pc portable, contrôleur de domaine et intranet - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 29-03-2007 à 11:47:00
Qu'est ce que tu appelles "intranet" dans ton install exactement ? C'est le genre de mot qui veut tout et rien dire selon les personnes...
Marsh Posté le 29-03-2007 à 11:56:53
C'est un réseau virtuel.
Sur ce réseau virtuel sont associés nos deux sites, les nomades et une connexion internet globale. C'est la solution business everywhere d'orange.
En fait mes nomades ne se connectent pas directement à internet, ils se connectent à ce réseau virtuel, puis accèdent à notre réseau sans passer par le net.
Marsh Posté le 29-03-2007 à 11:58:09
Mais concretement tes clients distants accedent a tes ressources comment, via des partages windows ?
Marsh Posté le 29-03-2007 à 15:15:33
oui, ils accèdent via des partages windows. Les partages en question sont accessibles aux utilisateurs authentifiés du domaine.
Marsh Posté le 30-03-2007 à 11:24:34
Quand tu mets les identifiants de l'utilisateur en cours, c'est quoi le message exact que ça te donne ?
Marsh Posté le 30-03-2007 à 12:18:52
"Ouverture de session incorrecte
Le nom d'utilisateur que vous avez entré est identique au nom d'utilisateur avec lequel vous avez ouvert la session. Ce nom d'utilisateur a déjà été essayé. Impossible de trouver un contrôleur de domaine pour vérifier ce nom d'utilisateur."
Et si j'utilise un autre nom d'utilisateur qui n'a jamais été entré sur le pc portable, ça marche !
Marsh Posté le 30-03-2007 à 12:39:49
Quand t'es connecté vie ce machin orange, le DNS primaire c'est toujours celui de ton domaine Windows ?
Marsh Posté le 01-04-2007 à 11:55:29
c'est à dire ?
J'ai pourtant renseigné les fichiers hosts et lmhosts avec l'ip du contrôleur de domaine (qui est aussi dns du réseau), ça ne change rien...
Marsh Posté le 01-04-2007 à 17:07:13
C'est pas le probleme, dans un domaine Windows il faut que les clients puissent acceder a tous les enregistrement de type service qui sont dans la zone DNS.
Marsh Posté le 01-04-2007 à 22:07:10
El Pollo Diablo a écrit : C'est pas le probleme, dans un domaine Windows il faut que les clients puissent acceder a tous les enregistrement de type service qui sont dans la zone DNS. |
Yes. Il doit y avoir moyen de "forcer" l'adresse de tout dns primaire au niveau de la connexion business everywhere...
Marsh Posté le 02-04-2007 à 10:59:41
kiro_b a écrit : Yes. Il doit y avoir moyen de "forcer" l'adresse de tout dns primaire au niveau de la connexion business everywhere... |
Oui, mais le problème est que si l'utilisateur doit aller sur internet, il passe d'abord par le site central, puis retourne sur le web.
Le site central n'a qu'une connexion de 2mbits (pour une centaine de nomades) et le serveur est arrêté tous les jours entre 23H et 5H. Si un nomade veut se connecter au web, ça devient gênant. c'est pourquoi on a spécifié les dns oleane et pas le notre.
Maisbon, je vais faire des essais dans la journée avec notre serveur dns en dns secondaire.
En tout cas merci pour cette piste
Marsh Posté le 12-04-2007 à 15:37:02
Bonjour,
J'ai exactement le même probléme.
Ma configuration :
Serveurs controleurs de domaine au siège social : Windows 2003
Connection distante en VPN IPSEC via le client "The GreenBow" sur notre firewall Netasq qui fait office de passerelle IPSEC.
PC portables clients en windows XP.
Les seules solutions que j'ai trouvé sont les suivantes :
- Configurer mon client VPN pour qu'il se lance avant le logon windows, ca fonctionne car l'ouverture de session se fait au près du controlleur de domaine. Cependant l'ouverture de session est très lente et si les pc portables sont sur le site le vpn essaye toujours de s'ouvrir et bloque l'accès au réseau local.
- Lorsque windows demande à l'utilisateur de s'identifier pour accèder à un répertoire réseau, il faut mettre le nom de domaine avant l'utilisateur, par exemple : mondomaine.local\nom.utilisateur. Cette méthode fonctionne, mais n'est pas très pratique pour les utilisateurs .
Je cherche encore une commande permettant de forcer l'authentification de l'utilisateur sur le domaine après ouverture du tunnel VPN...
Marsh Posté le 12-04-2007 à 15:40:27
tes partages windows tu les mappes de quelle maniere ??
du genre \\nom_serveur\partage ou \\IP_serveur\partage ??
Marsh Posté le 12-04-2007 à 18:47:15
J'ai trouvé une autre solution plus confortable pour l'authentification AD : Il suffit de lancer en ligne de commande un mappage de répertoire réseau. Cette action a pour effet de forcer le poste client a se connecter au domaine que l'on spécifie :
net use * \\serveur-02\donnees /user:mondomaine\%USERNAME% /PERSISTENT:NO
>Il faut remplacer mondomaine par le nom de domaine Windows
>%USERNAME% permet de récupérer le nom de l'utilisateur automatiquement
>Il n'y a pas de mot de passe indiqué, Windows prend donc par défaut le mot de passe utilisé à l'ouverture de la session locale.
>\\serveur-02\donnees est un répertoire partagé auquel l'utilisateur à accès.
J'ai programmé le lancement de ce script dans mon client VPN après l'ouverture du tunnel. Après que ce script ce soit lancé, il est possible d'ouvrir d'autres partages réseaux par des raccourcis du type "\\nom_serveur\partage".
Citation : tes partages windows tu les mappes de quelle maniere ?? |
-> J'utilise \\nom_serveur\partage, mais j'ai aussi essayé \\IP_serveur\partage qui donne le même résultat.
Citation : Concretement c'est du terminal serveur le système?? |
-> Non ce n'est pas du terminal serveur, c'est une ouverture de session classique mais hors du réseau local, suivie de l'établissement d'un tunnel VPN.
-> J'ai testé aussi le mode terminal serveur qui lui ne pose pas ce problème là en VPN et qui fonctionne très bien.
Marsh Posté le 20-04-2009 à 17:23:18
BONJOUR,
Je suis dans la même configuration que vous Windows serveur 2003
Mes portables sont authentifiés sur ce domaine et ouvrent leur session sans problème.
Et nous utilisons des connexions nomade Business everywhere pour l'accès à notre VPN
Avez vous trouvez la solution car je suis dans la même panade que vous.
j'ai un réseau avec 2 domaines (1 ancien et 1 nouveau)
j'ai une relation d'approbation entre les deux.
En interne (sur notre site) je n'ai aucun problème de connexion ou d’autorisation que cela soit sur un domaine ou un autre.
J'ai des packs business everywhere (orange) avec police de sécurité IPSEC SAFENET.
Pour la connexion sur l'ancien domaine (NT4) aucun problème si je me connecte en tant que X (ancien domaine). Par contre si je me connecte en tant que X (nouveau domaine) si je désire un accès aux fichiers partagés du nouveau domaine j'ai une demande de login / mot de passe.
si je les renseignes à la main cela fonction (en théorie Windows devrait voir que mon compte nouveau domaine est actif vu que la session est ouverte)
mais ce n'est pas le cas (donc pas le choix, je les renseignes) mais le plus embêtant c'est que le serveur de domaine NT4 ne me reconnait pas non plus, malgré la relation d'approbation. Il faut donc que je renseigne le login / mot passe de l'ancien domaine, pour avoir accès à mes 2 serveurs de domaines. Pas très gérable pour les utilisateurs nomades.
De plus certaines applications sur l’ancien serveur (de l’ancien domaine) ne s’ouvrent pas sauf si je cherche à accéder un partage de fichiers sur l’ancien domaine pour activer les autorisations et en suite lancer mes applis.
Ma question est simple :
Que puis-je faire pour que les logins de connexions de l'ancien et du nouveau domaine soient reconnus après l'ouverture sécurisée de ma session business everywhere ?
Même si il faut lancer à la main un fichier pour activer les authentifications, ce n'est pas grave du moment qu’ils n’ont pas à saisir le login et mot de passe à chaque connexion nomade et pour chaque domaine.
Y a t il une histoire de port à ouvrir sur mon serveur 2003 – ou un script à mettre en place ????
D'avance merci
Dans l'attente
Yole27
Buen a écrit : Bonjour, |
Marsh Posté le 22-04-2009 à 10:19:19
yole27 m'a contacté en mp, et ce problème avait été résolu : il suffit de renseigner un dns de l'ad auprès de business everywhere en primaire.
J'avais converti un serveur toujours allumé en CPD pour qu'au moins un dns soit toujours accessible.
Et en dns secondaire (chez business everywhere) j'ai configuré un dns ft (au cas où le serveur soit quand même inaccessible)
Mais bon, je vous dis ça de mémoire, ça fait un peu plus de 6 mois que je suis parti de cette boîte... Mais je suis sûr que ça a fonctionné !
Marsh Posté le 02-07-2009 à 15:51:51
Buen a écrit : yole27 m'a contacté en mp, et ce problème avait été résolu : il suffit de renseigner un dns de l'ad auprès de business everywhere en primaire. |
Marsh Posté le 03-07-2009 à 08:16:09
yole27 a écrit : Je reprend ou je me suis arrêté il y a quelque mois. |
Marsh Posté le 12-01-2010 à 21:04:18
djlex03 a écrit : J'ai trouvé une autre solution plus confortable pour l'authentification AD : Il suffit de lancer en ligne de commande un mappage de répertoire réseau. Cette action a pour effet de forcer le poste client a se connecter au domaine que l'on spécifie :
|
Bonjour;
je voudrais votre aide svp, je voudrais savoir s'il est possible de faire un script qui force les utilisateurs de contrôleur de domaine à s'identifier obligatoirement à partir de leur compte active directory. Sinon qu'ils ne puissent pas accéder au compte local de l'ordinateur. Urgent
Marsh Posté le 29-03-2007 à 10:09:10
Bonjour,
Ma question :
Est-il possible, au moment de la connexion à l'intranet, d'envoyer une information d'authentification au contrôleur de domaine ?
Je m'explique :
Dans mon entreprise, j'ai un domaine Windows server 2003.
Tous les pc sont authentifiés sur ce domaine et ouvrent leur session sans problème.
J'ai un problème avec mes pc portables :
Qu'ils soient en réseau local ou à distance (isolés du réseau), ils arrivent à ouvrir leur session sans problème.
S'ils sont à distance, ils se connectent à notre intranet (via business everywhere de ft), et quand ils essayent d'accéder à une ressource partagé du réseau, ils se font jeter.
Je pense que le contrôleur de domaine n'a pas vu l'ouverture de session de l'utilisateur, et il considère donc que cet utilisateur n'a pas a accéder à la ressource partagée.
Le serveur demande donc un id/mot de passe, si je rentre celui de l'utilisateur en cours, je me fais rembarrer, si je rentre l'id/pass de n'importe quel autre utilisateur, pas de problème.
Donc, est-il possible, au moment de la connexion à l'intranet, d'envoyer une information d'authentification au contrôleur de domaine ?
Ou alors je fais fausse route et il existe une autre solution...
Message édité par Buen le 29-03-2007 à 10:21:10
---------------
Plop ! Mon feedback - Mes ventes