Active Directory : configuration multi sites, sous réseau et réplication

Présentation

Dans ce tutoriel, nous allons aborder la notions de sites Active Directory ainsi les sous-réseaux.

Les sites Active Directory permettent d’optimiser la gestion dans des infrastructures multi sites / réseaux en :

  • Gestion de la réplication entre les contrôleurs de domaine.
  • Authentification des utilisateurs sur le ou les contrôleurs locaux.
  • GPO par sites

Il existe deux types de liens de réplication :

  • Intra-site : lien de réplication entre les contrôleurs de domaine d’un même site
  • Inter-site : lien de réplication entre les sites Active Directory, qui se configure dans le nœud Inter-Site Transport.

Le lab :

Configuration des sites et réseaux

Idéalement, il est préférable de déclarer le site Active Directory avant la promotion en contrôleur de domaine du serveur, ce qui permet de le placer directement au bon endroit. Il est tout à fait possible déplacer le DC a posteriori.

Sur un contrôleur de domaine, ouvrir la console Sites et services Active Directory.
Open management console

On peut voir que sur la console, plusieurs nœuds sont disponibles :

  • Inter-Site Transports : contient les différents liens inter-sites ainsi que le protocole utilisé pour la réplication.
  • Subnets : contient les différents réseaux qui sont déclarés et ensuite affectés au site.
  • Les sites : Les nœuds en bleu (un par site) contiennent les paramètres des sites avec les différents serveurs (contrôleur de domaine, transport edge …).

Sites and Services Active Directory

Lors de la création du domaine Active Directory, un site par défaut est créé (Default-First-Site-Name), la première étape lors de l’implémentation d’une architecture multi sites et de renommer le site. Pour cela faire un clic droit sur le site 1 et cliquer sur Renommer 2.
Renommer le site par défaut / Rename default site

Le site est maintenant renommé.
site nommé / site named

Maintenant que le site est nommé correctement, nous pouvons lui déclarer un réseau IP.

Ajouter un réseau IP

La déclaration des réseaux permet de placer automatiquement les serveurs dans le bon site en fonction de son IP.

Si vous souhaitez ajouter un réseau IP, pour un autre site que celui-ci par défaut, il faut avant ajouter le site.

Faire un clic droit sur Subnets 1  et cliquer sur Nouveau sous-réseau 2.
Nouveau sous-réseau / New subnet

Entrer l’adresse du réseau 1 puis sélectionner le site 2 et cliquer sur OK 3 pour ajouter le sous-réseau.
Configuration du sous-réseau / Subnet configuration

Le sous-réseau est ajouté 1. On peut également voir dans les propriétés du site le ou les sous-réseaux qui lui sont attribués 2.
Sous-réseau ajouté / Subnet added

Ajouter un site

Depuis la console, faire un clic droit sur Sites 1 puis cliquer sur Nouveau site 2.
Ajouter un site / Add site

Entrer le nom du site 1, sélectionner un objet lien de réplication 2 et cliquer sur OK 3.
Nom du site / Name of site

Un message de confirmation s’affiche, cliquer sur OK 1 pour le fermer.
Site ajouté / Site added

Le site est ajouté et disponible dans la console Sites et services Active Directory.
Site ajouté / Site added

Maintenant que le site est ajouté, configurer le ou les sous-réseaux liés à celui-ci.
Add subnet Add subnet

Configurer un serveur tête de pont

Un serveur tête de pont est un contrôleur de domaine privilégié pour la réplication inter-sites. Il est utile de définir un serveur tête de pont sur le site ayant plusieurs contrôleurs de domaine afin de favoriser la réplication depuis et vers celui-ci et qui ensuite fera la réplication vers les contrôleurs de son site.

Sur le serveur 1, faire un clic droit et cliquer sur Propriétés 2.
Server properties

Sélectionner le ou les protocoles 1 puis cliquer sur Ajouter 2.
Select transport data

Cliquer sur Appliquer 1 et OK 2 pour valider la configuration.
Apply configuration

Ajouter un lien de réplication

Lors de l’ajout d’un contrôleur de domaine, les liens de réplication intra-site sont normalement générer automatiquement.
Lien de réplication / Link rep

Du fait que le serveur LAB-AD1 est tête de pont pour SiteA, il n’y a pas de lien de LAB-AD2 (SiteB) vers LAB-AD3 (SiteA). Si l’on souhaite tout de même ajouter un lien manuellement ceci est possible.

Depuis la console, dérouler le nœud du serveur et aller sur NTDS Settings 1. Faire un clic droit dans la zone centrale et cliquer sur Nouvelle connexion aux services de domaine Active Directory 2.
Ajouter un lien de replication / add link

Sélectionner le contrôleur source 1 et cliquer sur OK 2.
Choisir le contrôleur de domaine / select dc

Nommer le lien 1 et cliquer sur OK 2.
Nom du lien / Name of link

Le lien de réplication est ajouté depuis le serveur LAB-AD2 vers LAB-AD3.
Lien ajouté / Link added

Fréquence et planification de la réplication

La fréquence de réplication se configure en fonction du type de lien (Inter ou Intra site).

Inter-Site

Sur la console aller sur Inter-Site Transports 1 / Type du lien 2 (IP) puis faire un clic droit sur le lien 3 et cliquer sur Propriétés 4.
Link inter site properties

La configuration de la fréquence et la planification se fait depuis l’onglet Général.

  • Coût 1 : si plusieurs liens sont configurés, il est possible de prioriser un lien en modification le coût. Le nombre le plus faire est prioritaire.
  • Réplication toutes les XXX minutes 2 : correspond à la fréquence de réplication.
  • Le bouton Modification la planification 3 permet de configurer les heures où celle-ci est active.

Configure scheduleConfigure schedule

En allant voir les propriétés du lien de réplication inter-site directement dans NTDS Settings on peut voir la planification est effectué en fonction des paramètres Inter-Site Transports.
Schedule Inter-Site Link

Si on modifie la fréquence dans la configuration du lien dans Inter-Site Transports à 60 minutes et que l’on retourne voir le lien au niveau du contrôleur, on peut voir la planification de la réplication a bien été changé automatiquement.
Changement de la fréquence du lien inter-site / Change in the frequency of the inter-site link Changement de la fréquence du lien inter-site / Change in the frequency of the inter-site link

Intra-site

La fréquence et la planification de la réplication Intra-site se fait directement au niveau des propriétés du lien dans la partie NTDS Settings du contrôleur de domaine.
Links intra-site

Cliquer sur Modification la planification 1.
Edit schedule

Sélectionner la plage à modification 1 puis choisir le nombre de réplications par heure 2 et valider en cliquant sur OK 3.
Changement de la fréquence du lien intra-site / Change in the frequency of the intra-site link

 

Utiliser les Stratégies de groupe par Sites

Depuis la console Gestion de stratégie de groupe, faire un clic droit sur Sites 1 puis cliquer sur Afficher les sites 2.
Enable site in GPO

Choisir les sites à afficher 1 et cliquer sur OK 2.
Select sites

Il est maintenant possible de lier une GPO à site, il suffit de faire un clic droit sur le site et de cliquer sur Lier un objet de stratégie de groupe existant.
GPO Site

 

Dépannage

Déplacer un contrôleur de domaine

Depuis la console Sites et Services Active Directory, faire un clic droit sur le contrôleur 1 à déplacer et cliquer sur Déplacer 2.
Move DC

Choisir le site de destination 1 et cliquer sur OK 2.
Sélectionner le site cible / Select the target site

Le serveur a été déplacé dans le nouveau site.
Server moved in new site

 

Vérifier l’état de la réplication

Sur un contrôleur de domaine, ouvrir une invite de commande et entrer la commande ci-dessous pour afficher le statut de la réplication du contrôleur.

repadmin /showrepl

repadmin /showrepl

Il est aussi possible de vérifier la réplication d’un contrôleur distant en le spécifiant de la commande :

repadmin /showrepl <Remote_DC>

repadmin /showrepl <DC>

Forcer la réplication

Entrer la commande suivante pour forcer la réplication Intra-site :

repadmin /syncall

repadmin /syncall

Entrer la commande suivante pour forcer la réplication Intra-site et Inter-site :

repadmin /syncall /e

repadmin /syncall /e

Entrer la commande suivante pour forcer la réplication Intra-site et Inter-site sur un contrôleur distant :

repadmin /syncall /e <Remote_DC>

repadmin /syncall /e <RemoteDC>

Régénérer les liens de réplication

Si par erreur, vous supprimez les liens de réplication générer automatiquement comme sur la capture ci-dessous par de panique …
Liens supprimés / Links deleted

Ouvrir une invite de commande sur le contrôleur de domaine et entrer la commande ci-dessous :

repadmin /kcc

repadmin /kcc

Les liens de réplication sont de nouveau disponible.
Liens de replication / Link rep


Liens :

Repadmin : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc770963(v=ws.11) 
Conception de la topologie de site : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/plan/designing-the-site-topology

 



Related Posts


GLPI liaison avec un Active Directory
Présentation Dans cet article, nous allons voir comment configurer GLPI avec un Active Directory de façon à ce que les utilisateurs puissent d'identifier avec leur nom et mot de passe de session Windows. Configuration de l'annuaire Active Directory d

Active Directory : relation d’approbation entre deux forets / domaines
Présentation La relation d'approbation entre deux forets / domaines Active Directory  est un lien de confiance qui permet à des utilisateurs authentifiés d'accéder à des ressources d'un autre domaine. Une relation d'approbation peut-être : Unidirecti

Supprimer un contrôleur de domaine Active Directory
Dans cet article, nous allons voir comment supprimer un contrôleur de domaine dans un environnement Active Directory. La suppression se fait en deux étapes : Rétrograder le contrôleur de domaine : retire la configuration du contrôleur. Suppression de

Laisser un commentaire