none
Approbation de deux controleurs de domaine distants via un serveur RRAS RRS feed

  • Question

  • Bonjour,

    Je possède deux DC distants et je dois effectuer une approbation entre ces deux domaines, en cherchant, j'ai trouvé comme quoi je dois installer un serveur RRAS après chaque domaine pour qu'ils puissent communiquer via VPN.

    J’ai suivi un tuto et j’ai pu installer un serveur RRAS devant chaque domaine (je teste en local pour le moment) j’ai donné 192.168.5.10 pour le DC1 – 192.168.5.11 pour le RRAS coté DC1 et 172.16.1.1 coté VPN.

    Sur DC2 192.168.10.10 – 192.168.10.11 pour le RRAS coté local et 172.16.1.2 coté VPN.

    J'ai utilisé le protocole PPTP et j'ai activé le port 1723 dans le pare-feu etc, j'arrive à pinguer d'un DC1 à un DC2, j'arrive à partager des dossiers et y accéder depuis chaque site, mais quand j’essaie d’effectuer une approbation entre les deux sites, quand je tape l’IP de DC2 depuis DC1 ou l’inverse, il dit que l’adresse est introuvable !

    J’ignore ce que je dois faire pour pouvoir effectuer une approbation.

    Je suis sous Windows Server 2012 R2 sur les deux sites

    J'espère que j'ai bien expliqué mon problème et je vous merci d'avance.





    • Modifié Joe006 lundi 3 juillet 2017 07:52
    dimanche 2 juillet 2017 15:53

Réponses

  • Bonjour,

    J'ai pu enfin mettre en place l'approbation, j'ai configuré les routers en créant un tunnel VPN entre les 2 LAN distants, le ping marche d'un LAN vers l'autre, par contre l'approbation ne s'effectue pas, j'ai étais obligé d'ajouter les serveur RRAS et ça a marché! Je ne sais pas si c'est la config la plus fiable, mais en tout cas, ça marche pour le moment.

    En tout cas, merci  Philippe Barth et matteu31400  pour m'avoir orienter, j'espère que ça aidera d'autres personnes.

    vendredi 7 juillet 2017 16:54

Toutes les réponses

  • Bonjour,

    Je ne suis pas sur de bien comprendre ce que vous faites.

    Quel est votre besoin svp ?

    Les deux DC sont ils reliés entres eux ?

    Si vous avez installé RRAS sur les 2 DC, c'est une TRES mauvaise idée...


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    lundi 3 juillet 2017 09:20
  • En gros tu as ajouté un serveur de chaque côté avec le service RRAS ? Tu n'as pas mis les service sur le DC ?

    Tu as mis en place un tunnel entre les 2 ?

    Sur chaque site quel est la passerelle par défaut ? Ton serveur RRAS ? Si non il faut te avoir des routes entre les 2 pour que le trafic réseau passe par la ... 

    Voir tracert / route print  / route add.


    Si le routage est bon il faut mettre en place des redirecteurs DNS et garantir la résolution de nom entre les 2 domaines avant de créer l'approbation

    Voir

    http://pbarth.fr/node/82

     

    lundi 3 juillet 2017 10:23
    Modérateur
  • Bonjour,

    Je suis débutant, d’où le noir total ^^

    Mon but est de faire une relation d'approbation entre deux sites distants qui seront liés via une connexion VPN.

    J'ai suivi un tuto pour installer un serveur RRAS devant chaque DC (sur une autre machine qui possède 2 cartes réseaux et non pas sur le DC lui-même)

    j'ai pu réglé le problème (qui parait bête) : lors de la création d'une connexion VPN sur le serveur RRAS, fallait choisir "connexion sécurité entre deux réseaux privés" et non pas "accès VPN et NAT" comme sur le tuto que j'ai suivi.

    Par contre, j'ai pas compris ce que vous voulez dire par " installer RRAS sur les 2 DC, c'est une TRES mauvaise idée " ?!!
    Merci beaucoup

    lundi 3 juillet 2017 10:28
  • Effictement il ne faut pas faire avoir de NAT (Networtk Address Translation) entre les 2. Les DC doivent se voir avec leur IP réél.

    Par contre, j'ai pas compris ce que vous voulez dire par " installer RRAS sur les 2 DC, c'est une TRES mauvaise idée " ?!!

    Il n'est pas recommandé de cumuler les rôles ni de jongler avec plusieurs carte et réseau sur les contrôleurs de domaine. Cela pourrait créer des problèmes de résolution DNS, de réplication et des erreurs AD.

    lundi 3 juillet 2017 11:55
    Modérateur
  • Je ne comprends toujours pas le besoin.

    Une relation d'approbation pour vous c'est quoi ?

    Parce qu'entre relation d'approbation et VPN ... C'est 2 concepts totalement différents.

    L'un permet de pouvoir partager des ressources entre différents domaines/forêt et l'autre permet de pouvoir communiquer au niveau réseau.

    Je réitère donc ma question : Quel est le besoin ?

    Sans employer de terme technique, que souhaitez vous faire


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    lundi 3 juillet 2017 12:40
  • D'accord ^^

    D'abord, je vous remercie pour avoir user de votre temps afin de me répondre.

    mon but est de partager une ressource avec une gestion des utilisateurs (AGDLP), et ces utilisateurs se trouvent sur deux sites (domaines) géographiquement distants.


    Philippe Barth :

    : " installer RRAS sur les 2 DC, c'est une TRES mauvaise idée " c'est en réponse à  matteu31400 

    qui m'a apparemment conseillé de ne pas installer le RRAS sur le serveur lui-même si j'ai bien compris.



    lundi 3 juillet 2017 14:52
  • @matteu31400

    Pour mettre l'approbation AD, les 2 réseaux doivent pouvoir communiquer et le VPN sert a cela.

    lundi 3 juillet 2017 16:24
    Modérateur
  • Oui j'ai bien compris que cela avait un lieu avec la réponse de matteu31400.

    Moi aussi je vous déconseille d'installer la partie RRAS sur le contrôleur de domaine...

    lundi 3 juillet 2017 16:26
    Modérateur
  • D'accord,

    même sur une machine virtuelle Hyper-V ou VMWare (qui sera sur le même DC)?  

      Philippe Barth Merci pour le tuto, par contre les Images ne s'affichent pas pour moi.

    Pour les redirections DNS, j'ai pensé à utiliser des Modems routeurs Tp-Link (je sais pas si y a pas de souci de mentionné la marque) qui prennent en charge le DDNS No-IP.

    • Modifié Joe006 mardi 4 juillet 2017 09:14
    mardi 4 juillet 2017 08:51
  • Je suis désolé, je ne comprends pas ce que vous dites...

    @philippe : bien sur qu'il faut qu'il y ait un VPN entre les 2 sinon la résolution DNS aurait du mal à fonctionner pour établir la relation ^^

    @joe : Les utilisateurs sont sur 2 domaines différents, OK ça j'ai compris. Est ce que ces 2 domaines appartiennent à la même forêt ou non ? Quelle est la relation entre les 2 domaines si il en existe une ?

    Si ce sont 2 domaines de 2 forêt différentes :

    1) Etablir une connexion VPN site à site entre les 2 forêt

    2) Mettre en place une relation d'approbation domaine/forêt uni/bi directionnelle.

    Pour le 1) Vous pouvez peut être regarder du côté de vos équipement réseau routeur qui permettent peut être de mettre en place cela. Sinon en effet, il faut utiliser le RRAS de microsoft.

    2) Il faut savoir si vous souhaitez que chaque domaine partage des ressources avec l'autre domaine ou si un seul domaine doit en partager avec l'autre.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mardi 4 juillet 2017 08:59
  • Les utilisateurs sont sur 2 domaines différents, OK ça j'ai compris. Est ce que ces 2 domaines appartiennent à la même forêt ou non ? Quelle est la relation entre les 2 domaines si il en existe une ?

    Je crois que si les 2 domaines étaient dans la même forêt, l'approbation existerait déjà ... Et la liaison entre les sites sans doute aussi, sinon gros problème quand les DCs d'une même forêt ne réplique pas .


    mardi 4 juillet 2017 14:55
    Modérateur
  • @philippe

    En effet, je pensais que ce n'était pas obligatoirement le cas ! Erreur de ma part. Merci pour l'info :)


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 5 juillet 2017 07:59
  • Les utilisateurs sont sur 2 domaines différents, 2 forets différentes et je dois effectuer une approbation site à site bidirectionnelle 

       Je pensais que je devais mettre en place les routers réseau dans le but de connecter les serveur RRAS, vous voulez dire que les serveurs RRAS remplacent ces équipements?

    jeudi 6 juillet 2017 09:38
  • Bonjour,

    En effet, le RRAS sert à remplacer justement le VPN qui peut être réalisé sur les routeurs. Je ne l'ai jamais vu implémenter car les clients utilisent plutot leur équipement matériel pour cela.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.


    jeudi 6 juillet 2017 11:37
  • Bonjour,

    J'ai pu enfin mettre en place l'approbation, j'ai configuré les routers en créant un tunnel VPN entre les 2 LAN distants, le ping marche d'un LAN vers l'autre, par contre l'approbation ne s'effectue pas, j'ai étais obligé d'ajouter les serveur RRAS et ça a marché! Je ne sais pas si c'est la config la plus fiable, mais en tout cas, ça marche pour le moment.

    En tout cas, merci  Philippe Barth et matteu31400  pour m'avoir orienter, j'espère que ça aidera d'autres personnes.

    vendredi 7 juillet 2017 16:54