شرح les rôles FSMO Windows server 2019 /FSMO Roles скачать в хорошем качестве

شرح les rôles FSMO Windows server 2019 /FSMO Roles

FSMO(Flexible Single Master Operations) I) Partie Théorique : Les rôles FSMO (Flexible Single Master Operations) sont des rôles spécialisés attribués à certains contrôleurs de domaine dans un environnement Active Directory. Même si Active Directory fonctionne en multi-maître (multi-master), certaines opérations critiques ne peuvent être exécutées que par un seul contrôleur de domaine (DC) à la fois. Pour éviter les conflits et assurer la cohérence des données, Microsoft a défini 5 rôles uniques appelés FSMO. IL Y'A 5 Rôles FSMO: ** 2 rôles au niveau Forêt (Forest-wide) ** 3 rôles au niveau Domaine (Domain-wide) 🌲 II) Rôles FSMO au niveau Forêt : Ces rôles sont uniques dans toute la forêt. 1️⃣ Maître de Schéma (Schema Master) : Le Schema Master est le contrôleur de domaine responsable de toutes les modifications du schéma Active Directory. Le schéma définit : Les types d’objets (User, Group, Computer…) Les attributs associés à ces objets (nom, SID, mail, etc.) 👉 Toute modification du schéma doit passer obligatoirement par ce DC. 🔹 Exemples d’utilisation Installation de Microsoft Exchange Server Installation de Microsoft SQL Server (certaines extensions) Ajout d’applications qui étendent le schéma 2️⃣ Maître d’attribution des noms (Domain Naming Master) : Le Domain Naming Master contrôle L’ajout de nouveaux domaines et La suppression de domaines L’ajout de nouveaux arbres dans la forêt Il garantit que : Aucun nom de domaine ne soit dupliqué La structure logique de la forêt reste cohérente 🏢 III) Rôles FSMO au niveau Domaine Ces rôles sont uniques dans chaque domaine. 3️⃣ Maître RID (Relative ID Master) : Le RID Master est responsable de la distribution des blocs RID aux contrôleurs de domaine. 🔹 Rappel sur le SID: Chaque objet dans Active Directory possède un SID (Security Identifier) composé de : SID du domaine RID unique Le RID Master attribue des blocs RID (par exemple 500 RID) aux DC Chaque DC utilise son bloc pour créer utilisateurs, groupes, ordinateurs ⚠️ Problème possible: Si : ** Le RID Master est indisponible longtemps ** Et les pools RID sont épuisés ➡️ Impossible de créer de nouveaux objets dans le domaine. 4️⃣ Émulateur PDC (PDC Emulator) :Le PDC Emulator est le rôle FSMO le plus important dans un domaine. Il émule l’ancien contrôleur principal (Primary Domain Controller des anciens systèmes). 🔹 Fonctions principales ✅ Source officielle de synchronisation NTP du domaine ✅ Gestion prioritaire des changements de mots de passe ✅ Gestion des verrouillages de comptes ✅ Référence principale pour les GPO Il est fortement lié au service de temps Windows et aux stratégies de groupe. ⚠️ Pourquoi il est critique ? ** Si le PDC tombe : ** Problèmes de synchronisation d’heure ** Problèmes d’authentification ** Conflits de mot de passe C’est généralement le rôle à surveiller en priorité. 5️⃣ Maître d’infrastructure (Infrastructure Master) : Le Infrastructure Master est responsable de la mise à jour des références inter-domaines. 🔹 Rôle technique Il met à jour : ** Les SID ** Les noms d’objets provenant d’autres domaines Exemple : ** Si un utilisateur d’un autre domaine est membre d’un groupe local, et que son nom change, l’Infrastructure Master met à jour cette référence. Supposons : ** SRVDC1 (Contrôleur principal) ** SRVDC2 (Contrôleur secondaire) 🔎 1️⃣ Afficher les rôles FSMO A) Méthode Graphique (GUI en français) 🔹 Maître de schéma Ouvrir win + R Taper : regsvr32 schmmgmt.dll Taper : mmc Fichier → Ajouter/Supprimer un composant logiciel enfichable Ajouter : Schéma Active Directory Clic droit → Maître d’opérations 🔹 Maître d’attribution des noms Ouvrir : Domaines et approbations Active Directory Clic droit sur la racine → Maître d’opérations 🔹 Les 3 rôles Domaine Ouvrir le console : Utilisateurs et ordinateurs Active Directory Clic droit sur le domaine → Maître d’opérations B) Méthode PowerShell ✔️ Afficher tous les rôles netdom query fsmo Transfert = propre (le DC source fonctionne) 🔹 Via interface graphique Dans chaque console → Maître d’opérations → Modifier 🔹 Via PowerShell (méthode recommandée) Transférer tous les rôles vers SRVDC2 : Move-ADDirectoryServerOperationMasterRole -Identity "SRVDC2" -OperationMasterRole "nom du role" 🚨 3️⃣ Seize (Prise de force des rôles) Quand utiliser “Seize” ? On utilise Seize uniquement si : ** L’ancien contrôleur de domaine (DC) est HS définitivement ** Il ne reviendra plus jamais en ligne Si le DC fonctionne encore ➜ on fait un Transfer, pas un Seize. Procédure Seize avec ntdsutil Ouvrir Invite de commandes en Administrateur Se placer sur le nouveau DC (ex : SRVDC2) 1️⃣ Lancer l’outil ntdsutil 2️⃣ Entrer dans la gestion des rôles roles 3️⃣ Se connecter au nouveau serveur connections connect to server SRVDC2 Si message : Connected to SRVDC2 Puis : quit 🔥 4️⃣ Seize des rôles Tu peux saisir un rôle ou tous les rôles un par un. 🔹 Seize PDC seize pdc ...