Lab 4 ‐ AD and FSMO - PasRP-Theo/Admin-III GitHub Wiki

Lab 4 - AD and FSMO

Group

  • Liam Gérard
  • Théo Mertens
  • Edward Gay
  • Barish Ozcelik 👑

Use of AI for formatting the wiki and translation 🤖

what is an domain controller ?

A Domain controller is a server taht hosts Active Directory. Active Directory is the database and directory service that allow an organization to manage :

  • users
  • groups
  • computers
  • authorisation and access rights
  • Group Policy Objects (GPOs)

the controller domain uses these informations to

  • authenticate users of the domain
  • apply the security rules and the gpo set in the active directory
  • control and secure access to resources

it ensure that only authorized users can access certain thing in the network by checking the login credentials.

The 5 FSMO roles

Introduction

Ce wiki contient l'ensemble des observations effectuées lors du TP sur les rôles FSMO d'Active Directory.
L'objectif est de comprendre le comportement d'un environnement AD en cas d'indisponibilité d'un rôle critique, et d'apprendre à transférer ou reprendre ces rôles.

1. Présentation des FSMO

Active Directory repose sur 5 rôles FSMO :

Rôle Portée Description
Schema Master Forêt Gère les modifications du schéma AD
Domain Naming Master Forêt Gère l'ajout/retrait de domaines
RID Master Domaine Attribue les pools RID aux DC
PDC Emulator Domaine Authentification, mots de passe, Time Server
Infrastructure Master Domaine Met à jour les références inter-domaines

Chaque rôle sera testé par simulation d'une panne comme demandé dans le TP.

2. Préparation du laboratoire

Pour réaliser les exercices :

  • Déployer un second contrôleur de domaine (DC2).

ensuite, lors de la promotion

Rendez vous sur server manager, cliquer sur le drapeau avec l'icone ⚠️ et vous devriez voir promote this server to a controller domain

Ici indiquer le nom que vous avez sur votre controller ainsi que votre mdp, ici on entre Administrator

après ceci fait suivant avec chaque fois les paramètre par défaut,

pour vérifier que la promotion du poste client en controller de domain a bien fonctionné, entrer la commande suivante

Get-ADDomainController -Filter *

dans l'image au dessus, on peut constater qu'il s'agit bien du poste clientPC-1601.stu1601.lab

ComputerObjectDN : CN=PC-1601,OU=Domain Controllers,DC=stu1601,DC=lab

On a a bien réussi a promouvoir le poste client en controller domain !

avant de se rendre plus loins dans le tp, verifions d'abord si tous est en ordre, pour cela on entre

repadmin /replsummary

et cette commande ci

netdom query fsmo

cette commande permet de savoir quel controller domain possède quel rôle FSMO. et nous obtenons ceci en sortie

Schema master            DC-1601.stu1601.lab
Domain naming master     DC-1601.stu1601.lab
PDC                      DC-1601.stu1601.lab
RID pool manager         DC-1601.stu1601.lab
Infrastructure master    DC-1601.stu1601.lab

  1. Shéma master -> DC-1601.stu1601.lab

    C’est le seul DC qui peut modifier le schéma Active Directory

  2. Domain naming master

    C'est le seul autorisé à ajouter ou supprimer des domaines.

  3. PDC Emulator → DC-1601

    C'est le chef pour les mots de passe et l'heure.

  4. RID Pool Manager → DC-1601

    C’est le DC qui distribue les RIDs, nécessaires pour créer des objets AD.

  • Créer deux domaines dans la forêt.
  • Vérifier les rôles FSMO via :
netdom query fsmo

3. Tests par rôle FSMO

Schema Master

Manipulations

  • Arrêter le DC détenant le Schema Master.
  • Tenter d'ajouter un attribut via ADSI Edit.

Observations

  • Modification impossible.
  • Message d'erreur indiquant que le schéma est inaccessible.

Explication

Le schéma AD est unique dans la forêt → seul le Schema Master peut le modifier.
Si ce DC est hors ligne, aucune modification du schéma n'est autorisée.

Domain Naming Master

Manipulations

  • Arrêter le DC possédant le rôle.
  • Essayer d'ajouter un domaine via Active Directory Domains and Trusts.

Observations

  • L'ajout du domaine échoue.
  • Message indiquant l'indisponibilité du Domain Naming Master.

Explication

Ce rôle gère l'ajout et la suppression de domaines → la forêt ne peut pas évoluer sans lui.

RID Master

Manipulations

  • Arrêter le DC RID Master.
  • Créer 10 nouveaux utilisateurs.

Observations

  • Les premiers utilisateurs se créent (pool local).
  • Après épuisement du pool : échec de création + erreur SID/RID.

Explication

Chaque DC doit demander un pool RID au RID Master.
Sans ce rôle, plus aucun nouvel objet ne peut être créé après épuisement du pool.

PDC Emulator

Manipulations

  • Arrêter le PDC Emulator.
  • Changer le mot de passe d'un utilisateur.

Observations

  • Propagation lente voire impossible.
  • Problèmes d'authentification possibles.

Explication

Le PDC Emulator gère :

  • les mots de passe prioritaires,
  • la synchronisation horaire,
  • l'authentification NTLM.

Son absence perturbe significativement la sécurité du domaine.

Infrastructure Master

Manipulations

  • Arrêter l'Infrastructure Master.
  • Déplacer un utilisateur entre deux domaines.
  • Vérifier les références via ADSI Edit.

Observations

  • Les références inter-domaines ne sont plus mises à jour.
  • Problèmes de cohérence dans les attributs.

Explication

L'Infrastructure Master maintient les références inter-domaines.
Dans un environnement multi-domaines, son absence cause des incohérences.

4. Failover et transfert de rôles

Deux méthodes permettent de transférer les rôles FSMO vers un autre DC.

Méthode GUI (MMC)

Selon le rôle :

Pour Schema Master :

  • Ouvrir la console Schema Admin.
  • Operations Master → Change.

Pour Domain Naming Master :

  • Active Directory Domains and Trusts.
  • Operations Master → Change.

Pour RID, PDC Emulator, Infrastructure :

  • Active Directory Users and Computers.
  • Operations Master → Change.