 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Sécurité d'un controlleur de domaine : DC secondaire | |
| Profil supprimé | merci à vous en tout cas, il me reste plus qu'à mettre en place un système DFS pour assurer les pannes à venir :hello: |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| merci à vous en tout cas, il me reste plus qu'à mettre en place un système DFS pour assurer les pannes à venir :hello: |
| petoulachi | Et sans aide, juste en cherchant un peu ;) |
| Bon finalement j'ai réussi à obtenir la réplication du dns, et j'ai également crée un nouveau DHCP avec une plage d'adresse différente.
|
| J'ai donc fais un DCPROMO, Active directory a bien été dupliqué mais pas le DNS... que dois-je faire svp je patauge. |
| mais vu que mon DNS est intégré a Active Directory je ne devrais pas plutot fair un DCPROMO pour mettre le serveur enfant du domaine ? le dns devrai suivre tout seul non ?
|
|
| fievel | :non: (enfin si je dis pas une connerie) @ip idem que sur ton serveur 1 |
| alors le premier serveur :
ip : 192.168.0.3 ma : 255.255.255.0 ps : 192.168.0.1 (routeur) dns1 : 192.168.0.3 dns2 : rien j'ai donc configurer le deuxième de cette manière : ip : 192.168.0.4 ma : 255.255.255.0 ps : 192.168.0.1 (routeur) dns1 : 192.168.0.3 <---- je devrais mettre 4 ici ? dns2 : rien |
| fievel | Ip fixe, install du DNS puis reste + car attendre la synchro ;) |
| ok, je viens de joindre le nouveau serveur serveur au domaine.
je lui fixe maintenant une IP fixe ? ou je commence par le DNS ? |
| ok mon DNS est bien intégré a AD.
j'effectue une sauvegarde et je test la restauration avant d'installer le nouveau serveur. |
| LaTeX_ |
|
| pour résumer tu as procédé comme qui suit : -installer l'OS -rejoindre le domaine -ajouter le service DNS (le même que celui du premier serveur?) -dcpromo -configurer le serveur DNS |
| petoulachi | Dans la MMC de ton DNS, s'il est marqué comme "authorisé" c'est qu'il est intégré a AD.
EDIT: j'arrete l'alcool dès ce soir, j'ai confondu avec les serveurs DHCP ! De toute façon, si tu as installé DNS en meme temps que le dcpromo il est normalement intégré à ton AD. |
| Comment savoir si le DNS est intégré a AD ? |
| Jef34 | Ben tu peux faire la meme chose avec ton serveur Exchange + un serveur SMTP.
Si le mail arrive sur ton serveur Exchange -> BAL S'il arrive sur le serveur SMTP SMTP -> Exchange -> BAL Si le serveur Exchange tombe, le second SMTP récupérera les mails |
| petoulachi | Ok je vois :)
Le problème c'est qu'il va m'etre difficile d'obtenir un serveur de plus a ma boite :D |
| Jef34 | J'ai déjà mis en place cette architecture et ca te permet d'avoir un temps de surcis réglable.
Tu mets deux serveurs Proxy SMTP en tête de ton réseau (un simple IIS suffit) Tu mets un mx par serveur SMTP IIS ou autre. Chaque serveur SMTP renvoie les mails vers ton serveur Exchange (ajoute un mx pour ton serveur Exchange sur ton DNS interne) Ca fait 3 serveurs je sais mais bon.. Il te faut au choix
|
| petoulachi | Tu peux expliquer ?
tu parler d'installer une appli serveur de mail, ou bien juste de me servir du service smtp ? |
| Jef34 | Si c'est un Windows 2003 Server, active un serveur SMTP sur le second avec distribution sur ton serveur Exchange.
Si le Dc1 tombe, le second va au moins récupérer les mails venant d'internet (Serveur SMTP) et les stocker en attendant de pouvoir les délivrer à ton serveur Exchange |
| petoulachi | Voila, c'est mis en place.
Finalement j'ai pas remis WINS sur le deuxieme, tous nos postes sont sous XP ou 2003. Et puis wins c un trou de sécurité a lui tout seul :D (et c pas vital du tout). Pour DHCP, j'ai préféré la solution d'avoir une copie de mon serveur DHCP du DC1 inactif. Si le DC1 tombe en rideau alors j'activerai le DHCP du DC2. Me reste plus qu'a trouver un serveur Mail gratuit pour faire MX2. Vous avez des conseils là dessus ? |
| LaTeX_ |
|
| petoulachi | Bon alors je pense que je vais procéder dans cet ordre là. Est-ce que vous avez de la doc la dessus ? je ne trouve pas grand chose d'interessant sur le net :/
Derniere question, j'ai vu qu'un controleur réplicat n'héberge pas automatiquement le catalogue global. Est-ce un problème, si on imagine que le premier DC tombe en rideau pour plusieurs jours ? |
| LaTeX_ |
|
| fievel |
|
| LaTeX_ | bon bah y'a plus qu'à :D |
| petoulachi |
|
| LaTeX_ | [quote=1936211,0,11,39427]Ok, il va falloir que j'approfondisse la nation de zone et de réplication de zone dans ce cas. En fait il faut que j'installe le serveur DNS alors que la machine n'est pas intégrée dans le domaine (en temps que machine, pas encore comme DC) ? Dans ma tete, je voulais:
-installer l'OS -rejoindre le domaine -installer DNS et l'ajouter a AD -dcpromo [/quote] pour moi la machine était déjà dans le domaine ;) Sinon à l'install du DNS, tu va l'ajouter juste en DNS secondaire au départ ;) Tu peux aussi installer DNS après AD, vu que ton serveur sera un DC supplémentaire, il s'appuiera sur le DNS de srv 1 pour commencer :D [quote=1936211,0,11,39427] Je ne compte pas avoir de double pour exchange. Trop cher en licence, et ce n'est pas vital.[/quote] vital, peut être pas toujours, mais c'est le premier service pour lequel l'utilisateur viendra râler [:aras qui rit] edit : WINS tu verra c'est le plus simple, des partenaires de réplication à configurer, et le tour est joué :whistle: Seul défaut de wins c'est le mode de réplication, mais pour une petite topologie c'est négligeable, surtout si tu es en lan, comme on le suppose depuis le début ;) |
| petoulachi | [quote=1935997,9,0,58375]ouaip, seulement le dns monté sur le serveur 2 au départ ne sera pas intégré à AD. Une fois ton AD monté sur le 2 ème serveur, tu pourra changer le type de zone.
-Installation DNS -Réplication de ta zone de srv 1 vers srv 2 -Installation AD en tant que faisant partie d'une foret existante, domaine existant -Modification du type de la zone en zone intégrée à AD[/quote] Ok, il va falloir que j'approfondisse la nation de zone et de réplication de zone dans ce cas. En fait il faut que j'installe le serveur DNS alors que la machine n'est pas intégrée dans le domaine (en temps que machine, pas encore comme DC) ? Dans ma tete, je voulais: -installer l'OS -rejoindre le domaine -installer DNS et l'ajouter a AD -dcpromo [quote=1936158,0,10,23673] Pour le WINS1 et WINS2, il te faut configurer une partenaria Emission/Collecte entre les deux serveurs WINS. C'est dans l'onglet Réplication que tu trouveras ton bonheur. [/quote] Très bien, là aussi il va falloir que j'approfondisse tout ça :D [quote=1936158,0,10,23673] Pour Exchange, pas d'autres solutions que le clustering...[/quote] Je ne compte pas avoir de double pour exchange. Trop cher en licence, et ce n'est pas vital. |
| Jef34 | Et installer le service de DNS sur le DC2 car comme il y en a un il ne le fera pas par défaut.
Pour le WINS1 et WINS2, il te faut configurer une partenaria Emission/Collecte entre les deux serveurs WINS. C'est dans l'onglet Réplication que tu trouveras ton bonheur. Pour Exchange, pas d'autres solutions que le clustering... |
| LaTeX_ | [quote=1935800,0,8,39427]Oui, il faut qu'avant de faire le dcpromo, mon deuxieme serveur ai comme serveur DNS celui du controlleur 1.
Il semble qu'il faille d'ailleurs procéder dans cet ordre : je commence par installer le serveur DNS sur mon deuxieme serveur. Je l'ajoute a AD. Une fois que c'est fait, je fais ensuite le DCPromo. Qqu a deja fait la manip ?[/quote] ouaip, seulement le dns monté sur le serveur 2 au départ ne sera pas intégré à AD. Une fois ton AD monté sur le 2 ème serveur, tu pourra changer le type de zone. -Installation DNS -Réplication de ta zone de srv 1 vers srv 2 -Installation AD en tant que faisant partie d'une foret existante, domaine existant -Modification du type de la zone en zone intégrée à AD |
| petoulachi | Oui, il faut qu'avant de faire le dcpromo, mon deuxieme serveur ai comme serveur DNS celui du controlleur 1.
Il semble qu'il faille d'ailleurs procéder dans cet ordre : je commence par installer le serveur DNS sur mon deuxieme serveur. Je l'ajoute a AD. Une fois que c'est fait, je fais ensuite le DCPromo. Qqu a deja fait la manip ? |
| cvb | [quote=1935717,0,6,39427]Ok, donc je vais partir sur un replicat de controlleur de domaine (cela se fait lorsque je fait un dcpromo sur le deuxieme serveur : il va me proposer de faire un réplicat c'est ça ?).
Pour le DNS, il sera activé a AD, donc ça aussi c'est résolu :). Pour WINS, vous savez comment ça va se passer ? Ainsi que pour DHCP (dans le cas d'un cluster)?[/quote] Il te proposeras plein de choix : nouveau domaine, domaine pour domaine existant, domaine enfant,ect...Dans tous les cas, tu devras être client de ton serveur n°1 (je parle du DNS que tu devras mettre) |
| petoulachi | Ok, donc je vais partir sur un replicat de controlleur de domaine (cela se fait lorsque je fait un dcpromo sur le deuxieme serveur : il va me proposer de faire un réplicat c'est ça ?).
Pour le DNS, il sera activé a AD, donc ça aussi c'est résolu :). Pour WINS, vous savez comment ça va se passer ? Ainsi que pour DHCP (dans le cas d'un cluster)? |
| fievel | :hello:
Si ton DNS est intégré à AD, le problème ne ce pose pas ;) :jap: |
| petoulachi | Qd je parle de controlleur de domaine secondaire, j'entendais bien par là un réplica (la notion de controlleur de domaine secondaire a disparu avec win2000). Au final ça revient sensiblement au meme ;)
Pour le serveur DHCP, ce n'est pas vraiment une solution qui me plait... Le cluster de serveur DHCP est si complexe ? Pour exchange, en fait sur le deuxieme controlleur on va installer un serveur mail gratuit, uniquement pour recevoir les mails (MX2) le tps que le serveur exchange soit remonté :D |
| cvb | [quote=1935433,0,1,39427]Bonjour à tous,
dans le cadre de mon entreprise, j'ai la charge de mettre en place le réseau de celle-ci. A l'heure actuelle, nous disposons d'un serveur controlleur de domaine windows 2003. Il fait également serveur DNS, DHCP, WINS et Exchange2003. Ce serveur est donc primordiale pour l'entreprise. Afin de le sécuriser, nous avons acheté un autre serveur qui a pour but de devenir le controlleur de domaine secondaire. Le but est de pouvoir mettre le premier serveur hors tension sans paraliser l'entreprise. J'aimerai donc vos avis/suggestions pour la solution à mettre en place. Je m'étais imaginer de faire un controlleur de domaine secondaire qui hébergerai lui aussi le catalogue global. Ainsi, au niveau du domaine la coupure du premier serveur ne posera normalement aucun problème (corrigez moi si je me trompe). Là ou je bloque un peux plus, c'est pour les fonctions de serveurs DNS, DHCP et WINS. Comment dois-je m'y prendre ? Un serveur DHCP ne peux pas fonctionner avec un deuxieme serveur DHCP sur une meme plage d'adresse. La seule solution que j'ai trouvé à l'heure actuelle semble être un cluster de serveur DHCP... Et qu'en est-il de DNS et WINS ? Si je crée un serveur DNS, et que je donne son ip à mes stations clientes comme serveur dns secondaire, sera-t-il mis à jour lorsqu'une nouvelle entrée sera ajouté a mon premier serveur DNS ? Bref, j'espère que vous allez pouvoir éclairer ma lanterne, car je suis certain que de telles solutions ont déjà été mis en place ici :)[/quote] Tu te complique la vie ! Sous 2003, oublie la notion de secondaire (même si ca existe). T'as un serveur X et tu veux une tolérance de panne ? Depuis 2000 Srv on peut faire des réplicas, des serveurs principal, pour faire simple c'est un jumeaux du second ! Les deux synchronises les informations tous les X minutes. Sur ton second, tu auras les mêmes comptes et le même AD que sur le premier, toute modifications que tu feras sur le second, seront mise à jour sur le premier. C'est trés bête ! Ce que tu devras faire sur le second, c'est réinstallé les services (pour le DNS, demande confirmation ?), dont le DHCP et le wins ! Pour le DHCP, tu mets par exemples des beaux d'adresse compris entre 192.168.0.10 et 192.168.0.50 sur le premier et entre 192.168.0.51 et 192.168.0.100 sur le second ! plus les configurations qui vont bien (routeur, DNS,ect...). Tu crée une tolérance de panne... Sur les postes clients par contre, tu devras donner, les DNS des 2 serveur tout comme donner les deux adresses du WINS, dans les propriètes TCP/IP ! Si une machine ne répond pas, l'autre se fera un plaisir de répondre. Seul soucis, c'est le service DNS, je ne sais pas trop s'il faut le réinstaller sur le second ? Ce qui es sur, c'est que ton réplica dévra être client de ton serveur principal ! |
| LaTeX_ | [quote=1935433,0,1,39427]Bonjour à tous,
dans le cadre de mon entreprise, j'ai la charge de mettre en place le réseau de celle-ci. A l'heure actuelle, nous disposons d'un serveur controlleur de domaine windows 2003. Il fait également serveur DNS, DHCP, WINS et Exchange2003. Ce serveur est donc primordiale pour l'entreprise. Afin de le sécuriser, nous avons acheté un autre serveur qui a pour but de devenir le controlleur de domaine secondaire. Le but est de pouvoir mettre le premier serveur hors tension sans paraliser l'entreprise. J'aimerai donc vos avis/suggestions pour la solution à mettre en place. Je m'étais imaginer de faire un controlleur de domaine secondaire qui hébergerai lui aussi le catalogue global. Ainsi, au niveau du domaine la coupure du premier serveur ne posera normalement aucun problème (corrigez moi si je me trompe). Là ou je bloque un peux plus, c'est pour les fonctions de serveurs DNS, DHCP et WINS. Comment dois-je m'y prendre ? Un serveur DHCP ne peux pas fonctionner avec un deuxieme serveur DHCP sur une meme plage d'adresse. La seule solution que j'ai trouvé à l'heure actuelle semble être un cluster de serveur DHCP... Et qu'en est-il de DNS et WINS ? Si je crée un serveur DNS, et que je donne son ip à mes stations clientes comme serveur dns secondaire, sera-t-il mis à jour lorsqu'une nouvelle entrée sera ajouté a mon premier serveur DNS ? Bref, j'espère que vous allez pouvoir éclairer ma lanterne, car je suis certain que de telles solutions ont déjà été mis en place ici :)[/quote] Au niveau du domaine, çà devrait être ok si tu as as bien 2 Catalogues globaux, et si tes machines sont du 2k /xp. On peut avoir peut être des problèmes avec des os plus vieux (à confirmer j'ai jamais eu le cas) Pour DHCP, avant le cluster tu peux considerer le doublement de ton range d'adresses... je m'explique: si tu as mettons 1 range pour 50 machines (192.168.1.1 à .50), tu mets 2 ranges qui ne se recouvrent pas... style un range sur le 1er serveur de 192.168.1.1 -> .50 et sur l'autre serveur de .51 à .100 par exemple. Le premier dhcp qui répondra fournira une ip et si un des deux tombe, il y a assez d'ip pour tout le monde, désavantage çà consomme pas mal d'ips, mais bon ;) Pour DNS et WINS, t'as pas de problème, meme si le premier tombe le poste ira de même s'inscrire sur le secondaire :) T'as prévu quelque chose pour exchange ? :D |
| petoulachi | Bonjour à tous,
dans le cadre de mon entreprise, j'ai la charge de mettre en place le réseau de celle-ci. A l'heure actuelle, nous disposons d'un serveur controlleur de domaine windows 2003. Il fait également serveur DNS, DHCP, WINS et Exchange2003. Ce serveur est donc primordiale pour l'entreprise. Afin de le sécuriser, nous avons acheté un autre serveur qui a pour but de devenir le controlleur de domaine secondaire. Le but est de pouvoir mettre le premier serveur hors tension sans paraliser l'entreprise. J'aimerai donc vos avis/suggestions pour la solution à mettre en place. Je m'étais imaginer de faire un controlleur de domaine secondaire qui hébergerai lui aussi le catalogue global. Ainsi, au niveau du domaine la coupure du premier serveur ne posera normalement aucun problème (corrigez moi si je me trompe). Là ou je bloque un peux plus, c'est pour les fonctions de serveurs DNS, DHCP et WINS. Comment dois-je m'y prendre ? Un serveur DHCP ne peux pas fonctionner avec un deuxieme serveur DHCP sur une meme plage d'adresse. La seule solution que j'ai trouvé à l'heure actuelle semble être un cluster de serveur DHCP... Et qu'en est-il de DNS et WINS ? Si je crée un serveur DNS, et que je donne son ip à mes stations clientes comme serveur dns secondaire, sera-t-il mis à jour lorsqu'une nouvelle entrée sera ajouté a mon premier serveur DNS ? Bref, j'espère que vous allez pouvoir éclairer ma lanterne, car je suis certain que de telles solutions ont déjà été mis en place ici :) |
