A la découverte du Catalogue Global
Dans les modules précédents de ce cours, j’ai évoqué plusieurs fois la notion de « catalogue global » sans rentrer dans les détails. Désormais, c’est l’heure de faire un zoom sur cette notion de catalogue global » et de répondre à plusieurs questions.
Sommaire
I. Un catalogue global, c’est quoi ? Pour quoi ?
Le catalogue global est un contrôleur de domaine qui dispose d’une version étendue de l’annuaire Active Directory. En fait, comme tout contrôleur de domaine, il dispose d’une copie complète de l’annuaire Active Directory de son domaine, mais en supplément, il dispose des éléments suivants :
- Un répliqua partiel pour tous les attributs contenus dans tous les domaines de la forêt
- Toutes les informations sur les objets de la forêt
Le catalogue global est un annuaire qui regroupe des éléments provenant de l’ensemble de la forêt, c’est en quelque sorte un annuaire central.
Nous le différencions d’un contrôleur de domaine standard, car en temps normal, chaque contrôleur de domaine contient une copie de l’annuaire de son domaine. Quant au catalogue global, il contient une copie des attributs principaux de tous les domaines de la forêt.
Ainsi, un contrôleur de domaine « catalogue global » sera capable de localiser des objets dans l’ensemble de la forêt, car il a une vue d’ensemble sur tous les objets. Les contrôleurs de domaine classique s’appuieront sur lui pour justement localiser des objets dans une forêt.
Exemple :
Il y a trois domaines : Domaine A, Domaine B, Domaine C.
Deux contrôleurs de domaine se trouvent au sein du "domaine A", un contrôleur de domaine « standard » et un second qui dispose du rôle de « catalogue global ».
Nous pouvons affirmer ce qui suit :
- Le contrôleur de domaine standard disposera de la partition d’annuaire du "domaine A"
- Le contrôleur de domaine catalogue global dispose des partitions d’annuaire du "domaine A", mais aussi du "domaine B" et du "domaine C"
Les attributs du schéma qui doivent être répliqués dans le catalogue global sont identifiés par la valeur "Partial Attribute Set" (ou ensemble d'attributs partiels) définie dans Active Directory. Microsoft définit par défaut cette politique de réplication de façon à prendre les attributs les plus utilisés dans une recherche, mais elle peut être personnalisée.
II. Qui est catalogue global ? Est-il tout seul ?
Le premier contrôleur de domaine créé au sein d’une forêt est automatiquement catalogue global. Autrement dit, lorsque vous créez un nouveau domaine Active Directory dans une nouvelle forêt, le contrôleur de domaine sera catalogue global.
Par ailleurs, il est fortement recommandé de définir au minimum deux contrôleurs en tant que catalogue global. Tout simplement pour assurer la disponibilité du rôle et répartir la charge au niveau des requêtes.
A. Cas d’une forêt mono-domaine
Il est recommandé d’activer le rôle de catalogue global sur l’ensemble des contrôleurs de domaine du domaine. En effet, l’impact sera faible sur les performances systèmes dans ce type de configuration, mais cela permettra d’assurer la redondance du service. Le catalogue global est essentiel à la localisation des objets, et c’est encore plus vrai lorsqu’il y a plusieurs domaines, mais aussi au bon fonctionnement de certaines applications.
B. Cas d’une forêt multi-domaines
Lorsqu’il y a plusieurs domaines au sein d’une forêt, il y aura surement des emplacements géographiques différents. Notamment, si l’entreprise dispose de plusieurs sites, cela implique d’étendre le réseau à différents endroits.
Ainsi, le réseau se doit d’être hautement disponible pour que le contrôleur de domaine d’un site A soit sûr de pouvoir contacter un catalogue global situé sur un site B. Par exemple, cela pourrait empêcher la connexion d’un utilisateur si la liaison est rompue, car le contrôleur de domaine ne pourra pas récupérer les informations auprès du catalogue global. Une alternative serait d’activer l’option de « mise en cache de l’appartenance aux groupes universels » sur un site distant, pour limiter le trafic réseau grâce à la mise en cache des informations.
La règle suivante est donnée par Microsoft : « Définir un catalogue global (au minimum) sur un site lorsqu’il y a une centaine d’utilisateurs ». C’est intéressant pour éviter d’être pénalisé par une liaison lente entre deux sites, puisque plus il y a d’utilisateurs, plus il y aura de demandes.
Cas spécifique : certaines applications sont gourmandes et communiquent beaucoup avec le catalogue global, par exemple : Microsoft Exchange. Dans ce cas-là, positionnez un catalogue global proche pour avoir de bonnes performances.
En résumé, il faut positionner avec stratégie les contrôleurs de domaine « catalogue global » mais vous pouvez aussi opter pour une option simple : activer le rôle sur tous les contrôleurs de domaine de la forêt.
III. Les quatre fonctions clés du catalogue global
Le catalogue global assure quatre fonctions clés auprès de l'Active Directory et pour « venir en aide » aux autres contrôleurs de domaine de la forêt, à savoir :
Le catalogue global est un point central dans un environnement où il y a plusieurs domaines, puisqu’il doit faire le lien entre tous les objets de tous les domaines de la forêt. Lorsqu’il n’y a qu’un seul domaine dans la forêt, le catalogue global perd tout son intérêt, car les autres contrôleurs de domaine sauront « se débrouiller seul ».