Discussion :

[alex8276]

Bonjour à tous,
je me pose la question de savoir quelle est la meilleure gestion pour une infrastructure composé d'un siège et d'une multitude de petit site (de 2 à 30 postes).
Si on relie tous les sites via MPLS, vous sembles t'il judicieux d'intégrer chacun des postes au domaine sans ajouter de DC ou RODC sur chacun des sites ? La charge réseau est elle importante lors des communication ?
Éventuellement uniquement sur les plus gros sites ?

Merci d'avance

[jaffommopeff-9757]

Bonjour,

Intégré un DC ou un RODC sur un site reste non négligeable en terme de maintenance. En plus il te faut serveur, baie, clim, ...
Pour des sites de petite taille, je l'ai jamais vu. Le trafic reste acceptable.
Après si tu veux que tes sites puissent être indépendant en cas de coupure pourquoi pas.
Tout dépend des scénario de panne que tu acceptes : si le site est isolé, plus internet et qu'aucune application métier de marche, ca sert peut être à rien de pouvoir se log sur les Windows...
Si c'est important que tout marche tout le temps, dans ce cas là, la question se pose, après il faut que ta boite soit capable de sortir le chèque qui va bien ... et une deuxième pâte WAN serait dans tout les cas plus pertinent.

[alex8276]

Bonjour,
effectivement pour les petits sites je ne voyais pas trop d’intérêt mais tu me confortes dans cette idée.
La question se pose un peu plus pour les sites de 25-30 postes qui ont un peu plus d'obligation bien que se connecter sans avoir d'accès au DC est possible ( cas de portable). A voir en tout cas, je vais mener cette reflection.

[jaffommopeff-9757]

Il faut se poser une série de question :
- Quelle est la plus value d'avoir une DC sur site ?
A priori c'est la redondance géographique et la réactivité réseau.
Sur la réactivité réseau : Suivant tes accès opérateurs tu gagne de quelques ms à quelques centaine de ms. C'est souvent insignifiant pour un accès DC pour un utilisateur. De plus, ce genre de trafic est insignifiant.
Sur la redondance géographique : imagine tout les scénario : perte d'un ou plusieurs lien WAN, d'un ou de plusieurs serveurs, ... et regarde l'impact que ca créé et ce qu'il faut pour l'éviter. Après tu analyse l'équilibre entre impact et solution.
Sur tes sites d'une trentaine de personnes, si il y a un double accès internet et pas de serveur sur place, la démarche va te coûté cher et être utile que quand les deux liens WAN sont down... a priori pas très utile...
Après, si tu dois mettre un serveur pour du partage de fichier ou une ap métier, tu peux en rajouter un pour faire DC. Ca peut être simple si tu es sur du virtualisé HyperV ou Vmware. Tu rajoute un nanoserver Win2016, ca coute rien et ca marche !
Après n'oublie pas que 30 personnes sur un site, c'est toujours un petit site.

[alex8276]

Merci pour toutes ces précisions.
On est d'accord que si j'ai un serveur de fichier sur un des sites, si l'accès au DC est HS, les utilisateurs n'y auront plus accès (incapacité a checker les droits ) ?

[jaffommopeff-9757]

Hum ... la réponse est pas si simple si Kerberos est utilisé (ca semble être le comportement par défaut).
Il semblerait (sans certitude) que tes utilisateurs déjà authentifié aient accès aux ressources tant que le ticket est valide (pour 8 heure donc). Donc, a priori, si tu perd ton AD en pleine journée pour moi de 8 heures, l'impact est réduit.
Dans tout les cas, tu ne pourras pas identifié de nouveaux utilisateurs. Donc si ca arrive pendant la nuit, tout est dans le noir le matin.
Tu remarqueras les pincettes que je prends ... Si tu veux être sur, teste sur une maquette (tu peux installer plusieurs VM et éteindre l'AD).

[alex8276]

ok merci,
je vais tester ça

[alex8276]

bonnjour,
je ne sais pas si mon retour peut t'intéresser, mais au cas ou, le voici.

Donc d'après mon test la connexion au répertoire partagé fonctionne si on y a accéder avant que le DC tombe. Si on se connecte sur sa session, que le DC tombe ensuite et qu'on essaye d'accéder au partage la par contre, ça ne fonctionne pas. Pour ce qui ai de la durée du bail, je ne sais pas encore, pas assez de recul.

[jaffommopeff-9757]

je ne sais pas si mon retour peut t'intéresser, mais au cas ou, le voici.

Bien-sur que ça nous intéresse !

Donc d'après mon test la connexion au répertoire partagé fonctionne si on y a accéder avant que le DC tombe. Si on se connecte sur sa session, que le DC tombe ensuite et qu'on essaye d'accéder au partage la par contre, ça ne fonctionne pas. Pour ce qui ai de la durée du bail, je ne sais pas encore, pas assez de recul.

Ca me semble pas déconnant. Merci pour l'info !