Explorer les Sites et services Active Directory de Windows Server 2008
Si vous êtes en charge d’un service informatique de petite ou moyenne taille, il est fort probable que vous n’ayez donné qu’un bref coup d’œil à la console Sites et Services Active Directory, qui est installée sur chacun de vos contrôleurs de domaine. Pour la plupart, seules les organisations avec des hiérarchies Active Directory relativement complexes – celles qui appellent plusieurs sites, domaines, forêts, partitions, etc. — ont généralement besoin d’utiliser cet outil régulièrement. Même si vous n’avez utilisé que peu cet outil par le passé, c’était probablement dans un but spécifique, tel que la création d’un objet de stratégie de groupe.
Examinons la console Sites et services Active Directory livrée avec Windows Server 2008. Vous apprendrez quelles opérations sont effectuées par cet outil et comment l’outil s’est amélioré depuis Windows Server 2003. Vous apprendrez également à effectuer quelques tâches courantes.
Que fait-il ?
Microsoft indique que le but de l’outil Sites et services Active Directory est » d’administrer la topologie de réplication à la fois au sein d’un site d’un réseau local (LAN) et entre des sites d’un réseau étendu (WAN). »En termes plus simples, l’outil Sites et services Active Directory est l’interface principale pour créer, configurer et gérer des sites Active Directory et des sous-réseaux IP, gérer des serveurs de catalogue globaux, des liens de site et des mariées de liens de site, et la réplication inter-sites. Chacun de ces domaines est examiné plus en détail dans cet article.
L’article décompose les tâches courantes des Sites et Des Services Active Directory en trois groupes:
- Tâches centrées sur le serveur
- Tâches de site
- Tâches de réplication de site
Les tâches du serveur incluent:
- Sélection d’une stratégie de requête.
- Activation d’un serveur de catalogue global.
- Désactivation d’un serveur de catalogue global.
- Désignant un serveur de tête de pont préféré pour un site.
- Déplacement des contrôleurs de domaine entre les sites.
- Vérification de la topologie de réplication.
- Suppression des métadonnées de serveur éteintes.
Les tâches du site comprennent:
- Création d’un site.
- Renommer un site.
- Suppression d’un site.
- Création d’un sous-réseau.
- Associer un sous-réseau à un site.
- Suppression d’un sous-réseau.
- Sélection d’un autre ordinateur de licence.
- Mise en cache des adhésions universelles au groupe.
- Déléguer le contrôle d’un site.
- Connexion à une forêt.
- Connexion à un contrôleur de domaine.
- Révélant le nœud de services.
Les tâches de réplication de site incluent:
- Création d’un lien vers le site.
- Suppression d’un lien de site.
- Création d’un pont de liens de site.
- Suppression d’un pont de liens de site.
- Configuration de la disponibilité de la réplication des liens de site.
- Configuration du coût du lien de site.
- Configuration de la fréquence de réplication des liens de site.
- Ignorer les programmes de réplication.
- Activation ou désactivation des ponts de liens de site.
- Ajout d’un site à un lien de site.
- Ajout manuel de connexions.
- Forcer la réplication sur une connexion.
La plupart de ces tâches traitent de la création et de la gestion de plusieurs sites dans Active Directory ; en tant que telles, toutes ne sont pas examinées en profondeur dans cet article.
Les tâches les plus courantes que vous effectuerez avec les Sites et Services Active Directory sont:
- Création d’un objet de stratégie de groupe au niveau du site.
- Activation ou désactivation d’un serveur de catalogue global.
- Mise en cache des adhésions universelles au groupe.
Qu’est-ce qui est différent depuis Windows Server 2003?
Les outils de base d’Active Directory (y compris celui-ci) ont subi peu de changements dans Windows Server 2008. Les changements les plus importants que vous devriez rechercher sont les suivants:
- Onglet Éditeur d’attributs : Sur chaque écran des propriétés de l’objet, vous verrez maintenant un onglet intitulé Éditeur d’attributs. Les informations de cet onglet fournissent un accès direct à chacun des attributs Active Directory de l’objet. De là, vous pouvez à la fois afficher et modifier n’importe quelle propriété d’objet sans avoir à la rechercher dans l’interface graphique – si l’interface graphique fournit même un champ pour chaque propriété. Cette nouvelle fonctionnalité est un ajout très bienvenu à l’outil, et vous la trouverez également dans les autres outils Active Directory livrés avec Windows Server 2008. Ce nouvel onglet est illustré à la figure A.
Figure A
L’onglet Éditeur d’attributs
- Protéger l’objet de la Suppression accidentelle : Sur la page Propriétés de chaque objet de l’onglet Objet se trouve une case intitulée Protéger l’objet de la Suppression accidentelle. L’activation de cette case à cocher (figure B) signifie que la suppression d’un objet devient un processus en deux étapes, ce qui est beaucoup moins sujet aux erreurs.
Figure B
Case à cocher Protéger l’objet de la Suppression accidentelle
- Bouton Rechercher: Sur la barre d’outils, tout à droite, vous verrez maintenant un bouton Rechercher qui vous permet de localiser rapidement les objets que vous souhaitez manipuler.
- Gestion des stratégies de groupe : L’onglet Stratégie de groupe n’est plus sur une page de propriétés du site ; La gestion des stratégies de groupe est désormais effectuée uniquement via la console de gestion des stratégies de groupe. Microsoft a commencé le processus d’élimination de l’utilisateur des sites et services Active Directory pour la gestion des stratégies de groupe dans Windows Server 2003 et a finalisé ce processus dans Windows Server 2008.
Ce sont les principaux changements et, comme vous pouvez le constater, n’ont pas beaucoup d’impact. Bien que le bouton Rechercher soit agréable, c’est l’onglet Éditeur d’attributs qui est le véritable bonus de cette version, tout comme l’ajout de la console de gestion des stratégies de groupe.
Trouver votre chemin
Dans Windows Server 2008, vous pouvez accéder à l’outil Sites et services Active Directory de plusieurs manières. Quelle que soit la méthode choisie, vous devez vous connecter au serveur à l’aide d’un compte doté de droits d’administrateur de domaine et d’administrateur d’entreprise.
À partir d’un contrôleur de domaine Windows Server 2008, vous pouvez utiliser le nouvel outil Gestionnaire de serveur et accéder aux Rôles | Services de domaine Active Directory | Sites et services Active Directory, comme illustré à la figure C.
Figure C
Sites et Services Active Directory dans le contexte du Gestionnaire de serveur
Même si Windows Server 2008 est livré avec le nouveau gestionnaire de serveur, vous n’avez pas à l’utiliser. Comme cela a toujours été le cas, vous pouvez démarrer des Sites Et Services Active Directory à partir de Start | Tous Les Programmes | Outils d’Administration | Sites Et Services Active Directory.
Si vous avez déjà travaillé avec la console de gestion Microsoft, vous serez familier avec la mise en page. Il y a un ensemble de menus déroulants en haut de la fenêtre. Sous la barre de menus se trouve une barre de boutons qui fournit une fonctionnalité en un clic aux procédures fréquemment utilisées.
Enfin, vous verrez trois volets. Le volet de gauche fournit une vue arborescente de la configuration d’Active Directory. Le volet du milieu affiche les objets du conteneur mis en surbrillance dans le volet de gauche. Le volet de droite est le nouveau volet Actions, que Microsoft a commencé à ajouter à bon nombre de ses applications. Ce volet vous donne un moyen rapide d’accéder aux fonctions disponibles pour l’objet sélectionné dans le volet central. Si vous ne voyez pas le volet d’action, cliquez sur le bouton Afficher/Masquer le volet d’action dans la barre de boutons (deuxième bouton à partir de la droite) pour voir cette fonctionnalité. La figure D vous donne un aperçu des Sites et services Active Directory. Vous verrez également l’un des éléments du volet d’actions développés pour vous donner un aperçu de son fonctionnement.
Figure D
Sites et services Active Directory avec le volet d’action affichant
Choix de menu
La barre de menus donne accès aux fonctions suivantes:
- Fichier: Dans le menu Fichier, vous pouvez accéder à la fenêtre Options, qui vous permet de nettoyer les informations de la console (ce que vous ne ferez pas si souvent). Vous pouvez également quitter les Sites et Services Active Directory en cliquant sur Quitter.
- Action : Les éléments de ce menu changent en fonction de l’objet que vous avez sélectionné ci-dessous. La plupart du temps, les éléments du menu Action sont les mêmes choix que si vous cliquiez avec le bouton droit de la souris sur un objet.
- Affichage : Le menu Affichage vous permet de personnaliser l’apparence de la console Sites et services Active Directory. Vous pouvez modifier l’apparence des objets, le nombre de colonnes affichées et même filtrer les objets que vous ne souhaitez pas voir apparaître.
- Aide : Aide vous permet d’accéder aux fichiers d’aide de la console Sites et services Active Directory et du MMC en général.
La barre de boutons
Comme la plupart des MMC, la barre de boutons des Sites Et Services Active Directory ressemble le plus à un navigateur Web. Comme les boutons du navigateur, ces boutons sont relativement explicites. De gauche à droite, ces boutons sont:
- Retour
- Avant
- Haut d’un niveau
- Afficher / Masquer l’arborescence de la console
- Copier / Couper / Coller (selon ce que vous faites)
- Supprimer
- Propriétés
- Actualiser
- Liste d’exportation
- Aide
- Afficher/Masquer le volet d’action
- Rechercher des objets dans les services de domaine Active Directory
Vous remarquerez que, lorsque vous passez d’un conteneur à l’autre dans les fenêtres inférieures, les boutons changeront ou deviendront indisponibles.
L’arborescence de la console
Le volet de gauche s’appelle l’arborescence de la console. Ce volet affiche l’ensemble du site et des objets associés pour Active Directory. Pour accéder à des objets et propriétés spécifiques, naviguez dans la console comme vous le feriez pour toute autre application. Après avoir développé le dossier Sites, vous trouverez les objets par défaut suivants dans Sites et services Active Directory:
- Sous-réseaux : Ce conteneur contient tous les sous-réseaux configurés sur le site. Par défaut, aucun sous-réseau n’est créé avec l’installation de Windows Server 2008.
- Transports inter-Sites: Ce conteneur contient les objets de lien de site IP et SMTP qui sont utilisés pour lier des sites entre eux. Une instance de lien de site par défaut est créée pour l’adresse IP et reçoit le nom DEFAULTIPSITELINK. Par défaut, aucun lien de site SMTP n’est créé dans un tout nouveau domaine Windows Server 2008.
- Nom du site : Le nom du site par défaut est, comme dans la figure E, Nom du premier site par défaut. Tous les serveurs du site seront situés dans ce conteneur à partir duquel ils pourront être configurés et gérés.
Figure E
Sites Et Services Active Directory avec un nom de site sélectionné.
Tâches courantes
Avec cette brève introduction à l’outil Sites et services Active Directory, voici quelques tâches courantes qui pourraient être effectuées avec cet outil, bien que dans des organisations plus petites.
Configuration d’un serveur de catalogue global
En regardant la figure E, examinez attentivement la figure et remarquez que sous l’arborescence de la console sur le côté gauche existe l’objet Paramètres NTDS; dans le volet droit de la fenêtre existe l’objet Paramètres du site NTDS. Ne les confondez pas.
Par défaut, seul le premier contrôleur de domaine installé dans une nouvelle forêt est configuré en tant que serveur de catalogue global. Vous pouvez créer des serveurs de catalogue globaux supplémentaires en développant le nœud de serveur spécifique que vous souhaitez configurer en tant que serveur de catalogue global et en cliquant avec le bouton droit sur l’objet Paramètres NTDS situé en dessous. La boîte de dialogue Propriétés des paramètres NTDS s’ouvrira comme indiqué sur la figure F. Pour configurer le contrôleur de domaine en tant que serveur de catalogue global, sélectionnez l’option Serveur de catalogue global et cliquez sur OK pour fermer la boîte de dialogue Propriétés.
Figure F
Faire d’un serveur un serveur de catalogue global
Implémenter une mise en cache de groupe universelle
Dans Windows 2000 Server, un événement d’ouverture de session utilisateur nécessitait les services d’un serveur de catalogue global pour authentifier l’utilisateur auprès d’Active Directory. Dans Windows Server 2003, la mise en cache de groupe universelle ajoute une nouvelle tournure à ce processus, permettant à un utilisateur de se connecter au réseau sans avoir à contacter un serveur de catalogue global.
Lorsque la mise en cache de groupe universelle est configurée, l’appartenance à un groupe universel d’un utilisateur est mise en cache sur un contrôleur de domaine la première fois qu’il se connecte au réseau à l’aide de ce contrôleur de domaine. Les informations de cache sont considérées comme valides pendant un certain temps, après quoi elles sont actualisées du catalogue global. La valeur par défaut est de huit heures, bien que vous puissiez la modifier si nécessaire. Lorsque la mise en cache est configurée, les utilisateurs situés dans des emplacements distants sans serveurs de catalogue globaux bénéficient de temps de connexion plus rapides. De plus, une défaillance d’un serveur de catalogue global n’empêchera pas nécessairement la connexion réussie d’un utilisateur au réseau.
La mise en cache de groupe universelle est configurée au niveau du site à l’aide de l’objet Paramètres du site NTDS, visible à la figure E. Cliquez avec le bouton droit sur l’objet Paramètres du site NTDS et sélectionnez Propriétés dans le menu contextuel. La boîte de dialogue Propriétés des paramètres du site NTDS s’ouvre.
Pour activer la mise en cache, sélectionnez l’option Activer la mise en cache universelle de l’appartenance à un groupe. Vous pouvez choisir d’actualiser le cache à partir d’un site spécifique ou du site le plus proche disposant d’un serveur de catalogue global en utilisant l’option < Par défaut >, que vous pouvez voir dans la figure G.
Figure G
Activation ou désactivation de la mise en cache d’appartenance à un groupe universel
Il y a plus d’où cela vient
La console Sites et services Active Directory est utilisée pour de nombreuses autres tâches de haut niveau, notamment la création et la gestion de sites, la création et la gestion de liens de sites et la création et la gestion de sous-réseaux. Pour comprendre le processus et le but de ces tâches, vous devez d’abord avoir une bonne compréhension de la conception et de la mise en œuvre d’Active Directory multi-sites très complexes.
Vous voulez suivre les publications de Scott Lowe sur TechRepublic?
- Inscrivez-vous automatiquement à la newsletter Serveurs et stockage
- Abonnez-vous au flux RSS Serveurs et stockage
- Suivez Scott Lowe sur Twitter