Remove From My Forums

RDOC en DMZ - Est-ce une bonne pratique et sécurisé de mettre un RODC en DMZ ?

Question
2

Connectez-vous pour voter

Bonjour

Est-ce une bonne pratique et sécurisé de mettre un RODC en DMZ ?

Merci bien

mardi 13 novembre 2018 16:36

Réponse

|

Citation

Réponses

2

Connectez-vous pour voter
Bonsoir,

en fait, techniquement on peut installer des contrôleurs de domaine dans une DMZ...

MAIS, il faut créer un domaine spécifique (technique) réservé à la DMZ.

=> Ceci permet d'avoir des comptes d'admin ou de services uniformes dans la DMZ. C'est ce qui était fait par exemple pour ISA ou TMG en mode équilibrage et bascule.

Dans certains cas, on peut aussi utiliser le service AD LDS (Light AD), pour répliquer le minimum d'attributs nécessaire à certaines vérifications. C'est ce qui est fait sur les serveurs Exchange possédant le rôle EDGE.

A bientôt,
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 22:28

Réponse

|

Citation
1

Connectez-vous pour voter
Bonsoir Il est plutot recommande d,eviter de placer un controleur de domaine quelque soit son type dans la zone dmz. La zone dmz est la zone exposee a l’internet.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 20:41

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter
Je vous propose de placer que le serveur Web dans la zone dmz et garder le DC dans le reseau local et autoriser que les port necessaire pour la communication entre le serveur IIS et le DC.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 21:04

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter
Meme si vous installer un RODC dans la zone dmz vous serez oblige d’ouvrir les ports pour assurer la relication AD avec un autre DC.. Donc cest plus complique a mettre en place.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 21:25

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter
AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste

Il n'y a pas de mieux ou pas, ils ne font pas la même chose et n'ont pas le même but.

LE RODC synchronise "nativement" les comptes, c'est juste l'ensemble des mots de passe qui ne sont pas synchronisés. Ils sont utiles sut des sites distants ou la sécurté physiques des DCs est moyenne.

AD LDS c'est une version légère de l'AD, il ne se synchronise pas automatiquement. Il faut utilise des produits comme identity manager par exemple.

Sinon perso je mets un reverse proxy en DMZ, et le reste dans le LAN.

Certains reverse proxy sont en mesure d'assurer des niveaux de protections correct.
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mercredi 14 novembre 2018 19:05

Réponse

|

Citation

Toutes les réponses

1

Connectez-vous pour voter

Quel est votre but ?

A première vue je dirai non ce n'est pas une bonne pratique.

mardi 13 novembre 2018 16:59

Réponse

|

Citation
1

Connectez-vous pour voter

Bonjour

C'est pour mettre une solution IIS avec un AD en background pour la gestion des comptes, etc ...

Et aussi un rôle smb hyper v (du lan) visible dans la DMZ

Merci

mardi 13 novembre 2018 20:39

Réponse

|

Citation
1

Connectez-vous pour voter
Bonsoir Il est plutot recommande d,eviter de placer un controleur de domaine quelque soit son type dans la zone dmz. La zone dmz est la zone exposee a l’internet.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 20:41

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter

Bonjour

Que proposez vous pour éviter de dupliquer des comptes sur une ferme wev IIS

Merci

mardi 13 novembre 2018 20:52

Réponse

|

Citation
1

Connectez-vous pour voter
Je vous propose de placer que le serveur Web dans la zone dmz et garder le DC dans le reseau local et autoriser que les port necessaire pour la communication entre le serveur IIS et le DC.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 21:04

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter

bonsoir

tout simplement, effectivement c'est pas pire que qu'un rodc dans la dmz et ça evitera une usine à gaz pour rien

si vous avez d'autre idée, je suis prenneur

merci

mardi 13 novembre 2018 21:17

Réponse

|

Citation
1

Connectez-vous pour voter
Meme si vous installer un RODC dans la zone dmz vous serez oblige d’ouvrir les ports pour assurer la relication AD avec un autre DC.. Donc cest plus complique a mettre en place.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 21:25

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter

Donc aucun avantage dans cette configuration d'avoir un RODC

mardi 13 novembre 2018 21:34

Réponse

|

Citation
2

Connectez-vous pour voter
Bonsoir,

en fait, techniquement on peut installer des contrôleurs de domaine dans une DMZ...

MAIS, il faut créer un domaine spécifique (technique) réservé à la DMZ.

=> Ceci permet d'avoir des comptes d'admin ou de services uniformes dans la DMZ. C'est ce qui était fait par exemple pour ISA ou TMG en mode équilibrage et bascule.

Dans certains cas, on peut aussi utiliser le service AD LDS (Light AD), pour répliquer le minimum d'attributs nécessaire à certaines vérifications. C'est ce qui est fait sur les serveurs Exchange possédant le rôle EDGE.

A bientôt,
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mardi 13 novembre 2018 22:28

Réponse

|

Citation
1

Connectez-vous pour voter
Bonjour

AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste ?

j'imagine que l'on peut répliquer qu'une OU depuis le DC principale ?

Sur le plan le plus simple, ouverture de ports sur l'AD pricinpial depuis la DMZ, peut on restaindre l'accès que à 1 OU à un groupe de utilisateurs, groupes, machines ?

Ps ; pour la mise en place du AD LDS (Light AD) vs RODC, c'est risqué ?, ça nécessite de modifier le DC principal et d'avoir une bonne sauvegarde ?

Merci
mercredi 14 novembre 2018 17:31

Réponse

|

Citation
1

Connectez-vous pour voter
AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste

Il n'y a pas de mieux ou pas, ils ne font pas la même chose et n'ont pas le même but.

LE RODC synchronise "nativement" les comptes, c'est juste l'ensemble des mots de passe qui ne sont pas synchronisés. Ils sont utiles sut des sites distants ou la sécurté physiques des DCs est moyenne.

AD LDS c'est une version légère de l'AD, il ne se synchronise pas automatiquement. Il faut utilise des produits comme identity manager par exemple.

Sinon perso je mets un reverse proxy en DMZ, et le reste dans le LAN.

Certains reverse proxy sont en mesure d'assurer des niveaux de protections correct.
- Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 25 novembre 2018 19:46
mercredi 14 novembre 2018 19:05

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

RDOC en DMZ - Est-ce une bonne pratique et sécurisé de mettre un RODC en DMZ ?

Question

Réponses

Toutes les réponses