Avant de commencer la planification formelle d’un RODC, un travail approprié de vérification préalable et de préplanification poussée d’AD DS s’impose. Ce travail doit inclure des tâches clés comme la validation de la structure AD DS logique en place et la confirmation que le modèle d’administration
Préplanification d’un RODC sous Windows Server
et la structure AD DS physiques prennent en charge les exigences techniques et métier actuelles. Vous devrez aussi vous pencher sur la configuration matérielle, les stratégies de mise à niveau des logiciels et les problèmes de système d’exploitation connus applicables, et évaluer les prérequis AD DS du RODC.
Ces informations seront critiques pour les processus de planification et de déploiement, et vous verrez qu’elles sont bien documentées dans les listes de contrôle de déploiement détaillées.
Fonctions de gestion
RODC inclut une fonction de gestion essentielle, intitulée Séparation des rôles d’administrateur ou ARS (Administrator Role Separation). Elle délègue à des administrateurs non responsables des services la possibilité d’installer et d’administrer des serveurs RODC, sans droits d’accès à Active Directory. Il s’agit d’un changement majeur par rapport à l’approche classique concernant les procédures de conception de serveur DC, de délégation d’administration et de déploiement. Cette séparation des rôles devient encore plus importante avec les applications stratégiques nécessitant une installation directe sur un DC, ou pour les sites qui hébergent des serveurs polyvalents uniques.
Rôles de serveur supplémentaires
En règle générale, vous devez retirer du serveur tous les rôles inutiles au fonctionnement du RODC. Par conséquent, les seuls rôles à ajouter aux RODC sont les rôles de serveur DNS et de serveur de catalogue global (GC). Vous devez installer le rôle de serveur DNS sur chaque RODC, afin que les clients DNS locaux puissent effectuer la résolution DNS lorsque la connectivité réseau vers un DC en écriture est indisponible.
Toutefois, si le rôle de serveur DNS n’est pas installé via Dcpromo.exe, vous devrez procéder à son installation a posteriori. Il faudra utiliser Dnscmd.exe pour ajouter le RODC aux partitions d’annuaire d’application DNS qui hébergent les zones intégrées Active Directory. Vous devrez aussi configurer les RODC comme serveur de catalogue global, afin qu’ils puissent exécuter les requêtes d’authentification et de catalogue global au moyen uniquement du RODC. Du point de vue de l’authentification, si le rôle de catalogue global n’est pas une option, vous pouvez employer la mise en cache de groupe universelle. L’authentification réussie vers un RODC pourrait au final dépendre de la configuration PRP du RODC.
Rendez-vous la semaine prochaine pour apprendre comment implanter les RODC.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
