle doit être unique et correctement surveillé.
- Dans les petites infrastructures, tous les rôles peuvent résider sur un ou deux DC.
- Dans les grandes ou critiques, on répartit les rôles pour mieux gérer la charge et assurer la tolérance aux pannes.
- Savoir transférer et « saisir » ces rôles est essentiel à la bonne administration d'un environnement Active Directory.
En suivant ces bonnes pratiques et en maintenant une vue d'ensemble sur la localisation de chaque rôle, vous assurerez la stabilité et la performance de votre annuaire AD.