Bonjour tout le monde,
 
 
Je suis en train de refaire les AD, et je me demandais combien d'espace disque il faut pour SYSVOL et NTDS ? Il s'agit d'un en environnement de 350 users (va progresser encore).
 
Au niveau des bests practices que ça soit sur du 2008 R2 ou 2012R2 il est toujours mieux de séparer ces répertoires  de la partiti C:\  ?
 
 
Merci par avance

Ca dépend de la taille de ton AD. Pour 350 users tu ne devrais même pas atteindre un Go, sauf si ton Sysvol sert de poubelle/repository.
 
Non ça ne présente plus d'intérêt de les séparer.

Non ça servira pas de poubelle de la GPO classic juste.
 
Car il me semble qu'avant avoir le SYSVOL et NTDS sur le C: ça désactivé le cache.

Quel cache ?

le cache d'écriture sur le disque
 
https://social.technet.microsoft.co [...] inserverDS
 
à priori c'est désactivé sur tous les contrôleurs de domaine, à chaque démarrage

D'accord donc toujours d'actualité, donc il vaut mieux séparer.
 
Un avis aussi concernant les rôles FQMO, sur un domaine avec 13 sites en France avec chaque site son AD en local, il vaut mieux avoir tous les rôles sur un seul AD ou sur 2 ? Si sur 2, lesquels séparer ?

Non il n'y a aucun intérêt à séparer Sysvol et NTDS du système, au contraire ça n'apportera que de la complexité et des problèmes supplémentaires. Le cache en écriture est désactivé pour une bonne raison, il faut le laisser tel quel. Il ne t'apportera de toute façon pas grand-chose sur des contrôleurs de domaine.
 
Tu sépares généralement les FSMO domaine et forêt mais dans ton cas il y a peu d'intérêt. A la rigueur tu peux isoler le rôle ePDC sur un contrôleur de domaine dédié, vu qu'il s'agit du plus critique.

OK merci de ta réponse, effectivement repartir les rôles sur deux sites je voyais pas vraiment l'intérêt.
 
 
Au final pour une forêt et un seul domaine mais plusieurs sites, autant tout laisser les rôles sur un seul AD sur le plus gros site.

L'architecture recommandée serait d'avoir 2 DC sur le gros site.
Perso je préfère mettre tous les rôles FSMO sur le même serveur. Quasiment tous les rôles sont pas/peu utilisés de façon continue (juste PDCe et RID) et ça permet de savoir facilement quel serveur est "FSMO masters". Selon la charge du PDCe ça peut valoir le coup (ou pas) de lui envoyer moins de requêtes d'auth standard mais vu la puissance des serveurs actuellement et sur ton type d'infra ça vaut pas la peine.
 
Après faut voir les bandes passantes, la latence et la disponibilité des liens réseau, le nombre d'utilisateurs/machines et le nombre de serveurs, le nombre de GPO et leur fréquence de changement, sur chacuns des sites mais on n'est plus comme à la création de l'AD obligé de devoir mettre des DC sur site. La tendance est à la centralisation des DC et bon nombre de boites fonctionnent avec que des DC en central couplé à des liens réseau de qq mbps avec en local finalement que des NAS ou serveurs assez limités (pas d'Exchange ou autres gros consommateurs d'AD)

Merci pour ta réponse Je@nb.
 
 
Effectivement j'ai aussi un peu de mal à comprendre pourquoi actuellement il faut encore séparer les rôles. Car pour un soucis de perf, aujourd'hui effectivement les serveurs sont largement assez solide pour tenir la charge même de gros AD. Et pour la sécurité je vois pas trop, car dans tous les cas, si je perds un AD avec des rôles sur les deux, j'ai que la moitié qui fonctionne au final.
 
C'est aussi une remarque que je me suis faites pendant ces deux jours, je suis venu rajouter un AD dans un des sites en province, mais nous avons sur chaque site un lien MPLS pour la téléphonie sur IP, et une connexion avec un routeur qui fait le lien VPN avec le site principal. Sachant que la liaison la plus basse de toutes les agences et de 8Mo (qui peut être revu à la hausse, ce n'est pas une limitation technique).
 
Donc oui pour moi, un NAS sur site avec un routeur qui fait DHCP, VPN etc.... me parait amplement suffisant, et au pire du DFS-R pour garder toujours des fichiers à jours sur le site principal pour effectuer les backups. Je verrai avec la DSI pour proposer ces changements (je suis arrivé que mercredi dernier), mais ça me parait plus pertinent franchement.

Pour la raison habituelle : ne pas mettre tous tes oeufs dans un même panier. Ce n'est plus compliqué de faire un seize des rôles en 2016 mais si tu peux l'éviter, pourquoi pas ?
 
Et j'ai toujours tendance à isoler le ePDC sur un DC dédié, surtout sur de grandes infras où en plus d'un surcroît de charge tu peux avoir des applications qui vont le pourrir avec des requêtes en tout genre.

Disons que faire une seize pour un role ou pour les 5 j'y vois pas une grande différence, c'est pour ça que je préfère tout regrouper.
Après je suis d'accord sur le pdce si grosse infra je préfère l'isoler du traffic d'auth standard.

Oui c'est ce que je me disais c'est très rapide à faire migrer les rôles au besoin. Bon dans mon cas j'imagine qu'isoler le PDCE ne sert pas à grand chose, en tout cas n'apportera rien.