Présentation et migration des FSMO vers Windows Server 2008 R2

Imprimable, PDF & Email

Dans ce document, nous avons l’explication de chaque fonction ou rôle FSMO que nos contrôleurs de domaine auront. Nous verrons également comment transférer ces fonctions entre les contrôleurs de domaine et les recommandations à prendre en compte.

Maître des opérations forestières

Ce sont des fonctions uniques dans la forêt. Par conséquent, dans la forêt, il ne peut y avoir qu’un seul maître de schéma et un seul maître de nom de domaine.

Maestro de Esquema o Schema Master:
Est responsable de la modification du schéma Active Directory, Le schéma Active Directory est répliqué sur tous les contrôleurs de domaine, seul le contrôleur de domaine avec le rôle 'Schema Master' pourra le modifier.

Maestro de Nombres de Dominio o Domain Naming Master:
La personne responsable de la maintenance du schéma de noms de domaine au sein de la forêt ainsi que de l’enregistrement et de la désinscription des dominos.

Maître des opérations de domaine
Il s’agit de caractéristiques uniques dans chaque domaine. Par conséquent, dans chaque domaine de la forêt, il ne peut y avoir qu’un seul émulateur maître du PDC, un Master RID et un Master Infrastructure

Émulateur PDC ou émulateur PDC:
Responsable de la synchronisation des propriétés de compte d’utilisateur et de groupe avec les contrôleurs de domaine NT 4 (Émule le fait d’être le PDC dans un domaine NT 4) Il est également responsable de la synchronisation du temps entre la forêt.

L’émulateur PDC dans le domaine principal doit être configuré pour se synchroniser avec une ressource de temps externe. Nous pouvons mettre en place un serveur externe en suivant ce document: HTTP://www.bujarra.com/?p = 1070. Il est recommandé de combiner la fonction d’émulation PDC avec la fonction RID Master.

Maître d’ID relatif ou maître RID:
Attribuer des séquences d’ID ou d’ID. Relatives (DÉBARRASSER) à chacun des différents contrôleurs du domaine. À un moment donné, il ne peut y avoir qu’un seul contrôleur de domaine agissant en tant que maître RID dans chaque domaine de la forêt. Chaque fois qu’un contrôleur de domaine crée un objet (utilisateur, groupe, équipe...) attribuer un ID de sécurité (ou SID) unique à l’objet créé. Ce SID est constitué d’un SID de domaine, qui est le même pour tous les SID créés dans le domaine, et un RID, qui est unique à chacun des SID créés dans le domaine. Il est conseillé de séparer ce rôle du catalogue global. Il est conseillé de combiner la fonction RID Master avec la fonction PDC Emulator.

Maître de l’infrastructure ou Maître Infrastructure:
Responsable de la vérification de l’appartenance universelle au groupe dans les environnements multidomaines. Responsable de la mise à jour des références d’objets de votre domaine vers d’autres domaines à moins qu’il n’y ait un seul contrôleur de domaine dans le domaine, Le rôle de maître d’infrastructure ne doit pas être attribué au contrôleur de domaine qui héberge le catalogue global.

Transfert de rôles entre contrôleurs de domaine:

Pour transférer une fonction FSMO à d’autres contrôleurs de domaine, nous pouvons le faire à l’aide des outils de gestion “Sites et services Active Directory”, “Utilisateurs et ordinateurs Active Directory” et “Schéma Active Directory”. Ou directement depuis la ligne de commande grâce à NTDSUTIL. Pour ce faire,, à partir de la ligne de commande ou “Invite de commande”, Courir “Ntdsutil”, Entrons; La commande suivante à taper est “Rôles”, nous appuyons sur Entrée. Puis nous avons écrit “Connexions” et appuyez à nouveau sur Entrée. Après, Nous nous connectons au serveur que nous voulons avoir le rôle à migrer ou les rôles à migrer, Mettre “Se connecter à NOMBRE_SERVIDOR serveur”, nous appuyons sur Entrée; Une fois connecté, on part en mettant “q” et appuyez à nouveau sur Entrée. Maintenant, nous écrivons le rôle que nous souhaitons déplacer vers ce serveur, toujours précédé du mot “transfert”, et les cinq rôles seraient: “Nommer le maître”, “Maître des infrastructures”, “PDC”, “Maître RID” et “Maître de schéma”. Nous devrions exécuter la commande avec tous les rôles que nous voulons transférer ou migrer, il nous demandera chaque fois que nous déplacerons le rôle entre les CD si nous sommes sûrs, et nous confirmons avec “Oui”.

Si, en revanche,, Nous ne parvenons pas à transférer les rôles entre les contrôleurs de domaine, ou nous avons directement un rôle disparu, perdu ou avec une erreur, soit parce qu’il nous manque un contrôleur de domaine… Nous pouvons toujours récupérer le rôle et effectuer un transfert forcé au moyen de la commande “Saisir”, de la même manière que nous migrerions les rôles, Nous devrions nous approprier le rôle que nous avons endommagé/perdu.

Une fois ces transferts réussis, Nous serons en mesure de le confirmer dans l’observateur d’événements de n’importe quel contrôleur de domaine.

Pour plus d’informations: http://support.microsoft.com/kb/223346.


Articles recommandés

Déploiement de Crowdsec sur une machine Windows
Lire
Audit de l’accès aux périphériques de stockage amovibles
Lire
Supervision des événements Windows depuis Centreon
Lire
Métriques Windows avec Prometheus et Grafana
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Préparation d’Active Directory pour Windows 2008 R2

20 de janvier 2010

Migration de notre Active Directory vers Windows 2008 R2

20 de janvier 2010