Intégration à Active Directory
Introduction à Active Directory
Exchange 2016, comme tous ses prédécesseurs depuis Exchange 2000, s’appuie sur Active Directory. Il repose sur ce dernier, non seulement pour la récupération d’informations essentielles au fonctionnement de la messagerie, comme les comptes d’utilisateurs, mais également pour y stocker des données propres à Exchange. Compte tenu de cette interaction forte, il est essentiel de bien comprendre les mécanismes de fonctionnement d’Active Directory ainsi que les interactions entre Active Directory et Exchange.
Nous allons voir précisément comment Exchange 2016 utilise les différents composants de l’annuaire afin de fournir les services de travail collaboratif.
1. Définition d’Active Directory
Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les environnements Windows.
Il s’agit d’un annuaire (une base de données) centralisé contenant les objets du réseau et qui permet aux utilisateurs de localiser, de gérer et d’exploiter aisément les ressources.
Parmi ses principales vocations, nous pouvons citer l’authentification des utilisateurs et des ressources, permettant l’ouverture d’une session sur un domaine, ou encore la définition et l’application de stratégies de groupes (GPO - Group Policy Object).
Exchange va lui aussi s’appuyer sur Active Directory non seulement en utilisant des données issues de cet annuaire, afin, par exemple, de créer une boîte aux lettres pour un compte d’utilisateur Active Directory, mais également pour y stocker ses propres paramètres de configuration permettant à un client de localiser au travers d’Active Directory le serveur Exchange qui héberge sa boîte aux lettres.
Active Directory s’appuie sur le protocole LDAP (Lightweight Directory Access Protocol) pour l’interrogation des bases de données Active Directory.
Contrairement à une requête SQL basée sur une approche relationnelle, une requête LDAP est hiérarchisée, reflétant l’organisation des ressources.
Ainsi, pour le schéma suivant :
Nous avons le domaine edition-eni.lan dans lequel une unité d’organisation...
Sites Active Directory et réplication
Les sites Active Directory permettent l’optimisation de la réplication des données de l’annuaire Active Directory. Pour cela, il est recommandé de délimiter les segments du réseau présentant des variations de débit en différents sites.
1. Fonctionnement des sites
Un site Active Directory peut être défini comme le regroupement d’un ou plusieurs sous-réseaux connectés entre eux par une liaison à haut débit fiable (liaison LAN). La définition des sites va permettre à Active Directory d’optimiser la réplication et l’authentification afin d’exploiter au mieux les liaisons les plus rapides.
Généralement, un réseau local correspondra à un site Active Directory, alors que deux bâtiments interconnectés par une liaison louée dont le débit est limité pourraient représenter deux sites Active Directory :
En effet, les différents sites d’une entreprise sont souvent reliés entre eux par des liaisons avec un débit beaucoup plus faible que celui du réseau local, et parfois avec un niveau de fiabilité relativement bas. La création de liens de sites va permettre dans ce cas de prendre en compte la topologie physique du réseau pour les opérations de réplication. Parmi ces paramètres, on retrouvera notamment le coût de la liaison, une planification ainsi que l’intervalle de temps entre deux réplications.
Par défaut, même lorsque vous n’avez pas défini de site, lorsque vous installez un contrôleur de domaine, celui-ci est placé dans le site par défaut nommé Default-First-Site-Name.
Lorsqu’un seul site existe, les réplications sont propagées au fil de l’eau vers et depuis tous les contrôleurs de domaine du domaine.
Concernant Exchange, il va s’appuyer sur les sites Active Directory pour le transport, mais également pour la réplication. Sans distinction de site, le DAG (Data Availability Group) est incapable d’identifier si un serveur est sur le même sous-réseau et risque de lancer une réplication de bases à travers un lien à faible débit.
La définition...
Partitions d’annuaire
La base de données Active Directory est présente sur chaque contrôleur de domaine de la forêt Active Directory. Plus concrètement, il s’agit du fichier NTDS.DIT, que l’on retrouve dans le répertoire C:\Windows\NTDS (en considérant que votre système d’exploitation est installé sur le lecteur C:).
Cette base de données se compose de plusieurs partitions d’annuaire, la partition d’annuaire de schéma, la partition d’annuaire de configuration, la partition d’annuaire de domaine et la partition d’applications.
Le schéma ci-dessous illustre le partitionnement de la base NTDS.DIT ainsi que la portée des partitions dans la forêt Active Directory :
1. Partition d’annuaire de schéma
Cette partition contient la définition exhaustive des objets et attributs pouvant être créés dans l’annuaire, ainsi que les règles de création et de gestion de ces objets. Ces informations sont répliquées sur l’ensemble des contrôleurs de domaine de la forêt (il ne peut y avoir qu’un seul schéma Active Directory pour une forêt).
Avant d’installer Exchange 2016, il est nécessaire de mettre à jour le schéma Active Directory pour y inclure les classes et attributs spécifiques à...
Les rôles maîtres d’opérations
Nous avons vu au travers des partitions Active Directory, que les modifications apportées à Active Directory étaient répliquées sur différents contrôleurs de domaine.
Lorsque l’on souhaite effectuer une modification, par exemple, l’ajout d’un compte utilisateur, cette opération est effectuée sur un seul contrôleur de domaine, auquel votre console d’administration est connectée. Dans l’illustration suivante, vous pourrez constater que nous sommes connectés sur le contrôleur de domaine AD-DC01 :
Lorsque l’on apporte une modification à Active Directory sur un contrôleur de domaine, elle sera donc répliquée sur différents contrôleurs de domaine en fonction de leur portée.
Généralement, cette modification sera propagée sur l’ensemble des contrôleurs de domaines, qui fonctionnent donc en réplication multimaître.
Néanmoins, il existe des opérations critiques pour la forêt et/ou les domaines qui ne peuvent être prises en charge par n’importe quel contrôleur de domaine. Aussi, pour éviter les conflits liés à des modifications sur ces éléments, Active Directory utilise un mode de réplication monomaître, en s’appuyant sur des contrôleurs de domaine désignés comme maîtres d’opérations pour certaines actions, c’est-à-dire qu’un ou plusieurs rôles FSMO (Flexible Single Operations Master) leur ont été affectés.
Ces rôles FSMO sont au nombre de cinq :
-
Le rôle de contrôleur de schéma : il gère le schéma Active Directory....
Utilisation du DNS par Exchange
1. Concepts fondamentaux
Un serveur DNS (Domain Name System) permet de traduire des noms de ressources intelligibles en adresses IP.
Il s’agit, pour l’expliquer simplement, d’une base de données contenant des tables de correspondance entre les noms intelligibles que l’on donne aux ressources et les adresses IP correspondantes.
Sur Internet, toute ressource à laquelle nous souhaitons accéder dispose d’une adresse IP. Ceci va de soi lorsque l’on sait que TCP/IP signifie Transmission Control Protocol/Internet Protocol.
Lorsque l’on tape http://www.editions-eni.fr dans un navigateur, une demande de résolution est envoyée au serveur DNS désigné dans les paramètres réseau afin qu’il résolve "www.editions-eni.fr" en son adresse IP correspondante.
Au sein d’un domaine, le principe est similaire pour nos ressources internes.
Le système de nommage sur lequel s’appuie DNS est une structure hiérarchique et logique appelée espace de noms de domaine. L’InterNIC (Internet Network Information Center) gère la racine de cette arborescence. L’InterNIC est chargé de déléguer la responsabilité administrative de portions de l’espace de noms de domaine mais aussi d’inscrire les noms de domaine.
a. Espaces de noms de domaine
Les ressources, qu’elles soient internes ou externes, sont désignées par un nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain Name).
Le FQDN représente une ressource au sein d’un espace de noms de domaine. Les espaces de noms de domaine sont des structures hiérarchisées composées des éléments suivants :
-
Le nom de domaine racine, matérialisé par un point (.) : il se trouve au plus haut de la structure du nom de domaine.
-
Le TLD (Top Level Domain) ou domaine de niveau supérieur : il se situe juste en dessous du nom de domaine racine. Il s’agit de la dernière partie du nom de domaine (par exemple fr, com, org…). Dans notre exemple, il s’agit de "fr".
-
Les domaines de second niveau : ils se situent en dessous du TLD. Dans notre exemple, il s’agit de editions-eni.fr (editions-eni est le domaine de second niveau).
-
Les sous-domaines : placés...