Active Directory - Questions débutant
Résolu/Fermé
Bonjour
-
26 oct. 2020 à 12:42
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 27 oct. 2020 à 11:41
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 27 oct. 2020 à 11:41
A voir également:
- Active Directory - Questions débutant
- Directory list & print - Télécharger - Divers Utilitaires
- Directory opus - Télécharger - Gestion de fichiers
- Formation sap débutant pdf ✓ - Forum Études / Formation High-Tech
- Logiciel de programmation pour débutant - Guide
- Safesearch reste activé - Forum Réseaux sociaux
3 réponses
choubaka
Messages postés
39404
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
21 novembre 2024
2 102
26 oct. 2020 à 13:03
26 oct. 2020 à 13:03
bonjour ...
Dans tes notions AD ... revois un peu les notions d'arbres (Trees) et de Forêts (forest)..;
Il est clair que dans ton exemple Paris - Bruxelles, il doit y avoir un choix ..
soit Travailler avec un domaine parent et un domaine enfant (le préférable).. ... soit utiliser un RODC (Read only domain controller) dans le même domaine.. ... Le choix est crucial vu la problématique de traffic imposé par les réplications (ntds.dit et sysvol) ..
Dans tes notions AD ... revois un peu les notions d'arbres (Trees) et de Forêts (forest)..;
Il est clair que dans ton exemple Paris - Bruxelles, il doit y avoir un choix ..
soit Travailler avec un domaine parent et un domaine enfant (le préférable).. ... soit utiliser un RODC (Read only domain controller) dans le même domaine.. ... Le choix est crucial vu la problématique de traffic imposé par les réplications (ntds.dit et sysvol) ..
brupala
Messages postés
110568
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 novembre 2024
13 838
26 oct. 2020 à 16:06
26 oct. 2020 à 16:06
Salut,
un seul domaine AD peut très bien comprendre plusieurs réseaux IP si c'est ça la question.
par contre, il vaut peut-etre mieux avoir un controleur de domaine secondaire par réseau si ces réseaux sont grands en nombre de machines, pour éviter de surcharger inutilement les routeurs.
un domaine c'est avant tout une organisation administrative, pas du tout technologique.
un seul domaine AD peut très bien comprendre plusieurs réseaux IP si c'est ça la question.
par contre, il vaut peut-etre mieux avoir un controleur de domaine secondaire par réseau si ces réseaux sont grands en nombre de machines, pour éviter de surcharger inutilement les routeurs.
un domaine c'est avant tout une organisation administrative, pas du tout technologique.
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 27 oct. 2020 à 12:16
Modifié le 27 oct. 2020 à 12:16
Hello,
Il y a 2 topologies dans Active Directory.
La topologie logique , et la topologie physique.
La topologie Physique : permet de disposer des Sites Active Directory attachés avec des sous réseaux IP - pour identifier où sont les contrôleurs de domaine; et donc localiser les services AD pour des clients.
La topologie logique : est le découpage par domaine/sous domaine et par OU (Unité d'organisation).
Le RODC cité plus haut, est réservé pour un usage particulier ; le principal est que, si l'on doit disposer de services AD sur le site en question, mais que l'accès physique au serveur n'est pas sécurisé. (comprendre : vol des disques d'un DC RW 'classique' = accès aux mots de passe des comptes = pas bien) - le RODC ne synchronise pas les mots de passe par défaut, mais il est possible de synchroniser les mots de passe d'un lot d'utilisateurs (ce que l'on appelle PRP).
-
La dans ce cas, un seul domaine est préconisé pour tout le monde.
Avec ajout d'un Contrôleur de domaine sur le site Belgique.(après au choix DC normal ou RODC)
Il faut ensuite configurer la topologie AD (console sites et services AD) pour rattacher les bons sous réseaux aux sites AD, ainsi que leur lien inter site (configurer "comment" répliquent les 2 sites entre eux).
Comment faire répliquer les sites distants -> via des liens "WAN".
-
Il y a bcp de d'arguments et d'implications autour de "faire un domaine enfant supplémentaire , ou une foret supplémentaire" qui sont peut être trop avancés pour l'instant.
-
Il m'est amené de voir pas mal d'infras... qqs exemples :
- infra Mono domaine avec un seul site AD, mais qui dessert les services AD pour 25000 users qui sont éparpillés sur plus de 3000 sites distants physiques, pour autant je n'ai pas de DC sur chacun des sites.
- infra Foret Mono domaine : 20 sites AD avec des DCs installés localement par site.
- Ou encore Foret avec 36 domaines et 150 sites AD ...
-
Edit :
Le choix de disposer d'un DC sur le site en question :
- Est ce que les liens WAN sont redondés, quel est leur débit et sont-ils "sûrs/stables".
- Nombre d'utilisateurs : est ce que le trafic d'authentification est supérieur à celui de la réplication.(et encore maintenant avec la capacité des liens que l'on peut avoir, c'est discutable ; d'autant plus que pour une petite infra, il n'y a pas énorme à répliquer car peu de changements sur AD).
- Locaux sécurisés pour mettre des serveurs
- criticité des applications tournant sur le site.
-
Tout est possible hein... il y aura toujours des exemples pour défendre l'un ou l'autre, il faut se rappeler : le plus simple est le mieux ! (Less is More)
Et rester en adéquation avec le business et la sécurité requise à ce business.
Il y a 2 topologies dans Active Directory.
La topologie logique , et la topologie physique.
La topologie Physique : permet de disposer des Sites Active Directory attachés avec des sous réseaux IP - pour identifier où sont les contrôleurs de domaine; et donc localiser les services AD pour des clients.
La topologie logique : est le découpage par domaine/sous domaine et par OU (Unité d'organisation).
Le RODC cité plus haut, est réservé pour un usage particulier ; le principal est que, si l'on doit disposer de services AD sur le site en question, mais que l'accès physique au serveur n'est pas sécurisé. (comprendre : vol des disques d'un DC RW 'classique' = accès aux mots de passe des comptes = pas bien) - le RODC ne synchronise pas les mots de passe par défaut, mais il est possible de synchroniser les mots de passe d'un lot d'utilisateurs (ce que l'on appelle PRP).
-
La dans ce cas, un seul domaine est préconisé pour tout le monde.
Avec ajout d'un Contrôleur de domaine sur le site Belgique.(après au choix DC normal ou RODC)
Il faut ensuite configurer la topologie AD (console sites et services AD) pour rattacher les bons sous réseaux aux sites AD, ainsi que leur lien inter site (configurer "comment" répliquent les 2 sites entre eux).
Comment faire répliquer les sites distants -> via des liens "WAN".
-
Il y a bcp de d'arguments et d'implications autour de "faire un domaine enfant supplémentaire , ou une foret supplémentaire" qui sont peut être trop avancés pour l'instant.
-
Il m'est amené de voir pas mal d'infras... qqs exemples :
- infra Mono domaine avec un seul site AD, mais qui dessert les services AD pour 25000 users qui sont éparpillés sur plus de 3000 sites distants physiques, pour autant je n'ai pas de DC sur chacun des sites.
- infra Foret Mono domaine : 20 sites AD avec des DCs installés localement par site.
- Ou encore Foret avec 36 domaines et 150 sites AD ...
-
Edit :
Le choix de disposer d'un DC sur le site en question :
- Est ce que les liens WAN sont redondés, quel est leur débit et sont-ils "sûrs/stables".
- Nombre d'utilisateurs : est ce que le trafic d'authentification est supérieur à celui de la réplication.(et encore maintenant avec la capacité des liens que l'on peut avoir, c'est discutable ; d'autant plus que pour une petite infra, il n'y a pas énorme à répliquer car peu de changements sur AD).
- Locaux sécurisés pour mettre des serveurs
- criticité des applications tournant sur le site.
-
Tout est possible hein... il y aura toujours des exemples pour défendre l'un ou l'autre, il faut se rappeler : le plus simple est le mieux ! (Less is More)
Et rester en adéquation avec le business et la sécurité requise à ce business.