Professional Documents
Culture Documents
Avec chaque objet, sont stockes des informations et des proprits qui permettent deffectuer par exemple des recherches plus prcises (emplacement dune imprimante).
Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort, selon les exigences pour les noms de domaine. Une arborescence est un ensemble de domaines partageant un nom commun. Par exemple, supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine martinique.supinfo.lan. La relation dapprobation entre un domaine enfant et son domaine parent est de type bidirectionnel transitif.
Une relation bidirectionnelle permet deux domaines de sapprouver mutuellement. Ainsi le domaine A approuve le domaine B et le domaine B approuve le domaine A. On dispose de trois domaines nomms A, B et C. A approuve B et B approuve C. La relation dapprobation transitive implique donc que A approuve C.
Par dfaut, les relations entre les arborescences ou les domaines au sain dune fort sont des relations dapprobation bidirectionnelles transitives. Il est possible de crer manuellement des relations dapprobation entre deux domaines situs dans deux forts diffrentes. De plus Windows Server 2003 propose un niveau fonctionnel permettant de dfinir des relations dapprobations entre diffrentes forts.
La rplication Active Directory peut utiliser deux protocoles diffrents : IP pour les liaisons intra site. RPC pour les liaisons inter site. SMTP pour les liaisons inter site.
Voici la configuration requise pour pouvoir installer Active Directory : Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. Attention, le service dannuaire Active Directory ne peut pas tre install sur Windows 2003 Server Web Edition. 250 Mo despace libre sur une partition ou un volume NTFS Les paramtres TCP/IP configur pour joindre un serveur DNS Un serveur DNS faisant autorit pour grer les ressources SRV Des privilges administratifs suffisants pour crer un domaine
Vous pouvez afficher les serveurs DNS faisant autorit pour un domaine donn en tapant la commande nslookup -type=ns nom.du.domaine.
nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse IP de labo 2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire fournir le nom dune machine partir de ladresse IP qui lui est communique. Convention de dnomination : Active Directory emploie les conventions de dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de domaine DNS et/ou un nom de domaine Windows 2000. Localisation des composants physiques dActive Directory : Le systme DNS identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent comme lauthentification dune connexion ou la recherche dinformations dans Active Directory.
Lors de louverture dune session, une machine cliente doit sadresser un contrleur de domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun de ces contrleurs de domaine.
Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant rfrences tous les contrleurs de domaine de la fort. Ce sont ces enregistrements qui permettent aux ordinateurs clients de connatre lemplacement des contrleurs de domaine. De plus ces enregistrements sont aussi utiliss par le processus de rplications. Le sous domaine _mstsc permet notamment de trouver les contrleurs de domaine ayant un rle de matre dopration (exemple : mulateur PDC).
Le niveau fonctionnel par dfaut dun domaine est Windows 2000 mixte. Il existe deux autres niveaux fonctionnels disponibles sous Windows 2003 Server. Voici leurs caractristiques : Windows 2000 mixte : supporte les groupes universels et les imbrications de groupes Windows 2000 natif : supporte les groupes de conversion et lhistorique SID Windows Server 2003 : supporte le changement du nom dun contrleur de domaine, la mise jour du cachet d'ouverture de session, le numro de version des cls Kerberos KDC et un mot de passe utilisateur sur l'objet InetOrgPerson.
Ainsi, pour augmenter le niveau fonctionnel dun domaine vers le niveau Windows Server 2000 natif, il faudra imprativement effectuer une mise jour du systme dexploitation de tous contrleurs de domaine du domaine ou de la fort fonctionnant avec Windows NT 4.0 ou une version antrieure. De plus, une fois le niveau fonctionnel du domaine augment, les contrleurs de domaine excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine Windows Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts ce domaine.
10
Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut accder toutes les ressources du domaine A et du domaine B. Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B peut accder toutes les ressources du domaine B et du domaine C.
Si les deux relations dapprobations de A B et de B C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accder toutes les ressources du domaine A, du domaine B et du domaine C. Si les deux relations dapprobations de A B et de B C ne sont pas transitives, alors le domaine A napprouve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne peut pas accder aux ressources du domaine C.
11
Lors de la cration dune relation dapprobation manuelle sous Windows Server 2003, trois directions dapprobation diffrentes sont utilisables. Si vous avez configur une relation dapprobation unidirectionnelle entrante entre le domaine A et le domaine B, alors les utilisateurs du domaine A peuvent tre authentifis dans le domaine B.
Si vous avez configur une relation dapprobation unidirectionnelle sortante entre le domaine A et le domaine B, alors les utilisateurs du domaine B peuvent tre authentifis dans le domaine A.
Si vous avez configur une relation dapprobation bidirectionnelle entre le domaine A et le domaine B, alors les utilisateurs de chaque domaine peuvent tre authentifis dans les deux domaines.
12
Approbation parent-enfant Une approbation parent-enfant est une relation dapprobation bidirectionnelle transitive. Elle est automatiquement cre lorsquun nouveau domaine est ajout une arborescence. Dans lexemple ci-contre, on ajoute le sous domaine paris.supinfo.lan lintrieur du domaine supinfo.lan. Les deux domaines sont automatiquement relis par une relation parent-enfant. Ainsi les utilisateurs du domaine supinfo.lan peuvent tre authentifis dans le domaine paris.supinfo.lan et vice-versa.
13
Approbation raccourcie Une approbation raccourcie est une relation dapprobation partiellement transitive. Elle doit tre dfinie manuellement ainsi que sa direction. Les relations dapprobation raccourcie permettent de rduire les sauts de lauthentification Kerberos. En effet, si un utilisateur du domaine martinique.supinfo.lan souhaite sauthentifier dans le domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une approbation racine/arborescence. Lapprobation raccourcie permet donc dacclrer lauthentification inter-domaine.
Approbation externe Une approbation externe est une relation dapprobation non transitive. Elle doit tre cre manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle. Lapprobation externe permet de relier des domaines appartenant d eux forts distinctes.
14
Approbation de domaine Une approbation de domaine est une relation dapprobation dont la transitivit et la direction doivent tre paramtres par ladministrateur. Lapprobation de domaine permet de relier un domaine sous Active Directory avec un domaine Kerberos non Microsoft.
Approbation de fort Une approbation de fort permet de relier lintgralit des domaines de deux forts. Les approbations de fort et leurs directions doivent tre dfinies manuellement. Les deux forts doivent imprativement utiliser le niveau fonctionnel de fort Windows Server 2003. Il ny a pas de transitivit entre les forts.
15
objOU.SetInfo
16
17
On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de rinitialiser les mots de passe sur les objets de compte dutilisateur de lUO, ).
18
19
La mise jour effectue sur le second contrleur peut aussi tre duplique sur un troisime contrleur de domaine. Le processus de duplication nintervient quentre deux contrleurs de domaine la fois. Aprs avoir apport une modification sur un contrleur de domaine, un temps de latence (par dfaut 5 minutes) est observ avant denvoyer un message de notification au premier partenaire de rplication. Chaque partenaire direct supplmentaire est inform 30 secondes (valeur par dfaut) aprs la rception de la notification. Lorsquun partenaire de rplication est inform dune modification apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification. Dans certains cas, la notification de changement est immdiate, ainsi que la duplication. Cest le cas lors de la modification dattributs dobjets considrs comme critiques du point de vue scurit (par exemple, la dsactivation dun compte). On parle alors de duplication urgente. Toutes les heures (valeur par dfaut paramtrable), si aucune modification na t apporte la base Active Directory, un processus de duplication est lanc. Ceci, pour sassurer que la copie de la base de donnes Active Directory est identique sur tous les contrleurs de domaine.
Pour que les dateurs soient justes, il est impratif que toutes les horloges des contrleurs de domaine soient synchronises. Dans le cas contraire il y a un risque de perte de donnes dans lannuaire ou que ce dernier soit endommag. On dnombre trois types de conflits potentiels : Valeur dattribut : il survient lorsque lattribut dun objet est modifi sur diffrents contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi ayant la plus grande valeur de cachet. Lajout ou le dplacement dun objet dans un conteneur supprim : ce conflit intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine. La duplication nayant pas eu lieu, cette suppression na pas encore t prise en compte par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets orphelins dans le conteneur LostAndFound.
20
Nom parent : ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit est rsolu par le changement de nom de lobjet ayant le cachet le moins important.
21
Lutilitaire Rplication Monitor Active Directory permet de visualiser les partenaires de rplication transitifs.
En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au fonctionnement dActive Directory (trafic de duplication et de connexion). Ceci permet de limiter
22
lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un simple modem 56K.
Voici les tapes importantes qui sont ralises lorsquun utilisateur sauthentifie sur le domaine : 1. Lutilisateur entre des informations didentification (son identifiant, son mot de passe ainsi que le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre du domaine afin douvrir une session. 2. Ces informations didentification sont cryptes par le centre de distribution de clefs ou KDC (pour Key distribution Center), puis envoyes lun des contrleurs de domaine du domaine de lordinateur client. 3. Le contrleur de domaine compare les informations didentification cryptes du client avec celles se trouvant sur Active Directory (les informations stockes dans le service dannuaire Active Directory qui sont cryptes nativement). Si les informations concordent alors le processus continue, sinon il est interrompu. 4. Le contrleur de domaine cre ensuite la liste de tous les groupes dont lutilisateur est membre. Pour cela, le contrleur de domaine interroge un serveur de catalogue global. 5. Le contrleur de domaine fournit ensuite au client un ticket daccord ou TGT (Ticket Granting Ticket). Le TGT contient les identificateurs de scurit ou SID (Security Identifier) des groupes dont lutilisateur est membre (Un TGT expire au bout de 8 heures ou bien quand lutilisateur ferme sa session). 6. Une fois que lordinateur client a reu le TGT, lutilisateur est authentifi et peut tenter de charger sont profil et daccder aux ressources du rseau. Si le serveur de catalogue global nest pas joignable, le processus dauthentification est mis en chec. En effet, le contrleur de domaine ne peut pas obtenir les SID des groupes dont lutilisateur est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le contrleur de domaine nmet pas de TGT et lutilisateur ne peut pas ouvrir sa session.
24
Si le serveur de catalogue global est indisponible, alors le processus dautorisation ne peut pas se poursuivre et lutilisateur ne peut pas accder la ressource.
Lorsquun utilisateur du site Martinique tente douvrir sa session pour la premire fois, il contacte le contrleur de domaine qui va lui-mme contacter le serveur de catalogue global (GS sur le schma) afin de rcuprer les SIDs des groupes dont lutilisateur est membre. Le contrleur de
25
domaine va ensuite mettre en cache les informations quil a reues du serveur de catalogue global pendant une dure de 8 heures (dure par dfaut). La mme opration (mise en cache) est effectue lors du premier accs de lutilisateur une ressource partage. Si lutilisateur se logge de manire rcurrente sur le domaine ou bien si il accde rgulirement des partages rseaux, le contrleur de domaine du site Martinique utilise les informations situes dans son cache. Cela offre trois grands avantages : Les authentifications des utilisateurs et les accs aux ressources du rseau sont moins dpendantes de la liaison WAN. Le trafic dauthentification et dautorisation au niveau de la liaison WAN utilise peu de bande passante. La rsolution de lappartenance au groupe universel est plus rapide puisque le contrleur de domaine possde les informations ncessaires en local.
Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine. Ce qui implique sil y a plusieurs domaines dans une fort, autant de matres doprations pour les trois derniers rles, que de domaines. Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.
26
En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents dans la fort.
Autres Rles : Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se peut que la rplication du changement de votre mot de passe nait pas encore t effectue. Dans ce cas, le DC qui vrifie votre mot de passe va demander lmulateur CPD si votre mot de passe na pas t chang avant de vous refuser laccs. Synchroniser lheure de tous les DC en fonction de son horloge. Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se fait sur ce DC.
La dfaillance est la plus handicapante : Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront plus sauthentifier. Perte de la diminution de latence pour la mise jour des mots de passe. Eventuelle perte de synchronisation horaire entre les contrleurs.
Le moteur de la base de donne Active Directory est nomm ESE (Extensive Storage Engine)
28
dure de vie dsactive (par dfaut 60 jours), le processus de nettoyage de la mmoire le supprimera.
Une restauration force est utile dans le cas ou vous avez effac des objets dans Active Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC. Une restauration non force, est une restauration dite normale toutes les modifications faites depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs. La restauration principale doit tre utilise uniquement lorsque les donnes contenues dans tous les contrleurs de domaine du domaine sont perdues. Une restauration principale reconstruit le premier contrleur de domaine partir de la version sauvegarde. Utilisez ensuite la restauration normale sur les autres contrleurs de domaine. Ce mode doit tre utilis lorsquil nexiste aucune autre manire de reconstruire le domaine. En effet, toutes les modifications postrieures la sauvegarde sont perdues.
29