Les utilisateurs nomades d'une PME souhaitent accéder à distance à leur
partage de fichier sur le serveur, leur base de donnée, et leur messagerie
( Actuellement domaine NT4 Exchange 5.5, migration Win2003 Exch2003
envisagée ).
Quel serait à votre avis la solution viable et relativement sécurisée la
plus économique.
L'établissement d'un VPN me semble s'imposer, mais Win2003 ( ou 2K ) offre
t'il des fonctionnalité suffisante a ce niveau ou faut il envisager l'achat
d'un matériel spécifique en plus de la migration ( j'envisageais de laisser
le serveur Exchange20003 servir également d'entré au VPN )
D'ailleurs quel est la différence entre le VPN proposé sur les srv µsoft et
ceux d'une appliances ?
Je ne suis pas sur de poster au bon endroit, mais après tout il s'agit aussi
d'IP
Merci
--
Archimède a été le premier à prouver qu'une baignoire peut flotter.
JCM
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gils Gayraud
Bonjour,
Quel serait à votre avis la solution viable et relativement sécurisée la plus économique.
Si vous achetez un W2K3 autant utiliser ses possiblilités, dans l'OS il y a effectivement un Routeur et Acces Distant (RRAS) il y a quand même les CAL a acheté. (CAL = Client Access Licence)
L'établissement d'un VPN me semble s'imposer, mais Win2003 ( ou 2K ) offre t'il des fonctionnalité suffisante a ce niveau ou faut il envisager l'achat d'un matériel spécifique en plus de la migration ( j'envisageais de laisser le serveur Exchange20003 servir également d'entré au VPN )
Vous pouvez effectivement ensuite mettre en place un VPN avec ce systeme. Au niveau performance, cela dépend de 3 facteurs indépendant de MS, la bande passante de l'accès Internet, la puissance de la machine et l'utilisation qui va en être fait.
Au niveau de la bande sur une ADSL a 128/512 vous êtes a 128 et là 5 clients qui font simplement du browse Netbios sur des gros disques et bonjour les dégats :-) mais tout le monde ne fait des "dir /s" en boucle. :-) En revanche sur une 2 Mbits 20/50 clients c'est confortable. Sur ADSL 256/1024 c'est acceptable. Ne pas s'amuser quand même a implementer des profils itinérants de 50 Mo mais avec une bonne stratégie de domaine correctement étudiée c'est très supportable.
Coté ensuite produit en VPN vous êtes connecté comme sur le reseau locaux puisque RRAS sait parfaitement fonctionner en coordination avec AD et les comptes de W2K3 ou W2K et tous les droits et aussi le DHCP WINS et DNS. Attention a la configuration locale du client il y a quelques astuces mais quand vous en serez rendu là.
En revanche je conseille fortement de mettre ce systeme sur votre serveur Controleur de domaine mais ne mettre que ça (je ne parle des appli serveur Exhange ou SQL), ne pas utiliser ce lien pour le surf ou quoique ce soit d'autre. Tout fermer au niveau du routeur et n'ouvrez que le ou les ports concernés par le VPN. (PPTP TCP/1723 et L2TP/IPSec UDP/500 UDP/1701). Tout le reste FERME de cher FERME, le routeur RRAS sait tres bien le faire.
Ensuite un autre acces Internet pour le reseau de l'entreprise avec pare-feu et toute la mitraille.
Dans le monde open-source il y a aussi une solution c'est Open-VPN, j'ai testé pour voir, pas des plus evident a mettre en oeuvre avec du MS en station ou en serveur en face. Mais avec du temps et pas beaucoup d'argent cela peut être une solution. Il y a quelques bugs et coté MS (sous W2K server corrigé avec SP3 et sous W2K3) et coté Open VPN là aussi quand on sait ce qu'il se passe pas trop difficile, quand cela ne fonctionne pas, n'allez pas trop chercher à "clicouiller" partout, il y a un remède, comprendre ce qui se passe dans les trames, C'EST TOUT le moniteur reseeu de MS est votre AMI.
D'ailleurs quel est la différence entre le VPN proposé sur les srv µsoft et ceux d'une appliances ?
La différence est assez importance, quand votre serveur d'entreprise est en rade, vous entendez non seulement les gens de l'interieur raler mais aussi le mec de l'autre coté du monde au telephone qui vous souffle aussi dans les oreilles, alors TENEZ BON !!!! :-) Les solutions Appliance sont plus cheres mais plus confortables, vous n'êtes pas tributaire d'un developpeur qui va vous plantez SQL Server en bouclant sur un UPDATE jusqu'a n'en plus pouvoir sur les disques, mais là aussi j'exagère un peu, quoique dans les PME parfois il y a des configs interessantes.
Un argument MS, un fois le systeme en place la gestion d'un utilisateur est tout sur AD, accès VPN, accès Terminal serveur oui ca fonctionne aussi sur VPN et le reste. Avec une Appliance il faut se taper les droits d'accès les mots de passe et tout et tout, là tout est plus rapidement mais quand on n'y comprend rien C'EST DANGEREUX, Un admin sytème peut faire des bétises avec sa souris, maintenant un admin system Unix/Linux peut aussi fait des bétises dans iptable avec son clavier.
Derniere chose derriere un XEON 2GHz/1Gig de RAM(je ne siterai pas la marque) j'ai fait fonctionné cela sur deux 128/512 en IP fixe chez "(non je ne parlerai pas même sous la torture, c'est dans mon entête pour les malins)" et une 50 de personnes tout le monde semble satifait, même deux sites distants reliés deux AD. Le pare-feu sur l'autre accès Internet est un Linux avec Squid et cela ronronne.
Je ne suis pas sur de poster au bon endroit, mais après tout il s'agit aussi d'IP
Comment je n'ai pas dit que je travaillais avec des port TCP et UDP ce n'est pas de l'ip et du reseau ça ? ;-)
Beaucoup d'information sur le sujet sur mon site http://gilisa.assysm.com sous W2K server. Sous W2K3 c'est presque pareil.;-) avec quelque plus au niveau de AD et l'architecture inter-domaine et ... -- Cordialement GG.
Bonjour,
Quel serait à votre avis la solution viable et relativement sécurisée
la plus économique.
Si vous achetez un W2K3 autant utiliser ses possiblilités, dans l'OS
il y a effectivement un Routeur et Acces Distant (RRAS) il y a
quand même les CAL a acheté. (CAL = Client Access Licence)
L'établissement d'un VPN me semble s'imposer, mais Win2003 ( ou 2K )
offre t'il des fonctionnalité suffisante a ce niveau ou faut il
envisager l'achat d'un matériel spécifique en plus de la migration (
j'envisageais de laisser le serveur Exchange20003 servir également
d'entré au VPN )
Vous pouvez effectivement ensuite mettre en place un VPN
avec ce systeme. Au niveau performance, cela dépend de 3
facteurs indépendant de MS, la bande passante de l'accès
Internet, la puissance de la machine et l'utilisation qui va en
être fait.
Au niveau de la bande sur une ADSL a 128/512 vous êtes a
128 et là 5 clients qui font simplement du browse Netbios sur
des gros disques et bonjour les dégats :-) mais tout le monde
ne fait des "dir /s" en boucle. :-) En revanche sur une 2 Mbits
20/50 clients c'est confortable. Sur ADSL 256/1024 c'est
acceptable. Ne pas s'amuser quand même a implementer
des profils itinérants de 50 Mo mais avec une bonne stratégie
de domaine correctement étudiée c'est très supportable.
Coté ensuite produit en VPN vous êtes connecté comme
sur le reseau locaux puisque RRAS sait parfaitement
fonctionner en coordination avec AD et les comptes de
W2K3 ou W2K et tous les droits et aussi le DHCP WINS
et DNS. Attention a la configuration locale du client il y
a quelques astuces mais quand vous en serez rendu là.
En revanche je conseille fortement de mettre ce systeme
sur votre serveur Controleur de domaine mais ne mettre
que ça (je ne parle des appli serveur Exhange ou SQL),
ne pas utiliser ce lien pour le surf ou quoique ce soit
d'autre. Tout fermer au niveau du routeur et n'ouvrez que le
ou les ports concernés par le VPN. (PPTP TCP/1723 et
L2TP/IPSec UDP/500 UDP/1701). Tout le reste FERME
de cher FERME, le routeur RRAS sait tres bien le faire.
Ensuite un autre acces Internet pour le reseau de l'entreprise
avec pare-feu et toute la mitraille.
Dans le monde open-source il y a aussi une solution
c'est Open-VPN, j'ai testé pour voir, pas des plus evident
a mettre en oeuvre avec du MS en station ou en serveur
en face. Mais avec du temps et pas beaucoup d'argent
cela peut être une solution. Il y a quelques bugs et coté
MS (sous W2K server corrigé avec SP3 et sous W2K3)
et coté Open VPN là aussi quand on sait ce qu'il se passe
pas trop difficile, quand cela ne fonctionne pas, n'allez pas
trop chercher à "clicouiller" partout, il y a un remède,
comprendre ce qui se passe dans les trames, C'EST
TOUT le moniteur reseeu de MS est votre AMI.
D'ailleurs quel est la différence entre le VPN proposé sur les srv
µsoft et ceux d'une appliances ?
La différence est assez importance, quand votre serveur d'entreprise
est en rade, vous entendez non seulement les gens de l'interieur raler
mais aussi le mec de l'autre coté du monde au telephone qui vous
souffle aussi dans les oreilles, alors TENEZ BON !!!! :-)
Les solutions Appliance sont plus cheres mais plus confortables,
vous n'êtes pas tributaire d'un developpeur qui va vous plantez SQL
Server en bouclant sur un UPDATE jusqu'a n'en plus pouvoir sur
les disques, mais là aussi j'exagère un peu, quoique dans les PME
parfois il y a des configs interessantes.
Un argument MS, un fois le systeme en place la gestion d'un utilisateur
est tout sur AD, accès VPN, accès Terminal serveur oui ca fonctionne
aussi sur VPN et le reste. Avec une Appliance il faut se taper les droits
d'accès les mots de passe et tout et tout, là tout est plus rapidement
mais quand on n'y comprend rien C'EST DANGEREUX,
Un admin sytème peut faire des bétises avec sa souris, maintenant
un admin system Unix/Linux peut aussi fait des bétises dans iptable
avec son clavier.
Derniere chose derriere un XEON 2GHz/1Gig de RAM(je ne siterai
pas la marque) j'ai fait fonctionné cela sur deux 128/512 en IP fixe
chez "(non je ne parlerai pas même sous la torture, c'est dans mon
entête pour les malins)" et une 50 de personnes tout le monde semble
satifait, même deux sites distants reliés deux AD. Le pare-feu sur
l'autre accès Internet est un Linux avec Squid et cela ronronne.
Je ne suis pas sur de poster au bon endroit, mais après tout il
s'agit aussi d'IP
Comment je n'ai pas dit que je travaillais avec des port TCP et UDP
ce n'est pas de l'ip et du reseau ça ? ;-)
Beaucoup d'information sur le sujet sur mon site
http://gilisa.assysm.com sous W2K server.
Sous W2K3 c'est presque pareil.;-) avec quelque
plus au niveau de AD et l'architecture inter-domaine
et ...
--
Cordialement
GG.
Quel serait à votre avis la solution viable et relativement sécurisée la plus économique.
Si vous achetez un W2K3 autant utiliser ses possiblilités, dans l'OS il y a effectivement un Routeur et Acces Distant (RRAS) il y a quand même les CAL a acheté. (CAL = Client Access Licence)
L'établissement d'un VPN me semble s'imposer, mais Win2003 ( ou 2K ) offre t'il des fonctionnalité suffisante a ce niveau ou faut il envisager l'achat d'un matériel spécifique en plus de la migration ( j'envisageais de laisser le serveur Exchange20003 servir également d'entré au VPN )
Vous pouvez effectivement ensuite mettre en place un VPN avec ce systeme. Au niveau performance, cela dépend de 3 facteurs indépendant de MS, la bande passante de l'accès Internet, la puissance de la machine et l'utilisation qui va en être fait.
Au niveau de la bande sur une ADSL a 128/512 vous êtes a 128 et là 5 clients qui font simplement du browse Netbios sur des gros disques et bonjour les dégats :-) mais tout le monde ne fait des "dir /s" en boucle. :-) En revanche sur une 2 Mbits 20/50 clients c'est confortable. Sur ADSL 256/1024 c'est acceptable. Ne pas s'amuser quand même a implementer des profils itinérants de 50 Mo mais avec une bonne stratégie de domaine correctement étudiée c'est très supportable.
Coté ensuite produit en VPN vous êtes connecté comme sur le reseau locaux puisque RRAS sait parfaitement fonctionner en coordination avec AD et les comptes de W2K3 ou W2K et tous les droits et aussi le DHCP WINS et DNS. Attention a la configuration locale du client il y a quelques astuces mais quand vous en serez rendu là.
En revanche je conseille fortement de mettre ce systeme sur votre serveur Controleur de domaine mais ne mettre que ça (je ne parle des appli serveur Exhange ou SQL), ne pas utiliser ce lien pour le surf ou quoique ce soit d'autre. Tout fermer au niveau du routeur et n'ouvrez que le ou les ports concernés par le VPN. (PPTP TCP/1723 et L2TP/IPSec UDP/500 UDP/1701). Tout le reste FERME de cher FERME, le routeur RRAS sait tres bien le faire.
Ensuite un autre acces Internet pour le reseau de l'entreprise avec pare-feu et toute la mitraille.
Dans le monde open-source il y a aussi une solution c'est Open-VPN, j'ai testé pour voir, pas des plus evident a mettre en oeuvre avec du MS en station ou en serveur en face. Mais avec du temps et pas beaucoup d'argent cela peut être une solution. Il y a quelques bugs et coté MS (sous W2K server corrigé avec SP3 et sous W2K3) et coté Open VPN là aussi quand on sait ce qu'il se passe pas trop difficile, quand cela ne fonctionne pas, n'allez pas trop chercher à "clicouiller" partout, il y a un remède, comprendre ce qui se passe dans les trames, C'EST TOUT le moniteur reseeu de MS est votre AMI.
D'ailleurs quel est la différence entre le VPN proposé sur les srv µsoft et ceux d'une appliances ?
La différence est assez importance, quand votre serveur d'entreprise est en rade, vous entendez non seulement les gens de l'interieur raler mais aussi le mec de l'autre coté du monde au telephone qui vous souffle aussi dans les oreilles, alors TENEZ BON !!!! :-) Les solutions Appliance sont plus cheres mais plus confortables, vous n'êtes pas tributaire d'un developpeur qui va vous plantez SQL Server en bouclant sur un UPDATE jusqu'a n'en plus pouvoir sur les disques, mais là aussi j'exagère un peu, quoique dans les PME parfois il y a des configs interessantes.
Un argument MS, un fois le systeme en place la gestion d'un utilisateur est tout sur AD, accès VPN, accès Terminal serveur oui ca fonctionne aussi sur VPN et le reste. Avec une Appliance il faut se taper les droits d'accès les mots de passe et tout et tout, là tout est plus rapidement mais quand on n'y comprend rien C'EST DANGEREUX, Un admin sytème peut faire des bétises avec sa souris, maintenant un admin system Unix/Linux peut aussi fait des bétises dans iptable avec son clavier.
Derniere chose derriere un XEON 2GHz/1Gig de RAM(je ne siterai pas la marque) j'ai fait fonctionné cela sur deux 128/512 en IP fixe chez "(non je ne parlerai pas même sous la torture, c'est dans mon entête pour les malins)" et une 50 de personnes tout le monde semble satifait, même deux sites distants reliés deux AD. Le pare-feu sur l'autre accès Internet est un Linux avec Squid et cela ronronne.
Je ne suis pas sur de poster au bon endroit, mais après tout il s'agit aussi d'IP
Comment je n'ai pas dit que je travaillais avec des port TCP et UDP ce n'est pas de l'ip et du reseau ça ? ;-)
Beaucoup d'information sur le sujet sur mon site http://gilisa.assysm.com sous W2K server. Sous W2K3 c'est presque pareil.;-) avec quelque plus au niveau de AD et l'architecture inter-domaine et ... -- Cordialement GG.
Toff
"Gils Gayraud" a écrit plein de choses trés intéressantes
Merci bcp pour toutes ces info, elle me sont très utiles. JCM
"Gils Gayraud" <gilisa.invalid@free.fr> a écrit plein de choses trés
intéressantes
Merci bcp pour toutes ces info, elle me sont très utiles.
JCM
