locked
Architecture domaines active directory avec réplication RRS feed

  • Question

  • Bonjour,

    Je souhaiterais avoir les "best practices" pour une future mise en place de deux serveurs de contrôleur de domaine avec une réplication entre eux.

    Ces 2 serveurs sont situés dans des lieux physiques différents et reliés par une connexion vpn.

    J'ai de multiples questions concernant cette mise en place :

    - Dois-je créer deux domaines de tel sorte que j'ai site1.domain.fr et site2.domain.fr ou est il plus facile d’intégrer les 2 contrôleurs dans le même domaine?

    - Si les 2 contrôleurs sont dans le même domaine, dois-je faire tout de même une réplication inter site ?

    - Au niveau de la gestion DNS, est il plus simple de n'avoir qu'un seul domaine?

    merci !
    lundi 15 avril 2013 15:42

Réponses



  • - Dois-je créer deux domaines de tel sorte que j'ai site1.domain.fr et site2.domain.fr ou est il plus facile d’intégrer les 2 contrôleurs dans le même domaine?

    Il n'y a pas d'obligation à faire 2 domaines , le choix va dépendre si c'est vraiment une entreprise avec 2 sites ,c 'est plus simple de faire un domaine. Si c'est 2 entreprise d'un même groupe, le fait de séparer permettra de gérer plus facilement une séparation. La problématique est vraiment lié à la gestion et non à la géographie.

    - Si les 2 contrôleurs sont dans le même domaine, dois-je faire tout de même une réplication inter site ?

    Si le VPN s'effectue via ligne ADSL, SDSL donc pas de LAN, oui je conseille de gérer les sites et donc forcément la réplication inter sites.

    - Au niveau de la gestion DNS, est il plus simple de n'avoir qu'un seul domaine?

     ce n'est pas gênant au niveau de la configuration DNS si les bon protocoles sont bien autorisés entre les sites (DNS , ldap ....) , 

    Après il faut réfléchir à l'organisation des partages de fichiers, (DFS avec réplication consomme de la bande passante + gestion des conflits de réplication).

    Les serveurs d'applications sont sur répartis sur les 2 sites en fonction des utilisateurs ou centralisé sur un site principale ?


    lundi 15 avril 2013 19:00
  • Ce catalogue global, comment le créer?
    Le premier DC  est automatiquement Catalogue Global. Pour les suivants il y a une case à cocher dans DC promo pour le CG.
    Sinon on peut rajouter depuis la console site et service AD
    Le rôle du CG est très important car lors du login un CG est automatiquement contacté, si pas de CG dispo pas d'ouverture de session.
    Les rôles FSMO sont moins graves ils peuvent être ponctuellement absent sans gène.


    Je n'ai qu'un seul DC par site malheureusement, cela est il vraiment problématique?
    Non ce n'est pas problématique si le VPN ne filtre pas de flux indispensable


    En cas de crash de l'un des DC, l'autre prendra t'il le relais en terme de login pour les sessions par exemple?
    Si les 2 sont GC oui , sinon non. Il existe également l'option de mise en cache des groupes universelles qui permet sur des petits sites de ne ^pas avoir de CG.
    Mais sur 2 sites il vaut mieux mettre cette option de  coté.
    Ces rôles FSMO, je dois les définir à quel moment? Sauriez vous me conseiller?
    Ils sont automatiquement crée sur le premier DC du domaine et il n'y a pas forcément besoin de les déplacer.
    Dans une configuration à partir 3 DC il est recommandé de ne pas mettre le rôle FSMO maître d'infrastructure sur un CG.
    Dans votre cas cela ne s'applique pas.
    mardi 16 avril 2013 09:19
  • Bonjour,

    La réplication inter-site (Active Directory Sites & Services) permet de créer des subnets, des sites et de définir des "modes" de réplication entre les sites. Dans votre cas, vous n'en avez que deux, le paramétrage sera simple.

    Il n'y a pas de mode "maitre-esclave", on parle de répartition des rôles FSMO. Par contre, il faut un catalogue global par site, et si possible deux DC par site également.


    -- Cédric GEORGEOT [MVP] Virtual Machine http://www.e-novatic.fr -- Auteur du livre "Bonnes pratiques, planification et dimensionnement des infrastructures de stockage et de serveur en environnement virtuel" -- N'oubliez pas de marquer comme réponse ;-)

    mardi 16 avril 2013 08:08
  • Petite précision sur ce que dit P barth, c'est vrai pour des environnements mutli-domaines.

    Dans une forêt mono-domaine, le GC n'est pas utilisé lors du logon.

    Pareil pour le placement du rôle maître d'infrastructure, dans un environnement mono-forêt il ne peut y avoir d'objet fantôme, ça ne pose pas de problème de le placer sur un GC et ce quelque soit le nombre de DC.

    Pour le placement des GC vous pouvez vous appuyer sur ceci : http://technet.microsoft.com/en-us/library/cc732877%28v=ws.10%29.aspx

    Cdt,

    mardi 16 avril 2013 10:08
  • Merci pour toutes ces précisions.

    Donc pour être sûr de la bonne démarche :

    - Je configure totalement mon premier serveur AD/DNS etc. Une fois celui ci configuré et opérationnel, je rentre le second serveur dans le domaine.

    - Je vérifie que le DNS fonctionne.

    - Je lance un dcpromo sur le 2nd serveur afin de le configurer, j'indique que c'est un 2nd DC avec CG et c'est tout?

    Pour créer un AD => regarde mon post ici

    Pour le 2eme DC, oui, c'est ça (ajout d'un DC pour un domaine existant) Mais pour cela il faut que le DNS soit nickel, Suis ma procédure ;-)


    -- Cédric GEORGEOT [MVP] Virtual Machine http://www.e-novatic.fr -- Auteur du livre "Bonnes pratiques, planification et dimensionnement des infrastructures de stockage et de serveur en environnement virtuel" -- N'oubliez pas de marquer comme réponse ;-)

    mardi 16 avril 2013 11:10

Toutes les réponses



  • - Dois-je créer deux domaines de tel sorte que j'ai site1.domain.fr et site2.domain.fr ou est il plus facile d’intégrer les 2 contrôleurs dans le même domaine?

    Il n'y a pas d'obligation à faire 2 domaines , le choix va dépendre si c'est vraiment une entreprise avec 2 sites ,c 'est plus simple de faire un domaine. Si c'est 2 entreprise d'un même groupe, le fait de séparer permettra de gérer plus facilement une séparation. La problématique est vraiment lié à la gestion et non à la géographie.

    - Si les 2 contrôleurs sont dans le même domaine, dois-je faire tout de même une réplication inter site ?

    Si le VPN s'effectue via ligne ADSL, SDSL donc pas de LAN, oui je conseille de gérer les sites et donc forcément la réplication inter sites.

    - Au niveau de la gestion DNS, est il plus simple de n'avoir qu'un seul domaine?

     ce n'est pas gênant au niveau de la configuration DNS si les bon protocoles sont bien autorisés entre les sites (DNS , ldap ....) , 

    Après il faut réfléchir à l'organisation des partages de fichiers, (DFS avec réplication consomme de la bande passante + gestion des conflits de réplication).

    Les serveurs d'applications sont sur répartis sur les 2 sites en fonction des utilisateurs ou centralisé sur un site principale ?


    lundi 15 avril 2013 19:00
  • Bonjour,

    Merci pour toutes ces réponses.

    Dans mon cas c'est vraiment deux sites différents, les utilisateurs peuvent simplement être réparti entre deux groupes sur l'AD cela suffit. Je vais donc créer un unique domaine.

    Concernant le partage de fichier, il y en a très peu, et la ligne intermédiaire est une SDSL 2mo. La plupart des serveurs sont basés sur le site1, sur le site2 il y a simplement besoin d'un serveur local pour faire fonctionner certains soft client/serveur mais également un AD et DHCP.

    Concernant la réplication inter-site, à quel moment dois-je l'appliquer exactement? Mes deux serveurs sont vierges actuellement.

    Le système va t'il fonctionner en mode "maitre-esclave" ? Ou les 2 serveurs seront au même "niveau" ?

    mardi 16 avril 2013 07:18
  • Bonjour,

    La réplication inter-site (Active Directory Sites & Services) permet de créer des subnets, des sites et de définir des "modes" de réplication entre les sites. Dans votre cas, vous n'en avez que deux, le paramétrage sera simple.

    Il n'y a pas de mode "maitre-esclave", on parle de répartition des rôles FSMO. Par contre, il faut un catalogue global par site, et si possible deux DC par site également.


    -- Cédric GEORGEOT [MVP] Virtual Machine http://www.e-novatic.fr -- Auteur du livre "Bonnes pratiques, planification et dimensionnement des infrastructures de stockage et de serveur en environnement virtuel" -- N'oubliez pas de marquer comme réponse ;-)

    mardi 16 avril 2013 08:08
  • Ce catalogue global, comment le créer?

    Je n'ai qu'un seul DC par site malheureusement, cela est il vraiment problématique?

    En cas de crash de l'un des DC, l'autre prendra t'il le relais en terme de login pour les sessions par exemple?

    Ces rôles FSMO, je dois les définir à quel moment? Sauriez vous me conseiller?

    mardi 16 avril 2013 09:02
  • Ce catalogue global, comment le créer?
    Le premier DC  est automatiquement Catalogue Global. Pour les suivants il y a une case à cocher dans DC promo pour le CG.
    Sinon on peut rajouter depuis la console site et service AD
    Le rôle du CG est très important car lors du login un CG est automatiquement contacté, si pas de CG dispo pas d'ouverture de session.
    Les rôles FSMO sont moins graves ils peuvent être ponctuellement absent sans gène.


    Je n'ai qu'un seul DC par site malheureusement, cela est il vraiment problématique?
    Non ce n'est pas problématique si le VPN ne filtre pas de flux indispensable


    En cas de crash de l'un des DC, l'autre prendra t'il le relais en terme de login pour les sessions par exemple?
    Si les 2 sont GC oui , sinon non. Il existe également l'option de mise en cache des groupes universelles qui permet sur des petits sites de ne ^pas avoir de CG.
    Mais sur 2 sites il vaut mieux mettre cette option de  coté.
    Ces rôles FSMO, je dois les définir à quel moment? Sauriez vous me conseiller?
    Ils sont automatiquement crée sur le premier DC du domaine et il n'y a pas forcément besoin de les déplacer.
    Dans une configuration à partir 3 DC il est recommandé de ne pas mettre le rôle FSMO maître d'infrastructure sur un CG.
    Dans votre cas cela ne s'applique pas.
    mardi 16 avril 2013 09:19
  • Merci pour toutes ces précisions.

    Donc pour être sûr de la bonne démarche :

    - Je configure totalement mon premier serveur AD/DNS etc. Une fois celui ci configuré et opérationnel, je rentre le second serveur dans le domaine.

    - Je vérifie que le DNS fonctionne.

    - Je lance un dcpromo sur le 2nd serveur afin de le configurer, j'indique que c'est un 2nd DC avec CG et c'est tout?

    mardi 16 avril 2013 09:59
  • Petite précision sur ce que dit P barth, c'est vrai pour des environnements mutli-domaines.

    Dans une forêt mono-domaine, le GC n'est pas utilisé lors du logon.

    Pareil pour le placement du rôle maître d'infrastructure, dans un environnement mono-forêt il ne peut y avoir d'objet fantôme, ça ne pose pas de problème de le placer sur un GC et ce quelque soit le nombre de DC.

    Pour le placement des GC vous pouvez vous appuyer sur ceci : http://technet.microsoft.com/en-us/library/cc732877%28v=ws.10%29.aspx

    Cdt,

    mardi 16 avril 2013 10:08
  • Merci pour toutes ces précisions.

    Donc pour être sûr de la bonne démarche :

    - Je configure totalement mon premier serveur AD/DNS etc. Une fois celui ci configuré et opérationnel, je rentre le second serveur dans le domaine.

    - Je vérifie que le DNS fonctionne.

    - Je lance un dcpromo sur le 2nd serveur afin de le configurer, j'indique que c'est un 2nd DC avec CG et c'est tout?

    Pour créer un AD => regarde mon post ici

    Pour le 2eme DC, oui, c'est ça (ajout d'un DC pour un domaine existant) Mais pour cela il faut que le DNS soit nickel, Suis ma procédure ;-)


    -- Cédric GEORGEOT [MVP] Virtual Machine http://www.e-novatic.fr -- Auteur du livre "Bonnes pratiques, planification et dimensionnement des infrastructures de stockage et de serveur en environnement virtuel" -- N'oubliez pas de marquer comme réponse ;-)

    mardi 16 avril 2013 11:10
  • Merci pour votre aide à tous, je me permet de laisser ce sujet ouvert car je vais peut être avoir de futures questions dès la semaine prochaine concernant ce projet.

    lundi 22 avril 2013 07:59
  • Bonjour,

    Si vous aurez des nouvelles questions, écrivez un nouveau thread svp.

    Si vous postez dans un thread existant une nouvelle question avec un sujet différent, la question initiale peut être oubliée. Les conséquences sont: la communication interrompue, nous aurons plusieurs discussions sur divers sujets dans un seul thread et le premier pourrait être complètement confus.

    Merci pour votre compréhension et collaboration.

    Cordialement,

    Dan 

     


    Dan BAJENARU, MSFT    Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    lundi 22 avril 2013 09:29