La disponibilité de votre Active Directory est indispensable au bon fonctionnement de votre système d’information. Il en va de la capacité des utilisateurs à se connecter, du bon fonctionnement des services ou encore de l’accès aux partages de fichiers par exemple.
Je vous propose de passer en revue deux techniques pour assurer la bonne accessibilité de ces services au sein de votre entreprise.
Organisez vos différents sites géographiques
Je ne doute pas du fait que vous ayez suivi l’excellent cours Concevez votre réseau TCP/IP. Il vous permet de savoir de quoi il retourne au niveau réseau.
Il est possible que votre entreprise soit implantée sur différents sites géographiques, distants les uns des autres. Microsoft a pensé à ce cas de figure, et permet de répartir les contrôleurs de domaine sur différents sites. Cela se configure dans Sites et services Active Directory.
Ainsi il va être possible pour vous de créer deux sites isolés l’un de l’autre en termes de réseau (avec bien entendu un routage inter-site), et de configurer un calendrier de réplication des données d’annuaire entre les différents contrôleurs de domaine.
Il est donc possible de créer un site distant qui sera routé vers le site principal (ici le Default-First-Site-Name, qui est le nom par défaut du premier site Active Directory). Il conviendra ensuite de personnaliser le calendrier des réplications en cliquant sur le nom du serveur et sur NTDS Settings, puis le nom du lien entre les différents contrôleurs de domaine :
À noter que cette réplication inter-site peut se faire via deux protocoles :
IP ;
SMTP.
L’utilisation de l’IP est conseillée par rapport à SMTP.
Deux raisons à cela :
Le support de la réplication via SMTP va bientôt être stoppée, et la fiabilité de la réplication IP est relativement bonne.
Les réplications SMTP sont asynchrones.
Il ne sera d’ailleurs pas possible de créer de lien SMTP sans qu’un serveur IIS soit actif, et qu’une autorité de certification soit en place afin de chiffrer et signer les échanges via ce protocole.
Empêchez la modification illégitime de vos contrôleurs de domaine
Pourquoi ne pas configurer un contrôleur de domaine en lecture seule, ne permettant pas d’action d’administration ?
Il suffit pour cela de configurer un nouveau serveur et de cocher la case RODC lors de sa promotion en contrôleur de domaine. Ainsi ce contrôleur de domaine ne sera utilisé que pour authentifier les postes et utilisateurs sur votre réseau.
Il se chargera également de faire appliquer les GPO mais il ne sera pas possible, même s’il est compromis, de prendre le contrôle du domaine en créant un nouvel utilisateur administrateur !
En résumé
La segmentation réseau permet la segmentation d’un annuaire au travers des sites et services Active Directory.
Un RODC ne permet pas d’actions d'administration.
Maintenant que vous avez fiabilisé votre architecture locale pour une meilleure disponibilité et sécurité, je vous propose d’identifier comment améliorer la sécurité de votre parc informatique grâce à Active Directory !
