logo

Réplication d’Active Directory

Les administrateurs informatiques travaillent avec Active Directory depuis l’introduction de cette technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, à sa sortie en version RTM, le 15 décembre 1999.

Cette partie de notre didacticiel abordera les réplication d’Active Directory.

Réplication d’Active Directory

La réplication d’Active Directory est la méthode de transfert et de mise à jour des objets Active Directory d’un contrôleur de domaine à un autre.

Les connexions entre les contrôleurs de domaine sont établies en fonction de leur emplacement dans une forêt et un site. Chaque site d’Active Directory contient un ou plusieurs sous-réseaux, qui identifient la plage des adresses IP associées à ce site. En établissant une correspondance entre l’adresse IP d’un contrôleur de domaine et un sous-réseau, Active Directory sait quels contrôleurs de domaine se trouvent dans quel site. Des connexions sont configurées entre les différents sites pour garantir que les objets Active Directory sont répliqués d’un site à l’autre.

Technologies

Pour bien fonctionner, la réplication d’Active Directory repose sur les technologies suivantes :

  1. DNS
  2. Appel de procédure distante (RPC pour Remote procedure call)
  3. SMTP (optional)
  4. Kerberos
  5. LDAP

Principaux composants

La réplication d’Active Directory comporte quatre principaux composants :

  • Réplication à maîtres multiples

La réplication à maîtres multiples, par opposition à la réplication à maître unique utilisée dans Windows NT 4.0, garantit que chaque contrôleur de domaine peut recevoir des mises à jour pour les objets sur lesquels il fait autorité. Cela assure une tolérance aux défaillances dans un environnement Active Directory.

  • Réplication par réception

La réplication par réception garantit que les contrôleurs de domaine demandent des modifications d’objets, plutôt que les modifications soient transmises en mode Push (surtout si cela est inutile). La réplication par réception réduit légèrement le trafic de réplication entre les contrôleurs de domaine.

  • Réplication différée

La réplication différée garantit que chaque contrôleur de domaine communique avec un sous-ensemble de contrôleurs de domaine pour transférer les modifications apportées aux objets. En mode Stocker et transférer, chaque contrôleur de domaine communique avec tous les autres contrôleurs de domaine, ce qui est inefficace. La réplication différée permet d’équilibrer la charge de réplication entre les contrôleurs de domaine dans un environnement Active Directory.

  • Réplication basée sur l’état

La réplication basée sur l’état garantit que chaque contrôleur de domaine assure le suivi de l’état d’actualisation de la réplication, ce qui élimine les conflits et les réplications inutiles.

Gestion de la réplication

La réplication est gérée par le vérificateur de cohérence des données (Knowledge Consistency Checker – KCC).

Le KCC gère la réplication entre contrôleurs de domaine au sein d’un même site en utilisant des connexions créées automatiquement. Le KCC lit les données de configuration, et lit et écrit les objets de connexion pour les contrôleurs de domaine. Le KCC utilise uniquement le RPC pour communiquer avec le service d’annuaire.

La réplication intrasite n’utilise pas de compression, les modifications sont envoyées immédiatement aux contrôleurs de domaine. La réplication intersite repose sur des liens définis par l’utilisateur qui doivent être créés. Le KCC utilise ces liens pour créer une topologie, de manière à ce que la réplication soit gérée via les liens de site à site.

Les connexions aux sites peuvent être régulées selon un planning et les données de réplication sont compressées pour minimiser l’utilisation de bande passante. La durée de réplication par défaut pour les connexions de site à site est de 180 minutes, ce qui est généralement beaucoup trop long pour la grande majorité des organisations. Une durée minimale de 15 minutes peut être configurée dans l’interface graphique, et une durée encore plus courte peut être obtenue en modifiant le registre.

La taille d’un paquet de réplication est calculée d’après la quantité de RAM dans le contrôleur de domaine. Par défaut, la limite de taille des paquets est de 1/100ème de la RAM, avec un minimum de 1 Mo et un maximum de 10 Mo. De plus, le nombre maximum d’objets dans un paquet est de 1/1 000 000ème de la taille de la RAM système, avec un minimum de 100 objets et un maximum de 1000 objets. Par conséquent, pour les serveurs modernes disposant de plus de 1 Go de RAM, les paquets de réplication peuvent contenir jusqu’à 10 Mo de données ou jusqu’à 1000 objets. La taille maximale des paquets et la limite des objets peuvent être configurées en modifiant le registre à l’emplacement suivant : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters.

Principaux composants de réplication

Les principaux composants de réplication sont :

  • Vérificateur de cohérence des données (KCC – Knowledge Consistency Checker)

Le KCC est un processus qui s’exécute sur chaque contrôleur de domaine et communique directement avec Ntdsa.dll pour lire et écrire les objets de réplication.

  • Agent de système d’annuaire (DSA – Directory System Agent)

Le DSA est un service d’annuaire qui s’exécute sous la forme Ntdsa.dll sur chaque contrôleur de domaine. Il offre une interface permettant aux services et aux processus de lire la base de données de l’annuaire.

  •  Moteur de stockage extensible (ESE – Extensible Storage Engine)

L’ESE gère les enregistrements de la base de données de l’annuaire, qui peut contenir une ou plusieurs colonnes.

  • Appel de procédure distante (RPC – Remote Procedure Call)

La réplication d’annuaire est communiquée via le protocole RPC. RPC est un protocole de communication qui permet aux développeurs d’exécuter du code sur un système local ou distant sans avoir à développer un code spécifique pour l’exécution à distance. Le KCC utilise également RPC pour communiquer avec les contrôleurs de domaine afin de demander des informations lors de l’élaboration d’une topologie de réplication.

  • Générateur de topologie intersite (ISTG – Intersite Topology Generator)

L’ISTG gère les objets de connexion de réplication intersite entrants pour un site spécifique. Chaque site dispose d’un serveur ISTG. Par défaut, le premier contrôleur de domaine de chaque site est l’ISTG. Pour trouver l’ISTG dans un site nommé HQ dans un domaine nommé tailspintoys.com, exécutez la commande Windows PowerShell Get- ADObject -Identity « cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com » -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator.

Les objets Active Directory utilisés par le KCC et ses composants comprennent :

  • Sites

Les sites sont des objets Active Directory de la classe site, ils correspondent aux sous-réseaux d’un site donné.

  • Sous-réseaux

Les objets sous-réseaux font partie de la classe subnet , ils définissent le sous-réseau IP du réseau correspondant à un site.

  • Serveurs

Un objet serveur, dans la classe server, représente les ordinateurs serveurs, y compris les contrôleurs de domaine. Les objets serveurs sont traités comme des entités de sécurité, ils sont stockés sur une partition de répertoire distincte et ont des identificateurs globaux uniques (GUID) distincts.

  • Paramètres NTDS

Les objets paramètres NTDS font partie de la classe nTDSDSA, ils représentent une instance d’Active Directory sur un contrôleur de domaine spécifique.

  • Connexions

Les objets connexions font partie de la classe nTDSConnection, ils définissent un itinéraire à sens unique entrant d’un contrôleur de domaine source vers le contrôleur de domaine qui stocke l’objet connexion.

  • Liens de sites

Les objets liens de sites font partie de la classe siteLink, ils identifient le protocole et le planning de réplication des données entre deux ou plusieurs sites.

  • Paramètres de site NTDS

Les objets paramètres de site NTDS font partie de la classe nTDSSiteSettings et identifient les paramètres des sites pour Active Directory. Il n’y a qu’un seul objet paramètres de site NTDS par site dans le conteneur Sites.

  • Référence croisée

Les objets référence croisée appartiennent à la classe crossRef et stockent l’emplacement des partitions Active Directory dans le conteneur Partitions.

Le diagramme ci-dessous représente un environnement Active Directory typique à deux sites avec certains composants de réplication.

Commandes et outils de réplication

25 cmdlets PowerShell (depuis Windows Server 2012) permettent de gérer spécifiquement la réplication d’Active Directory. Ces cmdlets permettent de consulter des informations sur la réplication, de configurer les sites, de gérer les liens des sites et de forcer la réplication.

L’outil de ligne de commande RepAdmin.exe fournit également des informations et permet de configurer la réplication d’Active Directory.

Un autre outil de réplication est Active Directory Replication Status Tool. Il est disponible sur http://www.microsoft.com/en-us/download/details.aspx?id=30005. . Vous pouvez vous en servir pour analyser et résoudre les problèmes de réplication d’Active Directory.

Vous trouverez plus d’informations sur les bases d’Active Directory dans notre didacticiel AD pour débutants.

eBook gratuit : qu\\\\\\\'est-ce qu\\\\\\\'Active Directory ?
Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data security GDPR Insider threat IT compliance IT security Office 365 PowerShell SharePoint Windows Server
...