Discussion :

[dexter74]

Bonjour,

Tous d'abord , je débute sur la création d'un arbre Windows Serveur. J'aimerai que mes domaines communiquent entre eux. (Les entrées DNS, les utilisateurs et cie)


Comment dois-je m'y prendre ? (La fonction Pare-feu de Pfsense sera Coupé pour mes tests)



Réseau Physique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
- CIDR : 192.168.1.0/24 
- GW   : 192.168.1.1
- Windows Server 2016 - Domain: LAN.local (AD DS, DNS, DHCP)
- Le routeur a une route pour connaître le réseau Virtuelle.  (192.168.1.0 255.255.255.0 192.168.1.3 0 LAN)

Réseau Virtuel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
- CIDR: 192.168.10.0/24
- GW : 192.168.1.254 (côté WAN)
- GW : 192.168.10.1  (côté LAN) 
- Windows Server 2016 - Domain: VLAN.local (AD DS, DNS, DHCP)

Mon Routeur Physique a une règle de route pour simplifier le fonctionnement. (Depuis un Poste 192.168.1.X je peux taper 192.168.10.X pour me connecter)
La VM Pfsense fera office de passerelle pour le réseau Virtuel.





Solution:
- Supprimer les Redirecteurs
- Ajouter un redirecteur conditionnées pour chaque serveur
- Ajouter dans Redirecteurs le serveur DNS
- Approbation
- Voir blog : https://www.developpez.net/forums/bl...9001-dexter74/

[A&Nexus]

Bonsoir,

Alors si déjà la partie réseau fonctionne bien.
Que dans les deux sens les postes peuvent se voir.

Il te reste à faire :
1/ Rajouter un redirecteur de DNS pour que chaque serveur AD puisse joindre la zone DNS du voisin.
2/ Faire une relation d’approbation dans les deux sens si tu veux que les utilisateurs d’un domaine puissent se connecter sur les ressources de l’autre domaine.

[dexter74]

Bonjour A&Nexus,

tous d'abord merci pour ta réponse .


Lors de l'ajoute du redirecteur dans le DNS, j'ai une erreur. Chaque serveur ne sais pas résoudre le nom DNS EN IP mais le ping sur l'IP marche pourtant bien. Faudrait t'il pas créer un transfert de zone ?

Pour la seconde partie, je suppose que l'échec est dû au problème de résolution DNS.

[A&Nexus]

Ah je vois où est la confusion.
Il ne faut pas le mettre dans les propriétés du serveur.
Mais sur ta dernière image il y a un «*dossier*» jaune nomme Redirecteurs.

Dans les propriétés du serveur dans la partie redirecteur tu dois mettre les DNS publique comme 8.8.8.8 ou 9.9.9.9

[dexter74]

Bonjour,

Je viens de supprimer les redirecteurs dans les options du serveur puis ajouter un redirecteur conditionnée et sa marche impeccable. J'ai fait une relation d’approbation entre deux forets / domaines.
Maintenant j'aimerai me mettre administrateur sur le second domaine.

Pour les droits administrateurs, j'ai mis une délégation de domaine et j'ai mis le groupe "LAN\Admins du domaine" et "LAN\Contrôleurs de domaine" dans l'onglet Sécurité du domaine VLAN.LOCAL.

Ensuite il suffit que mon utilisateurs soit dans le groupe "VLAN\Admins du domaine" et tour est jouée.


Pour la partie redirecteur du serveur , j'ai mis mon ADGuardHome et désactiver les DNS Racines.



Note PERSO:
Port : 49675 et 49667 pour l’approbation
Port : 3268 pour chercher dans l’AD

[A&Nexus]

Super !

Moi aussi je suis pas un expert
Mais il y a un truc qu’il faut savoir c’est que normalement tu ne peux mettre des personnes d’un autre domaine que dans des groupes de sécurité locaux. Pas globaux (après tu peux faire des tests pour te familiariser avec).
Et donc de mémoire si dans le groupe admins du domaine tu ne peux pas rajouter l’admin de l’autre domaine il faut passer par un groupe local que tu mets dans admins du domaine.

Tu dois pouvoir jouer aussi avec les groupes universels mais je ne me souviens plus des limites.