Lors de la configuration d’un déploiement avec plusieurs sites, plusieurs étapes sont nécessaires pour modifier les paramètres de l’infrastructure réseau, notamment :
Configuration des sites Active Directory supplémentaires
Tous les points d’entrée peuvent être situés sur un seul site Active Directory. Par conséquent, au moins un site Active Directory est nécessaire pour déployer des serveurs RAS dans une configuration multi-site. Utilisez la console “Sites et services Active Directory” pour créer de nouveaux sites dans votre environnement.
Vous devez être membre du groupe “Administrateurs de l’organisation” dans la forêt, du groupe “Administrateurs de domaine” dans le domaine principal de la forêt, ou membre d’un groupe correspondant pour effectuer cette opération. Pour plus d’informations sur les comptes appropriés et les appartenances aux groupes, consultez les groupes standards locaux et de domaine.
Pour plus d’informations, consultez Ajout d’un site à la forêt.
Procédure de configuration des sites Active Directory supplémentaires
- Cliquez sur “Démarrer” sur le contrôleur de domaine principal, puis sélectionnez “Services et sites Active Directory”.
- Faites un clic droit sur le dossier “Sites” dans la structure de la console “Services et sites Active Directory”, puis sélectionnez “Nouveau site”.
- Dans la boîte de dialogue “Nouvel objet : Site”, saisissez un nom pour le nouveau site dans le champ “Nom”.
- Sous “Nom de liaison”, sélectionnez un objet de liaison de site, puis cliquez deux fois sur “OK”.
- Double-cliquez sur le dossier “Sites” dans la structure de la console, faites un clic droit sur le dossier “Sous-réseaux”, puis sélectionnez “Nouveau sous-réseau”.
- Dans la boîte de dialogue “Nouvel objet : Sous-réseau”, saisissez le préfixe du sous-réseau IPv4 ou IPv6 dans le champ “Préfixe”, sélectionnez le site auquel ce sous-réseau doit être attribué dans la liste “Sélectionner un objet de site pour ce préfixe”, puis cliquez sur “OK”.
- Répétez les étapes 5 et 6 jusqu’à ce que tous les sous-réseaux nécessaires pour votre déploiement soient créés.
- Fermez la console “Services et sites Active Directory”.
Configuration des contrôleurs de domaine supplémentaires
Pour configurer un déploiement multi-site dans un seul domaine, il est recommandé d’utiliser au moins un contrôleur de domaine en écriture pour chaque site de votre déploiement.
Pour effectuer cette opération, vous devez être membre du groupe “Administrateurs de domaine” dans le domaine dans lequel le contrôleur de domaine est installé. Pour plus d’informations, consultez Installation d’un contrôleur de domaine supplémentaire.
Procédure de configuration des contrôleurs de domaine supplémentaires
- Sur le serveur qui agit en tant que contrôleur de domaine, ouvrez le “Gestionnaire de serveur”.
- Cliquez trois fois sur “Suivant” pour accéder à l’écran de sélection du rôle du serveur.
- Sur la page “Sélectionner les rôles du serveur”, sélectionnez l’option “Services de domaine Active Directory”. Si vous y êtes invité, cliquez sur “Ajouter des fonctionnalités” et cliquez trois fois sur “Suivant”.
- Sur la page “Confirmation”, cliquez sur “Installer”.
- Une fois l’installation terminée, cliquez sur “Promouvoir ce serveur en contrôleur de domaine”.
- Dans l’assistant de configuration des services de domaine Active Directory, sur la page “Configuration de déploiement”, sélectionnez “Ajouter un contrôleur de domaine à une forêt existante”.
- Sous “Domaine”, entrez le nom de domaine, par exemple “corp.contoso.com”.
- Sous “Spécifier les informations d’identification pour cette opération”, cliquez sur “Modifier”. Dans la boîte de dialogue “Sécurité Windows”, saisissez le nom d’utilisateur et le mot de passe du compte qui peut installer le contrôleur de domaine supplémentaire. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe “Administrateurs de l’organisation” ou “Administrateurs de domaine”. Après avoir entré les informations d’identification, cliquez sur “Suivant”.
- Sur la page “Options du contrôleur de domaine”, effectuez les étapes suivantes :
- Sachez que l’option “Serveur DNS (Système de nom de domaine)” est activée par défaut pour permettre à votre contrôleur de domaine de fonctionner en tant que serveur DNS. Si vous ne souhaitez pas utiliser votre contrôleur de domaine comme serveur DNS, vous pouvez désactiver cette option.
- L’option “Catalogue global” est activée par défaut. Elle ajoute les partitions de répertoire en lecture seule du catalogue global au contrôleur de domaine, et active la fonction de recherche du catalogue global.
- L’option “Contrôleur de domaine en lecture seule” n’est pas sélectionnée par défaut. En sélectionnant cette option, vous rendrez le contrôleur de domaine supplémentaire en lecture seule.
- Sélectionnez un site dans la liste “Nom du site”.
- Sous “Taper le mot de passe de mode de récupération du service d’annuaire (DSRM)”, saisissez un mot de passe sécurisé deux fois, puis cliquez sur “Suivant”. Ce mot de passe sera utilisé pour démarrer le service d’annuaire Active Directory en mode de récupération des services d’annuaire (DSRM) lorsque cela est nécessaire.
- Sur la page “Options DNS”, cochez la case “Mettre à jour la délégation DNS” si vous souhaitez mettre à jour la délégation DNS pendant l’installation des rôles, puis cliquez sur “Suivant”.
- Sur la page “Options supplémentaires”, spécifiez les emplacements de stockage des fichiers de base de données, des fichiers journaux de services d’annuaire et des fichiers de volume système (SYSVOL), ou naviguez jusqu’à ces emplacements. Sélectionnez les options de réplication selon vos besoins, puis cliquez sur “Suivant”.
- Sur la page “Options de vérification”, vérifiez les options d’installation, puis cliquez sur “Suivant”.
- Sur la page “Options de préparation”, cliquez sur “Installer” une fois que les prérequis ont été vérifiés.
- Attendez que l’assistant ait terminé la configuration, puis cliquez sur “Fermer”.
- Redémarrez l’ordinateur si cela n’est pas fait automatiquement.
Configuration des groupes de sécurité supplémentaires
Un déploiement multi-site nécessite un groupe de sécurité supplémentaire pour chaque point d’entrée du déploiement, permettant l’accès aux ordinateurs clients exécutant Windows 7. Si plusieurs domaines incluent des ordinateurs clients exécutant Windows 7, il est recommandé de créer un groupe de sécurité pour chaque point d’entrée dans chaque domaine. Alternativement, un groupe de sécurité universel peut être utilisé pour inclure les ordinateurs clients des deux domaines. Par exemple, dans un environnement comprenant deux domaines, si vous souhaitez autoriser l’accès aux ordinateurs clients Windows 7 aux points d’entrée 1 et 3, mais pas au point d’entrée 2, créez deux nouveaux groupes de sécurité incluant les ordinateurs clients Windows 7 pour chaque point d’entrée dans chaque domaine.
Procédure de configuration des groupes de sécurité supplémentaires
- Sur le contrôleur de domaine principal, cliquez sur “Démarrer”, puis sélectionnez “Utilisateurs et ordinateurs Active Directory”.
- Dans la structure de la console, faites un clic droit sur le dossier dans lequel vous souhaitez ajouter un nouveau groupe, par exemple “corp.contoso.com/Utilisateurs”. Passez sur “Nouveau”, puis cliquez sur “Groupe”.
- Dans la boîte de dialogue “Nouvel objet : Groupe”, saisissez le nom du groupe dans le champ “Nom du groupe”, par exemple “Win7_Clients_Entrypoint1”.
- Sous “Portée du groupe”, sélectionnez “Universelle”, sous “Type de groupe”, sélectionnez “Sécurité”, puis cliquez sur “OK”.
- Double-cliquez sur le groupe de sécurité pour ajouter des ordinateurs au nouveau groupe. Dans la boîte de dialogue “Propriétés de “, cliquez sur l’onglet “Membres”.
- Cliquez sur “Ajouter” dans l’onglet “Membres”.
- Sélectionnez les ordinateurs Windows 7 que vous souhaitez ajouter à ce groupe de sécurité, puis cliquez sur “OK”.
- Répétez cette opération pour créer un groupe de sécurité pour chaque point d’entrée, selon vos besoins.
Configuration des objets de stratégie de groupe
Pour un déploiement d’accès distant avec plusieurs sites, les GPO suivantes sont nécessaires :
- Une GPO pour chaque point d’entrée du serveur RAS
- Une GPO pour les ordinateurs clients Windows 8 dans chaque domaine
- Une GPO dans chaque domaine contenant des ordinateurs clients Windows 7 pour chaque point d’entrée configuré pour prendre en charge les clients Windows 7
Lors de la configuration de l’accès distant, l’assistant crée automatiquement les GPO nécessaires si elles n’existent pas déjà. Si vous n’avez pas les autorisations nécessaires pour créer des GPO, vous devez les créer avant de configurer l’accès distant. L’administrateur DirectAccess doit disposer des autorisations complètes pour les GPO (modification, modification de la sécurité et suppression).
Pour plus d’informations sur la création de GPO, consultez Création et modification d’un objet de stratégie de groupe.
Maintenance et indisponibilité des contrôleurs de domaine
En cas d’indisponibilité d’un contrôleur de domaine qui agit en tant qu’émulateur PDC ou de contrôleurs de domaine gérant des GPO serveur, il n’est pas possible de charger ou de modifier la configuration d’accès distant. Cela n’affecte pas la connectivité des clients si d’autres contrôleurs de domaine sont disponibles.
Pour charger ou modifier la configuration d’accès distant, vous pouvez transférer le rôle d’émulateur PDC à un autre contrôleur de domaine pour les GPO serveur, ou modifier les contrôleurs de domaine qui gèrent les GPO serveur.
Transfert du rôle d’émulateur PDC
- Sur l’écran de démarrage, entrez “dsa.msc”, puis appuyez sur “Entrée” pour ouvrir “Utilisateurs et ordinateurs Active Directory”.
- Faites un clic droit sur “Utilisateurs et ordinateurs Active Directory” dans la console, puis cliquez sur “Modifier les contrôleurs de domaine”.
- Dans la boîte de dialogue “Modifier les contrôleurs de domaine”, cliquez sur “Ce contrôleur de domaine ou instance AD LDS”, sélectionnez le contrôleur de domaine qui doit être le nouveau détenteur du rôle, puis cliquez sur “OK”.
- Faites un clic droit sur “Utilisateurs et ordinateurs Active Directory” dans la structure de la console, survolez “Toutes les tâches”, puis cliquez sur “Maîtres d’opérations”.
- Dans la boîte de dialogue “Maîtres d’opérations”, cliquez sur l’onglet “PDC”, puis cliquez sur “Modifier”.
- Cliquez sur “Oui” pour confirmer que vous souhaitez transférer le rôle, puis cliquez sur “Fermer”.
Modification du contrôleur de domaine gérant les GPO serveur
- Exécutez la commande PowerShell “Set-DAEntryPointDC” sur le serveur RAS, en spécifiant le nom du contrôleur de domaine inaccessible en tant que paramètre “ExistingDC”. Cette commande modifie l’association du contrôleur de domaine pour les GPO serveur des points d’entrée actuellement gérés par ce contrôleur de domaine.
Pour plus d’informations sur les autres procédures, consultez l’article d’origine.