Vous êtes sur la page 1sur 29

Chapitre 16

La conception de la topologie de sites

16.1 Les mécanismes de conception : définitions

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

565

16.2 Collecter les informations sur le réseau

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 580

16.3 Prévoir l’emplacement des contrôleurs de domaine

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

581

16.4 Concevoir des sites

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

587

16.5 Concevoir les liens de sites

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 588

16.6 Concevoir les ponts de liaison de sites

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 590

16.7 En résumé

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 591

Les mécanismes de conception : définitions

expression "topologie des sites" désigne la représentation logique du réseau physique. La conception d’une topologie de sites permet de router efficacement

les requêtes clients et le trafic de réplication d’Active Directory. Lorsqu’elle est réussie, elle offre les avantages suivants :

L’

j

une diminution du coût de la réplication des données Active Directory ;

j

une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ;

j

une planification de la réplication pendant les heures creuses pour les emplacements équipés de liens réseau lents ou de connexions à distance ;

j

une optimisation de la localisation des ressources les plus proches (contrôleurs de domaine, serveurs DFS…), une amélioration des processus d’ouverture et de fermeture de session et une amélioration des opérations de téléchargement de fichiers.

En outre, elle permet une meilleure visibilité sur le projet de déploiement d’Active Directory. Une conception de topologie de sites réussie permet aussi d’avoir les idées claires avant d’aborder des aspects plus techniques. Une réflexion sur les aspects concrets que sont la structure physique du réseau et l’objectif d’entreprise dans ce projet est cruciale : c’est le moyen d’éviter les ennuis techniques par la suite. Bien que ce chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en place d’Active Directory chez Puzzmania, il est indispensable d’aborder ce sujet au préalable afin d’éviter de prendre une mauvaise direction.

La conception d’une topologie de sites Active Directory inclut la compréhension de la structure physique du réseau, la planification du placement des contrôleurs de domaine, la conception des sites, des sous-réseaux, des liens de sites et des ponts de liaison de sites pour assurer l’efficacité du routage des requêtes et du trafic de réplication.

Voici la description du processus de conception d’une topologie de sites :

16. La conception de la topologie de sites Figure 16.1 : Processus de conception de
16. La conception de la
topologie de sites
Figure 16.1 : Processus de conception de la topologie de sites
Avant d’examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites.
16.1.
Les mécanismes de conception : définitions

La topologie de sites affecte les performances du réseau et la capacité des utilisateurs à accéder aux ressources réseau. Autrement dit, les utilisateurs risquent d’avoir une

565

Chapitre 16

La conception de la topologie de sites

mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adéquate.

Pour ce faire, vous devez connaître un minimum de définitions techniques.

Les fonctionnalités liées aux sites

Windows Server 2003 utilise des fonctionnalités liées aux sites qu’il est important de comprendre. Il s’agit du routage de la réplication, de l’affinité des clients, de la réplication des volumes systèmes (Sysvol), de DFS et de la localisation des services.

Routage de la réplication

Active Directory utilise un modèle de réplication multimaître afin de répliquer d’un contrôleur de domaine à un autre. Cela signifie qu’un contrôleur de domaine communique les modifications de l’annuaire à un deuxième contrôleur, qui les communique à un troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de domaine soient informés des modifications. Afin d’obtenir le meilleur équilibre possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie des sites contrôle la réplication Active Directory en distinguant la réplication qui intervient au sein d’un site et celle qui intervient entre les sites distants. À l’intérieur d’un même site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse.

En pratique, vous trouverez et pourrez configurer l’objet de connexion de réplication dans le composant logiciel enfichable Sites et services Active Directory en déployant

l’objet contrôleur de domaine et le sous-objet NTDS Settings .

16. La conception de la topologie de sites
16. La conception de la
topologie de sites

566

Figure 16.2 :

Boîte de dialogue d’un objet de connexion de réplication intrasite du composant logiciel enfichable Sites et services Active Directory

Les mécanismes de conception : définitions

Une mise à jour de données d’annuaire, la création d’un compte par exemple, déclenche la réplication et les données sont transmises non compressées aux autres contrôleurs de domaine. À l’inverse, on compresse les données dans le cadre d’une réplication entre des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque site collecte et stocke les modifications de l’annuaire et les communique à intervalles planifiés à un contrôleur de domaine d’un autre site.

Affinité des clients

Les contrôleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la présence d’un ou de plusieurs contrôleurs de domaine à l’intérieur du site le plus proche des clients en question. Prenons l’exemple de Puzzmania.

Considérez un client du domaine corp.puzzmania.com situé sur le site géographique de Toulouse. Il ne connaît pas son affiliation de site. Il contacte un contrôleur de domaine du site de Nice. En consultant l’adresse IP du client, le contrôleur de Nice détermine le site auquel le client appartient et lui transmet les informations de site afférentes. Il indique au client si le contrôleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande l’enregistrement de ressources de service (SRV) spécifiques au site et trouve donc un contrôleur de domaine sur le site qui est le sien.

16. La conception de la topologie de sites
16. La conception de la
topologie de sites

Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services Active Directory

567

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

de sites 16. La conception de la topologie de sites Enregistrement de ressources de service (SRV)

Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilisé pour localiser les contrôleurs de domaine Active Directory.

En trouvant un contrôleur de domaine sur son site, le client s’épargne les communications par les liens distants. Mais il est possible qu’il n’en trouve pas. Dans ce cas, un contrôleur de domaine qui possède les connexions de plus faible coût par rapport aux autres sites connectés publiés sur le site du client (enregistre via un enregistrement de ressources SRN spécifique au site dans le DNS). Les contrôleurs de domaine publiés dans le DNS sont ceux du site le plus proche selon ce qui est configuré dans la topologie. Ce processus garantit que chaque site possède un contrôleur de domaine préféré pour l’authentification.

Réplication Sysvol

Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine, c’est-à-dire les objets de stratégie de groupe, les scripts de démarrage et de fermeture ainsi que les scripts d’ouverture et de fermeture de session.

Connectez-vous au partage Sysvol de votre contrôleur de domaine.

au partage Sysvol de votre contrôleur de domaine. Figure 16.4 : Vue du partage Sysvol du

Figure 16.4 :

Vue du partage Sysvol du domaine puzzmania.com

Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication Service) pour répliquer les modifications apportées au contenu de Sysvol d’un contrôleur de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la planification que vous créez durant la conception de la topologie des sites.

DFS (Distributed File System)

Le système de fichiers distribués DFS utilise les informations de site pour diriger un client vers le serveur qui héberge les données requises. Si le service DFS ne trouve pas une copie des données dans le même site que celui du client, il utilise les informations de site de l’annuaire pour déterminer le serveur de fichiers qui possède les données partagées DFS les plus proches du client.

568

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

Localisation de services

En publiant des services comme les services de fichiers et d’impression dans Active Directory, vous permettrez aux clients de localiser les services qu’ils requièrent dans leur propre site ou dans le site le plus proche. Les services d’impression, par exemple, utilisent l’attribut d’emplacement stocké dans Active Directory pour permettre aux utilisateurs de parcourir le réseau à la recherche d’imprimantes en fonction de leur emplacement, même s’ils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce site apparaissent en résultat.

configurées pour ce site apparaissent en résultat. Figure 16.5 : Recherche d’imprimantes par emplacement Les

Figure 16.5 :

Recherche

d’imprimantes par

emplacement

Les concepts de réplication d’Active Directory

Nous définissons dans ce qui suit les concepts de réplication d’Active Directory.

Les différentes partitions

La base de données Active Directory est divisée de manière logique en plusieurs partitions.

j

la partition de schéma ;

j

la partition d’annuaire ;

j

la partition de la configuration ;

j

la partition du domaine ;

j

la partition d’application.

La partition d’annuaire

Chaque partition est une unité de réplication et possède sa propre topologie de réplication. La réplication est exécutée entre les réplicas des partitions d’annuaire. Tous les contrôleurs de domaine de la même forêt ont au moins deux partitions d’annuaire en commun : celles du schéma et de la configuration. De plus, ils partagent une partition de domaine commune.

569

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

de sites 16. La conception de la topologie de sites Figure 16.6 : Définition des partitions

Figure 16.6 :

Définition des partitions d’annuaire

La partition de schéma

Chaque forêt possède une seule partition de schéma. Cette partition de schéma est stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les définitions de tous les objets et attributs créés dans l’annuaire, ainsi que les règles qui permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans tous les contrôleurs de domaine de la forêt. C’est pourquoi les objets doivent être conformes aux définitions d’objet et d’attribut du schéma.

La partition de la configuration

Chaque forêt possède une seule partition de configuration. Stockée dans tous les contrôleurs de domaine de la même forêt, la partition de configuration contient les données sur la structure Active Directory de l’ensemble de la forêt, telles que les domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et les services disponibles. Les données de la configuration sont répliquées dans tous les contrôleurs de domaine de la forêt.

La partition de domaine

Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans chaque contrôleur de domaine d’un domaine donné. Une partition de domaine contient les données sur tous les objets propres au domaine et créés dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les unités d’organisation. Une partition de domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré. Tous les objets de chaque partition de domaine d’une forêt sont stockés dans le catalogue global avec un seul sous-ensemble de leurs valeurs d’attribut.

La partition d’application

Les partitions d’application stockent les données sur les applications dans Active Directory. Chaque application détermine comment elle stocke, classe et utilise ses propres données. Pour éviter toute réplication inutile des partitions d’application, vous pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la

570

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

différence d’une partition de domaine, une partition d’application ne peut pas stocker les principaux objets de sécurité, tels que les comptes d’utilisateur. De plus, les données contenues dans une partition d’application ne sont pas stockées dans le catalogue global.

Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux partitions d’application pour les zones DNS : ForestDNSZones et DomainDNSZones .

j

ForestDNSZones fait partie d’une forêt : tous les contrôleurs de domaine et les serveurs DNS d’une forêt reçoivent un réplica de cette partition. Une partition d’application d’une forêt entière stocke les données de la zone de la forêt.

j

DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette partition. Les partitions d’application stockent la zone DNS du domaine dans

DomainDNSZones <nom_domaine >.

Chaque domaine possède une partition DomainDNSZones , mais il n’existe qu’une partition ForestDNSZones . Aucune donnée DNS n’est répliquée sur le serveur de catalogue global.

Le numéro de séquence de mise à jour (USN)

L’implémentation d’un annuaire implique la mise en place d’un mécanisme afin de gérer le stockage incrémentiel des modifications apportées aux objets de l’annuaire. En effet, le moindre changement de mot de passe doit pouvoir être transmis à tous les contrôleurs de domaine. Ce système doit pouvoir être sélectif en cas de changements portant sur une même propriété d’objet pour n’appliquer que le plus récent.

Certains services d’annuaire s’appuient sur une synchronisation en temps réel de tous les contrôleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrôleurs de domaine entre eux, s’avère difficile à gérer. La plus faible variation peut influencer les résultats de la réplication.

La réponse à ce problème est le concept de numéro de séquence de mise à jour (USN, Update Sequence Number). Active Directory l’utilise pour assurer une application exacte des changements de l’annuaire. Un USN est une valeur de 64 bits et tous les contrôleurs de domaine en possèdent un. Chaque modification d’une propriété d’objet dans un annuaire (un changement de mot de passe par exemple) entraîne une incrémentation de l’USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette technique, les mises à jour sont plus directes. Prenons l’exemple de Puzzmania : lorsque le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de domaine SNCERCDC02 la réplication des modifications de ce dernier (création d’utilisateurs), il extrait de sa table de référence interne l’USN de SNCERCDC02 le plus récent reçu et ne réclame que les changements intervenus depuis ce numéro. La simplicité de cette opération garantit la justesse du processus.

L’intégrité de la réplication est garantie car l’incrémentation d’un USN est dépendante de la réussite d’une mise à jour. Si un problème vient entraver un cycle de réplication, le récepteur concerné recherche toujours une mise à jour à partir de l’USN approprié.

571

Chapitre 16

La conception de la topologie de sites

Il est inutile de vous inquiéter des risques éventuels d’épuisement de la réserve d’USN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu’à 18 446 744 073 709 551 616 changements par contrôleur de domaine.

La collision de réplication

Même avec le mécanisme de numéro de séquence de mise à jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania .com réinitialise un mot de passe sur SNCERCDC01 et qu’un autre administrateur réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n’ait eu l’occasion de distribuer sa modification, il y a inévitablement collision.

Ce problème est résolu grâce à un numéro de version de propriété (PVN, Property Version Number). Il est appliqué en tant qu’attribut à chaque objet dans Active Directory et est mis à jour et horodaté en séquence chaque fois qu’une modification est apportée à l’objet. Si une collision de réplication se produit, le PVN le plus récent a priorité et le mot de passe associé est affecté à l’utilisateur.

L’objet connexion

Un objet connexion est un objet Active Directory qui représente une connexion de réplication d’un contrôleur de domaine à un autre. Un contrôleur de domaine est un membre d’un unique site et est représenté dans le site par un objet serveur dans Active Directory. Chaque objet serveur possède un objet NTDS Settings enfant qui représente le contrôleur de domaine répliquant dans le site.

16. La conception de la topologie de sites
16. La conception de la
topologie de sites

Figure 16.7 : Objet serveur de type contrôleur de domaine et objet NTDS Settings vus par le composant logiciel enfichable Sites et services Active Directory

572

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

L’objet connexion est un enfant de l’objet NTDS Settings du serveur de destination. Pour que la réplication intervienne entre deux contrôleurs de domaine, l’objet serveur de l’un doit avoir un objet connexion qui identifie le serveur source de réplication. Toutes les connexions de réplication d’un contrôleur de domaine sont stockées sous la forme d’objets de connexion sous l’objet NTDS Settings . L’objet connexion identifie le serveur source de réplication, contient une planification de réplication et spécifie un transport de réplication.

Le vérificateur de cohésion de connaissances (KCC, Knowledge Consistency Checker) crée automatiquement des objets de connexion, qui peuvent aussi être créés manuellement. À chaque fois que vous modifiez un objet de connexion créé par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.

Les protocoles de transport de réplication

Active Directory utilise la technologie d’appel de procédure distante RPC (Remote Procedure Call) sur le protocole IP pour transférer les données de réplication entre les contrôleurs de domaine. Les réplications intersite et intrasite se servent de RPC sur IP. Pour assurer la sécurité des données en transit, la réplication RPC sur IP fait appel à la fois à l’authentification (protocole Kerberos v5) et au cryptage des données.

Si aucune connexion directe ou IP fiable n’est disponible, la réplication intersite peut être configurée pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalité de réplication SMTP est limitée et nécessite une autorité de certification d’entreprise. SMTP ne peut être utilisé que pour répliquer les partitions de configuration, de schéma et d’application de l’annuaire ; il ne prend pas en charge la réplication des partitions de domaine.

Le KCC

Le KCC (Knowledge Consistency Checker) est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des topologies de réplications intrasite et intersite séparées. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont déplacés d’un site à un autre, des modifications de coûts, des planifications.

un autre, des modifications de coûts, des planifications. KCC et ISTG Le KCC crée des objets

KCC et ISTG Le KCC crée des objets de connexion afin de relier les contrôleurs de domaine au sein d’une topologie commune. Il comprend deux composants : un contrôleur intrasite KCC, qui se charge de la réplication à l’intérieur d’un site, et le générateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les objets de connexion entre sites.

573

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

de sites 16. La conception de la topologie de sites Dans Windows Server 2003, ISTG a

Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer jusqu’à 5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows Server 2003.

Sur chaque contrôleur de domaine, le KCC crée des itinéraires de réplication en créant des objets de connexion entrante unidirectionnelle qui définissent des connexions depuis d’autres contrôleurs de domaine. Pour les contrôleurs de domaine dans le même site, le KCC crée des objets de connexion de manière automatique. Lorsque vous possédez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de créer automatiquement les connexions intersites.

Fonctionnalité de basculement

Les sites garantissent que les données de réplication sont routées même en cas de pannes réseau et de pannes des contrôleurs de domaine. Le KCC s’exécute à des intervalles spécifiés afin d’ajuster la topologie de réplication pour l’adapter aux modifications qui interviennent dans Active Directory (par exemple, en cas d’extension de la société, lorsque de nouveaux contrôleurs de domaine sont ajoutés ou lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des connexions existantes afin de déterminer si des connexions ont cessé de fonctionner. Si une connexion ne fonctionne pas à cause d’un contrôleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de réplication (s’il en existe) afin de s’assurer que la réplication peut s’opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC crée automatiquement des connexions de réplication avec les contrôleurs de domaine d’un autre site.

Le sous-réseau

Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur proximité physique sur le réseau.

D’un point de vue Active Directory, les objets de sous-réseau identifient les adresses réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les sites.

574

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

de sites Les mécanismes de conception : définitions Figure 16.8 : Les sous-réseaux vus par le

Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services Active Directory

Les sites

Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions réseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer l’accès et la réplication Active Directory afin d’optimiser l’utilisation du réseau physique. Les sites sont représentés dans Active Directory sous la forme d’objets de site. Les objets de site sont des ensembles de sous-réseaux et chaque contrôleur de domaine dans la forêt est associé à un site Active Directory en fonction de son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites.

et un domaine peut être représenté dans plusieurs sites. Figure 16.9 : Les sites vus par

Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory

575

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

Lien de sites

Les liens de sites sont les chemins logiques que le KCC utilise pour établir une connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory sous la forme d’objets de lien de sites. Un tel objet représente un ensemble de sites qui peuvent communiquer à coût uniforme via un transport intersite spécifié.

à coût uniforme via un transport intersite spécifié. Figure 16.10 : Les liens de sites vus

Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services Active Directory

Tous les sites contenus dans un lien sont considérés comme connectés au sein d’un même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que les contrôleurs de domaine dans un site puissent répliquer les modifications de l’annuaire vers les contrôleurs de domaine d’un autre site. Étant donné que les liens de sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau physique durant la réplication, vous n’avez pas besoin de créer des liens redondants pour améliorer l’efficacité de la réplication Active Directory.

Lorsque deux sites sont connectés par un lien, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques dans chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut désigner plusieurs contrôleurs de domaine par site hébergeant la même partition d’annuaire comme candidat au rôle de serveur tête de pont. Les connexions de réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête

576

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut, le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajoutés au site.

Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la charge à chaque fois qu’une modification intervient dans la topologie des sites ou que le nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les planifications de manière que la charge de réplication sortante pour chaque contrôleur de domaine soit répartie de façon égale au fil du temps. Interrogez l’aide de l’utilitaire ADLB afin d’obtenir ses différentes options.

Pont de liaison de sites

Un pont de liaison de sites est un objet Active Directory qui représente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrôleurs de domaine qui ne sont pas directement connectés au moyen d’un lien de communication d’opérer des réplications intersites. En général, un pont de liaison correspond à un routeur (ou à un ensemble de routeurs) d’un réseau IP.

En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en déployant le conteneur Inter-Site Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur Action et Nouveau pont entre liens de sites.

sur Action et Nouveau pont entre liens de sites . Figure 16.11 : Création d’un pont

Figure 16.11 :

Création d’un pont de liaison de sites à l’aide du composant logiciel enfichable Sites et services Active Directory

Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent certains sites en commun. Si ce comportement est désactivé, chaque lien de sites

577

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent être traités comme un unique itinéraire sont représentés sous la forme de ponts de liaison de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau.

Les ponts de liaison permettent de représenter logiquement la connectivité physique transitive entre les sites. Chaque pont permet au KCC d’utiliser n’importe quelle combinaison de liens de sites inclus pour déterminer l’itinéraire le moins coûteux lorsqu’il s’agit d’interconnecter des partitions d’annuaires conservées dans ces sites. Le pont ne fournit lui-même aucune connectivité aux contrôleurs de domaine. S’il est supprimé, la réplication sur les liens de sites combinés se poursuit jusqu’à ce que le KCC supprime les liens.

Les ponts ne sont nécessaires que si un site contient un contrôleur de domaine hébergeant une partition d’annuaire qui n’est pas également hébergée par un contrôleur de domaine dans un site adjacent. Les sites adjacents sont définis comme étant inclus dans un unique lien de sites.

Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie intersite (ISTG, Intersite Topology Generator), le pont n’implique pas qu’un contrôleur de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la partition d’annuaire à répliquer ; un pont ne serait alors pas requis.

Le coût de chaque lien de sites est additionné jusqu’à former une somme totale pour le chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un contrôleur hébergeant la partition d’annuaire et s’il n’existait aucun lien de coût plus faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d’annuaire, deux sites déconnectés configureraient des connexions de réplication pour le contrôleur de domaine intermédiaire et n’utiliseraient pas le pont.

Transitivité des liens de sites

Par défaut, tous les liens de sites sont transitifs. Lorsqu’ils sont reliés par un pont et que les planifications se chevauchent, le KCC crée des connexions de réplication qui déterminent les partenaires de réplication intersite des contrôleurs de domaine. Dans ce contexte, les sites sont connectés, non pas directement par des liens, mais de manière transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter n’importe quel site à n’importe quel autre via une combinaison de liens.

En général, pour un réseau complètement routé, vous n’avez pas besoin de créer de ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens de sites pour un transport spécifique appartiennent implicitement à un unique pont. La mise en pont par défaut des liens de sites survient automatiquement et aucun autre objet Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site

578

16. La conception de la topologie de sites

Les mécanismes de conception : définitions

disponible dans les propriétés des conteneurs de transport intersite IP et SMTP implémente les ponts de liaison de sites.

Serveur de catalogue global

Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations concernant tous les objets de la forêt, mais pas les attributs, afin que les applications puissent effectuer des recherches dans l’annuaire Active Directory sans avoir à se référer à des contrôleurs de domaine spécifiques qui stockent les données requises. Comme tous les contrôleurs de domaine, le serveur de catalogue global stocke des réplicas complets et enregistrables du schéma et de la configuration des partitions d’annuaire ainsi qu’un réplica complet et enregistrable de la partition d’annuaire du domaine qui l’héberge.

Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l’aide du composant logiciel enfichable Sites et services et des propriétés de l’objet NTDS

Settings de l’objet contrôleur de domaine .

N T D S Settings de l’objet contrôleur de domaine . Figure 16.12 : Configuration du

Figure 16.12 :

Configuration du serveur de catalogue global à l’aide du composant logiciel enfichable Sites et services Active Directory

Mise en cache de l’appartenance aux groupes universels

Un contrôleur de domaine peut mettre en cache les informations d’appartenance aux groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003, vous pouvez activer cette fonctionnalité à l’aide du composant logiciel enfichable Sites et services Active Directory, via les propriétés de l’objet NTDS Settings du site.

579

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

de sites 16. La conception de la topologie de sites Figure 16.13 : Configuration de la

Figure 16.13 :

Configuration de la mise en cache de l’appartenance aux groupes universels à l’aide du composant logiciel enfichable Sites et services Active Directory

La mise en cache de l’appartenance aux groupes universels évite qu’un serveur de catalogue global soit requis dans chaque site d’un domaine. L’utilisation de la bande passante réseau est ainsi minimisée car il n’est pas nécessaire qu’un contrôleur de domaine réplique tous les objets situés dans la forêt. Les temps d’authentification sont également réduits, car les contrôleurs de domaine qui authentifient n’ont pas toujours besoin d’accéder à un catalogue global pour obtenir des informations d’appartenance aux groupes universels.

16.2. Collecter les informations sur le réseau

Cette étape, très importante, permet de se faire une meilleure idée de ce qui va être mis en place par la suite et de repérer des points de contention ou difficultés dues au réseau physique. Pour synthétiser ces informations, vous devez…

j

Créer une carte des emplacements : il s’agit de lister les sites géographiques et les groupes d’ordinateurs sur un réseau local dans le but de schématiser son infrastructure.

j

Lister les liens de communication et la bande passante : cela vous permettra d’attirer l’attention sur les sites reliés par des lignes bas débit, par exemple.

j

Lister les sous-réseaux IP à chaque emplacement : il s’agit de relever les sous-réseaux IP et les masques associés afin de déterminer la configuration des sites dans Active Directory.

580

16. La conception de la topologie de sites

Prévoir l’emplacement des contrôleurs de domaine

Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris, Toulouse, Londres et Nice R&D pour Puzzmania

Site

Numéro de

Adresse du sous- réseau

Adresses IP des machines

Adresse de broadcast

géographique

sous-réseau

Nice

1

172.100.0.0

172.100.0.1 à

172.100.15.255

 

172.100.15.254

Toulouse

2

172.100.16.0

172.100.16.1 à

172.100.31.255

 

172.100.31.254

Paris

3

172.100.32.0

172.100.32.1 à

172.100.47.255

 

172.100.47.254

Londres

4

172.100.48.0

172.100.48.1 à

172.100.63.255

 

172.100.63.254

Nice R&D

5

172.100.64.0

172.100.64.1 à

172.100.79.255

 

172.100.79.254

Active Directory associe chaque machine à un site spécifique en comparant l’adresse IP de la machine avec les sous-réseaux associés à chaque site. Lorsque vous ajoutez des contrôleurs à un domaine, Active Directory examine également leur adresse IP et les place dans le site approprié. Ce processus est automatique.

j Lister les domaines et le nombre d’utilisateurs pour chaque emplacement : cette information est un des facteurs qui détermine le placement des contrôleurs de domaine et des serveurs de catalogue global.

L’association des informations sur les sous-réseaux IP, la bande passante et les emplacements va déterminer la configuration de réplication.

16.3. Prévoir l’emplacement des contrôleurs de domaine

Grâce aux informations recueillies par la collecte des informations sur le réseau, vous pourrez déterminer à quel endroit il sera judicieux d’installer un contrôleur de domaine.

Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rôles dévolus aux contrôleurs de domaine :

j

les contrôleurs de domaine racine de la forêt ;

j

les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines enfants) ;

j

les contrôleurs de domaine qui sont aussi serveurs de catalogue global ;

j

les contrôleurs de domaine ayant des rôles maîtres d’opération particuliers.

D’une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa sécurité physique.

581

Chapitre 16

La conception de la topologie de sites

Prévoir l’emplacement des contrôleurs de domaine racine de la forêt

Les contrôleurs de domaine racine de la forêt sont cruciaux dans l’infrastructure. Sans eux, il est difficile d’aller plus loin. Ils doivent donc être situés plutôt à des emplacements qui hébergent des centres de données ou des emplacements principaux de la société, là où se trouvent les personnes les plus compétentes. Ces personnes doivent avoir mis en place et décrit des procédures de sauvegarde et de restauration d’Active Directory éprouvées.

et de restauration d’Active Directory éprouvées. Pour plus d’informations sur les techniques de sauvegarde

Pour plus d’informations sur les techniques de sauvegarde et de restauration d’Active Directory, consultez le chapitre La maintenance d’Active Directory.

Les contrôleurs de domaine racine de la forêt doivent être placés sur un site géographique qui possède des liens distants suffisamment rapides pour répliquer correctement les données d’annuaire vers les autres sites. Les lignes d’accès distants vers les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles.

Les administrateurs de l’infrastructure de Puzzmania décident donc, d’après ces caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com sur le site géographique de Nice. C’est à cet endroit que se trouvent les personnes les plus compétentes et aussi les locaux les plus sécurisés, notamment en raison de l’activité de recherche et de développement. Le site de Nice est en outre un point névralgique du réseau. Les contrôleurs de domaine en question s’appellent SNCERCDC01 et SNCERCDC02 .

Prévoir l’emplacement des contrôleurs de domaine régionaux

Les contrôleurs de domaine régionaux s’occupent des domaines fils du domaine racine de la forêt.

16. La conception de la topologie de sites
16. La conception de la
topologie de sites

582

Figure 16.14 :

Schéma de représentation de la forêt puzzmania.com

16. La conception de la topologie de sites

Prévoir l’emplacement des contrôleurs de domaine

Ici, corp.puzzmania.com et rd.puzzmania.com sont considérés comme des domaines régionaux contenant des contrôleurs de domaine régionaux. Il faut prévoir de les positionner, pour chaque domaine représenté, aux emplacements principaux. Limitez leur nombre autant que possible pour réduire les coûts. Le fait d’éliminer des contrôleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent qu’une poignée de personnes) réduit les coûts de maintenance des contrôleurs de domaine à distance.

de maintenance des contrôleurs de domaine à distance. Combien existe-t-il de contrôleurs de domaine de secours

Combien existe-t-il de contrôleurs de domaine de secours ? Outre le placement de ces contrôleurs de domaine, posez-vous la question du nombre de contrôleurs de domaine de secours dont vous avez besoin pour un domaine donné. Êtes-vous prêt à n’avoir qu’un seul contrôleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problème ? Préférez-vous placer un, voire deux contrôleurs de domaine de secours, quitte à ce qu’ils soient sur des sites distants, pour modérer l’impact d’un arrêt d’un contrôleur de domaine, même si les authentifications sont plus lentes, et éviter une éventuelle indisponibilité totale du domaine ? À vous de faire la part des choses en vous aidant des informations collectées sur le réseau et en tenant compte également du nombre d’utilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le déploiement d’applications. Quel sera l’impact sur les postes clients en cas d’indisponibilité du domaine ?

Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre démarche.

logique suivant afin de vous aider dans votre démarche. Figure 16.15 : Prévoir l’emplacement des contrôleurs

Figure 16.15 : Prévoir l’emplacement des contrôleurs de domaine régionaux

583

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

En recoupant les informations, les administrateurs de l’infrastructure des domaines corp.puzzmania.com et rd.puzzmania.com décident de placer les contrôleurs de domaine de la façon suivante…

j

Pour corp.puzzmania.com : trois contrôleurs seront installés et configurés, un dans chaque site géographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrôleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on réduit les coûts en prenant le risque de ne mettre qu’un contrôleur par site géographique et de subir des ralentissements, et la faisabilité car on tient compte du nombre d’utilisateurs et de ressources.

j

Pour rd.puzzmania.com : deux contrôleurs seront installés et configurés sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront sécurisés (il y en aura deux pour éviter les arrêts de service et ils seront installés dans une salle informatique sécurisée, et donc située à Nice). En outre, les utilisateurs qui s’y connecteront sont situés à Nice.

Prévoir l’emplacement des serveurs de catalogue global

Les serveurs de catalogue global facilitent les requêtes d’authentification des utilisateurs et les recherches portant sur la forêt entière.

Certaines applications, comme Exchange et les applications utilisant DCOM (Distributed COM), nécessitent un accès rapide aux serveurs de catalogue global afin de répondre aux transactions utilisateurs sans effet de latence. Cela signifie qu’il faut au moins un serveur de catalogue global sur le même site que le serveur applicatif.

Pour des emplacements qui incluent moins de cent utilisateurs et peu d’utilisateurs itinérants ou d’applications qui requièrent un serveur de catalogue global, vous pouvez activer la mise en cache de l’appartenance aux groupes universels. Assurez-vous que les serveurs de catalogue global ne se trouvent pas à plus d’un saut de réplication du contrôleur de domaine sur lequel la mise en cache de l’appartenance aux groupes universels est activée, de manière que les informations de groupe universel dans le cache puissent être actualisées.

Afin de déterminer à quel emplacement vous devez mettre vos serveurs de catalogue global ou si vous devez activer la mise en cache de l’appartenance aux groupes universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16).

Revenons à Puzzmania. C’est le nombre d’applications nécessitant un accès rapide aux serveurs de catalogue global qui détermine combien et quels contrôleurs de domaine doivent être configurés comme serveurs de catalogue global :

j

SNCERCDC01 (racine puzzmania.com ) ;

j

SNCECPDC01 ( corp.puzzmania.com ) ;

j

SPARCPDC01 ( corp.puzzmania.com ) ;

j

SNCERDDC01 ( rd.puzzmania.com ).

584

Prévoir l’emplacement des contrôleurs de domaine

16. La conception de la topologie de sites Figure 16.16 : Prévoir l’emplacement des serveurs
16. La conception de la
topologie de sites
Figure 16.16 : Prévoir l’emplacement des serveurs de catalogue global
Déterminer l’emplacement des rôles maîtres d’opération
Trois rôles maîtres d’opération existent dans chaque domaine :

j L’émulateur de contrôleur de domaine principal (CPD) traite toutes les requêtes de réplication provenant de contrôleurs de domaine secondaires Windows NT 4.0

585

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

Server et toutes les mises à jour de mots de passe pour les clients qui n’exécutent pas le logiciel client Active Directory (Windows 95 par exemple).

j

Le maître d’ID relatifs alloue des ID relatifs à tous les contrôleurs de domaine pour garantir que tous les principaux de sécurité (les identifiants de sécurité) possèdent un identifiant unique.

j

Le maître d’infrastructure d’un domaine conserve une liste des principaux de sécurité d’autres domaines qui sont membres de groupes dans son propre domaine.

Deux rôles maîtres d’opération existent dans chaque forêt :

j

Le maître de schéma régit les modifications du schéma.

j

Le maître d’attribution de noms de domaine ajoute et supprime des domaines à la forêt.

de domaine ajoute et supprime des domaines à la forêt. Maître de schéma Avant d’ouvrir le

Maître de schéma Avant d’ouvrir le composant logiciel enfichable Schéma Active Directory, qui permet d’attribuer le rôle maître de schéma, n’oubliez pas d’enregistrer la DLL schmmgmt .dll de la façon suivante : cliquez sur Démarrer/Exécuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schéma Active Directory à condition d’avoir les droits nécessaires.

Les détenteurs des rôles maîtres d’opération sont désignés automatiquement lorsque le premier contrôleur de domaine dans un domaine est créé. Les deux rôles de niveau forêt sont attribués au premier contrôleur de domaine créé dans la forêt et les trois rôles de niveau domaine sont attribués au premier contrôleur de domaine créé dans le domaine.

Désignez ces contrôleurs de domaine, puis ceux qui seront maîtres d’opération remplaçants. Assurez-vous que le maître d’opérations remplaçant est un partenaire de réplication direct du maître d’opération titulaire.

Dans un modèle de forêt comprenant des domaines père et fils, veillez à ce que le contrôleur maître d’infrastructure ne soit pas également serveur de catalogue global. Une pratique courante est de placer, dans un domaine donné, tous les rôles maîtres d’opération sur le premier contrôleur installé et de désigner le contrôleur de domaine de secours comme serveur de catalogue global. C’est un choix possible. Dans un modèle à domaine unique, laissez le rôle maître d’infrastructure au premier contrôleur de domaine et configurez tous les autres, même le premier, comme serveurs de catalogue global. En effet, le rôle de maître d’infrastructure est sans importance dans un modèle à domaine unique parce que les principaux de sécurité des autres domaines n’existent pas.

La répartition des maîtres d’opération est intéressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de l’équilibre de charge et des bonnes coutumes de placement des maîtres d’opération. Voici un tableau synthétisant les rôles tenus par les contrôleurs de domaine de la forêt puzzmania.com .

586

16. La conception de la topologie de sites

Concevoir des sites

Tableau 16.2 : Emplacement des maîtres d’opération dans la forêt puzzmania.com

Localisation

Rôles maîtres d’opération de la forêt

Rôles maîtres d’opération du domaine

Paramètre

de site

Domaine

Contrôleur de

Maître de

Maître

Émulateur

Maître

Maître

Serveur

domaine

schéma

d’attribution CPD

d’ID

d’infra-

de

 

de noms

relatifs

structure

catalogue

de

(RID)

global

domaine

puzzmania.com SNCERCDC01

Non

Non

Oui

Oui

Non

Oui

 

SNCERCDC02

Oui

Oui

Non

Non

Oui

Non

corp.puzzmania SNCECPDC01

Non

Non

Oui

Non

Non

Oui

.com

STLSCPDC01

Non

Non

Non

Non

Oui

Non

SPARCPDC01

Non

Non

Non

Oui

Non

Oui

rd.puzzmania

SNCERDDC01

Non

Non

Oui

Oui

Non

Oui

.com

SNCERDDC02

Non

Non

Non

Non

Oui

Non

16.4. Concevoir des sites

Une fois les contrôleurs de domaine définis et placés sur le réseau, vous devez maintenant en créer les sites dans Active Directory. Pour cela, respectez les conseils suivants :

j

Créez des sites pour tous les emplacements dans lesquels vous prévoyez de placer des contrôleurs de domaine (utilisez les informations récoltées lors de la phase de prévision des emplacements des contrôleurs de domaine).

j

Créez des sites pour les emplacements qui incluent des serveurs exécutant des applications qui requièrent qu’un site soit créé (par exemple DFS).

j

Si un site n’est pas requis, ajoutez le sous-réseau associé à un site pour lequel l’emplacement possède la vitesse et la bande passante disponible intersite maximales.

C’est à l’aide du composant logiciel enfichable Sites et services Active Directory que vous créerez les sites.

et services Active Directory que vous créerez les sites. Pour plus d’informations sur les opérations pratiques

Pour plus d’informations sur les opérations pratiques à réaliser à l’aide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre L’administration et la gestion des sites dans le volume II de la bible Windows Server 2003.

La configuration appliquée à Puzzmania est très simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont créés. Même s’il n’y a aucun contrôleur de domaine à Londres, cela ne coûte pas grand-chose d’anticiper l’avenir.

587

Chapitre 16

La conception de la topologie de sites

16. La conception de la topologie de sites

16.5. Concevoir les liens de sites

Maintenant que les contrôleurs de domaine sont positionnés et que les sites sont créés dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de manière que lesdits contrôleurs dans chaque site puissent répliquer les modifications d’Active Directory.

En vous aidant des informations collectées sur le réseau, notamment de la liste des liens de communication et de la bande passante, "superposez" les sites géographiques, les liens de communication, les sites Active Directory et déduisez-en les sites à relier et les liens à mettre en place.

Une fois les liens de sites positionnés, vous devez les pondérer. En effet, d’un point de vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique à première vue à n’importe quel autre lien. Or, lorsque vous superposez les liens de sites et les liens de communication entre les sites géographiques, vous vous apercevez immédiatement de leurs différences (certains sont à 56 ko et d’autres à 4 Mo par exemple). Il faut en fait tenir compte de la notion de coût dans Active Directory afin de pondérer les liens de sites.

Comment déterminer le coût d’un lien de sites ? Il faut savoir que le coût permet de valoriser les connexions peu coûteuses (rapides) par rapport aux connexions plus coûteuses (lentes) dans le but d’encombrer le moins possible les liens réseau lents pendant les requêtes clients ou la réplication d’Active Directory. Par exemple : un contrôleur de domaine d’un site qui est relié à plusieurs autres sites par des liens à débits différents répliquera en priorité les informations vers les contrôleurs de domaine situés sur les sites où le lien de sites est le moins coûteux.

Pour savoir comment affecter un coût à un lien de sites par rapport aux caractéristiques du lien de communication, aidez-vous du tableau des valeurs de coût suivant :

Tableau 16.3 : Tableau des valeurs de coût en fonction de la bande passante disponible

Bande passante disponible (Ko/s)

Coût

9,6

1042

19,2

798

38,4

644

56

586

64

567

128

486

256

425

512

378

1024

340

2048

309

4096

283

16. La conception de la topologie de sites

16. La conception de la topologie de sites Concevoir les liens de sites Figure 16.17 :

Concevoir les liens de sites

Figure 16.17 :

Affectation du coût d’un lien de sites à l’aide du composant logiciel enfichable Sites et services Active Directory

Des liens de sites sont donc créés entre les différents sites de l’infrastructure Puzzmania. En correspondance avec le schéma réseau, un coût de 283 est paramétré sur les liens Nice-Paris et Nice-Toulouse. Un coût de 309 est paramétré sur le lien Toulouse-Paris.

L’étape logique qui vient après la détermination du coût du lien de sites est la planification des horaires de réplication entre les deux sites reliés. Vous avez la possibilité de déterminer les heures auxquelles la réplication va se dérouler en fonction de la qualité du lien de sites (et par extension, de la qualité du lien de communication).

Pour régler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.

logiciel enfichable Sites et services Active Directory. Figure 16.18 : Réglage des horaires de réplication à

Figure 16.18 :

Réglage des horaires de réplication à l’aide du composant logiciel enfichable Sites et services Active Directory

589

Chapitre 16

La conception de la topologie de sites

En fonction des heures travaillées, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la réplication de 7 heures à 12 heures et de 14 heures à 20 heures. Cela permettra de réserver le WAN à d’autres usages.

16.6. Concevoir les ponts de liaison de sites

Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de sites ou plus. Il active la transitivité entre les liens. Chaque lien dans un pont doit avoir un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut calculer le coût entre les sites dans le lien et les sites dans les autres liens du pont.

Par défaut, tous les liens de sites sont transitifs. Le paramètre Relier tous les liens du site est en effet activé par défaut. Créer un pont correspond à désactiver cette option pour certains liens de sites et à activer la transitivité pour les liens de sites que l’on sélectionne.

Dans quels cas devez-vous créer un pont ?

j

Pour pallier le fait que le réseau IP n’est pas complètement routé.

j

Pour contrôler le flux de réplication d’Active Directory, soit parce que la réplication s’effectue au travers d’un pare-feu, soit parce que vous voulez contrôler le basculement de la réplication lors d’une panne d’un contrôleur de domaine.

16. La conception de la topologie de sites
16. La conception de la
topologie de sites

Figure 16.19 : Schéma de pont de liaison de sites

590

16. La conception de la topologie de sites

En résumé

Dans cet exemple, ce pont empêchera la réplication des contrôleurs de domaine des sites A, C et D vers le reste du réseau en cas de panne du contrôleur du site B.

L’infrastructure de Puzzmania n’est pas assez complexe pour nécessiter la création de ponts de liaison de sites.

16.7. En résumé

Ce chapitre aborde les aspects théoriques de la conception de la topologie de sites. Il présente des définitions, une méthodologie mais également des règles incontournables de bon fonctionnement. Si vous respectez cette méthodologie et ces règles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la réplication des informations d’annuaire entre les sites distants.

Selon votre infrastructure, vous trouverez forcément plusieurs solutions, plusieurs configurations qui répondront correctement à vos besoins en respectant la méthodologie et les règles. D’autres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la réduction des coûts.

En ce sens, il est intéressant de mettre en parallèle les règles de conception et l’étude de cas car, durant la lecture de ce chapitre, vous vous êtes sûrement dit que vous auriez procédé autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranché, ils ont fait des compromis et vous serez amené à en faire de votre côté.

591