none
Comment deployer un domaine local en intersites MPLS RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter
    Bonjour à toute la communauté,

    J'aimerais savoir si il est possible de configurer un seul domaine local et donc un seul contrôleur de domaine sur un réseau MPLS VPN Orange avec des sites physiquement distincts.

    Voici la configuration actuelle:
    - site 1 (siège): 192.168.0/24 - domaine1.local
    - site 2 (antenne 1): 192.168.1/24 - domaine2.local
    - site 3 (antenne 2): 192.168.2/24 - pas de contrôleur de domaine (juste un serveur NAS)

    Serait il possible de faire rejoindre les machines des 2 antennes vers le domaine hébergé sur le site du siège via le VPN MPLS d'Orange ?

    Configuration future:
    - site 1 (siège): 192.168.0/24 - domaine.local (contrôleur de domaine hébergé sur ce site)
    - site 2 (antenne 1): 192.168.1/24 - domaine.local (machines jointes au contrôleur de domaine du site 1)
    - site 3 (antenne 2): 192.168.2/24 - domaine.local (machines jointes au contrôleur de domaine du site 1)

    Merci pour vos lumières
    lundi 4 avril 2016 15:21
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Vous pouvez avoir un domaine unique répartie sur plusieurs sites du moment que les liens fonctionnent. 

    Vous pouvez créez l'ensemble des sites et des sous réseaux dans Active Directory même si certain site n'ont pas de DC. Vous puvez également mettre un site avec plusieurs sous réseaux.

    Les postes clients devront utilisé votre contrôleur de domaine pour la résolution DNS.

    Après à vous de voir si les besoins en nombre d'utilisateurs nécessitent la mise en place d'un DC du même domaine sur le ou les autres sites . Sur des sites sensibles vous pouvez également utilisez des RODC pour protéger les mots de passes des comptes privilégiés.

    Attention tout de même au service hébergé sur chaque site, si vous mettez un serveur Exchange sur un site il faudra mettre également un DC.

    Essayer d'étudier différent scénario et solutions de secours pour garantir l'activité comme par exemple un lien de site qui tombe, une intervention sur un DC.

    Pour le reste il est possible de donner plus de précision si vous fournissez plus de détail sur la configuration (nombre d'utilisateur, applications ou service pour un site particulier, fonctionnement en RDP ...) 



    lundi 4 avril 2016 15:51
    |
    Modérateur

Toutes les réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Oui, il est possible de disposer d'un seul site logique (Default Site) pour plusieurs sites physique dans la mesure où la liaison est active tel un VPN LAN to LAN. la configuration du masque de sous réseau doit permettre la connectivité avec le contrôleur de domaine / DNS. Attention a la latence réseau tout de même.


    lundi 4 avril 2016 15:35
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Vous pouvez avoir un domaine unique répartie sur plusieurs sites du moment que les liens fonctionnent. 

    Vous pouvez créez l'ensemble des sites et des sous réseaux dans Active Directory même si certain site n'ont pas de DC. Vous puvez également mettre un site avec plusieurs sous réseaux.

    Les postes clients devront utilisé votre contrôleur de domaine pour la résolution DNS.

    Après à vous de voir si les besoins en nombre d'utilisateurs nécessitent la mise en place d'un DC du même domaine sur le ou les autres sites . Sur des sites sensibles vous pouvez également utilisez des RODC pour protéger les mots de passes des comptes privilégiés.

    Attention tout de même au service hébergé sur chaque site, si vous mettez un serveur Exchange sur un site il faudra mettre également un DC.

    Essayer d'étudier différent scénario et solutions de secours pour garantir l'activité comme par exemple un lien de site qui tombe, une intervention sur un DC.

    Pour le reste il est possible de donner plus de précision si vous fournissez plus de détail sur la configuration (nombre d'utilisateur, applications ou service pour un site particulier, fonctionnement en RDP ...) 



    lundi 4 avril 2016 15:51
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Oui c'est possible , sur la console site et service active directory , on peut attacher plusieurs subnet à un seul site.

    Pour votre cas , vous pouvez garder le site créer par défaut ou bien un autre site active , lui ajouter le DC du siège et lui attacher tous les subnet des autres sites (antenne1&2).

    Dans ce cas , le client va interroger le DNS pour avoir la liste des  DC dans le site ou son subnet est attaché.

    lundi 4 avril 2016 16:13
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour votre réactivité Stéphane Mendez.

    Oui il s'agira d'une connexion VPN LAN to LAN via MPLS.

    Que voulez vous dire concernant le masque de sous réseau ?

    Les clients des antennes arriveront à joindre le contrôleur de domaine hébergé sur le site du siège pour rejoindre le domaine ?



    lundi 4 avril 2016 18:21
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour votre réactivité Philippe Barth.

    J'hésite encore à mettre un contrôleur de domaine sur une des deux agences.

    Concrètement je ne vois pas bien comment faire rejoindre les postes client au domaine/DC hébergé au siège.

    Si vous avez quelques tutos je suis preneur.

    Concerant les détails:

    -siège: 45 utilisateurs / application RDS via RDWeb / partage de fichiers standards

    -antenne n°1: 15 utilisateurs / application RDS via RDWeb / partage de fichiers standards

    -antenne n°2: 5 utilisateurs / application RDS via RDWeb / partage de fichiers standards


    lundi 4 avril 2016 18:28
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour votre réactivité Thameur Bourbita.

    Avez vous un tutoriel pour cette configuration ?


    lundi 4 avril 2016 18:29
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Voir : http://pbarth.fr/node/127

    Pour les postes il suffit de les adhérer au domaine.

    Tu as des applications sur le serveur domaine2 qu'il faut déplacer ?

    lundi 4 avril 2016 18:36
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Pour pouvoir joindre les PC sur au domaine 1 il faut que tu sortes les PC du domaine actuel, puis tu configure comme DNS primaire le DC du domaine 1 (voir option DHCP si tu es en DHCP) puis tu joint le PC au domaine comme pour n'importe quel poste.

    Au niveau du partage des fichiers tu veux les conserver en local ou centraliser sur le site principale ? Si tu as des dossiers partagés sur ton DC du domaine 2 que tu veux supprimer il faut les déplacer ailleurs. 

    Remarque : l'ouverture de fichier a distance risque de poser un problème de performance si tu opte pour ce choix.



    lundi 4 avril 2016 19:05
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Je n'ai pas d'applications particulières à déplacer sur le domaine 2.

    Cela dit j'aimerais unifier le partage de fichiers et centraliser les données sur le contrôleur de domaine hébergé au siège. Vous dites qu'il y aura un problème de latence, est il possible de répliquer l'ad et l'arborescence de partage de fichiers du contrôleur de domaine principal vers un éventuel contrôleur de domaine sur le LAN de l'antenne qui possède le plus d'utilisateurs ?

    Concernant la jonction des postes clients au domaine hébergé au siège, cela ne posera pas de problème si je mets l'adresse du DC (siège) à savoir: 192.168.0.X/24 sachant que le LAN des antennes seront en 192.168.1.0/24 et 192.168.2.0/24 ? Comment le poste client arrivera à rejoindre le DC, via les tables de routages du réseau MPLS ?

    Merci pour votre aide.

    mardi 5 avril 2016 16:19
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    La partie AD ne devrait pas être la plus problématique au niveau consommation de la bande passante. Par contre si vous ouvrez et modifier un document word à travers la connexion mpls la taille du fichier passe dans un sens à l'ouverture et dans l'autre à l'enregistrement. Si vous tenez compte du nombre de document ouvert en même temps par l'ensemble des utilisateurs il est probable qu'ils n'adhère pas à cette solution.

    Il est possible d'avoir 1 dc supplementaire sur le site distant et de créer des espaces DFS avec réplication. Mais attention à la gestion des conflits si le même document est modifié à plusieurs endroit.

    Au niveau routage le poste client envoie les paquets à la passerelle qui doit gérer les routes. Ton routeur doit gérer les différents chemins.

    Il n'y a pas de problème si tu mets comme DNS primaire le contrôleur de domaine du siège (sauf si tu veux rajouter un DC en locale).

    mardi 5 avril 2016 16:41
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour votre réactivité.

    J'hésite vraiment, je ne sais pas quelle solution sera la plus adaptée.

    Une chose est sûr, il y aura bien un seul domaine local mais dois-je laisser un seul DC pour l'ensemble des 3 sites ou dois-je paramétrer un DC par site...

    Le problème majeur est la centralisation et l'accès au partage de fichiers qui pour l'instant est sur le DC du siège.

    mercredi 6 avril 2016 16:25
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Au niveau DC il est recommandé d'avoir 2 DC avec sauvegarde de l'état du système, même si techniquement lors d'une restauration on restaure le premier DC et on reconstruit les autres. Cela permet d'augmenter les chances d'avoir un backup exploitable (les RODC ne comptent pas car il ne contienne pas la totalité des infos).

    Dans ton projet le point important est la façon d'organiser les partages de  fichiers et la gestion des conflits.

    jeudi 7 avril 2016 05:02
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    De rien, avec les informations IP que vous avez donné configuré avec un masque /24, l'adresse de sous réseau est 255.255.255.0 et j'ai simplement souligné que c'est ce qui permet à tous les réseaux que vous avez cités d'avoir une connectivité et donc de joindre le domaine sans problème sans compenser par le routage de la liaison VPN MPLS d'Orange.

    Pour rappel votre question était :

    Serait il possible de faire rejoindre les machines des 2 antennes vers le domaine hébergé sur le site du siège via le VPN MPLS d'Orange ?

    Je vous ai apporté la réponse à cette question seulement ma réponse n'a pas été validée comme étant LA réponse et j'ai beau chercher je ne vois pas pourquoi surtout que celle qui a été validé ne correspond pas a votre contexte qui précise bien que vous ne disposer que d'un seul contrôleur de domaine pour l'ensemble des sites et vous parle de RODC et d'Exchange alors que la question ne se pose pas ... mais bon


    mardi 26 avril 2016 09:18
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    "qui précise bien que vous ne disposer que d'un seul contrôleur de domaine pour l'ensemble des sites "

    Non d'après ce qui est écrit il y a un domaine sur le site 1 et un autre sur le site 2 et un nas sur le site 3 . Le souhait est de n'avoir plus qu'un domaine avec un DC pour les 3 sites.

    "Oui, il est possible de disposer d'un seul site logique (Default Site) pour plusieurs sites physique"

    La question n'est pas de savoir s'il faut mettre un site logique dans l'AD.

    Effectivement cela fonctionne. Cela fonctionne égalementsi vous ne le faites pas et que vous créez 3 sites avec chacun son subnet.

    Lorsque vous ajouter un site dans AD et qu'il n'y a pas de DC vous verrez comme dans l'image ci dessous que des enregistrements SRV liant le site sans DC avec un DC d'un autre site sont créés et l'authentification fonctionne comme dans votre proposition.


    Les sites AD ne serventpas que à gérer la réplication entre les DC. On peut gérer des GPO par site ... Il y a aussi DFS https://blogs.technet.microsoft.com/askds/2011/09/16/active-directory-site-topology-not-just-for-dcs/

    Ensuite il faut garder à l'esprit que ce n'est par ce qu'on ouvre une session que l'on travail ... DC ou pas DC il faut réfléchir à l'ensemble, applicatifs et activités.

    Avec la mise en cache des dernières sessions(par défaut) un soucis sur le lien n’empêchera pas l'ouverture de session. L'utilisateur se manifestera lorsqu'il ne pourra utiliser ses applications. 

    Par contre il est recommandé(pas obligatoire) d'avoir au moins 2 DCs avec sauvegarde de l'état du système afin d'assurer des maintenances possible sur un DC et d'augmenter la réussite de la restauration AD en cas de crash. 

    mercredi 27 avril 2016 20:01
    |
    Modérateur