locked
joindre un DC a un domaine existant depuis un site distant RRS feed

  • Question

  • Bonjour a tout(e)s,

    Je possède aujourd hui une infrastructure virtuelle (vsphere 4.1) avec du 2003 R2. Cette infra est très éclatée (environ 50 agences) au travers d'un BVPN orange. Le lan serveur regroupe tous ces derniers et distribu les services au travers du BVPN...

    Jusque la pas de problème.

    Je dois bientôt migrer toute l'infra vers une solution de virtualisation en Vsphere 5.0 et tous les serveurs en 2008 R2.

    Pour cela nous devons faire joindre la nouvelle infra comme une agence classique au BVPN existant, y monter tous les nouveaux serveurs et decomossionner les doublons aux moment opportuns.

    Voici comment je comptais m'y prendre pour la partie AD :

    Je disposes actuellement de deux DC en 2003 R2 dans 2 sites AD. Je comptes monter en paralelle mes deux nouveaux DC 2008 R2, les intégrer au domaine existant (pas de migration AD),les rpartir dans les deux meme sites, transférer les roles FSMO, puis décommissioner les serveur 2003 R2 une fois tous mes serveurs migrés...

    Jusque la encore, pas de problème (la procédure a été validée par mon ancien intégrateur).

    Là ou je rencontre un problème, c est que je doit également mettre a dispo rapidement un serveur SQL dans cette nouvelle infra hors, le lien qui doit etre mis en place pour joindre ce nouveau site au BVPN existant et donc permettre la communication entre les anciens et nouveaux serveurs a pris du retard.... je ne vais donc disposer dans un premier temps que d'un lien VPN vers cette nouvelle infra...

    Je voulais donc savoir s'il existe des solutions pour faire communiquer, et notament d'un point de vu Active directory, mes deux infrastructures ?

    Puis-je intégrer les nouveaux DC a mon domaine existant au travers d'une connexion VPN ?

    Avez-vous des suggestions ?

    Merci !

    vendredi 10 mai 2013 18:04

Réponses

  • Bonjour,

    Pour assurer que l'autre site capable de se communiquer avec le domaine je vous propose d'installer un autre active directory sur le site distant qui sera consulté par toute machine membre de domaine pour l'authentification et ou bien d'autre besoin comme l'intégration d'un nouveau PC ou Serveur.

    Si vous gérez le domaine depuis un site centrale et vous n'avez pas une application qui aura besoin de modifier les objets Active directory comme Exchange par exemple un active directory en lecture seul est suffisant afin d’assurer la protection des données de domaine (Active directory). pour avoir plus des détails veuillez consulter les liens ci-dessous:

    http://technet.microsoft.com/en-us/library/dd735411(v=ws.10).aspx

    http://technet.microsoft.com/en-us/library/dd735173(v=ws.10).aspx

    L'installation d'un serveur Active directory vous permettre d'optimiser le traffic VPN, puisque tous les traitements d'authentification et communication avec le domaine sera traiter avec le contrôleur de domain le local si vous avez bien définit le sous réseau de chaque site et bien configurer le service Active Directory Sites and Services

    Avec cette configuration les deux sites vont utiliser le même domaine grâce au mécanisme de réplication entre les différents active directory  et chaque serveur ou machine cliente contacte le contrôleur le plus proche afin de minimiser le traffic sur VPN et assurer la disponibilité de domaine même dans le cas  de perturbation temporaire sur la liaison entre les deux sites .

    Veuillez consulter également ce lien pour plus des détails:

    http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton


    vendredi 10 mai 2013 19:18
    Auteur de réponse
  • Bonsoir,

    Puis-je intégrer les nouveaux DC a mon domaine existant au travers d'une connexion VPN ?

    Si j'ai bien compris votre question, vous désirez intégrer les nouveaux serveurs au domaine avec une liaison VPN avec le site qui héberge les service Active directory. Oui c'es possible si la connexion VPN est fiable et vous avez bien déclarer l'adresse du contrôleur de l'ancienne infra tant que DNS pour qu'il puisse détecter et communiquer avec le domaine.

    Même c'est possible d lancer l’assistant d'installation d'active directory pour installer un nouveau active directory et mais personnellement j'essaie toujours d'éviter d'utiliser le VPN s'il y a la possibilité bien sur pour l'opération d'installation se déroule sans interruption,donc tout dépend de la qualité de connexion VPN entre les deux sites.

    il s'agit de deporter la globaliter des authentification et des autres services dans la nouvelles infra et de decommissioner entierement l'ancienne.

    Pour l'authentification , si le nombre des PC membre du domaine est important il vaut mieux d'installer un contrôleur de domaine local (même un DC en lecture seul sera suffisant) pour des raisons de performance comme je l'ai dit dans ma réponse ci-dessous.

    Même pour la sauvegarde , vous aurez besoin de sauvegarder un seul DC et pas tous. 


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 10 mai 2013 20:17
    Auteur de réponse
  • Si la liaison n'est pas assez performante il est possible de faire une installation AD à partir d'une copie de l'annuaire stocké sur un média. Sinon on peut choisir le DC source par l'iunitialisation de l'annuaire.

    http://technet.microsoft.com/fr-fr/library/cc816722(v=ws.10).aspx

    lundi 13 mai 2013 18:13

Toutes les réponses

  • Bonjour,

    Pour assurer que l'autre site capable de se communiquer avec le domaine je vous propose d'installer un autre active directory sur le site distant qui sera consulté par toute machine membre de domaine pour l'authentification et ou bien d'autre besoin comme l'intégration d'un nouveau PC ou Serveur.

    Si vous gérez le domaine depuis un site centrale et vous n'avez pas une application qui aura besoin de modifier les objets Active directory comme Exchange par exemple un active directory en lecture seul est suffisant afin d’assurer la protection des données de domaine (Active directory). pour avoir plus des détails veuillez consulter les liens ci-dessous:

    http://technet.microsoft.com/en-us/library/dd735411(v=ws.10).aspx

    http://technet.microsoft.com/en-us/library/dd735173(v=ws.10).aspx

    L'installation d'un serveur Active directory vous permettre d'optimiser le traffic VPN, puisque tous les traitements d'authentification et communication avec le domaine sera traiter avec le contrôleur de domain le local si vous avez bien définit le sous réseau de chaque site et bien configurer le service Active Directory Sites and Services

    Avec cette configuration les deux sites vont utiliser le même domaine grâce au mécanisme de réplication entre les différents active directory  et chaque serveur ou machine cliente contacte le contrôleur le plus proche afin de minimiser le traffic sur VPN et assurer la disponibilité de domaine même dans le cas  de perturbation temporaire sur la liaison entre les deux sites .

    Veuillez consulter également ce lien pour plus des détails:

    http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton


    vendredi 10 mai 2013 19:18
    Auteur de réponse
  • Bonsoir,

    Merci pour votre réponse.

    Je penses que je me suis mal exprimé (désole ce n'est pas un cas simple a expliquer ! :) )

    Toute l'infra actuellement en 2003 va disparaitre et etre remplacée par l'infra en 2008.

    Je ne peux pas intégrer les nouveaux serveurs au niveau de l'infra existante car nous externalisation l'hebergement... c'est pourquoi je doit notamement créer un nouveau subnet.

    Actuellement touets nos agences sont dan des réseaux de type 192.168/24 (le 3eme octet correspondant au site) ainsi que notre lan serveur qui est sur du 192.168.101/24. J'ai prévue de déclarer un nouveau range pour ma nouvelle infra (192.168.101/24).

    Bref il s'agit de deporter la globaliter des authentification et des autres services dans la nouvelles infra et de decommissioner entierement l'ancienne.

    vendredi 10 mai 2013 19:35
  • Bonsoir,

    Puis-je intégrer les nouveaux DC a mon domaine existant au travers d'une connexion VPN ?

    Si j'ai bien compris votre question, vous désirez intégrer les nouveaux serveurs au domaine avec une liaison VPN avec le site qui héberge les service Active directory. Oui c'es possible si la connexion VPN est fiable et vous avez bien déclarer l'adresse du contrôleur de l'ancienne infra tant que DNS pour qu'il puisse détecter et communiquer avec le domaine.

    Même c'est possible d lancer l’assistant d'installation d'active directory pour installer un nouveau active directory et mais personnellement j'essaie toujours d'éviter d'utiliser le VPN s'il y a la possibilité bien sur pour l'opération d'installation se déroule sans interruption,donc tout dépend de la qualité de connexion VPN entre les deux sites.

    il s'agit de deporter la globaliter des authentification et des autres services dans la nouvelles infra et de decommissioner entierement l'ancienne.

    Pour l'authentification , si le nombre des PC membre du domaine est important il vaut mieux d'installer un contrôleur de domaine local (même un DC en lecture seul sera suffisant) pour des raisons de performance comme je l'ai dit dans ma réponse ci-dessous.

    Même pour la sauvegarde , vous aurez besoin de sauvegarder un seul DC et pas tous. 


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 10 mai 2013 20:17
    Auteur de réponse
  • Bonjour,

    Concernant votre réponse pour la partie VPN, c ets tout a fait ce qu'il me fallait, merci !

    Y a-t-il des bonnes pratiques pour ce genre d'utilisation de l'assistant d'installation d'active Directory (via VPN) ?

    Concernant la présence de DC supplémentaires en lecture seule, cela ne sera pas nécessaire... l'infra ne concerne que 300 utilisateurs et la pluspart des agences n'ont pas plus de 5-8 utilisateurs.


    lundi 13 mai 2013 08:08
  • Si la liaison n'est pas assez performante il est possible de faire une installation AD à partir d'une copie de l'annuaire stocké sur un média. Sinon on peut choisir le DC source par l'iunitialisation de l'annuaire.

    http://technet.microsoft.com/fr-fr/library/cc816722(v=ws.10).aspx

    lundi 13 mai 2013 18:13