Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

Afin de pouvoir mettre en œuvre une relation d’approbation entre 2 domaines, il est nécessaire de garantir que chaque domaine puisse résoudre les noms DNS de l’autre domaine.

 Nous commençons d’abord par gérer les problèmes de résolution de nom. Sur le serveur 2003 de domaine1.local :

 Un nslookup nous permet d’interroger le DNS par défaut (lui-même : localhost) et nous confirme que le serveur ne peut actuellement résoudre le nom DNS du DC du domaine 2.

Ci-dessous w2k3-dc1.domaine1.local ne peut résoudre w2k8-dc1.domaine2.local.

 
 Nous configurons maintenant les redirecteurs DNS sur le serveur W2k3-dc1 afin de rediriger les requêtes DNS du domaine domaine2.local sur le serveur w2k8-dc1.

 

 W2k3-dc1 arrive maintenant à résoudre le nom w2k8-dc1.domaine2.local.

Nous retournons sur W2k8-dc1 et nous configurons les redirecteurs dans l'autre sens.

Une grande différence existe dans la configuration des redirecteurs DNS entre Windows 2003 et Windows 2008 R2. Si avec 2003 il fallait configurer les redirecteurs sur chaque serveur DNS, sur Windows 2008 il est possible de stocker les redirecteurs dans AD et donc il suffit de les configurer une fois pour tous les DC en 2008.

C’est pour vous montrer cette différence que j’ai choisi un 2003 et un autre en 2008.

 

 

Nous choisissions de stocker les redirecteurs DNS sur tous les DC de la forêt. Il suffit pour cela de cocher la case dans l’image  ci-dessus « Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit ». Dans la liste sélectionner « tous les serveurs DNS de cette forêt » puis OK.

Le serveur W2k8-dc1 arrive maintenant à résoudre le nom w2k3-dc1.domaine1.local

Note : si le nom du serveur DNS n’apparait pas et que la commande nslookup indique « serveur : Unknow », c’est simplement par ce qu’il n’y a pas de zone de recherche inversé. Voir http://pbarth.fr/node/31

Nous allons configurer notre relation d’approbation :

 

 

Notre relation d’approbation est maintenant en place. Nous pouvons vérifier son fonctionnement soit dans la console graphique soit par la commande netdom. 

Pour finir un petit cas particulier, concernant les restructurations de domaine avec ADMT. Il s’agit de désactiver le filtrage du SID History, permettant à un utilisateur qui a été migré d’un ancien domaine vers un nouveau de continuer à utiliser les ressources de l’ancien domaine en attendant qu’elle soit migrée.

Dans l’image ci-dessous on constate l’avertissement indiquant que le filtrage des SID est désactivé. 

Commentaires

Relations d'approbation

J'ai besoin d'intégrer des ressources et des comptes depuis un domaine samba 3 (NT4) et mon AD 2012R2. Pour cela j'ai établi une relation d'appobation, qui est bien visible des deux coté, et dont je teste la validité régulièrement.
Le problème c'est que je ne vois ni les utilisateurs, ni les groupes, dans un sens comme dans l'autre. Avez vous déjà rencontré ce problème. Pour info j'ai lu les forum, et les smb.conf etc.. je les ai passé au crible.
En faisant un trusdom .... /quarantine j'apreçois tout le monde durant très peu de temps, et hop plus rien.
merci de votre aide

Re : Relations d'approbation

Avez-vous :
- essayer de valider la relation depuis le serveur 2012, cela effectue un test?
- vérifier la synchronisation des horloges ?
- regarder dans l'observateur d'événement ?

Vous pouvez également utiliser la commande suivante pour tester l'approbation :
netdom trust /d: /verify

J'ai fait

Je valide régulièrement la relation depuis 2012 vers samba et inversement
Les horloges pointent toutes sur le même serveur de temps (j'ai redémarrer les services)
Dans l'observateur d'évènement je ne trouve aucune trace de ce disfonctionnement. Peut-être que je ne regarde pas au bon endroit

Ports à ouvrir

Bonjour,

Les flux nécessaires à la mise en place de la relation d'approbation sont ils à ouvrir uniquement entre les DC de chaque forêt ? ou est ce qu'il faut autoriser les flux entre toutes les ressources de chaque forêt. Par exemple, si un user identifié sur le domaine A souhaite accéder à une ressource sur le domaine B, est ce qu'il faut ouvrir des flux particulier entre le poste du domaine A et les DC du domaine B ?

Une fois la relation d'approbation mise en place, est ce que les DCs de chaque domaine communiquent entre eux ?

Cordialement

Re : Ports à ouvrir

Si un utilisateur du domaine A veut accéder à une ressource du domaine A, il faut ouvrir les flux correspondants aux ressources, entre le poste de l'utilisateur du domaine A et le serveur de ressource du domaine B. Pour que l'approbation fonctionne il faut également autoriser le dialogue les contrôleurs de domaine des deux domaines, mais le poste client n'a pas besoin de communiquer avec les contrôleurs de domaine de l'autre domaine.

Plus de détail sur les ports AD : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window...(v=ws.10)