[AD DS] Sites et optimisation de la topologie de réplication

Il y a quelques jours j'ai reçu une demande par mail concernant l'optimisation des liens de réplications entre les contrôleurs de domaine dans un environnement multisite.

La question était de comprendre pourquoi les liens de réplications créés par le vérificateur de cohérence de la topologie (KCC), n'était pas optimale par rapport à l'environnement géographique.

Le KCC (Knowledge Consistency Checker) est un service qui s'exécute à intervalles réguliers sur les contrôleurs de domaine et qui a pour rôle de déterminer si les liens de réplications sont suffisants. Le KCC peut créer automatiquement des liens entre des contrôleurs de domaine de plusieurs sites.

 

Il est possible d'exécuter manuellement une vérification de la cohérence des liens de réplications depuis la console « sites et services Active Directory » :

 

Les liens de réplication sont visibles dans les paramètres NTDS de chaque contrôleur de domaine :

 

Vous avez également la possibilité d'ajouter des liens manuellement.

Si le KCC ne crée pas les liens, vous pouvez vérifier que la vérification de la cohérence n'est pas désactivée avec la commande :

 

Si les options de sites sont vides, alors le KCC optimisera les liens de réplications.

Sinon vous risquez de trouver les options suivantes (non exhaustives) :

 

  • IS_AUTO_TOPOLOGY_DISABLED : la vérification des liens de réplications pour le site est désactivée
  • IS_INTER_SITE_AUTO_TOPOLOGY_DISABLED : la vérification des liens de réplication entre les sites est désactivée

Si la vérification est désactivée pour un site vous pouvez utiliser la commande suivante pour la réactiver :

repadmin /siteoptions /Site:Site_Name -Paramètre

Le « + » active l'option « désactivé » et « - » la désactive.

La première commande ci-dessous désactive la vérification pour les liens internes au site, la deuxième réactive la vérification.

 

Vous trouverez plus de détails sur les options de configuration dans le lien suivant : 

 

https://technet.microsoft.com/pt-pt/library/cc736571(v=ws.10).aspx#BKMK_37

   

Afin d'optimiser la réplication, le KCC va utiliser un certain nombre de paramètres de configuration des services d'annuaires Active Directory :

 

- les sites AD

- l'affectation des DC aux sites

- les sous-réseaux

- les liens de site, leur coût et la planification

 

Il est important de traduire l'environnement physique dans les liens de site. Les liens de sites représentent les interconnexions entre les sites. Le coût est à déterminer entre autres sur la nature de la connexion, sa disponibilité et ses performances. Au début d'Active Directory, les liens pouvaient être réalisés par des modems et les connexions n'étaient pas forcément permanentes.

L'image ci-dessous représente la connexion entre deux sites et le coût à la valeur par défaut « 100 ». Vous pouvez modifier les horaires dans lesquels le lien de site est disponible en cliquant sur « modifier la planification ».

 

 

Mais avant de modifier les éléments, nous allons essayer d'en comprendre les impacts. Reprenons notre exemple avec 4 sites :

  • Paris
  • Bordeaux
  • Toulouse
  • Strasbourg

Les 3 derniers sites ont une connectivité avec Paris. Strasbourg a également un lien avec Bordeaux.

Vous pouvez créer les liens :

  • Lien Strasbourg-Paris
  • Lien Bordeaux-Paris
  • Lien Toulouse-Paris
  • Lien Strasbourg-Bordeaux

Dans cette situation les contrôleurs de domaine des sites Strasbourg, Bordeaux, Toulouse peuvent répliquer directement avec Paris. Les DCs de Strasbourg et Bordeaux peuvent également répliquer. Selon le routage que vous avez mis en place un DC de Toulouse pourrait également répliquer avec Strasbourg en transitant par Paris. Le KCC peut éventuellement créer des liens de réplication entre les deux. Dans ce cas le coût est la somme de la liaison Toulouse/Paris et Paris Strasbourg.

 

Maintenant si le routage ne fonctionne pas entre ces deux sites cela risque de poser un problème aux KCC qui peut créer des liens entre deux éléments qui ne peuvent communiquer.

 

Pourquoi AD considère qu'il peut faire automatiquement des ponts avec les deux liens de site ?

Cela vient de l'option « Relier tous les liens de sites » activé par défaut.

 

Selon votre situation, vous devrez peut-être décocher cette option pour éviter que l'ISTG(Inter-Site Topology Generator) pense qu'il peut créer un lien entre le DC de Strasbourg et celui de Toulouse en passant par Paris.

 

Si le DC de Strasbourg peut tout de même joindre un autre en passant par deux liens et que vous avez supprimé l'option « relier tous les sites », Il est possible dans ce cas de créer des ponts spécifiques entre les réseaux :

La meilleure option, est de mettre en place un routage complet. Dans ce cas vous devez conserver l'option « relier tous les liens de site » activé. Si vous n'êtes pas dans cette situation au niveau du routage, vous devrez sans doute modifier la configuration.

 

Il est à noter que la configuration des sites et des liens a également un autre impact. Les services de fichier DFS utilisent ses informations afin d'optimiser la redirection des connexions sur les cibles DFS. Je vous conseille l'article suivant sur DFS :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc782417(v=ws.10)

 

 

Le vérificateur de cohérence pour la topologie de réplication prend en compte ces éléments.

 

Si vous n'avez mis en place qu'un seul lien de site et si tous les sites sont rattachés au même lien, il n'y a aura pas d'optimisation des liens de réplications.

 

Quelques liens utiles :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd736189(v=ws.10)

 

https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/plan/creating-a-site-link-bridge-design

 

https://technet.microsoft.com/pt-pt/library/cc755994(v=ws.10).aspx

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc782417(v=ws.10)

https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc-event-log-errors/

 

Tags: 

Theme: 

Systeme: 

Annee: 

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
Image CAPTCHA
Enter the characters shown in the image.