WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

Les limites de l'Active Directory

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

Les limites de l'Active Directory

  • Comments 0

Si ce billet résiste un peu au temps, j'imagine que je serai amusé dans quelques années de retrouver les valeurs définies sur la page suivante :

http://technet2.microsoft.com/windowsserver/en/library/d2fc40d8-50ba-450c-959b-28fd7e31b9961033.mspx?mfr=true

Je me souviens d'une époque pas si lointaine où il était préférable de ne pas dépasser 40000 utilisateurs dans un seul domaine. Cette valeur théorique était liée aux possibilités du matériel de l'époque ; matériel qui évolue au rythme que vous connaissez.

2 milliards d'objets pendant toute la vie d'une forêt. 1 milliard d'identifiants de sécurité. Jusque là, celà va !

1015 groupes pour un même utilisateur, c'est déjà plus facile à atteindre. 64 caractères pour le nom FQDN, j'en connais qui ont déjà vécu le cauchemar de rencontrer cette limite. Pas les 64 caractères d'une OU, mais les 260 caractères d'un chemin UNC. 999 GPO pour un même utilisateur, cela devrait aller !

Je me souviens que des comparaisons de performances avaient été faites par un collègue pour un client français entre différents annuaires LDAP, mais ne me souviens plus si la limite des 5000 opérations en une seule transaction avait été testée. J'imagine que non dans la mesure où l'objectif était plutôt de passer un maximum de requêtes et de mises à jour en un minimum de temps et sur une période soutenue.

800 domaines dans une même forêt Windows 2000 ou 1200 dans une forêt Windows Server 2003 pourraient être dépassés si chaque utilisateur avait son propre contrôleur comme je le propose de temps à autre pour plaisanter. Quel modèle de délégationJ !

Je me souviens aussi de clients ayant plus des 1200 contrôleurs de domaines, mais sans réplication du SYSVOL et des incidents traités par celui qui n'avait pas vu arriver la limite de 800 contrôleurs avec des DNS intégrés à l'AD.

Leave a Comment
  • Please add 4 and 6 and type the answer here:
  • Post