Un environnement Active Directory (AD) comprend des éléments tels que des forêts, des arbres, des domaines, des unités d’organisation et des objets. Après s’être familiarisé avec ces concepts, l’étape suivante de ce voyage d’apprentissage consiste à comprendre les sites AD.
Que sont les sites AD ?
Les sites AD sont des réseaux hautement connectés composés de sous-réseaux IP qui définissent la structure physique d’AD. Ces réseaux sont très fiables et rapides, raison pour laquelle il est important de s’assurer que le trafic pour la réplication des changements AD ne ralentit pas l’ensemble du réseau et ne charge pas les contrôleurs de domaine. Chaque site AD est mappé à un domaine AD, et celui-ci peut avoir plusieurs sites mappés.
Chaque environnement AD doit avoir au moins un site AD défini pour lui-même. Le premier site est créé au moment où le premier contrôleur de domaine est créé dans la forêt AD, et il est appelé “Default-First-Site-Name”. Un site peut avoir des contrôleurs de domaine provenant de plus d’un domaine.
Pour approfondir nos connaissances, nous allons parcourir quelques termes que vous devrez connaître en matière de sites AD :
Sous-réseaux
Les sous-réseaux sont associés à une série d’adresses IP et sont liés à un site. Ils identifient et définissent les adresses IP disponibles pour un site AD particulier. On peut considérer un site comme un ensemble de ces sous-réseaux rapides et bien connectés.
Liens de site AD
Les objets de lien de site sont utilisés pour former des liens entre les sites AD afin que la réplication puisse se produire entre eux. Le lien de site par défaut est appelé “Default-First-Site-Link” et il se crée lors de la première installation d’Active Directory dans une forêt. Les sites AD sont reliés manuellement les uns aux autres à l’aide de liens de site. De cette façon, les contrôleurs de domaine peuvent répliquer les modifications entre eux, d’un site à l’autre.
Pont de lien de sites
Un pont de lien de sites est un objet AD qui connecte un groupe de liens de sites ensemble. Tous les sites reliés entre eux peuvent utiliser le même canal de communication.
Par défaut, les liens de site sont de nature transitive, c’est-à-dire que si les sites A et B sont liés l’un à l’autre et que les sites C et D sont liés l’un à l’autre, les sites A et C sont également liés par une connexion transitive. Toutefois, les administrateurs ont la possibilité de désactiver la nature transitive des liens de site.
Dans les cas où la transitivité des liens de site est activée, le pont de lien de sites est automatiquement créé entre ces derniers. Cependant, lorsqu’elle est désactivée, les administrateurs doivent créer ces ponts manuellement.
Réplication AD
L’infrastructure AD est constamment modifiée. Il est important que, chaque fois qu’un changement se produit dans un contrôleur de domaine, les autres contrôleurs de domaine en soient informés et mis à jour conformément. Cela se produit dans l’AD par le biais du processus de réplication.
Le processus de réplication dans l’environnement AD peut être de deux types : réplication intra-site et réplication inter-site.
-
Réplication intra-site
La réplication a lieu entre les contrôleurs de domaine qui font partie du même site. Elle est basée sur la notification des changements et se produit automatiquement dès qu’une mise à jour est effectuée sur le contrôleur de domaine. Dans ce cas, le contrôleur de domaine notifie ses partenaires de réplication de la modification après un intervalle de temps donné. Par défaut, la notification de changement est envoyée toutes les cinq minutes.
À la réception de la notification de changement, les partenaires les plus proches du contrôleur de domaine envoient une demande de mise à jour de répertoire au contrôleur de domaine source. Celui-ci effectue la réplication dès réception de la demande et s’assure qu’aucune modification n’est manquée au cours du processus de réplication.
-
Réplication inter-site
Dans ce cas, la réplication a lieu entre des contrôleurs de domaine qui se trouvent sur des sites différents. Étant donné que la réplication a lieu entre deux sites différents (DCs dans différents sites), la bande passante est compressée et l’AD donne aux administrateurs la flexibilité de la programmer.
Importance des sites AD
Voici quelques avantages des sites AD :
1. Les sites AD offrent un meilleur contrôle du trafic de connexion et d’authentification en garantissant que le DC du côté client trouve un DC sur son propre site en utilisant l’adresse IP du client.
2. Les sites AD constituent un groupe bien connecté de sous-réseaux IP, ce qui facilite la définition de la structure physique d’AD.
3. Les sites AD aident à contrôler et à optimiser le trafic de réplication sur les liaisons WAN mieux que Windows NT 4.0. Contrairement à Windows NT, qui utilise un modèle de réplication à maître unique, les sites AD utilisent un mode de réplication à maîtres multiples dans lequel tous les contrôleurs de domaine sont éligibles pour initier des processus de réplication. Cela permet d’éviter les problèmes de point de défaillance unique dans le répertoire et d’optimiser et de contrôler le trafic de réplication.
4. Les sites AD garantissent que la bande passante du réseau d’une organisation n’est pas entravée par un trafic inutile.
Gestion des sites Active Directory
La gestion des sites Active Directory est un aspect crucial de l’administration AD.
Pour avoir le contrôle sur les sites, vous pouvez :
- Afficher les sites AD : cela aide les administrateurs à pouvoir consulter tous les sites qu’ils ont créés, ce qui leur permet de comprendre quels sites sont disponibles pour exécuter quelles fonctions, notamment la réplication, et les aide également dans les scénarios de dépannage.
- Supprimer les sites et réseaux AD : Supprimez les sites qui ne sont plus nécessaires aux administrateurs du réseau et maintenez une bonne hygiène du réseau.
- Modifier des sites AD : Les administrateurs doivent avoir la possibilité de modifier les sites au cas où l’organisation déciderait de remodeler son réseau.
- Ajouter des réseaux supplémentaires aux sites AD : Les administrateurs doivent pouvoir facilement ajouter des sous-réseaux ou associer des réseaux supplémentaires aux sites, selon les besoins de l’organisation.
Toutes ces actions peuvent être effectuées sur la console “AD Sites and Services”, à laquelle on peut accéder via le dossier Outils d’administration (Administrative Tools) en naviguant vers :
Onglet Grille (Grid tab) > Serveurs Microsoft (Microsoft Servers) > Domaines Active Directory (Active Directory Domains).
Pour vous assurer que la performance d’Active Directory de votre entreprise est à la hauteur, vous devez surveiller efficacement les sites. Demandez une démonstration personnalisée avec nos experts produits pour découvrir comment ManageEngine ADAudit Plus peut vous aider à surveiller et sécuriser votre environnement AD.
Source : Active Directory sites in a nutshell