Chapitre 16

La conception de la topologie de sites

16.1 16.2 16.3 16.4 16.5 16.6 16.7 Les mcanismes de conception : dnitions . . . . . Collecter les informations sur le rseau . . . . . . . . Prvoir lemplacement des contrleurs de domaine Concevoir des sites . . . . . . . . . . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . . . . . . . . . . Concevoir les ponts de liaison de sites . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 . 580 . 581 . 587 . 588 . 590 . 591

Les mcanismes de conception : dfinitions

expression "topologie des sites" dsigne la reprsentation logique du rseau physique. La conception dune topologie de sites permet de router efficacement les requtes clients et le trafic de rplication dActive Directory. Lorsquelle est russie, elle offre les avantages suivants :
j j j j

une diminution du cot de la rplication des donnes Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la rplication pendant les heures creuses pour les emplacements quips de liens rseau lents ou de connexions distance ; une optimisation de la localisation des ressources les plus proches (contrleurs de domaine, serveurs DFS), une amlioration des processus douverture et de fermeture de session et une amlioration des oprations de tlchargement de fichiers.

En outre, elle permet une meilleure visibilit sur le projet de dploiement dActive Directory. Une conception de topologie de sites russie permet aussi davoir les ides claires avant daborder des aspects plus techniques. Une rflexion sur les aspects concrets que sont la structure physique du rseau et lobjectif dentreprise dans ce projet est cruciale : cest le moyen dviter les ennuis techniques par la suite. Bien que ce chapitre soit plus thorique que pratique, notamment en ce qui concerne la mise en place dActive Directory chez Puzzmania, il est indispensable daborder ce sujet au pralable afin dviter de prendre une mauvaise direction. La conception dune topologie de sites Active Directory inclut la comprhension de la structure physique du rseau, la planification du placement des contrleurs de domaine, la conception des sites, des sous-rseaux, des liens de sites et des ponts de liaison de sites pour assurer lefficacit du routage des requtes et du trafic de rplication. Voici la description du processus de conception dune topologie de sites :

16. La conception de la topologie de sites

Figure 16.1 : Processus de conception de la topologie de sites

Avant dexaminer chaque point, familiarisez-vous avec les concepts relatifs aux sites.

16.1. Les mcanismes de conception : dnitions

La topologie de sites affecte les performances du rseau et la capacit des utilisateurs accder aux ressources rseau. Autrement dit, les utilisateurs risquent davoir une

565

Chapitre 16

La conception de la topologie de sites

mauvaise opinion de la nouvelle infrastructure si vous ne matrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adquate. Pour ce faire, vous devez connatre un minimum de dfinitions techniques.

Les fonctionnalits lies aux sites

Windows Server 2003 utilise des fonctionnalits lies aux sites quil est important de comprendre. Il sagit du routage de la rplication, de laffinit des clients, de la rplication des volumes systmes (Sysvol), de DFS et de la localisation des services.

Routage de la rplication
Active Directory utilise un modle de rplication multimatre afin de rpliquer dun contrleur de domaine un autre. Cela signifie quun contrleur de domaine communique les modifications de lannuaire un deuxime contrleur, qui les communique un troisime, et ainsi de suite, jusqu ce que tous les contrleurs de domaine soient informs des modifications. Afin dobtenir le meilleur quilibre possible entre la rduction de la latence de rplication et la rduction du trafic, la topologie des sites contrle la rplication Active Directory en distinguant la rplication qui intervient au sein dun site et celle qui intervient entre les sites distants. lintrieur dun mme site, la rplication, dite rplication intrasite, est optimise en termes de vitesse. En pratique, vous trouverez et pourrez configurer lobjet de connexion de rplication dans le composant logiciel enfichable Sites et services Active Directory en dployant lobjet contrleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :

16. La conception de la topologie de sites

Bote de dialogue dun objet de connexion de rplication intrasite du composant logiciel enfichable Sites et services Active Directory

566

Les mcanismes de conception : dfinitions

Une mise jour de donnes dannuaire, la cration dun compte par exemple, dclenche la rplication et les donnes sont transmises non compresses aux autres contrleurs de domaine. linverse, on compresse les donnes dans le cadre dune rplication entre des sites distants afin de minimiser le cot de transmission sur les liens distants. Lorsque la rplication intervient entre des sites, un unique contrleur par domaine sur chaque site collecte et stocke les modifications de lannuaire et les communique intervalles planifis un contrleur de domaine dun autre site.

Affinit des clients

Les contrleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la prsence dun ou de plusieurs contrleurs de domaine lintrieur du site le plus proche des clients en question. Prenons lexemple de Puzzmania. Considrez un client du domaine corp.puzzmania.com situ sur le site gographique de Toulouse. Il ne connat pas son affiliation de site. Il contacte un contrleur de domaine du site de Nice. En consultant ladresse IP du client, le contrleur de Nice dtermine le site auquel le client appartient et lui transmet les informations de site affrentes. Il indique au client si le contrleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande lenregistrement de ressources de service (SRV) spcifiques au site et trouve donc un contrleur de domaine sur le site qui est le sien.

16. La conception de la topologie de sites

Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services

Active Directory

567

Chapitre 16

La conception de la topologie de sites

Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilis pour localiser les contrleurs de domaine Active Directory. En trouvant un contrleur de domaine sur son site, le client spargne les communications par les liens distants. Mais il est possible quil nen trouve pas. Dans ce cas, un contrleur de domaine qui possde les connexions de plus faible cot par rapport aux autres sites connects publis sur le site du client (enregistre via un enregistrement de ressources SRN spcifique au site dans le DNS). Les contrleurs de domaine publis dans le DNS sont ceux du site le plus proche selon ce qui est configur dans la topologie. Ce processus garantit que chaque site possde un contrleur de domaine prfr pour lauthentification.

Rplication Sysvol
Le volume systme Sysvol est une arborescence de dossiers qui se trouve sur chaque contrleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par dfaut pour les fichiers qui doivent tre rpliqus dans un domaine, cest--dire les objets de stratgie de groupe, les scripts de dmarrage et de fermeture ainsi que les scripts douverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrleur de domaine.
Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com

Windows Server 2003 utilise le service de rplication de fichiers (FRS, File Replication Service) pour rpliquer les modifications apportes au contenu de Sysvol dun contrleur de domaine vers un autre. Le service FRS rplique ces modifications en fonction de la planification que vous crez durant la conception de la topologie des sites. 16. La conception de la topologie de sites

DFS (Distributed File System)

Le systme de fichiers distribus DFS utilise les informations de site pour diriger un client vers le serveur qui hberge les donnes requises. Si le service DFS ne trouve pas une copie des donnes dans le mme site que celui du client, il utilise les informations de site de lannuaire pour dterminer le serveur de fichiers qui possde les donnes partages DFS les plus proches du client.

568

Les mcanismes de conception : dfinitions

Localisation de services
En publiant des services comme les services de fichiers et dimpression dans Active Directory, vous permettrez aux clients de localiser les services quils requirent dans leur propre site ou dans le site le plus proche. Les services dimpression, par exemple, utilisent lattribut demplacement stock dans Active Directory pour permettre aux utilisateurs de parcourir le rseau la recherche dimprimantes en fonction de leur emplacement, mme sils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configures pour ce site apparaissent en rsultat.
Figure 16.5 :

Recherche dimprimantes par emplacement

Les concepts de rplication dActive Directory

Nous dfinissons dans ce qui suit les concepts de rplication dActive Directory.

Les diffrentes partitions

La base de donnes Active Directory est divise de manire logique en plusieurs partitions.
j j j j j

la partition de schma ; la partition dannuaire ; la partition de la configuration ; la partition du domaine ; la partition dapplication. 16. La conception de la topologie de sites

La partition dannuaire
Chaque partition est une unit de rplication et possde sa propre topologie de rplication. La rplication est excute entre les rplicas des partitions dannuaire. Tous les contrleurs de domaine de la mme fort ont au moins deux partitions dannuaire en commun : celles du schma et de la configuration. De plus, ils partagent une partition de domaine commune. 569

Chapitre 16

La conception de la topologie de sites

Figure 16.6 : Dfinition des partitions dannuaire

La partition de schma
Chaque fort possde une seule partition de schma. Cette partition de schma est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient les dfinitions de tous les objets et attributs crs dans lannuaire, ainsi que les rgles qui permettent de les crer et de les manipuler. Les donnes du schma sont rpliques dans tous les contrleurs de domaine de la fort. Cest pourquoi les objets doivent tre conformes aux dfinitions dobjet et dattribut du schma.

La partition de la conguration
Chaque fort possde une seule partition de configuration. Stocke dans tous les contrleurs de domaine de la mme fort, la partition de configuration contient les donnes sur la structure Active Directory de lensemble de la fort, telles que les domaines et les sites existants, les contrleurs de domaine existants dans chaque fort et les services disponibles. Les donnes de la configuration sont rpliques dans tous les contrleurs de domaine de la fort.

La partition de domaine
16. La conception de la topologie de sites Chaque fort peut avoir plusieurs partitions de domaine. Elles sont stockes dans chaque contrleur de domaine dun domaine donn. Une partition de domaine contient les donnes sur tous les objets propres au domaine et crs dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les units dorganisation. Une partition de domaine est rplique dans tous les contrleurs de domaine du domaine considr. Tous les objets de chaque partition de domaine dune fort sont stocks dans le catalogue global avec un seul sous-ensemble de leurs valeurs dattribut.

La partition dapplication
Les partitions dapplication stockent les donnes sur les applications dans Active Directory. Chaque application dtermine comment elle stocke, classe et utilise ses propres donnes. Pour viter toute rplication inutile des partitions dapplication, vous pouvez dsigner les contrleurs de domaine qui en hbergent dans une fort. la 570

Les mcanismes de conception : dfinitions

diffrence dune partition de domaine, une partition dapplication ne peut pas stocker les principaux objets de scurit, tels que les comptes dutilisateur. De plus, les donnes contenues dans une partition dapplication ne sont pas stockes dans le catalogue global. Par exemple, si vous utilisez le systme DNS intgr Active Directory, vous avez deux partitions dapplication pour les zones DNS : ForestDNSZones et DomainDNSZones.
j

ForestDNSZones fait partie dune fort : tous les contrleurs de domaine et les serveurs DNS dune fort reoivent un rplica de cette partition. Une partition dapplication dune fort entire stocke les donnes de la zone de la fort. DomainDNSZones est unique pour chaque domaine : tous les contrleurs de domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de cette partition. Les partitions dapplication stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>.

Chaque domaine possde une partition DomainDNSZones, mais il nexiste quune partition ForestDNSZones. Aucune donne DNS nest rplique sur le serveur de catalogue global.

Le numro de squence de mise jour (USN)

Limplmentation dun annuaire implique la mise en place dun mcanisme afin de grer le stockage incrmentiel des modifications apportes aux objets de lannuaire. En effet, le moindre changement de mot de passe doit pouvoir tre transmis tous les contrleurs de domaine. Ce systme doit pouvoir tre slectif en cas de changements portant sur une mme proprit dobjet pour nappliquer que le plus rcent. Certains services dannuaire sappuient sur une synchronisation en temps rel de tous les contrleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrleurs de domaine entre eux, savre difficile grer. La plus faible variation peut influencer les rsultats de la rplication. La rponse ce problme est le concept de numro de squence de mise jour (USN, Update Sequence Number). Active Directory lutilise pour assurer une application exacte des changements de lannuaire. Un USN est une valeur de 64 bits et tous les contrleurs de domaine en possdent un. Chaque modification dune proprit dobjet dans un annuaire (un changement de mot de passe par exemple) entrane une incrmentation de lUSN du contrleur de domaine en question. Chaque contrleur de domaine possde galement une copie du dernier USN reu par les autres contrleurs. Grce cette technique, les mises jour sont plus directes. Prenons lexemple de Puzzmania : lorsque le contrleur de domaine racine de la fort SNCERCDC01 sollicite du contrleur de domaine SNCERCDC02 la rplication des modifications de ce dernier (cration dutilisateurs), il extrait de sa table de rfrence interne lUSN de SNCERCDC02 le plus rcent reu et ne rclame que les changements intervenus depuis ce numro. La simplicit de cette opration garantit la justesse du processus. Lintgrit de la rplication est garantie car lincrmentation dun USN est dpendante de la russite dune mise jour. Si un problme vient entraver un cycle de rplication, le rcepteur concern recherche toujours une mise jour partir de lUSN appropri. 571

16. La conception de la topologie de sites

Chapitre 16

La conception de la topologie de sites

Il est inutile de vous inquiter des risques ventuels dpuisement de la rserve dUSN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu 18 446 744 073 709 551 616 changements par contrleur de domaine.

La collision de rplication
Mme avec le mcanisme de numro de squence de mise jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la fort puzzmania .com rinitialise un mot de passe sur SNCERCDC01 et quun autre administrateur rinitialise le mme mot de passe sur SNCERCDC02 avant que SNCERCDC01 nait eu loccasion de distribuer sa modification, il y a invitablement collision. Ce problme est rsolu grce un numro de version de proprit (PVN, Property Version Number). Il est appliqu en tant quattribut chaque objet dans Active Directory et est mis jour et horodat en squence chaque fois quune modification est apporte lobjet. Si une collision de rplication se produit, le PVN le plus rcent a priorit et le mot de passe associ est affect lutilisateur.

Lobjet connexion
Un objet connexion est un objet Active Directory qui reprsente une connexion de rplication dun contrleur de domaine un autre. Un contrleur de domaine est un membre dun unique site et est reprsent dans le site par un objet serveur dans Active Directory. Chaque objet serveur possde un objet NTDS Settings enfant qui reprsente le contrleur de domaine rpliquant dans le site.

16. La conception de la topologie de sites

Figure 16.7 : Objet serveur de type contrleur de domaine et objet NTDS Settings vus par le

composant logiciel enfichable Sites et services Active Directory 572

Les mcanismes de conception : dfinitions

Lobjet connexion est un enfant de lobjet NTDS Settings du serveur de destination. Pour que la rplication intervienne entre deux contrleurs de domaine, lobjet serveur de lun doit avoir un objet connexion qui identifie le serveur source de rplication. Toutes les connexions de rplication dun contrleur de domaine sont stockes sous la forme dobjets de connexion sous lobjet NTDS Settings. Lobjet connexion identifie le serveur source de rplication, contient une planification de rplication et spcifie un transport de rplication. Le vrificateur de cohsion de connaissances (KCC, Knowledge Consistency Checker) cre automatiquement des objets de connexion, qui peuvent aussi tre crs manuellement. chaque fois que vous modifiez un objet de connexion cr par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.

Les protocoles de transport de rplication

Active Directory utilise la technologie dappel de procdure distante RPC (Remote Procedure Call) sur le protocole IP pour transfrer les donnes de rplication entre les contrleurs de domaine. Les rplications intersite et intrasite se servent de RPC sur IP. Pour assurer la scurit des donnes en transit, la rplication RPC sur IP fait appel la fois lauthentification (protocole Kerberos v5) et au cryptage des donnes. Si aucune connexion directe ou IP fiable nest disponible, la rplication intersite peut tre configure pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalit de rplication SMTP est limite et ncessite une autorit de certification dentreprise. SMTP ne peut tre utilis que pour rpliquer les partitions de configuration, de schma et dapplication de lannuaire ; il ne prend pas en charge la rplication des partitions de domaine.

Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intgr qui sexcute sur tous les contrleurs de domaine et gnre la topologie de rplication pour la fort. Il cre des topologies de rplications intrasite et intersite spares. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont dplacs dun site un autre, des modifications de cots, des planifications. KCC et ISTG Le KCC cre des objets de connexion afin de relier les contrleurs de domaine au sein dune topologie commune. Il comprend deux composants : un contrleur intrasite KCC, qui se charge de la rplication lintrieur dun site, et le gnrateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui cre les objets de connexion entre sites.

16. La conception de la topologie de sites 573

Chapitre 16

La conception de la topologie de sites

Dans Windows Server 2003, ISTG a t amlior et peut maintenant grer jusqu 5000 sites. Toutefois, vous ne pourrez bnficier des amliorations apportes ISTG que lorsque le niveau fonctionnel de la fort sera pass en mode Windows Server 2003. Sur chaque contrleur de domaine, le KCC cre des itinraires de rplication en crant des objets de connexion entrante unidirectionnelle qui dfinissent des connexions depuis dautres contrleurs de domaine. Pour les contrleurs de domaine dans le mme site, le KCC cre des objets de connexion de manire automatique. Lorsque vous possdez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de crer automatiquement les connexions intersites.

Fonctionnalit de basculement
Les sites garantissent que les donnes de rplication sont routes mme en cas de pannes rseau et de pannes des contrleurs de domaine. Le KCC sexcute des intervalles spcifis afin dajuster la topologie de rplication pour ladapter aux modifications qui interviennent dans Active Directory (par exemple, en cas dextension de la socit, lorsque de nouveaux contrleurs de domaine sont ajouts ou lorsque de nouveaux sites sont crs). Le KCC vrifie le statut de rplication des connexions existantes afin de dterminer si des connexions ont cess de fonctionner. Si une connexion ne fonctionne pas cause dun contrleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de rplication (sil en existe) afin de sassurer que la rplication peut soprer. Si tous les contrleurs de domaine dans un site sont indisponibles, le KCC cre automatiquement des connexions de rplication avec les contrleurs de domaine dun autre site.

Le sous-rseau
16. La conception de la topologie de sites Un sous-rseau est un segment dun rseau TCP/IP auquel un ensemble dadresses IP logiques est attribu. Les sous-rseaux regroupent des ordinateurs en fonction de leur proximit physique sur le rseau. Dun point de vue Active Directory, les objets de sous-rseau identifient les adresses rseau qui sont utilises pour mettre en correspondance les ordinateurs avec les sites.

574

Les mcanismes de conception : dfinitions

Figure 16.8 : Les sous-rseaux vus par le composant logiciel enfichable Sites et services

Active Directory

Les sites
Les sites correspondent un ou plusieurs sous-rseaux TCP/IP dots de connexions rseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer laccs et la rplication Active Directory afin doptimiser lutilisation du rseau physique. Les sites sont reprsents dans Active Directory sous la forme dobjets de site. Les objets de site sont des ensembles de sous-rseaux et chaque contrleur de domaine dans la fort est associ un site Active Directory en fonction de son adresse IP. Les sites peuvent hberger des contrleurs de domaine de plusieurs domaines et un domaine peut tre reprsent dans plusieurs sites.

16. La conception de la topologie de sites

Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory

575

Chapitre 16

La conception de la topologie de sites

Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour tablir une connexion pour la rplication Active Directory. Ils sont stocks dans Active Directory sous la forme dobjets de lien de sites. Un tel objet reprsente un ensemble de sites qui peuvent communiquer cot uniforme via un transport intersite spcifi.

Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services

Active Directory Tous les sites contenus dans un lien sont considrs comme connects au sein dun mme type de rseau. On relie manuellement les sites en utilisant des liens de sorte que les contrleurs de domaine dans un site puissent rpliquer les modifications de lannuaire vers les contrleurs de domaine dun autre site. tant donn que les liens de sites ne correspondent pas au chemin effectif pris par les paquets rseau sur le rseau physique durant la rplication, vous navez pas besoin de crer des liens redondants pour amliorer lefficacit de la rplication Active Directory. Lorsque deux sites sont connects par un lien, le systme de rplication cre automatiquement des connexions entre des contrleurs de domaine spcifiques dans chaque site, appels "serveurs tte de pont". Dans Windows Server 2003, le KCC peut dsigner plusieurs contrleurs de domaine par site hbergeant la mme partition dannuaire comme candidat au rle de serveur tte de pont. Les connexions de rplication cres par le KCC sont alatoirement rparties entre tous les serveurs tte

16. La conception de la topologie de sites 576

Les mcanismes de conception : dfinitions

de pont candidats dans un site afin que la charge de rplication soit partage. Par dfaut, le processus de slection alatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajouts au site. Toutefois, vous pouvez excuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appel "ADLB" (Active Directory Load Balancing) pour rquilibrer la charge chaque fois quune modification intervient dans la topologie des sites ou que le nombre de contrleurs de domaine du site varie. En outre, ADLB peut chelonner les planifications de manire que la charge de rplication sortante pour chaque contrleur de domaine soit rpartie de faon gale au fil du temps. Interrogez laide de lutilitaire ADLB afin dobtenir ses diffrentes options.

Pont de liaison de sites

Un pont de liaison de sites est un objet Active Directory qui reprsente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrleurs de domaine qui ne sont pas directement connects au moyen dun lien de communication doprer des rplications intersites. En gnral, un pont de liaison correspond un routeur (ou un ensemble de routeurs) dun rseau IP. En pratique, vous pourrez crer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en dployant le conteneur Inter-Site Transports, en slectionnant le protocole de transport souhait, puis en cliquant sur Action et Nouveau pont entre liens de sites.
Figure 16.11 : Cration dun pont de liaison de sites laide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites

Par dfaut, le KCC peut former un itinraire transitif via les liens de sites qui possdent certains sites en commun. Si ce comportement est dsactiv, chaque lien de sites 577

Chapitre 16

La conception de la topologie de sites

reprsente son propre rseau distinct isol. Les ensembles de liens de sites qui peuvent tre traits comme un unique itinraire sont reprsents sous la forme de ponts de liaison de sites. Chaque pont reprsente un environnement de communication isol pour le trafic rseau. Les ponts de liaison permettent de reprsenter logiquement la connectivit physique transitive entre les sites. Chaque pont permet au KCC dutiliser nimporte quelle combinaison de liens de sites inclus pour dterminer litinraire le moins coteux lorsquil sagit dinterconnecter des partitions dannuaires conserves dans ces sites. Le pont ne fournit lui-mme aucune connectivit aux contrleurs de domaine. Sil est supprim, la rplication sur les liens de sites combins se poursuit jusqu ce que le KCC supprime les liens. Les ponts ne sont ncessaires que si un site contient un contrleur de domaine hbergeant une partition dannuaire qui nest pas galement hberge par un contrleur de domaine dans un site adjacent. Les sites adjacents sont dfinis comme tant inclus dans un unique lien de sites. Le pont cre une connexion logique entre deux liens de sites dconnects, qui fournit un chemin transitif via un site intrimaire. Pour les besoins du gnrateur de topologie intersite (ISTG, Intersite Topology Generator), le pont nimplique pas quun contrleur de domaine dans le site intrimaire fournisse le chemin de rplication. Toutefois, ce serait le cas si le site intrimaire contenait un contrleur de domaine qui hbergeait la partition dannuaire rpliquer ; un pont ne serait alors pas requis. Le cot de chaque lien de sites est additionn jusqu former une somme totale pour le chemin rsultant. Le pont serait utilis si le site intrimaire ne contenait pas un contrleur hbergeant la partition dannuaire et sil nexistait aucun lien de cot plus faible. Si le site intrimaire contenait un contrleur qui hberge la partition dannuaire, deux sites dconnects configureraient des connexions de rplication pour le contrleur de domaine intermdiaire et nutiliseraient pas le pont.

Transitivit des liens de sites

16. La conception de la topologie de sites Par dfaut, tous les liens de sites sont transitifs. Lorsquils sont relis par un pont et que les planifications se chevauchent, le KCC cre des connexions de rplication qui dterminent les partenaires de rplication intersite des contrleurs de domaine. Dans ce contexte, les sites sont connects, non pas directement par des liens, mais de manire transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter nimporte quel site nimporte quel autre via une combinaison de liens. En gnral, pour un rseau compltement rout, vous navez pas besoin de crer de ponts, moins de vouloir contrler le flot des changements de rplication. Tous les liens de sites pour un transport spcifique appartiennent implicitement un unique pont. La mise en pont par dfaut des liens de sites survient automatiquement et aucun autre objet Active Directory ne reprsente ce pont. Le paramtre Relier tous les liens du site

578

Les mcanismes de conception : dfinitions

disponible dans les proprits des conteneurs de transport intersite IP et SMTP implmente les ponts de liaison de sites.

Serveur de catalogue global

Un serveur de catalogue global est un contrleur de domaine qui stocke des informations concernant tous les objets de la fort, mais pas les attributs, afin que les applications puissent effectuer des recherches dans lannuaire Active Directory sans avoir se rfrer des contrleurs de domaine spcifiques qui stockent les donnes requises. Comme tous les contrleurs de domaine, le serveur de catalogue global stocke des rplicas complets et enregistrables du schma et de la configuration des partitions dannuaire ainsi quun rplica complet et enregistrable de la partition dannuaire du domaine qui lhberge. Il est possible de configurer le contrleur qui sera serveur de catalogue global laide du composant logiciel enfichable Sites et services et des proprits de lobjet NTDS Settings de lobjet contrleur de domaine.
Figure 16.12 : Configuration du serveur de catalogue global laide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites

Mise en cache de lappartenance aux groupes universels

Un contrleur de domaine peut mettre en cache les informations dappartenance aux groupes universels. Sur les contrleurs de domaine excutant Windows Server 2003, vous pouvez activer cette fonctionnalit laide du composant logiciel enfichable Sites et services Active Directory, via les proprits de lobjet NTDS Settings du site.

579

Chapitre 16

La conception de la topologie de sites

Figure 16.13 : Configuration de la mise en cache de lappartenance aux groupes universels laide du composant logiciel enfichable Sites et services Active Directory

La mise en cache de lappartenance aux groupes universels vite quun serveur de catalogue global soit requis dans chaque site dun domaine. Lutilisation de la bande passante rseau est ainsi minimise car il nest pas ncessaire quun contrleur de domaine rplique tous les objets situs dans la fort. Les temps dauthentification sont galement rduits, car les contrleurs de domaine qui authentifient nont pas toujours besoin daccder un catalogue global pour obtenir des informations dappartenance aux groupes universels.

16.2. Collecter les informations sur le rseau

16. La conception de la topologie de sites Cette tape, trs importante, permet de se faire une meilleure ide de ce qui va tre mis en place par la suite et de reprer des points de contention ou difficults dues au rseau physique. Pour synthtiser ces informations, vous devez
j

Crer une carte des emplacements : il sagit de lister les sites gographiques et les groupes dordinateurs sur un rseau local dans le but de schmatiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra dattirer lattention sur les sites relis par des lignes bas dbit, par exemple. Lister les sous-rseaux IP chaque emplacement : il sagit de relever les sous-rseaux IP et les masques associs afin de dterminer la configuration des sites dans Active Directory.

j j

580

Prvoir lemplacement des contrleurs de domaine

Tableau 16.1 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,

Toulouse, Londres et Nice R&D pour Puzzmania

Site gographique Nice Toulouse Paris Londres Nice R&D Numro de sous-rseau 1 2 3 4 5 Adresse du sousrseau 172.100.0.0 172.100.16.0 172.100.32.0 172.100.48.0 172.100.64.0 Adresses IP des machines 172.100.0.1 172.100.15.254 172.100.16.1 172.100.31.254 172.100.32.1 172.100.47.254 172.100.48.1 172.100.63.254 172.100.64.1 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255

Active Directory associe chaque machine un site spcifique en comparant ladresse IP de la machine avec les sous-rseaux associs chaque site. Lorsque vous ajoutez des contrleurs un domaine, Active Directory examine galement leur adresse IP et les place dans le site appropri. Ce processus est automatique.
j

Lister les domaines et le nombre dutilisateurs pour chaque emplacement : cette information est un des facteurs qui dtermine le placement des contrleurs de domaine et des serveurs de catalogue global.

Lassociation des informations sur les sous-rseaux IP, la bande passante et les emplacements va dterminer la configuration de rplication.

16.3. Prvoir lemplacement des contrleurs de domaine

Grce aux informations recueillies par la collecte des informations sur le rseau, vous pourrez dterminer quel endroit il sera judicieux dinstaller un contrleur de domaine. 16. La conception de la topologie de sites Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rles dvolus aux contrleurs de domaine :
j j j j

les contrleurs de domaine racine de la fort ; les contrleurs de domaine rgionaux (les contrleurs de domaine des domaines enfants) ; les contrleurs de domaine qui sont aussi serveurs de catalogue global ; les contrleurs de domaine ayant des rles matres dopration particuliers.

Dune manire gnrale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa scurit physique. 581

Chapitre 16

La conception de la topologie de sites

Prvoir lemplacement des contrleurs de domaine racine de la fort

Les contrleurs de domaine racine de la fort sont cruciaux dans linfrastructure. Sans eux, il est difficile daller plus loin. Ils doivent donc tre situs plutt des emplacements qui hbergent des centres de donnes ou des emplacements principaux de la socit, l o se trouvent les personnes les plus comptentes. Ces personnes doivent avoir mis en place et dcrit des procdures de sauvegarde et de restauration dActive Directory prouves.

Pour plus dinformations sur les techniques de sauvegarde et de restauration dActive Directory, consultez le chapitre La maintenance dActive Directory. Les contrleurs de domaine racine de la fort doivent tre placs sur un site gographique qui possde des liens distants suffisamment rapides pour rpliquer correctement les donnes dannuaire vers les autres sites. Les lignes daccs distants vers les contrleurs de domaine racine de la fort doivent tre les plus stables possibles. Les administrateurs de linfrastructure de Puzzmania dcident donc, daprs ces caractristiques, de placer les contrleurs de domaine racine de la fort puzzmania.com sur le site gographique de Nice. Cest cet endroit que se trouvent les personnes les plus comptentes et aussi les locaux les plus scuriss, notamment en raison de lactivit de recherche et de dveloppement. Le site de Nice est en outre un point nvralgique du rseau. Les contrleurs de domaine en question sappellent SNCERCDC01 et SNCERCDC02.

Prvoir lemplacement des contrleurs de domaine rgionaux

Les contrleurs de domaine rgionaux soccupent des domaines fils du domaine racine de la fort.
Figure 16.14 : Schma de reprsentation de la fort puzzmania.com

16. La conception de la topologie de sites 582

Prvoir lemplacement des contrleurs de domaine

Ici, corp.puzzmania.com et rd.puzzmania.com sont considrs comme des domaines rgionaux contenant des contrleurs de domaine rgionaux. Il faut prvoir de les positionner, pour chaque domaine reprsent, aux emplacements principaux. Limitez leur nombre autant que possible pour rduire les cots. Le fait dliminer des contrleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent quune poigne de personnes) rduit les cots de maintenance des contrleurs de domaine distance. Combien existe-t-il de contrleurs de domaine de secours ? Outre le placement de ces contrleurs de domaine, posez-vous la question du nombre de contrleurs de domaine de secours dont vous avez besoin pour un domaine donn. tes-vous prt navoir quun seul contrleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problme ? Prfrez-vous placer un, voire deux contrleurs de domaine de secours, quitte ce quils soient sur des sites distants, pour modrer limpact dun arrt dun contrleur de domaine, mme si les authentifications sont plus lentes, et viter une ventuelle indisponibilit totale du domaine ? vous de faire la part des choses en vous aidant des informations collectes sur le rseau et en tenant compte galement du nombre dutilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le dploiement dapplications. Quel sera limpact sur les postes clients en cas dindisponibilit du domaine ? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre dmarche.

16. La conception de la topologie de sites

Figure 16.15 : Prvoir lemplacement des contrleurs de domaine rgionaux

583

Chapitre 16

La conception de la topologie de sites

En recoupant les informations, les administrateurs de linfrastructure des domaines corp.puzzmania.com et rd.puzzmania.com dcident de placer les contrleurs de domaine de la faon suivante
j

Pour corp.puzzmania.com : trois contrleurs seront installs et configurs, un dans chaque site gographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on rduit les cots en prenant le risque de ne mettre quun contrleur par site gographique et de subir des ralentissements, et la faisabilit car on tient compte du nombre dutilisateurs et de ressources. Pour rd.puzzmania.com : deux contrleurs seront installs et configurs sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront scuriss (il y en aura deux pour viter les arrts de service et ils seront installs dans une salle informatique scurise, et donc situe Nice). En outre, les utilisateurs qui sy connecteront sont situs Nice.

Prvoir lemplacement des serveurs de catalogue global

Les serveurs de catalogue global facilitent les requtes dauthentification des utilisateurs et les recherches portant sur la fort entire. Certaines applications, comme Exchange et les applications utilisant DCOM (Distributed COM), ncessitent un accs rapide aux serveurs de catalogue global afin de rpondre aux transactions utilisateurs sans effet de latence. Cela signifie quil faut au moins un serveur de catalogue global sur le mme site que le serveur applicatif. Pour des emplacements qui incluent moins de cent utilisateurs et peu dutilisateurs itinrants ou dapplications qui requirent un serveur de catalogue global, vous pouvez activer la mise en cache de lappartenance aux groupes universels. Assurez-vous que les serveurs de catalogue global ne se trouvent pas plus dun saut de rplication du contrleur de domaine sur lequel la mise en cache de lappartenance aux groupes universels est active, de manire que les informations de groupe universel dans le cache puissent tre actualises. 16. La conception de la topologie de sites Afin de dterminer quel emplacement vous devez mettre vos serveurs de catalogue global ou si vous devez activer la mise en cache de lappartenance aux groupes universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16). Revenons Puzzmania. Cest le nombre dapplications ncessitant un accs rapide aux serveurs de catalogue global qui dtermine combien et quels contrleurs de domaine doivent tre configurs comme serveurs de catalogue global :
j j j j

SNCERCDC01 (racine puzzmania.com) ; SNCECPDC01 (corp.puzzmania.com) ; SPARCPDC01 (corp.puzzmania.com) ; SNCERDDC01 (rd.puzzmania.com).

584

Prvoir lemplacement des contrleurs de domaine

16. La conception de la topologie de sites

Figure 16.16 : Prvoir lemplacement des serveurs de catalogue global

Dterminer lemplacement des rles matres dopration

Trois rles matres dopration existent dans chaque domaine :
j

Lmulateur de contrleur de domaine principal (CPD) traite toutes les requtes de rplication provenant de contrleurs de domaine secondaires Windows NT 4.0

585

Chapitre 16

La conception de la topologie de sites

Server et toutes les mises jour de mots de passe pour les clients qui nexcutent pas le logiciel client Active Directory (Windows 95 par exemple).
j

Le matre dID relatifs alloue des ID relatifs tous les contrleurs de domaine pour garantir que tous les principaux de scurit (les identifiants de scurit) possdent un identifiant unique. Le matre dinfrastructure dun domaine conserve une liste des principaux de scurit dautres domaines qui sont membres de groupes dans son propre domaine.

Deux rles matres dopration existent dans chaque fort :

j j

Le matre de schma rgit les modifications du schma. Le matre dattribution de noms de domaine ajoute et supprime des domaines la fort. Matre de schma Avant douvrir le composant logiciel enfichable Schma Active Directory, qui permet dattribuer le rle matre de schma, noubliez pas denregistrer la DLL schmmgmt .dll de la faon suivante : cliquez sur Dmarrer/Excuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schma Active Directory condition davoir les droits ncessaires.

Les dtenteurs des rles matres dopration sont dsigns automatiquement lorsque le premier contrleur de domaine dans un domaine est cr. Les deux rles de niveau fort sont attribus au premier contrleur de domaine cr dans la fort et les trois rles de niveau domaine sont attribus au premier contrleur de domaine cr dans le domaine. Dsignez ces contrleurs de domaine, puis ceux qui seront matres dopration remplaants. Assurez-vous que le matre doprations remplaant est un partenaire de rplication direct du matre dopration titulaire. Dans un modle de fort comprenant des domaines pre et fils, veillez ce que le contrleur matre dinfrastructure ne soit pas galement serveur de catalogue global. Une pratique courante est de placer, dans un domaine donn, tous les rles matres dopration sur le premier contrleur install et de dsigner le contrleur de domaine de secours comme serveur de catalogue global. Cest un choix possible. Dans un modle domaine unique, laissez le rle matre dinfrastructure au premier contrleur de domaine et configurez tous les autres, mme le premier, comme serveurs de catalogue global. En effet, le rle de matre dinfrastructure est sans importance dans un modle domaine unique parce que les principaux de scurit des autres domaines nexistent pas. La rpartition des matres dopration est intressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de lquilibre de charge et des bonnes coutumes de placement des matres dopration. Voici un tableau synthtisant les rles tenus par les contrleurs de domaine de la fort puzzmania.com.

16. La conception de la topologie de sites 586

Concevoir des sites

Tableau 16.2 : Emplacement des matres dopration dans la fort puzzmania.com

Localisation Rles matres dopration de la fort Contrleur de domaine Matre de schma Rles matres dopration du domaine Matre dID relatifs (RID) Oui Non Non Non Oui Oui Non Matre dinfrastructure Paramtre de site Serveur de catalogue global Oui Non Oui Non Oui Oui Non

Domaine

Matre mulateur dattribution CPD de noms de domaine Non Oui Non Non Non Non Non Oui Non Oui Non Non Oui Non

puzzmania.com SNCERCDC01 SNCERCDC02 corp.puzzmania SNCECPDC01 .com STLSCPDC01 SPARCPDC01 rd.puzzmania .com SNCERDDC01 SNCERDDC02

Non Oui Non Non Non Non Non

Non Oui Non Oui Non Non Oui

16.4. Concevoir des sites

Une fois les contrleurs de domaine dfinis et placs sur le rseau, vous devez maintenant en crer les sites dans Active Directory. Pour cela, respectez les conseils suivants :
j

Crez des sites pour tous les emplacements dans lesquels vous prvoyez de placer des contrleurs de domaine (utilisez les informations rcoltes lors de la phase de prvision des emplacements des contrleurs de domaine). Crez des sites pour les emplacements qui incluent des serveurs excutant des applications qui requirent quun site soit cr (par exemple DFS). Si un site nest pas requis, ajoutez le sous-rseau associ un site pour lequel lemplacement possde la vitesse et la bande passante disponible intersite maximales. 16. La conception de la topologie de sites

j j

Cest laide du composant logiciel enfichable Sites et services Active Directory que vous crerez les sites.

Pour plus dinformations sur les oprations pratiques raliser laide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre Ladministration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration applique Puzzmania est trs simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont crs. Mme sil ny a aucun contrleur de domaine Londres, cela ne cote pas grand-chose danticiper lavenir.

587

Chapitre 16

La conception de la topologie de sites

16.5. Concevoir les liens de sites

Maintenant que les contrleurs de domaine sont positionns et que les sites sont crs dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de manire que lesdits contrleurs dans chaque site puissent rpliquer les modifications dActive Directory. En vous aidant des informations collectes sur le rseau, notamment de la liste des liens de communication et de la bande passante, "superposez" les sites gographiques, les liens de communication, les sites Active Directory et dduisez-en les sites relier et les liens mettre en place. Une fois les liens de sites positionns, vous devez les pondrer. En effet, dun point de vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique premire vue nimporte quel autre lien. Or, lorsque vous superposez les liens de sites et les liens de communication entre les sites gographiques, vous vous apercevez immdiatement de leurs diffrences (certains sont 56 ko et dautres 4 Mo par exemple). Il faut en fait tenir compte de la notion de cot dans Active Directory afin de pondrer les liens de sites. Comment dterminer le cot dun lien de sites ? Il faut savoir que le cot permet de valoriser les connexions peu coteuses (rapides) par rapport aux connexions plus coteuses (lentes) dans le but dencombrer le moins possible les liens rseau lents pendant les requtes clients ou la rplication dActive Directory. Par exemple : un contrleur de domaine dun site qui est reli plusieurs autres sites par des liens dbits diffrents rpliquera en priorit les informations vers les contrleurs de domaine situs sur les sites o le lien de sites est le moins coteux. Pour savoir comment affecter un cot un lien de sites par rapport aux caractristiques du lien de communication, aidez-vous du tableau des valeurs de cot suivant :
Tableau 16.3 : Tableau des valeurs de cot en fonction de la bande passante disponible Bande passante disponible (Ko/s) 9,6 19,2 38,4 56 64 128 256 512 1024 2048 4096 Cot 1042 798 644 586 567 486 425 378 340 309 283

16. La conception de la topologie de sites 588

Concevoir les liens de sites

Figure 16.17 : Affectation du cot dun lien de sites laide du composant logiciel enfichable Sites et services Active Directory

Des liens de sites sont donc crs entre les diffrents sites de linfrastructure Puzzmania. En correspondance avec le schma rseau, un cot de 283 est paramtr sur les liens Nice-Paris et Nice-Toulouse. Un cot de 309 est paramtr sur le lien Toulouse-Paris. Ltape logique qui vient aprs la dtermination du cot du lien de sites est la planification des horaires de rplication entre les deux sites relis. Vous avez la possibilit de dterminer les heures auxquelles la rplication va se drouler en fonction de la qualit du lien de sites (et par extension, de la qualit du lien de communication). Pour rgler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.
Figure 16.18 : Rglage des horaires de rplication laide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites 589

Chapitre 16

La conception de la topologie de sites

En fonction des heures travailles, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la rplication de 7 heures 12 heures et de 14 heures 20 heures. Cela permettra de rserver le WAN dautres usages.

16.6. Concevoir les ponts de liaison de sites

Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de sites ou plus. Il active la transitivit entre les liens. Chaque lien dans un pont doit avoir un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut calculer le cot entre les sites dans le lien et les sites dans les autres liens du pont. Par dfaut, tous les liens de sites sont transitifs. Le paramtre Relier tous les liens du site est en effet activ par dfaut. Crer un pont correspond dsactiver cette option pour certains liens de sites et activer la transitivit pour les liens de sites que lon slectionne. Dans quels cas devez-vous crer un pont ?
j j

Pour pallier le fait que le rseau IP nest pas compltement rout. Pour contrler le flux de rplication dActive Directory, soit parce que la rplication seffectue au travers dun pare-feu, soit parce que vous voulez contrler le basculement de la rplication lors dune panne dun contrleur de domaine.

16. La conception de la topologie de sites

Figure 16.19 : Schma de pont de liaison de sites

590

En rsum

Dans cet exemple, ce pont empchera la rplication des contrleurs de domaine des sites A, C et D vers le reste du rseau en cas de panne du contrleur du site B. Linfrastructure de Puzzmania nest pas assez complexe pour ncessiter la cration de ponts de liaison de sites.

16.7. En rsum
Ce chapitre aborde les aspects thoriques de la conception de la topologie de sites. Il prsente des dfinitions, une mthodologie mais galement des rgles incontournables de bon fonctionnement. Si vous respectez cette mthodologie et ces rgles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la rplication des informations dannuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcment plusieurs solutions, plusieurs configurations qui rpondront correctement vos besoins en respectant la mthodologie et les rgles. Dautres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la rduction des cots. En ce sens, il est intressant de mettre en parallle les rgles de conception et ltude de cas car, durant la lecture de ce chapitre, vous vous tes srement dit que vous auriez procd autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranch, ils ont fait des compromis et vous serez amen en faire de votre ct.

16. La conception de la topologie de sites 591