none
Relation d'approbation 2003-2012 RRS feed

  • Question

  • Bonjour,

    Je dois effectuer une relation d'approbation entre une forêt A (niveau fonctionnel 2003) et une forêt B (Niveau fonctionnel 2012).

    L'une est à Paris , l'autre est à Rennes il n'y a que un tunnel IPsec entre les deux sites géographiques et les flux sont ouverts en (LDAP TCP-UDP, KERBEROS TCP-UDP. SMB, SAMBA, NETBIOS, DNS ,DCE-RPC) dans les deux sens.

    J'ai un compte administrateur de l'entreprise dans chacune des forêts.

    Mais depuis la forêt A je ne résous pas le nom de la forêt B et vis versa.


    De plus quand je vais dans la console AD "Domaines et Approbation" de la forêt en 2003 à l'aide du compte admin de l'entreprise le bouton [Nouvelle  approbation] est grisé.

    Que faut il faire pour mettre en place cette relation d'approbation?

    Merci de votre aide

    Orwell

    vendredi 8 janvier 2021 15:08

Réponses

  • Je dois effectuer une relation d'approbation entre une forêt A (niveau fonctionnel 2003) et une forêt B (Niveau fonctionnel 2012).

    Faut vraiment envisager de migrer les 2003,

    Mais depuis la forêt A je ne résous pas le nom de la forêt B et vis versa.

    Il est impératif que, la résolution de nom fonctionne entre les deux sites, c'est un prérequis. Tu as configuré les redirecteurs sur chaque DNS ? Tu as essayer de résoudre les noms de l'autre site avec nslookup ? Si tu n'as pas de résolution de nom tu ne peux aller plus loin.

    De plus quand je vais dans la console AD "Domaines et Approbation" de la forêt en 2003 à l'aide du compte admin de l'entreprise le bouton [Nouvelle  approbation] est grisé.

    Tu as essayé avec un compte membre de admins du domaine ?

    + dcdiag
    vendredi 8 janvier 2021 17:48
    Modérateur
  • Bonsoir,

    si le serveur Windows 2003 est en réalité un serveur SBS 2003, l'approbation n'est pas possible/autorisée avec ce type de serveur.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    vendredi 8 janvier 2021 21:31
  • Les flux DNS et les redirecteurs DNS sont indispensables pour la mise en place de l'approbation, mais cela n'explique pas l'option grisé. Si la case est grisé c'est plutôt un problème de droit.

    Oui je sais mais on a encore un Windows NT et un Windows 2000. 

    Plus le temps passe et plus cela sera complexe à gérer. Il n'y a aucun bénéfice à espérer en conservant ce type de système.

    Attention si tu as desactivé sur SMB-V1 sur les DC 2012 ça peut interferer ( les 2003 ne savent pas parler autre chose) et perso on a perdu la capacité à utiliser les comptes des domaines récents sur les machines 2003 quand on l'a désactivé .

    C'est une bonne chose de désactiver SMB V1 lorsque cela est possible. Les vulnérabilités de ce protocole du siècle derniers, sont exploitées entre autre par des cryptolockers... 

    lundi 11 janvier 2021 12:24
    Modérateur

Toutes les réponses

  • Je dois effectuer une relation d'approbation entre une forêt A (niveau fonctionnel 2003) et une forêt B (Niveau fonctionnel 2012).

    Faut vraiment envisager de migrer les 2003,

    Mais depuis la forêt A je ne résous pas le nom de la forêt B et vis versa.

    Il est impératif que, la résolution de nom fonctionne entre les deux sites, c'est un prérequis. Tu as configuré les redirecteurs sur chaque DNS ? Tu as essayer de résoudre les noms de l'autre site avec nslookup ? Si tu n'as pas de résolution de nom tu ne peux aller plus loin.

    De plus quand je vais dans la console AD "Domaines et Approbation" de la forêt en 2003 à l'aide du compte admin de l'entreprise le bouton [Nouvelle  approbation] est grisé.

    Tu as essayé avec un compte membre de admins du domaine ?

    + dcdiag
    vendredi 8 janvier 2021 17:48
    Modérateur
  • Bonsoir,

    si le serveur Windows 2003 est en réalité un serveur SBS 2003, l'approbation n'est pas possible/autorisée avec ce type de serveur.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    vendredi 8 janvier 2021 21:31
  • Bonsoir,

    Faut vraiment envisager de migrer les 2003,

    Oui je sais mais on a encore un Windows NT et un Windows 2000. Si j'upgrade la forêt je ne suis pas sûr qu'ils continuent de fonctionner. Personne ne sait comment se débarasser du Windows NT car il heberge une très vieille application IIS en vbscript dont personne ne sait trop comment elle fonctionne et personne n'a envie de la recoder...

    Il est impératif que, la résolution de nom fonctionne entre les deux sites, c'est un prérequis. Tu as configuré les redirecteurs sur chaque DNS ?

    Je vais faire les redirecteurs conditionnels, je n'étais pas sûr que ça soit la bonne solution c'est pourquoi j'ai précisé que je n'avais pas la résolution dns de chaque côté.

    Tu as essayé avec un compte membre de admins du domaine ?

    Je suis avec un compte membre des groupes suivants "admins du domaine" , "administrateurs de schema", et "administrateurs de l'entreprise" .

    dcdiag

    Le voici

    https://wetransfer.com/downloads/7d13c8ea654b35e1543481b6372bdf0020210108220312/1b28326e871d8aba65b7c9941034575f20210108220333/943c79

    Merci



    Orwell

    vendredi 8 janvier 2021 22:05
  • Bonsoir,

    Non il y a 3 DC. Le seul  qui est en 2003 est un Enterprise Edition. les deux autres sont des 2012 R2 standard edition.


    Orwell

    vendredi 8 janvier 2021 22:08
  • bonjour

    Est ce que tu as toujours le soucis une fois les résolutions DNS activées ?
    tu devrais pouvoir faire l'action depuis une seule des consoles en demandant l'approbation réciproque.
    il te demandera le compte de l'autre domaine et il devrait activer la relation. 
    ( souvenirs car c'est pas un truc que je fais tous les jours  )

    Attention si tu as desactivé sur SMB-V1 sur les DC 2012 ça peut interferer ( les 2003 ne savent pas parler autre chose) et perso on a perdu la capacité à utiliser les comptes des domaines récents sur les machines 2003 quand on l'a désactivé .

    bon nous on a reussi à se dégager des derniers NT ( mais :)  c'est pas si vieux)

    dimanche 10 janvier 2021 11:00
  • Bonjour,

    Je viens de m'apercevoir que mon prestataire n'a pas ouvert les flux DNS dans les deux sens contrairement à ce que j'avais demandé et qu'il manque également les ports kerberos.

    Je suis donc dans l'impossibilité de tester pour le moment.

    Je fais la demande ce matin en espérant qu'il le fasse dans la journée.

    Je reviens asap pour dire ce qu'il en est.

    Merci

    Bonne journée   


    Orwell

    lundi 11 janvier 2021 10:42
  • Les flux DNS et les redirecteurs DNS sont indispensables pour la mise en place de l'approbation, mais cela n'explique pas l'option grisé. Si la case est grisé c'est plutôt un problème de droit.

    Oui je sais mais on a encore un Windows NT et un Windows 2000. 

    Plus le temps passe et plus cela sera complexe à gérer. Il n'y a aucun bénéfice à espérer en conservant ce type de système.

    Attention si tu as desactivé sur SMB-V1 sur les DC 2012 ça peut interferer ( les 2003 ne savent pas parler autre chose) et perso on a perdu la capacité à utiliser les comptes des domaines récents sur les machines 2003 quand on l'a désactivé .

    C'est une bonne chose de désactiver SMB V1 lorsque cela est possible. Les vulnérabilités de ce protocole du siècle derniers, sont exploitées entre autre par des cryptolockers... 

    lundi 11 janvier 2021 12:24
    Modérateur