none
Question sur Architecture RRS feed

  • Question

  • Bonjour,

    je souhaite obtenir un avis sur une architecture :

    J'ai un domain dom.com et un domain fils fils.dom.com

    J'ai un VLAN A qui contient tous les DC et computer du domaine dom.com

    J'ai un VLAN B qui conteint tous le DC et computeur du domaine fils.dom.com

    Au niveau 3, sur les swtichs sont posés des ACLs autorisant exclusivement entre le VLAN A et VLAN B les échange entre le DC de fils.dom.com et les DC de dom.com

    Mes questions :

    - un utilisateur créé dans dom.com pourra t il à partir d'un poste créé dans fils.dom.com se connecter à son domaine

    - un utilisateur créé dans fils.dom.com pourra t il à partir d'un poste créé dans dom.com se connecter à son domaine

    sans ouvrir de flux supplémentaire :

    - un utilisateur créé dans dom.com pourra t il à partir d'un poste créé dans fils.dom.com accéder aux ressource de son domaine (ces ressources étant sur un autre serveur que le DC)

    - un utilisateur créé dans fils.dom.com pourra t il à partir d'un poste créé dans dom.com accéder aux ressource de son domaine (ces ressources étant sur un autre serveur que le DC)

    Merci pour votre aide.

    Cdt,

    lundi 6 mai 2019 14:19

Réponses

Toutes les réponses

  • Les postes clients doivent joindre les DC, et pouvoir télécharger les GPO des contrôleurs de domaine depuis le partage sysvol donc ils doivent pouvoir dialoguer avec les DCs.


    lundi 6 mai 2019 16:21
    Modérateur
  • Bonjour,

    Non, vos utilisateurs ne pourront pas se connecter.

    Quand un utilisateur B se connectera sur un poste A, le poste A devra pouvoir contacter le controleur de domaine B pour effectuer l'authentification et l'ouverture de session.

    La capture ci dessus illustre ce que vous souhaitez faire et comme vous pouvez le voir, le LOGON SERVER est celui du domaine auquel appartient l'utilisateur et non le domaine du poste.

    Pour ce qui est des ressources sur d'autre serveur, les ACL doivent être configurées en consequence. 

    lundi 6 mai 2019 18:01
  • ok c'est très clair, merci.

    mardi 7 mai 2019 07:51
  • Après réflexion, j'ai une deuxième question :)

    Dans la même architecture, que se passe t il si j'ai un DC du domaine dom.com positionné dans le vlan B avec les ACL qui ouvrent le flux entre les 2 DC du domain dom.com (le deuxième étant dans le VLAN A).

    L'utilisateur de dom.com qui se connecte sur un poste du domaine fils.dom.com trouvera t il à coup sur son DC ?

    MErci

    Cdt,

    mardi 7 mai 2019 08:24
  • Bonjour,

    A mettre en lab pour valider, il est possible que ça marche avec une bonne gestion des sites et services Active Directory.

    Il y a aura quand même des ACL à ajouter pour accéder au autre serveur.

    Romain

    mardi 7 mai 2019 09:40
  • Cela va dépendre de la configuration des sites. Si les sites sont bien configurés le PC dans le Vlan B va utiliser en priorité un DC du même site. Par contre en cas d'absence ou de panne de ce DC, cela peut créer des problèmes... Il faut impérativement avoir un catalogue global sur le même site.

    Une question : l'utilisateur du site A qui va sur le site B utilise des ressources de quels sites ? Si le serveur Exchange ou la base de données est sur l'autre site les flux sont autorisés entre le poste et le serveur ? Et pour les serveurs applicatifs ? Partage réseau ?

    A noter que dans un domaine AD c'est toujours le contrôleur de domaine (qui a une copie des mots de passe) qui authentifie et pourtant cela ne veut pas dire que le poste client l'interroge directement, comme par exemple dans la fédération d'identité ou avec un serveur Radius. 

    Le fait de connaitre quel serveur a authentifié ne permet pas de conclure sur le chemin emprunté par les flux réseaux... Pour ta question, le poste client doit pouvoir joindre un contrôleur de domaine du domaine concerné qui détient le compte et pas juste pour l'authentification  ... 


    mardi 7 mai 2019 11:44
    Modérateur
  • Désolé pour la réponse un peu tardive mais merci à tous pour vos réponses.

    Je vais détaillé plus mon besoin (j'aurais du le faire peut être plus tôt dslé).

    J'ai à ce jour 2 types de postes clients. Les postes A qui sont standards, à savoir en version d'OS à jour, W7 et plus, et des utilisateurs avec des droits standards et pas de droits avancé localement.

    J'ai un deuxième type de machines, les postes B, qui sont aujourd'hui pour partie hors réseau ou en lan, avec des postes qui ont des OS qui peuvent être Xp, qui ont des utilisateurs avec des comptes qui peuvent avoir des droits avancés localement (administrateur local de la machine).

    L'idée est de mettre en réseau les postes B et de garder un niveau de sécurité maximal pour les postes A

    Les postes B n'ont en commun avec les postes A que l'accès aux mises à jour système et antivirus.

    Je cloisonne donc avec 2 VLANS. Et je voulais éviter de créer 2 forets pour faciliter l'administration et avoir un nom de domaine racine identique.

    Ma question initiale réside sur le fait que j'ai des utilisateurs qui peuvent avoir 2 postes de travails un sur A et un B. Et je voulais au départ trouver une solution pour qu'ils aient un seul compte utilisateur. Cependant, je ne le ferais pas au détriment de la sécurité.

    Sauf super idée de votre part, je pense que je vais rester sur 2 comptes utilisateurs sur chaque domaine.

    JC 

    mardi 14 mai 2019 09:36