Favoriser la connexion d’un serveur à un DC particulier grâce aux subnets

Il existe plusieurs moyen de favoriser certains DC que d’autres lors de requêtes initiées par les serveurs clients, mais une des méthodes les plus saines reste l’utilisation de subnets dans les sites Active Directory.

En effet, en admettant que l’on ait un site principal nommé Paris et une DMZ sur laquelle est placée un RODC pour y placer par exemple un portail web, il est nécessaire que la machine hébergeant ce portail web interroge le RODC plutôt que d’interroger les contrôleurs de domaine sur le réseau interne, à moins d’ouvrir les ports nécessaires de la DMZ vers le réseau interne.

Pour se faire, il suffit d’ouvrir la console ActiveDirectory Sites and Services (dssite.msc) et de faire un clic-droit New Subnet sur le répertoire des subnets. Une fenêtre s’ouvre, il suffit d’y renseigner le sous-réseau qui sera rattaché au site sélectionné en dessous.

Par exemple, en définissant 192.168.1.0/26, tous les serveurs de ce subnet vont être lié au site sélectionné et donc interroger en premier les DC qui sont rattachés à ce site (que l’on peut voir dans cette même console).

Ensuite, sur le serveur, l’utilisation de nltest permet de vérifier la bonne application des paramètres ; le paramètre dsgetdc permet de lister les contrôleurs de domaine qui répondent aux requêtes. Le paramètre dsgetsite permet de confirmer que le DC qui répond est bien sur le même site AD que notre serveur.

Il ne reste plus qu’à vérifier que la relation d’approbation, toujours avec nltest :

nltest /trusted_domains