La conception de la topologie de sites

Chapitre 16 La conception de la topologie de sites 16.1 Les mécanismes de conception : définitions... 565 16.2 Collecter les informations sur le réseau...580 16.3 Prévoir l emplacement des contrôleurs de domaine...581 16.4 Concevoir des sites...587 16.5 Concevoir les liens de sites...588 16.6 Concevoir les ponts de liaison de sites...590 16.7 En résumé...591

Les mécanismes de conception : définitions expression "topologie des sites" désigne la représentation logique du réseau L physique. La conception d une permet de router efficacement les requêtes clients et le trafic de réplication d Active Directory. Lorsqu elle est réussie, elle offre les avantages suivants : une diminution du coût de la réplication des données Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la réplication pendant les heures creuses pour les emplacements équipés de liens réseau lents ou de connexions à distance ; une optimisation de la localisation des ressources les plus proches (contrôleurs de domaine, serveurs DFS ), une amélioration des processus d ouverture et de fermeture de session et une amélioration des opérations de téléchargement de fichiers. En outre, elle permet une meilleure visibilité sur le proet de déploiement d Active Directory. Une conception de réussie permet aussi d avoir les idées claires avant d aborder des aspects plus techniques. Une réflexion sur les aspects concrets que sont la structure physique du réseau et l obectif d entreprise dans ce proet est cruciale : c est le moyen d éviter les ennuis techniques par la suite. Bien que ce chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en place d Active Directory chez Puzzmania, il est indispensable d aborder ce suet au préalable afin d éviter de prendre une mauvaise direction. La conception d une Active Directory inclut la compréhension de la structure physique du réseau, la planification du placement des contrôleurs de domaine, la conception des sites, des sous-réseaux, des liens de sites et des ponts de liaison de sites pour assurer l efficacité du routage des requêtes et du trafic de réplication. Voici la description du processus de conception d une : Figure 16.1 : Processus de conception de la Avant d examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites. 16.1. Les mécanismes de conception : définitions La affecte les performances du réseau et la capacité des utilisateurs à accéder aux ressources réseau. Autrement dit, les utilisateurs risquent d avoir une 565

Chapitre 16 La conception de la mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui vont suivre et si vous ne concevez pas une adéquate. Pour ce faire, vous devez connaître un minimum de définitions techniques. Les fonctionnalités liées aux sites Windows Server 2003 utilise des fonctionnalités liées aux sites qu il est important de comprendre. Il s agit du routage de la réplication, de l affinité des clients, de la réplication des volumes systèmes (Sysvol), de DFS et de la localisation des services. Routage de la réplication Active Directory utilise un modèle de réplication multimaître afin de répliquer d un contrôleur de domaine à un autre. Cela signifie qu un contrôleur de domaine communique les modifications de l annuaire à un deuxième contrôleur, qui les communique à un troisième, et ainsi de suite, usqu à ce que tous les contrôleurs de domaine soient informés des modifications. Afin d obtenir le meilleur équilibre possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie des sites contrôle la réplication Active Directory en distinguant la réplication qui intervient au sein d un site et celle qui intervient entre les sites distants. À l intérieur d un même site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse. En pratique, vous trouverez et pourrez configurer l obet de connexion de réplication dans le composant logiciel enfichable Sites et services Active Directory en déployant l obet contrôleur de domaine et le sous-obet NTDS Settings. Figure 16.2 : Boîte de dialogue d un obet de connexion de réplication intrasite du composant logiciel enfichable Sites et services Active Directory 566

Les mécanismes de conception : définitions Une mise à our de données d annuaire, la création d un compte par exemple, déclenche la réplication et les données sont transmises non compressées aux autres contrôleurs de domaine. À l inverse, on compresse les données dans le cadre d une réplication entre des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque site collecte et stocke les modifications de l annuaire et les communique à intervalles planifiés à un contrôleur de domaine d un autre site. Affinité des clients Les contrôleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la présence d un ou de plusieurs contrôleurs de domaine à l intérieur du site le plus proche des clients en question. Prenons l exemple de Puzzmania. Considérez un client du domaine corp.puzzmania.com situé sur le site géographique de Toulouse. Il ne connaît pas son affiliation de site. Il contacte un contrôleur de domaine du site de Nice. En consultant l adresse IP du client, le contrôleur de Nice détermine le site auquel le client appartient et lui transmet les informations de site afférentes. Il indique au client si le contrôleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande l enregistrement de ressources de service (SRV) spécifiques au site et trouve donc un contrôleur de domaine sur le site qui est le sien. Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services Active Directory 567

Chapitre 16 La conception de la Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilisé pour localiser les contrôleurs de domaine Active Directory. En trouvant un contrôleur de domaine sur son site, le client s épargne les communications par les liens distants. Mais il est possible qu il n en trouve pas. Dans ce cas, un contrôleur de domaine qui possède les connexions de plus faible coût par rapport aux autres sites connectés publiés sur le site du client (enregistre via un enregistrement de ressources SRN spécifique au site dans le DNS). Les contrôleurs de domaine publiés dans le DNS sont ceux du site le plus proche selon ce qui est configuré dans la topologie. Ce processus garantit que chaque site possède un contrôleur de domaine préféré pour l authentification. Réplication Sysvol Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine, c est-à-dire les obets de stratégie de groupe, les scripts de démarrage et de fermeture ainsi que les scripts d ouverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrôleur de domaine. Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication Service) pour répliquer les modifications apportées au contenu de Sysvol d un contrôleur de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la planification que vous créez durant la conception de la topologie des sites. DFS (Distributed File System) Le système de fichiers distribués DFS utilise les informations de site pour diriger un client vers le serveur qui héberge les données requises. Si le service DFS ne trouve pas une copie des données dans le même site que celui du client, il utilise les informations de site de l annuaire pour déterminer le serveur de fichiers qui possède les données partagées DFS les plus proches du client. 568

Les mécanismes de conception : définitions Localisation de services En publiant des services comme les services de fichiers et d impression dans Active Directory, vous permettrez aux clients de localiser les services qu ils requièrent dans leur propre site ou dans le site le plus proche. Les services d impression, par exemple, utilisent l attribut d emplacement stocké dans Active Directory pour permettre aux utilisateurs de parcourir le réseau à la recherche d imprimantes en fonction de leur emplacement, même s ils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce site apparaissent en résultat. Figure 16.5 : Recherche d imprimantes par emplacement Les concepts de réplication d Active Directory Nous définissons dans ce qui suit les concepts de réplication d Active Directory. Les différentes partitions La base de données Active Directory est divisée de manière logique en plusieurs partitions. la partition de schéma ; la partition d annuaire ; la partition de la configuration ; la partition du domaine ; la partition d application. La partition d annuaire Chaque partition est une unité de réplication et possède sa propre topologie de réplication. La réplication est exécutée entre les réplicas des partitions d annuaire. Tous les contrôleurs de domaine de la même forêt ont au moins deux partitions d annuaire en commun : celles du schéma et de la configuration. De plus, ils partagent une partition de domaine commune. 569

Chapitre 16 La conception de la Figure 16.6 : Définition des partitions d annuaire La partition de schéma Chaque forêt possède une seule partition de schéma. Cette partition de schéma est stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les définitions de tous les obets et attributs créés dans l annuaire, ainsi que les règles qui permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans tous les contrôleurs de domaine de la forêt. C est pourquoi les obets doivent être conformes aux définitions d obet et d attribut du schéma. La partition de la configuration Chaque forêt possède une seule partition de configuration. Stockée dans tous les contrôleurs de domaine de la même forêt, la partition de configuration contient les données sur la structure Active Directory de l ensemble de la forêt, telles que les domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et les services disponibles. Les données de la configuration sont répliquées dans tous les contrôleurs de domaine de la forêt. La partition de domaine Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans chaque contrôleur de domaine d un domaine donné. Une partition de domaine contient les données sur tous les obets propres au domaine et créés dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les unités d organisation. Une partition de domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré. Tous les obets de chaque partition de domaine d une forêt sont stockés dans le catalogue global avec un seul sous-ensemble de leurs valeurs d attribut. La partition d application Les partitions d application stockent les données sur les applications dans Active Directory. Chaque application détermine comment elle stocke, classe et utilise ses propres données. Pour éviter toute réplication inutile des partitions d application, vous pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la 570

Les mécanismes de conception : définitions différence d une partition de domaine, une partition d application ne peut pas stocker les principaux obets de sécurité, tels que les comptes d utilisateur. De plus, les données contenues dans une partition d application ne sont pas stockées dans le catalogue global. Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux partitions d application pour les zones DNS : ForestDNSZones et DomainDNSZones. ForestDNSZones fait partie d une forêt : tous les contrôleurs de domaine et les serveurs DNS d une forêt reçoivent un réplica de cette partition. Une partition d application d une forêt entière stocke les données de la zone de la forêt. DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette partition. Les partitions d application stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>. Chaque domaine possède une partition DomainDNSZones, mais il n existe qu une partition ForestDNSZones. Aucune donnée DNS n est répliquée sur le serveur de catalogue global. Le numéro de séquence de mise à our (USN) L implémentation d un annuaire implique la mise en place d un mécanisme afin de gérer le stockage incrémentiel des modifications apportées aux obets de l annuaire. En effet, le moindre changement de mot de passe doit pouvoir être transmis à tous les contrôleurs de domaine. Ce système doit pouvoir être sélectif en cas de changements portant sur une même propriété d obet pour n appliquer que le plus récent. Certains services d annuaire s appuient sur une synchronisation en temps réel de tous les contrôleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrôleurs de domaine entre eux, s avère difficile à gérer. La plus faible variation peut influencer les résultats de la réplication. La réponse à ce problème est le concept de numéro de séquence de mise à our (USN, Update Sequence Number). Active Directory l utilise pour assurer une application exacte des changements de l annuaire. Un USN est une valeur de 64 bits et tous les contrôleurs de domaine en possèdent un. Chaque modification d une propriété d obet dans un annuaire (un changement de mot de passe par exemple) entraîne une incrémentation de l USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette technique, les mises à our sont plus directes. Prenons l exemple de Puzzmania : lorsque le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de domaine SNCERCDC02 la réplication des modifications de ce dernier (création d utilisateurs), il extrait de sa table de référence interne l USN de SNCERCDC02 le plus récent reçu et ne réclame que les changements intervenus depuis ce numéro. La simplicité de cette opération garantit la ustesse du processus. L intégrité de la réplication est garantie car l incrémentation d un USN est dépendante de la réussite d une mise à our. Si un problème vient entraver un cycle de réplication, le récepteur concerné recherche touours une mise à our à partir de l USN approprié. 571

Chapitre 16 La conception de la Il est inutile de vous inquiéter des risques éventuels d épuisement de la réserve d USN. Les 64 bits de ce nombre lui permettent de prendre en compte usqu à 18 446 744 073 709 551 616 changements par contrôleur de domaine. La collision de réplication Même avec le mécanisme de numéro de séquence de mise à our, la collision est possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania.com réinitialise un mot de passe sur SNCERCDC01 et qu un autre administrateur réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n ait eu l occasion de distribuer sa modification, il y a inévitablement collision. Ce problème est résolu grâce à un numéro de version de propriété (PVN, Property Version Number). Il est appliqué en tant qu attribut à chaque obet dans Active Directory et est mis à our et horodaté en séquence chaque fois qu une modification est apportée à l obet. Si une collision de réplication se produit, le PVN le plus récent a priorité et le mot de passe associé est affecté à l utilisateur. L obet connexion Un obet connexion est un obet Active Directory qui représente une connexion de réplication d un contrôleur de domaine à un autre. Un contrôleur de domaine est un membre d un unique site et est représenté dans le site par un obet serveur dans Active Directory. Chaque obet serveur possède un obet NTDS Settings enfant qui représente le contrôleur de domaine répliquant dans le site. Figure 16.7 : Obet serveur de type contrôleur de domaine et obet NTDS Settings vus par le composant logiciel enfichable Sites et services Active Directory 572

Les mécanismes de conception : définitions L obet connexion est un enfant de l obet NTDS Settings du serveur de destination. Pour que la réplication intervienne entre deux contrôleurs de domaine, l obet serveur de l un doit avoir un obet connexion qui identifie le serveur source de réplication. Toutes les connexions de réplication d un contrôleur de domaine sont stockées sous la forme d obets de connexion sous l obet NTDS Settings. L obet connexion identifie le serveur source de réplication, contient une planification de réplication et spécifie un transport de réplication. Le vérificateur de cohésion de connaissances (KCC, Knowledge Consistency Checker) crée automatiquement des obets de connexion, qui peuvent aussi être créés manuellement. À chaque fois que vous modifiez un obet de connexion créé par le KCC, vous le convertissez automatiquement en un obet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications. Les protocoles de transport de réplication Active Directory utilise la technologie d appel de procédure distante RPC (Remote Procedure Call) sur le protocole IP pour transférer les données de réplication entre les contrôleurs de domaine. Les réplications intersite et intrasite se servent de RPC sur IP. Pour assurer la sécurité des données en transit, la réplication RPC sur IP fait appel à la fois à l authentification (protocole Kerberos v5) et au cryptage des données. Si aucune connexion directe ou IP fiable n est disponible, la réplication intersite peut être configurée pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalité de réplication SMTP est limitée et nécessite une autorité de certification d entreprise. SMTP ne peut être utilisé que pour répliquer les partitions de configuration, de schéma et d application de l annuaire ; il ne prend pas en charge la réplication des partitions de domaine. Le KCC Le KCC (Knowledge Consistency Checker) est un processus intégré qui s exécute sur tous les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des topologies de réplications intrasite et intersite séparées. Le KCC auste dynamiquement la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont déplacés d un site à un autre, des modifications de coûts, des planifications. KCC et ISTG Le KCC crée des obets de connexion afin de relier les contrôleurs de domaine au sein d une topologie commune. Il comprend deux composants : un contrôleur intrasite KCC, qui se charge de la réplication à l intérieur d un site, et le générateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les obets de connexion entre sites. 573

Chapitre 16 La conception de la Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer usqu à 5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows Server 2003. Sur chaque contrôleur de domaine, le KCC crée des itinéraires de réplication en créant des obets de connexion entrante unidirectionnelle qui définissent des connexions depuis d autres contrôleurs de domaine. Pour les contrôleurs de domaine dans le même site, le KCC crée des obets de connexion de manière automatique. Lorsque vous possédez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de créer automatiquement les connexions intersites. Fonctionnalité de basculement Les sites garantissent que les données de réplication sont routées même en cas de pannes réseau et de pannes des contrôleurs de domaine. Le KCC s exécute à des intervalles spécifiés afin d auster la topologie de réplication pour l adapter aux modifications qui interviennent dans Active Directory (par exemple, en cas d extension de la société, lorsque de nouveaux contrôleurs de domaine sont aoutés ou lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des connexions existantes afin de déterminer si des connexions ont cessé de fonctionner. Si une connexion ne fonctionne pas à cause d un contrôleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de réplication (s il en existe) afin de s assurer que la réplication peut s opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC crée automatiquement des connexions de réplication avec les contrôleurs de domaine d un autre site. Le sous-réseau Un sous-réseau est un segment d un réseau TCP/IP auquel un ensemble d adresses IP logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur proximité physique sur le réseau. D un point de vue Active Directory, les obets de sous-réseau identifient les adresses réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les sites. 574

Les mécanismes de conception : définitions Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services Active Directory Les sites Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions réseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer l accès et la réplication Active Directory afin d optimiser l utilisation du réseau physique. Les sites sont représentés dans Active Directory sous la forme d obets de site. Les obets de site sont des ensembles de sous-réseaux et chaque contrôleur de domaine dans la forêt est associé à un site Active Directory en fonction de son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites. Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory 575

Chapitre 16 La conception de la Lien de sites Les liens de sites sont les chemins logiques que le KCC utilise pour établir une connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory sous la forme d obets de lien de sites. Un tel obet représente un ensemble de sites qui peuvent communiquer à coût uniforme via un transport intersite spécifié. Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services Active Directory Tous les sites contenus dans un lien sont considérés comme connectés au sein d un même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que les contrôleurs de domaine dans un site puissent répliquer les modifications de l annuaire vers les contrôleurs de domaine d un autre site. Étant donné que les liens de sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau physique durant la réplication, vous n avez pas besoin de créer des liens redondants pour améliorer l efficacité de la réplication Active Directory. Lorsque deux sites sont connectés par un lien, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques dans chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut désigner plusieurs contrôleurs de domaine par site hébergeant la même partition d annuaire comme candidat au rôle de serveur tête de pont. Les connexions de réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête 576

Les mécanismes de conception : définitions de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut, le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux obets de connexion sont aoutés au site. Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la charge à chaque fois qu une modification intervient dans la topologie des sites ou que le nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les planifications de manière que la charge de réplication sortante pour chaque contrôleur de domaine soit répartie de façon égale au fil du temps. Interrogez l aide de l utilitaire ADLB afin d obtenir ses différentes options. Pont de liaison de sites Un pont de liaison de sites est un obet Active Directory qui représente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrôleurs de domaine qui ne sont pas directement connectés au moyen d un lien de communication d opérer des réplications intersites. En général, un pont de liaison correspond à un routeur (ou à un ensemble de routeurs) d un réseau IP. En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en déployant le conteneur Inter-Site Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur Action et Nouveau pont entre liens de sites. Figure 16.11 : Création d un pont de liaison de sites à l aide du composant logiciel enfichable Sites et services Active Directory Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent certains sites en commun. Si ce comportement est désactivé, chaque lien de sites 577

Chapitre 16 La conception de la représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent être traités comme un unique itinéraire sont représentés sous la forme de ponts de liaison de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau. Les ponts de liaison permettent de représenter logiquement la connectivité physique transitive entre les sites. Chaque pont permet au KCC d utiliser n importe quelle combinaison de liens de sites inclus pour déterminer l itinéraire le moins coûteux lorsqu il s agit d interconnecter des partitions d annuaires conservées dans ces sites. Le pont ne fournit lui-même aucune connectivité aux contrôleurs de domaine. S il est supprimé, la réplication sur les liens de sites combinés se poursuit usqu à ce que le KCC supprime les liens. Les ponts ne sont nécessaires que si un site contient un contrôleur de domaine hébergeant une partition d annuaire qui n est pas également hébergée par un contrôleur de domaine dans un site adacent. Les sites adacents sont définis comme étant inclus dans un unique lien de sites. Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie intersite (ISTG, Intersite Topology Generator), le pont n implique pas qu un contrôleur de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la partition d annuaire à répliquer ; un pont ne serait alors pas requis. Le coût de chaque lien de sites est additionné usqu à former une somme totale pour le chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un contrôleur hébergeant la partition d annuaire et s il n existait aucun lien de coût plus faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d annuaire, deux sites déconnectés configureraient des connexions de réplication pour le contrôleur de domaine intermédiaire et n utiliseraient pas le pont. Transitivité des liens de sites Par défaut, tous les liens de sites sont transitifs. Lorsqu ils sont reliés par un pont et que les planifications se chevauchent, le KCC crée des connexions de réplication qui déterminent les partenaires de réplication intersite des contrôleurs de domaine. Dans ce contexte, les sites sont connectés, non pas directement par des liens, mais de manière transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter n importe quel site à n importe quel autre via une combinaison de liens. En général, pour un réseau complètement routé, vous n avez pas besoin de créer de ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens de sites pour un transport spécifique appartiennent implicitement à un unique pont. La mise en pont par défaut des liens de sites survient automatiquement et aucun autre obet Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site 578

Les mécanismes de conception : définitions disponible dans les propriétés des conteneurs de transport intersite IP et SMTP implémente les ponts de liaison de sites. Serveur de catalogue global Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations concernant tous les obets de la forêt, mais pas les attributs, afin que les applications puissent effectuer des recherches dans l annuaire Active Directory sans avoir à se référer à des contrôleurs de domaine spécifiques qui stockent les données requises. Comme tous les contrôleurs de domaine, le serveur de catalogue global stocke des réplicas complets et enregistrables du schéma et de la configuration des partitions d annuaire ainsi qu un réplica complet et enregistrable de la partition d annuaire du domaine qui l héberge. Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l aide du composant logiciel enfichable Sites et services et des propriétés de l obet NTDS Settings de l obet contrôleur de domaine. Figure 16.12 : Configuration du serveur de catalogue global à l aide du composant logiciel enfichable Sites et services Active Directory Mise en cache de l appartenance aux groupes universels Un contrôleur de domaine peut mettre en cache les informations d appartenance aux groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003, vous pouvez activer cette fonctionnalité à l aide du composant logiciel enfichable Sites et services Active Directory, via les propriétés de l obet NTDS Settings du site. 579

Chapitre 16 La conception de la Figure 16.13 : Configuration de la mise en cache de l appartenance aux groupes universels à l aide du composant logiciel enfichable Sites et services Active Directory La mise en cache de l appartenance aux groupes universels évite qu un serveur de catalogue global soit requis dans chaque site d un domaine. L utilisation de la bande passante réseau est ainsi minimisée car il n est pas nécessaire qu un contrôleur de domaine réplique tous les obets situés dans la forêt. Les temps d authentification sont également réduits, car les contrôleurs de domaine qui authentifient n ont pas touours besoin d accéder à un catalogue global pour obtenir des informations d appartenance aux groupes universels. 16.2. Collecter les informations sur le réseau Cette étape, très importante, permet de se faire une meilleure idée de ce qui va être mis en place par la suite et de repérer des points de contention ou difficultés dues au réseau physique. Pour synthétiser ces informations, vous devez Créer une carte des emplacements : il s agit de lister les sites géographiques et les groupes d ordinateurs sur un réseau local dans le but de schématiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra d attirer l attention sur les sites reliés par des lignes bas débit, par exemple. Lister les sous-réseaux IP à chaque emplacement : il s agit de relever les sous-réseaux IP et les masques associés afin de déterminer la configuration des sites dans Active Directory. 580

Prévoir l emplacement des contrôleurs de domaine Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris, Toulouse, Londres et Nice R&D pour Puzzmania Site géographique Numéro de sous-réseau Adresse du sousréseau Adresses IP des machines Nice 1 172.100.0.0 172.100.0.1 à 172.100.15.254 Toulouse 2 172.100.16.0 172.100.16.1 à 172.100.31.254 Paris 3 172.100.32.0 172.100.32.1 à 172.100.47.254 Londres 4 172.100.48.0 172.100.48.1 à 172.100.63.254 Nice R&D 5 172.100.64.0 172.100.64.1 à 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255 Active Directory associe chaque machine à un site spécifique en comparant l adresse IP de la machine avec les sous-réseaux associés à chaque site. Lorsque vous aoutez des contrôleurs à un domaine, Active Directory examine également leur adresse IP et les place dans le site approprié. Ce processus est automatique. Lister les domaines et le nombre d utilisateurs pour chaque emplacement : cette information est un des facteurs qui détermine le placement des contrôleurs de domaine et des serveurs de catalogue global. L association des informations sur les sous-réseaux IP, la bande passante et les emplacements va déterminer la configuration de réplication. 16.3. Prévoir l emplacement des contrôleurs de domaine Grâce aux informations recueillies par la collecte des informations sur le réseau, vous pourrez déterminer à quel endroit il sera udicieux d installer un contrôleur de domaine. Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rôles dévolus aux contrôleurs de domaine : les contrôleurs de domaine racine de la forêt ; les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines enfants) ; les contrôleurs de domaine qui sont aussi serveurs de catalogue global ; les contrôleurs de domaine ayant des rôles maîtres d opération particuliers. D une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa sécurité physique. 581

Chapitre 16 La conception de la Prévoir l emplacement des contrôleurs de domaine racine de la forêt Les contrôleurs de domaine racine de la forêt sont cruciaux dans l infrastructure. Sans eux, il est difficile d aller plus loin. Ils doivent donc être situés plutôt à des emplacements qui hébergent des centres de données ou des emplacements principaux de la société, là où se trouvent les personnes les plus compétentes. Ces personnes doivent avoir mis en place et décrit des procédures de sauvegarde et de restauration d Active Directory éprouvées. Pour plus d informations sur les techniques de sauvegarde et de restauration d Active Directory, consultez le chapitre La maintenance d Active Directory. Les contrôleurs de domaine racine de la forêt doivent être placés sur un site géographique qui possède des liens distants suffisamment rapides pour répliquer correctement les données d annuaire vers les autres sites. Les lignes d accès distants vers les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles. Les administrateurs de l infrastructure de Puzzmania décident donc, d après ces caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com sur le site géographique de Nice. C est à cet endroit que se trouvent les personnes les plus compétentes et aussi les locaux les plus sécurisés, notamment en raison de l activité de recherche et de développement. Le site de Nice est en outre un point névralgique du réseau. Les contrôleurs de domaine en question s appellent SNCERCDC01 et SNCERCDC02. Prévoir l emplacement des contrôleurs de domaine régionaux Les contrôleurs de domaine régionaux s occupent des domaines fils du domaine racine de la forêt. Figure 16.14 : Schéma de représentation de la forêt puzzmania.com 582

Prévoir l emplacement des contrôleurs de domaine Ici, corp.puzzmania.com et rd.puzzmania.com sont considérés comme des domaines régionaux contenant des contrôleurs de domaine régionaux. Il faut prévoir de les positionner, pour chaque domaine représenté, aux emplacements principaux. Limitez leur nombre autant que possible pour réduire les coûts. Le fait d éliminer des contrôleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent qu une poignée de personnes) réduit les coûts de maintenance des contrôleurs de domaine à distance. Combien existe-t-il de contrôleurs de domaine de secours? Outre le placement de ces contrôleurs de domaine, posez-vous la question du nombre de contrôleurs de domaine de secours dont vous avez besoin pour un domaine donné. Êtes-vous prêt à n avoir qu un seul contrôleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problème? Préférez-vous placer un, voire deux contrôleurs de domaine de secours, quitte à ce qu ils soient sur des sites distants, pour modérer l impact d un arrêt d un contrôleur de domaine, même si les authentifications sont plus lentes, et éviter une éventuelle indisponibilité totale du domaine? À vous de faire la part des choses en vous aidant des informations collectées sur le réseau et en tenant compte également du nombre d utilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le déploiement d applications. Quel sera l impact sur les postes clients en cas d indisponibilité du domaine? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre démarche. Figure 16.15 : Prévoir l emplacement des contrôleurs de domaine régionaux 583

Chapitre 16 La conception de la En recoupant les informations, les administrateurs de l infrastructure des domaines corp.puzzmania.com et rd.puzzmania.com décident de placer les contrôleurs de domaine de la façon suivante Pour corp.puzzmania.com : trois contrôleurs seront installés et configurés, un dans chaque site géographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrôleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on réduit les coûts en prenant le risque de ne mettre qu un contrôleur par site géographique et de subir des ralentissements, et la faisabilité car on tient compte du nombre d utilisateurs et de ressources. Pour rd.puzzmania.com : deux contrôleurs seront installés et configurés sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront sécurisés (il y en aura deux pour éviter les arrêts de service et ils seront installés dans une salle informatique sécurisée, et donc située à Nice). En outre, les utilisateurs qui s y connecteront sont situés à Nice. Prévoir l emplacement des serveurs de catalogue global Les serveurs de catalogue global facilitent les requêtes d authentification des utilisateurs et les recherches portant sur la forêt entière. Certaines applications, comme Exchange et les applications utilisant DCOM (Distributed COM), nécessitent un accès rapide aux serveurs de catalogue global afin de répondre aux transactions utilisateurs sans effet de latence. Cela signifie qu il faut au moins un serveur de catalogue global sur le même site que le serveur applicatif. Pour des emplacements qui incluent moins de cent utilisateurs et peu d utilisateurs itinérants ou d applications qui requièrent un serveur de catalogue global, vous pouvez activer la mise en cache de l appartenance aux groupes universels. Assurez-vous que les serveurs de catalogue global ne se trouvent pas à plus d un saut de réplication du contrôleur de domaine sur lequel la mise en cache de l appartenance aux groupes universels est activée, de manière que les informations de groupe universel dans le cache puissent être actualisées. Afin de déterminer à quel emplacement vous devez mettre vos serveurs de catalogue global ou si vous devez activer la mise en cache de l appartenance aux groupes universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16). Revenons à Puzzmania. C est le nombre d applications nécessitant un accès rapide aux serveurs de catalogue global qui détermine combien et quels contrôleurs de domaine doivent être configurés comme serveurs de catalogue global : SNCERCDC01 (racine puzzmania.com) ; SNCECPDC01 (corp.puzzmania.com) ; SPARCPDC01 (corp.puzzmania.com) ; SNCERDDC01 (rd.puzzmania.com). 584

Prévoir l emplacement des contrôleurs de domaine Figure 16.16 : Prévoir l emplacement des serveurs de catalogue global Déterminer l emplacement des rôles maîtres d opération Trois rôles maîtres d opération existent dans chaque domaine : L émulateur de contrôleur de domaine principal (CPD) traite toutes les requêtes de réplication provenant de contrôleurs de domaine secondaires Windows NT 4.0 585

Chapitre 16 La conception de la Server et toutes les mises à our de mots de passe pour les clients qui n exécutent pas le logiciel client Active Directory (Windows 95 par exemple). Le maître d ID relatifs alloue des ID relatifs à tous les contrôleurs de domaine pour garantir que tous les principaux de sécurité (les identifiants de sécurité) possèdent un identifiant unique. Le maître d infrastructure d un domaine conserve une liste des principaux de sécurité d autres domaines qui sont membres de groupes dans son propre domaine. Deux rôles maîtres d opération existent dans chaque forêt : Le maître de schéma régit les modifications du schéma. Le maître d attribution de noms de domaine aoute et supprime des domaines à la forêt. Maître de schéma Avant d ouvrir le composant logiciel enfichable Schéma Active Directory, qui permet d attribuer le rôle maître de schéma, n oubliez pas d enregistrer la DLL schmmgmt.dll de la façon suivante : cliquez sur Démarrer/Exécuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schéma Active Directory à condition d avoir les droits nécessaires. Les détenteurs des rôles maîtres d opération sont désignés automatiquement lorsque le premier contrôleur de domaine dans un domaine est créé. Les deux rôles de niveau forêt sont attribués au premier contrôleur de domaine créé dans la forêt et les trois rôles de niveau domaine sont attribués au premier contrôleur de domaine créé dans le domaine. Désignez ces contrôleurs de domaine, puis ceux qui seront maîtres d opération remplaçants. Assurez-vous que le maître d opérations remplaçant est un partenaire de réplication direct du maître d opération titulaire. Dans un modèle de forêt comprenant des domaines père et fils, veillez à ce que le contrôleur maître d infrastructure ne soit pas également serveur de catalogue global. Une pratique courante est de placer, dans un domaine donné, tous les rôles maîtres d opération sur le premier contrôleur installé et de désigner le contrôleur de domaine de secours comme serveur de catalogue global. C est un choix possible. Dans un modèle à domaine unique, laissez le rôle maître d infrastructure au premier contrôleur de domaine et configurez tous les autres, même le premier, comme serveurs de catalogue global. En effet, le rôle de maître d infrastructure est sans importance dans un modèle à domaine unique parce que les principaux de sécurité des autres domaines n existent pas. La répartition des maîtres d opération est intéressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de l équilibre de charge et des bonnes coutumes de placement des maîtres d opération. Voici un tableau synthétisant les rôles tenus par les contrôleurs de domaine de la forêt puzzmania.com. 586

Concevoir des sites Tableau 16.2 : Emplacement des maîtres d opération dans la forêt puzzmania.com Localisation Rôles maîtres d opération de la forêt Rôles maîtres d opération du domaine Paramètre de site Domaine Contrôleur de Maître de Maître Émulateur Maître Maître Serveur domaine schéma d attribution CPD de noms de d ID relatifs (RID) d infrastructure de catalogue global domaine puzzmania.com SNCERCDC01 Non Non Oui Oui Non Oui SNCERCDC02 Oui Oui Non Non Oui Non corp.puzzmania SNCECPDC01 Non Non Oui Non Non Oui.com STLSCPDC01 Non Non Non Non Oui Non SPARCPDC01 Non Non Non Oui Non Oui rd.puzzmania SNCERDDC01 Non Non Oui Oui Non Oui.com SNCERDDC02 Non Non Non Non Oui Non 16.4. Concevoir des sites Une fois les contrôleurs de domaine définis et placés sur le réseau, vous devez maintenant en créer les sites dans Active Directory. Pour cela, respectez les conseils suivants : Créez des sites pour tous les emplacements dans lesquels vous prévoyez de placer des contrôleurs de domaine (utilisez les informations récoltées lors de la phase de prévision des emplacements des contrôleurs de domaine). Créez des sites pour les emplacements qui incluent des serveurs exécutant des applications qui requièrent qu un site soit créé (par exemple DFS). Si un site n est pas requis, aoutez le sous-réseau associé à un site pour lequel l emplacement possède la vitesse et la bande passante disponible intersite maximales. C est à l aide du composant logiciel enfichable Sites et services Active Directory que vous créerez les sites. Pour plus d informations sur les opérations pratiques à réaliser à l aide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre L administration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration appliquée à Puzzmania est très simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont créés. Même s il n y a aucun contrôleur de domaine à Londres, cela ne coûte pas grand-chose d anticiper l avenir. 587

Chapitre 16 La conception de la 16.5. Concevoir les liens de sites Maintenant que les contrôleurs de domaine sont positionnés et que les sites sont créés dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de manière que lesdits contrôleurs dans chaque site puissent répliquer les modifications d Active Directory. En vous aidant des informations collectées sur le réseau, notamment de la liste des liens de communication et de la bande passante, "superposez" les sites géographiques, les liens de communication, les sites Active Directory et déduisez-en les sites à relier et les liens à mettre en place. Une fois les liens de sites positionnés, vous devez les pondérer. En effet, d un point de vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique à première vue à n importe quel autre lien. Or, lorsque vous superposez les liens de sites et les liens de communication entre les sites géographiques, vous vous apercevez immédiatement de leurs différences (certains sont à 56 ko et d autres à 4 Mo par exemple). Il faut en fait tenir compte de la notion de coût dans Active Directory afin de pondérer les liens de sites. Comment déterminer le coût d un lien de sites? Il faut savoir que le coût permet de valoriser les connexions peu coûteuses (rapides) par rapport aux connexions plus coûteuses (lentes) dans le but d encombrer le moins possible les liens réseau lents pendant les requêtes clients ou la réplication d Active Directory. Par exemple : un contrôleur de domaine d un site qui est relié à plusieurs autres sites par des liens à débits différents répliquera en priorité les informations vers les contrôleurs de domaine situés sur les sites où le lien de sites est le moins coûteux. Pour savoir comment affecter un coût à un lien de sites par rapport aux caractéristiques du lien de communication, aidez-vous du tableau des valeurs de coût suivant : Tableau 16.3 : Tableau des valeurs de coût en fonction de la bande passante disponible Bande passante disponible (Ko/s) Coût 9,6 1042 19,2 798 38,4 644 56 586 64 567 128 486 256 425 512 378 1024 340 2048 309 4096 283 588

Concevoir les liens de sites Figure 16.17 : Affectation du coût d un lien de sites à l aide du composant logiciel enfichable Sites et services Active Directory Des liens de sites sont donc créés entre les différents sites de l infrastructure Puzzmania. En correspondance avec le schéma réseau, un coût de 283 est paramétré sur les liens Nice-Paris et Nice-Toulouse. Un coût de 309 est paramétré sur le lien Toulouse-Paris. L étape logique qui vient après la détermination du coût du lien de sites est la planification des horaires de réplication entre les deux sites reliés. Vous avez la possibilité de déterminer les heures auxquelles la réplication va se dérouler en fonction de la qualité du lien de sites (et par extension, de la qualité du lien de communication). Pour régler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory. Figure 16.18 : Réglage des horaires de réplication à l aide du composant logiciel enfichable Sites et services Active Directory 589

Chapitre 16 La conception de la En fonction des heures travaillées, il est plus udicieux, dans le contexte de Puzzmania, de suspendre la réplication de 7 heures à 12 heures et de 14 heures à 20 heures. Cela permettra de réserver le WAN à d autres usages. 16.6. Concevoir les ponts de liaison de sites Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de sites ou plus. Il active la transitivité entre les liens. Chaque lien dans un pont doit avoir un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut calculer le coût entre les sites dans le lien et les sites dans les autres liens du pont. Par défaut, tous les liens de sites sont transitifs. Le paramètre Relier tous les liens du site est en effet activé par défaut. Créer un pont correspond à désactiver cette option pour certains liens de sites et à activer la transitivité pour les liens de sites que l on sélectionne. Dans quels cas devez-vous créer un pont? Pour pallier le fait que le réseau IP n est pas complètement routé. Pour contrôler le flux de réplication d Active Directory, soit parce que la réplication s effectue au travers d un pare-feu, soit parce que vous voulez contrôler le basculement de la réplication lors d une panne d un contrôleur de domaine. Figure 16.19 : Schéma de pont de liaison de sites 590

En résumé Dans cet exemple, ce pont empêchera la réplication des contrôleurs de domaine des sites A, C et D vers le reste du réseau en cas de panne du contrôleur du site B. L infrastructure de Puzzmania n est pas assez complexe pour nécessiter la création de ponts de liaison de sites. 16.7. En résumé Ce chapitre aborde les aspects théoriques de la conception de la. Il présente des définitions, une méthodologie mais également des règles incontournables de bon fonctionnement. Si vous respectez cette méthodologie et ces règles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la réplication des informations d annuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcément plusieurs solutions, plusieurs configurations qui répondront correctement à vos besoins en respectant la méthodologie et les règles. D autres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la réduction des coûts. En ce sens, il est intéressant de mettre en parallèle les règles de conception et l étude de cas car, durant la lecture de ce chapitre, vous vous êtes sûrement dit que vous auriez procédé autrement, ou bien que cette solution ne serait pas applicable au proet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranché, ils ont fait des compromis et vous serez amené à en faire de votre côté. 591