IPSEC sur Domaine AD2003

Le
Robby
Bonjour,

j'ai posté plusieurs fois mais aucune reponse.
J'essaye encore avec + de details.

1er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
Tout le reseau en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour Toutes les connexions et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à la serveur en
local-- KO
Chaque client essayant de pinger le client distant et le serveur distant --
KO

2er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
chaque sous-reseaux en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour reseau Local et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à leur serveur en
local ou vers une autre station -- OK mais pas crypté.
Chaque client essayant de pinger le client distant et le serveur distant --
OK et crypté.
Pourquoi en LOCAL je ne crypte pas, le trafic.
Si plus details voir les postes precedents.
Merci d'avance,
Robby.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #530177
Bonjour robby,

Vous devez appliquer aussi ipsec sur le DC, ou alors faire une exclusion
afin que les clients n'essaient pas de crypter le traffic vers leur DC.
Les DC doivent accepter certaines connexions non cryptées en supplément
(afin d'ajouter des machines dans le domaine, + DHCP si utilisé).

Pour que les deux domaines puissent communiquer en cryptant le traffic, il
faudra une relation de confiance.
Mais pourquoi crypter le traffic si vous avez déjà un vpn qui sécurise les
échanges ?

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

j'ai posté plusieurs fois mais aucune reponse.
J'essaye encore avec + de details.

1er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
Tout le reseau en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour Toutes les connexions et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à la serveur en
local-- KO
Chaque client essayant de pinger le client distant et le serveur
distant -- KO

2er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
chaque sous-reseaux en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour reseau Local et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à leur serveur en
local ou vers une autre station -- OK mais pas crypté.
Chaque client essayant de pinger le client distant et le serveur
distant -- OK et crypté.
Pourquoi en LOCAL je ne crypte pas, le trafic.
Si plus details voir les postes precedents.
Merci d'avance,
Robby.



Robby
Le #529942
Merci pour votre reponse,
Mais pourquoi crypter le traffic si vous avez déjà un vpn qui sécurise les
échanges ?


En fait je pensais faire de l' IPSEC en mode Transport + mon mode tunnel
(routeur à routeur).
Je n'ai qu'un domaine dans lequel j'ai plusieurs reseaux et donc plusieurs
DCs.
Sur chaque site il y a un DHCP, DC, server Fichiers, un routeur, les sites
sont reliés à un site central via un VPN (routeur).
Mais apparement, c'est normal que le client sur le LAN A qui se connectent
pas en IPSEc sur son propre DC.
Par contre entre les DCs distants, il y a bien le trafic en IPSEC d'un DC A
à un DC B, et m^me chose pour le client A vers le DC B ou le client B.
Vous devez appliquer aussi ipsec sur le DC ?
Ma strategie je l'applique au Niveau" Domaine" et non au Niveau "Controleur
de Domaine", est-ce correcte ?
Est-il possible de faire de l'IPSEC sur un site uniquement (DC, DHCP, et des
clients) ?
Par avance Merci,

"Mathieu CHATEAU" %
Bonjour robby,

Vous devez appliquer aussi ipsec sur le DC, ou alors faire une exclusion
afin que les clients n'essaient pas de crypter le traffic vers leur DC.
Les DC doivent accepter certaines connexions non cryptées en supplément
(afin d'ajouter des machines dans le domaine, + DHCP si utilisé).

Pour que les deux domaines puissent communiquer en cryptant le traffic, il
faudra une relation de confiance.
Mais pourquoi crypter le traffic si vous avez déjà un vpn qui sécurise les
échanges ?

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

j'ai posté plusieurs fois mais aucune reponse.
J'essaye encore avec + de details.

1er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
Tout le reseau en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour Toutes les connexions et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à la serveur en
local-- KO
Chaque client essayant de pinger le client distant et le serveur
distant -- KO

2er Essai
j'ai crée un nouveau filtre dans le Domaine (pas sur le DC de domaine) en
mettant
chaque sous-reseaux en source et en Destination, avec Protocole n'importe
lequel,Negocié la securité, pour reseau Local et Kerberos.
Entre les 2 Dcs qui se trouvent sur des reseaux distincs les pings et
replications sont ok.
Chaque client se trouvant sur leur reseau, ping et accès à leur serveur
en local ou vers une autre station -- OK mais pas crypté.
Chaque client essayant de pinger le client distant et le serveur
distant -- OK et crypté.
Pourquoi en LOCAL je ne crypte pas, le trafic.
Si plus details voir les postes precedents.
Merci d'avance,
Robby.






Publicité
Poster une réponse
Anonyme