Bonjour,
 
J'ai une infra a construire pour 1 client et j'ai une interrogation sur le positionnement du role AD
 
l'infra est :
2 hyperviseur physique
1 baie San de stockage des VMs
configuration des hyperviseur en Cluster avec hébergement des VMs sur la baie SAN
 
J'ai un doute pour monter l'AD, une VM ou sur l'hyperviseur ? et la seconde interrogation concerne la réplication de cet AD (physique ou virtuel) ?
 
Je ne sais pas exactement sur quoi s'appuie le role de Cluster lors du basculement donc ????
 
Merci bcp de vos conseils

bah non on installe pas l'AD sur l'hyperviseur

sur certains tuto il est évoqué le fait d'avoir un 3 serveur dédié a l'AD...
lors d'une coupure et du basculement d'hyperviseur que ce passe t'il quand l'AD est sur une VM ?

La même chose que pour les autres VM. L'AD est une application qui contient son propre mécanisme de haute disponibilité, il n'a pas besoin d'un cluster pour bénéficier de cette option. Si un contrôleur est indisponible les autres prennent le relai.
Pour le nombre de contrôleurs cela dépend de ton infra.

il n'y a donc pas de risque lors du basculement ? Le cluster n'a pas besoin de l'AD pour basculer ?
coupure AD, perte d'authentification, d'approbation ?

Niveau haute dispo, attention quand même aux rôles FSMO.
Si DC avec FSMO HS et non remonté, il faut récupérer les FSMO sur un autre DC.

 
 
 
il y a donc un risque d'avoir l'AD sur une VM ? d'ou l’intérêt d'un 3ème serveur dédié non ?

Ca dépend comment tu as configuré ton cluster. Tu peux le faire tourner en workgroup maintenant.
 
Un cluster n'a plus besoin d'un contrôleur de domaine pour démarrer depuis 2012 si c'est ta question, et il n'en a jamais eu besoin pour basculer.
 
Faudrait peut-être te documenter un peu sur la techno, tu nages pas mal là.

Certes je nage un zest mais je regarde surtout en amont a bien monter mon infra.
 
si je lis cette article il indique bien que l'AD ne doit pas être dans le cluster mais je voudrai surtout savoir la raison (si il y en a une)
 
https://www.informatiweb-pro.net/ad [...] hiers.html
 
Je n'avais pas penser a laisser les hyperviseur hors domaine

Tu peux mettre plusieurs types de ressources en cluster, notamment des VM ou des applicatifs.
 
Donc effectivement tu ne peux pas mettre un AD en cluster au niveau applicatif.
 
Par contre tu peux intégrer les VM des DC au cluster comme pour les autres, afin qu'elles changent de nœud si besoin.

 
Non pas du tout. Tu peux l'avoir en VM.
 
Par contre, le client c'est quoi la taille (nb d'users par exemple), le besoin par rapport à l'AD, la dispo et les compétences informatiques ?
Car perso, suivant ces paramètres, il faut au final peut-être mieux privilégier un seul DC virtualisé et gérer sa dispo comme les autres VMs, ie dans le cluster HyperV.

Euh question idiote… Le client n'a pas déjà une AD sur laquelle tu pourrais t'appuyer ? Parce que là tu parles de l'install d'une infra de virtualisation (OK cool, parfait) mais selon l'interprétation de la rédaction du sujet j'ai l'impression que ton Domain Controller AD arrive "après coup"... Juste parce que tu l'as vu dans le tuto.
 
D'ailleurs un "tuto" pour installer une AD… J'en ai des frissons

si il y a un AD sur un 2003. nous regardons dans éventualité d'une impossibilité de migrer l'AD du 2003 (très malade) vers un 2019
on reprend une infra et on part de très loin...

OK et du coup pour rebondir sur la question fort judicieuse de ShonGail, il y a quoi comme utilisateurs et postes et serveurs dans cette AD ? Parce que si tu reconstruits le machin, il faudra abandonner l'idée d'une migration semi transparente pour les clients et tout refaire à la dure...
 
Sinon Windows Server 2003, quand même… Euh je pense qu'une transition directe ne sera pas possible, tu auras des soucis de cohabitation avec une machine en Windows Server 2019, avec le support du protocole SMBv1 (utile principalement pour accèder aux volumes partagés du DC, SYSVOL, etc).
Windows Server 2003 ne connait QUE SMBv1, et le protocole est désactivé par défaut de Windows Server 2019 en faveur de SMBv2/SMBv3. Il peut être rajouté mais c'est franchement pas conseillé.
Et je parle pas d'autres soucis éventuels liés au support ou l'absence de support de protocoles de chiffrement (SSLv2/v3/TLSv1/v1.1/v1.2, etc.)

 
 
c'est bien pour celà que je n'avais pas évoqué le 2003 au départ de ce post car quasi certain que nous referons une foret toute neuve...
il y a aura 80 users pour 80 pc (fixe et portable) avec des appli de gestion paye et cmopta pour l'essentiel

On peut migrer d'un 2003 à un 2016 : https://www.google.fr/search?q=migr [...] in+to+2016
 
Mais c'est quoi un 2003 "malade" ?

 
il y a déjà eu un P2V car le serveur est tombé !
et depuis, nous rebootons régulièrement le serveur car les utilisateurs ont des soucis d'authentification (ou approbation) que nous n'arrivons pas a rsoudre en relancant les services lié à l'AD et malgré l'analyse et la compréhension des logs.

Et le SMBV1 est activé sur les PCs clients ?
 
Et combien de PCs et serveurs membres du domaine ?
En gros, refaire un domaine est-il une option ?

 
 
aujourd'hui 30 postes, mais demain 80 (dans le cadre d'une fusion de plusieurs bâtiments attenant)
refaire un domaine est quasi obligatoire vu l'etat des lieu et l'objectif

Quel OS sur les postes ? (pitié dis pas XP)
 
Sinon les problèmes d'authent ben ça commence par la santé du DNS, la vérif que les clients résolvent bien tout comme il faut, et la bonne synchronisation de temps... (des clients vers le DC et du DC vers une source de temps externe robuste vu qu'il est tout seul ça sera ton PDCe par défaut). Un petit DCDiag ça aide pas mal pour commencer.
 
Evidemment si ton DC actuel est en VM, vérifier que personne ne s'amuse à faire des snapshots et des retours sur snapshot... Meilleur moyen de pêter les clients...
 
Au moins tu es sûr de pas avoir de problème de réplication c'est déjà ça...

 
Non ca se fait

Le souci c'est que j'ai l'impression que vous n'avez pas les compétences pour ça

 
Là n'est pas la question. mon infra physique est monté dans nos locaux. Mon interrogation reste la même quant au positionnement du controleur AD pour etre certains qu'en cas de bascule il n'y ai pas d'arret de service

Pourquoi tu fais un cluster ?

Mais rassure-moi, tu as bien prévu deux contrôleurs, et pas un seul contrôleur installé sur un cluster ? Si c'est la deuxième réponse il y a de quoi s'inquiéter

dans le bâtiment il y a un musée qui est ouverts toute l'année et il souhaite de la haute dispo

 
2 controleurs ? 2 VM AD tu veux dire ?

Oui

 
Et pourquoi ?
 
Selon le besoin et les compétences, la seconde solution peut-être plus opportune.
 
Pas de réplication à gérer, pas d'USN Rollback possible.
 
L'hyperviseur qui contient ta VM AD tombe ? Tu la relances (ou c'est automatique) sur un autre nœud de cluster.
 
Alors bien sûr dans une vraie boite avec des vrais besoins AD 24/24 et des vraies compétences, on ne va pas partir la-dessus.
Mais pour une petite boite sans la criticité AD et les compétences adéquates, c'est bien plus sûr.

Désolé mais il est plus facile et moins coûteux de mettre en place une réplication entre deux contrôleurs que de monter un cluster Hyper-V avec un seul contrôleur.
 
Les petites boîtes qui n'ont qu'un contrôleur, elles n'ont aussi qu'un hyperviseur (quand c'est pas du Windows Server Essentials).

Merci pour tous vos retours d'expérience, je pense donc mettre 2 VM contrôleur AD dans le cluster

Bonjour,
Et niveau backup des vm , il y a quelque chose de prévu ?

 
Facile de mettre en place une réplication AD ?
Ça c'est certain, y'a rien à faire, c'est automatique.
 
Mais gérer les problèmes qui peuvent subvenir, les rôles FSMO et ne pas s'exposer aux USN Rollback lorsqu'on n'a pas les compétences, ça c'est autre chose.
Et dans ce cas là, un seul DC qu'on redémarre ou qu'on restaure sans crainte, c'est peut-être un meilleur choix.
Tout dépend des compétences présentes, à venir et de la criticité AD.

 
 
Veeam Backup et replication sur un Nas Syno

Pour avoir des USN rollback il faut avoir des versions de contrôleurs et d'hyperviseurs datées de dix ans. On parle d'une infra neuve là.
 
Et quand tu restaures un unique contrôleur, tu t'exposes à d'autres problèmes, par exemple des incohérences sur des mots de passe réinitialisés après le backup. C'est loin d'être aussi facile que tu peux le penser.

Je ne comprends pas bien le rapport entre les USN Rollback et la version de l'OS. Encore moins avec celles des hyperviseurs.

Ensuite, le delta entre les MDP des comptes computer et user sur le DC et sur les membres a de très grandes chances d'être nul dans le cadre d'une restauration à J-1 sur un petite infra.
Et même si quelques cas, c'est facile à corriger et sans danger.

Si tu comprends pas bien le rapport je t'invite donc à te documenter...

Si on peut éviter de restaurer un ad on le fait.
Par contre les dc je les mettrai pas dans le cluster perso mais direct sur les nodes

 
 
sur les noeud ? les hyperviseur donc ?

Des vm hors cluster

 
donc le top serait 2 VM hors cluster en réplication hyper-v entre les 2 hyperviseur ?