> Tech > Quand installer un GC

Quand installer un GC

Tech - Par iTPro - Publié le 24 juin 2010
email

Une fois les DC en place, il faut choisir ceux qui devront héberger le GC. Comme pour l'analyse du trafic DC, réfléchissez aux fonctions du GC. Premièrement, dans un domaine en mode natif, le GC contient les groupes universels. Deuxièmement, le GC fournit un ensemble d'objets AD s'étendant à  toute

Quand installer un GC

la forêt. Alors, qui a besoin de ces services ?

La première fonction – stocker des groupes universels –
concerne quiconque se connecte au domaine. Quand un utilisateur
se connecte, le service Netlogon crée son jeton d’accès
qui, entre autres choses, indique les groupes d’appartenance
de l’utilisateur. Comme seul le GC stocke des groupes
universels, Netlogon le contacte dans le cadre du logon pour
énumérer l’appartenance de l’utilisateur aux groupes universels.
Par défaut, si un utilisateur ne peut pas accéder à  un
serveur GC, il ne peut pas se connecter. On peut contourner
cela par un changement de registre dans Win2K (en violation
de la sécurité) ou en utilisant la fonction cache de groupe
universel de Windows 2003. Lorsqu’un utilisateur se
connecte pour la première fois à  un site dont le cache de
groupe universel est activé, les DC Windows 2003 de ce site
mettront en cache votre appartenance aux groupes universels
et la rafraîchiront périodiquement à  partir des GC d’un
autre site.

La seconde fonction – servir de référence AD pour l’ensemble
de la forêt – a de loin le plus grand poids sur le placement
des serveurs de GC. Les applications de messagerie
(Exchange 2000 et ultérieurs sur le serveur et Microsoft
Outlook sur le client) sont les plus gros utilisateurs du GC.
Windows 2003 et Win2K stockent les adresses e-mail comme
attributs des objets utilisateur AD, et les serveurs Exchange
2000 et ultérieurs et les clients Outlook utilisent le GC pour
la traduction d’adresses de nom à  courriel. C’est la version
d’Outlook qui détermine quelle plate-forme effectue le plus
de consultations. Le cache de groupe universel n’est d’aucune
aide en matière de messagerie, parce que les utilisateurs
du e-mail ne consultent pas les groupes universels : ils
ont besoin d’attributs d’adresse e-mail provenant du GC. Si
vous avez des utilisateurs d’Exchange 2000 ou ultérieur dans
une agence dotée d’un DC, songez sérieusement à  faire de
ce DC un serveur de GC, faute de quoi les utilisateurs devront
aller sur le WAN pour examiner les adresses e-mail. S’il
y a un serveur Exchange 2000 ou ultérieur sur le site, il y faut
aussi au moins un serveur de GC. J’ajoute que si vous avez
déployé Exchange 2000 ou ultérieur dans toute l’entreprise,
tous vos DC devraient aussi être des GC.

On s’en doute, la présence d’un grand nombre de serveurs
de GC dans l’entreprise peut avoir des conséquences.
Le GC contient tous les objets de la forêt, mais comme les objets
provenant de la partition de domaine local n’ont pas de
doubles dans le GC, sa taille varie selon le domaine. Si votre
société est internationale, vous avez probablement moins
d’employés – et donc des domaines plus petits – dans les
pays étrangers. Si vos domaines sont de tailles très différentes,
le GC sur un DC dans un petit domaine sera proportionnellement
plus grand que le GC sur un DC dans le domaine
plus grand. Par conséquent, la réplication des GC dans
les petits domaines aura un impact bien plus grand que dans
les grands domaines. Pour compliquer les choses, les circuits
WAN des petits domaines ont généralement une bande passante
inférieure à  celle des grands domaines et la réplication
accrue les affectera davantage.

L’activité des GC est influencée par un autre facteur : le
nombre et la taille des groupes universels. Comme ils vivent
dans le GC, Windows réplique les changements qui leur sont
apportés aux serveurs de GC, dans toute la forêt. Win2K
stocke un groupe universel comme un attribut multivaleur
unique, donc si l’appartenance au groupe universel change,
Win2K réplique la totalité du groupe. Si l’on a des groupes
universels vastes ou actifs (comme des groupes qui servent
de DL – distribution lists – d’Exchange 2000), le GC sera le
plus grand composant de votre réplication d’AD. Ce comportement
a été modifié dans Windows 2003 : la réplication
ne touche que les changements d’appartenance à  un groupe
universel, et pas tout le groupe.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010