none
Topologie réplication inter-site RRS feed

  • Question

  • Bonjour,

    Je mets en place une architecture pour les réplications inter-site entre DCs de 2 sites (SiteA et SiteB).
     - SiteA
       Servers : DC1 et DC2
       Subnets : 10.50.12.0/24, 10.10.0.0/24, 10.76.10.0/24
       NB : Serveurs et Dcs sont sur les subnets 10.50.12.0/24, 10.10.0.0/24, Les utilisateurs sont sur le subnet 10.76.10.0/24

    - SiteB
       Server : DC3
       Subnets : 192.168.10.0/24
       NB : Serveurs, DC et utilisateurs sont sur le subnet : 192.168.10.0/24

    Lien : Coût : 378, Fréquence de réplication: 100

    ISTG est il obligatoire sur chaque site?

    Est ce qu'il y a  risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2)  qui sont sur leur siteA?

    Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3)  qui est sur leur siteB?

    Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

    Quelle commande utilisée pour lister les comptes authentifiés sur un DC?

    Merci pour votre aide.

     

    Serge




    • Modifié Serge MFR mardi 6 octobre 2020 15:06
    mardi 6 octobre 2020 13:49

Réponses

  • Salut Serge,

    Est ce qu'il y a  risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2)  qui sont sur leur siteA?

    Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3)  qui est sur leur siteB?

    y a aucun risque que tes utilisateurs su site A partent se loguer sur le Site B, ni ouvrir une session, ni récupérer de GPO. car ta topologie est correcte, autre choses vérifies bien l'attribution DHCP, bien évidement, il faut que les clients obtiennent les bonnes IP dans la bonne plage des AD de leurs sites consécutives.

    Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

    les utilisateurs sont bien dépendant du DC de leur site. 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:55
    mardi 6 octobre 2020 14:46
  • Bonjour Serge MFR

    La réponse de Medhi est tout à fait correcte, je vais cependant apporter quelques éléments techniques pour éclaire votre lanterne sur l'authentification.

    Comment une machine ou un utilisateur identifie-t-elle le DC sur lequel il doit s'authentifier ?

    C'est prioritairement le DC le plus proche de lui, au sens sites & Services ActiveDirectory, et sur un même site, c'est le premier DC qui répond. 

    Mais en pratique, ça marche comment ?

    La machine/user regarde dans sa conf TCP/IP pour identifier son.ses DNS. Contacte le DNS et lui fait une query pour demander ou se trouvent les services LDAP/Kerberos et consort. SI on regarde dans un DNS, on a effectivement ces informations.

    Notion de sites dans AD Sites & Services

    Un site, au sens sites&Services AD est un ensemble de subnets reliés par des liaisons rapides (assimilables à du LAN et pas du WAN).

    Ce qui veut dire, que ce n'est pas parce qu'on a plusieurs sites géographiques que l'on a forcément plusieurs sites AD. Ca dépend, comme dirait l'autre.

    Dans un site, dans la console Sites&Services, on a un ou des DCs.

    Dans votre cas :

    SiteA : DC1-DC2, 3 subnets associés -  SiteB : DC3 - 1 seul subnet

    Lien de site et coût de lien ?

    C'est important quand on a plusieurs liens de mettre le cout (fonction de la taille dudit lien). En effet, le KCC calcule automatiquement par ou il doit passer pour avoir le moindre coût.

    ex. : Liens Paris/Marseille 800 MB (et on va dire coût 250), Lien Paris/Lyon 2GB (on va dire cout 100), Lien Lyon/Marseille 2GB (cout 100). Pour aller de Paris à Marseille (lors des réplications AD par ex), l'OS va passer par Lyon car le cout est moindre.

    Le coût se calcule, inversement proportionnel à la taille du tuyau. Il y a des formules de calcul sur le Net. Dans votre cas, si vous n'avez qu'un seul lien réseau, le cout importe peu.

    Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

    Comme répondu par Medhi, Oui prioritairement sur un DC affecté à leur site, ... mais si ce (ces) DCs sont down, l'utilisateur ou la machine ira s'authentifier sur un DC situé sur un autre site. C'est pareil, ... à la latence près du aux contraintes réseau.

    Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

    La réponse de Médhi est exacte. Sur un poste, on peut ouvrir un shell DOS, faire un Set (permet de voir toutes les variables système), et là on a une variable nommée LogonServer.

    Oui, mais de manière plus massive, on fait comment ?

    Sur un DC, EventLog, journal Sécurité, chercher l'ID 4624 (ouvrir une session)

    Voici un exemple :

    $StartTime = Get-Date -Year 2020 -Month 10 -Day 1 -Hour 0 -Minute 0 $EndTime = Get-Date -Year 2020 -Month 10 -Day 07 -Hour 12 -Minute 00 Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" } -MaxEvents 10

    <#

    ProviderName : Microsoft-Windows-Security-Auditing

    TimeCreated                     Id LevelDisplayName Message                                                                                                                          
    -----------                     -- ---------------- -------                                                                                                                          
    07/10/2020 08:14:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:13:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:12:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....   

    ...

    #>

    Plus d'info dans un mémo perso ici

    cordialement

    Olivier

    Edit : Après la query peut être affinée car les informations sur le compte qu is'est connecté  sont dans la propriété Message



    • Modifié Oliv - TheFrog mercredi 7 octobre 2020 06:54
    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 08:06
    mercredi 7 octobre 2020 06:53
  • Il n'y a aucun intérêt dans des structures simples à définir des serveur tête de pont, si aucun n'est définit la gestion est automatique.

    Si tu définit des serveurs têtes de pont, il faut les gérer en cas de panne ou de migration, sinon tu peux avoir des soucis.


    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
    mercredi 7 octobre 2020 08:21
  • Faut 'il gérer le cache?

    Non mais vérifie que tous les DCs sont des catalogues globaux.

    La mise en cache des groupes universelles n'est utilise que si tu n'as pas de catalogue global sur le site. 


    • Marqué comme réponse Serge MFR lundi 12 octobre 2020 12:41
    vendredi 9 octobre 2020 17:13
  • Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

    tu n'as qua tapé dans une invite commande : echo %logonserver%

    pour vérifier que tes logué sur les bons DC. 

    Cordialement,


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:41
    mardi 6 octobre 2020 14:46
  • Comme a dit Philippe et olivier, 

    Tas pas besoin de définir un serveur tête de pont, pour ta topologie, c'est plus dans le cas d'inter domaine ou cela peut être intéressant.

    Pour le script sur les DC cela ne serait pas intéressant, vu qu'un utilisateurs peut se liguer sur plusieurs AD, il suffit d'un redémarrage, donc pour voir qui a ouvert une session y a des outils gratuit sinon interroge ton journal et active l'audit par GPO


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
    mercredi 7 octobre 2020 09:15
  • Salut serge,

    oui c'est normal, dans NTDS il garde la topologie pour la réplication et en cas d'échec d'un DC pour joindre un autre site.

    essaies de voir si t'as crée des subnets, et les as accordé au bon site


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:21
    vendredi 9 octobre 2020 09:03
  • ne te fis pas à l'audit, mais plutot à la commande sur les postes, regardes si tes postes se logue sur le bon DC essaies de redemarrer le meme postes 3 ou 4 fois et tapes : echo %logonserver% 

    s'il se logue toujours sur le bon site, c'est OK


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:53
    vendredi 9 octobre 2020 09:05
  • RE,

    pour la premiere Activer la mise en cache, ne la coche pas, c'est pour les groupes universel inter domaine, t'en as pas besoin.

    pour les IP et SMTP philippe a raison, t'en as pas besoin, néomoins il m'arrive de les activer en cas de conflit IP ou pour forcer, si tu dois le faire ca serait pas sur le DC2 mais DC1, et sur un DC par Site, pour l'instant ne les touches pas, et ne modifies rien dans NTDS c'est pour la réplication, pas pour l'ouverture de session.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 10:30
    vendredi 9 octobre 2020 10:14

Toutes les réponses

  • Salut Serge,

    Est ce qu'il y a  risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2)  qui sont sur leur siteA?

    Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3)  qui est sur leur siteB?

    y a aucun risque que tes utilisateurs su site A partent se loguer sur le Site B, ni ouvrir une session, ni récupérer de GPO. car ta topologie est correcte, autre choses vérifies bien l'attribution DHCP, bien évidement, il faut que les clients obtiennent les bonnes IP dans la bonne plage des AD de leurs sites consécutives.

    Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

    les utilisateurs sont bien dépendant du DC de leur site. 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:55
    mardi 6 octobre 2020 14:46
  • Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

    tu n'as qua tapé dans une invite commande : echo %logonserver%

    pour vérifier que tes logué sur les bons DC. 

    Cordialement,


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:41
    mardi 6 octobre 2020 14:46
  • Bonjour Mehdi,

    Merci pour ta réponse. La commande : echo %logonserver% fonctionne bien.

    Je cherche une commande ou un bout de script  pour lister les comptes authentifiés sur un DC?


    Serge


    • Modifié Serge MFR mercredi 7 octobre 2020 06:55
    mercredi 7 octobre 2020 06:44
  • Bonjour Serge MFR

    La réponse de Medhi est tout à fait correcte, je vais cependant apporter quelques éléments techniques pour éclaire votre lanterne sur l'authentification.

    Comment une machine ou un utilisateur identifie-t-elle le DC sur lequel il doit s'authentifier ?

    C'est prioritairement le DC le plus proche de lui, au sens sites & Services ActiveDirectory, et sur un même site, c'est le premier DC qui répond. 

    Mais en pratique, ça marche comment ?

    La machine/user regarde dans sa conf TCP/IP pour identifier son.ses DNS. Contacte le DNS et lui fait une query pour demander ou se trouvent les services LDAP/Kerberos et consort. SI on regarde dans un DNS, on a effectivement ces informations.

    Notion de sites dans AD Sites & Services

    Un site, au sens sites&Services AD est un ensemble de subnets reliés par des liaisons rapides (assimilables à du LAN et pas du WAN).

    Ce qui veut dire, que ce n'est pas parce qu'on a plusieurs sites géographiques que l'on a forcément plusieurs sites AD. Ca dépend, comme dirait l'autre.

    Dans un site, dans la console Sites&Services, on a un ou des DCs.

    Dans votre cas :

    SiteA : DC1-DC2, 3 subnets associés -  SiteB : DC3 - 1 seul subnet

    Lien de site et coût de lien ?

    C'est important quand on a plusieurs liens de mettre le cout (fonction de la taille dudit lien). En effet, le KCC calcule automatiquement par ou il doit passer pour avoir le moindre coût.

    ex. : Liens Paris/Marseille 800 MB (et on va dire coût 250), Lien Paris/Lyon 2GB (on va dire cout 100), Lien Lyon/Marseille 2GB (cout 100). Pour aller de Paris à Marseille (lors des réplications AD par ex), l'OS va passer par Lyon car le cout est moindre.

    Le coût se calcule, inversement proportionnel à la taille du tuyau. Il y a des formules de calcul sur le Net. Dans votre cas, si vous n'avez qu'un seul lien réseau, le cout importe peu.

    Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

    Comme répondu par Medhi, Oui prioritairement sur un DC affecté à leur site, ... mais si ce (ces) DCs sont down, l'utilisateur ou la machine ira s'authentifier sur un DC situé sur un autre site. C'est pareil, ... à la latence près du aux contraintes réseau.

    Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

    La réponse de Médhi est exacte. Sur un poste, on peut ouvrir un shell DOS, faire un Set (permet de voir toutes les variables système), et là on a une variable nommée LogonServer.

    Oui, mais de manière plus massive, on fait comment ?

    Sur un DC, EventLog, journal Sécurité, chercher l'ID 4624 (ouvrir une session)

    Voici un exemple :

    $StartTime = Get-Date -Year 2020 -Month 10 -Day 1 -Hour 0 -Minute 0 $EndTime = Get-Date -Year 2020 -Month 10 -Day 07 -Hour 12 -Minute 00 Get-WinEvent -FilterHashtable @{ LogName = 'Security' StartTime = $StartTime EndTime = $EndTime ID = "4624" } -MaxEvents 10

    <#

    ProviderName : Microsoft-Windows-Security-Auditing

    TimeCreated                     Id LevelDisplayName Message                                                                                                                          
    -----------                     -- ---------------- -------                                                                                                                          
    07/10/2020 08:14:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:13:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:12:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....   

    ...

    #>

    Plus d'info dans un mémo perso ici

    cordialement

    Olivier

    Edit : Après la query peut être affinée car les informations sur le compte qu is'est connecté  sont dans la propriété Message



    • Modifié Oliv - TheFrog mercredi 7 octobre 2020 06:54
    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 08:06
    mercredi 7 octobre 2020 06:53
  • Salut Mehdi,

    Merci pour tes réponses.

    Est ce ISTG est il obligatoire sur chaque site?

    Sur le serveur qui fait office de ISTG sur chaque site, dois je ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants" : ? Ou Dois l'ajouter sur les DC(DC1,DC2) SiteA et le DC(DC3) SiteB?

    Merci pour ton aide.


    Serge

    mercredi 7 octobre 2020 07:29
  • Il n'y a aucun intérêt dans des structures simples à définir des serveur tête de pont, si aucun n'est définit la gestion est automatique.

    Si tu définit des serveurs têtes de pont, il faut les gérer en cas de panne ou de migration, sinon tu peux avoir des soucis.


    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
    mercredi 7 octobre 2020 08:21
  • Comme a dit Philippe et olivier, 

    Tas pas besoin de définir un serveur tête de pont, pour ta topologie, c'est plus dans le cas d'inter domaine ou cela peut être intéressant.

    Pour le script sur les DC cela ne serait pas intéressant, vu qu'un utilisateurs peut se liguer sur plusieurs AD, il suffit d'un redémarrage, donc pour voir qui a ouvert une session y a des outils gratuit sinon interroge ton journal et active l'audit par GPO


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29
    mercredi 7 octobre 2020 09:15
  • Petite query rapide

    $StartTime = Get-Date -Year 2020 -Month 10 -Day 7  -Hour 07 -Minute 36 -Second 02
    $EndTime = Get-Date -Year 2020 -Month 10 -Day 7  -Hour 07 -Minute 36 -Second 05
    $Query = Get-WinEvent -FilterHashtable @{
                                LogName = 'Security'
                                StartTime = $StartTime
                                EndTime = $EndTime
                                ID = "4624"
                                }

    Bon ici j'ai limité sur 3 secondes, mais c'est juste pour n'avoir que quelques events, dont celui qui m'intéresse

    $query
    
    
       ProviderName : Microsoft-Windows-Security-Auditing
    
    TimeCreated                     Id LevelDisplayName Message                                                                                                                          
    -----------                     -- ---------------- -------                                                                                                                          
    07/10/2020 07:36:04           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 07:36:03           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
    07/10/2020 07:36:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....

    Bof, on va améliorer cela, ce n'est que la sortie console

    $query | Select-Object @{Label = "TimeCreated"      ; Expression = {$_.TimeCreated}},
                           @{Label = "ID"               ; Expression = {$_.ID}},
                           @{Label = "MachineName"      ; Expression = {$_.MachineName}},
                           @{Label = "LevelDisplayName" ; Expression = {$_.LevelDisplayName}},
                           @{Label = "TaskDisplayName"  ; Expression = {$_.TaskDisplayName}},
                           @{Label = "SecurityId"       ; Expression = {$_.Properties[4].Value}},
                           @{Label = "AccountName"      ; Expression = {$_.Properties[5].Value}},
                           @{Label = "AccountDomain"    ; Expression = {$_.Properties[6].Value}},
                           @{Label = "LogonId"          ; Expression = {$_.Properties[7].Value}},
                           @{Label = "LogonType"        ; Expression = {$_.Properties[8].Value}},
                           @{Label = "Workstation"      ; Expression = {$_.Properties[11].Value}},
                           @{Label = "LogonGuid"        ; Expression = {$_.Properties[12].Value}}

    et ça donne :

    TimeCreated      : 07/10/2020 07:36:04
    ID               : 4624
    MachineName      : W2K19-DC.LAB.LOCAL
    LevelDisplayName : Information
    TaskDisplayName  : Ouvrir la session
    SecurityId       : S-1-5-18
    AccountName      : W2K19-DC$
    AccountDomain    : LAB.LOCAL
    LogonId          : 222853
    LogonType        : 3
    Workstation      : -
    LogonGuid        : fe7d9233-b617-564d-ca3d-41c1d1011513
    
    TimeCreated      : 07/10/2020 07:36:03
    ID               : 4624
    MachineName      : W2K19-DC.LAB.LOCAL
    LevelDisplayName : Information
    TaskDisplayName  : Ouvrir la session
    SecurityId       : S-1-5-21-310437918-1906062273-1680514792-1130
    AccountName      : W2K19-DC2$ # <== Ca c'est la machine
    AccountDomain    : LAB.LOCAL
    LogonId          : 221273
    LogonType        : 3
    Workstation      : -
    LogonGuid        : 010206e6-2f5e-1d8e-fc5e-64586b4dd45e
    
    TimeCreated      : 07/10/2020 07:36:02
    ID               : 4624
    MachineName      : W2K19-DC.LAB.LOCAL
    LevelDisplayName : Information
    TaskDisplayName  : Ouvrir la session
    SecurityId       : S-1-5-21-310437918-1906062273-1680514792-500
    AccountName      : Administrateur # <== Ca c'est moi !
    AccountDomain    : LAB
    LogonId          : 220861
    LogonType        : 10
    Workstation      : W2K19-DC
    LogonGuid        : d4f4ef05-feb0-b080-aef8-c5007d1ff1de

    Ca sort encore trop de choses, j'ai encore les logon des machines, on va affiner. Reprenons la query

    $Query = Get-WinEvent -FilterHashtable @{
                                LogName = 'Security'
                                StartTime = $StartTime
                                EndTime = $EndTime
                                ID = "4624"
                                } | Where-Object -FilterScript {$_.Properties[5].Value -notlike "*$"}

    En clair, j'ai filtré les compte machines (ils se terminent par un $)

    et maintenant si je rejoue le code précédent avec le Select-Object ...., je n'obtiens bien que les comptes utilisateurs.

    Attention : comme l'a fait remarqué Medhi, il faut activer l'audit

    Par GPO cela se fait soit :

    Conf Ordinateur ==> Stratégies ==> paramètres Windows ==> Paramètres de sécurité ==> Stratégies locales

    Ou mieux via

    Conf ordinateur ==> Stratégies ==> paramètres Windows ==> Confiugraiton avancée de la stratégie d'Audit ==> Ouvrir/fermer la session. Et là, on peut activer l'audit sur les ouvertures, fermetures de session, le verrouillage de compte, ....

    cordialement

    Olivier

    mercredi 7 octobre 2020 10:01
  • Mmmme, 

    ca donne des idées de faire un petit GUI, qui permet de superviser les comptes logués et l'heure de connexion, quoique cela serait pas si simple, s'il faut interroger plusieurs DC et surtout si parfois l'user se logue en hors ligne ensuite rejoins l'AD, je te laisse tester l'efficacité de ton script, et on verra apres, en tout cas je vais l'enregistrer.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mercredi 7 octobre 2020 10:59
  • Attention Medhi,

    Dans ce que j'ai fourni comme code, je n'interroge qu'un seul DC, mais cela n'est pas un pb.

    On peut aisément récupérer l'ensemble des contrôleurs de domaine, puis au sein d'une boucle foreach faire la query qui va bien. Après on peut également adapter la query pour rechercher un utilisateur en particulier.

    Après il est toujours possible d'ajouter un GUI (ça tu aimes visiblement :-) ). Pour ma part je considère qu'un GUI est bien pour des requêtes unitaires et multirépétitives. Mais ce dont on parle là, on ne va pas le faire tous les jours. Il y a aussi d'autres solutions autre que le GUI, génération d'un fichier qand le format qu'on veut, envoi par mail, ...

    Cordialement

    Olivier

    mercredi 7 octobre 2020 11:56
  • Salut Mehdi,

    J'ai fait les tests de mon architecture, je constante j'ai des utilisateurs du siteA ouvrent des sessions sur le DC du siteB. Je l'ai constaté dans l'Audit du DC3

    Est normal que dans NTDS settings du DC3 du siteB j'ai un DC1 du siteA en connexion automatique

    Est normal que dans NTDS settings du DC2 du siteA j'ai le DC3 du siteB en connexion automatique

    Faut 'il cocher la case "Activer la mise en cache de l'appartenance au groupe universel"?

    Quand je crée un utilisateur sur DC3 du siteB et il est crée sur les DC siteA au bout d'environ 5mn. Or la fréquence de mon lien est de 60mn. J'ai l'impression que les réplication intersite ne fonctionne pas.

    Cordialement,


    Serge


    • Modifié Serge MFR vendredi 9 octobre 2020 09:07
    vendredi 9 octobre 2020 08:50
  • Salut serge,

    oui c'est normal, dans NTDS il garde la topologie pour la réplication et en cas d'échec d'un DC pour joindre un autre site.

    essaies de voir si t'as crée des subnets, et les as accordé au bon site


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:21
    vendredi 9 octobre 2020 09:03
  • ne te fis pas à l'audit, mais plutot à la commande sur les postes, regardes si tes postes se logue sur le bon DC essaies de redemarrer le meme postes 3 ou 4 fois et tapes : echo %logonserver% 

    s'il se logue toujours sur le bon site, c'est OK


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:53
    vendredi 9 octobre 2020 09:05
  • Salut Mehdi,

    Merci pour ta réponse.

    J'ai fais exactement fait ma configuration comme sur ton schéma.

    Les subnets du chaque site sont associés à chaque site.

    Pour rappelle:

     - SiteA
       Servers : DC1 et DC2
       Subnets : 10.50.12.0/24, 10.10.0.0/24, 10.76.10.0/24
       Serveurs et Dcs sont sur les subnets 10.50.12.0/24, 10.10.0.0/24, Les utilisateurs sont sur le subnet 10.76.10.0/24

    - SiteB
       Server : DC3
       Subnets : 192.168.10.0/24
       Serveurs, DC et utilisateurs sont sur le subnet : 192.168.10.0/24.

    Sur le SiteA DC2 est en "Générateur de topologie Intersite" ( automatiquement )

    Faut 'il gérer le cache?

    Faut il ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants". Phillipe m'avait conseillé que ce n'était pas utile car mon archi était simple.


    Serge


    • Modifié Serge MFR vendredi 9 octobre 2020 09:51
    vendredi 9 octobre 2020 09:45
  • RE,

    pour la premiere Activer la mise en cache, ne la coche pas, c'est pour les groupes universel inter domaine, t'en as pas besoin.

    pour les IP et SMTP philippe a raison, t'en as pas besoin, néomoins il m'arrive de les activer en cas de conflit IP ou pour forcer, si tu dois le faire ca serait pas sur le DC2 mais DC1, et sur un DC par Site, pour l'instant ne les touches pas, et ne modifies rien dans NTDS c'est pour la réplication, pas pour l'ouverture de session.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 10:30
    vendredi 9 octobre 2020 10:14
  • Vérifies tes subnet s'ils sont bien lié au bon site, comme dans mon exemple, celui d'utilisateur 10.10.0.0/24 doit être lié au site A, et les users devront pouvoir contacter facilement le DC1 et DC2.

    envoie nous une capture des subnets, autres choses ta config ip sur les postes, surtout les DNS, cela n'affecte pas l'ouverture de session, mais ca peut régler ton problème, si tu peux nous dire ce qui se passe sur les potes.

    et pour finir teste sur le Site B, les utilisateurs ne devront pas ouvrir de session sur les DC1 et DC2, fais nous un retour de tout cela.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 9 octobre 2020 10:17
  • Merci Mehdi pour cette réponse.

    Serge

    vendredi 9 octobre 2020 14:59
  • Faut 'il gérer le cache?

    Non mais vérifie que tous les DCs sont des catalogues globaux.

    La mise en cache des groupes universelles n'est utilise que si tu n'as pas de catalogue global sur le site. 


    • Marqué comme réponse Serge MFR lundi 12 octobre 2020 12:41
    vendredi 9 octobre 2020 17:13
  • Bonjour Philippe,

    J'ai un doute. Je vais promouvoir le DC (DC3 qui sera un catalogue global) de mon site distant.

    Est ce que la copie de l'annuaire AD utilisera le lien créé pour la réplication intersite?

     (Pour rappel : Lien : Coût : 378, Fréquence de réplication: 100)

    Est ce que la copie de l'annuaire AD utilisera tout le lien MPLS?

    Merci pour ton aide.


    Serge

    mardi 13 octobre 2020 07:51