Meilleur auteur de réponses
Domaines windows multiples sur reseau MPLS

Question
-
Bonjour à tous,
Est ce qu'il est possible de connecter plusieurs domaines entres eux à travers un réseau opérateur MPLS.
J'ai de nombreux sites qui sont chacun en windows serveur 2012R2 en mono forêt et mono domaine.
Est ce qu'il est possible de regrouper tous les domaines et toutes les forêts des sites pour construire une "grosse" forêt avec tous les domaines ? Les sites sont relies en MPLS.
Merci pour votre retour.
Réponses
-
bonjour,
Il est possible de réaliser dans un premier temps des trusts vers la forêt centrale puis d'organiser la migration des ressources dans l'annuaire (ADMT). C'est un cas de scénario classique, qui demande beaucoup de préparation en amont (audit de l'existant, définition des remédiations, design de l'architecture cible, protocole de migration, ...).
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
-
Bonjour
Oui c'est possible, MPLS permet de lier vos sites via une connexion directe fournie par votre opérateur et dans ce cas le trafic circulant entre les différents sites via MPLS ne passe pas par l'internet.
Par contre avec une connexion VPN IPSEC le trafic entre les différents sites est chiffré et transite via une connexion internet.Pour l'active directory, pour la topologie de site active directory ,je vous recommande de définir un site AD pour chaque site physique qui dispose un contrôleur de domaine ,un subnet différent pour chaque site physique, et après attacher les subnets au site AD le plus proche pour que les clients puisse contacter l'AD le plus proche.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
-
Pour compléter Tameur : le MPLS peut être privé ou public. Dans le dernier cas, le trafic se route par du plan d'adressage mais est librement captable par n'importe qui est relié à la boucle. Si vous avez un MPLS "mutualisé", alors attention à la sécurité des données.
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
- Modifié Loïc Veirman vendredi 25 août 2017 14:36
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
Toutes les réponses
-
bonjour,
Il est possible de réaliser dans un premier temps des trusts vers la forêt centrale puis d'organiser la migration des ressources dans l'annuaire (ADMT). C'est un cas de scénario classique, qui demande beaucoup de préparation en amont (audit de l'existant, définition des remédiations, design de l'architecture cible, protocole de migration, ...).
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
-
Bonjour
Oui c'est possible, MPLS permet de lier vos sites via une connexion directe fournie par votre opérateur et dans ce cas le trafic circulant entre les différents sites via MPLS ne passe pas par l'internet.
Par contre avec une connexion VPN IPSEC le trafic entre les différents sites est chiffré et transite via une connexion internet.Pour l'active directory, pour la topologie de site active directory ,je vous recommande de définir un site AD pour chaque site physique qui dispose un contrôleur de domaine ,un subnet différent pour chaque site physique, et après attacher les subnets au site AD le plus proche pour que les clients puisse contacter l'AD le plus proche.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
-
Pour compléter Tameur : le MPLS peut être privé ou public. Dans le dernier cas, le trafic se route par du plan d'adressage mais est librement captable par n'importe qui est relié à la boucle. Si vous avez un MPLS "mutualisé", alors attention à la sécurité des données.
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
- Modifié Loïc Veirman vendredi 25 août 2017 14:36
- Marqué comme réponse Teodora Sharkova mercredi 6 septembre 2017 14:58
-
merci pour toutes ces infos.
Quels sont les avantages à créer une relation d'approbation entre un forêt centrale et plusieurs forêts distante ?
Un utilisateur pourra se connecter avec ses identifiants sur un site distant A et se connecter sur le site central avec ses mêmes identifiants ?
Quand une relation d'approbation est crée est ce qu'on pourra crée les comptes à partir du site principal sans devoir passer sur le site distant ?
Merci !
-
Oui à tout ca, mais dans un plan large vu que l'on peut en créer de multiples types :)
En gros, une RA permet :
- d'administrer une foret distante (cas d'une relation d'administration)
- d'accéder à des ressources d'une autre foret (cas de relation de partenariat inter-société)
- de faire des migrations (convergence d'entités, rachats,...)
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
-
Lien vers le technet : https://technet.microsoft.com/en-us/library/cc730798.aspx
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
-
Une approbation entre deux forêts A et B permet d'autoriser à un utilisateur d'accéder à une ressource d'une autre forêt.
Pour votre cas , si l'utilisateur n'a pas besoin d'accéder à une ressource d'une autre forêt , vous n'êtes pas obligé de créer un trust entre les forêts.
Par contre si vous envisager consolider votre infrastructure active directry vers une seule forêt monodomaine, vous aurez besoin dans ce cas de créer une relation d'approbation entre la forêt cible ( centrale) et les autres forêts afin de migrer les objets computers et utilisateurs via l'outil de migration ADMT : ADMT Guide: Migrating and Restructuring Active Directory Domains
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
-
Trust = Relation d'Approbation en français.
Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr
- Modifié Loïc Veirman lundi 28 août 2017 05:33