La conception de la topologie de sites

Transcription

1 Chapitre 16 La conception de la topologie de sites 16.1 Les mécanismes de conception : définitions Collecter les informations sur le réseau Prévoir l emplacement des contrôleurs de domaine Concevoir des sites Concevoir les liens de sites Concevoir les ponts de liaison de sites En résumé...591

2

3 Les mécanismes de conception : définitions expression "topologie des sites" désigne la représentation logique du réseau L physique. La conception d une permet de router efficacement les requêtes clients et le trafic de réplication d Active Directory. Lorsqu elle est réussie, elle offre les avantages suivants : une diminution du coût de la réplication des données Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la réplication pendant les heures creuses pour les emplacements équipés de liens réseau lents ou de connexions à distance ; une optimisation de la localisation des ressources les plus proches (contrôleurs de domaine, serveurs DFS ), une amélioration des processus d ouverture et de fermeture de session et une amélioration des opérations de téléchargement de fichiers. En outre, elle permet une meilleure visibilité sur le proet de déploiement d Active Directory. Une conception de réussie permet aussi d avoir les idées claires avant d aborder des aspects plus techniques. Une réflexion sur les aspects concrets que sont la structure physique du réseau et l obectif d entreprise dans ce proet est cruciale : c est le moyen d éviter les ennuis techniques par la suite. Bien que ce chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en place d Active Directory chez Puzzmania, il est indispensable d aborder ce suet au préalable afin d éviter de prendre une mauvaise direction. La conception d une Active Directory inclut la compréhension de la structure physique du réseau, la planification du placement des contrôleurs de domaine, la conception des sites, des sous-réseaux, des liens de sites et des ponts de liaison de sites pour assurer l efficacité du routage des requêtes et du trafic de réplication. Voici la description du processus de conception d une : Figure 16.1 : Processus de conception de la Avant d examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites Les mécanismes de conception : définitions La affecte les performances du réseau et la capacité des utilisateurs à accéder aux ressources réseau. Autrement dit, les utilisateurs risquent d avoir une 565

4 Chapitre 16 La conception de la mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui vont suivre et si vous ne concevez pas une adéquate. Pour ce faire, vous devez connaître un minimum de définitions techniques. Les fonctionnalités liées aux sites Windows Server 2003 utilise des fonctionnalités liées aux sites qu il est important de comprendre. Il s agit du routage de la réplication, de l affinité des clients, de la réplication des volumes systèmes (Sysvol), de DFS et de la localisation des services. Routage de la réplication Active Directory utilise un modèle de réplication multimaître afin de répliquer d un contrôleur de domaine à un autre. Cela signifie qu un contrôleur de domaine communique les modifications de l annuaire à un deuxième contrôleur, qui les communique à un troisième, et ainsi de suite, usqu à ce que tous les contrôleurs de domaine soient informés des modifications. Afin d obtenir le meilleur équilibre possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie des sites contrôle la réplication Active Directory en distinguant la réplication qui intervient au sein d un site et celle qui intervient entre les sites distants. À l intérieur d un même site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse. En pratique, vous trouverez et pourrez configurer l obet de connexion de réplication dans le composant logiciel enfichable Sites et services Active Directory en déployant l obet contrôleur de domaine et le sous-obet NTDS Settings. Figure 16.2 : Boîte de dialogue d un obet de connexion de réplication intrasite du composant logiciel enfichable Sites et services Active Directory 566

5 Les mécanismes de conception : définitions Une mise à our de données d annuaire, la création d un compte par exemple, déclenche la réplication et les données sont transmises non compressées aux autres contrôleurs de domaine. À l inverse, on compresse les données dans le cadre d une réplication entre des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque site collecte et stocke les modifications de l annuaire et les communique à intervalles planifiés à un contrôleur de domaine d un autre site. Affinité des clients Les contrôleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la présence d un ou de plusieurs contrôleurs de domaine à l intérieur du site le plus proche des clients en question. Prenons l exemple de Puzzmania. Considérez un client du domaine corp.puzzmania.com situé sur le site géographique de Toulouse. Il ne connaît pas son affiliation de site. Il contacte un contrôleur de domaine du site de Nice. En consultant l adresse IP du client, le contrôleur de Nice détermine le site auquel le client appartient et lui transmet les informations de site afférentes. Il indique au client si le contrôleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande l enregistrement de ressources de service (SRV) spécifiques au site et trouve donc un contrôleur de domaine sur le site qui est le sien. Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services Active Directory 567

6 Chapitre 16 La conception de la Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilisé pour localiser les contrôleurs de domaine Active Directory. En trouvant un contrôleur de domaine sur son site, le client s épargne les communications par les liens distants. Mais il est possible qu il n en trouve pas. Dans ce cas, un contrôleur de domaine qui possède les connexions de plus faible coût par rapport aux autres sites connectés publiés sur le site du client (enregistre via un enregistrement de ressources SRN spécifique au site dans le DNS). Les contrôleurs de domaine publiés dans le DNS sont ceux du site le plus proche selon ce qui est configuré dans la topologie. Ce processus garantit que chaque site possède un contrôleur de domaine préféré pour l authentification. Réplication Sysvol Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine, c est-à-dire les obets de stratégie de groupe, les scripts de démarrage et de fermeture ainsi que les scripts d ouverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrôleur de domaine. Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication Service) pour répliquer les modifications apportées au contenu de Sysvol d un contrôleur de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la planification que vous créez durant la conception de la topologie des sites. DFS (Distributed File System) Le système de fichiers distribués DFS utilise les informations de site pour diriger un client vers le serveur qui héberge les données requises. Si le service DFS ne trouve pas une copie des données dans le même site que celui du client, il utilise les informations de site de l annuaire pour déterminer le serveur de fichiers qui possède les données partagées DFS les plus proches du client. 568

7 Les mécanismes de conception : définitions Localisation de services En publiant des services comme les services de fichiers et d impression dans Active Directory, vous permettrez aux clients de localiser les services qu ils requièrent dans leur propre site ou dans le site le plus proche. Les services d impression, par exemple, utilisent l attribut d emplacement stocké dans Active Directory pour permettre aux utilisateurs de parcourir le réseau à la recherche d imprimantes en fonction de leur emplacement, même s ils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce site apparaissent en résultat. Figure 16.5 : Recherche d imprimantes par emplacement Les concepts de réplication d Active Directory Nous définissons dans ce qui suit les concepts de réplication d Active Directory. Les différentes partitions La base de données Active Directory est divisée de manière logique en plusieurs partitions. la partition de schéma ; la partition d annuaire ; la partition de la configuration ; la partition du domaine ; la partition d application. La partition d annuaire Chaque partition est une unité de réplication et possède sa propre topologie de réplication. La réplication est exécutée entre les réplicas des partitions d annuaire. Tous les contrôleurs de domaine de la même forêt ont au moins deux partitions d annuaire en commun : celles du schéma et de la configuration. De plus, ils partagent une partition de domaine commune. 569

8 Chapitre 16 La conception de la Figure 16.6 : Définition des partitions d annuaire La partition de schéma Chaque forêt possède une seule partition de schéma. Cette partition de schéma est stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les définitions de tous les obets et attributs créés dans l annuaire, ainsi que les règles qui permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans tous les contrôleurs de domaine de la forêt. C est pourquoi les obets doivent être conformes aux définitions d obet et d attribut du schéma. La partition de la configuration Chaque forêt possède une seule partition de configuration. Stockée dans tous les contrôleurs de domaine de la même forêt, la partition de configuration contient les données sur la structure Active Directory de l ensemble de la forêt, telles que les domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et les services disponibles. Les données de la configuration sont répliquées dans tous les contrôleurs de domaine de la forêt. La partition de domaine Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans chaque contrôleur de domaine d un domaine donné. Une partition de domaine contient les données sur tous les obets propres au domaine et créés dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les unités d organisation. Une partition de domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré. Tous les obets de chaque partition de domaine d une forêt sont stockés dans le catalogue global avec un seul sous-ensemble de leurs valeurs d attribut. La partition d application Les partitions d application stockent les données sur les applications dans Active Directory. Chaque application détermine comment elle stocke, classe et utilise ses propres données. Pour éviter toute réplication inutile des partitions d application, vous pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la 570

9 Les mécanismes de conception : définitions différence d une partition de domaine, une partition d application ne peut pas stocker les principaux obets de sécurité, tels que les comptes d utilisateur. De plus, les données contenues dans une partition d application ne sont pas stockées dans le catalogue global. Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux partitions d application pour les zones DNS : ForestDNSZones et DomainDNSZones. ForestDNSZones fait partie d une forêt : tous les contrôleurs de domaine et les serveurs DNS d une forêt reçoivent un réplica de cette partition. Une partition d application d une forêt entière stocke les données de la zone de la forêt. DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette partition. Les partitions d application stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>. Chaque domaine possède une partition DomainDNSZones, mais il n existe qu une partition ForestDNSZones. Aucune donnée DNS n est répliquée sur le serveur de catalogue global. Le numéro de séquence de mise à our (USN) L implémentation d un annuaire implique la mise en place d un mécanisme afin de gérer le stockage incrémentiel des modifications apportées aux obets de l annuaire. En effet, le moindre changement de mot de passe doit pouvoir être transmis à tous les contrôleurs de domaine. Ce système doit pouvoir être sélectif en cas de changements portant sur une même propriété d obet pour n appliquer que le plus récent. Certains services d annuaire s appuient sur une synchronisation en temps réel de tous les contrôleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrôleurs de domaine entre eux, s avère difficile à gérer. La plus faible variation peut influencer les résultats de la réplication. La réponse à ce problème est le concept de numéro de séquence de mise à our (USN, Update Sequence Number). Active Directory l utilise pour assurer une application exacte des changements de l annuaire. Un USN est une valeur de 64 bits et tous les contrôleurs de domaine en possèdent un. Chaque modification d une propriété d obet dans un annuaire (un changement de mot de passe par exemple) entraîne une incrémentation de l USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette technique, les mises à our sont plus directes. Prenons l exemple de Puzzmania : lorsque le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de domaine SNCERCDC02 la réplication des modifications de ce dernier (création d utilisateurs), il extrait de sa table de référence interne l USN de SNCERCDC02 le plus récent reçu et ne réclame que les changements intervenus depuis ce numéro. La simplicité de cette opération garantit la ustesse du processus. L intégrité de la réplication est garantie car l incrémentation d un USN est dépendante de la réussite d une mise à our. Si un problème vient entraver un cycle de réplication, le récepteur concerné recherche touours une mise à our à partir de l USN approprié. 571

10 Chapitre 16 La conception de la Il est inutile de vous inquiéter des risques éventuels d épuisement de la réserve d USN. Les 64 bits de ce nombre lui permettent de prendre en compte usqu à changements par contrôleur de domaine. La collision de réplication Même avec le mécanisme de numéro de séquence de mise à our, la collision est possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania.com réinitialise un mot de passe sur SNCERCDC01 et qu un autre administrateur réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n ait eu l occasion de distribuer sa modification, il y a inévitablement collision. Ce problème est résolu grâce à un numéro de version de propriété (PVN, Property Version Number). Il est appliqué en tant qu attribut à chaque obet dans Active Directory et est mis à our et horodaté en séquence chaque fois qu une modification est apportée à l obet. Si une collision de réplication se produit, le PVN le plus récent a priorité et le mot de passe associé est affecté à l utilisateur. L obet connexion Un obet connexion est un obet Active Directory qui représente une connexion de réplication d un contrôleur de domaine à un autre. Un contrôleur de domaine est un membre d un unique site et est représenté dans le site par un obet serveur dans Active Directory. Chaque obet serveur possède un obet NTDS Settings enfant qui représente le contrôleur de domaine répliquant dans le site. Figure 16.7 : Obet serveur de type contrôleur de domaine et obet NTDS Settings vus par le composant logiciel enfichable Sites et services Active Directory 572

11 Les mécanismes de conception : définitions L obet connexion est un enfant de l obet NTDS Settings du serveur de destination. Pour que la réplication intervienne entre deux contrôleurs de domaine, l obet serveur de l un doit avoir un obet connexion qui identifie le serveur source de réplication. Toutes les connexions de réplication d un contrôleur de domaine sont stockées sous la forme d obets de connexion sous l obet NTDS Settings. L obet connexion identifie le serveur source de réplication, contient une planification de réplication et spécifie un transport de réplication. Le vérificateur de cohésion de connaissances (KCC, Knowledge Consistency Checker) crée automatiquement des obets de connexion, qui peuvent aussi être créés manuellement. À chaque fois que vous modifiez un obet de connexion créé par le KCC, vous le convertissez automatiquement en un obet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications. Les protocoles de transport de réplication Active Directory utilise la technologie d appel de procédure distante RPC (Remote Procedure Call) sur le protocole IP pour transférer les données de réplication entre les contrôleurs de domaine. Les réplications intersite et intrasite se servent de RPC sur IP. Pour assurer la sécurité des données en transit, la réplication RPC sur IP fait appel à la fois à l authentification (protocole Kerberos v5) et au cryptage des données. Si aucune connexion directe ou IP fiable n est disponible, la réplication intersite peut être configurée pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalité de réplication SMTP est limitée et nécessite une autorité de certification d entreprise. SMTP ne peut être utilisé que pour répliquer les partitions de configuration, de schéma et d application de l annuaire ; il ne prend pas en charge la réplication des partitions de domaine. Le KCC Le KCC (Knowledge Consistency Checker) est un processus intégré qui s exécute sur tous les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des topologies de réplications intrasite et intersite séparées. Le KCC auste dynamiquement la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont déplacés d un site à un autre, des modifications de coûts, des planifications. KCC et ISTG Le KCC crée des obets de connexion afin de relier les contrôleurs de domaine au sein d une topologie commune. Il comprend deux composants : un contrôleur intrasite KCC, qui se charge de la réplication à l intérieur d un site, et le générateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les obets de connexion entre sites. 573

12 Chapitre 16 La conception de la Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer usqu à 5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows Server Sur chaque contrôleur de domaine, le KCC crée des itinéraires de réplication en créant des obets de connexion entrante unidirectionnelle qui définissent des connexions depuis d autres contrôleurs de domaine. Pour les contrôleurs de domaine dans le même site, le KCC crée des obets de connexion de manière automatique. Lorsque vous possédez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de créer automatiquement les connexions intersites. Fonctionnalité de basculement Les sites garantissent que les données de réplication sont routées même en cas de pannes réseau et de pannes des contrôleurs de domaine. Le KCC s exécute à des intervalles spécifiés afin d auster la topologie de réplication pour l adapter aux modifications qui interviennent dans Active Directory (par exemple, en cas d extension de la société, lorsque de nouveaux contrôleurs de domaine sont aoutés ou lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des connexions existantes afin de déterminer si des connexions ont cessé de fonctionner. Si une connexion ne fonctionne pas à cause d un contrôleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de réplication (s il en existe) afin de s assurer que la réplication peut s opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC crée automatiquement des connexions de réplication avec les contrôleurs de domaine d un autre site. Le sous-réseau Un sous-réseau est un segment d un réseau TCP/IP auquel un ensemble d adresses IP logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur proximité physique sur le réseau. D un point de vue Active Directory, les obets de sous-réseau identifient les adresses réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les sites. 574

13 Les mécanismes de conception : définitions Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services Active Directory Les sites Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions réseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer l accès et la réplication Active Directory afin d optimiser l utilisation du réseau physique. Les sites sont représentés dans Active Directory sous la forme d obets de site. Les obets de site sont des ensembles de sous-réseaux et chaque contrôleur de domaine dans la forêt est associé à un site Active Directory en fonction de son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites. Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory 575

14 Chapitre 16 La conception de la Lien de sites Les liens de sites sont les chemins logiques que le KCC utilise pour établir une connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory sous la forme d obets de lien de sites. Un tel obet représente un ensemble de sites qui peuvent communiquer à coût uniforme via un transport intersite spécifié. Figure : Les liens de sites vus par le composant logiciel enfichable Sites et services Active Directory Tous les sites contenus dans un lien sont considérés comme connectés au sein d un même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que les contrôleurs de domaine dans un site puissent répliquer les modifications de l annuaire vers les contrôleurs de domaine d un autre site. Étant donné que les liens de sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau physique durant la réplication, vous n avez pas besoin de créer des liens redondants pour améliorer l efficacité de la réplication Active Directory. Lorsque deux sites sont connectés par un lien, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques dans chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut désigner plusieurs contrôleurs de domaine par site hébergeant la même partition d annuaire comme candidat au rôle de serveur tête de pont. Les connexions de réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête 576

15 Les mécanismes de conception : définitions de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut, le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux obets de connexion sont aoutés au site. Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la charge à chaque fois qu une modification intervient dans la topologie des sites ou que le nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les planifications de manière que la charge de réplication sortante pour chaque contrôleur de domaine soit répartie de façon égale au fil du temps. Interrogez l aide de l utilitaire ADLB afin d obtenir ses différentes options. Pont de liaison de sites Un pont de liaison de sites est un obet Active Directory qui représente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrôleurs de domaine qui ne sont pas directement connectés au moyen d un lien de communication d opérer des réplications intersites. En général, un pont de liaison correspond à un routeur (ou à un ensemble de routeurs) d un réseau IP. En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en déployant le conteneur Inter-Site Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur Action et Nouveau pont entre liens de sites. Figure : Création d un pont de liaison de sites à l aide du composant logiciel enfichable Sites et services Active Directory Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent certains sites en commun. Si ce comportement est désactivé, chaque lien de sites 577

16 Chapitre 16 La conception de la représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent être traités comme un unique itinéraire sont représentés sous la forme de ponts de liaison de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau. Les ponts de liaison permettent de représenter logiquement la connectivité physique transitive entre les sites. Chaque pont permet au KCC d utiliser n importe quelle combinaison de liens de sites inclus pour déterminer l itinéraire le moins coûteux lorsqu il s agit d interconnecter des partitions d annuaires conservées dans ces sites. Le pont ne fournit lui-même aucune connectivité aux contrôleurs de domaine. S il est supprimé, la réplication sur les liens de sites combinés se poursuit usqu à ce que le KCC supprime les liens. Les ponts ne sont nécessaires que si un site contient un contrôleur de domaine hébergeant une partition d annuaire qui n est pas également hébergée par un contrôleur de domaine dans un site adacent. Les sites adacents sont définis comme étant inclus dans un unique lien de sites. Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie intersite (ISTG, Intersite Topology Generator), le pont n implique pas qu un contrôleur de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la partition d annuaire à répliquer ; un pont ne serait alors pas requis. Le coût de chaque lien de sites est additionné usqu à former une somme totale pour le chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un contrôleur hébergeant la partition d annuaire et s il n existait aucun lien de coût plus faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d annuaire, deux sites déconnectés configureraient des connexions de réplication pour le contrôleur de domaine intermédiaire et n utiliseraient pas le pont. Transitivité des liens de sites Par défaut, tous les liens de sites sont transitifs. Lorsqu ils sont reliés par un pont et que les planifications se chevauchent, le KCC crée des connexions de réplication qui déterminent les partenaires de réplication intersite des contrôleurs de domaine. Dans ce contexte, les sites sont connectés, non pas directement par des liens, mais de manière transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter n importe quel site à n importe quel autre via une combinaison de liens. En général, pour un réseau complètement routé, vous n avez pas besoin de créer de ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens de sites pour un transport spécifique appartiennent implicitement à un unique pont. La mise en pont par défaut des liens de sites survient automatiquement et aucun autre obet Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site 578

17 Les mécanismes de conception : définitions disponible dans les propriétés des conteneurs de transport intersite IP et SMTP implémente les ponts de liaison de sites. Serveur de catalogue global Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations concernant tous les obets de la forêt, mais pas les attributs, afin que les applications puissent effectuer des recherches dans l annuaire Active Directory sans avoir à se référer à des contrôleurs de domaine spécifiques qui stockent les données requises. Comme tous les contrôleurs de domaine, le serveur de catalogue global stocke des réplicas complets et enregistrables du schéma et de la configuration des partitions d annuaire ainsi qu un réplica complet et enregistrable de la partition d annuaire du domaine qui l héberge. Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l aide du composant logiciel enfichable Sites et services et des propriétés de l obet NTDS Settings de l obet contrôleur de domaine. Figure : Configuration du serveur de catalogue global à l aide du composant logiciel enfichable Sites et services Active Directory Mise en cache de l appartenance aux groupes universels Un contrôleur de domaine peut mettre en cache les informations d appartenance aux groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003, vous pouvez activer cette fonctionnalité à l aide du composant logiciel enfichable Sites et services Active Directory, via les propriétés de l obet NTDS Settings du site. 579

18 Chapitre 16 La conception de la Figure : Configuration de la mise en cache de l appartenance aux groupes universels à l aide du composant logiciel enfichable Sites et services Active Directory La mise en cache de l appartenance aux groupes universels évite qu un serveur de catalogue global soit requis dans chaque site d un domaine. L utilisation de la bande passante réseau est ainsi minimisée car il n est pas nécessaire qu un contrôleur de domaine réplique tous les obets situés dans la forêt. Les temps d authentification sont également réduits, car les contrôleurs de domaine qui authentifient n ont pas touours besoin d accéder à un catalogue global pour obtenir des informations d appartenance aux groupes universels Collecter les informations sur le réseau Cette étape, très importante, permet de se faire une meilleure idée de ce qui va être mis en place par la suite et de repérer des points de contention ou difficultés dues au réseau physique. Pour synthétiser ces informations, vous devez Créer une carte des emplacements : il s agit de lister les sites géographiques et les groupes d ordinateurs sur un réseau local dans le but de schématiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra d attirer l attention sur les sites reliés par des lignes bas débit, par exemple. Lister les sous-réseaux IP à chaque emplacement : il s agit de relever les sous-réseaux IP et les masques associés afin de déterminer la configuration des sites dans Active Directory. 580

19 Prévoir l emplacement des contrôleurs de domaine Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris, Toulouse, Londres et Nice R&D pour Puzzmania Site géographique Numéro de sous-réseau Adresse du sousréseau Adresses IP des machines Nice à Toulouse à Paris à Londres à Nice R&D à Adresse de broadcast Active Directory associe chaque machine à un site spécifique en comparant l adresse IP de la machine avec les sous-réseaux associés à chaque site. Lorsque vous aoutez des contrôleurs à un domaine, Active Directory examine également leur adresse IP et les place dans le site approprié. Ce processus est automatique. Lister les domaines et le nombre d utilisateurs pour chaque emplacement : cette information est un des facteurs qui détermine le placement des contrôleurs de domaine et des serveurs de catalogue global. L association des informations sur les sous-réseaux IP, la bande passante et les emplacements va déterminer la configuration de réplication Prévoir l emplacement des contrôleurs de domaine Grâce aux informations recueillies par la collecte des informations sur le réseau, vous pourrez déterminer à quel endroit il sera udicieux d installer un contrôleur de domaine. Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rôles dévolus aux contrôleurs de domaine : les contrôleurs de domaine racine de la forêt ; les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines enfants) ; les contrôleurs de domaine qui sont aussi serveurs de catalogue global ; les contrôleurs de domaine ayant des rôles maîtres d opération particuliers. D une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa sécurité physique. 581

20 Chapitre 16 La conception de la Prévoir l emplacement des contrôleurs de domaine racine de la forêt Les contrôleurs de domaine racine de la forêt sont cruciaux dans l infrastructure. Sans eux, il est difficile d aller plus loin. Ils doivent donc être situés plutôt à des emplacements qui hébergent des centres de données ou des emplacements principaux de la société, là où se trouvent les personnes les plus compétentes. Ces personnes doivent avoir mis en place et décrit des procédures de sauvegarde et de restauration d Active Directory éprouvées. Pour plus d informations sur les techniques de sauvegarde et de restauration d Active Directory, consultez le chapitre La maintenance d Active Directory. Les contrôleurs de domaine racine de la forêt doivent être placés sur un site géographique qui possède des liens distants suffisamment rapides pour répliquer correctement les données d annuaire vers les autres sites. Les lignes d accès distants vers les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles. Les administrateurs de l infrastructure de Puzzmania décident donc, d après ces caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com sur le site géographique de Nice. C est à cet endroit que se trouvent les personnes les plus compétentes et aussi les locaux les plus sécurisés, notamment en raison de l activité de recherche et de développement. Le site de Nice est en outre un point névralgique du réseau. Les contrôleurs de domaine en question s appellent SNCERCDC01 et SNCERCDC02. Prévoir l emplacement des contrôleurs de domaine régionaux Les contrôleurs de domaine régionaux s occupent des domaines fils du domaine racine de la forêt. Figure : Schéma de représentation de la forêt puzzmania.com 582