Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
-----Message d'origine-----
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon
réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par
le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul
problème c'est que
n'importe qui se connectant sur une prise réseau avec
son portable à accès à
Internet et peut voire toutes les machines du sous-
réseau... Cela ne m'a pas
l'air très sécurisé ; je sais que l'on peut faire des
réservations en
fonction des adresses MAC mais cela demanderai un gros
boulot d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de
cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si
ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment
faire pour que le
client récupère une adresse sur ce serveur et par sur
l'autre ?
Merci de votre aide
Jérôme
.
-----Message d'origine-----
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon
réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par
le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul
problème c'est que
n'importe qui se connectant sur une prise réseau avec
son portable à accès à
Internet et peut voire toutes les machines du sous-
réseau... Cela ne m'a pas
l'air très sécurisé ; je sais que l'on peut faire des
réservations en
fonction des adresses MAC mais cela demanderai un gros
boulot d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de
cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si
ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment
faire pour que le
client récupère une adresse sur ce serveur et par sur
l'autre ?
Merci de votre aide
Jérôme
.
-----Message d'origine-----
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon
réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par
le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul
problème c'est que
n'importe qui se connectant sur une prise réseau avec
son portable à accès à
Internet et peut voire toutes les machines du sous-
réseau... Cela ne m'a pas
l'air très sécurisé ; je sais que l'on peut faire des
réservations en
fonction des adresses MAC mais cela demanderai un gros
boulot d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de
cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si
ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment
faire pour que le
client récupère une adresse sur ce serveur et par sur
l'autre ?
Merci de votre aide
Jérôme
.
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" <veuxpasduspam_jwittmer@libertysurf.fr> a écrit dans le message
de news: uCPY1VXmEHA.2880@TK2MSFTNGP14.phx.gbl...
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" <veuxpasduspam_jwittmer@libertysurf.fr> a écrit dans le message
de news: uCPY1VXmEHA.2880@TK2MSFTNGP14.phx.gbl...
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il faut
déjà que les interlocuteurs obtiennent une adresse IP. Tu peux également
envisager de réserver toutes les adresses IP disponibles aux adresses MAC
de tes postes clients, mais comme tu l'écris, ça devient vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à accès
à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
En complément:
Certains commutateurs permettent d'activer le protocole 802.1x dont le but
est justement d'effectuer l'authentification du poste AVANT qu'il ait
accès au réseau.
C'est la technique utilisée chez Microsoft et beaucoup d'autre pour
sécuriser le réseau wifi, mais c'est utilisable sur le LAN également.
Il est néanmoins nécessaire de disposer :
- d'un serveur RADIUS (IAS est est-un et est inclus à Windows Server)
- de commutateurs compatibles 802.1x
Dans ce cas, le client ne peut "voir" que le serveur RADIUS tant qu'il
n'est pas authentifé.
"Olivier Pont [MS]" wrote in message
news:Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il
faut déjà que les interlocuteurs obtiennent une adresse IP. Tu peux
également envisager de réserver toutes les adresses IP disponibles aux
adresses MAC de tes postes clients, mais comme tu l'écris, ça devient
vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que
le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
En complément:
Certains commutateurs permettent d'activer le protocole 802.1x dont le but
est justement d'effectuer l'authentification du poste AVANT qu'il ait
accès au réseau.
C'est la technique utilisée chez Microsoft et beaucoup d'autre pour
sécuriser le réseau wifi, mais c'est utilisable sur le LAN également.
Il est néanmoins nécessaire de disposer :
- d'un serveur RADIUS (IAS est est-un et est inclus à Windows Server)
- de commutateurs compatibles 802.1x
Dans ce cas, le client ne peut "voir" que le serveur RADIUS tant qu'il
n'est pas authentifé.
"Olivier Pont [MS]" <olivierp@online.microsoft.com> wrote in message
news:O4nYVlXmEHA.896@TK2MSFTNGP12.phx.gbl...
Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il
faut déjà que les interlocuteurs obtiennent une adresse IP. Tu peux
également envisager de réserver toutes les adresses IP disponibles aux
adresses MAC de tes postes clients, mais comme tu l'écris, ça devient
vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" <veuxpasduspam_jwittmer@libertysurf.fr> a écrit dans le message
de news: uCPY1VXmEHA.2880@TK2MSFTNGP14.phx.gbl...
Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que
le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
Bonjour,
En complément:
Certains commutateurs permettent d'activer le protocole 802.1x dont le but
est justement d'effectuer l'authentification du poste AVANT qu'il ait
accès au réseau.
C'est la technique utilisée chez Microsoft et beaucoup d'autre pour
sécuriser le réseau wifi, mais c'est utilisable sur le LAN également.
Il est néanmoins nécessaire de disposer :
- d'un serveur RADIUS (IAS est est-un et est inclus à Windows Server)
- de commutateurs compatibles 802.1x
Dans ce cas, le client ne peut "voir" que le serveur RADIUS tant qu'il
n'est pas authentifé.
"Olivier Pont [MS]" wrote in message
news:Bonjour Jérôme,
Le problème c'est que pour AUTHENTIFIER un ordinateur, c'est-à-dire
vérifier son identité dans Active Directory, il faut déjà l'IDENTIFIER.
Et sur un réseau, le premier moyen d'identification est... l'adresse IP
(que personne ne vienne parler d'adresse MAC, c'ets pas le lieu pour un
débat ! ;-))
Dans ces conditions, pour la fourniture d'adresses IP sur un réseau LOCAL
s'apparente à la distribution d'électricité ou du téléphone. Et par
conséquent, la couche Réseau ne peut ABSOLUMENT pas être considérée comme
sécurisée. Bien entendu, des technologies existent qui permettent de
sécuriser le trafic IP entre les machines (IPSEC), mais là encore, il
faut déjà que les interlocuteurs obtiennent une adresse IP. Tu peux
également envisager de réserver toutes les adresses IP disponibles aux
adresses MAC de tes postes clients, mais comme tu l'écris, ça devient
vite ingérable.
Ce qui peut être sécurisé en revanche, c'est le comportement des postes
connectés au réseau (donc ayant une adresse IP) et authentifiés dans
l'annuaire (donc ayant des possibilités d'accès aux services présents sur
le réseau) -- on ne parle pas encore de l'utilisateur du poste, mais du
poste de travail lui-même.
Cette sécurisation se fait par le bais :
- des stratégies de groupe - configuration Ordinateur
- des permissions d'accès aux données et services
Enfin, des technos émergent afin de sécuriser l'accès au réseau lui-même,
AVANT l'attribution d'une adresse IP valide.
C'est notamment le principe de la Zone de Quarantaine du réseau local,
dans la future évolution de Windows 2003 :
http://www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx
Il s'agit en fait de placer le poste client sur un segment réseau IP
isolé, le temps de s'assurer que la configuration du système répond aux
critères de sécurité.
hth
Olivier Pont
"Jérôme" a écrit dans le message
de news:Bonjour,
J'ai installé et configuré un serveur DHCP pour mon réseau AD2000.
Les postes clients reçoivent une adresse IP et DNS par le biais de ce
serveur. Tout cela fonctionne plutôt bien... le seul problème c'est que
n'importe qui se connectant sur une prise réseau avec son portable à
accès à
Internet et peut voire toutes les machines du sous-réseau... Cela ne m'a
pas
l'air très sécurisé ; je sais que l'on peut faire des réservations en
fonction des adresses MAC mais cela demanderai un gros boulot
d'inventaire,
d'enregistrement et de mise à jour de notre "parc" de cartes Ethernet.
Ne peut on pas accepter les clients DHCP uniquement si ceux ci font
partie
du domaine AD ? Si oui comment faire ?
Autre question : si je rajoute un serveur DHCP, comment faire pour que
le
client récupère une adresse sur ce serveur et par sur l'autre ?
Merci de votre aide
Jérôme
