Configuration de la mise en cache de l'appartenance aux groupes universels Accueil > Articles > Système
Auteurs  Islah OUALKADI LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT  Tous les articles de cet auteur		4,1/5 Bien 51061 2350/9771

1. Problèmes de réplication et différentes solutions.

1.1.  Les problèmes de réplication AD sur une ligne WAN à faible débit

• Attribut : l’attribut d’un objet est configuré simultanément sur une valeur, sur un maître et sur une autre valeur sur le deuxième maître.




• Ajout/déplacement d’un objet conteneur, suppression d’un objet parent : ce conflit se produit généralement lorsqu’un maître enregistre la suppression d’un objet conteneur et un autre maître enregistre l’emplacement d’un autre objet lié  à cet objet supprimé.




• Conflit de noms : ce conflit se produit lorsqu'un répliqua tente de déplacer un objet dans un conteneur dans lequel un autre répliqua a simultanément déplacé un autre objet dont le nom complet est identique.

1.2.  Les possibilités pour remédier aux problèmes

Pour remédier aux différents problèmes de réplication d’Active Directory sur une ligne WAN à faible débit, on énumérer plusieurs possibilités :

• L’utilisation d’un serveur de catalogue global qui est un contrôleur de domaine qui conserve une copie du catalogue global lui permettant de traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine est automatiquement le serveur de catalogue global, toute fois il est possible de configurer d’autres contrôleurs de domaine en serveur de catalogue global afin de réduire le trafic.

En effet, le catalogue global permet aux utilisateurs d’effecteur 2 tâches importantes :

Trouver des informations Active Directory dans toutes les forêts, quel que soit l’emplacement des données.

Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau.

• L’utilisation d’un contrôleur de domaine puisqu’il stocke une répliqua de l’annuaire.

Il est capable de recevoir ou de dupliquer les modifications de l’ensemble de ses homologues du domaine. En effet les modifications effectuées dans Active Directory peuvent être faites sur n’importe quel contrôleur de domaine. Or, il existe des exceptions pour lesquelles les modifications sont réalisées sur un contrôleur de domaine spécifiques. Ces exceptions sont nommées rôles de maître d’opération. Il assure l’authentification et l’ouverture des sessions des utilisateurs, ainsi que les recherches dans l’annuaire.

• L’utilisation des sites permet d’optimiser la duplication. Un site est représenté par un ou plusieurs sous réseaux. De ce fait, les sites s’appuient sur la structure physique d’un réseau, notamment au niveau des interconnexions de réseaux locaux et étendus. En effet, un site est mis en place automatiquement lorsqu’un premier contrôleur de domaine est mis en place. Un site est constitué d’objets serveur qui correspondent  à des contrôleurs de domaine qui contiennent entre autres des objets connexion nécessaire à la duplication.

• L’utilisation de l’outil  « repadmin.exe »  permet de déclencher et de diagnostiquer des réplications d'Active Directory entre Contrôleur de Domaine. (Repadmin.exe est un outil Kit de ressources Microsoft Windows 2000 disponible dans le dossier Outils de support sur le CD-ROM de Windows 2000). C’est une interface de ligne de commande à réplication Active Directory. Cet outil fournit une puissante interface dans les fonctionnements internes de réplication Active> Directory et permet de résoudre les problèmes Active Directory de réplication.

1.3.  La mise en cache de l’appartenance au groupe universel

• l’obligation d’installer un contrôleur de domaine dans le site distant pour que la connexion ne ralentisse pas les ouvertures de session




• l’impossibilité d’héberger le catalogue global sur le site distant puisque la réplication entre les serveurs de catalogue global implique un trafic réseau non négligeable.

Cependant, même si un contrôleur de domaine soit en local dans le site distant, le trafic entre les deux sites reste important puisque pour chaque ouverture de session ou bien chaque accès à une ressource partagée, le contrôleur de domaine interroge le serveur de catalogue global situé dans la maison mère. Une solution pour remédier à ce problème est l’implémentation de la mise en cache de l’appartenance au groupe universel.

Explications de la mise en cache de l’appartenance au groupe universel :

Lorsqu’un utilisateur d’un site annexe tente d’ouvrir sa session pour la première fois, il contacte le contrôleur de domaine qui contact le serveur de catalogue global du site pour ainsi récupérer les SIDs des groupes dont l’utilisateur est membre. Puis, le contrôleur de domaine met en cache les informations qu’il a reçues  du serveur de catalogue global pendant une durée de 8 heures (durée par défaut). Le même mécanisme (mise en cache) est effectué lors du premier accès de l’utilisateur à une ressource partagée.
En effet, si un utilisateur se connecte de manière récurrente sur le domaine ou bien si il accède régulièrement à des partages réseaux, le contrôleur de domaine du site annexe utilise les informations qui se trouvent dans le cache.

Dans ce cas, la mise en cache de l’appartenance au groupe universel détient trois avantages :




• L'authentification des utilisateurs et l’accès aux ressources du réseau dépendent moins de la liaison WAN




• Le trafic d’authentification et d’autorisation au niveau de la liaison WAN utilise moins de bande passante




• Étant donné que le contrôleur de domaine possède les informations nécessaires en local, la résolution de l’appartenance au groupe universel est plus rapide

Présentation du processus
1. Problèmes de réplication et différentes solutions.
2. Configuration de la mise en cache de l’appartenance au groupe universelle
Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft