Module 

11
Gestion des sites et de la
réplication
Active Directory®
Vue d'ensemble du module
• Configuration des sites et des sous-réseaux

• Configuration du catalogue global et des partitions

d'application
• Configuration de la réplication
Leçon 1 : Configurer des sites et des sous-réseaux
• Fonctionnement des sites

• Planification des sites

• Création des sites

• Gestion des contrôleurs de domaine dans les sites

• Emplacement des contrôleurs de domaine :

enregistrements SRV
• Emplacement des contrôleurs de domaine : Client
Fonctionnement des sites
• Plus ou moins apparenté aux « sites » réseau
 Partie de votre entreprise à haut degré de connectivité

• Objets Active Directory qui prennent en charge

 La réplication
• Les modifications Active Directory doivent être répliquées sur tous les CD
• Certains CD peuvent être séparés par des liaisons lentes et coûteuses
• Compromis entre « coût » et convergence de la réplication
 La localisation des services
• CD (LDAP & Kerberos)
• Système de fichiers DFS
• Applications compatibles avec (les sites) Active Directory
• Recherche via la propriété Emplacement (p.ex., emplacement
d'imprimantes)
Planification des sites
• Les sites Active Directory ne permettent pas nécessairement un
mappage un à un avec les sites du réseau.
 Deux emplacements, bien connectés, peuvent correspondre à un
même site Active Directory
 Une grande entreprise sur un campus à haut degré de connectivité
(un « site ») peut être divisée en plusieurs sites Active Directory pour
la localisation des services
• Critères
 Vitesse de connexion : s'il est recommandé d'utiliser une liaison à
512 kbits/s, des liaisons peu rapides sont parfois utilisées (28 kbits/s)
 Placement des services : en l'absence de CD ou de services
compatibles avec Active Directory, un site ne présente pas beaucoup
d'intérêt
 Population d'utilisateurs : si le nombre d'utilisateurs justifie un CD,
envisagez d'utiliser un site
 Trafic de requêtes adressées à l'annuaire par les utilisateurs ou les
applications
 Souhait de contrôler le trafic de réplication entre les CD
Création des sites
• Sites et services Active Directory

• Premier-Nom-Site-Par-défaut
 Doit être renommé

• Créer un site
 Affecter à un lien de sites

• Créer un sous-réseau
 Affecter à un site
 Un site peut comporter plusieurs
sous-réseaux.
Un sous-réseau peut être associé à
un seul site.
Gestion des contrôleurs de domaine dans les sites
• Les CD doivent se trouver dans le site
approprié.
 Le conteneur SERVERS ne contient que
des CD, pas tous serveurs.

• Ajouter un CD à un site
 Le premier CD sera dans Premier-Nom-
Site-Par-défaut.
 Les autres CD seront ajoutés aux sites en
fonction de leur adresse de sous-réseau.
 DCPromo vous invite à indiquer le site.
 Vous pouvez cliquer du bouton droit sur le
conteneur Servers d'un site et créer au
préalable l'objet serveur avant de promouvoir le CD.

• Déplacer un CD vers un nouveau site : cliquez du bouton droit sur le contrôleur

de domaine, puis choisissez Déplacer.
• Supprimer un CD : cliquez du bouton droit sur le CD et choisissez Supprimer.
Emplacement des contrôleurs de domaine :
enregistrements SRV
• Les contrôleurs de domaine inscrivent des enregistrements SRV
dans le système DNS aux emplacements suivants :
 _tcp.contoso.com : tous les CD du domaine
 _tcp.NomSite._sites.contoso.com : tous les CD du site NomSite

• Les clients adressent des requêtes au système DNS pour

rechercher les contrôleurs de domaine.
 Emplacement des contrôleurs de domaine : Client
1. Un nouveau client demande tous
les contrôleurs du domaine.
 Récupère les enregistrements SRV
auprès de _tcp.domaine
2. Il tente d'établir une liaison LDAP
avec tous.
3. Le premier contrôleur de
domaine qui répond
 Examine l'IP du client et
les définitions de sous-réseau
 Renvoie le client à un site
4. Le client stocke le site dans le
Registre.
5. Un client demande tous les
contrôleurs de domaine du site.
 Récupère les enregistrements SRV
auprès de _tcp.site._sites.domaine
6. Il tente d'établir une liaison LDAP
avec tous.
7. Le premier contrôleur de domaine
qui répond
 Authentifie le client
 Le client établit une relation d'affinité.
8. Ensuite
 Le client établit une liaison avec le
contrôleur de domaine avec affinité.
 Le contrôleur de domaine est hors
connexion ? Le client demande les
contrôleurs de domaine du site stocké
dans le Registre.
 Le client est passé à un autre site ? Le
contrôleur de domaine renvoie le client
à un autre site
Atelier pratique A : Configurer des sites et des
sous-réseaux
• Exercice 1 : Configurer le site par défaut

• Exercice 2 : Créer des sites supplémentaires

Informations de connexion

Durée approximative : 30 minutes

Scénario de l'atelier pratique
• Vous êtes administrateur chez Contoso, Ltd. Vous vous préparez à
améliorer la localisation des services et la réplication Active
Directory dans votre entreprise. L'administrateur précédent n'a pas
modifié la configuration par défaut des sites et des sous-réseaux.
Vous souhaitez commencer par définir votre topologie physique
dans Active Directory.
Récapitulatif
• Vous avez un site composé de 50 sous-réseaux, chacun
avec une adresse de sous-réseau 10.0.x.0/24, et vous
n'avez pas d'autres sous-réseaux 10.0.x.0. Comment faire
pour faciliter l'identification des 50 sous-réseaux et les
associer à un site ?
• Pourquoi est-il important que tous les sous-réseaux soient
identifiés et associés à un site dans une entreprise à
plusieurs sites ?
Leçon 2 : Configurer le catalogue global et les
partitions d'application
• Examen des partitions Active Directory

• Fonctionnement du catalogue global

• Placement des serveurs de catalogue global

• Configuration d'un serveur de catalogue global

• Mise en cache de l'appartenance au groupe universel

• Fonctionnement des partitions d'annuaire d'applications

Examen des partitions Active Directory

Définitions et règles de
Maître d'opérations création et de manipulation
du schéma des objets et des attributs

Forêt
Informations sur la
structure Active Directory
Configuration

Informations sur les objets

Domaine spécifiques au domaine
Domaine
• Réplica complet (CD)

Base de données • Réplica en lecture seule (RODC)

Active Directory  N'inclut pas de secrets
 Réplique les mots de passe par stratégie
Fonctionnement du catalogue global
Maître d'opérations • Le catalogue global héberge un
jeu d'attributs partiel pour les
du schéma

Configuration autres domaines de la forêt

Domaine A • Prend en charge les requêtes
de recherche d'objets dans
Maître d'opérations du
schéma toute la forêt

Configuration
Maître d'opérations
du schéma
Domaine A
Configuration
Domaine B
Domaine B

Serveur de
catalogue global
Maître d'opérations
du schéma

Configuration

Domaine B
Emplacement des serveurs GC
• Conseil : faire de chaque CD un CG

• En particulier
 Si une application dans un site interroge le CG (port 3268)
 Si un site comporte un serveur Exchange
 Si une connexion à un CG d'un autre site s'avère lente/peu fiable

Maître d'opérations
Maître d'opérations du du schéma
schéma

Configuration
Configuration

Domaine A
Domaine A

Créer un CG ?
Domaine B Domaine B

SIÈGE SOCIAL BRANCHA

Configuration d'un serveur GC
• Cliquez du bouton droit sur le nœud Paramètres NTDS
sous le CD.
Mise en cache des appartenances à un groupe
universel
• Appartenance au groupe universel répliquée dans le CG
 Ouverture de session normale : jeton de l'utilisateur créé à partir des groupes
universels du CG
 CG non disponible à l'ouverture de session : Le CD refuse l'authentification
• Si chaque CD est un CG, ce problème ne se pose pas
• Si la connectivité à un CG n'est pas fiable
 Les CD peuvent mettre en cache l'appartenance au GU d'un utilisateur lorsque
celui-ci ouvre une session.
 Si, par la suite, le CG n'est pas disponible : l'utilisateur est authentifié avec les
groupes universels mis en cache
• Dans les sites où la connectivité au CG n'est pas fiable : activer la mise en
cache de l'appartenance au groupe universel
• Cliquez du bouton droit sur Paramètres NTDS pour le site  Propriétés
 Active la mise en cache de l'appartenance au groupe universel pour tous les CD
du site
Fonctionnement des partitions de l'annuaire
d'applications
• Prennent en charge une application
Maître d'opérations
spécifique
du schéma
• Ciblées sur des CD spécifiques
Configuration
• Gérées à l'aide de l'outil
Domaine A
d'administration de l'application : ex :
Gestionnaire DNS
Maître d'opérations du
schéma
DNS • Tenez compte des partitions
d'application avant de rétrograder un
CD
Configuration
Maître d'opérations
du schéma
Domaine A
Configuration
Domaine B
Domaine B

DNS

Maître d'opérations
du schéma

Configuration

Domaine B
Atelier pratique B : Configurer le catalogue global
et les partitions d'application
• Exercice 1 : Configurer un catalogue global

• Exercice 2 : Configurer la mise en cache de l'appartenance

au groupe universel
• Exercice 3 : Examiner le système DNS et les partitions de
l'annuaire d'applications

Informations de connexion

Durée approximative : 30 minutes

Scénario de l'atelier pratique
• Vous êtes administrateur chez Contoso, Ltd. Dans le cadre
de l'amélioration de la disponibilité et de la résilience du
service d'annuaire, vous décidez de configurer des
serveurs de catalogue global supplémentaires et la mise
en cache de l'appartenance au groupe universel. Vous êtes
également intéressé par la relation entre les zones DNS
intégrées à Active Directory et les partitions d'application
DNS.
Récapitulatif
• Décrivez la relation qui existe entre les enregistrements
que vous avez affichés dans l'Éditeur ADSI et ceux
affichés dans le Gestionnaire DNS.
• Quand vous avez examiné les enregistrements DNS du
domaine _tcp.BRANCHA._sites.contoso.com, quel
contrôleur de domaine inscrivait les enregistrements SRV
dans le site ? Expliquez pourquoi.
Leçon 3 : Configurer la réplication
• Fonctionnement de la réplication Active Directory

• Réplication intrasite

• Liens de sites

• Protocoles de transport de la réplication

• Serveurs tête de pont

• Transitivité et ponts lien de sites

• Contrôler la réplication intersite

• Surveiller et gérer la réplication

Fonctionnement de la réplication Active Directory
• Jeu d'équilibrisme de la réplication multimaître : « faible interdépendance »
 Précision (intégrité)
 Cohérence (convergence)
 Performances (maintenir le trafic de réplication à un niveau raisonnable)

• Principales caractéristiques de la réplication Active Directory

 Réplication multimaître
 Réplication par réception
 Réplication différée
 Partitions
 Génération automatique d'une topologie de réplication efficace et robuste
 Réplication au niveau des attributs
 Contrôle distinct de la réplication intrasite et intersite
 Détection et gestion des collisions
Réplication intrasite
• Objet de connexion : réplication entrante vers un CD
• Le Vérificateur de cohérence de connaissances (KCC) crée une topologie
 Topologie efficace (trois sauts maximum) et robuste (bidirectionnelle)
 S'exécute automatiquement, mais vous pouvez « Vérifier la topologie de réplication »
 Peu de raisons de créer des objets de connexion manuellement
• Les maîtres d'opérations de secours doivent être connectés à des maîtres
• Réplication
 Notification : le CD indique à ses
partenaires en aval qu'une modification CD1 CD3
est disponible (15 secondes)
 Interrogation : le CD vérifie auprès
de ses partenaires en aval (1 heure)
s'il existe des modifications
CD2
 L'agent de réplication d'annuaire (DRA) du CD en aval réplique les modifications
 Les modifications apportées à toutes les partitions détenues par les deux CD sont
répliquées
Liens de site
• Le Générateur de topologie intersite (ISTG) construit la
topologie de réplication entre les sites.
• Liens de sites
 Ils contiennent des sites
 Dans un lien de sites, un objet de connexion peut être créé
entre deux CD, quels qu'ils soient
 Ils ne sont pas forcément adaptés à votre topologie réseau !
Protocoles de transport de la réplication
• Directory Service Remote Procedure Call (DS-RPC)
 Apparaît en tant que protocole IP dans les sites et les services Active
Directory
 Protocole par défaut et privilégié pour la réplication intersite

• Protocole ISM-SMTP (Inter-Site Messaging—Simple Mail Transport

Protocol)
 Apparaît en tant que protocole SMTP dans les sites et les services Active
Directory
 Rarement utilisé dans la réalité
 Nécessite une autorité de certification
 Ne peut pas répliquer le contexte d'appellation de domaine (uniquement le
schéma et la configuration)
 Tout site utilisant le protocole SMTP pour la réplication doit se trouver dans
un domaine distinct au sein de la forêt
Serveurs tête de pont
• Les modifications sont répliquées à partir des têtes de pont de tous les
autres sites
• Interrogés à propos des modifications par les têtes de pont de tous les
autres sites
• Sélectionnés automatiquement par le Générateur de topologie intersite
(ISTG)
• Vous pouvez également configurer des serveurs tête de pont privilégiés
 Considérations concernant les pare-feu
 Considérations de performances
Contrôle de la réplication intersites
• Coût des liens de sites
 La réplication utilise les connexions les plus économiques

• Réplication
 Notifications désactivées par défaut. Les têtes de pont ne notifient pas les
partenaires
 Interrogation. La tête de pont en aval interroge les partenaires en amont
• Par défaut : 3 heures
• Minimum : 15 minutes
• Recommandé : 15 minutes
 Planifications de la réplication
• 24 H/24
0
• Planification possible 10 10
0

300
100
 Tableau blanc : Réplication
TP
RODC Filiale
Sous-
réseau IP Site D
Sous-
réseau IP Sous-
réseau IP

Sous- TP
réseau IP Sous-
réseau IP

Site B

Pont entre liens de sites

TP TP

Site A Site C
Sous- Sous-
réseau IP réseau IP
Surveillance et gestion de la réplication
• RepAdmin
 repadmin /showrepl hqdc01.contso.com
 repadmin /showconn hqdc01.contoso.com
 repadmin /showobjmeta hqdc01 "cn=Linda Miller,ou=…"
 repadmin /kcc
 repadmin /replicate hqdc02 hqdc01 dc=contoso,dc=com
 repadmin /syncall hqdc01.contoso.com /A /e

• DCDiag /test:NomTest
 FrsEvent ou DFSREvent
 Intersite
 KccEvent
 Réplications
 Topologie
Atelier pratique C : Configurer la réplication
• Exercice 1 : Créer un objet de connexion

• Exercice 2 : Créer des liens de sites

• Exercice 3 : Déplacer des contrôleurs de domaine dans

des sites
• Exercice 4 : Désigner un serveur tête de pont privilégié

• Exercice 5 : Configurer la réplication intersite

Informations de connexion

Durée approximative : 30 minutes

Scénario de l'atelier pratique
• Vous êtes l'administrateur de Contoso, Ltd. Vous souhaitez
optimiser la réplication d'AD DS en l'alignant sur la
topologie de votre réseau et sur les rôles de contrôleur de
domaine et leur emplacement.
Récapitulatif
• Expliquez la signification du message d'avertissement qui s'est
affiché lorsque vous avez désigné HQDC02 comme serveur tête
de pont privilégié.
• Quels sont les avantages de la réduction de l'intervalle de
réplication intersite ? Quels en sont les inconvénients ?
• La topologie de réplication Hub and Spoke garantit que toutes les
modifications des filiales seront répliquées d'abord dans le site du
siège social avant de l'être dans les autres filiales. La procédure
que vous avez exécutée dans l'exercice 2 est-elle suffisante pour
créer une topologie de réplication Hub and Spoke ? Si elle est
insuffisante, que manque-t-il encore ?