VIP Active Directory, pourquoi pas ? Cela peut service à limiter les adhérences applicatives selon nous.
Lourdeur d’une adhérence
Récemment, lors d’une opération de migration (réplication SYSVOL vers DFS-R), nous étions confrontés à une drôle de problématique. Un contrôleur de domaine Windows Active Directory ne pouvait être arrêté.
Bref, bien qu’il fût sujet à plusieurs anomalies systèmes assez prononcées, contre notre migration, l’arrêt n’était pas envisageable. Ce n’était pas simple.
La normalité
En temps normal, une migration du genre reste totalement simple et indolore. Nous en dirons autant quant à la mise à l’arrêt d’un contrôleur de domaine. Ce n’est jamais bloquant (… ou plutôt, ça ne doit jamais être un problème), jusqu’au point de perturber sévèrement le bon fonctionnement de la production.
Mais, malheureusement dans notre cas, le DC (avec un comportement anormal) et avait plusieurs adhérences avec des applications tactiques et critiques.
Une pareille situation engendre forcément quelques soucis à résoudre, bien au-delà des simples questions techniques. Une bonne configuration de ses applications est donc de mise. Une bonne stratégie et des règles doivent exister.
Active Directory est d’abord accessible avant tout naturellement via un mécanisme de round-robin. La VIP Active Directory devient donc intéressante et nécessaire si l’application requiert une configuration statique pour accéder à l’annuaire.
Les impacts
Après quelques échanges et en tournant le sujet dans tous les sens, les impacts de l’arrêt de ce DC s’avèreraient concrets. Ils étaient mesurables financièrement, puisque les enjeux étaient business.
Nos différentes réflexions convergeaient vers le maintien en condition opérationnelle coûte que coûte du contrôleur de domaine ; cela, à cause de l’importance des enjeux.
Les fortes contraintes dans notre expérience sont liées aux aspects business certes, mais totalement démesurées sur une échelle technique.
Donc, si d’un point de vue stratégique la situation peut être compréhensible ; il est complètement inaccoutumé de nous mettre la rate au court-bouillon pour des opérations techniques bégnines.
Design
De cette expérience, il ressort qu’il existe encore de nombreuses applications ne connaissant pas le bon fonctionnement d’un annuaire LDAP. Les application owners n’ont pas fait correctement le travail d’intégration non plus. La même observation est valable pour les architectes.
La piste aurait été de travailler par le biais d’un alias éventuellement. C’est moins sexy qu’une VIP probablement mais plus pratique qu’une configuration statique. Dans les grandes lignes, le concept et le design consistent à éliminer les adhérences.
Certaines applications ont encore strictement besoin d’une adresse IP ou d’un nom de machine au lieu d’interroger les services DNS. C’est juste dingue mais c’est la réalité du terrain.
Cette situation est complètement moche, puisque les applications sont statiquement liées à un unique contrôleur de domaine. Les applications utilisent une adresse IP ou un nom, ce qui tue toute notion de souplesse. En d’autres termes, l’accès aux services d’authentification est trop archaïque.
VIP Active Directory, le principe
Depuis sa première version rappelons-le, l’annuaire Active Directory est un environnement transactionnel multi-maitres avec des possibilités d’interchangeabilité au niveau des rôles.
C’est un environnement qui offre une haute disponibilité nativement, by design comme dit-on outre-manche.
Finalement, il reste fort regrettable que la configuration des applications puisse finalement créer des SPOF (Single Point of Failure) et complexifie les opérations.
Poser une VIP (Virtual IP) entre ses applications et la batterie de contrôleurs de domaine peut avoir clairement un sens.
Donc le principe consiste clairement à exposer les services technique basiques comme le DNS et le LDAP (ou LDAPS) via une VIP. Une VIP DNS à laquelle s’ajoute une VIP LDAP permettent d’éliminer toute forme d’adhérence. C’est la définition d’une VIP Active Directory.
La question
Le fonctionnement de l’annuaire Active Directory se base sur le mécanisme de résolution des noms, le DNS.
Les clients contactent le DNS pour trouver les bons services annonçant les bons contrôleurs de domaine.
Une application est avant tout un client, au même titre qu’un utilisateur ou une machine, il est donc consommateur du service DNS.
Bien qu’il y ait d’autres processus impliqués dans le choix d’un contrôleur de domaine (priorité, poids ou emplacement), imaginez simplement que les clients vont finalement contacter un unique contrôleur de domaine pour s’authentification. C’est le déroulement simplifié à garantir entre ses contrôleurs de domaine et clients au sein d’une infrastructure bien réfléchie.
Dans une configuration applicative statique, la question donc est : à quoi servent les autres contrôleurs de domaine ? Vous n’allez pas non plus dédier un contrôleur de domaine pour chaque application ? 🙂
Ce qu’il faut retenir
Pensez VIP Active Directory VIP et éventuellement puis alias en priorité lors de la phase de design. Il faut une tolérance aux pannes.
Une architecture avec une VIP permet de répondre au côté primitif des applications. C’est-à-dire, celles qui sont mal développées au niveau de la couche réseau et au sens protocolaire pour s’interfacer avec les annuaires.
La mise en place d’une VIP, vers laquelle chaque application empirique pointera, répond au contournement de l’adhérence. Ce choix apportera une grande souplesse et une meilleure disponibilité à tous les étages et en toute circonstance. Pensez-y sérieusement !
Aussi, quand vos applications ont tendance à ne discuter qu’avec un unique contrôleurs de domaine Active Directory, nous vous encourageons à déployer des VIP ou à réfléchir (mise en place d’un alias, évolution de l’application ….).
Les choix fonctionnels entraîneront toujours des conséquences techniques. L’inverse demeure totalement vrai également. Donc, il faut savoir ne pas confondre vitesse et précipitation.
Si la configuration des applications était bien étudiée, nous n’aurions pas fait cette triste découverte lors d’une simple gestion d’obsolescence de l’infrastructure.
Conclusion
Vous devez toujours vous posez les bonnes questions au bon moment : VIP Active Directory, pourquoi pas ?
Une informatique équilibrée doit prendre en compte à la fois les aspects métiers et techniques. C’est tout simplement du bon sens.
Une VIP Active Directory apporte incontestablement du bon déroulement de toutes les opérations techniques et offre une bonne continuité des services pour servir le métier. Comme vous pouvez vous y attendre, ce sera le cas aussi dans une logique PSI ou PRA.