• Réinitialiser un compte d'ordinateur
•  

Lorsque vous travaillez dans une multinationale et que vous avez donc des bureaux dans plusieurs pays, il est fort probable que vous déployez une infrastructure Active Directory avec des contrôleurs de domaine répartis dans plusieurs pays.

Lorsque vous cherchez comment créer une infrastructure multi-sites Active Directory sur Google, vous ne trouvez que des tutoriels qui vous expliquent comment configurer les sous-réseaux et les sites Active Directory via la console "Sites et services Active Directory".
Mais aucun d'entre eux ne vous explique comment relier les différents contrôleurs de domaines malgré qu'ils soient physiquement dans différents pays.

Dans ce tutoriel, nous vous montrerons donc pas à pas une technique pour créer une infrastructure Active Directory multi-sites en reliant les différents sites avec des passerelles VPN configurables sous Windows Server.
L'utilisation de ces passerelles VPN logicielles est évidemment un exemple (utilisable par tous), mais vous pouvez aussi utiliser des boitiers VPN physiques disponibles pour le monde professionnel.

Important : si vous n'avez jamais configuré de passerelles VPN sous Windows Server, nous vous conseillons de jeter d'abord un coup d'oeil à notre tutoriel : Routage et passerelles VPN sous Windows Server 2012
Grâce à ce tutoriel, vous aurez les bases nécessaires pour comprendre le tutoriel ci-dessous.

1. Réplication Active Directory inter-sites
2. Pratiques recommandées pour Active Directory
3. Topologie réseau utilisée
4. Installation du serveur DHCP
5. Configuration des pare-feu matériels
6. Installation des accès à distance (VPN)
7. Configurer les serveurs VPN
8. Déploiement des passerelles VPN
   1. Créer des utilisateurs pour la connexion depuis le site distant
   2. Connexion de Bruxelles vers Paris
   3. Connexion de Paris vers Bruxelles
9. Créer votre forêt Active Directory sur le 1er site Active Directory
10. Ajouter un contrôleur de domaine Active Directory sur le site 1 de Bruxelles
11. Ajouter un contrôleur de domaine Active Directory sur le site 2 de Paris
12. Ajouter un second contrôleur de domaine Active Directory sur le site 2 de Paris
13. Joindre les passerelles VPN à votre domaine Active Directory
14. Mise à jour des identifiants pour les passerelles VPN
15. Configurer les sites Active Directory
    1. Créer des sites Active Directory
    2. Définir les sous-réseaux utilisés sur les différents sites Active Directory
    3. Définir les liens de sites
    4. Déplacer les contrôleurs de domaine dans les bons sites Active Directory
    5. Gérer la réplication par site Active Directory
16. Routage statique

1. Réplication Active Directory inter-sites

Comme expliqué dans un précédent article, la topologie de réplication Active Directory est gérée par le service KCC présent sur chaque contrôleur de domaine.
Par défaut, étant donné que tous vos contrôleurs de domaine se trouvent dans le même site Active Directory, le service KCC considère que ceux-ci se trouvent au même endroit physique (par exemple : le bâtiment de votre entreprise).

Pour que le service KCC puisse adapter la topologie de réplication et répliquer les données à un moment approprié (par exemple : la nuit), vous devez indiquer à Active Directory de façon logique, comment vos serveurs sont répartis physiquement.
Ce qui est possible grâce à cette notion de sites Active Directory.

La configuration des sites Active Directory est donc primordiale dans ce type d'infrastructure Active Directory, car elle influence la manière dont la réplication des données sera effectuée entre vos différents contrôleurs de domaine

2. Pratiques recommandées pour Active Directory

Lorsque vous souhaitez déployer une infrastructure Active Directory multisites, il est recommandé de :

• créer un site Active Directory à chaque emplacement géographique où vous avez besoin d'un accès rapide aux informations de votre Active Directory
• déployer au moins 1 contrôleur de domaine Active Directory par site et en définir au moins 1 comme catalogue global.
  Dans le cas contraire, les ordinateurs présents sur le site qui ne possède pas de contrôleur de domaines seront dépendant d'un contrôleur de domaine situé sur un de vos autres sites Active Directory. Ce qui peut fortement ralentir les ouvertures de session, ...
• de préférence, déployer au moins 2 contrôleurs de domaine par site pour conserver un temps de réponse identique sur les PCs clients même dans le cas où un des contrôleurs de domaine tombe en panne sur un site. Et configurer les PCs clients pour utiliser ces 2 contrôleurs de domaines comme serveur DNS principal et secondaire.
• utiliser uniquement des serveurs DNS internes. Car en cas d'indisponibilité du serveur DNS principal, le PC client risque d'utiliser uniquement le DNS secondaire (qui était peut-être un serveur DNS externe - distant) même lorsque le DNS principal sera de nouveau disponible. Ce qui peut empêcher l'accès à votre infrastructure Active Directory, si le DNS secondaire pointe chez Google (8.8.8.8) par exemple.
• les PCs clients doivent utiliser de préférence les serveurs DNS du site dans lequel ils se trouvent avant d'utiliser ceux des sites Active Directory distants pour éviter de saturer votre bande passante WAN inutilement et pour accélérer les requêtes DNS de ceux-ci.
• etc

Sources :

• Active Directory Best practices
• Pratiques d’excellence pour la configuration DNS dans un domaine Active Directory

3. Topologie réseau utilisée

Pour ce tutoriel, nous allons créer une infrastructure Active Directory pas à pas avec 2 sites physiques distants : 1 site à Bruxelles (en Belgique) et 1 site à Paris (en France).
Leur emplacement physique n'a évidemment aucune importance pour le côté technique de ce tutoriel, mais plus ils sont éloignés physiquement, plus la bande passante (réseau) sera évidemment réduite.

Comme expliqué en intro, nous allons utiliser des passerelles VPN que nous déploierons grâce à des serveurs sous Windows Server. Ce choix permet simplement à tout le monde de pouvoir suivre ce tutoriel.
Mais, vous pouvez évidemment utiliser des équipements VPN professionnels plutôt qu'un simple serveur sous Windows Server pour relier vos sites distants de façon sécurisée.

Notez que dans notre cas, nous utiliserons uniquement un seul domaine Active Directory "informatiweb.lan" qui sera unique (même domaine SID sur les 2 sites), mais dont les données seront répliquées sur 4 contrôleurs de domaine (2 sur chaque site).

4. Installation du serveur DHCP

Pour que les passerelles VPN puissent fonctionner, il faut que le serveur distant (par exemple : paris-vpn) puisse obtenir une adresse IP sur le réseau de destination (le site de Bruxelles).
Il faut donc que vous configuriez un serveur DHCP sur le site de Bruxelles pour que la passerelle VPN que nous installerons sur le serveur "brux-vpn" puisse fonctionner correctement.

Ce principe sera évidemment valable dans l'autre sens aussi. Ce qui veut dire que vous devrez aussi configurer un serveur DHCP sur le site de Paris. Dans notre cas, sur le serveur "paris-vpn".

Sur le site 1 de Bruxelles, la plage réseau utilisée est de "10.0.1.20" à "10.0.1.30" avec un masque de sous-réseau de "255.255.255.0".
Le CIDR (ou longueur) correspondant à cet ID réseau est : 24. Vous aurez besoin de cette notation vers la fin du tutoriel quand vous référencerez les sous-réseaux de vos sites Active Directory via la console "Sites et services Active Directory".

Pour les options d'étendue DHCP sur le site de Bruxelles, nous avons défini celles-ci :

• 003 Routeur : 10.0.1.10
• 006 Serveurs DNS : 10.0.1.11 et 10.0.1.12
• 015 Nom de domaine DNS : informatiweb.lan

Sur le site 2 de Paris, l'étendue utilisée est légèrement différente : 10.0.2.20 à 10.0.2.30.

Le masque de sous-réseau est toujours de 255.255.255.0 (ce qui correspond à un CIDR de 24).

Et les options d'étendue DHCP sur ce site de Paris sont :

• 003 Routeur : 10.0.2.10
• 006 Serveurs DNS : 10.0.2.11 et 10.0.2.12
• 015 Nom de domaine DNS : informatiweb.lan

5. Configuration des pare-feu matériels

Pour que vos passerelles VPN soient joignables depuis l'extérieur, il sera nécessaire de configurer vos pare-feu matériels si vous en avez.
Pour cela, consultez la page "Which ports to unblock for VPN traffic to pass-through ?" disponible sur le Technet de Microsoft.

6. Installation des accès à distance (VPN)

Pour déployer les passerelles VPN sous Windows Server sur nos serveurs "brux-vpn" et "paris-vpn", nous devons d'abord installer le rôle "Accès à distance".

Pour les services de rôle, cochez les cases :

• DirectAccess et VPN (accès à distance)
• Routage

Une fois le rôle "Accès à distance" installé, cliquez sur le lien "Ouvrir l'Assistant Mise en route".

7. Configurer les serveurs VPN

Une fenêtre "Configuration de l'accès distant" s'affiche.
Cliquez sur "Déployer VPN uniquement".

Note : ceci est à faire sur le serveur VPN de chaque site Active Directory.

Faites un clic droit "Configurer et activer le routage et l'accès à distance" sur le nom de votre serveur VPN et suivez l'étape "4. Configuration du serveur VPN et du routeur" de notre tutoriel concernant le déploiement de passerelles VPN sous Windows Server 2012.

Info : si un avertissement vous indique qu'il y a moins de 2 interfaces réseau, quittez l'assistant et ouvrez-le à nouveau. Maintenant, cet avertissement ne s'affichera plus.

La seule différence par rapport au tutoriel cité précédemment est que l'adresse IP du serveur DHCP est :

• 10.0.1.10 pour le serveur VPN "brux-vpn" du site 1 (Bruxelles)
• 10.0.2.10 pour le serveur VPN "paris-vpn" du site 2 (Paris)