• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 13/01/2023

Fiabilisez votre architecture locale

La disponibilité de votre Active Directory est indispensable au bon fonctionnement de votre système d’information. Il en va de la capacité des utilisateurs à se connecter, du bon fonctionnement des services ou encore de l’accès aux partages de fichiers par exemple.

Je vous propose de passer en revue deux techniques pour assurer la bonne accessibilité de ces services au sein de votre entreprise.

Organisez vos différents sites géographiques

Je ne doute pas du fait que vous ayez suivi l’excellent cours Concevez votre réseau TCP/IP. Il vous permet de savoir de quoi il retourne au niveau réseau.

Il est possible que votre entreprise soit implantée sur différents sites géographiques, distants les uns des autres. Microsoft a pensé à ce cas de figure, et permet de répartir les contrôleurs de domaine sur différents sites. Cela se configure dans Sites et services Active Directory.

Ainsi il va être possible pour vous de créer deux sites isolés l’un de l’autre en termes de réseau (avec bien entendu un routage inter-site), et de configurer un calendrier de réplication des données d’annuaire entre les différents contrôleurs de domaine.

A gauche dans la liste Site-Distant est sélectionné.
Sites et services Active Directory

Il est donc possible de créer un site distant qui sera routé vers le site principal (ici le Default-First-Site-Name, qui est le nom par défaut du premier site Active Directory). Il conviendra ensuite de personnaliser le calendrier des réplications en cliquant sur le nom du serveur et sur NTDS Settings, puis le nom du lien entre les différents contrôleurs de domaine :

Fenêtre de planification pour  avec l'option une fois par heure cochée.
Calendrier de réplication

À noter que cette réplication inter-site peut se faire via deux protocoles :

  • IP ;

  • SMTP.

L’utilisation de l’IP est conseillée par rapport à SMTP.

Deux raisons à cela :

  1. Le support de la réplication via SMTP va bientôt être stoppée, et la fiabilité de la réplication IP est relativement bonne.

  2. Les réplications SMTP sont asynchrones.

Il ne sera d’ailleurs pas possible de créer de lien SMTP sans qu’un serveur IIS soit actif, et qu’une autorité de certification soit en place afin de chiffrer et signer les échanges via ce protocole.

Empêchez la modification illégitime de vos contrôleurs de domaine

Pourquoi ne pas configurer un contrôleur de domaine en lecture seule, ne permettant pas d’action d’administration ?

Il suffit pour cela de configurer un nouveau serveur et de cocher la case RODC lors de sa promotion en contrôleur de domaine. Ainsi ce contrôleur de domaine ne sera utilisé que pour authentifier les postes et utilisateurs sur votre réseau.

Il se chargera également de faire appliquer les GPO mais il ne sera pas possible, même s’il est compromis, de prendre le contrôle du domaine en créant un nouvel utilisateur administrateur !

Schéma de réplication de l'annuaire entre 2 sites distants. A gauche, le site de Bordeaux a un RODC pour authentifier ses clients. A droite le site de Paris a 2 contrôleurs de domaine classique pour authentifier et administrer.
Configuration d’un domaine sur plusieurs sites avec un RODC 

En résumé

  • La segmentation réseau permet la segmentation d’un annuaire au travers des sites et services Active Directory.

  • Un RODC ne permet pas d’actions d'administration.

Maintenant que vous avez fiabilisé votre architecture locale pour une meilleure disponibilité et sécurité, je vous propose d’identifier comment améliorer la sécurité de votre parc informatique grâce à Active Directory !

Exemple de certificat de réussite
Exemple de certificat de réussite