Introduction

Les chapitres suivent un cheminement précis, de ce fait, il vous faudra par exemple obligatoirement définir le type et nombre de forêts à mettre en place, avant de passer à la conception des domaines.

Il va de soit, qu'il n'est pas possible de définir ici toutes les possibilités d'infrastructures à mettre en place, en particulier celles devant s'interfacer sur un existant hétérogène ou non-microsoft, toutefois les bases proposées ici devraient vous permettre de moduler votre architecture finale en fonction de vos contraintes ainsi que de celles nécessaires à l'évolutivité et la stabilité d'un environnement Windows.

1. Etude de l'existant

La première étape est de déterminer les serveurs susceptibles de passer à Windows 2003 afin de permettre une architecture plus performante et adéquate aux besoins de l'entreprise et aux attentes des utilisateurs.

Problématique

Apporter une évolution profonde à l'architecture système, en prenant compte des objectifs à court et moyen terme tout en se focalisant sur les contraintes de la société et ses différentes filiales éventuelles.

1.1. Une architecture qui suive l'évolution de l'entreprise en France et à l'international.

Prévoir une architecture logique reposant sur le regroupement des collaborateurs par corps de métier par accès restreint aux ressources uniquement nécessaires.

Faciliter l'action des employés mobiles afin qu'ils puissent disposer de leurs ressources où qu'ils soient, de façon sécurisée et transparente pour eux.

Intégrer la maison mère et ses filiales à l'international sans volonté impossible d'administration totalement centralisée mais en offrant un accès aux ressources du groupe disponibles sur l'un ou l'autre des réseaux.

1. 2 Une architecture évolutive à moindre coût.

Migration vers un système à base d'annuaire d'entreprise, pouvant être intégré à l'architecture actuelle sans modification majeure de celle-ci ni prise en main fastidieuse pour les utilisateurs.

Intégration et déploiement de progiciels souple et rapide, sans répercutions sur l'activité quotidienne des collaborateurs en limitant les ralentissements éventuels du réseau.

Prise en charge des nouvelles technologies réseau et télécoms à moindre coût financier et humain.

2. état de l'art

De nombreuses nouveautés apparaissent sous Windows 2003, les principales améliorations par rapport à NT4 sont les suivantes.

2.1. Active directory

Le service annuaire simplifie l'administration des annuaires des réseaux complexes et la localisation des ressources. Evolutif, il repose sur les technologies standards d'Internet. Il présente de plus des fonctions inédites comme l'approbation entre forêts, la possibilité de renommer un domaine, et la désactivation d'attribut et de classes dans le schéma afin de permettre la modification de leurs définitions.

2.2 Stratégies de groupe

L'emploi de la stratégie de groupe définie les paramètres à autoriser ou interdire, pour les utilisateurs et les ordinateurs. Elle applique des règles à l'ensemble d'un site, d'un domaine, ou d'une unité d'organisation (OU). L'utilisation de plusieurs stratégies simplifie l'homogénéisation des systèmes, leur mise à jour, l'installation déployée.

2.3 Performance des serveurs

Optimisé sur le plan de la vitesse par rapport aux précédentes versions Windows pour serveur, Windows 2003 est par exemple deux fois plus rapide que NT 4 en tant que serveur de fichier et serveur Web sur une configuration équivalente.

2.4 Clichés instantanés de volumes

Cette fonction permet d'effectuer des copies de volumes entiers sans interruption de service, permettant des sauvegardes et restauration sans arrêt de l'exploitation, même si des fichiers sont ouverts ou en lecture seule. Les utilisateurs peuvent eux-mêmes restaurer des versions archivées de leurs documents. La productivité en est largement améliorée par le fait que l'utilisateur peut facilement récupérer un document effacé ou corrompu.

2.5 IIS 6.0

Entièrement réécrit autour d'un nouveau modèle de gestions de processus à tolérance de panne, isolant mes applications dans un processus autonome. Cela améliore le débit tout en allégeant la charge du serveur. Par ailleurs, IIS est dorénavant équipé de dispositifs de surveillance permettant de prévoir les pannes dans les applications Web et de redémarrer automatiquement le cas échéant.

2.6 Cluster à huit nouds

Ce service permet d'obtenir un très haut niveau de disponibilité pour les applications critiques. Si un noud de serveurs tombe, un autre prend automatiquement le relais, c'est ce que l'on appelle basculement . Les utilisateurs quant à eux continuent à travailler sans détecter de problème.

2.7 Structure cryptographique à clé publique et Kerberos 5

Grâce aux services de certificats, l'entreprise peut déployer sa propre PKI. Permettant ainsi une mise en ouvre de technologies standards comme authentifications par carte à puce, authentification cliente par SSL/TLS ou connexions sécurisées par IPSec. Les administrateurs peuvent créer des autorités qui émettent ou révoquent les certificats X.509.

Kerberos quant à lui est un protocole d'authentification standard, fiable et sécurisé qui correspond à l'authentification par défaut de Windows 2003 et remplace le NTLM de NT 4.

2.8 Gestion à la ligne de commande

De nombreux utilitaires sont disponibles en ligne de commande, et exécutent les taches d'administration sans GUI. Ceci permet à l'instar d'un système Unix, de créer des scripts exploitant les informations fournies par WMI

2.9 Systèmes de fichiers intelligents

EFS crypte automatiquement les données des fichiers et répertoires de façon transparente pour l'utilisateur. Il protège ainsi ceux ci d'un accès malveillant d'un autre utilisateur ou système d'exploitation.

DFS simplifie la gestion de disques partagés en fondant plusieurs répertoires ou disques en un seul nom logique.

FRS améliore le processus de réplication, permettant une réplication multimaître entre des domaines et serveurs précis. Avec DFS, ils synchronisent automatiquement les contenus entre répliquas

3. Topologie logique

Avant toute chose, analysons les différents éléments à prendre en compte sur le papier. Une structure d'annuaire de groupe ne pouvant se déployer qu'après avoir vu les différents éléments logiques et physiques composant un service annuaire, leurs avantages et leurs contraintes.

3.1 Forêts

Une forêt est une suite de domaines ou d'arborescences de domaines sous Active Directory. Elle a une double utilité : simplifier l'interaction de l'utilisateur avec l'annuaire et simplifier l'administration de domaines multiples. Elle dispose toutefois de certaines règles caractéristiques à implémenter.

3.1.a Les composants d'une forêt :
Un schéma unique

Le schéma défini les classes d'objet et les attributs de celles ci, pouvant être créés dans l'annuaire. Le schéma est répliqué à chaque contrôleur de domaine de la forêt.

De ce fait, il faudra penser que les applications modifiant le schéma modifieront celui de tout domaine de la forêt. Ainsi si une filiale installe un serveur messagerie Exchange 2000, celui ci modifiant le schéma, tous les domaines subiront une altération de leur schéma ce qui peut poser de gros problèmes de compatibilité voir des dommages irréparables à la totalité de la structure.

Un conteneur de configuration unique

Le conteneur de configuration est répliqué sur touts les contrôleurs de la forêt. Les applications gérant les services annuaire stockent leurs informations dans ce conteneur, et s'appliquent à la forêt toute entière. De même que le schéma, un conteneur modifié dans un domaine le sera dans tous les autres. De ce fait, il est important de savoir quelle application va modifier le conteneur.

Une confiance totale

Active Directory crée des relations d'approbation transitives et bidirectionnelles automatiquement entre les domaines de la forêt. Ainsi les utilisateurs et groupes de tout domaine peuvent être reconnu pour tout serveur membre de la forêt et être inclus dans des groupes ou ACLs. Grand avantage d'une topologie d'annuaire, ceci permet aux domaines d'une même forêt d'avoir des liaisons créées automatiquement et de façon beaucoup plus fiable que sous NT 4.

Un catalogue global unique

Le catalogue global contient une copie de tout objet de tous les domaines de la forêt mais seulement une portion des attributs de chacun. Ceci permet des recherches rapides et efficaces sur la forêt tout entière.

Il va sans dire que le catalogue global doit être une machine puissante, puisque point d'accès vers un domaine de tous les domaines de la forêt, suivant son utilisation, il faudrait peut être même en disposer d'un autre pour assurer la tolérance de panne.

Note : le facteur ADAM et son potentiel n'est pas traité dans ce guide, pour plus d'informations sur "Application Mode", veuillez vous rendre sur la section du site de Microsoft qui lui est consacré

3.1.b planification de la forêt

Les contraintes liées à l'organisation d'une entreprise et aux composants de forêt vus plus hauts permettent de tirer les grands fils directeur du plan de forêt.

Ex :

•  La maison mère garde la main sur le réseau de la filiale 1.
•  La filiale 2 a son propre réseau, administré localement.
•  Toutes les filiales utilisent le même portail Internet pour le partage des ressources.

De l'administration de la filiale 1 naissante les équipes de la maison mère, nous pouvons déduire deux entités distinctes suivant la ville, mais pas au point de faire une rupture totale. Nous pouvons donc penser à deux domaines distincts ou bien un domaine et une Unité d'organisation.
Le fait que la filiale 2 administre localement son réseau et ce suivant ses propres règles, peut l'amener à désirer modifier son schéma de forêt.
Ainsi bien qu'il soit possible de ne créer qu'un domaine supplémentaire dans la forêt, ceci limiterai son expansion future si celle ci était amenée à devoir utiliser des logiciels touchant au schéma ou au conteneur de configuration.

Nous en déduisons donc que la filiale 2 peut résider dans la même forêt que les autres, mais sacrifiera en partie son extension future.
Puisque les filiales utilisent les mêmes portail et serveur mail, il doit donc exister des relations entre les différents domaines. Il faudra donc créer des relations unidirectionnelles entre les domaines concernés.

3.1.c Exemples de schémas logiques de forêts.

1 domaine du headquarter
2 domaine filiale 1
3 domaine filiale 2
3' éventuellement filiale 3
4 catalogue global
5 ressources
6 station utilisateur MM-F1-UK
7 relation bidirectionnelle F2-F3
8 interrogation du catalogue
9 récupération de la ressource

Dans ce premier schéma il n'y a qu'une forêt pour tout le monde.

Cette possibilité crée deux entités reliées entre elles par des relations transitives bidirectionnelles, permettant l'accès aux ressources groupes depuis la filiale 2, et un lien direct avec la maison mère ou la filiale 2.

Ce schéma offre le maximum de coopération entre les différentes entités dans le monde, et il est facile d'ajouter une filiale dans le future. Cependant, cette possibilité nuit à l'évolution complète de l'une ou l'autre des entités, particulièrement la filiale 2

1 domaine maison mère
2 domaine filiale 1
3 domaine filiale2
3' éventuellement domaine filiale 3
4 catalogue global
5 ressources
6 station utilisateur
7 relation transitive bidirectionnelle MM-F1
8 relation bidirectionnelle F2-F3
9 interrogation du catalogue
10 récupération de la ressource

Dans ce deuxième schéma, il y a deux forêts, l'une avec le domaine de la maison mère et la jeune filiale 1; et l'autre pour la filiale 2.

Cette possibilité crée deux entités séparées, uniquement reliées par des relations unidirectionnelles, permettant l'accès aux ressources depuis la filiale 2, mais aucun lien direct avec maison mère ou la filiale 1.

Ce schéma offre le maximum de séparation entre les différentes entités tout en permettant un lien entre headquarter-filiale1

3.2 Domaines

Unité de base de la structure Active Directory , un domaine est un ensemble d'ordinateurs et/ou d'utilisateurs qui partagent une même base de données d'annuaire. Un domaine a un nom unique sur le réseau.

Dans un environnement Windows, le domaine sert de limite de sécurité, restreignant les droits d'un administrateur aux ressources de celui ci.

Dans un domaine Windows, tous les serveurs maintenant celui-ci (contrôleurs de domaine) possèdent une copie de l'annuaire d'Active Directory. Chaque contrôleur de domaine est capable de recevoir ou de dupliquer les modifications de l'ensemble de ses homologues du domaine.

De même que pour les forêts, il y a certaines caractéristiques à prendre en compte avant de se lancer dans la création de domaines.

3.2.a points à considérer
Partition de la forêt

Une forêt Active Directory est une base de données distribuée, où les partitions sont définies par les domaines. Ceux-ci sont des bases partielles scindées sur plusieurs ordinateurs. Scinder une base en plusieurs bases partielles et placer celles-ci là ou on en aura le plus besoin permet à une base large d'être distribuée efficacement sur un réseau large.

Services des contrôleurs de domaine

Comme dans NT4, les serveurs hébergeant la base de données du domaine sont appelés contrôleurs. UN contrôleur ne peut héberger qu'un domaine. Toute modification effectuée sur l'un est répliquée aux autres. Tous les domaines d'une forêt hébergent une copie de la configuration et du schéma de celle-ci

Unités d'authentification

Chaque base de données de domaine contient des objets de sécurité comme des utilisateurs, groupes ou des ordinateurs. Ces objets sont spéciaux car il est possible de leur donner un accès / un refus aux ressources d'un réseau. Ils doivent être authentifiés par un contrôleur du domaine où ceux-ci sont situés. Dans Windows 2003, il est possible de les authentifier par un autre contrôleur que le leur, tant qu'une relation d'approbation existe, cependant la vitesse ne sera plus celle du LAN, il est donc bon de ne garder ceci qu'en tant que roue de secours.

Administration et stratégie de groupe

Chaque domaine a son propre groupe administrateurs. Les droits d'un groupe ne se propagent que sur son domaine.
Les stratégies de groupes associées à un domaine ne sont pas propagées aux autres. Pour associer un domaine et une stratégie existante, il faut les lier explicitement.

Des stratégies de sécurité pour des comptes de domaine uniquement

Certaines stratégies de groupe ne s'appliquent aux comptes utilisateurs qu'au niveau global du domaine :

•  Stratégie de mot de passe : les règles de mot de passe à maintenir comme la taille, l'historique.
•  Stratégie de blocage de compte : les règles quant à la désactivation de compte après n échecs.
•  Stratégie de ticket Kerberos : le temps de vie d'un ticket, obtenue à l'authentification avant renouvellement.

Noms de domaine DNS

Un domaine est identifié par un nom DNS, il sert entre autre à localiser le contrôleur.
Les noms DNS sont hiérarchiques, le nom d'un domaine Active Directory indique sa position dans la hiérarchie de la forêt.

3.2.b planification de domaines

L'augmentation du nombre d'objets gérables dans un domaine Windows 2003 par rapport à NT 4 et les éléments de définition même du domaine vus plus haut permettent de mieux visualiser la solution à choisir.

Le fait que plusieurs domaines existent actuellement, ou qu'ils soient administrés différemment pour certains et non pour d'autres permettent de tirer le fil directeur de la planification. Exemple :

un seul domaine pour l'entreprise. (éventuellement un domaine de comptes cumulés à un domaine de ressources)

  • Un domaine par filiale
  • Un domaine pour la maison mère, un domaine pour les filiales bien installées, des OU pour les autres.

Concernant l'attribution ou non d'un domaine à une filiale, une alternative s'offre à nous :
D'une part un domaine ou sous-domaine de l'arborescence de la forêt où se trouve le domaine de la maison mère.
Celui ci serait entièrement administré par le personnel de la filiale avec un accès possible par un groupe administrateurs du siège.

L'avantage de cette solution :

•  Prolongement du domaine NT4 dont disposait la filiale avec les possibilités de l'annuaire Active Directory.
•  Pas ou peu de nouvelles dépenses matérielles, ni de frais intenses en temps / homme pour la migration.

Le point faible de cette solution est double : l'utilisation de trop de serveurs d'une part, un trop faible développement de la filiale pour bâtir une infrastructure réelle de l'autre.

D'autre part, une OU du domaine principale

Celle ci verrait son administration déléguée à l'administrateur actuel du domaine principal.

Les avantages de cette solution seraient :

•  l'économie de serveurs à utiliser
•  la plus grande souplesse d'administration et de déploiement
•  l'application de stratégies de groupe communes

D'un autre coté, cette solution est gourmande en bande passante, les contrôleurs de la filiale devant régulièrement se synchroniser avec ceux du domaine principal. Un Tuning de site et de catalogues globaux pourrait en partie palier à ce problème, mais dans tous les cas il subsisterait une consommation de bande passante importante et qui n'existait pas jusqu'alors.

3.2.c exemples de schémas logiques de domaines



Dans ce premier schéma, chaque entité dispose de son propre domaine. Réparti sur une ou deux forêts suivant l'évolutivité désiré pour chaque filiale (voir plus haut), ce plan offre dans le cas d'une forêt unique trois domaines s'approuvant chacun l'un l'autre ; et dans le cas de deux forêts, deux domaines s'approuvant l'un l'autre, et un domaine américain bénéficiant d'approbations unidirectionnelles avec le domaine principal.



Dans ce second schéma, les entités totalement différentes disposent de leur domaine.
Réparti sur une ou deux forêts suivant l'évolutivité désirée pour chaque filiale (voir plus haut), ce plan offre dans le cas d'une forêt unique deux domaines s'approuvant chacun l'un l'autre, l'Angleterre faisant maintenant partie du domaine France ; et dans le cas de deux forêts, deux domaines FR et US bénéficiant d'approbations unidirectionnelles mutuelles.

3.3 Unités d'Organisation (OUs)

Une unité d'organisation est un objet conteneur utilisé pour organiser les objets au sein du domaine.
Elle peut contenir d'autres objets comme des comptes d'utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d'autres unités d'organisation.

Les unités d'organisation permettent d'organiser de façon logique les objets de l'annuaire (ex : représentation physique des objets ou représentation logique).
Les unités d'organisation permettent aussi de faciliter la délégation de pouvoir selon l'organisation des objets.

Comme pour tout composant logique, il y a certaines caractéristiques à prendre en compte avant de se lancer dans le déploiement d'une structure d'OU.

3.3.a points à considérer
Les OU peuvent être emboîtées
Une OU peut contenir des OU enfants, tout comme un domaine peut contenir des domaines enfants. Ceci permet de créer une structure hiérarchique dans un domaine.

Les OU peuvent être utilisées pour déléguer l'administration et contrôler l'accès aux objets de l'annuaire.
En utilisant une combinaison d'ACL et de hiérarchies d'OU, il est possible de déléguer l'administration de certains objets de façon très fine. Il serait ainsi possible pour un administrateur de Londres de remettre à zéro les mots de passe des comptes anglais, mais pas d'ajouter un compte Lotus, tache destinée à Paris.

Les OU ne sont pas des objets de sécurité.
On ne peut pas inclure d'OU dans un groupe de sécurité, ni autoriser l'accès à un utilisateur faisant parti de telle OU à une ressource. Les OU sont utilisées pour déléguer l'administration, de ce fait l'OU parent d'un objet utilisateur indique qui gère l'objet utilisateur, mais pas à quelle ressource celui-ci peut accéder.

Les stratégies de groupe (GPO) peuvent être associées à une OU.
Les GPO permettent de définire une configuration particulière pour des utilisateurs ou des ordinateurs. Il est possible d'associer des GPO avec des sites, des domaines et des OU.
Définir des GPO sur une OU permet globalement d'utiliser des stratégies différentes sur le même domaine.

Les utilisateurs ne doivent pas parcourir la structure d'OU.
Il n'est pas nécessaire de concevoir une structure apparente pour l'utilisateur final. Bien qu'il soit possible de naviguer à travers la structure d'un domaine, il est plus efficace pour trouver une ressource d'interroger le catalogue global.
3.3.b planification de structures d'OUs

Créer une ou plusieurs OUs est très simple, mais une structure devient vite complexe si l'on ne procède pas avec méthodologie. Basé sur les points stipulés à la page précédente, et la section domaines vue plus haut, les étapes de création d'une structure d'OU sont dans l'ordre les suivants :

•  Créer des OUs pour déléguer l'administration
•  Créer des OUs pour cacher des objets
•  Créer des OUs pour affiner les stratégies de groupe

3.3.c Exemples de schémas logiques de structures d'OUs


 
Dans ce premier schéma, l'entité anglaise est une OU du domaine principale (FR), donnant un contrôle total sur l'OU anglaise et ses objets enfants.Cette possibilité laisse l'administrateur gérer son réseau mais donne à l'administrateur de FR tout contrôle, de sorte qu'elle puisse gérer UK comme une ressource locale. Ce schéma illustre possibilité de gérer UKcomme une OU et non un domaine, comme vu plus haut.



Dans ce second schéma, l'entité anglaise est une OU de FR. De plus, chaque département de France et d'Angleterre est placée dans une OU, afin d'exploiter au mieux l'intérêt des structures d'organisation, ceci permettant des stratégies de groupe ciblées et une administration sécurisée plus fine au niveau global. Il sera de même possible de déléguer une partie de l'administration à un administrateur local à l'OU. En outre ce système permettrait de ne permettre aux collaborateurs de voir que ce qu'ils devraient voir et rien d'autre, évitant ainsi les attaques internes classiques, le pirate ne sachant pas ce qu'il cherche.

4 Topologie physique

4.1.Sites

Une topologie de sites est une représentation logique du réseau physique. La topologie est définie sur la base d'une forêt. Les clients et serveurs Active Directory utilisent la topologie de sites afin de router les requêtes et le trafic de réplication convenablement. La topologie aide aussi a localiser l'endroit où placer les contrôleurs de domaine du réseau. Voici les caractéristiques d'une topologie de sites :

4.1.a points clés
Un site est un ensemble de réseaux disposant d'une connectivité rapide.

Un site est définit comme un ensemble de sous-réseaux IP connectés par une liaison rapide, comme une LS 10 ou 100Mbits.

Un lien de site est un réseau à bande passante faible, qui connecte au moins deux sites.

Les liens de site sont utilisés afin de modéliser la disponibilité de bande passante entre deux sites. En règle générale, deux réseaux connectés entre eux par un lien plus lent qu'une connexion LAN sont considérés comme connectés par un lien de site.

Les liens ont quatre paramètres :

•  Le Coût : La valeur du coût d'un site aide le système de réplication à déterminer quand utiliser un lien par rapport aux autres. Sa valeur détermine les chemins de réplication

•  Le planificateur de réplication : Un lien de site est associé à un planificateur qui indique à quel moment de la journée le lien est disponible afin d'acheminer le trafic de réplication.

•  L'intervalle de réplication: L'intervalle indique la fréquence à laquelle les contrôleurs de domaine utilisent le lien pour la réplication

•  Le transport : Le transport utilisé pour la réplication

Les clients essaient d'abord de communiquer avec les serveurs situés sur le même site qu'eux.

Quand un utilisateur démarre son ordinateur pour la première fois, celui ci envoie un message à un contrôleur de domaine de façon aléatoire. Celui-ci détermine le site sur lequel le client est situé par rapport à son adresse IP, et lui retourne le nom du site. Le client met en cache cette information et l'utilisera les prochaines fois qu'il cherchera un contrôleur.

La réplication d'Active Directory utilise une topologie de sites pour générer les connexions de réplication.

Le KCC est une processus qui crée et maintient les connexions de réplication entre les contrôleurs de domaine. Les informations de la topologie de site est utilisée afin de guider la création de ces connexions.

La réplication intra site est optimisé pour minimiser le temps de réplication et la réplication inter site minimise l'utilisation de bande passante. (voir tableau en annexe)

Les informations de la topologie de site est stockée dans le conteneur de configuration.

Les sites, liens de sites et sous-réseaux sont stockés dans le conteneur de configuration, qui est répliqué à tous les contrôleurs de la même forêt. Chaque contrôleur a une connaissance totale de la topologie de sites. Un changement dans la topologie est répliqué à tous les domaines de la forêt.

4.1.b planification de topologies de sites.

Basée sur des points géographiques et des types de connexion, la modélisation d'une topologie de sites est relativement simple :

•  2 bâtiments reliés entre eux par un LS 100Mbits = 1site

•  2 bâtiments reliés par une LS 2Mbits = 2sites

•  La filiale 1 est elle reliée à la maison mère par une liaison fiable ?

•  La filiale 2 est elle reliée à la maison mère par une liaison fiable ?

•  La filiale 1 est elle reliée à la filiale 1par une liaison fiable ?
4.1.c topologies de sites possibles

Lien

Transport

Coût

intervalle

planification

Lien intersite1


SMTP


100


30 mins


1h à 4h

Lien intersite2


SMTP


100


30 mins


4h à 8h

 Dans ce premier schéma, trois sites sont définis, un par filiale. Reliés par des liaisons inter sites, les modifications se font à fréquence modérées mais surtout uniquement lorsque le réseau n'est pas ou peu utilisé. Le transport est fait par SMTP du fait de liaisons inter sites donc peu fiables. Le coût est moyen, un affinage de celui-ci est peut être nécessaire.

Lien

Transport

Coût

intervalle

planification

Lien intersite1


SMTP


100


30 min


1h à 3h

Lien intersite2


SMTP


100


30 min


3h à 6h

Lien intrasite


IP


50


1 heure


<tjs>

Dans ce second schéma quatre sites sont définis, deux pour les filiales étrangères et deux pour la France. Toutes les liaisons sont ici centralisées sur le site principal France1. Sur les liaisons inter sites, les modifications se font à fréquence modérées mais surtout uniquement lorsque le réseau n'est pas ou peu utilisé.

Le transport est fait par SMTP du fait de liaisons inter sites donc peu fiables. Le coût est moyen, un affinage de celui-ci n'est peut être nécessaire Sur la liaison intrasite, le transport est fait par IP, du fait d'une liaison fiable. L'utilisation de la bande passante n'est plus faite sur l'authentification mais uniquement lors de l'accès à un serveur d'un immeuble différent, ou lors d'une réplication entre contrôleurs.

4.2 Serveurs.

La localisation des serveurs dans la planification a un effet direct sur la disponibilité de l'Active Directory. Durant le partitionnement physique du plan de domaine, il faut créer un emplacement générique ou positionner les serveurs.

Les serveurs nécessaires aux bon fonctionnement d'un domaine sont au nombre de trois : contrôleurs de domaine, catalogues globaux et serveurs DNS.

4.2.a contrôleurs de domaine

Le nombre de contrôleurs à créer pour un domaine est décidé par deux facteurs : tolérance de panne et répartition de charge. Ceux-ci peuvent être caractérisés par les points suivants :

Toujours avoir au moins deux contrôleurs :
Même pour les domaines modestes, créer au moins deux contrôleurs afin d'éviter d'avoir un point de panne unique ( single point of failure ).
Pour les sites contenant un seul contrôleur de domaine, décider si l'on peut faire confiance au WAN en cas de panne.

Si le contrôleur d'un site tombe, ses clients peuvent tenter de s'authentifier sur ceux d'un autre. Si la connectivité n'est pas fiable, il est mieux de ne pas faire confiance au WAN, de sorte d'éviter un problème que celui-ci.

Placer des contrôleurs additionnels dans un site pour gérer au mieux le trafic des clients.

Le nombre de clients qu'un serveur peut gérer dépends des caractéristiques internes de celui-ci. En multipliant les contrôleurs d'un site, la charge cliente sera distribuée au mieux .

4.2.b catalogues globaux

La disponibilité des catalogues globaux est cruciale pour les opérations LDAP, en particulier les opérations visant les groupes universels. Ainsi, lors de l'authentification d'un utilisateur appartenant à un groupe universel sur un domaine de la forêt, le contrôleur envoie une requête au catalogue global, afin de déterminer si l'utilisateur est autorisé ou non. Si le contrôleur de domaine n'arrive pas à contacter le catalogue global, l'authentification est refusée.

En règle générale, il faut désigner au moins un contrôleur de domaine par site comme catalogue global ; toutefois Windows 2003 permet de mettre en cache des groupes universels afin de ne pas avoir de catalogue pour un site avec peu d'utilisateurs (comme c'est le cas pour Londres)

4.2.c serveurs DNS

La disponibilité des DNS influe directement sur celle d'Active Directory. Les clients se basent sur DNS pour trouver un contrôleur de domaine et celui-ci se base sur DNS pour trouver les contrôleurs. Même si des DNS sont déployés sur le réseau à l'heure actuelle, il faudra peut être adjuster leur nombre et leur emplacement afin de correspondre avec le minimum requis pour une utilisation efficace d'Active Directory.

En règle générale, il faut un serveur DNS par site. Ceux-ci doivent être autoritaires sur le site afin d'empêcher les clients d'interroger un DNS distant pour connaître l'emplacement d'un contrôleur du même site.

La solution la plus simple et économique est d'utiliser le DNS intégré à Active Directory sur un ou plusieurs contrôleurs de domaine d'un site.

5. Glossaire

Annuaire

Ce service permet de gérer les ressources du réseau sans s'occuper de la structure physique de celui ci. Les utilisateurs n'ont quant à eux pas à se préoccuper de la structure physique du réseau pour accéder à ces ressources.

DC / PDC

Un contrôleur de domaine est un ordinateur qui contient une réplique de l'arborescence du domaine. C'est lui qui aura la charge d'authentifier les utilisateurs, de répliquer le service annuaire.. Sous Windows NT 4, on le nomme PDC, car basé sur une architecture hiérarchique, il se décline sous deux rôles PDC (serveur principal) et BDC.

BDC

Serveur secondaire de domaine, sert à la tolérance de panne dans un domaine lorsque le contrôleur principal n'est pas accessible. Depuis Windows 2000, ce concept n'existe plus, du fait de la disparition des niveaux de hiérarchie.

WINS

Un serveur WINS contient la base de données qui associe les noms NetBIOS (noms Windows) des machines à leurs adresses IP.

DNS

Service par lequel un nom est attribué a une adresse IP. Le DNS permet de résoudre l'équation nom = adresse IP sous la forme (xxx.xxx.xxx.xxx).

DHCP

Un serveur DHCP alloue automatiquement des paramètres de configuration TCP/IP aux machines qui lui en font la demande. Les machines recoivent donc par exemple leur adresse IP, masque de sous réseau, DNS..

Forêt

Une forêt est un ensemble de domaines (ou d'arborescences) n'ayant pas une seule partie de leur nom en commun mais qui partagent un schéma et un catalogue commun

Domaine

Un domaine est un ensemble d'ordinateurs et/ou d'utilisateurs qui partagent une même base de données d'annuaire. Un domaine a un nom unique sur le réseau. Dans un environnement Windows, le domaine sert de limite de sécurité. Le rôle d'une limite de sécurité est de restreindre les droits d'un administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent étendre leurs droits à d'autres domaines.

OU

Une unité d'organisation est un objet conteneur utilisé pour organiser les objets au sein du domaine. Il peut contenir d'autres objets comme des comptes d'utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d'autres unités d'organisation.

Les unités d'organisation permettent d'organiser de façon logique les objets de l'annuaire (ex : représentation physique des objets ou représentation logique). Les unités d'organisation permettent aussi de faciliter la délégation de pouvoir selon l'organisation des objets.

Site

Un site est une combinaison d'un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit fiable. Définir des sites permet à un service annuaire d'optimiser la duplication et l'authentification afin d'exploiter au mieux les liaisons les plus rapides.

VPN

Un VPN permet d'utiliser l'infrastructure d'Internet pour relier le client et le serveur. Chacun d'eux va se connecter à Internet via son ISP puis une encapsulation par un protocole sécurisé va mettre en place un tunnel virtuel entre les deux entités permettant un e connexion sécurisée. L'utilisation d'Internet permet de réduire les coûts de connexion et d'atteindre des vitesses de connexion difficilement envisageable dans le cas de connexions directes.

ACL

Liste de Contrôle d'accès
Propriété d'un objet contrôlant les droits d'accès à celui ci par des utilisateurs ou d'autres objets