Je dois intégrer une nouvelle filiale internationale en tant que domaine
enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall
qui fait de la translation d'adresse et j'ai peur que celà pose problème. au
niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un
pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une
solution ? (sans suppression du NAT)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Samuel LEFEBVRE
Bonjour,
Il faut peut être établir un canal VPN entre les 2 sites.
Cordialement, Samuel LEFEBVRE
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
Merci d'avance
Vincent
Bonjour,
Il faut peut être établir un canal VPN entre les 2 sites.
Cordialement,
Samuel LEFEBVRE
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine
enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall
qui fait de la translation d'adresse et j'ai peur que celà pose problème. au
niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un
pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une
solution ? (sans suppression du NAT)
Il faut peut être établir un canal VPN entre les 2 sites.
Cordialement, Samuel LEFEBVRE
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
Merci d'avance
Vincent
Mathieu CHATEAU
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans les DNS doivent correspondre à des adresses IP joignable depuis un DC. Reste à voir à quel niveau est fait le nat (entre les deux firewall, les DC n'y voient que du feu (sans jeu de mot!) -- Regards, Mathieu CHATEAU http://lordoftheping.blogspot.com
"Vincent" wrote in message news:
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
Merci d'avance
Vincent
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce
qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans les
DNS doivent correspondre à des adresses IP joignable depuis un DC.
Reste à voir à quel niveau est fait le nat (entre les deux firewall, les DC
n'y voient que du feu (sans jeu de mot!)
--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Vincent" <Vincent@discussions.microsoft.com> wrote in message
news:C77E8074-4A78-4F72-9F40-33A8E71D6328@microsoft.com...
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine
enfant dans ma forêt AD. Le pb est que le traffic va passer par un
firewall
qui fait de la translation d'adresse et j'ai peur que celà pose problème.
au
niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD,
quelqu'un
pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une
solution ? (sans suppression du NAT)
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans les DNS doivent correspondre à des adresses IP joignable depuis un DC. Reste à voir à quel niveau est fait le nat (entre les deux firewall, les DC n'y voient que du feu (sans jeu de mot!) -- Regards, Mathieu CHATEAU http://lordoftheping.blogspot.com
"Vincent" wrote in message news:
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
Merci d'avance
Vincent
Jonathan Bismuth
Oui et non...
avec du NAT old school, Kerberos ne passera jamais et les deux DC ne se trouveront pas (logique, puisque le NAT est vu in the middle et modifie les paquets Kerberos). Si votre matériel gère le Nat Transversal (NAT-T), les flux kerberos ne seront pas touchés donc pas de problèmes.
Dans la mesure ou vous souhaiteriez en plus gérer les ports un à un, je vous suggère de jeter un coup d'oeil au remarquable article concernant le problème rpc dynamique et firewall sur le site de MS : http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Mathieu CHATEAU" a écrit dans le message de news:
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans les DNS doivent correspondre à des adresses IP joignable depuis un DC. Reste à voir à quel niveau est fait le nat (entre les deux firewall, les DC n'y voient que du feu (sans jeu de mot!) -- Regards, Mathieu CHATEAU http://lordoftheping.blogspot.com
"Vincent" wrote in message news:
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
Merci d'avance
Vincent
Oui et non...
avec du NAT old school, Kerberos ne passera jamais et les deux DC ne se
trouveront pas (logique, puisque le NAT est vu in the middle et modifie les
paquets Kerberos).
Si votre matériel gère le Nat Transversal (NAT-T), les flux kerberos ne
seront pas touchés donc pas de problèmes.
Dans la mesure ou vous souhaiteriez en plus gérer les ports un à un, je vous
suggère de jeter un coup d'oeil au remarquable article concernant le
problème rpc dynamique et firewall sur le site de MS :
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
FAEB5960-E550-4E07-9A7B-53CFE80C4B88@microsoft.com...
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce
qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans
les DNS doivent correspondre à des adresses IP joignable depuis un DC.
Reste à voir à quel niveau est fait le nat (entre les deux firewall, les
DC n'y voient que du feu (sans jeu de mot!)
--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Vincent" <Vincent@discussions.microsoft.com> wrote in message
news:C77E8074-4A78-4F72-9F40-33A8E71D6328@microsoft.com...
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine
enfant dans ma forêt AD. Le pb est que le traffic va passer par un
firewall
qui fait de la translation d'adresse et j'ai peur que celà pose problème.
au
niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD,
quelqu'un
pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une
solution ? (sans suppression du NAT)
avec du NAT old school, Kerberos ne passera jamais et les deux DC ne se trouveront pas (logique, puisque le NAT est vu in the middle et modifie les paquets Kerberos). Si votre matériel gère le Nat Transversal (NAT-T), les flux kerberos ne seront pas touchés donc pas de problèmes.
Dans la mesure ou vous souhaiteriez en plus gérer les ports un à un, je vous suggère de jeter un coup d'oeil au remarquable article concernant le problème rpc dynamique et firewall sur le site de MS : http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Mathieu CHATEAU" a écrit dans le message de news:
Le problème est surtout le nombre de ports à ouvrir pour le traffic AD, ce qui rend réduit la protection des firewall à "a piece of cake".
Il n'y a pas de pb direct avec le NAT, en revanche, les adresses IP dans les DNS doivent correspondre à des adresses IP joignable depuis un DC. Reste à voir à quel niveau est fait le nat (entre les deux firewall, les DC n'y voient que du feu (sans jeu de mot!) -- Regards, Mathieu CHATEAU http://lordoftheping.blogspot.com
"Vincent" wrote in message news:
Bonjour,
Je dois intégrer une nouvelle filiale internationale en tant que domaine enfant dans ma forêt AD. Le pb est que le traffic va passer par un firewall qui fait de la translation d'adresse et j'ai peur que celà pose problème. au niveau AD. Ne connaissant pas vraiment les impacts du NAT sur AD, quelqu'un pourrait il me dire si ça peut marcher ou pas, et sinon y aurait il une solution ? (sans suppression du NAT)
