Sites et services Active Directory

Paru le 17/09/2004

Ce guide explique comment utiliser le composant logiciel enfichable Sites et services Active Directory pour administrer la topologie de réplication au sein d'un même site sur un réseau local (LAN) et entre plusieurs sites sur un réseau étendu (WAN).

Sur cette page

Introduction
Présentation
Utilisation de l'outil Sites et services
Annexe : Concepts de la topologie de réplication
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

L'objectif principal du composant logiciel enfichable Sites et services Active Directory de Windows Server 2003 est d'administrer la topologie de réplication d'un environnement d'entreprise au sein d'un même site sur un réseau local (LAN) et entre plusieurs sites sur un réseau étendu (WAN).

Remarque :  L'annexe contient des informations supplémentaires sur la façon dont la réplication des services Active Directory est effectuée. Si vous ne possédez pas une bonne connaissance de la réplication, vous pouvez consulter cette annexe avant de poursuivre.

Sites

Un site est une partie de votre réseau où la connectivité bénéficie d'une bande passante importante et consiste, par définition, en un ensemble d'ordinateurs correctement connectés exploitant des sous-réseaux IP. Comme les sites contrôlent la manière dont la réplication se réalise, les modifications apportées à l'aide du composant logiciel enfichable Sites et services jouent sur le degré d'efficacité avec lequel les contrôleurs de domaine (DC) présents dans un domaine (mais séparés par de grandes distances) peuvent communiquer.

Le concept de site diffère de celui des domaines basés sur Windows Server 2003, car un site peut s'étendre sur plusieurs domaines et un domaine sur plusieurs sites. Les sites ne font pas partie de l'espace de noms de votre domaine. Ils contrôlent la réplication des informations du domaine et aident à déterminer la proximité des ressources. Par exemple, une station de travail va sélectionner un contrôleur de domaine au sein de son site en vue de s'authentifier auprès de lui.

Pour assurer une réplication correcte des services Active Directory, un autre service, dénommé Vérificateur de cohérence des données (KCC, Knowledge Consistency Checker) s'exécute sur tous les contrôleurs de domaine et établit automatiquement les connexions entre les ordinateurs individuels du même site. Celles-ci sont appelées objets de connexion Active Directory. Un administrateur peut établir des objets de connexion supplémentaires ou en supprimer. Toutefois, dès que la réplication devient impossible au sein d'un site ou qu'elle présente un point de défaillance unique, le KCC intervient et établit autant de nouveaux objets de connexion qu'il est nécessaire pour poursuivre la réplication Active Directory.

La réplication entre sites implique un choix entre coût et vitesse. C'est pour cette raison que le mécanisme de réplication inter-sites (entre sites) autorise la sélection de transports alternatifs et s'établit via la création de liens de sites et de ponts de liens de sites.

Premier-Site-par-défaut

Votre premier site a été mis en place automatiquement à l'installation de Windows Server 2003 sur le premier contrôleur de domaine de votre entreprise. Le nom Premier-Site-par-défaut est attribué à ce site. Vous pouvez conserver ce nom ou renommer le site ultérieurement.

La topologie de réplication des sites de votre réseau contrôle :

• L'emplacement de la réplication, à savoir quels DC communiquent directement avec quels autres DC du même site. Par ailleurs, cette topologie contrôle la manière dont les sites communiquent entre eux.

• Le moment de la réplication. La réplication entre sites peut être programmée dans son intégralité par l'administrateur. La réplication entre DC d'un même site est fondée sur les notifications, ces dernières étant envoyées dans les cinq minutes suivant la modification d'un objet du domaine.

Tous les DC qui viennent d'être promus sont placés dans le conteneur Site qui leur est associé à l'installation. Par exemple, il se peut qu'un serveur destiné à Toulouse ait été initialement construit et configuré au centre de calcul de Nouméa en Nouvelle-Calédonie, et donc placé sur le site de Nouméa par l'Assistant Configurer votre serveur. Une fois à Toulouse, l'objet serveur peut être déplacé vers le nouveau site à l'aide du composant logiciel enfichable Sites et services.

Vous pouvez utiliser la partie sites du composant logiciel enfichable Sites et services pour effectuer les opérations suivantes :

• Afficher les sites valides d'une entreprise. Par exemple, Premier-Site-par-défaut peut être le nom d'un site tel que Siège social. Vous pouvez créer, supprimer ou renommer des sites.

• Afficher les serveurs qui font partie d'un site. Vous pouvez supprimer ou déplacer des serveurs entre différents sites. (Remarque :  Bien qu'il vous soit possible d'ajouter des serveurs manuellement, cette tâche s'effectue généralement automatiquement lors de la configuration des contrôleurs de domaine.)

• Afficher les applications qui exploitent les connaissances du site. La racine de la topologie Active Directory se trouve sous Sites\Premier-Site-par-défaut\Serveurs. Ce répertoire contient uniquement les serveurs qui font partie d'un site spécifique, quel que soit leur domaine. Pour afficher les connexions d'un serveur donné, ouvrez Sites\Premier-Site-par-défaut\Serveurs\{serveur}\Paramètres NTDS. Pour chaque serveur, des connexions et des programmes contrôlent les opérations de réplication vers d'autres serveurs du site.

  • Connexions. Pour que deux machines effectuent une réplication bidirectionnelle, une connexion doit relier la première machine à la seconde et une connexion complémentaire doit relier la seconde machine à la première.

  • Programmes. Dans un site, une réplication par réception des deltas des nouveaux répertoires s'effectue entre serveurs environ toutes les cinq minutes. Les programmes ont une importance considérable au sein d'un site car ils imposent des notifications régulières vers les partenaires entrants, au cas où l'un de ces partenaires comporterait un objet de connexion endommagé. Ce type de notification survient généralement toutes les six heures. Par ailleurs, les programmes sont également très importants car ils contrôlent la réplication par réception entre sites. (Il n'existe pas de réplication automatique à intervalles de cinq minutes entre sites.)

• Afficher les transports et les liens entre sites. Les transports représentent les protocoles utilisés pour communiquer entre sites choisis (par exemple, IP).

• Afficher les sous-réseaux. Les sous-réseaux permettent à l'administrateur d'associer des séries d'adresses IP à des sites.

Conditions préalables

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• Guide pas à pas pour la configuration de contrôleurs de domaine supplémentaires

• Guide pas à pas pour la création d'une connexion réseau privé virtuel de site à site

Utilisation de l'outil Sites et services

Pour démarrer l'outil Sites et services Active Directory

1. Sur HQ-CON-DC-01, cliquez sur le bouton Démarrer, pointez sur Programmes, Outils d'administration, puis cliquez sur Sites et services Active Directory. Une console s'affiche, comme le montre la figure 1.

   
   Figure 1.  Composant logiciel enfichable Sites et services Active Directory

Modification des propriétés du site

Pour renommer le site Premier-Site-par-défaut

1. Cliquez sur le signe plus (+) en regard de Sites pour développer l'arborescence.

2. Cliquez avec le bouton droit sur Premier-Site-par-défaut dans le volet gauche de la console, puis cliquez sur Renommer.

3. Tapez Seattle-WA, puis appuyez sur Entrée.

Création d'un site

Les sites dans Active Directory représentent la structure physique ou la topologie de votre réseau. Active Directory utilise les informations de topologie, stockées en tant que site et objets lien du site dans le répertoire, pour construire la topologie de réplication la plus efficace. Vous utilisez Sites et services Active Directory pour définir les sites et les liens de sites. Un site est un ensemble de sous-réseaux correctement connectés. Les sites diffèrent des domaines ; ils représentent la structure physique de votre réseau tandis que les domaines représentent la structure logique de votre organisation.

Pour ajouter un site

1. Cliquez avec le bouton droit sur Sites dans le volet gauche de la console, puis cliquez sur Nouveau site.

2. Dans la boîte de dialogue Nouvel objet - Site, tapez Vancouver-BC comme nom du nouveau site.

3. Sélectionnez DEFAULTIPSITELINK, puis cliquez sur OK.
   (Remarque :  Les liens de sites sont expliqués plus loin dans ce document.)

4. Vérifiez les informations figurant dans la boîte de message Active Directory, puis cliquez sur OK.

Déplacement d'ordinateurs dans des sites

Vous pouvez à présent déplacer des ordinateurs provenant d'autres sites jusqu'à ce site au sein du conteneur Serveurs de chaque site.

Remarque :  Des sites sont attribués aux ordinateurs selon leur adresse IP et leur masque de sous-réseau. L'attribution de sites pour les clients et les serveurs membres est différente de celle pour les contrôleurs de domaine. Pour un client, l'attribution de sites est déterminée dynamiquement par son adresse IP et son masque de sous-réseau lors de l'ouverture de session. Pour un contrôleur de domaine, l'appartenance à un site est déterminée par l'emplacement de son objet serveur associé dans Active Directory.

Pour déplacer des ordinateurs dans un site

1. Dans le composant logiciel enfichable Sites et services Active Directory, cliquez sur le signe plus (+) en regard de Seattle-WA, puis sur Serveurs.

2. Dans le volet des résultats, cliquez avec le bouton droit sur HQ-CON-DC-02, puis cliquez sur Déplacer.

3. Dans la boîte de dialogue Déplacer un serveur, sélectionnez Vancouver-BC comme dans la figure 2, puis cliquez sur OK.

   
   Figure 2.  Déplacement d'un ordinateur entre sites

4. Répétez les étapes 2 et 3 pour déplacer HQ-CON-DC-03 vers le site Vancouver-BC.

5. Dans le volet gauche, cliquez sur le signe plus (+) en regard de Vancouver-BC, puis sur Serveurs. Vérifiez que les deux serveurs sont affectés au site.

Utilisation de sous-réseaux

Comme indiqué précédemment, un site est un ensemble d'ordinateurs correctement connectés sur un réseau à grande vitesse tel qu'un réseau local (LAN). Tous les ordinateurs d'un même site se trouvent généralement dans le même bâtiment ou sur le même réseau. Un site unique consiste en un ou plusieurs sous-réseaux IP. Les sous-réseaux sont des sous-divisions d'un réseau IP, chaque sous-réseau possédant sa propre adresse de réseau unique. Une adresse de sous-réseau regroupe des ordinateurs voisins à peu près comme les codes postaux regroupent des adresses postales voisines. Chaque site est associé à un ou plusieurs sous-réseaux.

Pour ajouter un sous-réseau à un site particulier

1. Dans le volet gauche de la console, cliquez sur Sous-réseaux, cliquez avec le bouton droit sur Sous-réseaux, puis cliquez sur Nouveau sous-réseau.

2. Dans la boîte de dialogue Nouvel objet - Sous-réseau, tapez les séries de chiffres appropriées dans les champs Adresse et Masque comme le montre la figure 3, sélectionnez Vancouver-BC, puis cliquez sur OK.

   
   Figure 3.  Ajout d'un sous-réseau

Une fois créé, le sous-réseau s'affiche dans le dossier Sous-réseaux. Bien que le sous-réseau ait été associé au site Vancouver-BC lors de sa création, il peut être modifié de façon à pointer vers un autre site.

Pour associer ce sous-réseau à un site particulier

1. Dans le dossier Sous-réseaux, cliquez avec le bouton droit sur 30.0.10.0/24, puis cliquez sur Propriétés.

2. Dans la boîte de dialogue Propriétés de 30.0.10.0/24, sélectionnez le site à associer à ce sous-réseau dans la liste déroulante comme le montre la figure 4, puis cliquez sur OK.

   
   Figure 4.  Association d'un sous-réseau à un site

3. Cliquez sur l'onglet Emplacement, puis entrez une description de l'emplacement du site. Pour cet exemple, tapez Vancouver, puis cliquez sur OK.

Liens de sites

La création d'un lien entre deux sites ou plus est un moyen d'influencer la topologie de réplication. En créant un lien de sites, vous fournissez à Active Directory des informations sur les connexions disponibles, les connexions recommandées et la quantité de bande passante disponible. Active Directory utilise ces informations pour choisir des heures et des connexions pour la réplication, qui permettront d'obtenir des performances optimales.

Pour qu'une réplication programmée puisse s'effectuer entre plusieurs sites, les deux sites doivent s'accorder sur un transport de communication. En général, les liens de sites seront basés sur IP.

Pour créer un lien de sites

1. Cliquez sur le signe plus (+) en regard de Transports inter-sites, cliquez avec le bouton droit sur IP, puis cliquez sur Lien vers un nouveau site.

2. Dans la boîte de dialogue Nouvel objet - Lien du site, tapez PNW-Connexion lente dans le champ Nom comme le montre la figure 5, puis cliquez sur OK.

   
   Figure 5.  Création d'un lien de sites

3. Dans le volet droit affichant les liens de sites IP, double-cliquez sur le lien PNW-Connexion lente que vous venez de créer.

4. Dans la boîte de dialogue Propriétés de PNW-Connexion lente, tapez Réplication toutes les 24 heures dans le champ Description, définissez le paramètre Réplication toutes les à 1440, puis cliquez sur OK.

Remarque :  Si vous supprimez DEFAULTIPSITELINK, la réplication entre Seattle et Vancouver aura lieu toutes les 24 heures sur IP via le lien de sites PNW-Connexion lente.

Ponts de liens de sites

Par défaut, tous les liens de sites sont reliés par un pont (transitifs). Cela permet à deux sites quelconques non connectés par un lien de sites explicite de communiquer directement via une chaîne de liens de sites et de sites intermédiaires. Le pontage de tous les liens de sites présente l'avantage de faciliter la maintenance du réseau. En effet, vous n'avez pas à créer un lien de sites pour décrire chaque itinéraire possible entre deux sites.

En règle générale, vous pouvez laisser le pontage automatique des liens de sites activé. Toutefois, il peut être intéressant de désactiver le pontage automatique des liens de sites et de créer manuellement des ponts pour des liens de sites spécifiques dans les cas suivants :

• Le réseau n'est pas complètement routé (tous les contrôleurs de domaine ne peuvent pas communiquer directement entre eux).

• La stratégie de routage ou de sécurité en vigueur sur le réseau n'autorise pas la communication directe entre tous les contrôleurs de domaine.

• Votre architecture Active Directory comprend un grand nombre de sites.

Annexe : Concepts de la topologie de réplication

Vue d'ensemble de la réplication

Excepté dans le cas de très petits réseaux, les données de l'annuaire doivent se trouver à plusieurs emplacements sur le réseau pour être utiles à tous les utilisateurs de manière équitable. La réplication permet à Active Directory de conserver des réplicas des données de l'annuaire sur plusieurs contrôleurs de domaine, ce qui garantit la disponibilité et l'efficacité de l'annuaire pour tous les utilisateurs. Active Directory utilise un modèle de réplication multimaître qui permet de mettre à jour l'annuaire sur n'importe quel contrôleur de domaine et non sur un seul contrôleur principal de domaine désigné. Active Directory s'appuie sur le concept de sites pour garantir l'efficacité de la réplication et sur le KCC pour déterminer automatiquement la meilleure topologie de réplication pour le réseau.

Organisation des données en vue de la réplication

Les données sont stockées sur chaque contrôleur de domaine du magasin d'annuaire, lequel est divisé en partitions d'annuaire logiques. Chaque partition contient un type différent de données d'annuaire : données de domaine, données du schéma de la forêt, données de configuration de la forêt, données d'application. Tous les contrôleurs de domaine d'une forêt contiennent un réplica des partitions de schéma et de configuration de cette forêt ; tous les contrôleurs de domaine d'un domaine particulier contiennent un réplica de la partition de domaine correspondante. Les partitions d'annuaire d'application contiennent les données d'annuaire propres à une application particulière et peuvent être stockées sur des contrôleurs de domaine appartenant à des domaines différents. Les modifications de chaque partition d'annuaire sont répliquées vers tous les contrôleurs de domaine contenant une copie de cette partition.

La réplication garantit également la disponibilité du catalogue global à travers la forêt tout entière. Le catalogue global est un magasin d'annuaire qui contient des données sur tous les objets de tous les domaines et permet de rechercher ces données. Le catalogue global est stocké sur les contrôleurs de domaine pour lesquels il a été activé.

Réplication plus efficace grâce aux sites

Pour améliorer l'efficacité de la réplication, Active Directory s'appuie sur des sites. Les sites sont des groupes d'ordinateurs correctement connectés qui déterminent la manière dont les données d'annuaire sont répliquées. Active Directory réplique des informations de l'annuaire dans un site précis plus régulièrement qu'à travers plusieurs sites. De cette manière, les contrôleurs de domaine les mieux connectés, c'est-à-dire ceux qui sont les plus susceptibles d'avoir besoin d'informations précises sur l'annuaire, reçoivent en premier les mises à jour répliquées. Les contrôleurs de domaine des autres sites reçoivent également les modifications de l'annuaire, mais moins fréquemment, ce qui réduit la consommation de bande passante du réseau.

Choix de la topologie de réplication

Le KCC est un processus exécuté sur chaque contrôleur de domaine qui identifie automatiquement la topologie de réplication la plus efficace pour le réseau en fonction des informations sur le réseau fournies dans Sites et services Active Directory. Il recalcule régulièrement la topologie de réplication pour tenir compte des éventuelles modifications du réseau. Le processus KCC d'un seul contrôleur de domaine dans chaque site (le générateur de topologie inter-sites) détermine la topologie de réplication entre les sites.

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :

• Réplication Active Directory 

• Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web