Architecture distribuée d'accès aux ressources
Introduction
Ce chapitre aborde l’architecture distribuée (DFS) par la présentation de l’installation, de la configuration des racines, des liaisons, de la réplication DFS-R et des outils.
Description de DFS
L’acronyme DFS signifie Distributed File Systems.
C’est un système de fichiers unique, logique, hiérarchisé, qui structure les fichiers partagés sur différents ordinateurs du réseau sous la forme d’une arborescence logique de ressources système. Le premier objectif de DFS est de référencer tous les partages que l’on veut rendre accessibles de manière uniforme et de centraliser tous les espaces disponibles sur les différents partages.
Ceci permet d’obtenir une vue uniforme et permanente des données qui ne seront plus liées aux serveurs physiques sur lesquels elles se trouvent. Outre l’économie d’unités réseaux, une seule lettre connectée permet d’atteindre tous les partages, les logiciels peuvent être configurés une fois pour toutes sur des chemins précis qui ne bougeront plus, même si les données sont déplacées entre deux machines, notamment en cas d’évolution de la volumétrie nécessaire.
Une autre possibilité très intéressante consiste à pouvoir répliquer les données d’un même dossier sur plusieurs liens réseaux, c’est-à-dire sur plusieurs partages. Cette tolérance de pannes apporte une fonctionnalité assez proche d’un cluster...
Installation
Contrairement aux anciennes versions, les modules DFS ne sont plus intégrés et démarrés automatiquement sur les serveurs Windows. La seule exception, mais de taille, se situe sur les contrôleurs de domaine qui utilisent la réplication DFS pour les dossiers de partages SYSVOL.
Les composants DFS font maintenant partie du rôle Service de fichiers et de stockage :
-
Le module FS-DFS-namespace apparaîtra sous le nom Espaces de noms DFS.
-
Le module FS-DFS-Replication apparaîtra sous le nom Réplication DFS.
La commande SERVERMANAGERCMD.EXE n’existe plus !
Les deux modules peuvent être utilisés séparément et répondre à des besoins différents. On peut très bien soit répliquer des dossiers, soit publier des espaces, mais l’idéal consiste à utiliser les deux fonctions en même temps.
1. Le module d’espace de noms
Comme dans Windows 2003, plusieurs espaces de nommages peuvent être créés. Ces espaces sont publiés dans Active Directory (AD).
L’installation du module d’espace de noms peut se faire dans l’environnement PowerShell par la commande :
Install-WindowsFeature FS-DFS-namespace
2. Le module de réplication
Le module de réplication permet de créer des groupes de réplication de données. Une réplication doit contenir...
Configuration du service DFS
1. Les différents types de racines distribuées
a. Les racines autonomes
Les racines autonomes permettent de créer des arborescences qui ne sont liées qu’à un serveur précis. Ces racines ne sont pas sécurisées, c’est-à-dire que la racine DFS ne sera ni accessible, ni utilisable si le serveur qui l’héberge ne fonctionne pas correctement. En revanche, les accès directs aux partages restent fonctionnels.
À noter que les dossiers (liens de partages) peuvent quand même être répliqués et synchronisés par un groupe de réplication spécifique.
Par ailleurs, si la racine autonome est configurée sur un cluster de fichiers, la racine DFS profitera de la même tolérance aux pannes que le partage de fichiers. Mais ceci ne sera possible que sur un cluster Windows Server 2008 ou plus.
Voici la procédure de création d’une racine autonome. La console Gestion du système de fichiers - distribués DFS peut être lancée à partir du menu Outils du gestionnaire de serveur.
En utilisant l’assistant de création d’un espace de nommage Nouvel espace de noms, ceci peut se mettre en place très rapidement.
Utilisez le bouton droit sur Espaces de noms pour faire apparaître le menu. Cliquez sur Nouvel espace de noms.
Les serveurs d’espaces de noms n’ont pas vocation à recevoir directement des données. Ils ne contiennent normalement que des dossiers virtuels qui eux, pointent sur des données réelles. Ce sont souvent des serveurs contrôleurs de domaine qui sont choisis pour suivre ce type d’information.
Indiquez le nom du serveur d’espace de noms.
Indiquez le nom de votre espace de noms.
Cliquez sur Modifier les paramètres... afin d’indiquer les permissions souhaitées sur la racine RACINE-AUTONOME qui sera vue comme un partage du serveur correspondant.
Il faut faire attention aux droits positionnés à ce niveau, car les éléments créés à la racine de ce partage se retrouveront effectivement dans le dossier local indiqué.
Le type d’espace correspond au choix crucial entre une racine qui sera spécifique à ce serveur, et une racine dite...
Configuration avancée
1. Les méthodes de classement
Les méthodes de classement sont très importantes à prendre en considération afin d’optimiser et d’éviter de nombreux désagréments.
En effet, lorsqu’un même dossier est accessible sur différents partages, situés sur différents serveurs, eux-mêmes situés sur des sites différents, l’optimisation logique serait d’utiliser le partage situé sur le serveur du site local. Même dans ce cas, il est parfois vital d’utiliser en priorité un serveur précis qui sert de référence. Dans d’autres cas, c’est un serveur distant qui sert de référence unique qu’il faut forcer afin d’éviter les modifications simultanées d’un document.
a. La configuration au niveau des racines DFS
L’onglet Références sur les propriétés des racines DFS permet de régler la valeur par défaut utilisée sur toutes les liaisons appartenant à cette racine.
-
L’ordre aléatoire
-
Moindre coût
-
Exclusion de tous les sites distants
L’Ordre aléatoire consiste à proposer de manière aléatoire tous les serveurs situés sur le site du client, puis toujours de manière aléatoire, tous les autres serveurs présents...
L’administration de DFS avec PowerShell
Toutes les commandes d’administration DFSUTIL, DFSCMD, DFSRADMIN, DFSRDIAG, DFSRMIG existent toujours. Mais leur suppression est prévue dans la prochaine version. Néanmoins, l’administration de tous les logiciels et services Windows se standardise sur le langage PowerShell qui sert de référence.
La première étape consiste à importer le module contenant toutes les commandes DFS :
Import-module DFSN
On remarque que les commandes PowerShell ne concernent que la gestion de l’espace de noms. La gestion de la réplication n’est pas concernée. Les outils de programmation WMI peuvent être utilisés pour cela.
Tous les partages basés sur les noms de serveurs utilisés dans les commandes suivantes devront être créés au préalable.
-
Créer le dossier
-
Créer un partage
L’ensemble des commandes permet de créer par script PowerShell l’équivalent de qui a été créé précédemment par l’interface d’administration.
1. L’administration des espaces de noms avec PowerShell
a. Gestion des racines
Cette commande permet de lister toutes les racines inscrites dans l’annuaire.
Get-DfsnRoot | ft -auto -wrap
Résultat :
Path type Properties TimeToLiveSec State Description
---- ---- ---------- ------------- ----- -----------
\\MaSociete.Priv\RACINE-DOMAINE Domain V2 Site Costing 300 Online
La commande FT utilisée derrière le caractère spécial | permet de tabuler le résultat et d’améliorer la lisibilité.
Créer une nouvelle racine appelée RACINE2-DOM2. Chaque partage distant utilisé doit exister au préalable.
New-DfsnRoot -Path '\\MaSociete.Priv\RACINE2-DOM2' -Targetpath
'\\SRVFIC1\RACINE2' -Type domainV2
Résultat :
Path Type Properties TimeToLiveSec State Description
---- ---- ---------- ------------- ----- ...
L’utilisation de DFS et les bons usages
L’utilisation de DFS ne nécessite aucune adaptation sur les postes clients.
En effet, du côté utilisateur (et des clients Windows), les partages DFS et les racines sont vus comme des partages classiques. C’est souvent dans le script de connexion que l’on réalise la connexion aux racines, souvent en remplacement de toutes les anciennes connexions.
Par ailleurs, il est important de noter que les racines DFS de domaine sont disponibles pour tous les utilisateurs de la forêt. Mais, toutes les permissions affectées aux partages et aux dossiers NTFS restent totalement actives comme s’il s’agissait d’un accès direct.
En revanche, l’utilisation de DFS permet de simplifier le nombre d’unités disques et de partages utilisés. Ceci permet de fédérer l’ensemble des espaces disponibles.
Les applications peuvent être configurées sur un chemin unique qu’il sera possible de maintenir durant toute la vie de la forêt.
DFS dans la configuration Hub & Spoke est préconisé pour la réplication sur de nombreux sites d’informations bougeant peu ou n’ayant qu’un seul point de modification. Les procédures validées, notices, compte rendus et informations générales sont les documents entrant dans ce type de configuration.
DFS peut...
Interaction avec d’autres composants
1. La détection du site par DirectAccess
Windows Server 2016 fournit la possibilité aux utilisateurs distants connectés par DirectAccess d’utiliser le meilleur lien DFS possible selon le site.
Les utilisateurs distants reçoivent des références vers les serveurs de noms et les dossiers cibles les plus proches de l’emplacement de la connexion.
Lors des connexions DFS réalisées par DirectAccess sur Windows 7, Windows Server 2008 R2 ou plus, les ordinateurs distants dont l’adresse IP ne fait pas partie d’un site spécifié dans Active Directory ne reçoivent qu’une seule référence. Cette référence ne contiendra qu’un seul nom de serveur provenant de n’importe quel site qu’il soit local ou distant.
Lors des connexions DFS sont réalisées par DirectAccess sur Windows 8 (et plus) ou Windows Server 2012 (et plus), l’ordinateur fournit un nom de site dans la demande de référence (Request Referral) vers un serveur d’espace de noms utilisant Windows Server 2012 (ou plus). Le serveur d’espaces de noms utilisera le site transmis pour fournir la référence vers le site le plus proche disponible.
Pour que cette détection fonctionne, le client doit être sous Windows 8 ou Windows Server 2012, et le serveur sous Windows Server 2012 ou une version supérieure....
BranchCache
Cette fonctionnalité apparue dans Windows Server 2008 R2 permet d’optimiser l’accès aux ressources partagées hébergées sur des partages de fichiers ou des serveurs web internes de type documentaire tels que SharePoint pour les sites distants.
La logique de fonctionnement correspond beaucoup à celle des Proxy Internet. C’est-à-dire que lors de la première récupération d’un document (fichier ou exécutable), celui-ci ne passe qu’une seule fois par la liaison lente. Pour tous les autres clients de ce document sur ce site, après une vérification des droits et de la non-modification du document, celui-ci est transmis directement par l’ordinateur présent sur le site qui en dispose d’une copie. L’économie est réalisée non seulement sur la bande passante de la liaison, mais aussi sur les temps d’accès aux documents et applications distantes qui deviennent très proches d’un accès local.
Cette option est aussi disponible à partir de Windows 7 sous la forme d’un cache réparti entre les différentes machines.
À partir des systèmes clients Windows 7 et serveurs 2008 R2, la technologie BranchCache peut être utilisée. Il suffit d’activer la stratégie Windows correspondante.
Attention, sur les serveurs de fichiers où l’on veut activer des partages et utiliser le BranchCache, un service de rôle doit être ajouté dans le rôle Service de fichiers et de stockage.
1. L’installation de BranchCache
La première étape consiste à installer la fonctionnalité sur chaque serveur partageant des ressources.
Néanmoins, toutes les opérations peuvent se faire à partir d’une seule machine possédant le gestionnaire de serveur 2012 (ou plus) installé.
L’assistant d’ajout de rôles et de fonctionnalités peut être lancé à différents niveaux du gestionnaire de serveur. L’option la plus rapide est souvent le bouton Gérer du menu principal.
L’installation de tous les rôles et fonctionnalités...
Les dossiers de travail
1. Présentation
Il s’agit d’un nouveau rôle de service dépendant du service de fichiers et de stockage. L’objectif est de permettre la synchronisation de fichiers professionnels entre plusieurs PC ou appareils appartenant à un même utilisateur, qu’ils appartiennent ou non à l’entreprise. Les fichiers sont gérés par l’entreprise qui garde le contrôle de l’information en définissant le cadre d’utilisation par des stratégies de cryptage et de mots de passe.
Le client Dossiers de travail est fourni sur Windows 8.1 (versions normale et RT) et Windows 10 qui peuvent utiliser cette fonctionnalité (le module n’existe pas pour le serveur, donc n’est pas compatible Windows Server 2012 R2 ou Windows Server 2016). Le client doit être téléchargé pour Windows 7. L’application Work Folders client for Devices existe maintenant pour Android, iPhone et iPad.
Les dossiers de travail sont placés dans un dossier du serveur appelé Partage de synchronisation. Le dossier choisi peut contenir des documents de l’utilisateur qui seront immédiatement disponibles pour l’utilisateur sans réaliser de migration particulière.
L’administration est possible depuis l’interface du Server Manager ou par commandes PowerShell.
Voici la liste des commandes utilisables :
Commande PowerShell |
Description |
Enable-SyncShare |
Activer un partage de synchronisation. |
Disable-SyncShare |
Désactiver un partage de synchronisation. |
Get-SyncServerSetting |
Obtenir la configuration d’un partage de synchronisation. |
Get-SyncShare |
Obtenir la liste des partages. |
Get-SyncUserSetting |
Récupérer la configuration de l’utilisateur à partir du serveur de synchronisation. |
Get-SyncUserStatus |
Récupérer le statut de l’utilisateur à partir du serveur de synchronisation. |
New-SyncShare |
Créer un partage de synchronisation. |
Remove-SyncShare |
Supprimer un partage de synchronisation. |
Repair-SyncShare |
Réinitialiser les métadonnées d’un utilisateur de partage de synchronisation. |
Set-SyncServerSetting |
Modifier la configuration d’un serveur de partages de synchronisation. |
2. Les prérequis
Sur le réseau interne, voici les prérequis minimums :
-
Un serveur...
Conclusion
De nombreuses améliorations concernant DFS n’apparaissent qu’indirectement ! Par exemple, le fait de disposer de commandes PowerShell pour configurer la réplication DFS permet d’utiliser Remote PowerShell à partir d’une machine où le composant n’est pas installé.
L’existence d’un fournisseur WMI pour la réplication améliorera les nouveaux outils de gestion destinés à piloter la réplication.
Une base DFSR corrompue peut être reconstruite sans risque de pertes liées à une synchronisation initiale non autoritaire. Il n’y a plus le risque de perdre arbitrairement les fichiers en conflit. Auparavant, en cas d’erreur dans la base lors d’une synchronisation initiale, la réplication redémarrait complètement à partir de la source sans prendre en compte les fichiers plus récents qui pouvaient s’y trouver.
Le cross-file RDC est maintenant désactivable. Par défaut, la réplication peut utiliser jusqu’à cinq sources d’un même fichier pour générer un nouveau fichier sur une nouvelle destination. C’est généralement un gain de temps et de bande passante sur les réseaux lents ou moyens. En revanche, selon la configuration du réseau, si les réseaux sont rapides, ceci peut affecter les performances...