Un DC en réplica sur Windows Azure : Part 2 – Mise en place

Envoyer

Sommaire

 

 

Introduction

Dans notre premier article « Un DC en réplica sur Windows Azure : Part 1 – Présentation », nous avons découvert brièvement la solution IaaS de Windows Azure et les avantages à y héberger un contrôleur de domaine. Nous allons désormais entrer dans le concret et nous intéresser à la mise en place.

 

 

Les prérequis

  1. Disposer d’un domaine Active Directory existant : si ce n’est pas le cas et si vous avez besoin d’un accompagnement pour mettre en place Active Directory, vous pouvez suivre notre article « Installation des services de domaine Active Directory sur 2008 R2 ».
  2. Disposer d’un compte Windows Azure : vous pouvez souscrire à la version d’essai limitée à 90 jours depuis le lien suivant : http://www.windowsazure.com/fr-fr/pricing/free-trial/.
  3. Avoir créé les composants essentiels sur Windows Azure : pour mener à bien la procédure, il vous faut un groupe d’affinité, un compte de stockage et un réseau virtuel.
  4. Avoir configuré la connexion VPN site-à-site : afin que le trafic soit sécurisé entre les deux réseaux, il va être nécessaire d’établir un lien IPSEC. Pour cela, consulter notre article « Connexion VPN site-à-site entre Windows Azure et Windows Server 2008 R2 ».

 

 

Spécificités techniques

L’utilisation d’une adresse IP statique sur une machine virtuelle hébergée sur Windows Azure n’est pas supportée sous peine d’une perte complète de connectivité. Cela n’est donc pas commun mais il faudra utiliser une adresse IP dynamique sur le contrôleur de domaine! Rassurez-vous toutefois car le bail durera tout le long de la vie de machine virtuelle.

Cela engendre également un second problème relatif à la configuration du client DNS du contrôleur de domaine car il doit pointer vers un contrôleur de domaine existant en tant que serveur DNS primaire et ensuite la boucle locale comme serveur DNS secondaire. Pour appliquer ces paramètres, il faudra créer la machine virtuelle à l’aide de PowerShell.

De plus, pour sécuriser les communications entre votre nouveau contrôleur de domaine en réplica sur le réseau Windows Azure et votre infrastructure physique, il va être nécessaire de créer un lien VPN. Notez également que seul les flux sortants vous seront facturés sur Windows Azure et il sera sans doute judicieux d’envisager le déploiement d’un contrôleur de domaine en lecture seule (RODC).

Enfin, si vous déployez un contrôleur de domaine sous Windows Server 2012, sachez que la fonctionnalité de clonage et le support des clichés instantanés n’est pas pris en charge sur Windows Azure.

 

 

La maquette

Afin de faciliter la compréhension de notre article, nous nous appuierons sur l’exemple d’architecture réseau et Active Directory suivant.

 

 

 

 

Création et préparation de la machine virtuelle

Comme nous le disions plus haut, il est nécessaire de passer par PowerShell pour créer correctement la machine virtuelle et surtout avec les bons paramètres DNS. Pour cela, consultez l’article « Créer une machine Windows Azure avec PowerShell » que nous avons réalisé et utilisez le script fourni pour générer votre machine virtuelle.

Veillez surtout à bien indiquer les paramètres DNS avec, en serveur DNS préféré le contrôleur de domaine sur votre site physique et, en DNS secondaire la boucle locale « 127.0.0.1 ».

Remarque : si vous comptez faire des sauvegardes de la base de données Active Directory sur cette machine virtuelle alors il faudra définir la taille de la machine à « Large » (Cmdlet New-AzureVMConfig / propriété InstanceType) pour pouvoir attacher deux disques.

Une fois le script exécuté, vous pouvez vérifier que le déploiement s’opère correctement depuis le portail Windows Azure. Vous pouvez vérifier également après le déploiement que les serveurs DNS sont correctement définis à l'aide de la commande « ipconfig /all ».

 

 

 

 

 

 

 

La machine virtuelle est provisionnée et, désormais, vous allez devoir ajouter un nouveau disque pour le stockage de la base de données Active Directory. En effet, Windows Azure fournit deux types de disques pour les machines virtuelles dont l’un pour le système d’exploitation et l’autre pour les données. Il est donc fondamental de stocker la base de données sur un disque de données afin d’en assurer l’intégrité.

Pour cela, sélectionnez la machine virtuelle depuis la section « Ordinateurs virtuels » et cliquez sur « Attacher » | « Attacher un disque vide » depuis la barre d’outils. Depuis la fenêtre « Attacher un disque vide à l’ordinateur virtuel », contentez-vous de spécifier la taille (20 Go est un bon compromis).

 

 

 

 

 

 

 

 

 

Connectez-vous ensuite sur la machine virtuelle en cliquant sur « Connecter » depuis la barre d’outils.

 

 

 

 

 

 

 

 

Une fois connecté sur la machine virtuelle, ouvrez la console « Computer Management » et naviguez vers « Storage » | « Disk Management ». Le nouveau disque va être détecté et initialisé.

 

 

 

 

 

Sur ce nouveau disque, créez une nouvelle partition et attribuez-lui une lettre de lecteur, un nom de volume ….

 

 

 

 

 

 

 

 

 

Création du site Active Directory

Il est impératif de créer un site Active Directory pour votre réseau virtuel  Windows Azure.

Pour cela, lancez la console « Sites et services Active Directory » en saisissant la commande « dssite.msc » depuis « Démarrer » | « Exécuter ».

 

 

 

 

 

Réalisez un clic droit sur « Sites » et sélectionnez « Nouveau site… ».

 

 

 

 

 

 


Donnez lui un nom (dans notre exemple nous lui avons assigné le nom « SiteCloud ») et sélectionnez un lien de sites (par défaut « DEFAULTIPSITELINK » pour une réplication toutes les 180 minutes).

 

 

 

 

 

 

 


Il faut ensuite créer le sous-réseau à l'aide d'un clic droit sur « Subnets » et en sélectionnant « Nouveau sous-réseau …».

 

 

 

 

 

 

 

Indiquez le sous-réseau correspondant à celui déclaré sur Windows Azure et associez-le au site créé précédemment.

 

 

 

 

 

 

 

 

 


Promotion du contrôleur de domaine supplémentaire

L’opération se décompose en deux étapes :

  • Installation du rôle Active Directory Domain Services.
  • Promotion du contrôleur de domaine.

 

Pour l’installation du rôle, vous n’avez qu’à suivre l’assistant « Add Roles and Features » et vous appuyer sur les imprime-écrans ci-dessous.

 

 

 

 

 


 

Une fois le rôle installé, nous passons à la promotion du serveur. Depuis « Server Manager », allez dans zone de notifications (le petit drapeau en haut à droite) et sélectionnez « Promote this server to a domain controller ».

 

 

 

 

 

 

L’assistant de déploiement Active Directory Domain Services démarre. Sélectionnez l’option de déploiement « Add ad domain controller to an existing domain », entrez le nom de votre domaine Active Directory et les informations d’authentification d’un compte administrateur du domaine.

 

 

 

 

 

 


Activez le service « Domain Name System (DNS) Server », activez si nécessaire la fonctionnalité « Global Catalog (GC) » et définissez le nouveau contrôleur de domaine en tant que RODC si nécessaire (rappelez-vous que le RODC est très intéressant d’un point de vue économique sachant qu’il ne générera que peut de trafic sortant). Vérifiez également que le site est correctement défini et entrez un mot de passe pour le mode DSRM.

 

 

 

 

 

 

 

Afin de faciliter la réplication initiale, nous décidons de répliquer depuis le contrôleur de domaine placé sur notre infrastructure locale.

 

 

 

 

 

 


Définissez également la location des dossiers de stockage de la base de données, des journaux et du SYSVOL afin qu’ils pointent sur la partition de données créée précédement.

 

 

 

 

 


 

Après que les pré-vérifications ont été réalisées, lancez l’installation. Remarquez que l'assistant vous alerte sur le fait que vous utilisez une adresse IP dynamique !

 

 

 

 

 

 


Après redémarrage, votre machine virtuelle est désormais promue en tant que contrôleur de domaine supplémentaire.

How to Find Active Directory Schema Update History by Using PowerShell

Mise à jour le Mardi, 29 Janvier 2013 15:48