Skip to content

Labo 4

Jump to bottom
Zwarmex edited this page Dec 2, 2024 · 1 revision

Domain Naming Master

Scénario

Le contrôleur de domaine détenant le rôle de Domain Naming Master est éteint.

Actions

  1. Éteindre le contrôleur de domaine détenant le rôle de Domain Naming Master.
  2. Essayer d'ajouter un nouveau domaine à la forêt en utilisant l'outil Active Directory Domains and Trusts.

Questions et observations

  • Que constatez-vous ? L'ajout du nouveau domaine à la forêt échoue.
  • Pourquoi la création du nouveau domaine échoue-t-elle ? Le Domain Naming Master est responsable de la gestion des noms de domaine uniques dans la forêt. Si ce rôle est indisponible, l’ajout d’un domaine échoue car aucune vérification ou mise à jour ne peut être effectuée pour garantir l’unicité des noms.
  • Étapes et résultats observés
    • Tentative d'ajout du domaine à partir de Active Directory Domains and Trusts.
    • Message d’erreur signalant une impossibilité de contacter le contrôleur de domaine détenant le rôle requis.

RID Master

Scénario

Le contrôleur de domaine détenant le rôle de RID Master est éteint.

Actions

  1. Éteindre le contrôleur de domaine détenant le rôle de RID Master.
  2. Tenter de créer dix nouveaux utilisateurs via l'outil Active Directory Users and Computers.

Questions et observations

  • Que constatez-vous ? La création des nouveaux utilisateurs peut échouer après quelques utilisateurs créés.
  • Pourquoi la création des nouveaux utilisateurs peut-elle échouer ? Le RID Master gère la distribution des pools de Relative Identifiers (RID) pour les contrôleurs de domaine. Une fois les RIDs disponibles sur un contrôleur épuisés, la création d’objets tels que des utilisateurs ou groupes échoue.
  • Étapes et résultats observés
    • Création de nouveaux utilisateurs jusqu'à ce que les RIDs locaux soient à court.
    • Message d’erreur signalant une incapacité de générer un RID unique.

PDC Emulator

Scénario

Le contrôleur de domaine détenant le rôle de PDC Emulator est éteint.

Actions

  1. Éteindre le contrôleur de domaine détenant le rôle de PDC Emulator.
  2. Essayer de changer le mot de passe d'un utilisateur et vérifier la propagation du changement.

Questions et observations

  • Que constatez-vous ? Les changements de mot de passe peuvent échouer ou ne pas être immédiatement propagés.
  • Pourquoi les changements de mot de passe peuvent-ils échouer ? Le PDC Emulator est responsable du traitement des changements de mots de passe et assure la synchronisation immédiate dans l'environnement Active Directory. Sans lui, les changements peuvent être retardés ou bloqués.
  • Étapes et résultats observés
    • Tentative de modification de mot de passe via un outil client.
    • Message d’erreur ou propagation retardée constatée lors de la vérification des modifications.

Infrastructure Master

Scénario

Le contrôleur de domaine détenant le rôle d'Infrastructure Master est éteint.

Actions

  1. Éteindre le contrôleur de domaine détenant le rôle d’Infrastructure Master.
  2. Déplacer un objet (par exemple, un utilisateur) entre deux domaines différents de la forêt.
  3. Vérifier les références aux objets déplacés en utilisant ADSI Edit.

Questions et observations

  • Que constatez-vous ? Les références aux objets déplacés peuvent ne pas être mises à jour correctement.
  • Pourquoi les références aux objets déplacés peuvent-elles ne pas être correctement mises à jour ? L'Infrastructure Master est responsable de la mise à jour des références inter-domaines dans une forêt Active Directory. Si ce rôle est indisponible, les références restent obsolètes jusqu'à ce que le rôle soit réactivé.
  • Étapes et résultats observés
    • Déplacement de l’objet entre deux domaines.
    • Les références inter-domaines ne sont pas mises à jour immédiatement dans ADSI Edit.

Failover

Actions

  1. Identifier les deux rôles FSMO à basculer.
  2. Utiliser l’outil Active Directory Users and Computers ou NTDSUTIL pour transférer les rôles vers un autre contrôleur de domaine.

Étapes pour effectuer le failover

  1. Ouvrir l'outil Active Directory Users and Computers.
  2. Clic droit sur le domaine et sélectionner Operations Masters.
  3. Sélectionner l’onglet correspondant au rôle à transférer.
  4. Cliquer sur Change pour effectuer la bascule.
  5. Confirmer l’opération.

Questions

  1. Quels sont les impacts de la panne de chaque rôle FSMO ?

    • Domain Naming Master : empêche l’ajout de nouveaux domaines dans la forêt.
    • RID Master : empêche la création de nouveaux objets lorsque les RIDs sont à court.
    • PDC Emulator : perturbe la synchronisation des mots de passe et des événements d’authentification.
    • Infrastructure Master : références inter-domaines obsolètes.

  2. Quelles stratégies pourriez-vous mettre en place pour minimiser ces impacts dans une organisation ?

    • Mettre en place un monitoring des rôles FSMO.
    • Planifier une répartition des rôles FSMO sur plusieurs contrôleurs de domaine.
    • Utiliser un contrôleur de domaine de secours prêt à prendre en charge les rôles FSMO en cas de panne.
    • Effectuer régulièrement des tests de basculement des rôles FSMO.

Ecrit par Samuel Lambert & Julien Pollart & Martin Hayot

Clone this wiki locally