j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message de
news: 52DDF4CC-0ED5-4896-AEFB-DEA0D71E4685@microsoft.com...
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi) réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message
de
news: 52DDF4CC-0ED5-4896-AEFB-DEA0D71E4685@microsoft.com...
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion en
invite de commande de ADMT qui te permettra, par script, d'automatiser tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type :
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion en
invite de commande de ADMT qui te permettra, par script, d'automatiser tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type :
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message de
news: 16AAD23D-FF8E-407B-AB54-14BBB93B9665@microsoft.com...
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message
de
news: 52DDF4CC-0ED5-4896-AEFB-DEA0D71E4685@microsoft.com...
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion en
invite de commande de ADMT qui te permettra, par script, d'automatiser tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type :
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine, c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact" avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps (quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité de
relation unidir, etc.)
Merci pour vos conseils!
Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le
message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,
Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message
de
news: 16AAD23D-FF8E-407B-AB54-14BBB93B9665@microsoft.com...
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le
message
de
news: 52DDF4CC-0ED5-4896-AEFB-DEA0D71E4685@microsoft.com...
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le
message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Hello DJ.
Pas de soucis.
Juste une question, comment compte tu faire ta mise à jour en temps (quasi)
réel du coup entre les deux domaines?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le
message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Hello DJ.
Pas de soucis.
Juste une question, comment compte tu faire ta mise à jour en temps (quasi)
réel du coup entre les deux domaines?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message de
news: 689F5F25-AC74-43AF-8562-FF8858F118E3@microsoft.com...
Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,
Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message
de
news: 16AAD23D-FF8E-407B-AB54-14BBB93B9665@microsoft.com...
Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!
Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le
message
de
news: 52DDF4CC-0ED5-4896-AEFB-DEA0D71E4685@microsoft.com...
j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Hello DJ.
Pas de soucis.
Juste une question, comment compte tu faire ta mise à jour en temps (quasi)
réel du coup entre les deux domaines?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Merci Jonathan pour tes précieux conseils.
Je vais finalement adopter la solution préconisée par MS, à savoir un
nouveau DC monté dans la prod.
Une fois récupérée l'AD, déconnexion du DC de la prod, metadata cleanup de
l'AD pour effacer toute référence à ce DC (+ nettoyage AD, Compte, DNS,
etc.).
Enfin, pour faire ceinture et bretelle si necéssaire, RenDom sur l'AD de
test dans le sens où le réseau ne sera pas étanche entre les 2 domaines.
Merci pour tout,Re DJ,
Effectivement, côté récupération des extensions de schéma, il te faudra
plutôt les reproduire à la main. Si ton but est que les environnements
soient le moins communiquant possible, l'idée du 2e domaine dans la forêt
est moins souple (note toutefois que beaucoup de sociétés agissent ainsi,
même si ça ne me paraît pas être la solution la plus secure...)
Pour synchroniser, pourquoi ne pas utiliser IIFP qui est un MIIS light et
gratuit
http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en#AdditionalInfo
Sinon, comme je te disais précédemment, tu peux aussi utiliser la portion
en
invite de commande de ADMT qui te permettra, par script, d'automatiser
tout
ce que tu désire entre les deux domaines, ce de manière certainement plus
souple qu'un outil quelconque. ça demande en revanche un peu de
développement...
Pour la partie SMS, demande plutôt aux pros sur les news appropriés type
:
microsoft.public.fr.sms je penses qu'ils seront meilleurs conseillés ;)
PS : si si! Je veux te voir avec ta clé USB faire le tour des serveurs ;)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Merci beaucoup pour ces pistes!
Effectivement, l'idée des 2 forêts avec synchro d'annuaire (comment tu
fais
ça exactement?) me semblait la meilleure (j'ai une forêt de prod avec 1
seul
domaine de prod dedans, je ferai une 2ème forêt de test avec 1 seul
domaine
de test dedans). Seul hic, je ne pourrai pas (à priori) récupérer les
extensions de schéma qui ont été faites sur ma prod (la seule solution
que
je
connaisse est de faire un domaine enfant qui lui "hérite" du schéma du
domaine racine parent). Mais à la rigueur, ce n'est pas dramatique.
Par contre, la raison qui me pousse à devoir créer un tel domaine,
c'est
entre autre de bénéficier d'un serveur SMS de "test", afin de valider
mes
packages de télédistribution avant de les déployer sur la prod, sur le
serveur primaire SMS de prod... et là, je ne sais pas quelle topo est
la
meilleure (serveur enfant ou secondaire SMS, forcément en "contact"
avec
la
prod car je ne me vois pas partir avec mes packages sur une clé USB
pour
aller les mettre en prod!)
Merci pour vos commentaires en tout cas!Hello,
Si tu cherche à rendre la chose la plus étanche sans l'être trop, peut
être
l'idéal serait il d'avoir 2 forêts avec une relation unidir + synchro
d'annuaire entre les deux.
Si tu veux jouer sur les accès par Sid, de manière à ce que tout soit
transparent, tu peux aussi remplacer la synchro par l'utilisation de
scripts
à base d'ADMT afin de maintenir quotidiennement en parallèle les deux
environnements.
Il est vrai que le débat est vaste, si d'autres ont quelques idées là
dessus, la question est forte intéressante :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le
message
de
news:j'ai besoin de monter un environnement de qualif (ou de pré-prod),
relativement indépendant de mon AD de prod: il doit "hériter" de
l'annuaire
de prod si possible (comptes, GPO, etc.), mis à jour en temps
(quasi)
réel
(donc pas de réseau étanche, un PC de test dans le domaine de test
doit
pouvoir se connecter sur des serveurs applis en prod), mais sans que
ce
domaine de test puisse "polluer" la prod...
Quelqu'un a-t-il déjà bossé là-dessus?
Quelle topologie me conseillez-vous? (domaine enfant du domaine
parent
de
prod, mais avec forcément une relation d'approb bidi transitive, ou
domaine
séparé dans la même forêt, ou 2 forêts distinctes avec possibilité
de
relation unidir, etc.)
Merci pour vos conseils!
Effectivement, la MAJ temps réel tombe à l'eau...
Toute manip en prod passera obligatoirement par une validation en test (ce
qui limitera le delta entre les 2 annuaires), pour le reste, scripting
d'export-import de GPO, et ldifde pour l'import des nouveaux comptes.
Sans oublier 1 ou 2 fois par an une nouvelle duplication de l'AD de prod
via
le DC, et une restauration du SMS primaire de prod dans le SMS de test...
...
Effectivement, la MAJ temps réel tombe à l'eau...
Toute manip en prod passera obligatoirement par une validation en test (ce
qui limitera le delta entre les 2 annuaires), pour le reste, scripting
d'export-import de GPO, et ldifde pour l'import des nouveaux comptes.
Sans oublier 1 ou 2 fois par an une nouvelle duplication de l'AD de prod
via
le DC, et une restauration du SMS primaire de prod dans le SMS de test...
...
Effectivement, la MAJ temps réel tombe à l'eau...
Toute manip en prod passera obligatoirement par une validation en test (ce
qui limitera le delta entre les 2 annuaires), pour le reste, scripting
d'export-import de GPO, et ldifde pour l'import des nouveaux comptes.
Sans oublier 1 ou 2 fois par an une nouvelle duplication de l'AD de prod
via
le DC, et une restauration du SMS primaire de prod dans le SMS de test...
...
