> Tech > Prévoir le basculement des DC

Prévoir le basculement des DC

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Sean Deuby - Mis en ligne le 13/10/2004 - Publié en Février 2004

Comment créer la meilleure topologie de site AD possible

La plupart des administrateurs savent qu'une bonne topologie de site AD (Active Directory) Windows 2000 est presque aussi importante qu'une bonne conception de domaine. Une topologie de site bien pensée réduit le trafic réseau associé aux AD, garantit que les utilisateurs s'authentifient par l'intermédiaire d'un DC (domain controller) proche, et rend plus prévisible le temps de réplication d'un objet dans toute l'entreprise...Les sites AD jouent aussi un autre rôle important, même s'il est moins connu et moins direct : ils influencent le basculement des DC client. Le basculement est l'opération par laquelle un client se connecte à  un autre DC quand le DC courant du client est défaillant. Par conséquent, une bonne topologie de sites AD est celle où l'on peut choisir n'importe quel emplacement sur le réseau, marquer un DC comme indisponible et faire que les clients de ce site choisissent le meilleur DC suivant disponible
Pourquoi est-il si important de concevoir en vue du basculement des DC ? La sélection du DC d'un client est un facteur important dans le temps de connexion de l'utilisateur et dans son temps de réponse perçu. Ainsi, la plupart des sociétés utilisent des scripts de logon et la distance sur le réseau entre le DC authentifiant et le client, a une grande influence sur la vitesse d'exécution du script de logon. Considérons aussi que Microsoft Exchange 2000 Server et ses clients sont de gros utilisateurs de l'AD Global Catalog (GC). Par conséquent, si l'on n'a pas la main heureuse en choisissant le DC qui héberge le GC, ce sera au détriment du temps de réponse e-mail du client.
Avant de commencer à  concevoir pour le basculement du DC, il faut savoir comment un client sélectionne son DC, un choix connu sous le nom de processus de localisation de DC. Quand vous modélisez le basculement des DC (en faisant comme si les DC préférés n'étaient pas disponibles), vous suivez le processus de localisation des DC pour déterminer quels DC de remplacement le client choisira. Dans l'idéal, quand un client Windows ne pourrait pas contacter un DC local (c'est-à -dire sur site), il utiliserait les coûts des liens de site dans la topologie de sites AD pour déterminer le site suivant le plus proche et tenter d'y contacter un DC. Si les DC de ce site n'étaient pas disponibles, le client rechercherait le site suivant le plus proche et essaierait à  nouveau, bouclant ainsi jusqu'à  ce qu'il trouve un DC. Malheureusement, le processus de localisation de DC n'en est pas encore à  ce stade. Dans Windows Server 2003 et Win2K, le client demande une liste des DC présents dans son site et son domaine. Si ces DC ne sont pas disponibles, le client demande la liste de tous les DC de son domaine. Pour plus d'informations sur le processus de localisation de DC Windows 2003 et Win2K, voir l'article « Topologie de l'authentification », Windows & .Net Magazine mai 2003 ou www.itpro.fr

Prévoir le basculement des DC

Entre autres enregistrements, les DC enregistrent les
enregistrements SRV de site et de domaine dans DNS. Quand
un client entame l’opération de localisation d’un DC, il reçoit
de DNS une liste des DC qu’il devrait tenter de contacter.
Pour bien concevoir le basculement des DC, il faut pouvoir
influencer l’ordre des DC dans la liste que le client reçoit de
DNS. En influençant cette liste, vous dites au client quel DC
il doit sélectionner si celui qu’il contacte n’est pas disponible.
Presque toujours, DNS met en tête de liste les DC présents
dans le site local du client, suivis de tous les DC dans le domaine
du client. Pour extraire l’information sur l’ordre de la
liste d’un client, entrez l’une des commandes suivantes

nslookup -querytype=srv
_ldap.tcp.sitename._sites.dc._msdcs
.domain.name
nslookup -querytype=srv
_ldap.tcp.dc._msdcs.domain.name

où sitename est le nom du site
du client et domain.name est le
FQDN (Fully Qualified Domain
Name) du domaine du client. Ces
commandes émulent le genre de
liste de DC que DNS renverra à  un
client du domaine domain.name et
du site sitename. La première commande
renvoie une liste des DC
présents dans le domaine et le site
du client, et la seconde commande
celle des DC de tout le domaine.
La figure 1 montre une configuration
hub and spoke (moyeu et
rayons) courante, où Hub est l’emplacement
principal d’une société
(et le centre du circuit WAN) et
Spoke1, Spoke2 et Spoke3 sont des
emplacements distants plus petits.
Tous les emplacements partagent un domaine. En tant que
site plus grand, Hub contient plusieurs DC ; les rayons plus
petits ont chacun un ou deux DC. La figure 1 montre aussi la
liste des DC pour Client1.

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010