DOCUMENT

Schritt 2: Configuration de l’infrastructure multi-site

Posted on by Millicent Blanc
Schritt 2: Configuration de l’infrastructure multi-site

Pour configurer un déploiement multi-site, plusieurs étapes sont nécessaires pour modifier les paramètres de l’infrastructure réseau, notamment : la configuration de sites et de contrôleurs de domaine Active Directory supplémentaires, la configuration de groupes de sécurité supplémentaires et la configuration d’objets de stratégie de groupe (GPO) supplémentaires si vous n’utilisez pas de GPOs configurées automatiquement.

2.1. Configuration de sites Active Directory supplémentaires

Tous les points d’entrée peuvent se trouver dans un seul site Active Directory. Par conséquent, au moins un site Active Directory est requis pour déployer des serveurs RAS dans une configuration multi-site. Utilisez cette procédure pour créer le premier site Active Directory ou pour ajouter des sites Active Directory supplémentaires pour le déploiement multi-site. Utilisez la console “Sites et services Active Directory” pour créer de nouveaux sites dans l’environnement.

Vous devez être au moins membre du groupe “Administrateurs de l’organisation” dans la forêt, du groupe “Administrateurs de domaine” dans le domaine principal de la forêt, ou membre d’un groupe correspondant pour exécuter cette procédure. Pour plus d’informations sur les comptes appropriés et les appartenances aux groupes, consultez les groupes standard locaux et de domaine.

Pour plus d’informations, consultez l’article “Ajouter un site à la forêt”.

Configuration de sites Active Directory supplémentaires

  1. Sur le contrôleur de domaine principal, cliquez sur “Démarrer”, puis sur “Sites et services Active Directory”.
  2. Dans la structure de la console “Sites et services Active Directory”, cliquez avec le bouton droit de la souris sur “Sites”, puis cliquez sur “Nouveau site”.
  3. Dans la boîte de dialogue “Nouvel objet : Site”, entrez un nom pour le nouveau site dans le champ “Nom”.
  4. Sous “Nom du lien”, cliquez sur un objet de lien de site, puis cliquez deux fois sur “OK”.
  5. Dans la structure de la console, double-cliquez sur “Sites”, cliquez avec le bouton droit de la souris sur “Sous-réseaux”, puis cliquez sur “Nouveau sous-réseau”.
  6. Dans la boîte de dialogue “Nouvel objet : Sous-réseau”, sous “Préfixe”, entrez le préfixe du sous-réseau IPv4 ou IPv6, sélectionnez le site auquel ce sous-réseau doit être associé dans la liste “Sélectionner l’objet de site pour ce préfixe”, puis cliquez sur “OK”.
  7. Répétez les étapes 5 et 6 jusqu’à ce que tous les sous-réseaux nécessaires pour votre déploiement soient créés.
  8. Fermez la console “Sites et services Active Directory”.

Équivalents des commandes Windows PowerShell

Les cmdlets Windows PowerShell suivantes accomplissent la même fonction que la procédure précédente. Entrez chaque cmdlet sur une seule ligne, même s’il semble y avoir des retours à la ligne dus à des restrictions de mise en forme.

Pour installer la fonctionnalité Windows “Active Directory Module for Windows PowerShell” :
Install-WindowsFeature “Nom RSAT-AD-PowerShell” ou ajoutez le snap-in “Active Directory PowerShell” via “OptionalFeatures”.

Si vous exécutez les cmdlets suivants sous Windows 7 ou Windows Server 2008 R2, vous devez importer le module PowerShell Active Directory :
Import-Module ActiveDirectory

Pour configurer un site Active Directory nommé “Second-Site” à l’aide de DEFAULTIPSITELINK (intégré) :
New-ADReplicationSite -Name “Second-Site”
Set-ADReplicationSiteLink -Identity “DEFAULTIPSITELINK” -sitesIncluded @{Add=”Second-Site”}

2.2. Configuration de contrôleurs de domaine supplémentaires

Pour configurer un déploiement multi-site dans un seul domaine, il est recommandé d’utiliser au moins un contrôleur de domaine inscriptible pour chaque site de votre déploiement.

Pour exécuter cette procédure, vous devez être au moins membre du groupe “Administrateurs de domaine” dans le domaine où le contrôleur de domaine est installé.

Pour plus d’informations, consultez l’article “Installer un contrôleur de domaine supplémentaire”.

Configuration de contrôleurs de domaine supplémentaires

  1. Sur le serveur qui agit comme contrôleur de domaine, cliquez sur “Gestionnaire de serveur” dans le “Tableau de bord” du “Gestionnaire de serveur”.

  2. Cliquez trois fois sur “Suivant” pour accéder à l’écran de sélection du rôle du serveur.

  3. Sur la page “Sélectionnez les rôles du serveur”, sélectionnez l’option “Services de domaine Active Directory”. Cliquez sur “Ajouter des fonctionnalités” si vous y êtes invité, puis cliquez trois fois sur “Suivant”.

  4. Sur la page “Confirmation”, cliquez sur “Installer”.

  5. Une fois l’installation terminée avec succès, cliquez sur “Promouvoir ce serveur en contrôleur de domaine”.

  6. Dans l’Assistant de configuration des services de domaine Active Directory, sur la page “Configuration de déploiement”, cliquez sur “Ajouter un contrôleur de domaine à une forêt existante”.

  7. Sous “Domaine”, entrez le nom de domaine, par exemple corp.contoso.com.

  8. Sous “Spécifier les informations d’identification pour cette opération”, cliquez sur “Modifier”. Dans la boîte de dialogue “Sécurité Windows”, entrez le nom d’utilisateur et le mot de passe du compte qui peut installer le contrôleur de domaine supplémentaire. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre des groupes “Administrateurs de l’organisation” ou “Administrateurs de domaine”. Après avoir saisi les informations d’identification, cliquez sur “Suivant”.

  9. Sur la page “Options du contrôleur de domaine”, effectuez les étapes suivantes :

    • Sélectionnez les options suivantes :

      • “Serveur DNS (Domain Name System)” : Cette option est activée par défaut pour permettre à votre contrôleur de domaine d’agir en tant que serveur DNS. Si vous ne voulez pas que le contrôleur de domaine agisse en tant que serveur DNS, vous pouvez désactiver cette option. Si le rôle de serveur DNS n’est pas installé sur l’émulateur de contrôle principal de domaine (PDC Emulator) dans le domaine principal de la forêt, l’option pour installer le serveur DNS sur un contrôleur de domaine supplémentaire n’est pas disponible. Pour contourner ce problème, vous pouvez installer le rôle de serveur DNS avant ou après l’installation de AD DS.
      • “Catalogue global” : Cette option est activée par défaut. Elle ajoute les partitions du catalogue global en lecture seule au contrôleur de domaine et active la recherche dans le catalogue global.
      • “Contrôleur de domaine en lecture seule” : Cette option n’est pas sélectionnée par défaut. En la sélectionnant, vous définissez le contrôleur de domaine supplémentaire en tant que contrôleur de domaine en lecture seule.

    • Sélectionnez un site dans la liste “Nom du site”.

    • Sous “Entrer le mot de passe pour le mode de récupération du service d’annuaire (mot de passe DSRM)”, entrez deux fois un mot de passe sécurisé, puis cliquez sur “Suivant”. Ce mot de passe doit être utilisé pour démarrer AD DS en mode de récupération pour les tâches hors ligne.

  10. Activez la case à cocher “Mettre à jour la délégation DNS” sous “Options DNS” si vous souhaitez mettre à jour la délégation DNS pendant l’installation des rôles, puis cliquez sur “Suivant”.

  11. Sur la page “Options supplémentaires”, entrez les emplacements des fichiers de base de données, des fichiers de protocole de service d’annuaire et des fichiers de volume système (SYSVOL), ou naviguez vers ces emplacements. Sélectionnez les options de réplication selon vos besoins, puis cliquez sur “Suivant”.

  12. Vérifiez les options d’installation sur la page “Options de vérification”, puis cliquez sur “Suivant”.

  13. Sur la page “Options de vérification”, cliquez sur “Installer” une fois les prérequis vérifiés.

  14. Attendez que l’assistant ait terminé la configuration, puis cliquez sur “Fermer”.

  15. Redémarrez l’ordinateur si celui-ci ne redémarre pas automatiquement.

Équivalents des commandes Windows PowerShell

Les cmdlets Windows PowerShell suivantes accomplissent la même fonction que la procédure précédente. Entrez chaque cmdlet sur une seule ligne, même s’il semble y avoir des retours à la ligne dus à des restrictions de mise en forme.

Pour installer la fonctionnalité Windows “Active Directory Module for Windows PowerShell” :
Install-WindowsFeature “Nom RSAT-AD-PowerShell” ou ajoutez le snap-in “Active Directory PowerShell” via “OptionalFeatures”.

Si vous exécutez les cmdlets suivants sous Windows 7 ou Windows Server 2008 R2, vous devez importer le module PowerShell Active Directory :
Import-Module ActiveDirectory

Pour configurer un groupe de sécurité nommé “Win7_Clients_Entrypoint1” et ajouter un ordinateur client nommé “CLIENT2” :
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.3. Configuration de groupes de sécurité supplémentaires

Un déploiement multi-site nécessite la création d’un groupe de sécurité supplémentaire pour chaque point d’entrée du déploiement, afin de permettre l’accès aux ordinateurs clients Windows 7. Si plusieurs domaines contiennent des ordinateurs clients Windows 7, il est recommandé de créer un groupe de sécurité pour chaque point d’entrée dans chaque domaine. Vous pouvez également utiliser un groupe de sécurité universel qui contient les ordinateurs clients des deux domaines. Par exemple, dans un environnement comportant deux domaines, si vous souhaitez autoriser l’accès aux ordinateurs clients Windows 7 dans les points d’entrée 1 et 3, mais pas dans le point d’entrée 2, vous devez créer deux nouveaux groupes de sécurité qui contiennent les ordinateurs clients Windows 7 pour chaque point d’entrée dans chaque domaine.

Pour plus d’informations, consultez l’article “Créer et modifier un objet de groupe de stratégie de groupe”.

Configuration de groupes de sécurité supplémentaires

  1. Sur le contrôleur de domaine principal, cliquez sur “Démarrer”, puis sur “Utilisateurs et ordinateurs Active Directory”.

  2. Dans la structure de la console, cliquez avec le bouton droit de la souris sur le dossier dans lequel vous souhaitez ajouter un nouveau groupe, par exemple corp.contoso.com/Users. Pointez sur “Nouveau”, puis cliquez sur “Groupe”.

  3. Dans la boîte de dialogue “Nouvel objet : Groupe”, sous “Nom du groupe”, entrez le nom du nouveau groupe, par exemple “Win7_Clients_Entrypoint1”.

  4. Sous “Portée du groupe”, cliquez sur “Universelle”, sous “Type de groupe”, cliquez sur “Sécurité”, puis cliquez sur “OK”.

  5. Double-cliquez sur le groupe de sécurité pour ajouter des ordinateurs au nouveau groupe. Dans la boîte de dialogue “Propriétés de “, cliquez sur l’onglet “Membres”.

  6. Cliquez sur “Ajouter” sur l’onglet “Membres”.

  7. Sélectionnez les ordinateurs Windows 7 que vous souhaitez ajouter à ce groupe de sécurité, puis cliquez sur “OK”.

  8. Répétez cette opération pour créer un groupe de sécurité pour chaque point d’entrée, selon vos besoins.

Équivalents des commandes Windows PowerShell

Les cmdlets Windows PowerShell suivantes accomplissent la même fonction que la procédure précédente. Entrez chaque cmdlet sur une seule ligne, même s’il semble y avoir des retours à la ligne dus à des restrictions de mise en forme.

Pour installer la fonctionnalité Windows “Active Directory Module for Windows PowerShell” :
Install-WindowsFeature “Nom RSAT-AD-PowerShell” ou ajoutez le snap-in “Active Directory PowerShell” via “OptionalFeatures”.

Si vous exécutez les cmdlets suivants sous Windows 7 ou Windows Server 2008 R2, vous devez importer le module PowerShell Active Directory :
Import-Module ActiveDirectory

Pour configurer un groupe de sécurité nommé “Win7_Clients_Entrypoint1” et ajouter un ordinateur client nommé “CLIENT2” :
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4. Configuration des objets de stratégie de groupe

Pour un déploiement d’accès distant multi-site, les GPOs suivants sont nécessaires :

  • Une GPO pour chaque point d’entrée du serveur RAS
  • Une GPO pour les ordinateurs clients Windows 8 dans chaque domaine
  • Une GPO dans chaque domaine contenant des ordinateurs clients Windows 7 pour chaque point d’entrée configuré pour prendre en charge les clients Windows 7

Lorsque vous configurez l’accès distant, l’assistant crée automatiquement les GPOs nécessaires si elles n’existent pas déjà. Si vous n’avez pas les autorisations nécessaires pour créer des GPOs, elles doivent être créées avant de configurer l’accès distant. L’administrateur DirectAccess doit disposer de toutes les autorisations sur les GPOs (« Modifier », « Modifier les autorisations de sécurité » et « Supprimer »).

Pour plus d’informations, consultez l’article “Créer et modifier un objet de stratégie de groupe”.

Maintenance et temps d’arrêt des contrôleurs de domaine

Si un contrôleur de domaine qui agit comme émulateur de contrôle principal de domaine (PDC Emulator) ou un contrôleur de domaine qui gère les GPOs du serveur est hors service, il n’est pas possible de charger ou de modifier la configuration d’accès distant. Cela n’affecte pas la connectivité des clients si d’autres contrôleurs de domaine sont disponibles.

Pour charger ou modifier la configuration d’accès distant, vous pouvez transférer le rôle d’émulateur de contrôle principal de domaine ou les contrôleurs de domaine qui gèrent les GPOs du serveur vers un autre contrôleur de domaine. Pour les GPOs du serveur, modifiez les contrôleurs de domaine qui gèrent les GPOs du serveur.

Transfert du rôle d’émulateur de contrôle principal de domaine

  1. Sur le “Bureau”, tapez “dsa.msc” et appuyez sur “Entrée”.
  2. Cliquez avec le bouton droit de la souris sur “Active Directory Users and Computers” dans la structure de la console “Active Directory Users and Computers”, puis cliquez sur “Changer de contrôleur de domaine”. Dans la boîte de dialogue “Changer de contrôleur de domaine”, cliquez sur “Ce contrôleur de domaine ou instance AD LDS”, sélectionnez le contrôleur de domaine dans la liste qui sera le nouveau titulaire du rôle, puis cliquez sur “OK”.
  3. Cliquez avec le bouton droit de la souris sur “Active Directory Users and Computers” dans la structure de la console, pointez sur “Toutes les tâches”, puis cliquez sur “Maître d’exploitation”.
  4. Dans la boîte de dialogue “Maître d’exploitation”, cliquez sur l’onglet “PDC”, puis cliquez sur “Changer”.
  5. Cliquez sur “Oui” pour confirmer que vous souhaitez transférer le rôle et cliquez sur “Fermer”.

Modification du contrôleur de domaine qui gère les GPOs du serveur

  • Exécutez la cmdlet Set-DAEntryPointDC sur le serveur RAS et spécifiez le nom du contrôleur de domaine inaccessible en tant que paramètre “ExistingDC”. Cette commande modifie l’association des contrôleurs de domaine pour les GPOs du serveur des points d’entrée actuellement gérés par ce contrôleur de domaine.

Exemple pour remplacer le contrôleur de domaine inaccessible “dc1.corp.contoso.com” par le contrôleur de domaine “dc2.corp.contoso.com” :
Set-DAEntryPointDC “ExistingDC ‘dc1.corp.contoso.com’ “NewDC ‘dc2.corp.contoso.com’ “ErrorAction Inquire

Exemple pour remplacer le contrôleur de domaine inaccessible “dc1.corp.contoso.com” par un contrôleur de domaine dans le site Active Directory le plus proche du serveur RAS “DA1.corp.contoso.com” :
Set-DAEntryPointDC “ExistingDC ‘dc1.corp.contoso.com’ “ComputerName ‘DA1.corp.contoso.com’ “ErrorAction Inquire

Optimisation de la distribution de la configuration

Lorsque vous apportez des modifications de configuration, les modifications ne sont appliquées qu’après que les GPOs du serveur ont été distribuées aux serveurs RAS. Pour réduire la durée de distribution de la configuration, DirectAccess sélectionne automatiquement, lors de la création de la GPO du serveur, un contrôleur de domaine inscriptible qui est le plus proche du serveur RAS.

Dans certains scénarios, il peut être nécessaire de modifier manuellement le contrôleur de domaine qui gère une GPO afin d’optimiser la distribution de la configuration :

  • Aucun contrôleur de domaine inscriptible n’était disponible dans le site Active Directory d’un serveur RAS lors de son ajout en tant que point d’entrée. Maintenant, un contrôleur de domaine inscriptible est ajouté au site Active Directory du serveur RAS.
  • Un serveur RAS a été déplacé vers un autre site Active Directory en raison d’un changement du type “Adresse IP” ou “Sites et sous-réseaux Active Directory”.
  • L’association du contrôleur de domaine d’un point d’entrée a été manuellement modifiée en raison d’une maintenance d’un contrôleur de domaine et maintenant le contrôleur de domaine est à nouveau disponible.

Dans ces scénarios, exécutez la cmdlet PowerShell Set-DAEntryPointDC sur le serveur RAS et spécifiez le nom du point d’entrée que vous souhaitez optimiser à l’aide du paramètre “EntryPointName”. Vous devez le faire une fois que les données GPO du contrôleur de domaine actuel qui stocke actuellement la GPO du serveur ont déjà été complètement répliquées vers le nouveau contrôleur de domaine souhaité.

Pour optimiser la distribution de la configuration :

  • Exécutez la cmdlet suivante pour que la GPO du serveur du point d’entrée “Entrypoint 1” soit gérée par un contrôleur de domaine dans le site Active Directory le plus proche du serveur RAS “DA1.corp.contoso.com” :
    Set-DAEntryPointDC “EntryPointName ‘Entry point 1’ “ComputerName ‘DA1.corp.contoso.com’ “ErrorAction Inquire

  • Exécutez la cmdlet suivante pour que la GPO du serveur du point d’entrée “Entry point 1” soit gérée par le contrôleur de domaine “dc2.corp.contoso.com” :
    Set-DAEntryPointDC “EntryPointName ‘Entry point 1’ “NewDC ‘dc2.corp.contoso.com’ “ComputerName ‘DA1.corp.contoso.com’ “ErrorAction Inquire

Voir aussi

Millicent Blanc