Contrôleurs de domaine sur réseaux différents

Salut à tous !

Voilà, j’ai un domaine mondomaine.local actuellement sur mon réseau, avec les IP qui vont bien et tout.

Nous louons maintenant un serveur à l’extérieur, accessible via une IP publique (AAA.BBB.CCC.DDD). Ces deux réseaux étant séparés, comment puis-je faire pour installer un contrôleur de domaine sur le serveur de l’extérieur afin qu’il puisse se répliquer avec les contrôleurs de domaine locaux ?

J’ai bien dans l’idée de monter un VPN entre les deux réseaux, mais je n’ai pas accès au routeur du serveur distant.

Merci à vous tous

vincent

Bonjour,

Est-ce que tu pourrais décrire un peu le but de la manœuvre parce que la il y a plusieurs choses qui me choque dans la démarche.

Un VPN me semble essentiel mais du coup, pourquoi avoir un accès publique?

Toujours pour le VPN, il peux être monté via les routeurs ou logiciellement entre des serveurs Windows.

Koin-Koin

Salut koin koin !

Je vais essayer d’être le plus clair possible :

Là où je suis, en réseau local, j’ai mon contrôleur de domaine, avec les 5 rôles FSMO + d’autres contrôleurs de domaines. Mon réseau local est équipé d’un routeur sur lequel je peux monter des VPN, des fowarding et des access rules.

Le serveur distant hébergé chez OVH est un serveur ESX sur lequel on a installé des VM 2008R2 qui peuvent avoir des adresses IP publiques et donc peuvent être directement accessibles.

Donc, je n’ai pas de routeur chez OVH.

Ce que je veux faire, c’est installer un serveur 2008R2 Core en RODC afin de pouvoir faire en sorte d’avoir un contrôleur de domaine là-bas pour pouvoir ensuite installer un TSE pour mes pauvres petits malheureux utilisateurs.

Sauf que je sais pas comment mettre en relation mon contrôleur de domaine sur mon réseau local et celui chez OVH.

Peut-être est-il possible de mettre un serveur (Linux ou Windows ?) qui serve de routeur ? Ou alors une manip dans les services qui permette de gérer le problème ?

Voilà voilà.

Merci Koin-Koin

Donc l’idée de base c’est de pouvoir s’authentifier sur ton domaine à partir de l’extérieur si je comprends bien.

Personnellement je serais plutôt d’avis que ton serveur ne soit pas visible directement de l’extérieur mais de permettre à tes utilisateurs d’ouvrir un lien VPN et donc au travers de celui-ci s’authentifier sur ton domaine (TSE, …).

Maintenant ce n’est pas ton cas de figure :neutre: c’est à toi de voir ce qui est le mieux pour ce que tu veux faire.

Je n’ai jusqu’à présent pas utiliser de RODC mais si je me souvient bien, il s’agit d’un DC on ne peu plus basique sans même une interface graphique.

Du coup je ne suis pas certain que tu puisse monter un lien VPN vers ton réseau à partir de cette machine.

Ce que je te suggère, c’est de voir avec OVH si il ne peuvent pas te créer un lien VPN entre ta machine et ton réseau.

Par contre en réfléchissant un peu plus, comment tes utilisateurs vont accéder à ton serveur TSE?

Effectivement, je veux que les utilisateurs qui se connectent sur mon TSE distant puissent utiliser leur login de mon domaine.

Un RODC est un contrôleur de domaine en lecture seule. Il ne posera pas de problèmes en plus face à l’installation d’un DC classique.

Par contre, je l’installerai sur un serveur “core”, qui n’a pas d’interface graphique, effectivement. Mais ce n’est pas vraiment un problème.

OVH nous a en fait attribué un réseau avec une dizaine d’adresses IP que nous pouvons utiliser pour nos VM. Ces adresses sont toutes des adresses publiques. Le contrôleur de domaine est donc accessible via l’adresse publique et il en est de même pour les autres (le TSE par exemple).
Mes utilisateurs accèdent donc au TSE depuis l’adresse publique.

Plus concrètement : mon réseau est AAA.BBB.CCC.32 /28
Mes hôtes ont ainsi droit aux adresses AAA.BBB.CCC.33 à 45 (46 étant la passerelle et 47 l’adresse de broadcast). Toutes ces adresses sont publiques, et donc accessibles depuis l’extérieur.

Après, tu me dis

Ouvrir un lien VPN ? c’est à dire ? comment tu procèderai exactement ?

Sinon, je peux aussi installer un petit Linux qui servira de passerelle et qui me permettra de monter des VPN site à site, mais ça je sais pas faire pour le moment…
Edité le 18/04/2011 à 14:08

Je t’avoue que là je suis un peu déconcerté.

Grosso modo, (quasi) toute ton infra sera accessible depuis internet en public. Il va falloir blinder niveau sécurité.

Je sais que je ne suis pas toujours original dans mon approche d’une infra d’entreprise aussi ne m’en veux pas d’être un peu dépasser par ce que tu es en train de mettre en place.

Habituellement, voici ce que l’on trouve:

Un réseau d’entreprise privé, dans lequel sont hébergés tout les systèmes.
Pour y accéder de l’extérieur, les utilisateurs nomades initient une connexion VPN via internet, mais se retrouvent comme si ils étaient dans les locaux de l’entreprise.

Cela nécessite un client VPN d’installé sur les postes et d’un serveur d’authentification coté routeur.

Autre solution:

  • plutôt que du VPN, il y a des interfaces web qui permettent d’accéder à des ressources (mails, bureau virtuel, …) après authentification.

  • variation concernant l’hébergement des ressources de l’entreprise, celle-ci sont physiquement chez un hébergeur, mais celle-ci ne sont accessible que via un VPN permanent entre le réseau de l’entreprise et celui de l’hébergeur (d’ailleurs seules tes machines sont visibles pas tout son réseau).

J’espère ne pas t’embrouiller avec tout ça car je pense que ta solution est assez éloignée de ce que je te décris. (cela ne veut pas dire que ce que tu décris n’a pas de sens, juste qu’avec ces éléments moi je suis perdu).

OK. Je vais regarder ça de plus près.
Sinon, j’ai aussi la possibilité d’utiliser un client VPN sur le serveur distant et de le connecter au routeur de mon réseau local. Sauf que ce Quick VPN client de Cisco ne fonctionne pas correctement avec certains routeurs (Linksys RV082) même après màj du firmware et tout. Il reste coincé sur “verifying network”. Les forums n’en disent pas plus.

Je jetterai aussi un oeil sur les services de routage et accès distant de Server 2008 R2.

en tout cas, merci koin-Koin.

a+

Bon, mon nouvel objectif va être de configurer les services de routage et accès distant sur mes deux contrôleurs de domaines afin d’établir un lien VPN entre eux.

Je vais voir ce que je peux faire avec le step by step de technet

A+ all