J'aimerais effectuer une r=E9plication AD entre 3 CD : un dans un
r=E9seau (1), le second dans une DMZ (2) et le troisi=E8me dans un autre
r=E9seau (3).
les r=E9seaux 1 et 3 sont reli=E9s =E0 la DMZ.
donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer
une r=E9plication entre 1 et 2, et ensuite entre 2 et 3.
Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de
chercher 3 et inversement malgr=E9 que 2 soit aussi catalogue global !
Ai je =E9t=E9 assez clair ? Quelqu'un a t'il d=E9ploy=E9 ce genre
d'architecture ? Si oui comment ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Michaël THIBAUT [MVP]
Bonjour,
Afin que 2 soit pivot entre 1 et 3, il te faut déclarer 2 comme Tête de Pont.
Pour cela, lance la console de sites et services, développe tes noeuds jusqu'à l'endroit où se trouve 2. Clic droit sur celui ci puis propriétés. Clic alors sur IP puis Ajouter. Il te suffit alors de cliquer sur Appliquer puis OK.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"OPbob" a écrit dans le message de news:
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un réseau (1), le second dans une DMZ (2) et le troisième dans un autre réseau (3). les réseaux 1 et 3 sont reliés à la DMZ. donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer une réplication entre 1 et 2, et ensuite entre 2 et 3. Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de chercher 3 et inversement malgré que 2 soit aussi catalogue global ! Ai je été assez clair ? Quelqu'un a t'il déployé ce genre d'architecture ? Si oui comment ?
merci pour vos idées.
Bonjour,
Afin que 2 soit pivot entre 1 et 3, il te faut déclarer 2 comme Tête de
Pont.
Pour cela, lance la console de sites et services, développe tes noeuds
jusqu'à l'endroit où se trouve 2. Clic droit sur celui ci puis propriétés.
Clic alors sur IP puis Ajouter. Il te suffit alors de cliquer sur Appliquer
puis OK.
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"OPbob" <bobop@altern.org> a écrit dans le message de news:
1137408795.311228.34000@o13g2000cwo.googlegroups.com...
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un
réseau (1), le second dans une DMZ (2) et le troisième dans un autre
réseau (3).
les réseaux 1 et 3 sont reliés à la DMZ.
donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer
une réplication entre 1 et 2, et ensuite entre 2 et 3.
Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de
chercher 3 et inversement malgré que 2 soit aussi catalogue global !
Ai je été assez clair ? Quelqu'un a t'il déployé ce genre
d'architecture ? Si oui comment ?
Afin que 2 soit pivot entre 1 et 3, il te faut déclarer 2 comme Tête de Pont.
Pour cela, lance la console de sites et services, développe tes noeuds jusqu'à l'endroit où se trouve 2. Clic droit sur celui ci puis propriétés. Clic alors sur IP puis Ajouter. Il te suffit alors de cliquer sur Appliquer puis OK.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"OPbob" a écrit dans le message de news:
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un réseau (1), le second dans une DMZ (2) et le troisième dans un autre réseau (3). les réseaux 1 et 3 sont reliés à la DMZ. donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer une réplication entre 1 et 2, et ensuite entre 2 et 3. Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de chercher 3 et inversement malgré que 2 soit aussi catalogue global ! Ai je été assez clair ? Quelqu'un a t'il déployé ce genre d'architecture ? Si oui comment ?
merci pour vos idées.
Jonathan Bismuth
Bonjour OPbob,
pour compléter l'excellente réponse de Mike, penses aussi si ça n'est pas le cas à :
- définir un site par DC, et ce, même s'ils sont dans le même site géographique, afin de clarifier la topologie de réplication de l'AD - spécifier un subnet par site si possible (afin que les clients de l'un ne se connectent qu'à lui même et inversement - spécifier toi même la liaison entre les sites, afin que 1 comme 3 ne répliquent qu'avec 2 et non ensemble
Pour ma part, je penses que ça permettrait de stabiliser l'infrastructure et les flux de réplications.
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"OPbob" a écrit dans le message de news:
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un réseau (1), le second dans une DMZ (2) et le troisième dans un autre réseau (3). les réseaux 1 et 3 sont reliés à la DMZ. donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer une réplication entre 1 et 2, et ensuite entre 2 et 3. Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de chercher 3 et inversement malgré que 2 soit aussi catalogue global ! Ai je été assez clair ? Quelqu'un a t'il déployé ce genre d'architecture ? Si oui comment ?
merci pour vos idées.
Bonjour OPbob,
pour compléter l'excellente réponse de Mike, penses aussi si ça n'est pas le
cas à :
- définir un site par DC, et ce, même s'ils sont dans le même site
géographique, afin de clarifier la topologie de réplication de l'AD
- spécifier un subnet par site si possible (afin que les clients de l'un ne
se connectent qu'à lui même et inversement
- spécifier toi même la liaison entre les sites, afin que 1 comme 3 ne
répliquent qu'avec 2 et non ensemble
Pour ma part, je penses que ça permettrait de stabiliser l'infrastructure et
les flux de réplications.
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"OPbob" <bobop@altern.org> a écrit dans le message de news:
1137408795.311228.34000@o13g2000cwo.googlegroups.com...
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un
réseau (1), le second dans une DMZ (2) et le troisième dans un autre
réseau (3).
les réseaux 1 et 3 sont reliés à la DMZ.
donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer
une réplication entre 1 et 2, et ensuite entre 2 et 3.
Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de
chercher 3 et inversement malgré que 2 soit aussi catalogue global !
Ai je été assez clair ? Quelqu'un a t'il déployé ce genre
d'architecture ? Si oui comment ?
pour compléter l'excellente réponse de Mike, penses aussi si ça n'est pas le cas à :
- définir un site par DC, et ce, même s'ils sont dans le même site géographique, afin de clarifier la topologie de réplication de l'AD - spécifier un subnet par site si possible (afin que les clients de l'un ne se connectent qu'à lui même et inversement - spécifier toi même la liaison entre les sites, afin que 1 comme 3 ne répliquent qu'avec 2 et non ensemble
Pour ma part, je penses que ça permettrait de stabiliser l'infrastructure et les flux de réplications.
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"OPbob" a écrit dans le message de news:
Bonjour,
J'aimerais effectuer une réplication AD entre 3 CD : un dans un réseau (1), le second dans une DMZ (2) et le troisième dans un autre réseau (3). les réseaux 1 et 3 sont reliés à la DMZ. donc 1 ne peut contacter 3 et inversement. Le but est donc d'effectuer une réplication entre 1 et 2, et ensuite entre 2 et 3. Malheureusement cela ne fonctionne pas ! en effet 1 essaye toujours de chercher 3 et inversement malgré que 2 soit aussi catalogue global ! Ai je été assez clair ? Quelqu'un a t'il déployé ce genre d'architecture ? Si oui comment ?
merci pour vos idées.
OPbob
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
effectivement avec ça, ça fonctionne mieux, les réplications ont
l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je
veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : "
le service d'annuaire n'a pu allouer un identificateur relatif", ce qui
est normal puisque le maître d'opérations est le serveur 3. Lorsque
je regarde maître d'opération depuis le serveur 1, il renvoie une
erreur. Comment puis je faire sachant que je ne peux pas promouvoir le
serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au
serveur 3 auquel d'autres sites sont rattachés) ?
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
Jonathan BISMUTH
re,
là, ça devient problèmatique, puisqu'il te faut un accès complet entre les serveurs, dans le cas où celui qui est toujours accessible n'est pas FSMO.
Dans ton cas, il n'y a pas 36 solutions. monte un tunnel VPN entre les serveurs 1 et 3, de préférence sur un serveur relié directement au niveau du DC3 (un DC ne doit faire que son rôle, donc pas de VPN sur DC3). Je penses que ça solutionnera le problème.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd "OPbob" a écrit dans le message de news:
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
re,
là, ça devient problèmatique, puisqu'il te faut un accès complet entre les
serveurs, dans le cas où celui qui est toujours accessible n'est pas FSMO.
Dans ton cas, il n'y a pas 36 solutions. monte un tunnel VPN entre les
serveurs 1 et 3, de préférence sur un serveur relié directement au niveau du
DC3 (un DC ne doit faire que son rôle, donc pas de VPN sur DC3). Je penses
que ça solutionnera le problème.
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"OPbob" <bobop@altern.org> a écrit dans le message de news:
1137428203.899701.239240@f14g2000cwb.googlegroups.com...
effectivement avec ça, ça fonctionne mieux, les réplications ont
l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je
veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : "
le service d'annuaire n'a pu allouer un identificateur relatif", ce qui
est normal puisque le maître d'opérations est le serveur 3. Lorsque
je regarde maître d'opération depuis le serveur 1, il renvoie une
erreur. Comment puis je faire sachant que je ne peux pas promouvoir le
serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au
serveur 3 auquel d'autres sites sont rattachés) ?
là, ça devient problèmatique, puisqu'il te faut un accès complet entre les serveurs, dans le cas où celui qui est toujours accessible n'est pas FSMO.
Dans ton cas, il n'y a pas 36 solutions. monte un tunnel VPN entre les serveurs 1 et 3, de préférence sur un serveur relié directement au niveau du DC3 (un DC ne doit faire que son rôle, donc pas de VPN sur DC3). Je penses que ça solutionnera le problème.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd "OPbob" a écrit dans le message de news:
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
Michaël THIBAUT [MVP]
Bonsoir,
Effectivement, comme te l'explique très justement Johnathan, y a pas trente six solutions autre que monter un VPN ou travailler avec IPSEC.
La question que je me pose, c'est: Pourquoi as tu besoin d'un DC en DMZ? A quoi te sert t'il? Car de base, mettre un DC en DMZ (cad exposé), c'est tout sauf conseillé.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"OPbob" a écrit dans le message de news:
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
Bonsoir,
Effectivement, comme te l'explique très justement Johnathan, y a pas trente
six solutions autre que monter un VPN ou travailler avec IPSEC.
La question que je me pose, c'est: Pourquoi as tu besoin d'un DC en DMZ? A
quoi te sert t'il? Car de base, mettre un DC en DMZ (cad exposé), c'est tout
sauf conseillé.
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"OPbob" <bobop@altern.org> a écrit dans le message de news:
1137428203.899701.239240@f14g2000cwb.googlegroups.com...
effectivement avec ça, ça fonctionne mieux, les réplications ont
l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je
veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : "
le service d'annuaire n'a pu allouer un identificateur relatif", ce qui
est normal puisque le maître d'opérations est le serveur 3. Lorsque
je regarde maître d'opération depuis le serveur 1, il renvoie une
erreur. Comment puis je faire sachant que je ne peux pas promouvoir le
serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au
serveur 3 auquel d'autres sites sont rattachés) ?
Effectivement, comme te l'explique très justement Johnathan, y a pas trente six solutions autre que monter un VPN ou travailler avec IPSEC.
La question que je me pose, c'est: Pourquoi as tu besoin d'un DC en DMZ? A quoi te sert t'il? Car de base, mettre un DC en DMZ (cad exposé), c'est tout sauf conseillé.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"OPbob" a écrit dans le message de news:
effectivement avec ça, ça fonctionne mieux, les réplications ont l'air de mieux fonctionner. Cependant il me reste un souci : lorsque je veux créer un objet dans l'AD depuis le serveur 1, j'ai le message : " le service d'annuaire n'a pu allouer un identificateur relatif", ce qui est normal puisque le maître d'opérations est le serveur 3. Lorsque je regarde maître d'opération depuis le serveur 1, il renvoie une erreur. Comment puis je faire sachant que je ne peux pas promouvoir le serveur 2 (DMZ) en tant que maître d'opération ( je me raccroche au serveur 3 auquel d'autres sites sont rattachés) ?
merci
OPbob
C'est précisemment ce que je voulais éviter : je ne voulais pas de lien direct entre les deux réseaux (question de sécurité) mais je voulais qu'il y ait la réplication entre les deux AD : c'est le même domaine mais les deux réseaux sont séparés physiquement et "fonctionnellement" si l'on peut dire. Je voulais donc passer par un tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ? Il y a bien une architecture prévue de ce type avec l'AD sans traverser directement le FW ?
merci de vos conseils en tout cas !
C'est précisemment ce que je voulais éviter : je ne voulais pas de
lien direct entre les deux réseaux (question de sécurité) mais je
voulais qu'il y ait la réplication entre les deux AD : c'est le même
domaine mais les deux réseaux sont séparés physiquement et
"fonctionnellement" si l'on peut dire. Je voulais donc passer par un
tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ?
Il y a bien une architecture prévue de ce type avec l'AD sans
traverser directement le FW ?
C'est précisemment ce que je voulais éviter : je ne voulais pas de lien direct entre les deux réseaux (question de sécurité) mais je voulais qu'il y ait la réplication entre les deux AD : c'est le même domaine mais les deux réseaux sont séparés physiquement et "fonctionnellement" si l'on peut dire. Je voulais donc passer par un tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ? Il y a bien une architecture prévue de ce type avec l'AD sans traverser directement le FW ?
merci de vos conseils en tout cas !
Jonathan BISMUTH
pas à ma connaissance. Il est nécessaire d'avoir les ports ouverts entre tous les DC et celui-ci qui gère les rôles FSMO. D'où l'intérêt du VPN ou/et de l'IPSec.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd "OPbob" a écrit dans le message de news:
C'est précisemment ce que je voulais éviter : je ne voulais pas de lien direct entre les deux réseaux (question de sécurité) mais je voulais qu'il y ait la réplication entre les deux AD : c'est le même domaine mais les deux réseaux sont séparés physiquement et "fonctionnellement" si l'on peut dire. Je voulais donc passer par un tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ? Il y a bien une architecture prévue de ce type avec l'AD sans traverser directement le FW ?
merci de vos conseils en tout cas !
pas à ma connaissance.
Il est nécessaire d'avoir les ports ouverts entre tous les DC et celui-ci
qui gère les rôles FSMO. D'où l'intérêt du VPN ou/et de l'IPSec.
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"OPbob" <bobop@altern.org> a écrit dans le message de news:
1137485768.428275.162730@g43g2000cwa.googlegroups.com...
C'est précisemment ce que je voulais éviter : je ne voulais pas de
lien direct entre les deux réseaux (question de sécurité) mais je
voulais qu'il y ait la réplication entre les deux AD : c'est le même
domaine mais les deux réseaux sont séparés physiquement et
"fonctionnellement" si l'on peut dire. Je voulais donc passer par un
tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ?
Il y a bien une architecture prévue de ce type avec l'AD sans
traverser directement le FW ?
pas à ma connaissance. Il est nécessaire d'avoir les ports ouverts entre tous les DC et celui-ci qui gère les rôles FSMO. D'où l'intérêt du VPN ou/et de l'IPSec.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd "OPbob" a écrit dans le message de news:
C'est précisemment ce que je voulais éviter : je ne voulais pas de lien direct entre les deux réseaux (question de sécurité) mais je voulais qu'il y ait la réplication entre les deux AD : c'est le même domaine mais les deux réseaux sont séparés physiquement et "fonctionnellement" si l'on peut dire. Je voulais donc passer par un tiers qui serait situé dans la DMZ. Cela doit bien être prévu, non ? Il y a bien une architecture prévue de ce type avec l'AD sans traverser directement le FW ?
