Conseils sur architecture AD

Le
Emmanuel
Bonjour,

Avant de nous lancer dans un gros projet d'installation de serveurs,
nous essayons de nous documenter car nos connaissances dans le domaine
(!) restent empiriques :)
Nous avons plusieurs sites répartis dans le département pas des liaisont
DSL et un VPN géré par notre FAI (routeurs Cisco 1700)

Voilà la situation actuelle au siège social de l'entreprise :
Domaine existant : 3 serveurs AD sous windows 2000, quelques autres
serveurs membres non DC en 2000 et 2003
Les roles FMSO sont répartis entre 2 de ces 3 serveurs
Le niveau fonctionnel est Windows 2000 natif
Le nom de domaine utilisée est du type : "masociete.com"
NB, ce nom existe sur internet en tant que nom de domaine public. J'ai
cru comprendre que ce n'était pas forcément judicieux mais c'est
historique et si ce n'est pas réellement bloquant ça retera comme ça

Actuellement les utilisateurs des sites distants travaillent en TSE sur
nos serveurs, leurs comptes sont donc créés dans l'AD du siège.

Nous avons le projet d'installer des serveurs (Windows 2003) sur
certains de nos sites distants pour gérer des questions de sauvegarde de
données et de partage d'informations en local.
L'occasion se présente donc d'étendre notre Domaine vers ces sites afin
de pouvoir bénéficier des fonctionnalités liées à la sécurité offerte
par AD.

Donc des questions se posent concernant l'architecture : forêts,
domaines enfant, sitesvoilà des termes que l'on connait un peu mais
sans réellement voir les implications derrières chacune des ces
solutions : devrait-on faire des domaines distincts, des sous-domaines,
des serveurs membres, une autre forêt !?..

Un petit éclairage de la part de spécialistes serait le bienvenu pour
commencer à imaginer des solutions viables !

Merci d'avance.

--
Emmanuel
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #679743
Bonjour,

pour le nom de domaine, c'est souvent le cas, il suffit de faire du split
dns. Les serveurs DNS sur internet qui répondent à votre domaine doivent
être différent de vos DC.
La zone de votre domaine doit contenir les entrées du domaine internet (www
...)

Combien d'utilisateurs ? Serez-vous le seul à administrer (depuis le site
central) ?
Est-ce juridiquement des entités différentes susceptibles d'être scindées ?

Quel est le niveau de service (engagement / SLA) sur les liaisons intersites
?
Leur débits ?

Souhaitez-vous répliquer des dossiers entre les sites ?
Est-ce que des utilisateurs bougent entre les sites ? ordinateurs portables
?

Désolé pour toutes ces questions, mais c'est pour faire ensuite des
propositions pertinentes!

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Emmanuel" news:el%
Bonjour,

Avant de nous lancer dans un gros projet d'installation de serveurs, nous
essayons de nous documenter car nos connaissances dans le domaine (!)
restent empiriques :)
Nous avons plusieurs sites répartis dans le département pas des liaisont
DSL et un VPN géré par notre FAI (routeurs Cisco 1700)

Voilà la situation actuelle au siège social de l'entreprise :
Domaine existant : 3 serveurs AD sous windows 2000, quelques autres
serveurs membres non DC en 2000 et 2003
Les roles FMSO sont répartis entre 2 de ces 3 serveurs
Le niveau fonctionnel est Windows 2000 natif
Le nom de domaine utilisée est du type : "masociete.com"
NB, ce nom existe sur internet en tant que nom de domaine public. J'ai cru
comprendre que ce n'était pas forcément judicieux mais c'est historique et
si ce n'est pas réellement bloquant ça retera comme ça...

Actuellement les utilisateurs des sites distants travaillent en TSE sur
nos serveurs, leurs comptes sont donc créés dans l'AD du siège.

Nous avons le projet d'installer des serveurs (Windows 2003) sur certains
de nos sites distants pour gérer des questions de sauvegarde de données et
de partage d'informations en local.
L'occasion se présente donc d'étendre notre Domaine vers ces sites afin de
pouvoir bénéficier des fonctionnalités liées à la sécurité offerte par AD.

Donc des questions se posent concernant l'architecture : forêts, domaines
enfant, sites...voilà des termes que l'on connait un peu mais sans
réellement voir les implications derrières chacune des ces solutions :
devrait-on faire des domaines distincts, des sous-domaines, des serveurs
membres, une autre forêt !?.....

Un petit éclairage de la part de spécialistes serait le bienvenu pour
commencer à imaginer des solutions viables !

Merci d'avance.

--
Emmanuel



Jonathan BISMUTH
Le #673636
Bonjour Emmanuel,

En complément des bonnes questions et informations posées par Mathieu :

En partant du principe que les conditions de travail doivent rester les
mêmes pour tes utilisateurs, et qu'il n'y a pas de question politique quand
à un éventuel service informatique local aux site qui souhaiterait
administrer les DC (donc le domaine) sans ton aide, il me paraîtrait
judicieux de conserver ton domaine, sans complexifier l'infrastructure.
Il serait facile de créer des sites et sous-réseaux associés, et de placer
les DC sur les sites désignés [et les passer catalogues globaux dans la
foulée ne serait pas forcément du luxe]. Si les DC sont aussi DNS, fais
ensuite pointer les clients de chaque site sur son DC et ça devrait être
tout bon.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Emmanuel" el%
Bonjour,

Avant de nous lancer dans un gros projet d'installation de serveurs, nous
essayons de nous documenter car nos connaissances dans le domaine (!)
restent empiriques :)
Nous avons plusieurs sites répartis dans le département pas des liaisont
DSL et un VPN géré par notre FAI (routeurs Cisco 1700)

Voilà la situation actuelle au siège social de l'entreprise :
Domaine existant : 3 serveurs AD sous windows 2000, quelques autres
serveurs membres non DC en 2000 et 2003
Les roles FMSO sont répartis entre 2 de ces 3 serveurs
Le niveau fonctionnel est Windows 2000 natif
Le nom de domaine utilisée est du type : "masociete.com"
NB, ce nom existe sur internet en tant que nom de domaine public. J'ai cru
comprendre que ce n'était pas forcément judicieux mais c'est historique et
si ce n'est pas réellement bloquant ça retera comme ça...

Actuellement les utilisateurs des sites distants travaillent en TSE sur
nos serveurs, leurs comptes sont donc créés dans l'AD du siège.

Nous avons le projet d'installer des serveurs (Windows 2003) sur certains
de nos sites distants pour gérer des questions de sauvegarde de données et
de partage d'informations en local.
L'occasion se présente donc d'étendre notre Domaine vers ces sites afin de
pouvoir bénéficier des fonctionnalités liées à la sécurité offerte par AD.

Donc des questions se posent concernant l'architecture : forêts, domaines
enfant, sites...voilà des termes que l'on connait un peu mais sans
réellement voir les implications derrières chacune des ces solutions :
devrait-on faire des domaines distincts, des sous-domaines, des serveurs
membres, une autre forêt !?.....

Un petit éclairage de la part de spécialistes serait le bienvenu pour
commencer à imaginer des solutions viables !

Merci d'avance.

--
Emmanuel



Emmanuel
Le #673635
Merci de votre réponse,

J'étais en train de penser à l'instant que je n'avais rien mentionné
concernant le volumétrie donc voilà quelques infos supplémentaires ainsi
que des éléments suite à vos questions (très pertinentes en effet! :)

Nous avons environ 250 utilisateurs en tout, chaque site en compte entre
10 et 30.
Chaque établissement est une structure de type agence, dépendante
juridiquement du siège social (SIREN unique)
L'administration se fera depuis le site central ou se trouve le service
informatique. Les sites étant dépourvus de compétences technique, on
pourra prendre les serveurs en main depuis le siège.
Nos liaisons site-siège sont en ADSL 512/64 (suffisant actuellement pour
le TSE et internet/mail), la ligne du siège est, elle, du SDSL 2MB

Nous n'avons actuellement pas de besoin de répliquer de documents entre
les sites (pensiez vous à DFS ? ) pour ce qui est des documents partagés
(toujours site-siège et pas site-site) actuellement nous passons pas des
fichiers bureautiques hébergés sur un serveur accssible en TSE. Nous
envisageons cependant à moyen/long terme l'installation d'une plateforme
Sharepoint.

Certains utilisateurs bougent en efet entre les sites, celà est très
marginal mais ça existe.

Si vous avez d'autres question n'hésitez pas ! celà nous fais également
avancer.
Pour le moment je me suis plongé jusqu'au cou dans les documents du
technet
http://www.microsoft.com/technet/archive/windows2000serv/technologies/activedirectory/deploy/adguide/adplan/default.mspx?mfr=true

Emmanuel.
Emmanuel
Le #673632
"Jonathan BISMUTH" On%23%
Bonjour Emmanuel,


Bonjour, Jonathan et merci de ton message

En complément des bonnes questions et informations posées par Mathieu
:
En partant du principe que les conditions de travail doivent rester
les mêmes pour tes utilisateurs, et qu'il n'y a pas de question
politique quand à un éventuel service informatique local aux site qui
souhaiterait administrer les DC (donc le domaine) sans ton aide, il me
paraîtrait judicieux de conserver ton domaine, sans complexifier
l'infrastructure.
Il serait facile de créer des sites et sous-réseaux associés, et de
placer les DC sur les sites désignés [et les passer catalogues globaux
dans la foulée ne serait pas forcément du luxe]. Si les DC sont aussi
DNS, fais ensuite pointer les clients de chaque site sur son DC et ça
devrait être tout bon.


Comme je l'explique en réponse au message de Mathieu, aucun problème
politique la dedans,
il y a un seul service informatique centralisé et nous devons nous
assurer que tout fonctionne correctement pour tout le monde.

l'architecture logique du réseau ne nous posera pas trop de soucis,
chaque site étant actuellement sur un sous réseau bien différent de
celui des autre sétablissements :
192.168.1.0 pour le siège
192.168.4.0 pour n site
192.168.5.0 pour un autre etc.....

Actuellement les clients de chaque site ne sont même liés au domaine
siège, nous gérons donc les users deux fois (voire plus pour les
quelques mutli-site) et ça commence à devenir un peu lourd, le nombre
d'utilisateurs augmentant régulièrement.

Est-ce qu'il existe des informations concernant la volumétrie des
données du GC ? (rapport au débit montant de mes connexions site)

Emmanuel.

Mathieu CHATEAU
Le #673630
je pensais en effet à DFS, notamment pour:
-Les modèles office
-les profiles roaming
-un espace de travail/échange de données.

Le tout avec R2 qui permet de planifier et de ne répliquer les octets qui
changent à l'intérieur des fichiers et de gérer de la qos.

Je vous conseil du DRAC ou autre carte de management sur les sites distants
afin de pouvoir prendre la main même si le serveur est éteint (coupure EDF)
ou HS (blue screen) ou encore le raid HS.

Avez-vous exchange ? si c'est le cas, il sera certainement sur le site
central, le mode mise en cache d'outlook sera un fort plus, notamment si une
liaison tombe en panne.




--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Emmanuel" news:%23P$
Merci de votre réponse,

J'étais en train de penser à l'instant que je n'avais rien mentionné
concernant le volumétrie donc voilà quelques infos supplémentaires ainsi
que des éléments suite à vos questions (très pertinentes en effet! :)

Nous avons environ 250 utilisateurs en tout, chaque site en compte entre
10 et 30.
Chaque établissement est une structure de type agence, dépendante
juridiquement du siège social (SIREN unique)
L'administration se fera depuis le site central ou se trouve le service
informatique. Les sites étant dépourvus de compétences technique, on
pourra prendre les serveurs en main depuis le siège.
Nos liaisons site-siège sont en ADSL 512/64 (suffisant actuellement pour
le TSE et internet/mail), la ligne du siège est, elle, du SDSL 2MB

Nous n'avons actuellement pas de besoin de répliquer de documents entre
les sites (pensiez vous à DFS ? ) pour ce qui est des documents partagés
(toujours site-siège et pas site-site) actuellement nous passons pas des
fichiers bureautiques hébergés sur un serveur accssible en TSE. Nous
envisageons cependant à moyen/long terme l'installation d'une plateforme
Sharepoint.

Certains utilisateurs bougent en efet entre les sites, celà est très
marginal mais ça existe.

Si vous avez d'autres question n'hésitez pas ! celà nous fais également
avancer.
Pour le moment je me suis plongé jusqu'au cou dans les documents du
technet
http://www.microsoft.com/technet/archive/windows2000serv/technologies/activedirectory/deploy/adguide/adplan/default.mspx?mfr=true

Emmanuel.






Jonathan BISMUTH
Le #673434
Re,

la volumétrie dépends beaucoup du nombre d'utilisateurs, d'attributs à
indexer, de ton délais de réplication...
Dans la mesure ou tu es dans environnement 2000, la réplication inter GC
n'est pas optimisé (pas d'incrémentale), je ne penses toutefois pas que ça
sera très impactant pour tes utilisateurs.
=> Une bonne doc sur le Catalogue Global :
http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true

Note aussi qu'il sera clairement plus efficace d'établir les liens
intersites en SMTP plutot qu'en IP pour sa robustesse sur des lignes non
garanties.

Pour tout ce qui concerne DFS, je rends la parole à Mathieu :)

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Emmanuel" %
"Jonathan BISMUTH" On%23%
Bonjour Emmanuel,


Bonjour, Jonathan et merci de ton message

En complément des bonnes questions et informations posées par Mathieu :
En partant du principe que les conditions de travail doivent rester les
mêmes pour tes utilisateurs, et qu'il n'y a pas de question politique
quand à un éventuel service informatique local aux site qui souhaiterait
administrer les DC (donc le domaine) sans ton aide, il me paraîtrait
judicieux de conserver ton domaine, sans complexifier l'infrastructure.
Il serait facile de créer des sites et sous-réseaux associés, et de
placer les DC sur les sites désignés [et les passer catalogues globaux
dans la foulée ne serait pas forcément du luxe]. Si les DC sont aussi
DNS, fais ensuite pointer les clients de chaque site sur son DC et ça
devrait être tout bon.


Comme je l'explique en réponse au message de Mathieu, aucun problème
politique la dedans,
il y a un seul service informatique centralisé et nous devons nous assurer
que tout fonctionne correctement pour tout le monde.

l'architecture logique du réseau ne nous posera pas trop de soucis, chaque
site étant actuellement sur un sous réseau bien différent de celui des
autre sétablissements :
192.168.1.0 pour le siège
192.168.4.0 pour n site
192.168.5.0 pour un autre etc.....

Actuellement les clients de chaque site ne sont même liés au domaine
siège, nous gérons donc les users deux fois (voire plus pour les quelques
mutli-site) et ça commence à devenir un peu lourd, le nombre
d'utilisateurs augmentant régulièrement.

Est-ce qu'il existe des informations concernant la volumétrie des données
du GC ? (rapport au débit montant de mes connexions site)

Emmanuel.





Mathieu CHATEAU
Le #673433
pas de soucis, y a de la place pour tout le monde ! ;)

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Jonathan BISMUTH" news:Ocjt$
Re,

la volumétrie dépends beaucoup du nombre d'utilisateurs, d'attributs à
indexer, de ton délais de réplication...
Dans la mesure ou tu es dans environnement 2000, la réplication inter GC
n'est pas optimisé (pas d'incrémentale), je ne penses toutefois pas que ça
sera très impactant pour tes utilisateurs.
=> Une bonne doc sur le Catalogue Global :
http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true

Note aussi qu'il sera clairement plus efficace d'établir les liens
intersites en SMTP plutot qu'en IP pour sa robustesse sur des lignes non
garanties.

Pour tout ce qui concerne DFS, je rends la parole à Mathieu :)

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Emmanuel" %
"Jonathan BISMUTH" On%23%
Bonjour Emmanuel,


Bonjour, Jonathan et merci de ton message

En complément des bonnes questions et informations posées par Mathieu :
En partant du principe que les conditions de travail doivent rester les
mêmes pour tes utilisateurs, et qu'il n'y a pas de question politique
quand à un éventuel service informatique local aux site qui souhaiterait
administrer les DC (donc le domaine) sans ton aide, il me paraîtrait
judicieux de conserver ton domaine, sans complexifier l'infrastructure.
Il serait facile de créer des sites et sous-réseaux associés, et de
placer les DC sur les sites désignés [et les passer catalogues globaux
dans la foulée ne serait pas forcément du luxe]. Si les DC sont aussi
DNS, fais ensuite pointer les clients de chaque site sur son DC et ça
devrait être tout bon.


Comme je l'explique en réponse au message de Mathieu, aucun problème
politique la dedans,
il y a un seul service informatique centralisé et nous devons nous
assurer que tout fonctionne correctement pour tout le monde.

l'architecture logique du réseau ne nous posera pas trop de soucis,
chaque site étant actuellement sur un sous réseau bien différent de celui
des autre sétablissements :
192.168.1.0 pour le siège
192.168.4.0 pour n site
192.168.5.0 pour un autre etc.....

Actuellement les clients de chaque site ne sont même liés au domaine
siège, nous gérons donc les users deux fois (voire plus pour les
quelques mutli-site) et ça commence à devenir un peu lourd, le nombre
d'utilisateurs augmentant régulièrement.

Est-ce qu'il existe des informations concernant la volumétrie des données
du GC ? (rapport au débit montant de mes connexions site)

Emmanuel.









Emmanuel
Le #673430
la volumétrie dépends beaucoup du nombre d'utilisateurs, d'attributs à
indexer, de ton délais de réplication...
Dans la mesure ou tu es dans environnement 2000, la réplication inter
GC n'est pas optimisé (pas d'incrémentale), je ne penses toutefois pas
que ça sera très impactant pour tes utilisateurs.


Oui, nous somme en Windows 2000 sur le siège, les sites, eux seront en
2003 et il n'est pas improbable que nous migrions sur 2003 également sur
le siège, je pense qu'on peut y gagner en fonctionnalités (bien que je
n'aie pas encore étudié précisément la question je dois bien l'avouer).


=> Une bonne doc sur le Catalogue Global :
http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true


Merci, en effet, ça fait de la bonne lecture :)


Note aussi qu'il sera clairement plus efficace d'établir les liens
intersites en SMTP plutot qu'en IP pour sa robustesse sur des lignes
non garanties.


Nos lignes ont un débit garanti, une GTA de 4 heures et la fiabilité est
au rendez vous depuis quelques année, pas trop de problèmes de liaison à
prévoir.
Mais je vais quand même regarder les différences entre SMTP et IP pour
les liens inter-site.

Emmanuel.

Mathieu CHATEAU
Le #673429
DFS R2 est une bonne raison :)


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Emmanuel" news:OTveS%
la volumétrie dépends beaucoup du nombre d'utilisateurs, d'attributs à
indexer, de ton délais de réplication...
Dans la mesure ou tu es dans environnement 2000, la réplication inter GC
n'est pas optimisé (pas d'incrémentale), je ne penses toutefois pas que
ça sera très impactant pour tes utilisateurs.


Oui, nous somme en Windows 2000 sur le siège, les sites, eux seront en
2003 et il n'est pas improbable que nous migrions sur 2003 également sur
le siège, je pense qu'on peut y gagner en fonctionnalités (bien que je
n'aie pas encore étudié précisément la question je dois bien l'avouer).


=> Une bonne doc sur le Catalogue Global :
http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true


Merci, en effet, ça fait de la bonne lecture :)


Note aussi qu'il sera clairement plus efficace d'établir les liens
intersites en SMTP plutot qu'en IP pour sa robustesse sur des lignes non
garanties.


Nos lignes ont un débit garanti, une GTA de 4 heures et la fiabilité est
au rendez vous depuis quelques année, pas trop de problèmes de liaison à
prévoir.
Mais je vais quand même regarder les différences entre SMTP et IP pour
les liens inter-site.

Emmanuel.






Jonathan BISMUTH
Le #673198
je confirme :))

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Mathieu CHATEAU"
DFS R2 est une bonne raison :)


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Emmanuel" news:OTveS%
la volumétrie dépends beaucoup du nombre d'utilisateurs, d'attributs à
indexer, de ton délais de réplication...
Dans la mesure ou tu es dans environnement 2000, la réplication inter GC
n'est pas optimisé (pas d'incrémentale), je ne penses toutefois pas que
ça sera très impactant pour tes utilisateurs.


Oui, nous somme en Windows 2000 sur le siège, les sites, eux seront en
2003 et il n'est pas improbable que nous migrions sur 2003 également sur
le siège, je pense qu'on peut y gagner en fonctionnalités (bien que je
n'aie pas encore étudié précisément la question je dois bien l'avouer).


=> Une bonne doc sur le Catalogue Global :
http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true


Merci, en effet, ça fait de la bonne lecture :)


Note aussi qu'il sera clairement plus efficace d'établir les liens
intersites en SMTP plutot qu'en IP pour sa robustesse sur des lignes non
garanties.


Nos lignes ont un débit garanti, une GTA de 4 heures et la fiabilité est
au rendez vous depuis quelques année, pas trop de problèmes de liaison à
prévoir.
Mais je vais quand même regarder les différences entre SMTP et IP pour
les liens inter-site.

Emmanuel.









Publicité
Poster une réponse
Anonyme