Télécharger la présentation
Publié parSylvain St-Georges Modifié depuis plus de 8 années
1
Chapitre 9 Gestion des maîtres d'opérations
Module S44 Chapitre 9 Gestion des maîtres d'opérations
2
Plan du cours Présentation des rôles de maître d'opérations
Transfert et prise de rôles de maîtres d'opérations
3
1. Présentation des rôles de maître d'opérations
Définition d'un contrôleur de schéma Définition d'un maître d'attribution de noms de domaine Définition de l'émulateur PDC Définition d'un maître RID Définition d'un maître d'infrastructure
4
Présentation des maîtres d’opérations
Les modifications d’AD peuvent être faites sur n’importe quel contrôleur de domaine. Problème Conflits de mise à jour simultanée par plusieurs contrôleurs de domaine Solution Utiliser des rôles spécifiques: Maîtres d’opérations
5
Présentation des maîtres d’opérations
Il y a 5 maîtres d’opérations: Contrôleur de schéma Maître d’attribution des noms de domaine Emulateur CPD Maître d’identificateur relatif Maître d’infrastructure Au niveau de la forêt Au niveau du domaine
6
Définition d'un contrôleur de schéma
C’est quoi un schéma? Contient les définitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stockés dans AD Rôle du contrôleur de schéma il contrôle toutes les mises à jour d’origine apportées au schéma il contient la liste principale des classes d’objets et des attributs utilisés pour la création de tous les objets AD il réplique les mises à jour apportées au schéma AD sur tous les DC de la forêt en utilisant la réplication de la partition de schéma il autorise uniquement les membres du groupe Administrateurs du schéma à modifier le schéma.
7
Définition d'un contrôleur de schéma
Réplication Chaque forêt possède un seul contrôleur de schéma. Cela permet d’éviter les conflits des tentatives de mise à jour simultanées du schéma par plusieurs DC. Si le contrôleur de schéma n’est pas disponible, vous ne pouvez pas modifier le schéma ou installer des applications qui le modifient.
8
Définition d'un maître d'attribution de noms de domaine
Nouveau domaine Il contrôle l'ajout ou la suppression de domaines dans la forêt Un seul maître d’attribution de noms de domaine dans chaque forêt Il empêche que plusieurs domaines portant le même nom soient ajoutés à la forêt S’il est indisponible, vous n’avez pas la possibilité d’ajouter ni de supprimer des domaines
9
Définition de l'émulateur PDC
Pointe vers le serveur de temps Émulateur PDC Émulateur PDC DC Ordinateur client WINDOWS NT 4.0 ou une version antérieure Ordinateur client Windows XP BDC WINDOWS NT il gère les modifications de mot de passe des ordinateurs exécutant Windows NT, Microsoft Windows® 95 ou Windows 98 Si un domaine contient des DC secondaires ou des ordinateurs clients exécutant Windows NT 4.0 ou une version antérieure, l’émulateur PDC fonctionne en tant que DC principal Windows NT il interdit toute possibilité d’écrasement des Objets de stratégie de groupe GPO il minimise la latence de réplication des modifications de mot de passe il synchronise l’heure de tous les contrôleurs de domaine du domaine en fonction de son heure système
10
Définition d'un maître RID
SID objet = SID domaine + RID Attribution RID Maître RID Déplacement Blocs d'identificateurs RID Alloue des blocs d'identificateurs RID Empêche la duplication d'objet
11
Définition d'un maître d'infrastructure
Le maître d’infrastructure est un DC qui met à jour les références des objets de son domaine qui pointent vers les objets d’un autre domaine. La référence contient: l’identificateur global unique (GUID, Globally Unique IDentifier) de l’objet son nom unique Un identificateur de sécurité (SID)
12
Définition d'un maître d'infrastructure
GUID SID DN Groupe global imbriqué dans le groupe local du domaine Nouveau Infrastructure Maître Déplacement Le maître d’infrastructure du domaine dans lequel réside le groupe met à jour l’appartenance au groupe en répliquant la modification sur l’ensemble du domaine. Si l’objet est déplacé, son nom unique change car il représente son emplacement exact dans l’annuaire. L’identificateur global unique ne change pas quel que soit l’emplacement car il est unique sur tous les domaines. Si l’objet est déplacé vers un autre domaine, l’identificateur de sécurité change afin de refléter le nouvel identificateur de sécurité du domaine. Si l’objet est déplacé au sein du domaine, son identificateur de sécurité ne change pas.
13
2. Transfert et prise de rôles de maîtres d'opérations
Transfert des rôles de maîtres d'opérations À quel moment prendre les rôles de maîtres d'opérations
14
Transfert des rôles de maîtres d'opérations
Ne transférez les rôles qu'en cas de modification majeure de l'infrastructure du domaine Si le serveur défaillant sera rapidement remis en marche, ne transférez pas le rôle de maître d’opération. Maître d'opérations en fonctionnement Transférez le rôle à un autre contrôleur de domaine Nouveau maître d'opérations
15
Les défaillances de maîtres d'opérations
La défaillance de l’Emulateur CPD La défaillance est la plus handicapante : Les ordinateurs clients exécutant une version antérieure à Windows 2000 ne pourront plus s’authentifier. Perte de la diminution de latence pour la mise à jour des mots de passe. Eventuelle perte de synchronisation horaire entre les contrôleurs.
16
Les défaillances de maîtres d'opérations
Défaillance du maître d’infrastructure Limite le déplacement des objets dans Active Directory Défaillance des autres maîtres d’opérations Ces défaillances sont les moins gênantes. Il est préférable de restaurer une sauvegarde de ces maîtres d’opérations plutôt que de les transférer, Le transfert de ces maîtres d’opérations peut entraîner des erreurs dans les données.
17
À quel moment prendre les rôles de maîtres d'opérations
Prendre un rôle de maître d’opérations signifie imposer ce rôle à un autre DC, qui ne peut pas contacter le DC défaillant lors de la prise du rôle Prenez un rôle uniquement si le transfert est impossible La prise de rôle peut entraîner une perte de données Maître d'opérations hors service Prenez le rôle et réaffectez-le à un autre contrôleur de domaine Maître d'opérations en fonctionnement
18
Exercices Quel est le rôle du maître d’opération de schéma ?
C'est le seul DC à avoir la responsabilité et le contrôle des opérations de mises à jour du schéma de la forêt. Quel est le rôle du maître d’opération de noms de domaine ? C'est le seul DC à avoir la responsabilité de contrôler l’ajout ou la suppression de domaines au sein de la forêt. Quel est le rôle du maître des identificateurs relatifs ? Il alloue des séquences de RID à chacun des différents DC de son domaine. Ainsi, chaque DC peut émettre des SID tout en garantissant l’impossibilité qu’il puisse exister des conflits.
19
Exercices 1. Quel est le rôle de maître d’opération PDC Emulator?
Il joue le rôle de DC de domaine Windows NT. Il traite les modifications de mot de passe des clients et réplique les mises à jour à destination des contrôleurs secondaires NT. Le maître d’opération de type PDC Emulator est aussi responsable de la synchronisation horaire au sein de son domaine AD. 2. Quel est le rôle du maître d’infrastructure ? Il est responsable de la mise à jour des références des objets de son domaine sur les objets des autres domaines. Il maintient l’identification de l’objet en fonction de son déplacement au sein d’un domaine ou d’un autre domaine. Il compare ses données à celles du catalogue global qui, lui-même, reçoit des mises à jour régulières de tous les domaines par le biais de réplications.
20
Exercices 3. Quels sont les trois rôles de maîtres d’opérations indispensables à tout domaine AD? Chaque domaine Active Directory d’une forêt doit disposer de ses propres maîtres d’opérations : le PDC Emulator, le maître des identificateurs relatifs et le maître d’infrastructure. 4. Quelle relation existe entre le maître d’opération PDC Emulator et la création ou la modification des objets stratégies de groupe ? Par défaut, le maître d’opérations PDC Emulator interdit toute possibilité d’écrasement des objets de stratégie de groupe. En effet, la stratégie de groupe du domaine réduit les risques de conflits de réplication en désignant ce contrôleur de domaine comme serveur préféré pour réaliser les modifications des GPO.
21
Exercices 5. Quel point important devez-vous considérer concernant l’emplacement du maître d’infrastructure ? Le rôle de maître d’infrastructure ne doit pas être attribué au contrôleur de domaine qui héberge le GC, cependant, ces deux machines devraient être proches l’une de l’autre. 6. Dans quel cas est-il possible que le rôle de maître d’infrastructure soit pris en charge par un catalogue global ? Dans le cas où le domaine ne comporte qu’un seul contrôleur de domaine ou bien lorsque tous les contrôleurs de domaine sont des catalogues globaux. 7. Est-il important que le maître d’opérations contrôleur de schéma soit toujours disponible ? Non. Il doit être disponible lorsqu’il est nécessaire de modifier le schéma.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.