Comment fonctionne Active Directory : composants applicatifs (FSMO, sites, KCC)

Kerberos active directory AD authentification

COMPOSANTS APPLICATIFS d’Active Directory

  1. Les contrôleurs de domaines

Un contrôleur de domaine est un serveur qui héberge la base d’annuaire. Il fournit les services Active Directory (authentification, application de stratégie de groupe, réplication d’annuaire, etc.) ainsi que les services DNS dans le cas de zones DNS intégrée Active Directory.

  1. Sous-réseaux, sites et liens de sites

Les sites dans Active Directory sont utilisés pour :

  • Optimiser la vitesse et la consommation de bande passante réseau liées à la réplication entre les contrôleurs de domaine.
  • Identifier le contrôleur de domaine le plus proche pour l’authentification, les recherches et les services d’annuaire.
  • Rediriger les clients DFS vers le serveur de données le plus proche.
  • Appliquer des stratégies de configuration ou de sécurité propres à une localisation donnée.

Les sous-réseaux permettent d’identifier chaque segment réseau via des plages d’adresses IP et les affecter à un site Active Directory. Un site peut regrouper plusieurs sous-réseaux. Par contre un sous-réseau ne peut être affecté qu’à un seul site.

Les informations correspondantes à ces éléments sont stockées dans la partition de configuration, cela signifie que leur déclaration est commune et partagée par l’ensemble des domaines de la forêt.

La déclaration des sous-réseaux et des sites au sein de l’Active Directory permet d’apporter une vision physique du réseau d’entreprise pour les services d’annuaire. Si certains segments ne sont pas déclarés, les postes et utilisateurs du domaine ne sauront pas correctement localiser les services d’annuaire les plus proches. Cela se traduit par une dégradation des temps de démarrage des postes et d’ouverture de sessions des utilisateurs.

Les liens de sites reflètent la connectivité intersites et la méthode utilisée pour transférer le trafic de réplication. Il faut connecter les sites avec des liens de sites pour que les contrôleurs de domaine de chaque site puissent répliquer les modifications de l’AD (Active Directory).

Par défaut, tous les liens de sites sont transitifs ou, en d’autres termes, reliés par un pont. Lorsque les liens de sites sont reliés par un pont et que les planifications se chevauchent, le vérificateur de cohérence des données crée des connexions de réplication qui déterminent les partenaires de réplication des contrôleurs de domaine entre les sites, auquel cas les sites ne sont pas connectés directement par des liens de sites, mais de manière transitive par le biais d’un ensemble de sites communs. Cela signifie que vous pouvez connecter un site à n’importe quel autre site au moyen d’une combinaison de liens de sites.

  1. Le vérificateur de cohérence transverse (KCC : Knowledge Consistency Checker)

Le vérificateur de cohérence des données est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et qui génère la topologie de réplication pour la forêt AD. Il crée des topologies de réplication distinctes selon que la réplication a lieu au sein d’un site (intrasite) ou entre des sites (intersites). Il ajuste également la topologie de manière dynamique pour gérer l’ajout de nouveaux contrôleurs de domaine, la suppression de contrôleurs de domaine existants, le déplacement de contrôleurs de domaine vers et depuis des sites, la modification des coûts et des planifications, et les contrôleurs de domaine qui sont temporairement indisponibles ou en état d’erreur.

  1. Le catalogue global

Un catalogue global est un contrôleur de domaine contenant une copie de tous les objets AD d’une forêt. Il stocke une copie complète de tous les objets de l’annuaire de son domaine hôte, ainsi qu’une copie partielle de tous les objets des autres domaines de la forêt.

  1. Les Maitres d’opération

Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données AD. Ce système de réplication est dit multi-maitres car chaque contrôleur de domaine à la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données AD.

Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes à Active Directory. Dans un domaine Windows 2000 server et Windows Server 2003 et 2008, il existe 5 rôles FSMO. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles:

  • Unique au sein de la forêt :
  • Maître d’attribution de noms de domaines
  • Maître de schéma
    • Unique au sein d’un domaine :
  • Maître RID
  • Maître d’infrastructure
  • Emulateur PDC
  1. Maître d’attribution de noms de domaines AD

Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.

  1. Maître de schéma

Ce contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.

  1. Maître RID

Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur…), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

  1. Maître d’infrastructure

Sa tâche est de maintenir à jour des références d’objet inter-domaines. Par exemple, lorsque vous ajoutez une personne dans un groupe et que vous voulez examiner ensuite les membres de ce groupe vous voyez l’utilisateur que vous venez d’ajouter. Si vous modifiez le nom de cet utilisateur, vous verrez instantanément la modification dans la liste des membres de ce même groupe. Maintenant, si vous utilisez un compte utilisateur d’un autre domaine pour l’ajouter à un groupe de votre domaine, il y aura un temps de latence inévitable correspondant à la réplication entre les domaines. Le maître d’Infrastructure sera donc responsable de cette mise à jour pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine. Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier).

  1. Emulateur PDC

Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégiée pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.

20 thoughts on “Comment fonctionne Active Directory : composants applicatifs (FSMO, sites, KCC)”

  1. Hi there! Quick question that’s entirely off topic. Do you know how to make your site mobile friendly? My website looks weird when browsing from my iphone4. I’m trying to find a theme or plugin that might be able to fix this issue. If you have any suggestions, please share. Thank you!

  2. Hi there excellent website! Does running a blog such as this take a great deal of work? I’ve virtually no knowledge of coding however I was hoping to start my own blog in the near future. Anyway, should you have any recommendations or tips for new blog owners please share. I know this is off subject however I simply wanted to ask. Appreciate it!

  3. Wonderful goods from you, man. I have remember your stuff prior to and you are simply extremely excellent. I really like what you have acquired here, certainly like what you are stating and the way in which wherein you are saying it. You’re making it entertaining and you continue to take care of to keep it smart. I cant wait to read far more from you. That is actually a terrific web site.

Laisser un commentaire