Conception AD 2008, 10 000 comptes, besoin d'un avis.

Le
Olivier
Bonjour à tous,

Petite question de conception, je sèche un peu enfin un avis serais sympa.
:) C'est une question de certif quasiment. :)))

Voila j'expose le cas. Je dois refondre la structure AD. L'entreprise à 10
000 comptes au total, aujourd'hui réparti sur plein de domaines (le bazard
quoi). On refond tout dans un seul domaine avec une équipe IT centralisée.

Trois sites : Lilles, Tours, Montpellier. 3000 compte par site (4000 pour
Lilles).

Chaque site a plusieurs antennes cablés en 10 mega symetrique.

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque DC
réplique donc plusieurs milliers de compet sur les autres), ou dois-je pour
le cas découper en trois domaines ? (par ville). Sachant que l'équipe IT
centralisée à Lilles gère tous les comptes. L'équipe locale sur chaque site
peut éventuellement gérer un changement de mot de passe, ou faire un peut de
maintenance à l'occasion.

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?

Si vous avez des idées, merci. :)

Cdlt,
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier
Le #18764261
Autre petite question,

Si il n'y a qu'un seul domaine pour les trois sites, il n'y a donc qu'un
seul Emulateur PDC, sera t-il contacté par tous les autres sites en
permanence ? Ou est-ce que dans un domaine unique avec des intersites les
clients peuvent s'authentifier localement sans contacter le PDC sur le wan ?

Cdlt,


"Olivier" news:
Bonjour à tous,

Petite question de conception, je sèche un peu enfin un avis serais sympa.
:) C'est une question de certif quasiment. :)))

Voila j'expose le cas. Je dois refondre la structure AD. L'entreprise à 10
000 comptes au total, aujourd'hui réparti sur plein de domaines (le bazard
quoi). On refond tout dans un seul domaine avec une équipe IT centralisée.

Trois sites : Lilles, Tours, Montpellier. 3000 compte par site (4000 pour
Lilles).

Chaque site a plusieurs antennes cablés en 10 mega symetrique.

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque DC
réplique donc plusieurs milliers de compet sur les autres), ou dois-je
pour le cas découper en trois domaines ? (par ville). Sachant que l'équipe
IT centralisée à Lilles gère tous les comptes. L'équipe locale sur chaque
site peut éventuellement gérer un changement de mot de passe, ou faire un
peut de maintenance à l'occasion.

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?

Si vous avez des idées, merci. :)

Cdlt,


Lognoul Marc [MVP]
Le #18765721
Bonjour,

A première je dirais que vous pouvez mettre enplace un seul domaine, 3 sites
(site AD) et configurer des site-links.
Le découpage en sites distincts vous permettre de 1) plannifier finement la
réplication et comprimer le traffic 2)répartir le traffic d'authentification
en fonctione de l'affinité entre un DC et un site donné

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.


Posez-vous la question de l'utilité de RODC:
- Les sites distants posent-ils des problèmes de sécurité physique?
- Voulez-vous déléguer la maintenance "système" (non-AD)?
- Avez-vous bien pris connaissance du fonctionnement des RODC et de leurs
conséquences? voir http://support.microsoft.com/kb/944043/fr

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.


Sauf si un DC local est indisponible, vous voudriez cetainement que les
utilisateurs puissent contibnuer à ouvrir des session, vers un DC "central"
par ex.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque DC
réplique donc plusieurs milliers de compet sur les autres), ou dois-je
pour le cas découper en trois domaines ? (par ville). Sachant que l'équipe
IT centralisée à Lilles gère tous les comptes. L'équipe locale sur chaque
site peut éventuellement gérer un changement de mot de passe, ou faire un
peut de maintenance à l'occasion.


Si vous voulez que des équipes locales puissent effectuer des reset de mots
de passe sur le DC local, alors le RODC n'est pas forcément la bonne option

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?


La bonne configuration des sites AD et des site-links vous permettra de
mettre tout cela en place de manière optimale

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Lognoul Marc [MVP]
Le #18765851
Re,

Les PDC Emulator sera contacté pour les opérations suivantes:
- Par les autres DC pour la synchronization du temps
- Par les postes client si le mot de passe de l'utilisateur était
incorrect -> le système tentera d'utiliser le PDC en dernier recours
(comportment désactivable)

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]



"Olivier" news:
Autre petite question,

Si il n'y a qu'un seul domaine pour les trois sites, il n'y a donc qu'un
seul Emulateur PDC, sera t-il contacté par tous les autres sites en
permanence ? Ou est-ce que dans un domaine unique avec des intersites les
clients peuvent s'authentifier localement sans contacter le PDC sur le wan
?

Cdlt,


"Olivier" news:
Bonjour à tous,

Petite question de conception, je sèche un peu enfin un avis serais
sympa. :) C'est une question de certif quasiment. :)))

Voila j'expose le cas. Je dois refondre la structure AD. L'entreprise à
10 000 comptes au total, aujourd'hui réparti sur plein de domaines (le
bazard quoi). On refond tout dans un seul domaine avec une équipe IT
centralisée.

Trois sites : Lilles, Tours, Montpellier. 3000 compte par site (4000 pour
Lilles).

Chaque site a plusieurs antennes cablés en 10 mega symetrique.

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque
DC réplique donc plusieurs milliers de compet sur les autres), ou dois-je
pour le cas découper en trois domaines ? (par ville). Sachant que
l'équipe IT centralisée à Lilles gère tous les comptes. L'équipe locale
sur chaque site peut éventuellement gérer un changement de mot de passe,
ou faire un peut de maintenance à l'occasion.

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?

Si vous avez des idées, merci. :)

Cdlt,





Jonathan BISMUTH
Le #18767391
Bonjour Olivier,

je ne rajouterais absolument rien à la réponse de Marc [je suis jaloux qu'il
ait répondu avant moi, je n'étais pas connecté avant...:) ]

Juste pour un petit retour d'expérience sur le sizing avec un seul domaine :
actuellement je tourne sur un seul domaine avec 45 sites quasiment sans
contacts entre eux et 130.000 utilisateurs.

Pas de soucis de réplication particulier à partir ou tu as pris ton temps
pour bien configurer tes site-links

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"Olivier"
Bonjour à tous,

Petite question de conception, je sèche un peu enfin un avis serais sympa.
:) C'est une question de certif quasiment. :)))

Voila j'expose le cas. Je dois refondre la structure AD. L'entreprise à 10
000 comptes au total, aujourd'hui réparti sur plein de domaines (le bazard
quoi). On refond tout dans un seul domaine avec une équipe IT centralisée.

Trois sites : Lilles, Tours, Montpellier. 3000 compte par site (4000 pour
Lilles).

Chaque site a plusieurs antennes cablés en 10 mega symetrique.

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque DC
réplique donc plusieurs milliers de compet sur les autres), ou dois-je
pour le cas découper en trois domaines ? (par ville). Sachant que l'équipe
IT centralisée à Lilles gère tous les comptes. L'équipe locale sur chaque
site peut éventuellement gérer un changement de mot de passe, ou faire un
peut de maintenance à l'occasion.

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?

Si vous avez des idées, merci. :)

Cdlt,


Olivier
Le #18823031
Merci à vous deux pour cette réponse très détaillée, le projet avance, il
n'y aura pas de reset de mot de passe, la structure AD (admin d'entreprise
et de domaine) n'est modifiée qu'à Lilles, on va fonctionner par délégation
d'OU et de groupes restreints, donc le RODC semble pas mal dans ce cas pour
les autres sites.

La seule question qui subsiste c'est au niveau de l'authentification sur un
serveur de fichier. En fonctionnement normal (connecté) le RODC fait-il
appel à un WDC pour autoriser les accès au partage sur d'autres serveurs
(token) ou est-il suffisant à lui même pour délivrer l'autorisation ? Juste
pour savoir si un RODC génère quand même du traffic d'authentification pour
les serveurs membres.

Cordialement,

"Jonathan BISMUTH" message de news:e$nG1%23$
Bonjour Olivier,

je ne rajouterais absolument rien à la réponse de Marc [je suis jaloux
qu'il ait répondu avant moi, je n'étais pas connecté avant...:) ]

Juste pour un petit retour d'expérience sur le sizing avec un seul domaine
: actuellement je tourne sur un seul domaine avec 45 sites quasiment sans
contacts entre eux et 130.000 utilisateurs.

Pas de soucis de réplication particulier à partir ou tu as pris ton temps
pour bien configurer tes site-links

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"Olivier"
Bonjour à tous,

Petite question de conception, je sèche un peu enfin un avis serais
sympa. :) C'est une question de certif quasiment. :)))

Voila j'expose le cas. Je dois refondre la structure AD. L'entreprise à
10 000 comptes au total, aujourd'hui réparti sur plein de domaines (le
bazard quoi). On refond tout dans un seul domaine avec une équipe IT
centralisée.

Trois sites : Lilles, Tours, Montpellier. 3000 compte par site (4000 pour
Lilles).

Chaque site a plusieurs antennes cablés en 10 mega symetrique.

Chaque site aura un controleur complet (pour modifier des comptes en
"local") et les antennes des RODC.

Bon. Un seul domaine et des OU serait l'idéal, mais les comptes de chaque
ville ne se loggeront jamais dans les autres villes.

Au niveau de la réplication est-ce gérable avec un seul domaine (chaque
DC réplique donc plusieurs milliers de compet sur les autres), ou dois-je
pour le cas découper en trois domaines ? (par ville). Sachant que
l'équipe IT centralisée à Lilles gère tous les comptes. L'équipe locale
sur chaque site peut éventuellement gérer un changement de mot de passe,
ou faire un peut de maintenance à l'occasion.

Si je pars sur un seul domaine, est-ce que l'on peut bien découper la
réplication sur un serveur tete de pont sur chaque site, puis une
réplication "locale" entre le serveur DC tete de pont du site et ses
controleurs RODC sans jamais repasser par le wan intersite ?

Si vous avez des idées, merci. :)

Cdlt,






Lognoul Marc [MVP]
Le #18826421
Bonjour,

"Olivier" news:eiLq2#
Merci à vous deux pour cette réponse très détaillée, le projet avance, il
n'y aura pas de reset de mot de passe, la structure AD (admin d'entreprise
et de domaine) n'est modifiée qu'à Lilles, on va fonctionner par
délégation d'OU et de groupes restreints, donc le RODC semble pas mal dans
ce cas pour les autres sites.


En effet, c'est un bon scénario d'utilisation des RODC. Veillez toutefois à
bien mettre à jour les postes clients au préalable.

La seule question qui subsiste c'est au niveau de l'authentification sur
un serveur de fichier. En fonctionnement normal (connecté) le RODC fait-il
appel à un WDC pour autoriser les accès au partage sur d'autres serveurs
(token) ou est-il suffisant à lui même pour délivrer l'autorisation ?
Juste pour savoir si un RODC génère quand même du traffic
d'authentification pour les serveurs membres.



En utilisation "normale", avec un paramétrage correct, il n'y aura pas de
communication avec un WDC.

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Publicité
Poster une réponse
Anonyme