• Réinitialiser un compte d'ordinateur
•  

15.4. Déplacer les contrôleurs de domaine dans les bons sites Active Directory

Pour le moment, nous avons défini les sites Active Directory, leur sous-réseau associé et le lien de site qui relie nos sites Active Directory.
Néanmoins, pour le moment, tous nos contrôleurs de domaine se trouvent toujours dans le site Active Directory par défaut "Default-First-Site-Name".
Ce qui veut dire que pour Active Directory, tous nos contrôleurs de domaine se trouvent physiquement au même endroit. Ce qui est faux.

Pour déplacer un contrôleur de domaine, faites un clic droit sur celui-ci et cliquez sur "Déplacer".

Dans la fenêtre "Déplacer un serveur" qui s'affiche, sélectionnez le site Active Directory cible où vous souhaitez le déplacer (virtuellement).

Notez que vous pouvez aussi glisser/déposer vos contrôleurs de domaines en les glissant sur le dossier "Servers" du site Active Directory cible.

Maintenant, nos contrôleurs de domaines sont associés aux bons sites Active Directory :

• nos contrôleurs de domaine "BRUX-DC1" et "BRUX-DC2" se trouvent à Bruxelles
• nos contrôleurs de domaine "PARIS-DC1" et "PARIS-DC2" se trouvent à Paris

Maintenant que tous les serveurs ont été déplacés dans leur site Active Directory respectif, vous pouvez supprimer le site Active Directory par défaut (qui est vide).

Confirmez la suppression du site "Default-First-Site-Name" en cliquant sur Oui.

Et confirmez la suppression des objets enfants, étant donné que ce site Active Directory est vide.

Important : le service KCC qui gère automatiquement la topologie de réplication de manière transparente vérifie toutes les 15 minutes que la topologie de réplication de votre infrastructure Active Directory est toujours adaptée à votre configuration Active Directory.
Il faudra donc patienter jusqu'à 15 minutes pour que cette nouvelle configuration soit réellement prise en compte. Les modifications doivent ensuite être répliquées automatiquement sur vos autres contrôleurs de domaine.

Si vous voulez que cette nouvelle configuration soit prise en compte directement, vous pouvez forcer la mise à jour de la topologie de réplication en exécutant cette commande :

Batch

repadmin /kcc

15.5. Gérer la réplication par site Active Directory

Dans chaque site Active Directory, vous avez :

• un conteneur de serveurs (autrement dit : un dossier contenant la liste des contrôleurs de domaines présents sur ce site)
• un objet "NTDS Site Settings" qui contient différents paramètres pour ce site Active Directory

Faites un clic droit "Propriétés" sur l'objet "NTDS Site Settings".

Dans la fenêtre "Propriétés de : NTDS Site Settings" qui s'affiche, vous pourrez :

• cliquer sur le bouton "Modifier la planification" pour gérer la réplication sur ce site
• activer ou non la mise en cache de l'appartenance au groupe universel

Si vous avez des groupes universels dans votre infrastructure Active Directory et qu'aucun contrôleur de domaine n'agit en tant que "Catalogue global" sur votre site Active Directory, il est intéressant de cochez la case "Activer la mise en cache de l'appartenance au groupe universel" pour éviter de devoir contacter à chaque fois un contrôleur de domaine sur un site distant.
Si vous possédez au moins 1 catalogue global sur ce site, il est inutile de cocher cette case, car l'information nécessaire pourra être trouvée en contactant le catalogue global se trouvant sur ce site Active Directory.

Important : rappelez-vous que Microsoft recommande de définir au moins 1 un contrôleur de domaine en tant que "Catalogue global" sur chaque site géographique, comme expliqué au tout début de notre tutoriel.

Si vous cliquez sur le bouton "Modifier la planification", une fenêtre "Planification pour NTDS Site Settings" s'affichera.
Grâce à cette fenêtre, vous pourrez choisir à quel moment de la semaine vous souhaitez autoriser la réplication et si la réplication doit s'effectuer une fois, deux fois ou quatre fois par heure.

Si vous affichez les propriétés d'un serveur présent dans le dossier "Servers" du site souhaité, vous pourrez connaitre :

• son nom : BRUX-DC1
• le domaine dans lequel il se trouve : informatiweb.lan
• le type de contrôleur de domaine dont il s'agit : Catalogue global
• sa description, si vous en ajoutez une

Vous pourrez aussi choisir si ce serveur devra être utilisé en tant que tête de pont privilégié pour les réplications inter-sites.
Pour cela, sélectionnez le transport "IP" et cliquez sur "Ajouter".
Maintenant, Active Directory saura qu'il doit utiliser ce serveur pour effectuer les réplications entre le site où se trouve ce serveur et le site distant.

Sur le site distant, nous avons choisi le serveur "PARIS-DC1" comme serveur tête de pont.
La réplication Active Directory entre le site de Bruxelles et le site de Paris s'effectuera donc entre le serveur "BRUX-DC1" (de Bruxelles) et le serveur "PARIS-DC1" (de Paris).

En sélectionnant un contrôleur de domaine, vous trouverez un objet "NTDS Settings" qui correspond aux paramètres du contrôleur de domaine.
Faites un clic droit "Propriétés" sur celui-ci.

Comme vous pouvez le voir, ce contrôleur de domaine agit déjà en tant que "Catalogue global".

Dans l'onglet "Connexion" de cet objet "NTDS Settings", vous pourrez voir les objets de connexion créés automatiquement par KCC.

Et comme vous pouvez le voir, actuellement :

• notre serveur BRUX-DC1 réplique les données depuis nos 3 autres contrôleurs de domaine
• notre serveur BRUX-DC1 réplique ses données sur nos contrôleurs de domaine : BRUX-DC2 (du site de Bruxelles) et PARIS-DC2 (du site de Paris)

16. Routage statique

Lorsque les connexions VPN établies, l'accès aux ressources d'un site Active Directory distant ne pose généralement pas de problème.
Mais si elles ne sont pas établies, il est possible que l'accès aux sites distants ne soit pas possible, car l'ID réseau distant ne sera pas trouvé.

Pour être sûr que vos serveurs puissent accéder aux sous-réseaux distants, le mieux est de créer un itinéraire statique sur les serveurs et les PC clients via les stratégies de groupe.
Etant donné que le sous-réseau de destination est différent d'un site Active Directory à l'autre, nous allons créer 2 objets de stratégie de groupe et en lier un à chaque site Active Directory.

Sur un des contrôleurs de domaine (au choix), ouvrez la console "Gestion de stratégie de groupe" et créez un nouvel objet de stratégie de groupe.
Notez que ces objets de stratégies seront de toute façon répliqués automatiquement sur les autres contrôleurs de domaine du même domaine.

Dans notre cas, nous avons créé 2 objets de stratégies de groupe :

• StaticRouteForSite1 : pour les serveurs et PCs clients du site 1 (Bruxelles)
• StaticRouteForSite2 : pour les serveurs et PCs clients du site 2 (Paris)

Commencez par modifier le 1er objet GPO : StaticRouteForSite1.

Dans la section "Configuration ordinateur -> Stratégies -> Paramètres Windows -> Scripts (démarrage/arrêt)", faites un double clic sur "Démarrage".

Cliquez sur : Ajouter.

Cliquez sur : Parcourir.

Une fenêtre s'affiche et un dossier "Scripts\Startup" est sélectionné par défaut.
Dans ce dossier, créez un fichier "add_route.bat" en indiquant ceci à l'intérieur :

Batch

route -p ADD 10.0.2.0 MASK 255.255.255.0 10.0.1.10

Le script apparait dans la liste.

Modifiez le 2ème objet GPO et allez dans la même section.

Une fenêtre avec un autre dossier "Scripts\Startup" (qui est différent pour chaque objet GPO) s'affiche.
Créez un nouveau fichier "add_route.bat" avec ce contenu :

Batch

route -p ADD 10.0.1.0 MASK 255.255.255.0 10.0.2.10

Maintenant que les 2 objets de stratégies de groupe ont été créés et modifiés, vous devez les lier aux sites Active Directory créés précédemment.
Pour cela, faites un clic droit sur le dossier "Sites" et cliquez sur "Afficher les sites".

Cliquez sur le bouton "Sélectionner tout", puis sur OK.

Maintenant que vos sites Active Directory sont affichés, faites un clic droit "Lier un objet de stratégie de groupe existant" sur le site de Bruxelles.

Sélectionnez l'objet "StaticRouteForSite1" et cliquez sur OK.

L'objet "StaticRouteForSite1" est maintenant lié au site Active Directory "Bruxelles".

Faites la même chose pour l'objet GPO "StaticRouteForSite2" à lier au site Active Directory "Paris".

Comme expliqué précédemment, les objets de stratégies de groupe seront répliqués automatiquement sur les autres contrôleurs de domaine du domaine.
Pour connaitre l'état de réplication de vos stratégies de groupe, sélectionnez votre domaine Active Directory et cliquez sur le bouton "Détecter" dans l'onglet "Etat".

Comme vous pouvez le voir, nos 3 autres contrôleurs de domaine ont été synchronisés avec celui-ci et les données y ont donc été répliquées.

Pour que l'itinéraire statique soit créé sur vos contrôleurs de domaine, vous devrez les redémarrer.
Si vous ne souhaitez pas les redémarrer, alors utilisez les commandes "route -p ..." définies précédemment.

Une fois la route créée sur les serveurs du site 1, exécutez cette commande pour vérifier que l'itinéraire ait bien été créé :

Batch

route print

Plain Text

Itinéraires persistants :
...
10.0.2.0   255.255.255.0   10.0.1.10   1

Sur le site 2, cette même commande donnera :

Plain Text

Itinéraires persistants :
...
10.0.1.0   255.255.255.0   10.0.2.10   1