Création de site et de sous-réseau AD

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

-          Gestion et optimisation de la réplication entre les contrôleurs de domaine des différents sites (réplication intersites) ;

-          Optimisation de l’authentification des clients en privilégiant les contrôleurs de domaine du même site ;

-          Application de paramètre spécifique par site avec les GPO ;

-          Certaines applications comme Exchange utilisent la notion de site (http://technet.microsoft.com/en-us/library/aa996299%28v=exchg.150%29.aspx)

 

Prenons par exemple le schéma ci-dessous basé sur 3 sites. Le site 1 est relié au site 2 par un tunnel VPN permanent, le site 3 est connecté par une liaison commutée (c’est juste un exemple …). Nous avons :

-en bleue : les liens de réplication intrasite ;

-en rouge ; les liens de réplication intersites ;

-en vert un contrôleur de domaine du site 2 a été défini comme serveur tête de pont du site.

 

Les liens pour la réplication se trouvent dans la partie « NTDSSettings »

Par défaut les liens de connexions intra-sites portent le nom : « générer automatiquement … ». Il n’existe par défaut qu’un site « Default-First-Site-Name » et un lien inter site « DefaultIPSiteLynk ».

Les liens de sites n’ayant pas toutes les mêmes caractéristiques il est possible de définir les plages horaires d’utilisation des liens ainsi qu’une estimation des « couts ». Un lien VPN permanent aura un coût plus faible qu’une connexion RTC qui demande une phase de connexion et déconnexions. Il est possible également de définir l’intervalle entre 2 réplications. Il faut trouver le bon compromis entre les flux de l’AD et les autres flux intersites.

Si vous avez plusieurs contrôleurs de domaine sur un site il est préférable d’en désigner un comme serveur tête de pont pour la réplication intersites. Il est recommandé de calculer le meilleur chemin pour la réplication afin qu’une modification puisse atteindre en moins de saut possible l’ensemble des sites. En désignant  un serveur tête de pont vous pouvez faciliter la propagation des modifications.

La réplication intersites peut être faite  de manière synchrone avec « RPC over IP » ou si pour des raisons de pare-feu vous ne pouvez pas utiliser cette méthode, vous pouvez créer des liens de réplications asynchrones avec SMTP.

Dans la maquette réalisée pour cet article nous avons 2 sites et nous verrons comment configurer les sites, les sous-réseaux, la réplication intersites. Sur le site 1 nous avons 2 domaines avec un DC chacun (dom1DC1 et Dom2DC1). Sur le 2ème site nous avons un DC du domaine 1  (Dom1DC2)

La gestion des sites et des sous-réseaux se fait dans la console « Sites et services Active Directory ».

Commençons par renommer le site par défaut « Default-First-Site-Name » en site 1 :

Ensuite nous allons créer le 2ème site (Clic droit sur « Sites » et choisir « Nouveau site … »): 

Il faut sélectionner un lien de site pour la réplication avec les autres sites :

 

Nous allons maintenant déplacer le contrôleur de domaine « dom1dc2 » sur le site2 correspondant à sa localisation et à sa plage d’adresse IP.

Après avoir créé les sites nous allons créer les sous-réseaux (clic droit sur « subnet» ).

Il faut saisir la plage d’adresses et le masque. Par exemple pour un réseau en 192.168.50.x avec un masque de 255.255.255.0 cela donne 192.168.50.0/24.

Enfin nous sélectionnons le site auquel le réseau appartient et validons par OK.

Ce qui nous donne :

-          Dom1DC1 et Dom2DC1 sont sur le site 1 et ont une IP dans le sous-réseau 10.10.0.0/16 ;

-          Dom1DC2 est sur le site2 et dispose d’une IP dans le sous-réseau 172.20.0.0 .

Nous constatons que les liens de réplication tiennent bien compte de l’emplacement. Si nous forçons la réplication de « dom2dc1 » vers « dom1dc1 » qui se trouve sur le même site, elle sera immédiate et un message nous indiquons que la réplication s’est bien passée. Par contre si nous demandons la réplication de « dom1dc2 » vers « dom1dc1 » (ils sont sur des sites différents) un message nous indiquera que la demande a été prise en compte. Il faudra vérifier qu’il n’y a pas d’erreur de réplication par la suite, par exemple avec « repadmin /Showrepl ».

Dans ce cas si notre bande passante est limitée nous souhaitons donc gérer les flux de réplication et comme nous allons voir elle n’est pas forcément autorisé à ce faire de suite. C’est pour cela que la demande est mise en attente et que le message est différent.

Afin d’optimiser la réplication il est possible de définir un serveur qui sera privilégié pour la réplication intersites. Il s’agit du serveur « tête de pont ». Ce paramètre se définit dans la console « site et service » en faisant un clic droit sur le nom du serveur correspondant :

 

Sur un lien intersites, il y a 3 paramètres intéressant à voir :

-          Le « coût » de la connexion. Si vous avez des liens multiples pour assurer la redondance des chemins vous pouvez définir des « coût » afin de mettre une priorité sur les liens. Le « coût » le plus faible sera utilisé en priorité ;

-          La fréquence de réplication : « réplication toutes les … » (par défaut de 180 minutes) ;

Les horaires où la réplication est autorisée. Elle se définit dans les propriétés du lien de site, sous « général ». Cliquez sur « modifier la planification … ».

 

 

 

Il est également possible de configurer des plages pour un lien de réplication intrasite dans les propriétés NTDS. En faisant un clic droit directement sur un lien de réplication entre 2 DC et en ouvrant les propriétés de ce lien :

 

 

 

 

Tags: 

Theme: 

Annee: 

Commentaires

Pas de Schéma

Bonjour,

Je ne vois pas de schéma pour l'explication, ce qui est dommage :S

RE : Pas de Schéma

Bonjour;
Il y a bien un schéma au début de l'article.
Si certaines images n'apparaissent, pas il est possible qu'elles soient bloquées par Adblock sur votre navigateur.

images masquées

Bonjour
meme dans cet article , je ne vois que du texte!

Bizarreries dans les domaines

Bonjour et merci pour cet article J'ai toutefois quelque difficultés a saisir l'architecture de votre lab. Lorsque vous parlez de dom1DC1 et dom2DC1, voulez vous parler d'un domaine enfant ou d'arborescence de dom1 ou carrément d'un nouveau domaine dans une nouvelle forêt ? Quid des ips fixes de départ des 3 serveurs .... ?? Merci

Dom1 et Dom2 sont 2 domaines

Dom1 et Dom2 sont 2 domaines différents et forcément de la même forêt sinon ils n’apparaîtraient pas ensemble dans .la console site et services AD (dont les informations sont stockés dans la partition de configuration répliquée entre tous les contrôleurs de domaine de la forêt). Cela peut être un domaine enfant ou un domaine dans une nouvelle arborescence de la même forêt. Pour la gestion des sites cela n'a pas grande importance. dom1dc1 et dom1dc2 sont 2 contrôleurs de domaine pour le même domaine dom1 mais pas situé sur le même site géographique. Cela permet de mettre en valeur qu'il n'y a pas de raison de créé un domaine par site géographique contrairement au habitudes des anciens domaines NT. Dom2dc1 et l'unique contrôleur de domaine de du domaine dom2 situé sur le même site que dom1dc1 du domaine dom1. L'adresse IP du contrôleur de domaine dépend du site ou il se situe et n'a pas de lien avec le domaine auquel il appartient. Il est également possible d'avoir des sites sans contrôleur de domaine et d'affecter des sous réseaux à ce site, ce qui permet de créer des stratégie de groupe sur les sites. S'il n'y a pas de contrôleur de domaine sur un site par défaut des contrôleurs de domaine vont enregistrer leur service dans le DNS afin que les clients puissent les localiser. A noter que l'exemple est un labo, dans les bonnes pratiques il est recommandé d'avoir au moins 2 DC par domaine avec des sauvegarde de l'état du système. mais c'est un autre sujet...

sites sans DC

Bonjour Philippe

Je me demander si il été possible de créé des sites sans y placer de serveurs DC ?
ce serais pour des sites avec que 4 ou 5 ordinateurs sur site,
mais surtout pour pouvoir faire des GPO par site par exemple

merci de votre réponse :)

sites sans DC

encore moi désoler je viens de vois qu'il y a déjà la réponse à ma précédente question dans le message 02/07/2017 merci pour votre blog qui m'est très utile

site dans DC

Même question que Philippe Bis. Il me semble qu'on peut le faire avec les sitelink. Cependant, je ne sais pas comment on les configure

Re :site dans DC

apparemment j'ai oublié de répondre a certain messages. Désolé... Oui il est possible d'avoir des sites sans DC, cela permet par exemple d'avoir des GPO basé sur des sites. s'il n'y a pas de contrôleur de domaine sur un site par défaut des contrôleurs de domaine d'autres sites vont enregistrer leur service dans le DNS afin que les clients puissent les localiser.