Les clichés instantanés de dossiers partagés sous Windows 2008

Sommaire

 

 

Introduction

Le cliché instantané s’appuie sur la technologie Volume Shadow Copy Service introduite avec les versions Windows Server 2003 et reprise sur les architectures 2008. Ce système permet de disposer de plusieurs versions consistantes d’un fichier sur un volume donné et les rendre accessibles aux utilisateurs par le biais de répertoires partagés (on parlera par extension de cliché instantané de dossiers partagés). Un utilisateur lambda aura donc la possibilité de manipuler simplement et de façon autonome différentes versions d’un fichier ou d’un dossier pour le comparer, le copier ou le restaurer celons les cas.

Nous allons donc voir dans cet article la mise en place et la gestion de cette fonctionnalité au sein de votre infrastructure.

Nous insistons d’ores et déjà sur le fait que le système de cliché instantané permet de simplifier certaines tâches mais ne doit pas être une solution de sauvegarde unique sur votre architecture. C’est une solution complémentaire. Il est, par exemple, impossible de restaurer le système ou de récupérer les données d’un disque défectueux à partir des clichés instantanés.

 

 

Fonctionnement des clichés instantanés

Comme nous le disions en introduction les clichés instantanés de dossiers partagés se basent sur VSS qui est doté de mécanismes complexes. Si vous désirez comprendre de façon approfondie son fonctionnement vous pouvez vous rendre sur How Shadow Copies for Shared Folders Work depuis Technet.

Pour faire simple, les clichés instantanés réalisent des copies au niveau bloc (et non au niveau fichier) de toutes les données modifiées depuis le dernier cliché réalisé sur le volume. Le système réalise une copie originale des données pour ensuite réaliser des copies différentielles en détectant les blocs modifiés. La réalisation d’un cliché est donc relativement rapide et peu couteuse en espace disque.

Les clichés assurent autant que possible l’intégrité des données d’un volume. Le système est doté de mécanismes pour assurer la meilleure consistance possible aussi bien sur des fichiers que des bases de données. Il est cependant impératif d’utiliser les clichés instantanés de dossiers partagés exclusivement sur des documents de type bureautique ou multimédia pour éviter toute corruption.

 


Les spécificités et bonnes pratiques des clichés instantanés

La solution n’est pas particulièrement contraignante concernant sa mise en œuvre cependant il est intéressant de prendre connaissance de quelques spécifications et bonnes pratiques. La liste ci-dessous se veut la plus exhaustive possible:

  • Le volume doit être absolument être formaté en NTFS.
  • II est conseillé de mettre le stockage des clichés instantanés sur des volumes ayant des tailles de bloc égales ou supérieures à 16K afin d’éviter certains problèmes lors d’une défragmentation. Pour vérifier la taille de bloc sur un volume, il faudra lancer la commande « fsutil fsinfo ntfsinfo » et vérifier la taille de bloc au niveau de la ligne Octets par cluster.
  • {gallery}22_VSS_FOLDERS/1{/gallery}

 

 

 

 

 

  • Si un volume dispose de points de montage, la mise place des clichés instantanés sur ce volume ne prend pas en compte ces points de montage. Il faut mettre en place les clichés instantanés sur chacun des volumes correspondant à vos points de montage.
  • Ne planifiez pas plus d’un cliché par heure et utilisez un stockage distinct pour stocker les clichés instantanés afin de limiter les Entrées/Sorties sur le volume.
  • L’activation des clichés instantanés ne peut se faire que sur un volume dans son intégralité. Il n’est pas possible de sélectionner granulairement des dossiers ou fichiers spécifiques.
  • Privilégiez la restauration de fichiers individuellement plutôt que de restaurer des répertoires surtout s’ils sont volumineux. Outre la charge à assumer pour la restauration, Il peut en résulter une perte des versions précédentes.
  • Si vous supprimez un volume, désactivez les clichés instantanés sous peine d’engendrer des erreurs par la suite.

Il y a certaines particularités concernant le stockage de type cluster que nous ne traitons pas dans cet article.

Technet propose également l’article Designing a Shadow Copy Strategy qui pourra vous intéresser sur la définition de votre stratégie.

 

 

Configurer les clichés instantanés

Pour vous montrer comment configurer les clichés instantanés, nous allons nous appuyer sur un cas simple et concret. Nous avons un serveur de fichier sous 2008 R2 disposant d’un répertoire partagé compta sur un volume ayant comme point de montage E:.

Dans un premier temps, nous allons ouvrir les propriétés des clichés instantanés du serveur en lançant la commande « vssuirun » depuis « Démarrer ».

{gallery}22_VSS_FOLDERS/2{/gallery}

 

 

 

 

 

 

 

 

 

Vous pouvez également accéder à tout moment aux propriétés des clichés instantanés simplement en ouvrant l’explorateur Windows, faire un clic droit sur un volume et sélectionner « Configurer les clichés instantanés… ».

{gallery}22_VSS_FOLDERS/3{/gallery}

 

 

 

 

 

 

 

 

 

Sélectionnez le volume voulu et cliquez sur le bouton « Paramètres… ». Nous accédons désormais à l’ensemble des paramètres relatifs à la configuration des clichés instantanés pour le volume désiré. Nous allons nous y attarder.

{gallery}22_VSS_FOLDERS/4{/gallery}

 

 

 

 

 

 

 

 

 

Volume: indique le volume concerné par le paramétrage.

Zone de stockage : indique sur quel volume seront stockés les clichés. Par défaut, ils seront toujours situés sur le même volume cependant il n’est pas conseillé de procéder de la sorte et de définir un volume dédié au stockage en particulier pour des questions de performance au niveau des accès disque. Les clichés seront situés dans le dossier système System Volume Information.

{gallery}22_VSS_FOLDERS/5{/gallery}

 

 

 

 

 

 

Dans notre exemple nous avons dédié le volume F: pour le stockage des clichés et nous avons défini une taille maximale « illimitée » (La zone de stockage est grisée dans l’exemple ci-dessous car des clichés ont déjà été réalisés).

{gallery}22_VSS_FOLDERS/6{/gallery}

 

 

 

 

 

 

 

 

 

Si vous cliquez sur le bouton « Détails… » vous aurez un récapitulatif de l’espace utilisé sur le volume de stockage et la taille maximale disponible pour chacun des volumes ainsi qu’un rappel sur l’espace disque libre sur ce volume de stockage.

{gallery}22_VSS_FOLDERS/7{/gallery}

 

 

 

 

 

 

 

 

Taille maximale: vous préciserez l’espace à disposition pour le stockage des clichés. L’espace dépendra du nombre de versions de vos fichiers que vous désirez conserver en corrélation à l’espace total occupé. Il ne sera pas aisé de définir l’espace nécessaire pour stocker n versions et seul le temps vous permettra de l’ajuster idéalement. En effet, la taille du cliché sera variable en fonction de l’activité de vos utilisateurs sur leurs partages respectifs et le fonctionnement des applications. Si la taille maximale est fixée à « illimitée » alors vous passerez à la limite de 64 clichés qui est le nombre maximal de clichés supportés par le système. Une fois la limite de stockage ou de version atteinte, un roulement sera réalisé et le plus ancien cliché sera écrasé.

Planification: accessible en cliquant sur le bouton « Planifier… », deux tâches quotidiennes par défaut sont planifiées pour la réalisation de clichés (à 7 Heures et à 12 Heures, du lundi au vendredi). Il suffira donc simplement de modifier les tâches existantes (en modifiant les paramètres de la tâche concernée) ou d’en créer de supplémentaires (à l’aide du bouton « Nouveau ») selon vos besoins.

{gallery}22_VSS_FOLDERS/8{/gallery}

 

 

 

 

 

 

 

 

 

Nous en avons fini avec la configuration du côté serveur. A noter, qu’il est possible de créer ou de configurer les clichés instantanés en ligne de commande et donc d’envisager l’utilisation des scripts. Ne traitant de cette partie, nous vous invitons à vous rendre sur l’article de techotopia.com Configuring Volume Shadow Copy on Windows Server 2008.

 

 

Gérer les clichés instantanés

A partir des propriétés des clichés instantanés (accessibles à partir de vssuirun), il vous est possible de lancer manuellement un cliché instantané sur un de vos volumes sans forcément activer la planification. Pour cela, il suffit simplement de sélectionner le volume désiré et cliquer sur le bouton « Créer ». Il est également possible d’activer ou de désactiver la planification des clichés instantanés sur vos volumes en cliquant respectivement sur les boutons « Activer » ou « Désactiver ».

{gallery}22_VSS_FOLDERS/9{/gallery}

 

 

 

 

 

 

 

 

 

Vous pouvez également agir sur les clichés créés en sélectionnant le volume et le cliché pour ensuite soit le supprimer en cliquant sur le bouton « Supprimer » soit restaurer le cliché à l’aide du bouton « Rétablir ». Si vous vous décidez pour la dernière option, alors vous aurez un message d’avertissement vous prévenant que vous perdrez définitivement les modifications apportées à vos données suite au dernier cliché instantané.

{gallery}22_VSS_FOLDERS/10{/gallery}

 

 

 

 

 

 

 

 

 

Depuis le serveur vous aurez également la possibilité de visualiser, de copier ou de restaurer granulairement un fichier ou un dossier. Pour cela, il suffira simplement de réaliser un clic droit sur le volume, le dossier ou le fichier voulu et sélectionner l’option « Restaurer les versions précédentes ». Une fois que vous accédez à la liste des clichés disponibles et que vous en avez sélectionné un, il suffira de cliquer sur le bouton « Ouvrir » pour visualiser vos données (accessible en lecture seule), de cliquer sur le bouton « Copier… » pour restaurer les données dans un répertoire de destination de votre choix ou de sélectionner « Restaurer… » pour écraser les données présentes sur le volume par celles du cliché.

{gallery}22_VSS_FOLDERS/11{/gallery}

 

 

 

 

 

 

 

 

 

 

Partie cliente

A partir de Windows XP SP2, le client est installé automatiquement sur les stations. Pour les versions antérieures il sera nécessaire d’installer le client pour gérer les clichés instantanés que vous pouvez télécharger ici.

Au niveau configuration sur la partie cliente, dès lors qu’un lecteur réseau pointe directement sur un dossier faisant l’objet de clichés instantanés sur votre serveur, il n’y a rien d’autre à faire.

Depuis un poste Windows 7, nous avons monté le lecteur réseau Z: sur le répertoire partagé Compta hébergé sur le serveur où nous avons préalablement planifié les clichés instantanés. Il suffit donc de réaliser un clic droit sur le lecteur réseau, un répertoire ou un fichier de ce lecteur réseau et de sélectionner « Restaurer les versions précédentes ». Une fois dans l’onglet Versions précédentes des propriétés du fichier. Vous aurez donc les mêmes options que sur le serveur soit « Ouvrir », « Copier… » ou « Restaurer… ».

Remarque: il est possible qu’aucune version précédente d’un fichier ne soit disponible alors que plusieurs clichés ont déjà été effectués. Cela arrive seulement quand le fichier n’a pas été modifié.

{gallery}22_VSS_FOLDERS/12{/gallery}

 

 

 

 

 

 

 

 

 

Tout paraît pour l’instant très simple cependant en allant plus loin, la prise en charge par défaut des restaurations de versions précédentes par les utilisateurs peut poser quelques soucis plus ou moins grave. En effet, rien n’est prévu par défaut pour limiter les droits sur la gestion des clichés du côté utilisateur, à part les listes de contrôle d’accès NTFS. Cela est particulièrement problématique pour la fonctionnalité « Restaurer… ». Si un utilisateur décide de restaurer une version précédente d’un dossier, selon le contenu, cela peut entrainer de lourdes pertes pour les collaborateurs de cet utilisateur travaillant également sur ce même dossier. Idéalement, il faudrait donc limiter cette possibilité à certains utilisateurs (exemple les responsables de services) et les sensibiliser, ou interdire la possibilité d’activer la restauration et de permettre simplement de copier les versions précédentes voulues dans un répertoire différents. Nous vous apportons une solution depuis l’article Clichés instantanés: désactiver l’onglet Versions précédentes ou le bouton Restaurer.

 

 

Conclusion

Nous avons donc vu ensemble que les clichés instantanés sont un très bon complément aux sauvegardes traditionnelles pour les administrateurs surtout en vue du temps qu’ils consacreront à sa mise en place. Outre cet aspect là, cette fonctionnalité offre une réelle avancée pour l’indépendance des utilisateurs à consulter ou restaurer des données sur plage temporelle et sans intervention externe. Elle manque encore de flexibilité au niveau client cependant nous pouvons heureusement y remédier en espérant une évolution future.

Clichés instantanés: désactiver l’onglet Versions précédentes ou le bouton Restaurer

Introduction

Pour désactiver l’onglet Versions précédentes ou le bouton Restaurer et en particulier si vous avez mis en place les clichés instantanés sur vos répertoires partagés alors votre seule alternative sera de  modifier le registre de vos postes utilisateurs.

Afin de pouvoir gérer au mieux ces restrictions, cet article va décrire comment mettre en place une stratégie de groupe avec un modèle d’administration personnalisé.

Nous allons décrire de façon approfondie  la mise en place d’un modèle personnalisé pour la désactivation de l’onglet Versions précédentes et nous traiterons de façon plus sommaire la désactivation du bouton Restaurer . Si vous ne maitrisez pas les modèles d’administration personnalisés, nous vous conseillons donc de vous focaliser en priorité sur la section suivante.

 

 

Désactivation de l’onglet « Versions précédentes »

Dans un premier temps, nous allons créer notre nouveau modèle d’administration qui est sous la forme d’un fichier adm. Il suffit simplement de rentrer le code suivant dans Notepad :

CLASS USER

CATEGORY « Windows Components »

CATEGORY « Windows Explorer »

POLICY « Désactivation de l’onglet Versions précédentes »

EXPLAIN !!PVHelp

KEYNAME « SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer »

VALUENAME « NoPreviousVersionsPage »

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY;

END CATEGORY;

[strings]

PVHelp= »\nCe paramètre permet de désactiver l’onglet « Versions Précédentes » dans l’explorateur Windows.\n\nActivé: l’onglet sera masqué.\n\nDésactivé: l’onglet sera de nouveau visible.\n\nNon configuré: l’état précédent sera conservé. »

 

Remarque: ce code permet tout simplement de déclarer la nouvelle clé « NoPreviousVersionsPage » pour l’incorporer par la suite dans une stratégie de groupe.

Une fois le code inséré, enregistrez le fichier dans un répertoire de votre choix avec l’extension .adm comme par exemple PreviousVersionSnapshot.adm.

 

Une fois le fichier adm créé, nous allons ouvrir la mmc « Gestion de stratégie de groupe » (GPMC) depuis « Démarrer » | « Outils d’administration ». Ensuite, sélectionnez l’option « Créer un objet GPO dans ce domaine, et le lier ici… » depuis notre unité d’organisation Compta à titre d’exemple. Bien entendu, vous la lierez où bon vous semblera en fonction de votre organisation. Pensez à donner un nom facilement compréhensible à votre nouvelle GPO.

{gallery}21_GPO_VSS/1{/gallery}

 

 

 

 

 

 

 

Réalisez un clic droit sur la nouvelle GPO et cliquer sur  « Modifier ». L’éditeur de gestion des stratégies de groupe apparaît et nous permet d’éditer notre nouvelle police de groupe. Comme les modifications du registre s’appliqueront au niveau utilisateur, nous nous rendons dans « Configuration utilisateur » | « Stratégies » et nous choisissons à l’aide d’un clic droit sur « Modèles d’administration » l’option « Ajout/Suppression de modèles… »

{gallery}21_GPO_VSS/2{/gallery}

 

 

 

 

 

 

 

Dans la fenêtre « Ajout/Suppression de modèles » ajoutez votre fichier adm créé préalablement. Une fois le modèle ajouté, il suffira d’accéder au nouveau paramètre depuis « Configuration utilisateur » | « Stratégies » | « Modèles d’administration »| « Modèle d’administration classique (ADM) » | « Windows Components »  | « Windows Explorer » et de le configurer selon vos attentes.

{gallery}21_GPO_VSS/3{/gallery}

 

 

 

 

 

 

 

La stratégie de groupe est désormais configurée avec notre modèle. Nous allons maintenant faire en sorte qu’elle s’applique sur un groupe d’utilisateurs spécifiques. Pour cela, il faut sélectionner notre stratégie de groupe depuis « Objets de stratégie de groupe » toujours depuis GPMC. Depuis l’onglet « Etendue », faites un clic droit sur l’emplacement voulu et cochez « Appliqué » et « Lien activé ». Dans la section « Filtrage de sécurité », supprimez « Utilisateurs authentifiés » et choisissez les comptes ou groupes qui devront être assujettis à cette stratégie de groupe.

{gallery}21_GPO_VSS/4{/gallery}

 

 

 

 

 

 

 

En fonction de notre exemple, tous les utilisateurs du groupe Comptabilité n’auront plus la possibilité d’accéder à l’onglet Versions précédentes depuis les propriétés d’un dossier ou d’un fichier lors de la prochaine ouverture de session.

 

 

Désactivation du bouton « Restaurer »

Toujours dans les mêmes conditions, nous allons créer maintenant un fichier adm qui nous permettra de désactiver le bouton Restaurer depuis l’onglet Versions précédentes.  Le nom du fichier adm sera PreviousVersionRestoreButton.adm et nous intégrons le contenu suivant:

CLASS USER

CATEGORY « Windows Components »

CATEGORY « Windows Explorer »

POLICY « Désactivation du bouton Restaurer depuis l’onglet Versions précédentes »

EXPLAIN !!PVHelp

KEYNAME « SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer »

VALUENAME « NoPreviousVersionsRestore »

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY;

END CATEGORY;

[strings]

PVHelp= »\nCe paramètre permet de désactiver le bouton  « Restaurer » depuis l’onglet « Versions Précédentes » dans l’explorateur Windows.\n\nActivé: le bouton « Restaurer » sera masqué.\n\nDésactivé: le bouton « restaurer » sera de nouveau visible.\n\nNon configuré: l’état précédent sera conservé. »

 

Remarque: ce code permet toute simplement de déclarer la nouvelle clé « NoPreviousVersionsRestore » pour l’incorporer par la suite dans une stratégie de groupe.


Nous créons maintenant une seconde GPO depuis notre unité d’organisation. Nous l’éditons et nous ajoutons le nouveau modèle d’administration basé sur l’adm créé ci-dessus. Une fois que le nouveau paramètre est accessible, nous l’activons.

{gallery}21_GPO_VSS/5{/gallery}

 

 

 

 

 

 

 

Nous configurons enfin la GPO pour qu’elle s’applique sur une unité d’organisation spécifique et sur un groupe particulier.

{gallery}21_GPO_VSS/6{/gallery}

 

 

 

 

 

 

 

Sur cette deuxième stratégie de groupe, les membres du groupe Responsables comptabilité auront l’accès aux fonctionnalités des clichés instantanés hormis Restaurer.

Placement des maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Les maîtres d’opérations que nous avons présentés dans l’article Les maîtres d’opérations Active Directory doivent faire l’objet d’une étude préalable concernant leur positionnement sur vos contrôleurs en fonction de certains critères comme par exemple leur nombre et  la complexité de votre annuaire (nombre de sites, de domaines, d’utilisateurs, des connectivités…).

Le placement de certains maîtres d’opérations sera également intimement lié à celui des catalogues globaux que nous présentons dans l’article  Le catalogue global Active Directory. Il faudra évidement prendre en considération cet élément crucial dans votre élaboration.

Nous allons donc voir ensemble les différents cas de figure pour obtenir le meilleur placement possible.

 

 

Attribution initiale des maîtres d’opérations

Lors de l’installation de l’annuaire Active Directory, le premier contrôleur de domaine de la forêt se voit attribuer les cinq rôles en plus d’être promu catalogue global. Pour chaque nouveau domaine supplémentaire au sein de cette forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles de niveau domaine. Le nombre des maîtres d’opérations dans votre infrastructure est calculable à l’aide de la formule 2 + (n x 3)n est le nombre de domaines dans votre forêt.

 

 

La disponibilité des maîtres d’opérations

Les maîtres d’opérations ne nécessitent pas dans leur ensemble une haute disponibilité (bien entendu il faut toutefois mettre tous les moyens en œuvre pour éviter qu’une indisponibilité arrive) d’ailleurs, rien ne le permet. Nous disions « dans leur ensemble » car l’incapacité momentanée à ne pas pouvoir modifier le schéma AD ou allouer une plage RID n’a pas du tout la même implication que la gestion des erreurs d’authentification que propose le PDC. En effet, si un seul maître doit attirer notre attention, il s’agira de lui! Il est le maîtres d’opérations le plus sollicité.

Si cela est possible, pensez à prévoir des maîtres d’opérations de remplacement en cas d’avarie ce qui est appelé « Standby Operations Master ». Ce dernier sera simplement un contrôleur désigné comme remplaçant d’un maître d’opérations.  Si nécessaire, il suffira de réaliser rapidement une saisie des rôles depuis ce serveur pour retrouver un fonctionnement normal. Il sera  impératif de disposer d’une réplication directe de partenaire entre le maître et le remplaçant potentiel afin de limiter la perte de données et d’assurer efficacement un transfert si nécessaire.

 

 

Les règles de placement selon l’architecture

Le placement des maîtres d’opérations va dépendre en priorité de l’architecture de votre annuaire et en fonction des points suivants :

  • Le nombre de contrôleurs de domaine : le placement dépendra bien entendu du nombre de contrôleurs présents dans votre réseau. Si vous ne disposez de pas plus de deux contrôleurs, vous laisserez les maîtres d’opérations sur le premier contrôleur promu. Il faudra cependant veiller à ce qu’il soit doté de ressources suffisantes pour assurer des performances optimales et spécialement pour l’émulateur PDC (il sera intéressant dès lors d’envisager une priorisation présentée dans l’article Gérer la charge de vos contrôleurs de domaine).
  • Le nombre de site et leur nature : si vous disposez de plusieurs sites Active Directory, il faudra relever l’ensemble des caractéristiques qui les compose et en priorité le nombre d’utilisateurs et le type de connexion. Le site disposant du meilleur lien aura la faveur du placement pour permettre de faire aisément la réplication sur les autres sites et d’être plus rapidement joignable par la majorité des éléments de votre réseau étendu.  Si les liens sont sensiblement identiques, il faudra prendre en compte le nombre d’utilisateurs sur chacun de vos sites et envisager en particulier de placer le maître PDC sur le plus conséquent.
  • Le nombre de domaine dans la forêt : dans ce cas de figure, il faudra tout simplement prendre en compte les deux points ci-dessus mais également les maîtres de niveau forêt (maître de schéma et le maître de nommage de domaine) qui devront faire l’objet d’une attention particulière. Il sera judicieux de privilégier le site de l’équipe d’administration en charge du schéma Active Directory et de la gestion des domaines (principalement la création et la suppression de domaine AD).

 

 

Les règles de placement selon les maîtres d’opérations

Placez de préférence le maître émulateur PDC avec le maître RID si la charge le permet. Dans le cas contraire, vous pouvez opter pour une priorisation ou séparer ces maîtres et créer un partenariat de réplication directe entre les deux maîtres.

Le PDC doit être placé sur la location le plus rapidement disponible par le plus grand nombre d’utilisateurs (il faudra tenir compte du lien et du nombre d’utilisateurs).

Pour un contrôle étroit  des maîtres de forêt (maître de schéma et maître d’attribution des noms de domaine), placez-les sur le même contrôleur et à proximité des équipes techniques les plus susceptibles d’en faire appel. Pour une forêt de niveau fonctionnel inférieur à 2003, placez impérativement le maître d’attribution des noms de domaine avec un catalogue global.

Concernant le placement du maître d’infrastructure, cela dépendra dans un premier temps de la nature de votre forêt. Si vous ne disposez que d’une forêt mono-domaine (qu’un seul domaine Active Directory) alors il ne sera d’aucune utilité. Dans le cas contraire, cela dépendra du placement de vos catalogues globaux. Soit vous configurez tout vos contrôleurs de domaine en tant que catalogue global pour vous retrouvez dans une situation similaire à une forêt mono-domaine (le maître d’infrastructure n’est pas utilisé), soit vous veillez à ce que le maître d’infrastructure ne soit pas catalogue global. En effet et sans entrer dans les détails, le maître d’infrastructure ne doit pas cohabiter avec un catalogue global sous peine de ne pas remplir son rôle.

Un dernier et nouveau cas apparu avec Windows 2008 R2 est l’utilisation de la corbeille Active Directory (pour plus d’information sur le sujet rendez-vous ICI). Si vous activez la corbeille Active Directory, le maître d’infrastructure ne sera plus d’aucune utilité.  

 

 

Conclusion

Cet article marque la fin de la série d’articles relatifs aux maîtres d’opérations et au catalogue global Active Directory. Nous espérons que cela vous aura aidé à mieux appréhender le sujet. D’autres notions liées à ce vaste sujet seront cependant abordées très prochainement comme la création de lien de réplication directe par exemple.

Si vous désirez approfondir le sujet du placement des maîtres d’opérations, voici une liste de liens susceptible de vous intéresser :

Planning FSMO Roles in Active Directory (petri.co.il)

Placing Operations Master Roles (Technet)

Placement et optimisation des rôles FSMO (KB Microsoft)

Localiser et déplacer les maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Les maîtres d’opérations peuvent être déplacés d’un contrôleur à un autre pour des raisons de performances ou de bonnes pratiques. Les cas les plus fréquents sont cependant une migration ou pire un crash d’un contrôleur. Nous allons donc voir dans un premier temps comment localiser les maîtres d’opérations dans votre infrastructure et ensuite comment les déplacer celons les différents cas de figure.

Si vous désirez plus d’information sur les maîtres d’opérations, nous vous engageons à lire notre article Les maitres d’opérations Active Directory.

Microsoft a également réalisé un KB très complet sur la localisation des rôles que vous pouvez consulter ici.

 

 

Localiser et déplacer les maîtres d’opérations par l’interface graphique

Nous allons débuter par l’utilisation de l’interface graphique pour localiser et déplacer les 5 rôles. En effet, l’interface graphique permet de réaliser les deux opérations de façon similaire. Bien entendu, les deux possibilités n’ont pas les mêmes implications cependant nous avons trouvé plus pertinent de les regrouper.

Localisons dans un premier temps les maîtres d’opérations de niveau domaine (Maître RID, Maître d’infrastructure et émulateur PDC) en ouvrant la mmc « Ordinateurs et utilisateurs Active Directory » depuis « Démarrer » | « Outils d’administration ». Réalisons ensuite un clic droit sur la racine « [MONDOMAINE] » et sélectionner « Maîtres d’opérations… ».

{gallery}20_move_FSMO/1{/gallery}

 

 

 

 

 

 

 

Nous avons dès lors accès à trois onglets pour chacun des rôles « RID »,  « CPD » et « Infrastructure ». Le champ « Maître d’opérations » indique quel est le contrôleur détenteur du rôle. Le deuxième champ indique tout simplement quel est le serveur sur lequel la console est connectée.

Nous pouvons voir également le bouton « Modifier… » qui permet justement de déplacer le rôle. Il faudra cependant réaliser cette action depuis le serveur devant accueillir le rôle car vous n’avez pas la possibilité de choisir un contrôleur spécifique à partir d’une liste. Le deuxième champ sert justement à identifier clairement vers quel serveur vous vous apprêtez à transférer le rôle.

{gallery}20_move_FSMO/2{/gallery}

 

 

 

 

 

 

 

 

 

Concernant les deux autres maîtres d’opérations, de niveau forêt, il faudra accéder à deux interfaces graphiques différentes.

Pour localiser le maître d’attribution de noms  de domaine, ouvrez la mmc « Domaines et approbations Active Directory » et sélectionnez « Maître d’opérations… » à l’aide d’un clic droit directement sur la racine « Domaine et approbations Active Directory ». La fenêtre « Maître d’opérations » se présente exactement sous la même forme que précédemment et « Modifier… » s’utilise dans les mêmes conditions.

{gallery}20_move_FSMO/3{/gallery}

 

 

 

 

 

 

 

Pour le dernier maître d’opérations Maître de schéma, nous allons passer par la mmc « Schéma Active Directory », toutefois la console n’est pas disponible par défaut et il faut inscrire au préalable sa DLL. Depuis « Executer », lancer la commande « regsvr32 schmmgmt.dll ».

{gallery}20_move_FSMO/4{/gallery}

 

 

 

 

 

Une fois la commande exécutée, lançons « mmc » toujours à partir de « Executer ». Depuis mmc, aller dans « Fichier » | « Ajouter/Supprimer un composant logiciel enfichable… », sélectionner le composant logiciel enfichable « Schéma Active Directory » et cliquer sur « Ajouter ».

{gallery}20_move_FSMO/5{/gallery}

 

 

 

 

 

 

 

Désormais, nous avons le logiciel composant enfichable « Schéma Active Directory » à notre disposition. Double-cliquons sur la racine pour nous connecter sur le serveur local et accéder aux différentes propriétés. Sélectionnons « Maître d’opérations… » à l’aide d’un clic droit pour enfin afficher le nom du contrôleur désigné comme maître de schéma et pour en changer le cas échéant et si nécessaire.

{gallery}20_move_FSMO/6{/gallery}

 

 

 

 

 

 

 

 

 

Localiser et déplacer les maîtres d’opérations par l’invite de commandes

La ligne de commande est plus efficace pour localiser rapidement les maîtres d’opérations. En effet, l’usage de l’interface graphique nécessite l’accès à trois mmc différentes et l’enregistrement d’une DLL pour obtenir ces informations alors qu’une simple commande va nous permettre d’obtenir le même résultat. Nous avons la possibilité d’utiliser par exemple l’outil NETDOMDCDIAG ou NTDSUTIL.

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K3 » disposant des 5 rôles pour le domaine « domaine.local ».

« NETDOM » est l’outil fournissant le résultat le plus clair. Il suffit de saisir « netdom query /domain:[MONDOMAINE] fsmo » à partir de l’invite de commandes pour obtenir la liste des maîtres d’opérations et les serveurs associés.

{gallery}20_move_FSMO/6a{/gallery}

 

 

 

 

Pour « DCDIAG » il suffira de lancer depuis l’invite de commandes « dcdiag /test:KnowsOfRoleHolders /v » et d’analyser le résultat au niveau de Démarrage du test : KnowsOfRoleHolders. Pour chaque rôle vous avez le  CN du serveur détenant les rôles après CN=NTDS Settings.

{gallery}20_move_FSMO/7{/gallery}

 

 

 

 

« NTDSUTIL » est un peu plus complexe étant l’outil de maintenance Active Directory alors que DCDIAG n’est, quant à lui, qu’un outil d’analyse. Nous allons commencer par lancer la commande « ntdsutil » depuis l’invite de commandes. Ensuite il faudra saisir séquentiellement les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • select operation target
  • list roles for connected server

{gallery}20_move_FSMO/8{/gallery}

 

 

 

 

 

Nous obtenons donc un résultat similaire à celui fourni par DCDIAG grâce à la commande « list roles for connected server ».

 

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K8 »  en liaison avec un contrôleur « W2K3 » disposant des 5 rôles pour le domaine « domaine.local ».

Pour déplacer les maîtres d’opérations depuis l’invite de commande, nous n’aurons pas d’autres choix que d’utiliser « NTDSUTIL ». Pour transférer un rôle, il faudra, comme à travers la mmc, se connecter sur le serveur qui l’accueillera et saisir les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • transfer PDC
  • transfer RID master
  • transfer infrastructure master
  • transfer naming master
  • transfer schema master

{gallery}20_move_FSMO/9{/gallery}

 

 

 

 

 

A chaque transfert, une demande de confirmation apparaîtra sous la forme d’un popup.

 

 

 

Forcer le déplacement des maîtres d’opérations

On parle en général de saisir les maîtres d’opérations  ou encore plus communément on utilise le terme de seize. Cela correspond à forcer le transfert des rôles sans prévenir le contrôleur détenteur parce qu’il n’est pas possible de le faire autrement. En effet, quand un transfert des maîtres d’opérations est réalisé entre deux contrôleurs, le nouveau contrôleur prévient l’ancien contrôleur qu’il est désormais le maître d’opérations. Lorsqu’on réalise une opération de saisie des rôles, le nouveau contrôleur maître ne préviendra pas son homologue. Ce genre de manipulation est réalisé dans le cadre d’une avarie grave et irréparable d’un maître d’opération, qui n’étant plus joignable, ne peut réaliser le transfert des rôles dans un cadre normal.

ATTENTION !!! Lorsque les maîtres d’opérations sont saisis, il ne faut en aucun cas que le l’ancien contrôleur maître ressurgisse sur le domaine. En effet, n’étant pas au courant de cette saisie de rôles, ceci pourrait entraîner de lourdes conséquences.

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K3 » disposant des 5 rôles et un contrôleur « W2K8 » qui va en prendre possession. Le domaine est « domaine.local ».

La saisie est réalisée par le biais de la commande « NTDSUTIL ». Lançons donc la commande « ntdsutil » depuis l’invite de commandes et exécutons les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • seize PDC
  • seize RID master
  • seize infrastructure master
  • seize naming master
  • seize schema master

 

A chaque demande de saisie, « NTDSUTIL » essayera toujours dans un premier temps de transférer si possible chaque rôle. En toute logique, cela échoue est génère une erreur car la prise de rôles forcée est liée à l’impossibilité de les transférer simplement donc ne tenez pas compte de l’erreur du type problem 502. Vous aurez également un popup qui apparaîtra pour valider la prise de rôle. Enfin, réalisez une vérification sur la saisie des rôles à l’aide de la commande « list roles for connected server ».

{gallery}20_move_FSMO/10{/gallery}

 

 

 

 

 

 

Une saisie des rôles induit donc qu’un contrôleur n’a pu être rétrogradé. Malgré son absence physique au sein de votre infrastructure, il est cependant toujours présent dans la base Active Directory. Nous aurons donc besoin de le supprimer manuellement de la base Active Directory une fois les rôles transférés. Cette opération s’appelle metadada cleanup et est détaillé dans un article Microsoft à votre disposition ici.

 

 

Conclusion

Nous avons donc vu dans cet article comme localiser et déplacer les maîtres d’opérations qui servira de point de départ à un prochain article sur les règles de placement pour assurer un fonctionnement optimal de votre annuaire Active Directory.

Le catalogue global Active Directory

Sommaire

 

 

Introduction

Un annuaire Active Directory a besoin d’une somme d’éléments essentiels pour assurer sa bonne marche au sein d’un environnement de production. Nous avons les maîtres d’opérations qui assurent des tâches spécifiques et que nous vous détaillons dans l’article  Les maitres d’opérations Active Directory mais également le catalogue global (GC) que nous vous présentons dans cet article. Il est un récapitulatif de la documentation Technet What Is the Global Catalog?.

 

 

Définition d’un catalogue global

Le catalogue global est principalement une base stockant et distribuant une représentation partielle des objets d’une forêt. En effet, chaque contrôleur contient une copie complète de sa partition de domaine mais ne dispose pas des autres partitions de domaine de la forêt. De ce fait, il peut facilement trouver les objets appartenant à son domaine mais ne peut localiser des objets d’un autre domaine sans faire appel au catalogue global. Disposant d’une copie des attributs principaux de tous les objets présents dans la forêt, il rend possible cette recherche.

Chaque attribut du schéma devant être répliqué sur le catalogue global est identifié par Active Directory avec la valeur Partial Attribute Set (PAS). Elle est défini par défaut par Microsoft mais peut être customisée celons les besoins.

Un catalogue global est tout simplement une fonctionnalité à activer sur un contrôleur de domaine. Par défaut le premier contrôleur de domaine d’une forêt est promu en tant que catalogue global.

 

 

Les usages principaux d’un catalogue global

Comme nous le disions dans la section précédente, la fonction principale d’un catalogue global est de permettre la recherche d’objet au niveau de la forêt. Il est toutefois nécessaire de disposer d’un catalogue global dans un unique domaine car de nombreuses applications basent ses recherches à partir de cette fonctionnalité (la fonctionnalité Rechercher sur les stations clientes par exemple). Les requêtes au niveau du catalogue global sont de type LDAP mais sont effectuées cependant sur le port 3268.

Seul le catalogue global permet de résoudre les UPN (User Principal Name) qui offre la possibilité de se connecter sur plusieurs domaines d’une forêt à partir d’un unique point. De plus, un contrôleur de domaine aura besoin également du catalogue global pour obtenir l’énumération des groupes universels (pour en savoir plus sur cette étendue de groupe, rendez-vous sur l’article Les groupes Active Directory) et autoriser l’authentification de cet UPN. Par exemple, si je désire me connecter sur le domaine « canada.corpnet.net » depuis le domaine « france.corpnet.net », je pourrai le faire en utilisant l’UPN « aaugagneur@canada.corpnet.net » pour le compte utilisateur « aaugagneur » et appartenant au groupe universel « utilisateurs corpnet ».

Enfin, certaines applications doivent disposer d’un catalogue global pour pouvoir fonctionner correctement comme Microsoft Exchange et ses listes d’adresses globales.

Nous vous rappelons que si vous désirez plus de détails sur l’usage d’un catalogue global, vous avez la possibilité de vous rendre sur le lien Technet fournis en introduction.

 

 

Localiser un serveur catalogue global

Nous disposons de plusieurs outils pour localiser facilement les catalogues globaux. Bien que nous puissions le faire depuis l’interface graphique, selon le type d’arborescence et le nombre de contrôleurs la tâche peut être fastidieuse. L’idéal sera d’utiliser les outils en ligne de commande « NLTEST » et « NSLOOKUP ».

 

« NLTEST » va nous permettre de localiser les contrôleurs d’un domaine disposant de la fonctionnalité catalogue global. Ouvrons l’invite de commandes et saisir la commande « nltest /dsgetdc:[MONDOMAINE]  /GC ». Dans l’exemple ci-dessous, nous avons un domaine « corpnet.net » constitué d’un seul catalogue global. {gallery}19_AD-GC/1{/gallery}

 

 

 

 

 

 

Vous pouvez également faire la même opération simplement avec « NSLOOKUP » et à la différence de nltest, il va pouvoir lister la totalité des catalogues globaux d’une forêt. En effet chaque catalogue global est enregistré en tant que ressources SRV depuis le service DNS. Ouvrons une invite de commandes et saisir la commande « nslookup gc._msdsc.[MAFORET] ». Dans l’exemple suivant, nous faisons une recherche toujours depuis le domaine « corpnet.net » et deux domaines enfants constitués chacun d’un catalogue global. Nous obtenons bien la liste des trois catalogues globaux (adresses IP).

{gallery}19_AD-GC/2{/gallery}

 

 

 

 

 

 

 

Promouvoir un serveur catalogue global

Le plus simple pour définir un contrôleur de domaine en tant que catalogue global est de passer par l’interface graphique. Pour cela, ouvrons la mmc « Sites et services Active Directory » depuis « Démarrer » | « Outils d’administration ». Naviguez ensuite dans « Sites » | «  [MONSITE] » | « Servers » pour obtenir la liste des contrôleurs appartenant au site. Nous voyons en l’occurrence que la colonne « type de contrôleurs de domaine », indique quel contrôleur de domaine est défini comme catalogue global (dénomination GC). Sélectionner le contrôleur voulu, faire un clic droit sur « NTDS Settings » et choisir « propriétés ». Une fois les propriétés ouvertes, il suffit de cocher simple « catalogue global » depuis l’onglet « Général ».

{gallery}19_AD-GC/3{/gallery}

 

 

 

 

 

 

 

 

 

 

Placement d’un serveur catalogue global

Pour le placement du catalogue global, nous vous invitons à vous rendre en priorité sur la page Technet Planning Global Catalog Server Placement.

CAS 1: si l’annuaire est constitué d’un unique domaine et sur un seul et même site alors le placement devrait se faire sur tous les contrôleurs du domaine.

CAS 2: Si un des contrôleurs est disposé sur un autre site avec une liaison lente alors nous opterons plutôt pour l’activation de la mise en cache des groupes universels au lieu de le configurer comme catalogue global.

ATTENTION !!! Dans un environnement multi-domaines ou si tous les contrôleurs ne sont pas catalogues globaux dans un domaine unique, il ne faut jamais  placer le maître d’opération « Maître d’infrastructure »  et la fonctionnalité catalogue global sur le même contrôleur. En effet, le maître d’infrastructure met à jour des références d’objets à partir des autres domaines de la forêt en interrogeant un catalogue global. Le catalogue global étant toujours à jour et permettant à un contrôleur de disposer d’une copie locale partielle de l’ensemble des données Active Directory, le maître d’infrastructure ne créera pas ou ne mettra plus à jour ses références (objets fantômes).

 

Pour une forêt multi-domaines et multi-sites, nous nous baserons sur l’illustration de Technet disponible ci-dessous. En clair, vous aurez besoin d’un catalogue global par emplacement géographique si :

  • Une application nécessite un catalogue global (Par exemple Exchange)
  • Un nombre d’utilisateurs supérieur à 100
  • Une liaison lente entre le site et le catalogue global
  • Des problèmes de performances ou un fort nombre d’utilisateurs utilisant des profils itinérants

{gallery}19_AD-GC/4{/gallery}

 

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc pu à travers cet article comprendre la notion de catalogue global dans une architecture Active Directory et les opérations lui étant associées. Architecturer et optimiser votre annuaire passera forcément par cette fonctionnalité et les préconisations qui l’entourent.

Les maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Malgré la profusion d’articles traitant de ce sujet, nous avons décidé de vous le proposer afin de servir de référence pour d’autres articles qui analyseront en profondeur l’utilisation des rôles FSMO. Nous allons reprendre dans les grandes lignes les articles  que nous considérons comme le plus complet sur la question qui sont ceux à votre disposition sur le site de Technet (Operations Master RolesOperations Masters Technical ReferenceAdministering Operations Master Roles). Ces derniers étant en anglais, cette traduction vous apportera sans doute une aide supplémentaire.

Active Directory est une architecture multi-maître c’est-à-dire que chaque contrôleur du domaine est autonome et apte à prendre en compte des modifications et les répliquer sur ses pairs. Dans le cas où un contrôleur serait isolé, il fonctionnera indépendamment  jusqu’à pouvoir de nouveau communiquer avec les autres contrôleurs. Il peut en résulter des conflits qui sont généralement résolus efficacement par Active Directory. Cependant certaines opérations comme les modifications de schéma peuvent entrainer de lourdes conséquences sur le fonctionnement de votre annuaire.  Il a donc fallu introduire une solution de prévention pour éliminer toute possibilité de conflits lors d’une réplication. C’est donc là que certains rôles FSMO prennent tout leur sens (en effet, certains rôles sont là également pour régler des problèmes d’ordre sécuritaire). En prenant l’exemple de la modification du schéma Active Directory, le pilotage est réalisé par un seul et unique contrôleur disposant du rôle « maître de schéma » faisant partie de l’un des cinq rôles FSMO.

Nous allons donc voir ensemble et en détail ces rôles.

 

 

Présentation générale des maîtres d’opérations

FSMO signifie « Flexible Single-Master Operation » cependant cette appellation a disparu officiellement pour être désormais nommé « maîtres d’opérations ». Comme nous le disions en introduction, ils ont chacun un usage bien spécifique au niveau d’un domaine et d’une forêt.

 

Vous avez deux rôles au niveau de la forêt :

  • Schema Master (Maître de Schéma)
  • Domain Naming Master (Maître d’attribution de noms de domaine)

 

Vous avez trois rôles au niveau du domaine :

  • Infrastructure Master (Maître d’infrastructure)
  • RID Master (Maître RID)
  • PDC Emulator (Emulateur de contrôleur de domaine principal)

 

Vous aurez uniquement un maître de schéma et un maître d’attribution de noms de domaine dans une forêt alors que vous aurez un maître d’infrastructure, un maître RID et un Emulateur PDC pour chacun de vos domaines. Par exemple, pour une forêt « corpnet.net » et deux sous-domaines « france.corpnet.net » et « canada.corpnet.net », vous obtiendrez la répartition suivante :

  • Maître de schéma : corpnet.net
  • Maître d’attribution de noms de domaine : corpnet.net
  • Maître d’infrastructure : corpnet.net
  • Maître d’infrastructure : france.corpnet.net
  • Maître d’infrastructure : canada.corpnet.net
  • Maître RID : corpnet.net
  • Maître RID : france.corpnet.net
  • Maître RID : canada.corpnet.net
  • Emulateur PDC : corpnet.net
  • Emulateur PDC : france.corpnet.net
  • Emulateur PDC : canada.corpnet.net

 

Vous aurez donc deux rôles de niveau forêt par forêt et trois rôles au niveau domaine par domaine. Dans l’exemple ci-dessus, comme nous avons trois domaines dans une forêt, nous avons donc 11 rôles FSMO sur l’ensemble de la forêt. Nous constatons également que les rôles de niveau forêt sont placés sur le domaine racine « corpnet.net » cependant rien ne nous empêcherait de les placer sur les domaines « france.corpnet.net » ou « canada.corpnet.net ».

Lors de l’installation du premier contrôleur de domaine « corpnet.net », les 5 rôles ont été attribués à ce contrôleur. Lors de la création des deux domaines enfant, chacun des contrôleurs se sont vu attribuer les 3 rôles de niveau domaine.

 

 

Détail de chaque maître d’opérations

Nous allons désormais détailler chacun des rôles et leur fonction au sein de l’annuaire.

Maître de schéma : Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.

Maître d’attribution de noms de domaine : Ce rôle permet principalement de gérer  l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.

Maître d’infrastructure : Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d’un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l’utilisateur sur le domaine A sera répercutée par le maître d’infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.

Maître RID : Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur…), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

Emulateur PDC : Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.

 

 

Récapitulatif

Rôle

Description

Niveau

Maître de schéma

  • Mise à jour du schéma

Forêt

Maître d’attribution de noms de domaine

  • Ajout/Suppression de domaine
  • Renommage de domaine (à partir de Windows 2003)

Forêt

Maître d’infrastructure

  • Mise à jour et réplication des références d’objet inter-domaines

Domaine

Maître RID

  • Distribution des plages RID

Domaine

Emulateur PDC

  • Prise en charge des communications avec clients/serveurs de type NT (antérieur à 2000)
  • Réplication des modifications des mots de passe
  • Gestion des erreurs d’authentification
  • Serveur de temps par défaut

Domaine

 

 

Conclusion

Nous avons donc vu dans cet article la définition de chacun des maîtres d’opérations et leur utilité au sein d’un annuaire Active Directory.

Un autre élément composant l’annuaire Microsoft et qui nécessite approfondissement est le catalogue global. Nous vous invitons à découvrir également cette fonctionnalité depuis l’article Le catalogue global Active Directory.

Si vous désirez savoir quels sont les maîtres d’opérations de votre annuaire ou comment les déplacer, nous vous proposons également l’article Localiser et déplacer les maîtres d’opérations Active Directory.