Lorsque vous travaillez dans une multinationale et que vous avez donc des bureaux dans plusieurs pays, il est fort probable que vous déployez une infrastructure Active Directory avec des contrôleurs de domaine répartis dans plusieurs pays.
Lorsque vous cherchez comment créer une infrastructure multi-sites Active Directory sur Google, vous ne trouvez que des tutoriels qui vous expliquent comment configurer les sous-réseaux et les sites Active Directory via la console "Sites et services Active Directory".
Mais aucun d'entre eux ne vous explique comment relier les différents contrôleurs de domaines malgré qu'ils soient physiquement dans différents pays.
Dans ce tutoriel, nous vous montrerons donc pas à pas une technique pour créer une infrastructure Active Directory multi-sites en reliant les différents sites avec des passerelles VPN configurables sous Windows Server.
L'utilisation de ces passerelles VPN logicielles est évidemment un exemple (utilisable par tous), mais vous pouvez aussi utiliser des boitiers VPN physiques disponibles pour le monde professionnel.
Important : si vous n'avez jamais configuré de passerelles VPN sous Windows Server, nous vous conseillons de jeter d'abord un coup d'oeil à notre tutoriel : Routage et passerelles VPN sous Windows Server 2012
Grâce à ce tutoriel, vous aurez les bases nécessaires pour comprendre le tutoriel ci-dessous.
Comme expliqué dans un précédent article, la topologie de réplication Active Directory est gérée par le service KCC présent sur chaque contrôleur de domaine.
Par défaut, étant donné que tous vos contrôleurs de domaine se trouvent dans le même site Active Directory, le service KCC considère que ceux-ci se trouvent au même endroit physique (par exemple : le bâtiment de votre entreprise).
Pour que le service KCC puisse adapter la topologie de réplication et répliquer les données à un moment approprié (par exemple : la nuit), vous devez indiquer à Active Directory de façon logique, comment vos serveurs sont répartis physiquement.
Ce qui est possible grâce à cette notion de sites Active Directory.
La configuration des sites Active Directory est donc primordiale dans ce type d'infrastructure Active Directory, car elle influence la manière dont la réplication des données sera effectuée entre vos différents contrôleurs de domaine
Lorsque vous souhaitez déployer une infrastructure Active Directory multisites, il est recommandé de :
Sources :
Pour ce tutoriel, nous allons créer une infrastructure Active Directory pas à pas avec 2 sites physiques distants : 1 site à Bruxelles (en Belgique) et 1 site à Paris (en France).
Leur emplacement physique n'a évidemment aucune importance pour le côté technique de ce tutoriel, mais plus ils sont éloignés physiquement, plus la bande passante (réseau) sera évidemment réduite.
Comme expliqué en intro, nous allons utiliser des passerelles VPN que nous déploierons grâce à des serveurs sous Windows Server. Ce choix permet simplement à tout le monde de pouvoir suivre ce tutoriel.
Mais, vous pouvez évidemment utiliser des équipements VPN professionnels plutôt qu'un simple serveur sous Windows Server pour relier vos sites distants de façon sécurisée.
Notez que dans notre cas, nous utiliserons uniquement un seul domaine Active Directory "informatiweb.lan" qui sera unique (même domaine SID sur les 2 sites), mais dont les données seront répliquées sur 4 contrôleurs de domaine (2 sur chaque site).
Pour que les passerelles VPN puissent fonctionner, il faut que le serveur distant (par exemple : paris-vpn) puisse obtenir une adresse IP sur le réseau de destination (le site de Bruxelles).
Il faut donc que vous configuriez un serveur DHCP sur le site de Bruxelles pour que la passerelle VPN que nous installerons sur le serveur "brux-vpn" puisse fonctionner correctement.
Ce principe sera évidemment valable dans l'autre sens aussi. Ce qui veut dire que vous devrez aussi configurer un serveur DHCP sur le site de Paris. Dans notre cas, sur le serveur "paris-vpn".
Sur le site 1 de Bruxelles, la plage réseau utilisée est de "10.0.1.20" à "10.0.1.30" avec un masque de sous-réseau de "255.255.255.0".
Le CIDR (ou longueur) correspondant à cet ID réseau est : 24. Vous aurez besoin de cette notation vers la fin du tutoriel quand vous référencerez les sous-réseaux de vos sites Active Directory via la console "Sites et services Active Directory".
Pour les options d'étendue DHCP sur le site de Bruxelles, nous avons défini celles-ci :
Sur le site 2 de Paris, l'étendue utilisée est légèrement différente : 10.0.2.20 à 10.0.2.30.
Le masque de sous-réseau est toujours de 255.255.255.0 (ce qui correspond à un CIDR de 24).
Et les options d'étendue DHCP sur ce site de Paris sont :
Pour que vos passerelles VPN soient joignables depuis l'extérieur, il sera nécessaire de configurer vos pare-feu matériels si vous en avez.
Pour cela, consultez la page "Which ports to unblock for VPN traffic to pass-through ?" disponible sur le Technet de Microsoft.
Pour déployer les passerelles VPN sous Windows Server sur nos serveurs "brux-vpn" et "paris-vpn", nous devons d'abord installer le rôle "Accès à distance".
Pour les services de rôle, cochez les cases :
Une fois le rôle "Accès à distance" installé, cliquez sur le lien "Ouvrir l'Assistant Mise en route".
Une fenêtre "Configuration de l'accès distant" s'affiche.
Cliquez sur "Déployer VPN uniquement".
Note : ceci est à faire sur le serveur VPN de chaque site Active Directory.
Faites un clic droit "Configurer et activer le routage et l'accès à distance" sur le nom de votre serveur VPN et suivez l'étape "4. Configuration du serveur VPN et du routeur" de notre tutoriel concernant le déploiement de passerelles VPN sous Windows Server 2012.
Info : si un avertissement vous indique qu'il y a moins de 2 interfaces réseau, quittez l'assistant et ouvrez-le à nouveau. Maintenant, cet avertissement ne s'affichera plus.
La seule différence par rapport au tutoriel cité précédemment est que l'adresse IP du serveur DHCP est :
Windows Server 16/4/2021
Windows Server 3/4/2021
Windows Server 30/4/2021
Windows Server 21/5/2021
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire