La plus petite unité de réplication

une poignée d’octets ou plusieurs milliers. Ce mécanisme de réplication complique les choses dans le cas d’attributs multivaleurs, comme l’attribut membre d’un objet groupe. Essentiellement, on constate les deux problèmes suivants.

1.Données de réplication excessives et nombre limité de membres du groupe – Si un groupe a 999 membres et si un administrateur lui ajoute un autre membre, un DC Win2K répliquera l’attribut membre complet vers ses partenaires de réplication (c’est-à-dire la liste des 1 000 membres). Mais comme une mise à jour de la base de données d’AD doit être écrite en une seule transaction, limitée à la taille d’un attribut multivaleur d’environ 5 000 valeurs, l’AD de Win2K ne prend pas en charge les groupes de plus de 5 000 membres. Pour tourner cette difficulté, les sociétés de plus de 5 000 utilisateurs appliquent des mécanismes de « nids de groupes » afin que le nombre de membres reste inférieur au maximum acceptable.

2. Perte de changements – Le mécanisme de réplication Win2K risque d’entraîner la perte de changements de groupes quand deux administrateurs ajoutent un utilisateur différent au même groupe sur des DC différents dans le domaine d’AD. Si cela se produit presqu’en même temps, c’est-à-dire avant que l’un ou l’autre des changements ne soit répliqué correctement sur l’autre DC), l’un des changements est perdu. Le remède consiste à faire appliquer par tous les administrateurs des changements de groupes sur le même DC. La fonction LVR de Windows 2003 est l’un des principaux changements dans la manière dont l’AD réplique des données spécifiques.

Cette fonction exige que votre forêt d’AD opère à l’un des niveaux fonctionnels de forêts suivants :
• Windows 2003 interims – pour le scénario de mise à niveau NT 4.0 ; permet l’existence de DC NT 4.0 dans la forêt, mais pas de DC Win2K.

• Windows 2003 – Tous les DC présents dans la forêt doivent utiliser Windows 2003 ; ne sont autorisés ni des DC NT 4.0 ni des DC Win2K. Quand vous effectuez une mise à niveau sur place de votre forêt d’AD Win2K, votre niveau fonctionnel de forêt ne change pas automatiquement : la forêt fonctionnera en mode Win2K, lequel ne supporte pas LVR. Même si vous appliquez une forêt d’AD de nouvelle marque en utilisant un DC Windows 2003, le niveau fonctionnel de forêt par défaut est réglé sur Win2K.

Pour élever le niveau de forêt à Windows 2003, vous devez d’abord faire passer tous les domaines présents dans la forêt au niveau fonctionnel de domaine Windows 2003. Vous pouvez utiliser le snap-in MMC Active Directory Domains and Trusts pour vérifier vos niveaux fonctionnels de domaines et de forêts. Pour élever le niveau fonctionnel de forêt, faites un clic droit sur le noeud supérieur appelé Active Directory Domain and Trusts et sélectionnez Raise Forest Functional Level dans le menu contextuel, comme le montre la figure 3.

Une fois que votre forêt d’AD a été placée au niveau fonctionnel de forêt Windows 2003 (ce processus est irréversible et doit être mûrement réfléchi), le mécanisme LVR est activé. Pour avoir confirmation de ce basculement, examinez l’event ID 1695 dans le NTDS event log de chaque DC présent dans votre forêt. LVR change la plus petite unité de réplication : chaque valeur dans des attributs multivaleurs qui sont liés à d’autres attributs se répliquera désormais séparément au moment où la valeur sera ajoutée à, ou supprimée de, l’attribut. Ainsi, si un utilisateur est ajouté à un groupe qui contient déjà 999 membres sur un DC, seul l’ajout de cet utilisateur est répliqué sur les partenaires de réplication du DC dans le domaine. De la même manière, la suppression d’un utilisateur d’un groupe ne réplique que ce changement d’état du lien entre l’utilisateur et le groupe, au lieu de répliquer tous les membres du groupe. On voit donc que LVR résout les deux problèmes évoqués plus haut pour le mécanisme de réplication Win2K dans le cas d’attributs multivaleurs :

• Nombre de membres de groupes illimité – Outre une moindre utilisation du réseau lors de la réplication de changements de groupes, LVR a pour grand avantage de supprimer la limite supérieure du nombre de membres d’un groupe. Avec LVR, on peut avoir des groupes de millions de membres dans des AD Windows 2003 ! Cependant, la mise à jour de la base de données d’AD doit s’écrire en une seule transaction, et donc il ne faut pas ajouter ou supprimer plus de 5 000 membres à un groupe en une opération. Si votre AD a une gestion de groupes automatisée, assurez-vous que vos systèmes de gestion de provisioning ou de groupes comprennent bien cette limitation.

• Assurer l’intégrité des changements – Comme les changements apportés aux membres de groupes et aux autres valeurs liées sont répliqués séparément, les changements du même groupe effectués en même temps sur des DC différents ne risquent pas d’être perdus.