Au cur de lActive Directory

1
Au cur de lActive Directory
Deuxième partie

• Francis Roy

2
Au cur de lActive Directory
Au cur de lAD - résumé

• Pourquoi lActive Directory ?
• Concept de lActive Directory
• LDAP et le domaine
• LDAP et la forêt
• Résumé
• La réplication
• Les objets de lActive Directory
• Le rôle du Global Catalog
• Intégration Unix dans lAD
• Active Directory de Windows 2003

3
Au cur de lAD - résumé

• Remplacer la SAM de NT4 et faire face à la
  concurrence
• Active Directory
• Basé sur un répertoire LDAP v3 (RFC 2252)
• Distribué sur chaque contrôleur de domaine de la
  forêt (C\Winnt\NTDS\ntds.dit)
• Information répliquée à lintérieur dun domaine
• Le domaine est lentité de sécurité pour la
  gestion du LDAP
• Réplication soccupe de faire concorder
  linformation entre les domaines
• Le catalogue global (GC) soccupe de trouver
  linformation distribuée dans lensemble des LDAP

4
Au cur de lAD - résumé
Trust transitif - Kerberos
Forêt
Domaine
racine
Global Catalog
réplication
Arbre 2
Arbre 1
5
Au cur de lAD - résumé

• Divisé en trois partitions nommées
   namingContexts 

Ntds.dit
Le domaine tous les objets dun environnement
Windows source domaine La configuration
topologie des LDAP distribués dans la
forêt source selon les privilèges Le schéma
définition de tous les objets que lAD peut
contenir source domaine racine
defaultNC
configurationNC
schemaNC
6
Au cur de lAD - résumé

• Divisé en trois partitions nommées
   namingContexts 

Ntds.dit

• Le domaine tous les objets dun environnement
  Windows
• Source
• DN DomainDN
• DCsit,DCulaval,DCca
• Portée
• Le domaine
• Réplication
• Chaque DC
• Rôle  PDC Emulator 
• Modification
• Chaque DC
• Rôle  RID Master 
• Rôle  Infrastructure Master 
• Le catalogue global (GC)

defaultNC
configurationNC
schemaNC
7
Au cur de lAD - résumé

• Divisé en trois partitions nommées
   namingContexts 

Ntds.dit

• La configuration topologie des LDAP distribués
  dans la forêt
• Source
• DN CNConfiguration,ForestDN
• CNConfiguration,DChestia,DCca
• Portée
• La forêt
• Réplication
• Chaque DC
• Modification
• Le DC qui a le rôle de forêt  Domain Naming
  Master 
• Chaque DC selon les privilèges

defaultNC
configurationNC
schemaNC
8
Au cur de lAD - résumé

• Divisé en trois partitions nommées
   namingContexts 

Ntds.dit

• Le schéma définition de tous les objets que
  lAD peut contenir
• Source
• DN CNSchema,CNConfiguration,ForestDN
• CNSchema,CNConfiguration,DChestia,DCca
• Portée
• La forêt
• Réplication
• Chaque DC
• Modification
• Le DC qui a le rôle de forêt  Schema Master 

defaultNC
configurationNC
schemaNC
9
Au cur de lAD - erratum

• Les GPO sont-ils dans le LDAP ?
• Non, cest un ensemble de fichiers disponible
  dans le SYSVOL. Le mandat du GPO est de masquer /
  forcer des clefs du registre pour imposer un
  comportement aux objets concernés
• Netlogon C\WINNT\SYSVOL\sysvol\sit.ulaval.ca\SCR
  IPTS
• Sysvol C\WINNT\SYSVOL\sysvol
• \\sit.ulaval.ca\SysVol\sit.ulaval.ca\Policies\03D
  D6B87-3A9F-4FE5-BEB3-2AAD1F0D0586

10
Au cur de lAD - oubli
11
Au cur de lAD - résumé

• Zone libre
• Questions ?
• Commentaires ?

12
Au cur de lActive Directory
La réplication

• Pourquoi lActive Directory ?
• Concept de lActive Directory
• LDAP et le domaine
• LDAP et la forêt
• Résumé
• La réplication
• Les objets de lActive Directory
• Le rôle du Global Catalog
• Intégration Unix dans lAD
• Active Directory de Windows 2003

13
La réplication

• But
• Sassurer que linformation de lActive Directory
  soit concordante dans toute la forêt
• Difficulté
• LDAP distribué dans un environnement
   multi-master 
• Comment
• KCC (Knowledge Consistency Checker)
• Service sur chaque contrôleur de domaine de la
  forêt
• Négocie des connections de réplication ( anneau )
• Recommence aux 15 minutes

14
La réplication

• Règles de négociation du KCC
• Temps (nombre) de réplication
• Des contrôleurs de domaine
• De la charge de réplication
• Des rôles
• Des pannes
• Des domaines (namingContexts)
• Des sites
• Des serveurs de catalogue global (GC)

15
La réplication
Ntds.dit
defaultNC
configurationNC
Forêt
Ulaval.ca
schemaNC
Hestia.ca
Schema Naming Master
Domain Naming Master Global Catalog
16
La réplication

• Plusieurs sites

Ntds.dit
defaultNC
configurationNC
Forêt
Ulaval.ca
schemaNC
Hestia.ca
Schema Naming Master
BridgeHead Server
Domain Naming Master Global Catalog
17
La réplication
18
La réplication

• Granularité
• Attribut (propriété)
• Prénom
• Nom
• La mise à jour du nom et du téléphone dun
  utilisateur sur 2 DC différents cause-t-elle un
  conflit de réplication ?
• Non! Une réplication pour le nom et une autre
  pour le téléphone
• Étiquette (Globally Unique Stamps)
• Suit la mise à jour durant la réplication
• Numéro de version  Timestamp  GUID du
  serveur dorigine

Quiz !
19
La réplication

• Conflits de réplication
• Objet sous un contenant supprimé
• Après réplication, le contenant est supprimé et
  lobjet est déplacé dans le OU  LostAndFound 
• Objet du même nom (relative DN)
• Lobjet avec létiquette la plus haute garde le
  nom, lautre est renommé (CN  CNF    
  GUID de lobjet)
• Attribut
• La mise à jour qui a létiquette la plus haute
  remplace lautre

20
La réplication

• Cas vécus
• Laisser mijoter lors de lentrée dun domaine
• Erreurs dans les Event Logs dun autre DC
•  Directory Service 
•  File Replication Service 
• Pas de communication entre les DC
• Contrôleur de domaine qui sort sans démotion

21
La réplication

• Cas vécus
• Membres dun groupe dans le projet du courriel
  des étudiants

courrielEtudiant CNMarie,CNUsers,DCulaval,DCca
CNJean,CNUsers,DCulaval,DCca CNEric,CNUsers
,DCulaval,DCca
courrielEtudiant CNMarie,CNUsers,DCulaval,DCca
CNJean,CNUsers,DCulaval,DCca CNEric,CNUsers
,DCulaval,DCca
courrielEtudiant CNMarie,CNUsers,DCulaval,DCca
CNJean,CNUsers,DCulaval,DCca CNDave,CNUsers
,DCulaval,DCca CNGilles,CNUsers,DCulaval,DCc
a
courrielEtudiant CNMarie,CNUsers,DCulaval,DCca
CNJean,CNUsers,DCulaval,DCca CNEric,CNUsers
,DCulaval,DCca
conflit
réplication
22
La réplication

• Zone libre
• Questions ?
• Commentaires ?

23
Au cur de lActive Directory
Les objets de lActive Directory

• Pourquoi lActive Directory ?
• Concept de lActive Directory
• LDAP et le domaine
• LDAP et la forêt
• Résumé
• La réplication
• Les objets de lActive Directory
• Le rôle du Global Catalog
• Intégration Unix dans lAD
• Active Directory de Windows 2003

24
Les objets de lActive Directory

• Définition des objets
• Tous les objets de lAD (incluant ceux de la
  configuration) sont définis dans le schéma LDAP
   schemaNamingContext 
• Dans quelle partition est situé le schéma ?
• DN CNSchema,CNConfiguration,DChestia,DCca
• On le retrouve sur quel(s) contrôleur(s) de
  domaine ?
• En lecture sur tous les DC de la forêt. En
  écriture sur le DC qui a le rôle  Schema Master 

Quiz !
25
Les objets de lActive Directory

• Le schéma quest-ce que cest ?
• Des classes
• Chaque objet de lAD est une instance dune
  classe
• La classe défini les caractéristiques dun objet
• Les attributs associés à lobjet
• Les sécurités par défaut
• Le  relative-distinguished name  (RDN)
• Etc.
• Des attributs
• Les attributs sont regroupés par classe
• Toutes les propriétés qui définissent le contenu
  de lobjet
• Chaque attribut défini le format dune propriété
• Type, longueur, syntaxe, etc.

26
Les objets de lActive Directory

• Le schéma types de classe
• Classe abstraite
• Cest un gabarit pour dautres classes dans la
  hiérarchie du schéma. Elle ne peut pas être
  linstance dun objet.
• Classe auxiliaire
• Elle sert à grouper des attributs. Elle ne fait
  pas partie de la hiérarchie mais est plutôt
  associée à dautres classes. Elle aussi ne peut
  pas être linstance dun objet.
• Classe structurale
• Cest la classe qui permet de créer des objets
  dans lAD. Elle est souvent dérivée dune classe
  abstraite ou dune autre classe structurale.

27
Les objets de lActive Directory

• Le schéma attributs
• Il ny a pas de type particulier dattribut. Un
  attribut se distingue par
• Son association à une classe
• Mandatory
• Optional
• Le type et le format des données quil contient
• Single-valued, Multi-valued
• Integer, Unicode String, Distinguished Name
• rangeLower, rangeUpper
• Les options spéciales

28
Les objets de lActive Directory

• Le schéma attributs (options spéciales)
• Indexed
• Pour optimiser la recherche. Cest comme une
  indexation dans une base de donnée.
• Global Catalog
• Indique que cet attribut sera répliqué dans le
  GC.
• Ambiguous Name Resolution (ANR)
• Extension Microsoft qui permet de rechercher dans
  plusieurs attributs simultanément. (anrfrancis)
  recherche la chaine francis dans 9 attributs.
• Linked
• Permet de référencer deux objets dont les
  attributs sont liés.

29
Les objets de lActive Directory

• Le schéma hiérarchie

• 14 classes abstraites
• 17 classes auxiliaires
• 3 pour Ad4Unix
• 1 pour Ulaval
• 301 classes structurales
• 163 pour Exchange
• 14 pour Ad4Unix
• 1829 attributs
• 912 pour Exchange
• 18 pour Ad4Unix
• 1 pour Ulaval

Top Abstraite
OrganizationalUnit Structurale
Group Structurale
Person Abstraite
Organizational Person Abstraite
Security Principal Auxiliaire
User Structurale
MailRecipient Auxiliaire
Computer Structurale
30
Les objets de lActive Directory

• Le schéma point dentrée
• Abstract Schema ou subschema
• Concept de la norme X.500
• Défini en LDAPv3 dans les RFC 2251 et 2252

31
Les objets de lActive Directory

• Le schéma la console de gestion
• Pour lire le schéma
• Enregistrer le DLL (regsvr32 schmmgmt.dll)
• Exécuter schmmgmt.msc
• Pour modifier le schéma
• Être membre du groupe  ForestDN\Schema Admins 
• Cocher loption  The schema may be modified on
  this DC  dans schmmgmt.msc
• Exécuter Ldifde avec votre fichier LDIF
• Démonstration de Schmmgmt

32
Les objets de lActive Directory

• La présentation a été interrompue ici par manque
  de temps
• Suite à la prochaine rencontre des RR