	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress

Ajouter laboratoire-microsoft.org à mes favoris

Faire de laboratoire-microsoft.org ma page par défaut

Accueil News Articles Essentiels Vidéos Express Scripts Windows Outils d'administration Logiciels Pocket PC Whitepapers Définitions Histoires droles Perles :-) Easter Eggs Livres

Espace membres :

Mot de Passe oublié ?
Créer un compte

CodeName :

Liberty
Qu'est ce que c'est ?

Tips :

Terminer un processus en ligne de commande Lister les processus en ligne de commande Donner des priorites a vos emails sous Outlook 2007 Vous trouvez que Powershell est long a démarrer? Import Export automatique d''informations de la base de registre Activer Windows Server 2008 Edition Core Modifier la clé produit sur Windows Server 2008 Edition Core Désactiver la mise en veille sécurisée sous Windows Server 2008 Edition Core Changer le temps avant l’affichage de l’écran de veille sous Windows Server 2008 Edition Core Désactiver l’écran de veille sous Windows Server 2008 Edition Core

Fonds d'écran :

Factoids :

27 Février 2008
Qu'est ce que c'est ?

Top Sites : 1er - ...2ème - Informatruc 3ème - TopHebergemen...4ème - 3etoiles.net<...5ème - SoSWindows

2914 Visiteurs

Site audité par :

Jugez notre site !

Tous les Articles du Laboratoire Microsoft

Présentation des rôles de maîtres d'opérations sous Windows Server 2003 (FSMO)
Accueil > Articles > Système

Auteur

Camille BEFFARA
MGI CONSULTANTS
Ingénieur système et réseau

Tous les articles de cet auteur

Mathieu MANSION
EXAKIS
Ingénieur d'études

Tous les articles de cet auteur

Nicolas MILBRAND
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Ingénieur systèmes et réseaux

Tous les articles de cet auteur

3,2/5

Assez Bien

217960
565/1824

5. Le maître d'émulateur du contrôleur de domaine ( PDC Emulator)

5.1. Son Rôle ?

Lors de l'installation d'un nouveau domaine, le premier contrôleur de domaine endosse le rôle d'émulateur PDC(Primary Domain Controller). Ce rôle est particulièrement important au bon fonctionnement de chaque domaine de la forêt. Attention, il ne peut exister qu'un émulateur PDC au sein d'un domaine.

Le maître d'émulateur PDC assure 4 fonctions au sein d'un domaine Active Directory :

Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup Domain Controller).
La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe.
Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine, ils sont par exemple nécessaires aux horodatage insérés dans les paquets d’authentification Kerberos v.5.
Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d'interdire toute possibilité d’écrasement et de conflit.

Nous développerons en détail chacune de ces fonctionnalités.

5.2. Verrouillage des comptes utilisateurs.

Les contrôleurs de domaines primaire (Primary Domain Controller) fonctionnant sous Windows NT Server 4.0 et les maîtres d'opérations d'émulateur PDC exécutant Windows 2000/3 Serveur reçoivent des réplications dites "urgente" relatives au verrouillage de comptes utilisateurs. Cela n'a rien de surprenant puisque sous Windows NT seul la machine PDC dispose de droit en lecture et écriture sur la base de donnée des comptes utilisateurs SAM (Security Accounts Manager). Le verrouillage de comptes utilisateurs peut être réalisé manuellement à l'aide de la console Utilisateurs et Ordinateurs Active directory, ou bien automatiquement via une stratégie de verrouillage de comptes.

Petit rappel sur l'utilité d'une réplication urgente:

Dans les cas listés ci-dessous touchant à la sécurité du service d’annuaire Active directory, la convergence des contrôleurs du domaine doit être la plus rapide possible.

verrouillage de comptes d'utilisateurs
modification de la stratégie de verrouillage des comptes
modification de la stratégie de mot de passe du domaine
modification du mot de passe d'un contrôleur de domaine
modification des mots de passe des approbations de domaine
modification de la machine ayant le rôle de maître d'opération RID.

Ces événements sont donc traités rapidement en contournant les réplications basées sur les notifications. En fait il s’agit de demandes de réplications notifiées mais envoyées immédiatement sans tenir compte des délais fixés par l'administrateur. Ainsi la période de réplication vers les autres contrôleurs de domaine Active Directory qui par défaut est de 15 secondes sous Windows 2003 et de 5 minutes sous Windows 2000 serveur est ignorée. Par soucis de rapidité, les réplications urgentes s’appuient sur le protocole RCP/IP.

Voici le cycle de réplication de l'information de verrouillage d'un compte utilisateur:

Dans cette exemple, le domaine Supinfo.com est scindé en trois sites: Strasbourg, Paris et Nantes. L'émulateur PDC se trouve sur le site de Paris.

Étape 1: Sur le Site de Strasbourg, un administrateur verrouille le compte d'utilisateur Toto à partir du contrôleur de domaine nommé STBG . Suite à cette action, le maître d’opérations PDC fait l’objet d’une réplication urgente.
Étape 2: Le ou les contrôleurs de domaine du même domaine situés sur le même site que le maître d’opérations PDC font l’objet d’une réplication urgente.
Étape 3: Le ou les contrôleurs de domaine du même domaine situés sur le même site que le contrôleur de domaine qui a provoqué le blocage de comptes font l’objet d’une réplication urgente.
Étape 4: Enfin, le ou les contrôleurs de domaine du même domaine qui sont situés sur des sites configurés pour permettre le passage des notifications sur modification (et donc les réplications urgentes) avec le site qui contient l'émulateur PDC ou le site sur lequel le compte utilisateur a fait l’objet du verrouillage.

A ce propos, quand le contrôleur de domaine local détecte une demande d’authentification avec un mauvais mot de passe, la demande d’authentification est réitérée vers le contrôleur de domaine possédant le rôle de maître émulateur PDC. De ce fait, c’est généralement sur ce contrôleur particulier que le compte sera verrouillé.

5.3. Changement des mots de passe.

La latence des systèmes de réplication utilisée par les systèmes distribués peut provoquer l’apparition d’informations contradictoires qui nuisent à la sécurité.
Ainsi pour solutionner cet inconvénient le système de réplication de l’annuaire Active Directory réalise les modifications des mots de passe de manière spécifique en privilégiant en tout premier lieu la machine maître d’opération PDC du domaine.

Une opération de changement de mot de passe préfère donc l'émulateur PDC sans aucune considération de disponibilité par rapport aux liens de sites.

Comme cela est déjà le cas sous Windows NT 4.0, si le contrôleur utilisé par le client ne dispose pas de la bonne version du mot de passe, le contrôleur contactera le contrôleur de domaine possédant le rôle de maître d’opérations PDC.
Comme il s’agit de la machine qui fait office de contrôleur privilégié pour ce genre d’opérations, l’utilisateur est alors contrôlé comme il se doit.

Synchronisation urgente du mot de passe

Lorsqu‘un contrôleur de domaine Windows Server 2003 ou Windows 2000 Server SP4 possédant le rôle de maître d’opérations PDC Emulator reçoit une demande de vérification de mot de passe pour le compte d’un autre contrôleur, le contrôleur d'émulation PDC réalise une synchronisation urgente du mot de passe du compte utilisateur vers le contrôleur ayant transmis la demande.

Changement de mots de passe lorsque l'émulateur PDC est indisponible.

Lorsque le domaine atteint un niveau fonctionnel Windows 2000 natif ou Windows 2003 et qu’il n’est donc plus possible de supporter les anciens contrôleurs secondaire NT 4, alors si l'émulateur PDC du domaine est indisponible, les ordinateurs Windows 2000/XP professionnel et Windows Serveur 2000/3 pourront sélectionner un contrôleur local à leur site.

De cette manière, les sites distants ne sont plus totalement dépendants du site qui possède l'émulateur PDC. Le mot de passe modifié sera ensuite répliqué en respectant la topologie de réplication et l'émulateur PDC sera mis a jour lorsqu’il sera de nouveau disponible.

La solution : Le client Active directory.

Pour réaliser une opération de changement de mot de passe, les postes fonctionnant sous Windows 9x et Windows NT n’ont par défaut aucune autre possibilité que de solliciter la machine d'émulation PDC. Bien qu’il soit plus judicieux d’investir dans la mise à jour de leurs système, le client Active Directory (Directory Service Client Pack) permettra à ces anciens postes de travail de supporter le protocole d’authentification NTLMv.2 (NT Lan Manager) et de contacter tout contrôleur de domaine Windows serveur 2000/3 .

Le client Active Directory est disponible ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=7c219dcc-ec00-4c98-ba61-fd98467952a8&displaylang=fr

Comment optimiser le trafic intersites?

Si certaines des connexions réseau intersites sont lentes, il pourra être intéressant de chercher à limiter ou supprimer la diffusion de certains flux.

Les contrôleurs de domaine Windows Serveur 2003 supporte un nouveau paramètre de stratégie qui vous permet de désactiver l’usage de l'émulateur PDC lorsque la vérification de mot de passe et en échec via le contrôleur de domaine local.

Vous trouverez ce paramètre à l’emplacement suivant :

Configuration ordinateur/ Modèle d’administration/ Système/ ouverture de session réseau / puis sélectionné l’élément de stratégie appelé "contacter le contrôleur de domaine principal lors de l’échec de l’ouverture de session."

Ce paramètre de stratégie empêchera les contrôles de mots de passe des contrôleurs de site vers le contrôleur d'émulation PDC.

Lorsque le paramètre « Contacter le contrôleur de domaine principal lors de l’échec de l’ouverture de session » est désactivé, le changement de mot de passe réalisé sur le contrôleur de domaine local à un site sera répliqué normalement de manière non urgente.

Pour toutes informations complémentaires sur le fonctionnement des réplications active directory je vous invite à lire l’article de Yoann LEONG-SHE traitant du sujet : http://www.laboratoire-microsoft.org/articles/win/Replication-AD/

5.4. Gestion des stratégies de groupe.

La console de gestion des stratégies de groupe utilise le contrôleur de domaine jouant le rôle de maître d’opération d'émulateur PDC de chaque domaine comme contrôleur de domaine par défaut pour toutes les opérations de création et de modification des stratégies de groupe.

Afin d'éviter les conflits de réplication, il est donc recommandé de choisir un contrôleur parmi ceux dont vous disposez comme favori des opérations qui concernent l’administration des stratégies de groupe.
Car si par exemple deux administrateurs modifient pendant le même cycle de réplication un même objet stratégie de groupe sur des contrôleurs de domaine différents alors les modifications apportées par l’un des deux administrateurs risquent d’être perdues.

Par défaut le contrôleur de domaine jouant le rôle d’émulateur PDC est utilisé pour réaliser les modification des GPO, mais il est tous à fait possible de contrôler la façon dont la console « Éditeur d’objets de stratégie de groupe » sélectionne un contrôleur de domaine pour ouvrir ou modifier un objet du type stratégie de groupe géré au sein d’active directory.

Par exemple, pour déterminer quel contrôleur de domaine paramètre une nouvelle stratégie de groupe à l’usage des administrateurs et définisse le paramètre suivant :

Configuration utilisateur / Modèles d’administration / Systèmes /stratégie de groupe / Sélection du contrôle de domaine de la stratégie de groupe et activer l’option. Puis sélectionnez parmi les trois choix proposés celui qui conviendra aux mieux a vos besoins.

Utiliser le contrôle principal de domaine :

Il s’agit de l’option par défaut. Ce choix indique que le composant « Éditeur d’objet stratégie de groupe » lit et écrit les modifications sur le contrôleur de domaine désigné en tant que maître d’opération d’émulation PDC pour le domaine dans lequel l’opération est réalisée.

Hériter des composants Active directory :

Ce choix indique que le composant « Éditeur d’objet stratégie de groupe » lit et écrit les modifications dans le contrôleur de domaine utilisé par la console MMC « utilisateur et ordinateurs Active Directory » ou « Site et service Active Directory ».

Utilise tout contrôleur de domaine possible:

Ce choix indique au composant « Éditeur d’objet stratégie de groupe » qu’il peut utiliser tous contrôleur de domaine disponible.
Il s'agit de l'option la plus aléatoire, puisqu'en théorie, plusieurs administrateurs différents peuvent modifier le même objet Stratégie de groupe simultanément, avec des résultats indéterminés. D'un autre côté, si cette option est utilisée, il est probable qu'un contrôleur de domaine soit sélectionné sur le site local. Si un seul administrateur peut se charger de la Stratégie de groupe d'un vaste domaine de plusieurs sites, le gain en performances peut être intéressant.

Si vous désactivez ce paramètre ou si vous ne le configurez pas, l’éditeur d’objet stratégie de groupe utilise le contrôleur de domaine désigné ayant le rôle d'émulateur PDC.

Il est également possible de modifier ce paramètre dans le menu affichage de la stratégie de groupe grâce à l’entrée appelée Option du contrôleur de domaine…

Ces trois options correspondent en tout point aux trois paramètres de la stratégie « Sélection du contrôleur de domaine de la stratégie de groupe ».

5.5. Mécanisme horaire

Il est crucial de disposer au sein de la foret d'une heure correcte et unique fournit par une même source de temps. Le système de synchronisation horaire est implémenté sur les contrôleurs de domaines jouant le rôle de maître d’opérations d'émulateur PDC.

Cette tâche est réaliser par l'intermédiaire du service W32Time à l'aide du protocole SNTP (Simple Network Time Protocol) conformément à la RFC 1769. Ce service permet:

la synchronisation de toutes les horloges des systèmes d'exploitation clients avec celles des contrôleurs du domaine,
le bon fonctionnement du protocole d'authentification Kerberos v.5.
la synchronisation de l'heure facilite également l'analyse des journaux d'événements.

Pour rappel, Kerberos est un protocole d'authentification réseau développé par le MIT (Massachusetts Institute of Technology). Il authentifie l'identité des utilisateurs qui tentent de se connecter au réseau et crypte leurs communications par une technique basée sur une clé secrète. Il est relativement robuste notamment grâce à ces fonctionnalités d’anti-relay intégrées au protocole.

Kerberos nécessite l’horodatage des paquets d’authentifications. De ce fait, le système de synchronisation horaire doit être fonctionnel au niveau de la forêt. La référence globale est définie au niveau du domaine racine de la foret, puis transmise vers les autres domaines de la forêt en traversant les différentes arborescences.

Dans une forêt Windows 2000/3 Server, l'heure est synchronisée de la manière suivante en 4 étapes:

Étape 1: Le maître d'émulateur PDC du domaine racine de la forêt est la source de temps qui fait autorité pour l'organisation.

Étape 2: Tous les maîtres des opérations PDC des autres domaines de la forêt respectent la hiérarchie de domaines lors de la sélection d'un émulateur PDC avec lequel synchroniser l'heure.

Étape 3: Tous les contrôleurs de domaine synchronisent leur heure avec le maître des opérations de l'émulateur PDC dans leur domaine en tant que partenaires de service de temps entrant.

Étape 4: Tous les serveurs membres et les ordinateurs clients utilisent le contrôleur de domaine d'authentification comme leur partenaire pour la synchronisation du temps.

Pour s'assurer que l'heure est exacte, l'émulateur PDC du domaine racine de la forêt peut être synchronisé avec un serveur de temps SNTP (Simple Network Time Protocol) externe. Toutefois, cette opération peut exiger l'ouverture de ports du pare-feu.

Comment synchroniser les horloges système des ordinateurs Windows 9x ?

Si votre réseau comprend des ordinateurs Microsoft® Windows® 95 ou Microsoft® Windows® 98, les horloges de ces ordinateurs doivent être synchronisées en insérant la commande suivante dans un script d'ouverture de session où <ordinateur_temps> est un contrôleur de domaine du réseau :

net time \\<ordinateur__temps> /set /yes

L'exécution de cette commande permet d'empêcher que les horloges de ces ordinateurs présentent une différence de temps par rapport à d'autres ordinateurs du domaine.

5.6. Comment l'émulateur PDC est-il localisé par les clients?

Un enregistrement de ressource DNS est créer par le serveur ayant le rôle d'émulateur PDC, il est du type SRV et est situé dans la zone de recherche directe à emplacement suivant: _ldap._tcp.pdc._msdcs.Nomdedomaine. Il permet donc aux différentes ressources de localiser le serveur d’émulation PDC.

5.7. Comment l'identifier?

Pour localiser le contrôleur de domaine qui exécute ce rôle, rendez vous dans la console MMC (Microsoft Management Console) Utilisateurs et ordinateurs Active Directory faite un clic droit puis Maîtres d’opérations…. Et sélectionner l’onglet CDP ( Controleur de Domaine Principal).

5.8. Positionnement de l'émulateur PDC.

Qu'arrive t-il quand le maître d'opération d'émulation PDC n’est plus disponible au sein d’un domaine ? Il est fréquent que de petits ennuis apparaissent. En effet, ce contrôleur de domaine agit en tant que contrôleur de domaine principal pour prendre en charge les anciens contrôleurs secondaires NT encore disponible lorsque le domaine fonctionne en mode domaine Windows 2003 préliminaire ou Windows 2000 mixte.

Les recommandations ci-dessous vous permettront de faire les bon choix pour garantir une grande disponibilité du contrôleur maître d’émulateur PDC :

Utilisez un contrôleur de domaine très disponible, surtout si le niveau fonctionnel du domaine est Windows 2003 préliminaire ou 2000 mixte. Car tous les contrôleurs de domaine accèdent régulièrement à cette machine pour les modifications de mot de passe, la gestion du mauvais mot de passe, la synchronisation horaire entre contrôleurs des différents domaines de la forêt et, bien sur la prise en charge des synchronisations des anciens contrôleurs secondaires de domaine.
Mettez en place une analyse des performances et surveillez l’usage des ressources matérielles telle que le processeur et la mémoire, puis augmentez les ressources si cela se justifie.

Parfois, il peut être plus rentable de faire évoluer les systèmes d 'exploitation client de Windows 9x vers Windows 2000/XP professionnel ou de supprimer les anciens contrôleur de domaine NT que d’investir dans le matériel affecté au maître d’émulation PDC.

Sur un contrôleur maître d’opération d'émulation PDC faite en sorte d’éviter de cumuler ce rôle avec celui de catalogue global.
Faites en sorte que ce contrôleur soit moins sélectionné par les ordinateurs clients en réduisant la priorité et le poids de l’enregistrement de service (SRV). Cette opération vous permettra de favoriser l’authentification vers les autres contrôleurs de domaine du site.

Sommaire

1. Maitre d'attribution des noms de domaine
       1.1 Son rôle
       1.2 Problèmes
       1.3 Où l'identifier
2. Contrôleur de schéma
       2.1 Son rôle
       2.2 Si il n'est pas disponible
       2.3 Modifier le schéma
       2.4 Le catalogue global
       2.5 Où l'identifier
3. Maître RID
       3.1 SID
       3.2 GUID
       3.2 Rôle
       3.3 Où l'identifier
4. Maître d'infrastructure
       4.1 Les objets fantomes
       4.2 Rôle
       4.3 Où l'identifier
5. Emulateur PDC
       5.1 Son rôle

       5.2 Verrouillage des comptes
       5.3 Changement des mots de passe
       5.4 Gestion des GPO
       5.5 Mecanisme horaire
       5.6 Localisation par les clients
       5.7 Comment l'identifier
       5.8 Positionnement
6. Transfert de rôle
       6.1 Transférer le rôle de controleur de schéma
       6.2 Transférer le rôle de maître d'attribution des noms de domaine
       6.3 Transférer les autres maîtres
       6.4 Transfert en ligne de commande
7. Prise de rôle
       7.1 Le maître RID
       7.2 L'émulateur PDC
       7.3 Le maître d'infrastructure
       7.4 Le maître d'attribution des noms de domaine
       7.5 Le maître de schéma

Conclusion

En Savoir Plus

Evaluez cet article

Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft

Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Tips Terminer un processus en ligne de commande Lister les processus en ligne de commande Donner des priorites a vos emails sous Outlook 2007 Vous trouvez que Powershell est long a démarrer? Import Export automatique d''informations de la base de registre Tous les tips Réagir à un tips dans le Forum

Le Laboratoire | Nous Contacter | Outils Webmasters