Cette nouvelle fonctionnalité du système de fichiers DFS conserve le chemin d'accès UNC (Universal Naming Convention) d'origine des fichiers après leur déplacement vers un nouveau serveur. L'impact de la migration et de la consolidation des serveurs de fichiers est ainsi diminué. En outre, les utilisateurs ne perdent plus leur temps à rechercher des fichiers et le bon fonctionnement des applications sectorielles est assuré.

Dans de nombreux cas, il est pratique de conserver les chemins d'accès UNC lorsque les fichiers sous-jacents sont déplacés vers d'autres serveurs ou utilisent d'autres chemins d'accès. Par exemple, vous pouvez conserver les chemins d'accès UNC auxquels les utilisateurs sont habitués si vous migrez ou consolidez vos serveurs de fichiers existants sur des ordinateurs Microsoft Windows Server 2003. En effet, ces chemins sont peut-être incorporés dans des liens, des applications sectorielles et à d'autres endroits où les noms sont difficiles à modifier.

La racine de consolidation est plus facile à configurer à l'aide des outils de migration des serveur de fichiers (File Server Migration Toolkit), disponibles sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=37029.

Cette fonctionnalité peut être également configurée manuellement par modification de clés dans le Registre Windows, comme l'explique l'article consacré à l'utilisation de la mise à jour du système de fichiers DFS (Distributed File System) pour la prise en charge des racines de consolidation, sur le site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/LindId=43006.

Les administrateurs peuvent modifier l'espace de noms DFS pour corriger des erreurs ou modifier la hiérarchie à mesure que les besoins de l'entreprise évoluent ou que de nouveaux dossiers sont ajoutés à l'espace de noms.

Avant la publication de Windows Server 2003 Service Pack 1, les administrateurs ne disposaient d'aucun moyen pour renommer des éléments de leur espace de noms. L'attribution d'un nouveau nom ou le déplacement d'un élément près du niveau supérieur de l'espace de noms était une tâche particulièrement difficile, car elle nécessitait la suppression et la création manuelle de chaque élément placé en-dessous.

Les administrateurs DFS peuvent désormais se servir de l'utilitaire de ligne de commande dfscmd pour déplacer ou renommer des liens. La syntaxe de cette nouvelle commande est la suivante :

dfscmd /move \\DFSName\DFSShareName\Chemin d'accès \\Nom_Serveur\nom_partage\Chemin d'accès

Les exemples suivants illustrent les différentes façons d'utiliser cette commande :

• Pour créer un dossier, déplacez le contenu d'un dossier existant vers un nouveau dossier et rectifiez au besoin les liens sous le dossier :
  dfscmd /move \\domain\root\old_folder \\domain\root\new_folder
  
• Pour transformer un dossier existant en sous-dossier d'un nouveau dossier de niveau supérieur et rectifier au besoin les liens sous le dossier :
  dfscmd /move \\domain\root\old_folder \\domain\root\new_top_folder\old_folder
  
• Pour déplacer le contenu d'un dossier vers un dossier existant
  dfscmd /move \\domain\root\folder \\domain\root\other-folder\
  

Le basculement des clients dans des espaces de noms DFS est le processus par lequel les clients tentent d'accéder à un autre serveur d'une référence suite à la défaillance d'un serveur ou à sa suppression de l'espace de noms. Les administrateurs DFS peuvent spécifier la restauration automatique des clients sur un serveur local défini par défaut lorsque celui-ci est restauré. La stratégie de restauration de cible peut être définie pour toute la racine, ou pour des liaisons distinctes.

Avant la publication de Windows Server 2003 Service Pack 1, les administrateurs ne disposaient d'aucun moyen pour configurer des clients pour une restauration, après le retour à un fonctionnement normal, sur leurs serveurs locaux. Il est intéressant de noter que ce comportement peut se révéler problématique dans des environnements de succursales, lorsque les clients conservent leur accès au serveur concentrateur même après la restauration du serveur de la succursale.

Les paramètres de restauration pour les racines et les liaisons peuvent être définis au moyen de l'option /TargetFailback de dfsutil. Par ailleurs, un correctif logiciel de la restauration automatique des clients DFS pour Windows XP et Windows Server 2003 doit être installé pour permettre au client de procéder à la restauration automatique après le retour à un fonctionnement normal.

La définition de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs\Parameters\SysvolNetlogonTargetFailback et le redémarrage du service DFS sur le contrôleur de domaine active la restauration de cible pour les demandes de références SYSVOL/NETLOGON gérées par ce contrôleur.

La priorité donnée à la cible permet aux administrateurs DFS d'attribuer de façon explicite une priorité à un lien DFS ou à une cible racine.

Avant la publication de Windows Server 2003 Service Pack 1, les administrateurs ne disposaient d'aucun moyen pour attribuer une préférence entre des serveurs hébergeant les mêmes données dans un espace de noms. Pour pallier à cet inconvénient, les administrateurs créaient des sous-réseaux spéciaux pour ces serveurs et des sites artificiels dans Active Directory avec des coûts de liaison élevés. Cette solution s'avère toujours aussi complexe, de longue haleine et conduit à des coûts de maintenance accrus.

Les API de gestion DFS ont été ajoutées pour configurer la place d'un serveur au début ou à la fin d'une référence, autrement dit au début ou à la fin de la liste des serveurs renvoyés au client pour un dossier (lien) donné dans l'espace de noms. L'attribution de priorité à une cible se révèle utile dans de nombreux cas, par exemple dans les scénarios de "secours à chaud" lorsqu'un serveur est considéré comme ultime recours. Dans ce cas précis, l'administrateur définit le serveur de secours pour qu'il apparaisse en dernier dans les références. Ainsi, les clients basculent sur ce serveur uniquement si tous les autres serveurs tombent en panne ou se retrouvent indisponibles en raison de problèmes réseau.

Dans Windows Server 2003 Service Pack 1, les administrateurs peuvent déléguer la possibilité de gérer les racines DFS de domaine en définissant des droits sur l'objet DFS dans Active Directory. Les administrateurs peuvent également déléguer la possibilité de gérer des racines DFS autonomes en définissant des droits sur l'objet DFS dans le Registre. Il s'agit d'une fonctionnalité supplémentaire par rapport au modèle de délégation existant qui permet d'ajouter des administrateurs DFS au groupe Administrateurs local sur chaque serveur hébergeant l'espace de noms.

Dans les versions précédentes de Windows Server 2003, les administrateurs qui souhaitent déléguer la gestion d'un espace de noms à un utilisateur doivent d'abord l'affilier au groupe Administrateur local sur chaque serveur hébergeant l'espace de noms. Cette condition peut être source d'incohérence au niveau de la gestion si les appartenances au groupe ne sont pas définies correctement ; elle donne également à l'utilisateur un accès total au système de fichiers local de chaque serveur d'espace de noms.

Les procédures suivantes ont été mises à jour suite au changement de fonctionnalité :

1. Dans le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le menu Affichage, puis cliquez sur Fonctionnalités avancées.

2. Dans l'arborescence de la console, double-cliquez sur le dossier Système pour le développer.

3. Cliquez sur le dossier Configuration DFS.

   Tous les objets racine existants s'affichent dans le volet d'informations.

4. Cliquez avec le bouton droit sur l'objet racine dont vous souhaitez autoriser la gestion, puis cliquez sur Propriétés.

5. Sous l'onglet Sécurité, cliquez sur Ajouter.

6. Tapez le nom de l'utilisateur, puis cliquez sur OK.

7. Vérifiez que l'autorisation Contrôle total est bien accordée à l'utilisateur, puis cliquez sur OK.

Remarques

Les droits de l'utilisateur définis dans la liste de contrôle d'accès appliquée à l'objet DFS dans Active Directory sont évalués au niveau des cibles racines individuelles. Pour cette raison, les droits octroyés à des utilisateurs et à des groupes connus sont ignorés du fait des différences potentielles entre l'appartenance des groupes connus, dans Active Directory et à chaque cible racine. Par exemple, l'octroi aux utilisateurs avec pouvoir du contrôle total sur l'objet racine DFS dans Active Directory ne les autorisera pas à gérer la racine DFS correspondante sur les cibles racines individuelles. En outre, si un utilisateur ou un groupe connu se voit doté de droits sur une cible racine tandis que l'accès à l'objet racine DFS dans Active Directory lui est refusé, ce refus sera ignoré par les cibles racines DFS.

1. À l'aide de regedit, accédez à la clé suivante :

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DFS\Roots\Standalone

2. Cliquez avec le bouton droit sur l'objet racine dont vous souhaitez autoriser la gestion par l'utilisateur, puis cliquez sur Autorisations....

3. Sous l'onglet Sécurité, cliquez sur Ajouter.

4. Tapez le nom de l'utilisateur, puis cliquez sur OK.

5. Vérifiez que l'autorisation Contrôle total est bien accordée à l'utilisateur, puis cliquez sur OK.

Pour les clients DFS qui exécutent Windows XP sans le Service Pack 2 ou Windows Server 2003 sans SP1, la durée de vie d'une référence détermine l'heure la plus proche à laquelle un client demandera une nouvelle référence, à condition uniquement que la référence existante expire avant qu'un nouvel accès ne soit tenté. Les clients qui utilisent une référence en cache renouvellent sa durée de vie et l'utilisent ainsi indéfiniment jusqu'à ce que le cache contenant la référence soit effacé ou le client redémarré.

Ce comportement a été modifié pour les clients exécutant Windows XP avec SP2 et Windows Server 2003 avec SP1. Concrètement, la valeur de la durée de vie n'est pas renouvelée chaque fois qu'un client accède à une cible par le biais d'une référence mise en cache. En fait, la référence expire une fois la valeur de la durée de vie périmée.

Cette modification permet aux clients DFS exécutant Windows XP avec SP2 ou Windows Server 2003 avec SP1 d'honorer la valeur de la durée de vie réelle d'une référence. Un avantage de cette modification est que les clients DFS exécutant ces Service Packs réagissent plus vite aux modifications de liens et de racines. Par exemple, si les cibles liées d'un lien nommé En cours sont modifiées quotidiennement, les clients DFS non dotés de ces services packs actualiseront la valeur de la durée de vie chaque fois qu'ils accèderont au lien En cours, ils continueront ainsi à référencer des cibles liées obsolètes bien au-delà de la valeur de la durée de vie associée à la demande de référence initiale.

Les effets suivants ont été remarqués :

• Les clients exécutant Windows XP avec SP2 ou Windows Server 2003 avec SP1 ont tendance à demander des références plus fréquemment que les autres clients DFS, ce qui se traduit par une charge modérément accrue sur les serveurs racine DFS de domaine, les serveurs racine autonomes et les contrôleurs de domaine.
  
• Du fait de ces demandes plus fréquentes de nouvelles références, les clients exécutant Windows XP SP2 ou Windows Server 2003 SP1 trouvent les mises à jour des espaces de noms plus rapidement que les autres clients DFS.
  
• Si l'on considère le basculement DFS, ce nouveau comportement peut amener le client DFS à basculer sur une nouvelle cible si la cible précédemment active n'est plus présente dans la nouvelle référence, par exemple lorsque l'espace de noms est modifié pour supprimer la cible à laquelle le client a accédé.
  

Le service DFS est désactivé par défaut dans Windows Server 2003 Service Pack 1.

Dans Windows Server 2003 SP1, les services inutiles sont désactivés par défaut pour diminuer la surface du serveur qui est exposée aux attaques.

Le service DFS sera désactivé par défaut sur les ordinateurs équipés de nouvelles installations Windows Server 2003 dotées du Service Pack 1.

Le service DFS sera également désactivé sur un ordinateur Windows Server 2003 qui a été mis à niveau avec le Service Pack 1, sauf si ce serveur est un contrôleur de domaine ou s'il héberge déjà une racine DFS existante.

Lorsqu'un serveur exécutant Windows Server 2003 SP1 est promu contrôleur de domaine, le service DFS est activé.