Si la structure logique d'Active Directory permet de s'adapter aux besoins liés à l'administration du domaine, la structure physique va permettre de s'adapter à la répartition géographique de l'entreprise. Elle permettra d'optimiser les flux réseaux entre les sites situés dans différents lieux géographiques. Si une entreprise est présente sur plusieurs lieux géographiques, il est nécessaire de déterminer pour chaque site s'il est utile de disposer d'un contrôleur de domaine en local ou si l'authentification peut être réalisée depuis un autre site. Si le site ne dispose pas de contrôleur de domaine cela pourrai entrainer des problèmes d'authentification et impacter l'activité du site en cas de perte de lien externes. Néanmoins l'intérêt de garantir l'authentification de l'utilisateur, si l'utilisateur ne peut plus accéder à ses applications, sa messagerie, car ils sont hébergés ailleurs, reste discutable. De plus les postes clients disposent par défaut d'un cache autorisant l'utilisateur à se connecter sur le poste avec son dernier mot de passe même sans connectivité réseau. Cette fonctionnalité est couramment utilisée avec les ordinateurs portables.
Si le site dispose d'un contrôleur de domaine ce dernier doit être en mesure de répliquer les modifications vers les autres contrôleurs de domaine des autres sites. Il est donc nécessaire de tenir compte des performances et stabilités des liaisons entre les sites.
Nous allons donc définir 2 périmètres pour la réplication Active Directory :
-
La réplication inter-sites (entre des contrôleurs de domaine de sites différents)
-
La réplication intra-site (entre les contrôleurs de domaine d'un même site).
Un site est un ensemble de sous-réseaux interconnectés par des liaisons rapides.
Un lien de site est une liaison plus au moins rapide entre 2 sites. Afin de garantir l'intégrité d'Active Directory il est possible de configurer plusieurs chemins de réplication pour en garantir l'efficacité. S'il peut être judicieux de mettre en place une redondance dans les chemins de réplication, il n'est pas nécessaire d'avoir des liens centralisés vers un même site principal (architecture en étoile), ni un maillage complet de chaque contrôleur de domaine vers tous les autres contrôleurs de domaine.
Il est préférable que toute modification sur l'AD puisse atteindre l'ensemble des contrôleurs de domaine sans excéder 3 sauts.
Le schéma ci-dessous présente un exemple de gestion des sites. Vous retrouvez en bleu les liens de réplications et dans les bulles jaunes les liaisons entre les sites ainsi qu'une notion de coût. Le coût dans les liens inter-sites permet de prendre en compte les capacités réelles des connexions entre les différents sites et d'optimiser les flux. Une liaison avec un coût faible sera prioritaire mais la liaison avec un coût plus élevé permettra d'assurer la continuité même si la liaison principale est inopérante.
En résumé lorsque vous ajoutez un site physique à votre réseau d'entreprise il est nécessaire de déterminer :
-
S'il est utile de mettre un contrôleur de domaine sur ce site
-
Le type de connexion permettant de relier les sites et leur « cout » d'utilisation (performance, prix)
-
La fiabilité des liens et la bande passante
-
La topologie de réplication afin d'assurer une latence raisonnable
Afin de mettre en œuvre ce nouveau site nous devons :
-
Configurer le site dans Active Directory
-
Configurer les sous-réseaux pour ce site
-
Configurer les liens de réplications inter sites.
Les sites sont généralement reliés entre eux avec des liaisons spécialisées ou des liens VPNs configurés au niveau des routeurs. Pour assurer les services, les contrôleurs de domaine doivent pouvoir communiquer et il est nécessaire d'autoriser le routage de ports spécifiques entre les sites. La solution la plus simple est de ne pas faire de filtrage, mais dans le cas contraire vous pouvez consulter la liste des ports nécessaires dans le lien suivant :
https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd