08 AD Replication

Module 10 Module 10
Chapitre 8
Sites Active Directory

Présentation de Windows 2016
© 2020 Denis Bellamy Tous droits réservés. Ne pas reproduire sans le consentement de l’auteur.
Sites-AD-8-1
Objectifs du module
Dans ce module, nous allons

• Etudier les composants de la réplication
• Comprendre le principe de la réplication
• Examiner les réplications intrasite et intersite
• Créer des sites
Sites-AD-8-2
Réplication Active Ditrectory 1

Module 10 Module 10
Réplication Active Directory
Composants de la réplication
Principe de la réplication
Réplication intrasite
Création de sites
Création de liens de sites
Localisation du client
Réplication de Sysvol
Sites-AD-8-3
Propriétés de la réplication Active directory
• Multi-maîtres, cohérence flottante avec convergence

• Multi-maîtres
— Mises à jour sur n’importe quel DC, doivent être propagées vers tous
les autres DCs
• Cohérence flottante (loose consistency)
— La cohérence entre les bases de données distribuées n’est garantie
à aucun moment dans le temps
— Les liens WAN peuvent être coupés
— L’Active Directory est conçu pour supporter la cohérence flottante
• Convergence
— Les modifications sont répliquées vers tous les DCs
— Des modifications peuvent concerner les mêmes données ; les
collisions doivent être résolues
Sites-AD-8-4

Module 10 Module 10
Objets de la réplication : Partitions
Partitions d'annuaire
Contient les définitions et les

règles de création et de
gestion de tous les objets et
Schéma attributs
Forêt
Contient les informations
concernant la structure
d'Active Directory
Configuration
Contient des informations
portant sur tous les objets
Domaine propres au domaine créés
Lanwest.com dans Active Directory
Base de données
Active Directory
Sites-AD-8-5
Types de réplication
• Duplication intrasite
— Notification de modification
— Trafic non compressé
— Duplication urgente
• Duplication intersite
— Planification de la duplication
— Trafic compressé (sauf si la taille du paquet n’excède pas 50 ko)
Sites-AD-8-6

Module 10 Module 10
Protocoles de réplication
RPC
Contrôleur Contrôleur
de domaine A de domaine B
Protocoles de réplication
 IP pour les duplications intersite et intrasite

— Compressé en intersite
 SMTP
— Non utilisé
Sites-AD-8-7
Création de sites
Sites-AD-8-8

Module 10 Module 10
Suivre les modifications
USN DB1 Attribut

Plus récent 1105 MM
1104 AA
1103 ZZ
1102 LL
Plus ancien 1101 JJ
• Lorsqu’un objet est créé, modifié ou supprimé, les modifications

doivent être répliquées vers tous les autres DCs qui hébergent des
copies du contexte de nommage de l’objet
• La granularité de la réplication est au niveau de l’attribut
— Seul l’attribut a besoin d’être répliqué et non l’objet complet
– Les attributs multi-valeurs sont répliqués comme un tout
• Les modifications sont suivies en utilisant un numéro de séquence
de mise à jour sur 64 bits (USN-Update Sequence Number)
— Celui-ci augmente avec chaque modification d’attribut
Sites-AD-8-9
Réplication initiale
Directory existant sur DC1 Nouveau Directory sur DC2
Plus USN DB1 Attribut USN DB2 Attribut

récent 1105 MM 816 MM
1104 AA 815 AA
1103 ZZ Réplication 814 ZZ
1102 LL 813 LL
Plus 1101 JJ 812 JJ
ancien
High-watermark DB1:1105
• Tous les attributs qui ont été modifiés sur les partenaires de
réplication sont répliqués dans la base de donnée d’un nouveau DC
• Le plus grand USN de DB1 sur DC1 est enregistré sur DC2
— Ceci s’appelle le vecteur « high-watermark »
• Lors du prochain cycle de réplication, seuls les attributs ayant un
USN supérieur à 1105 doivent être mis à jour
Sites-AD-8-10

Module 10 Module 10
Modification d’attributs
Base de données DB5

----
----
----
Modifié sur DB5 ----
----
---- USN DB5 Attribut
--
4571 MFM
4570 AAS
4569 ZVZ
4568 LML
Répliqué depuis DB1 4567 JDJ
Répliqué depuis DB3
• Les modifications peuvent résulter d’une modification d’origine ou

d’une modification répliquée
Sites-AD-8-11
Notification de modification
USN DB2 Attribut

USN DB1 Attribut 1816 MM
1108 LL 1815 AA
1107 JJ 1814 ZZ
1106 VV 1813 LL
1105 MM 1812 JJ
DC2
1104 AA DC1
USN DB3 Attribut

3006 UM
• Lorsque DB1 enregistre des 3005 WS
modifications, il informe ses partenaires DC3
3004 XC
de réplication
3003 VB
— Afin de cumuler de multiples 3002 PJ
changements, il retarde la notification
de 5 secondes
Sites-AD-8-12

Module 10 Module 10
Prévenir les réplications inutiles
DC2 Ne m’envoyez que les

USN DB1 Attribut modifications qui
1108 LL proviennent de DB1
1107 JJ avec un USN
DC4
1106 VV supérieur à 1107
DC1
1105 MM
1104 AA High-watermark DB2 : 5678
High-watermark DB3 : 6408
DC3 Up-to-dateness DB1 : 1107
• Un mécanisme est nécessaire pour prévenir la réplication des

modifications qui ont déjà été reçues d’une source différente
• Windows 2003 utilise un vecteur « Up-to-Dateness »
— Un DC sait à quel niveau de mise à jour il est par rapport aux
modifications effectuées sur chaque DC
Sites-AD-8-13
Résolution des conflits
Attribut Valeur Version Heure d’origine GUID DSA
Incrémenté
• Il est possible de modifier le même attribut sur deux DCs différents

— Lorsque la réplication converge, le conflit devra être résolu
• Chaque attribut d’origine est marqué avec un identifiant unique
— Lors d’une modification d’origine, les champs de l’enregistrement
sont mis à jour
• Pour résoudre le conflit, les champs sont testés dans cet ordre
— Version : la plus haute l’emporte
— Heure d’origine : la plus récente l’emporte
— DSA GUID : résout toujours le conflit
• Généralement, la modification la plus récente l’emporte
Sites-AD-8-14

Module 10 Module 10
Autres conflits
• Une création ou un déplacement est exécuté sur DC1 alors que le

container destination est détruit sur DC2
— L’objet devient un enfant du container LostAndFound
• Conflits de noms identiques
— Une création ou une modification sur deux DCs différents aboutie à
l’existence de deux objets ayant le même DN
— Le RDN de l’objet ayant le plus petit identificateur unique est retenu
— Le RDN pour l’autre objet devient RDN*CNF:<GUID>
– * est un caractère réservé ; CNF est une constante indiquant le
conflit
Sites-AD-8-15
Création de sites
Sites-AD-8-16

Module 10 Module 10
Réplication Intrasite
• La réplication intrasite :
— Intervient entre des contrôleurs de domaine du même site
— Exploite des liaisons réseau rapides et hautement fiables
— Ne compresse pas le trafic de duplication
— Utilise un mécanisme de notification des modifications
Contrôleur
de domaine A
Site
Sous-réseau IP
Duplication
Sous-réseau IP
Contrôleur
de domaine B
Sites-AD-8-17
Créer la topologie intrasite
• Pour les contrôleurs de domaine d’un même site, le KCC crée

automatiquement les objets de connexion et génère la topologie de
réplication
— Aucune intervention administrative n’est nécessaire (ni souhaitée)
— Crée une topologie logique en anneau
Sites-AD-8-18

Module 10 Module 10
Topologie de réplication intrasite
SITE
A A
1 2
B
2
B
1
B
3
A A
3 4
Legend
Domain
A
3
Server
Domain A Topology/Connection
Objec t
Domain B Topology/Connection
Objec t
Schema/Conf iguration Topology
Sites-AD-8-19
Global catalogue en multi-domaines
Sites-AD-8-20

Module 10 Module 10
Global Catalogue et réplication
SITE
A A
1 2
GCS B
2
B
1
B
3
A A
3 4
Legend
Partial Replica A
Domain
Server
Domain A Topology/Connection
Object
Domain B Topology/Connection
Object
Schema/Configuration Topology
Sites-AD-8-21
Modèle de réplication
• Un modèle stocke-et-transmet (store-and-forward) est utilisé

pour minimiser le trafic réseau et simplifier la topologie
— La réplication peut être forcée
Stocke Transmet
• La réplication intrasite utilise le protocole RPC (Remote

Procedure Calls) non compressé
— Une connexion synchrone directe TCP/IP est créée
Sites-AD-8-22

Module 10 Module 10
Le Vérificateur de cohérence configure

les connexions de réplication
Objet Site
Objet Objet
Server A Server B
Objet Objet
NTDS Settings NTDS Settings
Objet Objet
connexion connexion
B est source de duplication pour A A est source de duplication pour B

Sites-AD-8-23
(suite)
Sites-AD-8-24

Module 10 Module 10
KCC : Knowledge Consistency Checker
• La topologie de réplication détermine comment les informations

sont répliquées entre DC
• Le service KCC qui s’exécute sur chaque DC génère et maintient la
topologie et désigne les partenaires de réplication de chaque DC
— Il y a une topologie de réplication pour chaque Contexte de
Nommage
• Le service KCC établit une connexion entre les DC individuels via
des objets connexion
— Si de multiples contextes de nommage peuvent être répliqués via le
même chemin, le KCC ne crée qu’une seule connexion
• Par défaut, le KCC s’exécute toutes les 15 mn pour vérifier si la
topologie a besoin d’être changée
— HKLM\System\CCS\Services\NTDS\Parameters\Repl topology
update period (secondes)
Sites-AD-8-25
Objet Connexion
• L’objet connexion représente

un chemin de réplication uni-
Notification
directionnel entre deux DCs
• L’architecture est de type
Pull/Push Réplication
— Lorsqu’un DC enregistre
une mise-à-jour, il en
notifie ses partenaires Réplication
dans un délai de 5
secondes
— Les partenaires viennent Notification
alors tirer les modifications
annoncées
Sites-AD-8-26

Module 10 Module 10
Objet NTDS Settings
• L’objet NTDS Settings du serveur représente l’Active Directory

sur ce serveur
• La topologie est générée en utilisant les données stockées dans
les attributs de l’objet NTDS Settings
— L’attribut hasMasterNCs identifie tous les contextes de
nommage qui sont hébergés
— L’attribut hasPartialReplicaNCs identifie les partitions du GC
qui sont hébergées
— Après exécution du KCC, l’objet NTDS Settings contiendra les
connexions entrantes de ses partenaires de duplication.
• Le KCC s’exécute en deux phases
— La phase 1 calcule la topologie basée sur les données de NTDS
Settings
— La phase 2 établit les connexions entre serveurs
Sites-AD-8-27
KCC chemin maximum = 3 sauts
7 contrôleurs
de domaine
Sites-AD-8-28

Module 10 Module 10
KCC chemin maximum = 3 sauts
8 contrôleurs
de domaine
Sites-AD-8-29
Connexion manuelle
• Les administrateurs peuvent créer des objets connexions

supplémentaires ou supprimer ceux existants pour créer leur
propre topologie
• Si la réplication échoue dans un site, le KCC va automatiquement
recréer les objets connexions nécessaires
• Objectifs :
― Dans un site, réduire le temps d’attente de la réplication intra-site
― Entre sites, réduire également le temps d’attente notamment en
cas de panne
Sites-AD-8-30

Module 10 Module 10
Forcer une réplication
Sites-AD-8-31
Interrogation intrasite
• Un partenaire destinataire
peut manquer la notification
de mise à jour
— Dans ce cas, les mises à
jour ne sont pas reçues
• Les DC interrogent
régulièrement leur partenaire
source pour vérifier qu’ils
n’ont pas manqué des
modifications
— Par défaut, une fois par
heure
— La fréquence d’interrogation
est définie via la page des
propriétés de l’objet de
connexion
Sites-AD-8-32

Module 10 Module 10
Défaillances de réplication intrasite
• Le KCC recrée automatiquement la topologie de réplication si un

DC est hors service ou ne répond pas
• Pour les DC de sites différents, le basculement par défaut se fait
après deux échecs de tentatives de réplication et deux heures
après la dernière réplication réussie
— Les entrées s’affichent dans le journal des événements des services
d'annuaire
• Possibilité de régler les seuils de basculement dans le registre
— Se reporter à TechNet pour plus de renseignements
– Rechercher « Active Replication Directory Tools and Settings »
• Cependant vérifier
— Lien réseau
— DNS souvent cause du problème
— ….
Sites-AD-8-33
Création de sites
Sites-AD-8-34

Module 10 Module 10
Sites Active Directory
• Sites
— Un ou plusieurs sous-réseaux IP bien connectés
— Basés sur les exigences du réseau, la vitesse des liaisons et le
volume du trafic
— Un site peut contenir plusieurs sous-réseaux
— Il se peut qu’un sous-réseau ne soit associé qu’à un seul site
— Duplication et trafic réseau
• Appartenance à un site
• Nom par défaut du premier site : Default-First-Site-Name
Réplication
Modifications
Sites-AD-8-35
Réplication Intersite
• La réplication intersite : ISTG

Serveur tête
— Intervient selon un calendrier de pont
défini manuellement Réplication
— Est conçue pour optimiser la
bande passante
Sous-réseau IP
— Un ou plusieurs réplicas dans Sous-réseau IP
chaque site jouent le rôle de Site
têtes de pont
Réplication
Réplication
Serveur tête
de pont,
Sous-réseau IP ISTG
Sous-réseau IP
Site
Sites-AD-8-36

Module 10 Module 10
Identifier les sites
• Les sites sont utilisés pour optimiser l’utilisation réseau via

— Le contrôle de la topologie de réplication entre sites ; basé sur le
coût des liens
— La planification de la réplication entre sites
— La localisation de services présents dans le même site que le client
• Lorsqu’un site est créé en utilisant le Sites et Services
Active Directory, des plages d’adresses IP doivent être
associées au site
— Ces plages d’adresses sont définies comme des sous-réseaux
– La portion de l’adresse qui identifie le site est spécifiée en
utilisant un masque
Adresse 10 24 0 0
Masque 255 255 0 0
• Les adresses IP 10.24.0.1 – 10.24.255.254 sont identifiées comme

étant dans le même site
Sites-AD-8-37
Définition logique des sites
Réseau IP 10 0 0 0
Réseau physique
Masque IP 255 0 0 0
Site 1 10 10 0 0
Masque 255 255 0 0 Définitions logiques
10 20 0 0 des sites
Site 2
Masque 255 255 0 0
• Les définitions de sites sont normalement créées pour

correspondre aux sous-réseaux physiques mais ce n’est pas une
obligation
— Les définitions de sites sont logiques et un réseau physique unique
peut être divisé en plusieurs sites
Sites-AD-8-38

Module 10 Module 10
Création de sites et de sous-réseaux
Sous-réseau
IP
Sous-réseau
Sous-réseau IP
IP Site-Redmond
Contrôleur de domaine B
Premier-Site-par-defaut Contrôleur de domaine B
Contrôleur de domaine A
Sites-AD-8-39
Création d’un site
Affecter un nom
L'associer au
lien de site
Sites-AD-8-40

Module 10 Module 10
Création de sous-réseaux
Sites-AD-8-41
Déplacement des DCs dans les sites
Sites-AD-8-42

Module 10 Module 10
Intersite topology Generator (ISTG)
• Dans une réplication intersites, des serveurs spécifiques (serveurs

tête de pont) sont choisis dans chaque site et sont chargés de
répliquer les contextes de nommages appropriés
— La replication d’un site à un autre se réalise en point à point
• Inter Site Topology Generator (ISTG) est un composant
chargé de sélectionner un(des) serveur(s) tête de pont dans un site
donné
— Le premier DC installé dans un site assure le rôIe ISTG
– Il exécute le KCC pour determiner la topologie de replication et
les connexions resultantes que le serveur tête de pont doit utiliser
pour communiquer avec les serveurs têtes de pont des autres
– En cas de défaillance d’un serveur tête de pont, ISTG en
sélectionne automatiquement un autre
Sites-AD-8-43
Intersite topology Generator (ISTG)

(suite)
• Le premier DC d’un site joue le rôle
d'ISTG (Inter-Site Topology
Generator)
— Il y a un seul ISTG par site
• L’ISTG d’un site est affiché dans la
fenêtre des propriétés de l’objet
NTDS Site Settings (Propriétés du
site)
— Également accessible par
repadmin /istg
Sites-AD-8-44

Module 10 Module 10
Basculement automatique de l’ISTG
• Toutes les 30 minutes, l’ISTG se manifeste en modifiant l’attribut

interSiteTopologyGenerator de son objet NTDS Site Settings
— Si deux modifications sont manquées, un nouvel ISTG prend le
relais
• L’ISTG est transmis au DC suivant (dans une liste ascendante
contenant les GUID des DC)
Sites-AD-8-45
Serveur tête de pont (BHS*)
Domaine B
Domaine B
Domaine A
Domaine A
• ISTG sélectionne une tête de pont pour chaque contexte de

nommage
— Un serveur tête de pont réplique les données des partitions
d’annuaire de DC distants appartenant au même domaine
— Si un seule tête de pont existe, schéma et configuration utilise la
même connexion pour répliquer
— Si plusieurs têtes de pont existent (plusieurs domaines) l’une des
connexion sera utilisée pour répliquer schéma et configuration
* BHS = Bridge Head server
Sites-AD-8-46

Module 10 Module 10
Serveurs têtes de pont
• Le KCC de l’ISTG crée les objets de connexions entrantes entre un

DC de son site et celui d’un autre site
— Les contrôleurs de domaine choisis sont appelés serveurs têtes de
pont
— Tout DC du site, y compris l'ISTG, peut être un serveur tête de pont
• En amont, un serveur tête de pont transmet les modifications de
base de données à son homologue, dans l’autre site, via une
liaison WAN
— Les serveurs têtes de pont fonctionnent par paires connectées
• En aval, la tête de pont réplique les modifications reçues sur les
autres DC de son site
— Il faut un serveur tête de pont par partition commune aux sites
— Et un par protocole de réplication utilisé : RPC
Sites-AD-8-47
Sélectionner manuellement un BHS
• Les serveurs peuvent être désignés

manuellement comme tête de pont
préféré
• Un serveur doit être assigné pour
chaque contexte de nommage
— Le serveur est désigné comme tête
de pont préférée pour un contexte
de nommage particulier
• Pour permettre la tolérance de
pannes, plusieurs serveurs devraient
être désignés pour chaque transport
et contexte de nommage
— Si tous les serveurs sélectionnés
manuellement tombent en panne,
ISTG ne sélectionnera pas
d’alternative
Sites-AD-8-48

Module 10 Module 10
Défaillances du serveur tête de pont
• En cas de défaillance d’un serveur tête de pont, la réplication entre

sites est interrompue
— Le KCC choisira automatiquement un serveur tête de pont de
remplacement; ce choix est réalisé dès que le délai écoulé depuis la
dernière réplication dépasse deux heures
• Si un seul serveur tête de pont préféré a été configuré, le KCC ne
choisit pas automatiquement un autre serveur
— Il enregistre un message d’erreur dans le journal du service
d’annuaire indiquant qu’aucun serveur tête de pont préféré n’est
disponible
— Il faut créer manuellement un nouveau serveur tête de pont préféré
• Pour un basculement automatique des serveurs têtes de pont
préférés, il est préfèrable de configurer plusieurs serveurs têtes de
pont
Sites-AD-8-49
Serveur tête de pont

(suite)
SIEGE
A
BHS A3 B3 BHS
potentiels potentiels
A2 B2
BHS A1 B1 BHS
B
Lien Site
Lien Site Lien Site
A11 B11 A12 B12 A13 B13

Agence
Agence Agence
Sites-AD-8-50

Module 10 Module 10
Partage de charge
SIEGE
A
A1 A2 A3 B1 B2 B3
B
Lien Site Lien Site
Lien Site
A11 B11 A12 B12 A13 B13

Agence Agence Agence
Sites-AD-8-51
Création de sites
Sites-AD-8-52

Module 10 Module 10
Lien de site
• Les liens de sites connectent les sites

entre eux Contrôleur
de domaine A
• Les liens de site sont définis par :
— Le transport Sous-réseau
IP
— Les sites membres
Sous-réseau
— Le coût IP
Site
— Le calendrier
— L'intervalle de duplication
Contrôleur Lien de site

de domaine B
Sous-réseau
IP
Sous-réseau
IP Site
Sites-AD-8-53
Créer les liens de sites
• Les liens de sites connectent les sites

entre eux
— Généralement, les liens de sites sont
créés manuellement au moyen de la
console ADSS
• Si aucun lien de site n’est établi, le KCC
ne peut pas créer automatiquement les
objets de connexion nécessaires entre
serveurs têtes de pont
— Pour que la réplication entre sites soit
possible, un lien de sites doit les
connecter
• Un lien de sites est créé
automatiquement lors de la création du
premier contrôleur de domaine de la
forêt
— Appelé DEFAULTIPSITELINK
Sites-AD-8-54

Module 10 Module 10
Créer les liens de sites

(suite)
• Les attributs de liaisons décrivent
— Protocole IP
– IP utilise les RPCs compressés
— Disponibilité
– Heures et jours de la semaine durant lesquels la liaison est
disponible
— Coût
– Le coût est paramétré par l’administrateur et est utilisé pour
sélectionner la route préférée
— Période de « polling »
– Le serveur interne au site interroge le serveur externe à chaque
intervalle de temps défini
• La période d’interrogation minimale configurable dans l’interface
utilisateur est de 15 minutes
— Possibilité d’utiliser des scripts pour réduire cette valeur si cela est
nécessaire
• Toutes les liaisons connectées au même site sont considérées
comme étant reliées par des ponts de façon transitive
Sites-AD-8-55
Paramètrage d’un lien de site
Coût
Intervalle
Calendrier
Sites-AD-8-56

Module 10 Module 10
Affecter un coût à un lien de site
• Un coût est une valeur numérique qu'un administrateur affecte à un lien de

site
— Reflète la bande passante disponible et la fiabilité de la connexion physique
entre les sites connectés
— En général, plus le coût est bas, plus la connexion est rapide et fiable
• Une formule permet de calculer de façon assez précise le coût d'un lien de
site :
— Le tableau ci-dessous présente des exemples d'utilisation de la formule pour
calculer le coût de connexions WAN avec des débits différents
Bande passante de la
Coût obtenu
connexion WAN (Kbits/s)
Coût= 1024
log (bande passante disponible en Kbits/s) 512 378
1 024 340
2 048 309
4 096 283
8 192 262
16 384 243
Sites-AD-8-57
Transitivité des liens de sites
Sites-AD-8-58

Module 10 Module 10
Désactiver la transitivité entre liens de site
• Dans un environnement
étoilé, le pontage transitif
automatique devrait être
désactivé
— Ce paramètre est
global pour toutes les
liaisons utilisant un
transport particulier
— Souvent réalisé dans
un contexte siège-
agances
• Si un pontage entre des
liaisons est nécessaire,
un pont entre liaisons de
sites spécifiques doit
être créé
Sites-AD-8-59
Pont lien de site
Sous-réseau Site Y
IP Transitivité
Sous-réseau désactivée
IP
Lien de site XY, Coût 3 Lien de site YZ, Coût 4

Pont entre liens de site XYZ, Coût 7
Sous-réseau Sous-réseau
IP IP
Sous-réseau Sous-réseau
IP IP
Site X Site Z
Sites-AD-8-60

Module 10 Module 10
Création de sites
Sites-AD-8-61
Localisation du site du client
(1) Site New York
N’importe quel DC pour (2) DC du site pour le

le domaine du client domaine du client
Le client se (3)
déplace sur
un autre site Site Paris
(4) DC du site pour le

domaine du client
Sites-AD-8-62

Module 10 Module 10
Localisation du site du client
• Lorsqu’un client d’un domaine se connecte pour la première fois, il

n’a aucune connaissance concernant le site
— Il contacte n’importe quel DC dans son domaine
— En fonction de l’adresse IP du client, le DC renvoie les informations
concernant le site du client
— Si le DC n’est pas dans le site du client, le client contacte un DC
dans son propre site
– Celui-ci devient le serveur d’ouverture de session pour le client
— Le client mémorise les informations du site dans la base de registre
HKLM\System\CurrentControlSet\Services\…
Netlogon\Parameters\DynamicSiteName
— Au prochain redémarrage, le client contacte le DC
DynamicSiteName
— Si le client s’est déplacé, il est informé de son nouveau site
— Le client se connecte au DC du site et met à jour DynamicSiteName
Sites-AD-8-63
Création de sites
Sites-AD-8-64

Module 10 Module 10
Réplication du système de fichiers
• SYSVOL est un répertoire partagé qui stocke la copie, appartenant

au contrôleur de domaine, les fichiers publics du domaine :
– Modèles de stratégie de groupe
– Scripts de logon/logoff
• Tout ce qui est dans le dossier SYSVOL est automatiquement
répliqué vers tous les contrôleurs de domaine du même domaine
• La réplication SYSVOL est basée sur le File Replication Service
(DFRS)
– Un mécanisme pour dupliquer n’importe quel objet fichier
système vers un autre contrôleur de domaine.
– Il se déroule en parallèle du processus de réplication du contexte
de nommage d’un domaine
– Si un logon script est modifié sur un DC, il est répliqué sur les
autres DC par le biais de DFRS
Sites-AD-8-65
Réplication SYSVOL
• SYSVOL est répliqué via le service DFSR (Distributed File System

Replication)
— Possibilité de ralentir / fluidifier et de planifier le trafic DFSR à la
demande
— Peut être géré par le biais de la console DFS Management (Gestion
du système de fichiers distribués)
– Possibilité de créer des rapports de diagnostic
— Requiert le niveau fonctionnel minimal de domaine Windows Server
2008
Sites-AD-8-66

Module 10 Module 10
Compression différentielle à distance
• DFSR utilise l’algorithme RDC (Remote Differential Compression, compression

différentielle à distance) pour réduire sensiblement les besoins en bande
passante réseau
— La source et la destination doivent être compatibles RDC
— Il n'est pas nécessaire d'installer la fonctionnalité pour l’utiliser pour SYSVOL
• La source et la destination découpents les fichiers en blocs
— Les signatures de blocs sont calculées, envoyées à la destination et comparées
— Seuls les blocs différents sont répliqués
Destination Le fichier 1 a Source
C1 S1 été modifié S1 C1
Quelles sont
C2 S2 les modifications ? S2 C2
C3 S3 Voici mes signatures de bloc S3 C3
S4 C4
C4 S4 J'ai besoin des blocs
S5 C5
associés à S4 et S5
Fichier 1Signatures Signatures Fichier 1
de blocs Les blocs C4 et C5 de blocs modifié
sont envoyés
Sites-AD-8-67
Réplication et système de fichiers
Réplication DFRS AD
Réplication AD
Sysvol
Sysvol Sysvol
AD AD
Sites-AD-8-68

08 AD Replication

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

08 AD Replication

Transféré par

Droits d'auteur :

Formats disponibles

Module 10 Module 10

Sites Active Directory

Dans ce module, nous allons

Réplication Active Ditrectory 1

Réplication Active Directory

Propriétés de la réplication Active directory

• Multi-maîtres, cohérence flottante avec convergence

Réplication Active Ditrectory 2

Objets de la réplication : Partitions

Contient les définitions et les

Réplication Active Ditrectory 3

 IP pour les duplications intersite et intrasite

Réplication Active Directory

Réplication Active Ditrectory 4

Suivre les modifications

USN DB1 Attribut

• Lorsqu’un objet est créé, modifié ou supprimé, les modifications

Directory existant sur DC1 Nouveau Directory sur DC2

Plus USN DB1 Attribut USN DB2 Attribut

Réplication Active Ditrectory 5

Base de données DB5

Répliqué depuis DB3

• Les modifications peuvent résulter d’une modification d’origine ou

USN DB2 Attribut

USN DB3 Attribut

Réplication Active Ditrectory 6

Prévenir les réplications inutiles

DC2 Ne m’envoyez que les

• Un mécanisme est nécessaire pour prévenir la réplication des

Résolution des conflits

Attribut Valeur Version Heure d’origine GUID DSA

• Il est possible de modifier le même attribut sur deux DCs différents

Réplication Active Ditrectory 7

• Une création ou un déplacement est exécuté sur DC1 alors que le

Réplication Active Directory

Réplication Active Ditrectory 8

Créer la topologie intrasite

• Pour les contrôleurs de domaine d’un même site, le KCC crée

Réplication Active Ditrectory 9

Topologie de réplication intrasite

Schema/Conf iguration Topology

Global catalogue en multi-domaines

Réplication Active Ditrectory 10

Global Catalogue et réplication

• Un modèle stocke-et-transmet (store-and-forward) est utilisé

• La réplication intrasite utilise le protocole RPC (Remote

Réplication Active Ditrectory 11

Le Vérificateur de cohérence configure

B est source de duplication pour A A est source de duplication pour B

Réplication Active Ditrectory 12

KCC : Knowledge Consistency Checker

• La topologie de réplication détermine comment les informations

• L’objet connexion représente

Réplication Active Ditrectory 13

Objet NTDS Settings

• L’objet NTDS Settings du serveur représente l’Active Directory

KCC chemin maximum = 3 sauts

Réplication Active Ditrectory 14

KCC chemin maximum = 3 sauts

• Les administrateurs peuvent créer des objets connexions

Réplication Active Ditrectory 15

Forcer une réplication

Réplication Active Ditrectory 16

Défaillances de réplication intrasite