locked
Analyse archi : conseils RRS feed

  • Question

  • Bonjour,

    J'aimerais avoir votre avis concernant mon archi car cet été pendant mes congés mon AD a complètement crashé, mes collègues ont dû faire appel à une société extérieure pour tout remettre en place. Ils ont tout remis en ordre et ont fait un rapport sur les bons usages et bonnes pratiques.

    Voici l'archi telle qu'elle était :

    - AD schéma 2003 migré en février afin de pouvoir installer Exchange 2010

    - 8 DC 2003 répartis sur 5 sites distants

    - 2 gros sites (100 PC et 150 PC ) en IP : 10.42.xxx.xxx et 10.32.xxx.xxx, 1 site en 172.16.xxx.xxx, 2 sites en 192.168.xxx.xxx

    - 1 relation d'approbation avec un domaine AD 2003 (1 seul DC sur ce domaine)

    - WINS

    - DHCP avec réservation des IP pour tous les clients (PC et IMP), réservations avec un masque en 16 pour les sites en 10.xx et masque en 24 pour les autres.

    J'ai bien conscience qu'il ne faut pas autant de DC mais il y a encore 6 mois nous avions des liaisons réseaux très lentes


    La société me conseille :

    - suppression WINS : alors que je pensais que c'était indispensable pour la relation d'approbation

    - suppression des réservations IP : je ne sais pas pourquoi, je ne vois pas d'inconvénient et m'apporte un gain de sécurité, leur seul argument c'est que 90% des entreprises ne le font pas.

    - le DHCP ne doit pas se faire avec un masque en 16 : ok mais pourquoi ?

    - Pas de DHCP pour les imprimantes : ok mais pourquoi ? je ne vois pas d'inconvénients alors que j'ai tout les avantages du DHCP et ceux de l'IP fixe puisque je réserve les IP

    - Revoir les classes IP, notamment celles en 10 : je viens juste de les changer avec les conseils d'un ingénieur réseaux de chez Scopelec et les conseils d'une société de conseil ! Je pensais justement que ces IP ne posaient pas de pb mais que c'était plutôt celles en 192 et celles en 172 !

     

    Mon archi est maintenant constituée de seulement 3 DC mais je n'ai pas encore touché au reste

    Voila, que pensez vous de mon archi et que pensez vous des conseils de la SSII ?

     

    Merci d'avance

     

    dimanche 5 septembre 2010 08:33

Réponses

  • Bonjour,

    Je ne connais pas ton architecture mais je doute que les éléments que tu nous communiques soit la cause d'un quelconque problème.

    - WINS n'est pas indispensable et n'est surtout pas utilisé pour les relations d'approbation AD cependant il permet de limiter les broadcast NETBIOS donc vu ton architecture, il peut être utile.

    - Les réservations IP ont également leur utilité. L'argument avancé est falacieux. En tout cas même si tu pourrais t'abstenir de mettre des imprimantes en DHCP, ce n'est pas un problème en soit.

    - Les plages DHCP ne doivent pas se faire avec un mask de 16 ? j'ai jamais entendu parler de cela...

    - Que tu es un réseau privé en classe A, B ou C ne pose pas de problème. Il faut juste que ca corresponde à un besoin.

     

    En conclusion, il n'y a pour ma part aucune corrélation entre le problème rencontré sur l'AD et les conseils proposés. Les points d'amélioration me semblent très minime ce qui montre que soit ils 'ont pas les compétences nécessaires pour offrir de véritables solutions ou tout simplement que ton réseau est sain. C'est un mode opératoire classique des SSII qui n'ont rien à proposer de tangible mais qui doivent proposer somme toute quelques choses.

    dimanche 5 septembre 2010 13:12
  • - Pour le WINS: Le WINS n'est pas indisponsable car les résolutions NetBIOS peuvent se faire en utilisant le service DNS avec une bonne configuration des suffixes DNS.

    - Pour la suppression des réservations IP: Les réservations IP augmentent le niveau de la sécurité mais aussi augmentent les tâches administratives. Donc l'inconvénient est, selon mon avis, l'augmentation des tâches administratives.

    - Pour le fait que le DHCP ne doit pas se faire avec un masque en 16: Ceci a un sens uniquement pour les adresses IP de classe B. En effet, les hackers peuvent détecter plus facilement l'adressage des réseau de classe B si ils utilisent un masque de 16 bit.

    -Concernant le DHCP pour les imprimantes: Les imprimantes ne sont pas mobiles. Pour cette raison, il sera mieux de la fixer une adresse IP sans l'utilisation du service DHCP. Cependant, ceci n'aura aucun impact sur l'utilisation des imprimantes. Il assure seulement la réduction du trafic réseau pour les paquets DHCP provenant des imprimantes.

    -Pour l'étude de l'adressage, Il n'existe aucun problème concernant ces types d'adressages

    D'après les corrections proposées, aucun problème n'a été détecté au niveau de votre solution Active Directory.

    Certaines solutions proposées sont:

    - Inutiles: comme celle de revoir les classes IP

    - Réduisent le niveau de sécurité: comme celle de la suppression des réservation IP

    En plus, les solutions proposées ne permettent pas de remédier à un certain problème.

    Je vous conseille de poster dans les forums de Microsoft si vous avez besoin d'une assistance technique.

     

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.
    dimanche 5 septembre 2010 13:45
  • Bonsoir,

    je fais le même constat que Marc et Mr X.

    Seul point particulier, à mon avis, les réservations DHCP ne sont intéressantes que pour les imprimantes !!!

    => Cela permet de reconfigurer la route par défaut, ou l'adressage IP sans devoir passer physiquement pour reconfigurer chaque imprimante.

    Par ailleurs, l'adresse IP réservée permet de configurer l'imprimante sur d'autre système d'exploitation (Unix, Linux, etc...) moins conciliant...

    Concernant WINS, pour éviter les réplications WINS dans tous les sens, on peut commencer à centraliser en ne conservant qu'un seul serveur WINS sur lequel on redirige les quelques serveurs et stations dont on constate un réel problème de résolution de noms courts/NETBIOS.

    A+

     


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (66 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 5 septembre 2010 20:56

Toutes les réponses

  • Bonjour,

    Je ne connais pas ton architecture mais je doute que les éléments que tu nous communiques soit la cause d'un quelconque problème.

    - WINS n'est pas indispensable et n'est surtout pas utilisé pour les relations d'approbation AD cependant il permet de limiter les broadcast NETBIOS donc vu ton architecture, il peut être utile.

    - Les réservations IP ont également leur utilité. L'argument avancé est falacieux. En tout cas même si tu pourrais t'abstenir de mettre des imprimantes en DHCP, ce n'est pas un problème en soit.

    - Les plages DHCP ne doivent pas se faire avec un mask de 16 ? j'ai jamais entendu parler de cela...

    - Que tu es un réseau privé en classe A, B ou C ne pose pas de problème. Il faut juste que ca corresponde à un besoin.

     

    En conclusion, il n'y a pour ma part aucune corrélation entre le problème rencontré sur l'AD et les conseils proposés. Les points d'amélioration me semblent très minime ce qui montre que soit ils 'ont pas les compétences nécessaires pour offrir de véritables solutions ou tout simplement que ton réseau est sain. C'est un mode opératoire classique des SSII qui n'ont rien à proposer de tangible mais qui doivent proposer somme toute quelques choses.

    dimanche 5 septembre 2010 13:12
  • - Pour le WINS: Le WINS n'est pas indisponsable car les résolutions NetBIOS peuvent se faire en utilisant le service DNS avec une bonne configuration des suffixes DNS.

    - Pour la suppression des réservations IP: Les réservations IP augmentent le niveau de la sécurité mais aussi augmentent les tâches administratives. Donc l'inconvénient est, selon mon avis, l'augmentation des tâches administratives.

    - Pour le fait que le DHCP ne doit pas se faire avec un masque en 16: Ceci a un sens uniquement pour les adresses IP de classe B. En effet, les hackers peuvent détecter plus facilement l'adressage des réseau de classe B si ils utilisent un masque de 16 bit.

    -Concernant le DHCP pour les imprimantes: Les imprimantes ne sont pas mobiles. Pour cette raison, il sera mieux de la fixer une adresse IP sans l'utilisation du service DHCP. Cependant, ceci n'aura aucun impact sur l'utilisation des imprimantes. Il assure seulement la réduction du trafic réseau pour les paquets DHCP provenant des imprimantes.

    -Pour l'étude de l'adressage, Il n'existe aucun problème concernant ces types d'adressages

    D'après les corrections proposées, aucun problème n'a été détecté au niveau de votre solution Active Directory.

    Certaines solutions proposées sont:

    - Inutiles: comme celle de revoir les classes IP

    - Réduisent le niveau de sécurité: comme celle de la suppression des réservation IP

    En plus, les solutions proposées ne permettent pas de remédier à un certain problème.

    Je vous conseille de poster dans les forums de Microsoft si vous avez besoin d'une assistance technique.

     

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.
    dimanche 5 septembre 2010 13:45
  • Bonsoir,

    je fais le même constat que Marc et Mr X.

    Seul point particulier, à mon avis, les réservations DHCP ne sont intéressantes que pour les imprimantes !!!

    => Cela permet de reconfigurer la route par défaut, ou l'adressage IP sans devoir passer physiquement pour reconfigurer chaque imprimante.

    Par ailleurs, l'adresse IP réservée permet de configurer l'imprimante sur d'autre système d'exploitation (Unix, Linux, etc...) moins conciliant...

    Concernant WINS, pour éviter les réplications WINS dans tous les sens, on peut commencer à centraliser en ne conservant qu'un seul serveur WINS sur lequel on redirige les quelques serveurs et stations dont on constate un réel problème de résolution de noms courts/NETBIOS.

    A+

     


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (66 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 5 septembre 2010 20:56
  • Merci à vous de vos réponses, cela me rassure car je ne voyais pas trop l'intérêt de cette prestation (prestation de 7 jours !!)

    Le souci qu'il y a eu durant mon absence : le lundi 2 DC se sont déconnectés de l'AD car il n'y avait plus de réplication entre eux et donc après une delai de 60 jours durant lequel il y a eu des messages d'erreur, les serveurs se sont déconnectés

    Puis plus rien pendant 1 semaine ....et ensuite tous les jours 1 nouveau serveur se déconnectait de l'AD !

     

    donc la SSII est intervenue, ils ont sortis tous les DC du domaine (dcpromo forceremoval), ils ont laissé qu'un seul DC puis ils ont remis les DC sur le réseau !

     

    au final je ne sais pas pourquoi j'ai eu ce souci ! c'est ce qui m'inquiète le plus...

    En décembre, j'ai changé de plage IP car j'étais en IP publique je suis donc passé avec la plage en 10.32 et 10.42, en février j'ai rajouté un serveur sous 2008 (alors que tous les autres sont sous 2003 R2) et je suis passé d'un AD 2000 à un AD 2003 pour pouvoir installer Exchange 2010

    Je n'ai pas fait d'autres modifs....

     

    Merci encore à vous

    lundi 6 septembre 2010 09:46