Architecture Active Directory

Système d'exploitation

Livre blanc

Résumé

Pour pouvoir utiliser le système d'exploitation Microsoft Windows 2000 Server le plus efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire Active Directory™. Ce nouveau service Windows 2000 tient un rôle majeur dans la mise en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos objectifs professionnels. Ce document présente Active Directory aux administrateurs réseau, expose son architecture et décrit son mode de fonctionnement avec les applications et les autres services d'annuaire.

Ce document s'appuie sur les informations disponibles à l'heure du lancement de la version Bêta 3 de Windows 2000. Les informations fournies pourront faire l'objet de modifications jusqu'au lancement de la version finale de Windows 2000 Server.

Sommaire

• Introduction
• Service d'annuaire Active Directory

La compréhension du service d'annuaire Active Directory™ est la première étape qui vous permet de comprendre le fonctionnement de Windows 2000 et la manière dont ce système d'exploitation peut vous aider à atteindre les objectifs de votre entreprise. Ce document s'intéresse à Active Directory sous trois perspectives différentes :

• Stockage. Active Directory, le service d'annuaire de Windows 2000 Server, enregistre sous la forme de hiérarchies les informations relatives aux objets du réseau et met ces informations à la disposition des administrateurs, des utilisateurs et des applications. La première section de ce document donne la définition d'un service d'annuaire, décrit l'intégration du service Active Directory avec le système DNS (Domain Name System) Internet et explique l'actualisation de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de domaine¹.
• Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide d'entités telles que les domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites. La deuxième section de ce document décrit la structure et la fonction de ces composants Active Directory, ainsi que la manière dont cette architecture permet aux administrateurs de gérer le réseau pour que les utilisateurs puissent atteindre leurs objectifs professionnels.
• Intercommunications. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, il peut fonctionner avec d'autres services d'annuaire. De même, les applications tierces qui prennent en charge ces protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory et de nombreuses autres technologies.

Avantages offerts par Active Directory

L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte les avantages suivants :

• Intégration avec DNS. Active Directory utilise le système DNS (Domain Name System). DNS est un service standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol) numériques lisibles par les ordinateurs (quatre numéros séparés par des points). Ainsi, des processus s'exécutant sur des ordinateurs inscrits dans des réseaux TCP/IP peuvent s'identifier et se connecter entre eux.
• Flexibilité des requêtes. Les utilisateurs et les administrateurs peuvent utiliser la commande Rechercher du menu Démarrer, l'icône Favoris réseau sur le bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour rechercher rapidement un objet sur le réseau sur la base de ses propriétés. Par exemple, vous pouvez effectuer la recherche sur le prénom, le nom, le nom de messagerie, l'emplacement du bureau ou d'autres propriétés du compte d'utilisateur. L'utilisation du catalogue global optimise la recherche d'informations.
• Capacités d'extension. Active Directory est extensible. En d'autres termes, les administrateurs peuvent ajouter de nouvelles classes d'objets au schéma et de nouveaux attributs aux classes d'objets existantes. Le schéma contient une définition de toutes les classes d'objets et de leurs attributs, qui peuvent être enregistrés dans l'annuaire. Par exemple, vous pouvez ajouter un attribut Autorisation d'achat à l'objet Utilisateur, puis enregistrer la limite d'autorisation d'achat de chaque utilisateur dans son compte d'utilisateur.
• Administration par stratégie. Les stratégies de groupe sont des paramètres de configuration appliqués aux ordinateurs ou aux utilisateurs lors de leur initialisation. Tous les paramètres de stratégie de groupe sont contenus dans les objets Stratégie de groupe (GPO) appliqués aux sites, aux domaines ou aux unités d'organisation Active Directory. Les paramètres GPO définissent l'accès aux objets d'annuaire et aux ressources de domaine, les ressources de domaine (telles que les applications) mises à la disposition des utilisateurs et la configuration de ces ressources.
• Adaptabilité. Active Directory inclut un ou plusieurs domaines, possédant chacun un ou plusieurs contrôleurs de domaine, vous permettant d'adapter l'annuaire aux conditions requises par le réseau. Plusieurs domaines peuvent être associés dans une arborescence de domaines et plusieurs arborescences de domaines peuvent être regroupées dans une forêt. La structure la plus simple possible, un réseau à un seul domaine, est à la fois un arborescence unique et une forêt unique.
• Réplication d'informations. Active Directory utilise la réplication multimaître, qui vous permet de mettre à jour l'annuaire sur n'importe quel contrôleur de domaine. Le déploiement de plusieurs contrôleurs de domaine dans un seul domaine garantit la tolérance de pannes et l'équilibrage de charge. Si le fonctionnement d'un contrôleur de domaine au sein d'un domaine ralentit, s'arrête ou échoue, les autres contrôleurs du même domaine peuvent fournir un accès à l'annuaire, étant donné qu'ils possèdent les mêmes données d'annuaire.
• Sécurité des informations. La gestion de l'authentification des utilisateurs et le contrôle d'accès, tous deux entièrement intégrés dans Active Directory, sont les fonctionnalités de sécurité clés du système d'exploitation Windows 2000. Active Directory centralise l'authentification. Le contrôle d'accès peut être défini non seulement sur chaque objet de l'annuaire, mais aussi sur chaque propriété de ces objets. En outre, Active Directory fournit à la fois le stockage et l'étendue d'application des stratégies de sécurité. (Pour plus d'informations sur l'authentification d'ouverture de session et le contrôle d'accès Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.)
• Interopérabilité. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol), il peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles. Plusieurs interfaces de programmation d'applications (API), telles que l'interface ADSI (Active Directory Service Interface), permettent aux développeurs d'accéder à ces protocoles.

À la fin de ce document, l'annexe A, "Outils", présente les outils logiciels qui vous permettent d'exécuter les tâches associées à Active Directory.

Service d'annuaire Active Directory

Avant d'aborder les sections principales de ce document (l'architecture de Active Directory et son interopérabilité), cette section préliminaire analyse rapidement Active Directory sous deux perspectives très différentes :

• La première considère Active Directory sous sa forme la plus abstraite, c'est-à-dire un espace de noms intégré au système DNS (Domain Name System) Internet.
• La seconde consiste à voir Active Directory sous sa forme la plus banale, c'est-à-dire un logiciel qui transforme un serveur en contrôleur de domaine.

Dans le contexte d'un réseau d'ordinateurs, un annuaire (aussi appelé un magasin de données) est une structure hiérarchique permettant de stocker les informations sur les objets du réseau. Ces objets comprennent les ressources partagées comme les serveurs, les volumes partagés et les imprimantes, les comptes d'utilisateur et d'ordinateur réseau, ainsi que les domaines, les applications, les services, les stratégies de sécurité et à peu près tout ce qui reste sur votre réseau. Les informations qu'un annuaire de réseau peut stocker pour un compte d'utilisateur sur un type particulier d'objet sont en général le nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numéro de téléphone, etc.

Un service d'annuaire diffère d'un annuaire en ce qu'il constitue à la fois la source d'informations et les services rendant ces informations disponibles et exploitables aux administrateurs, aux utilisateurs, aux services réseau et aux applications. Idéalement, un service d'annuaire rend la topologie du réseau physique et les protocoles (formats de transmission des données entre deux périphériques) transparents, de sorte qu'un utilisateur peut accéder à toute ressource sans savoir où et comment elle est connectée physiquement. Pour reprendre l'exemple du compte d'utilisateur, c'est le service d'annuaire qui permet aux autres utilisateurs autorisés sur le même réseau d'accéder aux informations enregistrées (comme par exemple une adresse de messagerie) sur l'objet Compte d'utilisateur.

Les services d'annuaire prennent en charge une large palette de fonctionnalités. Certains sont intégrés à un système d'exploitation et d'autres sont des applications, telles que les annuaires de messagerie. Les services d'annuaire de système d'exploitation, comme Active Directory, permettent de gérer des utilisateurs, des ordinateurs et des ressources partagées. Les services d'annuaire qui prennent en charge la messagerie électronique, comme Microsoft Exchange, permettent aux utilisateurs de rechercher d'autres utilisateurs et de leur envoyer des messages.

Active Directory, le nouveau service d'annuaire central du système d'exploitation Windows 2000 Server, s'exécute uniquement sur des contrôleurs de domaine. Active Directory ne fournit pas seulement un emplacement de stockage de données et de services permettant de rendre ces données accessibles , mais protège également les objets du réseau contre les accès non autorisés et réplique les objets pour éviter toute perte de données lors de l'échec d'un contrôleur de domaine.

Intégration de DNS dans Active Directory

Active Directory et DNS sont deux espaces de noms. Toute zone délimitée, au sein de laquelle un nom donné peut être résolu, constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Un annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés peuvent être résolus en numéros de téléphone. Le système de fichiers NTFS de Windows 2000 constitue un espace de noms dans lequel le nom d'un fichier peut être résolu pour obtenir le fichier lui-même.

DNS et Internet

Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et DNS, il convient de s'intéresser à quelques éléments de base du système DNS lui-même et à ses relations avec Internet et le protocole TCP/IP. Internet est un réseau TCP/IP. Les protocoles de communication TCP/IP permettent de connecter des ordinateurs et de les laisser transmettre des données sur les réseaux. Chaque ordinateur sur Internet ou sur tout autre réseau TCP/IP (un réseau Windows, par exemple) possède une adresse IP. DNS localise les hôtes TCP/IP (ordinateurs) en traduisant les noms d'ordinateur que les utilisateurs comprennent en adresses IP compréhensibles pour les ordinateurs. Les adresses IP sur Internet sont gérées à l'aide de la base de données DNS distribuée globalement, mais DNS peut également être mis en œuvre localement pour gérer les adresses sur des réseaux TCP/IP privés.

DNS, organisé en une arborescence de domaines, fait d'Internet un espace de noms unique. DNS possède plusieurs domaines de premier niveau, subdivisés en domaines de second niveau. La racine de l'espace de noms du domaine Internet est gérée par une autorité Internet (actuellement, InterNIC, le centre d'informations du réseau Internet) responsable de la délégation des responsabilités d'administration des domaines de premier niveau de l'espace de noms DNS et de l'enregistrement des noms de domaines de second niveau. Les domaines de premier niveau sont les domaines commerciaux (.com), éducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des États-Unis, des codes de pays/région à deux lettres sont utilisés, comme par exemple .fr pour la France. Les domaines de second niveau représentent des espaces de noms auxquels sont inscrits de manière formelle des institutions (et des utilisateurs individuels) pour bénéficier d'une présence sur Internet. La figure 1 montre comment un réseau d'entreprise se connecte à l'espace de noms DNS d'Internet.

Figure 1. Intégration de l'espace de noms DNS d'Internet par Microsoft

Intégration des espaces de noms DNS et Active Directory

L'intégration de DNS et de Active Directory représente une fonctionnalité centrale de Windows 2000 Server. Les domaines DNS et Active Directory utilisent des noms de domaines identiques. Comme les deux espaces de noms partagent une structure de domaines identique, il est important de bien comprendre qu'ils ne représentent pas le même espace de noms. Chacun d'eux enregistre des données différentes et gère ainsi des objets différents. DNS stocke les enregistrements de ressources et de zones² ; Active Directory stocke ses domaines et leurs objets.

Les noms de domaines DNS s'appuient sur la structure de noms hiérarchique DNS, qui est une arborescence inversée : un domaine racine unique, sous lequel peuvent se trouver des domaines parents ou enfants (les branches et les feuilles). Par exemple, un nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait référence à un domaine nommé enfant, qui est un domaine enfant du domaine nommé parent, lui-même enfant du domaine microsoft.com.

Chaque ordinateur d'un domaine DNS est identifié de manière unique par son nom de domaine complet. Le nom de domaine complet d'un ordinateur situé dans le domaine enfant.parent.microsoft.com est nom_de_l'ordinateur.enfant.parent.microsoft.com.

Chaque domaine Windows 2000 possède un nom DNS (par exemple, NomOrg.com) et tous les ordinateurs Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com). Ainsi, les domaines et les ordinateurs sont tous représentés comme des objets Active Directory et comme des nœuds DNS (dans la hiérarchie DNS, un nœud représente un domaine ou un ordinateur).

DNS et Active Directory utilisent tous deux une base de données pour la résolution des noms.

• DNS est un service de résolution de noms. DNS résout les noms de domaines et les noms d'ordinateurs en renvoyant les adresses IP via les demandes reçues par les serveurs DNS en tant que requêtes sur la base de données DNS. Plus précisément, les clients DNS envoient des requêtes de noms DNS à leur serveur DNS configuré. Le serveur DNS reçoit la requête de nom et la résout par l'intermédiaire de fichiers enregistrés localement ou consulte un autre serveur DNS pour la résolution. DNS n'a pas besoin de Active Directory pour fonctionner.
• Active Directory est un service d'annuaire. Il résout les noms d'objets de domaine en renvoyant des enregistrements d'objets par l'intermédiaire de demandes de modification ou de recherche LDAP (Lightweight Directory Access Protocol)³ reçues par les contrôleurs de domaine et qui s'appliquent à la base de données Active Directory. En d'autres termes, les clients Active Directory utilisent LDAP pour envoyer des requêtes aux serveurs Active Directory. Pour localiser un tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc DNS comme service localisateur, pour résoudre les noms de domaines, de sites et de services et renvoyer des adresses IP. Par exemple, pour se connecter à un domaine Active Directory, un client peut demander à son serveur DNS l'adresse IP du service LDAP en cours d'exécution sur un contrôleur de domaine d'un domaine spécifié. Active Directory requiert DNS.

Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement Windows 2000 diffèrent dans la mesure où l'enregistrement d'hôte DNS représentant un ordinateur spécifique d'une zone DNS se trouve dans un autre espace de noms que l'objet Compte d'ordinateur du domaine Active Directory représentant le même ordinateur.

En résumé, Active Directory est intégré à DNS de différentes manières :

• Les domaines Active Directory et DNS sont organisés sous des structures hiérarchiques identiques. Bien qu'ils diffèrent et soient mis en œuvre différemment pour des objectifs distincts, les espaces de noms d'une organisation pour ces deux types de domaines ont une structure identique. Par exemple, microsoft.com est à la fois un domaine DNS et un domaine Active Directory.
• Les zones DNS peuvent être enregistrées dans Active Directory. Si vous utilisez le service DNS de Windows 2000, les zones principales peuvent être enregistrées dans Active Directory pour être répliquées vers d'autres contrôleurs de domaine Active Directory et pour assurer une meilleure sécurité du service DNS.
• Les clients Active Directory utilisent DNS pour localiser les contrôleurs de domaine. Dans le cas d'un domaine particulier, les clients Active Directory demandent à leur serveur DNS les enregistrements de ressources spécifiques.

Active Directory et l'espace de noms DNS global

Active Directory a été conçu pour exister au sein de l'espace de noms DNS global d'Internet. Lorsqu'une organisation équipée du système d'exploitation réseau Windows 2000 Server souhaite être présente sur Internet, l'espace de noms Active Directory est conservé sous la forme d'un ou de plusieurs domaines hiérarchiques Windows 2000 au-dessous d'un domaine racine enregistré comme espace de noms DNS. (L'organisation peut choisir de ne pas faire partie de l'espace de noms DNS global d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs Windows 2000.)

Selon les conventions d'affectation des noms DNS, chaque partie séparée par un point (.) représente un nœud dans l'arborescence DNS et un nom de domaine Active Directory potentiel dans l'arborescence des domaines Windows 2000. Comme l'illustre la figure 2, la racine de l'arborescence DNS est un nœud de nom nul (""). La racine de l'espace de noms Active Directory (la racine de la forêt) n'a pas de parent et fournit le point d'entrée LDAP dans Active Directory.

Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory

Enregistrements de ressources SRV et mises à jour dynamiques

DNS existe indépendamment de Active Directory, tandis que ce dernier a spécialement été conçu pour utiliser DNS. Pour qu'Active Directory fonctionne correctement, les serveurs DNS doivent prendre en charge les enregistrements des ressources SRV⁴ (Emplacement du service). Ces enregistrements mappent le nom d'un service en renvoyant le nom d'un serveur offrant ce service. Les clients et les contrôleurs de domaine Active Directory utilisent les enregistrements des ressources SRV pour déterminer les adresses IP des contrôleurs de domaine.

Remarque Pour plus d'informations sur la planification du déploiement de serveurs DNS comme support de vos domaines Active Directory, et sur d'autres problèmes liés au déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" de ce document.

Les serveurs DNS d'un réseau Windows 2000 doivent prendre en charge les enregistrements de ressources SRV, mais Microsoft recommande également la prise en charge des mises à jour dynamiques DNS⁵. Celles-ci définissent un protocole de mise à jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifiées. Sans ce protocole, les administrateurs doivent configurer manuellement les enregistrements créés par les contrôleurs de domaine et enregistrés par les serveurs DNS.

Le nouveau service DNS de Windows 2000 prend en charge à la fois les enregistrements de ressources SRV et les mises à jour dynamiques. Si vous voulez utiliser un serveur DNS non Windows 2000, vous devez vous assurer qu'il prend en charge les enregistrements de ressources SRV ou effectuer sa mise à niveau vers une version qui les prend en charge. Dans le cas d'un serveur DNS hérité de ce type mais ne prenant pas en charge les mises à jour dynamiques, vous devez mettre les enregistrements de ressources à jour manuellement lorsque vous définissez un serveur Windows 2000 comme contrôleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situé dans le dossier %systemroot%\System32\config), créé par l'Assistant Installation de Active Directory.

Création de contrôleurs de domaine à l'aide de Active Directory

La mise en œuvre et l'administration d'un réseau sont des tâches concrètes. Pour comprendre comment Active Directory fonctionne dans la pratique, vous devez d'abord savoir que son installation sur un ordinateur Windows 2000 Server a pour effet de transformer le serveur en contrôleur de domaine. Un contrôleur de domaine ne peut héberger qu'un seul domaine.

Plus précisément, il s'agit d'un ordinateur Windows 2000 Server, configuré à l'aide de l'Assistant Installation de Active Directory, qui installe et configure les composants permettant aux utilisateurs et aux ordinateurs du réseau d'utiliser les services d'annuaire Active Directory. Les contrôleurs de domaine enregistrent les données d'annuaire du domaine (comme les stratégies de sécurité système et les données d'authentification de l'utilisateur) et gèrent les interactions entre domaines, y compris les processus d'ouverture de session, d'authentification et de recherche dans l'annuaire.

La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou l'ajout de contrôleurs de domaine supplémentaires à un domaine existant.

Cette section décrit les contrôleurs de domaine Active Directory et leur rôle sur le réseau.

Avec l'introduction de Active Directory, les contrôleurs de domaine Windows 2000 fonctionnent comme des homologues. Le concept de rôles supérieur-subordonné des contrôleurs de domaine principaux (PDC) et secondaires (BDC) Windows NT Server est donc abandonné. Les contrôleurs de domaine prennent en charge la réplication multimaître et répliquent les informations Active Directory entre tous les contrôleurs de domaine. L'introduction de la réplication multimaître permet aux administrateurs d'effectuer des mises à jour Active Directory sur n'importe quel contrôleur de domaine Windows 2000 du domaine. Dans Windows NT Server, seul le contrôleur PDC dispose d'une copie en lecture et écriture de l'annuaire ; il réplique ensuite une copie en lecture seule des informations d'annuaire vers les contrôleurs BDC. (Pour des informations plus détaillées sur la réplication multimaître, voir la section "Réplication multimaître".)

La mise à niveau du système d'exploitation vers Windows 2000 à partir d'un domaine existant peut s'effectuer par étapes, de la manière qui vous convient le mieux. Lorsque le premier contrôleur de domaine d'une nouvelle installation est créé, plusieurs entités sont automatiquement chargées en même temps qu'Active Directory. Les sous-sections suivantes développent les deux aspects différents de l'installation d'un contrôleur de domaine Active Directory sur un nouveau réseau :

• Le premier contrôleur de domaine est un serveur de catalogue global.
• Le premier contrôleur de domaine joue le rôle de maître d'opérations.

Catalogue global

Le système d'exploitation Windows 2000 introduit le catalogue global, une base de données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des requêtes.

Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt Windows 2000 et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le processus d'authentification d'ouverture de session (il détermine le groupe d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour l'ouverture de session.

Une fois que des contrôleurs de domaine supplémentaires ont été installés dans la forêt, vous pouvez changer l'emplacement par défaut du catalogue global en précisant un autre contrôleur de domaine à l'aide de l'outil Sites et services Active Directory. Si vous le souhaitez, vous pouvez configurer un contrôleur de domaine quelconque pour héberger un catalogue global, selon les besoins de votre organisation en matière de demandes d'ouverture de session et de recherche. Plus il y a de serveurs de catalogue global, plus la réponse aux demandes de l'utilisateur est rapide ; en contrepartie, l'activation de nombreux contrôleurs de domaine comme serveurs de catalogue global augmente le trafic réseau de réplication.

Le catalogue global joue un rôle dans deux processus clés de Active Directory, l'ouverture de session et le traitement des requêtes :

• Ouverture de session. Dans un domaine en mode natif, le catalogue global permet aux clients Active Directory d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine les informations d'appartenance aux groupes universels⁶ du compte qui envoie la demande d'ouverture de session. En fait, les utilisateurs mais aussi tous les objets s'authentifiant à Active Directory doivent référencer le serveur de catalogue global, y compris les ordinateurs en cours de démarrage. Dans une installation à plusieurs domaines, au moins un contrôleur de domaine détenant le catalogue global doit être en cours d'exécution et disponible pour que les utilisateurs puissent ouvrir une session. Un serveur de catalogue global doit également être disponible lorsqu'un utilisateur ouvre une session en précisant un nom UPN (nom utilisateur principal) non défini par défaut. (Pour plus d'informations sur l'ouverture de session, voir la section "Noms d'ouverture de session : noms UPN et noms de comptes SAM".)

  Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter qu'à l'ordinateur local (et non au réseau). L'unique exception à cette règle concerne les utilisateurs membres du groupe des administrateurs de domaines, qui sont en mesure d'ouvrir une session sur le réseau même si aucun catalogue global n'est disponible.

• Traitement des requêtes. Dans une forêt contenant de nombreux domaines, le catalogue global permet aux clients d'effectuer des recherches rapides et aisées sur l'ensemble des domaines, sans avoir à parcourir chaque domaine individuel. Il rend les structures de répertoires d'une forêt transparentes aux utilisateurs finaux à la recherche d'informations. La majorité du trafic réseau correspond au traitement des requêtes : les informations demandées par les utilisateurs, les administrateurs et les programmes sur les objets d'annuaire. L'annuaire est soumis à davantage de requêtes que de mises à jour. Pour améliorer le temps de réponse aux utilisateurs qui recherchent des informations dans l'annuaire, vous pouvez affecter plusieurs contrôleurs de domaine comme serveurs de catalogue global. Il convient toutefois de trouver un juste équilibre car cette opération peut également augmenter le trafic réseau de réplication.

Rôles de maître d'opérations

La réplication multimaître entre contrôleurs de domaine homologues est impossible pour certains types de modifications. Seul un contrôleur de domaine, le maître d'opérations, accepte les demandes de modification de ce genre. Comme la réplication multimaître joue un rôle important dans les réseaux Active Directory, il est essentiel que vous connaissiez ces exceptions. Dans toute forêt Active Directory, le contrôleur de domaine initial se voit assigner au moins cinq rôles différents de maître d'opérations pendant l'installation.

Lorsque vous créez le premier domaine d'une nouvelle forêt, les cinq rôles sont assignés automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un ou de plusieurs domaines, vous pouvez réattribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres dans chaque domaine d'une forêt.

Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :

• Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peut être enregistré dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma.
• Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :

• Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un autre au maître RID.
• Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de domaine principal Windows NT. Il traite les changements de mots de passe client et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la réplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC avant de rejeter la tentative d'ouverture de session.
• Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à jour de toutes les références croisées des domaines lors du déplacement d'un objet référencé par un autre. Par exemple, chaque fois que des membres de groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un membre d'un groupe (et que ce membre réside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maître d'infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre.

  Le maître d'infrastructure distribue la mise à jour par réplication multimaître. N'attribuez pas ce rôle au contrôleur de domaine qui héberge le catalogue global, à moins que le domaine ne contienne qu'un seul contrôleur. Si vous procédez ainsi, le maître d'infrastructure ne fonctionnera pas. Si tous les contrôleurs d'un domaine hébergent le catalogue global (même s'il n'existe qu'un seul contrôleur de domaine), ils disposent tous des données actualisées et le rôle de maître d'infrastructure n'est pas indispensable.