Nous avons vu dans l’article précèdent (ici) qu’Active Directory possède plusieurs rôles uniques pour avoir un fonctionnement optimal du système. Petit rappel des différents rôles : deux rôles concernent la forêt et trois autres rôles opèrent sur le domaine.
Les Maitres d’Operations pour la Forêt :
- Maitre du Schéma Active Directory
- Maitre de nom de domaine
Les Maitres d’Opération pour un domaine :
- Maitre RID
- Maitre d’Infrastructure
- Maitre PDC
Tous les maitres d’opération jouent un rôle important dans le bon fonctionnement d’Active Directory. Ils doivent être constamment joignables par tous les autres domaine contrôleurs de la forêt ou du domaine. Lors d’une maintenance planifiée, ou d’un incident sur un DC qui agit comme maitre d’opération, il est nécessaire de transférer le ou les rôles à un autre DC pour assurer la bonne continuité du système.
Dans Active Directory, il existe deux modes pour transférer un rôle sur un autre contrôleur de domaine : le transfert simple, lorsque les deux domaines contrôleurs sont joignables, et la prise de contrôle du rôle (seize). Cependant, lorsque l’on transfert proprement un rôle, celui-ci peut retourner à son origine sans aucune contrainte, ce qui n’est pas le cas avec la prise de contrôle.
Criticité et retour à la normale
Voici l’ordre de priorité et de criticité des maitres d’Operations :
- Maitre PDC : Le PDC est l’Operation Master qui a le plus d’impact sur les utilisateurs s’il devient hors ligne. Heureusement, le rôle peut être transféré ou être pris sous contrôle facilement. Le retour au DC d’origine ne pose pas de soucis.
- Maitre Infrastructure : Un incident sur le maitre d’infrastructure ne sera vu que par les administrateurs et en aucun cas par les utilisateurs. De même que pour le PDC, un retour au DC d’origine ne pose aucun problème.
- Maitre RID : Une absence de maitre RID peut empêcher un DC de créer des nouveaux utilisateurs, groupes… Le problème ne se pose que si le pool de SID du DC arrive à sa fin. Il est préférable d’attendre que l’incident sur le serveur soit réparé plutôt que de faire une prise de contrôle du rôle. Cependant, si vous en faites une, l’ancien DC original ne peut pas être remis en ligne.
- Maitre du Schéma & Maitre de nom de domaine : De même que pour le Maitre RID, il est préférable d’attendre la réparation plutôt que de prendre le contrôle du rôle.
Transfert en interface graphique
Afin de transférer proprement un rôle, il y a deux solutions avec Windows Server 2008 : la méthode interface graphique et la méthode en ligne de commande avec ntdsutil.
Pour tout ce qui est interface graphique, vous devez vous connectez au serveur qui obtiendra le rôle une fois la manipulation effectuée. Faites bien attention à la connexion sur laquelle se fait la console MMC.
PDC, Infrastructure et RID
Active Directory Users And Computer est la console qui nous permet le transfert des rôles Primary Domain Contrôleur, du maitre d’infrastructure et du maitre RID.
Pour accéder à l’option, faites un clic droit sur votre domaine et sélectionnez « Operations Masters ».
Choisissez le rôle que vous voulez transférer et cliquez sur « Change »
Maitre de nom de domaine
Active Directory Domain And Trusts est la console qui nous permet le transfert du rôle Maitre de nom de domaine. Veuillez à bien faire attention au serveur sur lequel la console se connecte.
Maitre du Schéma
Active Directory Schema est la console qui nous permet le transfert du rôle Maitre du Schéma. Veuillez à bien faire attention au serveur sur lequel la console se connecte.
Rappel : Pour obtenir la console Active Directory Schema dans la MMC, il faut enregistrer une DLL avec la commande :
regsvr32 schmmgmt.dll
Une fois la console activée, utilisez la MMC pour ajouter le composant Active Directory Schema.
Toujours un clic droit sur la racine Active Directory Schema pour obtenir l’option de Transfert.
Transfert en ligne de commande
Le transfert d’un rôle en ligne de commande se fait par l’outil ntdsutil.
Pour cela, une fois l’outil lancé, vous devez vous connecter à un serveur puis lui transférer le rôle.
Par exemple, pour transférer le rôle de PDC sur le serveur 2.
Ntdsutil
Roles
Connections
Connect to server server-2.laboit.net
Quit
Transfer PDC
Voici une liste des actions possibles dans la partie rôles de l’outil ntdsutil:
Prise de contrôle (seize)
La prise de contrôle (seize) d’un rôle étant une action significative son utilisation ne peut être faite que par ligne de commande avec l’outil ntdsutil.
Je vous rappelle que lorsque vous prenez le contrôle des rôles RID, Schema Master, et Domain Naming Master, les anciens propriétaires du rôle ne doivent pas revenir en ligne. Vous devez forcer la désinstallation du DC en mode hors ligne avant de remettre le serveur en production.
La méthode est la même que pour transférer un rôle, à l’exception de la commande Transfer qui devient Seize.
Active Directory tentera toujours de transférer le rôle proprement plutôt que de faire une prise de contrôle lorsque cela est possible.
Par exemple, pour prendre le contrôle (seize) du rôle Maitre du Schéma sur le serveur 2.
Ntdsutil
Roles
Connections
Connect to server server-2.laboit.net
Quit
Seize schema master
Conclusion
Nous venons de voir comment changer les maitres d’Operations d’Active Directory. Deux méthodes, le transfert et la prise de contrôle. Cependant soyez très vigilant avec la prise de contrôle qui est une action significative.
