IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

Conseil pour attributions roles DHCP


Sujet :

Architecture

  1. #21
    Candidat au Club
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    mars 2018
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : mars 2018
    Messages : 10
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    Pour répondre à la question initiale, il te faut dans les DNS du DHCP du routeur wifi mettre l'ip de l'AD en DNS primaire, et l'ip du DNS externe (ip du routeur 4G ou ip DNS du FAI).

    Le DNS forwarder doit être correctement configuré sur le Windows Server. si tu avais bien Internet sur le serveur lors de son paramétrage, il a du prendre l'IP du DNS entrée d'origine pour le mettre en DNS forwarder.

    je vais peut être donner une explication inutile mais au cas où :
    l'AD s'appuie sur DNS. Soit on crée sa propre zone non sur Internet (en .local par exemple), soit on se greffe sur le DNS de l'entreprise si on le gère en interne (pour les grosses structures), le Windows Server peut donc être serveur DNS faisant autorité pour un domaine, être serveur secondaire pour ta zone, ou ne rien à voir avec ton domaine visible sur internet.
    Merci chrtophe,
    Je pense que c'est cette precision qu'il me fallait. En realite, il faut toucher la config du DNS du routeur et faire une configuration aussi sur le DNS forwared du serveur. C'est plus clair. Je vais faire ces modifications et observer.

  2. #22
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2022
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2022
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Hello rossignol, content que tu aies trouvé une solution ou début de solution à ton problème,
    pour ma part j'aurais mis le serveur DHCP, DNS, AD sur le même serveur physique, en créant un serveur DHCP, un DNS et un AD, et ton routeur wifi fera office de passerèle (Gateway). Je pense que c'est beaucoup plus simple à gérer.




    Citation Envoyé par becket Voir le message
    Tu sembles rempli de certitudes mais tu te trompes. Il a beaucoup de protocoles qui n'utilisent pas IP comme adresses comme adresse source ou de destination

    Citons,

    - HTTP/ HTTPS : la destination étant dans la demande GET ou dans le SNI
    - SMTP
    - Spanning Tree qui est un protocole de couche 2
    - MPLS qui est un protocole de entre la couche 2 et 3
    - LLDP et CDP
    - PPP
    - BGP
    - IS-IS
    - OSPF
    ... etc

    Un point très interessant, mais je ne comprends pas comment le HTTP, pour ne citer que le HTTP, puisse communiquer dans un reseau (même virtuel) sans passer par l'IP ?

    quand il fait son GET, il lui faut un HOST non ? le host peut être un nom de domaine, résolut en IP par le DNS serveur, ou une addresse IP directement ?



    Citation Envoyé par becket Voir le message
    Tu n'es pas obligé, non. Tu dois être sur que le serveur DNS que tu utilises est capable d'assurer la résolution pour ton domaine AD mais c'est tout.
    Perso j'ai du mal a comprendre certaines phrases que tu écris, je trouve que vous débattez sur le même sujet, mais sur deux chapitres différents. Et c'est toxique !

    Dans la phrase en citation tu dis, tu n'es pas obligé, et après la virgule, tu dis : TU DOIS ! Or Tu dois = Tu es obligé ! Je pense réellement que tu dois te relire avant de poster sur le forum, tu es en mode full réaction et que tu personnifie trop le sujet, tu ne construit pas, tu te défend ou tu attaque. Tes articles sur linkedin sont mieux écrit. Et c'est dommage, car nous les débutants, on ne profite pas des connaissances !


    Cordialement l'ami

  3. #23
    Candidat au Club
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    mars 2018
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : mars 2018
    Messages : 10
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par Callmee Voir le message
    Hello rossignol, content que tu aies trouvé une solution ou début de solution à ton problème,
    pour ma part j'aurais mis le serveur DHCP, DNS, AD sur le même serveur physique, en créant un serveur DHCP, un DNS et un AD, et ton routeur wifi fera office de passerèle (Gateway). Je pense que c'est beaucoup plus simple à gérer.
    Il s'agit de la meilleure solution. Mais cela impose que le serveur soit toujours allume. Il y a des collaborateurs qui viennent travailler les weekends et n'ont pas forcement besoin d'acces aux disques reseau. Est-ce qu'ils doivent donc allumer le serveur pour juste avoir 1 adresse IP ?

  4. #24
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2022
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2022
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par rossignol21 Voir le message
    Il s'agit de la meilleure solution. Mais cela impose que le serveur soit toujours allume. Il y a des collaborateurs qui viennent travailler les weekends et n'ont pas forcement besoin d'acces aux disques reseau. Est-ce qu'ils doivent donc allumer le serveur pour juste avoir 1 adresse IP ?
    Dans le cas ou les trois serveurs sont sur le serveur physique, alors le serveur physique doit tourner lorsqu'un collaborateur est sur le reseau.

    La question est : Tu fais comment pour administré ton reseau lorsque le serveur physique ou est hébergé ton AD, est éteint ?

    Est ce que les collaborateurs le weekend se connecte et se balade sur le réseau avec des sessions non administrées, ou pc perso non administré ? je ne pige pas en fait

    Pour moi c'est simple si un collab veut utilisé le réseau tout simplement, sa session doit être administrée, et donc un serveur physique allumé est nécessaire pour administré sa session.

  5. #25
    Candidat au Club
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    mars 2018
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : mars 2018
    Messages : 10
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par Callmee Voir le message
    Dans le cas ou les trois serveurs sont sur le serveur physique, alors le serveur physique doit tourner lorsqu'un collaborateur est sur le reseau.

    La question est : Tu fais comment pour administré ton reseau lorsque le serveur physique ou est hébergé ton AD, est éteint ?

    Est ce que les collaborateurs le weekend se connecte et se balade sur le réseau avec des sessions non administrées, ou pc perso non administré ? je ne pige pas en fait

    Pour moi c'est simple si un collab veut utilisé le réseau tout simplement, sa session doit être administrée, et donc un serveur physique allumé est nécessaire pour administré sa session.
    Les services sur le serveur actuel c'est plus des services de fichiers et 2 VMs pour de la telephonie sur IP et l'utilisation de logiciels specs.

    Ce que je veux dire c'est qu'il y en a qui travaille sur des fichiers dans le cloud. La seule chose necessaire c'est se logguer sur le poste de travail et avoir une connexion internet. il n'a pas forcement besoin des services de partage de fichiers le weekend.
    Je n'ai pas dit que j'autorise des PCs qui ne sont pas sur le domaine a y acceder.
    Mais l'acces a l'internet depuis un PC devrait etre possible meme si le serveur de fichiers (qui hebergerait dans ce cas le DNS, DHCP) est eteint.
    Il est bien possible sur un PC associe a un domaine de se connecter meme si le controleur de domaine n'est pas joignable.

  6. #26
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2022
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2022
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par rossignol21 Voir le message
    Les services sur le serveur actuel c'est plus des services de fichiers et 2 VMs pour de la telephonie sur IP et l'utilisation de logiciels specs.

    Ce que je veux dire c'est qu'il y en a qui travaille sur des fichiers dans le cloud. La seule chose necessaire c'est se logguer sur le poste de travail et avoir une connexion internet. il n'a pas forcement besoin des services de partage de fichiers le weekend.
    Je n'ai pas dit que j'autorise des PCs qui ne sont pas sur le domaine a y acceder.
    Mais l'acces a l'internet depuis un PC devrait etre possible meme si le serveur de fichiers (qui hebergerait dans ce cas le DNS, DHCP) est eteint.
    Il est bien possible sur un PC associe a un domaine de se connecter meme si le controleur de domaine n'est pas joignable.
    dans un cadre d'apprentissage je veux juste comprendre le fonctionnement, avec un peu de détails. je ne suis pas un expert je début dans le sysadmin

    Résumons:
    d'après ta structure, un collaborateur se connecte sur le PC1, et j'imagine qu'il y'a plusieurs collaborateurs, donc chaque collaborateur a son username et son password.
    Le collobarateur Jean Pierre vient le week end et veut se connecter à internet, via le PC1, qui ne possède que des sessions administrées par l'AD.

    Ma question est : est ce qu'il peut accèder à sa session administrée ? alors que le serveur AD donc le controleur de domaine est injoignable.

  7. #27
    Candidat au Club
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    mars 2018
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : mars 2018
    Messages : 10
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par Callmee Voir le message
    dans un cadre d'apprentissage je veux juste comprendre le fonctionnement, avec un peu de détails. je ne suis pas un expert je début dans le sysadmin

    Résumons:
    d'après ta structure, un collaborateur se connecte sur le PC1, et j'imagine qu'il y'a plusieurs collaborateurs, donc chaque collaborateur a son username et son password.
    Le collobarateur Jean Pierre vient le week end et veut se connecter à internet, via le PC1, qui ne possède que des sessions administrées par l'AD.

    Ma question est : est ce qu'il peut accèder à sa session administrée ? alors que le serveur AD donc le controleur de domaine est injoignable.
    Bien sur que oui.
    As ton avis les entreprises qui ont des PCs portables font comment quand les cadres sont en vacances ou rentrent chez eux avec leur PC ?
    Le serveur AD permet d'administrer lorsque les ressources sont utilisees. Par exemple des disques partages, on peut autoriser Pierre d'acceder uniquement au dossier COMPTABILITE et Jasques au dossier ETUDES. Mais a partir du moment ou les uns et les autres n'ont pas besoin d'acceder aux ressources du reseau local, pas besoin de rendre la session tributaire de l'AD.

  8. #28
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2022
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2022
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par rossignol21 Voir le message
    Bien sur que oui.
    As ton avis les entreprises qui ont des PCs portables font comment quand les cadres sont en vacances ou rentrent chez eux avec leur PC ?
    Le serveur AD permet d'administrer lorsque les ressources sont utilisees. Par exemple des disques partages, on peut autoriser Pierre d'acceder uniquement au dossier COMPTABILITE et Jasques au dossier ETUDES. Mais a partir du moment ou les uns et les autres n'ont pas besoin d'acceder aux ressources du reseau local, pas besoin de rendre la session tributaire de l'AD.
    Je pense que cela dépend de la politique de la socièté :
    Les pc's possèdent deux sessions, une session administrée avec laquelle on peut se connecter sur le réseau de la société, et une session non administrée, par exemple... via azure AD...ETc


    Il me semble que l'AD gère aussi l'authentification via son AD DS. Comment peut-on loggé dans un domaine avec un AD DS qui ne répond pas ?

    A moins que l'authetifaction n'est pas administrée par l'AD et ne passe donc pas par l'AD, et donc elle est local ? n'est ce pas ?

  9. #29
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 644
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 644
    Points : 5 373
    Points
    5 373
    Par défaut
    Citation Envoyé par Callmee Voir le message

    Un point très interessant, mais je ne comprends pas comment le HTTP, pour ne citer que le HTTP, puisse communiquer dans un reseau (même virtuel) sans passer par l'IP ?
    Tu ne saurais pas, tu es obligé de passer par ip pour encapsuler tes données.

    Citation Envoyé par Callmee Voir le message
    quand il fait son GET, il lui faut un HOST non ? le host peut être un nom de domaine, résolut en IP par le DNS serveur, ou une addresse IP directement ?
    Oui, absolument.



    Citation Envoyé par Callmee Voir le message

    Perso j'ai du mal a comprendre certaines phrases que tu écris, je trouve que vous débattez sur le même sujet, mais sur deux chapitres différents. Et c'est toxique !
    Le débat tourne autour de la destination et de l'utilité de DNS.

    Citation Envoyé par Callmee Voir le message

    Dans la phrase en citation tu dis, tu n'es pas obligé, et après la virgule, tu dis : TU DOIS ! Or Tu dois = Tu es obligé !
    Sortir cette réponse, sans à quoi elle répond ne permet pas de savoir si c'est pertinent.
    Je répondait à quelque chose comme, " Tu dois mettre dans ton serveur DHCP, tu dois renseigner comme serveur DNS ton contrôleur de domaine".

    Et donc ma réponse est extrêmement claire, non, tu ne dois pas le faire cela ... forcément, tu dois renseigner un serveur qui ... bla bla bla...

    Citation Envoyé par Callmee Voir le message
    Je pense réellement que tu dois te relire avant de poster sur le forum, tu es en mode full réaction et que tu personnifie trop le sujet, tu ne construit pas, tu te défend ou tu attaque. Tes articles sur linkedin sont mieux écrit. Et c'est dommage, car nous les débutants, on ne profite pas des connaissances !
    Certaines réactions m'irritent, je n'ai pas envie d'être conciliant ! Sur le reste, je pense donner beaucoup plus que je reçois et cela essentiellement au bénéfice des débutants.

  10. #30
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 644
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 644
    Points : 5 373
    Points
    5 373
    Par défaut
    Citation Envoyé par rossignol21 Voir le message
    Il s'agit de la meilleure solution. Mais cela impose que le serveur soit toujours allume. Il y a des collaborateurs qui viennent travailler les weekends et n'ont pas forcement besoin d'acces aux disques reseau. Est-ce qu'ils doivent donc allumer le serveur pour juste avoir 1 adresse IP ?
    1 - Il y a des mécanismes de réplication pour les serveurs DNS (master/slave)
    2 - Tu peux déporter les services DNS sur machine dédiée ( un SBC type pi ou autre )

  11. #31
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 644
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 644
    Points : 5 373
    Points
    5 373
    Par défaut
    Citation Envoyé par Callmee Voir le message
    Il me semble que l'AD gère aussi l'authentification via son AD DS. Comment peut-on loggé dans un domaine avec un AD DS qui ne répond pas ?
    Dans un domaine, tu peux utiliser les système de cache de session AD.
    Cela te permet de te loguer sur la machine même si ton AD ne répond pas

  12. #32
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    août 2011
    Messages
    16 026
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 16 026
    Points : 39 149
    Points
    39 149
    Par défaut
    Pour la gestion du DHCP et du DNS sur le serveur, il y a comme évoqué plusieurs façons de faire qui soit se valent soit sont mieux ou moins bien selon l'infrastructure. Il faut juste être cohérent dans sa conf.

    Exemple :

    les box des opérateurs fournissent un DHCP, l'intérêt de l'utiliser est d'avoir un service en moins à gérer sur le serveur (après au niveau gestion c'est pas non plus un gros boulot) et de ne pas être dépendant de celui-ci pour l'obtention d'une IP. Par contre dès que tu dépasse 10 postes, les DHCP des box ont tendances à être instables. Pour 10 postes, tu peux aussi envisager de ne pas utiliser de DHCP ou de ne l'utiliser que pour les postes mobiles.
    si tu pars maintenant sur un parc conséquent, avec des VLAN etc, des besoins plus pointu comme du relais DHCP, de la redondance, la donne n'est pas la même.

    Pour l'aspect DNS, l'active directory s'appuie dessus. Donc soit comme je le disais c'est ton AD qui gère ton DNS en faisant par exemple autorité en étant exposé directement sur Internet (avec un firewall bien sûr), soit les DNS de ton domaine sont à part et l'AD est sur une zone locale.

    Dans les deux cas, une machine raccordée au domaine doit pouvoir contacter un contrôleur de domaine via une résolution DNS.
    Si tu utilises le DHCP de ta box, par défaut te sera fourni les DNS de ton FAI. Avec ceux-ci, ta machine ne pourra pas contacter le contrôleur de domaine. La solution est que ton DHCP fournisse en DNS primaire l'IP du contrôleur de domaine, et en secondaire le DNS de ton FAI.

    Donc deux solutions :
    - modifier les réglages de la box en conséquence
    - installer le service DHCP sur l'AD, celui-ci fournissant en DNS primaire l'IP du serveur, et en secondaire le DNS du FAI.

    Dans le premier cas, une requête DNS passera par le contrôleur de domaine qui utilisera le DNS forwarder si il ne s'agit pas d'une valeur locale, car le DHCP leur a indiqué le contrôleur de domaine comme DNS primaire. Si le serveur tombe, les postes clients auront toujours Internet via le DNS secondaire.

    Dans le second cas, en usage normal, c'est toujours le contrôleur de domaine qui te fournira les résolutions via son DNS forwarder car il est serveur DNS primaire fourni par le DHCP, et si le serveur tombe, comme dans le premier cas, la résolution se fera par le DNS du FAI en tant que DNs secondaire.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  13. #33
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2022
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2022
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par becket Voir le message
    Dans un domaine, tu peux utiliser les système de cache de session AD.
    Cela te permet de te loguer sur la machine même si ton AD ne répond pas
    Merci pour l'info.
    Après documentation si j'ai bien compris, Après l'activation du Cache Logon, l'utilisateur JeanPierre doit se connecter sur le PC1 de la structure une première fois lorsque le controleur de domaine est dispo, une fois connecté, ses informations concernant l'authentifaction sont enregistrées dans le cache du PC1.

    1er cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC1. La connection est possible.
    2eme cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC2. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC2.
    3eme cas : Le weekend arrive, le controleur de domaine est down, Christophe vient travailler, et veut se connecter sur le PC1. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC1.

    Et d'après ce que j'ai compris, une fois l'option de mise en cache est activée (en choisissant un nombre 5 par exemple) chaque utilisateur qui se connecte sur le PC1 lorsque le controleur de domaine est UP, ses identifiants sont enregistrés, et pourra donc se reconnecter une fois le controleur de domaine est down. Dans la limite de 5 biensur, si un 6eme se connecte ? il y'a un overwrite ? C'est bien cela ou je me trompe ?

    Et niveau sécurité, ca ne craint rien ? Puisque les identifiants sont mis en cache, une fois le Hash récupéré, on peut faire une attaque par brute force.
    Voilà le scénario, une fois la mise en cache est effectué, l'utilisateur utilise son PC normalement, et puis l'administrateur veut se connecter sur ce PC pour X raisons, on est d'accord que si le nombre d'utilisateur qui ont accès à la mise en cache est supérieur à 1, il laissera bien un hash de ses identifiants (d'admin). Qu'on pourra bien evidemment récupéré, et tenter un brut force.

    Est ce qu'il y'a un groupe d'utilisateur existant ou que l'on peut créer, qui ne laissent pas de traces dans le pc avec une mise en cache activée ?

  14. #34
    Candidat au Club
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    mars 2018
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : mars 2018
    Messages : 10
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par Callmee Voir le message
    Merci pour l'info.
    Après documentation si j'ai bien compris, Après l'activation du Cache Logon, l'utilisateur JeanPierre doit se connecter sur le PC1 de la structure une première fois lorsque le controleur de domaine est dispo, une fois connecté, ses informations concernant l'authentifaction sont enregistrées dans le cache du PC1.

    1er cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC1. La connection est possible.
    2eme cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC2. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC2.
    3eme cas : Le weekend arrive, le controleur de domaine est down, Christophe vient travailler, et veut se connecter sur le PC1. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC1.

    Et d'après ce que j'ai compris, une fois l'option de mise en cache est activée (en choisissant un nombre 5 par exemple) chaque utilisateur qui se connecte sur le PC1 lorsque le controleur de domaine est UP, ses identifiants sont enregistrés, et pourra donc se reconnecter une fois le controleur de domaine est down. Dans la limite de 5 biensur, si un 6eme se connecte ? il y'a un overwrite ? C'est bien cela ou je me trompe ?

    Et niveau sécurité, ca ne craint rien ? Puisque les identifiants sont mis en cache, une fois le Hash récupéré, on peut faire une attaque par brute force.
    Voilà le scénario, une fois la mise en cache est effectué, l'utilisateur utilise son PC normalement, et puis l'administrateur veut se connecter sur ce PC pour X raisons, on est d'accord que si le nombre d'utilisateur qui ont accès à la mise en cache est supérieur à 1, il laissera bien un hash de ses identifiants (d'admin). Qu'on pourra bien evidemment récupéré, et tenter un brut force.

    Est ce qu'il y'a un groupe d'utilisateur existant ou que l'on peut créer, qui ne laissent pas de traces dans le pc avec une mise en cache activée ?
    Ces scenarios ne concernent pas mon application. Chaque utilisateur dispose de son propre laptop on ne partage pas les machines.
    Le probleme pose etait simple, celui de pouvoir avoir 1 DHCP sur la box et d'integrer dans un pareil reseau un serveur avec le role AD, l'ensemble pouvant distribuer les adresses IP que le serveur AD soit eteint ou pas.
    Christophe a clarifie la configuration

Discussions similaires

  1. Réponses: 3
    Dernier message: 01/07/2003, 17h04
  2. Conseils pour developper une application avec Oracle
    Par belugha dans le forum Langages de programmation
    Réponses: 5
    Dernier message: 02/06/2003, 17h03
  3. Cherche conseil pour choisir mon orientation.
    Par AslDice dans le forum Débuter
    Réponses: 6
    Dernier message: 24/04/2003, 18h07
  4. Conseils pour poser votre question...
    Par Community Management dans le forum XMLRAD
    Réponses: 0
    Dernier message: 30/01/2003, 17h58
  5. [web] Cherche un conseil pour un livre perl-tk
    Par Anonymous dans le forum Interfaces Graphiques
    Réponses: 2
    Dernier message: 29/04/2002, 16h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo