SUPINFO International University

SUPINFO Institute of Information Technology
Laboratoire Microsoft
  Laboratoire Microsoft |  Blog  |  Forum |  FaqXP |  CertifExpress 




Tech-ED 2006 - Le retour des BDC ?! (Read Only Domain Controleur)

Accueil > News > windows_vista > Tech-ED 2006 - Le retour des BDC ?! (Read Only Domain Controleur)

Tech-ED 2006 - Le retour des BDC ?! (Read Only Domain Controleur)

Par Nicolas MILBRAND, LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Publiée le 16/11/2006 vers 16h.

Nous sommes actuellement (Loïc THOBOIS et moi-meme) au Tech-ED 2006 à Barcelone:

Vous possédez une infrastructure multi-site et vous ne pouvez pas garantir la sécurité physique de vos serveurs ?

Aujourd'hui, deux solutions s'offre à vous,

  1. Soit vos utilisateurs devaient s'identifier via un réseau longue distance (WAN).
    • Le probleme: les temps d'authentification sont relativement long.
  2. Implémenter un contrôleur de domaine.
    • Le probleme: Une personne dérobant ce serveur peut récuperer votre base d'annuaire (mot de passe) !
Demain, avec Windows Serveur "Longhorn" une troisième solution s'offrira à vous:
  1. En plaçant une copie en lecture seule de la base de données d'annuaire Active Directory à proximité des utilisateurs situés sur les sites non sécurisés. Ainsi ils profitent d'un temps de connexion accéléré et d'un accès plus efficace aux ressources d'authentification du réseau.

 

Ce nouveau type de controleur de domaine introduit par "Longhorn" est nommé Domain controleur en lecture seul ou RODC (Read-Only Domain Controller).


Attention: A ne pas confondre avec le modèle introduit par NT4 : PDC et BDC (maitre//esclave) et l'infrastructure Active Directory qui reste bien multi-maitre, cependant il sera désormais possible d'assurer son intégrité en limitant son contenu!


Voici les caracteristiques des RODC (Beta 2)
  • Il ne peut pas être Catalogue global
  • Pas de communication possible entre deux RODC, donc un seul par site
  • Par défaut, sa base ne possède pas de mot de passe "utilisateurs". Ce qui necessite une utilisation du réseau pour s'identifier. Il est possible à l'aide de la stratégie de réplication des mot de passe de définir ceux qui seront répliqués !
  • Réplication unidirectionnel, c'est un comporterment normal puisque la base d'un RODC n'est pas modifiable. Ainsi le RODC se mettera à jour grâce au controleur de domaine "classic" défini lors de son installation.
  • Mise en cache des groupes universelles activé par défaut.
  • Les applications suivantes seront supportées:
    • Applications LDAP, ADFS,DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, NAP, PKI, CA, IAS/VPN, DFS, SMS, ADSI queries, MOM

Caracteristiques des RODC prévu dans la Beta3:
  • Le support du catalogue global mais uniquement pour l'utilisation des clients Outlook !!! En effet pour le moment sur un site distant disposant d'un RODC (beta2) vos clients outlook sont dans l'incapacité de communiquer!
  • La possibilité de mettre deux RODC par site

Limitations finales pour le RODC
  • Il ne sera pas possible de répliquer entre eux deux RODC
  • Pas de support de Exchange Server
  • Pas de version de ADAM en lecture seul

Pour finir, voici un exemple d'utilisation de RODC placé dans un site distant non sécurisé, ce dernier est configuré pour communiquer et se mettre à jour grâce a un controleur de domain "classic" situé dans votre réseau sécurisé.
  1. Bill un utilisateur du site distant souhaite s'identifier
  2. Ce dernier va contacter son Controleur de domaine local (le KDC), ici un RODC.
  3. Nous avons vu qu'un RODC ne dispose pas (par défaut) des mots de passe des utilisateurs, il va donc transferer cette demande auprés d'un controleur de domaine "classic" situé dans un site distant!
  4. Le controleur de domaine "classic" traite sa demande et retourne les informations au RODC.
  5. Le RODC fournit l'information (TGT) au client
  6. Ensuite le RODC initie une requete aupres du controleur de domaine "classic" afin de repliquer en local le mots de passe de l'utilisateur.
  7. Le controleur de domaine "classic" verifie la politique de réplication des mots de passe afin de savoir si ce dernier peut ou non le répliquer sur le RODC.

Ainsi il est conseillé de configurer cette stratégie afin de ne répliquer que les mots de passe des utilisateurs présent sur le site. Ainsi, en cas de vol du RODC, il suffira de réinitialiser uniquement ces mots de passe.


Vue d'ensemble de la Stratégie de réplication des mots de passe, ici par exemple nous voyons que les mots de passe du groupe administrateurs ne sont pas répliquer

Pour conclure, comme pas mal de fonctionnalités du RODC sont soumisent à des modifications nous suivrons de prêt ses évolutions dans la prochaine Beta 3 du produit.

Postez vos commentaires ici

Proposer une news

Notre avis :

Votre avis :

Réactions :
0

Votants :
2

Visites :
10072

1
 2
 3
 4
 5

News Précédent :

Déployer Vista facilement grace à WAIK

News Suivant :

Tech-ED 2006 - Du nouveau dans le noyau de Windows VISTA

News Précédent(e)(s)

16/11/2006 - Déployer Vista facilement grace à WAIK

16/11/2006 - Tech-ED 2006 - Le Matrix mode d'Active Directory (AD Restartable)

16/11/2006 - Tech-ED 2006 - Windows Server sans fenêtre ! (Core Edition)

16/11/2006 - Tech-ED 2006 - Refonte du service Terminal Serveur !

15/11/2006 - Tech-ED 2006 - Quel nom pour Vista Serveur ?

Les News Suivant(e)(s)

16/11/2006 - Tech-ED 2006 - Du nouveau dans le noyau de Windows VISTA

16/11/2006 - Tech-ED 2006 - Le droit à l'erreur chez Pearson VUE

16/11/2006 - Windows Server 2003 SP2 Release Candidate !!

17/11/2006 - Qui veut des ADM ? Powershell et IE 7 disponible !

17/11/2006 - Tech-ED 2006 - Configurez en 3 clics Longhorn Server !



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Essentiels

Essentiel 70-270 v0.97 - 1880 ko
Installation, configuration et administration de Microsoft Windows XP Professionnel

Essentiel 70-290 v0.97 - 1092 ko
Administration et maintenance d'un environnement Microsoft Windows Server 2003

Essentiel 70-291 v1.0 - 2301 ko
Implémenter, administrer et gérer une infrastructure Microsoft Windows Server 2003

Essentiel 70-294 v0.95 - 1235 ko
Planifier, implémenter et gérer une infrastructure Active Directory avec Windows Server 2003

Essentiel 70-284 v0.8 - 1788 ko
Implémentation et gestion de Microsoft Exchange 2003

Essentiel 70-227 v0.9 - 168 ko
Installation, configuration et administration de Microsoft Internet Security and Acceleration Server 2000

Essentiel 70-224 v0.91 - 350 ko
Installation, configuration et administration de Microsoft Exchange 2000 Server

Notions Fondamentales de Windows 2000 v1.0 - 325 ko
Les bases de l'environnement Windows 2000 en moins de 30 pages

Essentiel 70-216 v0.9 - 265 ko
Implémentation et administration d'une infrastructure réseau Microsoft Windows 2000

Essentiel 70-217 v0.9 - 624 ko
Implémentation et Gestion d'une infrastructure de services d'annuaire Windows 2000

Tous les essentiels Tout savoir sur les certifications Microsoft Vous êtes MCP ? Témoignez de votre expérience Rejoignez l'espace certification du Forum