Fonctionnement de la réplication Active Directory 2003

La réplication entre contrôleurs de domaine est générée automatiquement par le vérificateur de cohérence des connaissances aussi appelé KCC (Knowledge Consistency Checker). Le KCC, qui fonctionne sur tous les contrôleurs de domaine, génère la topologie de réplication de la forêt.

Pour générer la topologie de réplication intra-site, le KCC crée des objets de connexions entre les contrôleurs de domaine appartenant au même site. Ces objets de connexions sont des chemins de réplication unidirectionnels qui relient les contrôleurs de domaine. Pour que la réplication entre deux contrôleurs de domaine puisse avoir lieu, le KCC générera deux objets de connexions en sens opposés entre ces derniers. Les contrôleurs de domaine liés par des objets de connexions sont appelés partenaires de réplication.

Quand les partenaires de réplication sont directement liés par des objets de connexions, on parlera de partenaires de réplication directs. Ainsi, dans notre exemple (schéma ci-dessus), les contrôleurs de domaine DC1 et DC2 seront des partenaires de réplication directs.

Lorsque les mises à jours entre deux contrôleurs de domaine sont obtenues indirectement par l'intermédiaire de partenaires de réplication directs, on parlera donc de partenaires de réplication transitifs. Ainsi, les contrôleurs de domaine DC1 et DC4 seront des partenaires de réplication transitifs.

Dans un site, la topologie générée par le KCC est un anneau à communication bidirectionnel, ce qui permet de garantir une réplication qui soit réaliser dans son intégralité. Lors de l'ajout ou de la suppression d'un contrôleur de domaine, le KCC recrée automatiquement une nouvelle boucle de communication.

Lorsque le nombre de saut entre deux partenaires de réplication est supérieur à 3, le KCC établit systématiquement des objets de connexions entre ces derniers. Au lieu que les modifications passent par des partenaires de réplication intermédiaires, la mise à jour se fera directement entre ces deux serveurs, ce qui diminuera le temps de convergence.

Les objets de connexions peuvent aussi être créer manuellement. Si l'on souhaite que le contrôleur de domaine DC1 réplique directement avec le contrôleur DC6, on procèdera à la création d'objets de connexions entre ces deux contrôleurs de domaine. La création d'objets de connexions se fait via la console Sites et Services Active Directory, en sélectionnant Nouvelle connexion à Active Directory dans le menu contextuel de l'objet NTDS Settings.

Dans le cas de la réplication inter-sites, une fois que les liaisons de sites ont été mises en place, le KCC crée les objets de connexions entre les sites reliés.
Afin d'optimiser la duplication entre sites, le KCC ne crée pas d'objets de connexions entres tous les contrôleurs de domaine d'un site avec les contrôleurs de domaine d'un autre site. Les objets de connexions sont plutôt mises en place entre les serveurs tête de ponts de chaque site.
Ces serveurs tête de pont sont automatiquement désigné par le KCC (un par site). Dans le cas d'un disfonctionnement de l'un d'entre eux, le KCC en sélectionnera un autre et régénérera les objets de connexions entre ces serveurs.

Active Directory est une base de données divisée logiquement en trois partitions de répertoire (Naming Context): la partition de schéma, la partition de configuration, et la partition de domaine.

La partition de domaine contient les informations concernant tous les objets d'un domaine (les utilisateurs, les groupes, les machines, etc...). Elle est spécifique à un domaine, donc, les informations qu'elle contient seront répliquer sur l'ensemble des contrôleurs de domaine appartenant au même domaine. Par conséquent, dans une forêt composée de plusieurs domaines, il existera plusieurs partitions de domaine (une par domaine).
La partition de configuration contient la topologie de la forêt, c'est-à-dire les informations concernant les domaines, les sites, les connexions entre les contrôleurs, etc... Concrètement, il existe qu'une seule partition de configuration par forêt. Lors d'une modification, cette partition sera dupliquée sur tous les contrôleurs de domaine de tous les domaines de la forêt.
La partition de schéma contient le schéma étendu au niveau de la forêt, c'est-à-dire l'ensemble des définitions des classes et attributs des objets pouvant être créer dans l'annuaire Active Directory. Pour assurer la cohérence de la définition de chaque classe d'objet , il n'existera qu'un seul schéma par forêt.
La partition de schéma est aussi répliqué sur l'ensemble des contrôleurs de domaine de tous les domaines de la forêt.

Active Directory gère la réplication multi-maître. Cela signifie que la base d'annuaire peut être modifiée à partir de n'importe quel contrôleur de domaine. Par ailleurs, certaines des actions ne pourront être effectuer qu'à partir de certains contrôleurs de domaine, appelés maîtres d'opération (FSMO, Flexible Single Master Operation).

Le maître de schéma est unique dans une forêt. La partition de schéma pourra être modifiée qu'à partir de ce contrôleur de domaine, ce qui permettra d'éviter tout risque de conflit. Une fois le schéma modifié, le maître de schéma enverra la mise à jour à l'ensemble des contrôleurs de domaine de la forêt.
Le maître d'attribution de nom de domaine est unique au niveau de la forêt. Il est le seul à pouvoir ajouter et supprimer des domaines à la forêt.
Le maître d'identificateur relatif RID (Relative IDentifier) est exclusif dans un domaine. Il distribue des pools d'identificateurs relatifs aux contrôleurs de domaine pour éviter les doublons lors de l’attribution des SID (identificateurs uniques) aux objets. De plus, le maître RID gère le déplacement inter-domaines des objets. Cela signifie que le déplacement d'objets d'un domaine vers un autre ne pourra se faire qu'à partir de celui-ci. Une fois l'objet déplacé, la base d'annuaire sera directement mise à jour par le maître RID.
Le maître émulateur PDC (Primary Domain Controler) est unique dans un domaine. Il a pour fonction de gérer la réplication vers les contrôleurs de domaine secondaire sous NT4 (BDC, Backup Domain Controler) et joue également le rôle de PDC pour les clients Windows NT. Il s'occupe, entre autre, des changements de mots de passe, de la synchronisation horaire des contrôleurs de domaine appartenant à son domaine, etc...
Le maître d'infrastructure est également unique dans un domaine. Il a pour fonction de mettre à jour les références vers les objets d’autres domaines.

Par défaut, le premier contrôleur de domaine de la forêt assure ces 5 rôles. Pour chaque domaine supplémentaire ajouté à la forêt, le premier contrôleur de chaque domaine assurera automatiquement les rôles de maître RID, d'émulateur PDC et d'infrastructure.

La détermination des serveurs détenteurs des rôles de maîtres d'opération se fait via les consoles suivantes:

Utilisateurs et ordinateurs Active Directory: permet de visualiser les détenteurs des rôles de maître RID, d'infrastructure et d'émulateur PDC pour le domaine. Il suffit de faire un clic droit sur le conteneur "Utilisateurs et ordinateurs Active Directory" et ensuite de sélectionner "Maîtres d'opération".
Domaines et approbations Active Directory: permet la visualisation du serveur qui assure le rôle de maître d'attribution de nom de domaine. Faites un clic droit sur le conteneur "Domaines et approbations Active Directory" et ensuite sélectionner "Maîtres d'opération".
Schéma Active Directory: permet de visualiser le serveur qui assure le rôle de maître de schéma. Par défaut, cette console n'est pas présente. Pour pouvoir l'installer, il faudra ouvrir une MMC et y rajouter le composant enfichable "Schéma Active Directory". Il suffira ensuite de faire un clic droit sur le conteneur "Schéma Active Directory" et de sélectionner "Maîtres d'opération" pour voir le serveur.

Il est possible de modifier les serveurs assurant ces rôles, par un tranfert des rôles de maîtres d'opération se faisant toujours via les consoles citées ci-dessus.

Comme spécifié dans la section "Les partitions d'annuaire", seules les informations du schéma et de configuration sont répliquées sur l'ensemble des contrôleurs de domaine de la forêt. Les informations des objets d'un domaine ne sont quant à eux dupliquées qu'entre contrôleurs de domaine d'un même domaine. Pour pouvoir accéder aux objets d'un autre domaine, il conviendra de mettre en place un serveur de catalogue global. Ce serveur est un contrôleur de domaine possédant un réplica du catalogue global, catalogue dans lequel est référencé une partie des attributs les plus utilisés dans tous les objets d'Active Directory. Il permettra aux utilisateurs d'effectuer des recherches au niveau de la forêt, mais aussi de s'authentifier sur leur domaine.

En effet, la vérification de l'appartenance des utilisateurs à des groupes universels se fait via un contrôleur de catalogue global. Donc, pour que les utilisateurs puissent s'authentifier et accéder aux ressources partagées, la présence d'un serveur de catologue global est obligatoire. Vu l'importance de ce contrôleur, il conviendra d'en disposer au moins d'un par domaine et d'un par site.

Remarque: Par défaut, le premier contrôleur de domaine de la forêt est serveur de catalogue global. Des serveurs de catalogue global supplémentaires peuvent être rajoutés via la console Sites et Services Active Directory.

Cependant, le trafic de réplication généré entre deux serveurs de catalogue global est considérable. Si vous disposez de deux sites ayant chacun un serveur de catalogue global, séparés par une liason lente de type RNIS, la réplication entre ces 2 serveurs pourrait certainement saturer cette liaison. Une des solutions consisterait à supprimer le serveur de catalogue global sur l'un des sites. Néammoins, comme ce serveur est indispensable pour les processus d'authentifications et d'autorisations, un trafic important sera tout de même engendrer, lorsque les utilisateurs du site dépourvu de catalogue global ouvriront une session ou accédereront aux ressources partagées.

Pour palier à cela, il suffira d'activer la fonction de mise en cache de l'appartenance au groupe universel sur l'un des contrôleurs de domaine du site ne disposant pas de serveur de catalogue global. Cette fonction, disponible uniquement sur les contrôleurs éxecutant Windows 2003 Server, permettra de stocker, sur un contrôleur de domaine, les résultats des requêtes effectués auprès d'un serveur de catalogue global.

Dans l'exemple, d'un utilisateur appartenant au site, dépourvu de serveur de catalogue global, qui tentera d'ouvrir une session pour la première fois sur le réseau, celui-ci interrogera le contrôleur de domaine qui lui même consultera le serveur de catalogue global du site distant. Le contrôleur de domaine enregistrera ensuite les informations reçues du serveur de catalogue global, ce qui lui permettra d'éviter d'interroger une nouvelle fois le serveur de catalogue global lors de la prochaine ouverture de session de cet utilisateur.

La mise en cache de l'appartenance au groupe universel permettra donc de limiter le trafic au niveau des liaisons très lentes, notamment lors des processus d'authentifications et d'autorisations.

Tous les Articles du Laboratoire Microsoft

4. La topologie de la réplication

4.1 Les chemins de réplication.

4.2 Les partitions d'annuaire.

4.3 Les maîtres d'opération.

4.4 Le Catalogue Global.

Définitions

Accès direct aux définitions :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Effectuez une recherche dans les définitions :

Forum

Espace Windows XP

Espace Windows 2003

Espace Exchange

Espace ISA Server

Espace Sécurité

Espace Emploi

	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress