Bonjour à tous,  
 
Je viens vers vous afin d'avoir un avis sur une situation concernant l'active diretory dans notre entreprise.  
 
Nous sommes une entreprise française, avec une maison mère se trouvant au Japon.  
 
Cette dernière souhaite créer un réseau global, en externalisant notre active diretory à l'étranger.  
Je n'ai pour le moment aucune information mise à part la date de fin de la migration (19 décembre)
 
Quelqu'un a-t'il déjà été confronté à ce genre de situation ?  
Avez vous tout de même un serveur local, qui est ensuite répliqué à l'étranger? (A priori ça ne sera pas notre cas)
Qui dit serveur externalisé dit démarrage des ordinateurs très lent je suppose?  
 
 
Merci d'avance.

soit un dc, soit un rodc soit rien du tout.

Pourrais-tu me donner un peu plus de détail stp ?  
 
Bien entendu, qui dit chez moi, active directory, dit également DNS / DHCP / GPO à externaliser.

Vous avez combien de postes clients ?
Quel type de lien WAN et de de VPN avec le site au Japon ?

dhcp ça m'étonnerai que ce soit externalisé, au pire c'est le routeur local qui joue le rôle.
 
Le pb avec le japon c'est la latence, souvent > 1s.
En général on a toujours au moins un DC en europe voir sur site selon le nb d'utilisateurs (ce que tu précises pas).
Sur des petits sites on peut se contenter d'un RODC qui réplique un échantillon des users/ordinateurs locaux.
Sinon aucun DC et dans ce cas un peu de latence mais encore ça peut aller (les credentials sont en cache au pire)

C est sur qu il faut au moins un rdoc sinon ca va etre le bordel....c est indispensable quelque soit la liaison wan et le vpn

 
Rien du tout
Pour des sites qui ne contiennent pas des centaines d'users et avec un lien WAN garantie et correctement dimensionné, on peut se passer d'un DC en local.
Bon maintenant, vu le coût très faible d'un DC, on réserve ça plutôt aux petits sites (<10 users).

Mouais.... et le jour ou t as plus de net.... t es dans la mouise....
Et comme tu dis vu le prix d un dc... je vois pas l interet de se priver
 
Sans compter que pour moins de 10 users je vois pas l interetd un AD...

pourquoi t'es dans la mousse qd ta plus le net ?
 
et un dc c'est pas juste une machine que tu fous là. Faut qu'elle soit sécurisée (ça contient qd même tous les login/mdp de tes users !), faut la maintenir, la mettre à jour, la monitorer. C'est pas gratuit loin de là.

Il n'y a pas que les problèmes techniques ....
 
Déjà il faut voir avec la CNIL il me semble pour les informations sur les utilisateurs.
 
Le Japon n'offre pas du la même protection sur les données utilisateurs que la France

ca c'est un autre problème mais je ne pense pas que ça pose de problèmes (nous tout est aux us par exemple) et un AD c'est totalement répliqué donc n'importe quelle boite qui est multinationale aurait ce genre de problèmes ...
 
enfin ça répond pas à ma question

 
Plus de net ? C'est pour ça que j'ai causé de liens garantis en service.
Le temps de la GTR, tu peux te passer du DC.
 
Quand aux 10 users, il ne t'aura pas échappé que tout l'objet du débat est qu'ils appartiennent à une plus grosse structure.
Mais même dans le cas d'une structure propre avec 10 users, un DC peut se justifier : droits d'accès aux ressources, TSE, Exchange, GPO, etc.

Merci pour vos réponses.  
 
Niveau WAN, nous sommes entrain d'installer un lien fibre 10Mo.  
 
VPN en Ipsec je suppose. (Je recois les informations au compte goûte... Et dois constamment les relancer pour en avoir plus.)
D'ailleurs en parlant VPN, on parle actuellement d'un client VPN pour nos emails au japon, et un VPN pour se connecter à notre serveur de fichier en local.
 
Pour le serveur DC, ils sont en train de se demander s'il doivent le mettre dans un datacenter en Allemagne ou le laisser au Japon (avec le serveur Exchange).  Pensez vous qu'il y ai des problèmes de CNIL avec l'Allemagne?  
 
Niveau utilisateur, il y en a 40. Que je gère déjà via active directory. Sur un DC, etc... en local.
 
 
Concernant nos données, notre directeur général ne souhaite pas que le Japon puisse se connecter sur notre serveur de fichier (en local) ainsi que sur ses données personnelles sur son ordinateur.
 
En gros, c'est assez compliqué pour le moment. J'ai très peu d'information.  
Je suis en train de me faire une liste des questions à leur poser concernant l'AD...

Dès que le serveur ou le poste du directeur fait partie du domaine, il y a possibilité d'accéder. Par contre tu peux mettre des audits en place pour s'assurer de qui accède à quoi.
 
Pour 40 users, pas besoin d'un DC un local. S'il y a un DC en allemagne ça suffit largement.

 
Concernant le lien, est-il garanti en service et débit ? Avec quelle GTR ? Des pénalités ? Qui est l'opérateur ?
Bien sûr il faut aussi s'occuper du lien sur le site où il y aura le DC.
Le but est ici de s'assurer que la connexion avec le DC sera la plus certaine possible.
 
Pour le VPN, ce n'est pas la sécu qui m'intéresse mais qui le gère et avec quoi ?
Entre un VPN géré par l'opérateur et qui rentre dans le cadre du SLA vendu et un autre géré en interne avec un vieux PC et une solution libre non maîtrisée, il y a une différence de qualité de service.
 
Bon ici, ce n'est que pour AD et des déconnexions se sont pas un problème majeur mais peut-être aurez-vous d'autres flux également (fichiers, emails, applications) ?

L'opérateur est Fujitsu (qui soustraite à Orange pour l'installation)
 
Le type du réseau : Pan-Euro Network
Vitesse: 10 Mps (bandwidth assurance )
Equipement : CISCO Router
Service Availability : 99.97%
Maintenance 24/24 7/7.  
 
Mais je n'ai rien sur une les pénalité ou GTR...
 
VPN : Fenics. IP-VPN MPLS
Après, je n'ai rien de spécial à ce sujet non plus...  
 
Les négociations se sont faites au Japon. Je n'ai aucune information, et je n'ai pas le contrat...  
 
Les emails seront hébergés au Japon.
SAP d'ici quelques années... également au Japon.  
Les fichiers restent chez nous, en local.
 
 

Mais tu dois bien avoir une équipe en charge du projet qui pourra répondre à tes questions non ?
 
Parce que là on ne va pas pouvoir beaucoup t'aider.

Pour le moment, il y a un "chef de projet" qui est venu du Japon et qui s'occupe de la mise en place du projet pour toute l'Europe.
 
(Mais... comment dire... Il y a 2 semaines, je lui ai appris que certains switch avaient une IP, et qu'ils peuvent même être paramétrable... )
 
En gros, j'ai bien quelqu'un qui pourrait m'aider. Mais il n'y connais pas grand chose.
Je dois donc à chaque fois envoyer des emails pour en savoir d'avantage...  
 
 
Ma direction veut que je garde exactement les même droits l'administration du DC comme je l'ai actuellement.  
Mais une fois externalisé, d'après ce qu'on m'a dit, je ne pourrais même plus créer mes utilisateurs. Tout sera géré depuis le datacenter.  
Pensez vous que je peux demander qqch ?  
 
Pour le moment voilà mes questions que je voudrais leur poser :  
 
- Aura-t-on un serveur local, qui sera ensuite répliqué vers le datacenter ?  
- Qui sera l'administrateur ?  
- Quel sera exactement mes droits d'accès (en tant qu'administrateur actuel) ?
- GTR ?  
 
 
Auriez vous d'autres questions en tête, que je pourrais leur poser ?  
 
concernant notre Serveur de fichier. Nous allons devoir le mettre sur le même AD je suppose... Mais du coup, le directeur n'est pas d'accord.  
"Si c'est obligatoire, je veux qu'on créé un réseau parallèle..." (le directeur)
 

si j'étais toi je chercherai un autre boulot plutôt tes jours sont comptés

Aha aha  aha... Merci du conseil, mais ta remarque ne me sert pas vraiment...

S'il veut se faire virer c'est une bonne idée.
 
Sinon ils peuvent potentiellement t'enlever tous les droits ou t'en attribuer une partie si délégation il y a.
Maintenant c'est évident que ce genre de projets permet aussi de réduire drastiquement le nombre d'admin.

Double

triple  

pour bosser quotidiennement avec des japonais, je comprends très bien ta frustration
 
On te donne un aperçu dans les (très) grandes lignes, pas d'info mais une deadline à moyen terme... trop cool Bien entendu, la personne chargée du projet est une queue dans le domaine, mais gère une équipe d'ingénieurs (auxquels tu n'as pas de contact directe... yeah ).
 
C'est très simple... met par écrit toutes tes questions et envois les aux "chefs" concernés... ce n'est pas à toi à prendre les décisions... on ne pourra pas te reprocher de ne pas avoir essayé de chercher des réponses..
 
De notre côté on laisse toujours un DC en local, meme pour des bureaux de seulement 10 utilisateurs Après, les questions de droits toussa... c'est de la politique d'intérieur..

Comment ça un DC en local ?  
En gros, il n'utilise pas le DC à l'étranger ?

Un DC c'est un contrôleur de domaine.
La structure de l'AD, c'est un autre niveau.

Il y a deux problèmes qu'il ne faut pas confondre :

- la nécessité ou non d'un DC en local
- la relation de votre domaine avec un autre ou son appartenance à une forêt commune.

Malheureusement pour l'instant, je n'ai pas plus de détail.  
 
Je ne sais justement pas comment ils comptent gérer tout ça...Je n'ai aucune information...

On ne peut pas savoir non plus. Ici le problème n'est pas technique (ou pas encore) mais organisationel.
Comme indiqué avant moi, il te faut poser par écrit les problèmes organisationnels générés par ce changement du SI.

EDIT : les réponses a tes questions initiales ont été faites : oui on peut avoir un DC en local avec un AD commun ou propre mais avec des relations d'approbation. Oui on peut ne pas avoir de DC en local sans que cela soit plus lent pour l'user.