Bonjour,
Voila, j'ai effectué les premiers tests.
Le contexte :
2 DCs sur chacun DHCP, DNS, AD...
2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via des
routeurs Cisco.
Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
Sur le reseau A, j'ai mis en place la strategie par defaut pour le Domaine
et attribuer 'Securiser le serveur'
Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
fonction,
les pings sont ok meme avec le nom de l'ordinateur.
J'accede au partage sur le serveur.
Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du DCB.
Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD du
DCA, impossible de m'y connecter.
Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
Une idée ?
J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je reviens
au même probleme.
Merci d'avance,
Robby.

"Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
e$FHb2tUIHA.5524@TK2MSFTNGP05.phx.gbl...
> bien sûr, postez sur ce forum
>
> --
> Cordialement,
> Mathieu CHATEAU
> English blog: http://lordoftheping.blogspot.com
> French blog: http://www.lotp.fr
>
>
> "Robby" <fabrice@discussions.microsoft.com> wrote in message
> news:%23Fm49qtUIHA.748@TK2MSFTNGP04.phx.gbl...
>> Merci pour votre reactivité,
>> En effet je vais me monter un labo de test.
>> Avec 2 DCs 2003
>> 2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC sur
>> mes routeurs CISCO.
>> Pourriez-vous m'aider, si problemes ?
>>
>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>> eSswLQtUIHA.1132@TK2MSFTNGP06.phx.gbl...
>>> Il faut en effet créer et activer les règles ipsec (autre que celle par
>>> défaut)
>>> Créez une GPO à part dédié à l'ipsec.
>>>
>>> Les controlleurs de domaine & serveurs DHCP doivent accepter les
>>> communications non encryptées (afin de joindre le domaine et de pouvoir
>>> obtenir une adresse IP...)
>>>
>>> Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
>>> stations/serveurs et les règles.
>>>
>>> Je vous recommande de l'implémenter en premier dans un bac à sable type
>>> environnement virtuel de tests afin de vous faire la main.
>>>
>>> --
>>> Cordialement,
>>> Mathieu CHATEAU
>>> English blog: http://lordoftheping.blogspot.com
>>> French blog: http://www.lotp.fr
>>>
>>>
>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>> news:us6SdItUIHA.5288@TK2MSFTNGP04.phx.gbl...
>>>> Merci Mathieu,
>>>> je suis interessé par IPSEC pour un domaine 2003.
>>>> Mais est ce que
>>>> Par defaut ceci est-il vrai :
>>>>
>>>> Un ordinateur membre d'un domaine hérite automatiquement de la
>>>> stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
>>>> il ouvre une session sur le domaine.
>>>>
>>>> faut-il la créer ?
>>>>
>>>> Merci d'avance,
>>>>
>>>> Robby
>>>>
>>>>
>>>>
>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>>> OxGzlQ3NIHA.292@TK2MSFTNGP02.phx.gbl...
>>>>> une machine non membre du domaine pourra avoir une adresse ip.
>>>>>
>>>>> En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
>>>>> aura beau avoir un compte valide, il ne pourra pas accéder aux
>>>>> ressources des serveurs.
>>>>>
>>>>> pour les switchs, indiquez moi vos modèles d'équipement, je vous dirai
>>>>> ce qui est possible.
>>>>>
>>>>> http://www.labo-microsoft.com/whitepapers/15454/
>>>>> http://www.commentcamarche.net/internet/vlan.php3
>>>>>
>>>>> http://www.laboratoire-microsoft.org...network/ipsec/
>>>>> http://technet.microsoft.com/en-us/l.../bb742429.aspx
>>>>> http://technet.microsoft.com/en-us/n.../bb531150.aspx
>>>>>
>>>>>
>>>>> --
>>>>> Cordialement,
>>>>> Mathieu CHATEAU
>>>>> English blog: http://lordoftheping.blogspot.com
>>>>> French blog: http://www.lotp.fr
>>>>>
>>>>>
>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>> news:Ogl0P3xNIHA.2000@TK2MSFTNGP05.phx.gbl...
>>>>>> Bonjour et merci pour votre reponse,
>>>>>>
>>>>>> Pour l'implementation IPSEC,
>>>>>> est-ce que une machine qui n'est pas membre du domaine pourra obtenir
>>>>>> une adresse IP ? je pense que oui.
>>>>>> est-ce que une machine qui n'est pas membre du domaine A pourra
>>>>>> acceder au serveur de fichiers A ? je pense NON, mais si ce user lui
>>>>>> a un compte dans l'Ad ?
>>>>>> Pourriez-vous m'aider la dessus, svp ?
>>>>>> Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>> fonction de
>>>>>> la mac address)-----auriez-vous un site, une doc ?
>>>>>> Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>> autoriser--auriez-vous un site, une doc ?
>>>>>> Encore merci.
>>>>>> Robby
>>>>>>
>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>> news: OqozObNNIHA.4948@TK2MSFTNGP02.phx.gbl...
>>>>>>> Bonjour,
>>>>>>>
>>>>>>> plusieurs choses:
>>>>>>> -Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
>>>>>>> pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
>>>>>>> revanche "verrouiller" ces comptes via GPO etc.
>>>>>>>
>>>>>>> Pour la partie ordinateur, il y a des solutions plus ou moins
>>>>>>> complexes:
>>>>>>> -Répondre par une communication informatique "vous ne pouvez pas..."
>>>>>>> -Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>> fonction de la mac address)
>>>>>>> -Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>> autoriser
>>>>>>> -Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
>>>>>>> domaine de communiquer avec des machines dans le domaine. Certaines
>>>>>>> machines, comme les DC ou serveurs DHCP ne peuvent pas être
>>>>>>> protégées via ipsec
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Cordialement,
>>>>>>> Mathieu CHATEAU
>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>> French blog: http://www.lotp.fr
>>>>>>>
>>>>>>>
>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>> news:uXRxvcZMIHA.4476@TK2MSFTNGP06.phx.gbl...
>>>>>>>> Bonjour,
>>>>>>>>
>>>>>>>> Je cherche une solution concernant la situation suivante :
>>>>>>>> Dans les memes locaux, deux societés distinctes, chacun à leur
>>>>>>>> serveur W2003, DHCP, Dc..., Switch, routeur et segements physiques.
>>>>>>>> La société A que je gere ne veut pas que la Societé B ce connecte
>>>>>>>> sur leur reseau, mais la B aura l'accés aux emails sur le domaine
>>>>>>>> de A donc boites Exchange 2007 et compte AD (au fait peut-on créer
>>>>>>>> des boites mails sans le compte AD ?).
>>>>>>>> Comment faire pour que le pc de B si il fait une tentative de
>>>>>>>> connexion sur une prise reseau du segment A, n'obtient pas d'IP ou
>>>>>>>> soit bloqué ?
>>>>>>>> Est-ce possible sur le DHCP ?
>>>>>>>> Faire un VLAN ?
>>>>>>>> on m'a parlé d'IPSEc ?
>>>>>>>> Merci d'avance,
>>>>>>>> Robby
>>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>
>>>>
>>>>
>>>
>>
>>
>

Bonsoir,
La suite,
A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en ipsec,
je peux lancer des pings vers le serveur Local et distant (192.168.2.0), et
y accede bien.
Par contre sur le client XP du reseau B, j'accede au serveur local mais
demande un mot de passe, en plus l'accès est tres lent chose qui ne se passe
pas sur l'autre reseau.Le ping vers le server local est OK, mais pas vers le
serveur distant.
J'ai activé les strategies ;
"Client en reponse seul" sur le DOMAINE
"Securiser le serveur" sur le controleur de Domaine.
Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
Pourquoi le client XP demande un mot de passe alors que le serveur est sur
le même reseau ?
Pourquoi il ne pinge pas l'autre server ?
Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
passe et pas de soucis de ping.
Merci d'avance,
Robby


"Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de news:
Ovp$CTNXIHA.4432@TK2MSFTNGP05.phx.gbl...
> Bonjour,
> Voila, j'ai effectué les premiers tests.
> Le contexte :
> 2 DCs sur chacun DHCP, DNS, AD...
> 2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
> des routeurs Cisco.
> Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
> Sur le reseau A, j'ai mis en place la strategie par defaut pour le Domaine
> et attribuer 'Securiser le serveur'
> Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
> fonction,
> les pings sont ok meme avec le nom de l'ordinateur.
> J'accede au partage sur le serveur.
> Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
> DCB.
> Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
> Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
> du DCA, impossible de m'y connecter.
> Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
> Une idée ?
> J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
> reviens au même probleme.
> Merci d'avance,
> Robby.
>
> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
> e$FHb2tUIHA.5524@TK2MSFTNGP05.phx.gbl...
>> bien sûr, postez sur ce forum
>>
>> --
>> Cordialement,
>> Mathieu CHATEAU
>> English blog: http://lordoftheping.blogspot.com
>> French blog: http://www.lotp.fr
>>
>>
>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>> news:%23Fm49qtUIHA.748@TK2MSFTNGP04.phx.gbl...
>>> Merci pour votre reactivité,
>>> En effet je vais me monter un labo de test.
>>> Avec 2 DCs 2003
>>> 2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
>>> sur mes routeurs CISCO.
>>> Pourriez-vous m'aider, si problemes ?
>>>
>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>> eSswLQtUIHA.1132@TK2MSFTNGP06.phx.gbl...
>>>> Il faut en effet créer et activer les règles ipsec (autre que celle par
>>>> défaut)
>>>> Créez une GPO à part dédié à l'ipsec.
>>>>
>>>> Les controlleurs de domaine & serveurs DHCP doivent accepter les
>>>> communications non encryptées (afin de joindre le domaine et de pouvoir
>>>> obtenir une adresse IP...)
>>>>
>>>> Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
>>>> stations/serveurs et les règles.
>>>>
>>>> Je vous recommande de l'implémenter en premier dans un bac à sable type
>>>> environnement virtuel de tests afin de vous faire la main.
>>>>
>>>> --
>>>> Cordialement,
>>>> Mathieu CHATEAU
>>>> English blog: http://lordoftheping.blogspot.com
>>>> French blog: http://www.lotp.fr
>>>>
>>>>
>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>> news:us6SdItUIHA.5288@TK2MSFTNGP04.phx.gbl...
>>>>> Merci Mathieu,
>>>>> je suis interessé par IPSEC pour un domaine 2003.
>>>>> Mais est ce que
>>>>> Par defaut ceci est-il vrai :
>>>>>
>>>>> Un ordinateur membre d'un domaine hérite automatiquement de la
>>>>> stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
>>>>> il ouvre une session sur le domaine.
>>>>>
>>>>> faut-il la créer ?
>>>>>
>>>>> Merci d'avance,
>>>>>
>>>>> Robby
>>>>>
>>>>>
>>>>>
>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>>>> OxGzlQ3NIHA.292@TK2MSFTNGP02.phx.gbl...
>>>>>> une machine non membre du domaine pourra avoir une adresse ip.
>>>>>>
>>>>>> En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
>>>>>> aura beau avoir un compte valide, il ne pourra pas accéder aux
>>>>>> ressources des serveurs.
>>>>>>
>>>>>> pour les switchs, indiquez moi vos modèles d'équipement, je vous
>>>>>> dirai ce qui est possible.
>>>>>>
>>>>>> http://www.labo-microsoft.com/whitepapers/15454/
>>>>>> http://www.commentcamarche.net/internet/vlan.php3
>>>>>>
>>>>>> http://www.laboratoire-microsoft.org...network/ipsec/
>>>>>> http://technet.microsoft.com/en-us/l.../bb742429.aspx
>>>>>> http://technet.microsoft.com/en-us/n.../bb531150.aspx
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Cordialement,
>>>>>> Mathieu CHATEAU
>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>> French blog: http://www.lotp.fr
>>>>>>
>>>>>>
>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>> news:Ogl0P3xNIHA.2000@TK2MSFTNGP05.phx.gbl...
>>>>>>> Bonjour et merci pour votre reponse,
>>>>>>>
>>>>>>> Pour l'implementation IPSEC,
>>>>>>> est-ce que une machine qui n'est pas membre du domaine pourra
>>>>>>> obtenir une adresse IP ? je pense que oui.
>>>>>>> est-ce que une machine qui n'est pas membre du domaine A pourra
>>>>>>> acceder au serveur de fichiers A ? je pense NON, mais si ce user lui
>>>>>>> a un compte dans l'Ad ?
>>>>>>> Pourriez-vous m'aider la dessus, svp ?
>>>>>>> Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>> fonction de
>>>>>>> la mac address)-----auriez-vous un site, une doc ?
>>>>>>> Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>> autoriser--auriez-vous un site, une doc ?
>>>>>>> Encore merci.
>>>>>>> Robby
>>>>>>>
>>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>>> news: OqozObNNIHA.4948@TK2MSFTNGP02.phx.gbl...
>>>>>>>> Bonjour,
>>>>>>>>
>>>>>>>> plusieurs choses:
>>>>>>>> -Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
>>>>>>>> pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
>>>>>>>> revanche "verrouiller" ces comptes via GPO etc.
>>>>>>>>
>>>>>>>> Pour la partie ordinateur, il y a des solutions plus ou moins
>>>>>>>> complexes:
>>>>>>>> -Répondre par une communication informatique "vous ne pouvez
>>>>>>>> pas..."
>>>>>>>> -Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>>> fonction de la mac address)
>>>>>>>> -Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>>> autoriser
>>>>>>>> -Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
>>>>>>>> domaine de communiquer avec des machines dans le domaine. Certaines
>>>>>>>> machines, comme les DC ou serveurs DHCP ne peuvent pas être
>>>>>>>> protégées via ipsec
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Cordialement,
>>>>>>>> Mathieu CHATEAU
>>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>>> French blog: http://www.lotp.fr
>>>>>>>>
>>>>>>>>
>>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>>> news:uXRxvcZMIHA.4476@TK2MSFTNGP06.phx.gbl...
>>>>>>>>> Bonjour,
>>>>>>>>>
>>>>>>>>> Je cherche une solution concernant la situation suivante :
>>>>>>>>> Dans les memes locaux, deux societés distinctes, chacun à leur
>>>>>>>>> serveur W2003, DHCP, Dc..., Switch, routeur et segements
>>>>>>>>> physiques.
>>>>>>>>> La société A que je gere ne veut pas que la Societé B ce connecte
>>>>>>>>> sur leur reseau, mais la B aura l'accés aux emails sur le domaine
>>>>>>>>> de A donc boites Exchange 2007 et compte AD (au fait peut-on créer
>>>>>>>>> des boites mails sans le compte AD ?).
>>>>>>>>> Comment faire pour que le pc de B si il fait une tentative de
>>>>>>>>> connexion sur une prise reseau du segment A, n'obtient pas d'IP ou
>>>>>>>>> soit bloqué ?
>>>>>>>>> Est-ce possible sur le DHCP ?
>>>>>>>>> Faire un VLAN ?
>>>>>>>>> on m'a parlé d'IPSEc ?
>>>>>>>>> Merci d'avance,
>>>>>>>>> Robby
>>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>
>>>
>>>
>>
>
>

Ce matin,
J'ai tout supprime dans les strategies en Domaine et en Controleur de
domaine.
Puis j'ai redemarré les 2 PCs client, sur le W2000 pas de soucis, mais sur
le WinXP, pb de ping, plus d'accès au DC local comme distant.
J'ai regarde dans Strategies Locales sur le Client, tout est à NON au niveau
IPSEC.
Par contre quand j'ai arrete le service IPSEC sur le poste Client, tout est
OK, Pourquoi ?
Alors que sur mon PC W2000, le service IPSEC est actif, et je n'ai pas ce
probleme.
Y a t-il un outil comme IPSECMON pour XP ?
Je n'ai sais plus par quel bout commencer.
Si quelqu'un avec une piste, merci d'avance,
Robby.

"Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de news:
eQCv22RXIHA.5396@TK2MSFTNGP02.phx.gbl...
> Bonsoir,
> La suite,
> A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en
> ipsec, je peux lancer des pings vers le serveur Local et distant
> (192.168.2.0), et y accede bien.
> Par contre sur le client XP du reseau B, j'accede au serveur local mais
> demande un mot de passe, en plus l'accès est tres lent chose qui ne se
> passe pas sur l'autre reseau.Le ping vers le server local est OK, mais pas
> vers le serveur distant.
> J'ai activé les strategies ;
> "Client en reponse seul" sur le DOMAINE
> "Securiser le serveur" sur le controleur de Domaine.
> Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
> Pourquoi le client XP demande un mot de passe alors que le serveur est sur
> le même reseau ?
> Pourquoi il ne pinge pas l'autre server ?
> Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
> passe et pas de soucis de ping.
> Merci d'avance,
> Robby
>
>
> "Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de
> news: Ovp$CTNXIHA.4432@TK2MSFTNGP05.phx.gbl...
>> Bonjour,
>> Voila, j'ai effectué les premiers tests.
>> Le contexte :
>> 2 DCs sur chacun DHCP, DNS, AD...
>> 2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
>> des routeurs Cisco.
>> Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
>> Sur le reseau A, j'ai mis en place la strategie par defaut pour le
>> Domaine et attribuer 'Securiser le serveur'
>> Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
>> fonction,
>> les pings sont ok meme avec le nom de l'ordinateur.
>> J'accede au partage sur le serveur.
>> Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
>> DCB.
>> Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
>> Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
>> du DCA, impossible de m'y connecter.
>> Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
>> Une idée ?
>> J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
>> reviens au même probleme.
>> Merci d'avance,
>> Robby.
>>
>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>> e$FHb2tUIHA.5524@TK2MSFTNGP05.phx.gbl...
>>> bien sûr, postez sur ce forum
>>>
>>> --
>>> Cordialement,
>>> Mathieu CHATEAU
>>> English blog: http://lordoftheping.blogspot.com
>>> French blog: http://www.lotp.fr
>>>
>>>
>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>> news:%23Fm49qtUIHA.748@TK2MSFTNGP04.phx.gbl...
>>>> Merci pour votre reactivité,
>>>> En effet je vais me monter un labo de test.
>>>> Avec 2 DCs 2003
>>>> 2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
>>>> sur mes routeurs CISCO.
>>>> Pourriez-vous m'aider, si problemes ?
>>>>
>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>>> eSswLQtUIHA.1132@TK2MSFTNGP06.phx.gbl...
>>>>> Il faut en effet créer et activer les règles ipsec (autre que celle
>>>>> par défaut)
>>>>> Créez une GPO à part dédié à l'ipsec.
>>>>>
>>>>> Les controlleurs de domaine & serveurs DHCP doivent accepter les
>>>>> communications non encryptées (afin de joindre le domaine et de
>>>>> pouvoir obtenir une adresse IP...)
>>>>>
>>>>> Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
>>>>> stations/serveurs et les règles.
>>>>>
>>>>> Je vous recommande de l'implémenter en premier dans un bac à sable
>>>>> type environnement virtuel de tests afin de vous faire la main.
>>>>>
>>>>> --
>>>>> Cordialement,
>>>>> Mathieu CHATEAU
>>>>> English blog: http://lordoftheping.blogspot.com
>>>>> French blog: http://www.lotp.fr
>>>>>
>>>>>
>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>> news:us6SdItUIHA.5288@TK2MSFTNGP04.phx.gbl...
>>>>>> Merci Mathieu,
>>>>>> je suis interessé par IPSEC pour un domaine 2003.
>>>>>> Mais est ce que
>>>>>> Par defaut ceci est-il vrai :
>>>>>>
>>>>>> Un ordinateur membre d'un domaine hérite automatiquement de la
>>>>>> stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
>>>>>> il ouvre une session sur le domaine.
>>>>>>
>>>>>> faut-il la créer ?
>>>>>>
>>>>>> Merci d'avance,
>>>>>>
>>>>>> Robby
>>>>>>
>>>>>>
>>>>>>
>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>> news: OxGzlQ3NIHA.292@TK2MSFTNGP02.phx.gbl...
>>>>>>> une machine non membre du domaine pourra avoir une adresse ip.
>>>>>>>
>>>>>>> En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
>>>>>>> aura beau avoir un compte valide, il ne pourra pas accéder aux
>>>>>>> ressources des serveurs.
>>>>>>>
>>>>>>> pour les switchs, indiquez moi vos modèles d'équipement, je vous
>>>>>>> dirai ce qui est possible.
>>>>>>>
>>>>>>> http://www.labo-microsoft.com/whitepapers/15454/
>>>>>>> http://www.commentcamarche.net/internet/vlan.php3
>>>>>>>
>>>>>>> http://www.laboratoire-microsoft.org...network/ipsec/
>>>>>>> http://technet.microsoft.com/en-us/l.../bb742429.aspx
>>>>>>> http://technet.microsoft.com/en-us/n.../bb531150.aspx
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Cordialement,
>>>>>>> Mathieu CHATEAU
>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>> French blog: http://www.lotp.fr
>>>>>>>
>>>>>>>
>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>> news:Ogl0P3xNIHA.2000@TK2MSFTNGP05.phx.gbl...
>>>>>>>> Bonjour et merci pour votre reponse,
>>>>>>>>
>>>>>>>> Pour l'implementation IPSEC,
>>>>>>>> est-ce que une machine qui n'est pas membre du domaine pourra
>>>>>>>> obtenir une adresse IP ? je pense que oui.
>>>>>>>> est-ce que une machine qui n'est pas membre du domaine A pourra
>>>>>>>> acceder au serveur de fichiers A ? je pense NON, mais si ce user
>>>>>>>> lui a un compte dans l'Ad ?
>>>>>>>> Pourriez-vous m'aider la dessus, svp ?
>>>>>>>> Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>>> fonction de
>>>>>>>> la mac address)-----auriez-vous un site, une doc ?
>>>>>>>> Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>>> autoriser--auriez-vous un site, une doc ?
>>>>>>>> Encore merci.
>>>>>>>> Robby
>>>>>>>>
>>>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>>>> news: OqozObNNIHA.4948@TK2MSFTNGP02.phx.gbl...
>>>>>>>>> Bonjour,
>>>>>>>>>
>>>>>>>>> plusieurs choses:
>>>>>>>>> -Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
>>>>>>>>> pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
>>>>>>>>> revanche "verrouiller" ces comptes via GPO etc.
>>>>>>>>>
>>>>>>>>> Pour la partie ordinateur, il y a des solutions plus ou moins
>>>>>>>>> complexes:
>>>>>>>>> -Répondre par une communication informatique "vous ne pouvez
>>>>>>>>> pas..."
>>>>>>>>> -Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>>>> fonction de la mac address)
>>>>>>>>> -Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>>>> autoriser
>>>>>>>>> -Implémenter ipsec, pour empêcher une machine qui n'est pas dans
>>>>>>>>> le domaine de communiquer avec des machines dans le domaine.
>>>>>>>>> Certaines machines, comme les DC ou serveurs DHCP ne peuvent pas
>>>>>>>>> être protégées via ipsec
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Cordialement,
>>>>>>>>> Mathieu CHATEAU
>>>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>>>> French blog: http://www.lotp.fr
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>>>> news:uXRxvcZMIHA.4476@TK2MSFTNGP06.phx.gbl...
>>>>>>>>>> Bonjour,
>>>>>>>>>>
>>>>>>>>>> Je cherche une solution concernant la situation suivante :
>>>>>>>>>> Dans les memes locaux, deux societés distinctes, chacun à leur
>>>>>>>>>> serveur W2003, DHCP, Dc..., Switch, routeur et segements
>>>>>>>>>> physiques.
>>>>>>>>>> La société A que je gere ne veut pas que la Societé B ce connecte
>>>>>>>>>> sur leur reseau, mais la B aura l'accés aux emails sur le domaine
>>>>>>>>>> de A donc boites Exchange 2007 et compte AD (au fait peut-on
>>>>>>>>>> créer des boites mails sans le compte AD ?).
>>>>>>>>>> Comment faire pour que le pc de B si il fait une tentative de
>>>>>>>>>> connexion sur une prise reseau du segment A, n'obtient pas d'IP
>>>>>>>>>> ou soit bloqué ?
>>>>>>>>>> Est-ce possible sur le DHCP ?
>>>>>>>>>> Faire un VLAN ?
>>>>>>>>>> on m'a parlé d'IPSEc ?
>>>>>>>>>> Merci d'avance,
>>>>>>>>>> Robby
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>
>>>>
>>>>
>>>
>>
>>
>
>

Cette AM, il y a du mieux, ca fontionne.
Du reseau A, client A vers sont serveurs ping ok, vers server reseau B ok.je
vois bien avec
l'outil ipsecmon, l'IPSEC actif.
Du reseau A, server A vers server B ping ok, ping vers client B ok. je vois
bien avec
l'outil MMC, l'IPSEC actif entre les machines.
Pour le reseau B, c'est pareil, tout est ok. je vois bien les canaux IPSEC
se créer apres un ping, et à l'aide
d'un analyser les requetes passent bien en ESP.
Il me reste une Question, Pourquoi en local sur le reseau, les requetes par
ex SMB ne sont pas encryptées ?
Exemple:
Pc client A fait une requete sur son serveur local A, un ping, accès
fichiers..., j'analyse le traffic, et la je vois
qu'il n'y a pas d'ESP.
Le server en question est aussi un DHCP, et un DC.
Est-ce que le Filtre est mal paremetré ?
Par contre, je fais la m^me manip mais sur un serveur distant, la pas de pb.
Merci d'avance,
Robby.

"Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de news:
OtgczOaXIHA.484@TK2MSFTNGP06.phx.gbl...
> Ce matin,
> J'ai tout supprime dans les strategies en Domaine et en Controleur de
> domaine.
> Puis j'ai redemarré les 2 PCs client, sur le W2000 pas de soucis, mais sur
> le WinXP, pb de ping, plus d'accès au DC local comme distant.
> J'ai regarde dans Strategies Locales sur le Client, tout est à NON au
> niveau IPSEC.
> Par contre quand j'ai arrete le service IPSEC sur le poste Client, tout
> est OK, Pourquoi ?
> Alors que sur mon PC W2000, le service IPSEC est actif, et je n'ai pas ce
> probleme.
> Y a t-il un outil comme IPSECMON pour XP ?
> Je n'ai sais plus par quel bout commencer.
> Si quelqu'un avec une piste, merci d'avance,
> Robby.
>
> "Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de
> news: eQCv22RXIHA.5396@TK2MSFTNGP02.phx.gbl...
>> Bonsoir,
>> La suite,
>> A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en
>> ipsec, je peux lancer des pings vers le serveur Local et distant
>> (192.168.2.0), et y accede bien.
>> Par contre sur le client XP du reseau B, j'accede au serveur local mais
>> demande un mot de passe, en plus l'accès est tres lent chose qui ne se
>> passe pas sur l'autre reseau.Le ping vers le server local est OK, mais
>> pas vers le serveur distant.
>> J'ai activé les strategies ;
>> "Client en reponse seul" sur le DOMAINE
>> "Securiser le serveur" sur le controleur de Domaine.
>> Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
>> Pourquoi le client XP demande un mot de passe alors que le serveur est
>> sur le même reseau ?
>> Pourquoi il ne pinge pas l'autre server ?
>> Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
>> passe et pas de soucis de ping.
>> Merci d'avance,
>> Robby
>>
>>
>> "Robby" <fabrice@discussions.microsoft.com> a écrit dans le message de
>> news: Ovp$CTNXIHA.4432@TK2MSFTNGP05.phx.gbl...
>>> Bonjour,
>>> Voila, j'ai effectué les premiers tests.
>>> Le contexte :
>>> 2 DCs sur chacun DHCP, DNS, AD...
>>> 2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
>>> des routeurs Cisco.
>>> Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
>>> Sur le reseau A, j'ai mis en place la strategie par defaut pour le
>>> Domaine et attribuer 'Securiser le serveur'
>>> Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
>>> fonction,
>>> les pings sont ok meme avec le nom de l'ordinateur.
>>> J'accede au partage sur le serveur.
>>> Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
>>> DCB.
>>> Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
>>> Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
>>> du DCA, impossible de m'y connecter.
>>> Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
>>> Une idée ?
>>> J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
>>> reviens au même probleme.
>>> Merci d'avance,
>>> Robby.
>>>
>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>> e$FHb2tUIHA.5524@TK2MSFTNGP05.phx.gbl...
>>>> bien sûr, postez sur ce forum
>>>>
>>>> --
>>>> Cordialement,
>>>> Mathieu CHATEAU
>>>> English blog: http://lordoftheping.blogspot.com
>>>> French blog: http://www.lotp.fr
>>>>
>>>>
>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>> news:%23Fm49qtUIHA.748@TK2MSFTNGP04.phx.gbl...
>>>>> Merci pour votre reactivité,
>>>>> En effet je vais me monter un labo de test.
>>>>> Avec 2 DCs 2003
>>>>> 2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
>>>>> sur mes routeurs CISCO.
>>>>> Pourriez-vous m'aider, si problemes ?
>>>>>
>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de news:
>>>>> eSswLQtUIHA.1132@TK2MSFTNGP06.phx.gbl...
>>>>>> Il faut en effet créer et activer les règles ipsec (autre que celle
>>>>>> par défaut)
>>>>>> Créez une GPO à part dédié à l'ipsec.
>>>>>>
>>>>>> Les controlleurs de domaine & serveurs DHCP doivent accepter les
>>>>>> communications non encryptées (afin de joindre le domaine et de
>>>>>> pouvoir obtenir une adresse IP...)
>>>>>>
>>>>>> Il faut déployer IPSEC de façon progressive à la fois sur le nombre
>>>>>> de stations/serveurs et les règles.
>>>>>>
>>>>>> Je vous recommande de l'implémenter en premier dans un bac à sable
>>>>>> type environnement virtuel de tests afin de vous faire la main.
>>>>>>
>>>>>> --
>>>>>> Cordialement,
>>>>>> Mathieu CHATEAU
>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>> French blog: http://www.lotp.fr
>>>>>>
>>>>>>
>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>> news:us6SdItUIHA.5288@TK2MSFTNGP04.phx.gbl...
>>>>>>> Merci Mathieu,
>>>>>>> je suis interessé par IPSEC pour un domaine 2003.
>>>>>>> Mais est ce que
>>>>>>> Par defaut ceci est-il vrai :
>>>>>>>
>>>>>>> Un ordinateur membre d'un domaine hérite automatiquement de la
>>>>>>> stratégie IPSec affectée à la stratégie de sécurité du domaine,
>>>>>>> quand il ouvre une session sur le domaine.
>>>>>>>
>>>>>>> faut-il la créer ?
>>>>>>>
>>>>>>> Merci d'avance,
>>>>>>>
>>>>>>> Robby
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>>> news: OxGzlQ3NIHA.292@TK2MSFTNGP02.phx.gbl...
>>>>>>>> une machine non membre du domaine pourra avoir une adresse ip.
>>>>>>>>
>>>>>>>> En revanche, ipsec authentifie l'ordinateur et non l'utilisateur.
>>>>>>>> Il aura beau avoir un compte valide, il ne pourra pas accéder aux
>>>>>>>> ressources des serveurs.
>>>>>>>>
>>>>>>>> pour les switchs, indiquez moi vos modèles d'équipement, je vous
>>>>>>>> dirai ce qui est possible.
>>>>>>>>
>>>>>>>> http://www.labo-microsoft.com/whitepapers/15454/
>>>>>>>> http://www.commentcamarche.net/internet/vlan.php3
>>>>>>>>
>>>>>>>> http://www.laboratoire-microsoft.org...network/ipsec/
>>>>>>>> http://technet.microsoft.com/en-us/l.../bb742429.aspx
>>>>>>>> http://technet.microsoft.com/en-us/n.../bb531150.aspx
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Cordialement,
>>>>>>>> Mathieu CHATEAU
>>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>>> French blog: http://www.lotp.fr
>>>>>>>>
>>>>>>>>
>>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>>> news:Ogl0P3xNIHA.2000@TK2MSFTNGP05.phx.gbl...
>>>>>>>>> Bonjour et merci pour votre reponse,
>>>>>>>>>
>>>>>>>>> Pour l'implementation IPSEC,
>>>>>>>>> est-ce que une machine qui n'est pas membre du domaine pourra
>>>>>>>>> obtenir une adresse IP ? je pense que oui.
>>>>>>>>> est-ce que une machine qui n'est pas membre du domaine A pourra
>>>>>>>>> acceder au serveur de fichiers A ? je pense NON, mais si ce user
>>>>>>>>> lui a un compte dans l'Ad ?
>>>>>>>>> Pourriez-vous m'aider la dessus, svp ?
>>>>>>>>> Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>>>> fonction de
>>>>>>>>> la mac address)-----auriez-vous un site, une doc ?
>>>>>>>>> Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>>>> autoriser--auriez-vous un site, une doc ?
>>>>>>>>> Encore merci.
>>>>>>>>> Robby
>>>>>>>>>
>>>>>>>>> "Mathieu CHATEAU" <gollum123@free.fr> a écrit dans le message de
>>>>>>>>> news: OqozObNNIHA.4948@TK2MSFTNGP02.phx.gbl...
>>>>>>>>>> Bonjour,
>>>>>>>>>>
>>>>>>>>>> plusieurs choses:
>>>>>>>>>> -Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
>>>>>>>>>> pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
>>>>>>>>>> revanche "verrouiller" ces comptes via GPO etc.
>>>>>>>>>>
>>>>>>>>>> Pour la partie ordinateur, il y a des solutions plus ou moins
>>>>>>>>>> complexes:
>>>>>>>>>> -Répondre par une communication informatique "vous ne pouvez
>>>>>>>>>> pas..."
>>>>>>>>>> -Vérifier les fonctionnalités de vos switchs (changer le vlan en
>>>>>>>>>> fonction de la mac address)
>>>>>>>>>> -Utiliser le 802.1X pour authentifier les machines avant de les
>>>>>>>>>> autoriser
>>>>>>>>>> -Implémenter ipsec, pour empêcher une machine qui n'est pas dans
>>>>>>>>>> le domaine de communiquer avec des machines dans le domaine.
>>>>>>>>>> Certaines machines, comme les DC ou serveurs DHCP ne peuvent pas
>>>>>>>>>> être protégées via ipsec
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>>> Cordialement,
>>>>>>>>>> Mathieu CHATEAU
>>>>>>>>>> English blog: http://lordoftheping.blogspot.com
>>>>>>>>>> French blog: http://www.lotp.fr
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> "Robby" <fabrice@discussions.microsoft.com> wrote in message
>>>>>>>>>> news:uXRxvcZMIHA.4476@TK2MSFTNGP06.phx.gbl...
>>>>>>>>>>> Bonjour,
>>>>>>>>>>>
>>>>>>>>>>> Je cherche une solution concernant la situation suivante :
>>>>>>>>>>> Dans les memes locaux, deux societés distinctes, chacun à leur
>>>>>>>>>>> serveur W2003, DHCP, Dc..., Switch, routeur et segements
>>>>>>>>>>> physiques.
>>>>>>>>>>> La société A que je gere ne veut pas que la Societé B ce
>>>>>>>>>>> connecte sur leur reseau, mais la B aura l'accés aux emails sur
>>>>>>>>>>> le domaine de A donc boites Exchange 2007 et compte AD (au fait
>>>>>>>>>>> peut-on créer des boites mails sans le compte AD ?).
>>>>>>>>>>> Comment faire pour que le pc de B si il fait une tentative de
>>>>>>>>>>> connexion sur une prise reseau du segment A, n'obtient pas d'IP
>>>>>>>>>>> ou soit bloqué ?
>>>>>>>>>>> Est-ce possible sur le DHCP ?
>>>>>>>>>>> Faire un VLAN ?
>>>>>>>>>>> on m'a parlé d'IPSEc ?
>>>>>>>>>>> Merci d'avance,
>>>>>>>>>>> Robby
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>
>>>
>>>
>>
>>
>
>