Meilleur auteur de réponses
Replication
Question
-
Bonjour,
un client me demande de faire en sorte d'avoir une continuité d'exploitation. Il s'agit d'un hyperviseur, avec 2 VM. Une fait AD+fichiers+SQL serveur, l'autre IIS, mais peu importe je pense.
J'ai cru comprendre qu'avec Hyper-V, il n'y avait pas besoin d'avoir exactement la même configuration physique. L'important, c'est que l'hyperviseur de secours soit aussi bien en mesure de supporter les VM.
Un collègue me dit que non, il faut des machines IDENTIQUES (raid & Co). Or, ce n'est vraiment pas ce que j'ai compris en lisant l'article.
Au départ la question que je lui posais, c'était : "y a-t-il besoin de place disque en cas de basculement ? Sur le vrai, et/ou sur celui de secours?".
Et me voilà maintenant avec cette incertitude : faut-il vraiment que les machines physiques soient identiques ? (alors que je pensais qu'il suffisait qu'elles soient capables d'hyperviser ce qu'on leur demande d'hyperviser et baste...
Quelqu'un peut-il m'éclairer à ce sujet ? merci beaucoup : :-)
Christophe Kadem - L.S.E.
- Type modifié Nedeltcho PopovMicrosoft contingent staff lundi 2 novembre 2020 13:38
- Type modifié Alexis ThorezModerator vendredi 11 février 2022 10:17 Type changed
Réponses
-
Bonsoir Christophe
POur la notion de "Custom Default Policy", c'est effectivement un terme "maison". Mais la notion existe. J'explique. Si la Default Domain Policy (et même la Default DOmain Controller Policy) - Rappelons que la première contient la stratégie de mot de passe du domaine - ne te convient pas. TU peux naturellement la changer, ajouter d'autres paramètres, etc. Pas de bol, tu t'es loupé et les paramètres que tu as ajouté bride les comptes et même les compte Admin. Tu t'es coupé l'herbe sous le pied, et tu es dans le cac... POur ne pas tomber dans cette situation - qui peut arriver - MS préconise de créer ce que j'appelle une "Custom Domain Policy" (en pratique moi, je la nomme <NomDuDomain>Default Domain Polciy, mais c'est Ma convention de nommage). Je lie c'est Policy à la racine du domaine, comme la Default, et je la rend plus prioritaire que le Default (en jouant avec les petites flèches dans gppc.msc). AInsi, si jamais on faisait une grosse boulette, il nous suffit de désactiver cette Custom, et quand les GPO se rafraichiront (tous les 90 min + ou - 30 minutes, sans gpupdate) on retombera dans une situation saine.
A noter qu'il existe une commande qui permet de "reset la Default Domain Policy (voir ici : https://www.grouppolicy.biz/2011/12/how-to-reset-the-default-domain-group-policy-objects-dcgpofix/ par exemple) et qui peut également sauver la mise.
Sur ce coup-là, même Google n'est pas mon ami...
My Bad, ça m'apprendra à utiliser des termes qui me sont propres.
J'espère quand même que je ne vous ennuie pas trop avec mes questions, j'ai bien compris que ce n'était pas ce pour quoi vous êtes payé, du moins principalement. Sinon je les espace d'une par semaine ! 😬
Pas de pb pour aider. Si on le fait, c'est que cela nous plait. Tu poses une question et si on peut t'aider, on le fait bien volontiers, naturellement si on a une réponse. On - mais je peux dire je - n'avons pas la science infuse. On a juste parfois une expérience plus importante que d'autres dans certains domaines. Je suis certain que toi aussi, sur certains domaines tu as vécu des expériences diverses et variées et que tu pourrais faire la même chose.
Je suis comme toi, j'ai un boulot (dans l'informatique, tu t'en doute). Et je taf, comme un fou de 7h à 18h (min) 5/7. Ma réponse d'hier a été faite entre 6 et 7h du matin. Et oui, je ne suis pas payé par MS.
Après, il y a parfois des personnes qui parce qu'ils ont posé une question se posent comme un client et veulent et exigent une réponse et qui plus est, une réponse qui leur convient. Ceux qui répondent sont des volontaires, à part quelques entreprises mandatées par MS. Cela m'exaspère. Souvent je ne réponds pas dans ce cas, mais parfois je le fait, et puis parfois aussi cela dégénère (comme cela l'a été ici, mais c'est le passé). On a tous parfois nos sautes d'humeurs.
Il y a aussi certaines personnes par laquelle leur requête prend la forme suivante "Je veux et j'exige un script qui fasse ceci, cela". Souvent ce sont des mecs dits "pro" de l'informatique qui sont payés pour ça, mais qui ont un poil dans la main pour faire. Qu'ils aillent faire ça sur le Technet US ou sur Reddit, et ils verront comment ils sont accueillis. Ce type de demande m'exaspère et je préfère souvent ne rien répondre que péter les plombs et envoyer bouler le gus. En revanche, celui qui a pondu du code et qui rencontre une erreur d'exécution et qui n'arrive pas à comprendre pourquoi, aucun pb pour l'aider à comprendre son erreur et l'aider à apporter la correction. j'ai comme philosophie de vie (donc pro également) "donne un poisson à un Homme, il n'aura pas faim aujourd'hui, apprends lui à pécher il n'aura plus jamais faim. Je préfère lui apprendre à pécher".
Comme tout le monde, j'ai aussi mes petites lubies. Tu n'es pas un pro de l'informatique, tu découvres, tu utilises un terme technique inapproprié, j'explique gentiment que cela est inexact et qu'on doit dire "comme ceci ou comme cela". Quand c'est un mec qui se dit pro, ou dont l'IT est le métier (donc un pro), ça passe moins bien. Et dis-toi, que cela n'a rien de personnel, je rencontre réellement cela tous les jours (vraiment tous les jours) avec des mecs avec lequel je dois travailler. Quelques exemples : Lire "Contrôleur de Domaine principal et Contrôleur de domaine secondaire", ça m'exaspère (et il n'y a pas que moi). C'est n'est pas un domaine NT4, mais un domaine AD. Parler de la zone DNS qui correspond à l'AD - et qui normalement est intégrée à l'AD - et évoquer la notion de DNS primaire et secondaire, est tout aussi faux. Cette notion de DNS Primaire/Secondaire existe bien (Primaire en modif, Secondaire (s) en lecture seule), mais pas quand on parle d'une zone DNS intégrée à l'AD (tous les DNS qui portent cette Zone sont en modification). Et je pourrais multiplier les exemples. Mais je râle aussi contre les "couillons" qui ont acheté une belle bécane avec double alim (pour la redondance bien entendu) et qui en sont fiers, ... et qui ont branchés les 2 alimentations sur la même multiprise, le même PDU (Power Display Unit) dnas une baie, ou encore les 2 PDU d'une baie qui sont reliés à la même alim électrique (le dernier cas, concerne les Datacenters bien entendu).
J'essaie toujours - autant que faire se peut - de conseille les "Best-Practices". Je conçois parfaitement que parfois, pour diverses raisons (dont les finances), cela ne soit pas possible, mais il faut alors essayer de s'en rapprocher le plus.
Je te donne un exemple "Un DC, c'est DNS/DNS et rien d'autre, pas d'autres rôles". Ca c'est la Best-Practices. Pourquoi ? J'ai un DC/DNS qui vient de cramer. Je m'en tape le coquillard. La redondance est assurée par le (les) autres DC/DNS. Je construis un nouveau serveur et promotion en DC/DNS. C'est d'autant plus facile quand c'est une VM. Essayer de restorer le serveur depuis une vieille sauvegarde c'est aller au devant des pbs (j'ai pas dit qu'il ne servait à rien de sauvegarder/restorer un DC, tant que cela est fait dans les bonnes conditions, ... ce qui malheureusement est loin d'être toujours le cas ... pas méconnaissance des "opérants"). Maintenant si ton DC/DNS contient d'autres rôles, il devient unique (il n'est plus comme tous les autres DC/DNS). Et puis les rôles en sus peuvent apporter des comportements bizarre parfois.
Tu veux un exemple. Un serveur membre avec le rôle WSUS. Pour une raison ou pour une autre, il a été décidé de le promouvoir en DC/DNS. DCPromo, reboot. Les rôles DN/DNS fonctionnent bien, mais plus WSUS. En fait ce n'est pas lié à WSUS, mais à IIS qui est installé avec WSUS. IIS quand tu l'installes créé des comptes dans la base des comptes locales de la machine (les comptes IUSR et IWAM), tu dois connaitre cela. Mais quand tu passes DC, plus de base des compte locale, il n'y a plus que l'AD. Du coup, IIS et par rebond WSUS ne fonctionne plus. Plus qu'à désinstaller ces 2 composants et à les réinstaller. Chia... perte de temps alors qui si la machines avait été promue DC/DNS, finalisée puis les roles WSUS/IIS installés, pas de pb.
Notes-toi cela dans un coin, parce que tu devras y penser si tu installes SQL sur une machine qui devra être également DC/DNS. Car tu risques d'être dans le même cas de figure.
J'ai des petits clients qui ont des environnements serveurs "petits". 2 contrôleurs de domaine + DNS pour la redondance, plus un serveur membre qui tient les autres rôles nécessaires. Quels sont ces rôles ? WSUS, Console Antivirus, Print, File. Et bien, ces messieurs décident d'installer tout ou partie des dits rôles sur un des 2 DCs. - Mais pourquoi ? Ces 4 rôles sont en quelque sorte des rôles de service de fichiers. Servir des KB, des signatures/moteurs client AV, des fichiers ou "splooler" des documents avant des les envoyer à des imprimantes réseau, ce sont des services de fichier. Et cela réclame de l'espace disque, et parfois de la RAM (Spooler). Alors qu'un simple DC/DNS, un simple serveur 1U, avec peu de disque et de RAM, ca tourne. Ca ne branle rien un DC/DNS : juste répondre à des requêtes d'authentification et de résolution de nom. Pas de trafic réseau important, pas de gros travail CPU, pas d'écriture sur disque. Et sur leur DC, il n'y a pas de conf RAID (pas grave, on a la redondance des services, si un disque claque, on le change et on reconstruit). Alors que sur un serveur de fichiers, il faut des disques. Et le première cause de défaillance, ce sont les disques ... et les data, ça c'est primordial. Donc on met les disques en RAID5 pour se prémunir de la 1ère défaillance. Ben non, il nous collent des data sur des serveurs sans redondance disque. Et après, ils viendront pleurer quand un disque claquera et qu'ils perdront leurs données (car pas, ou peu, ou mal sauvegardé en plus). Et cela arrivera, si ce n'est pas demain, cela sera dans 1 mois ou dans 1 an, mais cela claquera un jour ou l'autre.
De même, pour un SQL virtualisé - mais le raisonnement est identique pour un SQL physique - il est conseillé ne ne pas mettre DB, Transaction Logs, TempDB et Système sur les même disques. Pour des questions de performance. Transaction Log et TempDB, sont fortement sollicités, DB nettement moins, et puis y a encore le système derrière. Deploie un SQL dans Azure et tu verras que le disque Transaction log est un disque rapide (SSD), alors que les disques System et DB, pas nécessairement (tout dépend de combien tu veux payer :-) ). Ne déploies pas, va juste lire les specs. :-)
D'une manière générale et pour en finir avec cette très longue prose (je vais être naze demain à 6h), rappelles-toi toujours que "les conseilleurs ne sont pas les payeurs". Tu écoutes - de préférence différents sons de cloches, et ensuite tu fais marcher ce que tu as entre les 2 oreilles et tu te fais ta propre opinion et tu prends une décision (ta décision) en fonction de la pertinence de réponse aux exigences (ce qui doit être atteint comme objectif) ou aux contraintes (matériel, budget, Impositions d'une DSI, ....).
Au plaisir de te lire, plus tard.
Olivier
- Proposé comme réponse M dakhama vendredi 11 février 2022 15:38
- Marqué comme réponse Christophe-LSE vendredi 11 février 2022 21:49
-
Philippe, Olivier, pourquoi vous dites :
Il t'est également conseillé de ne pas avoir de VM DC en stand-by (replica) ?
Par défaut il est conseillé d'avoir au moins 2 contrôleurs de domaine actif, mais bien évidemment ce n'est pas toujours le cas. AD fournit nativement des services pour assurer la disponibilité.
Au niveau des contrôleurs de domaine et de l'AD, certaines techno lié à la virtualisation n'était pas supporté avant 2012. Tu pouvais avoir des problèmes de corruption de l'annuaire comme l'USN Rollback et provoqué des objets fantômes.
A partir de 2012, des mécanismes de contrôle ont été ajouté, afin que les services AD détectent certaines de ses situations. Cela permet de supporté la virtualisation, mais cela ne veut pas dire qu'il faut user de certains de ses bénéfices sur les DCs.
Au niveau d'un serveur applicatif il peut arriver que pour une urgence on décide de redémarrer un cliché des jours précédents, ce qui est à proscrire sur un contrôleur de domaine.
D'ailleurs par principe on ne restaure jamais un contrôleur de domaine tant qu'il reste un autre contrôleur de domaine pour ce domaine vivant. La méthode est de supprimer le contrôleur de domaine HS, de nettoyer les données de l'AD sur le DC restant et de reconstruire le depuis 0 le DC HS. C'est la seule méthode qui permet vraiment de garantir la cohérence de l'annuaire entre plusieurs DCs.
Les cycles de sauvegarde d'un contrôleurs de domaine ne répond pas au même besoin que celui d'une application. Si tu restaures un annuaire AD qui a deux semaines, il y a des procédures précises à respecter comme modifier les pool RID sinon tu risques d'avoir des SID des objets créé après la sauvegarde et avant la restauration qui traine partout dans tous environement mais qui n'existe plus dans l'AD et pire le SID pourra être réattribué à un nouvel Objet.
De plus mélangé DC avec d'autres services peut vraiment créer des problèmes. Cela rend les scénario de migration futurs compliqués en rajoutant des risques la ou il n'y a pas de raison d'en avoir.
Un deuxième DC allumé tu peux vérifier son état, un réplica d'un DC tu n'en es pas sur.
Le seul cas un peu particulier est une forêt mono domaine avec un seul contrôleur de domaine, ou le risque d'intégrité entres les contrôleurs de domaine n'existent pas, mais il n'y a pas de disponibilité native. A chaque mise à jour et reboot du serveur pour des mises à jours ou pour une modification de l'application tu bloques pas mal de chose. De plus il faut bien que tu gères l'ordre de démarrage de tes services, car beaucoup de services peuvent dépendre de l'AD et doivent démarrer après que l'AD soit en service.
Il y a aurait encore pas mal de détail à ajouter...
- Proposé comme réponse M dakhama vendredi 11 février 2022 15:38
- Marqué comme réponse Christophe-LSE vendredi 11 février 2022 16:15
Toutes les réponses
-
Il est préférable d'avoir des génération de processeur identique.
un client me demande de faire en sorte d'avoir une continuité d'exploitation
Tu veux de la continuité sans interruption et action ou tu veux un basculement ?
Une fait AD+fichiers+SQL serveur, l'autre IIS, mais peu importe je pense.
Quel OS pour le contrôleur de domaine ? Avant 2012 la virtualisation n'est pas pleinement supporté dont entre autre les snapshot sur les VMs.
Pour le rôle AD c'est natif avec au moins deux contrôleurs de domaine. Il n'est pas recommandé de cumuler.
-
bonjour Christophe-LSE
Comme l'a dit Philippe, il manque des infos sur les OS des hyperviseurs.
Mais déjà quelques remarques :
- [...Une fait AD+fichiers+SQL serveur...] : Pas dans les best-pratices ça. Un DC c'est AD/DNS et rien d'autre.
- [...une continuité d'exploitation....] : On ne peut pas avoir de continuité d'exploitation
avec Hyper-v comme outil d'administration. Réprise d'exploitation oui, mis pas continuité. SI tu veux de la contunuité, cela passe par SCVMM qui offre des possibilités de reprise. Continuité = bascule automatique des VMs sur un autre host en cas de
désastre sur un host.
Nota : Si on fait un parallèle avec un environnement de virtualisation VMWare. On peut administrer des Esx, sans Vcenter, on pourra même avoir de la reprise d'exploitation, mais pour la continuité, c'est Vcenter obligatoire ... et avec la bonne édition (différences de fonctionnalités selon les éditions).
On peut cependant concevoir un script qui en cas de désastre sur un host, demanderait à l'autre de basculer les VMs sur l'autre host (failover). Cela passe par la configuration du failover entre les hosts.
https://4sysops.com/archives/free-disaster-recovery-solution-with-hyper-v-replica-2019/
https://www.emmanuelrached.com/2015/12/09/hyper-v-replica-vms-failover-powershell/
cordialement
Olivier
-
Bonjour Philippe, merci pour la réponse !
Il faut faire en sorte que si ça brûle là où se trouve le serveur, par connexion VPN, on soit capable d'avoir un relais.
C'est du VPN haut débit. Au départ, lors de la mise en place, ce sera de l'ethernet, puis ce replica partirait vers d'autres horizons.
C'est Windows 2019 server, hôte comme VM.
Pour l'AD, la VM (2019) est le serveur principal, et il y a un AD de secours en 2012, ils communiquent très bien. Le niveau fonctionnel des 2 est donc OK.
Donc il faut que même si le serveur hôte actuel est détruit (et le 2012 à côté), le travail puisse se poursuivre automatiquement.
Cela est-il possible ?
Christophe Kadem - L.S.E.
-
Pour l'AD, la VM (2019) est le serveur principal, et il y a un AD de secours
Pour la partie AD il n'y a pas de serveur principal et de secours. AD est multimaitre et il gère l'absence d'un Contrôleur de domaine nativement. Ca fait peut être pointilleux, mais c'est source de pas mal de confusion dans les discussions.
Par contre au niveau DNS il y a un primaire et un secondaire. Les serveurs membres et postes clients doivent utilisé au moins deux serveurs DNS.
Comme déja dit , il n'est pas recommandé de cumuler les rôles AD avec d'autres rôles applicatiif comme SQL Serveur par exemple, cela va également te compliquer les opérations de PRA, certaines questions sur les sauvegardes, et les migrations futurs.
Pour poursuivre le travail en cas de crash il ne sufit pas de pouvoir ouvrir une session, qu'as tu prévu pour le SQL ?
- Modifié Philippe BarthMVP dimanche 27 septembre 2020 19:57
-
Bonjour Christophe-LSE,
Si vous avez trouvé une solution à votre problème, merci de la partager avec la communauté TechNet ou "Marquer comme réponse" les réponses qui ont résolu votre problème.
Je vous remercie par avance pour votre retour.
Cordialement,
NedeltchoVotez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.
-
Philippe, ainsi qu'Olivier, bonjour, et merci pour vos réponses. Me revoilà sur cette affaire.
J'ai du mal à comprendre un truc : comment les serveurs AD (on prend le cas 2019) peuvent-ils être tous identiques alors que la commande netdom query fsmo te retourne UNE certaine machine AD ? (par rôle)
Et les transferts de Maîtres d'opérations, je peux comprendre : si tu enlèves un ancien serveur, et qu'il n'y a qu'un AD, je conçois de transférer les rôles. Et encore ! s'ils sont vraiment égaux, le fait d'en enlever un, même définitivement, ne serait pas censé être un problème. Pas propre certes, mais.. dans l'absolu, quoi.. tout cela je ne comprends pas bien.
SINON :
je n'aurais pas dû parler de basculement, ou continuité. Non, je veux juste que si le client se fait voler tout son matériel, on puisse tranquillement faire en sorte, à l'autre bout du VPN, de commander sa petite bascule depuis l'hôte réplica.
Par ailleurs il y a autre chose qui n'est pas clair pour moi : ils ne sont pas dans le même sous-réseau, bien entendu. Si lors de la bascule, il récupère la même IP que l'original, cela ne risque pas de marcher... Savez vous comment cela se gère, en fait ?
Quant au SQL, je pense savoir comment m'y prendre. Il y a du côté du réplica, une machine RDS identique, qui peut déjà être cliente pré paramétrée de la VM SQL basculée.
Merci à vous.
Christophe Kadem - L.S.E.
-
J'ai du mal à comprendre un truc : comment les serveurs AD (on prend le cas 2019) peuvent-ils être tous identiques alors que la commande netdom query fsmo te retourne UNE certaine machine AD ? (par rôle)
Cela dépend du sens que tu donnes aux mot identiques. Tous les contrôleurs de domaine sauf les RODC sont acessible en écriture et tous sont en mesure de fournir les services d'authentification pour tous les comptes du domaine.
Certaines opérations spécifique comme par exemple fournir un pool de RID disponible à un contrôleur de domaine ne sont exécuté que par un seul DC. Ces services qui ne sont fournis que par un seul DC sont les rôles FSMO. 2 aux niveaux de la forêt et 3 aux niveaux du domaine.
e n'aurais pas dû parler de basculement, ou continuité. Non, je veux juste que si le client se fait voler tout son matériel, on puisse tranquillement faire en sorte, à l'autre bout du VPN, de commander sa petite bascule depuis l'hôte réplica.
Je n'ai pas compris ce que tu veux faire. Par ailleurs il y a autre chose qui n'est pas clair pour moi : ils ne sont pas dans le même sous-réseau, bien entendu. Si lors de la bascule, il récupère la même IP que l'original, cela ne risque pas de marcher... Savez vous comment cela se gère, en fait ?
La bascule de qui ? d'un poste client d'un DC ?
C'est quoi le but ? Il n'y a pas de DC en standby dans l'AD, il n'y a pas de bascule des contrôleurs de domaines. Ils est impératifs que les contrôleurs de domaine répliquent entre eux.
Il s'agit d'un hyperviseur, avec 2 VM. Une fait AD+fichiers+SQL serveur, l'autre IIS, mais peu importe je pense.
L'exemple de ce qu'il ne fautJAMAIS faire ... Jamais d'applicatif sur les DCs ,
Si tu as déja un hyperviseur tu fais des contrôleurs de domaine dédiés,
- Modifié Philippe BarthMVP mercredi 9 février 2022 15:00
-
Merci Philippe,
je dois vraiment mal m'exprimer.Ou alors tu n'as pas tenu compte dans ta dernière réponse, des messages précédents...? (où tu me disais qu'on doit faire d'un srv AD... un serveur uniquement dédié à l'AD).
Mais cela je sais que vous, vous ne voulez pas tenir compte du fait qu'on a une boîte à faire tourner, avec des tailles plus ou moins grandes de clients c'est vrai, et que si tu leur dis qu'ils doivent acheter des milliers et des milliers d'Euros en plus pour avoir des licences Windows en plus, le client ira voir ailleurs, où il aura peut être même un serveur bien pourri même pas HP, et de notre côté, la boîte où je bosse, elle se casse la figure.
Ce n'est pas pratique...
Et après je peux plus acheter à manger chez Super U pour ma famille et je ne peux plus rembourser l'emprunt de la maison). Alors que nos configs, ne se cassent pas la figure. Et nous sommes plein de prestataires à mélanger DC avec autre chose, sur ce site comme d'autres mais pas tous, et ça marche très, très bien et depuis longtemps. C'est du HP bien balaise en proc', en RAM, en disques rapides, et ça tient très bien. Je ne parle pas des sauvegardes qui tournent tous les jours, une bonne image totale du serveur.
Comprendrez vous cela un jour, chez Technet ? :-) je ne m'agace pas mais j'essaie de faire passer un message assez réaliste.
Je disais, mais tu n'as peut-être pas relu ce qui était plus haut, que :
-J'ai une VM serveur DC + fichiers (VHDX à part) + SQL (pitié ne redis pas que c'est pile ce qu'il ne faut jamais faire :-) )
- Une VM IIS à part,
- deux VM Serveur de dématérialisation. (prod + tests devs en cours)
Et je veux faire une bascule-si-besoin-genre-vol-ou-incendie-de-tout-ça (manuellement), et je demandais à l'époque si il fallait des machines strictement identiques. Et vous m'aviez répondu.
pas du tout des postes clients...(???)
Je viens de trouver la réponse pour le problème TCP/IP, qui serait à l'autre branche du VPN (pas le même adressage IP, mais c'est recopié lors de la bascule).
MAIS EN FAIT :
Quand on va dans les paramètres des VM originales, et qu'on déroule "Carte Réseau", on a moyen de définir une IP de basculement, passerelle, DNS1, DNS2, etc... ça c'est le bonheur !
Bon ben... finalement, je n'ai plus rien à demander, au bout du compte.
En tous cas merci pour la promptitude, Philippe. Et merci de t'être donné la peine de répondre bien sûr. Goodbye !
ChristopheChristophe Kadem - L.S.E.
-
Bonjour,
Concentrix(MSFT CSG)6,830 Points- et une petite photo ! :-)
en fait désolé, je ne trouve pas où on cite telle réponse comme une réponse la plus utile.
Pourrez-vous m'aiguiller
Merci, bonne soirée;
Christophe
Christophe Kadem - L.S.E.
-
Mais cela je sais que vous, vous ne voulez pas tenir compte du fait qu'on a une boîte à faire tourner, avec des tailles plus ou moins grandes de clients c'est vrai,
C'est plus vraiment réaliste avec des serveurs virtuels, ... perso cela me dérange moins de mettre SQL et IIS que AD et SQL.
par contre c'est important que tu explique les choix aux clients, il en restera responsable ...
Je n'ai effectivement pas relu les messages précédent avant de répondre.
-J'ai une VM serveur DC + fichiers (VHDX à part) + SQL (pitié ne redis pas que c'est pile ce qu'il ne faut jamais faire :-) )
C'est un forum ouvert à tous et les réponses faites à une personne peuvent aider les autres ou les induire en erreur. Je ne répond jamais que pour la personne qui pose une question. Il n'y a aucun reproche personnel et je ne connais ni le client, ni le dossier.
Et je veux faire une bascule-si-besoin-genre-vol-ou-incendie-de-tout-ça (manuellement),
Tu parles d'un réplica de la VM ? Il est préférable pour la continuité de service d'avoir 1 DC actif sur chaque site plutôt que de répliquer un DC. Pas de bascule à faire, c'est natif dans l'AD.
Pas sur d'avoir bien compris ton environnement.
-
@Philippe,
Rassures-toi, je t'ai très bien compris de mon côté tes explication. Ce monsieur ne semble pas comprendre la différence en AD et DC, que font les DCs et comment cela fonctionne. Quand aux Best-Practices qui lui sont conseillées, sa seule réponse est "trop cher, ... maison à payer, risque que le client aille voir ailleurs, ..." : on parle de quoi là ? De VMs ! On lui conseille de ne pas mélanger les rôles DC avec d'autres rôles et il rétorque "on a toujours fait comme cela et cela fonctionne nickel".
Tu lui as indiqué de répartir les rôles différemment, même cela il est passé à côté.
Laisse tomber. Il n'y a pas pire sourd ... je souhaite à son client de ne jamais avoir de problème. Mais lui, il n'aura sans doute jamais de pb, il vient, il installe, se fait payer et va voir ailleurs. Il n'exploite pas, les problèmes ne vont pas lui tomber dessus par la suite. Et après, on appelle cela du service, je me marre.
Comprendrez vous cela un jour, chez Technet ? :-) je ne m'agace pas mais j'essaie de faire passer un message assez réaliste.
Agressif le monsieur. Il demande de l'aide et après il se plaint que des personnes essaient de le conseiller. Quand au message réaliste, il repassera.
Je suis certain, que comme moi, tu as déjà eu des clients qui demandait le beurre, l'argent du beurre, et le c.. de la crémière, mais il fallait que cela ne coûte que 3 francs 6 sous et c'est toi qui devait exploiter après. Bah, c'est "désolé monsieur le client, personne ne pourra répondre à toutes vos exigences sans mettre un peu d'argent sur la table, et je vous explique pourquoi. Après, c'est soit vous revoyez certaines exigences, soit ce n'est pas possible". Et quand tu tombes sur ce type d'infra désignée à l'arrache, tu en baves un max pour tout faire repartir en perdant le minimum de choses en cas de désastre. Et comme tu le sais, Murphy n'est jamais loin. :-)
-
Cher Oliv the Frog.
Je n'aime pas beaucoup ta condescendance. Quand on a de telles répliques un peu gonflées d'orgueil mal placé, on ne se permet pas de donner des leçons, du style "un peu agressif le monsieur". regarde bien comment c'est tourné ce que je dis où tu me dis agressif. Je préfère avoir affaire à Philippe, ses réponses sont bien plus saines, cela me va très bien. Merci, Philippe, pour ces précisions, par ailleurs.
Il n'y a pas de quoi faire un plat et parler de profil par rapport à moi et sortir "il est sourd le monsieur" ou je sais pas quoi. La réalité de voir un client partir ailleurs parce que c'est moins cher et tant pis si c'est VRAIMENT merdique pour le coup sa config chez un confrère, tu ne connais pas ? ce n'est pas réaliste? ah ouais ??? MDR !!
Je ne peux pas vous expliquer TOUT le site, c'est trop compliqué, j'ai bien un DC de secours physique sur place, je l'avais déjà dit. Les serveurs en VMs répliquées sur une branche de leurs VPNs intersites, c'est très bien. ça fait parfaitement le taf.
... maison à payer, risque que le client aille voir ailleurs, ..." : on parle de quoi là ? De VMs ! On lui conseille de ne pas mélanger les rôles DC avec d'autres rôles et il rétorque "on a toujours fait comme cela et cela fonctionne nickel".
Tu lui as indiqué de répartir les rôles différemment, même cela il est passé à côté.
(<= même cela il est passé à côté" ???? , c'est bien c'est très pro ta façon d'être).
ça fait des lustres que je connais ces directives, je n'ai jamais sous-entendu dans tout ce que j'ai dit, que je ne savais pas tout cela. Ma réponse n'était pas sur ce point. Tu piges la subtilité ? non peut-être pas, parce que tu ne lis pas attentivement. Je pense que tu n'es pas quelqu'un de posé. Et au lieu de voir de l'humour quelquepart, tu te vois tout de suite agressé.
On lui conseille de ne pas mélanger les rôles DC avec d'autres rôles et il rétorque (bravo encore) 'on a toujours fait comme ça"
Naaaan ....na na nan Tsk tsk tsk... (je prends un peu ton style c'est plaisant hein?) ça non plus j'ai pas dit. J'ai pas dit "on a toujours fait comme ça !!!"... pfffff.... tu es assez agaçant, et très, très suffisant.
laisse moi tranquille va t'affirmer si tu en as besoin, mais ailleurs qu'ici, franchement, non ?
Je rappelle :
- que j'ouvrais JUSTE une parenthèse sur le fait que les technet, ils revenaient tout le temps sur ce truc, quand tu as une question précise sur autre chose. Et que ce n'était pas toujours si facile de faire acheter des licences Windows à gogo. Avec un peu d'humour (sans prétention)
- que ma SEULE question, c'était sur s'il y avait besoin de machines absolument identiques entre le serveur et son réplica
- qu'ensuite j'ai évoqué un problème IP, mais que j'ai finalement signalé que j'avais trouvé quelquechose.
- Et voilà comment ça finit, tout ça parce que quelqu'un se mêle en montant sur ses grands chevaux POUR AUCUNE RAISON, en disant sans me parler directement que je suis sourd, et autres éléments assez désobligeant, et ne comprenant ni mes propos et les déforme, ni quand je déconne un peu en râlant. Je suis vraiment pas content de ça.
Je sais ce que c'est AD, je sais ce que c'est un DC, quand je mélange les 2 dans mes propos sans faire gaffe, je ne vois pas qui ne comprend pas. Ah si ! celui qui fantasme sur l'ignorance des autres par rapport à lui, question d'ego encore...
Merci encore tout de même Philippe, pour ton amabilité et humilité ni trop ni trop peu pour ce qui te concerne.
Christophe Kadem - L.S.E.
-
Bonjour Christophe,
Tes questions, ou tes propos en italique.
J'ai cru comprendre qu'avec Hyper-V, il n'y avait pas besoin d'avoir exactement la même configuration physique.
Les 2 Hosts peuvent avoir des conf. hardware différentes, cependant il est conseillé d'avoir le même type de processeur (on ne mélange pas un amd avec un intel par exemple). Le reste du hardware peut être différent tant un quantitatif qu'en qualitatif.
L'important, c'est que l'hyperviseur de secours soit aussi bien en mesure de supporter les VM.
Heu, comment dire cela gentiment, ... bien entendu. :-)
Un collègue me dit que non, il faut des machines IDENTIQUES (raid & Co). Or, ce n'est vraiment pas ce que j'ai compris en lisant l'article.
Tu as tout à fait raison, ton collègue t'a raconté des balivernes. Ce qui vaut pour ton collègue, vaut aussi ici, à savoir, "les conseilleurs ne sont pas les payeurs".
Au départ la question que je lui posais, c'était : "y a-t-il besoin de place disque en cas de basculement ? Sur le vrai, et/ou sur celui de secours?".
Tu avais pourtant tout vu, 2 questions plus haut (l'important c'est que l'hyperviseur soit en mesure de ...".
Pourquoi cette question ? Une VM quand elle tourne, ça consomme des ressources du host (RAM, CPU), mais aussi du disque (vhdx), mais une VM qui est en stand-by, si cela ne consomme rien en terme de CPU et RAM sur le host, ça consomme toujours du disque pour le vhdx.
Et me voilà maintenant avec cette incertitude : faut-il vraiment que les machines physiques soient identiques ? (alors que je pensais qu'il suffisait qu'elles soient capables d'hyperviser ce qu'on leur demande d'hyperviser et baste...
Tu as ta réponse. Totalement identique non. Capable de, oui.
J'ai du mal à comprendre un truc : comment les serveurs AD (on prend le cas 2019) peuvent-ils être tous identiques alors que la commande netdom query fsmo te retourne UNE certaine machine AD ? (par rôle)
Et après, tu dis connaitre le fonctionnement de l'AD. Je suis désolé, mais tu as des lacunes. La commande passée, comme l'a expliqué Philippe ne retourne que les rôles FSMO, roles qui sont détenus par une machine unique. Lles rôles peuvent être répartis sur des machines différentes, c'est d'ailleurs conseillé par MS, les 2 de forêt sur un DC, les 3 de domaine sur un autre DC (pour le dit domaine bien entendu).
Et les transferts de Maîtres d'opérations, je peux comprendre : si tu enlèves un ancien serveur, et qu'il n'y a qu'un AD, je conçois de transférer les rôles. Et encore ! s'ils sont vraiment égaux, le fait d'en enlever un, même définitivement, ne serait pas censé être un problème. Pas propre certes, mais.. dans l'absolu, quoi.. tout cela je ne comprends pas bien.
Ce n'est pas "Un AD", mais "un DC" dans ce que tu veux dire. En complément de ce qu'a écrit Philippe, les Dcs qui tiennent des rôles FSMO ne sont pas en permanence sollicité. Tu pourrais très bien perdre le DC qui tient les rôles Maitre du schéma, Maitre d'infrastructure, Maitre RID, ... et ne rien voir - en terme d'impact - pendant des mois. Le PDCEmulator, ça risque d'être nettement plus rapide. Pour faire simple, disons que pour certaines opérations spécifiques, les DC - qui sont tous égaux - s'adressent à un sage (un maitre d'opérations fsmo) et c'est lui qui donne la bonne parole.
-J'ai une VM serveur DC + fichiers (VHDX à part) + SQL (pitié ne redis pas que c'est pile ce qu'il ne faut jamais faire :-) )
Alors cela, j'avoue que je n'ai rien compris. Tu as une VM qui fait DC +SQL que viennent faire les fichiers de VM dans l'affaire ? Pour les Data du SQL que tu stockes sur un autre vhdx je pense. Mais cela ne change rien, ta VM tient toujours 2 roles DC + SQL , ce que l'a rend unique- par rapport aux autrres DCs.
Et je veux faire une bascule-si-besoin-genre-vol-ou-incendie-de-tout-ça (manuellement),
Philippe t'a répondu. Une VM DC en stand-by cela n'existe pas. Une VM SQL oui, mais pas DC. C'est une raison de plus pour ne pas mélanger les rôles DC et SQL sur la même machine (même virtuelle).
Mais cela je sais que vous, vous ne voulez pas tenir compte du fait qu'on a une boîte à faire tourner,...
Ha bon, crois-tu vraiment ? Donc, si on va dans ce sens, parce que tu as une boite à faire tourner, tu dois prendre du pognon à ton client, ... quitte à faire n'importe quoi, ... tant que ça tient tant que tu seras sur ton affaire ... après si cela part en vrille quelques temps plus tard, ce n'est pas grave. En clair : tous les moyens sont bons pour avoir du pognon.
Et après je peux plus acheter à manger chez Super U pour ma famille et je ne peux plus rembourser l'emprunt de la maison).
Et tu continue dans le style tous les moyens sont bons pour arriver à mes fins.
Alors que nos configs, ne se cassent pas la figure. Et nous sommes plein de prestataires à mélanger DC avec autre chose, sur ce site comme d'autres mais pas tous, et ça marche très, très bien et depuis longtemps.
Quand j'écris un peu plus loin "on a toujours fait comme cela et cela fonctionne nickel", je parlais de cette phrase de ta part. Aurais-je du la comprendre autrement ? Ce type de réflexion, je l'entends tous les jours, si si ce n'est pas une galéjade de ma part, et ma réponse est toujours la même : "ce n'est pas parce que tu fais comme cela depuis 20 ans, et que c'est encore possible de le faire, qu'il faut faire comme cela de nos jours". Pour calmer et dépassionner le sujet, je vais te donner un exemple. J'ai un client qui avait modifié la Default Domain Policy (ce qui n'est pas une Bonne pratique, on crée une Custom Default Domain Policy et on la rend plus prioritaire de la Default, mais passons), avec une stratégie de mots de passe de 3 caractères sans complexité en plus. Sa réponse : "j'ai toujours fait comme cela". Certes, il a, toujours fait ainsi. Certes il peut encore le faire. Mais le doit-il ? Je pense que tu as suffisamment de connaissance pour savoir qu'un mot de passe non complexe de 3 caractères est plus qu'insuffisant de nos jours.
Tout cela pour dire au final que tu viens avec tes questions - c'est normal le forum est fait pour cela cela - puis tu reproches à ceux qui te lisent et te répondent de ne pas lire,/comprendre ton besoin (mais tu oublies qu'un besoin exprimé clairement est un besoin qui sera plus facilement compris), normal, c'est toujours la faute de l'autre.
Ou encore tu reproches qu'on ne te fournisse pas LA réponse que tu attends même quand celle-ci est une aberration technique. Cerise sur le gâteau, quand Philippe t'explique qu'on ne doit pas installer d'autres rôles sur un DC, tu réponds pas "famille à nourrir, traite à payer, boite à faire tourner... licences Windows supplémentaires". Mais qui ne lit pas bien ? Il t'est conseillé de répartir les rôles sur tes VMS différemment, pas d'acheter de nouvelles licences. Il t'est également conseillé de ne pas avoir de VM DC en stand-by (replica) et encore une fois, tu ne lis pas, car ce n'est pas ce que TU veux. Et quand je réponds à Philippe sur ta compréhension et ton attitude, c'est moi qui suit puant de condescendance, qui ait un égo surdimensionné et tout et tout. Je n'ai pas la science infuse, j'en apprends tous les jours et ce depuis plus de 20 ans, et il y a des tonnes de choses que je ne sais pas ou que je n'ai jamais abordées, ... mais j'essaie de ne pas raconter de conner... autant que faire se peut. Et ce que je sais, je le partage ici et ailleurs, volontiers. J'avoue cependant que parfois, j'ai des mouvements d'humeur fasse à certains comportements qui m'exaspèrent particulièrement : ceux qui sont du style "il n'y a pas pire sourd que ...".
Pour finir, Christophe, comme cela semble être ton métier et que tu es payé pour cela, contrairement à ceux qui prennent sur leur temps personnel pour te répondre mais qui ont un métier par ailleurs, fais donc le métier pour lequel tu es payé. Essaie juste de le faire bien et de ne pas te contenter de prendre du pognon à ton client.
-
Salut,
Quand je demande s'il faut de la place, je demande si il faut avoir en rab de place de place dispo autant que celle prise minimum, ou partie, je ne savais pas. C'était ça ma question.
Pour le reste, je vais relire, et non, je sais ce que c'est un AD je sais ce que c'est un DC. Sinon je pourrais pas avoir gardé mon boulot. Tu imagines, monter des réseaux, livré à soi-même chez un client, et ne pas savoir la différence entre "AD" et "DC" ?
Je sais que sur les rôles FSMO, je n'ai pas tout qui monte en RAM dès que le réveil sonne, quoi est "forêt" et quoi est "Domaine" parmi ces rôles, mais faut pas exagérer. Je relirai ton dernier mail sur les précisions, et celles de Philippe. Hier difficile journée.
Je ne suis pas du genre (je ne suis qu'un pauvre petit salarié) à prendre du pognon. Avec les clients, si tu les perds, tu coules. Je te le redis : Si tu es trop cher, le client s'en tape : il va voir ailleurs. Il va même aller chez un concurrent moins cher, fort de tout ce qu'il a appris chez nous après qu'on lui a étudié son dossier.
Les clients d'ailleurs, deviennent pour grande part, assez exigeant, voire du genre un peu gonflés, sans scrupule. Pas tous heureusement.
Je suis extrêmement prévenant avec les clients, mes collègues aussi d'ailleurs.
Essaie de tenir compte de ce que je te réponds là. Pour le reste, je vais relire ton message plus attentivement plus tard (j'ai des clients à rappeler), car j'ai vu qu'il y a des choses intéressantes. Et je te répondrai et te redemanderai des précisions. Enfin toi ou Philippe, ou quiconque autre selon vos dispos, je ne sais pas bien sûr.
A+ Olivier, merci pour la dernière réponse.
Christophe Kadem - L.S.E.
-
@oliv
c'est d'ailleurs conseillé par MS, les 2 de forêt sur un DC, les 3 de domaine sur un autre DC (pour le dit domaine bien entendu).
Je ne sais pas d'où vient ce conseil, si souvent rencontré, si tu as un lien chez Microsoft je suis preneur...
Pour moi je reste sur :
Prenons en compte les facteurs suivants dans vos critères de sélection :
-
Il est plus facile de suivre les rôles FSMO si vous les hébergez sur moins d’ordinateurs.
...
-
Placez le maître de schémasur le PDC du domaine racine de la forêt.
-
Placez le maître d’attribution de noms de domaine sur le PDC racine de la forêt.
-
Placez le PDC sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine réplica dans le même site et domaine Active Directory.
-
Placez le master RID sur le domaine PDC dans le même domaine.
Placez le PDC sur votre meilleur matériel dans un site hub fiable
Perso j'ai les 5 rôles du domaine racine sur le même contrôleur de domaine. Tous les DCs sont catalogues globaux....
-
-
Olivier,
Il n'est déjà pas simple de faire son boulot, investiguer partout sur le net, pour avoir les réponses les plus claires, et écrire sur Technet tout en formulant le tout. Parce que tu es pressé, que tu es attendu sur d'autres choses (et que je précise tu n'as pas envie de bosser après dîner à la maison pour que tout se passe bien quand il y a un problème à résoudre, car ça m'arrive suffisamment souvent. Mon "record" c'est 3:30 du mat')
Seulement, mettre mon SQL avec un IIS, je ne peux pas. Parce que cette installation est selon des prérequis précis de chez Cegid pour ne pas le nommer. ça peut être monoserveur jusqu'à un certain nombre de clients, nombre de bases (X un certain nombre de WorkerProcesses), et ça peut être Multiserveur dans les autres cas.
La config OBLIGATOIRE Multiserveurs, c'est
- Un serveur IIS (ou plus, pour faire une ferme de serveurs applis)
- AILLEURS : Un serveur SQL. "Où vous voulez, mais ailleurs".
Quand on a équipé un client depuis longtemps, on ne peut pas forcément tout mettre à la poubelle et refaire dès que Cegid nous apprends qu'on installe leur produit comme ça et pas autrement. Notamment en contrat leasing/loc renouvelé tous les 4 ans. Ce n'est pas si simple.
Alors maintenant que j'ai précisé ça, je mets dans quelle VM pas achetée (licence Windows), mon serveur SQL ?
Merci de ta/votre (en comptant Philippe) future réponse
@+
Christophe
Christophe Kadem - L.S.E.
-
PS :
Je fais petit à petit. Je J'aimerais bien pigé vos précisions sur les rôles FSMO, avec la réponse de Philippe. Alors je vais relire plus tard, et après bien lu, je poserai ma ou mes kwestcheunes.
Et aussi, je veux piger où ça j'ai une lacune sur ces aspect des choses (je n'ai pas compris pourquoi tu dis ça Olivier, même si ça doit être vrai)
A+ encoreChristophe Kadem - L.S.E.
-
Philippe, Olivier, pourquoi vous dites :
Il t'est également conseillé de ne pas avoir de VM DC en stand-by (replica) ?
Pour quelle raison ? Pourquoi ce ne serait pas conseillé ? ma VM AD + SQL + fichiers 😶 (pas fichiers SQL mais les partages de docs, mais pas tous le plus gros est sur NAS), elle est répliquée toutes les 15 minutes ... moi je pige pas... vous aurez une réponse ?
Olivier, je ne trouve pas la notion Custom Default Domain Policy (pour rendre prioritaire celle-ci ensuite).
Sur ce coup-là, même Google n'est pas mon ami...
J'espère quand même que je ne vous ennuie pas trop avec mes questions, j'ai bien compris que ce n'était pas ce pour quoi vous êtes payé, du moins principalement. Sinon je les espace d'une par semaine ! 😬
Christophe Kadem - L.S.E.
-
et pour répondre à ta question, puisque j'ai l'habitude d'intervenir chez les PME et les préstataire oui c'est monnaie courante, tu pourras bien faire un deuxieme Hyper-V, et activer la réplication rien ne t'empêche de le faire, une fois le premier HS, tu pourras utiliser les memes licences ou démarrer simplement le second, en attendant de réparer le premier.
pour cela il suffit que la taille du disque soit supérieur : logique.
la RAM aussi
et que les processeurs soient de meme famille, Xeon avec Xeon et I7 avec I5/i7 avec une légere différence de génération.
Voici quelques liens qui te seront utile :
Configurer le réplica Hyper-V | Microsoft Docs
Hyper-V mise en place de la réplication entre deux hôtes - RDR-IT
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Modifié M dakhama jeudi 10 février 2022 22:13
-
Bonsoir Christophe
POur la notion de "Custom Default Policy", c'est effectivement un terme "maison". Mais la notion existe. J'explique. Si la Default Domain Policy (et même la Default DOmain Controller Policy) - Rappelons que la première contient la stratégie de mot de passe du domaine - ne te convient pas. TU peux naturellement la changer, ajouter d'autres paramètres, etc. Pas de bol, tu t'es loupé et les paramètres que tu as ajouté bride les comptes et même les compte Admin. Tu t'es coupé l'herbe sous le pied, et tu es dans le cac... POur ne pas tomber dans cette situation - qui peut arriver - MS préconise de créer ce que j'appelle une "Custom Domain Policy" (en pratique moi, je la nomme <NomDuDomain>Default Domain Polciy, mais c'est Ma convention de nommage). Je lie c'est Policy à la racine du domaine, comme la Default, et je la rend plus prioritaire que le Default (en jouant avec les petites flèches dans gppc.msc). AInsi, si jamais on faisait une grosse boulette, il nous suffit de désactiver cette Custom, et quand les GPO se rafraichiront (tous les 90 min + ou - 30 minutes, sans gpupdate) on retombera dans une situation saine.
A noter qu'il existe une commande qui permet de "reset la Default Domain Policy (voir ici : https://www.grouppolicy.biz/2011/12/how-to-reset-the-default-domain-group-policy-objects-dcgpofix/ par exemple) et qui peut également sauver la mise.
Sur ce coup-là, même Google n'est pas mon ami...
My Bad, ça m'apprendra à utiliser des termes qui me sont propres.
J'espère quand même que je ne vous ennuie pas trop avec mes questions, j'ai bien compris que ce n'était pas ce pour quoi vous êtes payé, du moins principalement. Sinon je les espace d'une par semaine ! 😬
Pas de pb pour aider. Si on le fait, c'est que cela nous plait. Tu poses une question et si on peut t'aider, on le fait bien volontiers, naturellement si on a une réponse. On - mais je peux dire je - n'avons pas la science infuse. On a juste parfois une expérience plus importante que d'autres dans certains domaines. Je suis certain que toi aussi, sur certains domaines tu as vécu des expériences diverses et variées et que tu pourrais faire la même chose.
Je suis comme toi, j'ai un boulot (dans l'informatique, tu t'en doute). Et je taf, comme un fou de 7h à 18h (min) 5/7. Ma réponse d'hier a été faite entre 6 et 7h du matin. Et oui, je ne suis pas payé par MS.
Après, il y a parfois des personnes qui parce qu'ils ont posé une question se posent comme un client et veulent et exigent une réponse et qui plus est, une réponse qui leur convient. Ceux qui répondent sont des volontaires, à part quelques entreprises mandatées par MS. Cela m'exaspère. Souvent je ne réponds pas dans ce cas, mais parfois je le fait, et puis parfois aussi cela dégénère (comme cela l'a été ici, mais c'est le passé). On a tous parfois nos sautes d'humeurs.
Il y a aussi certaines personnes par laquelle leur requête prend la forme suivante "Je veux et j'exige un script qui fasse ceci, cela". Souvent ce sont des mecs dits "pro" de l'informatique qui sont payés pour ça, mais qui ont un poil dans la main pour faire. Qu'ils aillent faire ça sur le Technet US ou sur Reddit, et ils verront comment ils sont accueillis. Ce type de demande m'exaspère et je préfère souvent ne rien répondre que péter les plombs et envoyer bouler le gus. En revanche, celui qui a pondu du code et qui rencontre une erreur d'exécution et qui n'arrive pas à comprendre pourquoi, aucun pb pour l'aider à comprendre son erreur et l'aider à apporter la correction. j'ai comme philosophie de vie (donc pro également) "donne un poisson à un Homme, il n'aura pas faim aujourd'hui, apprends lui à pécher il n'aura plus jamais faim. Je préfère lui apprendre à pécher".
Comme tout le monde, j'ai aussi mes petites lubies. Tu n'es pas un pro de l'informatique, tu découvres, tu utilises un terme technique inapproprié, j'explique gentiment que cela est inexact et qu'on doit dire "comme ceci ou comme cela". Quand c'est un mec qui se dit pro, ou dont l'IT est le métier (donc un pro), ça passe moins bien. Et dis-toi, que cela n'a rien de personnel, je rencontre réellement cela tous les jours (vraiment tous les jours) avec des mecs avec lequel je dois travailler. Quelques exemples : Lire "Contrôleur de Domaine principal et Contrôleur de domaine secondaire", ça m'exaspère (et il n'y a pas que moi). C'est n'est pas un domaine NT4, mais un domaine AD. Parler de la zone DNS qui correspond à l'AD - et qui normalement est intégrée à l'AD - et évoquer la notion de DNS primaire et secondaire, est tout aussi faux. Cette notion de DNS Primaire/Secondaire existe bien (Primaire en modif, Secondaire (s) en lecture seule), mais pas quand on parle d'une zone DNS intégrée à l'AD (tous les DNS qui portent cette Zone sont en modification). Et je pourrais multiplier les exemples. Mais je râle aussi contre les "couillons" qui ont acheté une belle bécane avec double alim (pour la redondance bien entendu) et qui en sont fiers, ... et qui ont branchés les 2 alimentations sur la même multiprise, le même PDU (Power Display Unit) dnas une baie, ou encore les 2 PDU d'une baie qui sont reliés à la même alim électrique (le dernier cas, concerne les Datacenters bien entendu).
J'essaie toujours - autant que faire se peut - de conseille les "Best-Practices". Je conçois parfaitement que parfois, pour diverses raisons (dont les finances), cela ne soit pas possible, mais il faut alors essayer de s'en rapprocher le plus.
Je te donne un exemple "Un DC, c'est DNS/DNS et rien d'autre, pas d'autres rôles". Ca c'est la Best-Practices. Pourquoi ? J'ai un DC/DNS qui vient de cramer. Je m'en tape le coquillard. La redondance est assurée par le (les) autres DC/DNS. Je construis un nouveau serveur et promotion en DC/DNS. C'est d'autant plus facile quand c'est une VM. Essayer de restorer le serveur depuis une vieille sauvegarde c'est aller au devant des pbs (j'ai pas dit qu'il ne servait à rien de sauvegarder/restorer un DC, tant que cela est fait dans les bonnes conditions, ... ce qui malheureusement est loin d'être toujours le cas ... pas méconnaissance des "opérants"). Maintenant si ton DC/DNS contient d'autres rôles, il devient unique (il n'est plus comme tous les autres DC/DNS). Et puis les rôles en sus peuvent apporter des comportements bizarre parfois.
Tu veux un exemple. Un serveur membre avec le rôle WSUS. Pour une raison ou pour une autre, il a été décidé de le promouvoir en DC/DNS. DCPromo, reboot. Les rôles DN/DNS fonctionnent bien, mais plus WSUS. En fait ce n'est pas lié à WSUS, mais à IIS qui est installé avec WSUS. IIS quand tu l'installes créé des comptes dans la base des comptes locales de la machine (les comptes IUSR et IWAM), tu dois connaitre cela. Mais quand tu passes DC, plus de base des compte locale, il n'y a plus que l'AD. Du coup, IIS et par rebond WSUS ne fonctionne plus. Plus qu'à désinstaller ces 2 composants et à les réinstaller. Chia... perte de temps alors qui si la machines avait été promue DC/DNS, finalisée puis les roles WSUS/IIS installés, pas de pb.
Notes-toi cela dans un coin, parce que tu devras y penser si tu installes SQL sur une machine qui devra être également DC/DNS. Car tu risques d'être dans le même cas de figure.
J'ai des petits clients qui ont des environnements serveurs "petits". 2 contrôleurs de domaine + DNS pour la redondance, plus un serveur membre qui tient les autres rôles nécessaires. Quels sont ces rôles ? WSUS, Console Antivirus, Print, File. Et bien, ces messieurs décident d'installer tout ou partie des dits rôles sur un des 2 DCs. - Mais pourquoi ? Ces 4 rôles sont en quelque sorte des rôles de service de fichiers. Servir des KB, des signatures/moteurs client AV, des fichiers ou "splooler" des documents avant des les envoyer à des imprimantes réseau, ce sont des services de fichier. Et cela réclame de l'espace disque, et parfois de la RAM (Spooler). Alors qu'un simple DC/DNS, un simple serveur 1U, avec peu de disque et de RAM, ca tourne. Ca ne branle rien un DC/DNS : juste répondre à des requêtes d'authentification et de résolution de nom. Pas de trafic réseau important, pas de gros travail CPU, pas d'écriture sur disque. Et sur leur DC, il n'y a pas de conf RAID (pas grave, on a la redondance des services, si un disque claque, on le change et on reconstruit). Alors que sur un serveur de fichiers, il faut des disques. Et le première cause de défaillance, ce sont les disques ... et les data, ça c'est primordial. Donc on met les disques en RAID5 pour se prémunir de la 1ère défaillance. Ben non, il nous collent des data sur des serveurs sans redondance disque. Et après, ils viendront pleurer quand un disque claquera et qu'ils perdront leurs données (car pas, ou peu, ou mal sauvegardé en plus). Et cela arrivera, si ce n'est pas demain, cela sera dans 1 mois ou dans 1 an, mais cela claquera un jour ou l'autre.
De même, pour un SQL virtualisé - mais le raisonnement est identique pour un SQL physique - il est conseillé ne ne pas mettre DB, Transaction Logs, TempDB et Système sur les même disques. Pour des questions de performance. Transaction Log et TempDB, sont fortement sollicités, DB nettement moins, et puis y a encore le système derrière. Deploie un SQL dans Azure et tu verras que le disque Transaction log est un disque rapide (SSD), alors que les disques System et DB, pas nécessairement (tout dépend de combien tu veux payer :-) ). Ne déploies pas, va juste lire les specs. :-)
D'une manière générale et pour en finir avec cette très longue prose (je vais être naze demain à 6h), rappelles-toi toujours que "les conseilleurs ne sont pas les payeurs". Tu écoutes - de préférence différents sons de cloches, et ensuite tu fais marcher ce que tu as entre les 2 oreilles et tu te fais ta propre opinion et tu prends une décision (ta décision) en fonction de la pertinence de réponse aux exigences (ce qui doit être atteint comme objectif) ou aux contraintes (matériel, budget, Impositions d'une DSI, ....).
Au plaisir de te lire, plus tard.
Olivier
- Proposé comme réponse M dakhama vendredi 11 février 2022 15:38
- Marqué comme réponse Christophe-LSE vendredi 11 février 2022 21:49
-
Bonjour Mehdi,
merci pour ces précisions. Oui, j'avais compris qu'en effet les intervenants tels qu'Olivier ou Philippe (ou toi-même) faisaient cela gratuitement.
Pour le reste, (quasi-obligation d'asséner sans relâche les précos), compris aussi !
Merci pour ton mail,
Bonne journée;
@+ ! 🙂
Christophe Kadem - L.S.E.
-
-
Cool ! 🙂
Très, cool !
Bon ben oui je vais éplucher ça, c'est très instructif !
On est allé du pire au très bien (ce qui est très bien. Me revoilà dans mes lapalissades me diras-tu ), et après tout cela servira sûrement à d'autres personnes !
Merci pour cette prose absolument pas inutile de bout en bout, c'est sympa. Généreux.
Ladite prose sera utile, en premier pour ce qui me concerne.
Bonne journée à vous!
PS : il sera très possible que je réapparaisse pour poser des questions, demander des précisions.
Christophe Kadem - L.S.E.
-
Philippe, Olivier, pourquoi vous dites :
Il t'est également conseillé de ne pas avoir de VM DC en stand-by (replica) ?
Par défaut il est conseillé d'avoir au moins 2 contrôleurs de domaine actif, mais bien évidemment ce n'est pas toujours le cas. AD fournit nativement des services pour assurer la disponibilité.
Au niveau des contrôleurs de domaine et de l'AD, certaines techno lié à la virtualisation n'était pas supporté avant 2012. Tu pouvais avoir des problèmes de corruption de l'annuaire comme l'USN Rollback et provoqué des objets fantômes.
A partir de 2012, des mécanismes de contrôle ont été ajouté, afin que les services AD détectent certaines de ses situations. Cela permet de supporté la virtualisation, mais cela ne veut pas dire qu'il faut user de certains de ses bénéfices sur les DCs.
Au niveau d'un serveur applicatif il peut arriver que pour une urgence on décide de redémarrer un cliché des jours précédents, ce qui est à proscrire sur un contrôleur de domaine.
D'ailleurs par principe on ne restaure jamais un contrôleur de domaine tant qu'il reste un autre contrôleur de domaine pour ce domaine vivant. La méthode est de supprimer le contrôleur de domaine HS, de nettoyer les données de l'AD sur le DC restant et de reconstruire le depuis 0 le DC HS. C'est la seule méthode qui permet vraiment de garantir la cohérence de l'annuaire entre plusieurs DCs.
Les cycles de sauvegarde d'un contrôleurs de domaine ne répond pas au même besoin que celui d'une application. Si tu restaures un annuaire AD qui a deux semaines, il y a des procédures précises à respecter comme modifier les pool RID sinon tu risques d'avoir des SID des objets créé après la sauvegarde et avant la restauration qui traine partout dans tous environement mais qui n'existe plus dans l'AD et pire le SID pourra être réattribué à un nouvel Objet.
De plus mélangé DC avec d'autres services peut vraiment créer des problèmes. Cela rend les scénario de migration futurs compliqués en rajoutant des risques la ou il n'y a pas de raison d'en avoir.
Un deuxième DC allumé tu peux vérifier son état, un réplica d'un DC tu n'en es pas sur.
Le seul cas un peu particulier est une forêt mono domaine avec un seul contrôleur de domaine, ou le risque d'intégrité entres les contrôleurs de domaine n'existent pas, mais il n'y a pas de disponibilité native. A chaque mise à jour et reboot du serveur pour des mises à jours ou pour une modification de l'application tu bloques pas mal de chose. De plus il faut bien que tu gères l'ordre de démarrage de tes services, car beaucoup de services peuvent dépendre de l'AD et doivent démarrer après que l'AD soit en service.
Il y a aurait encore pas mal de détail à ajouter...
- Proposé comme réponse M dakhama vendredi 11 février 2022 15:38
- Marqué comme réponse Christophe-LSE vendredi 11 février 2022 16:15
-
-
@Mehdi je viens de changer le type de thread en question :)
Microsoft propose ce service gratuitement, dans le but d'aider les utilisateurs et d'élargir les connaissances générales liées aux produits et technologies Microsoft. Ce contenu est fourni « tel quel » et il n'implique aucune responsabilité de la part de Microsoft. S'il vous plaît n'oubliez pas de « Marquer comme réponse » les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile l’accès aux solutions.
- Modifié Alexis ThorezModerator vendredi 11 février 2022 10:29
-
Salut,
J'ai relu, aussi lentement que possibles, vos derniers posts (oui je suis lent. Pas complètement con mais lent). Mais pas suffisamment lentement. Alors je vais le refaire. Puisque ça répond à mes questionnements et doutes, il n'y aurait pas mieux pour moi.
Et bien que tout cela, soit très intéressant, y compris d'un point de vue connaissances-qui-agrandit le rayon de confiance pour le prochain cas échéant, je ne pense pas que cela me concerne pour ce site;
Il n'y a qu'un domaine. Donc une forêt aussi. Sur le site principal. Les autres sites répartis dans toute la France, se connectent sur ce même site, en Remote Apps pour aller en Explorer sur des partages NAS , et lancer les applis avec un login dans l'AD. Le tout via VPN. Bien sûr leur login du matin sur leur bécane ne me regarde pas, ils peuvent même être en Workgroup, ça ne me touche même pas.
Il y a aussi physique, lui, un autre DC pour ce même domaine. J'ai quand même ça si jamais mon serveur pétait. Qui n'a pas les rôles FSMO mais si le maître-de-tout pète, même si pas de sauvegardes ultra récente ou réplication : on s'en fout .. hein ? (je vais relire, j'ai pas lu assez lentement 😁)
Bon ensuite, sur place, là où se trouvent les serveurs (TSE, 2ème DC, Hyper V, NAS, etc...) effectivement là, la base de données compte. Mais on n'y ajoute pas tous les jours une imprimante ou en enlève une, un user, une OU ou que sais-je encore. Quand cela arrive on ouvre le champagne.
Donc je pense, Philippe et Olivier,que les risque qu'un objet se fasse chiper son SID comme ça à cause d'un ennui AD, ça ne peut pas arriver. Et je pense raisonnable, vous serez d'accord, de penser que dans de telles conditions, avec une VM DC Maître de toutes les opérations, recopiée tous les 1/4 d'heure 24/24 et 7/7, via VPN il faudrait vraiment pas de bol pour casser un objet, juste à cause d'un nouveau petit login ou une nouvelle imprimante...
Non, mais il y a ça... c'est que quand on pose une question, et qu'on est pressé, stressé parce qu'il y a trop de boulot qui tombe en même temps, on cherche sur Google la meilleure façon d'appréhender, et à la fin on se dit bon allez je m'arrête, je me calme, et je demande sur Technet. Mais voilà, tout expliquer quand on est énervé de chercher, pas trouver, et que l'échéance approche, c'est de là que peuvent partir des petites distorsions entre les questionneurs et les gens qui répondent !
Merci pour tout, en tous cas. Aussi je ne relèverai pas le prochain "DC avec autre chose qu'AD c'est tout-pourri". Je me tais, et voilà. Simple ! 😉
Goodbye !
Christophe Kadem - L.S.E.
