Comment faire pour optimiser la réplication Active Directory sur un réseau étendu

Cet article explique comment optimiser la réplication Active Directory dans des configurations de réseau étendu.

Avertissement Toute modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou d'une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre. Le vérificateur de cohérence des données (KCC) ajuste dynamiquement la topologie de réplication des données de votre réseau lorsque des contrôleurs de domaine sont ajoutés ou supprimés du réseau, lorsqu'un contrôleur de domaine n'est pas disponible et lorsque les planifications de réplication de données sont modifiées.

Les tâches du KCC sont les suivantes :

• Selon la topologie de réseau décrite par les objets Active Directory, le KCC crée des objets de connexion qui sont utilisés pour définir la réplication entrante et sortante sur les contrôleurs de domaine :
  
  
  • pour des sources dans le même site, entrante sur le contrôleur de domaine sur lequel le KCC s'exécute ;
  • pour des sources dans des sites différents, entrante sur le site dans lequel le KCC s'exécute, si le contrôleur de domaine sur lequel le KCC s'exécute correspond à l'interSiteTopologyGenerator choisi pour son site.
• Convertir les objets de connexion du service d'annuaire Microsoft Windows NT (ntdsConnection) définis par le KCC et définis par l'administrateur en une configuration compréhensible pour le moteur de réplication du service d'annuaire (DS).

Par défaut, chacune de ces tâches est exécutée toutes les 15 minutes. Pour plus d'informations sur le KCC, consultez le chapitre Réplication Active Directory dans le Kit de ressources techniques Windows 2000.

Exemple

Dans certaines configurations de site étendu qui contiennent de nombreux sites, de nombreux domaines ou de nombreux itinéraires entre les sites, le KCC inter-site s'exécute lentement, en consommant beaucoup de temps processeur et de ressources mémoire.

Si D est le nombre de domaines dans votre réseau, S le nombre de sites dans votre réseau, et vous pouvez ignorer sans risque le reste de cet article.

La table ci-dessous répertorie la durée d'exécution et la consommation de mémoire d'un KCC inter-site qui s'exécute dans diverses configurations « hub and spoke » sans réglage des performances. Chaque site contient un contrôleur de domaine pour un domaine unique et un catalogue global. Les domaines sont répartis de manière égale entre les sites. La fonctionnalité automatique de pont lien de sites est activée. Les mesures ont été effectuées sur un ordinateur avec processeur Intel Pentium III Xeon cadencé à 500 MHz avec 1 gigaoctet (Go) de RAM (Random Access Memory). L'utilisation de la mémoire inclut la mise en cache des bases de données. La consommation de mémoire sera inférieure sur des ordinateurs avec moins de mémoire physique.

La formule relative à la durée d'exécution est : Vous pouvez déterminer la durée d'exécution du KCC dans votre configuration à l'aide du composant logiciel enfichable Sites et services Active Directory :

1. Déterminez le contrôleur de domaine du site qui correspond au générateur de topologie inter-site en cours en consultant les propriétés de l'objet Paramètres de site NTDS.
2. Chronométrez l'exécution du KCC sur ce contrôleur de domaine :
   
   
   1. Cliquez avec le bouton droit sur Paramètres NTDS.
   2. Cliquez sur Vérifier la topologie de réplication.

De plus, vous pouvez surveiller le temps d'exécution du KCC sur une base courante en utilisant l'Éditeur du Registre pour consulter la clé de Registre suivante : Modifiez la valeur "1 Knowledge Consistency Checker" en spécifiant une valeur égale ou supérieure à 3.

Si la valeur définie est égale ou supérieure à 3, le KCC enregistrera les événements 1009 et 1013 pour indiquer le début et la fin de la vérification.

Recommandations

Si votre configuration ne satisfait pas aux critères ci-dessus, utilisez la méthode appropriée :

Réduire l'utilisation des ponts liens de sites dans votre configuration de site

Cette option fonctionne bien dans les configurations classiques « hub and spoke » en réduisant le nombre d'itinéraires potentiels entre des sites.

La fonctionnalité automatique de pont lien de sites indique que le réseau entier est routé à l'aide du protocole IP. Dans ce cas, tout ordinateur dans un site donné peut communiquer via IP avec tout ordinateur dans un autre site. La fonctionnalité automatique de pont lien de sites est activée par défaut à la fois pour les transports inter-sites IP et SMTP (Simple Mail Transport Protocol). La désactivation de cette fonctionnalité exige que vous ajoutiez des objets pont lien de sites explicites là où cela est nécessaire. Les ponts liens de sites sont nécessaires uniquement si un site particulier contient un contrôleur de domaine d'un domaine absent de tous les sites adjacents, alors qu'un autre contrôleur de domaine de ce domaine se trouve dans d'autres sites de la forêt. Un site adjacent est défini comme un site quelconque inclus dans tout lien de sites qui contient le site en question. La plupart des configurations ne requièrent pas l'utilisation de ponts liens de sites, car un site contenant un contrôleur de domaine d'un domaine donné présent dans plusieurs sites est presque toujours adjacent à au moins un autre site contenant un contrôleur de domaine du même domaine.

Si le KCC est incapable de connecter directement ou transitivement tous les sites qui contiennent des contrôleurs de domaine d'un domaine particulier après la désactivation de la fonctionnalité automatique de pont lien de sites, le KCC enregistrera l'événement 1311.

Exemple

Le vérificateur de cohérence du service d'annuaire a déterminé l'une des situations suivantes :

1. Il n'y a pas assez de connectivité physique publiée à l'aide du Gestionnaire de sites et services Active Directory pour créer un arbre fractionné connectant tous les sites de la forêt.
2. La réplication ne peut pas être effectuée avec un ou plusieurs serveurs critiques de façon à ce que les modifications se propagent vers tous les sites. Cela est dû le plus souvent au fait que les serveurs ne peuvent pas être joints.

Pour résoudre le problème A, utilisez le Gestionnaire de sites et services Active Directory pour accomplir l'une des tâches suivantes :

• Publier suffisamment d'informations de connectivité de sites pour que le système puisse en déduire un itinéraire par lequel cette partition peut atteindre ce site. Cette option est recommandée.
• Ajouter un objet ntdsConnection à un contrôleur de domaine qui contient la partition domain controller=europe,domain controller=mycorp,domain controller=com dans ce site à partir d'un contrôleur de domaine qui contient la même partition dans un autre site.

Pour résoudre le problème B, examinez le journal des événements en cours pour identifier les serveurs qui n'ont pas pu être contactés par le KCC.

Pour désactiver la fonctionnalité automatique de pont lien de sites :

1. Double-cliquez sur le composant logiciel enfichable Sites et services Active Directory.
2. Cliquez avec le bouton droit sur l'objet transport IP, puis cliquez sur Propriétés.
3. Dans le conteneur Transports inter-sites, cliquez sur la case à cocher appropriée pour la désactiver, puis cliquez sur OK.

Il existe encore des limites aux configurations pour lesquelles le KCC peut calculer automatiquement une topologie inter-site, même quand aucun pont lien de sites n'est utilisé. La table ci-dessous répertorie la durée d'exécution et la consommation de mémoire du KCC inter-site qui s'exécute dans diverses configurations « hub and spoke ». Chaque site contient un contrôleur de domaine pour un domaine unique et un catalogue global (GC). Les domaines sont répartis de manière égale entre les sites. La fonctionnalité de pont lien de sites est désactivée et aucun pont lien de sites n'a été défini. Les mesures ont été effectuées sur un ordinateur équipé d'un processeur Intel Pentium III Xeon cadencé à 500 MHz avec 1 Go de RAM ; les durées d'exécution pour des processeurs Intel Pentium II cadencés à 200 MHz sont quasiment doubles de celles répertoriées. L'utilisation de la mémoire inclut la mise en cache des bases de données. La consommation de mémoire sera inférieure sur des ordinateurs avec moins de mémoire physique.

La formule relative à la durée d'exécution pour les sites satellites est : où nombre_domaines est le nombre de domaines et nombre_sites est le nombre de sites.

La formule pour les sites de concentrateur est :

Exécuter le KCC inter-site seulement pendant les heures creuses

Cette option fonctionne bien si l'ordinateur a une plage horaire pendant laquelle la charge de travail est faible et que l'exécution d'un KCC inter-site a lieu dans cette plage horaire. En général, cette technique doit être utilisée seulement si l'utilisation des ponts liens de sites a déjà été réduite et que la durée d'exécution ou l'utilisation de la mémoire du KCC restent un problème pendant les heures critiques de l'entreprise.

Les KCC dans un site donné peuvent être configurés pour désactiver uniquement le calcul de la topologie inter-site, tout en maintenant leur capacité de répondre à des besoins changeants de réplication au sein du site. Le calcul de la topologie inter-site peut alors être réactivé à une heure spécifique de la journée, juste le temps suffisant pour qu'un KCC dans le site exécute la vérification inter-site, et il peut être ensuite désactivé de nouveau.

Lorsque la vérification de la topologie inter-site est désactivée pour un site particulier, ce site ne répondra pas aux modifications dans la topologie inter-site. Si un partenaire de réplication ou les deux partenaires pour toutes les connexions inter-site qui répliquent un domaine donné ne sont pas disponibles, aucune adaptation automatique du KCC à une nouvelle source ou destination ne sera effectuée tant que les contrôleurs de domaine ne seront pas remis en ligne ou que la partie inter-site du KCC ne sera pas exécutée de nouveau.

REMARQUE : l'administrateur peut ajouter manuellement des connexions lorsque le KCC inter-site est désactivé.

Pour déterminer si cette option est réaliste dans votre configuration, commencez par déterminer la durée d'exécution du KCC dans votre environnement. Déterminez ensuite si un contrôleur de domaine dans chaque site présente une plage horaire compatible avec les conditions de durée et de mémoire requises. Il n'est pas nécessaire d'exécuter la partie inter-site du KCC simultanément dans tous les sites.

Pour planifier le KCC inter-site, utilisez le composant Planificateur de tâches pour planifier les exécutions de « wscript /b runkcc.vbs » (le script est fourni dans sa forme textuelle plus loin dans cet article). Pour plus d'informations sur le Planificateur de tâches, reportez-vous à la rubrique Planificateur de tâches dans l'aide de Windows 2000. Runkcc.vbs requiert l'installation des outils de support disponibles dans le dossier Support\Tools du CD-ROM Windows 2000 sur l'ordinateur qui exécutera le script.

Désactiver complètement le KCC inter-site et configurer manuellement les connexions

Cette option fonctionne bien dans les configurations classiques « hub and spoke ». En général, elle est utilisée seulement lorsque les deux méthodes précédentes ne sont pas des options viables, en particulier dans des configurations avec des milliers de sites.

Lorsque la topologie inter-site automatique est complètement désactivée, l'administrateur est chargé de créer les objets de connexion de réplication inter-site qui permettent de garantir que la transmission des données de réplication continue dans la forêt. En général, les entreprises qui possèdent suffisamment de sites pour dépasser les limites du KCC emploient des topologies de réseau « hub and spoke » pour connecter un siège d'entreprise avec un grand nombre de sites homogènes de filiales. Cette symétrie simplifie grandement le processus.

Avant de créer vos propres objets de connexion sans l'aide du KCC, vous devez prendre en compte plusieurs points :

• Défaillances de serveur. Envisagez le cas où le contrôleur de domaine BR1 dans un site de filiale est connecté au contrôleur de domaine HQ1 dans le site de concentrateur d'entreprise et où HQ1 subit une défaillance matérielle, une panne d'alimentation ou un autre événement catastrophique. Lorsque la topologie inter-site automatique est activée, le KCC prend soin d'ajouter une connexion supplémentaire pour répliquer temporairement à partir d'un autre contrôleur de domaine dans le site de concentrateur d'entreprise jusqu'à ce que HQ1 soit remis en ligne. Sans la génération de topologie inter-site automatique, pour garantir que la réplication se poursuive dans les cas de défaillances de serveur, des connexions redondantes doivent être définies. Définissez deux connexions entrantes à BR1, une à partir de HQ1 et l'autre à partir de HQ2. Si deux contrôleurs de domaine, BR1 et BR2, se trouvent dans la filiale, la deuxième connexion doit s'effectuer à partir de HQ2 vers BR2. Cela permet la réplication des mises à jour à partir du site de concentrateur d'entreprise au cas où l'un des deux contrôleurs de domaine de la filiale serait défaillant.
  
  En raison des connexions redondantes définies de cette manière, les mêmes mises à jour d'Active Directory peuvent être répliquées plusieurs fois, à moins que le transport IP soit utilisé et que toutes les connexions entrantes au site aient le même contrôleur de domaine de destination dans le site. Lors de l'utilisation du transport SMTP ou de plusieurs contrôleurs de domaine de destination, la planification de la réplication doit être entrelacée de telle sorte que les mises à jour provenant d'une source soient reçues, appliquées et répliquées dans le site de destination avant qu'une demande à la seconde source soit effectuée. Pour étendre l'exemple ci-dessus, la première connexion peut répliquer aux heures impaires et la deuxième connexion aux heures paires.
• Positionnement des catalogues globaux. Si un site contient des GC, un ou plusieurs GC doivent être utilisés pour la réplication en direction et à partir du site. Si ce n'est pas le cas, les GC ne resteront pas synchronisés.
• Positionnement des domaines. Si les contrôleurs de domaine d'un domaine particulier sont répartis entre plusieurs sites, un ou plusieurs contrôleurs de domaine de ce domaine doivent être utilisés pour la réplication avec les autres contrôleurs de domaine de ce même domaine. Cela garantit que les données d'un domaine sont répliquées sur tous les contrôleurs de domaine de ce domaine. Il n'est pas suffisant qu'un contrôleur de domaine du domaine A dans le site 1 réplique uniquement avec le catalogue global d'un domaine B dans le site 2, si le site 2 contient un contrôleur de domaine pour le domaine A. Comme le catalogue global du domaine B possède uniquement un sous-ensemble des attributs pour les objets dans le domaine A, il ne peut pas agir comme un conduit pour répliquer les attributs absents de cet ensemble entre les contrôleurs de domaine du domaine A.
• Équilibrage de charge. Distribuez la charge de réplication entrante et sortante. Par exemple, si vous possédez 100 contrôleurs de domaine dans votre site de concentrateur d'entreprise et 1000 filiales avec 1 contrôleur de domaine chacune, vous ne souhaitez pas configurer les contrôleurs de domaine des 1000 filiales pour qu'ils répliquent à partir du même contrôleur de domaine dans votre site de concentrateur. À la place, équilibrez la charge de telle sorte que chaque contrôleur de domaine dans le concentrateur d'entreprise communique avec 10 sites de filiales. Comme une seule réplication entrante peut se produire à la fois et que la communication avec les sites des filiales s'effectue souvent via des liaisons de réseau étendu (WAN) lentes, ne pas équilibrer la charge n'augmentera pas seulement la charge de l'UC et la charge de mémoire sur le contrôleur de domaine du site de concentrateur, mais cela peut entraîner également des retards importants de données à répliquer.

Une simple exécution du KCC peut également être utilisée pour créer initialement des connexions qui peuvent ensuite être adaptées par un administrateur. Si le KCC inter-site n'est pas sensé être exécuté régulièrement par la suite, l'administrateur doit définir des connexions de réplication supplémentaires afin que la réplication ne soit pas interrompue dans le cas d'une défaillance du contrôleur de domaine source identifié par la première connexion. Si toutes les connexions existantes échouent et que le KCC inter-site n'est pas exécuté de nouveau, l'administrateur doit se connecter directement au contrôleur de domaine cible et créer une connexion à un contrôleur de domaine accessible. Dans des configurations à haute volatilité (lorsque les contrôleurs de domaine source optimaux sont parfois indisponibles sur de longues périodes en raison de défaillances du réseau), il est conseillé de posséder plusieurs connexions supplémentaires.

Runkcc.vbs (script VBScript permettant de déclencher l'exécution unique du KCC)

Microsoft fournit des exemples de programmation à titre indicatif uniquement, sans garantie explicite ou implicite. Ceci inclut, de manière non limitative, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques. '*/ runkcc.vbs
'*/
'*/ Paramètres : <aucun>
'*/ Objectif : lorsqu'il est exécuté sur un contrôleur de domaine, ce script fait du contrôleur de domaine local le générateur
'*/ de topologie inter-site pour son site, permet temporairement la génération de la topologie inter-site si celle-ci est désactivée,
'*/ exécute le processus de génération de la topologie KCC et désactive la génération de la topologie inter-site
'*/ si elle était configurée ainsi pour commencer.
'*/
'*/

On Error Resume Next

Call ExecuteKCC()

Public Sub ReportError ()

'indique l'erreur à l'utilisateur
wscript.Echo "L'erreur suivante s'est produite : (" + cstr(hex(err.number)) +") " + cstr(err.description)

End Sub

Public Sub ExecuteKCC ()

On Error Resume Next

wscript.echo "Chargement en cours des fonctions utilisées par ce script..."
set dll=createobject("iadstools.DCFunctions")
if err.number <> 0 then ReportError:WScript.Quit
dll.enabledebuglogging 1

'obtient le nom de zone local
wscript.echo "1> Connexion à l'ordinateur local en cours..."
set localMachine=GetObject("LDAP://localhost/rootdse")
if err.number <> 0 then ReportError:Wscript.Quit
ServerName=localmachine.get("dnsHostName")
if err.number <> 0 then ReportError:WScript.Quit
wscript.echo "2> Ordinateur local trouvé " + ucase(ServerName)

'obtient le contexte de nommage de configuration
configNC=localMachine.get("configurationNamingContext")
if err.number <> 0 then ReportError:Wscript.Quit
wscript.echo "3> Le contexte de nommage de configuration est : " + configNC

'obtient le nom de site de cette zone
domaincontrollerSiteName=dll.dsgetsitename

if err.number <> 0 then ReportError:Wscript.Quit
wscript.echo "4> Le site pour ce serveur est : " + domaincontrollersitename

'obtient le nom de domaine DSA pour cette zone
DSAObj = localMachine.get("dsServiceName")
if err.number <> 0 then ReportError:Wscript.Quit
wscript.echo "5> Le nom de domaine du DSA de cet ordinateur est : " + DSAObj

'lie à l'objet Paramètres de site dans l'annuaire
SiteSettingsPath="LDAP://localhost/CN=NTDS Site Settings,CN="+domaincontrollerSiteName+",CN=Sites,"+configNC
set SiteSettings=GetObject(SiteSettingsPath)
if err.number <> 0 then ReportError:WScript.Quit

'fait de la zone actuelle l'ISTG
wscript.echo "6 Promotion de " + ucase(ServerName) + " comme générateur de topologie inter-site pour le site " + ucase(domaincontrollerSiteName) + "."
SiteSettings.Put "interSiteTopologyGenerator",DSAObj
SiteSettings.SetInfo
if err.number <> 0 then ReportError:Wscript.Quit

'obtient les options en cours
origOptions=SiteSettings.Get("options")
if hex(err.number) = "8000500D" then
origOptions=0
elseif err.number=0 then
'ne fait rien
else
ReportError:Wscript.Quit
end if
modOptions=origOptions
wscript.echo "7> Les options actuellement spécifiées pour les opérations KCC pour l'ISTG dans ce site sont définies sur : " + cstr(origOptions)

'active le KCC s'il est actuellement désactivé, sinon, ne fait rien
if modOPtions And 16 then
mod2Options=modOptions XOr 16
wscript.echo "8> Le KCC est actuellement désactivé pour la génération de la topologie inter-site. Réactivation temporaire. Définition des options sur : "+ cstr(mod2Options)
SiteSettings.Put "options", mod2Options
SiteSettings.SetInfo
if err.number<>0 then
ReportError
wscript.echo "Une erreur s'est produite pendant le processus de modification de l'attribut des options. Assurez-vous qu'il a la valeur d'origine correcte. Ce script se termine."
Wscript.Quit
end if
else
wscript.echo "8> Le KCC est actuellement activé pour traiter la génération de la topologie inter-site. Aucune modification n'est nécessaire avant de déclencher le KCC."
end if

'exécute le KCC
Result=dll.TriggerKCC(cstr(ServerName))
if err.number > 0 then ReportError
If result=0 then
wscript.echo "9> Le KCC a été déclenché avec succès sur " + ucase(ServerName)
else
wscript.echo "9> L'erreur suivante s'est produite lors du déclenchement du KCC " + ucase(ServerName) + ": " + dll.lasterrortext
end if

'désactive le KCC
wscript.echo "10> Réécriture en cours des options d'origine (" + cstr(origOptions) + ") dans l'ISTG."
SiteSettings.Put "options", origOptions
SiteSettings.SetInfo
if err.number <> 0 then ReportError:WScript.Quit

End Sub

'fin du script

Pour plus d'informations sur le KCC de Windows 2000, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.