Contrôleur de Domaine

[DaG33K]

Bonjour à tous !
J'espère que je ne me trompe pas de topic pour créer ce sujet. J'ai fait quelques recherches, et je n'ai pas trouvé de réponse à mon interrogation.

J'aimerais que mon DS1817+ fasse contrôleur de domaine. Est-ce que ceci est faisable ?
Les paquets Active Directory Server et DNS Server ne permettant pas ceci de ce que j'ai pu comprendre via mes recherches.

Par avance, je vous remercie de l'aide que vous m'apporterez.

[PiwiLAbruti]

il y a 15 minutes, DaG33K a dit :

Les paquets Active Directory Server et DNS Server ne permettant pas ceci de ce que j'ai pu comprendre via mes recherches.

Où as-tu lu ça ? D'après Synology c'est faisable :

• https://www.synology.com/fr-fr/dsm/feature/active_directory
• https://www.synology.com/fr-fr/knowledgebase/DSM/help/ActiveDirectoryServer/activedirectory_desc

Il y a également des ressources sur le forum officiel :

• Rubrique : https://forum.synology.com/enu/viewforum.php?f=284
• Guide : https://forum.synology.com/enu/viewtopic.php?f=284&t=132330

[DaG33K]

Ah je n'étais pas aller chercher les infos sur le site constructeur, belle erreur de ma part.
Je m'étais cantonné sur ce forum à vrai dire.

Je vais continuer mes recherches avec les liens que tu m'as fournis, je t'en remercie.
Désolé d'avoir créé un topic pour rien.

[DaG33K]

Navré pour le double post.

J'ai réussi à faire mon domaine :) 
Cependant, j'ai un blocage, je n'arrive pas à faire rejoindre le domaine à l'un de mes PC.

Voici comment est ma config :

 

Plage IP : 21.6.87.x
Masque : 255.255.255.0
Passerelle : 21.6.87.254 => Il s'agit d'un routeur NETGEAR DG834 qui remplace une LiveBox Orange.

NETGEAR DG834 :
IP : 21.6.87.254
Masque : 255.255.255.0
IP Public : 217.158.123.123 (ce n'est pas la vraie j'ai changé par précaution)
Plage DHCP : 21.6.87.200 - 21.6.87.210
DNS : Ceux fourni par ORANGE :
-> 80.10.246.136
-> 81.253.149.6


NAS DS1817+
IP Eth1 : 21.6.87.5
IP Eth2 : 21.6.87.6
IP Eth3 : 21.6.87.7
IP Eth4 : 21.6.87.201 (DHCP par sécurité en cas de bug dans ma config réseau afin de toujours pouvoir prendre la main sur le NAS)

DNS : 21.6.87.5
Domaine : MONDOMAINE.FR


Le PC qui doit rejoindre le domaine :

IP : 21.6.87.100
Masque : 255.255.255.0
Passerelle : 21.6.87.254

DNS 1 : 21.6.87.5
DNS 2 : 21.6.87.6



Quand je tente de joindre le domaine, j'ai bien la popup qui me demande des identifiants de connexion.
Je rentre ceux de l'administrator créé automatiquement lors de la création du domaine (j'ai changé le mot de passe deux fois pour être sûr que je ne me soit pas trompé)
Quand je rentre les login / MdP, et que je clique sur "OK", ça mouline pendant bien 1 bonne vraie minute, et puis j'ai un message d'erreur :

 

Impossible de rejoindre le domaine "mondomaine.fr".
Le chemin réseau n'a pas été trouvé.

 

Une idée d'où ça pourrais venir ? Là je sèche ... 

Modifié le 26 juillet 2017 par DaG33K

[Fenrir]

J'espère que ces IP ne sont pas réellement celles que tu utilises, ce range d'adresse correspond à DoD Network Information Center (DNIC).

Non seulement il n'est pas autorisé d'utiliser des adresses dont on n'est pas "propriétaire", mais en plus avec ce type d'adresse tu t'expose à ce sérieux problèmes !

-------------

En passant, retire les infos "privées" de ton post (ton nom de domaine).

-------------

Pour en revenir à ton problème, tes clients doivent utiliser un serveur DNS qui indique que ton domaine est géré par le Syno, donc certainement pas les DNS d'orange, mais le serveur DNS du Syno (donc le syno lui même).

[greg888]

Bonsoir, essaie tondomaine.ad

[DaG33K]

il y a 55 minutes, Fenrir a dit :

J'espère que ces IP ne sont pas réellement celles que tu utilises, ce range d'adresse correspond à DoD Network Information Center (DNIC).

Non seulement il n'est pas autorisé d'utiliser des adresses dont on n'est pas "propriétaire", mais en plus avec ce type d'adresse tu t'expose à ce sérieux problèmes !

-------------

En passant, retire les infos "privées" de ton post (ton nom de domaine).

-------------

Pour en revenir à ton problème, tes clients doivent utiliser un serveur DNS qui indique que ton domaine est géré par le Syno, donc certainement pas les DNS d'orange, mais le serveur DNS du Syno (donc le syno lui même).

Salut Fenrir, déjà merci pour ton temps.
Les IP en 21.6.87.x sont des adresses interne à mon réseau, elles sont donc privées, pourquoi ne pourrais-je pas les utiliser ?

J'ai changé les infos privées, même si ça ne me dérangeais pas.

Les DNS que j'ai renseigné sur mes postes clients sont bien ceux du NAS : 21.6.87.5 et 21.6.87.6

 

il y a 32 minutes, greg888 a dit :

Bonsoir, essaie tondomaine.ad

C'est à dire ? à quel endroit je dois renseigner ça ? 
Et quand tu dis "tondomaine.ad" tu veux dire par exemple => exemple.fr ?

[greg888]

Justement, tu rajoutes .ad à exemple.fr donc exemple.fr.ad

[DaG33K]

Ah bah écoute j'essayerais demain matin.
Je ne connaissais pas du tout ceci, de rajouter le *.ad à la fin

Je ne trouve rien sur internet qui parle de cette "extension" (si on peux parler d'extension) 
Si tu as des infos, je suis intéressé de les lire pour ma documentation personnelle et pro ;) 

[Fenrir]

il y a 1 minute, DaG33K a dit :

elles sont donc privées

non, elles sont publiques, ce n'est pas parce que tu les utilises dans ton réseau interne qu'elles sont privées, c'est comme si tu disais que tu utilises le domaine google.com en interne pour ton AD

En IPv4, les seules adresses privées qu'on a le droit d'utiliser en interne sont :

• 10.0.0.0/8 (ou tout masque plus long)
• 172.16.0.0/12 (ou tout masque plus long)
• 192.168.0.0/16 (ou tout masque plus long)

il y a 5 minutes, DaG33K a dit :

pourquoi ne pourrais-je pas les utiliser ?

Parce qu'elles ne t'appartiennent pas.

il y a 7 minutes, DaG33K a dit :

Les DNS que j'ai renseigné sur mes postes clients sont bien ceux du NAS : 21.6.87.5 et 21.6.87.6

Depuis un poste client, que renvoi la commande : nslookup mondomaine.fr

[DaG33K]

il y a 4 minutes, Fenrir a dit :

non, elles sont publiques, ce n'est pas parce que tu les utilises dans ton réseau interne qu'elles sont privées, c'est comme si tu disais que tu utilises le domaine google.com en interne pour ton AD

En IPv4, les seules adresses privées qu'on a le droit d'utiliser en interne sont :

• 10.0.0.0/8 (ou tout masque plus long)
• 172.16.0.0/12 (ou tout masque plus long)
• 192.168.0.0/16 (ou tout masque plus long)

Merci pour ta réponse claire et précise 
Je te crois sur parole, mais à tout hasard, je serais curieux d'avoir un texte de loi qui explicite tout ça, si jamais tu as bien évidemment ;-)

 

il y a 4 minutes, Fenrir a dit :

Depuis un poste client, que renvoi la commande : nslookup mondomaine.fr

J'essayerais demain, les post sont à mon taff. Une fois fait, je te dirais ce que ça renvoi.

Encore merci en tout cas ;-)

Modifié le 26 juillet 2017 par DaG33K

[Fenrir]

il y a 7 minutes, DaG33K a dit :

Je ne trouve rien sur internet qui parle de cette "extension" (si on peux parler d'extension) 

C'est normal (ou pas), sans être méchant @greg888 dit des âneries.

il y a 7 minutes, DaG33K a dit :

Je ne connaissais pas du tout ceci, de rajouter le *.ad à la fin

Le .ad c'est comme le .fr, mais pour Andorre, tu n'as pas non plus le droit de l'utiliser sauf si tu as acheté un domaine en .ad (mondomaine.ad par exemple)

il y a 2 minutes, DaG33K a dit :

Je te crois sur parole, mais à tout hasard, je serais curieux d'avoir un texte de loi qui explicite tout ça, si jamais tu as bien évidemment ;-)

https://tools.ietf.org/html/rfc1918

https://fr.wikipedia.org/wiki/Réseau_privé

edit :

ce n'est pas vraiment une question de "loi" (c'est ingérable à l’échelle de la planète) mais de normes

Modifié le 26 juillet 2017 par Fenrir

[greg888]

Je cherche un truc pour ma défense et je ne trouve rien donc sa te donne raison... mais @DaG33K teste quand même ;)

[Fenrir]

il y a 1 minute, greg888 a dit :

Je cherche un truc pour ma défense et je ne trouve rien donc sa te donne raison...

Non, pas nécessairement, l'absence de preuve n'est pas la preuve de l'absence

[Lelolo]

@Fenrir Toi, tu as regardé l'EP19 de sens critique 

[DaG33K]

Hello !

Alors j'ai, dans un premier temps, "réparé" ma bêtise avec la plage IP que j'avais utilisé.
Voici la nouvelle config :

Plage IP: 10.19.87.x
Masque : 255.255.254.0

NAS :
Eth01 : 10.19.87.1
Eth02 : 10.19.87.2
Eth03 : 10.19.87.3
Eth01 : DHCP

DNS enregistré sur le NAS : 10.19.87.1
Passerelle : 10.19.87.254

Actuellement le poste client est en DHCP et à comme DNS : 10.19.87.1
Accès à internet sans souci.

La commande nslookup mondomaine.fr renvoie ceci :

C:\Users\XxXx>nslookup mondomaine.fr
Serveur :    Unknow
Address :   10.19.87.1

Nom : mondomaine.fr
Addresses : 217.158.123.123
           21.6.87.201
           21.6.87.7
           21.6.87.5
           21.6.87.6

C:\Users\XxXx>_

 

J'ai repassé la config IP du poste en automatique sur la partie DNS (elle l'était déjà pour la partie IP)
Et je me suis dis qu'il fallait que je vide le cache de résolution DNS ===>> ipconfig /flushdns
Puis j'ai retenté l'expérience :

 

C:\Users\XxXx>nslookup mondomaine.fr
Serveur :    www.routeurlogin.com
Address :   10.19.87.254

Réponse ne faisant pas autorité :
Nom :      mondomaine.fr
Addresses :  217.158.123.123

C:\Users\XxXx>_

 

J'ai tenté à nouveau de faire une intégration au domaine, mais cette fois-ci, il ne voit pas le domaine ...

Je remets le DNS 10.19.87.1 pour la config du poste client, et je retente :
Et j'ai de nouveau le même résultat avec le nslookup (le 1er) ...
Et si je tente l'intégration au domaine : Il ne trouve pas le domaine mondomaine.fr

 

[DaG33K]

BONNE NOUVELLE !!!

J'avais zappé de remodifier le server DNS sur le Syno ... boulet mode ...
J'ai donc modifié chaque enregistrement, en remettant les bonnes adresses IP, une par une ...

J'ai reboot le DS1817+ ensuite, et puis j'ai fait un nouveau nslookup sur le poste client :

 

C:\Users\XxXx>nslookup mondomaine.fr
Serveur :   Unknow
Address  :   10.19.87.1

Nom : mondomaine.fr
Addresses :  217.158.128.128
             10.19.87.2
             10.19.87.3
             10.19.87.1
             10.19.87.52


C:\Users\XxXx>_

Arrivé là, je tente une nouvelle intégration à mon domaine, et là BINGO !!!

"Bienvenue dans le domaine MonDomaine.fr" 

 

Un grand merci à vous pour votre aide, votre temps, et votre patience à mon égard !!

[greg888]

Top, bonne journée à toi.

[Fenrir]

Il y a 5 heures, Lelolo a dit :

@Fenrir Toi, tu as regardé l'EP19 de sens critique 

non, je ne connais pas, c'est bien ?

[Lelolo]

Yep, et le bloggeur cite en argument fort que l'absence de preuve n'est pas la preuve de l'absence ; le sujet ce sont les croyances

[Fenrir]

Il y a 4 heures, DaG33K a dit :

BONNE NOUVELLE !!!

En respectant les normes et les standards ça fonctionne tout de suite mieux non ?

edit :

Il y a 4 heures, DaG33K a dit :

C:\Users\XxXx>nslookup mondomaine.fr

Nom : mondomaine.fr

Addresses :

217.158.128.128

10.19.87.2

10.19.87.3

10.19.87.1

10.19.87.52

je n'avais pas fait attention à la première ligne (217....) et à la dernière (10.19.87.52), ça peux te créer d'autres problèmes car la résolution DNS n'est pas cohérente

Modifié le 27 juillet 2017 par Fenrir

[DaG33K]

à l’instant, Fenrir a dit :

En respectant les normes et les standards ça fonctionne tout de suite mieux non ?

Tout de suite c'est bien le mot
Merci encore pour tout ;)

 

Là je suit de nouveau ton tuto sur la sécurisation des accès du NAS, car je ne sais pas pourquoi, mais le certificat SSL que j'avais mis en place n'est plus reconnu, et j'ai de nouveau l'avertissement de site non sécurisé quand je me connecte à mon NAS ...

[Fenrir]

Regarde mon edit dans le message précédent

Tu compliques grandement les choses dans ta conf :

• pourquoi ton nas a 3 IP privées dans le même réseau ? => aucun intérêt
• pourquoi ton domaine renvoi sur 2 autres IP qui n'ont aucun rapport avec ton nas => ça peut créer des problèmes 2 fois sur 5
• c'est qui .52 ?

[DaG33K]

En fait j'ai connecté les 4 port ethernet du NAS.
Je voudrais (plus tard) tenter d'expérimenter la répartition de charge, c'est plus par curiosité.

Il y à 3 IP Fixes (de Eth01 à Eth03), Eth04 étant en DHCP (la fameuse en .52) car si je fais de mauvaise manip ça me garde un accès possible sur le NAS.

217.x.x.x c'est mon IP Public (celle du routeur)

 

[Fenrir]

1. ne laisse qu'un câble connecté au NAS dans le même réseau (tu peux laisser eth4 configuré, mais câble débranché, comme ça en cas de soucis tu as juste à brancher le câble)
2. avec un contrôleur de domaine, le domaine racine (domaine.fr) doit renvoyer sur le contrôleur de domaine uniquement => si tu souhaites que ce nom de domaine renvoi sur ton routeur (ou via le nat sur autre chose) depuis Internet, tu dois faire des vues DNS

Actuellement, tu as 1 chance sur 5 que tes postes aient un problème pour contacter le contrôleur de domaine (1 fois sur 5 le dns renverras ton ip publique)