Réflexions autour d’une architecture Active Directory

Salut à tous

J’ai récemment travaillé pour un service informatique mutualisé.
Ce dernier gére le réseau et les serveurs de 4 entreprises totalement indépendantes les unes des autres.
Au niveau informatique, le client dispose d’un site centrale (les locaux du service informatique) et de 4 réseaux d’agence (1 par entreprise).
Le réseau fonctionne sur le principe suivant :
* Une machine sur le site centrale peut communiquer avec toutes les machines du réseau.
* Une machine sur chacun des 4 réseaux d’agence ne peut communiquer qu’avec les machines du site central et les machines de son réseau d’agence.
Le client utilise Active Directory comme services d’annuaire.
Là où la topologie de mon client est intéressante, c’est qu’il a choisit une structure mono forêt avec 5 domaines :
* 1 domaine racine pour le service informatique commun
* 1 domaine dans une nouvelle arborescence de domaine pour chacune des 4 entreprises.
Chaque domaine dispose de 2 contrôleurs de domaine.
Le client dispose de 5 sites Active Directory, un pour chaque entreprise et un pour les locaux du service informatique mutualisé.
Nous arrivons donc à la situation suivante :
* Tous les contrôleurs de domaine ne peuvent pas communiquer ensemble. Pour rappel, la partition de schéma et la partition de configuration doivent répliquer sur tous les contrôleurs de domaine de la forêt.
* Pour répliquer cette partition de configuration et cette partition de schéma, les contrôleurs de domaine de chacune des 4 entreprises ne peuvent répliquer qu’en passant par l’intermédiaire des contrôleurs de domaine du domaine racine (celui du service informatique mutualisé).

Nous allons voir maintenant le pour et le contre de cette architecture :

Avanatage :
* Cette structure permet d’éviter de créer des relations d’approbation entre le domaine racine (celui du service informatique) et chacun des 4 autres domaines.
* Cette topologie Active Directory est supportée par Microsoft (validé par des consultants Microsoft du service partenariat).

Inconvénients de cette structure :
* Depuis le réseau d’une des 4 entreprises, il n’est pas possible de forcer une réplication entre un contrôleur de domaine de l’entreprise A et un contrôleur de domaine de l’entreprise B. Cette tâche ne puet être effectuée que depuis les contrôleurs de domaine du domaine racine (celui du service informatique).
* Cela peut poser des problèmes avec les groupes universelles qui peuvent contenir des objets de plusieurs domaines.
* Pour que cela fonctionne, il faut que le domaine racine soit accessible depuis tous les autres contrôleurs de domaine et que le contrôleur de doamine disposant des rôles de Maître de Schéma et de Maître d’attribution des noms de domaine soit acessible depuis tous les contrôleurs de domaine.
* Pour que cela focntionne correctement, il faut configurer une topologie de liens de sites qui obligent les contrôleurs de domaine de chaque entreprise à passer par le site central (celui du service informatique). Pour rappel, chaque entreprise dispose de son site Active Directory. Il faut donc créer les objets liens de site suivant :
  – Entreprise 1 – Site central
  – Entreprise 2 – Site central
  – Entreprise 3 – Site central
  – Entreprise 4 – Site central
* Mieux vaut créer trois sites et renommer le défault Ip link site.
* Si le client bascule sur Exchange, il risque de rencontrer pas mal de soucis car sauf erreur de ma part on ne peut avoir qu’une seule organiation Exchange par forêt.

Je continue à penser qu’une structure avec 5 forêt monodomaine aurait été plus adaptée.
En effet quand on conçoit une architecture Active Directory, celle ci doit refléter le focntionnement de l’entreprise. Hors nous avons dans ce cas précis 4 entreprises indépendantes donc pour moi 4 forêt distinctes + éventuellement une forêt supplémentaire pour la partie service informatique.

N’hésitez pas à réagir si vous aussi vous avez expérimenté ce genre de structure.
A+

 

À propos de Guillaume Mathieu

Consultant - Formateur chez PROSERVIA (Pôle Conseil Expertise)
Ce contenu a été publié dans Active Directory. Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*


+ 8 = dix

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>