Discussion :

[nicolasfo]

Bonjour,
Je vais devoir installer un RODC dans une de nos agences. Le domaine est, dirons nous, "entreprise.test" (et donc pas connu des DNS publics).
Le DC principal est un WS2008R2 et il est dans le réseau 192.168.0.0/24
Le RODC distant est un WS2012R2 et il est dans le réseau 192.168.1.0/24
Aucun des deux n'est dans une DMZ.

J'ai donc bien préparé mon DC principal à acceuillir le RODC avec le CD de la distrib, configuré les sites avec les plages d'adresses, les liens entre les sites... En suivant ce site : ici.
J'ai installé le service de domaines sur le RODC et là, je bloque. Lorsque je rentre mon nom de domaine, évidemment, il n'arive pas à taper sur "entreprise.test"...
J'ai regardé la liste des ports à rediriger et il semblerait qu'il faille créer une véritable passoire dans le firewall : ici

Que dois-je donc faire ? Dois-je ouvrir tous ces ports, ou créer une liaison VPN (nous avons un serveur OpenVPN sur le site du DC principal).

Merci par avance

Nicolas

[benjamin.f]

Bonjour,

Edit d'avoir lu trop vite: Effectivement, un VPN est la solution pour faire communiquer les deux réseaux à travers le WAN de manière sécurisée.

Après une règle entre les pare feu de chaque site permettra de laisser passer les requêtes d'un FW à l'autre.

[JML19]

Bonjour

Tu n'est pas sur le même réseau LAN avec un masque 255.255.255.0.

Tu as un routage ou un VPN pour passer de l'un à l'autre ?

[nicolasfo]

Bonjour,
Non, je ne suis pas dans la même plage d'adresses IP, mais c'est de toute manière obligatoire avec un RODC, non ? Puisque l'on doit configurer les sites et les sous-réseaux dans les sites de l'AD...

Donc, si je comprend bien, je vais devoir utiliser le VPN afin de rendre la manoeuvre possible ?

Merci à vous

Nicolas

[benjamin.f]

Non, je ne suis pas dans la même plage d'adresses IP, mais c'est de toute manière obligatoire avec un RODC, non ?

Obligatoire, je ne saurais pas vous l'affirmer, mais si vous avez la même plage IP dans chacun de vos sites, vous allez surement vers des conflits.
De mes souvenirs, la déclaration des sites et des réseaux permet de définir quel DC contacter pour chaque zones, pour la réplication, etc...

Après effectivement, Comme le dit JML19, il faut que vos deux réseaux différents communiquent ensemble.
Donc si le WAN sépare vos deux site, le VPN semble être une solution.

[nicolasfo]

OK bon je vais partir sur cette solution.
Étonnant que sur quasiment (car je ne les ai pas tous lu...) tous les tutoriels présents en ligne, personne ne parle de ce problème de lien.
Même quand l'extension du domaine est privée, ça semble tomber du ciel comme ça sans trop se poser de question...
Bref, merci à vous

Nicolas

[JML19]

Le contrôleur de domaine en lecture seule devra être en mesure de transférer les requêtes d’authentification vers les autres contrôleurs de domaine (standard) qui sont sous Windows Server 2008 au minimum (attention à vos firewalls intersites).

Source : it-connect

[nicolasfo]

Je l'avais vu celui là, mais comme son extension de domaine est en .fr, je n'avais pas été plus loin...
Il en fait mention en effet, mais sans réellement expliquer quelles sont les solutions possibles.

Enfin, show must go on, problème résolu !

Merci