none
Préconisations AD Multi Forêt RRS feed

  • Question

  • Bonjour,

    Je vois beaucoup de préconisations sur internet concernant le placement des rôles FSMO et GC dans une forêt. Particulièrement pour ce qui est de l'incompatibilité maitre d'infrastructure et GC.

    Par contre je ne vois pas grand chose concernant les environnement multi-forêts.

    Par exemple faut il toujours éviter de placer un maitre d'infrastructure sur un GC si deux forêts monodomaines ? Le catalogue global et le maitre d'infrastructure possèdent ils des références à des objets de l'autre forêt ?

    Voyez vous d'autres préconisations du genre ?

    Bonne journée, merci d'avance

    lundi 27 juillet 2015 09:00

Réponses

  • Bonjour,

    oui, un catalogue global est limité à sa propre forêt. Il contient un réplica complet de son domaine, et un réplica partiel des domaines de sa forêt. Voici un article qui explique le fonctionnement détaillé des communications inter-forêts (un peu ancien, mais toujours d'actualité).

    https://msdn.microsoft.com/fr-fr/library/Cc772808%28v=WS.10%29.aspx

    Au sujet du maître d'infrastructure je suis moins catégorique quant à son action sur des fantômes qui seraient présent sur les DC de son domaine, mais pour moi il n'y a pas à modifier votre infrastructure dans la configuration actuelle.

    Cordialement,


    mardi 28 juillet 2015 14:13

Toutes les réponses

  • Bonjour,

    la notion de deux forêt monodomaine n'existe pas, la structure ou bien même la définition du forêt est un regroupement de plusieurs domaine, par contre un domaine appartient à un seul forêt.

    lundi 27 juillet 2015 10:41
    Modérateur
  • Bonjour,

    Votre réponse m'étonne... Ou alors je me suis mal exprimé. Voici donc des éléments concrets :

    • Entreprise A a un environnement active directory sur une forêt A qui ne contient qu'un domaine A.
    • Entreprise B a un environnement active directory sur une forêt B qui ne contient qu'un domaine B.
    • Ces deux entreprises ont besoin de partager leurs ressources informatiques donc un VPN est monté entre les deux et les forêt s'approuvent via une approbation de forêt.

    Ainsi entreprise A peut utiliser un compte de l'entreprise B et vice versa.

    Dans ce cas, comment ça se passe niveau GC, maitre d'infrastructure, etc... Y a t'il des préconisations pour ce genre d'environnement ? Comment se passe la communication ?

    merci d'avance.

    Bonne journée,


    lundi 27 juillet 2015 12:31
  • Bonjour,

    les deux forêts étant monodomaines, il faut selon moi, les traiter comme étant distinctes.

    D'où la réponse de Thameur, la notion de "deux forêts monodomaine n'existe pas".

    Il est possible de rencontrer le cas évidemment, mais cela n'implique pas une configuration spécifique, il faut appliquer la configuration nécessaire à une forêt monodomaine classique : tous les DC peuvent être catalogues globaux.

    http://blogs.msmvps.com/acefekay/2010/10/01/global-catalog-and-fsmo-infrastructure-master-relationship/

    https://www.sole.dk/how-to-place-fsmo-and-global-catalog-roles-in-active-directory/

    lundi 27 juillet 2015 14:20
  • Bonjour,

    Les deux forêts sont indépendantes et les roles FSMO ne sont pas en relation. Il faut donc traiter le placement de rôles fsmo forêt par forêt. Le fait qu'il y a un partage de ressources n'influe pas sur la conception des rôles fsmo.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    lundi 27 juillet 2015 16:10
  • Bonjour,

    Merci pour vos réponses.

    Donc ce que je dois comprendre c'est que :

    - le catalogue global ne comprend que des objets des différents domaines de sa propre forêt. Mais n'a aucune référence aux objets de de l'autre forêt.

    - Le maître d'infrastructure n'a aucune référence ou objet fantôme de l'autre forêt.

    -En gros les deux forêts sont traitées totalement séparément il n'y a aucune modification d'infrastructure a effectuer lors de la mise en relation des deux forêts (à part la relation d'approbation).

    Suis je dans le juste ?

    Pour info je suis entrain de mettre en place cela chez un client donc j'aimerais éviter de tout faire capoter si possible ;)

    Bonne journée,

    mardi 28 juillet 2015 10:00
  • Bonjour,

    oui, un catalogue global est limité à sa propre forêt. Il contient un réplica complet de son domaine, et un réplica partiel des domaines de sa forêt. Voici un article qui explique le fonctionnement détaillé des communications inter-forêts (un peu ancien, mais toujours d'actualité).

    https://msdn.microsoft.com/fr-fr/library/Cc772808%28v=WS.10%29.aspx

    Au sujet du maître d'infrastructure je suis moins catégorique quant à son action sur des fantômes qui seraient présent sur les DC de son domaine, mais pour moi il n'y a pas à modifier votre infrastructure dans la configuration actuelle.

    Cordialement,


    mardi 28 juillet 2015 14:13
  • Bonjour, 

    Si vos forêt sont distinctes alors les rôles FSMO sont séparés et vous devez voir chaque forêt individuellement.

    Dans le cas d'une forêt mono domaine on met le catalogue globale sur l'ensemble des DC.

    Voir http://pbarth.fr/node/6


    mardi 28 juillet 2015 15:47
    Modérateur
  • Bonjour,

    merci à tous pour vos réponse. Je lis la doc cette après midi donnée par Léo  concernant le fonctionnement du dialogue inter forêt. Comme ça si j'ai des questions je vous les poses demain matin. Le cas échéant on pourra clore le sujet.

    Merci !

    mercredi 29 juillet 2015 09:37
  • Bonjour,

    Je confirme que vous pouvez clore ce ticket.

    Merci à vous tous pour vos réponse.

    Bonne journée

    vendredi 31 juillet 2015 08:30
  • Merci de noter les réponses qui vous ont aidées
    vendredi 31 juillet 2015 09:17
    Modérateur