none
Domaines windows multiples sur reseau MPLS

    Question

  • Bonjour à tous,

    Est ce qu'il est possible de connecter plusieurs domaines entres eux à travers un réseau opérateur MPLS.

    J'ai de nombreux sites qui sont chacun en windows serveur 2012R2 en mono forêt et mono domaine.

    Est ce qu'il est possible de regrouper tous les domaines et toutes les forêts des sites pour construire une "grosse" forêt avec tous les domaines ? Les sites sont relies en MPLS.

    Merci pour votre retour.

    vendredi 25 août 2017 13:29

Réponses

  • bonjour,

    Il est possible de réaliser dans un premier temps des trusts vers la forêt centrale puis d'organiser la migration des ressources dans l'annuaire (ADMT). C'est un cas de scénario classique, qui demande beaucoup de préparation en amont (audit de l'existant, définition des remédiations, design de l'architecture cible, protocole de migration, ...).


    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr

    vendredi 25 août 2017 14:32
  • Bonjour

    Oui c'est possible, MPLS permet de lier vos sites via une connexion directe fournie par votre opérateur et dans ce cas le trafic circulant entre les différents sites via MPLS ne passe pas par l'internet.
    Par contre avec une connexion VPN IPSEC le trafic entre les différents sites est chiffré et transite via une connexion internet.

    Pour l'active directory, pour la topologie de site active directory ,je vous recommande de définir un site AD pour chaque site physique qui dispose un contrôleur de domaine ,un subnet différent pour chaque site physique, et après attacher les subnets au site AD le plus proche pour que les clients puisse contacter l'AD le plus proche.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 25 août 2017 14:33
    Modérateur
  • Pour compléter Tameur : le MPLS peut être privé ou public. Dans le dernier cas, le trafic se route par du plan d'adressage mais est librement captable par n'importe qui est relié à la boucle. Si vous avez un MPLS "mutualisé", alors attention à la sécurité des données.

    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr


    vendredi 25 août 2017 14:35

Toutes les réponses

  • bonjour,

    Il est possible de réaliser dans un premier temps des trusts vers la forêt centrale puis d'organiser la migration des ressources dans l'annuaire (ADMT). C'est un cas de scénario classique, qui demande beaucoup de préparation en amont (audit de l'existant, définition des remédiations, design de l'architecture cible, protocole de migration, ...).


    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr

    vendredi 25 août 2017 14:32
  • Bonjour

    Oui c'est possible, MPLS permet de lier vos sites via une connexion directe fournie par votre opérateur et dans ce cas le trafic circulant entre les différents sites via MPLS ne passe pas par l'internet.
    Par contre avec une connexion VPN IPSEC le trafic entre les différents sites est chiffré et transite via une connexion internet.

    Pour l'active directory, pour la topologie de site active directory ,je vous recommande de définir un site AD pour chaque site physique qui dispose un contrôleur de domaine ,un subnet différent pour chaque site physique, et après attacher les subnets au site AD le plus proche pour que les clients puisse contacter l'AD le plus proche.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 25 août 2017 14:33
    Modérateur
  • Pour compléter Tameur : le MPLS peut être privé ou public. Dans le dernier cas, le trafic se route par du plan d'adressage mais est librement captable par n'importe qui est relié à la boucle. Si vous avez un MPLS "mutualisé", alors attention à la sécurité des données.

    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr


    vendredi 25 août 2017 14:35
  • merci pour toutes ces infos.

    Quels sont les avantages à créer une relation d'approbation entre un forêt centrale et plusieurs forêts distante ?

    Un utilisateur pourra se connecter avec ses identifiants sur un site distant A et se connecter sur le site central avec ses mêmes identifiants ?

    Quand une relation d'approbation est crée est ce qu'on pourra crée les comptes à partir du site principal sans devoir passer sur le site distant ?

    Merci !

    vendredi 25 août 2017 14:57
  • Oui à tout ca, mais dans un plan large vu que l'on peut en créer de multiples types :)

    En gros, une RA permet :

    - d'administrer une foret distante (cas d'une relation d'administration)

    - d'accéder à des ressources d'une autre foret (cas de relation de partenariat inter-société)

    - de faire des migrations (convergence d'entités, rachats,...)


    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr

    vendredi 25 août 2017 15:03
  • Lien vers le technet : https://technet.microsoft.com/en-us/library/cc730798.aspx

    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr

    vendredi 25 août 2017 15:04
  • Une approbation entre deux forêts A et B permet d'autoriser à un utilisateur d'accéder à une ressource d'une autre forêt.

    Pour votre cas , si l'utilisateur n'a pas besoin d'accéder à une ressource d'une autre forêt , vous n'êtes pas obligé de créer un trust entre les forêts.

    Par contre si vous envisager consolider votre infrastructure active directry vers une seule forêt monodomaine, vous aurez besoin dans ce cas de créer une relation d'approbation entre la forêt cible ( centrale) et les autres forêts afin de migrer les objets computers et utilisateurs via l'outil de migration ADMT : ADMT Guide: Migrating and Restructuring Active Directory Domains


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 25 août 2017 15:12
    Modérateur
  • Trust = Relation d'Approbation en français.

    Cdt, Loïc V. - NetSec Design - Blog: http://ms-sec.fr


    lundi 28 août 2017 05:32