III. Choisir correctement le nom de votre Active Directory▲
Pourquoi une partie dédiée au nommage de votre Active Directory ? "Mais c'est pourtant simple, je prends n'importe quel nom DNS et ça va marcher !". C'est vrai qu'en prenant n'importe quel nom DNS non utilisé sur votre réseau, ça va marcher... jusqu'à une certaine limite. La limite n'est pas bien loin : dès que vous voudrez donner accès depuis Internet à un service de votre entreprise, ça risque de poser problème. Cela posera également problème aux postes Linux (uniquement ceux qui fonctionnent avec mDNS) et Apple.
Le service Bonjour peut être installé sur Windows par iTunes ou encore Acrobat Reader. Cependant, le service n'est pas utilisé comme client DNS principal : c'est celui de Windows qui est toujours utilisé. Sur Mac, le service Bonjour est utilisé comme client DNS principal d'où le problème.
Alors quelles sont les règles à respecter pour bien nommer votre domaine ?
Pour commencer, vous ne devez pas utiliser un TLD nommé .local. Ce TLD pose problème aux postes Apple à cause du service Bonjour et aux postes Linux fonctionnant avec Zeroconf ou mDNS. Ce service réserve le TLD .local à la machine locale : tous les noms de domaine finissant par .local sont équivalent à localhost donc aucune requête à destination d'un domaine en .local ne sortira de la machine. Ainsi, un poste Apple ne pourra jamais contacter votre Active Directory.
Le nom de domaine choisi ne doit pas exister sur Internet : en effet, vos postes internes pourraient aller consulter les DNS d'Internet pour accéder à votre Active Directory. Ce n'est pas souhaitable. Vous pouvez acheter le nom de domaine pour être certain qu'il vous appartienne. Cependant, je vous déconseille d'utiliser un nom public mais il existe deux "écoles".
La première consiste à utiliser un nom de domaine public (mais que vous possédez !). Vous n'avez qu'une zone à gérer dans votre Active Directory pour l'accès interne de votre entreprise et une zone publique pour les services que vous pouvez proposer sur Internet comme un site web (commercial, webmail, etc.) ou d'autres services comme la messagerie électronique (SMTP principalement). Cette méthode est simple. Cependant, selon la dimension de votre réseau, votre zone interne sera plus ou moins remplie.
Si vous avez cinq postes et deux serveurs, la zone sera simple à gérer. Vous saurez quel enregistrement est publié pour vos collaborateurs : par exemple, vous saurez que l'enregistrement webmail pointe sur votre serveur de messagerie. Vous avez également créé cet enregistrement dans votre DNS externe pour que l'on puisse accéder au webmail depuis n'importe où. Bref, c'est assez simple de s'y retrouver. La situation est différente quand vous avez plus de postes. La zone devient difficile à gérer et vous ne retrouverez pas simplement les serveurs publiés. Personnellement, je n'aime pas cette méthode de nom public pour Active Directory. Je préfère la méthode suivante qui peut paraitre plus compliquée mais qui permet de bien différencier ce que l'on fait.
Cette deuxième méthode se nomme le split-dns (principe expliqué ici). Dans ce cas, on ne va pas utiliser un nom de domaine public mais un nom de domaine privé. Pour qu'il soit privé, il ne faut pas que le TLD choisi fasse partie de cette liste. Je déconseille d'utiliser des TLD courts (sur deux lettres) puisqu'ils risquent d'être ouverts un jour. Personnellement, j'utilise des TLD du genre ".adds" : cela n'est pas un mot, c'est assez long et relativement "insignifiant" pour qu'il soit ouvert au public un jour. Le nom de domaine doit être le plus passe-partout possible : aucune entreprise n'est à l'abri d'un rachat, d'une alliance avec une autre entreprise qui mènerait à un changement de nom ou simplement d'un changement de nom pour des raisons marketing. Vous pouvez tout à fait prendre le nom de votre entreprise comme nom de domaine mais en cas de changement de nom de l'entreprise, on pourra vous demander de supprimer toute référence à l'ancien nom (ça fait partie des aspects "corporate"). C'est une opération qui n'est pas faisable en trois minutes ou en deux clics. Cela se planifie et ça prend plusieurs mois. Renseignez-vous auprès des directions pour savoir si vous êtes susceptibles de changer de nom, si oui prévenez-les que ça prendra plusieurs mois s'il faut changer le nom de l'AD et essayez de savoir si un nom générique leur convient. Par nom générique, j'entends un nom qui ne pourra pas changer comme la ville où est implantée l'entreprise, la région, etc. C'est la situation idéale. Cependant, dans le cadre d'un rachat ou d'une fusion, les politiques dans les DSI peuvent différer et donc changer votre politique de nommage. Dans ce tutoriel, j'ai choisi le domaine racine de forêt todorovic.adds.
Je reviens rapidement sur le split-dns. J'ai installé mon domaine Active Directory todorovic.adds et je possède le domaine todorovic.fr. Je veux mettre à disposition des services sur Internet. Je vais prendre l'exemple d'un webmail installé dans mes locaux sur un serveur nommé exchange. Ce serveur est disponible sur Internet grâce à une publication dans un reverse-proxy ou simplement un PAT (dangereux). Dans mon dns externe (disponible sur Internet), j'ai créé un enregistrement webmail. Je peux donc accéder à mon webmail via webmail.todorovic.fr. En interne, je souhaite accéder au webmail. Je peux donc y aller avec exchange.todorovic.adds ou si un alias a été créé avec webmail.todorovic.adds. J'arriverai directement sur le serveur de messagerie interne sans passer par Internet. C'est un comportement normal : il n'y a aucune raison d'aller sur Internet pour revenir en interne. Cela ajoute une charge sur le routeur/firewall de votre entreprise alors que c'est tout à fait inutile. Cependant, pour l'utilisateur, ça n'est pas très pratique : il faut retenir deux adresses et utiliser la bonne selon qu'il est à l'intérieur ou à l'extérieur de l'entreprise. On a donc créé une deuxième zone sur le dns interne nommée todorovic.fr. Dans cette zone, on a créé un enregistrement webmail pointant vers le serveur de messagerie interne. Ainsi, les utilisateurs, où qu'ils soient, accéderont au webmail via webmail.todorovic.fr. Ce besoin de split-dns est encore plus fort lorsque vous êtes en situation de mobilité avec Outlook Anywhere ou Office Communicator.
Maintenant que vous avez les éléments pour bien sélectionner votre nom de domaine, passons à l'installation d'Active Directory.