Cette page est personnelle et représente ce que je pense qu'il est nécessaire de savoir pour réviser le cour NT 4 en Entreprise. J'ai repris des choses dans des endroits divers (cours, Livre Microsoft, ...)
Ces relations sont très utiles pour éviter de déclarer les utilisateurs/Groupes dans chaque domaine. On conserve une ouverture de session unique et un accès universel aux ressources.
Ressource ---> Approuve ---> Compte
(approuvant) Domaine R
------------------> Domaine C (approuvé)
approbation
Une relation d'approbation seule permet un accès en lecture seule à la SAM de Domaine C
Une relation d'approbation + "DomaineC\Admis. du domaine" (global) mis dans "DomaineR\Administrateurs" (local) permet alors à DomaineC\Administrateur d'être administrateur du domaine C et R.
Sur le CPD du domaine C, on identifie le domaine autorisé à approuvé (domaine R), on crée la première partie de la relation d'approbation (le bas de la flêche) puis on se met ensuite sur le CPD de domaine R pour créer l'autre partie de l'approbation (la pointe de la flêche)
Les deux domaines ne sont visibles que sur les ordinateurs du Domaine C. C'est toujours dans le domaine de ressources que l'on voit tous les domaines approuvés (sauf sur un poste 95).
Le controleur du domaine R ne connait pas les utilisateurs du domaine C mais il sait qu'il existe une relation d'approbation donc il a demander au CPD du domaine C si il existe chez lui et si oui, il valide l'accès (si les droits ont été définis).
Attention : Les deux CPD doivent utiliser le même protocole réseau.
Par défaut, dans une relation d'approbation, il n'y a pas de droits prédéfinis sur les ressources (attention, on peut explorer, donc voir les ressources).
Il faut compter environ un contrôleur de domaine pour 2000 comptes.
Il existe 4 types de mise en place de domaines :
Nombre de comptes < 40 000 ou 20 000 Utilisateurs
Toute les comptes, ainsi que les ressources sont dans le domaine et la mise en oeuvre de relations d'approbation n'est pas nécessaire.
Nombre de comptes < 40 000 ou 20 000 Utilisateurs
Les utilisateurs sont stockés à un seul endroit (administration centralisée), et ce sont les ressources qui sont administrées dans chaque domaine (décentraliséee). Chaque domaine de ressources approuve le domaine maître (domaine de comptes). Chaque domaine de ressource gère ses propres ressources à l'aide des comptes du domaine maitre (qui auront été placés dans des groupes globaux, puis dans des groupes locaux du domaine de ressources).
Les comptes sont répartis entre plusieurs domaines maître. Si les relations sont bien effectuées, un utilisateur peut ouvrir une session à partir de n'importe quel poste du domaine. Ce modèle devient nécessaire lorsque le nombre d'utilisateurs est important et qu'ils ne peuvent pas tous être gérés dans le domaine maitre unique.
L'inconvénient est qu'il faut créer des globaux dans chaque domaine maître et que les utilisateurs doivent être répartis dans tous les domaines maitre (alphabétiquement par exemple). De plus, une relation d'approbation bidirectionnelle doit être effectuée entre tous les domaines maitres.
La formule pour calculer le nombre de relation d'approbation est :
| Nbr de maître * (Nbr de maître - 1) + (Nbr de maître * Nbr de ressource) |
Les comptes sont répartis entre tous les domaines. Chaque domaine est chargé d'administrer ses propres ressources et ses propres comptes.
La formule pour calculer le nombre de relation d'approbation est :
| Nbr de domaine * (Nbr de domaine - 1) |
La synchronisation entre les CPD et les CSD
peut être totale ou partielle. Le journal des modifications peut contenir jusqu'a 2000
(32 octets par entrée soit 64 Ko) entrées. Au dela, les permières entrées sont
effacées par les dernières et le CPD lance alors une synchronisation totale. On peut
changer la taille du journal à l'aide de la clef suivante :
HKLM\System\CurrentControlSet\Services\NetLogon\Parameters\ChangeLogSize sur le
CPD.
Attention : Un CPD ne peut synchroniser que 10 CSD à la fois, les autres doivent attendre. Sinon, on peut changer la clef PulseConcurrency.
La clef ReplicationGouvernor (sur les CSD) permet de modifier la taille du tampon utilisé pour chaque appel du CSD au CPD pour éviter les saturations de la ligne. Il met aussi le service d'Accès réseau à l'état de veille pour libérer la ligne.
Ajouter la clef ReplicationGouvernor sous
HKLM\System\CurrentControlSet\Services\NetLogon\Parameters puis affecter un type REG_DWORD
entre 0 et 100 correspondant au poucentage du tampon et de la bande passante. 100 = 128 Ko
et 100% de la bande passante.
Exemple : une valeur de 50 utilise des tampons de 64Ko et 50 % de la bande passante
soit un temps de synchronisation divisé par 4.
La clef Pulse (sur CPD) indique la périodicité selon laquelle le CPD vérifie les modifications dans sa base d'annuaire (5 minutes par défaut) si modifications il y a eu, il envoi un message de synchronisation au CSD
La clef PulseMaximum (sur CPD) indique la périodicité selon laquelle le CPD envoi un message d'information aux CSD même s'il n'y a pas eu de modifications dans sa base d'annuaire (2 heures par défaut).
Les quatre objets à surveiller sont :
La mémoire : c'est un des éléments des plus important. Une partie de la RAM est utilisée pour faire du cache (E/S, Application...), une autre pour le système (16Mo pour NT serveur) et le reste est ensuite gérée avec la mémoire paginée. plus la ram est importante, plus on retarde l'utilisation de la mémoire paginée.
Le processeur : Type, vitesse, nombre...
Sous système disque : Le type de contrôleur (RAID,... ) et de disque (SCSI/IDE)
Sous système Réseau : Le type de carte 8/16/32 bits, de bus (PCI/ISA), le nombre de protocole utilisés, le RAS
| Nom de l'outil | Fonction |
|---|---|
| Analyseur de performances | Analyser les performances d'un serveur et de ses objets à distance, il peut être lancé en mode realtime. Possibilité de l'utiliser en mode journal (pour éviter l'affichage) |
| Diagnostics Windows NT | Rapport des capacités soft et hard d'une machine. Permet d'imprimer des rapport à distance aussi |
| Le gestionnaire de serveur | |
| Moniteur réseau | Permet de capturer des trames réseau. Version limité en NT serveur |
| Response probe | Simulation de charge |
| Gestionnaire de tâches | Affichage d'informations sur les processus en cours, mémoire, utilisation CPU... |
L'analyseur de performances peut fonctionner dans quatre
modes différents :
Graphique et Rapport : pour un affichage instantané et sans sauvegarde
Alerte : Envoi un message sur dépassement d'un plafond
Journal : Enregistrer pour étudier plus tard. On enregistre toutes les
caractéritiques de l'objet puis on peut le visualiser quand on le souhaite.
Quatre modes de fonctionnement pour un serveur peuvent être envisagés, ces mode sont detaillés ci-dessous avec par ordre d'importance les composants systèmes utilisés :
Serveur de fichier et d'impression :
1 - Mémoire
2 - Processeur
3 - Disque et réseau
Attention avec IIS, il faut choisir Performance maxi pour les application réseaux car il gère lui même le cache mémoire.
Serveur d'applications :
1 - Processeur
2 - Mémoire
3 - Disque
4 - Réseau
Serveur de domaine :
1 - Mémoire et réseau
2 - Processeur
3 - Disque
Attention : la Ram d'un CPD doit être égale à 2,5 fois la taille de la SAM. De plus un contrôleur de domaine est conseillé pour 2000 utilisateurs pour effectuer les validations d'ouverture de sessions
Pour pouvoir surveiller les segments réseau, il faut installer l'agent réseau. Pour pouvoir visualiser les protocoles de la famille TCP/IP, il faut installer l'agent SNMP.
Il est possible de contrôler plusieurs serveurs à la fois mais pas plus de 25.
Voir le chapitre sur la collecte des données systèmes à l'aide de l'outil monitor. Ensuite, avec les données collectées, vous pouvez utiliser les valeurs pour faire des analyse avec des outils de base de données (SQL, Foxpro, Excel....)
Mémoire :
Si un nombre important de page/s (>20) est indiqué, ajouter de la RAM
Si Les octets disponibles sont régulièrement < 4 Mo, ajouter de la RAM
Si les octets dédiés > mémoire physique, ajouter de la RAM
Si la quantité d'octets de réserve non paginée augmente sans augmentation de
l'activité du serveur, c'est qu'un processus engendre des fuites de mémoire.
Processeur :
Si l'utilisation du processeur constamment au dessus de 75%, le changer ou ajouter
Si l'utilisation du temps privilégié constamment au dessus de 75%, le changer ou
ajouter
Si l'utilisation du temps utilisateur constamment au dessus de 75%, le changer ou
ajouter
Si l'utilisation du temps privilégié constamment au dessus de 75%, le changer ou
ajouter
Vérifier le nombre d'interruptions/s<1000 pour 486 ou <3500 pour pentium 90
Si la longueur de la file du processeur > 2, le changer ou ajouter
Si la longueur de la queue de travail > 2, le changer ou ajouter
Disque :
Si Temps du disque>50% ET pas de pagination, mettre a jour sous système disque
Si la longueur de la file d'attente disque > 2, mettre a jour sous système
disque
Réseau :
Si le % du temps d'utilisation du réseau est > 30%, il vaut mieux segmenter le
réseau ou limiter le nombre de protocole.
Il est possible d'optimiser un serveur pour des tâches particulières. Aller dans Panneau de Config / Réseau puis onglet Services. Quatre paramètres sont disponibles
| Minimiser la mémoire utilisée | Alloue de la mémoire pour au maximum 10 connexions réseau. |
| Equilibrer | Alloue de la mémoire pour au maximum 64 connexions réseau (défaut). |
| Débit maximal pour le partage de fichier | Alloue un maximum de mémoire pour les opérations de partage de fichiers (a éviter avec IIS car il gère son propre cache). |
| Débit maximal pour les applications réseau | Optimise la mémoire du serveur pour les applications distribuées. (SQL, ...) |
L'option Diffusions de l'Explorateur pour les clients Lan Manager 2.x permet au serveur de s'annoncer aux autres ordinateurs Lan Mananger.
Pour une définition du service explorateur, voir la partie explorateur dans le cours Administration de Windows NT.
Pour optimiser la bande passante réseau utilisée par le service explorateur, il faut diminuer la taille des listes d'exploration ou espacer les mises à jour des liste d'exploration.
Deux paramètres sont à modifier dans le registre sous la clef HKLM\System\CurrentControlSet\Services\Browser\Parameters.
MasterPeriodicity (sur les maitres explorateur) par défaut, 12 minutes mais mini 5 minutes
BackupPeriodicity période d'intervalle selon laquelle l'explorateur de secours contacte le maitre explorateur (donc à changer sur les explorateurs de secours). 12 minutes par defaut. Dans ce cas on ne sature pas les réseaux étendus parce-que les explorateurs de secours communiquent toujours avec le maître explorateur local.
Liaison poussée : C'est un bout d'un certain nombre de nouveau enregistrements que la duplication est déclenchée.
Liaison Tirée : C'est un bout d'un temps que la duplication est déclenchée. C'est utile pour les laisions lentes.
Copyright © 2000 HALLARD Charles-Henri.
Retour sur ma page des certifications