Placement des catalogues globaux

Quel est le rôle joué par le catalogue Global ?

Une forêt Active Directory peut être composée d’un ou plusieurs domaines. Par défaut la partition de domaine ne contient que les objets du domaine. Le contrôleur de domaine ne peut localiser les objets des autres domaines.

Et pourtant, des utilisateurs d’un domaine peuvent appartenir à des groupes d’autres domaines. Ils peuvent également selon leur autorisation d’accès ouvrir une session sur un poste situé dans un autre domaine.

C’est à ce niveau qu’intervient le catalogue global. Il est une sorte d’index des objets de la forêt. Il ne contient pas tous les attributs de chaque objet, mais tous les objets peuvent être localisés.

Il joue également un rôle important pour certaine application tel que Microsoft Exchange.

Comment placer les catalogues globaux sur une forêt mono-domaine ?

Nous pouvons déjà en déduire que le rôle de catalogue global est moins problématique sur les forêts mono-domaines. Car dans les forêts mono domaines tous les contrôleurs de domaine connaissent l’ensemble des objets d’Active Directory. Dans le cas d'une forêt mono domaine la recommandation sera d’activer le rôle de catalogue global sur TOUS les contrôleurs de domaine. Il n’a qu’un impact faible sur les performances systèmes du serveur dans ce type de configuration.

Comment placer les catalogues globaux sur une forêt multi domaines ?

Dans une forêt multi-domaine, les contrôleurs de domaines connaissent les objets de leur domaine et interroge un catalogue global pour localiser les objets des autres domaines. Le premier paramètre dont nous allons tenir compte est la disposition géographique du réseau d’entreprise. En effet lors de l'ouverture d'une session celle ci ne peut aboutir si le DC concerné ne peut joindre un catalogue global. Un site distant avec un DC qui n'est pas catalogue global ne pourra valider les ouvertures de session si le lien entre site est rompue.

Il existe une option supplémentaire qui est la mise en cache des groupe universelles que nous reprendrons un peu plus loin.

Une règle importante pour le placement des catalogues globaux est qu’il est incompatible avec rôle de maître d’infrastructure. En générale on ne positionne pas le rôle de catalogue global sur le DC qui est maitre d’infrastructure du domaine ( il y en a un par domaine). Une exception existe si tous les DC ont le rôle de catalogue global.

Pour illustrer admettons que j’ai x domaine dans une forêt AD. L’ensemble de la forêt se situe sur un site AD et les DC communiquent par des liens rapides. Chaque domaine à 2 contrôleurs de domaine. Je peux opter pour l’option d’activer le catalogue global sur tous les DC y compris sur ceux qui disposent du rôle de maître d’infrastructure dans leur domaine.

Autre possibilité un des DC aura l’ensemble des rôles de maître d'opération du domaine et un d'entre eux aura en plus ceux de la forêt. L’autre sera un catalogue global, il en faut au minimum 2 pour assurer la redondance du service.

Allons un peu plus loin dans notre exemple en rajoutant 2 sites distants. Sur le premier site il y a 120 utilisateurs et une connexion WAN fiable. Sur le deuxième il y a 20 utilisateurs et la connexion est réputée moins bonne.

Pour le premier des sites distants, nous ajoutons un contrôleur de domaine et nous ajoutons le rôle de catalogue global au vue du grand nombre d’utilisateurs. La règle donnée en exemple sur Technet, prévoit un catalogue global dès lors qu’il y a une centaine d’utilisateurs.

Sur le 2ème site nous nous contenterons d’un contrôleur de domaine avec l’option de mise en cache de l’appartenance aux groupes universels.

Les autres critères de choix pour la mise en place d’un catalogue global sur le site distant sont orienté utilisateurs et applications. Si vous avez une application ayant besoin d’interroger fréquemment le catalogue global sur ce site, alors configurer le DC local en tant que catalogue global. C’est le cas par exemple, si un serveur Microsoft Exchange est présent sur le site distant.

Idem si le site distant accueil fréquemment des utilisateurs nomades de l’entreprises.

A quoi sert l’appartenance aux groupes universels ?

La mise en cache de l’appartenance aux groupes universels permet de ne pas surcharger le contrôleur de domaine, ni le trafic lié à la réplication lorsque l’on passe par une connexion lente. Lors de l’ouverture de session, le contrôleur de domaine qui reçoit la demande d’authentification identifie le domaine d’origine. Si celui-ci n’appartient pas à son domaine il faut forcément interroger un CG. Si l’utilisateur appartient à son domaine, il doit tout de même retrouver les groupes universels des autres domaines auquel l’utilisateur appartient. Cette information est également détenue par le CG. Si les utilisateurs du site appartiennent au même domaine et si le contrôleur de domaine (qui n’est pas CG), a la fonction de « mise en cache de l’appartenance aux groupes universels » d’activer, il est autonome pour valider l’authentification de l’utilisateur.

L’option de mise en cache des groupes universels implique la création d’un site AD pour le site géographique distant. Elle se configure au niveau des paramètres NTDS du site.

Il est très fortement recommandé, lorsque vous activez la « mise en cache de l’appartenance aux groupes universelles », que le DC concerné a dans ces partenaires de réplication un contrôleur de domaine ayant le rôle CG.

Comment les serveurs trouvent un catalogue global ?

Dans une forêt Active Directory on localise les contrôleurs de domaines qui ont le rôle de catalogue global par l’intermédiaire des services DNS. Un enregistrement de type SRV existe dans la zone DNS de la forêt.