Dimensionnement Active Directory pour 400 utilisateurs sous Windows Server 2022 : haute disponibilité, sécurité et performances

Besoin de dimensionner un contrôleur de domaine pour environ 400 comptes ? Ce guide concret vous livre spécifications, réglages et check‑lists prêts à l’emploi pour Windows Server 2022, avec marge d’évolution et haute disponibilité.

Sommaire

Vue d’ensemble

Objectif : définir une configuration Windows Server 2022 capable d’héberger Active Directory Domain Services (AD DS) pour ~400 utilisateurs (et quelques centaines d’ordinateurs/serveurs), tout en conservant :

une latence d’authentification basse ;
une marge de croissance sereine (x2) ;
une haute disponibilité et une maintenance sans interruption.

Réponse & solutions proposées

Élément	Recommandations principales	Notes/pratiques conseillées
Processeur	≥ 4 cœurs (Intel Xeon ou AMD EPYC) – idéal : 8 cœurs pour anticiper la croissance	Prioriser la fréquence pour accélérer les opérations LDAP et Kerberos
Mémoire	16 Go suffisent ; 32 Go recommandés si d’autres rôles/agents (AV, sauvegarde, supervision) cohabitent	Activer la mémoire ECC pour la fiabilité
Stockage	• Disque système SSD ≥ 120 Go (typiquement 250 Go) en RAID 1 • Volume base AD + journaux : SSD ou HDD 7 200 tr/min, RAID 1, capacité ≥ 200 Go (ex. 500 Go SSD ou 1 To HDD)	Mettre la base `NTDS.dit` et les logs sur un volume dédié pour isoler l’I/O
Réseau	1 GbE suffit ; envisager 2×1 GbE (teaming) ou 10 GbE si trafic dense ou exigences de redondance	Séparer le trafic de gestion/backup du trafic client si possible
Haute disponibilité	Déployer au moins deux contrôleurs de domaine dans le même site pour tolérance de panne et distribution de charge	Répartir les rôles FSMO et tester la réplication (`repadmin` / `dcdiag`)
Sauvegarde	Sauvegarde régulière de l’état du système (Windows Server Backup ou solution tierce) + snapshots VM si virtualisé	Tester la restauration autoritaire/non autoritaire
Énergie	Onduleur (UPS) dimensionné pour un arrêt propre (~10–15 min)	Configurer l’arrêt automatique via l’agent UPS
Système	Windows Server 2022 Standard (ou Datacenter si virtualisation illimitée)	Appliquer les correctifs mensuels ; activer la corbeille AD pour la restauration d’objets
Sécurité & bonnes pratiques	Durcir mots de passe et verrouillage ; activer SMB Signing & LDAP Channel Binding ; restreindre RDP et utiliser un bastion ; journaliser via Windows Event Forwarding	Surveiller la santé AD : réplication, latence, NTP, erreurs DNS, etc.

Pourquoi ces choix fonctionnent pour ~400 utilisateurs

AD DS est majoritairement lecture (consultations LDAP, obtention de tickets Kerberos) avec des écritures modestes (créations/modifications d’objets, mises à jour d’attributs, réplication). Pour 400 utilisateurs et quelques centaines d’appareils, un DC moderne 4 vCPU/16–32 Go RAM garde largement de la marge :

Un processeur à fréquence élevée réduit la latence des opérations LDAP/Kerberos et la compilation des listes de contrôle d’accès (ACL).
La mémoire supplémentaire augmente le cache de la base annuaire ; plus d’objets résident en mémoire, moins d’I/O disque.
Des SSD garantissent une latence stable, particulièrement pour ntds.dit et les journaux EDB.

Dans la pratique, deux DC « moyens » (4–8 vCPU, 16–32 Go) disposés sur des hôtes/baies distincts offrent un excellent compromis : maintenance à chaud (patch/reboot tournant), bascule automatique des rôles, réplication rapide et continuité d’activité.

Topologie et haute disponibilité

Deux DC minimum par site AD. Mettez les deux en Global Catalog et en DNS.
Répartition des rôles FSMO : placer le PDC Emulator sur le DC le plus stable et performant.
Sites & Services : définir les sous-réseaux, activer une réplication intra‑site fréquente (par défaut) ; ajuster l’inter‑site si vous avez des liaisons WAN.
RODC (contrôleur de domaine en lecture seule) pour les agences à sécurité physique faible ; activez la Password Replication Policy de façon restrictive.
DFSR pour SYSVOL : requis (FRS n’est plus pris en charge) ; surveillez les arriérés DFSR.

Stockage : placement et I/O

La base AD et ses journaux sont sensibles à la latence. Recommandations :

Volumes dédiés : un volume OS, un volume NTDS+journaux. Sur VM, dissociez les disques virtuels.
RAID 1 pour OS et NTDS (simplicité, bonne lecture, redondance). NVMe si vous voulez un confort maximal.
Capacité : la base AD « pure » pèse rarement lourd (quelques Go). Prévoyez large pour les backups, journaux et marges (≥ 200 Go pour la partition données).

Réseau, DNS et DHCP

DNS intégré à AD sur chaque DC. Zones en réplication to all DNS servers in the domain. Activez la scavenging pour nettoyer les enregistrements obsolètes.
Clients : configurez uniquement les DC comme serveurs DNS. Utilisez des redirecteurs DNS externes sur les DC.
DHCP : si hébergé sur DC, activez l’option de failover (mode hot standby) entre deux serveurs et autorisez le service dans AD.
NTP : le PDC Emulator doit synchroniser l’heure sur des sources fiables ; les autres membres se calent sur la hiérarchie AD.

Ports à ouvrir

Service	Port/Proto	Remarques
Kerberos	88/TCP, 88/UDP	Authentification
LDAP / LDAPS	389/TCP/UDP, 636/TCP	LDAPS recommandé (certificat TLS)
Global Catalog	3268/TCP, 3269/TCP	Requêtes GC
DNS	53/TCP/UDP	Résolution interne
SMB	445/TCP	SYSVOL, scripts
RPC Endpoint Mapper	135/TCP	Réplication et gestion
RPC dynamiques	49152–65535/TCP	À limiter par plage si possible
NTP	123/UDP	Synchronisation temps
WinRM (optionnel)	5985/HTTP, 5986/HTTPS	Gestion/WEF
RDP (admin)	3389/TCP	Limiter aux bastions

Sécurité : durcissement ciblé pour les DC

Modèle Tier 0 : comptes/admins, bastions, GPO et DC isolés du reste (pas de navigation, pas d’e‑mail).
Politiques de mot de passe : utilisez si besoin des Fine‑Grained Password Policies pour des populations spécifiques.
LDAP Signing et Channel Binding : forcer la signature et lier les sessions pour contrer les attaques relais.
LDAPS : déployer un certificat serveur approuvé sur chaque DC.
Réduire NTLM : augmenter progressivement le niveau d’audit puis de blocage.
Journaux : activer l’audit avancé, centraliser via Windows Event Forwarding (WEF).
Antivirus/EDR : autorisé sur DC. Excluez le dossier C:\Windows\NTDS\* (base et journaux). Surveillez l’impact performance.
Credential Guard / LSASS Protection : pertinents selon votre outillage et compatibilité.

Virtualisation : bonnes pratiques

AD se virtualise très bien. Placez chaque DC sur un hôte différent avec règle d’anti‑affinité.
Snapshots : évitez les snapshots fréquents et n’effectuez jamais de rollback d’un DC en production. Les protections VM‑GenerationID existent, mais le risque opérationnel reste réel.
Horloge : désactivez la resynchronisation hyperviseur→VM pour le PDC Emulator et configurez‑le sur des sources NTP externes fiables.
IOPS : même un SSD grand public couvre largement la charge AD (I/O petites et rapides). Privilégiez la latence à la bande passante brute.

Dimensionnement détaillé et scénarios types

Profil	vCPU	RAM	Disques	Usage conseillé
Essentiel	4	16 Go	OS SSD 250 Go (RAID1) + Données 200 Go	Un DC dans un petit site, agents légers
Confort	6–8	24–32 Go	OS SSD 250–500 Go + Données SSD/NVMe 500 Go	DC principal du siège, monitoring et EDR actifs
Évolutif	8–12	32–64 Go	OS SSD + Données NVMe 1 To	Croissance >1000 utilisateurs, GPO lourdes, logs étendus

Plan de sauvegarde et restauration

État du système quotidien, rétention ≥ 30 jours.
Full hebdomadaire (ou image bare‑metal mensuelle).
Tests de restauration réguliers : non autoritaire (récupération rapide), puis autoritaire pour des OU/objets si nécessaire (ntdsutil).
Corbeille AD activée pour restaurations « sans redémarrage » (objets supprimés).

Exemples de commandes utiles :

# Sauvegarde de l'état du système (Windows Server Backup)
wbadmin start systemstatebackup -backupTarget:E: -quiet

# Restauration autoritaire d'une OU (après restauration non autoritaire)

ntdsutil "activate instance ntds" "authoritative restore" "restore subtree OU=MonOU,DC=exemple,DC=local" quit quit

Surveillance et critères de santé

Réplication : repadmin /replsummary doit montrer des délais faibles et zéro erreur persistante.
DNS : pas d’échecs de mise à jour dynamique ; vérifier périodiquement dcdiag /test:dns.
Temps : dérive < ±5 minutes dans tout le domaine ; surveiller le service W32Time.
Performance : CPU moyen < 50 % par DC, pics courts autorisés ; disque < 10 ms de latence moyenne.

# Santé rapide
dcdiag /v
repadmin /replsummary
repadmin /showrepl * /csv &gt; repl.csv

# Compteurs perf (exemples à grapher)

# NTDS\DS Directory Reads/sec, NTDS\DS Directory Writes/sec

# Security System-Wide Statistics\Kerberos Authentications/sec

Procédure d’installation express (PowerShell)

# Préparer le rôle AD DS
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# Nouveau domaine (forêt)

Install-ADDSForest `  -DomainName "exemple.local"`
-DomainNetbiosName "EXEMPLE" `  -DatabasePath "D:\NTDS"`
-LogPath "D:\NTDS" `  -SysvolPath "E:\SYSVOL"`
-InstallDns `  -NoRebootOnCompletion:$false`
-Force

# Ajouter un deuxième contrôleur de domaine

Install-ADDSDomainController `  -DomainName "exemple.local"`
-DatabasePath "D:\NTDS" `  -LogPath "D:\NTDS"`
-SysvolPath "E:\SYSVOL" `  -InstallDns`
-NoGlobalCatalog:$false `
-Force

# Configurer l'heure (PDC Emulator)

w32tm /config /manualpeerlist:"pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /force

Gouvernance GPO et bonnes pratiques opérationnelles

GPO de base DC : appliquez un baseline de sécurité dédié (journalisation avancée, paramètres LDAP/LDAPS, durcissement SMB).
Héritage : limitez les GPO sur les DC. Préférez une OU « Domain Controllers » avec ordre maîtrisé.
Groupes : principe du moindre privilège, Protected Users pour comptes sensibles, gMSA pour services.

Méthode de capacité et vérifications terrain

Pour valider le dimensionnement dans votre contexte :

Mesurez une semaine témoin : pics de connexions, authentifications/s, latence LDAP.
Visez une occupation CPU moyenne < 50 % sur chaque DC, mémoire libre > 20 %, latence disque stable.
Répartissez les rôles et les clients (DNS/GPO) sur les deux DC.
Testez les pannes : arrêt d’un DC, récupération DNS, bascule FSMO si nécessaire.

Notes complémentaires utiles

Virtualisation : l’AD se virtualise bien ; évitez les snapshots fréquents et synchronisez l’horloge sur un NTP fiable (PDC Emulator).
Monitoring : intégrez le DC à votre supervision (SCOM, Zabbix, Prometheus + WMI exporter) pour réplication, espace disque, CPU, latence LDAP, erreurs DNS et temps.
Croissance : la configuration ci‑dessus encaisse aisément un doublement des effectifs. Au‑delà de ~1000 utilisateurs, passer à 8–12 cœurs, 64 Go RAM et disques NVMe améliore nettement le confort.
Niveaux fonctionnels : Windows Server 2022 n’introduit pas de nouveaux niveaux fonctionnels AD ; utilisez le niveau le plus élevé compatible (équivalent 2016) quand tous les DC le supportent.

Check‑list prête à l’emploi

✓ Deux DC (hôtes/baies/UPS distincts), Global Catalog et DNS sur les deux.
✓ Volumes séparés : OS / NTDS+logs / SYSVOL.
✓ Sauvegarde état du système quotidienne + tests de restauration.
✓ LDAP Signing + Channel Binding + LDAPS actifs.
✓ PDC Emulator pointé vers un NTP externe fiable ; désynchro hyperviseur→VM sur ce DC.
✓ Scavenging DNS configuré, zones AD‑intégrées, redirecteurs vérifiés.
✓ Supervision des compteurs clés et alertes de réplication.
✓ GPO de durcissement DC, WEF en place, accès RDP via bastion seulement.

FAQ éclair

Un seul DC suffit‑il ? Techniquement oui, opérationnellement non. Un incident (panne, patch, corruption) implique un arrêt de service. Deux DC sont le minimum sérieux.

Faut‑il des disques ultra‑rapides ? Pas nécessaire pour 400 utilisateurs : un SSD SATA moderne suffit. NVMe apporte surtout de la marge et de la constance en charge.

Combien de mémoire ? 16 Go si rôle unique, 32 Go si vous ajoutez EDR/monitoring/backup ou si vous voulez plus de cache AD.

Dois‑je séparer DNS ? Non, c’est même recommandé d’héberger DNS sur les DC (zones AD‑intégrées) et de pointer les clients vers ces DNS.

Conclusion

Pour ~400 utilisateurs, le « sweet spot » est composé de deux DC Windows Server 2022 virtualisés, chacun avec 4–8 vCPU, 16–32 Go de RAM et des SSD séparés pour OS et NTDS. Ajoutez une gouvernance GPO sobre, une sauvegarde régulière testée et un monitoring vigilant : vous obtiendrez un annuaire rapide, robuste et prêt pour la croissance.