Faites les changements sur le contrôleur de domaine proche du client

système au service central d’assistance aux utilisateurs. Michel
doit apporter un changement à  son profil AD, peut-être parce qu’il a changé de
département ou parce que sa ligne directe a changé. Il contacte Alain qui met
à  jour son profil AD. Combien de temps Michel devra-t-il attendre avant de voir
les changements ?

Paris et Nice ont tous deux des contrôleurs de domaine. Lorsque Michel interroge
Active Directory sur son profil, il interroge probablement le contrôleur de domaines
de Nice. Cependant, lorsque Alain fait le changement, il le fera probablement
sur le contrôleur de domaines de Paris. Si Alain et Michel travaillaient sur le

même site, le ou les contrôleurs de domaine du site seraient tous au courant de
la modification dans un laps de temps très court – les contrôleurs de domaine
répliquent les changements vers les contrôleurs de domaine du site dans les 15
minutes. Mais la vitesse de réplication sur les liaisons WAN dépend de vos choix
lors de la mise en oeuvre de la structure AD. Des mises à  jour fréquentes sur les
liaisons WAN permettent de propager rapidement les modifications de comptes, mais
elles consomment également la bande passante du WAN. Si la société d’Alain et
Michel est prudente sur la consommation de sa bande passante de son WAN, il est

possible que le contrôleur de domaine de Michel ne voit pas la modification avant
un moment. Alain peut minimiser ce délai en réalisant la modification sur un contrôleur
de domaine proche de Michel. En faisant la modification de profil AD à  Nice et
non à  Paris, Alain est assuré que les contrôleurs de domaine du site de Michel
verront les modifications de profil rapidement. L’inconvénient, c’est que Alain
devra changer le profil sur un contrôleur de domaine avec lequel il communiquera
à  la vitesse du WAN et non à  celle du LAN.

Que se passe-t-il si Michel demande à  Alain de lui donner un nouveau mot de passe
et que ce dernier le fait alors qu’il est connecté au contrôleur de domaine de
Paris ? Michel devra-t-il attendre que le contrôleur de domaine de Paris réplique
le mot de passe sur celui de Nice ? Non. Windows 2000 traite les mots de passe
un peu différemment. Si Michel essaie de se connecter à  Nice avant que son contrôleur
de domaine local n’ait été informé du changement de mot de passe, sa connexion
échouera. Mais avant de rapporter l’échec, le contrôleur de domaine de Nice communique
avec le contrôleur de domaine jouant le rôle de PDC Flexible Single Master Operation
(FSMO).

Bien qu’Active Directory soit une base de données distribuées décentralisée,

quelques fonctions d’AD doivent être centralisées

Qu’est-ce que le FSMO ? Bien qu’Active Directory soit une base de données
distribuées décentralisée, quelques fonctions d’AD doivent être centralisées.
Parmi ces fonctions figure la notion de PDC de Windows NT. Dans les domaines AD
en mode mixte, les BDC de NT 4.0 ont besoin d’un PDC sur lequel se répliquer.
C’est le rôle des contrôleurs de domaine Windows 2000 agissant comme FSMO.

Dans un domaine AD en mode natif, comme dans notre exemple, le FSMO ne remplit
pas la fonction de PDC mais il a toujours un rôle à  jouer : s’assurer que les
changements de mots de passe prennent effet immédiatement à  travers le domaine.
La réplication AD peut prendre longtemps à  se réaliser à  travers tout le domaine,
et ce délai peut poser problème. Ainsi, Michel risque de ne pas pouvoir attendre
que les contrôleurs de domaine finissent de répliquer son changement de mot de
passe. Active Directory nomme donc comme FSMO un contrôleur de domaine. Lorsqu’un
contrôleur de domaine AD reçoit un nouveau mot de passe, il réplique immédiatement
ce dernier dans le FSMO. Lorsque la tentative de connexion de Michel échouera,
le contrôleur de domaine local réessaiera immédiatement le mot de passe sur le
FSMO, même si ce dernier est situé au bout d’une liaison WAN. Cette machine disposant
des toutes dernières informations sur les mots de passe, Michel sera bien authentifié
comme utilisateur de Nice.