Question Qu'est-ce que les services de domaine Active Directory et comment fonctionne-t-il?


C'est un Question canonique sur les services de domaine Active Directory (AD DS).

Qu'est-ce que Active Directory? Que fait-il et comment ça marche?

Comment Active Directory est-il organisé: forêt, domaine enfant, arbre, site ou unité d'organisation


Je me trouve à expliquer une partie de ce que je suppose être une connaissance commune à ce sujet presque quotidiennement. J'espère que cette question servira de question canonique et de réponse à la plupart des questions de base relatives à Active Directory. Si vous estimez que vous pouvez améliorer la réponse à cette question, veuillez éditer.


136
2018-06-27 03:47


origine


Je ne veux pas ressembler à une prostituée, mais je pense que cela vaut la peine de faire un lien vers une description non technique de la MA, si vous rencontrez une situation dans laquelle vous devez la décrire avec moins de détails techniques: serverfault.com/q/18339/7200 - Evan Anderson
Liens possibles pour cette question: serverfault.com/questions/568606/… - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878/… Juste pour en nommer quelques-uns. Peut-être qu'un canonical est en ordre @MDMarra - TheCleaner


Réponses:


Qu'est-ce que Active Directory?

Les services de domaine Active Directory constituent le serveur d'annuaire de Microsoft. Il fournit des mécanismes d'authentification et d'autorisation ainsi qu'un cadre dans lequel d'autres services associés peuvent être déployés (services de certificat AD, services fédérés AD, etc.). C'est un LDAP base de données conforme qui contient des objets. Les objets les plus couramment utilisés sont les utilisateurs, les ordinateurs et les groupes. Ces objets peuvent être organisés en unités d'organisation (OU) en fonction d'un nombre quelconque de besoins logiques ou professionnels. Objets de stratégie de groupe (GPO) Vous pouvez ensuite les lier aux unités d'organisation afin de centraliser les paramètres de différents utilisateurs ou ordinateurs d'une entreprise.

Lorsque les gens disent "Active Directory", ils font généralement référence à "Services de domaine Active Directory". Il est important de noter qu'il existe d'autres rôles / produits Active Directory tels que les services de certificats, les services de fédération, les services d'annuaire légers, les services de gestion des droits, etc. Cette réponse fait spécifiquement référence aux services de domaine Active Directory.

Qu'est-ce qu'un domaine et qu'est-ce qu'une forêt?

Une forêt est une limite de sécurité. Les objets situés dans des forêts distinctes ne peuvent pas interagir entre eux, sauf si les administrateurs de chaque forêt distincte créent une confiance entre eux. Par exemple, un compte d'administrateur d'entreprise pour domain1.com, qui est normalement le compte le plus privilégié d’une forêt, n’aura aucune permission dans une deuxième forêt nommée domain2.com, même si ces forêts existent dans le même réseau local, à moins qu’une confiance ne soit en place.

Si vous avez plusieurs unités business disjointes ou avez besoin de limites de sécurité distinctes, vous avez besoin de plusieurs forêts.

Un domaine est une limite de gestion. Les domaines font partie d'une forêt. Le premier domaine d'une forêt est appelé domaine racine de la forêt. Dans de nombreuses petites et moyennes organisations (et même certaines grandes), vous ne trouverez qu'un seul domaine dans une seule forêt. Le domaine racine de la forêt définit l'espace de nom par défaut pour la forêt. Par exemple, si le premier domaine d'une nouvelle forêt est nommé domain1.com, alors c’est le domaine racine de la forêt. Si vous avez besoin d'un domaine enfant, par exemple - une succursale à Chicago, vous pouvez nommer le domaine enfant. chi. le FQDN du domaine enfant serait chi.domain1.com. Vous pouvez voir que le nom du domaine enfant était le nom du domaine racine de la forêt ajouté. C'est typiquement comme ça que ça marche. Vous pouvez avoir des espaces de noms disjoints dans la même forêt, mais c'est une boîte de Pandore tout à fait séparée pour une heure différente.

Dans la plupart des cas, vous devrez essayer de faire tout ce qui est en votre pouvoir pour avoir un seul domaine AD. Cela simplifie la gestion et les versions modernes d'AD facilitent la délégation du contrôle en fonction de l'unité d'organisation, ce qui réduit le besoin de domaines enfants.

Je peux nommer mon domaine comme je veux, non?

Pas vraiment. dcpromo.exe, l'outil qui gère la promotion d'un serveur sur un contrôleur de domaine n'est pas idiot. Cela vous laisse prendre de mauvaises décisions avec votre nom, alors faites attention à cette section si vous n’êtes pas sûr. (Modifier: dcpromo est obsolète dans Server 2012. Utilisez le Install-ADDSForest Cmdlet PowerShell ou installer AD DS à partir du Gestionnaire de serveur.)

Tout d’abord, n’utilisez pas de TLD composés tels que .local, .lan, .corp, ni aucun autre de ces merdes. Ces TLD sont ne pas réservé. L’ICANN vend des TLD maintenant, alors votre mycompany.corp que vous utilisez aujourd'hui pourrait en fait appartenir à quelqu'un demain. Si vous possédez mycompany.com, alors la chose intelligente à faire est d'utiliser quelque chose comme internal.mycompany.com ou ad.mycompany.com pour votre nom AD interne. Si tu utilises mycompany.com en tant que site Web pouvant être résolu en externe, vous devriez également éviter d'utiliser ce nom comme nom interne d'AD, car vous obtiendrez un DNS à cerveau divisé.

Contrôleurs de domaine et catalogues globaux

Un serveur qui répond aux demandes d'authentification ou d'autorisation est un contrôleur de domaine. Dans la plupart des cas, un contrôleur de domaine conservera une copie du Catalogue global. Un catalogue global (GC) est un ensemble partiel d’objets dans tout domaines dans une forêt. Il est directement interrogeable, ce qui signifie que les requêtes inter-domaines peuvent généralement être effectuées sur un GC sans nécessiter une référence à un contrôleur de domaine dans le domaine cible. Si un contrôleur de domaine est interrogé sur le port 3268 (3269 si SSL est utilisé), le GC est interrogé. Si le port 389 (636 en cas d'utilisation de SSL) est interrogé, une requête LDAP standard est utilisée et les objets existant dans d'autres domaines peuvent nécessiter une référence.

Lorsqu'un utilisateur essaie de se connecter à un ordinateur connecté à AD à l'aide de ses informations d'identification AD, la combinaison de noms d'utilisateur et de mots de passe salés et hachés est envoyée au contrôleur de domaine pour le compte d'utilisateur et le compte d'ordinateur en cours de connexion. l'ordinateur se connecte aussi. Cela est important, car si quelque chose arrive au compte d'ordinateur dans AD, par exemple si quelqu'un réinitialise ou supprime le compte, vous risquez d'obtenir une erreur indiquant qu'une relation d'approbation n'existe pas entre l'ordinateur et le domaine. Même si vos informations d'identification réseau sont correctes, l'ordinateur n'est plus approuvé pour se connecter au domaine.

Problèmes de disponibilité du contrôleur de domaine

J'entends "J'ai un contrôleur de domaine principal (PDC) et je souhaite installer un contrôleur de domaine de sauvegarde (BDC)" beaucoup plus fréquemment que je voudrais y croire. Le concept de PDC et de BDC est mort avec Windows NT4. Le dernier bastion pour les PDC était dans un AD en mode mixte de transition Windows 2000 alors que vous disposiez toujours de contrôleurs de domaine NT4. Fondamentalement, sauf si vous soutenez un 15+ ans Une installation qui n’a jamais été mise à niveau, vous n’avez vraiment ni PDC ni BDC, vous avez juste deux contrôleurs de domaine.

Plusieurs contrôleurs de domaine sont capables de répondre simultanément aux demandes d'authentification de différents utilisateurs et ordinateurs. Si l’un échoue, les autres continueront à offrir des services d’authentification sans avoir à en créer un "principal" comme vous auriez dû le faire au cours de la NT4. Il est préférable d’avoir au moins deux contrôleurs de domaine par domaine. Ces contrôleurs de domaine doivent tous deux contenir une copie du catalogue global et être des serveurs DNS contenant également une copie des zones DNS intégrées à Active Directory pour votre domaine.

Rôles FSMO

"Donc, s'il n'y a pas de PDC, pourquoi y a-t-il un rôle de PDC qu'un seul contrôleur de domaine peut avoir?"

Je l'entends beaucoup. Il y a un PDC Emulator rôle. C'est différent d'être un PDC. En fait, il y a 5 rôles flexibles d'opérations maître unique (FSMO). Ils sont également appelés rôles de maître d'opérations. Les deux termes sont interchangeables. Que sont-ils et que font-ils? Bonne question! Les 5 rôles et leur fonction sont:

Domain Naming Master - Il n'y a qu'un seul maître de nommage de domaine par forêt. Le Domain Naming Master s'assure que lorsqu'un nouveau domaine est ajouté à une forêt, il est unique. Si le serveur qui détient ce rôle est hors ligne, vous ne pourrez pas modifier l'espace de noms AD, notamment pour l'ajout de nouveaux domaines enfants.

Schema Master - Il n'y a qu'un seul Schema Operations Master dans une forêt. Il est responsable de la mise à jour du schéma Active Directory. Les tâches qui en ont besoin, telles que la préparation d'AD pour une nouvelle version de Windows Server fonctionnant en tant que contrôleur de domaine ou l'installation d'Exchange, nécessitent des modifications de schéma. Ces modifications doivent être effectuées à partir du contrôleur de schéma.

Maître d'infrastructure - Il y a un maître d'infrastructure par domaine. Si vous n'avez qu'un seul domaine dans votre forêt, vous n'avez pas vraiment besoin de vous en préoccuper. Si vous avez plusieurs forêts, vous devez alors vous assurer que ce rôle n'est pas détenu par un serveur qui est également titulaire du GC, sauf si chaque CD de la forêt est un GC. Le maître d'infrastructure est chargé de s'assurer que les références interdomaines sont traitées correctement. Si un utilisateur d'un domaine est ajouté à un groupe d'un autre domaine, le maître d'infrastructure des domaines en question s'assure qu'il est correctement géré. Ce rôle ne fonctionnera pas correctement s'il figure dans un catalogue global.

Maître RID - Le maître d’identification relatif (maître RID) est responsable de l’émission de pools de RID vers les DC. Il y a un maître RID par domaine. Tout objet dans un domaine AD a un unique Identifiant de sécurité (SID). Celui-ci est constitué d'une combinaison de l'identifiant de domaine et d'un identifiant relatif. Chaque objet d'un domaine donné a le même identifiant de domaine, donc l'identifiant relatif est ce qui rend les objets uniques. Chaque contrôleur de domaine dispose d'un pool d'ID relatifs à utiliser. Ainsi, lorsqu'il crée un nouvel objet, il ajoute un RID qu'il n'a pas encore utilisé. Étant donné que les contrôleurs de domaine reçoivent des pools ne se chevauchant pas, chaque RID doit rester unique pendant toute la durée de vie du domaine. Lorsqu'un contrôleur de domaine obtient environ 100 RID restants dans son pool, il demande un nouveau pool au maître RID. Si le maître RID est hors ligne pendant une période prolongée, la création d'objet peut échouer.

PDC Emulator- Enfin, nous arrivons au rôle le plus souvent mal compris, à savoir le rôle d'émulateur PDC. Il existe un émulateur PDC par domaine. En cas d'échec de la tentative d'authentification, celle-ci est transmise à l'émulateur PDC. L’émulateur de contrôleur de domaine principal fonctionne comme un "point de départ" si un mot de passe a été mis à jour sur un contrôleur de domaine et n’a pas encore été répliqué sur les autres. L'émulateur PDC est également le serveur qui contrôle la synchronisation de l'heure sur le domaine. Tous les autres contrôleurs de domaine synchronisent leur heure depuis l'émulateur PDC. Tous les clients synchronisent leur heure à partir du CD auquel ils se sont connectés. Il est important que tout reste à moins de 5 minutes les uns des autres, sinon Kerberos se brise et quand cela se produit, tout le monde pleure.

Il est important de se rappeler que les serveurs sur lesquels ces rôles sont exécutés ne sont pas immuables. Il est généralement trivial de déplacer ces rôles. Ainsi, même si certains pays en font un peu plus que d’autres, s’ils échouent pendant de courtes périodes, tout fonctionnera normalement. S'ils sont indisponibles pendant longtemps, il est facile de transférer les rôles de manière transparente. C’est bien plus agréable que les jours NT4 PDC / BDC, alors arrêtez de contacter vos contrôleurs de domaine par ces anciens noms. :)

Alors, euh ... comment les contrôleurs de domaine partagent-ils des informations s’ils peuvent fonctionner indépendamment les uns des autres?

La réplication, bien sûr. Par défaut, les contrôleurs de domaine appartenant au même domaine sur le même site se répliquent mutuellement leurs données toutes les 15 secondes. Cela garantit que tout est relativement à jour.

Certains événements "urgents" déclenchent une réplication immédiate. Ces événements sont les suivants: un compte est verrouillé pour un trop grand nombre de connexions échouées, le mot de passe du domaine ou les stratégies de verrouillage sont modifiés, le secret LSA est modifié, le mot de passe est modifié sur le compte d'ordinateur d'un contrôleur de domaine ou le rôle de maître RID est transféré. à un nouveau DC. Chacun de ces événements déclenchera un événement de réplication immédiat.

Les changements de mot de passe se situent entre urgent et non urgent et sont traités de manière unique. Si le mot de passe d'un utilisateur est modifié le DC01 et un utilisateur tente de se connecter à un ordinateur qui s'authentifie contre DC02 avant la réplication, vous vous attendez à ce que cela échoue, non? Heureusement cela n'arrive pas. Supposons qu’il existe également un troisième DC appelé ici DC03 qui détient le rôle d'émulateur PDC. Quand DC01 est mis à jour avec le nouveau mot de passe de l'utilisateur, ce changement est immédiatement répliqué sur DC03 également. Quand la tentative d'authentification sur DC02 échoue, DC02 puis transmet cette tentative d'authentification à DC03, qui vérifie que c'est bien, et la connexion est autorisée.

Parlons de DNS

Le DNS est essentiel au bon fonctionnement de l’AD. La ligne officielle de fête de Microsoft est que tout serveur DNS peut être utilisé s’il est configuré correctement. Si vous essayez d'utiliser BIND pour héberger vos zones AD, vous êtes haut. Sérieusement. Tenez-vous en à l'aide des zones DNS AD Integrated et utilisez des redirecteurs conditionnels ou globaux pour d'autres zones si vous en avez le devoir. Vos clients doivent tous être configurés pour utiliser vos serveurs AD DNS. Il est donc important d’avoir une redondance ici. Si vous avez deux contrôleurs de domaine, demandez-leur de lancer DNS et de configurer vos clients pour qu'ils utilisent les deux pour la résolution de noms.

En outre, vous devrez vous assurer que, si vous avez plusieurs contrôleurs de domaine, ils ne s’annoncent pas eux-mêmes en premier pour la résolution DNS. Cela peut conduire à une situation où ils sont sur un "îlot de réplication" où ils sont déconnectés du reste de la topologie de réplication AD et ne peuvent pas récupérer. Si vous avez deux serveurs DC01 - 10.1.1.1 et DC02 - 10.1.1.2, alors leur liste de serveurs DNS devrait être configurée comme ceci:

Serveur: DC01 (10.1.1.1)
  DNS primaire - 10.1.1.2
  DNS secondaire - 127.0.0.1

Serveur: DC02 (10.1.1.2)
  DNS primaire - 10.1.1.1
  DNS secondaire - 127.0.0.1

OK, cela semble compliqué. Pourquoi est-ce que je veux utiliser AD?

Parce qu'une fois que vous savez ce que vous faites, votre vie devient infiniment meilleure. AD permet de centraliser la gestion des utilisateurs et des ordinateurs, ainsi que de centraliser l'accès aux ressources et leur utilisation. Imaginez une situation où vous avez 50 utilisateurs dans un bureau. Si vous souhaitez que chaque utilisateur dispose de son propre identifiant de connexion sur chaque ordinateur, vous devez configurer 50 comptes d'utilisateurs locaux sur chaque PC. Avec AD, vous ne devez créer le compte d’utilisateur qu’une seule fois et celui-ci peut se connecter par défaut à n’importe quel ordinateur du domaine. Si vous voulez renforcer la sécurité, vous devrez le faire 50 fois. Une sorte de cauchemar, non? Imaginez également que vous avez un partage de fichiers auquel vous ne voulez que la moitié de ces personnes accèdent. Si vous n'utilisez pas AD, vous devrez soit répliquer manuellement leur nom d'utilisateur et leur mot de passe sur le serveur pour permettre un accès sans faille, soit créer un compte partagé et donner à chaque utilisateur le nom d'utilisateur et le mot de passe. Un moyen signifie que vous connaissez (et devez constamment mettre à jour) les mots de passe des utilisateurs. L'autre façon signifie que vous n'avez pas de piste d'audit. Pas bien non?

Vous pouvez également utiliser la stratégie de groupe lorsque vous avez configuré AD. La stratégie de groupe est un ensemble d'objets liés aux unités d'organisation qui définissent les paramètres des utilisateurs et / ou des ordinateurs de ces unités d'organisation. Par exemple, si vous souhaitez que "Arrêter" ne figure pas dans le menu Démarrer de 500 ordinateurs de laboratoire, vous pouvez le faire dans un paramètre de la stratégie de groupe. Au lieu de passer des heures ou des jours à configurer manuellement les entrées de registre appropriées, vous créez un objet de stratégie de groupe, vous le liez à l'unité ou aux unités d'organisation appropriées et vous n'avez jamais à y réfléchir à nouveau. Il existe des centaines d'objets de stratégie de groupe pouvant être configurés, et la flexibilité de la stratégie de groupe est l'une des principales raisons pour lesquelles Microsoft est si dominant sur le marché des entreprises.


146
2018-06-27 03:47



Bien fait, Mark. QA génial. - EEAA
@TheCleaner D'accord, mais une partie de la mission de Stack Exchange consiste à être le référentiel central de toutes les informations utiles sur un sujet spécifique. Ainsi, bien que les informations sur Wikipedia soient généralement très correctes et pertinentes, elles ne conduisent pas les gens ici et "ici" devrait être le guichet unique pour tout ce qui concerne l'administration des systèmes. - MDMarra
@RyanBolger Tout cela est vrai, mais ce Q & A est destiné aux débutants. La prise en charge est une préoccupation majeure, et Microsoft va absolument ne pas vous aider à résoudre un problème AD qui pourrait être lié au DNS si vous exécutez BIND (ou toute autre solution). C'est une configuration avancée qui n'est pas recommandée à quelqu'un qui doit poser la question "Qu'est-ce que AD et comment ça marche?" De plus, le DNS est un rôle à faible charge. Si vous avez déjà des contrôleurs de domaine, il est très difficile de ne pas utiliser le système DNS sur ces serveurs et de disposer d'un redirecteur global vers le reste de votre infrastructure DNS. - MDMarra
@RyanBolger - d'accord avec MDMarra. Si Fred dispose déjà d'une infrastructure DNS interne complexe et performante, Fred ne postera pas sur SF pour demander "Alors, je suis sur le point d'installer cette solution Active Directory - dites-moi tout, s'il vous plaît?" - mfinni
Votre réponse vient de me rappeler de vérifier l'ordre de recherche du serveur DNS sur les contrôleurs de domaine d'un réseau dont j'ai hérité ... Oui, ils se référaient à eux-mêmes! - myron-semack


Remarque: Cette réponse a été intégrée à cette question à partir d'une question différente portant sur les différences entre les forêts, les domaines enfants, les arbres, les sites et les unités d'organisation. Ce n'était pas à l'origine écrit comme une réponse à cette question spécifique.


Forêt

Vous souhaitez créer une nouvelle forêt lorsque vous avez besoin d'une limite de sécurité. Par exemple, vous pouvez gérer un réseau de périmètre (DMZ) avec AD, mais vous ne souhaitez pas que votre AD interne soit disponible dans le réseau de périmètre pour des raisons de sécurité. Dans ce cas, vous souhaitez créer une nouvelle forêt pour cette zone de sécurité. Vous pouvez également souhaiter cette séparation si vous avez plusieurs entités qui ne se font pas confiance, par exemple une société écran englobant des entreprises individuelles opérant indépendamment. Dans ce cas, vous voudriez que chaque entité ait sa propre forêt.


Domaine de l'enfant

Vraiment, vous n'en avez plus besoin. Il existe peu de bons exemples de quand vous voudriez un domaine enfant. Une raison héritée est due à des exigences différentes en matière de politique de mot de passe, mais ce n'est plus valable, car des politiques de mot de passe affinées sont disponibles depuis Server 2008. Vous n'avez vraiment besoin d'un domaine enfant que si vous avez des zones avec une incroyable connectivité réseau et que vous voulez. réduire considérablement le trafic de réplication - un navire de croisière avec connectivité WAN par satellite en est un bon exemple. Dans ce cas, chaque navire de croisière peut être son propre domaine enfant, de manière à être relativement autonome tout en permettant de tirer parti des avantages d'être dans la même forêt que d'autres domaines de la même société.


Arbre

Ceci est une étrange balle. De nouvelles arborescences sont utilisées lorsque vous souhaitez conserver les avantages de gestion d'une seule forêt mais que vous avez un domaine dans un nouvel espace de noms DNS. Par exemple corp.example.com peut être la racine de la forêt, mais vous pourriez avoir ad.mdmarra.com dans la même forêt en utilisant un nouvel arbre. Les mêmes règles et recommandations pour les domaines enfants s'appliquent ici - utilisez-les avec parcimonie. Ils ne sont généralement pas nécessaires dans les AD modernes.


Site

Un site doit représenter une limite physique ou logique sur votre réseau. Par exemple, les succursales. Les sites sont utilisés pour sélectionner intelligemment des partenaires de réplication pour les contrôleurs de domaine dans différents domaines. Sans définir les sites, tous les contrôleurs de domaine seront traités comme s'ils se trouvaient au même emplacement physique et se répliqueraient dans une topologie en maillage. En pratique, la plupart des organisations sont configurées logiquement dans un hub-and-spoke. Les sites et les services doivent donc être configurés de manière à refléter cela.

D'autres applications utilisent également des sites et des services. DFS l'utilise pour les références à un espace de noms et la sélection du partenaire de réplication. Exchange et Outlook l'utilisent pour rechercher le catalogue global "le plus proche" à interroger. Vos ordinateurs appartenant à un domaine l'utilisent pour localiser le ou les contrôleurs de disque "les plus proches" auprès desquels s'authentifier. Sans cela, votre trafic de réplication et d'authentification ressemble au Wild West.


Unité organisationnelle

Celles-ci doivent être créées de manière à refléter le besoin de votre organisation en matière de délégation d'autorisation et d'application de la stratégie de groupe. De nombreuses organisations ont une unité d'organisation par site, car elles appliquent un objet de stratégie de groupe de cette manière. C'est ridicule, car vous pouvez également appliquer un objet de stratégie de groupe à un site à partir de Sites et services. D'autres organisations séparent les unités d'organisation par département ou fonction. Cela a du sens pour de nombreuses personnes, mais la conception de l'unité d'organisation devrait répondre à vos besoins et est plutôt flexible. Il n'y a pas de "one way" pour le faire.

Une multinationale peut avoir des unités d'organisation de premier niveau North America, Europe, Asia, South America, Africa afin qu'ils puissent déléguer des privilèges administratifs basés sur continent. D'autres organisations peuvent avoir des unités d'organisation au plus haut niveau. Human Resources, Accounting, Sales, etc. si cela fait plus sens pour eux. D’autres organisations ont des besoins politiques minimaux et utilisent une mise en page "plate" avec juste Employee Users et Employee Computers. Il n'y a vraiment pas de bonne réponse ici, c'est ce qui répond aux besoins de votre entreprise.


17
2018-01-28 17:06



Quelqu'un connaît son AD assez bien .. +1 - NickW
@ NickW AD questions sont où 72k de mon représentant de 72,9k sont probablement venus: D - MDMarra
Et toujours un bon article de Technet à lire après tout ce temps: technet.microsoft.com/en-us/library/bb727030.aspx - Certaines parties ont été remplacées mais méritent d'être lues. - TheCleaner