Concepts de réplication Active Directory
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Avant de concevoir la topologie de site, familiarisez-vous avec certains concepts de réplication Active Directory.
Connexion (objet)
Un objet de connexion est un objet Active Directory qui représente une connexion de réplication d’un contrôleur de domaine source à un contrôleur de domaine de destination. Un contrôleur de domaine est membre d’un seul site et est représenté dans le site par un objet serveur dans AD DS (Active Directory Domain Services). Chaque objet serveur a un objet Paramètres NTDS enfant qui représente le contrôleur de domaine de réplication dans le site.
L’objet de connexion est un enfant de l’objet Paramètres NTDS sur le serveur de destination. Pour que la réplication se produise entre deux contrôleurs de domaine, l’objet serveur de l’un de ces contrôleurs doit avoir un objet de connexion qui représente la réplication entrante à partir de l’autre contrôleur. Toutes les connexions de réplication pour un contrôleur de domaine sont stockées comme objets de connexion sous l’objet Paramètres NTDS. L’objet de connexion identifie le serveur source de la réplication, contient une planification de réplication et spécifie un transport de réplication.
Le vérificateur de cohérence des données (KCC, Knowledge Consistency Checker) crée automatiquement des objets de connexion, mais ceux-ci peuvent également être créés manuellement. Les objets de connexion créés par le KCC apparaissent dans le composant logiciel enfichable Sites et services Active Directory comme <générés automatiquement> et sont considérés comme adéquats dans des conditions de fonctionnement normales. Les objets de connexion créés par un administrateur sont des objets de connexion créés manuellement. Un objet de connexion créé manuellement est identifié par le nom attribué par l’administrateur au moment de sa création. Quand vous modifiez un objet de connexion <généré automatiquement>, vous le convertissez en objet de connexion modifié administrativement et l’objet apparaît sous la forme d’un GUID. Le KCC n’apporte pas de modifications aux objets de connexion manuels ou modifiés.
Vérificateur de cohérence des données
Le KCC est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et génère la topologie de réplication pour la forêt Active Directory. Le KCC crée des topologies de réplication distinctes selon que la réplication se produit au sein d’un site (intrasite) ou entre des sites (intersite). Le KCC ajuste également dynamiquement la topologie pour prendre en charge l’ajout de nouveaux contrôleurs de domaine, la suppression des contrôleurs de domaine existants, le déplacement de contrôleurs de domaine vers des sites et à partir de sites, les coûts et planifications changeants et les contrôleurs de domaine qui sont temporairement indisponibles ou dans un état d’erreur.
Au sein d’un site, les connexions entre contrôleurs de domaine accessibles en écriture sont toujours organisées en anneau bidirectionnel, avec des connexions de raccourci supplémentaires pour réduire la latence dans les grands sites. En revanche, la topologie intersite est une superposition d’arborescences couvrant plusieurs sites : une connexion intersite existe toujours entre deux sites pour chaque partition d’annuaire et ne contient généralement pas de connexions de raccourci. Pour plus d’informations sur ces arborescences et la topologie de réplication Active Directory, consultez Référence technique de la topologie de réplication Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
Sur chaque contrôleur de domaine, le KCC crée des routes de réplication en créant des objets de connexion entrante unidirectionnelle qui définissent des connexions à partir d’autres contrôleurs de domaine. Pour les contrôleurs de domaine du même site, le KCC crée automatiquement des objets de connexion sans intervention de l’administrateur. Quand vous avez plusieurs sites, vous configurez des liens de sites entre les sites et un seul KCC dans chaque site crée automatiquement des connexions entre les sites.
Améliorations du KCC pour les contrôleurs de domaine en lecture seule Windows Server 2008
Un certain nombre d’améliorations ont été apportées au KCC pour qu’il prenne en charge le contrôleur de domaine en lecture seule désormais disponible dans Windows Server 2008. Le déploiement de contrôleur de domaine en lecture seule en succursale est un scénario classique. La topologie de réplication Active Directory la plus couramment déployée dans ce scénario est basée sur une conception hub-and-spoke, dans laquelle les contrôleurs de domaine d’une succursale dans plusieurs sites se répliquent avec un petit nombre de serveurs tête de pont dans un site hub.
La réplication unidirectionnelle fait partie des avantages du déploiement de contrôleur de domaine en lecture seule. La réplication à partir du contrôleur de domaine en lecture seule ne nécessite pas de serveur tête de pont, ce qui allège l’administration et réduit l’utilisation du réseau.
Toutefois, sur les versions précédentes du système d’exploitation Windows Server, la topologie hub-and-spoke met en lumière un défi administratif : après l’ajout d’un nouveau contrôleur de domaine tête de pont au hub, il n’existe pas de mécanisme automatique permettant de redistribuer les connexions de réplication entre les contrôleurs de domaine de la succursale et ceux du hub pour tirer parti du nouveau contrôleur de domaine de hub.
Pour les contrôleurs de domaine en lecture seule Windows Server 2008, le fonctionnement normal du KCC offre un certain rééquilibrage. La nouvelle fonctionnalité est activée par défaut. Vous pouvez la désactiver en ajoutant l’ensemble de clés de registre suivant sur le contrôleur de domaine en lecture seule de domaine en lecture seule :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
« Random BH Loadbalancing Allowed »1 = Fonctionnalité activée (par défaut), 0 = Fonctionnalité désactivée
Pour plus d’informations sur le fonctionnement de ces fonctionnalités améliorées du KCC, consultez Planification et déploiement d’Active Directory Domain Services pour les succursales (https://go.microsoft.com/fwlink/?LinkId=107114).
Fonctionnalité de basculement
Les sites garantissent que la réplication est routée pour contourner les défaillances réseau et les contrôleurs de domaine hors connexion. Le KCC s’exécute à intervalles spécifiés pour ajuster la topologie de réplication en fonction des modifications qui se produisent dans AD DS, par exemple quand de nouveaux contrôleurs de domaine sont ajoutés et que des sites sont créés. Le KCC vérifie l’état de réplication des connexions existantes pour déterminer si certaines ne fonctionnent pas. Si une connexion ne fonctionne pas en raison d’un contrôleur de domaine défaillant, le KCC crée automatiquement des connexions temporaires avec d’autres partenaires de réplication (le cas échéant) pour garantir l’exécution de la réplication. Si tous les contrôleurs de domaine d’un site sont indisponibles, le KCC crée automatiquement des connexions de réplication entre les contrôleurs de domaine à partir d’un autre site.
Subnet
Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP logiques est affecté. Les sous-réseaux regroupent les ordinateurs de manière à identifier leur proximité physique sur le réseau. Les objets de sous-réseau dans AD DS identifient les adresses réseau utilisées pour mapper les ordinateurs aux sites.
Site
Les sites sont des objets Active Directory qui représentent un ou plusieurs sous-réseaux TCP/IP avec des connexions réseau très fiables et rapides. Les informations de site permettent aux administrateurs de configurer l’accès et la réplication Active Directory pour optimiser l’utilisation du réseau physique. Les objets de site sont associés à un ensemble de sous-réseaux et chaque contrôleur de domaine d’une forêt est associé à un site Active Directory selon son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites.
Lien de sites
Les liens de sites sont des objets Active Directory qui représentent des chemins logiques utilisés par le KCC pour établir une connexion pour la réplication Active Directory. Un objet de lien de sites représente un ensemble de sites pouvant communiquer dans le cadre d’un transport intersite spécifié avec un coût uniforme.
Tous les sites contenus dans le lien de sites sont considérés comme connectés avec le même type de réseau. Les sites doivent être liés manuellement à d’autres sites à l’aide de liens de sites pour que les contrôleurs de domaine d’un site puissent répliquer les modifications d’annuaire à partir de contrôleurs de domaine d’un autre site. Étant donné que les liens de sites ne correspondent pas au chemin réel emprunté par les paquets réseau sur le réseau physique pendant la réplication, vous n’avez pas besoin de créer des liens de sites redondants pour améliorer l’efficacité de la réplication Active Directory.
Quand deux sites sont connectés par un lien de sites, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques de chaque site, appelés serveurs tête de pont. Dans Windows Server 2008, tous les contrôleurs de domaine d’un site hébergeant la même partition d’annuaire peuvent être sélectionnés comme serveurs tête de pont. Les connexions de réplication créées par le KCC sont distribuées de manière aléatoire entre tous les serveurs tête de pont candidats d’un site pour partager la charge de travail de réplication. Par défaut, le processus de sélection aléatoire n’a lieu qu’une seule fois, quand les objets de connexion sont initialement ajoutés au site.
Pont lien de sites
Un pont lien de sites est un objet Active Directory qui représente un ensemble de liens de sites, dont tous les sites peuvent communiquer à l’aide d’un transport commun. Les ponts lien de sites permettent aux contrôleurs de domaine qui ne sont pas directement connectés avec un lien de communication de se répliquer entre eux. En règle générale, un pont lien de sites correspond à un routeur (ou à un ensemble de routeurs) sur un réseau IP.
Par défaut, le KCC peut former une route transitive via tous les liens de sites qui ont certains sites en commun. Si ce comportement est désactivé, chaque lien de sites représente son propre réseau distinct et isolé. Les ensembles de liens de sites qui peuvent être traités comme route unique se présentent sous la forme d’un pont lien de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau.
Les ponts lien de sites constituent un mécanisme permettant de représenter logiquement la connectivité physique transitive entre les sites. Un pont lien de sites permet au KCC d’utiliser n’importe quelle combinaison des liens de sites inclus afin de déterminer la route la moins coûteuse pour interconnecter les partitions d’annuaire contenues dans ces sites. Le pont lien de sites ne fournit pas de connectivité réelle avec les contrôleurs de domaine. Si le pont lien de sites est supprimé, la réplication sur les liens de sites combinés se poursuit jusqu’à ce que le KCC supprime les liens.
Les ponts lien de sites sont nécessaires uniquement si un site contient un contrôleur de domaine hébergeant une partition d’annuaire qui n’est pas également hébergée sur un contrôleur de domaine dans un site adjacent, mais qu’un contrôleur de domaine hébergeant cette partition d’annuaire se trouve dans un ou plusieurs autres sites de la forêt. Les sites adjacents se définissent comme deux sites ou plus inclus dans un même lien de sites.
Un pont lien de sites crée une connexion logique entre deux liens de sites. Pour cela, il fournit un chemin transitif entre deux sites déconnectés en utilisant un site intermédiaire. Pour les besoins du générateur de topologie intersite, le pont implique une connectivité physique à l’aide du site intermédiaire. Le pont n’implique pas qu’un contrôleur de domaine dans le site intermédiaire fournisse le chemin de réplication. Toutefois, ce serait le cas si le site intermédiaire contenait un contrôleur de domaine qui hébergeait la partition d’annuaire à répliquer. Un pont lien de sites ne serait alors pas nécessaire.
Le coût de chaque lien de sites est ajouté, ce qui crée un coût total pour le chemin résultant. Le pont lien de sites est utilisé si le site intermédiaire ne contient pas de contrôleur de domaine hébergeant la partition d’annuaire et s’il n’existe pas de lien moins coûteux. Si le site intermédiaire contenait un contrôleur de domaine hébergeant la partition d’annuaire, deux sites déconnectés configurent des connexions de réplication vers le contrôleur de domaine intermédiaire sans utiliser le pont.
Transitivité des liens de sites
Par défaut, tous les liens de sites sont transitifs ou « pontés ». Quand des liens de sites sont pontés et que les planifications se chevauchent, le KCC crée des connexions de réplication qui déterminent les partenaires de réplication du contrôleur de domaine entre les sites, où les sites ne sont pas directement connectés par des liens de sites, mais connectés de manière transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter n’importe quel site à n’importe quel autre site via une combinaison de liens de sites.
En général, pour un réseau entièrement routé, vous n’avez pas besoin de créer de ponts lien de sites, sauf si vous souhaitez contrôler le flux de changements de réplication. Si votre réseau n’est pas entièrement routé, vous devez créer des ponts lien de sites pour éviter les tentatives de réplication impossible. Tous les liens de sites pour un transport spécifique appartiennent implicitement à un même pont lien de sites pour ce transport. Le pontage par défaut pour les liens de sites se produit automatiquement et aucun objet Active Directory ne représente ce pont. Le paramètre Ponter tous les liens de sites dans les propriétés des conteneurs de transport intersite IP et SMTP (Simple Mail Transfer Protocol) implémente le pontage automatique de liens de sites.
Remarque
La réplication SMTP ne sera pas prise en charge dans les versions futures d’AD DS. Il n’est donc pas recommandé de créer des objets de lien de sites dans le conteneur SMTP.
Serveur du catalogue global
Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les objets de la forêt pour que les applications puissent effectuer des recherches dans AD DS sans faire référence à des contrôleurs de domaine spécifiques stockant les données demandées. Comme tous les contrôleurs de domaine, un serveur de catalogue global stocke des réplicas complets et accessibles en écriture des partitions d’annuaire de configuration et de schéma ainsi qu’un réplica complet et accessible en écriture de la partition d’annuaire de domaine pour le domaine qu’il héberge. En outre, un serveur de catalogue global stocke un réplica partiel en lecture seule de tous les autres domaines de la forêt. Les réplicas de domaine partiels en lecture seule contiennent tous les objets du domaine, mais uniquement un sous-ensemble des attributs (attributs les plus couramment utilisés pour la recherche de l’objet).
Mise en cache de l’appartenance aux groupes universels
La mise en cache de l’appartenance aux groupes universels permet au contrôleur de domaine de mettre en cache les informations d’appartenance aux groupes universels pour les utilisateurs. Vous pouvez activer les contrôleurs de domaine qui exécutent Windows Server 2008 pour mettre en cache les appartenances aux groupes universels à l’aide du composant logiciel enfichable Sites et services Active Directory.
L’activation de la mise en cache de l’appartenance aux groupes universels élimine la nécessité de disposer d’un serveur de catalogue global sur chaque site d’un domaine. Ceci réduit l’utilisation de la bande passante réseau, car un contrôleur de domaine n’a pas besoin de répliquer tous les objets situés dans la forêt. Ceci réduit également les temps d’ouverture de session, car les contrôleurs de domaine d’authentification n’ont pas toujours besoin d’accéder à un catalogue global pour obtenir des informations d’appartenance aux groupes universels. Pour plus d’informations sur l’opportunité d’utiliser la mise en cache de l’appartenance aux groupes universels, consultez Planification de l’emplacement du serveur de catalogue global.