Bonjour à tous,
 
Je me tourne vers vous car j'ai besoin d'aide sur un sujet d'évolution de notre infrastructure AD.
 
Actuellement, dans l'entreprise il y a 50 sites géographiques en france. Chaque sites est construit de la même façon (1 forêt+ 1 domaine).
 
Nous souhaiterions pourvoir faire en sorte que le siège de l'entreprise puisse :
 
 - appliquer des GPO sur les sites distants
 
 - déléguer la création des comptes utilisateurs, jonction des pc au domaine sur les sites distants et éventuellement pouvoir créer des utilisateurs pour les sites distants à partir du site central.
 
 Nous souhaiterions qu'un utilisateur d'un site distant puisse se connecter sur le site du siège avec ses identifiants lorsque qu'il se déplace au siège.
 
Nous souhaiterions que les équipes IT basées au siège puisse approuver/déployer des MAJ windows sur les postes des sites distants.
 
Quel serait selon vous la bonne topologie AD à mettre en place (Mono foret / multi domaine, Mono foret / monodomaine / multi sites).
 
Merci pour vos retours d'expérience et vos précieux conseils.

En 2018 dans ce genre de contexte aucune raison de pas faire du mono forêt mono domaine sauf si tu as des liens 56k...
Et pas besoin de mettre des DC partout non plus

on est sur du vpn mpls mais certains sites sont en 2 méga

T'as de pb

pas de pb ?

Oups oui, correction automatique  

D'ailleurs, il faut compter combien en bande passante pour une authentification LDAP ?  ça doit pas être très gourmand je pense.

Qq ko, le plus gros c'est les gpo qui descendent

monodomaine monoforêt multisite, avec la délégation AD qui va bien. Pour les mises à jour c'est plutôt du resort de WSUS/ton soft de management.

 
A propos des gpo, je rajoute.. Ne pas mettre de msi , de setup.exe (ou tout autre fichiers d'install) dans sysvol. C'est tentant quand on pousse des softs par gpo.. mais bon, sysvol c'est pas un lieu de stockage de fichiers d'install de softs    
A mon bureau y en a quelques uns qui ont tenté de foutre les fichiers d'install de Ms office dans sysvol, on a du les calmer  

Y’a netlogon pour ça

Non plus. Tu pousses pas d'installation de softs via GPO, et tu ne gonfles pas ton AD artificiellement avec des Go de exe/msi.

Ca dépend de l'infra.

Non

Suivant le budget, la topologie, le dimensionnement, la taille des paquets à pousser, l'IT qui doit s'en occuper, ... non ce n'est pas une vérité.

Que des mauvaises excuses

Non des compromis comme il faut en faire constamment en entreprise.

Oui mais non, tu as des produits gratuits qui font mieux si tu n'as pas de budget.

merci pour vos réponses J
le bon design AD serait donc de passer d'une archi multi foret/multi domaine à une archi mono-foret/mono domaine avec 1 ou 2 contrôleur de domaine par site géographique.
Il faudra donc transformer les AD locaux pour les intégrer au domaine du site central.
J'imagine que la structure AD sera un site AD par site géographique et une OU par site géographique également.
Dans le cas d'utilisation d'ADMT pour migrer un domaine vers un autre est qu'il faut l'installer sur l'AD source et cible ou sur l'AD cible ?
Pour la coexistence DNS avez-vous utiliser les redirecteurs conditionnels ou la zone stub ?

A voir la gueule des sites mais c'est plutôt entre 0 et 1 controleur par site géographique, et éventuellement 2 sur le plus gros site.
Un site AD/site géo of course (et encore, à voir, si tu fais pas de gpo par site, pas de DFS, SCCM and co c'est peut être pas utile de déclarer tous les sites unitairement).
Pour l'organisation par OU, à voir comment tu manages les utilisateurs et les postes, c'est une solution mais pas obligatoire.
On installe pas ADMT sur un AD, mais sur un serveur joint à l'AD cible. A voir le nb d'user et postes et serveurs mais peut être le mieux est de recréer from scratch.
plus souvent conditional forwarding ou juste du fowarding simple vers des serveurs dns centraux

Bonjour et merci pour vos réponses bien détaillées.
 
Je viens de tester la migration d'un domaine distant vers un domaine central et j'ai une autre question.
 
En effet, sur les 2 domaines il y a un compte avec le même nom (exemple : adp). Et le problème se pose après la migration des comptes utilisateurs puisque même si j'ai ciblé une OU spécifique pour intégrer l'utilisateur et bien si un nom identique est trouvé dans le domaine alors la migration de marche pas.
 
Plutôt que de vérifier l'unicité des comptes sur l'ensemble de mes 60 domaine avant de réàliser la migration ADMT j'ai commencé à abandonner l'idée de faire un seul domaine commun et j'ai envisagé de faire un domaine enfant du domaine parent : en effet cela règle le problème de compte ayant le même nom, les gpo du site principal peuvent être redecendu sur le domaine enfant, etc...
 
Est ce que vous pensez que c'est une bonne idée de mettre en place une topologie AD avec un domaine enfant ? Par contre il ne me semble pas possible de "transformer" un domaine existant pour qu'il devienne domaine enfant.
 
Merci pour vos précieux conseils !
 
 

Non, pas du tout une bonne idée.
Quitte à migrer, migre vers du propre en mono forêt/mono domaine.
Faire un export des listes des comptes et les importer dans excel voir les dupliqués c'est 10min à tout casser ...

ok je pars sur cette architecture qui me parait plus propre.

pour ta solution de deploiement multi site d'application tu as ceci
WAPT
https://www.wapt.fr/fr/doc/Replicat [...] index.html
 
Pour wsus si tu veux quand garder les serveurs sur chaque site.
Un serveur WSUS qui controle les autres serveur WSUS.
Tu peux faire via la detection site un changement de serveur WSUS
regarde ce scenario
https://docs.microsoft.com/fr-fr/se [...] s/18127329
"Multiple Internally Synchronized WSUS Servers"
 
Je l'utilisait avant. Mais je trouve qu'avec W10 et WSUS 5.0 il y a une amélioration de la BP utilisé pour les  maj.
 
Pour les Maj de base antivirale : sur certaines version tu peux définir un pc faisant distributeur de base antivirale !

laquelle ?

A partir de combien de personne vous mettez un AD sur le site vous ?

Ça dépend