Meilleur auteur de réponses
Topologie réplication inter-site

Question
-
Bonjour,
Je mets en place une architecture pour les réplications inter-site entre DCs de 2 sites (SiteA et SiteB).
- SiteA
Servers : DC1 et DC2
Subnets : 10.50.12.0/24, 10.10.0.0/24, 10.76.10.0/24
NB : Serveurs et Dcs sont sur les subnets 10.50.12.0/24, 10.10.0.0/24, Les utilisateurs sont sur le subnet 10.76.10.0/24
- SiteB
Server : DC3
Subnets : 192.168.10.0/24
NB : Serveurs, DC et utilisateurs sont sur le subnet : 192.168.10.0/24
Lien : Coût : 378, Fréquence de réplication: 100
ISTG est il obligatoire sur chaque site?
Est ce qu'il y a risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2) qui sont sur leur siteA?
Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3) qui est sur leur siteB?
Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?
Quelle commande utilisée pour lister les comptes authentifiés sur un DC?
Merci pour votre aide.
Serge
- Modifié Serge MFR mardi 6 octobre 2020 15:06
Réponses
-
Salut Serge,
Est ce qu'il y a risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2) qui sont sur leur siteA?
Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3) qui est sur leur siteB?y a aucun risque que tes utilisateurs su site A partent se loguer sur le Site B, ni ouvrir une session, ni récupérer de GPO. car ta topologie est correcte, autre choses vérifies bien l'attribution DHCP, bien évidement, il faut que les clients obtiennent les bonnes IP dans la bonne plage des AD de leurs sites consécutives.
Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?
les utilisateurs sont bien dépendant du DC de leur site.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:55
-
Bonjour Serge MFR
La réponse de Medhi est tout à fait correcte, je vais cependant apporter quelques éléments techniques pour éclaire votre lanterne sur l'authentification.
Comment une machine ou un utilisateur identifie-t-elle le DC sur lequel il doit s'authentifier ?
C'est prioritairement le DC le plus proche de lui, au sens sites & Services ActiveDirectory, et sur un même site, c'est le premier DC qui répond.
Mais en pratique, ça marche comment ?
La machine/user regarde dans sa conf TCP/IP pour identifier son.ses DNS. Contacte le DNS et lui fait une query pour demander ou se trouvent les services LDAP/Kerberos et consort. SI on regarde dans un DNS, on a effectivement ces informations.
Notion de sites dans AD Sites & Services
Un site, au sens sites&Services AD est un ensemble de subnets reliés par des liaisons rapides (assimilables à du LAN et pas du WAN).
Ce qui veut dire, que ce n'est pas parce qu'on a plusieurs sites géographiques que l'on a forcément plusieurs sites AD. Ca dépend, comme dirait l'autre.
Dans un site, dans la console Sites&Services, on a un ou des DCs.
Dans votre cas :
SiteA : DC1-DC2, 3 subnets associés - SiteB : DC3 - 1 seul subnet
Lien de site et coût de lien ?
C'est important quand on a plusieurs liens de mettre le cout (fonction de la taille dudit lien). En effet, le KCC calcule automatiquement par ou il doit passer pour avoir le moindre coût.
ex. : Liens Paris/Marseille 800 MB (et on va dire coût 250), Lien Paris/Lyon 2GB (on va dire cout 100), Lien Lyon/Marseille 2GB (cout 100). Pour aller de Paris à Marseille (lors des réplications AD par ex), l'OS va passer par Lyon car le cout est moindre.
Le coût se calcule, inversement proportionnel à la taille du tuyau. Il y a des formules de calcul sur le Net. Dans votre cas, si vous n'avez qu'un seul lien réseau, le cout importe peu.
Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?
Comme répondu par Medhi, Oui prioritairement sur un DC affecté à leur site, ... mais si ce (ces) DCs sont down, l'utilisateur ou la machine ira s'authentifier sur un DC situé sur un autre site. C'est pareil, ... à la latence près du aux contraintes réseau.
Quelle commande utilisée pour voir les comptes authentifiés sur un DC?
La réponse de Médhi est exacte. Sur un poste, on peut ouvrir un shell DOS, faire un Set (permet de voir toutes les variables système), et là on a une variable nommée LogonServer.
Oui, mais de manière plus massive, on fait comment ?
Sur un DC, EventLog, journal Sécurité, chercher l'ID 4624 (ouvrir une session)
Voici un exemple :
$StartTime = Get-Date -Year 2020 -Month 10 -Day 1 -Hour 0 -Minute 0 $EndTime = Get-Date -Year 2020 -Month 10 -Day 07 -Hour 12 -Minute 00 Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" } -MaxEvents 10
<#
ProviderName : Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
07/10/2020 08:14:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:13:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:12:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:02 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:02 4624 Information L'ouverture de session d'un compte s'est correctement déroulée.......
#>
Plus d'info dans un mémo perso ici
cordialement
Olivier
Edit : Après la query peut être affinée car les informations sur le compte qu is'est connecté sont dans la propriété Message
- Modifié Oliv - TheFrog mercredi 7 octobre 2020 06:54
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 08:06
-
Il n'y a aucun intérêt dans des structures simples à définir des serveur tête de pont, si aucun n'est définit la gestion est automatique.
Si tu définit des serveurs têtes de pont, il faut les gérer en cas de panne ou de migration, sinon tu peux avoir des soucis.
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
-
Faut 'il gérer le cache?
Non mais vérifie que tous les DCs sont des catalogues globaux.
La mise en cache des groupes universelles n'est utilise que si tu n'as pas de catalogue global sur le site.
- Marqué comme réponse Serge MFR lundi 12 octobre 2020 12:41
-
Quelle commande utilisée pour voir les comptes authentifiés sur un DC?
tu n'as qua tapé dans une invite commande : echo %logonserver%
pour vérifier que tes logué sur les bons DC.
Cordialement,
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:41
-
Comme a dit Philippe et olivier,
Tas pas besoin de définir un serveur tête de pont, pour ta topologie, c'est plus dans le cas d'inter domaine ou cela peut être intéressant.
Pour le script sur les DC cela ne serait pas intéressant, vu qu'un utilisateurs peut se liguer sur plusieurs AD, il suffit d'un redémarrage, donc pour voir qui a ouvert une session y a des outils gratuit sinon interroge ton journal et active l'audit par GPO
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
-
Salut serge,
oui c'est normal, dans NTDS il garde la topologie pour la réplication et en cas d'échec d'un DC pour joindre un autre site.
essaies de voir si t'as crée des subnets, et les as accordé au bon site
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:21
-
ne te fis pas à l'audit, mais plutot à la commande sur les postes, regardes si tes postes se logue sur le bon DC essaies de redemarrer le meme postes 3 ou 4 fois et tapes : echo %logonserver%
s'il se logue toujours sur le bon site, c'est OK
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:53
-
RE,
pour la premiere Activer la mise en cache, ne la coche pas, c'est pour les groupes universel inter domaine, t'en as pas besoin.
pour les IP et SMTP philippe a raison, t'en as pas besoin, néomoins il m'arrive de les activer en cas de conflit IP ou pour forcer, si tu dois le faire ca serait pas sur le DC2 mais DC1, et sur un DC par Site, pour l'instant ne les touches pas, et ne modifies rien dans NTDS c'est pour la réplication, pas pour l'ouverture de session.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 10:30
Toutes les réponses
-
Salut Serge,
Est ce qu'il y a risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2) qui sont sur leur siteA?
Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3) qui est sur leur siteB?y a aucun risque que tes utilisateurs su site A partent se loguer sur le Site B, ni ouvrir une session, ni récupérer de GPO. car ta topologie est correcte, autre choses vérifies bien l'attribution DHCP, bien évidement, il faut que les clients obtiennent les bonnes IP dans la bonne plage des AD de leurs sites consécutives.
Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?
les utilisateurs sont bien dépendant du DC de leur site.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:55
-
Quelle commande utilisée pour voir les comptes authentifiés sur un DC?
tu n'as qua tapé dans une invite commande : echo %logonserver%
pour vérifier que tes logué sur les bons DC.
Cordialement,
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:41
-
-
Bonjour Serge MFR
La réponse de Medhi est tout à fait correcte, je vais cependant apporter quelques éléments techniques pour éclaire votre lanterne sur l'authentification.
Comment une machine ou un utilisateur identifie-t-elle le DC sur lequel il doit s'authentifier ?
C'est prioritairement le DC le plus proche de lui, au sens sites & Services ActiveDirectory, et sur un même site, c'est le premier DC qui répond.
Mais en pratique, ça marche comment ?
La machine/user regarde dans sa conf TCP/IP pour identifier son.ses DNS. Contacte le DNS et lui fait une query pour demander ou se trouvent les services LDAP/Kerberos et consort. SI on regarde dans un DNS, on a effectivement ces informations.
Notion de sites dans AD Sites & Services
Un site, au sens sites&Services AD est un ensemble de subnets reliés par des liaisons rapides (assimilables à du LAN et pas du WAN).
Ce qui veut dire, que ce n'est pas parce qu'on a plusieurs sites géographiques que l'on a forcément plusieurs sites AD. Ca dépend, comme dirait l'autre.
Dans un site, dans la console Sites&Services, on a un ou des DCs.
Dans votre cas :
SiteA : DC1-DC2, 3 subnets associés - SiteB : DC3 - 1 seul subnet
Lien de site et coût de lien ?
C'est important quand on a plusieurs liens de mettre le cout (fonction de la taille dudit lien). En effet, le KCC calcule automatiquement par ou il doit passer pour avoir le moindre coût.
ex. : Liens Paris/Marseille 800 MB (et on va dire coût 250), Lien Paris/Lyon 2GB (on va dire cout 100), Lien Lyon/Marseille 2GB (cout 100). Pour aller de Paris à Marseille (lors des réplications AD par ex), l'OS va passer par Lyon car le cout est moindre.
Le coût se calcule, inversement proportionnel à la taille du tuyau. Il y a des formules de calcul sur le Net. Dans votre cas, si vous n'avez qu'un seul lien réseau, le cout importe peu.
Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?
Comme répondu par Medhi, Oui prioritairement sur un DC affecté à leur site, ... mais si ce (ces) DCs sont down, l'utilisateur ou la machine ira s'authentifier sur un DC situé sur un autre site. C'est pareil, ... à la latence près du aux contraintes réseau.
Quelle commande utilisée pour voir les comptes authentifiés sur un DC?
La réponse de Médhi est exacte. Sur un poste, on peut ouvrir un shell DOS, faire un Set (permet de voir toutes les variables système), et là on a une variable nommée LogonServer.
Oui, mais de manière plus massive, on fait comment ?
Sur un DC, EventLog, journal Sécurité, chercher l'ID 4624 (ouvrir une session)
Voici un exemple :
$StartTime = Get-Date -Year 2020 -Month 10 -Day 1 -Hour 0 -Minute 0 $EndTime = Get-Date -Year 2020 -Month 10 -Day 07 -Hour 12 -Minute 00 Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" } -MaxEvents 10
<#
ProviderName : Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
07/10/2020 08:14:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:13:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:12:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:17 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:02 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
07/10/2020 08:11:02 4624 Information L'ouverture de session d'un compte s'est correctement déroulée.......
#>
Plus d'info dans un mémo perso ici
cordialement
Olivier
Edit : Après la query peut être affinée car les informations sur le compte qu is'est connecté sont dans la propriété Message
- Modifié Oliv - TheFrog mercredi 7 octobre 2020 06:54
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 08:06
-
Salut Mehdi,
Merci pour tes réponses.
Est ce ISTG est il obligatoire sur chaque site?
Sur le serveur qui fait office de ISTG sur chaque site, dois je ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants" : ? Ou Dois l'ajouter sur les DC(DC1,DC2) SiteA et le DC(DC3) SiteB?
Merci pour ton aide.
Serge
-
Il n'y a aucun intérêt dans des structures simples à définir des serveur tête de pont, si aucun n'est définit la gestion est automatique.
Si tu définit des serveurs têtes de pont, il faut les gérer en cas de panne ou de migration, sinon tu peux avoir des soucis.
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
-
Comme a dit Philippe et olivier,
Tas pas besoin de définir un serveur tête de pont, pour ta topologie, c'est plus dans le cas d'inter domaine ou cela peut être intéressant.
Pour le script sur les DC cela ne serait pas intéressant, vu qu'un utilisateurs peut se liguer sur plusieurs AD, il suffit d'un redémarrage, donc pour voir qui a ouvert une session y a des outils gratuit sinon interroge ton journal et active l'audit par GPO
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
-
Petite query rapide
$StartTime = Get-Date -Year 2020 -Month 10 -Day 7 -Hour 07 -Minute 36 -Second 02 $EndTime = Get-Date -Year 2020 -Month 10 -Day 7 -Hour 07 -Minute 36 -Second 05 $Query = Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" }
Bon ici j'ai limité sur 3 secondes, mais c'est juste pour n'avoir que quelques events, dont celui qui m'intéresse
$query ProviderName : Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName Message ----------- -- ---------------- ------- 07/10/2020 07:36:04 4624 Information L'ouverture de session d'un compte s'est correctement déroulée.... 07/10/2020 07:36:03 4624 Information L'ouverture de session d'un compte s'est correctement déroulée.... 07/10/2020 07:36:02 4624 Information L'ouverture de session d'un compte s'est correctement déroulée....
Bof, on va améliorer cela, ce n'est que la sortie console
$query | Select-Object @{Label = "TimeCreated" ; Expression = {$_.TimeCreated}}, @{Label = "ID" ; Expression = {$_.ID}}, @{Label = "MachineName" ; Expression = {$_.MachineName}}, @{Label = "LevelDisplayName" ; Expression = {$_.LevelDisplayName}}, @{Label = "TaskDisplayName" ; Expression = {$_.TaskDisplayName}}, @{Label = "SecurityId" ; Expression = {$_.Properties[4].Value}}, @{Label = "AccountName" ; Expression = {$_.Properties[5].Value}}, @{Label = "AccountDomain" ; Expression = {$_.Properties[6].Value}}, @{Label = "LogonId" ; Expression = {$_.Properties[7].Value}}, @{Label = "LogonType" ; Expression = {$_.Properties[8].Value}}, @{Label = "Workstation" ; Expression = {$_.Properties[11].Value}}, @{Label = "LogonGuid" ; Expression = {$_.Properties[12].Value}}
et ça donne :
TimeCreated : 07/10/2020 07:36:04 ID : 4624 MachineName : W2K19-DC.LAB.LOCAL LevelDisplayName : Information TaskDisplayName : Ouvrir la session SecurityId : S-1-5-18 AccountName : W2K19-DC$ AccountDomain : LAB.LOCAL LogonId : 222853 LogonType : 3 Workstation : - LogonGuid : fe7d9233-b617-564d-ca3d-41c1d1011513 TimeCreated : 07/10/2020 07:36:03 ID : 4624 MachineName : W2K19-DC.LAB.LOCAL LevelDisplayName : Information TaskDisplayName : Ouvrir la session SecurityId : S-1-5-21-310437918-1906062273-1680514792-1130 AccountName : W2K19-DC2$ # <== Ca c'est la machine AccountDomain : LAB.LOCAL LogonId : 221273 LogonType : 3 Workstation : - LogonGuid : 010206e6-2f5e-1d8e-fc5e-64586b4dd45e TimeCreated : 07/10/2020 07:36:02 ID : 4624 MachineName : W2K19-DC.LAB.LOCAL LevelDisplayName : Information TaskDisplayName : Ouvrir la session SecurityId : S-1-5-21-310437918-1906062273-1680514792-500 AccountName : Administrateur # <== Ca c'est moi ! AccountDomain : LAB LogonId : 220861 LogonType : 10 Workstation : W2K19-DC LogonGuid : d4f4ef05-feb0-b080-aef8-c5007d1ff1de
Ca sort encore trop de choses, j'ai encore les logon des machines, on va affiner. Reprenons la query
$Query = Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" } | Where-Object -FilterScript {$_.Properties[5].Value -notlike "*$"}
En clair, j'ai filtré les compte machines (ils se terminent par un $)
et maintenant si je rejoue le code précédent avec le Select-Object ...., je n'obtiens bien que les comptes utilisateurs.
Attention : comme l'a fait remarqué Medhi, il faut activer l'audit
Par GPO cela se fait soit :
Conf Ordinateur ==> Stratégies ==> paramètres Windows ==> Paramètres de sécurité ==> Stratégies locales
Ou mieux via
Conf ordinateur ==> Stratégies ==> paramètres Windows ==> Confiugraiton avancée de la stratégie d'Audit ==> Ouvrir/fermer la session. Et là, on peut activer l'audit sur les ouvertures, fermetures de session, le verrouillage de compte, ....
cordialement
Olivier
-
Mmmme,
ca donne des idées de faire un petit GUI, qui permet de superviser les comptes logués et l'heure de connexion, quoique cela serait pas si simple, s'il faut interroger plusieurs DC et surtout si parfois l'user se logue en hors ligne ensuite rejoins l'AD, je te laisse tester l'efficacité de ton script, et on verra apres, en tout cas je vais l'enregistrer.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
-
Attention Medhi,
Dans ce que j'ai fourni comme code, je n'interroge qu'un seul DC, mais cela n'est pas un pb.
On peut aisément récupérer l'ensemble des contrôleurs de domaine, puis au sein d'une boucle foreach faire la query qui va bien. Après on peut également adapter la query pour rechercher un utilisateur en particulier.
Après il est toujours possible d'ajouter un GUI (ça tu aimes visiblement :-) ). Pour ma part je considère qu'un GUI est bien pour des requêtes unitaires et multirépétitives. Mais ce dont on parle là, on ne va pas le faire tous les jours. Il y a aussi d'autres solutions autre que le GUI, génération d'un fichier qand le format qu'on veut, envoi par mail, ...
Cordialement
Olivier
-
Salut Mehdi,
J'ai fait les tests de mon architecture, je constante j'ai des utilisateurs du siteA ouvrent des sessions sur le DC du siteB. Je l'ai constaté dans l'Audit du DC3
Est normal que dans NTDS settings du DC3 du siteB j'ai un DC1 du siteA en connexion automatique?
Est normal que dans NTDS settings du DC2 du siteA j'ai le DC3 du siteB en connexion automatique?
Faut 'il cocher la case "Activer la mise en cache de l'appartenance au groupe universel"?
Quand je crée un utilisateur sur DC3 du siteB et il est crée sur les DC siteA au bout d'environ 5mn. Or la fréquence de mon lien est de 60mn. J'ai l'impression que les réplication intersite ne fonctionne pas.
Cordialement,
Serge
- Modifié Serge MFR vendredi 9 octobre 2020 09:07
-
Salut serge,
oui c'est normal, dans NTDS il garde la topologie pour la réplication et en cas d'échec d'un DC pour joindre un autre site.
essaies de voir si t'as crée des subnets, et les as accordé au bon site
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:21
-
ne te fis pas à l'audit, mais plutot à la commande sur les postes, regardes si tes postes se logue sur le bon DC essaies de redemarrer le meme postes 3 ou 4 fois et tapes : echo %logonserver%
s'il se logue toujours sur le bon site, c'est OK
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:53
-
Salut Mehdi,
Merci pour ta réponse.
J'ai fais exactement fait ma configuration comme sur ton schéma.
Les subnets du chaque site sont associés à chaque site.
Pour rappelle:
- SiteA
Servers : DC1 et DC2
Subnets : 10.50.12.0/24, 10.10.0.0/24, 10.76.10.0/24
Serveurs et Dcs sont sur les subnets 10.50.12.0/24, 10.10.0.0/24, Les utilisateurs sont sur le subnet 10.76.10.0/24
- SiteB
Server : DC3
Subnets : 192.168.10.0/24
Serveurs, DC et utilisateurs sont sur le subnet : 192.168.10.0/24.Sur le SiteA DC2 est en "Générateur de topologie Intersite" ( automatiquement )
Faut 'il gérer le cache?
Faut il ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants". Phillipe m'avait conseillé que ce n'était pas utile car mon archi était simple.
Serge
- Modifié Serge MFR vendredi 9 octobre 2020 09:51
-
RE,
pour la premiere Activer la mise en cache, ne la coche pas, c'est pour les groupes universel inter domaine, t'en as pas besoin.
pour les IP et SMTP philippe a raison, t'en as pas besoin, néomoins il m'arrive de les activer en cas de conflit IP ou pour forcer, si tu dois le faire ca serait pas sur le DC2 mais DC1, et sur un DC par Site, pour l'instant ne les touches pas, et ne modifies rien dans NTDS c'est pour la réplication, pas pour l'ouverture de session.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Serge MFR vendredi 9 octobre 2020 10:30
-
Vérifies tes subnet s'ils sont bien lié au bon site, comme dans mon exemple, celui d'utilisateur 10.10.0.0/24 doit être lié au site A, et les users devront pouvoir contacter facilement le DC1 et DC2.
envoie nous une capture des subnets, autres choses ta config ip sur les postes, surtout les DNS, cela n'affecte pas l'ouverture de session, mais ca peut régler ton problème, si tu peux nous dire ce qui se passe sur les potes.
et pour finir teste sur le Site B, les utilisateurs ne devront pas ouvrir de session sur les DC1 et DC2, fais nous un retour de tout cela.
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
-
-
Faut 'il gérer le cache?
Non mais vérifie que tous les DCs sont des catalogues globaux.
La mise en cache des groupes universelles n'est utilise que si tu n'as pas de catalogue global sur le site.
- Marqué comme réponse Serge MFR lundi 12 octobre 2020 12:41
-
Bonjour Philippe,
J'ai un doute. Je vais promouvoir le DC (DC3 qui sera un catalogue global) de mon site distant.
Est ce que la copie de l'annuaire AD utilisera le lien créé pour la réplication intersite?
(Pour rappel : Lien : Coût : 378, Fréquence de réplication: 100)
Est ce que la copie de l'annuaire AD utilisera tout le lien MPLS?
Merci pour ton aide.
Serge