Active directory et les contrôleurs de domaines particuliers

Au moment où je vous ai décrit Active Directory, nous avons vu que les notions de PDC et BDC étaient oubliées, et que tous les contrôleurs de domaine avaient la même importance.
Nous devons nuancer cette notion de multi-master structure : certains rôles sont assumés par les contrôleurs de domaines.
Nous allons diviser les rôles selon l'étendue de leurs zones d'influences :

• Forêt :
  • Domain Naming Master
  • Schema Master
• Domaine :
  • RID
  • PDC Emulator
  • Infrastructure Master

Ce type de rôle ne peut être assuré que par un et un seul contrôleur de domaine dans toute la zone d'influence.

Rôles d'influence étendue à la forêt

Schema Master

Dans Active Directory, Schema Master est le seul contrôleur de domaine qui accepte les modifications apportées à la partition schéma (ajout ou modification d'un modèle d'objet), et est responsable de la réplication de ces modifications.

Domain Naming Master

Nous avons vu qu'Active Directory utilise le système de nommage DNS.
Deux niveaux de noms sont donc employés : le nom distinctif (DN, Distinguished Name) et le nom relatif (RDN, Relative Distinguished Name).

Deux objets ne peuvent porter le même nom au sein d'un même conteneur (container), mais bien au sein de deux conteneurs différents.

Exemple (situation : OU1 et OU2 sont dans DomainA) :
Dans OU1, nous instancions l'objet userA.
Nous pouvons instancier un objet userA dans OU2.
Les noms relatifs (RDN) seront tous deux userA.
Les noms distinctifs seront : userA.OU1.DomainA et userA.OU2.DomainA

Le Domain Naming Master est donc le seul contrôleur qui accepte les modifications apportées à la partition configuration.

Rôles d'influence limitée au domaine

Relative Identifier Master

Il est nécessaire d'identifier les objets (ordinateur, utilisateur, etc.) au sein d'un domaine.

Le serveur qui assure le rôle de RID (Relative Identifier Master) attribue un set de 512 identifiants à chaque contrôleur de domaine. Au moment où un serveur atteint un seuil critique (par exemple, qu'il ne lui reste plus que 100 id disponibles), une demande est faite au RID, qui attribue un nouveau set de 512 identifiants.
L'identifiant du domaine est donc concaténé avec cet identifiant unique dans le domaine (Relative ID).

PDC Emulator

Dans le cas d'une intégration de stations clientes sous NT4 dans un domaine Windows 2000, ces stations requièrent l'utilisation d'un contrôleur de domaine principal (PDC, Primary Domain Controler).
Un PDC sera donc émulé au sein du domaine.

Si je n'ai pas d'machines en NT4, j'peux virer mon PDC Emulator ?

Non, car le PDC Emulator joue un autre rôle important, celui de Master Time Server.

En effet, Windows 2000 utilise le standard Kerberos pour l'authentification, mais en plus l'heure système de la station cliente est comparé à celui du contrôleur de domaine. Si l'écart est trop important, l'authentification (login) est refusée.
Une synchronisation des machines est réalisée à chaque loggin, afin d'éviter de trop grands écarts.

Par défaut, c'est dans le PDC Emulator que sont créés ou mis à jour les stratégies de groupes (Group Policies).

Le PDC Emulateur est aussi le réceptacle des nouveaux mots de passe avant réplication. Si une authentification échoue à la vérification du password, une requête sera envoyée au PDC Emulator pour vérifier les derniers changements de mots de passe.

Structure du document