none
RDOC en DMZ - Est-ce une bonne pratique et sécurisé de mettre un RODC en DMZ ? RRS feed

Réponses

  • Bonsoir,

    en fait, techniquement on peut installer des contrôleurs de domaine dans une DMZ...

    MAIS, il faut créer un domaine spécifique (technique) réservé à la DMZ.

    => Ceci permet d'avoir des comptes d'admin ou de services uniformes dans la DMZ. C'est ce qui était fait par exemple pour ISA ou TMG en mode équilibrage et bascule.

    Dans certains cas, on peut aussi utiliser le service AD LDS (Light AD), pour répliquer le minimum d'attributs nécessaire à certaines vérifications. C'est ce qui est fait sur les serveurs Exchange possédant le rôle EDGE.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 13 novembre 2018 22:28
  • Bonsoir Il est plutot recommande d,eviter de placer un controleur de domaine quelque soit son type dans la zone dmz. La zone dmz est la zone exposee a l’internet.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 20:41
    Modérateur
  • Je vous propose de placer que le serveur Web dans la zone dmz et garder le DC dans le reseau local et autoriser que les port necessaire pour la communication entre le serveur IIS et le DC.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 21:04
    Modérateur
  • Meme si vous installer un RODC dans la zone dmz vous serez oblige d’ouvrir les ports pour assurer la relication AD avec un autre DC.. Donc cest plus complique a mettre en place.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 21:25
    Modérateur
  • AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste 

    Il n'y a pas de mieux ou pas, ils ne font pas la même chose et n'ont pas le même but.

    LE RODC synchronise "nativement" les comptes, c'est juste l'ensemble des mots de passe qui ne sont pas synchronisés. Ils sont utiles sut des sites distants ou la sécurté physiques des DCs est moyenne.

    AD LDS c'est une version légère de l'AD, il ne se synchronise pas automatiquement. Il faut utilise des produits comme identity manager par exemple.

    Sinon perso je mets un reverse proxy en DMZ, et le reste dans le LAN.

    Certains reverse proxy sont en mesure d'assurer des niveaux de protections correct.

    mercredi 14 novembre 2018 19:05

Toutes les réponses

  • Quel est votre but ? 

    A première vue je dirai non ce n'est pas une bonne pratique. 

    mardi 13 novembre 2018 16:59
  • Bonjour

    C'est pour mettre une solution IIS avec un AD en background pour la gestion des comptes, etc ...

    Et aussi un rôle smb hyper v (du lan) visible dans la DMZ

     

    Merci

    mardi 13 novembre 2018 20:39
  • Bonsoir Il est plutot recommande d,eviter de placer un controleur de domaine quelque soit son type dans la zone dmz. La zone dmz est la zone exposee a l’internet.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 20:41
    Modérateur
  • Bonjour

    Que proposez vous pour éviter de dupliquer des comptes sur une ferme wev IIS

    Merci

    mardi 13 novembre 2018 20:52
  • Je vous propose de placer que le serveur Web dans la zone dmz et garder le DC dans le reseau local et autoriser que les port necessaire pour la communication entre le serveur IIS et le DC.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 21:04
    Modérateur
  • bonsoir

    tout simplement, effectivement c'est pas pire que qu'un rodc dans la dmz et ça evitera une usine à gaz pour rien

    si vous avez d'autre idée, je suis prenneur

    merci

    mardi 13 novembre 2018 21:17
  • Meme si vous installer un RODC dans la zone dmz vous serez oblige d’ouvrir les ports pour assurer la relication AD avec un autre DC.. Donc cest plus complique a mettre en place.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 13 novembre 2018 21:25
    Modérateur
  • Donc aucun avantage dans cette configuration d'avoir un RODC

    mardi 13 novembre 2018 21:34
  • Bonsoir,

    en fait, techniquement on peut installer des contrôleurs de domaine dans une DMZ...

    MAIS, il faut créer un domaine spécifique (technique) réservé à la DMZ.

    => Ceci permet d'avoir des comptes d'admin ou de services uniformes dans la DMZ. C'est ce qui était fait par exemple pour ISA ou TMG en mode équilibrage et bascule.

    Dans certains cas, on peut aussi utiliser le service AD LDS (Light AD), pour répliquer le minimum d'attributs nécessaire à certaines vérifications. C'est ce qui est fait sur les serveurs Exchange possédant le rôle EDGE.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 13 novembre 2018 22:28
  • Bonjour

    1. AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste ?
    2. j'imagine que l'on peut répliquer qu'une OU depuis le DC principale ?
    3. Sur le plan le plus simple, ouverture de ports sur l'AD pricinpial depuis la DMZ, peut on restaindre l'accès que à 1 OU à un groupe de utilisateurs, groupes, machines ?

    Ps ; pour la mise en place du AD LDS (Light AD) vs RODC, c'est risqué ?, ça nécessite de modifier le DC principal et d'avoir une bonne sauvegarde ?

    Merci

    mercredi 14 novembre 2018 17:31
  • AD LDS (Light AD) vs RODC lequel et le mieux / le plus simpe et le plus robuste 

    Il n'y a pas de mieux ou pas, ils ne font pas la même chose et n'ont pas le même but.

    LE RODC synchronise "nativement" les comptes, c'est juste l'ensemble des mots de passe qui ne sont pas synchronisés. Ils sont utiles sut des sites distants ou la sécurté physiques des DCs est moyenne.

    AD LDS c'est une version légère de l'AD, il ne se synchronise pas automatiquement. Il faut utilise des produits comme identity manager par exemple.

    Sinon perso je mets un reverse proxy en DMZ, et le reste dans le LAN.

    Certains reverse proxy sont en mesure d'assurer des niveaux de protections correct.

    mercredi 14 novembre 2018 19:05