Windows -- Concepts de base Active Directory

​Active Directory est constitué d'un ou de plusieurs contextes d'appellation ou partitions. Chaque partition est répliquée selon sa propre topologie de réplication entre les contrôleurs de domaine concernés. Chaque contrôleur de domaine possède à tout moment au moins trois partitions :

• La partition du schéma de la forêt à laquelle il appartient,
• La configuration (topologie de réplication et métadonnées associées) de la forêt à laquelle il appartient,
  
• La partition spécifique du domaine auquel il appartient.
  

La forêt :

Une forêt est constituée d’un ensemble de domaines qui sont reliés de façon hiérarchique. Tous les domaines d'une forêt partagent certaines parties communes de l’annuaire. On parle de partition d’annuaire. Les partitions communes au sein de tous les domaines sont celles du schéma, de la configuration et du catalogue global. Tous les domaines d'une forêt donnée s'accordent une confiance mutuelle par l'intermédiaire de relations d'approbation Kerberos transitives et implicites. Une forêt existe en tant qu'ensemble d'objets de références croisées et de relations d'approbation Kerberos connues des domaines membres. La forêt représente la totalité d’une structure d’annuaire Active Directory. Une forêt peut comporter un seul domaine.


 Le domaine :

Un domaine est défini par une limite de sécurité unique au sein d’une forêt Active Directory. Il comporte notamment ses propres règles de sécurité (politique des mots de passe, …), ses propres politiques de configurations (GPO) et ses propres objets (comptes utilisateurs, comptes ordinateurs, groupes, …). Un domaine peut recouvrir plusieurs sites physiques. Plusieurs domaines peuvent être interconnectés pour former une forêt lorsqu’ils partagent le même annuaire Active Directory. Dans ce cas, les partitions de schéma, de configuration et de catalogue global sont communes à tous les domaines. La partition de domaine est spécifique à chaque domaine et n’est répliquée qu’entre les contrôleurs du domaine correspondant.


Le schéma :

Le schéma Active Directory est implémenté comme un ensemble d'éléments de classes d'objets et d’attributs stockés dans l'annuaire. Dans l’annuaire Active Directory d’une forêt, chaque objet est créé à partir d’un modèle d’une classe et de ses attributs (par exemple, on crée des objets utilisateurs à partir de la classe Utilisateur ou de la classe InetOrgPerson). Ces définitions de classes et d’attributs, appelées aussi "métadonnées", sont elles-mêmes stockées sous forme d’objets.
 

Le catalogue global :

Un catalogue global est un contrôleur de domaine qui stocke une copie de tous les objets Active Directory présents dans une forêt. Il stocke également les attributs de recherche les plus courants de chaque objet. Il contient ainsi une copie complète de tous les objets de l’annuaire de son domaine et une copie partielle de tous les objets de tous les autres domaines de la forêt. Il permet ainsi d’effectuer efficacement des recherches sans avoir à faire inutilement référence aux contrôleurs de domaine. Certains services comme Exchange le sollicitent beaucoup.

Le rôle de serveur de catalogue global ne doit jamais être placé sur un serveur disposant également du rôle unique d’Infrastructure Master sauf dans les 2 cas suivants :

• Le contrôleur de domaine est unique
• Le domaine est unique au sein de la forêt – dans ce cas, si les 2 rôles sont sur la même machine, tous les DCs doivent aussi être Catalogue Global.
  

Les objets sites :

Un site est la représentation dans Active Directory d’un emplacement physique ou d’un réseau qui contient des ordinateurs intégrés dans Active Directory. Un site est défini comme un ou plusieurs sous-réseaux TCP/IP dont la connectivité est considérée extrêmement fiable et rapide. Cette approche permet de tirer parti du réseau physique. Par exemple, lorsqu'un utilisateur ouvre une session, le client Active Directory recherche systématiquement les contrôleurs de domaine qui font partie du même site que lui. La détermination du site local à l'ouverture de session n’est possible que lorsque le poste de travail de l'utilisateur sait déjà à quel sous-réseau TCP/IP il appartient. Pour cela, la liste de tous les sous-réseaux doit être définie dans Active Directory et chacun doit être rattaché à un site.

 
Les objets sous-réseaux :

Ils définissent les sous-réseaux TCP/IP physiques en tant qu’objet dans Active Directory. Ils sont toujours associés à un objet de type Site. Ils sont utilisés pour connaitre l’appartenance d’un poste ou d’un serveur à un site spécifique et pouvoir ensuite orienter le choix des différents services offerts par Active Directory vers le serveur approprié.

 
Les liens de sites :

Afin de permettre la construction des objets connexions et permettre la réplication entre deux sites, il doit exister au moins un objet de type lien de sites qui contient ces deux sites. Un objet lien de sites identifie le protocole de transport entre 2 sites ou plus. Il est caractérisé par un coût et la planification des périodes de réplication (coût de 100 et réplication toutes les 180 minutes par défaut).

Un lien de site peut être de type IP ou SMTP. Les caractéristiques de ces liens sont utilisées par le KCC (l’ISTG) pour construire la topologie de réplication intersite. Une attention particulière doit être prêtée pour leur définition dans le cadre de topologies avec plusieurs sites géographiques.

Un lien de site par défaut est crée et il comporte l’ensemble des sites qui sont ajoutés au fur et à mesure à moins qu’un administrateur change la topologie du site par défaut et en crée de nouveaux.

 
Les ponts de liens de sites :

Par défaut, la communication entre tous les liens de site est transitive. Cela implique que si un premier lien de site existe entre un site A et un site B, un second entre les sites B et C et un dernier entre les sites C et D, rien n’empêche l’établissement de connexions directes entre les sites A et D (la création sera dépendante des différents coûts sur les liens de sites). Il est possible de désactiver cette transitivité et d’établir des ponts entre les différents liens de site pour limiter l’établissement de connexions. Par exemple, établir un premier pont entre les liens AB et BC, et un second entre les liens BC et CD. Dans ce cas, même en cas d’indisponibilité de contrôleurs de domaine au sein des sites B et C, aucune connexions ne pourra être établie entre les sites A et D.

 
Les connexions et les topologies de réplication Intrasite et Intersite :

Il existe 2 types différents de topologie de réplication selon qu’elle concerne la réplication Intra-site ou Intersite.

 Pour la réplication Intrasite d’un annuaire, le processus responsable de créer la topologie de réplication des différentes partitions d’annuaire est le KCC (Knowledge Consistency Checker). Ce processus est actif sur l’ensemble des contrôleurs de domaine. Il crée les liens logiques ou connexions entre les différents contrôleurs de domaine du site automatiquement pour former une topologie de réplication en anneau à l’intérieur du site. Le KCC est le propriétaire des connexions qu’il crée.

Pour la réplication Intersite, le KCC d’un contrôleur de domaine de chaque site de la forêt hérite d’un rôle spécial : l’ISTG (Intersite Topology Generator (ISTG). Le contrôleur de domaine avec ce rôle désigne automatiquement un ou plusieurs serveurs à partir desquels seront construites les connexions de site à site. Ces serveurs désignés par l’ISTG sont appelés serveurs ‘tête de pont’ (bridgehead). Même si elle est réalisée sur les serveurs ‘tête de pont’, la création des connexions est pilotée sur chaque site par le serveur avec le rôle ISTG. L’ISTG est le propriétaire des connexions qu’il crée.

Ainsi, un objet de type connexion défini un lien de réplication unidirectionnel entre deux contrôleurs de domaine. L’objet est toujours rattaché au serveur de destination. C’est le processus KCC qui a la responsabilité de créer toutes les connexions nécessaires. Mais que ce soit pour la réplication intrasite ou intersite, un administrateur peut créer manuellement des connexions ou modifier leurs propriétés. Cependant, dans ce cas, le KCC ou l’ISTG perd le contrôle de ces connexions car il n’en est pas ou plus propriétaire : il ne peut plus les modifier ou les supprimer, même si elles s’avèrent défaillantes. De ce fait, les redondances doivent être générées et contrôler de façon manuelle par un administrateur systèmes. Cette situation est parfois recommandée dans certaine configuration avec un très grand nombre de DC afin de limiter la création de connexion mais de manière générale, Microsoft recommande de faire confiance au mécanisme KCC et lui laisser la responsabilité de toute la topologie de réplication.

 
Serveur ‘tête de pont’ (bridgehead) :

Un serveur ‘tête de pont’ fournit le point d’entrée et de sortie pour la réplication d’annuaire entre sites. Depuis Windows 2003, il peut y avoir plusieurs serveurs ‘tête de pont’ au sein d’un même site, ceux-ci étant choisis automatiquement par le processus ISTG. Il est cependant possible de désigner un ou plusieurs serveurs ‘tête de pont’ préféré au sein d’un site. Dans ce cas, ce sont uniquement ces serveurs qui seront utilisés au sein du site pour établir les connexions de réplication intersite.


Les serveurs DNS :

Le rôle DNS est essentiel pour le fonctionnement d’un annuaire AD, particulièrement pour la communication entre contrôleurs de domaine d’une part et celle entre les contrôleurs et les autres machines du domaine d’autre part. Les anomalies DNS sont souvent responsables de dysfonctionnement pour la réplication ou pour les mécanismes d’authentification AD.


Structure d’OU :

La structure d’OU permet de répartir l’ensemble des objets de l’annuaire dans une arborescence hiérarchisée. Il existe de nombreuse façon d’implémenter une structure d’OU avec chacune leurs avantages et inconvénients. Il n’y a donc pas de canevas unique sur la façon d’organiser l’annuaire mais un certain nombre de règle sont parfois transgressées et ils convient ici de rappeler les 3 règles élémentaires :

• La première justification d’un OU, c’est de pouvoir déléguer l’administration des objets situés à l’intérieur à une population spécifique,
• La seconde justification d’une OU, c’est de pouvoir y associer une ou plusieurs GPO,
  
• Enfin, un annuaire AD ne doit pas être considéré comme un classeur pour ranger les objets
  

Synchronisation du temps :

La synchronisation du temps est essentielle au sein d’un annuaire Active Directory, et plus particulièrement pour le bon fonctionnement des mécanismes d’authentification Kerberos. Le temps est donc distribué au sein d’une forêt par le DC du domaine racine avec le rôle PDC Emulator. Il est important que ce serveur soit synchronisé correctement avec une source de temps extérieure fiable. Il faut aussi veiller à ce que l’ensemble des DCs d’un domaine soit correctement synchronisée avec le serveur avec le rôle PDC Emulator de leur domaine.


Les GPO :

Les stratégies de groupe ou GPO (Group Policy Object) sont utilisées afin de configurer de façon contrôlée et distribuée un ensemble de paramètres sur des ordinateurs ou des utilisateurs d’un domaine. Il est par exemple possible d’appliquer des restrictions, de renforcer la sécurité ou de déployer des applications. Les GPO sont positionnées au niveau d’un site AD, d’un domaine AD ou d’une OU au sein d’un domaine AD. Elles affectent les comptes ordinateurs ou utilisateurs situés à l’intérieur de la structure à laquelle est elle liée.

A noter qu’une GPO est composée de 2 parties distinctes :

• Le conteneur de stratégie de groupe qui correspond à l’objet de définition de la GPO dans Active Directory. Il permet notamment d’identifier la GPO et de déterminer à quels OU et quels objets elle doit s’appliquer.  L’ensemble de ces objets GPO sont répliqués entre les différents DC d’un domaine au travers des mécanismes de réplication AD.
• Le Group Policy Template (GPT) qui contient en fait toutes les définitions de paramètres à appliquer pour une GPO donnée. Ce GPT est constitué par un ensemble de fichiers et de répertoires placés à l’intérieur de SYSVOL sur chaque DC. Les GPT sont répliqués entre les différents DC au travers du mécanisme de réplication de fichiers NTFRS.
  

Réplication Sysvol :

SYSVOL est un partage situé sur tous les DCs. Il regroupe l’ensemble des fichiers et répertoires des GPO ainsi que l’ensemble des scripts d’ouverture de session. Le partage NETLOGON est situé à l’intérieur de SYSVOL.

Le contenu de SYSVOL est répliqué entre tous les contrôleurs de domaine d’un même domaine via les mécanismes NTFRS.

Voici le lien vers la procédure MICROSOFT à suivre pour dépanner les soucis avec SYSVOL : http://technet.microsoft.com/en-us/library/bb727056.aspx

L’article suivant indique la procédure à appliquer pour reconstruire SYSVOL sur l’ensemble des contrôleurs de domaines (opération disruptive auprès des utilisateurs) : http://support.microsoft.com/kb/315457

 Le pointeur suivant explique le fonctionnement et l’utilisation du paramètre de registre BURFLAGS : http://support.microsoft.com/kb/290762

L’article suivant indique la façon dxe procéder pour restaurer SYSVOL de façon non-autoritaire : http://support.microsoft.com/kb/840674

 

​Retour...