ESAT/DGF/DMSI

ECOLE SUPERIEURE

ET D’APPLICATION

DES TRANSMISSIONS

division management

et systèmes d’information

WINDOWS 2000

Chapitre 9: Administration des réseaux

Active Directory
COURS SYSTEME
 Administration des réseaux Active Directory

1. Création et gestion d'arborescences de forêts....................................................................2

1.2. Création d'arborescence et de forêts............................................................................3
1.2.1. Création d'un domaine enfant................................................................................3
1.2.2. Création d'une arborescence...............................................................................10
1.2.3. Création d'une forêt..............................................................................................10
1.3. Relation d'approbations..............................................................................................10
1.3.1. Approbation unidirectionnelle...............................................................................10
1.3.2. Approbation bidirectionnelle.................................................................................10
1.3.3. Approbation transitive...........................................................................................13
1.3.4. Approbation non transitive....................................................................................13
1.3.5. Protocoles d'approbation......................................................................................13
1.3.6. Approbations de domaines explicites...................................................................13
1.3.6.1. Approbations externes...................................................................................14
1.3.6.2. Approbations raccourcies dans Windows 2000.............................................14
1.3.7. Vérification des approbations...............................................................................15
1.4. Le catalogue global.....................................................................................................16
2. Gestion de la duplication Active Directory.........................................................................17
2.1. Composants de la duplication.....................................................................................19
2.2. Création d'un site........................................................................................................19
2.3. Création et configuration de liens de site....................................................................22
2.4. Surveillance du trafic de duplication............................................................................24
2.5. Conseils......................................................................................................................26
3. Mise à jour de la base de données Active Directory..........................................................27
3.1. Sauvegarde et restauration de Active Directory..........................................................27
3.2. Déplacement de la base de données Active Directory................................................29
3.3. Défragmentation de la base de données Active Directory..........................................30
4. Outils de support Active Directory.....................................................................................30

23243686.doc Page 1 sur 31

1. Création et gestion d'arborescences de forêts
Le moyen le plus simple pour administrer l'infrastructure Active Directory est de créer un seul
domaine.
Cependant, vous pouvez utiliser plusieurs domaines dans les cas suivants:
- mise en place de paramètres de sécurité propre à un domaine.
- Décentralisation de l'administration: chaque administrateur a le contrôle et la
responsabilité de son domaine.
- Réduction du trafic de duplication: seules les modifications apportées au serveur de
catalogue global, aux informions de configuration et de schéma d'un domaine sont
dupliquées.
- Conserver la structure des domaines Windows NT: pour éviter ou retarder la
restructuration des domaines.

Selon les besoins, on peut créer des domaines supplémentaires appelés domaines enfants,
dans une même arborescence de domaine. On peut également créer une forêt: elle se
compose de plusieurs arborescences de domaine. Tous les domaines qui ont un domaine
racine commun forment un espace de noms contigus (ex: dmsi.esat.terre.def et
sic.esat.terre.def). Les arborescences de domaine à l'intérieur d'une forêt ne forment pas un
espace de noms contigu. Les arborescences sont utilisées pour les entreprises disposant de
divisions indépendantes devant gérer chacune ses propres noms DNS.

Arborescence:

Domaine racine de
l’arborescence

terre .def
Parent

esat. terre .def Enfant

Espace de noms contigu esat. terre .def

Nouveau
domaine

Forêt:

• Les arborescences d ’une

for êt ne partagent pas
d’espace de noms contigu
terre .def

Forêt
Arborescence
marine.def

esat. terre .def

Arborescence

• Tous les domaines d ’une for êt

partagent une configuration,
dpmm .marine.def fost .marine.def un sch éma et un catalogue
global communs

23243686.doc Page 2 sur 31

Le domaine racine est le premier domaine créé dans une forêt. Le nom du domaine racine
est utilisé pour désigner une forêt donnée.
Cependant, une forêt n'a pas de domaine racine. Le domaine racine de la forêt est le premier
domaine créé dans la forêt.
Les domaines racines de toutes les arborescences de domaine de la forêt établissent des
relations d'approbation transitives avec le domaine racine de la forêt. Dans l'illustration,
terre.def est le domaine racine de la forêt. Le domaine racine de l'autre arborescence de
domaine, marine.def, a une relation d'approbation transitive avec terre.def. Ces relations
sont nécessaires pour pouvoir établir des approbations entre toutes les arborescences de
domaine de la forêt.

Par conséquent, le nom du domaine racine de la forêt ne doit pas changer.

Le premier contrôleur de domaine du domaine racine de la forêt contient:

- le catalogue global: contient un réplica de chaque objet dans Active Directory, mais
avec un nombre limité d'attributs pour chaque objet. Le catalogue global stocke les
attributs les plus fréquemment utilisés dans les opérations de recherche (par exemple
le nom et le prénom d'un utilisateur) et les attributs nécessaires à la recherche d'un
réplica complet de l'objet.
- les informations de configuration: les données de configuration décrivent la
topologie de l'annuaire. Ces données de configuration incluent une liste de toutes les
arborescences de domaine et de toutes les forêts, ainsi que les emplacements des
contrôleurs de domaine et des catalogues globaux.
- les informations de schéma: le schéma est la définition formelle de toutes les
données relatives aux objets et aux attributs pouvant être stockées dans l'annuaire

Le domaine racine de la forêt contient deux groupes prédéfinis à l'échelle de la forêt:

- administrateurs de l'entreprise: c'est groupe universel, si le domaine est mode

natif, ou global, si le domaine est en mode mixte.
Le groupe est autorisé à effectuer des modifications dans la forêt dans Active
Directory (ex: ajout de domaine enfant).
Par défaut, seul le compte Administrateur du domaine racine de la forêt est membre
de ce groupe.
- administrateurs de schéma: c'est groupe universel, si le domaine est mode natif, ou
global, si le domaine est en mode mixte.
Le groupe est autorisé à modifier le schéma Active Directory.
Par défaut, seul le compte Administrateur du domaine racine de la forêt est membre
de ce groupe.

1.2. Création d'arborescence et de forêts

1.2.1. Création d'un domaine enfant
L'assistant installation Active Directory effectue les opérations suivantes:
- crée un domaine,
- promeut l'ordinateur du nouveau domaine enfant au rang de contrôleur de domaine,
- établit des relations d'approbation avec le domaine parent.

La procédure est la suivante:

Sur le futur contrôleur de domaine, qui est actuellement une station sous Windows 2000,
lancer la commande dcpromo.exe: il suffit de suivre les indications de l'assistant.

23243686.doc Page 3 sur 31

23243686.doc Page 4 sur 31
Dans la fenêtre de saisie des informations réseau, indiquez le nom d'utilisateur, mot de
passe et nom de domaine d'un compte utilisateur du groupe Administrateurs de
l'entreprise, qui se trouve dans le domaine racine de la forêt.

Indiquez ensuite le nom DNS du domaine parent par saisie ou recherche assistée par le
bouton Parcourir; saisir le nom du nouveau domaine enfant; le nom DNS complet de ce
nouveau domaine est automatiquement renseigné.

23243686.doc Page 5 sur 31

Noter l'emplacement du répertoire: ce dernier va contenir la base de données Active
Directory.

23243686.doc Page 6 sur 31

Définir l'emplacement du dossier SYSVOL, qui contient les stratégies, les scripts etc, sur un
disque formater NTFS 5.0.

Dans un environnement hétérogène (Windows 2000 et NT), sélectionner des autorisations

compatibles avec les serveurs de versions antérieures à Windows 2000.
Le groupe Tout le monde est alors ajouter au groupe Accès compatible avec les versions
antérieures de Windows 2000.

23243686.doc Page 7 sur 31

Notez le mot de passe suivant qui sera peut-être utile un jour.

23243686.doc Page 8 sur 31

Après avoir confirmé l'installation, l'assistant exécute les tâches suivantes:
- crée un domaine,
- promeut l'ordinateur du nouveau domaine enfant de serveur autonome au rang de
contrôleur de domaine,
- établit les relations d'approbation entre le domaine enfant et le domaine parent.

On note qu'il n'est pas nécessaire d'installer un serveur DNS sur le domaine enfant; le
nouveau domaine enfant est en effet automatiquement intégré en tant que domaine DNS au
domaine parent; dans la vue ci-dessous, on remarque la présence des domaines enfants
SYS et WEB et le domaine parent DMSI (dmsi.esat.terre.def).

23243686.doc Page 9 sur 31

Cette situation n'est pas vraiment optimale; le serveur DNS est en effet requis à l'ouverture
de session; il est donc préférable d'installer un serveur DNS sur le contrôleur du nouveau
domaine enfant.

Remarque: pour supprimer un domaine enfant, il faut impérativement ouvrir une session
sur la station hébergeant le contrôleur du domaine mais en local: on ne sélectionne pas
de domaine (clique sur le bouton Options de la fenêtre de logon).

1.2.2. Création d'une arborescence

La création d'une arborescence consiste à simplement sélectionner l'option "Contrôleur de
domaine pour un nouveau domaine" dans la fenêtre de saisie du type de contrôleur.

L'assistant exécute une tâche supplémentaire qui est celle de dupliquer le schéma et les
partitions du répertoire de configuration.

1.2.3. Création d'une forêt

La création d'une arborescence consiste à simplement sélectionner l'option "Contrôleur de
domaine pour un nouveau domaine" dans la fenêtre de saisie du type de contrôleur.
L'assistant configure le serveur de catalogue global.

1.3. Relation d'approbations

Active Directory assure la sécurité des domaines par les relations d'approbation basées sur
le protocole Kerberos version5.

Rappel: une relation d'approbation permet aux utilisateurs d'un domaine d'être authentifiés
sur un autre domaine afin d'en utiliser les ressources par les autorisations adéquates.

Les demandes d'authentification suivent un chemin d'approbation.

Chaque fois que l'on crée une arborescence de domaine, un chemin d'approbation est
automatiquement créé entre le domaine racine et le nouveau domaine.

Toutes les relations d'approbation de domaine n'ont que deux domaines dans la relation: le
domaine autorisé à approuver et le domaine approuvé. Une relation d'approbation de
domaines est caractérisée par les options suivantes:
• Unidirectionnel
• Bidirectionnel
• Transitif
• Non transitif

1.3.1. Approbation unidirectionnelle

Une approbation unidirectionnelle est une relation d'approbation unique, dans laquelle le
Domaine A approuve le Domaine B. Toutes les relations unidirectionnelles sont non
transitives et toutes les approbations non transitives sont unidirectionnelles.

1.3.2. Approbation bidirectionnelle

Toutes les approbations de domaines d'une forêt Windows 2000 sont des approbations
transitives bidirectionnelles.

23243686.doc Page 10 sur 31

Lorsqu'un nouveau domaine enfant est créé, une approbation transitive bidirectionnelle est
automatiquement créée entre le nouveau domaine enfant et le domaine parent. Dans une
approbation bidirectionnelle, le Domaine A approuve le Domaine B et le Domaine B
approuve le Domaine A. Cela signifie que les demandes d'authentification peuvent passer
entre les deux domaines dans les deux sens.

Dans l'exemple suivant, on met en place une relation d'approbation avec un PDC d'un
domaine NT nommé DOM_NT1; c'est une relation d'approbation EXTERNE (voir ci-
dessous).
On pourra publier ainsi une ressource du domaine NT dans le domaine Windows 2000 et
donner les autorisations d'accès adéquates.

On peut voir la base SAM du contrôleur Windows 2000 du domaine dmsi.esat.terre.def:

23243686.doc Page 11 sur 31

Dans un système d'information plus élaboré, on pourra voir les relations d'approbations
suivantes; on a ici une forêt avec deux arborescences; on peut vérifier les relations
d'approbations du domaine dmsi.esat.terre.def:

On constate ici la présence des relations d'approbations; il est possible de supprimer les
relations d'approbations externes, avec un domaine NT.
Il n'est pas possible de supprimer les relations d'approbation des domaines enfants.

23243686.doc Page 12 sur 31

1.3.3. Approbation transitive
Toutes les approbations de domaines d'une forêt Windows 2000 sont des approbations
transitives. Les approbations transitives sont toujours des relations bidirectionnelles. Les
deux domaines de la relation s'approuvent mutuellement.

Vous pouvez également créer explicitement (manuellement) des approbations transitives

entre les domaines Windows 2000 de la même arborescence ou de la même forêt. Ces
raccourcis de relations d'approbation peuvent être utilisés pour réduire le chemin
d'approbation ainsi que les arbres ou les forêts des domaines complexes.

1.3.4. Approbation non transitive

Une approbation non transitive est limitée par les deux domaines de la relation d'approbation
et ne se déplace pas vers d'autres domaines de la forêt
Toutes les relations d'approbation entre les domaines Windows 2000 et Windows NT sont
des relations non transitives. Lors d'une mise à niveau de Windows NT vers Windows 2000,
toutes les approbations Windows NT existantes restent inchangées.

1.3.5. Protocoles d'approbation

Windows 2000 authentifie les utilisateurs et les applications à l'aide de l'un des deux
protocoles suivants: Kerberos V5 ou NTLM. Le protocole Kerberos V5 est le protocole par
défaut des ordinateurs exécutant Windows 2000 et des ordinateurs avec un logiciel client
Windows 2000 installé. Si un ordinateur impliqué dans une transaction n'accepte pas
Kerberos V5, c'est le protocole NTLM qui sera utilisé.
Le protocole Kerberos V5 est composé de:
- un client Kerberos V5: installé sur chaque client,
- un serveur de ressource (auquel le client veut accéder),
- un serveur centre de distribution de clef (KDC, Key Distribution Center): installé sur
chaque contrôleur de domaine.

Grâce au protocole Kerberos V5, le client lance une requête de ticket d'un contrôleur de
domaine de son domaine de compte vers le serveur du domaine d'approbation. Ce ticket est
édité par un centre KDC approuvé par le client et le serveur. Le client présente ce ticket
approuvé au serveur dans le domaine d'approbation pour authentification.
Lorsqu'un client tente d'accéder aux ressources d'un serveur d'un autre domaine à l'aide
d'une authentification NTLM, le serveur contenant la ressource doit contacter un contrôleur
du domaine de compte du client afin de vérifier les informations d'identification du compte.

1.3.6. Approbations de domaines explicites

Les approbations explicites sont des relations d'approbation que vous créez vous-même, par
opposition aux approbations créées automatiquement au cours de l'installation d'un
contrôleur de domaine. Vous créez et gérez des approbations explicites à l'aide de
Domaines et approbations Active Directory.
Vous avez le choix entre deux types d'approbations explicites: les approbations externes et
les approbations raccourcies. Les approbations externes permettent d'authentifier l'utilisateur
dans un domaine situé à l'extérieur d'une forêt. Les approbations raccourcies raccourcissent
le chemin de l'approbation dans une forêt complexe.

23243686.doc Page 13 sur 31

1.3.6.1. Approbations externes

Les approbations externes créent des relations d'approbation dans les domaines situés à
l'extérieur de la forêt. L'avantage de la création d'approbations externes est de permettre
l'authentification de l'utilisateur dans un domaine non couvert par les chemins d'approbation
d'une forêt.
Toutes les approbations externes sont unidirectionnelles non transitives, comme illustré sur
la figure. Vous pouvez combiner deux approbations unidirectionnelles pour créer une relation
d'approbation bidirectionnelle
C'est le cas cité plus haut entre le domaine NT et le domaine Windows 2000.

Remarque
• Dans les domaines en mode mixte, les approbations externes doivent toujours être
supprimées d'un contrôleur de domaine Windows 2000. Les approbations externes
vers des domaines Windows NT 4.0 ou 3.51 peuvent être supprimées par des
administrateurs autorisés sur les contrôleurs de domaine Windows NT 4.0 ou 3.51.
Toutefois, seul le côté approuvé de la relation peut être supprimé sur les contrôleurs
de domaine Windows NT 4.0 ou 3.51. Le côté autorisé à approuver de la relation
(créée dans le domaine Windows 2000) n'est pas supprimé et, bien qu'elle ne soit
pas opérationnelle, l'approbation continuera de s'afficher dans Domaines et
approbations Active Directory. Pour supprimer totalement l'approbation, vous devez
la supprimer d'un contrôleur de domaine Windows 2000 du sein du domaine autorisé
à approuver.
Si une approbation externe est supprimée par inadvertance d'un contrôleur de
domaine Windows NT 4.0 ou 3.51, vous devez la recréer à partir de n'importe quel
contrôleur de domaine Windows 2000 au sein du domaine autorisé à approuver.

1.3.6.2. Approbations raccourcies dans Windows 2000

Pour qu'un compte se voie accorder l'accès à des ressources par le contrôleur de domaine
d'un autre domaine, Windows 2000 doit déterminer si le domaine contenant les ressources
désirées (domaine cible) a une relation d'approbation avec le domaine où se trouve le
compte (domaine source).
Pour définir cette relation pour deux domaines d'une forêt, Windows 2000 calcule un chemin
d'approbation entre les contrôleurs de domaine pour ces domaines source et cible.
Un chemin d'approbation est la série de relations d'approbation de domaine que la sécurité
de Windows 2000 doit traverser pour transmettre les demandes d'authentification entre deux
domaines. Le calcul et l'accès à un chemin d'approbation entre des arborescences de
domaines dans une forêt complexe peuvent prendre du temps. Celui-ci peut être réduit à
l'aide d'approbations raccourcies.
Les approbations raccourcies sont des approbations bidirectionnelles transitives qui vous
permettent de raccourcir le chemin dans une forêt complexe. Vous créez explicitement des
approbations raccourcies entre les domaines Windows 2000 de la même forêt. Une
approbation raccourcie est une optimisation des performances qui raccourcit le chemin
d'approbation que la sécurité de Windows 2000 doit emprunter aux fins d'authentification.

L'utilisation la plus efficace d'approbations raccourcies se situe entre deux

arborescences de domaines d'une forêt.

23243686.doc Page 14 sur 31

1.3.7. Vérification des approbations
On peut vérifier le fonctionnement de la relation d'approbation; cliquez sur le bouton Modifier
de la relation puis sur le bouton Vérifier de la fenêtre suivante:

On peut noter que cela n'est pas possible sous NT4; le seul moyen en cas de problème sur
les relations d'approbation est de la casser puis de la réinstaller.

La relation d'approbation est bien sûr mise en place sur le PDC du domaine NT.

23243686.doc Page 15 sur 31

La commande netdom permet également de vérifier les relations d'approbation.

1.4. Le catalogue global

A l'ouverture de session, le catalogue global fournit les informations suivantes:
- Sur l'appartenance des groupes universels pour le compte,
- Sur le domaine lors de l'utilisation de noms principaux d'utilisateurs pendant
l'ouverture de session
Il authentifie le nom principal d'utilisateur. Par exemple, si Pierre.Durand, dont le compte se
trouve dans dmsi.esat.terre.def, utilise un ordinateur se trouvant dans le domaine
sys.dmsi.esat.terre.def, il ouvrira une session en tant que
Pierre.Durand@dmsi.esat.terre.def.
Sil le contrôleur de domaine sys.dmsi.esat.terre.def ne parvient pas à authentifier l'utilisateur
Pierre.Durand, il doit contacter un serveur de catalogue global pour terminer le processus
d'ouverture de session.

Sur un réseau à un seul domaine, aucun serveur de catalogue global n'est requis pour le
processus d'ouverture de session, car chaque contrôleur de domaine contient les
informations nécessaires pour authentifier un utilisateur.

Remarque: un utilisateur membre du groupe Administrateur du domaine peut ouvrir une

session même si aucun serveur de catalogue global n'est disponible.

Le premier contrôleur de domaine d'une forêt est désigné automatiquement comme serveur
de catalogue global. On peut autoriser n'importe que contrôleur de domaine comme serveur
de catalogue global.

Par la console Sites et services Active Directory, accéder aux propriétés NTDS du serveur
désiré.

23243686.doc Page 16 sur 31

Cochez la case Catalogue global.

2. Gestion de la duplication Active Directory

Les utilisateurs et les services doivent être en mesure d'accéder à tout moment aux
informations de l'annuaire à partir de n'importe quel ordinateur de la forêt. Pour y parvenir,
les ajouts, les modifications et les suppressions de données de l'annuaire doivent être
répliquées sur les autres contrôleurs de domaine.

23243686.doc Page 17 sur 31

Les informations de l'annuaire doivent être largement distribuées, mais vous devez équilibrer
cette opération avec vos besoins d'optimisation des performances du réseau. Si les mises à
jour de l'annuaire sont constamment distribuées à tous les autres contrôleurs de domaine du
domaine, ils épuiseront les ressources de votre réseau.
Même si vous pouvez ajouter ou configurer manuellement les connexions ou forcer la
réplication sur une connexion spécifique, vous devez normalement autoriser l'optimisation
automatique de la réplication par le vérificateur de cohérence Active Directory (KCC:
Knowledge Consistency Checker) en fonction des informations que vous fournissez à Sites
et services Active Directory sur votre déploiement.

Une présentation des sites a déjà été assurée en début du cours.

Les sites dans Active Directory permettent de contrôler, en autre chose, le trafic de
duplication.
En créant des liaisons de sites et en configurant leur disponibilité de réplication, leur coût et
leur fréquence de réplication, vous fournissez au vérificateur de cohérence Active Directory
des informations sur les objets Connexion qu'il doit créer pour répliquer les données de
l'annuaire.
Les sites simplifient la réplication des informations de l'annuaire. Les informations sur le
schéma et la configuration de l'annuaire sont distribuées à travers la forêt et les données de
domaine sont distribuées dans tous les contrôleurs du domaine. Si vous réduisez de manière
stratégique la réplication, les problèmes sur votre réseau peuvent être réduits de la même
manière.
Active Directory réplique des informations de l'annuaire dans un site précis plus
régulièrement qu'à travers plusieurs sites. De cette manière, les contrôleurs de domaine les
mieux connectés, c'est-à-dire ceux qui sont les plus susceptibles d'avoir besoin
d'informations précises sur l'annuaire, reçoivent en premier les réplications.

Exemple d'organisation sans et avec sites.

23243686.doc Page 18 sur 31

2.1. Composants de la duplication
Les composants sont les suivants:

Le
Le Vérificateur
Vérificateur de
de cohérence
cohérence des des
connaissances
connaissances configure
configureles
les
connexions
connexions dededuplication
duplication

Objet
Objetsite
site

Objet
Objet Objet
Objet
serveur
serveurA A serveur
serveurB B

Objet
Objet Objet
Objet
NTDS
NTDSSettings
Settings NTDS
NTDSSettings
Settings

Objet
Objet connexion
connexion Objet
Objet connexion
connexion
AA B
B A
A B
B

B est la source de duplication de A A est la source de duplication de B

2.2. Création d'un site

Pour créer un site, vous utilisez la console Sites et services Active Directory.

Remarque: lorsque l'on installe Windows 2000 sur le premier contrôleur de domaine d'une
forêt, le premier site est installé automatiquement; il est appelé Premier-Site-par-défaut.

Ce site peut être renommé.

Un site peut ou non être constitué de sous-réseaux.

Pour illustrer la gestion des sites, on a créé une forêt qui contient:
- un domaine racine nommé dmsi.esat.terre.def avec le contrôleur SVRDMSI2K1
- un domaine enfant sys.dmsi.esat.terre.def avec le contrôleur SVR_SYS
- un domaine enfant web.dmsi.esat.terre.def avec le contrôleur SVR_DOM_WEB

23243686.doc Page 19 sur 31

Ces trois contrôleurs de domaines sont tous sur le site par défaut renommé en site de
Cesson.

On peut ici gérer les liaisons intra site et notamment la réplication; on force ici la réplication
entre les contrôleurs SVRDMSI2K1 et SVR_DOM_WEB en utilisant le composant NTDS
Settings.

On remarque le nom <généré automatiquement> appliquer au service de duplication.

Si l'on modifie les caractéristiques de duplication, un nom est attribué (voir exemple sur
SVR_SYS).

Par l'option Propriétés, on règle la fréquence de duplication. La périodicité de la réplication

est ici fixée à 4 fois par heure entre 8h00 et 18h00.

23243686.doc Page 20 sur 31

En créant des sites séparés, vous pouvez adapter la réplication aux conditions du site. Vous
pouvez par exemple avoir une ligne haute vitesse comme connexion réseau par défaut et
une connexion réseau d'accès à distance au cas où la ligne haute vitesse ne serait pas
disponible.
Lorsqu'il existe plusieurs connexions réseau redondantes, Active Directory choisit toujours la
connexion en fonction du coût.
La création de site est intéressante si l'on y associe des sous réseaux sur lesquels les
contrôleurs de domaine pourront passer leurs trafics de duplication.

On a maintenant configuré les sites comme suit:

- renommé Premier-Site-par-défaut par le site de nom Cesson.
- Créé le site Laval.
- Créé le site Brest.

Les contrôleurs de domaines ont été déplacés (logiquement) dans chaque site.

Afin de maîtriser précisément le trafic de duplication, on va mettre en place un lien de sites.

23243686.doc Page 21 sur 31

2.3. Création et configuration de liens de site
Les liens de sites sont caractérisés par:

 Liens de site
 Coût
 Intervalle
 Calendrier
Lien de site XY Lien de site YZ

Site X Site Y Site Z

Pont
Pont entre
entre des
des
liens
liensde
desite
site
 Ponts entre des XYZ
XYZ
liens de site

On note la possibilité de créer un pont entre liens de site; ces ponts agissent sur le routage.
La mise en œuvre d'un pont est nécessaire:
- lorsque des sites ne sont pas sur un réseau totalement routé (présence de pare-feu),
- lorsqu'il; a trop de sites pour le KCC pour calculer la topologie sur un calendrier.

Les liaisons de sites ne sont pas générées automatiquement. Il est donc nécessaire de créer
un ou des liens de sites et de les configurer. Pour créer un lien de site, on utilise toujours la
console Sites et Services Active Directory.

On a ici créé le lien Lien_DMSI en utilisant le composant IP (le composant SMTP peut être
utilisé uniquement pour les liens inter sites; de plus, SMTP ignore généralement toutes les
planifications):

23243686.doc Page 22 sur 31

Les propriétés du lien sont les suivantes:

Il est possible de modifier la planification de la duplication; on note que la précision de la

période de duplication est plus fine que sur des duplications intra sites. (réplication toutes les
N minutes dans les plages imparties au lieu de plage de 1, 2 ou 4 heures dans les liaisons
intra sites).

23243686.doc Page 23 sur 31

2.4. Surveillance du trafic de duplication
On peut régler la topologie de duplication en fonction du trafic. Mails il faut déjà visualiser le
trafic. On utilise alors l'outil Réplication Monitor ainsi que l'utilitaire repadmin. Cet outil n'est
pas installé par défaut; il est inclus dans le Support Tools du CD d'installation Windows 2000.

Il affiche sous forme graphique:

- la topologie de duplication des connexions entre serveurs du même site,
- l'état et les performances de duplications,
- des statistiques sur la duplication.

Pour visualiser toutes ces informations, il faut indiquer les objets à surveiller.
On désigne le domaine:

Puis l'on choisit le contrôleur du domaine:

23243686.doc Page 24 sur 31

On constate dans la vue suivante, un problème de réplication lié au serveur RPC de l'un des
sites.

Pour visualiser la topologie de duplication, on sélectionne un des contrôleurs du domaine.

On remarque que la liste des options de ce menu contextuel est assez longue.

23243686.doc Page 25 sur 31

On visualise ici la topologie de duplication(simple) du site:

2.5. Conseils
Afin d'améliorer la duplication, il est conseillé de:
- placer au moins un contrôleur de domaine dans chaque site,
- créer au moins un catalogue global pour au moins un contrôleur de domaine dans
chaque site,
- placer au moins un serveur DNS dans chaque site,
- planifier les liens de site aux périodes où le réseau est le moins encombré.

23243686.doc Page 26 sur 31

3. Mise à jour de la base de données Active Directory
La mise à jour de la base de données Active Directory est une tâche administrative
importante. Windows 2000 permet d'effectuer les tâches ci-dessous:
- sauvegarde d'Active Directory,
- restauration d'Active Directory,
- déplacement de la base de données Active Directory,
- défragmentation de la base de données.

Active Directory possède son propre moteur de base de données: le moteur ESE (Extensible
Storage Engine).

Active Directory inclut les fichiers suivants:

- ntds.dit: c'est le fichier unique de la base de données Active Directory; il stocke tous
les objets Active Directory sur le contrôleur de domaine.
L'emplacement par défaut est le dossier racine_système\NTDS.
- Edb*.log: c'est le fichier journal des transactions. La taille de ce fichier est par défaut
de 10 Mo. Lorsque ce fichier est plein, il est renommé edbnnnnn.log où nnnnn
représente un nombre croissant à partir de un.
- Edb.chk: c'est le fichier de contrôle utilisé par le moteur de la base de données pur
suivre les données qui ne sont pas encore écrites dans le fichier de base de données
Active Directory. C'est un pointeur qui met à jour l'état entre la mémoire et le fichier
de base de données sur le disque. Le pointeur du fichier de contrôle indique le point
de départ dans le fichier journal à partir duquel les informations doivent être
récupérées après un sinistre.
- Res1.log et Res2.log: ces fichiers sont les fichiers journaux de transaction réservés.

Le moteur ESE charge les données devant être modifiées en mémoire. Après 12 heures
d'exploitation continue, un processus de nettoyage de la mémoire est lancé pour supprimer
les objets qui ont expiré.

Remarque: un délai s'écoule entre le moment où un objet est marqué avec la suppression et
le moment où cet objet est supprimé physiquement de la base de données. Ce délai
s'appelle la durée de vie de l'enregistrement désactivé. Le délai par défaut est de 60 jours
mais il peut être modifié.

Pour configurer le nettoyage de la mémoire, on utilise l'outil ADSI Edit du Support Tools.

3.1. Sauvegarde et restauration de Active Directory

La sauvegarde de l'état du système comprend:
- Active Directory et le dossier SYSVOL sur un contrôleur de domaine,
- Le registre, les fichiers de démarrage du système et la base de données d'inscription
de classe de tous les ordinateurs,
- La base de données Certificate Services sur les serveurs de certificats.

L'utilitaire de sauvegarde Windows 2000 permet d'effectuer la sauvegarde de l'état du

système.

23243686.doc Page 27 sur 31

La sauvegarde pet être planifiée comme suit:

Windows 2000 permet de restaurer la base de données Active Directory.

Deux méthodes permettent de restaurer les données Active Directory:
- réinstaller le contrôleur de domaine, et laisser le processus de duplication normal
remplir à nouveau le nouveau contrôleur de domaine avec les données de ses
réplicas: ceci implique donc qu'il y ait un réplica (deuxième contrôleur),
- utiliser l'utilitaire de sauvegarde pour restaurer les données.

Deux méthodes permettent de restaurer Active Directory à partir des supports de

sauvegarde:
- la méthode non forcée: utilisée pour restaurer après une panne matérielle.
- la méthode forcée: utilisée pour restaurer un objet récemment supprimé.

La procédure de restauration non forcée est la suivante:

- redémarrage du contrôleur,

23243686.doc Page 28 sur 31

 - sélection de l'option de démarrage avancée Mode de restauration des services
d'annuaire (touche F8),
- ouverture d'une session en utilisant le compte Administrateur résidant dans la
base de données de compte utilisateur local sur le contrôleur de domaine (on
clique sur le bouton Options de la fenêtre de logon pour inhiber la zone de choix du
domaine d'ouverture de session),
- utilisez l'utilitaire de sauvegarde,
- redémarrer le contrôleur.

Important: vous ne pouvez pas restaurer Active Directory à partir d'une sauvegarde plus
ancienne que la durée de vie de l'enregistrement désactivé, soit 60 jours par défaut.

La restauration forcée est la méthode que l'on doit utiliser pour restaurer un objet Active
Directory dans un domaine disposant de plusieurs contrôleurs de domaine. En effectuant
une restauration forcée, on peut marquer des informations spécifiques de la base de
données comme étant récentes (par le numéro de version qui est incrémenter de 100.000),
et empêcher ainsi la duplication d'écraser ces informations.
Lorsque deux contrôleurs de domaine ont des numéros de version différents pour un même
objet, l'objet modifié portant le numéro de version le plus élevé se duplique sur l'autre copie.

Une restauration forcée se produit après une restauration non forcée.

La procédure de restauration forcée est la suivante:

- redémarrage du contrôleur,
- sélection de l'option de démarrage avancée Mode de restauration des services
d'annuaire (touche F8),
- ouverture d'une session en utilisant le compte Administrateur résidant dans la
base de données de compte utilisateur local sur le contrôleur de domaine,
- restaurez Active Directory dans on emplacement d'origine; restaurez Active Directory
dans un autre emplacement lorsque vous devez effectuer une restauration forcée sur
le dossier SYSVOL: NE PAS REDEMARREZ l'ordinateur lorsque vous y êtes invité.
- Ouvrez une invite de commande et lancer ntdsutil.exe,
- taper authoritative restore,
- taper restore subtree nom_complet_objet: nom_complet_objet représente le nom
complet d'un objet (exemple: restore subtree OU=systeme,DC=dmsi)
- taper quit pour quitter authoritave et quit pour quitter ntdsutil.
- Redémarrez l'ordinateur.

3.2. Déplacement de la base de données Active Directory

Pour déplacer la base de données Active Directory, on utilise l'utilitaire ntdsutil en ligne de
commande. C'est la seule méthode qui assure la mise à jour des clefs de registre afin que le
service d'annuaire redémarre à partir du nouvel emplacement.

La procédure est la suivante:

- sauvegarder Active Directory par mesure de précaution,
- redémarrage du contrôleur,
- sélection de l'option de démarrage avancée Mode de restauration des services
d'annuaire (touche F8),
- ouverture d'une session en utilisant le compte Administrateur résidant dans la
base de données de compte utilisateur local sur le contrôleur de domaine,
- Ouvrez une invite de commande et lancer ntdsutil.exe,
- Tapez files et Entrée,

23243686.doc Page 29 sur 31

 - Taper move DB to <lecteur>:\<répertoire>: le lecteur doit être taillé pour recevoir le
fichier ntds.dit; si le chemin contient des espaces (déconseillé), il doit être encadré
par des guillemets,
- Taper quit pour quitter files et quit pour quitter ntdsutil
- On peut également déplacer les fichiers journaux par la commande move logs to
<lecteur>:\<répertoire>.

3.3. Défragmentation de la base de données Active Directory

La défragmentation réorganise les données stockées dans la base de données Active
Directory (comme c'est le cas pour la défragmentation des disques durs).

La défragmentation peut se produire:

- en ligne: réorganise les données,
- hors ligne: réorganise les données et crée une version compressée du fichier de
base de données ntds.dit.

La défragmentation en ligne s'effectue automatiquement lors du processus de nettoyage de

la mémoire.
La défragmentation hors ligne s'effectue manuellement par la procédure suivante:
- sauvegarder Active Directory par mesure de précaution,
- redémarrage du contrôleur,
- sélection de l'option de démarrage avancée Mode de restauration des services
d'annuaire (touche F8),
- ouverture d'une session en utilisant le compte Administrateur résidant dans la
base de données de compte utilisateur local sur le contrôleur de domaine,
- Ouvrez une invite de commande et lancer ntdsutil.exe,
- Tapez files et Entrée,
- Taper compact to <lecteur>:\<répertoire>: le lecteur doit être taillé pour recevoir le
fichier ntds.dit; si le chemin contient des espaces (déconseillé), il doit être encadré
par des guillemets,
- Taper quit pour quitter files et quit pour quitter ntdsutil
- Copier le nouveau fichier ntds.dit dans le répertoire actuel de la base de données
Active Directory
- Redémarrez le contrôleur de domaine.

4. Outils de support Active Directory

Plusieurs outils supplémentaires pouvant être utilisés pour configurer, gérer et déboguer
Active Directory sont disponibles sous forme d'outils de ligne de commande. Ces outils sont
appelés Outils de support et figurent sur le CD Windows 2000 Server dans le dossier
\SUPPORT\TOOLS.

Liste et description des outils:

Outil Description
MoveTree Déplacez les objets d'un domaine à un autre.
Définissez les listes de contrôle d'accès sur les objets appartenant auparavant
SIDWalker
aux comptes qui ont été déplacés, sont devenus orphelins ou ont été supprimés.
ESEUtil Réparez, contrôlez, compactez, déplacez et videz les fichiers de la base de

23243686.doc Page 30 sur 31

 données de l'annuaire. (Un grand nombre de ces fonctions est appelé par
NTDSUTIL.)
Réparez, contrôlez, compactez, déplacez et videz les fichiers de la base de
données de l'annuaire. Listez les informations de site, de domaine et de serveur,
NTDSUtil
gérez les maîtres d'opérations, effectuez une restauration forcée, créez des
domaines.
Permet aux opérations LDAP d'être exécutées dans Active Directory. Cet outil
LDP
possède une interface utilisateur graphique.
Contrôlez l'inscription dynamique des enregistrements de ressources DNS
DNSCMD comprenant la mise à jour DNS sécurisé ainsi que la désinscription des
enregistrements de ressources.
DOMMAP Contrôlez la topologie de la réplication ainsi que les relations site et domaine.
DSACLS Affichez ou modifiez les listes de contrôle d'accès des objets de l'annuaire.
Gestion de commandes des approbations, intégration des ordinateurs aux
NETDOM5
domaines, vérification des approbations et des canaux sécurisés.
NETTest Contrôlez la totalité du réseau et les fonctions de services distribués.
NLTest Vérifiez que le détecteur et le canal sécurisé fonctionnent.
Contrôlez la cohérence de la réplication entre les partenaires de réplication, gérez
REPAdmin l'état de la réplication, affichez les méta-données de réplication, forcez les
événements de réplication et le nouveau calcul du vérificateur de cohérence.
Affichez la topologie de la réplication, gérez l'état de la réplication (y compris les
stratégies de groupe), forcez les événements de réplication et le nouveau calcul
REPLMon
du vérificateur de cohérence. Cet outil possède une interface utilisateur
graphique.
Comparez les informations de l'annuaire dans les contrôleurs de domaine et
DSAStat
détectez les éventuelles différences.
Composant logiciel enfichable Microsoft Management Console (MMC) utilisé pour
afficher tous les objets dans l'annuaire (y compris les informations sur les
ADSIEdit
schémas et la configuration), modifier les objets et définir les listes de contrôle
d'accès des objets.
Contrôlez la propagation et la réplication des listes de contrôle d'accès pour les
objets spécifiés de l'annuaire. Cet outil permet à un administrateur de déterminer
SDCheck si les listes de contrôle d'accès sont héritées correctement et si les modifications
de la liste de contrôle d'accès sont répliquées d'un contrôleur de domaine à un
autre.
Indiquez si l'accès à un objet de l'annuaire a été accordé ou refusé à un
ACLDiag utilisateur. Permet également de réinitialiser les listes de contrôle d'accès dans
leur état par défaut.
Utilitaire de ligne de commande permettant de gérer tous les aspects du Système
DFSCheck de fichiers distribués (DFS, Distributed File System), de contrôler la concurrence
de configuration des serveurs DFS et d'afficher la topologie DFS.

23243686.doc Page 31 sur 31