La gestion des sites et de la réplication
Introduction
Active Directory a été conçu comme un service d’annuaire présentant des aspects montrant une centralisation importante de son administration, mais aussi d’autres aspects montrant quant à eux un phénomène de données multidistribuées et permettant leur accès depuis n’importe quel point d’une forêt. Ces deux éléments sont majeurs parce qu’ils rendent le service d’annuaire Active Directory extrêmement performant. Toutefois, tout ceci doit être articulé intelligemment, car ces avantages qui, encore une fois sont essentiels, posent de manière tout aussi importante le problème de la stabilité des données et de l’assurance de leur présence à l’échelle de toute une infrastructure Active Directory.
Si une forêt Active Directory contient plusieurs domaines, comment faire en sorte de différencier les informations liées strictement à un domaine de celles liées à la fois à un domaine et à une forêt ? C’est une question que nous ne pouvons pas éviter à partir du moment où nous considérons comme une exigence le fait de pouvoir accéder aux informations en lien avec une organisation Active Directory dans son intégralité, organisation qui, rappelons-le...
Définir la notion de site et de réplication Active Directory
Dans cette partie, nous nous intéressons à la structure physique d’une organisation Active Directory. En effet, Active Directory conserve des liens avec l’aspect dit physique d’une infrastructure particulière à travers la notion de site et de sous-réseau. Un site englobe une structure physique notamment caractérisée par un sous-réseau. Cette disposition permet de segmenter une organisation à partir d’éléments physiques et de développer ce qui est appelé une topologie de réplication.
L’existence de sites dans une organisation Active Directory va donc créer un phénomène de ségrégation, souvent basé sur la disposition des liens physiques, le but étant d’optimiser d’autres phénomènes comme l’authentification de clients recherchant automatiquement un contrôleur de domaine présent dans le site concerné. Aussi, la rapidité de réplication des informations sera tout autant optimisée au niveau d’un site Active Directory, tout comme l’accès à d’autres services devenant par là même plus proches.
La considération de la présence de sites au sein d’un domaine Active Directory implique nécessairement...
Lister les sites Active Directory existant dans une forêt
La première marche à franchir en matière de gestion des sites consiste en leur connaissance propre. Les sites sont en effet les objets d’une infrastructure Active Directory qui figurent parmi les plus importants. Du point de vue de leur localisation, les objets sites Active Directory se situent au niveau de la partition de configuration. Pour rappel, la partition de configuration est celle qui stocke notamment la topologie de réplication ainsi que la configuration d’objets à l’échelle d’une forêt Active Directory. Aussi, c’est une partition devant être répliquée au niveau de toute une forêt, et non à l’échelle d’un domaine particulier.
DÉFINITION Qu’est-ce qu’une partition ?
Une partition représente une partie d’une base de données Active Directory. La partition de configuration est une des parties d’une base de données Active Directory, mais il existe aussi la partition de schéma, dont le rôle est de stocker le schéma Active Directory composé d’une hiérarchie de classes accompagnées d’attributs. Une autre partition Active Directory importante est la partition de domaine ayant une dimension plus locale, c’est-à-dire une dimension regroupant les objets d’un même domaine. Ce sont là trois partitions que nous retrouverons systématiquement au sein d’une infrastructure Active Directory.
Lister des objets représentant des sites Active Directory n’est pas possible avec le module Active Directory PowerShell dans sa version 2008 R2. Cependant, un autre outil que nous avons brièvement introduit dans un précédent chapitre, ADSI, nous sera ici très utile pour accéder à la partition de configuration de la forêt contoso.com. Premièrement, créons un point d’entrée au niveau de la racine de l’arborescence de l’organisation contoso.com :
PS> $Root = ([ADSI]"LDAP://RootDSE")
PS> $Root
distinguishedName : {}
Path : LDAP://RootDSE
Ici, nous sommes exactement à la racine de l’arborescence...
Créer un site Active Directory et lui associer un sous-réseau
Au cours de la vie d’un administrateur ayant à gérer des structures physiques d’une infrastructure Active Directory, il arrivera que des opérations de création de site Active Directory se produisent. Lorsque cela sera le cas, et comme une telle opération est réalisée en plusieurs étapes, il sera intéressant d’avoir, à ce moment-là, le réflexe de l’automatisation. La création d’un site Active Directory avec Windows PowerShell est constituée de deux étapes :
1. |
La création du site à proprement parler. |
2. |
La définition du sous-réseau et l’association avec le site créé. |
1. Créer le site
Dans le domaine contoso.com, il existe un site nommé Contoso-Site. Ce site est le seul site existant pour le moment, et SLC-DC01 ainsi que SLC-DC02 en font partie. Dans le futur, un nouveau contrôleur de domaine devrait être déployé. De nouvelles machines existeront dans le domaine contoso.com et seront automatiquement liées à ce nouveau site. Ce qui nous est demandé est de préparer tous ces déploiements en créant, dans un premier temps un site et un sous-réseau, ces deux éléments étant reliés l’un à l’autre.
La première étape est donc de créer le site Active Directory. Dans ce but, reprenons la variable $Root initialisée dans la section précédente :
PS> $Root = ([ADSI]"LDAP://RootDSE")
PS> $Root
distinguishedName : {}
Path : LDAP://RootDSE
Là aussi, nous devons accéder à la partition de configuration pour réaliser l’opération de création d’un site :
PS> $SitesContainer =
[ADSI]"LDAP://CN=Sites,$($Root.configurationNamingContext)"
PS> $SitesContainer
distinguishedName : {CN=Sites,CN=Configuration,DC=contoso,DC=com}
Path : LDAP://CN=Sites,CN=Configuration,DC=contoso,DC=com
Le conteneur Sites est celui dans lequel le nouveau site doit exister, c’est une règle....
Créer un lien de sites Active Directory
Active Directory est un service d’annuaire dont les données sont répliquées au niveau de tout un écosystème. Un élément important à prendre en compte est que des liens de réplication doivent exister pour que les données soient répliquées entre deux sites Active Directory. Sans ces liens de réplication, Active Directory ne répliquera pas les informations qui doivent exister à l’échelle de toute une organisation.
1. Définir ce qu’est un lien de sites
Dans un contexte de gestion de sites Active Directory, la circulation des informations passe par le biais de la réplication. Pour ce qui est de la réplication intersites, les liens de réplication sont basés sur ce qui est appelé des « liens de sites ». Un lien de sites est ce qui relie des sites Active Directory pour que des cycles de réplication aient lieu.
En outre, un lien de sites a des propriétés qu’il est important de souligner. Tout d’abord, un lien de sites est basé sur un intervalle de réplication, c’est-à-dire un laps de temps après lequel un cycle de réplication se produit. Ensuite, un autre aspect important concernant un lien de sites est son coût relatif, qui va permettre de prioriser un lien de site par rapport à un autre. Et là, une règle très simple existe en la matière : moins le coût relatif est élevé, et plus un lien de sites est prioritaire. Définir le coût relatif d’un lien de sites dépend de l’infrastructure physique d’une entreprise (qualité de la bande passante, liens physiques existants, etc.).
Aussi, il y a là une nécessité de planifier les cycles de réplication au sein d’une infrastructure Active Directory. En fonction du trafic ou d’un taux de saturation particulier, il va souvent de l’intérêt...