none
W2012R2 Configuration des éléments réseau pour un Contrôleur de domaine couplé d'un second contrôleur de domaine de secours. RRS feed

  • Question

  • Salut,

    J'ai un contrôleur de domaine DC.

    Je veux créer un contrôleur de domaine DCF.

    Cas 1:

    DC et DCF Fonctionnent, je ne veux pas faire tourner DCF pour rien je l’éteint.

    Je sais que je dois l'allumer de temps en temps pour qu'il se synchronise à DC ?

    Cas 2 :

    DC est en panne, j'allume DCF pour disposer d'un contrôleur de domaine et pour reconstruire DC.

    Comment faire en sorte que les clients de DC fonctionnent avec DCF comme si c'était DC (pas de perte de temps sur les timeouts pour chercher DC).

    Si DC est serveur DHCP. Comment configurer DCF pour que DHCP soit désactivé sauf si DC est eteint ?

    Enfin, 

    Comment configurer DC, DCF et la Passerelle (2012R2 routage et accès distant) pour que ça fonctionne soit sur DC, soit sur DCF, soit sur les deux si les deux fonctionnent ?

    Merci

    jeudi 2 mars 2017 14:42

Réponses





  • Cas 1:

    DC et DCF Fonctionnent, je ne veux pas faire tourner DCF pour rien je l’éteint.

    Je sais que je dois l'allumer de temps en temps pour qu'il se synchronise à DC ?

    Ce n'est pas recommandé de laisser un DC éteint. cela pourra générer des problème de réplication qui peuvent même impacter application des GPO et l'authentification des utilisateurs.
    Quand vous installer deux Dc sur le même site active directory , client va interroger le serveur DNS pour avoir la liste des DCs les plus proches , le serveurs DNS n'est pas capable de détecter quel DC est allumé il va répondre selon le principe round robin.
    Je vous invire à consulter mon article pour comprendre comment un client arrive à trouver le DC le plus proche:

    Comment Windows arrive à localiser un contrôleur de domaine le plus proche

    Cas 2 :

    DC est en panne, j'allume DCF pour disposer d'un contrôleur de domaine et pour reconstruire DC.

    Comment faire en sorte que les clients de DC fonctionnent avec DCF comme si c'était DC (pas de perte de temps sur les timeouts pour chercher DC).

    Si DC est serveur DHCP. Comment configurer DCF pour que DHCP soit désactivé sauf si DC est eteint ?

    Si vous gardez le deuxième DC éteint et le DC allumé tombe en panne , quand vous rallumer le DCF, vous n'aurez pas les dernière modification sur l'annuaire après l'arrêt de DCF. 
    Vous pouvez également rencontrer des soucis après le démarrage si la première réplication échoue.

    Pour le DCHP sur windows 2012 il existe une solution qui permet de répliquer les scope DHCP.

    Pour conclure, je vous recommande de rejeter l'idée de laisser un DC éteint. Si vous avez un budget limité et vous pouvez laisser qu'un seul DC allumé, dans ce cas vous pouvez installer un seul DC  et configurer une sauvegarde complète régulière pour le restaurer en cas de panne.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 2 mars 2017 15:51
    Modérateur
  • Merci...

    Est-il possible de créer un script qui s'exécuterait tous les jours pour sauvegarder l'AD, j'ai un gros raid à dispo avec 5 To de libre ?

    Vous pouvez utiliser l'outil gratuit Windows backup fourni par le système d'exploitation:

    AD DS Backup and Recovery Step-by-Step Guide Updated: July 15, 2010


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 2 mars 2017 16:34
    Modérateur
  • Je comprends... En fait il y a deux sujet en 1.

    Le premier concerne mon petit réseau perso qui évolue depuis plusieurs années et qui doit consommer un minimum d'énergie mais toujours avoir une capacité à être restauré (c'est pourquoi j'ai mis le backup AD comme bonne réponse).

    L'autre concerne l'authentification depuis un datacenter synchronisé à un contrôleur de domaine interne.

    Pour ce second sujet on a : 

    Cas 1 la personne se connecte avec son portable dans les locaux de la société sur le DC interne.

    Cas 2 la personne se connecte avec son portable depuis l'extérieur en passant par un DC externe synchro avec le DC interne et, si la route est ouverte, accede à ses fichiers sur le serveur de fichier sinon, elle y accède dans son disque local qui se synchronisera plus tard.

    Ca m'arrive tout le temps car je suis 50% du temps en déplacement, je veux toujours pouvoir travailler.

    Bonjour,

    Dans ce cas il faut choisir en fonction de l'emplacement de l'utilisateur le type de la connexion VPN. Site to Site entre les sites qui héberge les DCs, et les sites utilisateurs (locaux d'entreprise)et les sites des DCs.
    Pour les utilisateurs mobile , il faut mettre en place une solution VPN client comme Direct access pour se connecter aux serveur à travers un tunnel sécurisé.

    J'ai déjà répondu à cette question dans votre précédente question: Mise en oeuvre solution télétravail:

    Le choix de l'emplacement des DCs dépend du type de connexion utilisée par l'utilisateur.

    En effet , il y a deux type de connexion sécurisée possible utilisés par un utilisateur pour accéder au serveur :

    • Si vous avez des utilisateurs qui ont besoin de travailler lui chez ou dans un autre emplacement en dehors des locaux de l'entreprise et se connecter sur les ressources de l'entreprise à travers une simple connexion internet. Dans ce cas il faut mettre en place une solution VPN client comme par exemple Direct access.
    • Si vous avez plusieurs utilisateurs qui sont connectés depuis un local de l'entreprise, dans ce cas il faut penser à mettre en place une solution de VPN Site to site entre ce site et le site qui héberge les serveurs DC et applicatifs. et Si vous avez beaucoup d'utilisateur et pour de raison de performance , il est recommandé d'installer un contrôleur de domaine local pour réduire et optimiser le traffic réseau.

    Pour conclure, le choix de l'emplacement des DCs dépend de la connectivité et la topologie réseau, il est recommandé toujours de choisir le site qui a la meilleur liaison VPN site to site avec tous les autres sites.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 2 mars 2017 17:26
    Modérateur

Toutes les réponses





  • Cas 1:

    DC et DCF Fonctionnent, je ne veux pas faire tourner DCF pour rien je l’éteint.

    Je sais que je dois l'allumer de temps en temps pour qu'il se synchronise à DC ?

    Ce n'est pas recommandé de laisser un DC éteint. cela pourra générer des problème de réplication qui peuvent même impacter application des GPO et l'authentification des utilisateurs.
    Quand vous installer deux Dc sur le même site active directory , client va interroger le serveur DNS pour avoir la liste des DCs les plus proches , le serveurs DNS n'est pas capable de détecter quel DC est allumé il va répondre selon le principe round robin.
    Je vous invire à consulter mon article pour comprendre comment un client arrive à trouver le DC le plus proche:

    Comment Windows arrive à localiser un contrôleur de domaine le plus proche

    Cas 2 :

    DC est en panne, j'allume DCF pour disposer d'un contrôleur de domaine et pour reconstruire DC.

    Comment faire en sorte que les clients de DC fonctionnent avec DCF comme si c'était DC (pas de perte de temps sur les timeouts pour chercher DC).

    Si DC est serveur DHCP. Comment configurer DCF pour que DHCP soit désactivé sauf si DC est eteint ?

    Si vous gardez le deuxième DC éteint et le DC allumé tombe en panne , quand vous rallumer le DCF, vous n'aurez pas les dernière modification sur l'annuaire après l'arrêt de DCF. 
    Vous pouvez également rencontrer des soucis après le démarrage si la première réplication échoue.

    Pour le DCHP sur windows 2012 il existe une solution qui permet de répliquer les scope DHCP.

    Pour conclure, je vous recommande de rejeter l'idée de laisser un DC éteint. Si vous avez un budget limité et vous pouvez laisser qu'un seul DC allumé, dans ce cas vous pouvez installer un seul DC  et configurer une sauvegarde complète régulière pour le restaurer en cas de panne.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 2 mars 2017 15:51
    Modérateur
  • Merci...

    Est-il possible de créer un script qui s'exécuterait tous les jours pour sauvegarder l'AD, j'ai un gros raid à dispo avec 5 To de libre ?

    jeudi 2 mars 2017 16:29
  • Merci...

    Est-il possible de créer un script qui s'exécuterait tous les jours pour sauvegarder l'AD, j'ai un gros raid à dispo avec 5 To de libre ?

    Vous pouvez utiliser l'outil gratuit Windows backup fourni par le système d'exploitation:

    AD DS Backup and Recovery Step-by-Step Guide Updated: July 15, 2010


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 2 mars 2017 16:34
    Modérateur
  • En plus si le 2èmeDC reste éteint les changements de mot de passe dont ceux des comptes ordinateurs ne seront pas à jour. Donc si on l'allume alors que l'autre DC est HS, certains postes pourront avoir des soucis pour dialoguer avec les DCs...



    jeudi 2 mars 2017 16:35
    Modérateur
  • Je comprends... En fait il y a deux sujet en 1.

    Le premier concerne mon petit réseau perso qui évolue depuis plusieurs années et qui doit consommer un minimum d'énergie mais toujours avoir une capacité à être restauré (c'est pourquoi j'ai mis le backup AD comme bonne réponse).

    L'autre concerne l'authentification depuis un datacenter synchronisé à un contrôleur de domaine interne.

    Pour ce second sujet on a : 

    Cas 1 la personne se connecte avec son portable dans les locaux de la société sur le DC interne.

    Cas 2 la personne se connecte avec son portable depuis l'extérieur en passant par un DC externe synchro avec le DC interne et, si la route est ouverte, accede à ses fichiers sur le serveur de fichier sinon, elle y accède dans son disque local qui se synchronisera plus tard.

    Ca m'arrive tout le temps car je suis 50% du temps en déplacement, je veux toujours pouvoir travailler.

    jeudi 2 mars 2017 17:02
  • Je comprends... En fait il y a deux sujet en 1.

    Le premier concerne mon petit réseau perso qui évolue depuis plusieurs années et qui doit consommer un minimum d'énergie mais toujours avoir une capacité à être restauré (c'est pourquoi j'ai mis le backup AD comme bonne réponse).

    L'autre concerne l'authentification depuis un datacenter synchronisé à un contrôleur de domaine interne.

    Pour ce second sujet on a : 

    Cas 1 la personne se connecte avec son portable dans les locaux de la société sur le DC interne.

    Cas 2 la personne se connecte avec son portable depuis l'extérieur en passant par un DC externe synchro avec le DC interne et, si la route est ouverte, accede à ses fichiers sur le serveur de fichier sinon, elle y accède dans son disque local qui se synchronisera plus tard.

    Ca m'arrive tout le temps car je suis 50% du temps en déplacement, je veux toujours pouvoir travailler.

    Bonjour,

    Dans ce cas il faut choisir en fonction de l'emplacement de l'utilisateur le type de la connexion VPN. Site to Site entre les sites qui héberge les DCs, et les sites utilisateurs (locaux d'entreprise)et les sites des DCs.
    Pour les utilisateurs mobile , il faut mettre en place une solution VPN client comme Direct access pour se connecter aux serveur à travers un tunnel sécurisé.

    J'ai déjà répondu à cette question dans votre précédente question: Mise en oeuvre solution télétravail:

    Le choix de l'emplacement des DCs dépend du type de connexion utilisée par l'utilisateur.

    En effet , il y a deux type de connexion sécurisée possible utilisés par un utilisateur pour accéder au serveur :

    • Si vous avez des utilisateurs qui ont besoin de travailler lui chez ou dans un autre emplacement en dehors des locaux de l'entreprise et se connecter sur les ressources de l'entreprise à travers une simple connexion internet. Dans ce cas il faut mettre en place une solution VPN client comme par exemple Direct access.
    • Si vous avez plusieurs utilisateurs qui sont connectés depuis un local de l'entreprise, dans ce cas il faut penser à mettre en place une solution de VPN Site to site entre ce site et le site qui héberge les serveurs DC et applicatifs. et Si vous avez beaucoup d'utilisateur et pour de raison de performance , il est recommandé d'installer un contrôleur de domaine local pour réduire et optimiser le traffic réseau.

    Pour conclure, le choix de l'emplacement des DCs dépend de la connectivité et la topologie réseau, il est recommandé toujours de choisir le site qui a la meilleur liaison VPN site to site avec tous les autres sites.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 2 mars 2017 17:26
    Modérateur