Dans une infrastructure Active Directory (AD) tous les contrôleurs de domaine sont équivalents. Cela signifie que chaque modification apportée à votre base de données AD est automatiquement répliquée sur tous les autres contrôleurs de domaine (DC), c’est le mode dit de multi maitre. Tous les contrôleurs sont synchronisés et chacun peut apporter une modification. Il n’y a plus de notion maitre esclave.

Cependant, une architecture où tous les acteurs sont capables de décider et d’échanger les informations entre eux pose un problème : Comment être sûr de l’intégrité de certaines données nécessaire au bon fonctionnement du système ? Certains paramètres doivent être uniques dans votre infrastructure et un seul DC doit avoir le contrôle dessus.

Prenons l’exemple de l’heure, si le décalage entre le client et le contrôleur de domaine est supérieur à cinq (5) minutes, Kerberos refusera l’authentification du client. Or si deux DC ont des heures systèmes différentes, qui prendra le dessus sur l’autre, lequel fera office de Network Time Protocol (NTP) ? Un DC doit donc être désigné pour assurer seul ce rôle.

C’est pour résoudre ces différents problèmes que Microsoft a mis en place les rôles maitres d’Active Directory. Vous les avez peut-être déjà rencontrés avec des noms différents : Operations Master, Single Master Roles, Operations Tokens ou encore Flexible Single Master Operations (FSMO).

Nous verrons dans un premier temps les cinq différents rôles qui existent pour le service d’annuaire Active Directory, puis dans un second temps, comment les identifier. » En lire plus:Les Operations Masters d’Active Directory