Architecture Active Directory (3)

Domaines : arborescences, forêts, approbations et unités d'organisation

Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory permet de gérer les domaines.

Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

Délimitation de la sécurité. Les domaines Windows 2000 définissent une limite de sécurité. Les stratégies et les paramètres de sécurité (comme par exemple les droits d'administration et les listes de contrôle d'accès) ne passent pas d'un domaine à un autre. Active Directory peut inclure un ou plusieurs domaines, possédant tous leurs propres stratégies de sécurité.
Réplication des informations. Un domaine est une partition d'annuaire Windows 2000 (appelée également contexte d'affectation de nom). Ces partitions sont les unités de réplication. Chaque domaine enregistre uniquement les informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine peut recevoir les modifications apportées à des objets et répliquer ces modifications vers tous les autres contrôleurs du même domaine.
Application des stratégies de groupe. Un domaine représente une étendue possible de stratégie (les paramètres de stratégie de groupe peuvent aussi être appliqués à des unités d'organisation ou à des sites). L'application d'un objet Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière dont les ressources du domaine peuvent être configurées et utilisées. Par exemple, vous pouvez employer une stratégie de groupe pour contrôler les paramètres du bureau, comme par exemple le déploiement d'applications et de verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même domaine. Elles ne sont pas transmises d'un domaine à un autre.
Structure du réseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des millions d'objets¹¹, la plupart des organisations n'ont pas besoin de créer de domaines distincts pour refléter leurs différents départements et divisions. Normalement, vous ne devriez pas avoir à créer d'autres domaines pour traiter des objets supplémentaires. Toutefois, certaines organisations requièrent plusieurs domaines pour prendre en charge, par exemple, des unités professionnelles indépendantes ou complètement autonomes qui ne veulent pas qu'une personne extérieure à leur unité dispose d'autorisations sur leurs objets. De telles organisations peuvent créer des domaines supplémentaires et les organiser en une forêt Active Directory. Il peut également être utile de séparer le réseau en domaines distincts si deux parties de votre réseau sont séparées par un lien si lent que vous refusez que le trafic de réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de réplication de manière moins fréquente, vous pouvez configurer un simple domaine avec plusieurs sites).
Délégation de l'autorité d'administration. Sur les réseaux Windows 2000, vous pouvez déléguer l'autorité d'administration d'unités d'organisation et de domaines individuels, ce qui réduit le nombre requis d'administrateurs disposant d'une autorité d'administration élevée. Comme un domaine est une limite de sécurité, les autorisations d'administration d'un domaine sont restreintes au domaine par défaut. Par exemple, un administrateur ayant l'autorisation de définir les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à faire de même dans tout autre domaine de l'annuaire.

Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les arborescences, les forêts, les approbations et les unités d'organisation, et les rapports entre ces structures et les domaines. Ces composants de domaine sont décrits dans les sous-sections suivantes :

Arborescences
Forêts
Relations d'approbation
Unités d'organisation

Windows 2000 introduit également le concept de sites, mais leur structure est différente de celle des domaines, afin de garantir la flexibilité de leur administration (les sites sont décrits dans une section ultérieure). Ce document présente les notions de base des domaines et des sites Windows 2000. Pour des informations détaillées sur la planification de leur structure et déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" à la fin de ce document.

Lorsque vous découvrirez les structures de domaines possibles décrites dans les sous-sections suivantes, gardez à l'esprit que, pour de nombreuses organisations, il est possible de disposer d'une structure composée d'un domaine qui serait simultanément une forêt composée d'une arborescence. Il s'agit sans doute de la meilleure façon d'organiser un réseau. Il faut toujours commencer par la structure la plus simple et augmenter sa complexité si cela se justifie.

Arborescences

Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et utilise ses propres serveurs DNS.

Le premier domaine créé est le domaine racine de la première arborescence. Les domaines supplémentaires de la même arborescence de domaine sont les domaines enfants. Un domaine placé immédiatement au-dessus d'un autre dans la même arborescence est son parent.

Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un espace de noms contigus. Les domaines d'un espace de noms contigus (de la même arborescence) ont des noms contigus formés de la manière suivante : le nom du domaine enfant apparaît sur la gauche, suivi d'un point et du nom de son domaine parent. Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent dans le nom de domaine, comme l'illustre la figure 3. Les domaines Windows 2000 d'une même arborescence sont liés par des relations d'approbation bidirectionnelles et transitives. Ces relations sont décrites plus loin dans ce document.

Domaines parents et enfants d'une arborescence de domaines

Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les flèches à deux directions indiquent des relations d'approbation transitives bidirectionnelles

La relation parent-enfant entre domaines d'une même arborescence est une relation d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine parent ne sont pas automatiquement ceux des domaines enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines enfants.

Forêts

Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l'efficacité du réseau en permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs domaines.

Tous les contrôleurs de domaine d'une forêt hébergent une copie des conteneurs de configuration et de schéma de la forêt en plus d'une base de données de domaine. Une base de données de domaine est une partie d'une base de données de forêt. Chaque base de données de domaine contient des objets d'annuaire, tels que les objets entités de sécurité (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou refuser l'accès aux ressources réseau.

Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées qu'une seule fois pour affecter tous les domaines.

Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car chaque forêt que vous créez entraîne une surcharge de travail de gestion¹² . Il est parfois nécessaire de créer plusieurs forêts ; par exemple, si l'administration de votre réseau est distribuée entre plusieurs divisions autonomes qui ne peuvent pas se mettre d'accord sur une gestion commune des conteneurs de schéma et de configuration. C'est également le cas si vous voulez garantir que des utilisateurs spécifiques ne puissent jamais obtenir l'accès à certaines ressources (dans une forêt unique, tout utilisateur peut être inclus dans tout groupe ou peut être répertorié dans une liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List)¹³, sur n'importe quel ordinateur de la forêt). Si vous disposez de forêts distinctes, vous pouvez définir des relations d'approbation explicites pour accorder aux utilisateurs d'une forêt l'accès à certaines ressources d'une autre. (Pour un exemple avec deux forêts, voir la figure 7 dans la section "Exemple : Environnement mixte constitué de deux forêts et d'un extranet".)

Plusieurs arborescences de domaines au sein d'une même forêt ne forment pas un espace de noms contigus ; en effet, leurs noms de domaine DNS ne sont pas contigus. Bien que les arborescences d'une forêt ne partagent pas un même espace de nom, une forêt possède un domaine racine unique, appelé domaine racine de la forêt. Ce domaine racine est, par définition, le premier domaine créé dans la forêt. Les deux groupes prédéfinis, Administrateurs d'entreprise et Administrateurs de schéma, résident dans ce domaine.

Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines (Racine-SS.com, RacineEurope.com et RacineAsie.com) aient tous un domaine enfant pour le service de comptabilité "Compt", les noms DNS de ces domaines enfants sont respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et Compt.RacineAsie.com. Il n'existe aucun espace de noms partagé.

Forêt de trois arborescences de domaines

Figure 4. Forêt de trois arborescences de domaines. Les trois domaines racines ne sont pas contigus, mais RacineEurope.com et RacineAsie.com sont des domaines enfants de Racine-SS.com.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d'approbation transitive (expliquée plus en détails dans la section suivante) avec le domaine racine de la forêt. Dans la figure 4, Racine-SS.com est le domaine racine de la forêt. Les domaines racines des autres arborescences, RacineEurope.com et RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est donc possible d'établir des relations d'approbation entre toutes les arborescences de la forêt.

Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une même forêt présentent les caractéristiques suivantes :

Il existe des relations d'approbation transitives entre les domaines d'une même arborescence.
Il existe des relations d'approbation transitives entre les arborescences de domaines d'une même forêt.
Ils partagent des informations de configuration communes.
Ils partagent un schéma commun.
Ils partagent un catalogue global commun.

Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer un enfant.

La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Relations d'approbation

Une relation d'approbation est une relation établie entre deux domaines grâce à laquelle les contrôleurs de domaine de l'un des domaines reconnaissent les utilisateurs de l'autre domaine. Les approbations permettent aux utilisateurs d'un des domaines d'accéder aux ressources de l'autre et aux administrateurs d'un des domaines d'administrer des droits utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000, l'authentification de comptes entre domaines est activée par l'intermédiaire de relations d'approbation bidirectionnelles et transitives.

Toutes les relations d'approbation au sein d'une forêt Windows 2000 sont bidirectionnelles et transitives, et sont définies comme suit :

Bidirectionnelle. Lorsque vous créez un domaine enfant, ce domaine enfant approuve automatiquement son domaine parent et réciproquement. D'un point de vue pratique, des requêtes d'authentification peuvent être soumises d'un domaine à l'autre dans les deux sens.
Transitive. Une approbation transitive va au-delà des deux domaines impliqués dans la relation d'approbation initiale. Par exemple : si le domaine A et le domaine B (parent et enfant) s'approuvent mutuellement et si le domaine B et le domaine C (là encore parent et enfant) s'approuvent eux aussi mutuellement, alors le domaine A et le domaine C s'approuvent mutuellement (de manière implicite), même si aucune relation d'approbation directe n'existe entre eux. Au niveau de la forêt, il se crée automatiquement une relation d'approbation entre le domaine racine de la forêt et le domaine racine de chaque arborescence de domaines ajoutée à la forêt, ce qui crée une approbation complète entre tous les domaines appartenant à une forêt Active Directory. D'un point de vue pratique, dans la mesure où les relations d'approbation sont transitives, un processus d'ouverture de session unique permet au système d'authentifier un utilisateur (ou un ordinateur) de n'importe quel domaine de la forêt. Ce processus d'ouverture de session unique offre au compte un accès potentiel à toutes les ressources de tous les domaines de la forêt.

Notez toutefois que le fait que les approbations permettent un processus d'ouverture de session unique ne signifie pas nécessairement qu'un utilisateur authentifié possédera des droits et des autorisations dans tous les domaines de la forêt.

Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer explicitement les deux types de relations d'approbation suivants :

Approbations raccourcis. Avant d'accorder à un compte d'un domaine donné l'accès à des ressources d'un autre domaine par l'intermédiaire d'un contrôleur de domaine, Windows 2000 calcule le chemin d'approbation entre les contrôleurs du domaine source (celui auquel appartient le compte) et le domaine cible (celui qui comporte les ressources auxquelles le compte veut accéder). Un chemin d'approbation se compose de la série de relations d'approbation de domaines que la sécurité de Windows 2000 doit traverser pour transmettre les requêtes d'authentification d'un domaine à un autre. Le calcul et le parcours d'un chemin d'approbation entre arborescences de domaines dans une forêt complexe peut prendre du temps. Pour améliorer les performances, vous pouvez créer explicitement (manuellement) une approbation raccourci entre deux domaines Windows 2000 non adjacents de la même forêt. Les approbations raccourcis sont des approbations unidirectionnelles transitives qui vous permettent de raccourcir le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner deux approbations unidirectionnelles pour établir une relation d'approbation bidirectionnelle. Si vous ne pouvez pas révoquer les approbations bidirectionnelles transitives établies automatiquement par défaut entre tous les domaines d'une forêt Windows 2000, vous pouvez en revanche supprimer les approbations raccourcis créées explicitement.
Figure 5. Approbations raccourcis entre les domaines B et D, et entre les domaines D et 2
Approbations externes. Les approbations externes établissent des relations d'approbation vers des domaines d'une forêt Windows 2000 différente ou vers un domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT ou d'un domaine Kerberos version 5¹⁴). Les approbations externes permettent d'authentifier les utilisateurs dans un domaine externe. Toutes les approbations externes sont des approbations unidirectionnelles non transitives, comme le montre la figure 6. De nouveau, vous pouvez combiner deux approbations unidirectionnelles pour établir une relation d'approbation bidirectionnelle.
Figure 6. Approbation non transitive externe unidirectionnelle

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows 2000, les relations d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous devez créer des approbations externes Windows 2000. Pour établir explicitement une relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory.

Exemple : Environnement mixte constitué de deux forêts et d'un extranet

La figure 7 illustre un environnement mixte comprenant deux forêts Windows 2000 et un domaine Windows NT 4.0. Quatre espaces de noms séparés sont mis en œuvre : A.com, D.com, G.com et F.

Réseau constitué de deux forêts et d'un extranet

Figure 7. Réseau constitué de deux forêts et d'un extranet

La figure 7 illustre le cas suivant :

A.com et D.com sont les racines d'arborescences distinctes de la forêt 1. (A.com est le domaine racine de la forêt.) L'approbation de racine d'arborescence bidirectionnelle et transitive qui existe entre eux (générée automatiquement par Windows 2000) assure une approbation complète entre tous les domaines des deux arborescences de la forêt 1.
E.D.com utilise fréquemment des ressources dans C.A.com. Pour raccourcir le chemin d'approbation entre les deux domaines, C.A.com approuve E.D.com directement. Cette approbation raccourci unidirectionnelle et transitive raccourcit le chemin d'approbation à parcourir pour authentifier les utilisateurs de E.D.com (limite le nombre de tronçons nécessaires à leur authentification) afin qu'ils puissent utiliser efficacement les ressources de C.A.com.
G.com est la racine de l'arborescence qui constitue à elle seule la forêt 2. L'approbation bidirectionnelle et transitive automatique entre G.com et H.G.com permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines d'accéder à leurs ressources mutuelles.
Le domaine G.com de la forêt 2 implémente une relation d'approbation externe unidirectionnelle explicite avec le domaine D.com de la forêt 1 de telle sorte que les utilisateurs du domaine D.com puissent accéder aux ressources du domaine G.com. Cette approbation n'étant pas transitive, aucun autre domaine de la forêt 1 ne peut obtenir d'accès aux ressources de G.com, et les utilisateurs, les groupes et les ordinateurs de D.com ne peuvent accéder aux ressources de H.G.com.
Le domaine F est un domaine Windows NT 4.0 qui fournit des services d'assistance aux utilisateurs de E.D.com. Cette approbation unidirectionnelle non transitive ne s'étend à aucun autre domaine de la forêt 1. Dans ce scénario, le domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible en partie à des utilisateurs externes autorisés. Un intranet à part entière est situé derrière un pare-feu et reste inaccessible, mais un extranet offre un accès restreint aux personnes n'appartenant pas à l'organisation.)

Unités d'organisation

Nouveau concept dans le système d'exploitation Windows 2000, les unités d'organisation (également appelées OU) sont un type d'objets d'annuaire dans lequel vous pouvez placer des utilisateurs, des groupes, des ordinateurs, des imprimantes, des dossiers partagés et d'autres unités d'organisation au sein d'un domaine unique. L'unité d'organisation (représentée sous la forme d'un dossier dans l'interface Utilisateurs et ordinateurs Active Directory) vous permet d'organiser logiquement et d'enregistrer des objets dans le domaine. Si vous avez plusieurs domaines, chacun d'entre eux peut implémenter sa propre hiérarchie d'unités d'organisation.

Comme l'illustre la figure 8, les unités d'organisation peuvent contenir d'autres unités d'organisation.

Hiérarchie d'unités d'organisation dans un domaine unique

Figure 8. Hiérarchie d'unités d'organisation dans un domaine unique

Les unités d'organisation vous permettent essentiellement de déléguer l'autorité administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs administratifs, la structure que vous créez reflétera probablement davantage votre modèle administratif que l'organisation technique de votre entreprise.

Bien que les utilisateurs puissent parcourir la structure d'unités d'organisation d'un domaine lorsqu'ils recherchent des ressources, l'interroger du catalogue global est dans ce cas-ci bien plus efficace. Il est donc inutile de créer une structure d'unités d'organisation pour le seul bien-être des utilisateurs finaux. Vous pouvez aussi créer une structure d'unités d'organisation qui reflète l'organisation technique de votre entreprise, mais la mise en œuvre et la gestion d'une telle initiative peuvent être difficiles et coûteuses. Au lieu de créer une structure d'unités d'organisation qui refléterait la situation des ressources ou l'organisation par départements, basez-vous sur les paramètres de délégation administrative et de stratégie de groupe lorsque vous créez des unités d'organisation.

Pour plus d'informations sur la mise en œuvre de la délégation et de la stratégie de groupe à l'aide d'unités d'organisation, voir la section "Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites". Pour des informations plus détaillée sur la conception d'une structure d'unités d'organisation lors de la planification de la mise en œuvre de Windows 2000, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" à la fin de ce document.

Sites : services aux clients et réplication des données

Vous pouvez considérer un site Windows 2000 comme un ensemble d'ordinateurs appartenant à un ou plusieurs réseaux IP connectés à l'aide de technologies LAN, ou comme un ensemble de réseaux locaux connectés par une structure fondamentale à haute vitesse. Les ordinateurs appartenant à un même site doivent être connectés correctement, ce qui caractérise d'ailleurs les ordinateurs qui font partie d'un même sous-réseau. En revanche, des sites distincts sont connectés par une liaison dont la vitesse est plus faible que celle des transferts de données au sein d'un réseau local. Vous pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions tant pour un site donné (dans un réseau local ou un ensemble de réseaux locaux connectés correctement) qu'entre plusieurs sites (dans un réseau étendu).

Avec le système d'exploitation Windows 2000, les sites offrent les services suivants :

Les clients peuvent faire appel à un service par l'intermédiaire d'un contrôleur de domaine dans le site auquel ils appartiennent (s'il en existe un).
Active Directory tente de réduire le délai de la réplication intra-site.
Active Directory tente de réduire la consommation de bande passante de la réplication inter-sites.
Les sites vous permettent de planifier la réplication inter-sites.

Les utilisateurs et les services doivent pouvoir accéder aux informations d'annuaire à tout moment à partir de n'importe quel ordinateur de la forêt. Pour ce faire, les ajouts, modifications et suppressions des données d'annuaire du contrôleur de domaine d'origine doivent être relayées (répliquées) vers les autres contrôleurs de domaine de la forêt. Toutefois, il faut atteindre un équilibre entre la nécessité de distribuer largement les données d'annuaire et celle d'optimiser la performance réseau. Les sites Active Directory vous aident à maintenir un tel équilibre.

Vous devez bien comprendre que les sites sont indépendants des domaines. L'architecture des sites représente la structure physique de votre réseau, alors que les domaines (si vous en utilisez plusieurs) représentent traditionnellement la structure logique de votre organisation. Les structures logique et physique sont indépendantes l'une de l'autre, et par conséquent :

Il n'existe pas forcément de lien entre l'espace de noms des sites et celui des domaines.
Il n'existe pas nécessairement de corrélation entre la structure physique de votre réseau et celle de ses domaines. Cependant, dans de nombreuses organisations, les domaines sont configurés pour refléter la structure physique du réseau. En effet, les domaines sont des partitions, et le partitionnement joue sur la réplication ; la partition d'une forêt en de multiples petits domaines permet de réduire le trafic de réplication.
Active Directory permet d'établir plusieurs domaines dans un site unique, et inversement.

Utilisation des informations sur le site par Active Directory

Vous spécifiez les informations sur le site à l'aide de Sites et services Active Directory. Active Directory utilise ensuite ces informations pour déterminer la meilleure façon d'utiliser les ressources réseau disponibles. L'utilisation des sites rend optimise les opérations suivantes :

Réponses aux requêtes des clients. Lorsqu'un client requiert un service auprès d'un contrôleur de domaine, la requête est destinée à un contrôleur de domaine appartenant au même site que lui, s'il existe. Le choix d'un contrôleur de domaine connecté correctement au client permet d'optimiser le traitement de la requête. Par exemple, si un client se connecte en utilisant un compte de domaine, le mécanisme de connexion recherche d'abord des contrôleurs de domaine hébergés sur le même site que le client. L'utilisation préférentielle des contrôleurs de domaine appartenant au site du client permet de limiter le trafic réseau au niveau local, ce qui optimise la procédure d'authentification.
Réplication de données d'annuaire. Les sites permettent de dupliquer les données d'annuaire tant en leur sein qu'entre eux. Active Directory réplique les données au sein d'un même site plus fréquemment que d'un site à l'autre, ce qui signifie que les contrôleurs de domaine les mieux connectés, par conséquent les plus susceptibles d'avoir besoin de données d'annuaire spécifiques, sont les premiers destinataires de la réplication. Les contrôleurs de domaine des autres sites reçoivent aussi toutes les modifications de l'annuaire, mais moins fréquemment, ce qui réduit la consommation de bande passante. La réplication de données Active Directory à destination des contrôleurs de domaine est avantageuse en termes de disponibilité des données, de tolérance de pannes, d'équilibrage de charge et de performances. (Pour plus d'informations sur la manière dont le système d'exploitation Windows 2000 met en œuvre la réplication, voir la sous-section "Réplication multimaître" à la fin de cette section relative aux sites.)

Contrôleurs de domaine, catalogues globaux et données répliquées

Les données enregistrées dans Active Directory sur chaque contrôleur de domaine (qu'il s'agisse ou non d'un serveur de catalogue global) sont réparties en trois catégories : les données de domaine, de schéma et de configuration. Chacune de ces catégories se situe dans une partition d'annuaire distincte, appelée également contexte d'affectation de nom. Ces partitions d'annuaire constituent les unités de réplication. Les trois partitions d'annuaire comprises dans chaque serveur Active Directory sont définies comme suit :

Partition d'annuaire de données de domaine. Contient tous les objets de l'annuaire pour ce domaine. Les données de chaque domaine sont répliquées sur tous les contrôleurs de domaine que le domaine contient, mais pas au-delà.
Partition d'annuaire de données de schéma. Contient tous les types d'objet qui peuvent être créés dans Active Directory, ainsi que leurs attributs. Ces données sont communes à tous les domaines de l'arborescence de domaines ou de la forêt. Les données de schéma sont répliquées sur tous les contrôleurs de domaine de la forêt.
Partition d'annuaire de données de configuration. Contient la topologie de réplication et les métadonnées associées. Les applications qui reconnaissent Active Directory enregistrent des données dans la partition d'annuaire de configuration. Ces données sont communes à tous les domaines de l'arborescence de domaines ou de la forêt. Les données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.

Si le contrôleur de données est également le serveur de catalogue global, il contient en outre une quatrième catégorie de données :

Réplica partiel de la partition d'annuaire de données de domaine pour tous les domaines. Un serveur de catalogue global enregistre et réplique non seulement un jeu complet de tous les objets de l'annuaire pour son propre domaine hôte, mais également un réplica partiel de la partition d'annuaire de domaine de tous les autres domaines de la forêt. Ce réplica partiel contient, par définition, un sous-ensemble des propriétés de tous les objets de tous les domaines de la forêt. (Un réplica partiel n'est accessible qu'en lecture seule, alors qu'un réplica complet l'est en lecture/écriture.)
Si un domaine contient un catalogue global, les autres contrôleurs de domaine répliquent tous les objets de ce domaine (avec un sous-ensemble de leurs propriétés) sur le catalogue global, puis une réplication partielle est exécutée entre les catalogues globaux. Si un domaine ne possède pas de catalogue global, c'est un contrôleur de domaine standard qui sert de source au réplica partiel.
Par défaut, le sous-ensemble d'attributs enregistré dans le catalogue global contient les attributs qui sont le plus souvent utilisés lors des opérations de recherche, car l'une des fonctions essentielles du catalogue global est la prise en charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues globaux pour effectuer une réplication partielle de domaine au lieu de répliquer un domaine complet, vous réduisez le trafic de réseau étendu.

Réplication dans un site

Si votre réseau est formé d'un réseau local (LAN) unique ou d'un ensemble de réseaux locaux connectés par une structure fondamentale à haute vitesse, l'ensemble du réseau peut constituer un site unique. Le premier contrôleur de domaine que vous installez crée automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une fois le premier contrôleur de domaine installé, tous les contrôleurs de domaine supplémentaires sont automatiquement ajoutés au même site que le contrôleur de domaine initial. (Si vous le souhaitez, vous pouvez ensuite les déplacer vers d'autres sites.) Seule exception : Si, lorsque vous installez un contrôleur de domaine, l'adresse IP de ce dernier correspond au sous-réseau déjà spécifié dans un autre site, le contrôleur de domaine est ajouté à cet autre site.

Au sein d'un site, les données d'annuaire sont répliquées fréquemment et automatiquement. La réplication intra-site est définie pour réduire au minimum le délai de réplication, c'est-à-dire pour mettre les données à jour le plus possible. Les mises à jour d'annuaire intra-site ne sont pas compressées. Les échanges non compressés utilisent davantage de ressources réseau mais demandent une puissance de traitement moins importante de la part des contrôleurs de domaine.

La figure 9 illustre la réplication au sein d'un site. Trois contrôleurs de domaine (dont l'un est aussi le catalogue global) répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet).

Réplication intra-site avec un domaine unique

Figure 9. Réplication intra-site avec un domaine unique

La topologie de réplication, c'est-à-dire la configuration formée par les connexions qui répliquent les données d'annuaire entre les contrôleurs de domaine, est générée automatiquement par le service Knowledge Consistency Checker (KCC) dans Active Directory. La topologie de site Active Directory est une représentation logique d'un réseau physique ; elle est définie sur la base d'une forêt. Active Directory essaie d'établir une topologie qui offre au moins deux connexions à chaque contrôleur de domaine, de sorte que, si un contrôleur de domaine devient indisponible, les données d'annuaire puissent toujours atteindre tous les contrôleurs de domaine en ligne par l'autre connexion.

Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle s'adapte à l'évolution du réseau. Par exemple, lorsqu'un contrôleur de domaine est ajouté à un site, la topologie de réplication est adaptée pour englober efficacement cet ajout.

Les clients et les serveurs de Active Directory utilisent la topologie de sites de la forêt pour diriger efficacement le trafic des requêtes et des réplications.

Si vous élargissez votre déploiement du premier contrôleur de domaine d'un domaine à plusieurs contrôleurs de domaine au sein de domaines multiples (toujours à l'intérieur d'un même site), les données d'annuaire répliquées sont modifiées pour tenir compte de la réplication du réplica partiel sur des catalogues globaux dans différents domaines. La figure 10 montre deux domaines, comportant chacun trois contrôleurs de domaine. Dans chacun des sites, l'un des contrôleurs de domaine est également le serveur de catalogue global. Au sein de chaque domaine, les contrôleurs de domaine répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet), exactement comme à la figure 9. En outre, chaque catalogue global réplique sur l'autre catalogue global les objets d'annuaire (avec uniquement un sous-ensemble de leurs attributs) pour son propre domaine.

Réplication intra-site avec deux domaines et deux catalogues globaux

Figure 10. Réplication intra-site avec deux domaines et deux catalogues globaux

Réplication inter-sites

Créez des sites multiples pour optimiser à la fois le trafic serveur-serveur et le trafic client-serveur sur les liaisons de réseau étendu. Dans le système d'exploitation Windows 2000, la réplication inter-sites réduit automatiquement la consommation de bande passante entre les sites.

Lorsque vous créez des sites multiples, respectez les recommandations suivantes :

Géographie. Définissez en tant que site distinct chaque zone géographique qui nécessite un accès rapide aux données d'annuaire les plus récentes. Ainsi, vos utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin.
Contrôleurs de domaine et catalogues globaux. Placez au moins un contrôleur de domaine dans chaque site et définissez au moins un contrôleur de domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni leurs propres contrôleurs de domaine ni catalogue global dépendent des autres sites pour obtenir leurs données d'annuaire et sont donc moins efficaces.

Connexion entre les sites

Les connexions réseau entre sites sont représentées par des liens de sites. Un lien de sites est une connexion à faible bande passante ou une connexion non fiable entre au moins deux sites. Un réseau étendu qui connecte deux réseaux rapides constitue un exemple de lien de sites. D'une manière générale, n'importe quelle couple de réseaux connectés par une liaison de vitesse inférieure à celle d'un réseau local sont considérés comme connectés par un lien de sites. Par ailleurs, une liaison rapide proche de la saturation dont la bande passante est peu efficace est également considérée comme un lien de sites. Lorsque vous disposez de plusieurs sites, les sites connectés par des liens de sites s'intègrent à la topologie de réplication.

Dans un réseau Windows 2000, les liens de sites ne sont pas générés automatiquement ; vous devez les créer à l'aide de l'outil Sites et services Active Directory. Lorsque vous créez des liens de sites et que vous configurez leur disponibilité de réplication, leur coût relatif et leur fréquence de réplication, vous fournissez à Active Directory des informations sur les objets de connexion à créer pour répliquer les données d'annuaire. Active Directory utilise les liens de sites comme des indicateurs pour savoir où créer des objets de connexion, et les objets de connexion utilisent les connexions réseau effectives pour échanger des données d'annuaire.

Chaque lien de sites est associé à un planning qui indique à quels moments de la journée le lien est disponible pour effectuer le trafic de réplication.

Par défaut, les liens de sites sont transitifs, ce qui signifie qu'un contrôleur de domaine dans un site peut effectuer des connexions de réplication avec des contrôleurs de domaine dans n'importe quel autre site. Ainsi, si le site A est connecté au site B, et si le site B est connecté au site C, les contrôleurs de domaine du site A peuvent communiquer avec les contrôleurs de domaine du site C. Lorsque vous créez un site, il se peut que vous souhaitiez créer des liens supplémentaires pour permettre des connexions spécifiques entre des sites et personnaliser des liens de sites existants.

La figure 11 montre deux sites connectés par un lien de sites. Parmi les six contrôleurs de domaine représentés dans cette figure, deux sont des serveurs ponts (le rôle de serveur pont est attribué automatiquement par le système).

Deux sites connectés par un lien de sites

Figure 11. Deux sites connectés par un lien de sites. Le serveur pont de chaque site est utilisé de manière préférentielle pour échanger des données entre les sites.

Les serveurs ponts sont les serveurs choisis de préférence pour la réplication, mais vous pouvez également configurer les autres contrôleurs de domaine du site pour qu'ils se chargent de la réplication des modifications d'annuaire d'un site à l'autre.

Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-site. Bien qu'un seul contrôleur de domaine reçoive la mise à jour d'annuaire inter-sites initiale, tous les contrôleurs de domaine servent les requêtes client.

Protocoles de réplication

Les données d'annuaire peuvent être échangées à l'aide des protocoles de réseau suivants :

Réplication IP. La réplication IP utilise des RPC pour la réplication dans un même site (réplication intra-site) et pour la réplication via des liens de sites (réplication inter-sites). Par défaut, la réplication inter-sites se conforme aux plannings de réplication. La réplication IP n'a pas besoin d'autorité de certification.
Réplication SMTP. Si un site ne dispose pas de connexion physique au reste de votre réseau mais peut être joint par SMTP (Simple Mail Transfer Protocol), il ne dispose que d'une connectivité par messagerie. La réplication SMTP n'est utilisée que pour la réplication inter-sites. Vous ne pouvez pas utiliser la réplication SMTP pour une réplication entre contrôleurs de domaine appartenant à un même domaine ; SMTP ne prend en charge que la réplication inter-domaines (en d'autres termes, SMTP ne peut être utilisé que pour la réplication inter-sites inter-domaines). La réplication SMTP ne peut être utilisée que pour la réplication de schéma, de configuration et de réplica partiel de catalogue global. La réplication SMTP se conforme au planning de réplication généré automatiquement.
Si vous décidez d'utiliser SMTP par l'intermédiaire de liens de sites, vous devez installer et configurer une autorité de certification d'entreprise. Les contrôleurs de domaine obtiennent auprès de l'autorité de certification des certificats qui leur permettent ensuite de signer et de crypter les messages de courrier électronique qui contiennent les données de réplication d'annuaire, garantissant ainsi l'authenticité des mises à jour d'annuaire. La réplication SMTP utilise un cryptage sur 56 bits.

Réplication multimaître

Les contrôleurs de domaine de Active Directory prennent en charge la réplication multimaître, en synchronisant les données sur chaque contrôleur de domaine et en assurant la cohérence temporelle des données. La réplication multimaître réplique les données de Active Directory entre les contrôleurs de domaine homologues, chacun possédant une copie de l'annuaire en lecture/écriture. Il s'agit d'une nouveauté par rapport au système d'exploitation Windows NT Server, dans lequel seul le contrôleur de domaine principal disposait d'une copie de l'annuaire en lecture/écriture, les contrôleurs de domaine secondaires ne recevant que des copies en lecture seule. Une fois configurée, la réplication s'effectue de manière automatique et transparente.

Propagation de la mise à jour et numéros de séquence de mise à jour

Certains services d'annuaire utilisent des horodatages pour détecter et propager les modifications. Avec de tels systèmes, il est impératif de s'assurer de la synchronisation des horloges sur tous les serveurs d'annuaire. La synchronisation temporelle d'un réseau est une tâche très ardue. Même si elle est excellente, l'heure d'un serveur d'annuaire donné risque d'être mal réglée, ce qui peut entraîner la perte de mises à jour.

Le système de réplication de Active Directory propage les mises à jour indépendamment du temps. En effet, il utilise des numéros de séquence de mise à jour (USN, Update Sequence Number). Un USN est un nombre codé sur 64 bits maintenu par chaque contrôleur de domaine Active Directory pour surveiller les mises à jour. Lorsque le serveur écrit sur un attribut ou une propriété d'un objet Active Directory (y compris l'écriture d'origine ou une écriture répliquée), l'USN est incrémenté et enregistré avec la propriété mise à jour et une propriété spécifique au contrôleur de domaine. Cette opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et l'enregistrement de l'USN ainsi que l'écriture de la propriété réussissent tous les trois ou échouent tous les trois.

Chaque serveur Active Directory maintient également une table des USN reçus de ses partenaires de réplication. L'USN le plus élevé reçu de chacun des partenaires est enregistré. Lorsqu'un partenaire donné informe Active Directory d'une réplication imminente, le serveur demande à recevoir toutes les modifications dont l'USN est supérieur à la dernière valeur reçue. Cette approche simple ne dépend pas de la précision des horodatages.

Comme l'USN enregistré dans la table est mis à jour au cours d'une opération groupée à la réception de chaque mise à jour, la récupération après échec est aussi très simple. Pour relancer la réplication, il suffit qu'un serveur demande à ses partenaires toutes les modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La table étant mise à jour par une opération groupée au moment où les modifications sont réellement effectuées, un cycle de réplication reprend toujours exactement là où il a été interrompu, sans perte ni répétition des mises à jour.

Détection des collisions et numéros de version des propriétés

Dans un système de réplication multimaître comme celui de Active Directory, il est possible que la même propriété soit mise à jour sur plusieurs réplicas différents. Si une propriété est modifiée sur un deuxième (troisième, quatrième, etc.) réplica avant qu'une modification du premier réplica ait été complètement propagée, une collision de réplications se produit. Les collisions sont détectées à l'aide de numéros de version de propriété. Contrairement aux USN, qui sont des valeurs spécifiques aux serveurs, un numéro de version de propriété est spécifique à la propriété jointe à un objet dans Active Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet Active Directory, le numéro de version est initialisé.

Les écritures d'origine incrémentent le numéro de version de propriété. Une écriture d'origine est une écriture sur une propriété du système à l'origine de la modification. Les écritures sur propriété engendrées par la réplication ne sont pas des écritures d'origine et n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour son mot de passe, une écriture d'origine est effectuée et le numéro de version du mot de passe est incrémenté. Par contre, les écritures de réplication du mot de passe modifié sur d'autres serveurs n'incrémentent pas le numéro de version.

Il y a collision lorsque, lors d'une modification reçue par réplication, le numéro de version reçu est égal au numéro de version enregistré localement, et que la valeur reçue et la valeur enregistrées sont différentes. Dans ce cas, le système récepteur applique la mise à jour dont l'horodatage est le plus récent. À l'exception de cette situation, l'heure et la date n'interviennent pas dans la réplication.

Si le numéro de version reçu est inférieur au numéro de version enregistré localement, la mise à jour est considérée comme caduque et rejetée. Si le numéro de version reçu est supérieur au numéro de version enregistré localement, la mise à jour est acceptée.

Amortissement de la propagation

Le système de réplication de Active Directory autorise la présence de boucles dans la topologie de réplication. L'administrateur peut ainsi configurer une topologie de réplication comportant des chemins d'accès multiples entre serveurs pour accroître les performances et la disponibilité. Le système de réplication de Active Directory pratique l'amortissement de la propagation pour éviter que des modifications se propagent indéfiniment et pour éliminer la transmission redondante de modifications à des réplicas déjà à jour.

Pour amortir la propagation, le système de réplication de Active Directory utilise des vecteurs de mise à jour. Le vecteur de mise à jour est une liste des paires serveur-USN maintenues par chaque serveur. Le vecteur de mise à jour de chaque serveur indique l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur-USN. Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous les autres serveurs de ce site¹⁵.

Lorsqu'un cycle de réplication commence, le serveur demandeur envoie son vecteur de mise à jour au serveur émetteur. Le serveur émetteur utilise le vecteur de mise à jour pour filtrer les modifications envoyées au serveur demandeur. Si l'USN le plus élevé pour un serveur d'origine donné est supérieur ou égal à l'USN d'écriture d'origine d'une mise à jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le serveur demandeur est déjà à jour par rapport au serveur d'origine.

<< 1 2 3 4 >>

Dernière mise à jour le jeudi 2 mars 2000

Cette information provient de l'espace Microsoft TechNet
La source d'information indispensable pour les spécialistes de l'informatique en entreprise !