Pourquoi dans le cas de Patrick, ne pas créer tout simplement un sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit dans
le message de news: %23krJpsCdGHA.1856@TK2MSFTNGP03.phx.gbl...
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit
dans
le message de news: %23krJpsCdGHA.1856@TK2MSFTNGP03.phx.gbl...
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
J'avais une autre idée qui semble beaucoup plus simple
dites moi ce que vous en pensez.
1) Mise en place d'une liaison VPN entre le prestataire et l'organisation.
L'authentification se ferait directement sur le domaine racine comme si le
sharepoint était local à l'organisation (par le tube vpn).
2) Mise en place du Sharepoint chez le prestataire.
L'organisation garde la responsabilité de l'authentification et le
prestataire le maintient des machines Sharepoint et sqlserver.
Gain : pas de processus réplication.
Niveau de performance à évaluer.
et que pensez vous de la sécurité dans ce cas la ?
Merci à tous pour vos suggestion, vous êtes de l'or.
J'avais une autre idée qui semble beaucoup plus simple
dites moi ce que vous en pensez.
1) Mise en place d'une liaison VPN entre le prestataire et l'organisation.
L'authentification se ferait directement sur le domaine racine comme si le
sharepoint était local à l'organisation (par le tube vpn).
2) Mise en place du Sharepoint chez le prestataire.
L'organisation garde la responsabilité de l'authentification et le
prestataire le maintient des machines Sharepoint et sqlserver.
Gain : pas de processus réplication.
Niveau de performance à évaluer.
et que pensez vous de la sécurité dans ce cas la ?
Merci à tous pour vos suggestion, vous êtes de l'or.
J'avais une autre idée qui semble beaucoup plus simple
dites moi ce que vous en pensez.
1) Mise en place d'une liaison VPN entre le prestataire et l'organisation.
L'authentification se ferait directement sur le domaine racine comme si le
sharepoint était local à l'organisation (par le tube vpn).
2) Mise en place du Sharepoint chez le prestataire.
L'organisation garde la responsabilité de l'authentification et le
prestataire le maintient des machines Sharepoint et sqlserver.
Gain : pas de processus réplication.
Niveau de performance à évaluer.
et que pensez vous de la sécurité dans ce cas la ?
Merci à tous pour vos suggestion, vous êtes de l'or.
Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message de
news: E3D1ECC9-B10D-489D-85FE-41CFA5CE5F27@microsoft.com...
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit
dans
le message de news: %23krJpsCdGHA.1856@TK2MSFTNGP03.phx.gbl...
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message de
news:Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité" de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que
tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
- cout licence OK, mais dans le cas d'une 2ème forêt: idem!
- relation bidir OK, mais des solutions de contournement existent, ex:
désactivation réplication outbound via "repadmin /options
+DISABLE_OUTBOUND_REPL" et/ou désactivation KCC sur domaine enfant?Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone
DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité"
de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint
est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie
Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon.
En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003
R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou
plus
simplement un un DC sur le site de ton presta, tu tombera
fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer
que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière
de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et
que
tu
conserve les users de ton domaine ; même sur une autre forêt tu
dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux
de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer
le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés
par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles
Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de
mon
organisation ? et les noms de domaines différents ne posent t'ils
pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
- cout licence OK, mais dans le cas d'une 2ème forêt: idem!
- relation bidir OK, mais des solutions de contournement existent, ex:
désactivation réplication outbound via "repadmin /options
+DISABLE_OUTBOUND_REPL" et/ou désactivation KCC sur domaine enfant?
Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" <DJTechno@discussions.microsoft.com> a écrit dans le message
de
news: E3D1ECC9-B10D-489D-85FE-41CFA5CE5F27@microsoft.com...
Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone
DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité"
de
mise en oeuvre...
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint
est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie
Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon.
En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit
dans
le message de news: %23krJpsCdGHA.1856@TK2MSFTNGP03.phx.gbl...
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003
R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou
plus
simplement un un DC sur le site de ton presta, tu tombera
fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer
que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière
de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et
que
tu
conserve les users de ton domaine ; même sur une autre forêt tu
dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux
de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer
le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés
par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles
Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de
mon
organisation ? et les noms de domaines différents ne posent t'ils
pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
- cout licence OK, mais dans le cas d'une 2ème forêt: idem!
- relation bidir OK, mais des solutions de contournement existent, ex:
désactivation réplication outbound via "repadmin /options
+DISABLE_OUTBOUND_REPL" et/ou désactivation KCC sur domaine enfant?Bonne idée DJ, toutefois :
- Relation bidirectionnelle et non unidir
- Coût en licences à évaluer....
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"DJTechno" a écrit dans le message
de
news:Pourquoi dans le cas de Patrick, ne pas créer tout simplement un
sous-domaine
pour le presta du domaine racine, avec tout ce qui va bien: sous-zone
DNS,
idem WINS si y'a, tuning des réplications unidir inter-domaines,
éventuellement filtres IP sur le DC du presta pour ne pas polluer le
domaine
racine, etc...
Avantage: AD du presta mis à jour en temps réel, relative "simplicité"
de
mise en oeuvre...Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint
est
il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie
Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon.
En
revanche Une suite type office 2003 n'est pas capable d'échanger de
cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement
pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit
dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003
R2
?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a
écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou
plus
simplement un un DC sur le site de ton presta, tu tombera
fatalement
sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela
reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer
que
la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière
de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la
manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et
que
tu
conserve les users de ton domaine ; même sur une autre forêt tu
dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux
de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer
le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de
poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la
question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés
par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles
Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour
les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour
faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de
mon
organisation ? et les noms de domaines différents ne posent t'ils
pas
de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
