Active Directory - Questions débutant

Résolu/Fermé
Bonjour - 26 oct. 2020 à 12:42
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 27 oct. 2020 à 11:41
Bonjour,

Je suis en train d'apprendre en cours les notions d'Active Directory et l'installation de plusieurs services.

Seulement, j'ai une interrogation :

1) Un seul domaine AD va-t-il/peut-il regrouper plusieurs réseaux d'entreprise ou faut-il forcément rajouter un nouveau domaine ?

Par exemple, si une entreprise à des locaux à Paris et d'autres à Bruxelles : peut-elle (et est-ce bien ?) intégrer toutes les machines et utilisateurs des deux endroits dans le même domaine? Si oui, comment faire pour intégrer les ordinateurs au domaine (en les authentifiant auprès du DC donc) qui n'est pas sur le LAN ? (car en cours je n'ai que fait qu'ajouter des machines du même LAN dans le domaine ce qui ne posait pas de soucis)


Merci d'avance !
A voir également:

3 réponses

choubaka Messages postés 39404 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 21 novembre 2024 2 102
26 oct. 2020 à 13:03
bonjour ...
Dans tes notions AD ... revois un peu les notions d'arbres (Trees) et de Forêts (forest)..;
Il est clair que dans ton exemple Paris - Bruxelles, il doit y avoir un choix ..
soit Travailler avec un domaine parent et un domaine enfant (le préférable).. ... soit utiliser un RODC (Read only domain controller) dans le même domaine.. ... Le choix est crucial vu la problématique de traffic imposé par les réplications (ntds.dit et sysvol) ..
0
brupala Messages postés 110568 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 novembre 2024 13 838
26 oct. 2020 à 16:06
Salut,
un seul domaine AD peut très bien comprendre plusieurs réseaux IP si c'est ça la question.
par contre, il vaut peut-etre mieux avoir un controleur de domaine secondaire par réseau si ces réseaux sont grands en nombre de machines, pour éviter de surcharger inutilement les routeurs.
un domaine c'est avant tout une organisation administrative, pas du tout technologique.
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié le 27 oct. 2020 à 12:16
Hello,

Il y a 2 topologies dans Active Directory.
La topologie logique , et la topologie physique.

La topologie Physique : permet de disposer des Sites Active Directory attachés avec des sous réseaux IP - pour identifier où sont les contrôleurs de domaine; et donc localiser les services AD pour des clients.

La topologie logique : est le découpage par domaine/sous domaine et par OU (Unité d'organisation).

Le RODC cité plus haut, est réservé pour un usage particulier ; le principal est que, si l'on doit disposer de services AD sur le site en question, mais que l'accès physique au serveur n'est pas sécurisé. (comprendre : vol des disques d'un DC RW 'classique' = accès aux mots de passe des comptes = pas bien) - le RODC ne synchronise pas les mots de passe par défaut, mais il est possible de synchroniser les mots de passe d'un lot d'utilisateurs (ce que l'on appelle PRP).

-

La dans ce cas, un seul domaine est préconisé pour tout le monde.
Avec ajout d'un Contrôleur de domaine sur le site Belgique.(après au choix DC normal ou RODC)
Il faut ensuite configurer la topologie AD (console sites et services AD) pour rattacher les bons sous réseaux aux sites AD, ainsi que leur lien inter site (configurer "comment" répliquent les 2 sites entre eux).
Comment faire répliquer les sites distants -> via des liens "WAN".

-
Il y a bcp de d'arguments et d'implications autour de "faire un domaine enfant supplémentaire , ou une foret supplémentaire" qui sont peut être trop avancés pour l'instant.

-

Il m'est amené de voir pas mal d'infras... qqs exemples :
- infra Mono domaine avec un seul site AD, mais qui dessert les services AD pour 25000 users qui sont éparpillés sur plus de 3000 sites distants physiques, pour autant je n'ai pas de DC sur chacun des sites.
- infra Foret Mono domaine : 20 sites AD avec des DCs installés localement par site.
- Ou encore Foret avec 36 domaines et 150 sites AD ...

-
Edit :
Le choix de disposer d'un DC sur le site en question :
- Est ce que les liens WAN sont redondés, quel est leur débit et sont-ils "sûrs/stables".
- Nombre d'utilisateurs : est ce que le trafic d'authentification est supérieur à celui de la réplication.(et encore maintenant avec la capacité des liens que l'on peut avoir, c'est discutable ; d'autant plus que pour une petite infra, il n'y a pas énorme à répliquer car peu de changements sur AD).
- Locaux sécurisés pour mettre des serveurs
- criticité des applications tournant sur le site.

-

Tout est possible hein... il y aura toujours des exemples pour défendre l'un ou l'autre, il faut se rappeler : le plus simple est le mieux ! (Less is More)
Et rester en adéquation avec le business et la sécurité requise à ce business.

0