ULB - SAETO - Newsletter

Notion de domaine dans Windows NT

La notion de domaine n’est pas un concept nouveau. Nous en retrouvons l’idée dans la littérature informatique s’appliquant à la modélisation des données : domaine de données = bornes qui délimitent les valeurs que peut prendre un champ de données. La notion de domaine s’applique également à la localisation de tables dans un environnement réparti. Les systèmes qui partagent des informations de configuration communes figureront dans un même domaine. C’est ce qu’on appelle le NIS (Network Information System) sous Unix, c’est-à-dire un système de base de données réparti qui gère de façon centralisée les copies des fichiers de configuration répliqués. On ne gère plus les fichiers sur chacun des sites (comme /etc/passwd , /etc/hosts), mais une base de données pour chaque fichier est maintenue sur un serveur centralisé.

Cette notion de domaine est encore différente pour Internet : un domaine Internet est un ensemble de sites dont la gestion est commune. Il est défini en fonction des organismes participants et de leurs hiérarchies. Pour la clarté de l’exposé : dans un domaine Internet peuvent figurer plusieurs domaines NIS. En résumé: la notion de domaine introduit l’idée de hiérarchie et de frontière à l’utilisation de ressources informatiques, elle conduit à une administration centralisée des ressources réparties et à une sécurisation du système.

Dans Windows NT, le modèle Domaine s’oppose au modèle Workgroup, ce dernier fonctionnant avec une administration distribuée et étant destiné à de petites infrastructures en réseaux. Windows NT propose lors de son installation 3 types de serveurs:

le PDC (Primary Domain Controller)
le BDC (Backup Domain Controller)
Server (Serveur de fichiers, d’impression et d’applications)

Il existe dans NT quatre modèles de domaine. Le choix d’un modèle résulte des exigences d’administration des comptes utilisateurs et des ressources (centralisation ou décentralisation des comptes utilisateurs).

Domaine Unique
Domaine Maître
Plusieurs domaines Maîtres
Approbation totale

Dans cet article, nous nous limiterons à l’examen du domaine unique. Ce modèle de domaine permet une administration centralisée des comptes utilisateurs et est plus particulièrement destiné aux PME qui ont une organisation interne ne nécessitant pas de subdivision par services. L’administration se fera par la mise en oeuvre de groupes d’utilisateurs. Idéalement, le LAN se composera de trois serveurs : un PDC, qui servira à l’authentification et à la gestion centralisée des comptes utilisateurs, un BDC qui servira de backup au PDC et un serveur d’applications, de fichiers et d’impression. Un domaine NT peut supporter 15.000 utilisateurs et 2.000 serveurs, ce qui est une limite confortable.

La taille de la base de données d’un PDC ne dépasse jamais 40 MB, sa duplication sur le BDC se fait par synchronisation complète (copie la totalité de la base) ou partielle ( uniquement les modifications apportées à la base). Il existe quand même quelques petites subtilités à l’installation d’un PDC, ce dernier lors de son installation génèrant un SID (security identifier). Ce SID est unique, il est créé à partir d’informations concernant l’utilisateur, la date, l’heure, mais aussi d’informations relatives au domaine.

De plus dans Windows NT, il est possible de renommer un domaine, tout en gardant le même SID. En cas de problème grave avec le PDC, qui nécessiterait sa réinstallation, celui-ci génère un nouveau SID, ce qui pose évidemment problème, le nouveau SID n’étant jamais identique au précédent, et ce même si le PDC porte le même nom de domaine. L’ensemble des stations ne pourront dés lors plus s’authentifier au domaine. Il existe plusieurs solutions pour résoudre ce problème: ·

soit le nouveau PDC change de nom de domaine, et les stations se connectent au nouveau domaine, ce qui implique une action sur chaque station.
soit on transforme le BDC en PDC pour garder le même SID ( lors de l’installation du BDC, celui-ci recopie le SID du PDC) et on réinstalle le PDC défectueux en BDC, ce qui lui permet de récupérer le SID

On peut poursuivre le même raisonnement et transformer le nouveau BDC en PDC pour retrouver la configuration d’origine. Un simple PC peut remplir la fonction de BDC ou de PDC. Dans tous les cas, un domaine ne peut avoir qu’un seul PDC qui centralise les comptes utilisateurs. Donc si on s’oriente vers ce type de configuration, il est recommandé d’avoir un BDC, bien que ce dernier ne soit pas obligatoire.

F. Timmermans.

Bibliographie

Pratique de NFS et NIS - Hal Stern - Edition O’Reilly
Kit de formation Windows NT 4.0 - Microsoft Press