Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

RODC DMZ

Modérateurs : Modérateurs, Modérateurs_Systèmes

RODC DMZ

Message par hubble » Jeu 04 Juin 2015, 10:05

Bonjour,

Dans le cadre d'un projet , je dois créer un rodc dans une dmz.
Mais je ne suis pas vraiment sur de la faisabilité de la solution car la dmz protège de l'internet mais doit aussi répliquer avec le site central.
Le dessin seront plus parlant.
Pensez vous que l'architecture dessiné soit envisageable ?

Merci et bonne journée.


Image

Image
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 04 Juin 2015, 11:15

Salut

Pourquoi?

Sans savoir votre objectif, impossible de vous dire si c'est ou pas une bonne idée.
De même, Afrique et Asie sont des domaines que vous gérez?
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 04 Juin 2015, 11:18

Merci Timil pour ta reponse.

J'ai un mono domaine (central , afrique , asie....etc sont des sites AD)
Central contient les dc "centraux" avec tous les roles fsmo.
L'objectif du projet est de securiser les sites distant et d'avoir donc un rodc sur la dmz.

Merci pour tes conseils avisés.
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par hubble » Jeu 04 Juin 2015, 17:06

Pas simple comme archi...
je viens de la tester en lab et pour ma part, ce n'est pas possible de cette manière.

J'ai désactivé le kcc et fait mes liens de réplications manuellement mais les objets que je créé en Afrique ne sont pas répliquer sur le central et inversement. (Par contre tous les objets sur retrouvent sur le rodc)
Forcement car la réplication d'un rodc ne va que dans un sens. il ne peut donc pas être relais dans une DMZ.

Maintenant, savez vous si il est possible de faire passer le flux de réplication entre l'Afrique et le central (en passant dans la dmz) par un proxy par exemple ?

Merci par avance.
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 04 Juin 2015, 17:19

Salut

Si les sites distants sont dans le même domaine, alors il faut que les contrôleurs de domaine aient un accès direct l'un a l'autre via les ports requis (Selon la méthode de lien de site choisi dans ton sites et domaine AD)
De plus un RODC ne sécurise PAS Active Directory, donc AD reste exposé en DMZ :D

La il vous faut un VPN quand même.
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 04 Juin 2015, 17:23

J'ai deja des vpn , de l'encryption...de l'ipsec...
Sauf qu'on m'oblige a faire ca pour des questions de sécurité maximale.... dis toi que je bosse pour une joint-venture entre la nasa, la CIA et la plus grosse banque du monde :)

Bref, ils ont vu (dmz + AD) = RODC....
Donc RODC ne marche pas je dois faire passer le flux dans la dmz et faire répliquer mes dc... je vais m'arracher les cheveux... :)

A+ et merci
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 04 Juin 2015, 17:33

Le client ne change rien a l'affaire. (quelques milliers de milliards, j'ai aussi ce genre de client :D)

Le soucis est d'avoir un design étalé la ou il aurait fallu un design ségrégé.
D'ailleurs Microsoft pousse de plus en plus ce genre de design avec des sites qui sont des domaines enfants d'une organisation. Les sites sont plus a voir comme des étages d'un bâtiment ou des zones d'une ville que comme des sites distants de plusieurs km (d'ailleurs de moins en moins de produit ne supporte la géo résilience chez MS... seul AD, File et Exchange supporte encore ca, SQL c'est mort quelque soit le mode, Lync c'est pire, SharePoint n'en parlons pas)


Une meilleurs sécurité aurait été d'avoir un site central avec un root domaine, deux domaine enfants distant et un lien de site moins risqué entre eux... voir une fédération ADFS entre eux!

La DMZ n'apporte aucune sécurité quand on parle de connexion directe entre deux serveurs.

Voila ce que MS dit (c'est pas jeune, mais c'est beau :D)
https://msdn.microsoft.com/en-us/librar ... 2147217396
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 11 Juin 2015, 11:29

Merci Timil pour ton aide.

J'ai laissé tomber l’idée et on va plutôt partir sur un dc en mode Core.

par contre, Y a-t-il des possibilités pour limiter les range IP qui peuvent s’authentifier a un DC ?
Perso, je ne pense pas qu'on puisse le faire avec site et service ad, puisque ca gère les réplications
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 11 Juin 2015, 11:55

Salut,
on va plutôt partir sur un dc en mode Core.
Ca ne que très peu le nombre de patch et de reboot (contrairement aux proclamations de MS) et c'est bien plus chiant a débugger :D

Y a-t-il des possibilités pour limiter les range IP qui peuvent s’authentifier a un DC ?
Au niveau du firewall qui est devant (pas le firewall MS) tu peux tout a fait bloquer ce trafic, c'est l'enfance de l'art pour ce genre de plateforme normalement.

Idéalement un site to site VPN aurait aussi limité la portée du risque.
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 11 Juin 2015, 12:04

Effectivement le Core c'est chiant mais une fois en place, y a pas de raison de debugger , ni d'y toucher.
Il faut juste que je donne au service de sécurité des raisons de les payer.... :)

Pour l'authentification, effectivement je pensais aussi au firewall mais je ne trouve pas cela judicieux non plus.
Si je perd mon dc dans la zone protégée, et que je ne peux pas m’authentifier sur la dmz, les utilisateur de la zone protégée ne pourront plus s'authentifier du tout...

A voir...

D’après toi, si je bloque juste le port Keberos, ça devrait suffire ?
Ou je peux laisser uniquement le port que j'ai paramétré pour la réplication dfsr ?

Coté Vpn, Oui il y a bien sur des site a site de partout crypté en tous ce que tu veux....

Merci encore pour ton expertise... je t'embauche quand tu veux :)

have a ncie day !
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 11 Juin 2015, 14:09

Salut
Si je perd mon dc dans la zone protégée
Ben c'est la fin des haricots, c'est un DC quoi, c'est pas un WAP qui lui peut être perdu.
les utilisateur de la zone protégée ne pourront plus s'authentifier du tout
STOP, a aucun moment tu ne demandes que quelqu'un doive s'authentifié DANS la DMZ.
Tout ce que tu demandes est de laisser un partenaire de réplication aux DC distants qui sont dans le même domaine (en soi c'est déjà une faille majeur de sécurité ce design)

Si c'est "Juste" proposer de l'authentication dans la DMZ, le sujet change complétement!

D’après toi, si je bloque juste le port Keberos, ça devrait suffire ?
Non, bloque ANY, puisque de toute facon tu ne veux pas les voir, bloque 100% du trafic.
Ou je peux laisser uniquement le port que j'ai paramétré pour la réplication dfsr ?
Genre SMTP? :D Si tu laisse un distant illégal accéder a ce port, que penses tu que la sécurité va en dire?

je t'embauche quand tu veux :)
Chiche, mais je suis pas donné :D
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 11 Juin 2015, 15:06

Alors je vais enlever le mot DMZ car ca n'en ai pas vraiment une...

Voici ma conf actuel
Image

et celle qui sera
Image

On peut appeler ca une zone tampon... bien sur des firewall de partout...

Dans la zone tampon on place nos serveur d'infra... (replica wsus , veeam, syslog...) et dans la zone "afrique" les serveurs pur production.

j'ai donc besoin, dans la zone tampon, de m'authentifier aussi....

Projet interressant, design imposé...
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par Timil » Jeu 11 Juin 2015, 15:36

Réplication UPN?
Remplace par une fédération ADFS inter site.

Un peu plus chiant à configurer, mais tu supprimes (ou réduit) les risques de fuites en cas de tentative d'accès des externes.

Ton design demande que les users externes se connectent a ton site avec leur UPN propre, ca correspond exactement a ADFS pour moi ;)
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17002
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RODC DMZ

Message par hubble » Jeu 11 Juin 2015, 15:53

putain je maitrise pas ADFS, j'avais passer le chapitre pour ma revision de la certif
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille

Re: RODC DMZ

Message par hubble » Jeu 11 Juin 2015, 15:54

replication....
en dessous je mettais VPN site a site.. dans le dessin
. MCITP Administrateur de serveur 2008
. MCSE 2012
. VMware Certified Professional 3.5 / 510 / 5.5
Avatar de l’utilisateur
hubble
Master
Master
 
Message(s) : 501
Inscription : Mar 16 Déc 2003, 13:31
Localisation : Marseille


Retour vers Schema et Réplication

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 3 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive