OpenVPN et approbations de domaines 2003

OpenVPN et approbations de domaines 2003 - Sécurité - Windows & Software

Marsh Posté le 12-02-2009 à 15:13:50    

Bonjour à tous,
 
dans le cadre d'une interconnexion de deux réseaux distants, nous souhaitons créer une approbation de domaines afin de partager les comptes et autres ressources des deux. Les domaines sont indépendants, nommons les principal.fr (un DC principal, et environ 150 postes) et secondaire.fr (un seul DC, une quinzaine de postes).
 
La liaison via Internet se fait par OpenVPN, intégré à Endian Firewall. Les deux pare-feux Endians (un client et un serveur VPN) sont connectés entre les routeurs et les réseaux locaux des deux sites. La connexion est établie en mode routé (empêche les broadcasts), les pings passent dans les deux sens d'un réseau à l'autre. Mis à part l'interface Web du pare-feu distant (port 10443), il est possible d'accéder aux interfaces Web des imprimantes réseaux, de se connecter au contrôleur de domaine secondaire.fr...
 
Seulement, l'approbation ne fonctionne pas: d'un côté ou de l'autre, les contrôleurs ne se voient pas ! Après moult recherches sur Gougueule, j'ai lu plusieurs avis comme quoi on aurait besoin de WINS, de DNS ou d'ouvrir des ports.
 
Ce qui a été tenté:  
-répliquer les zones WINS d'un DC à l'autre: en entrant l'adresse IP, le DC récupère même le nom de son homologue et copie les enregistrements (de toutes façon erronnées), mais j'avoue que j'ai du mal à servir le concept.
-répliquer les zones DNS (donc en secondaire): là, complétement impossible de les récupérer dans un sen ou l'autre.
-ajouter l'entrée sur les fichiers HOST: une entrée a été ajoutée dans chaque fichier HOST, permettant de faire la correspondance entre FQDN des serveurs et leurs IP. Ca, ça fonctionne (les pings sur le FQDN passent), mais ça ne m'apporte rien.
 
De plus, ce qui me paraît étrange, c'est qu'on parle également d'ouverture de ports, mais théoriquement, la connexion VPN ne "réunit" pas les deux réseaux locaux ? Et de ce fait, ne court-circuite-t-elle pas le pare-feu installé à ses côtés sur la même bécane ? Tout ça m'ammène à penser que cette foutue approbation utilise les broadcasts pour trouver le domaine auquel il faut donner la confiance...
 
Cordialement.
Guillaume

Reply

Marsh Posté le 12-02-2009 à 15:13:50   

Reply

Marsh Posté le 13-02-2009 à 20:00:28    

C'est une "approbation de domaine externe" ou une "approbation de forêt" ?  
As-tu ajouté une adresse redirecteur sur ton serveur DNS (principal.fr) qui pointe sur le serveur DNS distant (secondaire.fr) ?
 
http://www.laboratoire-microsoft.org/articles/win/serveurquifaittout/2/07.GIF
 
Ci-dessus doit-être mis l'IP du serveur DNS distant (secondaire.fr)
 
Le serveur principale.fr cherche le service Ldap du domaine secondaire.fr
Le serveur fait une résolution DNS du service ldap --> _ldap._tcp.dc._msdcs.secondaire.fr


Message édité par mmc le 13-02-2009 à 20:13:34
Reply

Marsh Posté le 13-02-2009 à 20:15:20    

Typiquement ce que tu dois avoir :
 
- Ton réseau full routé (chaque DC a un accès complet à l'autre au niveau réseau (pas de firewall)
- Si tu as des DC en Windows 2003, tu configures des conditionnal forwarders (google) vers l'autre domaine plutôt que des redirecteurs (win 2000).
 
Par exemple :
sur le dc de principal tu mets un conditional forwarding de secondaire.fr avec l'ip du serveur dns de secondaire.fr
Et inversement pour l'autre sens.
 
tu valides que tu peux résoudre les entrées de l'autre domaine (genre mondc.secondaire.fr, les ns, les entrées du msdcs).
 
Là tu lances ton approbation (de forêt ou externe dans ton cas)

Reply

Marsh Posté le 14-02-2009 à 13:36:49    

Utiliser un redirecteur conditionnel si tu en as la possibilité sinon il risque d'y avoir un bouclage de requêtes non résolu entre ces deux DNS.

Reply

Marsh Posté le 17-02-2009 à 14:46:18    

Bonjour, et merci pour vos réponses. L'approbation est faite, j'ai utilisé le service WINS pour que la résolution du nom de domaine se fasse lors de l'approbation.
MAIS... à cause de ce foutu VPN routé, par exemple lors d'un partage de dossier, je peux sélectionner mon domaine distant, mais pas parcourir les comptes de ce domaine. Je peux pourtant me connecter sur  un ordinateur local avec un compte du domaine distant.
J'ai désactivé le filtrage SID sur mon site local, mais rien n'y fait, toujours pas d'accès aux compte d'un côté comme de l'autre.  
 
J'imagine que c'est dû au routage, mais je ne sais pas comment passer outre. Une idée ?
 
Merci d'avance.
 
Edit: c'est un domaine externe, bien que nous ayons la charge  :pfff:  de l'administrer.


Message édité par GuillaumeDF le 17-02-2009 à 15:11:52
Reply

Marsh Posté le 17-02-2009 à 15:26:43    

vla les trucs crados quoi :/

Reply

Marsh Posté le 17-02-2009 à 16:15:33    

Bien d'accord, j'ai remplacé WINS par la redirection DNS comme m'a indiqué mmc, mais je ne peux pas changer le VPN routé en ponté: il y aurait trop de broadcasts entre les sites, donc à moins de pouvoir les limiter en fonction des protocoles, macache.

Reply

Marsh Posté le 17-02-2009 à 16:42:14    

C'est mieux de toute façon en routé, il n'y a aucun intéret de ponter ça et aucune logique

Reply

Marsh Posté le 17-02-2009 à 20:43:22    

Tu peux cliquer sur "Avancé" puis "emplacement" sélectionner le domaine distant puis cliquer sur "Rechercher". En principe tu devrais pouvoir voir tes comptes distant.
 
Laisse en mode routeur ...
si tu as des protocoles qui ne passent pas c'est qu'il y a un filtrage quelque part niveau routeur (ACL, ...) ou firewall logiciel, ...
 

Reply

Marsh Posté le 20-02-2009 à 10:03:07    

Bonjour, bon ça fonctionne, j'ai bien remplacé le WINS par DNS, et j'y ai rajouté le service LDAP pour sa résolution. Et il est bien possible de partager d'un réseau à l'autre. J'imagine que pour l'authentification je dois aussi ajouter un enregistrement SRV du protocole NBNS.
 
Merci beaucoup pour votre suivi, j'ai bien avancé du coup. A bientôt.

Reply

Marsh Posté le 20-02-2009 à 10:03:07   

Reply

Marsh Posté le 20-02-2009 à 10:09:02    

Ya rien besoin de créer hein ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed