Les limites de l'Active Directory
Si ce billet résiste un peu au temps, j'imagine que je serai amusé dans quelques années de retrouver les valeurs définies sur la page suivante :
Je me souviens d'une époque pas si lointaine où il était préférable de ne pas dépasser 40000 utilisateurs dans un seul domaine. Cette valeur théorique était liée aux possibilités du matériel de l'époque ; matériel qui évolue au rythme que vous connaissez.
2 milliards d'objets pendant toute la vie d'une forêt. 1 milliard d'identifiants de sécurité. Jusque là, celà va !
1015 groupes pour un même utilisateur, c'est déjà plus facile à atteindre. 64 caractères pour le nom FQDN, j'en connais qui ont déjà vécu le cauchemar de rencontrer cette limite. Pas les 64 caractères d'une OU, mais les 260 caractères d'un chemin UNC. 999 GPO pour un même utilisateur, cela devrait aller !
Je me souviens que des comparaisons de performances avaient été faites par un collègue pour un client français entre différents annuaires LDAP, mais ne me souviens plus si la limite des 5000 opérations en une seule transaction avait été testée. J'imagine que non dans la mesure où l'objectif était plutôt de passer un maximum de requêtes et de mises à jour en un minimum de temps et sur une période soutenue.
800 domaines dans une même forêt Windows 2000 ou 1200 dans une forêt Windows Server 2003 pourraient être dépassés si chaque utilisateur avait son propre contrôleur comme je le propose de temps à autre pour plaisanter. Quel modèle de délégationJ !
Je me souviens aussi de clients ayant plus des 1200 contrôleurs de domaines, mais sans réplication du SYSVOL et des incidents traités par celui qui n'avait pas vu arriver la limite de 800 contrôleurs avec des DNS intégrés à l'AD.