Placement des maîtres d'opérations Active Directory

Envoyer

Sommaire

 

 

Introduction

Les maîtres d’opérations que nous avons présentés dans l’article Les maîtres d'opérations Active Directory doivent faire l’objet d’une étude préalable concernant leur positionnement sur vos contrôleurs en fonction de certains critères comme par exemple leur nombre et  la complexité de votre annuaire (nombre de sites, de domaines, d’utilisateurs, des connectivités…).

Le placement de certains maîtres d’opérations sera également intimement lié à celui des catalogues globaux que nous présentons dans l’article  Le catalogue global Active Directory. Il faudra évidement prendre en considération cet élément crucial dans votre élaboration.

Nous allons donc voir ensemble les différents cas de figure pour obtenir le meilleur placement possible.

 

 

Attribution initiale des maîtres d'opérations

Lors de l’installation de l’annuaire Active Directory, le premier contrôleur de domaine de la forêt se voit attribuer les cinq rôles en plus d’être promu catalogue global. Pour chaque nouveau domaine supplémentaire au sein de cette forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles de niveau domaine. Le nombre des maîtres d’opérations dans votre infrastructure est calculable à l’aide de la formule 2 + (n x 3)n est le nombre de domaines dans votre forêt.

 

 

La disponibilité des maîtres d'opérations

Les maîtres d’opérations ne nécessitent pas dans leur ensemble une haute disponibilité (bien entendu il faut toutefois mettre tous les moyens en œuvre pour éviter qu’une indisponibilité arrive) d’ailleurs, rien ne le permet. Nous disions « dans leur ensemble » car l’incapacité momentanée à ne pas pouvoir modifier le schéma AD ou allouer une plage RID n’a pas du tout la même implication que la gestion des erreurs d’authentification que propose le PDC. En effet, si un seul maître doit attirer notre attention, il s’agira de lui! Il est le maîtres d’opérations le plus sollicité.

Si cela est possible, pensez à prévoir des maîtres d’opérations de remplacement en cas d’avarie ce qui est appelé « Standby Operations Master ». Ce dernier sera simplement un contrôleur désigné comme remplaçant d’un maître d’opérations.  Si nécessaire, il suffira de réaliser rapidement une saisie des rôles depuis ce serveur pour retrouver un fonctionnement normal. Il sera  impératif de disposer d’une réplication directe de partenaire entre le maître et le remplaçant potentiel afin de limiter la perte de données et d’assurer efficacement un transfert si nécessaire.

 

 

Les règles de placement selon l'architecture

Le placement des maîtres d’opérations va dépendre en priorité de l’architecture de votre annuaire et en fonction des points suivants :

  • Le nombre de contrôleurs de domaine : le placement dépendra bien entendu du nombre de contrôleurs présents dans votre réseau. Si vous ne disposez de pas plus de deux contrôleurs, vous laisserez les maîtres d’opérations sur le premier contrôleur promu. Il faudra cependant veiller à ce qu’il soit doté de ressources suffisantes pour assurer des performances optimales et spécialement pour l’émulateur PDC (il sera intéressant dès lors d’envisager une priorisation présentée dans l’article Gérer la charge de vos contrôleurs de domaine).
  • Le nombre de site et leur nature : si vous disposez de plusieurs sites Active Directory, il faudra relever l’ensemble des caractéristiques qui les compose et en priorité le nombre d’utilisateurs et le type de connexion. Le site disposant du meilleur lien aura la faveur du placement pour permettre de faire aisément la réplication sur les autres sites et d’être plus rapidement joignable par la majorité des éléments de votre réseau étendu.  Si les liens sont sensiblement identiques, il faudra prendre en compte le nombre d’utilisateurs sur chacun de vos sites et envisager en particulier de placer le maître PDC sur le plus conséquent.
  • Le nombre de domaine dans la forêt : dans ce cas de figure, il faudra tout simplement prendre en compte les deux points ci-dessus mais également les maîtres de niveau forêt (maître de schéma et le maître de nommage de domaine) qui devront faire l’objet d’une attention particulière. Il sera judicieux de privilégier le site de l’équipe d’administration en charge du schéma Active Directory et de la gestion des domaines (principalement la création et la suppression de domaine AD).

 

 

Les règles de placement selon les maîtres d'opérations

Placez de préférence le maître émulateur PDC avec le maître RID si la charge le permet. Dans le cas contraire, vous pouvez opter pour une priorisation ou séparer ces maîtres et créer un partenariat de réplication directe entre les deux maîtres.

Le PDC doit être placé sur la location le plus rapidement disponible par le plus grand nombre d’utilisateurs (il faudra tenir compte du lien et du nombre d’utilisateurs).

Pour un contrôle étroit  des maîtres de forêt (maître de schéma et maître d’attribution des noms de domaine), placez-les sur le même contrôleur et à proximité des équipes techniques les plus susceptibles d’en faire appel. Pour une forêt de niveau fonctionnel inférieur à 2003, placez impérativement le maître d’attribution des noms de domaine avec un catalogue global.

Concernant le placement du maître d’infrastructure, cela dépendra dans un premier temps de la nature de votre forêt. Si vous ne disposez que d'une forêt mono-domaine (qu'un seul domaine Active Directory) alors il ne sera d'aucune utilité. Dans le cas contraire, cela dépendra du placement de vos catalogues globaux. Soit vous configurez tout vos contrôleurs de domaine en tant que catalogue global pour vous retrouvez dans une situation similaire à une forêt mono-domaine (le maître d'infrastructure n'est pas utilisé), soit vous veillez à ce que le maître d'infrastructure ne soit pas catalogue global. En effet et sans entrer dans les détails, le maître d’infrastructure ne doit pas cohabiter avec un catalogue global sous peine de ne pas remplir son rôle.

Un dernier et nouveau cas apparu avec Windows 2008 R2 est l'utilisation de la corbeille Active Directory (pour plus d'information sur le sujet rendez-vous ICI). Si vous activez la corbeille Active Directory, le maître d'infrastructure ne sera plus d'aucune utilité.  

 

 

Conclusion

Cet article marque la fin de la série d’articles relatifs aux maîtres d’opérations et au catalogue global Active Directory. Nous espérons que cela vous aura aidé à mieux appréhender le sujet. D’autres notions liées à ce vaste sujet seront cependant abordées très prochainement comme la création de lien de réplication directe par exemple.

Si vous désirez approfondir le sujet du placement des maîtres d’opérations, voici une liste de liens susceptible de vous intéresser :

Planning FSMO Roles in Active Directory (petri.co.il)

Placing Operations Master Roles (Technet)

Placement et optimisation des rôles FSMO (KB Microsoft)

Mise à jour le Dimanche, 15 Mai 2011 15:53