[MOSS 2007] Question KDC avec deux forets

Le
Emmanuel Issaly
Bonjour,

Dans ma foret, kerberos marche très bien. Je me demande comment cela
se passe dans une autre forêt avec une relation d'approbation, séparé=
e
du réseau par un WAN?

deux questions me frappent :

1. Je ne suis pas sur que cela réduise les échanges, car le client va
toujours demander un ticket a NOTRE KDC? en plus, la persistence est
pas garantie à mon avis, avec le NLB.

2. La relation d'approbation est entre us.corp.com et europe.corp.com.
Si j'ai suivi, le portail monportail.tralala ne rentre pas dedans?
donc le KDC du client va le jeter?

Un sujet très intéressant, but please help :)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Marc Lognoul [MVP]
Le #20005481
Bonjour Emmanuel,

1. Je ne suis pas sur que cela réduise les échanges, car le client va
toujours demander un ticket a NOTRE KDC? en plus, la persistence est
pas garantie à mon avis, avec le NLB.


Le NLB en lui-même n'influence pas sur la persisitence, c'est le nombre de
frontaux qui jouent et l'algorithme de répartition.
Le tiquet est généré sur un WFE donné, si la prochaine requête est dirigée
sur un autre -> il est générer de nouveau.
Si tu choisis l'option d'affinité "primary", les requêtes iront toujours
vers le même WFE -> le jeton reste à disposition...

2. La relation d'approbation est entre us.corp.com et europe.corp.com.
Si j'ai suivi, le portail monportail.tralala ne rentre pas dedans?
donc le KDC du client va le jeter?

Un sujet très intéressant, but please help :)



Tu as trouvé une des meilleures ressource sur le net ;)


... Encore une fois, "tuner" l'authentification ne te donnera pas de gain de
performance spectaculaire... Rien ne remplace la bande passante et
l'amélioration de la latence...

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
Emmanuel Issaly
Le #20006421
Merci Marc, vraiment utile ton blog en passant, mon peoplepicker est
passé au mode turbo maintenant :)

Si tu choisis l'option d'affinité "primary", les requêtes iront toujo urs
vers le même WFE -> le jeton reste à disposition...



Le reseau m'a dit qu'ils l'avaient activé sur le boitier. Tu as
raison, probablement pas, ou pas assez :-)


> 2. La relation d'approbation est entre us.corp.com et europe.corp.com.
> Si j'ai suivi, le portail monportail.tralala ne rentre pas dedans?
> donc le KDC du client va le jeter?

> Un sujet très intéressant, but please help :)

Tu as trouvé une des meilleures ressource sur le net ;)



oui, vraiment passionant :)
j'ai demandé à ce qu'ils créent un routage pour le suffixe du portail .
Si c'est pas routé, yapa ticket, clair :)

... Encore une fois, "tuner" l'authentification ne te donnera pas de gain de
performance spectaculaire... Rien ne remplace la bande passante et
l'amélioration de la latence...




La latence est à 85ms, on fera pas mieux avec les US. Donc moins il y
aura de trafic mieux ca sera ...
et si un jour ils veulent de la délégation, ils ont intérêt à uti liser
kerberos, sinon ca va pas bien marcher :D

Il est clair que l'amélioration majeure a été A) de passer de une T1 à
une T3 et 2) d'optimiser le js et le poids des pages moss, la, je
peaufine :)
Marc Lognoul [MVP]
Le #20010841
Salut Emmanuel,

La latence est à 85ms, on fera pas mieux avec les US. Donc moins il y
aura de trafic mieux ca sera ...


L'idéal est de réduire le nombre d'éléments par page -> moins de get = moins
de connections TCP (bien sur, certaines sont réutilisées) donc moins de
sensation de latence. Je te conseille l'outil VSTA pour tester les pages:
http://www.microsoft.com/Downloads/details.aspx?FamilyID9f3477-dced-41e3-a0e7-d8b5cae893a3&displaylang=en.

Si le budget le permet, évalue également les "WAN Accelerators". Certains
fabricants (ex BigIP) offre une solution très avancée pour réduire la
sensation de latence en agrégeatn les connections TCP. pour l'avoir mis en
place plusieurs fois, le résultat est saisissant.

et si un jour ils veulent de la délégation, ils ont intérêt à utiliser
kerberos, sinon ca va pas bien marcher :D



Si tu penses délégation, pense également à une limitation importante: si les
serveurs se trouvent dans des domaiens différents: ex SharePoint dans
DomaineA et SQLReporting dans DomaineB -> cela ne fonctionnera pas car dans
l'implémentation Kerberos de windows, la délégation à travers de multiples
domaiens n'existe pas. Le seule moyen de contourner cela étant de faire
tourner tous les services avec un compte d'un même domaine, ce qui n'est pas
toujours évident.
Regarde les MAJ de mon blog EN, je posterai les détails de cette
problématique dans le cadre de l'utilisation de la recherche fédérée dans
les grandes organisations.

Bon WE!

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
Emmanuel Issaly
Le #20023061
On Aug 29, 10:37 am, "Marc Lognoul [MVP]" wrote:
Salut Emmanuel,

> La latence est à 85ms, on fera pas mieux avec les US. Donc moins il y
> aura de trafic mieux ca sera ...

L'idéal est de réduire le nombre d'éléments par page -> moins de get = moins
de connections TCP (bien sur, certaines sont réutilisées) donc moins de
sensation de latence. Je te conseille l'outil VSTA pour tester les pages: http://www.microsoft.com/Downloads/details.aspx?FamilyID9f3477-dce....

Si le budget le permet, évalue également les "WAN Accelerators". Cert ains
fabricants (ex BigIP) offre une solution très avancée pour réduire la
sensation de latence en agrégeatn les connections TCP. pour l'avoir mis en
place plusieurs fois, le résultat est saisissant.

> et si un jour ils veulent de la délégation, ils ont intérêt à utiliser
> kerberos, sinon ca va pas bien marcher :D

Si tu penses délégation, pense également à une limitation importa nte: si les
serveurs se trouvent dans des domaiens différents: ex SharePoint dans
DomaineA et SQLReporting dans DomaineB -> cela ne fonctionnera pas car da ns
l'implémentation Kerberos de windows, la délégation à travers de multiples
domaiens n'existe pas. Le seule moyen de contourner cela étant de faire
tourner tous les services avec un compte d'un même domaine, ce qui n'es t pas
toujours évident.
Regarde les MAJ de mon blog EN, je posterai les détails de cette
problématique dans le cadre de l'utilisation de la recherche fédér ée dans
les grandes organisations.

Bon WE!

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN:http://www.marc-antho-etc.net/blog/
Blog FR:http://www.marc-antho-etc.net/blogfr/



Merci marc!

J'utilise VSTA et Netmon déjà, dès que la complexité depasse fiddle r.
Pour les boitiers, le client a déjà choisi une appliance (BlueCoat)
qui prétend faire de l'accèleration. Moi je vois juste un proxy qui
compresse, mais bon.

Par chance, les ressources SQL sont aussi dans le domaine corp, comme
MOSS.
Mais je ne manquerait pas ton post, j'ai mis ton blog dans mes RSS! :)
Publicité
Poster une réponse
Anonyme