Présentation des rôles de maîtres d'opérations sous Windows Server 2003 (FSMO) Accueil > Articles > Système
Auteur  Camille BEFFARA MGI CONSULTANTS Ingénieur système et réseau  Tous les articles de cet auteur Mathieu MANSION EXAKIS Ingénieur d'études  Tous les articles de cet auteur Nicolas MILBRAND LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingénieur systèmes et réseaux  Tous les articles de cet auteur		3,2/5 Assez Bien 211754 565/1824

4. Maître d'infrastructure

Dans Active Directory, certains types de groupes peuvent contenir des comptes d'utilisateurs des domaines approuvés. Afin d'être sur de l'authenticité des noms dans le groupe d'appartenance, les GUID des utilisateurs sont utilisés (en effet, le GUID est unique dans la forêt). Lorsque l'on affiche tous les membres d'un groupe comprenant des utilisateurs de domaines approuvés, Active Directory doit pouvoir afficher le nom actuel de l'utilisateur de manière précise, sans pour cela avoir à contacter le contrôleur de domaine du domaine approuvé ou un serveur de catalogue global.

Active Directory utilise donc des objets fantômes pour les références aux utilisateurs des différents domaines. Cet objet fantôme est un objet spécial qui ne peut être vu d'aucune façon par les outils d'exploration LDAP.

Ces enregistrements fantômes contiennent une quantité minimale d'informations qui permet à un contrôleur de domaine de se référer à l'emplacement dans lequel l'objet original existe. Cet objet fantôme  contient les informations suivantes de l'objet auquel il fait référence:
 - le nom unique,
 - le SID
 - le GUID.

Lors de l'ajout d'un membre d'un domaine différent dans un groupe, le contrôleur de domaine local qui contient le groupe crée cet objet fantôme pour l'utilisateur étranger. Si le nom de cet utilisateur est modifié, ou bien lors d'une suppression, l'objet fantôme doit être mis à jour ou supprimé du groupe sur tous les contrôleurs de domaine du domaine contenant cette référence. C'est le rôle du maître d'infrastructure.

Si un objet auquel un objet fantôme fait référence a été modifié ou supprimé, l'objet fantôme doit être modifié ou supprimé du domaine le contenant. Le contrôleur de domaine possédant le rôle de maître d'infrastructure est chargé de ces opérations au sein du domaine dans lequel il opère.

Le maître d'infrastructure compare régulièrement les informations des objets fantômes présent dans sa base de donnée avec la dernière version du répliquas des objets sur un serveur de catalogue global. Si les SID ou les distinguished name  ne correspondent pas avec ceux des objets fantômes, alors le maître d'infrastructure met à jour les objets fantômes qu'il contient.

Plus en détail, si le maître d'infrastructure détecte que l'objet original auquel réfère un objet fantôme à changé ou a été supprimé , il crée un objet infrastructure-Update dans le conteneur CN=Infrastructure,DC=DomainName,DC=… , cet objet est ensuite répliqué aux autres contrôleurs de domaine excepté les serveurs de catalogue global.

• Si l'objet original à été renommé, la valeur de l'attribut DNReferenceUpdate de l'objet infrastructure-Update contient le nouveau nom.

• Si l'objet original à été supprimé, le nom unique de l'objet (DN) est modifié de manière à ce que (esc)DEL:GUID apparaisse dans le nom original.

Les contrôleurs de domaines utilisent les informations contenues dans l'objet infrastructure-Update afin de mettre à jour en conséquence leur copie locale de l'objet fantôme. Lors d'une suppression, les contrôleurs de domaine suppriment l'objet fantôme ainsi que tous les attributs correspondants à cette référence (par exemple l'attribut member dans un groupe). Une fois les mises à jour des objets fantômes effectuées, l'objet infrastructure-Update est lui même supprimé.

Sous Windows 2000 L'intervalle d'actualisation peut être personnalisé en changeant une clé dans la base de registre :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Days per database phantom scann. Par défaut cette valeur est de 2 jours.

source : http://support.microsoft.com/default.aspx?scid=kb;en-us;248047

N.B : Le maître d'infrastructure ne peut pas être serveur de catalogue global!
En effet, comme le serveur de catalogue global contient un répliquât partiel  de chaque objet contenu dans Active Directory, aucun objet fantôme n'est créé sur ce contrôleur de domaine. Le maître d'infrastructure ne stocke donc pas les versions fantômes des objets étrangers car il possède déjà une copie de ces objets dans le catalogue. Si le maître d'infrastructure est placé sur un serveur de catalogue vous pourrez voir dans l'observateur d'évènement une erreur avec un event ID 1419

Il existe seulement deux exceptions à cette règle :

• dans le cadre d'une forêt contenant un seul domaine,  il n'y a pas d'objets fantômes (car pas d'objets étrangers venant d'autres domaines), donc le maître d'infrastructure n'est pas utile, il peut donc être placé sur n'importe quel contrôleur de domaine.

• Dans une forêt multi-domaine, ou chaque contrôleur de domaine est également serveur de catalogue global, il n'y a également pas d'objets fantômes. Le maître d'infrastructure n'est donc pas utile, il reste dans un état dormant et peut être placé sur n'importe quel contrôleur de domaine.

Si le maître d'infrastructure n'est pas joignable, il n'est pas possible de déplacer des objets.

- Par l'interface graphique : ouvrir la console MMC Utilisateurs et ordinateurs Active Directory, cliquer droit sur le nom du domaine et sélectionner Maîtres d'opérations.

- En ligne de commande : taper dsquery server -hasfsmo infr

Sommaire 1. Maitre d'attribution des noms de domaine        1.1 Son rôle        1.2 Problèmes        1.3 Où l'identifier 2. Contrôleur de schéma        2.1 Son rôle        2.2 Si il n'est pas disponible        2.3 Modifier le schéma        2.4 Le catalogue global        2.5 Où l'identifier 3. Maître RID        3.1 SID        3.2 GUID        3.2 Rôle        3.3 Où l'identifier 4. Maître d'infrastructure        4.1 Les objets fantomes        4.2 Rôle        4.3 Où l'identifier 5. Emulateur PDC        5.1 Son rôle

5.2 Verrouillage des comptes        5.3 Changement des mots de passe        5.4 Gestion des GPO        5.5 Mecanisme horaire        5.6 Localisation par les clients        5.7 Comment l'identifier        5.8 Positionnement 6. Transfert de rôle        6.1 Transférer le rôle de controleur de schéma        6.2 Transférer le rôle de maître d'attribution des noms de domaine        6.3 Transférer les autres maîtres        6.4 Transfert en ligne de commande 7. Prise de rôle        7.1 Le maître RID        7.2 L'émulateur PDC        7.3 Le maître d'infrastructure        7.4 Le maître d'attribution des noms de domaine        7.5 Le maître de schéma Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft