Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1408 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Consolidation AD multisite

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Consolidation AD multisite

n°156507
zoumzoum69​005
Posté le 07-09-2018 à 14:15:13  profilanswer
 

Bonjour à tous,
 
Je me tourne vers vous car j'ai besoin d'aide sur un sujet d'évolution de notre infrastructure AD.
 
Actuellement, dans l'entreprise il y a 50 sites géographiques en france. Chaque sites est construit de la même façon (1 forêt+ 1 domaine).
 
Nous souhaiterions pourvoir faire en sorte que le siège de l'entreprise puisse :
 
 - appliquer des GPO sur les sites distants
 
 - déléguer la création des comptes utilisateurs, jonction des pc au domaine sur les sites distants et éventuellement pouvoir créer des utilisateurs pour les sites distants à partir du site central.
 
 Nous souhaiterions qu'un utilisateur d'un site distant puisse se connecter sur le site du siège avec ses identifiants lorsque qu'il se déplace au siège.
 
Nous souhaiterions que les équipes IT basées au siège puisse approuver/déployer des MAJ windows sur les postes des sites distants.
 
Quel serait selon vous la bonne topologie AD à mettre en place (Mono foret / multi domaine, Mono foret / monodomaine / multi sites).
 
Merci pour vos retours d'expérience et vos précieux conseils.

mood
Publicité
Posté le 07-09-2018 à 14:15:13  profilanswer
 

n°156512
Je@nb
Modérateur
In ze cloud
Posté le 07-09-2018 à 16:04:04  profilanswer
 

En 2018 dans ce genre de contexte aucune raison de pas faire du mono forêt mono domaine sauf si tu as des liens 56k...
Et pas besoin de mettre des DC partout non plus

n°156514
zoumzoum69​005
Posté le 07-09-2018 à 16:36:57  profilanswer
 

on est sur du vpn mpls mais certains sites sont en 2 méga

n°156515
Je@nb
Modérateur
In ze cloud
Posté le 07-09-2018 à 16:56:06  profilanswer
 

T'as de pb

n°156517
zoumzoum69​005
Posté le 07-09-2018 à 17:00:12  profilanswer
 

pas de pb ?

n°156518
Je@nb
Modérateur
In ze cloud
Posté le 07-09-2018 à 17:10:44  profilanswer
 

Oups oui, correction automatique  :D

n°156519
Micko77666
Posté le 07-09-2018 à 17:20:43  profilanswer
 


D'ailleurs, il faut compter combien en bande passante pour une authentification LDAP ?  ça doit pas être très gourmand je pense.

n°156520
Je@nb
Modérateur
In ze cloud
Posté le 07-09-2018 à 17:34:02  profilanswer
 

Qq ko, le plus gros c'est les gpo qui descendent

n°156524
nebulios
Posté le 07-09-2018 à 19:41:24  profilanswer
 

monodomaine monoforêt multisite, avec la délégation AD qui va bien. Pour les mises à jour c'est plutôt du resort de WSUS/ton soft de management.

n°156534
frede94
Anti cococouillon
Posté le 07-09-2018 à 22:04:04  profilanswer
 

Je@nb a écrit :

Qq ko, le plus gros c'est les gpo qui descendent


 
A propos des gpo, je rajoute.. Ne pas mettre de msi , de setup.exe (ou tout autre fichiers d'install) dans sysvol. C'est tentant quand on pousse des softs par gpo.. mais bon, sysvol c'est pas un lieu de stockage de fichiers d'install de softs  :o  
A mon bureau y en a quelques uns qui ont tenté de foutre les fichiers d'install de Ms office dans sysvol, on a du les calmer  :o


---------------
Non au vivre ensemble ----- Communistes = fascistes rouges
mood
Publicité
Posté le 07-09-2018 à 22:04:04  profilanswer
 

n°156538
antoincy
Posté le 07-09-2018 à 22:19:29  profilanswer
 

frede94 a écrit :


 
A propos des gpo, je rajoute.. Ne pas mettre de msi , de setup.exe (ou tout autre fichiers d'install) dans sysvol. C'est tentant quand on pousse des softs par gpo.. mais bon, sysvol c'est pas un lieu de stockage de fichiers d'install de softs  :o  
A mon bureau y en a quelques uns qui ont tenté de foutre les fichiers d'install de Ms office dans sysvol, on a du les calmer  :o


Y’a netlogon pour ça

n°156542
nebulios
Posté le 07-09-2018 à 22:35:39  profilanswer
 

Non plus. Tu pousses pas d'installation de softs via GPO, et tu ne gonfles pas ton AD artificiellement avec des Go de exe/msi.

n°156565
clockover
That's the life
Posté le 09-09-2018 à 16:59:36  profilanswer
 

nebulios a écrit :

Non plus. Tu pousses pas d'installation de softs via GPO, et tu ne gonfles pas ton AD artificiellement avec des Go de exe/msi.


Ca dépend de l'infra.


---------------
-----
n°156566
Je@nb
Modérateur
In ze cloud
Posté le 09-09-2018 à 17:02:31  profilanswer
 

Non

n°156571
clockover
That's the life
Posté le 09-09-2018 à 19:42:01  profilanswer
 

Suivant le budget, la topologie, le dimensionnement, la taille des paquets à pousser, l'IT qui doit s'en occuper, ... non ce n'est pas une vérité.


Message édité par clockover le 09-09-2018 à 19:43:29

---------------
-----
n°156572
Je@nb
Modérateur
In ze cloud
Posté le 09-09-2018 à 21:55:08  profilanswer
 

Que des mauvaises excuses

n°156574
clockover
That's the life
Posté le 10-09-2018 à 01:06:50  profilanswer
 

Non des compromis comme il faut en faire constamment en entreprise.


---------------
-----
n°156583
nebulios
Posté le 10-09-2018 à 13:19:03  profilanswer
 

Oui mais non, tu as des produits gratuits qui font mieux si tu n'as pas de budget.

n°156593
zoumzoum69​005
Posté le 10-09-2018 à 15:16:29  profilanswer
 

merci pour vos réponses J
le bon design AD serait donc de passer d'une archi multi foret/multi domaine à une archi mono-foret/mono domaine avec 1 ou 2 contrôleur de domaine par site géographique.
Il faudra donc transformer les AD locaux pour les intégrer au domaine du site central.
J'imagine que la structure AD sera un site AD par site géographique et une OU par site géographique également.
Dans le cas d'utilisation d'ADMT pour migrer un domaine vers un autre est qu'il faut l'installer sur l'AD source et cible ou sur l'AD cible ?
Pour la coexistence DNS avez-vous utiliser les redirecteurs conditionnels ou la zone stub ?

n°156598
Je@nb
Modérateur
In ze cloud
Posté le 10-09-2018 à 18:52:48  profilanswer
 

A voir la gueule des sites mais c'est plutôt entre 0 et 1 controleur par site géographique, et éventuellement 2 sur le plus gros site.
Un site AD/site géo of course (et encore, à voir, si tu fais pas de gpo par site, pas de DFS, SCCM and co c'est peut être pas utile de déclarer tous les sites unitairement).
Pour l'organisation par OU, à voir comment tu manages les utilisateurs et les postes, c'est une solution mais pas obligatoire.
On installe pas ADMT sur un AD, mais sur un serveur joint à l'AD cible. A voir le nb d'user et postes et serveurs mais peut être le mieux est de recréer from scratch.
plus souvent conditional forwarding ou juste du fowarding simple vers des serveurs dns centraux

n°156644
zoumzoum69​005
Posté le 12-09-2018 à 14:36:58  profilanswer
 

Bonjour et merci pour vos réponses bien détaillées.
 
Je viens de tester la migration d'un domaine distant vers un domaine central et j'ai une autre question.
 
En effet, sur les 2 domaines il y a un compte avec le même nom (exemple : adp). Et le problème se pose après la migration des comptes utilisateurs puisque même si j'ai ciblé une OU spécifique pour intégrer l'utilisateur et bien si un nom identique est trouvé dans le domaine alors la migration de marche pas.
 
Plutôt que de vérifier l'unicité des comptes sur l'ensemble de mes 60 domaine avant de réàliser la migration ADMT j'ai commencé à abandonner l'idée de faire un seul domaine commun et j'ai envisagé de faire un domaine enfant du domaine parent : en effet cela règle le problème de compte ayant le même nom, les gpo du site principal peuvent être redecendu sur le domaine enfant, etc...
 
Est ce que vous pensez que c'est une bonne idée de mettre en place une topologie AD avec un domaine enfant ? Par contre il ne me semble pas possible de "transformer" un domaine existant pour qu'il devienne domaine enfant.
 
Merci pour vos précieux conseils !
 
 

n°156652
Je@nb
Modérateur
In ze cloud
Posté le 12-09-2018 à 15:17:20  profilanswer
 

Non, pas du tout une bonne idée.
Quitte à migrer, migre vers du propre en mono forêt/mono domaine.
Faire un export des listes des comptes et les importer dans excel voir les dupliqués c'est 10min à tout casser ...

n°156714
zoumzoum69​005
Posté le 13-09-2018 à 11:51:59  profilanswer
 

ok je pars sur cette architecture qui me parait plus propre.

n°156715
skoizer
tripoux et tête de veau
Posté le 13-09-2018 à 12:00:02  profilanswer
 

pour ta solution de deploiement multi site d'application tu as ceci
WAPT
https://www.wapt.fr/fr/doc/Replicat [...] index.html
 
Pour wsus si tu veux quand garder les serveurs sur chaque site.
Un serveur WSUS qui controle les autres serveur WSUS.
Tu peux faire via la detection site un changement de serveur WSUS
regarde ce scenario
https://docs.microsoft.com/fr-fr/se [...] s/18127329
"Multiple Internally Synchronized WSUS Servers"
 
Je l'utilisait avant. Mais je trouve qu'avec W10 et WSUS 5.0 il y a une amélioration de la BP utilisé pour les  maj.
 
Pour les Maj de base antivirale : sur certaines version tu peux définir un pc faisant distributeur de base antivirale !


Message édité par skoizer le 13-09-2018 à 12:02:13

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°156736
Je@nb
Modérateur
In ze cloud
Posté le 13-09-2018 à 16:26:03  profilanswer
 

zoumzoum69005 a écrit :

ok je pars sur cette architecture qui me parait plus propre.


laquelle ?

n°156936
Micko77666
Posté le 19-09-2018 à 08:10:23  profilanswer
 

A partir de combien de personne vous mettez un AD sur le site vous ?

n°156937
Je@nb
Modérateur
In ze cloud
Posté le 19-09-2018 à 08:37:21  profilanswer
 

Ça dépend  :whistle:

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Consolidation AD multisite

 

Sujets relatifs
AD: retrouver le compte utilisateur origine[AD] Incidence de changer la casse des login
Exporter utilisateurs AD vers CSVRenommer groupe AD
Problème AD très étrange avec OU BuiltinRelation Approbation entre 2 forêts et replication AD
Remplacement d'un AD sur W2012 par un LDAP sur NASEmpêcher création compte serveur AD
Limitation droits utilisateurs AD/Linuxajout nouveaux utilisateurs AD avec powershell nom > 20 caractères
Plus de sujets relatifs à : Consolidation AD multisite


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR