Pendant tout ce cours nous avons vu des architectures basées sur des serveurs locaux, c’est-à-dire des serveurs que vous installez et gérez localement au sein de votre entreprise. On parle de serveurs On Premise.
Nous avons vu le cas le plus simple où toutes les machines sont situées sur le même site géographique, et le cas où vous avez en plus un site distant et décidez de déployer un RODC.
Dans les deux cas précédents, nous avons géré des cas de figure simple, mais n’oubliez pas que dans les grosses entreprises qui doivent gérer plusieurs domaines, il peut y avoir plus d’une dizaine de contrôleurs de domaine.
Dans un cas comme dans l’autre, c’est à vous de gérer entièrement les serveurs physiques (contrôleurs de domaine) de votre parc. C’est donc à votre entreprise d’investir en matériel, câblage, maintenance et dans tout ce qui y est associé.
Réduisez les coûts du parc de serveurs grâce au cloud
Imaginons maintenant qu’après un audit, votre entreprise vous demande de réduire les coûts liés au parc de serveurs. En effet, déployer des serveurs physiques n’est pas sans conséquence sur le budget. Cela va engendrer des coûts à plusieurs niveaux. Notamment pour :
l’achat et de la maintenance du matériel (serveurs) ;
les licences logicielles (Windows Server) ;
la configuration et l’implémentation des serveurs dans votre architecture, en garantissant un bon niveau de sécurité et de fiabilité ;
le recrutement de techniciens et ingénieurs qualifiés pour gérer ces serveurs ;
la formation nécessaire pour maintenir à jour les compétences.
Une option intéressante afin de réduire les coûts pourrait donc être de se débarrasser de certains serveurs.
D’accord, mais si je supprime des serveurs AD, je vais perdre en qualité de service, et mon architecture sera moins résiliente. Et dans tous les cas je suis bien obligé de conserver au moins un serveur pour y installer Active Directory, non ?
En effet, pour installer n’importe quel logiciel, y compris Active Directory, il faut bien un, voire plusieurs serveurs. Mais rien ne vous oblige à utiliser vos propres serveurs.
Une des solutions pour réduire les coûts serait donc d’utiliser des serveurs qui ne vous appartiennent pas. Et c’est tout à fait possible grâce à la magie du cloud !
On ne parle donc pas ici de supprimer des serveurs, mais plutôt de les déporter dans le cloud. De cette manière l’entreprise fait des économies directes sur l’aspect matériel et maintenance, et conserve une tolérance aux pannes grâce à la redondance proposée par les fournisseurs de cloud.
Installez votre AD sur le cloud
La première solution envisageable, si vous souhaitez réduire les coûts directs, est de louer des machines virtuelles vierges à un fournisseur de cloud (e.g. Microsoft Azure, Google Cloud, AWS…). Le nom commercial donné à ce service de location de machines virtuelles est IaaS (Infrastructure as a Service), car vous utilisez l'infrastructure d’un tiers pour y installer vos applications.
Ces machines virtuelles sont situées sur des serveurs appartenant à un fournisseur de cloud. Vous pouvez alors créer autant de machines virtuelles, qui feront office de contrôleurs de domaine pour votre AD.
En plus de cela, les fournisseurs IaaS possèdent des serveurs dans beaucoup de pays, permettant ainsi de réduire la latence entre votre entreprise et les serveurs AD du cloud.
En fonction de l’offre IaaS choisie, un certain niveau de sécurité et de redondance est aussi inclus (e.g. débits, serveurs dédiés, redondance électrique…).
Voici par exemple une architecture avec deux contrôleurs de domaines, dont l’un est un serveur physique situé dans vos locaux (DC1) et l’autre une machine virtuelle créée sur l’infrastructure d’un fournisseur de cloud (DC2). Les deux se synchronisent via une liaison VPN passant par Internet.
Si vous décidez de mettre votre ou vos serveurs AD dans le cloud via une offre IaaS, vous ne gérerez donc absolument plus la partie infrastructure. Par contre, vous devrez quand même gérer toute la partie interconnexion logique (pour relier vos différents serveurs locaux avec les serveurs sur le cloud à l’aide d’un VPN, par exemple) et application (pour installer, configurer, patcher, sauvegarder et gérer votre Active Directory).
Mais si dans mon entreprise je n’ai aucun expert Active Directory capable de déployer cette solution, mais que je souhaite malgré tout avoir un annuaire de ce type, est-ce que c’est possible ?
Oui c’est possible. Dans ce cas, vous pouvez louer directement un contrôleur de domaine prêt à l’emploi.
Utilisez un contrôleur de domaine préinstallé
Une autre solution qui existe, proposée par Microsoft, repose sur une offre de type PaaS (Platform as a Service). Cette offre porte le nom de “Azure AD DS”.
Cette fois, vous ne louez plus simplement une machine virtuelle vide sur laquelle il faut installer Windows Server et configurer Active Directory. L’offre Azure AD DS fait bien mieux, puisqu'elle vous permet de louer directement un contrôleur de domaine préinstallé et opérationnel.
C’est l’option idéale pour réduire les investissements humains, matériels et logiciels au maximum.
Cependant, cette solution n’est pas adaptée si vous avez déjà un AD local gérant un parc de machines locales. Elle est plutôt recommandée pour gérer un nouveau parc de machines. Et idéalement des machines qui se trouveraient également dans le cloud Microsoft.
En effet, la solution AD DS permet de disposer de contrôleurs de domaine prêts à l’emploi, mais qui sont rattachés automatiquement à un domaine public. Or, comme votre parc de machines existant est déjà rattaché à votre domaine local, il ne pourra pas être géré par un serveur Azure AD DS rattaché à un domaine public.
Choisissez la bonne solution pour votre usage
Outre le fait qu’il fonctionne sur une architecture locale (On Premise), vous venez de voir qu’Active Directory peut aussi être déployé sur des architectures cloud (IaaS et PaaS).
Selon votre entreprise, sa taille, son ancienneté, ses besoins, ses contraintes, ce sera à vous de choisir la solution la plus adaptée.
Voici un petit tableau récapitulatif pour y voir plus clair :
Fonctionnalité | Local | Cloud | |
Dénomination commerciale | Windows AD DS sur serveur local (On Premise) | Windows AD DS sur offre IaaS* | Azure AD DS (PaaS Microsoft) |
GPO | Oui | Oui | Oui avec contraintes |
Extension du schéma | Oui | Oui | Non |
Redondance et haute disponibilité incluses | Non, à implémenter | Oui selon l’offre choisie | Oui |
Gestion des sauvegardes incluse | Non, à implémenter | Oui selon l’offre choisie | Oui |
Protocoles d’authentification supportés | LDAP NTLM Kerberos | LDAP NTLM Kerberos | LDAP NTLM Kerberos |
Serveurs dédiés | Oui | Possible | Non |
Accès total en tant qu’administrateur | Oui | Oui | Non |
Approbation d’autres forêts | Oui | Oui | Non |
Adapté pour les besoins des petits parcs de machines | Non | Non | Oui |
Dans ce tableau vous retrouvez les 3 exemples d’architecture que nous avons vues :
l'architecture locale (On Premise) ;
l’architecture reposant sur une offre IaaS ;
l’architecture reposant sur une offre PaaS.
Ces 3 types d'architectures ne sont évidemment pas les seuls existants, et la plupart du temps les entreprises utilisent des solutions hybrides, c’est-à-dire avec des serveurs à la fois en local et dans le cloud. Cette option permet d’obtenir une meilleure résilience, mais au prix d’une complexité accrue.
En résumé
Historiquement, Active Directory était déployé sur des serveurs locaux entièrement gérés par l’entreprise. On parle d’installation On Premise.
La démocratisation des offres de cloud computing permet de délocaliser les serveurs AD en faisant des économies sur le matériel.
En fonction des besoins de l’entreprise, il est possible de louer un serveur vide (offre IaaS) ou un serveur préinstallé (offre PaaS).
Pour l’instant, dans la majorité des cas il n’est pas possible de remplacer complètement une architecture AD On Premise par une architecture cloud. La plupart des entreprises utilisent des solutions hybrides.
Bravo ! Vous êtes arrivé à la fin de ce cours. Cela signifie que vous avez maintenant des bases solides pour concevoir, peupler et administrer correctement un annuaire Active Directory. Si vous voulez devenir un expert sur le sujet, continuez de vous entraîner. Je vous invite aussi à faire le quiz de fin de chapitre, pour découvrir si vous avez bien assimilé les compétences de cette dernière partie.
