Planification de l’emplacement des serveurs de catalogue global
Le positionnement du catalogue global exige une planification, sauf pour les forêts à domaine unique. Dans une forêt à domaine unique, configurez tous les contrôleurs de domaine comme serveurs de catalogue global. Puisque chacun de ces contrôleurs stocke la seule partition d’annuaire de domaine de la forêt, le fait de les paramétrer comme serveurs de catalogue global n’utilise pas d’espace disque, de ressources de processeur ni de trafic de réplication supplémentaire. Dans une forêt à domaine unique, tous les contrôleurs de domaine jouent le rôle de serveurs de catalogue global virtuel. Autrement dit, ils peuvent tous répondre à n’importe quelle demande d’authentification ou de service. Cette condition spéciale des forêts à domaine unique est intentionnelle. Les demandes d’authentification n’impliquent pas de contacter un serveur de catalogue global, à la différence du cas où il existe plusieurs domaines. Un utilisateur peut être membre d’un groupe universel qui figure dans un autre domaine. Toutefois, seuls les contrôleurs de domaine désignés comme serveurs de catalogue global peuvent répondre aux requêtes de catalogue global sur le port de catalogue global 3268. Pour simplifier l’administration dans ce scénario et garantir la cohérence des réponses, le fait de désigner tous les contrôleurs de domaine comme serveurs de catalogue global élimine la question de savoir lesquels sont en mesure de répondre aux requêtes de catalogue global. Plus précisément, chaque fois qu’un utilisateur utilise Démarrer\Rechercher\Personnes ou Rechercher des imprimantes, ou développe des groupes universels, ces demandes vont uniquement au catalogue global.
Dans les forêts à plusieurs domaines, les serveurs de catalogue global facilitent les demandes d’ouverture de session utilisateur et les recherches à l’échelle de la forêt. L’illustration suivante montre comment déterminer quels emplacements ont besoin de serveurs de catalogue global.
Dans la plupart des cas, il est recommandé d’inclure le catalogue global lorsque vous installez de nouveaux contrôleurs de domaine. Il existe toutefois certaines exceptions :
- Limitation de la bande passante : dans les sites distants, si la liaison de réseau étendu (WAN) entre le site distant et le site hub est limitée, vous pouvez utiliser la mise en cache de l’appartenance au groupe universel dans le site distant pour répondre aux besoins d’ouverture de session des utilisateurs du site.
- Incompatibilité du rôle maître des opérations d’infrastructure : ne placez pas le catalogue global sur un contrôleur de domaine qui héberge le rôle maître des opérations d’infrastructure dans le domaine, à moins que tous les contrôleurs de domaine du domaine ne représentent des serveurs de catalogue global ou que la forêt ne comporte qu’un seul domaine.
Ajout de serveurs de catalogue global en fonction des exigences de l’application
Certaines applications (par exemple Microsoft Exchange, Message Queuing, également appelée MSMQ, et les applications utilisant DCOM) ne fournissent pas de réponse adéquate sur les liaisons WAN latentes. Elles ont donc besoin d’une infrastructure de catalogue global hautement disponible pour assurer une faible latence des requêtes. Déterminez si des applications qui fonctionnent mal sur une liaison WAN lente s’exécutent à certains emplacements ou si les emplacements exigent Microsoft Exchange Server. Si vos emplacements incluent des applications qui ne fournissent pas une réponse adéquate sur une liaison WAN, vous devez y placer un serveur de catalogue global pour réduire la latence des requêtes.
Note
Les contrôleurs de domaine en lecture seule peuvent être promus à l’état de serveurs de catalogue global. Toutefois, certaines applications compatibles avec les annuaires ne prennent pas en charge les contrôleurs de domaine en lecture seule comme serveurs de catalogue global. Par exemple, aucune version de Microsoft Exchange Server n’utilise de contrôleurs de domaine en lecture seule. Microsoft Exchange Server fonctionne néanmoins dans les environnements qui incluent des contrôleurs de domaine en lecture seule, tant qu’il existe des contrôleurs de domaine accessibles en écriture disponibles. Exchange Server 2007 ignore les contrôleurs de domaine en lecture seule, de même qu’Exchange Server 2003 dans les conditions par défaut où les composants Exchange détectent automatiquement les contrôleurs de domaine disponibles. Aucune modification n’a été apportée à Exchange Server 2003 pour le rendre compatible avec les serveurs d’annuaires en lecture seule. Par conséquent, toute tentative de forcer les services et les outils de gestion Exchange Server 2003 à utiliser des contrôleurs de domaine en lecture seule peut entraîner un comportement imprévisible.
Ajout de serveurs de catalogue global pour un grand nombre d’utilisateurs
Placez des serveurs de catalogue global à tous les emplacements qui contiennent plus de 100 utilisateurs afin de réduire la congestion des liaisons réseau WAN et d’éviter les pertes de productivité en cas de défaillance des liaisons WAN.
Utilisation de la bande passante hautement disponible
Il n’est pas nécessaire de placer un catalogue global à un emplacement qui n’inclut pas d’applications exigeant un serveur de catalogue global, qui comprend moins de 100 utilisateurs et qui est également connecté à un autre emplacement comportant un serveur de catalogue global par une liaison WAN disponible à 100 % pour Active Directory Domain Services (AD DS). Dans ce cas, les utilisateurs peuvent accéder au serveur de catalogue global par le biais de la liaison WAN.
Les utilisateurs itinérants doivent contacter les serveurs de catalogue global chaque fois qu’ils se connectent pour la première fois à un emplacement. Si le temps d’ouverture de session sur la liaison WAN est inacceptable, placez un catalogue global à un emplacement visité par un grand nombre d’utilisateurs itinérants.
Activation de la mise en cache de l’appartenance au groupe universel
Dans le cas des emplacements qui incluent moins de 100 utilisateurs et ne comportent ni un grand nombre d’utilisateurs itinérants ni des applications exigeant un serveur de catalogue global, vous pouvez déployer des contrôleurs de domaine qui exécutent Windows Server 2008 et activer la mise en cache de l’appartenance au groupe universel. Assurez-vous que les serveurs de catalogue global ne se trouvent pas à plus d’un tronçon de réplication du contrôleur de domaine sur lequel la mise en cache de l’appartenance au groupe universel est activée afin que les informations de groupe universel présentes dans le cache puissent être actualisées. Pour plus d’informations sur le fonctionnement de la mise en cache du groupe universel, consultez Fonctionnement du catalogue global.
Pour obtenir une feuille de calcul vous aidant à documenter l’emplacement envisagé des serveurs de catalogue global et des contrôleurs de domaine pour lesquels la mise en cache du groupe universel est activée, consultez Aide au travail pour le kit de déploiement Windows Server 2003, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrez Positionnement du contrôleur de domaine (DSSTOPO_4.doc). Consultez les informations sur les emplacements nécessaires des serveurs de catalogue global lorsque vous déployez le domaine racine et les domaines régionaux de la forêt.