VIP Active Directory, pourquoi pas ?

VIP Active Directory, pourquoi pas pour limiter les adhérences applicatives ?

Récemment, lors d’une opération de migration (réplication SYSVOL vers DFS-R), nous étions confrontés à une drôle de problématique.
Un contrôleur de domaine Windows Active Directory (DC) ne pouvait être arrêté.
Bref, bien qu’il était sujet à plusieurs anomalies systèmes assez prononcées, contre notre migration, l’arrêt n’était pas envisageable.

En temps normal, une migration du genre reste totalement simple et indolore. Nous en dirons autant quant à la mise à l’arrêt d’un DC. Ce n’est jamais bloquant, jusqu’au point de perturber sévèrement le bon fonctionnement de la production.
Mais, malheureusement dans notre cas, le DC (avec un comportement anormal) était sujet à plusieurs adhérences avec des applications tactiques.

Une pareille situation engendre forcément quelques soucis à résoudre, bien au-delà des simples questions ou soucis techniques.

Après échange, en tournant le sujet dans tous les sens, les impacts de l’arrêt de ce DC s’avèrerai concret. Il reste mesurable financièrement, les enjeux sont business.
Nos différentes réflexions convergeaient vers le maintien en condition opérationnelle, coûte que coûte, du DC ; à cause de l’importance des enjeux.

Les fortes contraintes dans notre expérience sont liées aux aspects business certes, mais totalement démesurée sur une échelle technique.
Donc, si d’un point de vue stratégique la situation peut être compréhensible ; il est complètement inaccoutumé de nous mettre la rate au court-bouillon pour une opération technique bégnine.

De cette expérience, il ressort qu’il existe encore de nombreuses applications ne connaissant pas le fonctionnement d’un annuaire LDAP. Elles ont encore strictement besoin d’une adresse IP ou d’un nom de machine au lieu d’interroger les services DNS.
Cette situation est complètement moche, puisque les applications sont statiquement liées à un contrôleur de domaine prédéfini. Les applications utilisent une adresse IP ou un nom. Ce n’est pas souple du tout comme façon d’accéder aux services d’authentification.

Depuis sa première version, l’annuaire Active Directory est un environnement transactionnel multi-maitres avec des possibilités d’interchangeabilité au niveau des rôles. C’est un environnement qui offre une haute disponibilité nativement, by design.
Aussi, il reste totalement regrettable que la configuration des applications puisse finalement créer des POF (Point of Failure). Qui plus est, ceci complexifie les opérations techniques simplissimes.

Poser une VIP (Virtual IP) entre ses applications et la batterie de DC peut avoir clairement un sens.

Une architecture avec une VIP permet de répondre au côté primitif de certaines applications. Celle qui sont mal développées au niveau de la couche réseau et au sens protocolaire pour s’interfacer avec les annuaires.
La mise en place de VIP, vers laquelle chaque application empirique pointera, répond à ce genre de situation décrite. Ce choix apportera une grande souplesse et une meilleure disponibilité à tous les étages et en toute circonstance.

Aussi, quand vos applications ont tendance à ne discuter qu’avec un unique DC Active Directory, nous vous encourageons à déployer des VIP. Cela facilitera le bon déroulement de toute opération technique et la continuité des services. Les choix fonctionnels auront toujours des conséquences techniques, et il faut savoir ne pas confondre vitesse et précipitation. Si la configuration des applications était bien étudiée, nous ne ferons pas cette découverte lors d’une migration.

Enfin, pour vulgariser le fonctionnement de l’annuaire Active Directory, en se basant sur le mécanisme de résolution, les clients contactent le DNS pour trouver les bons DC. Une application est un client, au même titre qu’un utilisateur ou une machine. Bien qu’il y ait d’autres processus impliqués dans le choix d’un DC (priorité, poids ou emplacement), imaginez simplement que les clients vont au final contacter un DC disponible pour dérouler l’authentification.

C’est le déroulement à garantir entre ses DC et clients au sein d’une infrastructure bien réfléchie. Pensez VIP !