Exporter (0) Imprimer
Développer tout

Nouveautés des AD DS : Services Web Active Directory

Mis à jour: janvier 2009

S'applique à: Windows Server 2008 R2

À quoi les services Web Active Directory servent-ils ?

Les services Web Active Directory (ADWS) dans Windows Server 2008 R2 sont de nouveaux services qui fournissent une interface de service Web aux domaines Active Directory, aux instances Active Directory Lightweight Directory Services (AD LDS) et aux instances d’outil de montage de base de données Active Directory s’exécutant sur le même serveur Windows Server 2008 R2 qu’ADWS. Si les services ADWS sur un serveur Windows Server 2008 R2 sont interrompus ou désactivés, les applications clientes, telles que le Module Active Directory pour Windows PowerShell ou le Centre d’administration Active Directory, ne seront en mesure d’accéder à aucune des instances de service d’annuaire s’exécutant sur ce serveur ou même de les gérer.

Les services ADWS sont installés automatiquement lorsque vous ajoutez le rôle de serveur AD DS ou AD LDS à votre serveur Windows Server 2008 R2. Les services ADWS sont configurés si vous faites de ce serveur Windows Server 2008 R2 un contrôleur de domaine en exécutant Dcpromo.exe ou si vous créez une instance AD LDS sur ce serveur Windows Server 2008 R2.

WarningAvertissement
Pour fonctionner correctement, les services ADWS requièrent que le port TCP 9389 soit ouvert sur le contrôleur de domaine sur lequel ils sont en cours d’exécution. Si vous configurez votre pare-feu au moyen d’un objet de stratégie de groupe, vous devez mettre à jour cet objet pour vous assurer que ce port soit ouvert pour les services ADWS.

Qui les services ADWS peuvent-ils intéresser ?

Les groupes suivants peuvent être intéressés par les services ADWS dans Windows Server 2008 R2 :

  • Les premiers utilisateurs de Windows Server 2008 R2 et les planificateurs et analystes des technologies de l’information qui procèdent à une évaluation technique de Windows Server 2008 R2

  • Les planificateurs et concepteurs informatiques d’une entreprise

  • Les équipes de gestion des services AD DS

  • Les administrateurs des services AD DS

Existe-t-il des considérations particulières ?

noteRemarque
Si un certificat d’authentification de serveur provenant d’une autorité de certification approuvée figure déjà sur votre serveur Windows Server 2008 R2 et que les services ADWS y sont déjà installés, vous pouvez ignorer cette section.

Les services ADWS exposent les points de terminaison qui prennent en charge les mécanismes d’authentification suivants :

  • L’authentification intégrée Windows, qui utilise l’authentification Kerberos avec des informations d’identification pouvant être déléguées

  • L’authentification simple (nom d’utilisateur et mot de passe en texte clair)

Afin que les services ADWS puissent exposer des points de terminaison prenant en charge l’authentification simple, vous devez demander et obtenir un certificat d’authentification de serveur d’une autorité de certification approuvée dans votre organisation, par exemple une autorité de certification Microsoft, ou d’une autorité de certification non Microsoft sur votre serveur Windows Server 2008 R2.

Par exemple, supposons que vous deviez installer un certificat d’authentification de serveur pour les services ADWS qui fournisse une interface de service Web à une instance AD LDS s’exécutant sur un serveur Windows Server 2008 R2 dans un environnement de groupe de travail. Le cas échéant, l’authentification simple doit être utilisée, parce que le protocole d’authentification Kerberos ne peut pas être utilisé pour l’authentification d’utilisateurs de groupe de travail.

Ce certificat d’authentification de serveur sera utilisé pour authentifier le serveur auprès du client et pour protéger le nom d’utilisateur et le mot de passe du client sur le réseau en chiffrant le canal des communications. Pour plus d’informations sur l’installation et l’utilisation d’une autorité de certification, voir Services de certificats (http://go.microsoft.com/fwlink/?LinkID=48952).

noteRemarque
Le certificat que vous installez ou importez doit être marqué pour l’authentification serveur.

Après avoir obtenu le certificat d’une autorité de certification approuvée, vous devez l’installer ou l’importer sur le serveur exécutant les services ADWS. Lorsque vous installez ou importez un certificat émanant d’une autorité de certification approuvée sur le serveur Windows Server 2008 R2 sur lequel les services ADWS sont installés, il est conseillé de stocker le certificat dans le magasin de certificats personnel de l’ordinateur local. Vous pouvez utiliser le composant logiciel enfichable CertificatsWindows Server 2008 R2 pour installer ou importer vos certificats. Pour plus d’informations, voir Certificats - Comment (http://go.microsoft.com/fwlink/?LinkId=99765).

Une fois que le certificat d’authentification serveur nécessaire a été installé sur Windows Server 2008 R2, vous devez arrêter puis redémarrer les services ADWS :

  • Vous pouvez interrompre les services ADWS en exécutant la commande suivante dans une invite de commandes : net stop ADWS.

  • Vous pouvez démarrer les services ADWS en exécutant la commande suivante dans une invite de commandes : net start ADWS.

Quelles sont les nouvelles fonctionnalités offertes par les services ADWS ?

Dans les services ADWS, une série de paramètres de configuration déterminent la façon dont les services ADWS dans Windows Server 2008 R2 gèrent le trafic que les administrateurs génèrent. Les administrateurs peuvent gérer les domaines AD DS, les instances AD LDS et les instances d’outil de montage de base de données Active Directory en utilisant des applications telles que le Module Active Directory ou le Centre d’administration Active Directory. Ces paramètres de configuration sont enregistrés dans le fichier Microsoft.ActiveDirectory.WebServices.exe.config, sous le répertoire %WINDIR%\ADWS.

Vous pouvez ajuster ces paramètres de configuration en modifiant le fichier Microsoft.ActiveDirectory.WebServices.exe.config file afin de prendre en compte le trafic qui est dirigé vers les services ADWS dans leur environnement Active Directory. Toute modification que vous apportez aux paramètres de configuration des services ADWS sur un contrôleur de domaine donné affecte uniquement le service ADWS s’exécutant sur ce contrôleur de domaine particulier. En d’autres termes, les modifications que vous apportez au fichier Microsoft.ActiveDirectory.WebServices.exe.config sur un contrôleur de domaine dans une forêt ou un domaine donné ne sont pas répliquées sur les autres contrôleurs de domaine dans cette forêt ou ce domaine.

Le tableau suivant répertorie les noms, les valeurs par défaut et les descriptions des paramètres de configuration ADWS qui déterminent la façon dont les services ADWS gèrent le trafic qui est généré par les administrateurs gérant les instances AD DS et AD LDS et les instances d’outil de montage de base de données Active Directory au moyen du module Module Active Directory ou du Centre d’administration Active Directory.

ImportantImportant
Nous vous déconseillons de modifier les valeurs par défaut de ces paramètres sauf s’ils vous empêchent d’administrer de façon efficace les instances de service d’annuaire qui sont prises en charge par les services ADWS par le biais du Module Active Directory ou du Centre d’administration Active Directory.

 

Nom du paramètre Valeur par défaut Description

MaxConcurrentCalls

32

Spécifie le nombre maximum de demandes de service simultanées que les services ADWS ont été configurés pour traiter à la fois. Définissez une valeur élevée pour ce paramètre si les services ADWS sur votre serveur Windows Server 2008 R2 doivent être en mesure de pouvoir traiter simultanément plus de 32 demandes de service à tout moment.

MaxConcurrentSessions

500

Spécifie le nombre maximum de sessions clientes que les services ADWS peuvent accepter à tout moment. Définissez une valeur élevée pour ce paramètre si les services ADWS sur votre serveur Windows Server 2008 R2 doivent être en mesure de pouvoir accepter simultanément plus de 500 sessions clientes à tout moment.

MaxReceivedMessageSize

1 Mo

Spécifie la taille maximum des demandes de message, en mégaoctets (MO), qu’un ordinateur client peut envoyer aux instances de service d’annuaire que les services ADWS prennent en charge. Ce paramètre peut affecter la mémoire utilisée par les services ADWS. Par exemple, si MaxConcurrentCalls est défini sur 32 et que MaxReceivedMessageSize est défini sur 1 Mo, les services ADWS sont configurés pour traiter au maximum 32 Mo de demandes de message clientes à tout moment.

MaxStringContentLength

32 Ko

Spécifie la taille de chaîne maximum, en kilo-octets (Ko), d’un attribut Lightweight Directory Access Protocol (LDAP) que les services ADWS sont configurés pour traiter dans une demande de message qu’un ordinateur client envoie à une instance de service d’annuaire prise en charge par les services ADWS. L’augmentation de cette valeur permet d’augmenter la quantité maximale de mémoire utilisée par les services ADWS.

MaxPoolConnections

10

Spécifie le nombre maximum de connexions LDAP pour chaque instance de service d’annuaire utilisée par les services ADWS s’exécutant sur un serveur Windows Server 2008 R2 donné.

Par exemple, si MaxPoolConnections sur un serveur Windows Server 2008 R2 particulier est défini sur 10 et que 3 instances de service d’annuaire s’exécutent sur ce serveur, ADWS utilise au maximum 10 connexions LDAP à chacune de ces instances de services d’annuaire pour traiter les demandes envoyées au service ADWS. De même que pour MaxConcurrentCalls, ce paramètre peut affecter le nombre maximum de demandes simultanées que les services ADWS peuvent traiter. Définissez ce paramètre sur une valeur plus élevée si vous vous apercevez que les demandes de service clientes arrivent à expiration pendant qu’elles attendent qu’une connexion LDAP soit disponible pour être traitées.

noteRemarque
Pour améliorer les performances, les services ADWS sur un serveur Windows Server 2008 R2 tiennent à jour un pool de connexions pour chaque instance de service d’annuaire s’exécutant sur ce serveur. Par exemple, si votre serveur Windows Server 2008 R2 est un contrôleur de domaine (et, par conséquent, exécute le rôle de serveur AD DS) et également un serveur de catalogue global, et qu’il exécute deux instances AD LDS et une instance d’outil de montage de base de données Active Directory (cinq instances de services d’annuaire au total), les services ADWS sur ce serveur Windows Server 2008 R2 tiennent à jour cinq pools de connexion LDAP séparés. Dans la mesure où un catalogue global ne partage pas le même port LDAP qu’AD DS, il est considéré comme étant une instance d’annuaire séparée.

MaxPercentageReservedConnections

50%

Spécifie le pourcentage de connexions LDAP qui sont réservées pour l’exécution d’opérations de requête pour chaque instance de service d’annuaire prise en charge par le service ADWS sur un serveur Windows Server 2008 R2 donné. Définissez ce paramètre sur un pourcentage plus élevé si les services ADWS sur ce serveur Windows Server 2008 R2 sont utilisés principalement pour exécuter des requêtes.

MaxConnectionsPerUser

5

Spécifie le nombre maximum de connexions LDAP (à une instance de service d’annuaire unique) que les services ADWS permettent d’utiliser à un moment donné pour les opérations qui sont associées à un ensemble unique d’informations d’identification clientes (un utilisateur). Définissez ce paramètre sur une valeur plus élevée si plus de cinq demandes clientes simultanées sont envoyées par un utilisateur à une instance de service d’annuaire unique s’exécutant sur votre serveur Windows Server 2008 R2. La valeur de MaxConnectionsPerUser ne peut pas être supérieure à la valeur de MaxPoolConnections. Si la valeur de MaxConnectionsPerUser est égale à la valeur de MaxPoolConnections, cela permettra à un ensemble unique d’informations d’identification clientes (pour un ordinateur client unique) d’utiliser toutes les connexions LDAP disponibles pour une instance de service d’annuaire donnée.

MaxEnumContextExpiration

30 minutes

Spécifie la période maximum autorisée pendant laquelle le service ADWS traite et extrait les résultats d’une demande de requête provenant d’un ordinateur client.

CautionAttention
Il est vivement déconseillé de modifier la valeur par défaut de ce paramètre. La plupart des résultats de recherche sont renvoyés dans les 30 minutes.

MaxPullTimeout

2 minutes

Spécifie la valeur de délai d’expiration maximum qu’un ordinateur client peut définir lorsqu’il extrait une page de résultats de recherche. Définissez ce paramètre sur une valeur plus élevée si la lenteur du trafic sur le réseau étendu (WAN) lent résulte en une valeur de délai d’expiration supérieure à deux minutes pour le renvoi d’une page de résultats de recherche.

noteRemarque
Les services ADWS traitent les demandes de recherche provenant d’ordinateurs clients de la manière suivante 

  • Un client envoie une demande de recherche.

  • Le service ADWS établit un contexte de recherche et renvoie un ID de contexte de recherche à l’ordinateur client.

  • À l’aide de cet ID de contexte de recherche, l’ordinateur client émet une demande de page pour extraire les résultats de recherche spécifiant le nombre d’objets LDAP pouvant être renvoyés par page.

MaxPullTimeout détermine le temps maximum qu’un client peut demander aux services ADWS de passer à récupérer une page de résultats, tandis que MaxEnumContextExpiration correspond au temps maximum que le contexte de recherche peut rester ouvert.

MaxEnumCtxsPerSession

5

Spécifie le nombre maximum de demandes de recherche (contextes de recherche) pouvant être envoyées via une session cliente unique aux services ADWS.

MaxEnumCtxsTotal

100

Spécifie le nombre maximum de demandes de recherche (contextes de recherche) pouvant être envoyées via toutes les sessions clientes actives aux services ADWS.

Pour modifier les valeurs des paramètres de configuration ADWS, modifiez le fichier Microsoft.ActiveDirectory.WebServices.exe.config dans un éditeur de texte quelconque puis enregistrez-le dans l’annuaire %WINDIR%\ADWS de votre serveur Windows Server 2008 R2. Une fois le fichier Microsoft.ActiveDirectory.WebServices.exe.config modifié, nous vous conseillons d’arrêter et de redémarrer les services ADWS :

  • Vous pouvez interrompre les services ADWS en exécutant la commande net stop ADWS dans une invite de commandes :

  • Vous pouvez démarrer les services ADWS en exécutant la commande net start ADWS dans une invite de commandes :

noteRemarque
Plusieurs des paramètres de configuration ADWS dans ce tableau affectent la limitation de bande passante sur un serveur Windows Server 2008 R2 sur lequel les services ADWS sont en cours d’exécution. Nous conseillons aux administrateurs de modifier les valeurs par défaut uniquement pour les paramètres suivants : MaxConcurrentCalls, MaxConcurrentSessions, MaxReceivedMessageSize et MaxStringContentLength.

Comment préparer le déploiement des services ADWS ?

Les services ADWS sont installés automatiquement lorsque vous ajoutez le rôle de serveur AD DS ou AD LDS à votre serveur Windows Server 2008 R2. Les services ADWS sont configurés si vous faites de ce serveur Windows Server 2008 R2 un contrôleur de domaine en exécutant Dcpromo.exe ou si vous créez une instance AD LDS sur ce serveur Windows Server 2008 R2.

Quelles éditions incluent les services ADWS ?

Les services ADWS sont disponibles dans les éditions suivantes de Windows Server 2008 R2 :

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

Les services ADWS sont disponibles dans les éditions suivantes de Windows Server 2008 R2 :

  • Windows Server 2008 R2 pour les systèmes Itanium

  • Windows Web Server 2008 R2

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft