[AD DS] Comment préparer son déploiement ?

Avant de déployer votre forêt Active Directory, je vous conseille de réfléchir aux points suivants :

  • Il est préférable de privilégier les forêts mono-domaine. Le choix d'une forêt avec plusieurs domaines dépend plus de problème d'administration et de sécurité que de la gestion des sites géographiques ;
  • Définissez les noms DNS pour vos domaines afin de garantir l'unicité. Eviter d'utiliser en interne le même nom que votre domaine externe. Il est préférable d'utiliser un sous-domaine de son nom public. N'utilisez pas un nom de domaine public dont vous n'avez pas acquis les droits ;
  • De préférence, installez les services DNS et stockez vos zones DNS sur vos contrôleurs de domaine. Utilisez des zones DNS intégrées AD et activez les mises à jour sécurisées ;
  • Etablissez la liste des sites et les connexions physiques entre les sites. Déterminer la bande passante et son usage. Si vous centralisez vos fichiers, la messagerie, l'intranet sur un site principal le fait d'ajouter un contrôleur de domaine sur un site distant ne réduira pas la consommation de bande passante et ne garantira pas les conditions de travail. Ouvrir une session n'est pas une finalité en soi ;
  • Déterminer le meilleur site pour positionner le rôle émulateur PDC pour chaque domaine afin de limiter le nombre de saut vers les autres serveurs (par exemple sur un site central) ;
  • De préférence conserver l'ensemble des rôles FSMO sur le moins de contrôleurs de domaine possible
  • De préférence activer le catalogue global sur l'ensemble de vos contrôleurs de domaine dans la forêt. Si ce n'est pas le cas il ne faut pas héberger le catalogue global et le maître d'infrastructure sur le même contrôleur de domaine.
  • Ne cumulez pas le rôle AD DS avec d'autres rôles afin de faciliter les migrations futures. Certains rôles sont incompatibles avec les services AD DS ;
  • Déterminer les besoins des utilisateurs et la localisation des ressources. Si vous installez des serveurs applicatifs sur un site, il est conseillé d'y mettre également un contrôleur de domaine. Les services des serveurs applicatifs utilisent parfois des comptes du domaine et la présence d'un contrôleur de domaine du même domaine permet de garantir le bon démarrage des services même en cas de coupure de lien entre les sites.
  • Déterminer le nombre d'utilisateurs sur chaque site : si un site dispose d'une centaine utilisateurs il est préférable d'avoir un contrôleur de domaine en locale afin de limiter les flux entre les sites. A l'inverse sur un site avec quelques utilisateurs, l'installation d'un contrôleur de domaine peut représenter un cout superflu étant donné qu'il faut assurer sa sécurité physique (locaux protégés) et le maintenir. Des solutions de secours pour ses utilisateurs via des connexions VPN peuvent être plus rentables que la gestion d'un serveur physique et ses contraintes d'exploitations.
  • Planifier la configuration de vos sous-réseaux et éviter si possible l'utilisation de la plage 192.168.0.x et 192.168.1.x fréquemment utilisée par les fournisseurs d'accès et qui peut poser soucis lors de la mise en place d'une interconnexion avec d'autres sites.
  • Mettez en place au minimum deux contrôleurs de domaine par domaine avec une sauvegarde de l'état du système pour garantir la restauration en cas de sinistre. Surveillez vos sauvegardes ;
  • Sur les sites distants où vous ne disposez pas d'un environnement sécurisé envisagez l'option d'y installer un contrôleur de domaine en lecture seule. Le RODC (Read Only Domaine Controller) ne dispose que d'une partie des mots de passe pour les utilisateurs locaux. Cela réduit le risque de corruption des mots de passe des comptes d'administration ;
  • Privilégiez l'installation de contrôleur de domaine en mode « Core » : option d'installation « Minimale » sans couche graphique (sans GUI).

 

https://becomeitexpert.com/produit/active-directory-2016-conception-et-administration-en-entreprise-2eme-edition/

 

 

Theme: 

Systeme: 

Annee: 

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
Image CAPTCHA
Enter the characters shown in the image.