Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Réplication Active Directory

Réplication Active Directory

Feb 20, 2017

Les administrateurs informatiques travaillent avec et autour de Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000 mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, lorsqu'il a été publié pour la fabrication (RTM) le 15 décembre 1999.

Dans cette partie de notre tutoriel, nous parlerons de la réplication AD.

Réplication Active Directory

La réplication Active Directory est la méthode de transfert et de mise à jour des objets Active Directory d'un DC à un autre DC.

Les connexions entre les DCs sont établies en fonction de leur emplacement dans une forest et un site. Chaque site dans Active Directory contient un ou plusieurs sous-réseaux, qui identifient la plage d'adresses IP associée au site. En associant l'adresse IP d'un DC à un sous-réseau, Active Directory sait quels DCs se trouvent dans quel site. Les connexions sont configurées entre les sites pour garantir que les objets Active Directory sont répliqués entre les sites.

Technologies

La réplication Active Directory repose sur les technologies suivantes pour fonctionner correctement :

  1. DNS
  2. Appel de procédure distante (RPC)
  3. SMTP (facultatif)
  4. Kerberos
  5. LDAP

Composants principaux

Il y a quatre composants principaux de la réplication dans Active Directory :

  • Réplication multi-maîtres

La réplication multimaster, par rapport à la réplication mono-master utilisée dans Windows NT 4.0, garantit que chaque contrôleur de domaine peut recevoir des mises à jour pour les objets dont il est autoritaire. Cela assure une tolérance aux pannes au sein d'un environnement Active Directory.

  • Réplication par extraction

La réplication par extraction garantit que les contrôleurs de domaine demandent les modifications d'objets au lieu que les modifications soient poussées (surtout inutilement). L'extraction réduit légèrement le trafic de réplication entre les contrôleurs de domaine.

  • Réplication store-and-forward

La réplication store-and-forward garantit que chaque DC communique avec un sous-ensemble de DCs pour transférer les modifications d'objets survenues. Avec le store-and-forward, chaque DC communiquerait avec tous les autres DC, ce qui est inefficace. La réplication store-and-forward équilibre la charge de réplication parmi les DCs dans un environnement Active Directory.

  • Réplication basée sur l'état

La réplication basée sur l'état garantit que chaque DC suit l'état des mises à jour de réplication, ce qui élimine les conflits et la réplication inutile.

Image

Gestion de la réplication

La réplication est gérée par le Knowledge Consistency Checker (KCC).

Le KCC gère la réplication entre les DCs dans un seul site en utilisant des connexions créées automatiquement. Le KCC lit les données de configuration et lit et écrit des objets de connexion pour les DCs. Le KCC utilise uniquement RPC pour communiquer avec le service d'annuaire.

La réplication intrasite n'utilise pas de compression et les modifications sont envoyées immédiatement aux contrôleurs de domaine. Cependant, la réplication intersite repose sur des liens définis par l'utilisateur qui doivent être créés. Le KCC utilise ces liens pour créer une topologie afin que la réplication soit gérée à travers les liens de site à site.

Les connexions de site peuvent être contrôlées selon un horaire et les données de réplication sont compressées pour minimiser l'utilisation de la bande passante. Le replication schedule par défaut pour les connexions de site à site est de 180 minutes, ce qui est généralement bien trop long pour la grande majorité des organisations. Cela peut être configuré jusqu'à 15 minutes dans l'interface utilisateur graphique, et encore plus rapidement en modifiant le registre.

La taille d'un paquet de réplication est calculée en fonction de la quantité de RAM dans le DC. Par défaut, les limites de taille de paquet sont de 1/100e de la taille de la RAM, avec un minimum de 1 Mo et un maximum de 10 Mo. De plus, le nombre maximum d'objets dans un paquet est de 1/1 000 000e de la taille de la RAM système, avec un minimum de 100 objets et un maximum de 1 000 objets. Par conséquent, dans les serveurs modernes qui ont plus de 1 Go de RAM, les tailles des paquets de réplication contiendront soit jusqu'à 10 Mo de données, soit jusqu'à 1 000 objets. La taille maximale du paquet et la limite d'objets peuvent être configurées en modifiant le registre à l'emplacement HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters.

Composants principaux de réplication

Les éléments suivants sont des composants de primary replication components :

  • Knowledge Consistency Checker (KCC)

Le KCC est un processus qui s'exécute sur chaque DC et communique directement avec Ntdsa.dll pour lire et écrire des objets de réplication.

  • Agent de système d'annuaire (DSA)

Le DSA est un composant de service d'annuaire qui s'exécute en tant que Ntdsa.dll sur chaque DC. Il fournit une interface pour que les services et les processus puissent lire la base de données de l'annuaire.

  • Moteur de stockage extensible (ESE)

L'ESE gère les enregistrements de base de données d'annuaire, qui peuvent contenir une ou plusieurs colonnes.

  • Appel de procédure distante (RPC)

La réplication de l'annuaire est communiquée en utilisant le protocole RPC. RPC est un protocole de communication qui permet aux développeurs d'exécuter du code sur un système local ou distant sans avoir à développer un code spécifique pour l'exécution à distance. Le KCC utilise également RPC pour communiquer avec les DCs afin de demander des informations lors de la construction d'une topologie de réplication.

  • Générateur de topologie intersites (ISTG)

The ISTG manages the intersite inbound replication connection objects for a specific site. There is one ISTG server in each site. By default, the first DC in each site is the ISTG. To find the ISTG in a site named HQ in a domain named tailspintoys.com, you can run the Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator Windows PowerShell command.

Les objets Active Directory utilisés par le KCC et ses composants incluent :

  • Sites

Les sites sont des objets Active Directory dans la classe de site, qui correspondent aux sous-réseaux dans un site donné.

  • Sous-réseaux

Les objets de sous-réseau se trouvent dans la classe de sous-réseau et définissent le sous-réseau IP du réseau qui correspond à un site.

  • Serveurs

Un objet serveur, dans la classe serveur, représente des ordinateurs serveurs, y compris les DCs. Les objets serveur sont traités comme des principaux de sécurité qui sont stockés dans une partition d'annuaire séparée et possèdent des identifiants uniques globaux (GUIDs) distincts.

  • Paramètres NTDS

Les objets de configuration NTDS se trouvent dans la classe nTDSDSA et représentent une instance d'Active Directory sur un DC spécifique.

  • Connexions

Les objets de connexion se trouvent dans la classe nTDSConnection et définissent un itinéraire unidirectionnel entrant d'un contrôleur de domaine source vers le contrôleur de domaine qui stocke l'objet de connexion.

  • Liens du site

Les objets Site Link appartiennent à la classe siteLink et identifient le protocole ainsi que le calendrier pour répliquer les données entre deux sites ou plus.

  • Paramètres du site NTDS

Les objets de paramètres de site NTDS se trouvent dans la classe nTDSSiteSettings et identifient les paramètres à l'échelle du site pour Active Directory. Il n'y a qu'un seul objet de paramètres de site NTDS par site dans le conteneur Sites.

  • Recoupement

Les objets de référence croisée se trouvent dans la classe crossRef et stockent l'emplacement des partitions Active Directory dans le conteneur Partitions.

Le schéma ci-dessous montre un environnement typique de two-site Active Directory avec certains des composants de réplication.

Commandes et outils de réplication

À partir de Windows PowerShell dans Windows Server 2012, il y a 25 cmdlets pour gérer spécifiquement la réplication Active Directory. Ces cmdlets offrent des fonctionnalités telles que l'affichage des informations de réplication, la configuration des sites, la gestion des liens de sites et le forcing de la réplication.

L'outil en ligne de commande RepAdmin.exe est également disponible pour fournir des informations et configurer la réplication Active Directory.

Another replication tool is the Active Directory Replication Status Tool. It is available at http://www.microsoft.com/en-us/download/details.aspx?id=30005. You can use it to analyze and troubleshoot Active Directory replication issues.

Vous trouverez plus d'informations sur les bases de Active Directory dans notre AD tutorial for beginners.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Brian Svidergol

TI

Expert en infrastructure Microsoft et solutions basées sur le cloud autour de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualisation et MDOP. En plus de rédiger des livres, Brian écrit du contenu de formation, des livres blancs et est relecteur technique sur un grand nombre de livres et publications.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité