Discussion :

[hysterym4n]

Bonjour,

Ma spécialité d'origine en informatique n'est pas l'administration des systèmes, et c'est pourquoi je me trouve confronté à une petite question :

Supposons qu'on a le siège social de Contoso, basé à Paris, ainsi que 2 succursales : "Contoso Lyon" et "Contoso Marseille". Ce que je voudrais, c'est de pouvoir (aussi simplement que possible) créer un nouvel utilisateur qui pourrait se connecter sur n'importe quel ordinateur de sa ville (jusque-là tout va bien, un serveur par ville et comme ça un utilisateur Active Directory au niveau de Contoso Lyon pourra se connecter sur toutes les machines situées à Lyon, et son compte sera inexistant au niveau des autres villes, ça me va bien). Cependant, ce que je souhaiterais aussi, c'est que les utilisateurs des 3 emplacements aient automatiquement une adresse "....@contoso.com" à la création de leurs comptes.

Du coup ma question : où placer exactement le serveur Exchange ? Au niveau du siège social ? Mais alors comment permettre de distribuer le mail s'il est destiné à une succursale ? Ou alors au niveau de chaque succursale, mais ça risque d'être le cafouillage pour rediriger ça au niveau des DNS. Bref j'ai cherché un peu mais vu que c'est tout nouveau pour moi, je préfère avoir l'avis d'experts.

Merci par avance

[A&Nexus]

Bonjour,

On va prendre des cas simples:

Du coup ma question : où placer exactement le serveur Exchange ? Au niveau du siège social ? Mais alors comment permettre de distribuer le mail s'il est destiné à une succursale ? Ou alors au niveau de chaque succursale, mais ça risque d'être le cafouillage pour rediriger ça au niveau des DNS. Bref j'ai cherché un peu mais vu que c'est tout nouveau pour moi, je préfère avoir l'avis d'experts.

Ou le placer : au niveau du siège social.
Distribuer le mail à une succursale : C'est dans l'autre sens c'est l'utilisateur de ta succursale qui va se connecter sur l'Exchange par l'inverse (ce qui simplifie la compréhension normalement).
Si tu prends le cas de ta messagerie gmail par exemple tu branches ton outlook en IMAP à gmail ou alors tu vas en webmail.

Là c'est pareil ton exchange est au siège et les outlooks se connectent dessus.

Pour ton autre interrogation sur la création d'un utilisateur avec une adresse email lorsque tu créer ton compte AD tu peux créer en même temps le compte Exchange (ou alors le faire depuis l'exchange directement).
Dans tous les cas ce sera le même AD dans toutes tes succursales.

[hysterym4n]

Merci pour la réponse rapide.

Effectivement, en faisant l'analogie je comprends mieux. J'aurais du coup une question : est-ce que c'est possible de configurer une stratégie pour que les Outlooks se connectent automatiquement en IMAP au serveur Exchange central ? (en toute transparence pour l'utilisateur, qui n'a qu'à double-cliquer pour avoir accès à ses mails).

Une autre question aussi, la partie :

Dans tous les cas ce sera le même AD dans toutes tes succursales.

Là je ne comprends pas trop. J'aurais eu tendance à penser que chaque AD était en quelque sorte isolé et "visible" uniquement en local.

Par exemple : le compte "john.lyon" situé au niveau de la succursale de Lyon (avec son mail john.lyon@contoso.com) ne pourrait pas se connecter sur une machine située à Paris ni à Marseille, par contre via l'interface web il pourrait consulter ses mails en déplacement. Mais si c'est le même AD dans toutes les succursales, cela voudrait donc dire que l'utilisateur "john.lyon" pourrait donc se connecter sur une machine située à Paris ?

[A&Nexus]

est-ce que c'est possible de configurer une stratégie pour que les Outlooks se connectent automatiquement en IMAP au serveur Exchange central ? (en toute transparence pour l'utilisateur, qui n'a qu'à double-cliquer pour avoir accès à ses mails).

Oui c'est possible mais privilégie quand même un compte de type Exchange plutôt que IMAP.
Il faut importer les ADMX Outlook et configurer une GPO.

Là je ne comprends pas trop. J'aurais eu tendance à penser que chaque AD était en quelque sorte isolé et "visible" uniquement en local.
Par exemple : le compte "john.lyon" situé au niveau de la succursale de Lyon (avec son mail john.lyon@contoso.com) ne pourrait pas se connecter sur une machine située à Paris ni à Marseille, par contre via l'interface web il pourrait consulter ses mails en déplacement. Mais si c'est le même AD dans toutes les succursales, cela voudrait donc dire que l'utilisateur "john.lyon" pourrait donc se connecter sur une machine située à Paris ?

Là par contre c'est plus "touchy" et ça va dépendre de pas mal de choses.
Pour ton cas tu vas installer des contrôleurs de domaines dans chaque site. Tous seront dans la même forêt et dans le même domaine.
Tu peux te loguer avec ton compte AD sur n'importe quel PC du domaine (tu dois avoir moyen de restreindre les méthodes d'accès ou même par fichier vbs à la connexion en testant le site de la personne).

Pour continuer "via l'interface web", j'aurai tendance à dire que pour accéder à une interface web sur un site distant il faut quand même ouvrir une session quelque part.


Si tu veux isoler tes AD de chaque site (et du coup apporter de la grosse complexité avec moins de redondance) il faut les mettre dans des domaines différents au sein de la même forêt (ou pas c'est selon).
S'ils ne sont pas dans la même forêt il faudra faire des relations d'approbations.
Je dis moins de redondance car dans ce cas chaque site étant indépendant si ton serveur AD tombe ceux des autres sites ne serviront pas de backup (ce qui est le cas dans un domaine AD unique).
Il faudra donc mettre au minimum deux serveurs AD sur chaque site.


Quoiqu'il arrive même si les sites sont pas dans le même AD ou ne sont même pas visible ça n'empêche pas de gérer les emails de façons centralisés. Les postes Outlook se connecteront quand même au serveur Exchange (un peu comme si ton PC Perso se connecte sur le serveur Exchange du travail).

[hysterym4n]

Merci beaucoup pour la réponse impeccable, je saisis mieux l'architecture globale maintenant.

Ce que je recherche d'ailleurs, n'est pas la solution la plus compliquée à mettre en œuvre, mais plutôt la plus élégante. Et je ne cherche pas d'ailleurs forcément à isoler les AD entre les différents sites, c'est juste que je pensais que c'était intrinsèque au concept (c'est même mieux si chaque utilisateur pouvait se logger n'importe où)

Donc pour résumer si j'ai bien compris, ce qu'il faut : Une forêt et un domaine (qui seront globaux) + un contrôleur de domaine (même 2 au minimum) au niveau de chaque site, afin d'améliorer les performances et d'accélérer les authentifications + un serveur Exchange (au niveau du siège) pour les mails. C'est bien ça ?

[hysterym4n]

Aussi, une dernière question : j'ai lu que le NAT ne fonctionnait pas (et n'était d'ailleurs pas recommandé par Microsoft) pour les déploiements AD. Cela voudrait donc dire que je ne peux pas avoir un déploiement AD avec pour chaque site une adresse IP fixe unique et le reste des ordinateurs derrière un NAT avec des adresses non routables du style 192.168.1.2 ?

[A&Nexus]

Donc pour résumer si j'ai bien compris, ce qu'il faut : Une forêt et un domaine (qui seront globaux) + un contrôleur de domaine (même 2 au minimum) au niveau de chaque site, afin d'améliorer les performances et d'accélérer les authentifications + un serveur Exchange (au niveau du siège) pour les mails. C'est bien ça ?

C'est bien ça.
Pour optimiser un peu plus les coût et surtout pour maintenir moins de contrôleurs de domaine tu peux mettre qu'un AD sur les sites distants.
Dans ce cas sur le PC dans l'AD du site distant est en primaire et un autre AD du siège est en secondaire.

[A&Nexus]

Aussi, une dernière question : j'ai lu que le NAT ne fonctionnait pas (et n'était d'ailleurs pas recommandé par Microsoft) pour les déploiements AD. Cela voudrait donc dire que je ne peux pas avoir un déploiement AD avec pour chaque site une adresse IP fixe unique et le reste des ordinateurs derrière un NAT avec des adresses non routables du style 192.168.1.2 ?

Oulah !
Je comprends pas "une adresse IP fixe unique" tu parles d'IP Publique ?

Pour faire simple effectivement tu ne dois pas NAT car sinon tu masquerais les IP des PC sur les AD, dans les logs (entre autres) et ce n'est vraiment pas propre.

Il faut juste que chaque site est un réseau indépendant (par exemple 192.168.1.0/24 et 192.168.2.0/24 et 192.168.3.0/24).
Tu relis les réseaux comme tu veux (routeur, VPN, MPLS opérateur etc...) et le tour est joué.

[hysterym4n]

Ah super, maintenant tout est clair. Encore merci pour toutes ces explications

[A&Nexus]

Pas de quoi.