Maître d'opérations

Le Maître d’opérations (master operation en anglais) désigne certains types de contrôleurs de domaine dans Active Directory, de Microsoft. Ce sont ceux qui jouent un rôle nécessitant un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques pour tous les domaines de la forêt ; d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine.

La dénomination FSMO signifie Flexible Single Master Operation.

• Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu’un seul maître de schéma dans une forêt de domaines.
• Le maître d’attribution de noms de domaine (Domain Naming Master) qui gère l’ajout et la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu’un seul maître de ce type dans une forêt de domaines.

• Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l’intérieur d’un domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory). L’association de ce RID avec l’identificateur du domaine forme le SID (l’identificateur de sécurité). Le maître RID gère aussi le déplacement d’un objet d’un domaine à un autre, à l’intérieur de la forêt.

À un instant donné, il ne peut y avoir qu’un seul maître RID dans un domaine.

• Le maître d’infrastructure qui maintient les SID (identificateurs de sécurité) et les GUID. Le plus souvent, il s’agit seulement de maintenir les liens entre les utilisateurs et les groupes auxquels ils appartiennent.
• Émulateur d'un contrôleur de domaine principal de NT 4.0 (en anglais, un PDC Primary Domain Controller, voir (en) Primary Domain Controller). C'est aussi ce contrôleur de domaine qui est choisi préférentiellement pour
  • la réplication vers les autres contrôleurs de domaine pour les changements de mots de passe
  • comme serveur de temps, w32time, basé sur le protocole SNTP (Simple NTP)

Ces différents rôles peuvent facilement être déplacés d'un contrôleur de domaine à un autre en utilisant

• Outils Utilisateurs et ordinateurs Active Directory (dsa.msc)

Pour l'acronyme DSA, voir (en) Directory System Agent ; pour l'extension MSC, voir (en) MMC (Microsoft Management Console)

• L'outil ntdsutil : Un utilitaire en ligne de commande

Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est aussi par défaut le serveur de Catalogue Global. Le Catalogue Global a plusieurs fonctions : Il stocke les informations sur tous les objets, gère les requêtes sur ces objets et leurs attributs, il autorise ou refuse la connexion d’un utilisateur à un domaine

Certains maîtres d’opérations peuvent être aussi serveur de Catalogue Global ou, indirectement, dépendre d’un serveur de Catalogue Général. Par exemple, il est préférable qu'un maître d’infrastructure ne soit pas hébergé par le même contrôleur de domaine que le serveur de Catalogue Global dans une forêt de domaines (à moins que tous les contrôleurs de domaine ne soient aussi serveurs de Catalogue Global).

À l’inverse, un maître d’attribution de noms de domaine devrait être hébergé seulement sur un contrôleur de domaine qui est aussi serveur de Catalogue Global.

Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est par défaut le maître d’opération pour chacun des différents rôles. C’est une situation transitoire, que l’administrateur a intérêt à changer par la suite. Microsoft recommande de faire très attention à la répartition des rôles de maîtres d’opérations sur les différents contrôleurs de domaine. En cas de panne d’un serveur ayant un des rôles maîtres d’opérations, il faut pouvoir transmettre ce rôle à l’un des autres contrôleurs de domaine.

Il est mieux de mettre l’émulateur de PDC et le maître RID sur le même contrôleur de domaine. De même, il est mieux de mettre le maître de schéma et le maître d’attribution de noms de domaine sur le même contrôleur de domaine.

• Documentation Microsoft
  • Opérations à maître unique sur Windows 2000
  • Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Windows 2000
• Procédures concernant les rôles de maîtres d'opérations sous Windows Server 2003 (FSMO) par C. BEFFARA, M. MANSION et N. MILBRAND
• Complément d'information sur les maîtres d'opérations
• Localiser et déplacer les maîtres d'opérations Active Directory

• Portail de Microsoft
• Portail de la sécurité informatique