Planification de l’emplacement du contrôleur de domaine régional
Pour garantir la rentabilité, prévoyez de placer le moins de contrôleurs de domaine régionaux possible. Tout d’abord, consultez la feuille de calcul « Emplacements géographiques et liaisons de communication » (DSSTOPO_1.doc) utilisée dans Collecte d’informations réseau pour déterminer si un emplacement est un hub.
Prévoyez de placer des contrôleurs de domaine régionaux pour chaque domaine représenté dans chaque emplacement de hub. Une fois que vous avez placé des contrôleurs de domaine régionaux dans tous les emplacements de hub, évaluez la nécessité de placer des contrôleurs de domaine régionaux à des emplacements satellites. L’élimination des contrôleurs de domaine régionaux inutiles à partir des emplacements satellites réduit les coûts de support nécessaires à la maintenance d’une infrastructure de serveur distant.
En outre, assurez la sécurité physique des contrôleurs de domaine dans les emplacements de hub et satellites afin que le personnel non autorisé ne puisse pas y accéder. Ne placez pas de contrôleurs de domaine accessibles en écriture dans des emplacements de hub et satellites dans lesquels vous ne pouvez pas garantir la sécurité physique du contrôleur de domaine. Une personne qui a un accès physique à un contrôleur de domaine accessible en écriture peut attaquer le système des façons suivantes :
- Accès aux disques physiques en démarrant un autre système d’exploitation sur un contrôleur de domaine.
- Suppression (et éventuellement remplacement) de disques physiques sur un contrôleur de domaine.
- Obtention et manipulation d’une copie d’une sauvegarde d’état système du contrôleur de domaine.
Ajoutez des contrôleurs de domaine régionaux accessibles en écriture uniquement aux emplacements dans lesquels vous pouvez garantir leur sécurité physique.
Dans les emplacements présentant une sécurité physique insuffisante, le déploiement d’un contrôleur de domaine en lecture seule (RODC) est la solution recommandée. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture contient. En revanche, aucune modification ne peut être apportée à la base de données stockée sur le contrôleur de domaine en lecture seule. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture, puis répliquées à nouveau sur le RODC.
Pour authentifier les ouvertures de session clientes et accéder aux serveurs de fichiers locaux, la plupart des organisations placent des contrôleurs de domaine régionaux pour tous les domaines régionaux représentés à un emplacement donné. Toutefois, vous devez tenir compte de nombreuses variables pour déterminer si un emplacement d’entreprise exige que ses clients disposent d’une authentification locale ou si les clients peuvent s’appuyer sur l’authentification et interroger un lien réseau étendu (WAN). L’illustration suivante montre comment déterminer s’il faut placer des contrôleurs de domaine à des emplacements satellites.
Disponibilité de l’expertise technique sur site
Les contrôleurs de domaine doivent être gérés en continu pour différentes raisons. Placez un contrôleur de domaine régional uniquement dans des emplacements qui incluent du personnel qui peut administrer le contrôleur de domaine, ou assurez-vous que le contrôleur de domaine peut être géré à distance.
Dans les environnements de filiale avec une sécurité physique généralement médiocre et un personnel avec peu de connaissances en technologie de l’information, le déploiement d’un RODC est souvent la solution recommandée. Les autorisations d’administration locales pour un contrôleur de domaine en lecture seule (RODC) peuvent être déléguées à n’importe quel utilisateur de domaine sans lui accorder de droits d’utilisateur pour le domaine ou d’autres contrôleurs de domaine. Cela permet à un utilisateur de branche locale de se connecter à un RODC et d’effectuer des travaux de maintenance sur le serveur, comme la mise à niveau d’un pilote. Toutefois, l’utilisateur de la branche ne peut pas se connecter à un autre contrôleur de domaine ou effectuer une autre tâche d’administration dans le domaine. De cette façon, l’utilisateur de branche peut être délégué à la possibilité de gérer efficacement le contrôleur de domaine en lecture seule (RODC) dans la succursale sans compromettre la sécurité du reste du domaine ou de la forêt.
Disponibilité des liaisons WAN
Les liaisons WAN qui rencontrent des pannes fréquentes peuvent entraîner une perte de productivité importante pour les utilisateurs si l’emplacement n’inclut pas de contrôleur de domaine capable d’authentifier les utilisateurs. Si la disponibilité de votre liaison WAN n’est pas de 100 % et que vos sites distants ne peuvent pas tolérer une interruption de service, placez un contrôleur de domaine régional à des emplacements où les utilisateurs ont besoin de la possibilité de se connecter ou d’échanger l’accès au serveur lorsque la liaison WAN est en panne.
Disponibilité de l’authentification
Certaines organisations, comme les banques, exigent que les utilisateurs soient authentifiés à tout moment. Placez un contrôleur de domaine régional à un emplacement où la disponibilité de la liaison WAN n’est pas de 100 %, mais où les utilisateurs ont besoin d’authentification à tout moment.
Performances d’ouverture de session sur les liens WAN
Si la disponibilité de votre liaison WAN est très fiable, le placement d’un contrôleur de domaine à l’emplacement dépend des exigences de performances d’ouverture de session sur la liaison WAN. Les facteurs qui influencent les performances d’ouverture de session sur le WAN incluent la vitesse de liaison et la bande passante disponible, le nombre d’utilisateurs et les profils d’utilisation, ainsi que la quantité de trafic réseau d’ouverture de session par rapport au trafic de réplication.
Vitesse de liaison WAN et utilisation de la bande passante
Les activités d’un seul utilisateur peuvent congestionner une liaison WAN lente. Placez un contrôleur de domaine à un emplacement si les performances d’ouverture de session sur le lien WAN sont inacceptables.
Le pourcentage moyen d’utilisation de la bande passante indique le niveau de congestion d’une liaison réseau. Si une liaison réseau a une utilisation moyenne de la bande passante supérieure à une valeur acceptable, placez un contrôleur de domaine à cet emplacement.
Nombre d’utilisateurs et profils d’utilisation
Le nombre d’utilisateurs et leurs profils d’utilisation à un emplacement donné peuvent vous aider à déterminer si vous devez placer des contrôleurs de domaine régionaux à cet emplacement. Pour éviter une perte de productivité en cas de défaillance d’une liaison WAN, placez un contrôleur de domaine régional à un emplacement qui compte 100 utilisateurs ou plus.
Les profils d’utilisation indiquent comment les utilisateurs utilisent les ressources réseau. Vous n’avez pas besoin de placer un contrôleur de domaine dans un emplacement qui contient seulement quelques utilisateurs qui n’accèdent pas fréquemment aux ressources réseau.
Trafic réseau de connexion et trafic de réplication
Si un contrôleur de domaine n’est pas disponible au même emplacement que le client Active Directory, le client crée du trafic d’ouverture de session sur le réseau. La quantité de trafic réseau d’ouverture de session créée sur le réseau physique est influencée par plusieurs facteurs, notamment les appartenances de groupe ; le nombre et la taille des objets de stratégie de groupe (GPO), les scripts d’ouverture de session et certaines fonctionnalités comme les dossiers hors connexion, la redirection de dossiers et les profils itinérants.
En revanche, un contrôleur de domaine placé à un emplacement donné génère du trafic de réplication sur le réseau. La fréquence et la quantité de mises à jour effectuées sur les partitions hébergées sur les contrôleurs de domaine influencent la quantité de trafic de réplication créée sur le réseau. Les différents types de mises à jour qui peuvent être effectuées sur les partitions hébergées sur les contrôleurs de domaine incluent l’ajout ou la modification d’utilisateurs et d’attributs utilisateur, la modification des mots de passe et l’ajout ou la modification de groupes globaux, d’imprimantes ou de volumes.
Pour déterminer si vous devez placer un contrôleur de domaine régional à un emplacement, comparez le coût du trafic d’ouverture de session créé par un emplacement sans contrôleur de domaine et le coût du trafic de réplication créé en plaçant un contrôleur de domaine à l’emplacement.
Par exemple, considérez un réseau qui a des filiales connectées via des liaisons lentes vers le siège social et dans lequel des contrôleurs de domaine peuvent facilement être ajoutés. Si le trafic quotidien d’ouverture de session et de recherche d’annuaire de quelques utilisateurs de sites distants génère plus de trafic réseau que la réplication de toutes les données d’entreprise dans la branche, envisagez d’ajouter un contrôleur de domaine à la branche.
Si la réduction du coût de la maintenance des contrôleurs de domaine est plus importante que le trafic réseau, centralisez les contrôleurs de domaine pour ce domaine et ne placez pas de contrôleurs de domaine régionaux à l’emplacement, ou envisagez de placer des contrôleurs de domaine en lecture seule (RODC) à l’emplacement.
Pour obtenir une feuille de calcul qui vous aide à documenter l’emplacement des contrôleurs de domaine régionaux et le nombre d’utilisateurs pour chaque domaine représenté dans chaque emplacement, consultez Outils de déploiement pour Windows Server 2003, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrez « Placement du contrôleur de domaine » (DSSTOPO_4.doc).
Vous devez vous reporter aux informations sur les emplacements dans lesquels vous devez placer des contrôleurs de domaine régionaux lorsque vous déployez des domaines régionaux. Pour plus d’informations sur le déploiement de domaines régionaux, consultez Déploiement de domaines régionaux Windows Server 2008.