Active Directory - Questions débutant [Résolu]

Signaler
-
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
-
Bonjour,

Je suis en train d'apprendre en cours les notions d'Active Directory et l'installation de plusieurs services.

Seulement, j'ai une interrogation :

1) Un seul domaine AD va-t-il/peut-il regrouper plusieurs réseaux d'entreprise ou faut-il forcément rajouter un nouveau domaine ?

Par exemple, si une entreprise à des locaux à Paris et d'autres à Bruxelles : peut-elle (et est-ce bien ?) intégrer toutes les machines et utilisateurs des deux endroits dans le même domaine? Si oui, comment faire pour intégrer les ordinateurs au domaine (en les authentifiant auprès du DC donc) qui n'est pas sur le LAN ? (car en cours je n'ai que fait qu'ajouter des machines du même LAN dans le domaine ce qui ne posait pas de soucis)


Merci d'avance !

3 réponses

Messages postés
38360
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
15 janvier 2021
1 924
bonjour ...
Dans tes notions AD ... revois un peu les notions d'arbres (Trees) et de Forêts (forest)..;
Il est clair que dans ton exemple Paris - Bruxelles, il doit y avoir un choix ..
soit Travailler avec un domaine parent et un domaine enfant (le préférable).. ... soit utiliser un RODC (Read only domain controller) dans le même domaine.. ... Le choix est crucial vu la problématique de traffic imposé par les réplications (ntds.dit et sysvol) ..
Messages postés
96549
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
15 janvier 2021
11 410
Salut,
un seul domaine AD peut très bien comprendre plusieurs réseaux IP si c'est ça la question.
par contre, il vaut peut-etre mieux avoir un controleur de domaine secondaire par réseau si ces réseaux sont grands en nombre de machines, pour éviter de surcharger inutilement les routeurs.
un domaine c'est avant tout une organisation administrative, pas du tout technologique.
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
401
Hello,

Il y a 2 topologies dans Active Directory.
La topologie logique , et la topologie physique.

La topologie Physique : permet de disposer des Sites Active Directory attachés avec des sous réseaux IP - pour identifier où sont les contrôleurs de domaine; et donc localiser les services AD pour des clients.

La topologie logique : est le découpage par domaine/sous domaine et par OU (Unité d'organisation).

Le RODC cité plus haut, est réservé pour un usage particulier ; le principal est que, si l'on doit disposer de services AD sur le site en question, mais que l'accès physique au serveur n'est pas sécurisé. (comprendre : vol des disques d'un DC RW 'classique' = accès aux mots de passe des comptes = pas bien) - le RODC ne synchronise pas les mots de passe par défaut, mais il est possible de synchroniser les mots de passe d'un lot d'utilisateurs (ce que l'on appelle PRP).

-

La dans ce cas, un seul domaine est préconisé pour tout le monde.
Avec ajout d'un Contrôleur de domaine sur le site Belgique.(après au choix DC normal ou RODC)
Il faut ensuite configurer la topologie AD (console sites et services AD) pour rattacher les bons sous réseaux aux sites AD, ainsi que leur lien inter site (configurer "comment" répliquent les 2 sites entre eux).
Comment faire répliquer les sites distants -> via des liens "WAN".

-
Il y a bcp de d'arguments et d'implications autour de "faire un domaine enfant supplémentaire , ou une foret supplémentaire" qui sont peut être trop avancés pour l'instant.

-

Il m'est amené de voir pas mal d'infras... qqs exemples :
- infra Mono domaine avec un seul site AD, mais qui dessert les services AD pour 25000 users qui sont éparpillés sur plus de 3000 sites distants physiques, pour autant je n'ai pas de DC sur chacun des sites.
- infra Foret Mono domaine : 20 sites AD avec des DCs installés localement par site.
- Ou encore Foret avec 36 domaines et 150 sites AD ...

-
Edit :
Le choix de disposer d'un DC sur le site en question :
- Est ce que les liens WAN sont redondés, quel est leur débit et sont-ils "sûrs/stables".
- Nombre d'utilisateurs : est ce que le trafic d'authentification est supérieur à celui de la réplication.(et encore maintenant avec la capacité des liens que l'on peut avoir, c'est discutable ; d'autant plus que pour une petite infra, il n'y a pas énorme à répliquer car peu de changements sur AD).
- Locaux sécurisés pour mettre des serveurs
- criticité des applications tournant sur le site.

-

Tout est possible hein... il y aura toujours des exemples pour défendre l'un ou l'autre, il faut se rappeler : le plus simple est le mieux ! (Less is More)
Et rester en adéquation avec le business et la sécurité requise à ce business.