Partager via

À propos des partitions d’annuaire d’applications

  • Article

Les développeurs qui utilisent ADSI ou LDAP pour stocker et accéder à des données relativement statiques et globales dans services de domaine Active Directory peuvent également préférer, par souci de simplicité et d’uniformité, continuer à utiliser l’accès ADSI ou LDAP pour leurs besoins en données dynamiques. Les données dynamiques changent plus fréquemment que ce qui a été recommandé pour le stockage dans services de domaine Active Directory. Les données dynamiques changent généralement plus fréquemment que la latence de réplication impliquée dans la propagation de la modification à tous les réplicas des données.

Dans Windows 2000, la prise en charge des données dynamiques est limitée. Le stockage de données dynamiques dans une partition de domaine peut être compliqué. Les données sont répliquées sur tous les contrôleurs de domaine du domaine, ce qui est souvent inutile et peut entraîner des données incohérentes en raison de la latence de réplication. Cela peut avoir un impact négatif sur les performances du réseau. En outre, les partitions de domaine ne sont pas efficaces pour les applications qui doivent répliquer des données au-delà des limites du domaine. Une autre option dans Windows 2000 consiste à stocker des données dynamiques dans des attributs marqués comme non répliqués. Toutefois, cette disposition est limitée en ce qu’elle a un point de défaillance unique, à savoir le contrôleur de domaine unique hébergeant la seule copie des attributs non répliqués de l’objet.

Les partitions d’annuaire d’applications permettent de contrôler l’étendue de la réplication et de permettre le placement des réplicas d’une manière plus adaptée aux données dynamiques. Par conséquent, la partition d’annuaire d’application offre la possibilité d’héberger des données dynamiques dans le serveur Active Directory, ce qui permet à ADSI/LDAP d’y accéder, sans affecter considérablement les performances réseau.

Le service DNS Windows 2000 est un exemple de service qui peut tirer parti des partitions d’annuaire d’applications. Dans Windows 2000, si le service DNS est éventuellement configuré pour utiliser services de domaine Active Directory, les données de zone DNS sont stockées dans le serveur Active Directory dans une partition de domaine. Autrement dit, les données sont répliquées sur tous les contrôleurs de domaine du domaine, qu’un serveur DNS soit configuré ou non pour s’exécuter sur le contrôleur de domaine. Il s’agit d’une instance où la réplication complète à l’échelle du domaine n’est pas nécessaire. En stockant les données de zone DNS dans une partition d’annuaire d’application, le service peut redéfinir l’étendue de la réplication uniquement pour ce sous-ensemble de contrôleurs de domaine dans le domaine qui exécute réellement le serveur DNS.

Envisagez les scénarios suivants pour l’hébergement d’une réplica d’une partition d’annuaire d’application :

  • Une réplica d’une partition d’annuaire d’application peut être créée sur n’importe quel système d’exploitation Windows Server 2003 et contrôleur de domaine ultérieur dans une forêt services de domaine Active Directory.
  • L’ensemble de contrôleurs de domaine qui hébergent les réplicas d’une partition d’annuaire d’application peut être spécifié. Contrairement à une partition de domaine, une partition d’annuaire d’application n’est pas requise pour être répliquée sur tous les contrôleurs de domaine d’un domaine, et elle peut être répliquée sur des contrôleurs de domaine dans différents domaines de la forêt.
  • Un contrôleur de domaine avec une partition d’annuaire d’application réplica peut coexister et fonctionner dans un environnement en mode mixte avec d’autres ordinateurs exécutant Windows 2000 ou Windows NT 4.0.

Les types de données qui peuvent être stockés dans une partition d’annuaire d’application sont les suivants :

  • Une partition d’annuaire d’application peut contenir des instances de n’importe quel type d’objet, à l’exception des principaux de sécurité, tels que des utilisateurs, des ordinateurs ou des groupes.
  • Les objets d’une partition d’annuaire d’application peuvent conserver des références de valeur DN à d’autres objets de la même partition d’annuaire d’application, aux objets dans les partitions de configuration et de schéma, et à n’importe quel en-tête de contexte de nommage (qui est l’objet supérieur d’une partition d’annuaire, tel que l’objet domainDNS en haut d’une partition d’annuaire d’application).
  • Pour plus d’informations et un exemple du type de données dynamiques pouvant être stockées dans une partition d’annuaire d’application, consultez Objets dynamiques. Les objets dynamiques sont pris en charge à partir de Windows Server 2003. Les objets dynamiques ont une propriété qui détermine la durée de vie, après laquelle l’objet est supprimé par le serveur Active Directory.

Voici quelques limitations des partitions d’annuaire d’applications :

  • Les objets d’une partition d’annuaire d’application ne peuvent pas conserver les références de valeur DN aux objets d’autres partitions d’annuaire d’applications ou partitions de domaine. (Les références de valeur DN sont des références persistantes à une valeur de nom unique telle que « CN=someuser,DC=corp,DC=Fabrikam,DC=com »). De même, les objets dans les partitions Domain, Configuration et Schema ne peuvent pas conserver les références de valeur DN aux objets d’une partition d’annuaire d’application. Une référence de valeur DN peut être conservée à l’en-tête du contexte d’affectation de noms. () )
  • Les objets d’une partition d’annuaire d’application ne sont pas répliqués dans le catalogue global. Comme avec n’importe quel contrôleur de domaine, un serveur de catalogue global peut également être configuré pour contenir une réplica complète d’une partition d’annuaire d’application, mais les données de partition d’annuaire d’application sont complètement distinctes des données du catalogue global.
  • Lorsqu’une partition d’annuaire d’applications réplica est créée, le rôle FSMO Domain-Naming doit se trouver sur l’un des contrôleurs de domaine de système d’exploitation Windows Server 2003 et ultérieur. Une fois la partition d’annuaire d’application réplica créée, le rôle FSMO de nommage de domaine peut être attribué à un contrôleur de domaine Windows 2000.
  • Les objets de partition d’annuaire d’applications ne peuvent pas être déplacés vers d’autres partitions Active Directory en dehors de la partition dans laquelle ils ont été créés.

D’autres fonctionnalités de partition d’annuaire d’applications sont les suivantes :

  • Le modèle de sécurité et de contrôle d’accès pour la partition d’annuaire d’application est identique à celui des autres partitions dans services de domaine Active Directory.
  • Les intervalles de temps qui contrôlent la latence de lancement d’une notification de modification d’origine aux partenaires de réplication au sein d’un site peuvent être configurés séparément pour chaque base de partition d’annuaire d’application.
  • Les partitions d’annuaire d’applications peuvent être nommées comme des domaines standard, attachées n’importe où dans l’espace de noms Active Directory où un domaine peut le faire et découvertes à l’aide de DNS, même par des systèmes Windows 2000 de bas niveau.
  • Une partition d’annuaire d’applications peut être créée, son étendue de réplication définie et ses paramètres configurables ajustés par programmation à l’aide des API LDAP et ADSI standard. Pour plus d’informations sur la manipulation par programme des partitions d’annuaire d’applications, consultez Partitions d’annuaire d’applications.