locked
2008 R2 et sites distants RRS feed

  • Question

  • Bonjour à tous,

    je ne cherche pas aujourd'hui à résoudre un problème mais plutôt chercher conseil.

    Voici ma situation : Sur mon site principal, j'ai un premier serveur 2008 R2 entreprise qui fait AD, DNS, serveur de fichiers, DHCP, WSUS, WDS sur lequel j'ai environ 100 utilisateurs.
    je dispose d'un second serveur qui fait office de controleur de domaine secondaire (AD et DNS) et de serveur antivirus.

    J'ai 5 sites distants (entre 5 et 20 utilisateurs par site) tous relié au principal via des liens 1Mb/s à 2Mb/s.
    Actuellement, quasi aucune infra sur ces sites, juste un petit NAS pour les data et quelques imprimantes partagés par site.

    Ma question est la suivante : Quelle serait la meilleur solution pour un réseau de ce type ?

    J'ai pensé à plusieurs solutions :
    - Des "petits" serveurs avec Windows 2008 R2 foundation pour les sites distants. Problèmes, la gestion des users et des machines va vite devenir compliqué.
    - Des dommaines différents avec relation d'approbation. La encore, la gestion n'est pas centralisée du tout (gestion des GPO par exemple)
    - serveur 2008 R2 Standard dans chaque site (solution la plus couteuse...) tous connectés au même domaine.

    Merci par avance pour vos avis.

    Benjamn
    mercredi 6 juillet 2011 10:07

Réponses

  • Bonjour,

    La bande passante utilisée par les stratégies de groupe est proportionnelle au nombre de paramètres adressés par celles-ci. On parle parfois de quelques Kb mais également de Mb... Tout dépend de leur contenu. Afin de minimiser l'impact, configurez les GPO pour ne s'appliquer qu'en cas de nouvelle version de celle-ci, réduisez également la fréquence de rafraichissement de celles-ci. Prenez également garde à la détection de "slow links" qui pourrait tout simplement empêcher leur l'application, adaptez le en conséquence

    En ce qui concerne les éventuels scripts d'ouverture de session et de démarrage, évaluez la solution suivante: configurez des scripts "minimalistes" qui démarre grâce au GPO et ensuite pointent vers des scripts "complets" placés sur les NAS. C'est un peu plus complexe mais cela réduira d'autant la bande passant WAN utilisée.

    Concernant l'installation des MAJ avec WSUS, essayer, pour autant que possible, de privilégier les téléchargements en dehors des heures de travail (paramétrable par GPO notamment), de réduire la bande passante alloué en journée et enfin, d'utiliser uniquement des version "express install" (stockage plus important sur le serveur WSUS mais téléchargement généralement de taille moindre).

    Pour terminer sur l'installation d'applications, dans ce cas il n'y aura pas de miracle. il vaut mieux bannir l'installation par GPO qui risque de paralyse votre connexion WAN et le poste de travail en cours d'installation. Voyez dans quelle mesure vous ne pourriez pas copier les sources d'installation également sur les NAS et démarrer l'installation de cet emplacement. Dans tous les cas, prenez garde au fait que les packages MSI conservent une trace de l'emplacement à partir duquel ils ont été installés...

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    • Proposé comme réponse Julien.G jeudi 7 juillet 2011 08:32
    • Marqué comme réponse Bcarion jeudi 7 juillet 2011 13:29
    jeudi 7 juillet 2011 06:31

Toutes les réponses

  • Bonjour,

    Un nombre d'utilisateur si faible par site n'ompose par de contrôleur de domaine local pour limiter l'usage de la bande passante sauf si un site doit pouvoir fonctionner tout en étant déconnecté du site central.

    Un politique de stratégies de groupe réduites évitera des lenteurs excessive à l'ouverture de session et au démarrage du poste.

    Certains NAS supportant la jonction à une domain Windows, cela pourrait égelement participer à la solution complète.

    Enfin, selon la version de Windows sur les postes clients, la technologie BranchCache pourrait s'avérer utile pour minimiser l'impact de certains service sur le réseau WAN (WSUS par ex.): http://technet.microsoft.com/en-us/network/dd425028.

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    mercredi 6 juillet 2011 12:33
  • Bonjour,

    Merci pour cet avis.
    En effet, l'idée du NAS joint au domaine permettrait de mettre toute la partie serveur de fichier en local.
    Resterait uniquement les paquets DHCP et DNS qui circuleraient sur le lien 1Mb.


    Quand aux GPO, elles me sont surtout utiles pour l'installation d'une nouvelle machine (installation de word, firefox, reader pdf, agent antivirus...). Peu de GPO sont appliquées aux machines déjà en fonction mais centraliser tout ca permettrait par exemple d'avoir des procédures d'installation communes à tous les sites, des version de logiciels identiques...

     

    Le seul soucis qui reste est WSUS, brand cache ne s'applique qu'aux machines sous Windows 7 et 95% de mon parc est sous Windows XP.

     

    Aurais-tu une idée de la bande passante consommée au login d'un user ? (sans profil itinérant bien sur)

    mercredi 6 juillet 2011 14:35
  • Bonjour,

    La bande passante utilisée par les stratégies de groupe est proportionnelle au nombre de paramètres adressés par celles-ci. On parle parfois de quelques Kb mais également de Mb... Tout dépend de leur contenu. Afin de minimiser l'impact, configurez les GPO pour ne s'appliquer qu'en cas de nouvelle version de celle-ci, réduisez également la fréquence de rafraichissement de celles-ci. Prenez également garde à la détection de "slow links" qui pourrait tout simplement empêcher leur l'application, adaptez le en conséquence

    En ce qui concerne les éventuels scripts d'ouverture de session et de démarrage, évaluez la solution suivante: configurez des scripts "minimalistes" qui démarre grâce au GPO et ensuite pointent vers des scripts "complets" placés sur les NAS. C'est un peu plus complexe mais cela réduira d'autant la bande passant WAN utilisée.

    Concernant l'installation des MAJ avec WSUS, essayer, pour autant que possible, de privilégier les téléchargements en dehors des heures de travail (paramétrable par GPO notamment), de réduire la bande passante alloué en journée et enfin, d'utiliser uniquement des version "express install" (stockage plus important sur le serveur WSUS mais téléchargement généralement de taille moindre).

    Pour terminer sur l'installation d'applications, dans ce cas il n'y aura pas de miracle. il vaut mieux bannir l'installation par GPO qui risque de paralyse votre connexion WAN et le poste de travail en cours d'installation. Voyez dans quelle mesure vous ne pourriez pas copier les sources d'installation également sur les NAS et démarrer l'installation de cet emplacement. Dans tous les cas, prenez garde au fait que les packages MSI conservent une trace de l'emplacement à partir duquel ils ont été installés...

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    • Proposé comme réponse Julien.G jeudi 7 juillet 2011 08:32
    • Marqué comme réponse Bcarion jeudi 7 juillet 2011 13:29
    jeudi 7 juillet 2011 06:31