Le catalogue global Active Directory

Envoyer

Sommaire

 

 

Introduction

Un annuaire Active Directory a besoin d’une somme d’éléments essentiels pour assurer sa bonne marche au sein d’un environnement de production. Nous avons les maîtres d’opérations qui assurent des tâches spécifiques et que nous vous détaillons dans l’article  Les maitres d'opérations Active Directory mais également le catalogue global (GC) que nous vous présentons dans cet article. Il est un récapitulatif de la documentation Technet What Is the Global Catalog?.

 

 

Définition d'un catalogue global

Le catalogue global est principalement une base stockant et distribuant une représentation partielle des objets d’une forêt. En effet, chaque contrôleur contient une copie complète de sa partition de domaine mais ne dispose pas des autres partitions de domaine de la forêt. De ce fait, il peut facilement trouver les objets appartenant à son domaine mais ne peut localiser des objets d’un autre domaine sans faire appel au catalogue global. Disposant d’une copie des attributs principaux de tous les objets présents dans la forêt, il rend possible cette recherche.

Chaque attribut du schéma devant être répliqué sur le catalogue global est identifié par Active Directory avec la valeur Partial Attribute Set (PAS). Elle est défini par défaut par Microsoft mais peut être customisée celons les besoins.

Un catalogue global est tout simplement une fonctionnalité à activer sur un contrôleur de domaine. Par défaut le premier contrôleur de domaine d’une forêt est promu en tant que catalogue global.

 

 

Les usages principaux d'un catalogue global

Comme nous le disions dans la section précédente, la fonction principale d’un catalogue global est de permettre la recherche d’objet au niveau de la forêt. Il est toutefois nécessaire de disposer d’un catalogue global dans un unique domaine car de nombreuses applications basent ses recherches à partir de cette fonctionnalité (la fonctionnalité Rechercher sur les stations clientes par exemple). Les requêtes au niveau du catalogue global sont de type LDAP mais sont effectuées cependant sur le port 3268.

Seul le catalogue global permet de résoudre les UPN (User Principal Name) qui offre la possibilité de se connecter sur plusieurs domaines d’une forêt à partir d’un unique point. De plus, un contrôleur de domaine aura besoin également du catalogue global pour obtenir l’énumération des groupes universels (pour en savoir plus sur cette étendue de groupe, rendez-vous sur l'article Les groupes Active Directory) et autoriser l’authentification de cet UPN. Par exemple, si je désire me connecter sur le domaine « canada.corpnet.net » depuis le domaine « france.corpnet.net », je pourrai le faire en utilisant l’UPN « Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. » pour le compte utilisateur « aaugagneur » et appartenant au groupe universel « utilisateurs corpnet ».

Enfin, certaines applications doivent disposer d’un catalogue global pour pouvoir fonctionner correctement comme Microsoft Exchange et ses listes d’adresses globales.

Nous vous rappelons que si vous désirez plus de détails sur l’usage d’un catalogue global, vous avez la possibilité de vous rendre sur le lien Technet fournis en introduction.

 

 

Localiser un serveur catalogue global

Nous disposons de plusieurs outils pour localiser facilement les catalogues globaux. Bien que nous puissions le faire depuis l’interface graphique, selon le type d’arborescence et le nombre de contrôleurs la tâche peut être fastidieuse. L’idéal sera d’utiliser les outils en ligne de commande « NLTEST » et « NSLOOKUP ».

 

« NLTEST » va nous permettre de localiser les contrôleurs d’un domaine disposant de la fonctionnalité catalogue global. Ouvrons l'invite de commandes et saisir la commande « nltest /dsgetdc:[MONDOMAINE]  /GC ». Dans l’exemple ci-dessous, nous avons un domaine « corpnet.net » constitué d’un seul catalogue global.

 

 

 

 

 

 

Vous pouvez également faire la même opération simplement avec « NSLOOKUP » et à la différence de nltest, il va pouvoir lister la totalité des catalogues globaux d’une forêt. En effet chaque catalogue global est enregistré en tant que ressources SRV depuis le service DNS. Ouvrons une invite de commandes et saisir la commande « nslookup gc._msdsc.[MAFORET] ». Dans l’exemple suivant, nous faisons une recherche toujours depuis le domaine « corpnet.net » et deux domaines enfants constitués chacun d’un catalogue global. Nous obtenons bien la liste des trois catalogues globaux (adresses IP).

 

 

 

 

 

 

 

Promouvoir un serveur catalogue global

Le plus simple pour définir un contrôleur de domaine en tant que catalogue global est de passer par l’interface graphique. Pour cela, ouvrons la mmc « Sites et services Active Directory » depuis « Démarrer » | « Outils d’administration ». Naviguez ensuite dans « Sites » | «  [MONSITE] » | « Servers » pour obtenir la liste des contrôleurs appartenant au site. Nous voyons en l’occurrence que la colonne « type de contrôleurs de domaine », indique quel contrôleur de domaine est défini comme catalogue global (dénomination GC). Sélectionner le contrôleur voulu, faire un clic droit sur « NTDS Settings » et choisir « propriétés ». Une fois les propriétés ouvertes, il suffit de cocher simple « catalogue global » depuis l’onglet « Général ».

 

 

 

 

 

 

 

 

 

 

Placement d'un serveur catalogue global

Pour le placement du catalogue global, nous vous invitons à vous rendre en priorité sur la page Technet Planning Global Catalog Server Placement.

CAS 1: si l’annuaire est constitué d’un unique domaine et sur un seul et même site alors le placement devrait se faire sur tous les contrôleurs du domaine.

CAS 2: Si un des contrôleurs est disposé sur un autre site avec une liaison lente alors nous opterons plutôt pour l’activation de la mise en cache des groupes universels au lieu de le configurer comme catalogue global.

ATTENTION !!! Dans un environnement multi-domaines ou si tous les contrôleurs ne sont pas catalogues globaux dans un domaine unique, il ne faut jamais  placer le maître d’opération « Maître d’infrastructure »  et la fonctionnalité catalogue global sur le même contrôleur. En effet, le maître d’infrastructure met à jour des références d’objets à partir des autres domaines de la forêt en interrogeant un catalogue global. Le catalogue global étant toujours à jour et permettant à un contrôleur de disposer d'une copie locale partielle de l'ensemble des données Active Directory, le maître d’infrastructure ne créera pas ou ne mettra plus à jour ses références (objets fantômes).

 

Pour une forêt multi-domaines et multi-sites, nous nous baserons sur l’illustration de Technet disponible ci-dessous. En clair, vous aurez besoin d’un catalogue global par emplacement géographique si :

  • Une application nécessite un catalogue global (Par exemple Exchange)
  • Un nombre d’utilisateurs supérieur à 100
  • Une liaison lente entre le site et le catalogue global
  • Des problèmes de performances ou un fort nombre d’utilisateurs utilisant des profils itinérants

 

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc pu à travers cet article comprendre la notion de catalogue global dans une architecture Active Directory et les opérations lui étant associées. Architecturer et optimiser votre annuaire passera forcément par cette fonctionnalité et les préconisations qui l'entourent.

Mise à jour le Mardi, 21 Décembre 2010 08:37