none
Ports utilisés pour les relations d'approbation RRS feed

  • Question

  • Bonjour,

    Dans le cadre d'un projet de stage je dois mettre en place une relation d'approbation entre deux domaines issus de forêt différente.

    Mon premier domaine est en LAN derrière un NAT et mon deuxième est sur le WAN. 

    Ainsi je voulais savoir quelles ports sont utilisé lors de la mis en place d'une relation d'approbation ?

    Merci !

    mercredi 29 mars 2017 14:22

Réponses

  • Tu as combien de DC par domaine ?

    Il faudrait que les DC puissent dialoguer entre eux sans passer par le NAT.

    Il faut configurer les redirecteurs DNS pour que les DNS puissent résoudre les noms.

    Sinon tu peux voir les détails des ports 

    https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd



    mercredi 29 mars 2017 18:11
    Modérateur
  • Bonjour, 

    J'ai 2 DC mais à l'avenir je pourrai être amené à en avoir d'autre.

    Pourquoi ne pas utiliser le NAT ? Il suffit de rediriger les ports vers le bon serveur en interne non ?

    Pour l'entrer DNS j'y avais pensé, cela ne m'inquiète pas.

    Merci

    Bonjour,

    Le NAT pour les contrôleur de domaine ,n'est pas supporté par Microsoft:

    DCs and Network Address Translation

    Description of support boundaries for Active Directory over NAT

    les DCs ont besoin de connaitre l'adresse IP de chaque DC de l'autre forêt pour dialoguer. Pour cela il faut que la résolution DNS de la zone DNS de chaque forêt fonctionne correctement dans les deux sens (via les redirecteurs ou la création uns zone secondaire), puis que les IP et même les services AD : SRV Ldap,kerberos,GC,..ect sont déclarés dans le DNS.
    Avec le NAT qui modifie l'IP dans le paquet , les DC ne peuvent pas se communiquer via l'IP fourni par le DNS ce qui va compliquer la communication entre les DCs



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 30 mars 2017 07:57
    Modérateur
  • Bonjour,

    Il faut créer un tunnel VPN site to site entre les différents sites des domaine controller et ne pas utiliset le NAT comme l'indiqué Philippe.

    Je vous propose de consulter qui détaille les différents ports à ouvrir pour établir une relation d'aprobation entre deux domaines:

    Network Ports used by Trusts


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 29 mars 2017 22:36
    Modérateur
  • Déja 2 cartes réseaux sur un DC c'est pas top, il faut vérifier que le DC n'enregistre pas la 2ème carte dans le DHCP. 

    Après mettre une  IP public sur un DC c'est une solution pas très recommandables.

    VPN entre les sites ?

    jeudi 30 mars 2017 09:26
    Modérateur
  • +1 Philippe

    Active directory est considéré toujours comme un services critique, pour cela il est fortement recommandé de ne pas autoriser l'accès et la communication non sécurisé à l'AD depuis l'internet.

    Pour cette raison si vous désirer laisser un autre site communiquer avec votre infrastructure AD , il faut créer un Tunel sécurisé VPN site à site. 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 30 mars 2017 10:31
    Modérateur

Toutes les réponses

  • Bonjour EtuEtu,

    En ce qui concerne les flux nécessaires pour le fonctionnement des relations d'approbations, referez-vous au tableau suivant (uniquement les ports suivants sont requis) :

    Port

    Protocol

    389

     LDAP

    445

    SMB

    88

    Kerberos

     53

    DNS

    135

     Port fixés pour NetLogon

    Plage de Ports RPC (ports dynamiques à fixer sur les deux domaines)

    Ports RPC

    Pour que vous deux domaines lié  par une liaison WAN puis communiquer vous devrez payer de nom de domaine, qui seront inscrit dans tout les serveurs DNS sur internet. 

    J'espère avoir répondu à vos questions.

    Merci, a+


    S'il vous plaît n'oubliez pas de =Marquer comme réponse= les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Héritier KANDOLO. http://www.rootandadmin.com/

    mercredi 29 mars 2017 14:48
  • Tu as combien de DC par domaine ?

    Il faudrait que les DC puissent dialoguer entre eux sans passer par le NAT.

    Il faut configurer les redirecteurs DNS pour que les DNS puissent résoudre les noms.

    Sinon tu peux voir les détails des ports 

    https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd



    mercredi 29 mars 2017 18:11
    Modérateur
  • Bonjour,

    Il faut créer un tunnel VPN site to site entre les différents sites des domaine controller et ne pas utiliset le NAT comme l'indiqué Philippe.

    Je vous propose de consulter qui détaille les différents ports à ouvrir pour établir une relation d'aprobation entre deux domaines:

    Network Ports used by Trusts


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 29 mars 2017 22:36
    Modérateur
  • Bonjour, 

    J'ai 2 DC mais à l'avenir je pourrai être amené à en avoir d'autre.

    Pourquoi ne pas utiliser le NAT ? Il suffit de rediriger les ports vers le bon serveur en interne non ?

    Pour l'entrer DNS j'y avais pensé, cela ne m'inquiète pas.

    Merci

    jeudi 30 mars 2017 06:35
  • Bonjour EtuEt

    puis-je avoir plus d'information sur le domaine?

    que vous avez?

    est ce que le DNS forward son configurer?

    puis est-ce-que a partir d'un ordinateur X connecter a internet. il peut faire un ping votre nom de domaine? 

    Merci, A+


    S'il vous plaît n'oubliez pas de =Marquer comme réponse= les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Héritier KANDOLO. http://www.rootandadmin.com/

    jeudi 30 mars 2017 07:46
  • Bonjour, 

    J'ai 2 DC mais à l'avenir je pourrai être amené à en avoir d'autre.

    Pourquoi ne pas utiliser le NAT ? Il suffit de rediriger les ports vers le bon serveur en interne non ?

    Pour l'entrer DNS j'y avais pensé, cela ne m'inquiète pas.

    Merci

    Bonjour,

    Le NAT pour les contrôleur de domaine ,n'est pas supporté par Microsoft:

    DCs and Network Address Translation

    Description of support boundaries for Active Directory over NAT

    les DCs ont besoin de connaitre l'adresse IP de chaque DC de l'autre forêt pour dialoguer. Pour cela il faut que la résolution DNS de la zone DNS de chaque forêt fonctionne correctement dans les deux sens (via les redirecteurs ou la création uns zone secondaire), puis que les IP et même les services AD : SRV Ldap,kerberos,GC,..ect sont déclarés dans le DNS.
    Avec le NAT qui modifie l'IP dans le paquet , les DC ne peuvent pas se communiquer via l'IP fourni par le DNS ce qui va compliquer la communication entre les DCs



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 30 mars 2017 07:57
    Modérateur
  • Merci pour vos réponses.

    Mon premier DC est en WAN, le second est en LAN derrière un NAT. Mes deux DC gèrent un cluster chacun, je voudrais donc rapatrier les VM clusterisées du cluster connecté au DC en WAN vers le cluster connecté au DC en LAN via du Live Migration Hyper-V.

    Donc si j’ai bien compris, je ne peux pas passer par un NAT.

    J’ai une petite piste qui pourrait peut-être fonctionner. Si je rajoute une carte réseau à mon DC actuellement en LAN en lui donnant une IP publique, il pourra bien communiquer avec mon DC WAN et effectuer un Livre Migration.

    Qu’en pensez-vous ?


    • Modifié EtuEtu jeudi 30 mars 2017 08:25
    jeudi 30 mars 2017 08:25
  • Déja 2 cartes réseaux sur un DC c'est pas top, il faut vérifier que le DC n'enregistre pas la 2ème carte dans le DHCP. 

    Après mettre une  IP public sur un DC c'est une solution pas très recommandables.

    VPN entre les sites ?

    jeudi 30 mars 2017 09:26
    Modérateur
  • +1 Philippe

    Active directory est considéré toujours comme un services critique, pour cela il est fortement recommandé de ne pas autoriser l'accès et la communication non sécurisé à l'AD depuis l'internet.

    Pour cette raison si vous désirer laisser un autre site communiquer avec votre infrastructure AD , il faut créer un Tunel sécurisé VPN site à site. 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 30 mars 2017 10:31
    Modérateur
  • Voici un outil sympa qui pourra vous aider :

    PortQryUI - User Interface for the PortQry Command Line Port Scanner


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 30 mars 2017 10:57
    Modérateur
  • Pour l'entrer DNS j'y avais pensé, cela ne m'inquiète pas.

    Vous devriez il n'y a pas un enregistrement DNS pour un contrôleur de domaine, mais des enregistrements A, CNAME,SRV, dans la zone du domaine et dans la zone de la forêt (_msdcs. )

    jeudi 30 mars 2017 11:36
    Modérateur
  • Bonjour,

    Je vais donc mettre en place un VPN.

    Concernant le Livre Migration, mes clusters sont chacun dans des réseaux différents :

    Cluster 1 :

    - Management : 192.168.1.0/24

    - Cluster : 192.168.2.0/24

    - ISCSI : 192.168.3.0/24

    - Live Migration : 192.168.4.0/24

    Cluster 2 :

    - Management : 10.0.1.0/24

    - Cluster : 10.0.2.0/24

    - ISCSI : 10.0.3.0/24

    - Live Migration : 10.0.4.0/24

    Pour effectuer le Live Migration de VM, les deux clusters doivent pouvoir se joindre. Quels réseau dois-je modifier ? J’ai pensé au réseau Live Migration.


    • Modifié EtuEtu lundi 3 avril 2017 07:28
    lundi 3 avril 2017 07:28
  • Bonjour,

    Pour la question dur live migration , merci d'ouvrir un nouveau thread et marquer les réponses qui vous semblent utiles pour le sujet principale de ce thread [Ports utilisés pour les relations d'approbation ] .

    Cela va aider ceux qui rencontrent le même problématique de distinguer la bonne réponse à chaque question.

    Merci d'avance pour votre compréhension.



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 3 avril 2017 10:54
    Modérateur