Bonjour,
 
pour être clair dès le départ, je suis noob sur les techno azure  
 
pour une entreprise en création (donc on part d'une feuille blanche) je suis en train de regarder les solutions pour ce qui est messagerie/office/authentification
 
pour la partie messagerie, c'est assez simple, ça sera du office 365 business premium ou E3 (ça sera <300 users)
 
la ou je me pose des questions, c'est que je veux absolument faire sans contrôleur de domaine local, sans pour autant perdre ce qui est authentification et GPO.
 
j'ai vu azure ADDS
 
vous connaissez ? vous utilisez ?  
 
si j'ai bien compris, ça peut remplacer un contrôleur de domaine
c'est vrai ? ya des limitations ?
 
la ou ça se complique un peu c'est qu'il va y avoir du mix windows7/10 (bah oui, ya des trucs qui marchent pas encore sur 10, merci certains éditeurs)
donc faut une solution qui accepte des clients window7 (la ou azure AD n'accepte que du 10)
 
vous voyez une solution ?
 
PS: je ne veux pas déployer un DC local synchronisé avec un Azure, le but est bien de ne rien avoir comme infra locale (physique/virtuelle etc) que du cloud hébergé!!!!
en gros, c'est pour minimaliser au max les couts matériel/maintenance et tout externaliser.
 
Merci

Salut,
 
J'utilise en prod pour de l'hébergement serveur.
 
C'est des controlleurs de domaine managés dans Azure. Tu as pas la main sur les machines, tu n'es pas domain/enterprise/schema admin donc pas mal de limitations dès que tu veux toucher à la partition configuration/schéma ou container system.
 
Il y a une latence aussi entre le moment où tu crées/modifie/update mdp un compte dans Azure AD et qu'il se réplique sur l'AADDS
comme contrainte tu as aussi que tu le déploies dans une région Azure et basta, tu peux pas créer des réplicas dans une autre région (bon toi tu as une petite boite mais si c'est europe/us c'est obligatoirement centralisé qqpart).
 
Après ça veut dire que si tu veux joindre une machine w7 à cet AD là, il va falloir que tu montes un vpn vers ton vnet (s2s, express route ou au pire p2s pour du besoin temporaire). Ca peut être une stratégie.
 
L'alternative est de monter un vrai AD en IaaS dans Azure.

merci !
 
yaura certainement jamais d'extension de schema ni de trucs du genre donc pas de soucis si j'ai pas la main dessus.
 
la latence, si c'est que sur ce genre d'actions, c'est pas problématique.
 
la contrainte géographique, ça ne dépassera jamais l'Europe de l'ouest
 
tu fais bien de parler du VPN, j'avais pas vu cette contrainte.
 
du coup, faut que le VPN soit connecté en permanence ou seulement pour rentrer la machine dans le domaine ?
(ça ça risque d'être un vrai problème)
 
je regarde le cout/faisabilité d'un AD en IaaS

Si tu veux que tes machines joignent l'aad ds pour appliquer des gpo oui il va falloir du réseau permanent .

bah je pensais (peut être naïvement) que ça passerait par le web sans VPN
 
iaas => ça reviens a avoir un DC avec la maintenance qui va avec.
(sans le cout et les pannes potentielles du matériel)

AAD DS c'est juste des DC dans un vnet que MS te met à disposition mais dont tu n'as pas la main.

ouais
bon, rien que pour le VPN, ça va être impossible
 
déjà parceque je n'aurais pas la main sur les connexion au net (filtrage etc), que l'IP sera pas fixe (de ce que j'ai vu, c'est requis) et surtout parceque certains postes ne seront jamais dans le bureau.....
 
du coup j'hésite entre iaas chez azure et louer un VPS chez ovh ou même genre
faut que je regarde le cout des 2 solutions

Même en IaaS sur Azure ou ailleurs tu auras le même problème.
C'est pas prévu de mettre des DC publiquement sur Internet.
Ton scénario serait plutôt des DC en IaaS chez un hébergeur (Azure ou autre) avec un mécanisme de VPN des postes type DirectAccess ou autre vpn always on.

merci pour les infos !