Les bizarreries d’Active Directory

Une des forces d’Active Directory (AD) est son modèle de réplication. En lieu
et place des uniques PDC en lecture/écriture épaulés par des BDC en lecture seule
de Windows NT, chaque contrôleur de domaine d’AD est en lecture/écriture. Une
structure complexe de réplication multi-maître fait en sorte que chaque contrôleur
de domaine connaît les changements apportés aux autres contrôleurs de domaine.
La réplication compresse les données jusqu’à  un facteur de 10 avant de les transmettre
sur les liaisons WAN lentes et les administrateurs peuvent planifier le moment
où s’exécutent les duplications.

Lorsque l’on change un attribut de compte utilisateur dans Windows NT 4.0, l’OS
réplique la totalité de l’enregistrement de l’utilisateur. Pour sa part, Active
Directory ne réplique que les attributs modifiés. Cependant, AD stocke l’appartenance
à  un groupe comme un attribut. Cet attribut comporte la liste des utilisateurs
et machines d’un groupe (oui, les groupes peuvent comporter des comptes de machines
dans AD). Le problème, c’est que les attributs ont une taille maximum dans la
base de données Active Directory et que AD n’a de place que pour 5.000 SID au
maximum dans les attributs d’appartenance à  un groupe. Ce problème ne concerne
cependant pas le groupe intégré Utilisateurs du domaine qui n’a apparemment pas
cette limite de 5.000 entrées.

Associé à  la réplication multi-maître, l’appartenance à  un groupe sous forme d’attributs
crée un autre problème potentiel : les collisions de changement d’appartenance.
La suppression du modèle de réplication à  maître unique crée un nouveau scénario
possible. Supposons que les contrôleurs de domaine de Nice et Paris d’une société
soient dans le même domaine. Un groupe baptisé OpérateursDeServeursFax contient
les noms des utilisateurs pouvant administrer des serveurs de fax logiciels. Imaginons
maintenant que Alain, un des administrateurs de domaine de Paris s’ajoute dans
le groupe des Opérateurs de serveurs fax et que, à  peu près au même moment, Michel,
administrateur de domaine à  Nice s’ajoute également dans ce groupe.

Les deux modifications changent l’attribut d’appartenance de l’enregistrement
décrivant l’objet OpérateursDeServeursFax. Les changements d’Alain et Michel sont
répliqués localement et à  travers le WAN à  peu près au même moment. Ces changements
peuvent éventuellement entrer en collision. Active Directory utilise un algorithme
pour déterminer qui gagne, mais en gros, c’est le dernier qui a fait sa modification
qui l’emporte.

Peut-être ne modifiez-vous pas très souvent les appartenance à  vos groupes et
que le risque de collisions des modifications ne vous inquiète pas. Mais si vous
désirez vous assurer que les changements d’appartenance aux groupes n’entrent
pas en collision, vous pouvez décider de revenir aux pratiques de Windows NT 4.0
en quelques sortes. Vous pouvez décider qu’un de vos contrôleurs du domaine sera
considéré comme une sorte de chambre de compensation et dire aux administrateurs
qu’avant de modifier l’appartenance à  un groupe, ils doivent pointer l’outil d’administration
des utilisateurs et ordinateurs d’Active Directory sur le contrôleur de domaine
agissant comme chambre de compensation. (Pour changer de contrôleurs de domaine,
double-cliquez sur l’outil d’administration des utilisateurs et des ordinateurs
d’AD, cliquez à  droite sur l’icône de votre domaine, choisissez Se connecter au
contrôleur de domaine, tapez ensuite le nom du contrôleur de domaine avec lequel
vous voulez travailler.