Bonjour,
Nous avons ajouté un server 2003 dans notre domaine 2000 (qui ne contenait
qu'1 DC).
C'est en production. Pas de pb. La réplication se fait bien, ...
Comme nous n'avons rien changé, le 2000 détient normalement les roles
FSMO.
Donc, nous nous demandons si les ouvertures de sessions utilisateurs sur
le
2003 peuvent se faire, si le 2000 n'est pas "en ligne" (hors Rzo, en
panne,
arrêté,en train de redémarrer, ...).
Si non, et pour le faire, faut'il transférer sur le 2k3, tous les rôles ou
que certains d'entre eux ?
Merci.
Bonjour,
Nous avons ajouté un server 2003 dans notre domaine 2000 (qui ne contenait
qu'1 DC).
C'est en production. Pas de pb. La réplication se fait bien, ...
Comme nous n'avons rien changé, le 2000 détient normalement les roles
FSMO.
Donc, nous nous demandons si les ouvertures de sessions utilisateurs sur
le
2003 peuvent se faire, si le 2000 n'est pas "en ligne" (hors Rzo, en
panne,
arrêté,en train de redémarrer, ...).
Si non, et pour le faire, faut'il transférer sur le 2k3, tous les rôles ou
que certains d'entre eux ?
Merci.
Bonjour,
Nous avons ajouté un server 2003 dans notre domaine 2000 (qui ne contenait
qu'1 DC).
C'est en production. Pas de pb. La réplication se fait bien, ...
Comme nous n'avons rien changé, le 2000 détient normalement les roles
FSMO.
Donc, nous nous demandons si les ouvertures de sessions utilisateurs sur
le
2003 peuvent se faire, si le 2000 n'est pas "en ligne" (hors Rzo, en
panne,
arrêté,en train de redémarrer, ...).
Si non, et pour le faire, faut'il transférer sur le 2k3, tous les rôles ou
que certains d'entre eux ?
Merci.
ent recommandé de déplacer les rôles sur le 2003
ent recommandé de déplacer les rôles sur le 2003
ent recommandé de déplacer les rôles sur le 2003
Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications en
car de défaillance d'un DC ???
@+
Fabricem [MS] wrote:
ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications en
car de défaillance d'un DC ???
@+
Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications en
car de défaillance d'un DC ???
@+
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de secours
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de secours
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de secours
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact sur
le nombre de machines devant héberger les rôles FSMO. L'ensemble de ces
rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit être
aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de connaissance
Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming master
,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact sur
le nombre de machines devant héberger les rôles FSMO. L'ensemble de ces
rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit être
aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de connaissance
Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming master
,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" <playload@lavache.com> wrote in message
news:cnkvrv$626$1@news.tiscali.fr...
Fabricem [MS] wrote:
ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact sur
le nombre de machines devant héberger les rôles FSMO. L'ensemble de ces
rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit être
aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de connaissance
Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming master
,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice, j'ajoute
qu'il est trés important de maîtriser les manipulations de changement de
localisation des fsmo par déplacement ou par imposition (seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message de
news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice, j'ajoute
qu'il est trés important de maîtriser les manipulations de changement de
localisation des fsmo par déplacement ou par imposition (seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" <fabricem@online.microsoft.com> a écrit dans le message de
news: uwh26mkzEHA.1192@tk2msftngp13.phx.gbl...
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" <playload@lavache.com> wrote in message
news:cnkvrv$626$1@news.tiscali.fr...
Fabricem [MS] wrote:
ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice, j'ajoute
qu'il est trés important de maîtriser les manipulations de changement de
localisation des fsmo par déplacement ou par imposition (seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message de
news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt), pour
la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il est
recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine du
scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" a écrit dans le message de news:Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message
de news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" <ygainche@hotmail.com> a écrit dans le message de news:
e4myStmzEHA.3808@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" <fabricem@online.microsoft.com> a écrit dans le message
de news: uwh26mkzEHA.1192@tk2msftngp13.phx.gbl...
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" <playload@lavache.com> wrote in message
news:cnkvrv$626$1@news.tiscali.fr...
Fabricem [MS] wrote:
ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" a écrit dans le message de news:Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message
de news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Ce qui fait qu'en monodomaine autant déclarer tous les DC comme GC. Cela n'a
pas d'mpact sur la répplication et cela permet d'optimiser le fonctionnement
des clients outlook sur une architecture Exchange multisites.
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message de
news:Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" a écrit dans le message de news:Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message
de news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Ce qui fait qu'en monodomaine autant déclarer tous les DC comme GC. Cela n'a
pas d'mpact sur la répplication et cela permet d'optimiser le fonctionnement
des clients outlook sur une architecture Exchange multisites.
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" <fabricem@online.microsoft.com> a écrit dans le message de
news: e7bNoU1zEHA.3452@TK2MSFTNGP14.phx.gbl...
Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" <ygainche@hotmail.com> a écrit dans le message de news:
e4myStmzEHA.3808@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" <fabricem@online.microsoft.com> a écrit dans le message
de news: uwh26mkzEHA.1192@tk2msftngp13.phx.gbl...
BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" <playload@lavache.com> wrote in message
news:cnkvrv$626$1@news.tiscali.fr...
Fabricem [MS] wrote:
ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
Ce qui fait qu'en monodomaine autant déclarer tous les DC comme GC. Cela n'a
pas d'mpact sur la répplication et cela permet d'optimiser le fonctionnement
des clients outlook sur une architecture Exchange multisites.
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message de
news:Bonjour
Effectivement , la contrainte GC et Infrastructure master n'est pas vrai
dans le cas du domaine unique (ce qui se comprend fort bien puisque l'AD
contient tous les objets donc en cas de renommage d'un objet celui-ci est
connu donc l'infrastructure master est au chomage :)), de même la notion
de catalogue global est assez limitée dans une architecture mono domaine
puisque l'AD et le GC sont identique (pas de flux de réplication
supplémentaire), la spécificité des serveurs DC qui sont GC est de
répondre aux requetes LDAP sur le port 3268 et pas uniquement sur le 389
LE fait de configurer un nouveau serveur comme GC , celui ci prendra le
rôle même si le serveur d'origine est absent
Que ce passe t'il si la machine qui détient les 5 rôles est hs ???
est se que le 2ème DC s'attribut les roles automatiquement pour reprendre
les fonction du 1er ???
L'attribution des rôles sur le second n'est pas automatique il faut
forcer un déplacement des roles (attention le "seize" (déplacement alors
que le serveur qui détient le rôle n'est pas en ligne) d'un rôle est
fortement contraignant car il n'est plus possible ensuite de remettre le
serveur qui détenait initialement le rôle sur le réseau donc toujours
privilégier la restauration récuparation avant de faire cette opération
que devient le catalogue globale du 1er contrôleur si il na pas ete
sauvegarder ???
Tout autre serveur déclaré comme GC reconstruira la base
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"Yann Gainche" a écrit dans le message de news:Bonjour,
Je mets un petit bémol sur l'incompatibilité entre le catalogue global et
le rôle 'infrastructure Master'. Ceci n'est vrai que lorsque la forêt
contient plusieurs domaines.
En monodomaine, il n'y a pas d'enregistrements fantomes et
l'Infrastructure Master est au chomage.
En dehors des préconisations d'architecture exposées par Fabrice,
j'ajoute qu'il est trés important de maîtriser les manipulations de
changement de localisation des fsmo par déplacement ou par imposition
(seize).
Cordialement,
--
YANN GAINCHE
Technical Account Manager
MCT - MCSE2003:Security
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672181
Access code: tscript2004)
"Fabricem [MS]" a écrit dans le message
de news:BOnjour
Un petit cours :)
Un certain nombre de fonction de Windows 2000/2003 AD ne peuvent être
assurées que par un seul contrôleur de domaine à un instant donné. Il
existe ainsi cinq rôles FSMO, à savoir :
1. « Schema master » (rôle dont la portée est la forêt), pour la
modification de schéma ;
2. « Domain naming master » (rôle dont la portée est la forêt),
pour la création de nouveaux domaines ;
3. « RID master » (rôle dont la portée est le domaine), pour
l'attribution de nouveaux pools de numéros de SID ;
4. « PDC emulator » (rôle dont la portée est le domaine), pour la
gestion des changements de mots de passe ;
5. « Infrastructure master » (rôle dont la portée est le domaine),
pour le maintien des références de groupes de sécurité entre domaines.
La seule incompatibilité est la suivante : un contrôleur hébergeant le
Global Catalog ne peut détenir le rôle « Infrastructure master ».
De plus, il est conseillé de disposer de machines de secours en cas de
panne d'un serveur hébergeant un rôle FSMO et de regrouper les rôles «
Schema master », « Domain naming master » et Global Catalog sur un même
contrôleur de domaine.
Il est important de tenir compte que le nombre de domaines a un impact
sur le nombre de machines devant héberger les rôles FSMO. L'ensemble de
ces rôles sera hébergé par des contrôleurs de domaines situés sur
Seclin.
En outre :
a.. Le nombre de serveurs hébergeant des rôles FSMO par domaine doit
être aussi réduit que possible ;
b.. Dans le cas d'un domaine comportant un grand nombre d'objets, il
est recommandé que le DC désigné pour jouer le rôle de « PDC Emulator »
n'abrite pas d'autres rôles FSMO ;
c.. Les DCs qui hébergent les rôles FSMO doivent être connectés par un
lien rapide et fiable.
Pour plus de compléments se référer à l'article de la base de
connaissance Q197132 Windows Active Directory FSMO Roles
Préconisations
Les préconisations seront directement dépendantes de l'architecture de
domaine retenue
Domaine unique
variante 1 : les 5 rôles sur la même machine avec une machine de
secours
variante 2 : sur 3 machines comme ci dessous pour le domaine racine
du scenario multi domaine
Domaine avec racine et domaines enfants
domaine racine
3 machines
machine 1 : Global Catalog, Schema master, Domain naming
master ,(Roles FSMO forêt)
machine 2 RID Master , PDC Emulator ,Infrastructure master
machine 3 Backup Roles FSMO en cas de panne/ intervention sur
machine 1 ou 2
domaine fils
machine 4 : RID Master ,PDC Emulator ,Infrastructure master
machine 5 : backup Roles FSMO
. Une variante, en cas de saturation des ressources de la machine
hébergeant l'ensemble des rôles FSMO du domaine, pourra être de déplacer
le Rôle PDC émulateur sur la machine de secours
cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"playload" wrote in message
news:cnkvrv$626$Fabricem [MS] wrote:ent recommandé de déplacer les rôles sur le 2003
Salut,
la question est super intéressante.
comment repartir les 5 rôles de façon a maintenir les authentifications
en
car de défaillance d'un DC ???
@+
