> Tech > Justifier un site et un DC

Justifier un site et un DC

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Après avoir bien analysé et compris votre WAN, vous êtes prêts à  entamer la conception de l'agence. Commencez par considérer toute l'entreprise comme un site puis examinez l'emplacement de chaque agence pour décider s'il faut le séparer ou non du site principal. Cette décision se fondera sur la sécurité physique

Justifier un site et un DC

et sur les besoins d’AD de l’agence, en
tenant compte bien sûr du budget d’équipement et des possibilités
d’administration IT.

En conception d’agence, il faut respecter un principe
clé : ne placez un DC dans une agence que si vous pouvez garantir
sa sécurité physique. Le DC doit être enfermé dans
une pièce dont seuls un ou deux employés ont la clé. Chaque
DC contient les ID et mots de passe de tous les employés de
la société, du CEO au portier. Si une personne non autorisée
parvient à  accéder physiquement à  un DC, elle peut contourner
la sécurité du réseau et extraire une information AD cruciale.
Si vous ne pouvez pas garantir la sécurité d’une agence,
n’y installez aucun DC. Ce principe conduit à  un autre : si un
emplacement n’a pas de DC, il n’a probablement pas besoin
d’un site. La réplication intersite AD est fortement compressée
pour minimiser le trafic WAN mais, si une agence n’a pas
de DC, il n’y a rien à  y répliquer.

Pour les agences où l’on peut sécuriser physiquement un
DC, l’étape suivante est celle de l’analyse du trafic. Examinez
le trafic réseau que génèrent les diverses interactions serveur-
client afin de savoir le genre de services de domaine
dont l’agence a besoin. Les DC authentifient les ordinateurs
client, les comptes utilisateur, et les serveurs de membres,
afin qu’ils puissent se connecter au domaine. Les DC
peuvent aussi héberger le GC (Global Catalog), que clients et
serveurs interrogent, héberger le share Netlogon pour les
scripts logon des utilisateurs, et agir comme serveurs de
bases de données pour les applications qui utilisent des données
d’AD. Le volume de ces services est un facteur important
pour déterminer si une agence doit avoir son propre
site, son propre DC, ou son propre GC.

La conception de l’agence doit viser à  réduire le trafic
WAN. Si les utilisateurs d’agences génèrent plus de trafic
WAN en s’authentifiant avec les DC dans d’autres emplacements
qu’un DC d’agence locale n’en génèrerait en répliquant
avec d’autres DC, cochez la colonne Installer un DC.
D’après le chapitre 2, « Structural Planning for Branch Office
Environments », dans Active Directory Branch Office
Deployment Guide (http://www.microsoft.com/windows2000/
techinfo/planning/activedirectory/branchoffice/d
efault.asp), il suffit de 10 utilisateurs pour générer un trafic
d’authentification de logon qui dépasse le trafic de réplication.

Un exemple va permettre d’illustrer les besoins d’authentification
et de requête d’une agence de taille petite ou
moyenne, et en quoi ils influencent la conception de
l’agence. Bigtext.net a une agence dans la ville de Dripping
Springs dans la région de Texas Hill Country. Cette agence est reliée au siège social de Fort Worth par un circuit WAN de 512
Kbps. La société a un domaine et 200 employés, dont 150 travaillent
à  Fort Worth. L’agence, quant à  elle, a un serveur de
fichiers et d’impression au service de ses 50 employés qui se
consacrent à  la vente.

Si l’agence de Dripping Springs n’a pas de DC et fait partie
d’un autre site, toutes les authentifications doivent passer
par le circuit WAN. Comment comparer cela au trafic de réplication
d’AD si un DC était présent sur le site ? Comme
toute l’entreprise n’a que 200 employés, il n’y a qu’une petite
quantité de trafic AD à  répliquer sur le WAN. L’analyse du trafic
plaide en faveur de l’installation d’un DC dans l’agence de
Dripping Springs.

Cet exemple révèle un autre principe : les petites entreprises
avec de grandes agences bénéficient plus rapidement
d’un DC d’agence parce que le trafic d’authentification sera
toujours plus important que le trafic de réplication. Les circuits
WAN d’une petite entreprise auront généralement une
bande passante plus petite que celle des circuits WAN d’une
grande, pour des raisons de coûts évidentes. Cela fait pencher
encore la balance vers des DC locaux, pour une petite
société avec de grandes agences.

En fait, la mise en place d’un DC dans l’agence présente
beaucoup d’avantages. Le trafic de réplication est plus statique
et plus prévisible que celui d’authentification, qui varie
selon l’heure du jour et le nombre d’utilisateurs présents
dans l’agence. Certaines applications en réseau, sur site ou
hors site, demandent l’accès rapide au GC – par exemple,
Exchange 2000 Server a besoin d’accéder au GC pour consulter
les adresses e-mail. En l’absence d’un DC sur site, les
clients ne peuvent pas se connecter au réseau et accéder aux
ressources – même locales – si les liens WAN sont en panne
(une éventualité à  envisager si les liaisons sont douteuses).
Face à  tant d’avantages en faveur de l’installation des DC
dans les agences, pourquoi ne pas faire ce choix ?

J’ai déjà  donné une raison : le manque de sécurité physique.
L’autre raison importante est le coût. Les sociétés ont
généralement plus de petites agences que de grandes. Si une
société a trois implantations principales avec deux DC chacune
et 30 agences disséminées dans le pays, l’installation
d’un DC dans chaque agence augmente la population de DC
de 6 à  36, soit une augmentation de 600 % du coût matériel
de l’infrastructure AD. L’accroissement du matériel s’accompagne
de celui des coûts des contrats d’assistance.

Il est une autre raison : l’administration. On a augmenté
le nombre de sites, de liaisons de sites et, particulièrement,
de subnets qu’il faut maintenir, de 3 à  33 – une augmentation
de 1100 %. Il y a aussi six fois plus de DC à  sécuriser physiquement.
Comment allez-vous gérer tous ces DC ? L’accès administratif
à  un DC exige des droits administratifs sur le domaine
concerné. Etes-vous disposés à  octroyer à  une ou
deux personnes dans chaque agence des droits administratifs
sur tout le domaine ? Sûrement pas ! Allez-vous alors gérer
les DC à  distance ? Que ferez-vous si la carte réseau d’un
DC a un problème ?

Ce sont là  de solides arguments pour appliquer deux
maximes: KISS (Keep It Simple, Stupid) et « ce n’est parce
que l’on peut que l’on doit ». AD est puissant, avec des milliers
de paramètres individuels. A moins d’avoir une bonne
raison de compliquer la topologie du site tout en en gardant
la maîtrise, laissez-le tranquille.

La figure 1 résume l’essentiel du processus de décision
en matière de placement des DC et les différents aspects de
l’opération. Si vous pouvez garantir qu’un DC potentiel sera
en sécurité physique dans un endroit (analyse de sécurité), il
faut ensuite déterminer si cet emplacement a vraiment besoin
d’un DC (analyse de trafic). Si votre société a de multiples
emplacements sur le même modèle que
l’agence échantillon, ils ont probablement besoin
de la même configuration que cette
agence et vous devrez ensuite déterminer si
vous pouvez vous offrir un DC pour chacune
des agences similaires (question de coût).
Notons que les coûts incluent le matériel, l’assistance
du fournisseur et l’administration. Si
les coûts sont acceptables, placez les DC
conformément aux résultats de l’analyse de
trafic. Si les coûts sont trop élevés, revoyez
l’analyse pour juger si quelques emplacements
plus petits peuvent se passer de DC. Si vous ne pouvez
pas étaler davantage le budget DC sans compromettre la
performance ou la tolérance aux pannes, vous devez réexaminer
le budget ou vous préparer dès à  présent aux problèmes
de demain.

Il existe une autre solution que d’installer un DC et un
GC à  chaque agence : étudier la mise à  niveau des circuits
WAN vers certaines des agences. Un circuit WAN mis à  niveau
vers un site peut coûter moins cher que d’installer un DC.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010