Étiquette : Cours

[Active Directory] Rôles FSMO

Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multi maitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

Bien que Microsoft ait implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes à Active Directory.

Il existe donc depuis Windows 2000 cinq rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement des différents domaines et forêts de l’infrastructure. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents.

On distingue parmi les 5 rôles:

  • Maître d’attribution de noms de domaines
  • Contrôleur de schéma
  • Maitre RID
  • Maitre d’infrastructure
  • Emulateur PDC

Le Maitre d’attribution de noms de domaines et le contrôleur de schéma ont une portée au niveau de la forêt, pour laquelle ils sont uniques.

Le maitre RID, le maitre d’infrastructure et l’émulateur PDC ont une portée au niveau du domaine, pour lequel ils sont uniques.

Nous allons présenter plus en détail les différents rôles ainsi que l’impact de leur indisponibilité.

(suite…)

[Active Directory] Mémo sur la méthode AGDLP

La méthode AGDLP (Account, Global group, Domain Local group, Permission) est la méthode recommandée par Microsoft pour gérer l’accès aux fichiers partagés en fonctions des différents groupes AD.

Le principe est le suivant :

  • Les utilisateurs sont affectés à un groupe global
  • Les groupes globaux sont ajoutés aux groupes locaux
  • Les groupes locaux se voient attribués des permissions au niveau des ressources partagées

Les groupes globaux regroupent donc des utilisateurs qui se voient accorder des droits via des groupes locaux sur des ressources partagées.

En plus de la méthode AGDLP, comme vu dans le schéma précédant, chaque ressource sera liée à trois groupes locaux, chacun disposant de droits spécifiques :

  • Contrôle total (CT)
  • Lecture / Ecrite (RW)
  • Lecture (RO)

Cela permet ainsi d’affecter à des groupes d’utilisateurs des droits spécifiques pour une même ressource. Dans l’exemple du schéma AGDLP, les utilisateurs du service Etudes d’Orsay se voient affecter des droits en lecture/écriture sur le dossier « Projet MIR».

Nous pouvons imaginer que les collaborateurs du service Production d’Orsay aient besoin de visualiser le contenu du dossier « Projet MIR ». Avec cette méthode il suffira alors d’ajouter le groupe global « G_ORS_Production » contenant les utilisateurs du service Production d’Orsay au groupe local « L_ProjetMIR_RO » permettant l’accès au dossier « ProjetMIR » en lecture seule.

Dans le cas où des personnes n’appartenant pas au même service auraient besoin d’accéder à une ressource spécifique il faudra alors créer un groupe global spécifique. Par exemple si chaque chef de service doit pouvoir accéder en lecture au dossier relatif à la comptabilité il faudra alors créer le groupe global « G_ORS_Direction » associé au groupe local « L_Comptabilite_RO ».

Principes de la messagerie électronique

Généralités

Voici le fonctionnement général de l’acheminement d’un courriel d’un destinataire à un autre. Dans cet exemple, Jean-Bob souhaite envoyer un message à Billy.

Jean-Bob appartient au domaine de messagerie emc.fr et Billy au domaine yahoo.co.uk. Chacun dispose d’un serveur de messagerie (MTA et MDA) correspondant à leur domaine.

  1. Jean-Bob rédige son message et l’envoie grâce à son MUA. Le message est acheminé au serveur SMTP de son domaine.
  2. Le MTA du domaine emc.fr reçoit le message et constate que le destinataire n’est pas dans ses destinations. Il cherche alors grâce à DNS si un MTA existe pour le domaine yahoo.co.uk. Une fois qu’il la trouvé il envoie le message à ce MTA qui le dépose alors la boite aux lettres de Billy par l’intermédiaire du MDA.
  3. Billy souhaite relever son courrier et envoie donc une requête à son serveur POP via son MUA.
  4. Le serveur POP consulte la boite aux lettres de Billy et constate qu’il y a un message.

(suite…)

[Réseaux] Introduction au HSRP

Le  HSRP (Hot Standby Routing Protocol), protocole propriétaire de Cisco permet d’assurer une continuité de service en augmentant la tolérance de panne.

Dans notre cas un routeur virtuel est créé à partir de deux routeurs physiques : un considéré alors comme actif et le second en standby. Si le routeur actif tombe en panne le second prends le relais jusqu’à réparation de la panne.

 

Plusieurs routeurs sont considérés logiquement comme un seul routeur en partageant la même adresse MAC et IP. Ces différents routeurs forment un groupe. Les membres de ce groupe sont capables de s’échanger des messages d’état et des informations.

Si le routeur actif a un problème, le routeur en standby prendra sa place automatiquement, les paquets continueront de transiter de façon transparente.

Un routeur primaire (actif) est élu par groupe au moyen d’une priorité, les autres routeurs sont alors considérés comme secondaires (standby). Le secondaire assumera donc la tâche de transmettre les paquets à la place du primaire en cas de défaillance.

Le processus d’élection se déroule pendant la mise en place des liens, une fois ce processus terminé, seul le routeur primaire (actif) va envoyer des messages multicast en UDP périodiques HSRP aux autres afin de minimiser le trafic réseau.

Si ces messages ne sont plus reçus par le routeur secondaire (synonyme de défaillance) il devient immédiatement actif.

[Réseaux] Introduction au MPLS

Voici une breve introduction au MPLS basée sur mes maigres conaissances en réseaux.

Présentation

Le protocole MPLS (Multi Protocol Label Switching) permet de transporter des données grâce à la constitution de réseaux privés virtuels à l’intérieur de l’infrastructure d’un opérateur.

Il se base sur une étiquette pour commuter les paquets à travers deux équipements, les LER (Label Edge Routeurs) et les LSR (Label Switch Routers). Cette opération s’effectue entre la couche liaison de données et la couche réseau, c’est pourquoi MPLS est qualifié de protocole de couche « 2,5 ».

MPLS offre une étanchéité des flux et supporte les différents protocoles de niveau 1 à 3 du modèle OSI. Le but est d’associer la puissance de la commutation de la couche 2 avec la flexibilité du routage de la couche 3.

Principe

 

 

Les LER sont les routeurs de périphéries qui marquent le trafic à l’entrée du réseau MPLS. Ils encapsulent les datagrammes d’un protocole spécifiques (par exemple IP) dans les datagrammes MPLS. Cette encapsulation consiste à rajouter une étiquette (label) dépendant de la destination, de la nature et de la priorité du trafic.

Les LSR analysent les étiquettes des datagrammes MPLS et traitent chaque datagramme selon l’information contenue dans son étiquette. Ils changent également la valeur de l’étiquette qu’ils font suivre.  Le traitement que doit effectuer un LER ou LSR est décrit dans une structure de données propre à chaque routeur MPLS appelée LIB (Label Information Base)

Les paquets de données ainsi étiquetés par les LER suivent leur trajet spécifique aiguillé sur le bon chemin tout au long de leur trajet par les LSR. Ce système d’étiquetage des données permet au responsable du réseau au sein de l’entreprise de définir des ordres de priorité, donc de la QoS (Quality of Service).

(suite…)