Topologie réplication inter-site

Toutes les réponses

• 

  

  2

  Connectez-vous pour voter

  Salut Serge,

  Est ce qu'il y a  risque que les utilisateurs du SiteA s'authentifient et fassent des requêtes AD sur le DC (DC3) du SiteB en outre passant les DC (DC1,DC2)  qui sont sur leur siteA?
  
  Est ce qu'il y a risque que les utilisateurs du SiteB s'authentifient et fassent des requêtes AD sur les DC (DC1,DC2) du SiteA en outre passant le DC (DC3)  qui est sur leur siteB?

  y a aucun risque que tes utilisateurs su site A partent se loguer sur le Site B, ni ouvrir une session, ni récupérer de GPO. car ta topologie est correcte, autre choses vérifies bien l'attribution DHCP, bien évidement, il faut que les clients obtiennent les bonnes IP dans la bonne plage des AD de leurs sites consécutives.

  Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

  les utilisateurs sont bien dépendant du DC de leur site. 

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:55

  mardi 6 octobre 2020 14:46

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

  tu n'as qua tapé dans une invite commande : echo %logonserver%

  pour vérifier que tes logué sur les bons DC. 

  Cordialement,

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 06:41

  mardi 6 octobre 2020 14:46

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour Mehdi,

  Merci pour ta réponse. La commande : echo %logonserver% fonctionne bien.

  Je cherche une commande ou un bout de script  pour lister les comptes authentifiés sur un DC?

  ---

  Serge

  
  

  • Modifié Serge MFR mercredi 7 octobre 2020 06:55

  mercredi 7 octobre 2020 06:44

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Bonjour Serge MFR

  La réponse de Medhi est tout à fait correcte, je vais cependant apporter quelques éléments techniques pour éclaire votre lanterne sur l'authentification.

  Comment une machine ou un utilisateur identifie-t-elle le DC sur lequel il doit s'authentifier ?

  C'est prioritairement le DC le plus proche de lui, au sens sites & Services ActiveDirectory, et sur un même site, c'est le premier DC qui répond. 

  Mais en pratique, ça marche comment ?

  La machine/user regarde dans sa conf TCP/IP pour identifier son.ses DNS. Contacte le DNS et lui fait une query pour demander ou se trouvent les services LDAP/Kerberos et consort. SI on regarde dans un DNS, on a effectivement ces informations.

  Notion de sites dans AD Sites & Services

  Un site, au sens sites&Services AD est un ensemble de subnets reliés par des liaisons rapides (assimilables à du LAN et pas du WAN).

  Ce qui veut dire, que ce n'est pas parce qu'on a plusieurs sites géographiques que l'on a forcément plusieurs sites AD. Ca dépend, comme dirait l'autre.

  Dans un site, dans la console Sites&Services, on a un ou des DCs.

  Dans votre cas :

  SiteA : DC1-DC2, 3 subnets associés -  SiteB : DC3 - 1 seul subnet

  Lien de site et coût de lien ?

  C'est important quand on a plusieurs liens de mettre le cout (fonction de la taille dudit lien). En effet, le KCC calcule automatiquement par ou il doit passer pour avoir le moindre coût.

  ex. : Liens Paris/Marseille 800 MB (et on va dire coût 250), Lien Paris/Lyon 2GB (on va dire cout 100), Lien Lyon/Marseille 2GB (cout 100). Pour aller de Paris à Marseille (lors des réplications AD par ex), l'OS va passer par Lyon car le cout est moindre.

  Le coût se calcule, inversement proportionnel à la taille du tuyau. Il y a des formules de calcul sur le Net. Dans votre cas, si vous n'avez qu'un seul lien réseau, le cout importe peu.

  Est ce que les utilisateurs sont dépendant du DC et des DC situés sur leur Site? Leurs requêtes se font elles sur le DC et les DC situés sur leur Site?

  Comme répondu par Medhi, Oui prioritairement sur un DC affecté à leur site, ... mais si ce (ces) DCs sont down, l'utilisateur ou la machine ira s'authentifier sur un DC situé sur un autre site. C'est pareil, ... à la latence près du aux contraintes réseau.

  Quelle commande utilisée pour voir les comptes authentifiés sur un DC?

  La réponse de Médhi est exacte. Sur un poste, on peut ouvrir un shell DOS, faire un Set (permet de voir toutes les variables système), et là on a une variable nommée LogonServer.

  Oui, mais de manière plus massive, on fait comment ?

  Sur un DC, EventLog, journal Sécurité, chercher l'ID 4624 (ouvrir une session)

  Voici un exemple :

  $StartTime = Get-Date -Year 2020 -Month 10 -Day 1  -Hour 0 -Minute 0
  $EndTime = Get-Date -Year 2020 -Month 10 -Day 07 -Hour 12 -Minute 00
  Get-WinEvent -FilterHashtable @{
                              LogName = 'Security'
                              StartTime = $StartTime
                              EndTime = $EndTime
                              ID = "4624"
                              } -MaxEvents 10
  <#
  ProviderName : Microsoft-Windows-Security-Auditing
  
  TimeCreated                     Id LevelDisplayName Message                                                                                                                          
  -----------                     -- ---------------- -------                                                                                                                          
  07/10/2020 08:14:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 08:13:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 08:12:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 08:11:17           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 08:11:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....    
  ...
  #>

  Plus d'info dans un mémo perso ici

  cordialement

  Olivier

  Edit : Après la query peut être affinée car les informations sur le compte qu is'est connecté  sont dans la propriété Message

  
  
  

  • Modifié Oliv - TheFrog mercredi 7 octobre 2020 06:54
  • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 08:06

  mercredi 7 octobre 2020 06:53

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Salut Mehdi,

  Merci pour tes réponses.

  Est ce ISTG est il obligatoire sur chaque site?

  Sur le serveur qui fait office de ISTG sur chaque site, dois je ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants" : ? Ou Dois l'ajouter sur les DC(DC1,DC2) SiteA et le DC(DC3) SiteB?

  Merci pour ton aide.

  ---

  Serge

  mercredi 7 octobre 2020 07:29

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Il n'y a aucun intérêt dans des structures simples à définir des serveur tête de pont, si aucun n'est définit la gestion est automatique.

  Si tu définit des serveurs têtes de pont, il faut les gérer en cas de panne ou de migration, sinon tu peux avoir des soucis.

  
  

  • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29

  mercredi 7 octobre 2020 08:21

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Comme a dit Philippe et olivier, 

  Tas pas besoin de définir un serveur tête de pont, pour ta topologie, c'est plus dans le cas d'inter domaine ou cela peut être intéressant.

  Pour le script sur les DC cela ne serait pas intéressant, vu qu'un utilisateurs peut se liguer sur plusieurs AD, il suffit d'un redémarrage, donc pour voir qui a ouvert une session y a des outils gratuit sinon interroge ton journal et active l'audit par GPO

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR mercredi 7 octobre 2020 12:29

  mercredi 7 octobre 2020 09:15

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Petite query rapide

  $StartTime = Get-Date -Year 2020 -Month 10 -Day 7  -Hour 07 -Minute 36 -Second 02
  $EndTime = Get-Date -Year 2020 -Month 10 -Day 7  -Hour 07 -Minute 36 -Second 05
  $Query = Get-WinEvent -FilterHashtable @{
                              LogName = 'Security'
                              StartTime = $StartTime
                              EndTime = $EndTime
                              ID = "4624"
                              }

  Bon ici j'ai limité sur 3 secondes, mais c'est juste pour n'avoir que quelques events, dont celui qui m'intéresse

  $query
  
  
     ProviderName : Microsoft-Windows-Security-Auditing
  
  TimeCreated                     Id LevelDisplayName Message                                                                                                                          
  -----------                     -- ---------------- -------                                                                                                                          
  07/10/2020 07:36:04           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 07:36:03           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....                                                               
  07/10/2020 07:36:02           4624 Information      L'ouverture de session d'un compte s'est correctement déroulée....

  Bof, on va améliorer cela, ce n'est que la sortie console

  $query | Select-Object @{Label = "TimeCreated"      ; Expression = {$_.TimeCreated}},
                         @{Label = "ID"               ; Expression = {$_.ID}},
                         @{Label = "MachineName"      ; Expression = {$_.MachineName}},
                         @{Label = "LevelDisplayName" ; Expression = {$_.LevelDisplayName}},
                         @{Label = "TaskDisplayName"  ; Expression = {$_.TaskDisplayName}},
                         @{Label = "SecurityId"       ; Expression = {$_.Properties[4].Value}},
                         @{Label = "AccountName"      ; Expression = {$_.Properties[5].Value}},
                         @{Label = "AccountDomain"    ; Expression = {$_.Properties[6].Value}},
                         @{Label = "LogonId"          ; Expression = {$_.Properties[7].Value}},
                         @{Label = "LogonType"        ; Expression = {$_.Properties[8].Value}},
                         @{Label = "Workstation"      ; Expression = {$_.Properties[11].Value}},
                         @{Label = "LogonGuid"        ; Expression = {$_.Properties[12].Value}}

  et ça donne :

  TimeCreated      : 07/10/2020 07:36:04
  ID               : 4624
  MachineName      : W2K19-DC.LAB.LOCAL
  LevelDisplayName : Information
  TaskDisplayName  : Ouvrir la session
  SecurityId       : S-1-5-18
  AccountName      : W2K19-DC$
  AccountDomain    : LAB.LOCAL
  LogonId          : 222853
  LogonType        : 3
  Workstation      : -
  LogonGuid        : fe7d9233-b617-564d-ca3d-41c1d1011513
  
  TimeCreated      : 07/10/2020 07:36:03
  ID               : 4624
  MachineName      : W2K19-DC.LAB.LOCAL
  LevelDisplayName : Information
  TaskDisplayName  : Ouvrir la session
  SecurityId       : S-1-5-21-310437918-1906062273-1680514792-1130
  AccountName      : W2K19-DC2$ # <== Ca c'est la machine
  AccountDomain    : LAB.LOCAL
  LogonId          : 221273
  LogonType        : 3
  Workstation      : -
  LogonGuid        : 010206e6-2f5e-1d8e-fc5e-64586b4dd45e
  
  TimeCreated      : 07/10/2020 07:36:02
  ID               : 4624
  MachineName      : W2K19-DC.LAB.LOCAL
  LevelDisplayName : Information
  TaskDisplayName  : Ouvrir la session
  SecurityId       : S-1-5-21-310437918-1906062273-1680514792-500
  AccountName      : Administrateur # <== Ca c'est moi !
  AccountDomain    : LAB
  LogonId          : 220861
  LogonType        : 10
  Workstation      : W2K19-DC
  LogonGuid        : d4f4ef05-feb0-b080-aef8-c5007d1ff1de

  Ca sort encore trop de choses, j'ai encore les logon des machines, on va affiner. Reprenons la query

  $Query = Get-WinEvent -FilterHashtable @{
                              LogName = 'Security'
                              StartTime = $StartTime
                              EndTime = $EndTime
                              ID = "4624"
                              } | Where-Object -FilterScript {$_.Properties[5].Value -notlike "*$"}

  En clair, j'ai filtré les compte machines (ils se terminent par un $)

  et maintenant si je rejoue le code précédent avec le Select-Object ...., je n'obtiens bien que les comptes utilisateurs.

  Attention : comme l'a fait remarqué Medhi, il faut activer l'audit

  Par GPO cela se fait soit :

  Conf Ordinateur ==> Stratégies ==> paramètres Windows ==> Paramètres de sécurité ==> Stratégies locales

  Ou mieux via

  Conf ordinateur ==> Stratégies ==> paramètres Windows ==> Confiugraiton avancée de la stratégie d'Audit ==> Ouvrir/fermer la session. Et là, on peut activer l'audit sur les ouvertures, fermetures de session, le verrouillage de compte, ....

  cordialement

  Olivier

  mercredi 7 octobre 2020 10:01

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Mmmme, 

  ca donne des idées de faire un petit GUI, qui permet de superviser les comptes logués et l'heure de connexion, quoique cela serait pas si simple, s'il faut interroger plusieurs DC et surtout si parfois l'user se logue en hors ligne ensuite rejoins l'AD, je te laisse tester l'efficacité de ton script, et on verra apres, en tout cas je vais l'enregistrer.

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  mercredi 7 octobre 2020 10:59

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Attention Medhi,

  Dans ce que j'ai fourni comme code, je n'interroge qu'un seul DC, mais cela n'est pas un pb.

  On peut aisément récupérer l'ensemble des contrôleurs de domaine, puis au sein d'une boucle foreach faire la query qui va bien. Après on peut également adapter la query pour rechercher un utilisateur en particulier.

  Après il est toujours possible d'ajouter un GUI (ça tu aimes visiblement :-) ). Pour ma part je considère qu'un GUI est bien pour des requêtes unitaires et multirépétitives. Mais ce dont on parle là, on ne va pas le faire tous les jours. Il y a aussi d'autres solutions autre que le GUI, génération d'un fichier qand le format qu'on veut, envoi par mail, ...

  Cordialement

  Olivier

  mercredi 7 octobre 2020 11:56

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Salut Mehdi,

  J'ai fait les tests de mon architecture, je constante j'ai des utilisateurs du siteA ouvrent des sessions sur le DC du siteB. Je l'ai constaté dans l'Audit du DC3
  

  Est normal que dans NTDS settings du DC3 du siteB j'ai un DC1 du siteA en connexion automatique? 

  Est normal que dans NTDS settings du DC2 du siteA j'ai le DC3 du siteB en connexion automatique? 

  Faut 'il cocher la case "Activer la mise en cache de l'appartenance au groupe universel"?

  Quand je crée un utilisateur sur DC3 du siteB et il est crée sur les DC siteA au bout d'environ 5mn. Or la fréquence de mon lien est de 60mn. J'ai l'impression que les réplication intersite ne fonctionne pas.

  Cordialement,

  ---

  Serge

  
  

  • Modifié Serge MFR vendredi 9 octobre 2020 09:07

  vendredi 9 octobre 2020 08:50

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Salut serge,

  oui c'est normal, dans NTDS il garde la topologie pour la réplication et en cas d'échec d'un DC pour joindre un autre site.

  essaies de voir si t'as crée des subnets, et les as accordé au bon site

  

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:21

  vendredi 9 octobre 2020 09:03

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  ne te fis pas à l'audit, mais plutot à la commande sur les postes, regardes si tes postes se logue sur le bon DC essaies de redemarrer le meme postes 3 ou 4 fois et tapes : echo %logonserver% 

  s'il se logue toujours sur le bon site, c'est OK

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 09:53

  vendredi 9 octobre 2020 09:05

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Salut Mehdi,

  Merci pour ta réponse.

  J'ai fais exactement fait ma configuration comme sur ton schéma.

  Les subnets du chaque site sont associés à chaque site.

  Pour rappelle:

   - SiteA
     Servers : DC1 et DC2
     Subnets : 10.50.12.0/24, 10.10.0.0/24, 10.76.10.0/24
     Serveurs et Dcs sont sur les subnets 10.50.12.0/24, 10.10.0.0/24, Les utilisateurs sont sur le subnet 10.76.10.0/24
  
  - SiteB
     Server : DC3
     Subnets : 192.168.10.0/24
     Serveurs, DC et utilisateurs sont sur le subnet : 192.168.10.0/24.

  Sur le SiteA DC2 est en "Générateur de topologie Intersite" ( automatiquement )

  Faut 'il gérer le cache?

  

  Faut il ajouter "IP" dans la case "ce serveur est un serveur de tête de pont privilégé pour les transports suivants". Phillipe m'avait conseillé que ce n'était pas utile car mon archi était simple.

  

  ---

  Serge

  
  

  • Modifié Serge MFR vendredi 9 octobre 2020 09:51

  vendredi 9 octobre 2020 09:45

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  RE,

  pour la premiere Activer la mise en cache, ne la coche pas, c'est pour les groupes universel inter domaine, t'en as pas besoin.

  pour les IP et SMTP philippe a raison, t'en as pas besoin, néomoins il m'arrive de les activer en cas de conflit IP ou pour forcer, si tu dois le faire ca serait pas sur le DC2 mais DC1, et sur un DC par Site, pour l'instant ne les touches pas, et ne modifies rien dans NTDS c'est pour la réplication, pas pour l'ouverture de session.

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  • Marqué comme réponse Serge MFR vendredi 9 octobre 2020 10:30

  vendredi 9 octobre 2020 10:14

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Vérifies tes subnet s'ils sont bien lié au bon site, comme dans mon exemple, celui d'utilisateur 10.10.0.0/24 doit être lié au site A, et les users devront pouvoir contacter facilement le DC1 et DC2.

  envoie nous une capture des subnets, autres choses ta config ip sur les postes, surtout les DNS, cela n'affecte pas l'ouverture de session, mais ca peut régler ton problème, si tu peux nous dire ce qui se passe sur les potes.

  et pour finir teste sur le Site B, les utilisateurs ne devront pas ouvrir de session sur les DC1 et DC2, fais nous un retour de tout cela.

  

  ---

  Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

  vendredi 9 octobre 2020 10:17

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Merci Mehdi pour cette réponse.

  ---

  Serge

  vendredi 9 octobre 2020 14:59

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Faut 'il gérer le cache?

  Non mais vérifie que tous les DCs sont des catalogues globaux.

  La mise en cache des groupes universelles n'est utilise que si tu n'as pas de catalogue global sur le site. 

  
  

  • Marqué comme réponse Serge MFR lundi 12 octobre 2020 12:41

  vendredi 9 octobre 2020 17:13

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour Philippe,

  J'ai un doute. Je vais promouvoir le DC (DC3 qui sera un catalogue global) de mon site distant.

  Est ce que la copie de l'annuaire AD utilisera le lien créé pour la réplication intersite?

   (Pour rappel : Lien : Coût : 378, Fréquence de réplication: 100)

  Est ce que la copie de l'annuaire AD utilisera tout le lien MPLS?

  Merci pour ton aide.

  ---

  Serge

  mardi 13 octobre 2020 07:51

  Réponse

  |

  Citation