Exporter (0) Imprimer
Développer tout

Concepts de réplication Active Directory

Mis à jour: avril 2008

S'applique à: Windows Server 2008, Windows Server 2008 R2

Avant de concevoir la topologie de site, familiarisez-vous avec certains concepts de réplication Active Directory.

Objet de connexion

Un objet de connexion est un objet Active Directory qui représente une connexion de réplication entre un contrôleur de domaine source et un contrôleur de domaine de destination. Un contrôleur de domaine appartient à un seul site et est représenté dans ce site par un objet serveur dans les services de domaine Active Directory (AD DS). Chaque objet serveur possède un objet Paramètres NTDS enfant qui représente le contrôleur de domaine de réplication dans le site.

L’objet de connexion est un enfant de l’objet Paramètres NTDS du serveur de destination. Pour que la réplication ait lieu entre deux contrôleurs de domaine, l’objet serveur de l’un d’entre eux doit renfermer un objet de connexion qui représente la réplication entrante à partir de l’autre. Toutes les connexions de réplication d’un contrôleur de domaine sont stockées en tant qu’objets de connexion sous l’objet Paramètres NTDS. L’objet de connexion identifie le serveur de la source de réplication, contient une planification de réplication et spécifie un transport de réplication.

Le vérificateur de cohérence des données crée automatiquement des objets de connexion, mais ils peuvent aussi être créés manuellement. Dès que vous modifiez un objet de connexion créé par le vérificateur de cohérence des données, vous le convertissez automatiquement en objet de connexion manuel. Le vérificateur de cohérence des données ne modifie pas les objets de connexion manuels.

Vérificateur de cohérence des données

Le vérificateur de cohérence des données est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et qui génère la topologie de réplication pour la forêt Active Directory. Il crée des topologies de réplication distinctes selon que la réplication a lieu au sein d’un site (intrasite) ou entre des sites (intersite). Il ajuste également la topologie de manière dynamique pour gérer l’ajout de nouveaux contrôleurs de domaine, la suppression de contrôleurs de domaine existants, le déplacement de contrôleurs de domaine vers et depuis des sites, la modification des coûts et des planifications, et les contrôleurs de domaine qui sont temporairement indisponibles ou en état d’erreur.

Au sein d’un site, les connexions entre les contrôleurs de domaine accessibles en écriture sont toujours organisées selon un anneau bidirectionnel, avec des raccourcis de connexion supplémentaires pour réduire la latence dans les grands sites. Par contre, la topologie intersite est un empilement d’arborescences complètes, ce qui signifie qu’une connexion intersite existe entre n’importe quelle paire de sites pour chaque partition de l’annuaire et qu’elle ne contient généralement pas de raccourcis de connexion. Pour plus d’informations sur les arborescences complètes et la topologie de réplication Active Directory, voir le guide de référence technique de la topologie de réplication Active Directory (http://go.microsoft.com/fwlink/?LinkID=93578) (éventuellement en anglais).

Sur chaque contrôleur de domaine, le vérificateur de cohérence des données crée des itinéraires de réplication en créant des objets de connexion entrants unidirectionnels qui définissent des connexions à partir d’autres contrôleurs de domaine. Pour les contrôleurs de domaine d’un même site, le vérificateur de cohérence des données crée automatiquement des objets de connexion sans aucune intervention de la part d’un administrateur. Lorsque vous avez plusieurs sites, vous configurez des liens de sites entre les sites et, dans chaque site, un vérificateur de cohérence des données crée aussi automatiquement des connexions entre les sites.

Améliorations du vérificateur de cohérence des données pour les contrôleurs de domaine en lecture seule Windows Server 2008

Un certain nombre d’améliorations ont été apportées au vérificateur de cohérence des données pour tenir compte du tout nouveau contrôleur de domaine en lecture seule (RODC) dans Windows Server 2008. La succursale est un scénario de déploiement classique pour un contrôleur de domaine en lecture seule. La topologie de réplication Active Directory la plus couramment déployée dans ce scénario est basée sur une conception Hub and Spoke dans laquelle des contrôleurs de domaine de succursale situés dans plusieurs sites procèdent à la réplication avec un petit nombre de serveurs tête de pont situés dans un site concentrateur.

L’un des avantages du déploiement d’un contrôleur de domaine en lecture seule dans ce scénario est la réplication unidirectionnelle. Les serveurs tête de pont ne sont pas tenus de procéder à la réplication à partir du contrôleur de domaine en lecture seule, ce qui réduit l’administration et l’utilisation du réseau.

Toutefois, la topologie Hub and Spoke a mis en évidence le défi administratif suivant dans les versions précédentes du système d’exploitation Windows Server : après l’ajout d’un nouveau contrôleur de domaine tête de pont dans le concentrateur, il n’existe aucun mécanisme automatique pour redistribuer les connexions de réplication entre les contrôleurs de domaine de succursale et les contrôleurs de domaine du concentrateur pour tirer parti du nouveau contrôleur de domaine du concentrateur.

Pour les contrôleurs de domaine Windows Server 2003, vous pouvez rééquilibrer la charge de travail en utilisant un outil tel qu’Adlb.exe dans le Guide de déploiement des succursales avec Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=28523) (éventuellement en anglais).

Pour les contrôleurs de domaine en lecture seule Windows Server 2008, le vérificateur de cohérence des données assure désormais un certain rééquilibrage, ce qui évite d’avoir à utiliser un outil supplémentaire tel qu’Adlb.exe. La nouvelle fonctionnalité est activée par défaut. Vous pouvez la désactiver en ajoutant le jeu de clés de Registre suivant sur le contrôleur de domaine en lecture seule :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

“Random BH Loadbalancing Allowed”

1 = Enabled (default), 0 = Disabled

Pour plus d’informations sur le fonctionnement des améliorations du vérificateur de cohérence des données, voir l’article relatif à la planification et au déploiement des services de domaine Active Directory pour les succursales (http://go.microsoft.com/fwlink/?LinkId=107114) (éventuellement en anglais).

Fonctionnalité de basculement

Les sites garantissent que la réplication est routée de manière à éviter les défaillances du réseau et les contrôleurs de domaine hors connexion. Le vérificateur de cohérence des données s’exécute à intervalles définis pour adapter la topologie de réplication aux modifications qui se produisent dans les services de domaine Active Directory, par exemple lors de l’ajout de nouveaux contrôleurs de domaine ou de la création de nouveaux sites. Il examine l’état de réplication des connexions existantes pour déterminer si elles fonctionnent correctement. Si une connexion ne fonctionne pas en raison de l’échec d’un contrôleur de domaine, le vérificateur de cohérence des données génère automatiquement des connexions temporaires avec d’autres partenaires de réplication (si possible) pour garantir le bon déroulement de la réplication. Si aucun des contrôleurs de domaine d’un site n’est disponible, le vérificateur de cohérence des données crée automatiquement des connexions de réplication entre les contrôleurs de domaine d’un autre site.

Sous-réseau

Un sous-réseau est un segment de réseau TCP/IP auquel a été affecté un ensemble d’adresses IP logiques. Les sous-réseaux regroupent les ordinateurs de façon à identifier leur proximité physique sur le réseau. Les objets sous-réseau dans les services de domaine Active Directory identifient les adresses réseau utilisées pour mapper les ordinateurs aux sites.

Site

Les sites sont des objets Active Directory qui représentent un ou plusieurs sous-réseaux TCP/IP dotés de connexions réseau rapides et très fiables. Les informations de site permettent aux administrateurs de configurer l’accès à Active Directory et la réplication Active Directory pour optimiser l’utilisation du réseau physique. Les objets site sont associés à un ensemble de sous-réseaux et chaque contrôleur de domaine d’une forêt est associé à un site Active Directory en fonction de son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites.

Lien de sites

Les liens de sites sont des objets Active Directory qui représentent des chemins d’accès logiques utilisés par le vérificateur de cohérence des données pour établir une connexion pour la réplication Active Directory. Un objet lien de sites représente un ensemble de sites qui peuvent communiquer à coût uniforme par le biais d’un transport intersite spécifique.

On considère que tous les sites contenus dans le lien de sites sont connectés au moyen du même type de réseau. Les sites doivent être liés manuellement à d’autres sites à l’aide de liens de sites pour que les contrôleurs de domaine d’un site puissent répliquer les modifications de l’annuaire à partir des contrôleurs de domaine d’un autre site. Étant donné que les liens de sites ne correspondent pas au chemin emprunté par les paquets réseau sur le réseau physique pendant la réplication, il n’est pas nécessaire de créer des liens de sites redondants pour améliorer l’efficacité de la réplication Active Directory.

Lorsque deux sites sont connectés par un lien de sites, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques de chaque site que l’on appelle des serveurs tête de pont. Dans Windows Server 2008, tous les contrôleurs de domaine d’un site qui hébergent la même partition d’annuaire sont des serveurs tête de pont potentiels. Les connexions de réplication créées par le vérificateur de cohérence des données sont distribuées de manière aléatoire parmi tous les serveurs tête de pont potentiels d’un site pour partager la charge de travail représentée par la réplication. Par défaut, le processus de sélection aléatoire n’a lieu qu’une seule fois, à savoir lorsque les objets de connexion sont ajoutés pour la première fois au site.

Pont de liens de sites

Un pont de liens de sites est un objet Active Directory qui représente un ensemble de liens de sites dont les sites peuvent tous communiquer à l’aide d’un même transport. Les ponts de liens de sites permettent aux contrôleurs de domaine qui ne sont pas connectés directement par une liaison de communication de se répliquer entre eux. En règle générale, un pont de liens de sites correspond à un routeur (ou à un ensemble de routeurs) sur un réseau IP.

Par défaut, le vérificateur de cohérence des données peut établir un itinéraire transitif par le biais de tous les liens de sites qui ont des sites en commun. Si ce comportement est désactivé, chaque lien de sites représente un réseau distinct et isolé. Les ensembles de liens de sites qui peuvent être traités comme un itinéraire unique sont désignés par un pont de liens de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau.

Les ponts de liens de sites constituent un mécanisme permettant de représenter de manière logique la connectivité physique transitive entre des sites. Un pont de liens de sites permet au vérificateur de cohérence des données d’utiliser n’importe quelle combinaison parmi les liens de sites inclus pour déterminer l’itinéraire le moins coûteux pour interconnecter les partitions d’annuaire contenues dans ces sites. Le pont de liens de sites ne fournit à proprement parler aucune connectivité avec les contrôleurs de domaine. S’il est supprimé, la réplication continue sur les liens de sites combinés jusqu’à ce que le vérificateur de cohérence des données supprime les liens.

Les ponts de liens de sites ne sont nécessaires que si un site contient un contrôleur de domaine hébergeant une partition d’annuaire qui n’est pas également hébergée sur un contrôleur de domaine d’un site adjacent et qu’un ou plusieurs autres sites de la forêt contiennent un contrôleur de domaine hébergeant cette partition d’annuaire. Les sites adjacents correspondent aux sites inclus dans un même lien de sites.

Un pont de liens de sites crée une connexion logique entre deux liens de sites et fournit un chemin d’accès transitif entre deux sites déconnectés en utilisant un site intermédiaire. Pour les besoins du générateur de topologie intersite (ISTG), le pont implique une connectivité physique en utilisant le site intermédiaire. Le pont n’implique pas qu’un contrôleur de domaine du site intermédiaire va fournir le chemin de réplication. Toutefois, ce serait le cas si le site intermédiaire contenait un contrôleur de domaine qui hébergeait la partition d’annuaire à répliquer, auquel cas un pont de liens de sites ne serait pas requis.

Le coût de chaque lien de sites est ajouté de façon à obtenir le coût global du chemin d’accès. Le pont de liens de sites est utilisé si le site intermédiaire ne contient pas de contrôleur de domaine hébergeant la partition d’annuaire et s’il n’existe pas de lien moins coûteux. Si le site intermédiaire contenait un contrôleur de domaine hébergeant la partition d’annuaire, deux sites déconnectés établiraient des connexions de réplication avec le contrôleur de domaine intermédiaire sans utiliser le pont.

Transitivité des liens de sites

Par défaut, tous les liens de sites sont transitifs ou, en d’autres termes, reliés par un pont. Lorsque les liens de sites sont reliés par un pont et que les planifications se chevauchent, le vérificateur de cohérence des données crée des connexions de réplication qui déterminent les partenaires de réplication des contrôleurs de domaine entre les sites, auquel cas les sites ne sont pas connectés directement par des liens de sites, mais de manière transitive par le biais d’un ensemble de sites communs. Cela signifie que vous pouvez connecter un site à n’importe quel autre site au moyen d’une combinaison de liens de sites.

En général, pour un réseau entièrement routé, vous n’avez besoin de créer aucun pont de liens de sites sauf si vous voulez contrôler le flux des modifications de réplication. Si votre réseau n’est pas entièrement routé, vous devez créer des ponts de liens de sites pour éviter les tentatives de réplication impossibles. Tous les liens de sites d’un transport spécifique appartiennent implicitement à un même pont de liens de sites pour ce transport. Le pontage par défaut des liens de sites est automatique et aucun objet Active Directory ne représente ces ponts. Le paramètre Relier tous les liens de sites, que l’on trouve dans les propriétés des conteneurs de transport intersite IP et SMTP (Simple Mail Transfer Protocol), implémente le pontage automatique des liens de sites.

noteRemarque
La réplication SMTP ne sera pas prise en charge dans les futures versions des services de domaine Active Directory, par conséquent il est déconseillé de créer des objets lien de sites dans le conteneur SMTP.

Serveur de catalogue global

Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les objets de la forêt pour permettre aux applications d’effectuer des recherches dans les services de domaine Active Directory sans faire référence aux contrôleurs de domaine spécifiques qui stockent les données demandées. Comme tous les contrôleurs de domaine, un serveur de catalogue global stocke des réplicas complets et accessibles en écriture des partitions d’annuaire de schéma et de configuration, et un réplica complet et accessible en écriture de la partition d’annuaire de domaine du domaine qu’il héberge. En outre, il stocke un réplica partiel et en lecture seule d’un domaine sur deux dans la forêt. Un réplica de domaine partiel et en lecture seule contient tous les objets du domaine, mais seulement un sous-ensemble des attributs (ceux qui servent le plus souvent à rechercher l’objet).

Mise en cache de l’appartenance aux groupes universels

Grâce à la mise en cache de l’appartenance aux groupes universels, le contrôleur de domaine peut mettre en cache les informations d’appartenance aux groupes universels des utilisateurs. Vous pouvez permettre aux contrôleurs de domaine exécutant Windows Server 2008 de mettre en cache l’appartenance aux groupes universels à l’aide du composant logiciel enfichable Sites et services Active Directory.

Si la mise en cache de l’appartenance aux groupes universels est activée, il n’est pas nécessaire d’avoir un serveur de catalogue global dans chacun des sites d’un domaine, ce qui réduit l’utilisation de la bande passante réseau car un contrôleur de domaine ne doit pas répliquer tous les objets se trouvant dans la forêt. Cela permet également de réduire les temps de connexion car les contrôleurs de domaine d’authentification n’ont pas toujours besoin d’accéder à un catalogue global pour obtenir les informations d’appartenance aux groupes universels. Pour savoir quand utiliser la mise en cache de l’appartenance aux groupes universels, voir Planification du placement des serveurs de catalogue global.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft