Vous êtes sur la page 1sur 107

Haute École Roi Baudouin

CATÉGORIE ÉCONOMIQUE
INFORMATIQUE DE GESTION

L’Active Directory,
un outil essentiel pour la gestion des
ressources réseaux d’une entreprise
Application à la société : Automatic Systems

Travail de fin d’études présenté par

François Maxime

en vue de l’obtention du grade de


bachelier en informatique de gestion

Mons, année académique 2006/2007


1. Remerciements
Je tiens à remercier tout particulièrement mon maître de stage Madame Ludivine Romaniuk
pour l'aide précieuse qu'elle m'a apporté tout au long de ce travail mais également de m'avoir
donné la chance d’effectuer ce stage de fin d’étude au sein de l’équipe IT Engineer.

Mes remerciements s'adressent aussi à tous les services d’Automatic Systems qui ont, de près
ou de loin, contribué à la finalisation de ce T.F.E. et plus spécialement au département
informatique dirigé par Monsieur Jean-Luc Léonard et composé de Monsieur Franco Basso,
de Madame Ludivine Romaniuk et de Monsieur Olivier Voituron pour leur accueil
chaleureux, leur soutient, leur gentillesse et leur professionnalisme.

1
2. Table des matières

1. Remerciements ........................................................................................ 1
2. Table des matières................................................................................... 2
3. Introduction ............................................................................................. 4
4. Présentation de l’entreprise ................................................................... 5
4.1. Description de la société.......................................................................................... 5
4.2. Un peu d’histoire ..................................................................................................... 6
4.3. Organigrammes de la société................................................................................... 7
4.4. L’environnement informatique au sein de l’entreprise ........................................... 9

5. Position du problème ............................................................................ 10


5.1. Analyse de l’existant ............................................................................................ 10
5.2. Solution envisagée ..........................................................................................................11

6. Active Directory .................................................................................... 13


6.1. Définition............................................................................................................... 13
6.2. Structure logique ................................................................................................... 16
6.2.1. Domaine..................................................................................................... 16
6.2.2. Unité d’organisation .................................................................................. 17
6.2.3. Arbre, forêt & relations ............................................................................. 17
6.2.3.1. Arbre............................................................................................ 18
6.2.3.2. Forêt............................................................................................. 19
6.2.3.3. Relations ...................................................................................... 22
6.2.4. Schéma....................................................................................................... 24
6.2.5. Analyse de la topologie logique future de l’entreprise ............................. 25
6.2.5.1. Elaboration de la nouvelle structure logique ............................... 25
6.2.5.2. Agencement des unités d’organisation pour chaque domaine .... 27
6.2.6. DNS ........................................................................................................... 30
6.2.6.1. Définition..................................................................................... 30
6.2.6.2. Planification & configuration des serveurs DNS ........................ 34
6.2.6.2.1. Planification ................................................................ 34
6.2.6.2.2. Configuration .............................................................. 35
6.3. Structure physique ................................................................................................. 36
6.3.1. Sites ........................................................................................................... 37
6.3.2. Contrôleur de domaine .............................................................................. 37
6.3.3. Global catalog & logon process................................................................. 38

2
6.3.4. Single Master Opérations .......................................................................... 39
6.3.4.1. Définition..................................................................................... 39
6.3.4.2. Représentation graphique ............................................................ 40
6.3.4.3. Processus de réplication .............................................................. 41
6.3.4.3.1. Appartenance à un site ................................................ 41
6.3.4.3.2. Knowledge Consistency Checker (KCC) ................... 42
6.3.4.3.3. Réplication dans un site .............................................. 42
6.3.4.3.4. Réplication entre sites ................................................. 44
6.3.4.3.5. Protocoles de réplication............................................. 45
6.3.5. Planification de la topologie physique Active Directory de l’entreprise .. 46

7. Installation de l’Active Directory ........................................................ 52


7.1. Matériel requis....................................................................................................... 52
7.2. La commande : DCPROMO.exe........................................................................... 52
7.2.1. Domain controller for a new domain......................................................... 56
7.2.1.1. Domain in a new forest ............................................................... 57
7.2.1.2. Domain tree in an existing forest ................................................ 63
7.2.2. Additional domain controller for an existing domain ............................... 66
7.3. Vérification de l’installation de l’Active Directory............................................... 70
7.4. Ajout d’un serveur DNS au sein d’un domaine existant ....................................... 71

8. Administration de l’Active Directory.................................................. 74


8.1. Active Directory Sites and Services ...................................................................... 74
8.2. Active Directory Domains and Trusts................................................................... 77
8.3. Active Directory Users and Computers................................................................. 81
8.4. Active Directory Schema Editor ........................................................................... 87

9. Conclusion.............................................................................................. 91
10. Annexes .................................................................................................. 92
11. Bibliographie ....................................................................................... 106

3
3. Introduction
Le secteur d’activité de l’entreprise Automatic Systems est axé sur la production et la
distribution de systèmes permettant le contrôle d’accès sécurisé lié à l’identification
automatique des personnes et des véhicules.

La société a un accès direct aux marchés grâce à ses filiales en France, au Royaume-Uni, en
Espagne, au Canada et aux Etats-Unis et un accès indirect grâce à son réseau international de
distributeurs et d’agents.

Automatic Systems connaît une croissance continue dans le secteur de la sécurité et de la


mobilité.

L’entreprise se doit de posséder une informatisation très pointue au sein des différents sites
dans lesquels elle se situe afin de pouvoir communiquer de manière aisée entre eux.
De plus, cette entreprise est à la pointe de la technologie, en effet, chaque département, au
sein de la société, a besoin de l’informatique pour mener à bien les tâches qui lui sont
demandées.

C’est pourquoi une équipe d’IT Engineer est requise afin de pouvoir remédier à tous les
problèmes liés à l’informatique et garantir un bon fonctionnement de tous les systèmes
informatisés.
Une interruption au niveau de certains serveurs gérant des applications primordiales comme le
logiciel ERP, par exemple, pourrait coûter plusieurs jours de chômage technique ainsi qu’une
perte importante pour l’entreprise.

Au sein de cette équipe, le travail de chacun est de veiller au bon fonctionnement de tous les
équipements réseaux ainsi que de tous les ordinateurs utilisés par le personnel et les serveurs
dont le rôle est d’authentifier les utilisateurs, centraliser les applications et les fichiers.

En plus de garantir cette disponibilité des outils informatiques, cette équipe se doit d’assurer
le suivi accru de l’information dans tous les processus de l’entreprise.

A l’heure actuelle, cette entreprise utilise exclusivement le système d’exploitation Windows


Server 2000, Windows Server 2003 pour les serveurs, Windows Xp et 2000 pour les stations
de travail des employés ; la gestion de ce parc informatique n’est possible que grâce à
l’Active Directory qui permet de simplifier le rôle du ou des administrateurs de ce parc.

Afin de mieux comprendre la notion de l’Active Directory, il faut d’abord définir ce qu’est
cette méthode, comment elle fonctionne et comment elle permet de faciliter cette gestion des
ressources réseau et des utilisateurs.

De plus, cet outil sera utilisé pour organiser et gérer de manière aisée les différents sites de
l’entreprise répartis en Belgique, en France, en Espagne, au Royaume-Uni et en Amérique du
Nord.

4
4. Présentation de l’entreprise
4.1. Description de la société
La société Automatic Systems est composée :
- d’un centre de développement au cœur de l’Europe ;
- d’un centre d’intégration en Amérique du Nord ;
- de 3 unités de fabrication ;
- de 300 collaborateurs à l’écoute de ses clients.

La distribution et les services sont assurés par :


- 19 filiales ou bureaux régionaux ;
- plus de 60 distributeurs à travers le monde.

L’entreprise Automatic Systems créée en 1969, a choisi comme vocation : le contrôle d’accès
de véhicules et des piétons et son objectif est d’être le meilleur du monde dans ce créneau.

A l’heure actuelle, elle exerce le même métier, a le même objectif et plus de 30 ans
d’expérience sur les 5 continents et dans tous les domaines d’application.

Les domaines dans lesquels Automatic Systems possède de l’expérience sont les suivants :
- La mécanique ;
- L’électromécanique ;
- L’électronique ;
- L’informatique.

Cette société vend ses produits, services et solutions à des intégrateurs et opérateurs de
systèmes.
Ces produits créés et vendus par Automatic Systems sont répartis en plusieurs catégories :
1. Les péages d’autoroutes ;
2. Le contrôle du trafic ;
3. La gestion du stationnement ;
4. La sécurité ;
5. Le transport public ;
6. Le transport aérien.

Etant constamment à l’écoute du marché et de la clientèle, Automatic Systems propose des


produits adaptés à chaque usage, à chaque exigence au moyen des départements de recherche
et développement qui jouent un rôle-clé dans l’élaboration et l’évolution de sa gamme de
produits.

Ces services mettent l’accent sur :


- le développement de nouveaux produits ;
- l’amélioration de produits existants ;
- leur adaptation en fonction des besoins des clients ;
- les tests effectués sur les nouveaux matériaux et composants ;
- la recherche de la réduction des coûts.

5
4.2. Un peu d’histoire…
Depuis sa création, Automatic Systems n’a cessé d’évoluer :

1969-1974

 Fondation de la société à Bruxelles, Belgique.


 Installation des premiers équipements de contrôle d'accès de véhicules au grand
magasin de l'Innovation et au Parking 44 de Bruxelles, Belgique.
 Première exportation de 101 barrières levantes pour l'aéroport international de
Francfort en Allemagne.

1974-1986

 Constitution de la première filiale commerciale et technique à Paris.


 Fourniture et installation de 132 tourniquets doubles dans 18 stations du métro LRTA
de Manille (Philippines).
 Installation de 323 tourniquets pour 12 gares de chemins de fer de la ligne Paris-Est de
la SNCF (France).

1986-1990

 Ouverture de 3 nouvelles filiales : Barcelone, Montréal et Vérone.


 Installation de 311 portillons automatiques (portillons non gardiennés PNG) pour la
troisième ligne du métro de Milan.

1990-1995

 Fourniture d'équipements pour les Jeux Olympiques d'été à Barcelone, Disneyland


Paris et les gares de chemins de fer de l'Eurostar à Paris, Londres et Bruxelles.
 Ouverture d'une filiale en Grande-Bretagne et fourniture de matériel pour des
autoroutes à péage en Chine, au Mexique et au Chili.

1995-1997

 Résultats importants dans le secteur du transport public : métros de Madrid, San


Francisco, Barcelone, Kuala Lumpur, Ankara et Toronto.
 Rachat de la division barrières d'ABB-Asea Brown Boveri.
 Réalisation d'un chiffre d'affaires d'un milliard de BEF.
 Nombreuses commandes pour l'installation de barrières de parking tant en Belgique
qu'à l'étranger.

1997-2002

 La société reçoit des commandes des métros de Singapour et de Buenos Aires, ainsi
que de la South West Trains à Londres.
 Automatic Systems enregistre des commandes pour la fourniture d'équipements de
contrôle d'accès piétons pour la RENFE (Espagne), pour le Métro léger à Tunis et la
KTMB à Kuala Lumpur.

6
 IER, filiale du groupe français Bolloré et leader en matière de terminaux et systèmes
d’impression et de lecture dans le domaine du transport, devient le principal
actionnaire du groupe Automatic Systems.

2002-2004

 Les PNG série 38x d’Automatic Systems sont agréés UL, ce qui signifie l’ouverture
du marché américain.
 La Chase Manhattan Bank fait confiance à cette entreprise et sécurise ses accès avec
les passages non gardiennés.
 La Corée du Sud découvre les portillons PNG.
 Automatic Systems signe son plus gros contrat de transports publics en Amérique du
Nord : fourniture de plus de 700 obstacles de contrôle d’accès destinés au Métro de
Boston.
 Le Port de Vancouver, Canada, choisit les barrières levantes grillagées produites par la
société pour renforcer la sécurité maritime suite à l’entrée en application de la Charte
ISPS (International Ship and Port Facility Security Code).

2004-2006

 Signature de plusieurs contrats de transports publics majeurs : 700 obstacles pour le


métro de Lyon, 1500 portillons automatiques de contrôle pour les Chemins de Fer
français (SNCF), 70 portillons d’embarquement rapide pour la Lufthansa, 160
portillons automatiques pour la Renfe, les Chemins de Fer espagnols.
 La sortie du nouveau sas automatisé de haute sécurité SNG, installé en test pilote pour
Air France à Roissy.
 La sortie de nouveaux produits, la barrière levante universelle BL 229 et la gamme de
portillons automatiques SmartLane®.

4.3. Organigrammes de la société

1. Organigramme de la société Automatic Systems et ses différentes filiales :

7
2. Organigramme de la société Automatic Systems située à Wavre en Belgique :

3. Organigramme du département Informatique (IT) d’Automatic Systems situé à


Wavre en Belgique :

8
4.4. L’environnement informatique au sein de l’entreprise
Le département informatique de cette société située à Wavre est un élément très important
dans l’architecture informatique car ce service est chargé de gérer les différents sites de
l’entreprise situés en Belgique : Aartselaar, Gembloux, Solvay, Wavre ; en France : Rungis,
Aix, Blyes.
Les autres filiales d’Automatic Systems (Canada, Etats-Unis, Espagne et Royaume-Uni) font
appel à des consultants externes.

Dans le but de faciliter la gestion des utilisateurs, des applications, des fichiers et des
sauvegardes, toute cette infrastructure repose sur la centralisation de toutes ces données via
l’intermédiaire de différents serveurs.
Cet environnement évolue donc en mode Clients/Serveurs et est géré au moyen de l’Active
Directory.

Depuis ce département informatique, l’équipe IT s’occupe du bon fonctionnement du réseau


et règle les éventuels problèmes rencontrés par les utilisateurs ainsi que les problèmes liés au
matériel.

De plus, dans le marché qui est celui d'Automatic Systems, la concurrence ne cesse de devenir
plus sévère. La société a dès lors décidé d'améliorer l'ensemble de ses processus de gestion et
de les automatiser plus en profondeur. Le nouveau système ERP de Microsoft (Axapta)
devrait notamment aider Automatic Systems à simplifier la gestion de ses nomenclatures de
produits et la gestion de ses délais de livraison.
Microsoft Business Solutions Axapta réunit dans un seul progiciel une application ERP et une
solution d'e-business. Il a été développé, dès le départ, pour les besoins d'applications basées
sur Microsoft Windows et gérées via internet. Grâce à son architecture fondée sur le principe
de composants, Microsoft Axapta se prête à des adaptations et extensions sur mesure, à la fois
rapides et souples. Le progiciel inclut un riche éventail de fonctions basé sur une architecture
très novatrice et une intégration unique avec le monde de l'e-business.
Outre ce logiciel ERP, l’entreprise utilise des bases de données SQL, une application
permettant la conception assistée par ordinateur appelée Catia, associé à un autre logiciel
appelé Smarteam qui permet aux utilisateurs de gérer et de maintenir toutes les informations
relatives à leurs produits tout au long de leur cycle de vie.

Afin de garantir une sécurité optimale dans l’ensemble de son réseau informatique, Automatic
Systems investit dans des logiciels de type : antivirus, anti-spam, sauvegardes,… et effectue
des audits de sécurité.

Pour l’entreprise, internet est devenu un outil incontournable, pour la communication


professionnelle car celui-ci permet la recherche d’information et le dialogue avec
l’environnement de l’entreprise ainsi que les filiales dont elle s’occupe.

9
5. Position du problème

5.1. Analyse de l’existant


Actuellement, l’entreprise Automatic Systems possède une structure logique éparpillée parmi
ses différents sites, ceci implique une administration délicate car un domaine étant défini
comme un ensemble de machines partageant la même base de données et la même politique
de sécurité, il est difficile avec cette structure d’appliquer une même politique à chaque
domaine du fait qu’ils sont dispersés.
La composition de cette topologie est constituée de cinq forêts donc cinq bases de données
différentes.

Structure logique actuelle d’Automatic Systems :

10
Nom du serveur Rôle du serveur Site sur lequel
au sein du domaine se trouve le serveur
BARCELONESRV Contrôleur de domaine Barcelone
MADRIDSRV Contrôleur de domaine Madrid
ASA-DC Contrôleur de domaine Canada
ASSDCSRV Contrôleur de domaine Wavre
ASPDCSRV Contrôleur de domaine Wavre
ASGEMBDCSRV Contrôleur de domaine Gembloux
ASVLDSRV Contrôleur de domaine Aartselaar
ASFSRV Contrôleur de domaine Rungis
AIXSRV Serveur membre du domaine Aix Aix
BLYESDC Contrôleur de domaine Blyes
UKSRV1 Contrôleur de domaine Royaume-Uni
UKSRV2 Contrôleur de domaine Royaume-Uni
UKSRV3 Contrôleur de domaine Royaume-Uni

Inconvénients d’une telle structure :

- Décentralisation et difficulté de l’administration car les informations se trouvent partout.


- Sur les sites autres que Wavre, les administrateurs ne connaissent pas les différents
acteurs informatiques qui intègrent le processus.
- Difficultés d’obtenir des informations car certains sites sont traités par des consultants.
- Plusieurs domaines sont isolés, ce qui engendre un obstacle dans l’application d’une
politique de sécurité homogène. En effet, face à une telle structure avec cinq bases de
données, lorsqu’une modification homogène doit être appliquée, elle l’est mais cinq fois
car elle doit être exécutée sur les cinq bases de données.
- Le département IT du site de Wavre étant le support technique de la totalité des sites de
l’entreprise, le staff rencontre des problèmes de dépannage par le manque
d’informations.
- Aucune homogénéité au niveau des noms internet, nom de domaine et adresse email.

Avantages de cette structure :

- Au niveau du site de Wavre, le secteur informatique est composé de cinq employés, ce


qui implique un moindre coût pour l’entreprise.

5.2. Solution envisagée


L’objectif de l’équipe IT est de redéfinir cette structure logique de l’entreprise afin d’obtenir
grâce à l’Active Directory une administration centralisée à partir de la maison-mère située à
Wavre.

En effet, l’Active Directory est un annuaire global permettant d'administrer à partir d'un point
unique toutes les ressources (imprimantes, serveurs, groupes, applications, ordinateurs) et les
utilisateurs. Cet annuaire enregistre sous la forme de hiérarchies les informations relatives aux
objets du réseau et met ces informations à la disposition des administrateurs, des utilisateurs et
des applications à l’aide de deux technologies : le protocole LDAP et le format LDIF.

11
1. Le protocole LDAP (Lightweight Directory Access Protocol) définit la méthode
d'accès aux données sur le serveur au niveau du client et non la manière avec laquelle
les informations sont stockées. Ce protocole repose sur celui de TCP/IP.

Ainsi LDAP fournit à l'utilisateur des méthodes lui permettant de :


 se connecter ;
 se déconnecter ;
 rechercher des informations ;
 comparer des informations ;
 insérer des entrées ;
 modifier des entrées ;
 supprimer des entrées.

2. Le format LDIF (LDAP Data Interchange Format) est un format standardisé


d'échange de données qui permet la représentation des données contenues dans un
annuaire LDAP (Active Directory). Il permet également la représentation d'opérations
sur les données de l'annuaire telle que l’ajout, la suppression et la modification.
Cet annuaire permet d'organiser le réseau et ses objets à l'aide d'entités telles que les
domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et
les sites.

Avant l’apparition de l’Active Directory, sous Windows NT, l'organisation d'un réseau
s'articulait autour de domaines non reliés entre eux ou lorsque cela était possible, la difficulté
de la mise en relation était telle qu’elle en faisait râler plus d’un !
De plus, la gestion du réseau était compliquée car chaque domaine nécessitait un
administrateur et la modification des paramètres utilisateurs se faisait au cas par cas du fait
que chaque domaine possédait sa propre base de données (donc pas de partage !).

Depuis l’arrivée de Windows Server 2000 et avec lui, de l’Active Directory, il est désormais
possible de connecter plusieurs domaines pour former une structure hiérarchique
arborescente.
Pour ce faire, cet annuaire utilise le système DNS (Domain Name System) qui est un service
standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (exemple :
www.iram.be) en adresses IP (Internet Protocol) lisibles par les ordinateurs (quatre numéros
séparés par des points). C’est pourquoi il est absolument nécessaire d’utiliser le protocole
TCP/IP.

L'administration du système en est simplifiée car l'annuaire autorise ainsi un point unique
d'administration.

L’Active Directory utilise des contrôleurs de domaine ayant le même niveau hiérarchique. Les
modifications réalisées par l'administrateur sur un contrôleur seront ainsi automatiquement
répliquées sur les autres contrôleurs du domaine.
Ce qui permet d’éviter toute perte de données lors de l'échec d'un contrôleur de domaine.

12
6. Active Directory

6.1. Définition

Ce genre de structure n’est pas une nouveauté, elle existe depuis des années dans les grandes
lignes chez Novell.

L’Active Directory est une base de données distribuée, orientée objet et nom qui constitue le
service d’annuaire de Windows Server 2000 et 2003. Ce service étend également les
fonctionnalités des services d'annuaire précédemment fournis avec Windows NT et offre en
outre des possibilités entièrement nouvelles qui rendent aisée la navigation parmi d'importants
volumes d'informations et facilitent leur gestion, en permettant des gains de temps importants
tant pour les administrateurs que pour les utilisateurs.

L’Active Directory n’est plus une base de données uniquement orientée administrateur mais
elle est considérée comme une ressource réseau en tant que telle.

Le but de ce service d’annuaire est double :


- Il enregistre, sous la forme de hiérarchies, les informations relatives aux ressources
réseau (objets) et met ces données à la disposition des administrateurs, des utilisateurs et
des applications ;
- Il constitue également un outil d'administration et de gestion centralisé de la totalité des
ressources présentes sur le réseau.

La base de données Active Directory renferme des objets (ordinateurs, utilisateurs,


imprimantes,…) qui sont des éléments concrets et uniques qui contiennent des informations
(attributs) relatives aux ressources réseau comme, par exemple, le nom, le prénom, l’adresse,
le département de travail d’un utilisateur.
Ces attributs sont regroupés en classes, c'est-à-dire en catégories d'objets ayant des
caractéristiques en commun. Ils sont créés une seule fois mais peuvent être utilisés au sein de
plusieurs classes. A partir de celles-ci, des sous-classes peuvent être créées.

Exemple :

Nous pouvons imaginer de créer une « classe privée » reprenant les informations privées d’un
utilisateur et une « classe profil » contenant les données du profil de l’utilisateur.

 L’ensemble des objets, des classes et des attributs constitue les fondations de l’Active
Directory appelées SCHEMA.

De plus, l’Active Directory est un espace de noms, c'est-à-dire une zone délimitée au sein de
laquelle un nom donné peut être résolu.
La résolution de nom consiste à passer d'un nom à l'objet ou à l'information que ce nom
représente. La fonction première de l'espace de noms est d'organiser les descriptions des
ressources et d’essayer de les distinguer de manière unique afin de permettre aux utilisateurs
de les localiser à partir de leurs caractéristiques ou de leurs propriétés.

13
Au sein de l’Active Directory, il existe quatre moyens d’identifier les objets répertoriés :

1. Distinguished Name (DN)

Tous les objets contenus dans l’Active Directory possèdent un Distinguished Name (nom
unique). Celui-ci identifie le domaine dans lequel se trouvent l’objet et le chemin complet par
lequel il faut passer pour atteindre celui-ci.

Ce DN est structuré comme suit : CN= …, OU= …, DC= …

 CN = Common Name (Nom usuel).


 OU = Organizational Unit (Unité d’organisation).
 DC = Domain Component (Composant de domaine).

Prenons un exemple, imaginons un objet utilisateur appelé « Alpha » et faisant partie de


l’organisation « test » du domaine « automaticsystems.be ».
Son Distinguished Name sera : CN = Alpha, OU = test, DC = automaticsystems, DC = be

Représentation graphique de ce nom unique :

automatcisystems.be

OU = test

Alpha

Ce distinguished Name est utilisé lors de la restauration de l’Active Directory.

2. User Principal Name (UPN)

Dans l’Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur
principal) au format <utilisateur>@<nom-domaine>. Un nom UPN est un nom convivial
assigné par un administrateur. Par exemple, le nom UPN de l'utilisateur « Alpha », qui
possède un compte utilisateur dans le domaine « automaticsystems.be »
est Alpha@automaticsystems.be

Le User Principal Name peut être utilisé pour s’authentifier sur le réseau.
De plus, pour des raisons de simplicités et de commodités, l’administrateur peut alléger
l'administration et les processus de connexion des utilisateurs en fournissant un suffixe UPN
unique pour tous les utilisateurs.

14
3. Security Identifier (SID)

Un SID est un numéro unique, composé du RID1 (Relative Identifier Master : identifiant du
contrôleur de domaine du domaine) et du DNM1 (Domain Naming Master : identifiant du
domaine), affecté aux objets entités de sécurité, à savoir les comptes d’utilisateurs, de groupes
et d'ordinateurs. Chaque compte du réseau a reçu un SID unique à sa création. Les processus
internes de Windows Server 2000/2003 font référence au SID d'un compte plutôt qu'à son
nom d'utilisateur ou de groupe.
Une ACL (Access Control List : liste de contrôle d’accès) composée d’ACE (Access Control
Entry : entrée de contrôle d'accès) protège chaque objet Active Directory en identifiant les
utilisateurs et les groupes pouvant y accéder. Chaque ACL contient le SID de chaque
utilisateur et de chaque groupe ayant l'autorisation d'accéder à l'objet et définit le niveau
d'accès autorisé. Par exemple, un utilisateur peut disposer pour certains fichiers de droits
d'accès en lecture seule, pour d'autres de droits d'accès en lecture et en écriture, et pour
d'autres encore, d'aucun droit d'accès.

Si un compte utilisateur est créé, et ensuite supprimé, puis qu’un autre compte est créé avec le
même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des droits accordés
à l'ancien compte car les comptes ont des identificateurs SID différents.

4. Globally Unique Identifier (GUID)

Le Globally Unique Identifier est un identifiant exprimé sur un nombre hexadécimal de 128
bits assigné à chaque objet lors de sa création par Windows Server 2000/2003.
Quand un objet est déplacé ou renommé, son Distinguished Name change, son Security
Identifier se modifie (l’ancien SID est gardé dans un historique), parfois même son User
Principal Name peut être modifié mais JAMAIS son Globally Unique Identifier ce qui permet
à un objet d’être unique au sein de l’Active Directory.

Remarque :
L’Active Directory n’autorise pas que deux objets possèdent le même DN (Distinguished
Name), par contre, elle ne va pas interdire que deux objets aient le même UPN (User Principal
Name) mais pour des raisons de clarté lors de l’administration, il est préférable qu’il soit
différent.

Sur base de ces notions, nous pouvons maintenant passer à l’étude de deux points importants
dans la planification de l’Active Directory qui sont :

 La structure logique.
 La structure physique.

1
Ces notions seront expliquées plus en détails dans la partie intitulée Single Master Opérations.

15
6.2. Structure logique

6.2.1. Domaine

Un domaine est un ensemble de machines qui partagent la même base de données, la même
politique de sécurité et qui possèdent un nom unique sur le réseau.

Il faut savoir également qu’un domaine peut recouvrir plusieurs sites physiques d’une
entreprise et que l’Active Directory est constitué d’un ou plusieurs domaines.
Il s’agit donc d’une unité administrative.

Toute cette gestion à l’intérieur d’un domaine est orchestrée par un ou plusieurs ordinateurs
particuliers appelés : contrôleurs de domaine (DC = Domain Controller). Leur rôle est de
fournir des informations sur chacun des acteurs du domaine, ils en maintiennent une liste et
les autorisent ou non à effectuer des actions particulières, ce recensement est stocké dans
l’Active Directory sur chaque contrôleur de domaine du domaine.

Active Directory utilise la réplication Multi-Master qui permet à l’administrateur du réseau de


mettre à jour l'annuaire sur n'importe quel contrôleur de domaine. Le déploiement de plusieurs
contrôleurs de domaine dans un seul domaine garantit la tolérance de pannes et l'équilibrage
de charge. Si le fonctionnement d'un contrôleur de domaine au sein d'un domaine ralentit,
s'arrête ou échoue, les autres contrôleurs du même domaine peuvent fournir un accès à
l'annuaire, en attendant de résoudre le problème, étant donné qu'ils possèdent les mêmes
données d'annuaire.

Il y a différents modes pour qualifier les domaines :

1. Windows 2000 Mixed : ce type de domaine possède des contrôleurs de domaine


équipé de la version NT4 Server et 2000/2003 Server.
Le contrôleur de domaine possédant la version NT4 Server étant le moins
performant, ceux équipés de Windows 2000/2003 Server vont fonctionner avec un
niveau de performance moindre afin de pouvoir reconnaître le ou les serveurs
tournant en NT4 Server car certains nouveaux objets connus par la version
Windows Server 2000/2003 ne le sont pas pour la version NT4 Server.
2. Windows 2000 Native : à l’intérieur d’un tel domaine, tous les contrôleurs de
domaine fonctionnent uniquement avec la version Windows Server 2000/2003
pour la même raison que précédemment, les serveurs équipés de Windows Server
2003 tourneront avec un niveau de performance moins élevé pour se mettre au
même niveau que les autres serveurs fonctionnant en Windows Server 2000.
3. Windows Server 2003 Interim : un domaine de ce type signifie qu’il possède des
contrôleurs de domaine avec la version Windows Server 2003 installée et d’autres
avec la version NT4 Server en cours de migration vers la 2003 Server.
4. Windows Server 2003 : tous les contrôleurs de domaine sont équipés de la
version Windows Server 2003.

16
6.2.2. Unité d’organisation (Oganizational Unit)

Une unité d’organisation (OU) est un container Active Directory utilisé pour organiser
logiquement et enregistrer les objets à l’intérieur des domaines.
Les unités d'organisation peuvent être créées de façon à refléter la structure fonctionnelle ou
commerciale de la société. De plus, chaque domaine peut implémenter sa propre hiérarchie
d'unités d'organisation.

Une unité d'organisation est la plus petite étendue ou unité à laquelle l’administrateur peut
appliquer des paramètres de stratégie de groupe ou déléguer une autorité administrative.
L’objectif principal d’une unité d’organisation est d’aider l’administrateur à gérer la
configuration et l'utilisation des comptes et des ressources en fonction du modèle
organisationnel de l’entreprise.

Les unités d'organisation peuvent contenir des utilisateurs, des groupes, des ordinateurs, des
imprimantes, des dossiers partagés et une quantité illimitée d'autres unités d'organisation,
mais elles ne peuvent pas contenir d'objets d'autres domaines.

Exemple de hiérarchie d'unités d'organisation dans un domaine unique :

6.2.3. Arbre, forêt & relations


Avant de pouvoir parler de cette notion, il faut d’abord tenter de répondre à une question
essentielle qui est : pourquoi créer plus d’un domaine ?

Il faut créer plus d’un domaine dans différents cas :


1. S’il y a un très grand nombre d’objets (ressources réseau) au sein de l’entreprise.
En effet, l’Active Directory est limitée à 40 MB de capacité de stockage si le
domaine possède un serveur tournant sous NT 4 Server et à 17 Téra dans les autres
cas ;
2. Si la société dispose de plusieurs noms de domaine internet ;
3. Si l’administrateur réseau souhaite mettre en place différents mots de passe pour
les utilisateurs en fonction du département des utilisateurs au sein de la société ;
4. Pour avoir un meilleur contrôle des réplications.

17
6.2.3.1. Arbre
La notion d'arbre est étroitement liée à la notion de domaine.
Un arbre est un regroupement hiérarchique de domaines partageant tous un même nom
contigu.
Nous avons donc des domaines parents et enfants, le nom de ces deux domaines sont
combinés pour former le nom DNS2 (Domain Name System).

Remarque : Le tout premier domaine créé est par défaut le domaine racine (root) de l’arbre et
de la forêt.

Par exemple, la société Automatic Systems possède un nom de domaine Active Directory
« automaticsystems.com » et cette entreprise dispose de deux départements, un aux Etats-Unis
et un autre en Belgique, chacun d’eux est représenté par un domaine enfant. Ces deux
domaines porteront le nom suivant : « usa.automaticsystems.com » et
« belgique.automaticsystems.com », ce qui constitue un arbre.

Représentation graphique de cette situation :

De plus, les domaines faisant partie d’un même arbre :


 sont reliés entre eux par une relation d’approbation : Two-Way Transitive Trusts
(TWTT) qui sont des liens de confiance OBLIGATOIRE explicites (demandé lors de
l’installation de l’Active Directory) et implicites (entre les domaines).
En d'autres termes, si le domaine A approuve le domaine B qui approuve le domaine
C, alors le domaine A approuve le domaine C.
 ont le même schéma3.
 ont la même configuration globale3.
 ont un catalogue global3 identique.

2
Cette notion sera détaillée dans la partie intitulée : DNS.
3
Ces notions seront développées dans les parties intitulées : Schéma, Global catalog & logon process,
représentation graphique.

18
6.2.3.2. Forêt

La notion de forêt est également liée à celle de l’arbre car une forêt est composée d’un ou
plusieurs arbres qui ne partagent pas le même nom contigu.

Remarque importante
Si la structure logique de l’entreprise n’est composée que d’un seul domaine, la relation
suivante s’applique : un domaine = un arbre = une forêt.

Une forêt permet aux administrateurs réseaux de combiner des divisions différentes pour une
organisation, voire de regrouper des organisations différentes. De plus, ces organisations n'ont
pas besoin de partager le même nom de domaine et peuvent fonctionner de façon
indépendante tout en communiquant entre elles.
 Mais elles partagent la même information !

Une forêt a une double utilité, elle permet d’un côté de simplifier l'interaction de l'utilisateur
avec l'annuaire et de l’autre, de rendre l'administration de domaines multiples plus aisée.
Par exemple, lors de l’authentification d’un utilisateur dans un autre domaine que celui
d’origine.

Chaque domaine (arbre) root de chaque forêt doit être relié entre eux par une relation
d’approbation Two-Way Transitive Trusts.
De plus, les arbres faisant partie d’une même forêt :
 sont reliés entre eux par une relation d’approbation explicite et implicite entre tous les
domaines : Two-Way Transitive Trusts (TWTT).
 ont le même schéma.
 ont la même configuration globale.
 ont un catalogue global identique car il se base sur le schéma qui doit être commun à
toute la forêt.

Illustration de cette affirmation :

19
Il existe différents types de forêt qui varient en fonction du système d’exploitation installé sur
les domaines contrôleurs des domaines appartenant à la forêt :

 Forêt Windows 2000 : cette forêt est composée de domaines en mode Windows 2000
mixed et native et en mode Windows Server 2003.

Exemple :

 Forêt Windows Server 2003 interim : cette forêt est composée de domaines en mode
Windows Server 2003 interim.

Exemple :

20
 Forêt Windows Server 2003 : cette forêt est composée de domaines en mode
Windows Server 2003 uniquement.

Exemple :
Domaine racine en mode
Windows Server 2003

DC avec la version
Windows Server 2003
installée

DC avec la version
Windows Server 2003
installée

automaticsystems.com

Domaine enfant en mode Domaine enfant en mode


Windows Server 2003 Windows Server 2003

DC avec la version DC avec la version


Windows Server 2003 Windows Server NT4 en
installée migration vers la 2003 Server

DC avec la version DC avec la version


Windows Server 2003 Windows Server 2003
installée installée

belgique.automaticsystems.com usa.automaticsystems.com

Une upgrade d’une forêt Windows 2000 ou Windows Server 2003 interim vers une forêt
Windows Server 2003 ou une installation d’une telle forêt permet :

 D’établir une relation de forêt à forêt (Transitive Forest Trusts).


 Une plus grande flexibilité au niveau de la réplication des membres d’un groupe.
En effet, sous les versions précédentes de Windows Server, un groupe ne pouvait pas
contenir plus de 5000 membres.
 Un meilleur acheminement des données entre les différents sites d’une entreprise.
Sous Windows Server 2000, le nombre de sites pouvait aller jusque 200, sous
Windows Server 2003, cette quantité de sites peut monter jusque 5000.
 Un catalogue global fixe.
Avant l’arrivée de Windows Server 2003, quand un attribut qui devait être référencé
dans le catalogue global était ajouté, tous les catalogues globaux effaçaient leur base
de données et la reconstruisaient à partir de zéro. Maintenant, sous Windows Server
2003, ils mettent à jour leur base de données graduellement.

Remarque :
 L’administrateur réseau peut augmenter le niveau de fonctionnement d’un domaine ou
d’une forêt.
 Si certains domaines d’une forêt fonctionnent en mode Windows 2000 mixed,
l’administrateur ne peut pas augmenter le niveau de fonctionnement de la forêt.
 Si l’administrateur augmente le niveau de fonctionnement de la forêt, celui de tous les
domaines seront mis à jour vers le mode Windows Server 2003.
(Attention : l’opération est irréversible.)

21
6.2.3.3. Relations

Les domaines Windows 2000 qui appartiennent à la même forêt ou au même arbre partagent
une relation d'approbation transitive bidirectionnelle (Two-Way Transitive Trusts).

Il existe une approbation transitive implicite d’une part, entre les domaines racine de chaque
arbre de la forêt Windows 2000 et, d’autre part, entre tous les domaines contigus d'un même
arbre.

Cependant, il peut parfois être nécessaire de créer des relations d'approbation explicites entre
des domaines, par exemple dans le cas d'une relation entre un domaine Windows NT4 et un
domaine Windows 2000 ou 2003 Server.

Windows NT 4 Server étant le plus ancien par rapport aux versions Windows Server
2000/2003, entre un domaine NT4 et un domaine Windows 2000 ou 2003 Server, la relation
d’approbation ne peut pas être Two-Way Transitive.
En effet, la version NT4 Server ne connaît que la relation d’approbation non transitive
unidirectionnelle (One-Way Non-Transitive Trusts).
De ce fait, les serveurs équipés de la version Windows 2000 Server doivent descendre au
niveau d’exécution de ceux possédant la version NT4.

Comparaison des relations Two-Way Transitive et One-Way Non-Transitive

 One-Way Non-Transitive

Ce type de relation est unidirectionnel.

Le domaine A fait confiance au domaine B, ce qui implique que tous les utilisateurs du
domaine B peuvent venir se connecter dans le A car le contrôleur de domaine du domaine A
(DC A) fait confiance à tout ce qui vient du contrôleur de domaine de B (DC B).

22
 Two-Way Transitive

Ce type de relation est bidirectionnel

Le projet confié à l’équipe IT étant de redéfinir la structure logique de l’entreprise Automatic


Systems, l’ensemble des serveurs utilisés pour la gestion de cette nouvelle topologie seront
dotés de la version Windows Server 2003 Standard Edition.

 Nous serons donc confrontés à une forêt Windows Server 2003.

Ce type de forêt offre une possibilité supplémentaire (exemple : relation de forêt à forêt,
renommer les contrôleurs de domaines ou le domaine lui-même (sauf le domaine racine))
grâce au système d’exploitation Windows Server 2003. En effet, si lors d’une éventuelle
fusion de la société Automatic Systems avec une autre entreprise, il est possible d’établir une
relation de forêt à forêt (Forest To Forest Trust), ce qui apporte un avantage certain car une
telle relation permet de ne pas devoir démonter l’Active Directory de la société rachetée.
Avec cette méthode, les employés travaillant dans les deux sociétés pourront s’authentifier à
partir de n’importe quel endroit au sein de ces deux entreprises.

Mais attention, ce genre de relation ne fusionne pas les Actives Directory, chaque entreprise
garde son propre service d’annuaire.

23
6.2.4. Schéma
Le schéma est une base de données qui regroupe l’ensemble des propriétés possibles pour
n’importe quel objet répertorié dans l’Active Directory.

Sur le système d’exploitation Windows Server 2000/2003, il y a un seul schéma pour


l’entièreté de la forêt créé lors de la configuration du premier contrôleur de domaine.
Si des modifications sont effectuées à celui-ci, elles sont immédiatement répliquées sur tous
les contrôleurs de domaine de la forêt, cette fonctionnalité est pénible si la forêt est grande et
dispersée sur de nombreux sites.
(Attention : chaque modification effectuée est irréversible !)

Le stockage du schéma dans l'annuaire présente de nombreux avantage.


En effet, certaines applications des utilisateurs, comme Exchange, par exemple, peuvent ainsi
lire le schéma pour connaître les objets et les propriétés disponibles et ont la possibilité de
mettre à jour dynamiquement ce dernier si l’objet que l’application cherche n’existe pas.

Les utilisateurs peuvent également localiser un objet à travers l’Active Directory par une
recherche axée sur un ou des attributs spécifiques.

Le schéma étant stocké dans l’Active Directory et répliqué lors d’éventuelles modifications, il
est donc défini comme un objet et a, par définition, un Distinguished Name composé de deux
parties (une fixe et l’autre variable en fonction du nom de domaine et du domaine racine)
réparties comme suit :
CN = schéma, CN = configuration, DC = Nom du domaine, DC = Nom du domaine racine

Partie fixe Partie variable

Il faut savoir également que lorsque l’Active Directory est créée sur le premier contrôleur de
domaine, un schéma par défaut est ajouté à celui-ci.

24
6.2.5. Analyse de la topologie logique future de l’entreprise

6.2.5.1. Elaboration de la nouvelle structure logique


Cette nouvelle topologie logique sera établie sur base de six arbres (un par pays) appartenant à
une seule forêt, afin de permettre une administration centralisée à partir de la maison-mère de
l’entreprise Automatic Systems située à Wavre.

Ces derniers permettront de pouvoir identifier avec aisance le pays dans lequel se trouvent les
sites de l’entreprise en fonction du nom de domaine.

Répartition des noms de domaine en fonction du lieu géographique des sites de l’entreprise

Lieu géographique Nom de domaine


Belgique (Wavre) automaticsystems.be
France automaticsystems.fr
Canada automaticsystems.ca
Espagne automaticsystems.es
Etats-Unis automaticsystems.com
Royaume-Uni automaticsystems.co.uk

La forêt quant à elle portera le nom « automaticsystems.be ».


En effet, comme vu précédemment, le premier domaine créé est, par défaut, le domaine racine
(root) de l’arbre et de la forêt. Cette appellation marque bien le fait que l’administration sera
centralisée à partir du site de l’entreprise situé en Belgique, plus précisément, à Wavre.

La nouvelle structure logique est schématisée come suit :

25
Avantages de cette structure

Cette nouvelle topologie logique permet d’obtenir une homogénéité au niveau des noms
internet, noms de domaine et adresses emails des utilisateurs.

En effet, un nom de domaine constitue la base de toute adresse sur internet (email ou web).
Il se compose d’une série de lettres (et/ou chiffres, tirets) suivie d’une extension (.be, .fr, …).
L’homogénéité de ce nom est très importante car grâce à celle-ci, les utilisateurs pourront
donner à leurs clients, visiteurs, partenaires, … une image certaine d’harmonie en
communiquant avec leurs adresses emails en relation avec le domaine dans lequel ils se
trouvent (par exemple : email@automaticsystems.be).

De plus, cette adresse email est en parfaite cohérence avec l’adresse du site web de
l’entreprise, ce qui permet d’augmenter la notoriété et la visibilité de la société en touchant
une plus large audience.

En plus de permettre une homogénéité au niveau des noms de domaine, des noms internet et
adresses email, cette structure garantit une politique de sécurité propre à chaque site de
l’entreprise, une centralisation de l’administration de l’ensemble des ressources à partir de la
maison-mère car chaque domaine possède la même base de données Active Directory.

Ce type de structure permet à l’équipe IT d’être en possession de toutes les informations


relatives aux différents sites de l’entreprise et peut alors garantir un support technique de
qualité pour l’ensemble des localisations de la société.

Cette structure offre également la possibilité à chaque utilisateur de chaque site de se


connecter sur tous les domaines de l’entreprise.

Le seul bémol de cette topologie est la difficulté de la mettre en œuvre car il n’est pas évident
de la gérer vu le nombre de domaines mais ce défaut est vite atténué face aux nouvelles
possibilités qu’elle offre.

26
6.2.5.2. Agencement des unités d’organisation pour chaque
domaine
1. Répartition des unités d’organisation pour le domaine automaticsystems.be

Utilisateurs

Ordinateurs
Ressources
humaines Imprimantes

Ressources humaines Utilisateurs


et
moyens généraux Ordinateurs
Moyens
généraux Imprimantes

Utilisateurs

Software Ordinateurs

Imprimantes
Informatique
Utilisateurs

Réseau Ordinateurs

Imprimantes

Utilisateurs

Ordinateurs
Projet
Imprimantes

Utilisateurs

Ordinateurs
Organisation
Imprimantes

Production Utilisateurs

Ordinateurs
Magasin
Imprimantes

Utilisateurs

Départements Ordinateurs
Comptabilité
Imprimantes
Finance
Utilisateurs
automaticsystems.be
Ordinateurs
Administration
des ventes Imprimantes

Utilisateurs

Ordinateurs
Qualité et qualification
Imprimantes

Utilisateurs

Ordinateurs
Achat et vente
Imprimantes

Utilisateurs
Commercial
Ordinateurs
Maintenance Utilisateurs
Imprimantes
Groupes d’utilisateurs Ordinateurs
(accès aux ressources) Utilisateurs
Electrique Imprimantes
Ordinateurs
Utilisateurs
Marketing
Imprimantes
Ordinateurs
Mécanique
Développement Utilisateurs Imprimantes

Ordinateurs Utilisateurs
Gestion Imprimantes
Etude des données Ordinateurs
Prototype
Utilisateurs Imprimantes

Support Ordinateurs
technique
Imprimantes

Utilisateurs

Atelier Ordinateurs

Imprimantes

27
2. Répartition des unités d’organisation pour le domaine automaticsystems.fr

3. Répartition des unités d’organisation pour le domaine automaticsystems.co.uk

28
4. Répartition des unités d’organisation pour le domaine automaticsystems.es

5. Répartition des unités d’organisation pour le domaine automaticsystems.com

29
6. Répartition des unités d’organisation pour le domaine automaticsystems.ca

Ces structures d’organisation logiques des différents domaines ont été établies sur base des
organigrammes de l’ensemble de la société Automatic Systems fournis en annexe (Annexe 1
et Annexe 2).
Ces organisations permettent d’avoir une vue globale sur tous les utilisateurs, ordinateurs et
imprimantes enregistrés dans l’Active Directory en fonction du département dans lequel ils se
trouvent.

De plus, une unité d’organisation est réservée à la création de groupes d’utilisateurs afin de
permettre à un ensemble d’utilisateurs d’avoir accès à une ou plusieurs ressources réseau.
Ce qui permet de ne pas mélanger les groupes d’utilisateurs et les utilisateurs.

Cette manière de travailler débouche sur un ensemble d’organisations fonctionnelles et


claires.

6.2.6. DNS (Domain Name System)

6.2.6.1. Définition

Chaque ordinateur directement connecté à internet ou à un réseau local possède au moins une
adresse IP unique. Cependant, les utilisateurs ne veulent pas travailler avec des adresses IP
(exemple : 192.168.0.1) mais avec un nom de domaine ou des adresses plus explicites
(comme par exemple : automaticsystems.be) car c’est plus facile pour eux de retenir le nom
d’une machine que l’adresse IP.

Ainsi, grâce au DNS (Domain Name System), il est possible d'associer des noms en langage
courant aux adresses IP.

30
Ce système propose :

 Un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une
structure arborescente.
 Un système de serveurs distribués permettant de rendre disponible l'espace de noms.
 Un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire
interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.

Le système DNS introduit une convention de nommage hiérarchique des domaines qui
commence par un domaine racine appelé « . ». Les domaines situés directement sous le
domaine racine sont appelés domaines de premier niveau.
Ils sont gérés par l'ICANN (Internet Corporation for Assigned Names and Numbers) et
représentent souvent la localisation géographique (be, com, fr, ...) ou le type de service (info,
org, gov, mail, ...)
Les domaines de second niveau sont disponibles pour les entreprises et les particuliers. Ils
sont distribués et gérés par d'autres sociétés comme l'InterNIC (une filiale de l'ICANN).
Enfin, une multitude de sous-domaines peuvent être créés à l'intérieur d'un domaine de second
niveau.

Cette structure est schématisée comme suit :

«.»

.com .fr .be .ca .co.uk .es

.automaticsystems

Les noms de machine utilisant le système DNS sont appelés noms d'hôtes. Ce type de nom
peut contenir jusqu'à 255 caractères alphanumériques et le caractère trait d'union. L'utilisation
du caractère « . » est interdite car il est réservé afin de séparer un domaine supérieur d'un
domaine inférieur.

En effet, deux types de noms avec le système DNS sont mis en évidence :

 Le nom d'hôte (hostname) qui représente le nom d'une machine (un ordinateur, une
imprimante ou bien encore un routeur).
 FQDN (Fully Qualified Domain Name).

Le FQHN (Fully Qualified Host Name) est en fait composé de deux parties : le nom d'hôte et
le FQDN (Fully Qualified Domain Name).
Ce FQHN définit la relation entre le domaine auquel appartiennent la machine et le domaine
racine.
Prenons un exemple, si une machine possède le nom d'hôte Workstation1 située dans le
domaine « automaticsystems », son FQDN est : automaticsystems.be.
Le FQHN de la machine Workstation1 est donc Workstation1.automaticsystems.be.

31
Présentation de cette notion sous forme de schéma :

FQHN
(Fully Qualified Host Name)

Nom d’hôte FQDN


(Hostname) (Fully Qualified
Domain Name)

Nom de domaine particule

Workstation .automaticsystems .be

Chaque domaine possède un serveur de noms de domaine (DNS), appelé « serveur de noms
primaire » (Primary Domain Name Server), et/ou un « serveur de noms secondaire »
(Secondary Domain Name Server), permettant de prendre le relais du serveur de noms
primaire en cas d'indisponibilité.

Chaque serveur de nom est déclaré dans un serveur de nom de domaine de niveau
immédiatement supérieur, ce qui permet implicitement une délégation d'autorité sur les
domaines.
Ce type de serveur définit une zone, c'est-à-dire un ensemble de domaines sur lequel le
serveur a autorité. Le système de noms de domaine est transparent pour l'utilisateur.

Une zone de noms ou zone DNS est un fichier texte reprenant la totalité ou une partie des
enregistrements de ressources appartenant à la même portion de l'espace de noms DNS.

Il existe deux types de zones :

 Une zone Forward : convertit l’adresse IP d’une machine (hôte) en nom ;


 Une zone Reverse : convertit le nom d’un hôte en adresse IP.

Ces deux zones sont dynamiques.

Une zone forward et reverse peut être qualifiée sous trois formes :

 Une zone forward et reverse primaire peut ajouter, modifier et supprimer des
enregistrements de ressources.
 Une zone forward et reverse secondaire est une copie en lecture seule d'une zone
primaire donnée. Un serveur DNS qui héberge une zone secondaire ne peut pas ajouter
ni modifier d'enregistrements de ressources. Les zones secondaires ont donc pour seul
intérêt de garantir une tolérance aux pannes.
 Une zone forward ou reverse intégrée à l’Active Directory (ADI) est obtenue si le
serveur DNS joue aussi le rôle de contrôleur de domaine. Dans ce cas, la zone
primaire est stockée dans l’Active Directory et peut donc être répliquée sur tous les
contrôleurs de domaine. Cette solution apporte des avantages en termes de
performance et de sécurité.

32
Le mécanisme exécuté par un serveur de nom (DNS) est de trouver l'adresse IP correspondant
au nom d'un hôte ou inversement.

Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine (par
exemple « workstation1.automaticsystems.be »), celle-ci va interroger un serveur de noms
défini dans sa configuration réseau.
Une requête est ainsi envoyée au Primary Domain Name Server. Si celui-ci possède
l'enregistrement dans son cache, il l'envoie à l'application ; dans le cas contraire, il interroge
un serveur racine.
Le serveur de noms racine renvoie une liste de serveurs de noms faisant autorité sur le
domaine.
Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et retourner
l'enregistrement correspondant à l'hôte sur le domaine.

Un serveur DNS est en fait une de base de données reprenant des enregistrements de
ressources appelés RR (Ressource Records) concernant les noms de domaine.
Seul l’administrateur du domaine peut visualiser ces enregistrements.

On distingue plusieurs types d'enregistrements de ressources :

 A : il permet d’établir la correspondance entre un nom canonique et une adresse IP. Par
ailleurs, il peut exister plusieurs enregistrements A, correspondant aux différentes
machines du réseau (serveurs). Cet enregistrement se crée automatiquement dans le cas
d’une zone avec mise à jour dynamique.
 CNAME (Canonical Name) : il permet de faire correspondre un alias au nom canonique.
Il est particulièrement utile pour fournir des noms alternatifs correspondant aux différents
services d'une même machine.
Exemple : si une machine au sein de l’entreprise Automatic Sytems doit héberger le site
internet de la société et que son FQHN est wokstation1.automaticsystems.be, afin de la
rendre joignable avec un nom plus convivial pour les utilisateurs, l’administrateur réseau
attribuera à cette dernière le CNAME : WWW.
De cette façon, les utilisateurs voulant visionner le site internet de la société devront taper
l’adresse suivante dans leur navigateur internet : www.automaticsystems.be et non plus
workstations1.automaticsystems.be.
 MX (Mail eXchange) : correspond au serveur de gestion du courrier. Lorsqu'un
utilisateur envoie un courrier électronique à une adresse (utilisateur@domaine), le
serveur de courrier sortant interroge le serveur de noms ayant autorité sur le domaine afin
d'obtenir l'enregistrement MX. Il peut exister plusieurs MX par domaine, afin de fournir
une redondance en cas de panne du serveur de messagerie principal.
 NS : correspond au serveur de noms ayant autorité sur le domaine. Il y a autant
d’enregistrement NS qu’il y a de serveurs DNS sur le domaine. Cet enregistrement se
crée automatiquement.
 PTR : un pointeur vers une autre partie de l'espace de noms de domaine. Il réalise la
correspondance entre une adresse IP et un nom canonique.
 SOA (Start Of Authority) : le champ SOA permet de décrire le serveur de nom ayant
autorité sur la zone, ainsi que l'adresse électronique du contact technique (dont le
caractère « @ » est remplacé par un point). Ce type d’enregistrement se crée
automatiquement dans la zone forward et reverse et est lié au rôle de l’Active Directory.
 SRV : est une catégorie de données du système DNS qui vise à indiquer quels sont les
services disponibles.

33
6.2.6.2. Planification & configuration des serveurs DNS
Avant de se lancer dans la planification de ce type de serveur, il faut d’abord relever les
informations concernant les machines des utilisateurs (Workstations) et les serveurs
disponibles sur chaque site de l’entreprise Automatic Systems que nous avons regroupé par
pays.
Ces informations seront représentées comme suit :

Lieu géographique Nombre de Workstations Nombre de Serveurs


Belgique 229 24
France 82 8
Espagne 11 2
Canada 25 4
Etats-Unis 18 2
Royaume-Uni 50 3

6.2.6.2.1. Planification

Un serveur DNS est primordial dans un domaine car sans lui rien ne peut fonctionner.
C’est pourquoi, à la vue du tableau ci-dessus, pour les sites de l’entreprise situés en Belgique,
France, Canada et au Royaume-Uni où le nombre de Workstations est sensiblement élevé,
deux serveurs DNS ont été prévu afin de garantir la tolérance de pannes et permettre une
authentification rapide de tous les utilisateurs.

En effet, la disponibilité des DNS influe directement sur celle de l’Active Directory. Les
Workstations se basent sur ce service pour trouver un contrôleur de domaine ou tout autre
service réseaux (ex : global catalog) et celui-ci s’appuie sur cet outil pour identifier les
contrôleurs de domaine.

34
Afin de permettre cette disponibilité, il faut un serveur DNS par site, de plus, chaque serveur
doit être autoritaire sur celui-ci afin d’empêcher les clients d’interroger un DNS distant pour
connaître l’emplacement d’un contrôleur du même site.

La solution la plus simple et économique est d’utiliser le DNS intégré à l’Active Directory sur
un ou plusieurs contrôleurs de domaine d’un site.
Cette intégration du DNS dans l’annuaire renforce la sécurité du processus de résolution de
noms de diverses manières :

 Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs
de domaine. Cela permet d'assurer la tolérance de panne puisque, si un contrôleur de
domaine connaît une défaillance, alors la résolution de noms sera toujours assurée ;

 De plus l'intégration à Active Directory sécurise les transactions entre les serveurs
DNS. En effet, les zones DNS intégrées au service d'annuaire utilisent le mécanisme
de réplication Active Directory qui s'avère plus sécurisé que les échanges réalisés
entre des serveurs DNS utilisant des zones standards ;

 Enfin les zones intégrées à Active Directory permettent de sécuriser les mises à jour
automatiques des ordinateurs clients (seuls les ordinateurs clients équipés de Windows
2000/XP/2003 peuvent faire des mises à jour automatiques). En effet, si les mises à
jours automatiques sont activées, seuls les ordinateurs clients membres du domaine
peuvent mettre à jour automatiquement leurs enregistrements A et PTR ;

Maintenant que la planification est terminée, nous pouvons passer à la configuration des
serveurs DNS.
Ces serveurs seront configurés avec un Forwarder qui leur permet d’envoyer la requête DNS à
un autre serveur DNS ayant un niveau hiérarchique plus élevé afin de répondre à la demande
émise.

6.2.6.2.2. Configuration
Chaque serveur DNS possède donc une zone intégrée à l’Active Directory (ADI).

 ASBEDC1
Une zone ADI : automaticsystems.be
Forwarder : DNS du fournisseur Internet

 ASBEDC2
Une zone ADI : automaticsystems.be
Forwarder : DNS du fournisseur Internet

 ASESDC
Une zone ADI : automaticsystems.es
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASUSDC
Une zone ADI : automaticsystems.com
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

35
 ASFRDC1
Une zone ADI : automaticsystems.fr
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASFRDC2
Une zone ADI : automaticsystems.fr
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASCADC1
Une zone ADI : automaticsystems.ca
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASCADC2
Une zone ADI : automaticsystems.ca
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASUKDC1
Une zone ADI : automaticsystems.co.uk
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

 ASUKDC2
Une zone ADI : automaticsystems.co.uk
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)

6.3. Structure physique


Les contrôleurs et sites de domaine sont les seuls éléments de base constituant la structure
physique d'une configuration de réseau.
De plus, tous les serveurs participant à l'administration de ce réseau dans un environnement
Windows Server 2000/2003 sont considérés comme des contrôleurs de domaine.

Comme le réseau de l’entreprise Automatic Systems s'étend sur des sites géographiques
multiples (Belgique, France, Canada, Espagne, Etats-Unis, Royaume-Uni), les implications de
la conception et de la structure du réseau étendu sont très importantes vu l'impact que la
réplication de la base de données Active Directory peut avoir sur les contrôleurs de domaine
et les performances du réseau.

Cette topologie aide aussi à localiser l'endroit où placer les contrôleurs de domaine du réseau.

36
6.3.1. Sites
Un site est défini comme un ou plusieurs sous-réseaux TCP/IP « bien connectés ».
Le terme « bien connectés » signifie que la connexion est fiable et rapide.
L’administrateur du réseau configure l’accès à l’Active Directory et la topologie de
duplication pour tirer parti du réseau physique.

Les domaines représentent la structure logique de la société et les sites symbolisent la


structure physique.

Remarque :
Plusieurs domaines peuvent être présents à l’intérieur d’un seul site et plusieurs sites peuvent
appartenir à un seul domaine.
Ces deux situations sont autorisées dans l’Active Directory.

6.3.2. Contrôleur de domaine


Un contrôleur de domaine est un serveur équipé de la version Windows Server 2000/2003 qui
dispose d’une copie de l’Active Directory.
Ce type de serveur stocke les données, gère le processus de connexion, l’authentification des
utilisateurs et les recherches effectuées dans l’Active Directory.

Le bon fonctionnement de l’Active Directory dépend de la réplication des données entre tous
les contrôleurs de domaine.
En effet, l’Active Directory fonctionne suivant le principe de la réplication multi-maître
(multi-master) et chaque contrôleur de domaine peut être utilisé pour modifier les objets du
domaine (création d’utilisateurs, modification de stratégie, …) via la copie de l’Active
Directory.

Il existe différents rôles liés à l’Active Directory et qui sont nécessaires au bon
fonctionnement de la forêt.
Pour éviter la surcharge d’un contrôleur de domaine, ces différents rôles sont distribués sur
différents contrôleurs de domaine en fonction de règles spécifiques.
Les serveurs assurant un ou plusieurs de ces rôles, sont appelés : Single Master Operations.

37
6.3.3. Global catalog & logon process
Le catalogue global (global catalog) reprend tous les objets et quelques attributs de base de la
totalité de la forêt définis dans le schéma (exemple : nom de connexion, email, nom, prénom
de l’utilisateur).
Il possède également toutes les informations nécessaires pour localiser tous les objets dans
l’Active Directory.
Il est construit automatiquement lors de l’installation de l’annuaire en se basant sur le schéma.
En effet, le catalogue contient le schéma et la configuration des partitions de l'Active
Directory.

De plus, il permet d’augmenter la vitesse de recherche des informations car, grâce à ce


catalogue global, les utilisateurs peuvent trouver des objets dans l'arbre d'un domaine Active
Directory en spécifiant un ou plusieurs attributs de l'objet recherché, sans questionner toutes
les autres bases de données.

Le global catalog permet également l’authentification des utilisateurs entre les différents
domaines de l’entreprise.

C’est pourquoi, au moins un catalogue global doit être présent sur tous les sites de la société.

Le premier contrôleur de domaine installé est un catalogue global mais l’administrateur du


réseau peut promouvoir un autre contrôleur de domaine en catalogue global et, de cette façon,
rediriger le trafic des authentifications en demande des utilisateurs.

Le catalogue global permet aux clients Active Directory d'ouvrir une session sur le réseau.
Mais, si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus
d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter qu'à l'ordinateur local (et
non au réseau). L'unique exception à cette règle concerne les utilisateurs membres du groupe
des administrateurs de domaine, qui sont en mesure d'ouvrir une session sur le réseau même si
aucun catalogue global n'est disponible.

De plus, si un utilisateur utilise son UPN (User Principal Name) pour ouvrir une session et
que le contrôleur de domaine ne possède pas les informations relatives au compte
d’authentification de l’utilisateur, un global catalog est nécessaire.

38
6.3.4. Single Master Opérations

6.3.4.1. Définition

Un contrôleur de domaine exécutant une ou plusieurs Single Master Operations est appelé :
Operations Master (Maître d’opérations).
Chaque forêt de l’Active Directory doit avoir un domaine contrôleur exécutant tous les rôles
master operations :

 Rôles Forest-Wide :

1. Schema Master :
 Contrôle toutes les modifications du schéma.
 Il y en a un seul par forêt.
2. Domain Naming Master :
 Attribue l’identifiant du domaine (DID).
 Contrôle l’ajout et la suppression des domaines dans la forêt.
 Doit obligatoirement fonctionner avec un global catalog.
 Il y en a un seul par forêt.

Par défaut, ces rôles sont exécutés par le premier contrôleur de domaine de la forêt.

 Rôles Domain-Wide :

1. Relative Identifier (RID) Master :


 Il attribue le RID à chaque contrôleur de domaine, en effet, lorsque
l’administrateur du réseau crée une ressource (utilisateur, ordinateur, …),
le Relative Identifier Master lui donne un SID (Security Identifier) qui
correspond au DID + RID.
(DID = Domain Identifier, RID = Relative Identifier).
 Il y en a un par domaine.

2. Primary Domain Controller (PDC) Emulator :


 Dans un domaine en mode mixte, ce primary domain controller emulator
permet d’exécuter la réplication de l’Active Directory sur un Backup
Domain Controller (BDC).
 Dans un domaine en mode native, le PDC emulator reçoit la réplication
préférentielle et le changement de mot de passe effectué sur un autre
contrôleur de domaine.
D’un autre côté, si une validation échoue à cause d’un mauvais mot de
passe, la validation demandée est transférée au PDC emulator avant
d’être rejetée.
 Il y en a un par domaine.

3. Infrastructure Master :
 Il garde un historique du SID, GUID, DN de tous les objets modifiés,
déplacés et renommés dans l’Active Directory.
 Il y en a un par domaine.
 Attention, le rôle infrastructure master ne peut pas tourner sur un server
global catalog, sauf en présence d’un seul domaine.
39
6.3.4.2. Représentation graphique

- Base de données de l’Active Directory d’une forêt comportant trois domaines

Cette représentation graphique n’existe pas en réalité, en effet, ce graphique permet de


visualiser de manière théorique l’entièreté de l’Active Directory de la forêt.

Tous les objets et tous les


Tous les objets et tous les
attributs du domaine 3
attributs du domaine 2
Tous les objets et tous les Configuration globale
attributs du domaine 1 (Global Config) reprend les informations
relatives à la topologie de réplication,
au nombre de domaine, aux rôles des
serveurs, aux sites de l’entreprise et le
Knowledge Consistency Checker4 (KCC)

Schéma

Mais dans la réalité, chaque contrôleur de domaine présent sur un domaine possède seulement
le schéma, la configuration globale, tous les objets et tous les attributs relatifs à son propre
domaine.

- Base de données de l’Active Directory présente sur le contrôleur de domaine d’un


domaine

Tous les objets et tous les


attributs de son domaine

Configuration globale
(Global Config)
Schéma

4
Cette notion sera développée dans la partie intitulée : Processus de réplication.

40
- Base de données de l’Active Directory présente sur le contrôleur de domaine d’un
domaine et possédant le rôle de catalogue global

Tous les objets et quelques


attributs du domaine 2
Tous les objets et quelques
Tous les objets et tous attributs du domaine 3
les attributs de son
domaine (domaine 1)

Configuration globale
(Global Config)

Schéma

6.3.4.3. Processus de réplication

6.3.4.3.1. Appartenance à un site


Les utilisateurs Active Directory supposent l'appartenance au site en mettant en
correspondance l'adresse IP qui leur est attribuée avec un sous-réseau associé à un site
Active Directory.
Le client utilise ensuite ces informations pour identifier les contrôleurs de domaine et les
serveurs de catalogue global présents sur ce site et communique avec ces serveurs d'annuaire
à des fins d'authentification et d'autorisation.

Par défaut, quand une forêt Active Directory est déployée pour la première fois, elle ne
contient qu'un seul site nommé « Default-First-Site-Name ».

L'administrateur peut configurer un autre site manuellement mais ce n’est pas conseillé afin
de pouvoir revenir en arrière en cas d’erreur.
Si cette configuration manuelle n’a pas été effectuée, tous les serveurs et ordinateurs des
utilisateurs (Workstations) de la forêt sont considérés comme membres du « Default-First-
Site-Name ».
Lorsque plusieurs sites sont définis, l'administrateur doit définir les sous-réseaux présents
dans l'organisation et les associer à des sites Active Directory.

41
6.3.4.3.2. Knowledge Consistency Checker (KCC)
Le KCC est un algorithme incorporé dans chaque contrôleur de domaine, il est responsable de
l’installation, de la vérification et des modifications à effectuer sur la topologie de réplication
de l’Active Directory, c'est-à-dire, la configuration formée par les connexions qui répliquent
les données d'annuaire entre les contrôleurs de domaine.
Il crée les connexions entre les différents contrôleurs de domaine et les modifie
automatiquement en cas de problème et décide de la route à prendre pour effectuer la
réplication.
L’administrateur réseau peut également créer manuellement de nouvelles connexions.

6.3.4.3.3. Réplication dans un site


Au sein d'un site, les données de l’Active Directory sont répliquées fréquemment (toutes les
cinq minutes) et automatiquement. La réplication intra-site est définie pour mettre les données
à jour le plus rapidement possible. Ces mises à jour ne sont pas compressées ; en effet, les
échanges non compressés utilisent davantage de ressources réseau mais demandent une
puissance de traitement moins importante de la part des contrôleurs de domaine.

Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle


s'adapte à l'évolution du réseau.

Le but du KCC dans ce type de réplication est de pouvoir joindre tous les contrôleurs de
domaine d’un site en maximum trois sauts, si ce n’est pas possible, il créera un shortcut
(raccourci) entre les contrôleurs de domaine non joignables.

Exemples d’illustration :

1. Cinq contrôleurs de domaine au sein d’un domaine

2ème saut

1er saut 3ème saut

DC2 DC3

DC1
DC4

2ème saut 3ème saut

DC5

Dans cette situation, il n’y a pas eu de création de shortcut car tous les contrôleurs de domaine
on pu être atteint en maximum trois sauts à partir du contrôleur de domaine ayant subi une
modification (DC1 dans notre exemple).
42
2. Sept contrôleurs de domaine au sein d’un domaine

2ème saut

1er saut 3ème saut

DC2 DC3

Shortcut
(1er saut)
DC1 DC4

2ème saut
1er saut 2ème saut

DC7 DC6 DC5


3ème saut

Dans ce cas, le KCC ne peut pas joindre tous les contrôleurs de domaine au bout de
maximum trois sauts, c’est pourquoi l’algorithme doit créer un shortcut reliant le
contrôleur de domaine ayant subi une modification et celui non joignable en trois sauts
(dans notre exemple, le shortcut a été créé entre le DC1 et DC5).

Quelques réplications intra-sites sont exécutées immédiatement comme, par exemple :


 Un nouveau compte utilisateur bloqué.
 Un changement au niveau de l’autorité de sécurité locale (Local Security Authority :
LSA).
LSA est le sous-système de sécurité chargé des services d'authentification et
d'autorisation interactifs sur un ordinateur local.
Dès que l'identité d'un utilisateur a été confirmée dans Active Directory, le sous-
système LSA du contrôleur de domaine authentifiant génère un jeton d'accès
utilisateur et associe un identificateur de sécurité, ou SID (Security IDentifier), à cet
utilisateur.
Ce jeton d'accès contient le nom de l'utilisateur, les groupes auxquels il appartient et
son SID, ainsi que les SID de tous les groupes dont l'utilisateur est membre. De ce fait,
si l’administrateur réseau ajoute un utilisateur ou un groupe après l'émission du jeton
d'accès, l'utilisateur doit refermer la session, puis se reconnecter afin que la mise à jour
soit prise en compte.
 Une modification au niveau du RID master.
 Un changement de mot de passe pour les relations entre domaines (seulement entre un
PDC Emulator et un BDC (Backup Domain Controller).

43
6.3.4.3.4. Réplication entre sites
L'implémentation de plusieurs sites dans le réseau d'une entreprise apportera les avantages
suivants :

 La bande passante de la liaison séparant les sites sera utilisée efficacement lors de la
réplication.

 La réplication entre les sites pourra être contrôlée de manière très précise.

 Le processus d'authentification sera optimisé (les clients s'authentifieront sur l'un des
contrôleurs de domaine se trouvant sur le même site qu'eux).

Il y a deux points à respecter lors de la création de sites :

 La géographie : l’administrateur doit définir en tant que site distinct chaque zone
géographique qui nécessite un accès rapide aux données d'annuaire. Ainsi, tous les
utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin.
 Les contrôleurs de domaine et catalogues globaux : au moins un contrôleur de
domaine doit être installé dans chaque site et au minimum un contrôleur de domaine
doit remplir le rôle de catalogue global dans chaque site. En effet, les sites qui n'ont ni
leurs propres contrôleurs de domaine, ni de catalogue global dépendent des autres sites
pour obtenir leurs données d'annuaire et sont donc, par définition, moins efficaces car
ils utilisent plus de ressource réseau.

Les connexions réseau entre sites sont représentées par des liens de sites (site links), c'est-à-
dire, par une connexion à faible bande passante ou non fiable entre (au moins) deux sites.
Lorsque l’entreprise possède plusieurs sites, les sites connectés par des liens de sites
s'intègrent à la topologie de réplication.
Dans un réseau Windows Server 2000/2003, les liens de sites ne sont pas générés
automatiquement, c’est l’administrateur réseau qui doit les créer à l'aide de l'outil Sites et
services de l’Active Directory.

Cette réplication entre sites est de type « Pull », c'est-à-dire, que si un contrôleur de domaine
subit une modification, il envoie aux autres contrôleurs de domaine des autres sites et/ou de
son site, une notification qui leur indique qu’il y a une évolution des données de l’annuaire à
venir chercher. Cette réplication s’effectue toutes les 180 minutes par défaut, ce temps est
modifiable et l’administrateur réseau peut également forcer cette réplication.

Le KCC (Knowledge Consistency Checker) sélectionne dans chaque site un Bridge Server
(serveur pont) qui est un serveur choisi de préférence pour la réplication (ce rôle peut
également être rempli par un contrôleur de domaine).

De plus, chaque lien de site est associé à un coût qui permet au KCC de déterminer par quel
lien physique (connexion) la réplication s’effectuera, en effet, le Knowledge Consistency
Checker choisira le lien ayant le moindre coût.

Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont
répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-site.

44
En plus de tout cela, par défaut, tous les liens de sites sont reliés les uns aux autres par le
KCC, ce type de lien est appelé : Site link Bridges.

Il faut savoir également que le trafic de réplication est compressé entre 10 et 15 %.

Exemple illustrant cette situation :

Imaginons une entreprise possédant deux sites, un situé en Belgique et l’autre au Canada, et
équipé chacun de deux contrôleurs de domaine, cette situation se représente comme suit :

6.3.4.3.5. Protocoles de réplication


Deux types de protocoles réseaux peuvent être utilisés pour effectuer les réplications Active
Directory :

 Le protocole IP (Internet Protocol) : la réplication basée sur ce type de protocole


utilise des RPC (Remote Procedure Call : protocole permettant à un programme
d’appeler des procédures se trouvant sur une machine distante en interrogeant un
serveur d’application) pour la réplication intra-site et inter-sites.

 Le protocole SMTP (Simple Mail Transfer Protocol) : ce type de protocole est


utilisé dans le cas où un site dispose d’une connexion physique plus lente car ce
protocole est plus léger du fait qu’il n’y a pas de contrôle d’erreur et d’intégrité.
La réplication SMTP n'est utilisée que pour la réplication inter-sites.

45
6.3.5. Planification de la topologie physique Active Directory de
l’entreprise

Avant de pouvoir se lancer dans l’analyse de cette topologie physique, il faut tout d’abord
relever les informations relatives aux différents sites de l’entreprise.
Ces informations se présentent comme suit :

Lieu géographique où se
trouvent les sites de Nombre de Workstations Nombre de serveurs
l’entreprise
Wavre 200 20
Aartselaar 10 2
Gembloux 6 1
Solvay 10 1
Andenne 3 0
Rungis 70 6
Blyes 8 1
Aix 4 1
Espagne 11 2
Canada 25 4
Etats-Unis 18 2
Royaume-Uni 50 3

A la vue de ce tableau, l’équipe IT peut facilement déterminer les sites les plus importants de
l’entreprise qui sont : Wavre, Rungis, Canada, et Royaume-Uni.
Sur ces quatre sites, il faudra prévoir deux contrôleurs de domaine afin de garantir la tolérance
de pannes et la rapidité d’authentification des utilisateurs ; en effet, si sur un de ces sites les
utilisateurs ne pouvaient plus se connecter, cela engendrerait une perte énorme pour
l’entreprise.

Suite à cette comptabilisation des serveurs et des machines des utilisateurs (Workstations) en
rapport avec les différents sites de la société, il faut maintenant établir le schéma des
connexions physiques mise en place entre les différents sites de l’entreprise afin de pouvoir
établir la topologie physique de réplication de l’Active Directory au sein de l’entreprise
Automatic Systems.

46
Ce schéma est établi comme suit :

Canada

SDSL Gemloux
SDSL SDSL
ADSL
OFFICE ADSL PRO
Solvay
SDSL ADSL
CLASSIQUE

SDSL Andenne
ADSL
CLASSIQUE
SDSL
SDSL
ADSL
SDSL Wavre OFFICE
Aix SDSL ADSL SDSL
CLASSIQUE
Aartselaar

ADSL PRO

Rungis Blyes

Internet

ADSL PRO
ADSL PRO

ADSL PRO

Etats-Unis Royaume-Uni Espagne

Taux de transferts relatifs aux différents types d’ADSL

Type d’ADSL Vitesse de Vitesse Mbps : Mega bits par seconde.


téléchargement d’envoi Soit un débit de un million de bits
SDSL 2 Mbps 2 Mbps par seconde.
ADSL PRO 4,6 Mbps 448 Kbps
ADSL OFFICE 4,6 Mbps 640 Kbps Kbps : Kilo bits par seconde. Soit
ADSL CLASSIQUE 4 Mbps 256 Kbps un débit de un millier de bits par
seconde.

Comme on peut le remarquer sur ce schéma, les sites de l’entreprise situés en Belgique, en
France et au Canada sont connectés directement au site de Wavre par des canaux VPN
(Virtual Private Network : Réseau privé virtuel).

47
Un réseau VPN repose sur un protocole appelé "protocole de tunneling" ou protocole
d’encapsulation.
Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un
bout à l'autre du tunnel.
Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur
entreprise.

Le principe du VPN consiste à construire un chemin virtuel après avoir identifié l'émetteur et
le destinataire.
Ce type de réseau simule un réseau privé alors qu'ils utilisent en réalité une infrastructure
d'accès partagée, comme internet, par exemple.

Cependant, les sites de l’entreprise Automatic Systems, situés en Espagne, aux Etats-Unis et
au Royaume-Uni, ne peuvent pas se permettre de relier leurs réseaux locaux distants par une
ligne spécialisée comme le VPN car ce type de réseau permet d’obtenir une liaison sécurisée à
moindre coût, mais pour permettre son fonctionnement, il requiert la mise en place
d’équipements terminaux.

C’est pourquoi le moyen de relier les sites situés en Espagne, aux Etats-Unis ainsi qu’au
Royaume-Uni à la maison-mère située à Wavre nécessite donc l'utilisation de l’internet
classique comme support de transmission.

Un site étant défini comme un ou plusieurs sous-réseaux TCP/IP « bien connectés », il faut
attribuer à l’ensemble des sites de la société Automatic Systems une adresse réseau comme
par exemple : 192.168.0.0.

Pour ce faire, l’équipe IT utilise des adresses réseaux de classe B et C pour identifier les
différents réseaux de l’entreprise.

De plus, afin de rendre cohérent l’organisation des sites par pays, si plusieurs sites de la
société sont présents dans le même pays, nous avons décidé d’utiliser des adresses de sous
réseaux.
Chaque adresse réseau est accompagnée d’un masque de sous-réseau de 255.255.255.0 (/24)
qui va permettre aux ordinateurs ayant une adresse IP avec les 3 premiers octets identiques de
communiquer ensemble.
Exemple : l'ordinateur possédant l'adresse IP 192.168.0.1 pourra communiquer avec une autre
machine ayant une adresse IP telle que 192.168.0.2, mais pas 192.168.1.2.

Avec cette manière de procéder, nous pouvons facilement identifier en lisant l’adresse réseau
d’un site dans quel pays se trouve le site en question.

Ci-dessous, se trouve le tableau reprenant l’ensemble des sites de la société Automatic


Systems ainsi que l’adresse réseau associé à chaque site.

48
Site Réseau associé au site
Wavre 172.16.0.0/24
Aartselaar 172.16.3.0/24
Gembloux 172.16.4.0/24
Solvay 172.16.2.0/24
Andenne 172.16.1.0/24
Rungis 192.168.100.0/24
Blyes 192.168.102.0/24
Aix 192.168.101.0/24
Espagne 194.78.100.0/24
Canada 195.70.100.0/24
Etats-Unis 178.12.50.0/24
Royaume-Uni 174.10.100.0/24

Sur base de ce tableau, nous pouvons maintenant passer à l’élaboration de la structure


physique (topologie de réplication) Active Directory de l’entreprise.

Cette structure physique se présente comme suit :

ASAARDC ASGEMDC
172.16.3.1/24 172.16.4.1/24
ASSOLDC
172.16.2.1/24
Aartselaar Gembloux
ASFRDC1 172.16.3.0/24 172.16.4.0/24 Solvay ASANDDC
192.168.100.1/24 172.16.2.0/24 172.16.1.1/24
ASFRDC2
192.168.100.2/24
Andenne
Site Link Site Link
Wavre - Aartselaar Wavre - Gembloux Site Link 172.16.1.0/24
coût 50 coût 50 Wavre - Sovay
Rungis coût 50

192.168.100.0/24 Site Link 1


Wavre - Rungis Site Link
coût 50 Wavre - Andenne
coût 50 ASUKDC1
174.10.100.1/24 ASUKDC2
Site Link 2 Site Link 1
174.10.100.2/24
Wavre - Rungis Wavre –
coût 50
ASBEDC2 ASBEDC1 Royaume-Uni
172.16.0.2/24 172.16.0.1/24 coût 50

Site Link 2 Royaume-Uni


Site Link
Wavre –
Wavre - Blyes
Royaume-Uni
174.10.100.0/24
coût 50
ASBLYDC Wavre coût 100
192.168.102.1/24
Site Link 172.16.0.0/24 Site Link
Blyes Wavre - Aix Wavre – Espagne
coût 50 coût 50
192.168.102.0/24 Site Link 2
Site Link
Site Link 1 Wavre – Etats-
Wavre - Canada
Wavre - Canada Unis
coût 100
coût 50
ASESDC
coût 50
194.78.100.1/24
ASAIXDC
192.168.101.1/24 Espagne
194.78.100.0/24
Aix
192.168.101.0/24
ASUSDC
ASCADC1 178.12.50.1/24
192.70.100.1/24 ASCADC2
192.70.100.2/24
Etats-Unis
178.12.50.0/24
Canada
195.70.100.0/24

49
Ce schéma est basé sur une topologie en étoile, il n’y a qu’un seul chemin de réplication.
En effet, le site de Wavre étant la maison-mère de l’entreprise, c’est elle qui va distribuer
toutes les réplications à tous les autres sites.
Imaginons qu’une modification soit effectuée dans l’Active Directory d’un contrôleur de
domaine situé sur le site du Canada, la réplication va d’abord s’effectuer au sein de ce site
pour ensuite être envoyée à celui de Wavre qui lui s’occupe de transférer les nouvelles
informations vers l’ensemble des autres sites.

Chaque site de la société est relié à la maison-mère située à Wavre par un site link (lien de
site) afin d’établir une connexion et de permettre la réplication.
Seuls les sites les plus importants de l’entreprise comme celui de Rungis, du Canada et du
Royaume-Uni possèdent un site link dédoublé avec un coût de réplication plus élevé, ce qui
garantit en cas de panne d’avoir un lien de secours qui prendra le relais.
De cette façon, ces importants sites seront toujours opérationnels.
En effet, si ceux-ci venaient à ne plus être accessibles, cela impliquerait une perte
considérable pour la société.

Sur base de cette topologie de réplication et de l’analyse logique, nous pouvons dès à présent
répartir les rôles de chaque contrôleur de domaine au sein de la forêt « automaticsystems.be ».

Cette distribution des rôles se présente comme suit :

Nom des contrôleurs Adresse IP Rôle


de domaine

ASBEDC1 172.16.0.1/24 - Schema Master


- Infrastructure Master
- DNS

ASBEDC2 172.16.0.2/24 - Domain Naming


Master
- Primary Domain
Controller Emulator
- Global Catalog
- Relative Identifier
Master

ASFRDC1 192.168.100.1/24 - Infrastructure Master


- Primary Domain
Controller Emulator
- DNS

ASFRDC2 192.168.100.2/24 - Global Catalog


- Relative Identifier
Master

ASAARDC 172.16.3.1/24 Global Catalog

ASGEMDC 172.16.4.1/24 Global Catalog

50
ASSOLDC 172.16.2.1/24 Global Catalog

ASANDDC 172.16.1.1/24 Global Catalog

ASUKDC1 174.10.100.1/24 - Infrastructure Master


- Primary Domain
Controller Emulator
- DNS

ASUKDC2 174.10.100.2/24 - Global Catalog


- Relative Identifier
Master

ASESDC 194.78.100.1/24 - Infrastructure Master


- Primary Domain
Controller Emulator
- DNS
- Relative Identifier
Master

ASUSDC 178.12.50.1/24 - Infrastructure Master


- Primary Domain
Controller Emulator
- DNS
- Relative Identifier
Master

ASCADC1 195.70.100.1/24 - Infrastructure Master


- Primary Domain
Controller Emulator
- DNS

ASCADC2 195.70.100.2/24 - Global Catalog


- Relative Identifier
Master

ASAIXDC 192.168.101.1/24 Global Catalog

ASBLYDC 192.168.102.1/24 Global Catalog

51
7. Installation de l’Active Directory
7.1. Matériel requis

Qu’avons-nous besoin afin de procéder à l’installation de l’Active Directory sur un serveur


équipé du système d’exploitation Windows Server 2003 Standard Edition :

 Une partition NTFS.


 1 giga d’espace libre pour le répertoire d’installation de l’Active Directory (NTDS).
 Le protocole TCP/IP installé et configuré pour le DNS.
 Un serveur DNS opérationnel (lequel peut être installé sur le contrôleur de domaine
lui-même lors de l’exécution de la commande DCPROMO).
 Une connexion réseau fonctionnelle.
 Un nom d’utilisateur et mot de passe pour l’administrateur (seul l’administrateur local
peut installer le premier domaine et donc créer la forêt).

7.2. La commande : DCPROMO.EXE


Windows Server 2003 permet de mettre en place, grâce à la commande DCPROMO.EXE
(Domain Controller PROMOtion), un contrôleur de domaine incluant l'Active Directory et le
DNS en peu de temps.

Avant de pouvoir se lancer dans l’installation de l’Active Directory, nous devons avant tout
configurer les adresses IP de l’ensemble des contrôleurs de domaine en adresse IP statique.
Le tableau ci-dessous reprend la globalité des adresses et les masques de sous-réseau en
fonction du nom du contrôleur de domaine :

Nom des contrôleurs Adresse IP


de domaine
ASBEDC1 172.16.0.1/24
ASBEDC2 172.16.0.2/24
ASFRDC1 192.168.100.1/24
ASFRDC2 192.168.100.2/24
ASAARDC 172.16.3.1/24
ASGEMDC 172.16.4.1/24
ASSOLDC 172.16.2.1/24
ASANDDC 172.16.1.1/24
ASUKDC1 174.10.100.1/24
ASUKDC2 174.10.100.2/24
ASESDC 194.78.100.1/24
ASUSDC 178.12.50.1/24
ASCADC1 195.70.100.1/24
ASCADC2 195.70.100.2/24
ASAIXDC 192.168.101.1/24
ASBLYDC 192.168.102.1/24

52
Afin de démarrer l’assistant d’installation de l’Active Directory, il faut dans la fenêtre
« Run » encoder : DCPROMO comme illustré ci-dessous :

Un assistant apparaît alors avec cette fenêtre :

La seule option à ce stade qui nous permet de poursuivre l’installation est de cliquer sur Next.

53
La fenêtre suivante nous informe à propos de la compatibilité des différents systèmes
d’exploitation pour les clients du domaine.

Après avoir validé l’étape précédente en cliquant sur Next, la fenêtre ci-dessous apparaît :

54
Nous sommes ici en présence de deux choix possibles :

1) Installer le serveur en tant que contrôleur de domaine pour un nouveau domaine


(Domain controller for a new domain).

2) Ajouter un contrôleur de domaine pour un domaine déjà existant (Additional domain


controller for an existing domain).

Le tableau ci-dessous précise l’option à choisir pour chaque serveur à installer au sein de la
société Automatic Systems :

Nom des contrôleurs Option choisie


de domaine
ASBEDC1 Domain controller for a new domain
ASBEDC2 Additional domain controller for an existing domain
ASFRDC1 Domain controller for a new domain
ASFRDC2 Additional domain controller for an existing domain
ASAARDC Additional domain controller for an existing domain
ASGEMDC Additional domain controller for an existing domain
ASSOLDC Additional domain controller for an existing domain
ASANDDC Additional domain controller for an existing domain
ASUKDC1 Domain controller for a new domain
ASUKDC2 Additional domain controller for an existing domain
ASESDC Domain controller for a new domain
ASUSDC Domain controller for a new domain
ASCADC1 Domain controller for a new domain
ASCADC2 Additional domain controller for an existing domain
ASAIXDC Additional domain controller for an existing domain
ASBLYDC Additional domain controller for an existing domain

Une fois le choix validé par l’intermédiaire du bouton Next, nous sommes maintenant face à
une situation qui varie en fonction de l’option choisie.

55
7.2.1. Domain controller for a new domain
L’installation se poursuit comme suit :

Face à ces trois options, nous devons faire attention au choix à effectuer.
En effet, en se référant à l’analyse de la nouvelle structure logique de l’entreprise, nous
pouvons en déduire que le seul serveur pour lequel l’option Domain in a new forest sera
choisie est ASBEDC1.

Ce serveur ASBEDC1 sera le seul Domain Controller Root (contrôleur de domaine racine) de
la forêt.

Comme cette nouvelle topologie logique de la société est basée sur six arbres différents
appartenant à une seule forêt, l’option à sélectionner pour tous les autres contrôleurs de
domaine est Domain tree in an existing forest.

56
La validation de la fenêtre précédente s’effectue via le bouton Next.

La suite de l’installation prendra de nouveau une tournure différente en fonction de l’option


choisie.

7.2.1.1. Domain in a new forest


Rappel : ce choix est à appliquer UNIQUEMENT lors de l’installation du premier serveur de
la forêt, dans notre cas : ASBEDC1.

Nous devons maintenant indiquer le nom du domaine sur lequel le serveur exercera la
fonction de contrôleur de domaine racine :

Le nom de domaine racine de la forêt à encoder dans cette fenêtre est le suivant :
automaticsystems.be

La confirmation s’opère grâce au bouton Next.

57
Dans la fenêtre suivante, nous devons fixer le nom NETBIOS du domaine racine de la forêt
qui est AS_BE pour le domaine automaticsystems.be :

Remarque :
Netbios est un protocole de transfert de fichiers utilisé principalement par Microsoft.
En réalité, on est en présence d’un système de nommage et d’une interface logicielle qui
permettent d'établir des sessions entre les différents ordinateurs d'un réseau.

Ce système NETBIOS utilise les ports suivants :

- 135 : Service de localisation utilisé par les appels de procédure à distance.


- 137 : NETBIOS Name Service (sert à associer un nom d'ordinateur à une adresse IP).
- 138 : NETBIOS Datagram Service (permet d'échanger des messages en mode non connecté).
- 139 : NETBIOS Session Service (permet d'échanger des messages en mode connecté).

La confirmation du nom NetBIOS du domaine s’effectue au moyen de l’option Next.

L’étape suivante nous donne la possibilité de spécifier l’emplacement d’installation du


répertoire (NTDS) de la base de données et des fichiers log (journal).
Cet emplacement par défaut est : %systemroot%\NTDS.

58
Nous confirmons les informations à l’aide du bouton Next.

Via la fenêtre suivante, nous spécifions l’emplacement d’installation du répertoire Sysvol


Cet emplacement par défaut est : %systemroot%\SYSVOL.

59
La poursuite de l’installation continuera après avoir validé les informations au moyen du
bouton Next.

Grâce à la commande DCPROMO nous allons maintenant, à l’aide de la fenêtre suivante,


configurer le DNS sur le serveur en choisissant l’option : Install and configure the DNS
server on this computer, and set this computer to use this DNS server as its preferred
DNS server, comme présenté ci-dessous :

Une fois cette étape franchie par l’intermédiaire du bouton Next, nous devons maintenant
choisir le type de permission par défaut pour les utilisateurs et les groupes.
Comme nous sommes exclusivement dans un domaine Windows server 2003, l’option choisie
sera dans tous les cas : Permission compatible only with Windows 2000 or Windows
Server 2003 operating systems :

60
Après avoir franchi cette étape au moyen du bouton Next, nous devons encoder le mot de
passe de l’administrateur autorisant celui-ci à démarrer l’Active Directory en mode
restauration pour la forêt :

Cette étape est très importante !!!

61
Une fois la fenêtre précédente validée à l’aide du bouton Next, l’assistant d’installation de
l’Active Directory nous offre un résumé des différentes informations encodées au cours de la
procédure d’installation :

Cette étape validée grâce au bouton Next, le processus d’installation peut commencer :

62
A la fin de cette procédure, l’assistant nous informe que tout c’est bien déroulé comme
présenté ci-dessous :

7.2.1.2. Domain tree in an existing forest


Contrairement à l’option Domain in a new forest destinée au premier contrôleur de domaine
de la forêt, ce choix Domain tree in an existing forest est à choisir pour les contrôleurs de
domaine suivants :

ASFRDC1
ASUKDC1
ASESDC
ASUSDC
ASCADC1

Avant de commencer, il faut tout d’abord savoir que cette installation diffère légèrement par
rapport à celle d’un contrôleur de domaine pour une nouvelle forêt décrite précédemment.

En effet, dès que ce choix est validé au moyen du bouton Next, nous sommes confrontés à
une fenêtre jamais apparue auparavant :

63
Dans cette dernière, nous sommes invités à encoder le nom de l’administrateur, le mot de
passe et le domaine racine (automaticsystems.be) définit lors de l’installation du premier
contrôleur de domaine de la forêt (ASBEDC1).

En effet, seul l'administrateur de la forêt peut ajouter un nouvel arbre à la forêt existante.

Nous validons cette étape à l’aide du bouton Next.

64
La fenêtre suivante nous invite à préciser le nom de domaine du nouvel arbre à créer :

Le tableau ci-dessous reprend le nom de domaine de chaque arbre en fonction du nom du


contrôleur de domaine :

Contrôleur de domaine Nom de domaine associé au


contrôleur de domaine
ASFRDC1 automaticsystems.fr
ASUKDC1 automaticsystems.co.uk
ASESDC automaticsystems.es
ASUSDC automaticsystems.com
ASCADC1 automaticsystems.ca

Après avoir validé cette fenêtre via le bouton Next, les étapes suivantes sont rigoureusement
identiques par rapport à celles présentées lors de l’installation du premier contrôleur de
domaine de la forêt, à savoir :

 Préciser le nom NETBIOS associé au nom de domaine spécifié à l’étape précédente.


Le tableau ci-dessous révèle le nom NETBIOS en fonction du nom de domaine :

Nom de domaine Nom NETBIOS associé au


nom de domaine
automaticsystems.fr AS_FR
automaticsystems.co.uk AS_UK
automaticsystems.es AS_ES
automaticsystems.com AS_US
automaticsystems.ca AS_CA

65
 Renseigner l’emplacement d’installation du répertoire (NTDS) de la base de données
et des fichiers log (journal).

 Indiquer l’emplacement d’installation du répertoire Sysvol.

 Sélectionner l’option : Install and configure the DNS server on this computer, and
set this computer to use this DNS server as its preferred DNS server.

 Cocher le choix de permission : Permission compatible only with Windows 2000 or


Windows Server 2003 operating systems.

 Encoder le mot de passe administrateur autorisant ce dernier à exécuter l’Active


Directory en mode restauration.

 Après avoir visualisé l’aperçu des valeurs encodées au cours de la procédure


d’installation, le processus d’installation pourra démarrer.

7.2.2. Additional domain controller for an existing domain


Cette option permet d’ajouter un contrôleur de domaine au sein d’un domaine déjà existant.

Cette procédure se déroule comme suit :

Tout d’abord, nous sommes face à une fenêtre dans laquelle nous devons encoder le nom de
l’administrateur, le mot de passe et le nom du domaine racine de la forêt
(automaticsystems.be).

66
En effet, lorsque nous devons configurer des paramètres au sein d’un domaine, il faut toujours
spécifier, lors de l’authentification sur le serveur, les informations relatives à l’administrateur
de la forêt car c’est lui qui possède les pleins pouvoirs au sein de celle-ci.

Lors de la validation de la fenêtre précédente via le bouton Next, l’étape suivante consiste à
choisir le nom de domaine dans lequel nous souhaitons ajouter un contrôleur de domaine
supplémentaire :

Le tableau ci-dessous regroupe tous les contrôleurs de domaine supplémentaires et le nom de


domaine associé à ce dernier :

Nom des contrôleurs Nom de domaine en fonction


de domaine du contrôleur de domaine
ASBEDC2 automaticsystems.be
ASFRDC2 automaticsystems.fr
ASAARDC automaticsystems.fr
ASGEMDC automaticsystems.be
ASSOLDC automaticsystems.be
ASANDDC automaticsystems.be
ASUKDC2 automaticsystems.co.uk
ASCADC2 automaticsystems.ca
ASAIXDC automaticsystems.fr
ASBLYDC automaticsystems.fr

Suite à la validation de la fenêtre précédente au moyen du bouton Next, nous devons indiquer
l’emplacement d’installation du répertoire (NTDS) de la base de données et des fichiers log
(journal) :

67
Une fois cette étape franchie par l’intermédiaire du bouton Next, nous devons maintenant
spécifier l’emplacement d’installation du répertoire Sysvol :

68
Après avoir validé l’étape précédente via le bouton Next, nous devons encoder le mot de
passe administrateur autorisant ce dernier à démarrer l’Active Directory en mode
restauration :

Une fois cette étape validée au moyen du bouton Next, l’assistant d’installation nous propose
un résumé des différentes valeurs encodées au cours de la procédure d’installation, une fois
celui-ci validé, le processus d’installation débute :

69
7.3. Vérification de l’installation de l’Active Directory

Afin de vérifier si l’installation s’est correctement déroulée, nous devons examiner trois
aspects importants :

1. Contrôler la présence des enregistrements SRV dans l’interface DNS des serveurs :

2. Rechercher le fichier contenant la base de données de l’Active Directory (Ntds.dit) se


trouvant dans le répertoire : %systemroot%\NTDS.

3. Vérifier si le répertoire %systemroot%\SYSVOL est bien présent.

70
7.4. Ajout d’un serveur DNS au sein d’un domaine existant
Comme décrit dans la partie se référant à la planification des serveurs DNS pour les sites de
l’entreprise situés en Belgique, France, Canada et au Royaume-Uni, deux serveurs DNS ont
été prévus afin de garantir la tolérance de pannes et permettre une authentification rapide de
tous les utilisateurs.

Cette configuration s’applique donc aux serveurs suivants :

ASBEDC2
ASFRDC2
ASUKDC2
ASCADC2

Afin de configurer un serveur DNS supplémentaire au sein d’un domaine, nous allons
procéder comme suit :

Tout d’abord, nous devons activer la fenêtre intitulée Add or remove Programs (Ajout ou
suppression de programmes) dans le panneau de configuration du serveur :

Ensuite, nous devons cliquer sur l’onglet Add/Remove Windows Components afin
d’installer le service DNS.

71
Face à cette nouvelle fenêtre, nous sélectionnons Networking Services :

Cette sélection nous ouvre une nouvelle fenêtre dans laquelle nous allons choisir Domain
Name System afin d’installer le service DNS :

72
Maintenant que le service est installé et du fait que ce serveur est un DNS secondaire, nous
devons vérifier les paramètres réseaux afin que celui-ci pointe sur lui-même et sur le serveur
DNS primaire ; de cette façon, s’il ne possède pas les informations demandées par le client, il
ira questionner le serveur DNS primaire et rapatriera les données manquantes chez lui.

73
8. Administration de l’Active Directory
L’administration des ressources réseau de l’entreprise Automatic Systems au moyen de
l’Active Directory se décline principalement au travers de quatre interfaces :

1. Active Directory Sites and Services

2. Active Directory Domains and Trusts

3. Active Directory Users and Computers

4. Active Directory Schema Editor

8.1. Active Directory Sites and Services

L'objectif principal de l’interface Sites and services est d'administrer la topologie de


réplication d'un environnement d'entreprise au sein d'un même site sur un réseau local (LAN)
et entre plusieurs sites sur un réseau étendu (WAN).

Cette interface représente la structure physique de l’entreprise établie précédemment.

Le premier site (Default-First-Site-Name) a été mis en place automatiquement à l'installation


de l’Active Directory sur le premier contrôleur de domaine (ASBEDC1).

74
La topologie de réplication des sites contrôle :

 L'emplacement de la réplication, à savoir quels contrôleurs de domaine communiquent


directement avec quels autres contrôleurs de domaine du même site.

 Le moment de la réplication ; en effet, la réplication entre sites peut être programmée


dans son intégralité par l'administrateur.

Tous les contrôleurs de domaine qui viennent d'être promus sont placés dans le conteneur Site
qui leur est associé à l'installation.

En effet, lorsque le premier contrôleur de domaine (ASBEDC1) a été installé, nous avons créé
dans cette interface tous les sites appartenant à la société Automatic Systems lesquels ont été
associés à un sous-réseau décrit dans l’analyse physique.

De plus, nous avons également construit, via cette interface, les Site Link reliant les sites de la
société les uns aux autres.

Cette manière de procéder nous permet de vérifier si tout se déroule bien lors de l’installation
des autres contrôleurs de domaine ; en effet, une fois ces derniers installés ils sont
automatiquement placés dans le site associé à son masque de sous-réseaux en fonction de son
adresse IP.

Pour résumer, nous utilisons l’interface Active Directory Sites and Services pour effectuer les
opérations suivantes :

 Créer et visualiser tous les sites valides de l’entreprise.

 Afficher les serveurs qui font partie d'un site.


Nous pouvons supprimer ou déplacer des serveurs entre différents sites.
(Bien qu'il nous soit possible d'ajouter des serveurs manuellement, cette tâche doit
s’effectuer automatiquement lors de l’installation des contrôleurs de domaine.)

 Visualiser les connexions entre les différents contrôleurs de domaine de tous les sites
de la société.
En effet, pour que deux contrôleurs de domaine effectuent une réplication
bidirectionnelle, une connexion doit relier le premier serveur au second et une
connexion complémentaire doit relier le second serveur au premier.
Ces connexions sont appelées connecteurs et ces derniers doivent être créés
automatiquement lorsque tous les contrôleurs de domaine de l’entreprise sont installés.

 Créer et afficher les transports et les liens entre sites.


Les transports représentent les protocoles utilisés pour communiquer entre sites
choisis (par exemple, IP).

 Visualiser les sous-réseaux.

 Attribuer au serveur le rôle de catalogue global.

75
Pour ce faire, nous devons procéder comme suit :

1. Se connecter sur un contrôleur de domaine en tant qu’administrateur de la


forêt.
2. Démarrer l’interface Sites and Services.
3. Déployer le site sur lequel se trouve le contrôleur de domaine concerné par ce
rôle.
4. Dérouler le répertoire intitulé « Servers », développer le nom du serveur
intéressé.
5. Effectuer un clique droit sur « NTDS Setting », sélectionner « Properties »,
cocher ensuite dans l’onglet « General », la case intitulée « Global Catalog ».
6. Valider ensuite cette procédure à l’aide du bouton OK.

Illustration de cette manipulation :

76
8.2. Active Directory Domains and Trusts

L’interface Domains and Trusts nous offre la possibilité de visualiser la structure logique de
l’entreprise réalisée lors de l’établissement de la nouvelle structure logique de l’entreprise.

77
En effet, cette interface nous présente les différents arbres créés :

1. automaticsystems.be
2. automaticsystems.fr
3. automaticsystems.es
4. automaticsystems.ca
5. automaticsystems.com
6. automaticsystems.co.uk

De manière générale, l’interface Domains and Trusts nous permet d’accomplir les tâches
suivantes :

 Raise domain functional level (Augmenter le niveau de fonctionnement d’un


domaine).
Comme détaillé précédemment, un domaine Windows Server 2003 peut fonctionner
sous un des quatre modes suivants :

1. Windows 2000 Mixed


2. Windows 2000 Native
3. Windows Server 2003 Interim
4. Windows Server 2003.

Etant donné que nous sommes confrontés à une nouvelle installation de la forêt pour
la société Automatic Systems, tous les contrôleurs de domaine exécuteront donc la
version Windows Server 2003, ce qui nous permet alors de confirmer que tous les
domaines de cette forêt fonctionneront en mode Windows Server 2003.

 Raise forest functional level (Augmenter le niveau de fonctionnement de la forêt).


Nous savons que le système d’exploitation Windows Server 2003 peut supporter
trois niveaux de fonctionnement pour la forêt, à savoir :

1. Windows 2000
2. Windows Server 2003 Interim
3. Windows Server 2003.

La forêt que nous avons construite pour la société Automatic Systems dénommée
« automaticsystems.be », étant uniquement composée de domaines fonctionnant en
mode Windows Server 2003, nous pouvons affirmer que cette dernière fonctionnera
en mode Windows Server 2003.

78
 Gérer les relations entre les domaines (créer, supprimer des relations) :

 Fixer un suffixe UPN pour un ou plusieurs domaines.


 Attribuer à un seul serveur de la forêt le rôle de DNM (Domain Naming Master).
Pour la société Automatic Systems, le serveur concerné est ASBEDC2.

Afin d’affecter ce rôle à ce serveur, nous devons procéder comme suit :

a. Se connecter en tant qu’administrateur de la forêt sur le serveur ASBEDC2.


b. Se rendre au sein de l’interface Domains and Trusts
c. Effectuer un clique droit sur « Active Directory Domains and Trusts »
d. Sélectionner « Operations Master »
e. Valider le changement en cliquant sur « Change ».

79
Illustration de cette procédure :

80
8.3. Active Directory Users and Computers

Nous utilisons l’interface Active Directory Users and Computers dans le cadre de
l’administration de la structure logique de la société Automatic Systems.

Lors de l’installation de l’Active Directory, plusieurs conteneurs par défaut sont créés comme
par exemple : Computers, Domain Controller, …

En plus de ces conteneurs par défaut, nous avons décidé d’organiser les objets contenus dans
l’Active Directory de la société en unités logiques (unités d’organisation).
En effet, nous avons créé au sein de cette interface toutes les unités d’organisation pour
chaque domaine en fonction de l’analyse logique effectuée précédemment.

Ces différentes organisations en fonction du domaine sont disponibles en annexe


(automaticsystems.be : Annexe 3, automaticsystems.fr : Annexe 4, automaticsystems.es :
Annexe 5, automaticsystems.com : Annexe 6, automaticsystems.co.uk : Annexe 7,
automaticsystems.ca : Annexe 8).

Nous avons donc agencé l’ensemble des ressources réseau de l’entreprise de manière
cohérente.

Outre de pouvoir créer ces unités d’organisation, cette interface nous permet de réaliser
plusieurs tâches :

81
 Création d’un compte utilisateur.
Cette fonctionnalité est très importante.
En effet, elle nous permet de créer les utilisateurs appartenant à la société dans les
unités d’organisation adéquates en fonction de leur département de travail.
Nous pouvons, par la suite, attribuer les autorisations nécessaires à ces derniers afin
qu’ils puissent accéder aux ressources présentes sur le réseau de l’entreprise.

Pour créer un utilisateur, nous devons procéder comme suit :

Nous devons nous positionner sur l’unité d’organisation désirée, effectuer un clic droit
sur celle-ci et sélectionner New  User.
Plusieurs informations concernant cet utilisateur sont alors exigées :

Une fois la création effectuée, nous avons la possibilité de paramétrer plusieurs


propriétés en relation avec cet utilisateur.

82
Parmi toutes les propriétés proposées, les plus importantes sont :

o Profile Tab : cette partie permet de définir un script qui s’exécute lors de la
connexion de l’utilisateur, de spécifier le répertoire de travail de celui-ci.

o Member of : permet de visualiser et d’ajouter l’utilisateur au sein d’un groupe.

83
 La mise en place des groupes d’utilisateurs.
Lors de la création des différentes unités d’organisation, une parmi celles-ci a été
nommée « Groupes d’utilisateurs (accès aux ressources) » afin de pouvoir y créer
tous les groupes d’utilisateurs.
De cette façon pour des raisons de clarté, nous ne mélangeons pas les groupes et les
utilisateurs.

Une question est en suspens : Pourquoi devons-nous créer des groupes d’utilisateurs ?

Les groupes d’utilisateurs se répartissent en deux catégories :

1. La sécurité : les groupes de sécurité constituent une méthode efficace pour


assigner l'accès aux ressources.
2. La distribution : les groupes de distribution sont utilisés uniquement avec des
applications de courrier électronique (par exemple : Microsoft Exchange) pour
envoyer du courrier à un ensemble d'utilisateurs.

En plus d’être décomposé en deux parties, ces groupes sont également divisés en trois
types :

1. Global group (GG) : est composé d’utilisateurs appartenant au même domaine


Ce type de groupe est utilisé pour l’organisation des utilisateurs.
 Création sur le domaine.

2. Domain local group (DLG) : regroupe des utilisateurs et/ou des global group de
différents domaines.
Ce genre de groupe est utilisé pour garantir aux utilisateurs un accès à des
ressources réseau.
 Création sur la machine où se trouve la ressource.

3. Universal group (UG) : rassemble des utilisateurs et/ou des global group de
différents domaines.
Contrairement au domain local group, ce type de groupe est destiné à organiser
les utilisateurs.
 Création sur le domaine.

Récapitulatif de l’utilisation et du contenu de ces différents groupes :

Utilisation Contenu
Global Group globale Local
Domain Local Group locale Global
Universal Group globale Global

Local = seulement à l’intérieur du domaine.


Global = pour tous les domaines de la forêt.

84
Afin de créer un groupe, nous devons suivre cette procédure :

Nous devons nous positionner sur l’unité d’organisation intitulée « Groupes


d’utilisateurs (accès aux ressources », effectuer un clic droit sur celle-ci,
sélectionner New  Group
La fenêtre suivante permet alors de définir le type de groupe à créer :

La règle d’or pour la création de ces différents groupes est la suivante :


AGDLP = Account Global Domain Local Permission

Signification :

Cette règle nous indique l’ordre à suivre afin de créer un groupe d’utilisateurs :

1. Créer l’utilisateur.
2. Attribuer cet utilisateur à un global group.
3. Assigner ce global group à un domain local group.
4. Fournir des permissions à ce domain local group.

Remarque :
Il existe au sein de l’Active Directory plusieurs groupes spéciaux et, par conséquent, des
utilisateurs spéciaux :
- Built-in LG : est assigné à tous les contrôleurs de domaine et contient des groupes
tels que : Account Operators, Server Operators, Print Operators.
- Built-in GG est composé de groupes destinés aux utilisateurs spéciaux : Domain
Users, Domain Admins, Domain Guests, Entreprise Admins, Group Policy, Creator
Owner, Schema Admins.
- Quelques groupes système tels que : Everyone, Creator Owner, Network, Interactive.

85
 Affectation des rôles Relative Identifier (RID), Primary Domain Controller
Emulator (PDC), Infrastructure Master (IM).
Pour se faire au sein de l’interface Users and Computers, nous devons effectuer un clic
droit sur le nom de domaine concerné, sélectionner Operations Masters ; ensuite, nous
devons choisir le rôle à affecter au serveur via les onglets disponibles.
La validation du changement de rôle s’effectue via le bouton « Change ».

Illustration de cette procédure :

86
8.4. Active Directory Schema Editor

Contrairement aux trois autres interfaces décrites jusqu’à présent, cette quatrième n’est pas
disponible en tant que telle dans les outils de gestion fournis par Microsoft ; cette dernière
doit être créée avant de pouvoir être utilisée.

Cette interface, une fois construite, permet de réaliser deux tâches :

 Modifier le schéma de l’Active directory : créer, supprimer, modifier des classes,


attributs …
 Attribuer le rôle de Schema Master pour un seul serveur de la forêt.

Dans le cadre du projet confié à l’équipe IT de l’entreprise Automatic Systems, Active


Directory Schema Editor sera uniquement utilisé dans l’objectif d’affecter au serveur
ASBEDC1 le rôle de Schema Master de la forêt automaticsystems.be.

Pour réaliser cette manipulation, nous devons suivre ces directives :

1. Se connecter en tant qu’administrateur de la forêt sur le serveur ASBEDC1.


2. Construire l’interface Active Directory Schema Editor.
Cette étape se déroule comme suit :
a. Dans la fenêtre de commande « Run », nous devons encoder : MMC
b. Dès que l’interface intitulée « Console1 » s’affiche à l’écran, nous devons
cliquer sur le menu File, sélectionner Add/remove Snap-in.
c. Dans la fenêtre dénommée « Add Standalone Snap-in », nous sélectionnons
« Active Directory Schema ».
d. Nous enregistrons ensuite cette interface créée en tant que « Schema
Editor ».
3. Démarrer l’interface Schema Editor.
4. Effectuer un clic droit sur « Active Directory Schema ».
5. Sélectionner « Operations Master ».
6. Choisir l’option « Change » afin de valider l’attribution du rôle Schema Master au
serveur ASBEDC1.

87
Illustration de cette procédure :

 Construction de l’interface Active Directory Schema Editor.

88
89
 Affectation du rôle Schema Master au serveur ASBEDC1.

90
9. Conclusion

Le projet confié à l’équipe IT visant à centraliser l’administration des ressources réseau des
différents sites de la société Automatic Systems sur la maison-mère située à Wavre au moyen
de l’Active Directory est maintenant terminé.

La réalisation de ce projet s’est déroulée en plusieurs étapes.

Il a été question, avant de commencer le développement de cet objectif, de mettre en place de


bonnes connaissances concernant l’Active Directory en détaillant quelques points théoriques.

Cette étude a ensuite débouché sur l’analyse de l’existant de la société afin de pouvoir établir
une nouvelle structure logique de la société en fonction du but à atteindre.

Suite à l’établissement de cette nouvelle topologie logique, nous avons pu mesurer les
avantages et inconvénients engendrés par une telle structure.

La suite inévitable de cette étape a été axée sur l’analyse de la structure physique afin de
répartir au mieux les serveurs au sein des différents sites de la société.

L’équipe IT a dû, avant de pouvoir déployer l’analyse effectuée sur la structure logique de la
société, préparer les différents serveurs en installant, sur ceux-ci, le système d’exploitation
Windows Server 2003 Standard Edition.

Il a été question ensuite d’implémenter cette nouvelle structure logique sur les différents
serveurs désignés lors de l’analyse de la topologie physique de l’entreprise.

Cette implémentation n’a pas été de tout repos ; en effet, l’équipe IT a rencontré quelques
problèmes (mauvaise synchronisation des serveurs entre eux) lors de la mise en place de
l’Active Directory sur ceux-ci.

La résolution de ce problème a nécessité un démontage de l’Active Directory installée pour


ensuite la remonter afin de corriger cette mauvaise synchronisation.

Une fois l’implémentation terminée, nous avons testé si l’avantage principal décrit lors de
l’analyse de ce projet était bien présent, à savoir l’administration centralisée des ressources
réseau.
Ce fut un succès !

91
10. Annexes

Annexe 1 : Organigramme détaillé de la société Automatic Systems située à Wavre

92
93
94
95
96
97
Annexe 2 : Organigrammes des différentes filiales de l’entreprise Automatic Systems

98
99
100
101
102
Annexe 3 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.be »

Annexe 4 : Interface Active Directory Users and Computers pour le domaine


« automaticsystems.fr »

103
Annexe 5 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.es »

Annexe 6 : Interface Active Directory Users and Computers pour le domaine


« automaticsystems.com »

104
Annexe 7 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.co.uk »

Annexe 8 : Interface Active Directory Users and Computers pour le domaine


« automaticsystems.ca »

105
11. Bibliographie

Ouvrage :

Mark Minasi, Christa Anderson, Michele Beveridge, C.A. Callahan et Lisa Justice :
Windows Server 2003, éditions Eyrolles, 2003

Sites internet :

http://www.laboratoire-microsoft.org/

http://www.microsoft.com

http://www.commentcamarche.com

http://support.microsoft.com

106