cas d'ecole

Non je ne le saurez que demain...

Par contre si le besoin etait d'avoir une administration et une securite
totalement differente je serais obligé de mettre en place plusieurs
domaines.
Quelle incidence pour exchange ?


"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a écrit
dans

le message de news:Omz5V7WbEHA.2972@TK2MSFTNGP12.phx.gbl...

Oui je vous conseille en effet 3 sites avec 1 serveur Catalogue global
par

site.
et faire repliquer tous les serveurs vers tous les autres serveurs.

Quelle est la bande passante à terme entre les sites, quelle en sera son
usage ( si vous le savez)

EtienneL


"Y.E" <ye_pro@msn.com> a écrit dans le message de
news:eLZp3pWbEHA.384@TK2MSFTNGP10.phx.gbl...

si je vous suit bien, vous conseillez, 1 foret, 1 domaine,

Creation de 3 sites avec 1 serveur Catalogue global par site.

Donc autres questions héhé

Pour le parametrage des sites dois-je alors faire repliquer tous les
serveurs vers tous les autres serveurs A vers B et C, B vers A et C et
C

vers A et B ou seulement A vers B et C, C vers A et B vers A.

Merci


"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a écrit
dans

le message de news:eebaWkWbEHA.2972@TK2MSFTNGP12.phx.gbl...

Bonjour

Ce sont les phrases "elle limite le trafic de réplication (qui est
déjà

limité aux modifications d'attribut) aux bornes du domaine dans
lequel

les

modifications ont été apportées." et
you should create multiple

domains to

? Meet security requirements

? Meet administrative requirements

? ***Optimize replication traffic***

qui vous font comprendre qu'il faut faire plusieurs domaines ?

Si oui, je vais essayer de vous trouver d'autres articles plus
clairs

sur

l'organisation logiques (domaines, arbre foret, OU) et physique
(Site)

de

AD

et leur indépendance.

C'est justement un des tres gros progres du passage de NT4 (et il y
en

a

encore plein en exploitantion) vers AD (2000 et 2003) est de ne plus
etre

obliger de faire un domaine sur chaque site physique pour des
questions

de

controle de la réplication de l'annuaire (à l'époque de NT4, on
etait

en

plein boom de RNIS, vous imaginez la facture quand 2 controleurs
passaient

leur temps, au sein d'un meme domaine, à se parler, j'aillais dire
de

la

pluie et du beau temps, mais sérierusement de synchro d'annuaire et
de

vérif

d'existance, entre autre)


EtienneL



"Y.E" <ye_pro@msn.com> a écrit dans le message de
news:eayfmOWbEHA.1548@TK2MSFTNGP12.phx.gbl...

voila par exemple deux articles

Réplication de l'annuaire
Puisque chaque contrôleur de domaine contient une copie maître
accessible

en

écriture de la partition Active Directory pour son domaine, toute
modification apportée à une partition du domaine peut l'être à
partir

de

n'importe quel contrôleur de domaine disponible. Lors d'une
modification

sur

un contrôleur de domaine, il doit y avoir moyen de répliquer cette
mise

à

jour sur d'autres contrôleurs de domaine. Ce processus de
distribution

des

informations mises à jour aux contrôleurs de domaine appropriés se
nomme

réplication.

Dans Windows 2000 et Windows Server 2003, l'unité de réplication
est

la

partition de domaine. Toutefois, seules les modifications
effectuées

au

niveau des attributs d'un objet donné sont répliquées vers
d'autres

contrôleurs de domaine, plutôt que l'objet entier. Ceci permet une
réduction

considérable du trafic de réplication - et plus le trafic lié au
fonctionnement du réseau est limité, meilleure est la solution.

La priorité de mise à jour est déterminée par l'utilisation de
numéros

de

séquence des mises à jour (USN). Plutôt que de comparer les
valeurs

des

attributs d'objet, les services Active Directory utilisent un
numéro

courant

(l'USN) pour déterminer si la réplication doit être effectuée, et
si

oui

quelles valeurs d'attributs d'objets doivent être transmises. Pour
plus

d'informations sur les USN, reportez-vous à la section
"Replication"

("Réplication") du chapitre 4 "Active Directory Scalability
Architecture"

("Architecture d'évolutivité dans Active Directory"). Cette
implémentation

des USN constitue un autre avantage du domaine en tant qu'unité de
partitionnement ; elle limite le trafic de réplication (qui est
déjà

limité

aux modifications d'attribut) aux bornes du domaine dans lequel
les

modifications ont été apportées.







Lesson 1 Creating Multiple Domains, Trees, and Forests 4-3

Lesson 1: Creating Multiple Domains, Trees, and Forests In Chapter
2,

you

learned to install Active Directory, which actually creates the
initial

domain, tree, and forest for an organization. However, some
organizations

might require multiple domains, trees, or forests for Active
Directory

to

effectively meet their needs. This lesson shows you how to create
additional

domains, trees, and forests. After this lesson, you will be able
to

?

Create

additional domains, trees, and forests ? Explain the reasons for
using

multiple domains, trees, and forests ? Explain the implications
for

using

multiple domains, trees, and forests Estimated lesson time: 0
minutes2

Creating Multiple Domains You must determine the number of domains
for

each

forest in your organization. Although one domain might effectively
represent

the structure of small or medium-sized organizations, larger and
more

complex organizations might find that one domain is not
sufficient.

Before

adding any domains you should be able to state the purpose of the
new

domain

and justify it in terms of administrative and hardware costs.
Reasons

to

Create Multiple Domains As stated in Chapter 2, you should create
multiple

domains to

? Meet security requirements

? Meet administrative requirements

? Optimize replication traffic

? Retain Microsoft Windows NT domains

Tip Do not create multiple domains to accommodate polarized groups
or

for

isolated resources that are not easily assimilated into other
domains.

Both

the groups and the resources are usually better candidates for
organizational units (OUs). Creating Domains to Meet Security
Requirements

The settings in the Account Policies

subdirectory in the Security Settings node of a Group Policy
Object

(GPO)

can be specified only at the domain level. If the security
requirements

set

in the Account Policies

subdirectory vary throughout your organization, you need to define
separate

"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a
écrit

dans

le message de news:uXWkMEWbEHA.3864@TK2MSFTNGP10.phx.gbl...

Je ne comprends pas bien.
La notion de site correspond à des DC "bien connectés" (well
connected)

et

qui peuvent ainsi discuter entre eux sans précaution de bande
passante.

Si il y a des précautions à prendre, on crée des sites, meme au
sein

d'un

meme domaine ( en 2000 et en 2003 pas en NT4)

On crée plusieurs domaines pour certaines raisons comme nombre
d'objets

à

10 millions ou politique de sécurité différentes ou langues
différentes,

mais surtout pas pour des questions de configuration physique.

Avez vous le lien vers le guide de deployement de l'ad 2003
donc

vous

parlez ?

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:OQ0dbppaEHA.4092@TK2MSFTNGP11.phx.gbl...

vi mais ce n'est pas ce qui est marque dans le guide de
deployement

de

l'ad

2003
c'est pour ca



"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM>
a

écrit

dans

le message de news:ev3iJqlaEHA.2056@TK2MSFTNGP12.phx.gbl...

BOnjour

Cela etait vrai en Windows NT 4 mais la notion de site de
Windows

2000

(et

2003) permettent de gerer cela au sein d'un meme domaine AD.
Independante

entre l'organisation logique et physique.

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:%23tiEO0daEHA.3480@TK2MSFTNGP11.phx.gbl...

la raison est fort simple. Il est mentionne dans tous les
manuels

(peut

etre

ne dois-je pas m'y fier) que pour limiter le traffic de la
replication

sur

des liens lents il vaut mieux faire des domaines
differents

qu'en pensez vous ?


"Etienne Legendre [MVP]"
<Etiennel@free.frXVX-ENLEVER-XVX.COM>

a

écrit

dans

le message de
news:OTvDUmWaEHA.2016@TK2MSFTNGP09.phx.gbl...

Bonjour

Pourquoi creez vous des domaines enfants et pas tout ds
le

meme

domaine

dans

la mesure où un domaine W2003 peut etre sur plusieurs
sites

géographiques.

Autant n'avoir qu'un domaine. (une foret avec un seul
arbre,

c'est

triste

mais bien plus facile à administrer)
Maintenant ma remarque n'est sans doute pas la solution
à

votre

problème

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:%23SiNapSaEHA.716@TK2MSFTNGP11.phx.gbl...

bonjour a tous,

explications :

Existant : site Principal sous W2000 AD avec exchange
2000

en prevision :

1 site secondaire 2003 AD avec exchange 2003
1 site secondaire 2003 AD avec Bal gerer par le site
principal

Maquette realisée:

Existant
1 Foret avec 1 Domaine 2000 + Ex 2000

1er site creation d'un nouveau domaine dans la meme
foret

en

AD

2003

installation d'exchange 2003 avec un forestprep dans
l'AD

2000

Pas de probleme, les deux exchange discute et partage
le

meme

espace

de

nom.

Le probleme est survenu en fait sur le site qui me
paraissait

le

plus

simple

cad :

Creation d'un 3ieme domaine dans la meme foret,
Forestprep

fait

dans

ce

domaine pour que l'exchange 2000 puissent gerer les
utilisateurs

de

ce

domaine.
La partie d'admin fonctionne et me permet biend e
creer

des

boites

pour

ce

domaine, mais impoossible a un client de s'y
connecter.

Faut-il obligatoirement etre Domaine Enfant ?
y'a t'il quelque chose que j'ai oublié ?

Merci d'avance

Si les 3 domaines sont ds un meme arbre (tree) il y a alors des relations
d'approbation entre les domaines et les users se connectent si l'admin est
OK.
Pour Exchange, forestprep sur cet arbre et domainprep pour le domaine qui
abrite exchange.
Outlook se connectera.

Si les 3 domaines ne sont pas ds un arbre, ca fait 3 forets. depuis
Windows

2003 on peut faire des relations d'approbation ainsi, mais vous faites une
usine à gaz pour 3 domaines.

EtienneL

"Y.E" <ye_pro@msn.com> a écrit dans le message de
news:ONitLAXbEHA.2812@TK2MSFTNGP11.phx.gbl...

Non je ne le saurez que demain...

Par contre si le besoin etait d'avoir une administration et une securite
totalement differente je serais obligé de mettre en place plusieurs
domaines.
Quelle incidence pour exchange ?


"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a écrit
dans

le message de news:Omz5V7WbEHA.2972@TK2MSFTNGP12.phx.gbl...

Oui je vous conseille en effet 3 sites avec 1 serveur Catalogue global
par

site.
et faire repliquer tous les serveurs vers tous les autres serveurs.

Quelle est la bande passante à terme entre les sites, quelle en sera
son

usage ( si vous le savez)

EtienneL


"Y.E" <ye_pro@msn.com> a écrit dans le message de
news:eLZp3pWbEHA.384@TK2MSFTNGP10.phx.gbl...

si je vous suit bien, vous conseillez, 1 foret, 1 domaine,

Creation de 3 sites avec 1 serveur Catalogue global par site.

Donc autres questions héhé

Pour le parametrage des sites dois-je alors faire repliquer tous les
serveurs vers tous les autres serveurs A vers B et C, B vers A et C
et

C

vers A et B ou seulement A vers B et C, C vers A et B vers A.

Merci


"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a
écrit

dans

le message de news:eebaWkWbEHA.2972@TK2MSFTNGP12.phx.gbl...

Bonjour

Ce sont les phrases "elle limite le trafic de réplication (qui est
déjà

limité aux modifications d'attribut) aux bornes du domaine dans
lequel

les

modifications ont été apportées." et
you should create multiple

domains to

? Meet security requirements

? Meet administrative requirements

? ***Optimize replication traffic***

qui vous font comprendre qu'il faut faire plusieurs domaines ?

Si oui, je vais essayer de vous trouver d'autres articles plus
clairs

sur

l'organisation logiques (domaines, arbre foret, OU) et physique
(Site)

de

AD

et leur indépendance.

C'est justement un des tres gros progres du passage de NT4 (et il
y

en

a

encore plein en exploitantion) vers AD (2000 et 2003) est de ne
plus

etre

obliger de faire un domaine sur chaque site physique pour des
questions

de

controle de la réplication de l'annuaire (à l'époque de NT4, on
etait

en

plein boom de RNIS, vous imaginez la facture quand 2 controleurs
passaient

leur temps, au sein d'un meme domaine, à se parler, j'aillais dire
de

la

pluie et du beau temps, mais sérierusement de synchro d'annuaire
et

de

vérif

d'existance, entre autre)


EtienneL



"Y.E" <ye_pro@msn.com> a écrit dans le message de
news:eayfmOWbEHA.1548@TK2MSFTNGP12.phx.gbl...

voila par exemple deux articles

Réplication de l'annuaire
Puisque chaque contrôleur de domaine contient une copie maître
accessible

en

écriture de la partition Active Directory pour son domaine,
toute

modification apportée à une partition du domaine peut l'être à
partir

de

n'importe quel contrôleur de domaine disponible. Lors d'une
modification

sur

un contrôleur de domaine, il doit y avoir moyen de répliquer
cette

mise

à

jour sur d'autres contrôleurs de domaine. Ce processus de
distribution

des

informations mises à jour aux contrôleurs de domaine appropriés
se

nomme

réplication.

Dans Windows 2000 et Windows Server 2003, l'unité de réplication
est

la

partition de domaine. Toutefois, seules les modifications
effectuées

au

niveau des attributs d'un objet donné sont répliquées vers
d'autres

contrôleurs de domaine, plutôt que l'objet entier. Ceci permet
une

réduction

considérable du trafic de réplication - et plus le trafic lié au
fonctionnement du réseau est limité, meilleure est la solution.

La priorité de mise à jour est déterminée par l'utilisation de
numéros

de

séquence des mises à jour (USN). Plutôt que de comparer les
valeurs

des

attributs d'objet, les services Active Directory utilisent un
numéro

courant

(l'USN) pour déterminer si la réplication doit être effectuée,
et

si

oui

quelles valeurs d'attributs d'objets doivent être transmises.
Pour

plus

d'informations sur les USN, reportez-vous à la section
"Replication"

("Réplication") du chapitre 4 "Active Directory Scalability
Architecture"

("Architecture d'évolutivité dans Active Directory"). Cette
implémentation

des USN constitue un autre avantage du domaine en tant qu'unité
de

partitionnement ; elle limite le trafic de réplication (qui est
déjà

limité

aux modifications d'attribut) aux bornes du domaine dans lequel
les

modifications ont été apportées.







Lesson 1 Creating Multiple Domains, Trees, and Forests 4-3

Lesson 1: Creating Multiple Domains, Trees, and Forests In
Chapter

2,

you

learned to install Active Directory, which actually creates the
initial

domain, tree, and forest for an organization. However, some
organizations

might require multiple domains, trees, or forests for Active
Directory

to

effectively meet their needs. This lesson shows you how to
create

additional

domains, trees, and forests. After this lesson, you will be able
to

?

Create

additional domains, trees, and forests ? Explain the reasons for
using

multiple domains, trees, and forests ? Explain the implications
for

using

multiple domains, trees, and forests Estimated lesson time: 0
minutes2

Creating Multiple Domains You must determine the number of
domains

for

each

forest in your organization. Although one domain might
effectively

represent

the structure of small or medium-sized organizations, larger and
more

complex organizations might find that one domain is not
sufficient.

Before

adding any domains you should be able to state the purpose of
the

new

domain

and justify it in terms of administrative and hardware costs.
Reasons

to

Create Multiple Domains As stated in Chapter 2, you should
create

multiple

domains to

? Meet security requirements

? Meet administrative requirements

? Optimize replication traffic

? Retain Microsoft Windows NT domains

Tip Do not create multiple domains to accommodate polarized
groups

or

for

isolated resources that are not easily assimilated into other
domains.

Both

the groups and the resources are usually better candidates for
organizational units (OUs). Creating Domains to Meet Security
Requirements

The settings in the Account Policies

subdirectory in the Security Settings node of a Group Policy
Object

(GPO)

can be specified only at the domain level. If the security
requirements

set

in the Account Policies

subdirectory vary throughout your organization, you need to
define

separate

"Etienne Legendre [MVP]" <Etiennel@free.frXVX-ENLEVER-XVX.COM> a
écrit

dans

le message de news:uXWkMEWbEHA.3864@TK2MSFTNGP10.phx.gbl...

Je ne comprends pas bien.
La notion de site correspond à des DC "bien connectés" (well
connected)

et

qui peuvent ainsi discuter entre eux sans précaution de bande
passante.

Si il y a des précautions à prendre, on crée des sites, meme
au

sein

d'un

meme domaine ( en 2000 et en 2003 pas en NT4)

On crée plusieurs domaines pour certaines raisons comme nombre
d'objets

à

10 millions ou politique de sécurité différentes ou langues
différentes,

mais surtout pas pour des questions de configuration physique.

Avez vous le lien vers le guide de deployement de l'ad 2003
donc

vous

parlez ?

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:OQ0dbppaEHA.4092@TK2MSFTNGP11.phx.gbl...

vi mais ce n'est pas ce qui est marque dans le guide de
deployement

de

l'ad

2003
c'est pour ca



"Etienne Legendre [MVP]"
<Etiennel@free.frXVX-ENLEVER-XVX.COM>

a

écrit

dans

le message de news:ev3iJqlaEHA.2056@TK2MSFTNGP12.phx.gbl...

BOnjour

Cela etait vrai en Windows NT 4 mais la notion de site de
Windows

2000

(et

2003) permettent de gerer cela au sein d'un meme domaine
AD.

Independante

entre l'organisation logique et physique.

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:%23tiEO0daEHA.3480@TK2MSFTNGP11.phx.gbl...

la raison est fort simple. Il est mentionne dans tous
les

manuels

(peut

etre

ne dois-je pas m'y fier) que pour limiter le traffic de
la

replication

sur

des liens lents il vaut mieux faire des domaines
differents

qu'en pensez vous ?


"Etienne Legendre [MVP]"
<Etiennel@free.frXVX-ENLEVER-XVX.COM>

a

écrit

dans

le message de
news:OTvDUmWaEHA.2016@TK2MSFTNGP09.phx.gbl...

Bonjour

Pourquoi creez vous des domaines enfants et pas tout
ds

le

meme

domaine

dans

la mesure où un domaine W2003 peut etre sur plusieurs
sites

géographiques.

Autant n'avoir qu'un domaine. (une foret avec un seul
arbre,

c'est

triste

mais bien plus facile à administrer)
Maintenant ma remarque n'est sans doute pas la
solution

à

votre

problème

EtienneL

"E.Y." <y__e_@hotmail.com> a écrit dans le message de
news:%23SiNapSaEHA.716@TK2MSFTNGP11.phx.gbl...

bonjour a tous,

explications :

Existant : site Principal sous W2000 AD avec
exchange