Professional Documents
Culture Documents
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
Selon les besoins, on peut créer des domaines supplémentaires appelés domaines enfants,
dans une même arborescence de domaine. On peut également créer une forêt: elle se
compose de plusieurs arborescences de domaine. Tous les domaines qui ont un domaine
racine commun forment un espace de noms contigus (ex: dmsi.esat.terre.def et
sic.esat.terre.def). Les arborescences de domaine à l'intérieur d'une forêt ne forment pas un
espace de noms contigu. Les arborescences sont utilisées pour les entreprises disposant de
divisions indépendantes devant gérer chacune ses propres noms DNS.
Arborescence:
Domaine racine de
l’arborescence
terre .def
Parent
Nouveau
domaine
Forêt:
Forêt
Arborescence
marine.def
- le catalogue global: contient un réplica de chaque objet dans Active Directory, mais
avec un nombre limité d'attributs pour chaque objet. Le catalogue global stocke les
attributs les plus fréquemment utilisés dans les opérations de recherche (par exemple
le nom et le prénom d'un utilisateur) et les attributs nécessaires à la recherche d'un
réplica complet de l'objet.
- les informations de configuration: les données de configuration décrivent la
topologie de l'annuaire. Ces données de configuration incluent une liste de toutes les
arborescences de domaine et de toutes les forêts, ainsi que les emplacements des
contrôleurs de domaine et des catalogues globaux.
- les informations de schéma: le schéma est la définition formelle de toutes les
données relatives aux objets et aux attributs pouvant être stockées dans l'annuaire
Indiquez ensuite le nom DNS du domaine parent par saisie ou recherche assistée par le
bouton Parcourir; saisir le nom du nouveau domaine enfant; le nom DNS complet de ce
nouveau domaine est automatiquement renseigné.
On note qu'il n'est pas nécessaire d'installer un serveur DNS sur le domaine enfant; le
nouveau domaine enfant est en effet automatiquement intégré en tant que domaine DNS au
domaine parent; dans la vue ci-dessous, on remarque la présence des domaines enfants
SYS et WEB et le domaine parent DMSI (dmsi.esat.terre.def).
Remarque: pour supprimer un domaine enfant, il faut impérativement ouvrir une session
sur la station hébergeant le contrôleur du domaine mais en local: on ne sélectionne pas
de domaine (clique sur le bouton Options de la fenêtre de logon).
L'assistant exécute une tâche supplémentaire qui est celle de dupliquer le schéma et les
partitions du répertoire de configuration.
Rappel: une relation d'approbation permet aux utilisateurs d'un domaine d'être authentifiés
sur un autre domaine afin d'en utiliser les ressources par les autorisations adéquates.
Toutes les relations d'approbation de domaine n'ont que deux domaines dans la relation: le
domaine autorisé à approuver et le domaine approuvé. Une relation d'approbation de
domaines est caractérisée par les options suivantes:
• Unidirectionnel
• Bidirectionnel
• Transitif
• Non transitif
Dans l'exemple suivant, on met en place une relation d'approbation avec un PDC d'un
domaine NT nommé DOM_NT1; c'est une relation d'approbation EXTERNE (voir ci-
dessous).
On pourra publier ainsi une ressource du domaine NT dans le domaine Windows 2000 et
donner les autorisations d'accès adéquates.
On constate ici la présence des relations d'approbations; il est possible de supprimer les
relations d'approbations externes, avec un domaine NT.
Il n'est pas possible de supprimer les relations d'approbation des domaines enfants.
Grâce au protocole Kerberos V5, le client lance une requête de ticket d'un contrôleur de
domaine de son domaine de compte vers le serveur du domaine d'approbation. Ce ticket est
édité par un centre KDC approuvé par le client et le serveur. Le client présente ce ticket
approuvé au serveur dans le domaine d'approbation pour authentification.
Lorsqu'un client tente d'accéder aux ressources d'un serveur d'un autre domaine à l'aide
d'une authentification NTLM, le serveur contenant la ressource doit contacter un contrôleur
du domaine de compte du client afin de vérifier les informations d'identification du compte.
Les approbations externes créent des relations d'approbation dans les domaines situés à
l'extérieur de la forêt. L'avantage de la création d'approbations externes est de permettre
l'authentification de l'utilisateur dans un domaine non couvert par les chemins d'approbation
d'une forêt.
Toutes les approbations externes sont unidirectionnelles non transitives, comme illustré sur
la figure. Vous pouvez combiner deux approbations unidirectionnelles pour créer une relation
d'approbation bidirectionnelle
C'est le cas cité plus haut entre le domaine NT et le domaine Windows 2000.
Remarque
• Dans les domaines en mode mixte, les approbations externes doivent toujours être
supprimées d'un contrôleur de domaine Windows 2000. Les approbations externes
vers des domaines Windows NT 4.0 ou 3.51 peuvent être supprimées par des
administrateurs autorisés sur les contrôleurs de domaine Windows NT 4.0 ou 3.51.
Toutefois, seul le côté approuvé de la relation peut être supprimé sur les contrôleurs
de domaine Windows NT 4.0 ou 3.51. Le côté autorisé à approuver de la relation
(créée dans le domaine Windows 2000) n'est pas supprimé et, bien qu'elle ne soit
pas opérationnelle, l'approbation continuera de s'afficher dans Domaines et
approbations Active Directory. Pour supprimer totalement l'approbation, vous devez
la supprimer d'un contrôleur de domaine Windows 2000 du sein du domaine autorisé
à approuver.
Si une approbation externe est supprimée par inadvertance d'un contrôleur de
domaine Windows NT 4.0 ou 3.51, vous devez la recréer à partir de n'importe quel
contrôleur de domaine Windows 2000 au sein du domaine autorisé à approuver.
Pour qu'un compte se voie accorder l'accès à des ressources par le contrôleur de domaine
d'un autre domaine, Windows 2000 doit déterminer si le domaine contenant les ressources
désirées (domaine cible) a une relation d'approbation avec le domaine où se trouve le
compte (domaine source).
Pour définir cette relation pour deux domaines d'une forêt, Windows 2000 calcule un chemin
d'approbation entre les contrôleurs de domaine pour ces domaines source et cible.
Un chemin d'approbation est la série de relations d'approbation de domaine que la sécurité
de Windows 2000 doit traverser pour transmettre les demandes d'authentification entre deux
domaines. Le calcul et l'accès à un chemin d'approbation entre des arborescences de
domaines dans une forêt complexe peuvent prendre du temps. Celui-ci peut être réduit à
l'aide d'approbations raccourcies.
Les approbations raccourcies sont des approbations bidirectionnelles transitives qui vous
permettent de raccourcir le chemin dans une forêt complexe. Vous créez explicitement des
approbations raccourcies entre les domaines Windows 2000 de la même forêt. Une
approbation raccourcie est une optimisation des performances qui raccourcit le chemin
d'approbation que la sécurité de Windows 2000 doit emprunter aux fins d'authentification.
On peut noter que cela n'est pas possible sous NT4; le seul moyen en cas de problème sur
les relations d'approbation est de la casser puis de la réinstaller.
La relation d'approbation est bien sûr mise en place sur le PDC du domaine NT.
Sur un réseau à un seul domaine, aucun serveur de catalogue global n'est requis pour le
processus d'ouverture de session, car chaque contrôleur de domaine contient les
informations nécessaires pour authentifier un utilisateur.
Le premier contrôleur de domaine d'une forêt est désigné automatiquement comme serveur
de catalogue global. On peut autoriser n'importe que contrôleur de domaine comme serveur
de catalogue global.
Par la console Sites et services Active Directory, accéder aux propriétés NTDS du serveur
désiré.
Les sites dans Active Directory permettent de contrôler, en autre chose, le trafic de
duplication.
En créant des liaisons de sites et en configurant leur disponibilité de réplication, leur coût et
leur fréquence de réplication, vous fournissez au vérificateur de cohérence Active Directory
des informations sur les objets Connexion qu'il doit créer pour répliquer les données de
l'annuaire.
Les sites simplifient la réplication des informations de l'annuaire. Les informations sur le
schéma et la configuration de l'annuaire sont distribuées à travers la forêt et les données de
domaine sont distribuées dans tous les contrôleurs du domaine. Si vous réduisez de manière
stratégique la réplication, les problèmes sur votre réseau peuvent être réduits de la même
manière.
Active Directory réplique des informations de l'annuaire dans un site précis plus
régulièrement qu'à travers plusieurs sites. De cette manière, les contrôleurs de domaine les
mieux connectés, c'est-à-dire ceux qui sont les plus susceptibles d'avoir besoin
d'informations précises sur l'annuaire, reçoivent en premier les réplications.
Le
Le Vérificateur
Vérificateur de
de cohérence
cohérence des des
connaissances
connaissances configure
configureles
les
connexions
connexions dededuplication
duplication
Objet
Objetsite
site
Objet
Objet Objet
Objet
serveur
serveurA A serveur
serveurB B
Objet
Objet Objet
Objet
NTDS
NTDSSettings
Settings NTDS
NTDSSettings
Settings
Objet
Objet connexion
connexion Objet
Objet connexion
connexion
AA B
B A
A B
B
Remarque: lorsque l'on installe Windows 2000 sur le premier contrôleur de domaine d'une
forêt, le premier site est installé automatiquement; il est appelé Premier-Site-par-défaut.
Pour illustrer la gestion des sites, on a créé une forêt qui contient:
- un domaine racine nommé dmsi.esat.terre.def avec le contrôleur SVRDMSI2K1
- un domaine enfant sys.dmsi.esat.terre.def avec le contrôleur SVR_SYS
- un domaine enfant web.dmsi.esat.terre.def avec le contrôleur SVR_DOM_WEB
On peut ici gérer les liaisons intra site et notamment la réplication; on force ici la réplication
entre les contrôleurs SVRDMSI2K1 et SVR_DOM_WEB en utilisant le composant NTDS
Settings.
Les contrôleurs de domaines ont été déplacés (logiquement) dans chaque site.
Liens de site
Coût
Intervalle
Calendrier
Lien de site XY Lien de site YZ
Pont
Pont entre
entre des
des
liens
liensde
desite
site
Ponts entre des XYZ
XYZ
liens de site
On note la possibilité de créer un pont entre liens de site; ces ponts agissent sur le routage.
La mise en œuvre d'un pont est nécessaire:
- lorsque des sites ne sont pas sur un réseau totalement routé (présence de pare-feu),
- lorsqu'il; a trop de sites pour le KCC pour calculer la topologie sur un calendrier.
Les liaisons de sites ne sont pas générées automatiquement. Il est donc nécessaire de créer
un ou des liens de sites et de les configurer. Pour créer un lien de site, on utilise toujours la
console Sites et Services Active Directory.
On a ici créé le lien Lien_DMSI en utilisant le composant IP (le composant SMTP peut être
utilisé uniquement pour les liens inter sites; de plus, SMTP ignore généralement toutes les
planifications):
Pour visualiser toutes ces informations, il faut indiquer les objets à surveiller.
On désigne le domaine:
2.5. Conseils
Afin d'améliorer la duplication, il est conseillé de:
- placer au moins un contrôleur de domaine dans chaque site,
- créer au moins un catalogue global pour au moins un contrôleur de domaine dans
chaque site,
- placer au moins un serveur DNS dans chaque site,
- planifier les liens de site aux périodes où le réseau est le moins encombré.
Active Directory possède son propre moteur de base de données: le moteur ESE (Extensible
Storage Engine).
Le moteur ESE charge les données devant être modifiées en mémoire. Après 12 heures
d'exploitation continue, un processus de nettoyage de la mémoire est lancé pour supprimer
les objets qui ont expiré.
Remarque: un délai s'écoule entre le moment où un objet est marqué avec la suppression et
le moment où cet objet est supprimé physiquement de la base de données. Ce délai
s'appelle la durée de vie de l'enregistrement désactivé. Le délai par défaut est de 60 jours
mais il peut être modifié.
Pour configurer le nettoyage de la mémoire, on utilise l'outil ADSI Edit du Support Tools.
Important: vous ne pouvez pas restaurer Active Directory à partir d'une sauvegarde plus
ancienne que la durée de vie de l'enregistrement désactivé, soit 60 jours par défaut.
La restauration forcée est la méthode que l'on doit utiliser pour restaurer un objet Active
Directory dans un domaine disposant de plusieurs contrôleurs de domaine. En effectuant
une restauration forcée, on peut marquer des informations spécifiques de la base de
données comme étant récentes (par le numéro de version qui est incrémenter de 100.000),
et empêcher ainsi la duplication d'écraser ces informations.
Lorsque deux contrôleurs de domaine ont des numéros de version différents pour un même
objet, l'objet modifié portant le numéro de version le plus élevé se duplique sur l'autre copie.
Outil Description
MoveTree Déplacez les objets d'un domaine à un autre.
Définissez les listes de contrôle d'accès sur les objets appartenant auparavant
SIDWalker
aux comptes qui ont été déplacés, sont devenus orphelins ou ont été supprimés.
ESEUtil Réparez, contrôlez, compactez, déplacez et videz les fichiers de la base de