Active Directory : configuration multi sites, sous réseau et réplication

Présentation

Dans ce tutoriel, nous allons aborder la notions de sites Active Directory ainsi les sous-réseaux.

Les sites Active Directory permettent d’optimiser la gestion dans des infrastructures multi sites / réseaux en :

• Gestion de la réplication entre les contrôleurs de domaine.
• Authentification des utilisateurs sur le ou les contrôleurs locaux.
• GPO par sites
• …

Il existe deux types de liens de réplication :

• Intra-site : lien de réplication entre les contrôleurs de domaine d’un même site
• Inter-site : lien de réplication entre les sites Active Directory, qui se configure dans le nœud Inter-Site Transport.

Le lab :

Configuration des sites et réseaux

Idéalement, il est préférable de déclarer le site Active Directory avant la promotion en contrôleur de domaine du serveur, ce qui permet de le placer directement au bon endroit. Il est tout à fait possible déplacer le DC a posteriori.

Pour que le contrôleur de domaine soit directement placé dans le bon site, celui-ci doit avoir son adresse IP définitive lié au site.

Sur un contrôleur de domaine, ouvrir la console Sites et services Active Directory.

On peut voir que sur la console, plusieurs nœuds sont disponibles :

• Inter-Site Transports : contient les différents liens inter-sites ainsi que le protocole utilisé pour la réplication.
• Subnets : contient les différents réseaux qui sont déclarés et ensuite affectés au site.
• Les sites : Les nœuds en bleu (un par site) contiennent les paramètres des sites avec les différents serveurs (contrôleur de domaine, transport edge …).

Lors de la création du domaine Active Directory, un site par défaut est créé (Default-First-Site-Name), la première étape lors de l’implémentation d’une architecture multi sites et de renommer le site. Pour cela faire un clic droit sur le site 1 et cliquer sur Renommer 2.

Le site est maintenant renommé.

Maintenant que le site est nommé correctement, nous pouvons lui déclarer un réseau IP.

Ajouter un réseau IP

La déclaration des réseaux permet de placer automatiquement les serveurs dans le bon site en fonction de son IP.

Si vous souhaitez ajouter un réseau IP, pour un autre site que celui-ci par défaut, il faut avant ajouter le site.

Faire un clic droit sur Subnets 1  et cliquer sur Nouveau sous-réseau 2.

Entrer l’adresse du réseau 1 puis sélectionner le site 2 et cliquer sur OK 3 pour ajouter le sous-réseau.

Le sous-réseau est ajouté 1. On peut également voir dans les propriétés du site le ou les sous-réseaux qui lui sont attribués 2.

Ajouter un site

Depuis la console, faire un clic droit sur Sites 1 puis cliquer sur Nouveau site 2.

Entrer le nom du site 1, sélectionner un objet lien de réplication 2 et cliquer sur OK 3.

Un message de confirmation s’affiche, cliquer sur OK 1 pour le fermer.

Le site est ajouté et disponible dans la console Sites et services Active Directory.

Maintenant que le site est ajouté, configurer le ou les sous-réseaux liés à celui-ci.

Configurer un serveur tête de pont

Un serveur tête de pont est un contrôleur de domaine privilégié pour la réplication inter-sites. Il est utile de définir un serveur tête de pont sur le site ayant plusieurs contrôleurs de domaine afin de favoriser la réplication depuis et vers celui-ci et qui ensuite fera la réplication vers les contrôleurs de son site.

Sur le serveur 1, faire un clic droit et cliquer sur Propriétés 2.

Sélectionner le ou les protocoles 1 puis cliquer sur Ajouter 2.

Cliquer sur Appliquer 1 et OK 2 pour valider la configuration.

Ajouter un lien de réplication

Lors de l’ajout d’un contrôleur de domaine, les liens de réplication intra-site sont normalement générés automatiquement.

Du fait que le serveur LAB-AD1 est tête de pont pour SiteA, il n’y a pas de lien de LAB-AD2 (SiteB) vers LAB-AD3 (SiteA). Si l’on souhaite tout de même ajouter un lien manuellement ceci est possible.

Depuis la console, dérouler le nœud du serveur et aller sur NTDS Settings 1. Faire un clic droit dans la zone centrale et cliquer sur Nouvelle connexion aux services de domaine Active Directory 2.

Sélectionner le contrôleur source 1 et cliquer sur OK 2.

Nommer le lien 1 et cliquer sur OK 2.

Le lien de réplication est ajouté depuis le serveur LAB-AD2 vers LAB-AD3.

Fréquence et planification de la réplication

La fréquence de réplication se configure en fonction du type de lien (Inter ou Intra site).

Inter-Site

Sur la console aller sur Inter-Site Transports 1 / Type du lien 2 (IP) puis faire un clic droit sur le lien 3 et cliquer sur Propriétés 4.

La configuration de la fréquence et la planification se fait depuis l’onglet Général.

• Coût 1 : si plusieurs liens sont configurés, il est possible de prioriser un lien en modification le coût. Le nombre le plus faire est prioritaire.
• Réplication toutes les XXX minutes 2 : correspond à la fréquence de réplication.
• Le bouton Modification la planification 3 permet de configurer les heures où celle-ci est active.

En allant voir les propriétés du lien de réplication inter-site directement dans NTDS Settings on peut voir la planification est effectué en fonction des paramètres Inter-Site Transports.

Si on modifie la fréquence dans la configuration du lien dans Inter-Site Transports à 60 minutes et que l’on retourne voir le lien au niveau du contrôleur, on peut voir la planification de la réplication a bien été changé automatiquement.

Le changement n’est pas instantané, il est possible de la forcer avec la commande repadmin /kcc.

Intra-site

La fréquence et la planification de la réplication Intra-site se fait directement au niveau des propriétés du lien dans la partie NTDS Settings du contrôleur de domaine.

Cliquer sur Modification la planification 1.

Sélectionner la plage à modification 1 puis choisir le nombre de réplications par heure 2 et valider en cliquant sur OK 3.

Utiliser les Stratégies de groupe par Sites

Depuis la console Gestion de stratégie de groupe, faire un clic droit sur Sites 1 puis cliquer sur Afficher les sites 2.

Choisir les sites à afficher 1 et cliquer sur OK 2.

Il est maintenant possible de lier une GPO à site, il suffit de faire un clic droit sur le site et de cliquer sur Lier un objet de stratégie de groupe existant.

Dépannage

Déplacer un contrôleur de domaine

Depuis la console Sites et Services Active Directory, faire un clic droit sur le contrôleur 1 à déplacer et cliquer sur Déplacer 2.

Choisir le site de destination 1 et cliquer sur OK 2.

Le serveur a été déplacé dans le nouveau site.

Vérifier l’état de la réplication

Sur un contrôleur de domaine, ouvrir une invite de commande et entrer la commande ci-dessous pour afficher le statut de la réplication du contrôleur.

repadmin /showrepl

Il est aussi possible de vérifier la réplication d’un contrôleur distant en le spécifiant de la commande :

repadmin /showrepl 

Forcer la réplication

Entrer la commande suivante pour forcer la réplication Intra-site :

repadmin /syncall

Entrer la commande suivante pour forcer la réplication Intra-site et Inter-site :

repadmin /syncall /e

Entrer la commande suivante pour forcer la réplication Intra-site et Inter-site sur un contrôleur distant :

repadmin /syncall /e 

Régénérer les liens de réplication

Si par erreur, vous supprimez les liens de réplication générer automatiquement comme sur la capture ci-dessous par de panique …

Ouvrir une invite de commande sur le contrôleur de domaine et entrer la commande ci-dessous :

repadmin /kcc

Les liens de réplication sont de nouveau disponible.

En fonction de la topologie et du nombre de contrôleurs de domaine, la génération des liens peut prendre plusieurs minutes.

Cette commande est normalement exécutée toutes les 15 minutes pour vérifier la topologie de réplication.

Liens :

Repadmin : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc770963(v=ws.11) 
Conception de la topologie de site : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/plan/designing-the-site-topology