Reprise du message précédent :
Donc cela ne va pas durer que le week-end
 
WW

 
Comment ca?  
La migration (coupure) va durer que ce week end, normalement Lundi tout fonctionne. Il nous reste plus qu'a passer un BDC en Win2003 et regler quelques détails: installation d'un second exchange 2003 en webmail, MAJ de nos regles sur nos firewall pour autoriser les nouveaux flux vers les nouvelles machines... reconfigurer les services mails d'imprimantes multifonction... enfin plein de bonnes choses

Oui le gros de l'opération sera ce wk.
 
Mais je pensai à ton BDC auquel tu n'as pas accès.
 

 
Tu as joué avec OWA 2003 ?
 
WW

 
Oui, on a joué un peu avec sur notre serveur de test mais en interne seulement.  
On a pas fait les tests de serveur frontal avec SSL et interconnexion IPsec entre le frontal (en DMZ) et le dorsal.
 

Evite un frontal en DMZ met plutôt un ISA.
 
WW

 
  comment ca? on a acheté deux licences Exchange exprès
 
C'est quand même mieux de ne pas avoir DUTOUT d'accès à notre serveur mail interne de l'exterieur quand même... non?

Oui mais un frontal en DMZ c'est lourd !!!
 
Il faut que le Front End est accès à au moins un DC.
Il va donc falloir ouvrir les ports entre le Front End et le DC. Autant dire que tu vas avoir l'arrière de ta DMZ qui va ressembler à du gruyère ;-)
 
Tout est là :
http://www.microsoft.com/technet/p [...] shing.mspx
http://blogs.msdn.com/squasta/arch [...] 35979.aspx
 
WW

Oui je sais bien, d'ou l'interet de faire un tunnel IPsec entre le frontal et un DC. Ce qui fait qu'il suffit d'autorise DNS, Kerberos et IPsec.

Oui mais bon pas très sécure :
1/ Si la machine front end est compromise le Tunnel IPSec permet de passer le FW arrière de la DMZ sans se casser la tête
2/ Le fait de faire un tunnel IPSec ne te permet pas de filtrer ce qui est échangé entre le Front End et le LAN
 
Alors qu'avec un ISA tu peix limiter les échanges aux ports 80 et 443 voir 443 uniquement.
Et tu peux faire du filtrage niveau 7. (Etre sur que les trames échangées entre ISA 2004 et le LAN ne concerne bien qu'OWA)
 
Dernier point cela permet aussi d'offloader les attaques d'authentifications.
Voir d'intégrer ultérieurement une authentification forte type RSA SecurdID par exemple.
 
 
WW

 
C'est vrai j'avais pas vu ca comme ca !
 
Par contre en amont du front end tu as quand même un firewall niveau 7 ou on autorise que du HTTPS par exemple !
 

Oui tu fais du filtrage devant ok. Mais derrière cela reste assez faible.
Et ton pare feu devant doit laisser passer tout ce qui vient en 443 vers le Front End.
Et comme le Front End n'est pas un pare feu (pas de filtrage, détection d'attaque) il peut rapidement être saturé.
 
Alors qu'avec ISA...
 
L'autre point lourd pour moi est que le Front End doit accèder à l'AD.  
Et laisser un accès à un serveur DMZ à l'AD n'est pas bon au sens qualité/sécurité.
 
Dans la DMZ tu ne dois avoir besoin de rien en ce qui concerne le LAN et surtout en ce qui concerne l'authentification du LAN.
A la limite tu devrais avoir un AD DMZ mais c'est tout sans liaison avec l'AD LAN.
Ou un RADIUS...
 
WW

 
Oui c'est vrai tu as raison
par contre le filtrage niveau 7 en amont permet quand même de bloquer les attaques arrivant sur le serveur.
 
Sinon actuellement c'est pareil, on a un serveur RAS en DMZ donc il doit avoir accès à un de nos DC pour ouvrir des sessions
 
 

Arf c'est surtout pour t'occuper le wk mes idées
 
Sinon à l'occaz en mettant en place le ISA tu pourras mettre en oeuvre la quarantaine.
Tes users arriveront en RAS seront authentifiés via Radius et ensuite une fois la quarantaine passée (check antivirus, correctifs, ...) tu leur monte un VPN entre la DMZ et le LAN
 
Aller j'arrête de te faire peur
 
WW

Hello, on a bien avancé !
 
Reste plus qu'a transferer le service messagerie d'un serveur à l'autre... ce qu'on avait pas pu teste

Punaise, on a des gros pb de login sur le poste NT4 et 98 ...
 
Impossible de se logger sur le domaine
 
D'ou ca peut venir?  
On avait pourtant testé

et impossible de sortir du domaine pour y rerentrer
 
Il dit qu'il n'arrive pas à contacter le domaine

J'en ai un de serveur BB que j'ai migré e 3.6 en 4.0 mardi de la semaine passée

Ok merci.
 
Bon, pour notre pb d'ouverture de session, ca venait de nos serveurs WINS qui avaient plein d'enregistrement en 169.*.*.* ... à cause de cartes réseaux supplémentaires non connecté sur les serveurs.
 
On a essayé de vider les bases WINS mais ca marche pas super bien
 
Si vous avez une explication ca serait bien car là je sature et j'y comprends plus rien
 

Tu le vides comment ton WINS ?
 
Tu devrais regarder dans le RK de Windows NT 4.
Il y a un tool nommé Winscl.exe qui permet entre autre de vider une base Wins.
 
Si les cartes sont non connectées sur tes serveurs tu devrais les passer en disable/désactivé, non ?
 
WW

hello !
 
Tu es sur qu'avec un outils du RK NT4 on peut vider une base sur un serveur 2003?

Je pensai que tes bases Wins étaient restées sous NT 4.
 
Tu dois trouver le même tool dans le RK de Windows 2000.
 
WW

UP !
 
Heeeeeeeeelp, on a un gros soucis à priori ! j'ai commencé à installer mon serveur frontal et il ne trouve pas le compte de service exchange (root).
 
Après recherche dans AD il est INTROUVABLE ! est ce possible de changer le compte de service exchange?
 
Personne n'a supprimé ce compte, est ce possible qu'ADC l'ai viré?
 
Exchange fonctionne, mais je craints le pire si on doit rebooter le serveur??????

Qd tu es sur ton serveur Exchange et que tu regardes les propriétés de démarrage des services Exchange tu as quoi comme compte ?
 
Sinon oui c'est possible de changer le compte mais il va falloir rappliquer tous les droits notamment sur Exchange.
 
Arrives-tu à ouvrir la console d'admin ?
 
WW

Hello !
 
Les comptes de service exchange démarrent en "local system". Tout marche bien sous exchange.
 
J'ai trouvé qu'il était impossible de changer ce compte en mode Mixte. Donc j'ai supprimé mon ancien serveur Exchange 5.5 ! pour passer en organisation 2003 native !
 
Maintenant j'attends qu'il disparaisse de l'organisation. J'ai un peu peur de redémarrer les service exchange
 
Sinon au niveau des droit dans exchange, je vois l'admin du domaine ayant des droit un peu partout... d'ailleur on fait tout sous ce login...
 
 
 

Bon on a supprimé le serveur Exchange 5.5 de l'organisation mais il apparait tjrs... en tant qu'il apparait on ne peut pas passer en mode natif
 

Et l'ADC ?
 
Tant que tu as l'ADC tu as une référence à ton ancien environnement.
 
WW

Oui, les accords de connexion sont supprimés et ADC désinstallé du serveur.

Il se passe quoi quand tu tentes le passage en mode natif dans la console d'admin ?
 
Tu as un message d'erreur ?
Si oui lequel.
 
Vois-tu tjrs le serveur 5.5 dans l'organisation ?
 
WW

 
Il ne se passe rien car l'option est grisée du fait qu'il reste bien mon serveur 5.5 dans l'organisation.
On avait pourtant testé la suppression du 5.5 et ca fonctionnait bien. (Le 5.5 à été supprimé de l'organisation depuis la console d'admin 5.5 puis je l'ai désinstallé)

Supprimes le là où tu le vois.
 
L'ADC étant inactif la réplication n'aura plus lieu entre la partie 5.5 et la partie 2003.
 
Donc il faut le virer de la liste des serveurs de l'organisation côté 2003.
 
Pour les clients tout est ok ?
 
WW

Oui, seulement dans la partie "serveur" de l'organisation il n'est pas possible de supprimer un serveur...
 
Sinon au niveau des clients tout va bien, il a fallu changer le profil des vieilles version d'outlook mais c'est bon.

Par contre jusqu'a ce matin on pouvait voir les onglets "proprieté" du serveur 5.5, maintenant, depuis que je l'ai complettement désinstallé il n'est plus possible dutout de les voir.
 
Je vais redemarrer le serveur ce midi, j'ai un espoir.

Serveur redémarrer et serveur 5.5 toujours visible

J'ai l'impression qu'on ne peut pas le supprimer justement du fait qu'il manque le compte
 
Ca fait qu'on se mord la queue...

How to remove an Exchange Server 5.5 computer from an Exchange 2000 Server administrative group by using ADSI Edit
http://support.microsoft.com/kb/328668/en-us
 
WW

punaise je cherche depuis ce matin mais je ne l'avais pas trouvé celle là...
 
Je test.

Key words
 
WW

Enfin bon j'y pensais bien à ADSI Edit, mais je ne l'aurai pas fait sans procédure...
 
je viens de le faire et j'ai pu supprimer mon SRS !  
Ce qui fait que je n'ai plus de compte de service Exchange 4 / 5.x
 
Reste plus qu'a voir si on peut rajouter un serveur maintenant !

C'est bon !!!!
Le serveur n'est plus là et j'ai pu installer mon serveur frontal sans renseigner aucun mot de passe
 
MERCI BEAUCOUP une fois encore WW

Y a pas de quoi.
 
Pour les comptes admin je voulais te dire de pas t'inquiéter.
Tu es sous AD donc il suffit d'avoir un compte capable de modifier l'AD (Créations d'objet et modifications d'attributs)
 
D'où ma question il y a qq posts sur le comptes administrateur
 
WW

Je viens de créer un forum pour les utilisateurs francophones des solutions Blackberry, si quelqu'un est intéressé pour alimenter en informations le forum: you're welcome
 
http://forum.blackberry.free.fr
 
Nico