[Active Directory] 7 Implémentation de sites pour gérer la réplication Active Directory
7.5 Utilisation des sites pour optimiser la réplication
7.5.1 Présentation des sites
Un site est représenté par un ou plusieurs sous réseaux. Par conséquent, les sites s’appuient sur la structure physique d’un réseau, notamment au niveau des interconnexions de réseaux locaux et étendus.
Un site est automatiquement mis en place lorsque l’on installe le premier contrôleur de domaine dans un domaine. Il est nommé Premier-Site-par-défaut.
Ainsi, même si l’on a un réseau non segmenté en sous réseaux, on aura quand même un site.
Dans le cas d’une entreprise ayant son siège dans une ville et une succursale dans une autre ville, si elle dispose de un ou plusieurs sous réseaux par ville, elle pourra créer un site regroupant les sous réseaux de la première ville et un autre pour les sous réseaux de l’autre ville.
Un site est constitué d’objets serveurs qui correspondent à des contrôleurs de domaine. Les objets serveurs sont créés lorsqu’un serveur sous Windows 2008 est promu en tant que contrôleur de domaine. Ils contiennent entre autres des objets connexion nécessaire à la réplication.
Un site peut contenir des contrôleurs de domaine de n’importe quel domaine d’une forêt.
Pour créer un site, il faut utiliser l’outil d’administration Sites et services Active Directory située dans les outils d’administration. On peut y définir des sous réseaux (représentés par des objets sous-réseau) en précisant l’adresse du sous réseau, le masque de sous réseau ainsi que le site correspondant.
La mise en place de sites permet :
- L’optimisation du trafic de réplication entre les sites.
- La localisant les ressources du réseau (ex : un utilisateur qui ouvre une session le feras sur un contrôleur de domaine situé sur le même site que lui).
En somme l’intérêt des sites dans un réseau peut être de contrôler le volume de données liés au fonctionnement d’Active Directory (trafic de réplication et de connexion). Ceci permet de limiter l’engorgement des liens entre les sous réseaux, en général, une ligne spécialisée, voir même un simple modem 56K.
7.5.2 Réplication intrasite
Elle se produit entre les contrôleurs de domaine situés sur un même site. Les données liées à ce type de réplication ne sont pas compressées par défaut car on considère que les connexions réseau des machines d’un même site sont rapides et fiables. Cela limite le temps processeur utilisé par les contrôleurs de domaine pour la compression.
7.5.3 Réplication intersite
Elle permet à différents sites de récupérer les modifications apportées à Active Directory depuis un contrôleur de domaine situé sur un site, et ce, en empruntant des chemins considérés comme non fiables et avec une faible bande passante.
If faudra créer des liens de site pour lesquels il faudra définir manuellement un certain nombre de paramètres pour déterminer le moment auquel la réplication intervient et la fréquence à laquelle les contrôleurs de domaine vérifieront si des modifications ont été apportées à Active Directory.
Le trafic lié à la réplication intersite est compressé avec un ratio d’environ 15% pour transiter efficacement par des liaisons à faible débit. L’inconvénient est la charge CPU supplémentaire sur les contrôleurs de domaine.
La duplication intersite étant programmée manuellement, le système de notification des modifications n’est employé que pour le trafic intrasite.
7.5.4 Notion de coût
Lors de la mise en place des liens de sites, on peut définir un certain nombre de propriétés, et notamment le coût.
Le coût d’un lien de site est un nombre qui représente l’efficacité, la vitesse, la fiabilité (relatifs) d’un chemin, un peu à l’image des routeurs.
Le trafic de duplication empruntera toujours le chemin (un chemin peut être composé d’un ou plusieurs liens de sites) dont le coût total sera le plus faible.
Par exemple, si nous avons trois sites A, B, C et qu’il existe des liens intersites A-B (coût 100), B-C (coût 10), C-A (coût 10), le trafic de duplication entre A et B empruntera le chemin AC puis CB, pour un coût total de 20 au lieu de A-B pour un coût de 100.
Le coût par défaut d’un lien intersite est de 100.
7.5.5 Serveur tête de pont
Dans la duplication intersites, un ou plusieurs serveurs sur chaque site peuvent servir de « ponts » entre les sites par lesquels le trafic de duplication va se propager. On les nomme les serveurs têtes de pont.
Par conséquent, les duplications intersites passent uniquement par des têtes de ponts.
Dans chaque site, un contrôleur de domaine est automatiquement désigné comme serveur tête de pont par l’ISTG (InterSite Topology Generator ou générateur de topologie inter-site), chargé de mettre en œuvre la réplication intersite (c’est un contrôleur de domaine de la forêt).
Lorsqu’un serveur tête de pont reçoit une mise à jour depuis un autre site, il la communiquera aux contrôleurs de domaine de son site suivant la procédure classique de duplication intrasite.
Il est possible de définir manuellement des serveurs têtes de pont plutôt que de laisser l’ISTG choisir.
Le serveur tête de pont peut être déterminé en allant dans l’outil d’administration Sites et services Active Directory situé dans les outils d’administration.