Professional Documents
Culture Documents
expression "topologie des sites" dsigne la reprsentation logique du rseau physique. La conception dune topologie de sites permet de router efficacement les requtes clients et le trafic de rplication dActive Directory. Lorsquelle est russie, elle offre les avantages suivants :
j j j j
une diminution du cot de la rplication des donnes Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la rplication pendant les heures creuses pour les emplacements quips de liens rseau lents ou de connexions distance ; une optimisation de la localisation des ressources les plus proches (contrleurs de domaine, serveurs DFS), une amlioration des processus douverture et de fermeture de session et une amlioration des oprations de tlchargement de fichiers.
En outre, elle permet une meilleure visibilit sur le projet de dploiement dActive Directory. Une conception de topologie de sites russie permet aussi davoir les ides claires avant daborder des aspects plus techniques. Une rflexion sur les aspects concrets que sont la structure physique du rseau et lobjectif dentreprise dans ce projet est cruciale : cest le moyen dviter les ennuis techniques par la suite. Bien que ce chapitre soit plus thorique que pratique, notamment en ce qui concerne la mise en place dActive Directory chez Puzzmania, il est indispensable daborder ce sujet au pralable afin dviter de prendre une mauvaise direction. La conception dune topologie de sites Active Directory inclut la comprhension de la structure physique du rseau, la planification du placement des contrleurs de domaine, la conception des sites, des sous-rseaux, des liens de sites et des ponts de liaison de sites pour assurer lefficacit du routage des requtes et du trafic de rplication. Voici la description du processus de conception dune topologie de sites :
Avant dexaminer chaque point, familiarisez-vous avec les concepts relatifs aux sites.
565
Chapitre 16
mauvaise opinion de la nouvelle infrastructure si vous ne matrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adquate. Pour ce faire, vous devez connatre un minimum de dfinitions techniques.
Routage de la rplication
Active Directory utilise un modle de rplication multimatre afin de rpliquer dun contrleur de domaine un autre. Cela signifie quun contrleur de domaine communique les modifications de lannuaire un deuxime contrleur, qui les communique un troisime, et ainsi de suite, jusqu ce que tous les contrleurs de domaine soient informs des modifications. Afin dobtenir le meilleur quilibre possible entre la rduction de la latence de rplication et la rduction du trafic, la topologie des sites contrle la rplication Active Directory en distinguant la rplication qui intervient au sein dun site et celle qui intervient entre les sites distants. lintrieur dun mme site, la rplication, dite rplication intrasite, est optimise en termes de vitesse. En pratique, vous trouverez et pourrez configurer lobjet de connexion de rplication dans le composant logiciel enfichable Sites et services Active Directory en dployant lobjet contrleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :
Bote de dialogue dun objet de connexion de rplication intrasite du composant logiciel enfichable Sites et services Active Directory
566
Une mise jour de donnes dannuaire, la cration dun compte par exemple, dclenche la rplication et les donnes sont transmises non compresses aux autres contrleurs de domaine. linverse, on compresse les donnes dans le cadre dune rplication entre des sites distants afin de minimiser le cot de transmission sur les liens distants. Lorsque la rplication intervient entre des sites, un unique contrleur par domaine sur chaque site collecte et stocke les modifications de lannuaire et les communique intervalles planifis un contrleur de domaine dun autre site.
Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services
Active Directory
567
Chapitre 16
Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilis pour localiser les contrleurs de domaine Active Directory. En trouvant un contrleur de domaine sur son site, le client spargne les communications par les liens distants. Mais il est possible quil nen trouve pas. Dans ce cas, un contrleur de domaine qui possde les connexions de plus faible cot par rapport aux autres sites connects publis sur le site du client (enregistre via un enregistrement de ressources SRN spcifique au site dans le DNS). Les contrleurs de domaine publis dans le DNS sont ceux du site le plus proche selon ce qui est configur dans la topologie. Ce processus garantit que chaque site possde un contrleur de domaine prfr pour lauthentification.
Rplication Sysvol
Le volume systme Sysvol est une arborescence de dossiers qui se trouve sur chaque contrleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par dfaut pour les fichiers qui doivent tre rpliqus dans un domaine, cest--dire les objets de stratgie de groupe, les scripts de dmarrage et de fermeture ainsi que les scripts douverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrleur de domaine.
Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com
Windows Server 2003 utilise le service de rplication de fichiers (FRS, File Replication Service) pour rpliquer les modifications apportes au contenu de Sysvol dun contrleur de domaine vers un autre. Le service FRS rplique ces modifications en fonction de la planification que vous crez durant la conception de la topologie des sites. 16. La conception de la topologie de sites
568
Localisation de services
En publiant des services comme les services de fichiers et dimpression dans Active Directory, vous permettrez aux clients de localiser les services quils requirent dans leur propre site ou dans le site le plus proche. Les services dimpression, par exemple, utilisent lattribut demplacement stock dans Active Directory pour permettre aux utilisateurs de parcourir le rseau la recherche dimprimantes en fonction de leur emplacement, mme sils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configures pour ce site apparaissent en rsultat.
Figure 16.5 :
la partition de schma ; la partition dannuaire ; la partition de la configuration ; la partition du domaine ; la partition dapplication. 16. La conception de la topologie de sites
La partition dannuaire
Chaque partition est une unit de rplication et possde sa propre topologie de rplication. La rplication est excute entre les rplicas des partitions dannuaire. Tous les contrleurs de domaine de la mme fort ont au moins deux partitions dannuaire en commun : celles du schma et de la configuration. De plus, ils partagent une partition de domaine commune. 569
Chapitre 16
La partition de schma
Chaque fort possde une seule partition de schma. Cette partition de schma est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient les dfinitions de tous les objets et attributs crs dans lannuaire, ainsi que les rgles qui permettent de les crer et de les manipuler. Les donnes du schma sont rpliques dans tous les contrleurs de domaine de la fort. Cest pourquoi les objets doivent tre conformes aux dfinitions dobjet et dattribut du schma.
La partition de la conguration
Chaque fort possde une seule partition de configuration. Stocke dans tous les contrleurs de domaine de la mme fort, la partition de configuration contient les donnes sur la structure Active Directory de lensemble de la fort, telles que les domaines et les sites existants, les contrleurs de domaine existants dans chaque fort et les services disponibles. Les donnes de la configuration sont rpliques dans tous les contrleurs de domaine de la fort.
La partition de domaine
16. La conception de la topologie de sites Chaque fort peut avoir plusieurs partitions de domaine. Elles sont stockes dans chaque contrleur de domaine dun domaine donn. Une partition de domaine contient les donnes sur tous les objets propres au domaine et crs dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les units dorganisation. Une partition de domaine est rplique dans tous les contrleurs de domaine du domaine considr. Tous les objets de chaque partition de domaine dune fort sont stocks dans le catalogue global avec un seul sous-ensemble de leurs valeurs dattribut.
La partition dapplication
Les partitions dapplication stockent les donnes sur les applications dans Active Directory. Chaque application dtermine comment elle stocke, classe et utilise ses propres donnes. Pour viter toute rplication inutile des partitions dapplication, vous pouvez dsigner les contrleurs de domaine qui en hbergent dans une fort. la 570
diffrence dune partition de domaine, une partition dapplication ne peut pas stocker les principaux objets de scurit, tels que les comptes dutilisateur. De plus, les donnes contenues dans une partition dapplication ne sont pas stockes dans le catalogue global. Par exemple, si vous utilisez le systme DNS intgr Active Directory, vous avez deux partitions dapplication pour les zones DNS : ForestDNSZones et DomainDNSZones.
j
ForestDNSZones fait partie dune fort : tous les contrleurs de domaine et les serveurs DNS dune fort reoivent un rplica de cette partition. Une partition dapplication dune fort entire stocke les donnes de la zone de la fort. DomainDNSZones est unique pour chaque domaine : tous les contrleurs de domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de cette partition. Les partitions dapplication stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>.
Chaque domaine possde une partition DomainDNSZones, mais il nexiste quune partition ForestDNSZones. Aucune donne DNS nest rplique sur le serveur de catalogue global.
Chapitre 16
Il est inutile de vous inquiter des risques ventuels dpuisement de la rserve dUSN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu 18 446 744 073 709 551 616 changements par contrleur de domaine.
La collision de rplication
Mme avec le mcanisme de numro de squence de mise jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la fort puzzmania .com rinitialise un mot de passe sur SNCERCDC01 et quun autre administrateur rinitialise le mme mot de passe sur SNCERCDC02 avant que SNCERCDC01 nait eu loccasion de distribuer sa modification, il y a invitablement collision. Ce problme est rsolu grce un numro de version de proprit (PVN, Property Version Number). Il est appliqu en tant quattribut chaque objet dans Active Directory et est mis jour et horodat en squence chaque fois quune modification est apporte lobjet. Si une collision de rplication se produit, le PVN le plus rcent a priorit et le mot de passe associ est affect lutilisateur.
Lobjet connexion
Un objet connexion est un objet Active Directory qui reprsente une connexion de rplication dun contrleur de domaine un autre. Un contrleur de domaine est un membre dun unique site et est reprsent dans le site par un objet serveur dans Active Directory. Chaque objet serveur possde un objet NTDS Settings enfant qui reprsente le contrleur de domaine rpliquant dans le site.
Figure 16.7 : Objet serveur de type contrleur de domaine et objet NTDS Settings vus par le
Lobjet connexion est un enfant de lobjet NTDS Settings du serveur de destination. Pour que la rplication intervienne entre deux contrleurs de domaine, lobjet serveur de lun doit avoir un objet connexion qui identifie le serveur source de rplication. Toutes les connexions de rplication dun contrleur de domaine sont stockes sous la forme dobjets de connexion sous lobjet NTDS Settings. Lobjet connexion identifie le serveur source de rplication, contient une planification de rplication et spcifie un transport de rplication. Le vrificateur de cohsion de connaissances (KCC, Knowledge Consistency Checker) cre automatiquement des objets de connexion, qui peuvent aussi tre crs manuellement. chaque fois que vous modifiez un objet de connexion cr par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.
Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intgr qui sexcute sur tous les contrleurs de domaine et gnre la topologie de rplication pour la fort. Il cre des topologies de rplications intrasite et intersite spares. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont dplacs dun site un autre, des modifications de cots, des planifications. KCC et ISTG Le KCC cre des objets de connexion afin de relier les contrleurs de domaine au sein dune topologie commune. Il comprend deux composants : un contrleur intrasite KCC, qui se charge de la rplication lintrieur dun site, et le gnrateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui cre les objets de connexion entre sites.
Chapitre 16
Dans Windows Server 2003, ISTG a t amlior et peut maintenant grer jusqu 5000 sites. Toutefois, vous ne pourrez bnficier des amliorations apportes ISTG que lorsque le niveau fonctionnel de la fort sera pass en mode Windows Server 2003. Sur chaque contrleur de domaine, le KCC cre des itinraires de rplication en crant des objets de connexion entrante unidirectionnelle qui dfinissent des connexions depuis dautres contrleurs de domaine. Pour les contrleurs de domaine dans le mme site, le KCC cre des objets de connexion de manire automatique. Lorsque vous possdez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de crer automatiquement les connexions intersites.
Fonctionnalit de basculement
Les sites garantissent que les donnes de rplication sont routes mme en cas de pannes rseau et de pannes des contrleurs de domaine. Le KCC sexcute des intervalles spcifis afin dajuster la topologie de rplication pour ladapter aux modifications qui interviennent dans Active Directory (par exemple, en cas dextension de la socit, lorsque de nouveaux contrleurs de domaine sont ajouts ou lorsque de nouveaux sites sont crs). Le KCC vrifie le statut de rplication des connexions existantes afin de dterminer si des connexions ont cess de fonctionner. Si une connexion ne fonctionne pas cause dun contrleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de rplication (sil en existe) afin de sassurer que la rplication peut soprer. Si tous les contrleurs de domaine dans un site sont indisponibles, le KCC cre automatiquement des connexions de rplication avec les contrleurs de domaine dun autre site.
Le sous-rseau
16. La conception de la topologie de sites Un sous-rseau est un segment dun rseau TCP/IP auquel un ensemble dadresses IP logiques est attribu. Les sous-rseaux regroupent des ordinateurs en fonction de leur proximit physique sur le rseau. Dun point de vue Active Directory, les objets de sous-rseau identifient les adresses rseau qui sont utilises pour mettre en correspondance les ordinateurs avec les sites.
574
Figure 16.8 : Les sous-rseaux vus par le composant logiciel enfichable Sites et services
Active Directory
Les sites
Les sites correspondent un ou plusieurs sous-rseaux TCP/IP dots de connexions rseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer laccs et la rplication Active Directory afin doptimiser lutilisation du rseau physique. Les sites sont reprsents dans Active Directory sous la forme dobjets de site. Les objets de site sont des ensembles de sous-rseaux et chaque contrleur de domaine dans la fort est associ un site Active Directory en fonction de son adresse IP. Les sites peuvent hberger des contrleurs de domaine de plusieurs domaines et un domaine peut tre reprsent dans plusieurs sites.
Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory
575
Chapitre 16
Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour tablir une connexion pour la rplication Active Directory. Ils sont stocks dans Active Directory sous la forme dobjets de lien de sites. Un tel objet reprsente un ensemble de sites qui peuvent communiquer cot uniforme via un transport intersite spcifi.
Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services
Active Directory Tous les sites contenus dans un lien sont considrs comme connects au sein dun mme type de rseau. On relie manuellement les sites en utilisant des liens de sorte que les contrleurs de domaine dans un site puissent rpliquer les modifications de lannuaire vers les contrleurs de domaine dun autre site. tant donn que les liens de sites ne correspondent pas au chemin effectif pris par les paquets rseau sur le rseau physique durant la rplication, vous navez pas besoin de crer des liens redondants pour amliorer lefficacit de la rplication Active Directory. Lorsque deux sites sont connects par un lien, le systme de rplication cre automatiquement des connexions entre des contrleurs de domaine spcifiques dans chaque site, appels "serveurs tte de pont". Dans Windows Server 2003, le KCC peut dsigner plusieurs contrleurs de domaine par site hbergeant la mme partition dannuaire comme candidat au rle de serveur tte de pont. Les connexions de rplication cres par le KCC sont alatoirement rparties entre tous les serveurs tte
de pont candidats dans un site afin que la charge de rplication soit partage. Par dfaut, le processus de slection alatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajouts au site. Toutefois, vous pouvez excuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appel "ADLB" (Active Directory Load Balancing) pour rquilibrer la charge chaque fois quune modification intervient dans la topologie des sites ou que le nombre de contrleurs de domaine du site varie. En outre, ADLB peut chelonner les planifications de manire que la charge de rplication sortante pour chaque contrleur de domaine soit rpartie de faon gale au fil du temps. Interrogez laide de lutilitaire ADLB afin dobtenir ses diffrentes options.
Par dfaut, le KCC peut former un itinraire transitif via les liens de sites qui possdent certains sites en commun. Si ce comportement est dsactiv, chaque lien de sites 577
Chapitre 16
reprsente son propre rseau distinct isol. Les ensembles de liens de sites qui peuvent tre traits comme un unique itinraire sont reprsents sous la forme de ponts de liaison de sites. Chaque pont reprsente un environnement de communication isol pour le trafic rseau. Les ponts de liaison permettent de reprsenter logiquement la connectivit physique transitive entre les sites. Chaque pont permet au KCC dutiliser nimporte quelle combinaison de liens de sites inclus pour dterminer litinraire le moins coteux lorsquil sagit dinterconnecter des partitions dannuaires conserves dans ces sites. Le pont ne fournit lui-mme aucune connectivit aux contrleurs de domaine. Sil est supprim, la rplication sur les liens de sites combins se poursuit jusqu ce que le KCC supprime les liens. Les ponts ne sont ncessaires que si un site contient un contrleur de domaine hbergeant une partition dannuaire qui nest pas galement hberge par un contrleur de domaine dans un site adjacent. Les sites adjacents sont dfinis comme tant inclus dans un unique lien de sites. Le pont cre une connexion logique entre deux liens de sites dconnects, qui fournit un chemin transitif via un site intrimaire. Pour les besoins du gnrateur de topologie intersite (ISTG, Intersite Topology Generator), le pont nimplique pas quun contrleur de domaine dans le site intrimaire fournisse le chemin de rplication. Toutefois, ce serait le cas si le site intrimaire contenait un contrleur de domaine qui hbergeait la partition dannuaire rpliquer ; un pont ne serait alors pas requis. Le cot de chaque lien de sites est additionn jusqu former une somme totale pour le chemin rsultant. Le pont serait utilis si le site intrimaire ne contenait pas un contrleur hbergeant la partition dannuaire et sil nexistait aucun lien de cot plus faible. Si le site intrimaire contenait un contrleur qui hberge la partition dannuaire, deux sites dconnects configureraient des connexions de rplication pour le contrleur de domaine intermdiaire et nutiliseraient pas le pont.
578
disponible dans les proprits des conteneurs de transport intersite IP et SMTP implmente les ponts de liaison de sites.
579
Chapitre 16
Figure 16.13 : Configuration de la mise en cache de lappartenance aux groupes universels laide du composant logiciel enfichable Sites et services Active Directory
La mise en cache de lappartenance aux groupes universels vite quun serveur de catalogue global soit requis dans chaque site dun domaine. Lutilisation de la bande passante rseau est ainsi minimise car il nest pas ncessaire quun contrleur de domaine rplique tous les objets situs dans la fort. Les temps dauthentification sont galement rduits, car les contrleurs de domaine qui authentifient nont pas toujours besoin daccder un catalogue global pour obtenir des informations dappartenance aux groupes universels.
Crer une carte des emplacements : il sagit de lister les sites gographiques et les groupes dordinateurs sur un rseau local dans le but de schmatiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra dattirer lattention sur les sites relis par des lignes bas dbit, par exemple. Lister les sous-rseaux IP chaque emplacement : il sagit de relever les sous-rseaux IP et les masques associs afin de dterminer la configuration des sites dans Active Directory.
j j
580
Tableau 16.1 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,
Active Directory associe chaque machine un site spcifique en comparant ladresse IP de la machine avec les sous-rseaux associs chaque site. Lorsque vous ajoutez des contrleurs un domaine, Active Directory examine galement leur adresse IP et les place dans le site appropri. Ce processus est automatique.
j
Lister les domaines et le nombre dutilisateurs pour chaque emplacement : cette information est un des facteurs qui dtermine le placement des contrleurs de domaine et des serveurs de catalogue global.
Lassociation des informations sur les sous-rseaux IP, la bande passante et les emplacements va dterminer la configuration de rplication.
les contrleurs de domaine racine de la fort ; les contrleurs de domaine rgionaux (les contrleurs de domaine des domaines enfants) ; les contrleurs de domaine qui sont aussi serveurs de catalogue global ; les contrleurs de domaine ayant des rles matres dopration particuliers.
Dune manire gnrale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa scurit physique. 581
Chapitre 16
Pour plus dinformations sur les techniques de sauvegarde et de restauration dActive Directory, consultez le chapitre La maintenance dActive Directory. Les contrleurs de domaine racine de la fort doivent tre placs sur un site gographique qui possde des liens distants suffisamment rapides pour rpliquer correctement les donnes dannuaire vers les autres sites. Les lignes daccs distants vers les contrleurs de domaine racine de la fort doivent tre les plus stables possibles. Les administrateurs de linfrastructure de Puzzmania dcident donc, daprs ces caractristiques, de placer les contrleurs de domaine racine de la fort puzzmania.com sur le site gographique de Nice. Cest cet endroit que se trouvent les personnes les plus comptentes et aussi les locaux les plus scuriss, notamment en raison de lactivit de recherche et de dveloppement. Le site de Nice est en outre un point nvralgique du rseau. Les contrleurs de domaine en question sappellent SNCERCDC01 et SNCERCDC02.
Ici, corp.puzzmania.com et rd.puzzmania.com sont considrs comme des domaines rgionaux contenant des contrleurs de domaine rgionaux. Il faut prvoir de les positionner, pour chaque domaine reprsent, aux emplacements principaux. Limitez leur nombre autant que possible pour rduire les cots. Le fait dliminer des contrleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent quune poigne de personnes) rduit les cots de maintenance des contrleurs de domaine distance. Combien existe-t-il de contrleurs de domaine de secours ? Outre le placement de ces contrleurs de domaine, posez-vous la question du nombre de contrleurs de domaine de secours dont vous avez besoin pour un domaine donn. tes-vous prt navoir quun seul contrleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problme ? Prfrez-vous placer un, voire deux contrleurs de domaine de secours, quitte ce quils soient sur des sites distants, pour modrer limpact dun arrt dun contrleur de domaine, mme si les authentifications sont plus lentes, et viter une ventuelle indisponibilit totale du domaine ? vous de faire la part des choses en vous aidant des informations collectes sur le rseau et en tenant compte galement du nombre dutilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le dploiement dapplications. Quel sera limpact sur les postes clients en cas dindisponibilit du domaine ? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre dmarche.
583
Chapitre 16
En recoupant les informations, les administrateurs de linfrastructure des domaines corp.puzzmania.com et rd.puzzmania.com dcident de placer les contrleurs de domaine de la faon suivante
j
Pour corp.puzzmania.com : trois contrleurs seront installs et configurs, un dans chaque site gographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on rduit les cots en prenant le risque de ne mettre quun contrleur par site gographique et de subir des ralentissements, et la faisabilit car on tient compte du nombre dutilisateurs et de ressources. Pour rd.puzzmania.com : deux contrleurs seront installs et configurs sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront scuriss (il y en aura deux pour viter les arrts de service et ils seront installs dans une salle informatique scurise, et donc situe Nice). En outre, les utilisateurs qui sy connecteront sont situs Nice.
584
Lmulateur de contrleur de domaine principal (CPD) traite toutes les requtes de rplication provenant de contrleurs de domaine secondaires Windows NT 4.0
585
Chapitre 16
Server et toutes les mises jour de mots de passe pour les clients qui nexcutent pas le logiciel client Active Directory (Windows 95 par exemple).
j
Le matre dID relatifs alloue des ID relatifs tous les contrleurs de domaine pour garantir que tous les principaux de scurit (les identifiants de scurit) possdent un identifiant unique. Le matre dinfrastructure dun domaine conserve une liste des principaux de scurit dautres domaines qui sont membres de groupes dans son propre domaine.
Le matre de schma rgit les modifications du schma. Le matre dattribution de noms de domaine ajoute et supprime des domaines la fort. Matre de schma Avant douvrir le composant logiciel enfichable Schma Active Directory, qui permet dattribuer le rle matre de schma, noubliez pas denregistrer la DLL schmmgmt .dll de la faon suivante : cliquez sur Dmarrer/Excuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schma Active Directory condition davoir les droits ncessaires.
Les dtenteurs des rles matres dopration sont dsigns automatiquement lorsque le premier contrleur de domaine dans un domaine est cr. Les deux rles de niveau fort sont attribus au premier contrleur de domaine cr dans la fort et les trois rles de niveau domaine sont attribus au premier contrleur de domaine cr dans le domaine. Dsignez ces contrleurs de domaine, puis ceux qui seront matres dopration remplaants. Assurez-vous que le matre doprations remplaant est un partenaire de rplication direct du matre dopration titulaire. Dans un modle de fort comprenant des domaines pre et fils, veillez ce que le contrleur matre dinfrastructure ne soit pas galement serveur de catalogue global. Une pratique courante est de placer, dans un domaine donn, tous les rles matres dopration sur le premier contrleur install et de dsigner le contrleur de domaine de secours comme serveur de catalogue global. Cest un choix possible. Dans un modle domaine unique, laissez le rle matre dinfrastructure au premier contrleur de domaine et configurez tous les autres, mme le premier, comme serveurs de catalogue global. En effet, le rle de matre dinfrastructure est sans importance dans un modle domaine unique parce que les principaux de scurit des autres domaines nexistent pas. La rpartition des matres dopration est intressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de lquilibre de charge et des bonnes coutumes de placement des matres dopration. Voici un tableau synthtisant les rles tenus par les contrleurs de domaine de la fort puzzmania.com.
Domaine
Matre mulateur dattribution CPD de noms de domaine Non Oui Non Non Non Non Non Oui Non Oui Non Non Oui Non
puzzmania.com SNCERCDC01 SNCERCDC02 corp.puzzmania SNCECPDC01 .com STLSCPDC01 SPARCPDC01 rd.puzzmania .com SNCERDDC01 SNCERDDC02
Crez des sites pour tous les emplacements dans lesquels vous prvoyez de placer des contrleurs de domaine (utilisez les informations rcoltes lors de la phase de prvision des emplacements des contrleurs de domaine). Crez des sites pour les emplacements qui incluent des serveurs excutant des applications qui requirent quun site soit cr (par exemple DFS). Si un site nest pas requis, ajoutez le sous-rseau associ un site pour lequel lemplacement possde la vitesse et la bande passante disponible intersite maximales. 16. La conception de la topologie de sites
j j
Cest laide du composant logiciel enfichable Sites et services Active Directory que vous crerez les sites.
Pour plus dinformations sur les oprations pratiques raliser laide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre Ladministration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration applique Puzzmania est trs simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont crs. Mme sil ny a aucun contrleur de domaine Londres, cela ne cote pas grand-chose danticiper lavenir.
587
Chapitre 16
Figure 16.17 : Affectation du cot dun lien de sites laide du composant logiciel enfichable Sites et services Active Directory
Des liens de sites sont donc crs entre les diffrents sites de linfrastructure Puzzmania. En correspondance avec le schma rseau, un cot de 283 est paramtr sur les liens Nice-Paris et Nice-Toulouse. Un cot de 309 est paramtr sur le lien Toulouse-Paris. Ltape logique qui vient aprs la dtermination du cot du lien de sites est la planification des horaires de rplication entre les deux sites relis. Vous avez la possibilit de dterminer les heures auxquelles la rplication va se drouler en fonction de la qualit du lien de sites (et par extension, de la qualit du lien de communication). Pour rgler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.
Figure 16.18 : Rglage des horaires de rplication laide du composant logiciel enfichable Sites et services Active Directory
Chapitre 16
En fonction des heures travailles, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la rplication de 7 heures 12 heures et de 14 heures 20 heures. Cela permettra de rserver le WAN dautres usages.
Pour pallier le fait que le rseau IP nest pas compltement rout. Pour contrler le flux de rplication dActive Directory, soit parce que la rplication seffectue au travers dun pare-feu, soit parce que vous voulez contrler le basculement de la rplication lors dune panne dun contrleur de domaine.
590
En rsum
Dans cet exemple, ce pont empchera la rplication des contrleurs de domaine des sites A, C et D vers le reste du rseau en cas de panne du contrleur du site B. Linfrastructure de Puzzmania nest pas assez complexe pour ncessiter la cration de ponts de liaison de sites.
16.7. En rsum
Ce chapitre aborde les aspects thoriques de la conception de la topologie de sites. Il prsente des dfinitions, une mthodologie mais galement des rgles incontournables de bon fonctionnement. Si vous respectez cette mthodologie et ces rgles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la rplication des informations dannuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcment plusieurs solutions, plusieurs configurations qui rpondront correctement vos besoins en respectant la mthodologie et les rgles. Dautres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la rduction des cots. En ce sens, il est intressant de mettre en parallle les rgles de conception et ltude de cas car, durant la lecture de ce chapitre, vous vous tes srement dit que vous auriez procd autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranch, ils ont fait des compromis et vous serez amen en faire de votre ct.