Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Merci chrtophe,Envoyé par chrtophe
Je pense que c'est cette precision qu'il me fallait. En realite, il faut toucher la config du DNS du routeur et faire une configuration aussi sur le DNS forwared du serveur. C'est plus clair. Je vais faire ces modifications et observer.
Hello rossignol, content que tu aies trouvé une solution ou début de solution à ton problème,
pour ma part j'aurais mis le serveur DHCP, DNS, AD sur le même serveur physique, en créant un serveur DHCP, un DNS et un AD, et ton routeur wifi fera office de passerèle (Gateway). Je pense que c'est beaucoup plus simple à gérer.
Un point très interessant, mais je ne comprends pas comment le HTTP, pour ne citer que le HTTP, puisse communiquer dans un reseau (même virtuel) sans passer par l'IP ?
quand il fait son GET, il lui faut un HOST non ? le host peut être un nom de domaine, résolut en IP par le DNS serveur, ou une addresse IP directement ?
Perso j'ai du mal a comprendre certaines phrases que tu écris, je trouve que vous débattez sur le même sujet, mais sur deux chapitres différents. Et c'est toxique !
Dans la phrase en citation tu dis, tu n'es pas obligé, et après la virgule, tu dis : TU DOIS ! Or Tu dois = Tu es obligé ! Je pense réellement que tu dois te relire avant de poster sur le forum, tu es en mode full réaction et que tu personnifie trop le sujet, tu ne construit pas, tu te défend ou tu attaque. Tes articles sur linkedin sont mieux écrit. Et c'est dommage, car nous les débutants, on ne profite pas des connaissances !
Cordialement l'ami
Il s'agit de la meilleure solution. Mais cela impose que le serveur soit toujours allume. Il y a des collaborateurs qui viennent travailler les weekends et n'ont pas forcement besoin d'acces aux disques reseau. Est-ce qu'ils doivent donc allumer le serveur pour juste avoir 1 adresse IP ?
Dans le cas ou les trois serveurs sont sur le serveur physique, alors le serveur physique doit tourner lorsqu'un collaborateur est sur le reseau.
La question est : Tu fais comment pour administré ton reseau lorsque le serveur physique ou est hébergé ton AD, est éteint ?
Est ce que les collaborateurs le weekend se connecte et se balade sur le réseau avec des sessions non administrées, ou pc perso non administré ? je ne pige pas en fait
Pour moi c'est simple si un collab veut utilisé le réseau tout simplement, sa session doit être administrée, et donc un serveur physique allumé est nécessaire pour administré sa session.
Les services sur le serveur actuel c'est plus des services de fichiers et 2 VMs pour de la telephonie sur IP et l'utilisation de logiciels specs.
Ce que je veux dire c'est qu'il y en a qui travaille sur des fichiers dans le cloud. La seule chose necessaire c'est se logguer sur le poste de travail et avoir une connexion internet. il n'a pas forcement besoin des services de partage de fichiers le weekend.
Je n'ai pas dit que j'autorise des PCs qui ne sont pas sur le domaine a y acceder.
Mais l'acces a l'internet depuis un PC devrait etre possible meme si le serveur de fichiers (qui hebergerait dans ce cas le DNS, DHCP) est eteint.
Il est bien possible sur un PC associe a un domaine de se connecter meme si le controleur de domaine n'est pas joignable.
dans un cadre d'apprentissage je veux juste comprendre le fonctionnement, avec un peu de détails. je ne suis pas un expert je début dans le sysadmin
Résumons:
d'après ta structure, un collaborateur se connecte sur le PC1, et j'imagine qu'il y'a plusieurs collaborateurs, donc chaque collaborateur a son username et son password.
Le collobarateur Jean Pierre vient le week end et veut se connecter à internet, via le PC1, qui ne possède que des sessions administrées par l'AD.
Ma question est : est ce qu'il peut accèder à sa session administrée ? alors que le serveur AD donc le controleur de domaine est injoignable.
Bien sur que oui.
As ton avis les entreprises qui ont des PCs portables font comment quand les cadres sont en vacances ou rentrent chez eux avec leur PC ?
Le serveur AD permet d'administrer lorsque les ressources sont utilisees. Par exemple des disques partages, on peut autoriser Pierre d'acceder uniquement au dossier COMPTABILITE et Jasques au dossier ETUDES. Mais a partir du moment ou les uns et les autres n'ont pas besoin d'acceder aux ressources du reseau local, pas besoin de rendre la session tributaire de l'AD.
Je pense que cela dépend de la politique de la socièté :
Les pc's possèdent deux sessions, une session administrée avec laquelle on peut se connecter sur le réseau de la société, et une session non administrée, par exemple... via azure AD...ETc
Il me semble que l'AD gère aussi l'authentification via son AD DS. Comment peut-on loggé dans un domaine avec un AD DS qui ne répond pas ?
A moins que l'authetifaction n'est pas administrée par l'AD et ne passe donc pas par l'AD, et donc elle est local ? n'est ce pas ?
Tu ne saurais pas, tu es obligé de passer par ip pour encapsuler tes données.
Oui, absolument.
Le débat tourne autour de la destination et de l'utilité de DNS.
Sortir cette réponse, sans à quoi elle répond ne permet pas de savoir si c'est pertinent.
Je répondait à quelque chose comme, " Tu dois mettre dans ton serveur DHCP, tu dois renseigner comme serveur DNS ton contrôleur de domaine".
Et donc ma réponse est extrêmement claire, non, tu ne dois pas le faire cela ... forcément, tu dois renseigner un serveur qui ... bla bla bla...
Certaines réactions m'irritent, je n'ai pas envie d'être conciliant ! Sur le reste, je pense donner beaucoup plus que je reçois et cela essentiellement au bénéfice des débutants.
1 - Il y a des mécanismes de réplication pour les serveurs DNS (master/slave)
2 - Tu peux déporter les services DNS sur machine dédiée ( un SBC type pi ou autre )
Dans un domaine, tu peux utiliser les système de cache de session AD.
Cela te permet de te loguer sur la machine même si ton AD ne répond pas
Pour la gestion du DHCP et du DNS sur le serveur, il y a comme évoqué plusieurs façons de faire qui soit se valent soit sont mieux ou moins bien selon l'infrastructure. Il faut juste être cohérent dans sa conf.
Exemple :
les box des opérateurs fournissent un DHCP, l'intérêt de l'utiliser est d'avoir un service en moins à gérer sur le serveur (après au niveau gestion c'est pas non plus un gros boulot) et de ne pas être dépendant de celui-ci pour l'obtention d'une IP. Par contre dès que tu dépasse 10 postes, les DHCP des box ont tendances à être instables. Pour 10 postes, tu peux aussi envisager de ne pas utiliser de DHCP ou de ne l'utiliser que pour les postes mobiles.
si tu pars maintenant sur un parc conséquent, avec des VLAN etc, des besoins plus pointu comme du relais DHCP, de la redondance, la donne n'est pas la même.
Pour l'aspect DNS, l'active directory s'appuie dessus. Donc soit comme je le disais c'est ton AD qui gère ton DNS en faisant par exemple autorité en étant exposé directement sur Internet (avec un firewall bien sûr), soit les DNS de ton domaine sont à part et l'AD est sur une zone locale.
Dans les deux cas, une machine raccordée au domaine doit pouvoir contacter un contrôleur de domaine via une résolution DNS.
Si tu utilises le DHCP de ta box, par défaut te sera fourni les DNS de ton FAI. Avec ceux-ci, ta machine ne pourra pas contacter le contrôleur de domaine. La solution est que ton DHCP fournisse en DNS primaire l'IP du contrôleur de domaine, et en secondaire le DNS de ton FAI.
Donc deux solutions :
- modifier les réglages de la box en conséquence
- installer le service DHCP sur l'AD, celui-ci fournissant en DNS primaire l'IP du serveur, et en secondaire le DNS du FAI.
Dans le premier cas, une requête DNS passera par le contrôleur de domaine qui utilisera le DNS forwarder si il ne s'agit pas d'une valeur locale, car le DHCP leur a indiqué le contrôleur de domaine comme DNS primaire. Si le serveur tombe, les postes clients auront toujours Internet via le DNS secondaire.
Dans le second cas, en usage normal, c'est toujours le contrôleur de domaine qui te fournira les résolutions via son DNS forwarder car il est serveur DNS primaire fourni par le DHCP, et si le serveur tombe, comme dans le premier cas, la résolution se fera par le DNS du FAI en tant que DNs secondaire.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Consultez nos FAQ : Windows, Linux, Virtualisation
Merci pour l'info.
Après documentation si j'ai bien compris, Après l'activation du Cache Logon, l'utilisateur JeanPierre doit se connecter sur le PC1 de la structure une première fois lorsque le controleur de domaine est dispo, une fois connecté, ses informations concernant l'authentifaction sont enregistrées dans le cache du PC1.
1er cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC1. La connection est possible.
2eme cas : Le weekend arrive, le controleur de domaine est down, Jean Pierre vient travailler, et veut se connecter sur le PC2. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC2.
3eme cas : Le weekend arrive, le controleur de domaine est down, Christophe vient travailler, et veut se connecter sur le PC1. La connection est impossible, car ses identifiants ne sont pas mis en cache dans le PC1.
Et d'après ce que j'ai compris, une fois l'option de mise en cache est activée (en choisissant un nombre 5 par exemple) chaque utilisateur qui se connecte sur le PC1 lorsque le controleur de domaine est UP, ses identifiants sont enregistrés, et pourra donc se reconnecter une fois le controleur de domaine est down. Dans la limite de 5 biensur, si un 6eme se connecte ? il y'a un overwrite ? C'est bien cela ou je me trompe ?
Et niveau sécurité, ca ne craint rien ? Puisque les identifiants sont mis en cache, une fois le Hash récupéré, on peut faire une attaque par brute force.
Voilà le scénario, une fois la mise en cache est effectué, l'utilisateur utilise son PC normalement, et puis l'administrateur veut se connecter sur ce PC pour X raisons, on est d'accord que si le nombre d'utilisateur qui ont accès à la mise en cache est supérieur à 1, il laissera bien un hash de ses identifiants (d'admin). Qu'on pourra bien evidemment récupéré, et tenter un brut force.
Est ce qu'il y'a un groupe d'utilisateur existant ou que l'on peut créer, qui ne laissent pas de traces dans le pc avec une mise en cache activée ?
Ces scenarios ne concernent pas mon application. Chaque utilisateur dispose de son propre laptop on ne partage pas les machines.
Le probleme pose etait simple, celui de pouvoir avoir 1 DHCP sur la box et d'integrer dans un pareil reseau un serveur avec le role AD, l'ensemble pouvant distribuer les adresses IP que le serveur AD soit eteint ou pas.
Christophe a clarifie la configuration
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager