Windows NT Server organise les groupes d'ordinateurs en domaines, faisant en sorte que les machines d'un domaine partagent une base de données et une politique de sécurité communes. Les contrôleurs de domaine sont des systèmes sous Windows NT Server qui partagent la base de données centrale stockant les comptes des utilisateurs et leurs informations de sécurité pour un domaine. Lorsqu'un utilisateur se connecte à un compte de domaine, les contrôleurs de domaine authentifient le profil et le mot de passe de l'utilisateur en utilisant les informations de la base de données d'annuaire (également souvent baptisée base de données de sécurité de domaine ou base de données SAM). Pendant l'installation de Windows NT Server, vous devez désigner le rôle que chaque serveur devra tenir dans un domaine. NT vous offre le choix de 3 rôles : PDC (Primary Domain Controller - contrôleur principal de domaine), BDC (Backup Domain Controller - Contrôleur secondaire de domaine) et serveur membre. On crée un domaine dès lors que l'on désigne un PDC. Les PDC et BDC sont des éléments cruciaux des domaines. Pour garder le contrôle et tirer le meilleur des domaines que vous créez dans votre réseau NT, vous devez comprendre ce que sont les PDC et BDC, comment synchroniser la base de données d'annuaire entre PDC et BDC dans un domaine, comment promouvoir un BDC en PDC lorsque le PDC est indisponible, comment déterminer le bon nombre de PDC pour un domaine donné et comment gérer les relations d'approbation entre les PDC de différents domaines.
Comprendre les contrôleurs de domaine
Les domaines Windows NT 4.0 et 3.51 peuvent contenir de nombreux serveurs, mais
un seul peut être PDC. Le PDC stocke les informations de comptes de domaine et
de sécurité dans la copie principale de la base de données d’annuaire. Lorsque
vous réalisez des modifications sur des comptes utilisateur ou des informations
de sécurité, le PDC enregistre ces modifications dans la copie de la base de données
d’annuaire du PDC. Le PDC est le seul contrôleur du domaine qui reçoit directement
les modifications.
Autrement dit, le PDC stocke une copie en lecture seule de la base de données
d’annuaire. Un domaine peut comporter plusieurs BDC. Chaque BDC tient à jour une
version en lecture seule de la base de données d’annuaire principale du PDC. On
ne peut pas modifier la copie du BDC de la base de données d’annuaire. Grâce à
la duplication de la base de données d’annuaire du PDC sur les BDC, on peut promouvoir
tout BDC en PDC en cas de défaillance du PDC ou s’il faut l’arrêter pour maintenance.
Les BDC sont aussi utiles pour répartir la charge d’authentification des connexions
au réseau.
Il est vital d’avoir au moins un BDC par domaine. Si le ODC est défaillant, on
peut conserver un domaine en état de marche en transformant un BDC en PDC. La
promotion des BDC permet de faire des modifications dans la base de données d’annuaire
et propager ces modifications dans le reste du réseau. La promotion de BDC permet
également l’accès aux ressources du réseau et préserve une base de données d’annuaire
accessible dans le domaine.
A défaut de contrôleur de domaine, les utilisateurs ne peuvent pas se connecter
et s’authentifier dans le domaine. Les ordinateurs ne pouvant s’authentifier dans
le domaine, ils ne peuvent pas établir le canal sécurisé nécessaire à la communication
entre machines d’un domaine. Les comptes de groupes n’auront pas accès aux ressources
du domaine. En résumé, sans BDC à promouvoir en PDC, il vous faudra fournir beaucoup
d’explications lorsque votre réseau s’arrêtera. Windows 2000 a une approche différente
des contrôleurs de domaine. A l’instar de leurs homologues Windows NT, les contrôleurs
de domaine Windows 2000 stockent une copie de la base de données d’annuaire. Cependant,
Windows NT 4.0 et 3.51 mettent en oeuvre un modèle de duplication à domaine maître
unique dans lequel le PDC d’un domaine gère la copie principale de la base de
données d’annuaire.
Les contrôleurs de domaine Windows 2000 hébergent, pour leur part, une copie en
lecture écriture de la base de données d’annuaire. De plus, dans Windows NT 4.0
et 3.51, le PDC d’un domaine doit toujours être accessible pour que des changements
puissent intervenir dans la base de données d’annuaire. Ce n’est pas le cas avec
Windows 2000 car Active Directory (AD) utilise un modèle de réplication à domaine
maître multiple. Ce modèle permet à un administrateur de modifier l’annuaire sur
n’importe quel contrôleur du domaine.
Ce dernier peut alors répliquer les changements vers tous les autres contrôleurs
du domaine. Il en résulte une disponibilité à 100 % de l’annuaire, même en cas
d’indisponibilité temporaire de certains contrôleurs du domaine. Dans le modèle
de réplication à domaine maître multiple, tous les contrôleurs de domaine sont
égaux ; la dénomination PDC ou BDC n’existe pas. L’encadré « Migrer les domaines
NT 4.0 et 3.51 vers Windows 2000 » explique ce qui arrive à vos domaines lorsque
vous migrez vers Windows 2000.
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.