Controleur de domaine et DMZ

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

Controleur de domaine et DMZ

Messagepar fleib » 19 Jan 2010 15:56

Bonjour,

Savez vous comment se comporte un Contrôleur de Domaine s'il est positionné en DMZ?

Je m'explique, désirant plus de sécurité au niveau du contrôleur de domaine, je souhaite l'héberger dans une DMZ privée (non accessible depuis Internet). Je me posais la question de la possibilité, dans ce cas là d'enregistrer une nouvelle machine dans le domaine, comment faire pour que le serveur reçoive la requête du client?

Ai je été clair? Si non, je peux éclaircir ma question.

Merci d'avance pour votre aide.

Fr@n6
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar ccnet » 19 Jan 2010 17:12

Je ne suis pas un spécialiste de l'environnement Microsoft et en particulier Active Directory.

A priori compte tenu du babillage intensif des OS de l'éditeur je crains (j'en suis sûr en fait) qu'il faille ouvrir un grand nombre de ports TCP, UDP entre la dmz et le Lan. Bien sûr (et heureusement on peut tout fermer côté internet). Il faudra être vigilant sur le trafic sortant, en particulier http, autorisé. La réalisation des mises à jour sur le site de Microsoft devient alors un problème.

Je sais qu'il existe sur le site MS un document décrivant les contraintes et possibilités de fonctionnement dans le cas de serveurs placés dans des zones différentes. Avez vous connaissance de ce document ?

Si ce n'est pas le cas j'ai peut être encore un signet pour vous le retrouver.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 19 Jan 2010 18:32

Curieuse question !

Le propre d'une DMZ est de réunir les machines pouvant accéder à Internet ou pouvant être accédé depuis Internet ! On met, donc et typiquement, dans une DMZ : un serveur web, un relais mail, un serveur ftp, ...

Mais un serveur Windows de type DC, qui n'a besoin d'être accédé depuis Internet, n'a pas vraiment sa place en DMZ !

Par ailleurs, il faudrait, au niveau du firewall, autoriser tous les protocoles utilisés. (Bon courage !)

Par ailleurs, il est connu que cela va jouer dans la détection des ressources : par défaut une machine Windows en trouve une autre si elle est dans le même réseau de broadcast, ce ne sera pas le cas.


Je ne mettrais donc pas une serveur de type dans une DMZ.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar SINE QUA NON » 19 Jan 2010 23:45

+1
Il est impensable de placer un DC dans une DMZ au vue du nmbre de port à ouvrir (ldap/kerberos/dns/netbios etc ...)
SINE QUA NON
Matelot
Matelot
 
Messages: 4
Inscrit le: 19 Jan 2010 23:13
Localisation: Paris

Messagepar Franck78 » 20 Jan 2010 00:04

microsoft a rendu public (enfin, grace au pressionde l'europe) les specs de ses protocoles réseaux.

Il suffit de lire. Beaucoup de lecture, certes, mais comme tout repose sur trois ou quatre protocole de base, (mailslot, cifs,...)

ce qui donne au hazard:
http://msdn.microsoft.com/fr-fr/archite ... 64653.aspx

et encore:WSPP
http://msdn.microsoft.com/en-us/library ... 10%29.aspx

Je comprend l'envie que l'on peut avoir de planquer des serveurs sensibles dans des zones controlées.
DMZ n'est pas le terme adéquat. C'est plutôt BASTION qui convient.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron