Comprendre les contrôleurs de domaine

Windows NT Server organise les groupes d'ordinateurs en domaines, faisant en sorte que les machines d'un domaine partagent une base de données et une politique de sécurité communes. Les contrôleurs de domaine sont des systèmes sous Windows NT Server qui partagent la base de données centrale stockant les comptes des utilisateurs et leurs informations de sécurité pour un domaine. Lorsqu'un utilisateur se connecte à  un compte de domaine, les contrôleurs de domaine authentifient le profil et le mot de passe de l'utilisateur en utilisant les informations de la base de données d'annuaire (également souvent baptisée base de données de sécurité de domaine ou base de données SAM). Pendant l'installation de Windows NT Server, vous devez désigner le rôle que chaque serveur devra tenir dans un domaine. NT vous offre le choix de 3 rôles : PDC (Primary Domain Controller - contrôleur principal de domaine), BDC (Backup Domain Controller - Contrôleur secondaire de domaine) et serveur membre. On crée un domaine dès lors que l'on désigne un PDC. Les PDC et BDC sont des éléments cruciaux des domaines. Pour garder le contrôle et tirer le meilleur des domaines que vous créez dans votre réseau NT, vous devez comprendre ce que sont les PDC et BDC, comment synchroniser la base de données d'annuaire entre PDC et BDC dans un domaine, comment promouvoir un BDC en PDC lorsque le PDC est indisponible, comment déterminer le bon nombre de PDC pour un domaine donné et comment gérer les relations d'approbation entre les PDC de différents domaines.

Les domaines Windows NT 4.0 et 3.51 peuvent contenir de nombreux serveurs, mais un seul peut être PDC. Le PDC stocke les informations de comptes de domaine et de sécurité dans la copie principale de la base de données d'annuaire. Lorsque vous réalisez des modifications sur des comptes utilisateur ou des informations de sécurité, le PDC enregistre ces modifications dans la copie de la base de données d'annuaire du PDC. Le PDC est le seul contrôleur du domaine qui reçoit directement les modifications.

Autrement dit, le PDC stocke une copie en lecture seule de la base de données d'annuaire. Un domaine peut comporter plusieurs BDC. Chaque BDC tient à  jour une version en lecture seule de la base de données d'annuaire principale du PDC. On ne peut pas modifier la copie du BDC de la base de données d'annuaire. Grâce à  la duplication de la base de données d'annuaire du PDC sur les BDC, on peut promouvoir tout BDC en PDC en cas de défaillance du PDC ou s'il faut l'arrêter pour maintenance. Les BDC sont aussi utiles pour répartir la charge d'authentification des connexions au réseau.
Il est vital d'avoir au moins un BDC par domaine. Si le ODC est défaillant, on peut conserver un domaine en état de marche en transformant un BDC en PDC. La promotion des BDC permet de faire des modifications dans la base de données d'annuaire et propager ces modifications dans le reste du réseau. La promotion de BDC permet également l'accès aux ressources du réseau et préserve une base de données d'annuaire accessible dans le domaine.
A défaut de contrôleur de domaine, les utilisateurs ne peuvent pas se connecter et s'authentifier dans le domaine. Les ordinateurs ne pouvant s'authentifier dans le domaine, ils ne peuvent pas établir le canal sécurisé nécessaire à  la communication entre machines d'un domaine. Les comptes de groupes n'auront pas accès aux ressources du domaine. En résumé, sans BDC à  promouvoir en PDC, il vous faudra fournir beaucoup d'explications lorsque votre réseau s'arrêtera. Windows 2000 a une approche différente des contrôleurs de domaine. A l'instar de leurs homologues Windows NT, les contrôleurs de domaine Windows 2000 stockent une copie de la base de données d'annuaire. Cependant, Windows NT 4.0 et 3.51 mettent en oeuvre un modèle de duplication à  domaine maître unique dans lequel le PDC d'un domaine gère la copie principale de la base de données d'annuaire.
Les contrôleurs de domaine Windows 2000 hébergent, pour leur part, une copie en lecture écriture de la base de données d'annuaire. De plus, dans Windows NT 4.0 et 3.51, le PDC d'un domaine doit toujours être accessible pour que des changements puissent intervenir dans la base de données d'annuaire. Ce n'est pas le cas avec Windows 2000 car Active Directory (AD) utilise un modèle de réplication à  domaine maître multiple. Ce modèle permet à  un administrateur de modifier l'annuaire sur n'importe quel contrôleur du domaine.

Ce dernier peut alors répliquer les changements vers tous les autres contrôleurs du domaine. Il en résulte une disponibilité à  100 % de l'annuaire, même en cas d'indisponibilité temporaire de certains contrôleurs du domaine. Dans le modèle de réplication à  domaine maître multiple, tous les contrôleurs de domaine sont égaux ; la dénomination PDC ou BDC n'existe pas. L'encadré « Migrer les domaines NT 4.0 et 3.51 vers Windows 2000 » explique ce qui arrive à  vos domaines lorsque vous migrez vers Windows 2000.