Dimensionner les contrôleurs de domaines

de domaines à  la topologie du site pour la duplication d’AD. Pendant
le processus, il faut s’assurer que l’implémentation physique tient compte des
limites actuelles d’AD. Enfin il faut prendre en compte la mise en oeuvre de DNS.
La disponibilité du serveur DNS est cruciale pour le bon fonctionnement de la
duplication d’AD et des connexions de clients.

Le dimensionnement des contrôleurs de domaines AD amène à  se demander quelle est
la bonne taille. S’il s’agit de réunir 10 domaines de comptes NT 4.0 comprenant
100.000 utilisateurs en un seul domaine AD, il est plus que probable que chaque
contrôleur du nouveau domaine ait besoin de davantage de puissance et d’espace
disque qu’auparavant. Mais combien de plus ? Microsoft propose un outil, AD Sizer,
qui permet de déterminer rapidement les besoins des contrôleurs de domaines ;
voir l’encadré « AD Sizer » pour en savoir plus sur ce sujet.

Tout nouvel objet AD créé a besoin d’espace disque sur le contrôleur de domaines.
(Le fichier principal de la base de données AD, ntds.dit, réside sur chaque contrôleur
de domaine d’un domaine). Plus il y a d’objets – et d’attributs d’objets – plus
grosse la base de données AD. AD est beaucoup plus évolutif qu’un domaine NT 4.0.
Mais une base de données AD consomme aussi beaucoup plus d’espace disque que la
SAM de NT 4.0, parce qu’AD comprend beaucoup plus de types d’objets (par exemple
des volumes, des stratégies de groupe) et que les objets AD peuvent avoir beaucoup
d’attributs (par exemple, les objets utilisateurs peuvent contenir des numéros
de téléphone, des adresses et des adresses de courrier électronique). J’ai migré
vers Windows 2000 un domaine Windows NT 4.0 contenant environ 3.000 comptes d’utilisateurs
et comptes machines et plusieurs centaines de groupes d’utilisateurs, et le fichier
ntds.dit résultant pesait approximativement 38 Mo. Avec l’outil AD Sizer j’ai
estimé qu’un domaine NT 4.0 de 20.000 utilisateurs avec de multiples attributs
étendus (et qui comprenait l’utilisation de Microsoft Exchange 2000 Server) se
traduirait en un fichier ntds.dit de 500 Mo. Les fichiers ntds.dit de plusieurs
gigaoctets sont communs pour les domaines AD étendus ou complexes.

Le Tableau 1 montre la taille habituelle de quelques types d’objets AD. Un objet
utilisateur avec le nombre minimum d’attributs pèse 3,7 Ko. Si vous utilisez le
composant logiciel enfichable Utilisateurs et ordinateurs AD de la MMC (Microsoft
Management Console) pour créer un utilisateur, celui-ci définit les attributs
minimums, mais vous utiliserez probablement beaucoup d’autres attributs dans vos
objets AD (surtout si vous prévoyez de mettre en oeuvre Exchange 2000).

Certaines pratiques moins évidentes affectent également la taille d’AD. Par exemple,
chaque entrée de contrôle d’accès (ACE) sur l’ACL de sécurité d’un objet AD consomme
environ 70 octets. Etant donné le modèle d’héritage utilisé par AD pour appliquer
la sécurité, il n’est pas difficile de faire un changement d’ACL qui ajoute automatiquement
de nouvelles ACE à  des milliers d’objets. Veillez à  déléguer le contrôle des objets
AD dans votre infrastructure. Si possible, déléguez à  des groupes d’utilisateurs
plutôt qu’à  des utilisateurs individuels. Cette approche minimise le nombre d’ACE
nécessaire à  un objet ou un attribut particulier.