locked
Active Directory - Site Distant relié en VPN RRS feed

  • Question

  • Bonjour,

    Notre infrastructure Active Directory contient les éléments suivants :

    • Site central : contenant deux contrôleurs de domaine
    • Site distant relié avec ligne spécialisée : contenant un contrôleur de domaine
    • Site distant relié avec VPN : contenant un contrôleur de domaine

    De sorte que les deux contrôleurs de domaine des sites distants doivent répliquer du site central. Et qu'ils ne se voient pas (si on fait un ping du site 1 au site 2, c'est échec).

    Le problème c'est :

    • A chaque fois, que je modifie la topologie de réplication dans Sites et Services Active Directory, elle se corrige automatiquement en ajoutant une réplication entre les deux contrôleurs de domaine des sites distants ce qui n'est pas possible.
    • En plus, vu que le contrôleur de domaine du site2, est un serveur d'authentification AD, des postes trouvent des difficultés dans la relation d'approbation avec le domaine.
    • En plus, quand je fais DCDIAG, je reçois des erreurs comme listé dans le fichier (lien OneDrive ci-dessous), résultat de DCDIAG.

    https://1drv.ms/t/s!AmvNYUAbbtdQiC1By8bJH2a8H-zy

    Je signale que, le contrôleur de domaine du site 2, n'est fait que pour servir les utilisateurs du site 2 et pour garder une copie de Active Directory.

    Ce que je demande maintenant :

    • Est ce que c'est possible de modifier la topologie ou les partenaires de réplication manuellement et prévenir le système de la gérer?
    • Comment prévenir les postes ordinateurs d'essayer de s'authentifier depuis le contrôleur de domaine inaccessible?

    Merci d'avance.

    dimanche 11 décembre 2016 14:19

Réponses

  • Bonjour,

    En fait c'est le processus KCC qui permet la création des objets de connexion automatiquement entre les contrôleurs de domaine du même sites et et inter-site en fonction des liens de sites déjà créés et configurés.

    Si vous voulez que le site1 et le site 2 répliquent uniquement avec le site principale vous avez deux possibilités:

    • Garder la réplication inter-site activé via KCC, et dans ce cas , il faut créer un lien de site entre site1 et le site central et un autre lien de site entre le site 2 et le site central, et dans ce cas des objets de connexion seront automatiquement créés entre les AD du site1 et le site central et les AD du site2 et le site central.
      Cette solution est recommandée vue qu'à chaque changement dans la topology AD ajout ou suppression dun AD ou un site , les objets de connexion seront calculé automatiquement.
    • La deuxième solution est de désactiver la réplication inter-site via KCC et créer les objets de connexion entre les AD de site1 et Site 2 manuellement avec le site central. 
      Pour désactiver KCC inter-site, depuis la console sites et service active directory ,sur chaque site créé (Site 1, site 2 et le site central) cliquer sur propriété  du paramètres NTDS du site, puis dans l'onglet attribut , chercher l'attribut option et mettez 0x1:




    dimanche 11 décembre 2016 23:46
    Auteur de réponse
  • Bonjour,

    Merci beaucoup, j'ai désactivé la vérification automatique de la topologie en changeant l'option comme décrit sur la photo. Et ça a l'air de fonctionner, je veux dire, que les objets de réplication ne se créent plus automatiquement.

    Il reste une chose que j'ai posée dans mon premier post. Est ce que c'est possible de prévenir les ordinateurs d'autres sites (CENTRAL et SITE 1) d’interroger le contrôleur de domaine du site 2 pour s'authentifier?

    Merci d'avance.

    Bonjour,
    Si vous désirez que chaque ordinateur contact un contrôleur de domaine le plus proche ,  il faut créer tous les sous-réseaux dans la console sites et services active directory et les assigner au site le plus porche.

    Par contre , il faut penser également si aucun DC est disponible sur un site 1 ou site 2, les sous-resaux attacher à ce site vont essayer de contacter n'importe quel DC appartenant au site central ou le site 2. Vue que le site 2 et site 1 ne peuvent pas se communiquer,  il est recommandé dans ce cas de forcer les serveurs et les ordinateurs du site 1 et site2 de contacter les DCs du site Central en cas de panne de tous les DC locaux ( du site le plus proche déclaré dans la console sites et services active directory).
    Je vous invite de consulter le lien ci-dessous qui vous propose de solution pour gérer les clients (dont sous-réseau non déclaré dans la console sites et services active directory ou aucun DC disponible dans le site le plus proche)  pour trouver un DC joignable:

    Comment Windows arrive à localiser un contrôleur de domaine le plus proche

    • Marqué comme réponse Lotfi B mardi 13 décembre 2016 14:19
    mardi 13 décembre 2016 10:59
    Auteur de réponse

Toutes les réponses

  • D'après les erreurs que tu as posté tu as des erreurs de réplications de sysvol. Attention a ne pas confondre la réplication AD de la réplication de fichiers "sysvol" (Sysvol peut être en DFS-R,  NTFRS : ancien).

    Tu as bien configuré les sites et sous réseaux et les liens de site (tes connexions VPN ou spécialisé)  avec les coûts ? 

    Sur quel site se trouve le rôle émulateur PDC ?

    Sinon au niveau des horloges tu as bien configuré la synchro sur une source fiable de l'émulateur PDC ?

    Voir aussi https://support.microsoft.com/fr-fr/kb/321044 pour l'erreur Kerberos.


    dimanche 11 décembre 2016 17:02
  • Bonjour,

    En fait c'est le processus KCC qui permet la création des objets de connexion automatiquement entre les contrôleurs de domaine du même sites et et inter-site en fonction des liens de sites déjà créés et configurés.

    Si vous voulez que le site1 et le site 2 répliquent uniquement avec le site principale vous avez deux possibilités:

    • Garder la réplication inter-site activé via KCC, et dans ce cas , il faut créer un lien de site entre site1 et le site central et un autre lien de site entre le site 2 et le site central, et dans ce cas des objets de connexion seront automatiquement créés entre les AD du site1 et le site central et les AD du site2 et le site central.
      Cette solution est recommandée vue qu'à chaque changement dans la topology AD ajout ou suppression dun AD ou un site , les objets de connexion seront calculé automatiquement.
    • La deuxième solution est de désactiver la réplication inter-site via KCC et créer les objets de connexion entre les AD de site1 et Site 2 manuellement avec le site central. 
      Pour désactiver KCC inter-site, depuis la console sites et service active directory ,sur chaque site créé (Site 1, site 2 et le site central) cliquer sur propriété  du paramètres NTDS du site, puis dans l'onglet attribut , chercher l'attribut option et mettez 0x1:




    dimanche 11 décembre 2016 23:46
    Auteur de réponse
  • Bonjour,

    Merci beaucoup, j'ai désactivé la vérification automatique de la topologie en changeant l'option comme décrit sur la photo. Et ça a l'air de fonctionner, je veux dire, que les objets de réplication ne se créent plus automatiquement.

    Il reste une chose que j'ai posée dans mon premier post. Est ce que c'est possible de prévenir les ordinateurs d'autres sites (CENTRAL et SITE 1) d’interroger le contrôleur de domaine du site 2 pour s'authentifier?

    Merci d'avance.

    mardi 13 décembre 2016 09:51
  • Bonjour,

    Merci beaucoup, j'ai désactivé la vérification automatique de la topologie en changeant l'option comme décrit sur la photo. Et ça a l'air de fonctionner, je veux dire, que les objets de réplication ne se créent plus automatiquement.

    Il reste une chose que j'ai posée dans mon premier post. Est ce que c'est possible de prévenir les ordinateurs d'autres sites (CENTRAL et SITE 1) d’interroger le contrôleur de domaine du site 2 pour s'authentifier?

    Merci d'avance.

    Bonjour,
    Si vous désirez que chaque ordinateur contact un contrôleur de domaine le plus proche ,  il faut créer tous les sous-réseaux dans la console sites et services active directory et les assigner au site le plus porche.

    Par contre , il faut penser également si aucun DC est disponible sur un site 1 ou site 2, les sous-resaux attacher à ce site vont essayer de contacter n'importe quel DC appartenant au site central ou le site 2. Vue que le site 2 et site 1 ne peuvent pas se communiquer,  il est recommandé dans ce cas de forcer les serveurs et les ordinateurs du site 1 et site2 de contacter les DCs du site Central en cas de panne de tous les DC locaux ( du site le plus proche déclaré dans la console sites et services active directory).
    Je vous invite de consulter le lien ci-dessous qui vous propose de solution pour gérer les clients (dont sous-réseau non déclaré dans la console sites et services active directory ou aucun DC disponible dans le site le plus proche)  pour trouver un DC joignable:

    Comment Windows arrive à localiser un contrôleur de domaine le plus proche

    • Marqué comme réponse Lotfi B mardi 13 décembre 2016 14:19
    mardi 13 décembre 2016 10:59
    Auteur de réponse
  • C'est déjà fait la création des plages réseau et l'affectation aux sites appropriés, mais plusieurs postes qui sont membres du domaine perdent la relation d'approbation, et je pensais directement qu'ils essayaient de s'authentifier auprès du contrôleur de domaine du site 2, chose qui n'est pas possible.

    Est ce que vous pouvez me confirmer ma réflexion?

    Merci.

    mardi 13 décembre 2016 14:45
  • Je suis d'accord avec vous, . Si  les paramètres réseaux , la réplication active directory et la topology AD  sont bien configurée vous allez réduire  les problèmes de la relation d'approbation due à la perte secure schannel entre la machine membre du domaine et le contrôleur de domaine
    mardi 13 décembre 2016 15:05
    Auteur de réponse
  • Vous avez également créer des liens de sites pour vos liaisons  ? ou vous avez juste laisser le lien "DEFAULTIPSITELINK" existant par défaut ?

    En générale il n'est pas utile de gérer la réplication manuellement et en générale on oublie lors de la prochaine migration ce détail , ce qui entraine des complications.


    mardi 13 décembre 2016 15:55
  • J'ai un objet de réplication (lien de site) pour chaque site. et ils sont créés automatiquement. 


    • Modifié Lotfi B mercredi 14 décembre 2016 07:04
    mercredi 14 décembre 2016 07:03
  • J'ai un objet de réplication (lien de site) pour chaque site. et ils sont créés automatiquement. 

    Un lien n'est pas pour un site mais représente une connexion entre 2 sites au minimum. 

    D'après ton schéma tu devrais avoir 3 sites et 2 liens de sites ...

    Il faut mettre ci dessous tous les sites qui sont relié par ta connexion.

    Tu peux renommer tes liens en VPN et liaison_spécialisée ...

    mercredi 14 décembre 2016 14:01
  • Effectivement, c'est ce que j'ai, je m'excuse, c'était juste confusion de noms de ma part.
    jeudi 15 décembre 2016 07:34
  • Effectivement, c'est ce que j'ai, je m'excuse, c'était juste confusion de noms de ma part.

    Bonjour,

    Comme indiqué par Philippe ,il est recommandé de laissé la vérification activer , cela permet gérer et simplifier la création des objets de connexion de réplication  entre les DC surtout en cas d'ajout ou suppression d'un DC. 

    Pour votre cas , je vous  propose d'essayer cette configuration :

    • Dans le premier lien de site ,ajoutez que SITE1 et le site central
    • Dans le deuxième lien de site , ajouter que le SITE2 et le cite central
    jeudi 15 décembre 2016 10:52
    Auteur de réponse