Active directory Haute disponibilité

Toutes les réponses

• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Dans cette situation j'obterai pour une solution en powershell, avec Exchange ça risque d'être plus délicat tout dépend ou se trouve l'application et sa base de donnée.
  

  ---

  Vers l'infini et au delà

  mercredi 27 août 2014 18:15

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Une solution qui ferait basculer les roles FSMO du GC principal vers le GC secondaire lorsque le principal n'est plus au réseau ? 

  Ça semble "compliqué" ... Je pensais que Microsoft aurait pensé a mettre en place ce genre de choses dans le code de l'active directory/windows server...

  Exchange "fonctionne" sur le second DC mais il met du temps a le détecter. Je cherches la plus rapide et la plus transparente.

  Merci

  mercredi 27 août 2014 18:35

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Pour votre besoin vous pouvez faire une sorte de NLB à qui va vous servir à la fois pour la haute disponibilité et pour la répartition de charge, voici un article qui explique comment faire, c'est pour sharepoint mais ça reste valable aussi pour Exchange.

  Bon courage.

  A+

  ---

  L’information n’a de valeur que si elle est partagée!! AK

  mercredi 27 août 2014 18:53

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  A vrai dire avec Windows Serveur 2012 peut être, c'est une problématique que je n'ai pas encore eue

  ---

  Vers l'infini et au delà

  mercredi 27 août 2014 19:01

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Merci pour lien.

  Pour ce qui est d'exchange j'ai déjà une solution en place qui me permet de load balancer mes CASs.

  C'est vraiment l'active directory que je cherche a garder toujours actif sans interruption.

  Le must serait une sort de DAG d'active directory...

  Merci

  mercredi 27 août 2014 19:01

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Active Directory est par conception disponible si vous redémarrer ou avez un soucis sur un DC l'autre doit prendre le relai, dans la mesure ou tous vos postes clients en DHCP ou en IP Fixe ont les 2 indiqués comme DNS.

  Il n'y a AUCUNE raison de se précipiter pour déplacer les rôle FSMO. Ces derniers ne sont utiles que pour certaines fonction. On ne force le transfert de rôle  que si le DC qui avait les rôles ne peut être remis en route.

  Lors de l'ouverture d'une session le poste client envoie une requète pour trouver un DC disponible parmi l'ensemble des DC, si un DC est HS il ne repondra pas et le client prendra l'autre. Si le client est en multi sites il prendra en priorité un DC du site dans la mesure ou les sites et réseaux sont bien configuré dans "sites et services AD"

  A noter que sur une forêt mono domaine mettez par défaut le rôle GC sur tous vos DC.

  
  

  • Proposé comme réponse Thierry DEMAN-BARCELÒMVP mercredi 27 août 2014 22:10
  • Modifié Philippe BarthMVP, Moderator jeudi 28 août 2014 04:26
  • Marqué comme réponse Philippe BarthMVP, Moderator mercredi 10 septembre 2014 16:17

  mercredi 27 août 2014 19:04

  Réponse

  |

  Citation

  Modérateur
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Une archi typique AD en mode HA (haute dispo) consiste à avoir deux controleurs de domaine (un principal et un secondaire), à partir du moment ou les deux DCs sont CGs, le jour ou premier est HS, les users du réseau pourront continuer à s'authentifier sur le domaine sans soucis.

  Une autre technique, consiste à monter un RODC pour avoir une copie de la base de données AD pour permettre aux users du réseau de continuer à s'authentifier en cas de pb.

  A+
  HK.

  ---

  Hicham KADIRI | Just Another IT Guy

  mercredi 27 août 2014 20:04

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Merci pour cet éclaircissement.

  En ce qui concerne Exchange, les clients déjà connecté et ceux qui utilisent Outlook, comment ça fonctionne ?

  Mes deux DCs dans ma foret mono domaine sont tout deux configurés en GC.

  J'ai l'impression que le switch d'un DC a l'autre prend beaucoup de temps dans ma configuration (1 a 5 minutes) ce qui me semble "long".

  Est ce normal ? 

  Merci

  mercredi 27 août 2014 20:14

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  En ce qui concerne Exchange, c autre chose, selon la version utilisée dans votre entreprise, il faudrait concevoir et mettre en place une infra EXCH DAG, NLB ...pour avoir des serveurs MB, CAS .. redondant.

  ça doit être transparent pour les clients déjà connecté au(x) serveur(s) exchange.

  Quant au temps de basculement, si votre config DNS est bonne, ça devrait prendre moins de temps, après ça peut dépendre de la config réseau (vitesse, config NIC).

  A+
  HK.

  ---

  Hicham KADIRI | Just Another IT Guy

  mercredi 27 août 2014 20:21

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Je parlais plus de la dépendance d'exchange avec active directory.

  Nous fonctionnons sur Exchange 2010 avec 2 CAS et 3 serveurs DAG le tout balancé par HA Proxy (NLB fonctionnait très mal avec notre environnement de machines virtuelles).

  Lorsque que je déconnecte mon DC/GC principal ,ou le secondaire d’ailleurs, le temps que les clients Oultook retrouvent la connexion est d'environ 5 minutes... Pareil pour l'owa, j'ai accès a la page d’authentification mais des que je me connecte j'ai un message d'erreur comme quoi l'AD est indisponible et 5 minutes plus tard ça revient.

  Une idée ?

  Merci

  
  

  mercredi 27 août 2014 21:00

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  de mémoire les 5 minutes, c'est le temps dont KCC a besoin (quand le deuxième DC prend le relais) pour pouvoir authentifier les users (auth Kerberos).

  Je crois qu'une clé niveau BDR peut être modifié pour changer ce délai :

  Chemin : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

  Valeur : Repl topology update delay

  A checker.

  A+
  HK.

  ---

  Hicham KADIRI | Just Another IT Guy

  mercredi 27 août 2014 21:27

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Bonsoir,

  on le répète souvent, mais il n'y a plus de primaire, secondaire depuis Windows 2000, justement pour être indépendant en cas de perte d'un DC.

  Un RODC ne permet pas d'authentifier par defaut, car il ne contient pas de copie des mots de passe!

  A+

  ---

  Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

  mercredi 27 août 2014 22:14

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonsoir,

  de 1 a 5 minutes, ce n'est pas long...

  A quel niveau détectez vous le pb?

  A+

  ---

  Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

  mercredi 27 août 2014 22:16

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  5 minutes c'est long quand les utilisateurs commencent a appeler le support parce que leur Outlook ne fonctionne plus.

  Je détecte le problème au niveau d'outlook / exchange / owa qui prennent tous bien 5 minutes a retrouver la "connexion" avec l'AD.

  Pareil au niveau utilisateur, si je veux me de-loger/re-loger avec un autre compte, la machine prends bien 2 a 3 minutes pour me connecter a ma session.

  Merci

  jeudi 28 août 2014 12:40

  Réponse

  |

  Citation