Certains termes décrivant l'agencement et l'architecture interne d'Exchange Server sont conservés dans Windows 2000 et une partie de la terminologie a évolué pour refléter l'utilisation par Windows 2000 d'AD au lieu du Directory Store. Microsoft a basé AD sur un modèle multimaître. Contrairement à NT, qui utilise une véritable copie
Des sites évolutifs
de la base SAM sur le PDC pour effectuer toutes les mises à jour (par exemple
les modifications de mots de passe), AD permet d’apporter des modifications aux
objets sur n’importe quel contrôleur de domaine.
Tous les contrôleurs de domaines ont l’accès en écriture à tout objet appartenant
au domaine, tout comme les serveurs Exchange Server 5.5 ont accès en écriture
à tout objet appartenant à leur site. Windows 2000 a adopté le terme de site,
qui ne décrit plus un module majeur de l’organisation Exchange Server. Un site
Exchange Server 5.5 n’a rien à voir avec un site Windows 2000 ou un domaine Windows
2000.Un site Exchange Server 5.5 représente une limite pour les opérations d’administration,
l’acheminement des messages et la topologie du réseau.
Tous les serveurs d’un site partagent automatiquement un annuaire commun et peuvent
envoyer des messages point-à -point. Cet annuaire permet aux serveurs de connaître
tous les connecteurs disponibles sur les serveurs d’un site et, par conséquent,
d’effectuer des opérations de routage communes.
Windows 2000 utilise un compte de service commun pour démarrer et arrêter l’ensemble
des services Exchange sur tous les serveurs du site et utilise souvent un certain
nombre d’autres comptes autorisés pour effectuer des opérations d’administration.
Les sites Exchange Server peuvent couvrir plusieurs domaines NT, mais je ne conseille
pas cette configuration. L’utilisation de plusieurs domaines NT est une configuration
inhabituelle qui dépend de relations d’approbation.
La plupart des implémentations majeures optent pour une option facile à gérer
qui consiste à placer tous les serveurs d’un site dans un domaine commun.
Dans la plupart des cas, le fait qu’un site Exchange Server 5.5 serve de limite
pour le réseau, le routage et les opérations d’administration ne pose pas de problème.
De fait, c’est une approche intégrée de la gestion très facile à comprendre pour
les utilisateurs, mais qui manque de souplesse pour les organisations souhaitant
séparer la responsabilité du réseau, du routage et des opérations d’administration
à des groupes différents. Dans Exchange 2000, des composants enfichables de la
MMC (Microsoft Management Console) permettent d’attribuer à différents administrateurs
la responsabilité des différentes tâches.
Décider où tracer les limites des sites est devenu une forme d’art. C’est la disponibilité
du réseau qui joue un rôle majeur pour déterminer la limite d’un site et la plupart
des concepteurs n’incluront pas un serveur dans un site s’ils ne disposent pas
de 64 Kbps de bande passante pour sa connexion. Toute communication entre les
serveurs d’un site se fait via des appels RPC (remote procedure call). La communication
ne peut pas être planifiée car les serveurs forment un réseau maillé automatique
pour s’échanger les messages. L’Assistant Déplacer un serveur (depuis Exchange
Server 5.5 SP2), qui permet de déplacer un serveur entre des sites, peut atténuer
les conséquences du paramétrage incorrect de la limite d’un site.
Un site Windows 2000 constitue effectivement une limite de réseau que déterminent
un ou plusieurs sous-réseaux IP et est donc étroitement associé avec la topologie
du réseau sous-jacent. Comme dans un site Exchange Server, tous les contrôleurs
de domaines d’un site Windows 2000 communiquent via des RPC pour la duplication
d’AD.
Le Knowledge Consistency Checker (KCC) connecte automatiquement les contrôleurs
de domaines à la duplication entre sites d’AD, une fois qu’ils ont rejoint le
site. Le KCC est un concept Exchange Server. Toutes les 15 minutes, il surveille
les contrôleurs de domaines d’un site et veille à ce que les connexions nécessaires
existent pour dupliquer les données entre les contrôleurs.
A l’intérieur d’un site, les objets connexion relient les contrôleurs de domaines
pour former une topologie de duplication, que gère le KCC. Les détails des objets
connexion résident dans AD. Contrairement à la duplication du réseau maillé utilisée
par le Directory Store d’Exchange Server, le KCC réduit au maximum l’activité
de duplication et veille à ce qu’elle emprunte le chemin réseau le plus efficace.
Il veille, par exemple, à ce que les contrôleurs de domaines soient reliés par
des objets connexion n’utilisant pas plus de trois segments.
L’optimisation de la duplication est, certes, importante pour tous les systèmes
de messagerie, mais elle est cruciale pour un système d’exploitation dépendant
d’une duplication rapide des données pour permettre à l’annuaire d’atteindre un
état stable et cohérent dans tout le réseau.
Les changements de mots de passe qui ne vont pas assez vite ennuient les utilisateurs.
Tout comme une organisation Exchange Server 5.5 peut avoir beaucoup de sites,
chacun représentant une île de bande passante de réseau de grande qualité, un
domaine Windows 2000 peut comporter de nombreux sites caractérisés par le même
type de disponibilité du réseau.AD utilise les sites Windows 2000 pour déterminer
comment diriger les connexions clientes vers le contrôleur de domaine le plus
proche pour l’authentification. Celle-ci doit avoir lieu le plus vite possible
et il n’est pas logique de diriger un client vers un contrôleur de domaine éloigné
pour l’authentification.
Les clients reconnaissant Windows 2000 peuvent interroger DNS pour déterminer
le contrôleur de domaine ou le Catalogue Global le plus proche à utiliser, puis
se connecter à lui. Les clients découvrent le site auquel ils appartiennent en
commençant par interroger DNS pour obtenir une liste des contrôleurs de domaines.
Puis, en comparant leur adresse IP aux sous-réseaux IP des sites Windows 2000,
les clients se connectent au premier contrôleur de la liste. Le contrôleur de
domaine informe le client sur les informations des sites, que le client insère
ensuite dans le Registre.
Après quoi, lorsque le client démarre et veut s’authentifier, il peut interroger
DNS pour obtenir une liste des contrôleurs de domaines uniquement pour ce site,
puis procéder à l’authentification localement. DNS reconnaît les contrôleurs de
domaines via des enregistrements de services spéciaux ajoutés par Windows 2000
à la base de données DNS lors du démarrage d’un contrôleur de domaine.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
