Bonjour,
 
J'ai un serveur Windows 2016 avec contrôleur de domaine et des postes clients.
Certains d'entre eux ont été déplacés géographiquement, ils ne sont donc plus en contact sur le réseau local.
J'ai mis en place un VPN logiciel qui fonctionne très bien, je peux pinger le serveur et me connecter aux lecteurs réseaux.
 
Le problème est que si je change le mot de passe d'un utilisateur dans l'active directory, cela ne change pas sur le poste client.
Idem je ne peux pas rejoindre le domaine depuis un PC neuf à ajouter au contrôleur.
 
Quelle serait la solution pour ces 2 problèmes svp ?
 
Merci à vous

la résolution dns interne fonctionne bien ?

Ce n'est pas aussi simple, le VPN logiciel permet de pinger le nom netbios mais pas l'ip.

On ping une IP hein, derrière un nom il y a une IP... Et en plus je te parle de dns

Non car l'IP sera celle du VPN logicielle donc niveau DNS c'est idem

Quand tu changes le mot de passe dans l'AD, il faut que ton PC soit connecté au VPN. Tu verrouilles la session Win + L et tu déverrouilles avec le nouveau mot de passe.

J'ai les DNS de la box de là ou sont les PC mais oui ça fonctionne très bien

non justement ça ne fonctionne pas.

les routes de ton VPN ne sont pas bonnes alors

Je l'utilise sur beaucoup de postes à différents endroits et les accès fonctionnent très bien, quel logiciel pourrait faire ce que je veux ?

Ce n'est pas un problème de logiciel mais de comment tu l'as configuré. Aussi bien du côté client que côté serveur.
 
C'est quoi ton logiciel ?

Faut utiliser les DNS de ton DC. Point c'est tout

Hamachi de Logmein

Sacrément pro cette solution dis donc

 
La critique est facile et non argumentée, mais que proposes tu de plus pro ?

Comme le dit nebulios c'est pas un logiciel pro. Tu utilises plutot ça à titre perso pour te dépanner ou bidouiller entre potes.
 
La logmein te fait surement une connexion à ton réseau pro mais ne donne surement pas les DNS de ton domaine à ta machine donc je ne vois pas comment ça pourrait fonctionner.
 
De l'autre côté tu as un logmein sur ton DC ???

Je ne suis pas d'accord avec vous, la solution payante est plutôt pro et permet un déploiement facile des postes avec possibilité de bloquer les postes dont on ne veut plus donner d'accès à tout moment.
 
Oui je l'ai sur mon DC en mode serveur et en mode client sur les postes clients

ah ouais, y a rien qui va là en fait c'est pire que ce que je pensais.

Alors tu n'as pas dit que tu utilisais la version Pro.
Au vu de la tarification, ça me semble toujours plus cher qu'un strongswan + openvpn.
 
Et enfin mettre cette solution sur ton DC c'est prendre un ENORME risque de compromission de ton infra. Je te conseille de le désinstaller rapidement et d'utiliser un autre serveur, dans un autre vlan ou en DMZ.

Pourquoi un risque de compromission ?
 
C'est une solution transparente pour un utilisateur sans grande connaissance informatique, il faut que ce soit simple pour qu'il se connecte.
Avec cette solution il n'y a rien à faire donc très simple.

Cela sous entend que ton DC a accès à internet, ce qui n'est pas une bonne pratique.
Autre bonne pratique c'est de ne rien (RIEN) installer sur un DC, même pas une fonctionnalité, style serveur d'impression ou de fichiers.
Si l'application logmein se fait poutrer c'est une porte grande ouverte sur toute ton infra.
 
Et puis cette solution te semble parfaite mais elle ne répond pas à ton besoin donc pourquoi la garder ?

Bon ok, je vais regarder du coté strongswan et open VPN
 
Mais si un utilisateur possède ce VPN et que du jour au lendemain il faille lui couper, je peux le faire sans accès à son poste ?
(Certains utilisateurs accèdent aux dossiers partagés depuis un pc perso)

J'ai un peu de mal à comprendre comment fonctionne ton SI...

Si tu ne veux plus qu'un utilisateur utilise le VPN, tu lui retires les droits de le faire.

Et entre nous, tu ne devrais pas autoriser tes utilisateurs à se connecter à ton SI depuis un pc perso, c'est aussi dangereux que d'exposer ton AD sur internet.

Je sais que je ne devrais pas, mais si le client l'exige je ne peux pas m'opposer.

Si c'est pas ton SI c'est différent.  
 
Mais si tu es presta/partenaire tu dois informer le client des risques qu'il prend car c'est sur toi (ta société) qu'il se retournera en cas de problème.

C'est déjà fait ça ;-)

 
Faudrait quand même savoir ce qu'est un VPN quand on propose des prestas pour des entreprises, non ?
Surtout que même le grand public peut en faire avec une simple box ...

On s'éloigne du sujet

 
Ah bon ?
T'as surement raison, ça a l'air accessoire la compétence

C'est fou que l'on vienne demander un renseignement technique, et que ça parte dans le juridique et que je doive me justifier de compétence ou autre.
 
Je ne demande pas un avis si ce que je fais est bien ou non, je demande une solution technique que j'ai fini par trouver d'ailleurs.
 
En quoi vos jugements seraient plus compétents que les miens ?
Vous ne connaissez même pas la solution payante de ce que j'utilise, ni les contraintes humaines et techniques imposées par le client.
Si j'avais voulu vous demander un avis  je vous aurais tout expliqué mais je n'ai rien dit, vous ne connaissez absolument pas la situation.
 
Mais ok je m'incline devant les maîtres de la sécurité, vous êtes les meilleurs les gars, ne changez rien, merci de votre aide.
 
(Pour info Open VPN et même citrix se sont déjà fait bousiller la tronche)

Faut redescendre.
Tu utilises du Logmein pour étendre ton réseau d'entreprise sur Internet, tu penses qu'on ping un nom d'hôte, tes DNS sont KO, ton DC sert de passoire et tu n'as jamais installé de VPN (même pas sur une Freebox).
 
Donc je vais te le dire cache (et c'est pour ton bien) : tes compétences sont beaucoup trop faibles pour vendre des prestas à des boites.
 
Donc plutôt que de croire que t'es au niveau et que tu demandes juste "un renseignement technique" alors que tout est à revoir et que tu as tout à apprendre, fais profil plus bas; ça heurte l'égo, on est tous passé par là, à différent niveau, et le tien semble assez gratiné pour ne pas pousser plus loin.

mdrrr ok
Merci pour ces bons conseils

De rien.
Bon WE kikoolol

Pas forcément, enfin, de manière indirecte : tu peux très bien utiliser un autre DNS, mais il faut qu'il redirige les requêtes sur le DNS du DC.

J'ai fait ça chez moi. De cette manière, je peux utiliser ma conf réseau habituelle pour toutes les machines et quand même joindre mon domaine qui est derrière un VPN aussi.

Bien sûr mais regarde le niveau du mec, on va pas compliquer

C'est sûr...

 
1) il faut pousser les dns de ton domaine sur tes postes (via dhcp-option DNS)
 
2) les vpn sous windows peuvent se connecter avant le logon