Bonjour,
Je suis face à une "colle" :  
 
J'ai deux routeurs (un accès fibre et un accès DSL) d'un coté, et un serveur windows 2016 de l'autre.
 
Le serveur windows dispose de deux interfaces ethernet : une pour le LAN et une directement branché au routeur fibre. C'est avec le service RAS (le service de routage et d'accès distant) que le serveur fait office de passerelle pour les utilisateurs. Donc le serveur fait du NAT, ainsi que DNS et DHCP.  
 
J'aimerais brancher sur un même réseau (ou VLAN) les deux routeurs et le serveur, et demander au serveur de faire du NAT vers la fibre, et en cas de panne, de faire du NAT vers l'aDSL : changer de paserelle en fait. Pas de load balancing, juste la possibilité de basculer automatiquement en cas de panne de la fibre.
 
Question simple : comment configurer ça ? je ne trouve pas.
 
Je vous remercie pour vos pistes.

Salut,
C'est une obligation que ce soit le serveur 2016 qui fasse office de passerelle ?

Obligatoire, non. Mais ça me permet de mettre en place un proxy transparent à l'avenir.
Pourquoi tu pensait à une autre solution ?  
 
De mon coté je me demandais si je ne pouvais pas simplement mettre 2 paserelles dans la config IP de la carte coté "WAN",  ave une métrique 1 pour la fibre et 2 pour l'aDSL, mais je ne sait pas trop comment windows se comporte avec deux paserelles sur une carte. Esce la solution à mon problème ou bien c'est coté services windows qu'il faut le régler ?

Des solutions payantes comme StormShield te permettent de faire des bascules en cas de défaillance d'un accès Internet.
N'ayant jamais configuré un Windows en passerelle, je ne saurai te dire

J'ai fait un essais hier, en adressant comme suit :
fibre : 192.168.42.1 /24
adsl : 192.168.42.2 /24
 
serveur :  
ip : 192.168.42.3 /24
dns1 : 192.168.42.3 (lui même puisque DNS), DNS2 : 8.8.8.8
gateway / paserelle : 192.168.42.1 metric 1 et 192.168.42.2 metric 2
 
sur internet j'avais l'ip de la fibre (donc tout bon) et quand je débranche la fibre du réseau : pas de bascule vers l'adsl : juste plus internet pour personne
 
Personne ne sait comment redonder un accès à internet depuis windows serveur sur une seule et même interface ?

C'est à mon sens pas le job d'un windows server.
 
Tu prends un routeur/appliance dual wan
ou tu t'en montes un avec des distributions type pfsense.

C'est quoi le rôle de ton serveur en dehors de vouloir en faire une passerelle ?

Le serveur fait AD, DHCP, DNS, WDS, prochainement WSUS et désormais paserelle.
 
Les motivations / buts sont :
* Que j'ai de moyens limités, donc je fais avec ce que j'ai sous la main, et je n'ai pas de routeur de qualité (seulement les box des FAI, dont la box orange qui plante dès que 40/45 machines y sont connectés)
 
* Que le serveur ne dispose que de 2 interfaces ethernet, et que je ne veux pas qu'il soit possible de bypasser le serveur pour aller sur le net (c'est pourquoi c'est le seul accès au WAN)
 
* En plus de ça, il faut que internet soit toujours opérationel, d'où mon besoin de haute dispo / redondance. Sachant que je ne suis pas toujours dans les locaux, si ça pète, j'aimerais qu'il n'y ait pas de manipulation manuelle à faire.
 
* Que par la même je mettrais en place un proxy pour m’aligner sur la législation
 
J4avais pensé à un pfsense ou zeroshell ou avec un linux directement, mais je ne vois pas pourquoi Windows ne serais pas capable de faire ça.
 
--> Je suis pro Linux à la base, et je suis contraint d'utiliser un serveur Windows, et du coup j'aimerais me prouver à moi-même qu'il est possible de faire du réseau avec Windows.
De mauvaise foi, j'ai toujours dit que c'était un mauvais outil, et j'ai décidé de prendre cette contrainte comme une opportunité d'apprendre et d'apprécier Windows Serveur.

On ne place pas tous les rôles sur un même serveur.
Un serveur ne peut pas être à la fois un élément de sécurité/routage réseau et contenir l'AD.
Sans compter la problématique du SPOF.
Ton seul serveur pète, tu perds tous tes services !

Tu fais n'importe quoi là.
 
Déjà tu n'installes pas n'importe quoi sur un AD, et surtout pas un WSUS/WDS. DHCP ok à la rigueur. Mais RAS tu oublies.
 
Tu peux faire du RAS, mais dans ce cas il faut dédier le serveru à ce rôle.
 

Complètement d'accord avec ShonGail et Nebulios.

Concernant ton problème, c'est normal que cela ne bascule pas, car même si ton routeur "primaire" ne répond plus, la route ne sera pas supprimer de la table de routage.

Si tu ne peux utiliser d'équipement propre (un firewall te ferai le plus grand bien), tu peux ,peut-être, tenter ta chance avec un script qui test un ping sur internet et qui change la métrique de tes routes en cas de problème (ping NOK)

GL.

P.S: Windows avait bien ISA (une solution de "Firewall" à installer sur une surcouche Windows), ensuite renommé TMG, mais ce produit a été abandonné en 2012 et est quasiment EOL depuis janvier 2016.

Au pire si peux de moyen, vaut mieux mettre un ESXi (donc gratuit) et faire plusieurs VMs tout simplement.

Je prends en compte vos avis, et je vais donc chercher une autre solution pour la passerelle.
Sorti du contexte qui m'est propre, c'est quand même dommage que windows ne sache pas "simplement" changer de passerelle (et donc de routes par défaut) seul en cas de panne d'un accès à internet.
 
Par contre je ne comprends pas pourquoi WDS/WSUS ne doivent pas se retrouver sur un AD ?

Parce que c'est pas le rôle d'un AD

 
J'entends bien, mais si je n'ai pas d'outres machines qui puisse faire le JOB ?  
Enfin, je veux dire quels sont les risques (ormis le SPOF) à ajouter ce rôle qui n'est pas beaucoup utilisé (seulement par moi d'ailleurs).

Parce qu'un AD implique des modifications profondes de l'OS, notamment sécurité, modifications qui sont fondamentalement incompatibles avec le rôle d'un serveur de base de données. Et sans compter les problèmes de perfs également.

Heu ... là pour le coup je ne suis pas du tout convaincu.  
1) un AD est un annuaire (une base de donnée) qui communique via le protocole LDAP. Rien de plus.  
2) preuve que l'OS n'est pas du tout modifié : AD est installable sous linux.
 
Autant ne pas tout installer sur un même serveur pour éviter de tout perdre d'un coup, OK. Mais vu l'adressage ip que j'ai, tu peu déduire que j'ai  moins de 250 utilisateurs, c'est donc une charge ridicule pour un serveur. Je pense que WDS, en particulier quand je précise que je suis seul à l'utiliser, n'ajoute pas une charge particulièrement complexe ni paralysante pour un serveur.
 
Même un PC (pas un serveur, un poste client) est plus sollicité quand vous écoutez de la musique en ligne (donc débit en continu similaire à WDS) et que vous travaillez sur Access ou Sage en simultané...

Houla !
Tu n'installes pas Active Directory sous un Linux
Un LDAP oui OK

Vas-y montre nous, sinon on risque de croire que tu vomis à l'écrit un flot considérable de merde.

AD c'est pas qu'un LDAP hein. ADLDS à la rigueur oui.

Tu ne sais manifestement pas de quoi tu parles.

Ce dont tu parles sous Linux c'est une implémentation de l'AD sous Linux (samba) et on est loin d'avoir un vrai AD.

Sinon on ne mélange pas les rôles en pratique tu ça avoir de gros problèmes de performance et tes utilisateurs vont sérieusement en pâtir.

Pour la passerelle monte un opnsense sur une machine lambda avec 3 carte réseau prévoir la même chose en séparé et ça va le faire.

 
"Le projet Samba [...] apporte la fonctionnalité supplémentaire d'un contrôleur de domaine Active Directory (Active Directory Domain Controller - AD DC). Cette fonctionnalité inclue en natif les services DNS, LDAP, Kerberos, RPC et SMB 3.0 ainsi que la distribution et la gestion des GPO.
[...]
Selon les cas, probablement au sein des PME, Samba AD DC pourrait parfaitement remplacer ces produits"
source : https://doc.ubuntu-fr.org/samba-active-directory
 
OK je vous voit venir : il est aussi dit que tout n'est pas encore disponible. ==> Oui mais il n'empèche que c'est un AD. En fait c'est surtout vous qui ne semblais pas être au courrant qu'un AD n'est qu'un LDAP provisonné selon une RFC spécifique + un DNS. C'est donc une base de donnée (pour rebondir sur la discution avant que ça ne tourne en pugilat Linux VS Windows que je ne souhaites pas).
 
Ce que je dis juste, c'est qu'un AD sur un serveur dans une PME, ça ne doit pas FORCEMENT occuper 100 % d'un serveur qui ne ferais rien d'autre. J'ai déjà vu plusieurs exemples ou ce n'est pas le cas, et sans problèmes pour les utilisateurs.

Tu oublies juste le plus important dans un AD : Kerberos mais ça fait rien on n'y connaît rien en vrai ...
Et on t'a déjà dit que c'est pas juste une question de perf mais de sécurité. L'AD modifiant en profondeur l'OS (plus de comptes locaux et groupes locaux déjà)

En fait j'allais te pondre un pavé sur les modifs de sécurité apportées par un dcpromo, mais après la phrase AD = LDAP, j'ai compris que c'était une perte d'énergie

 
Mais as tu lu mon message précédent ? Kerberos fonctionne sous linux.
L'ajout de groupes et de comptes ? C'est du profond pour toi ça ? ....  
 
- - - - Passons sur le débat Linux - - - -  
 
Tout ce que je demande c'est effectivement une explication argumenté et cohérente (que je cherche réellement) mais vous ne m'avez pas convaincu pour l'instant. Relisez-vous, vous verrez que franchement se cacher derrière "On mélange pas les rôles pour de la performance / C'est pour la sécurité" vous n'avez pas beaucoup creusé en arguments valables :  
J'ai déjà vu des DC avec du WSUS et WDS sur un parc de plus de 350 PC, sans qu'il n'y ait le moindre problème, alors même qu'il s'agissait d'une école dans laquelle des étudiants en informatique donnaient tout ce qu'ils avaient pour faire "suer" les admins : ils en ont cassé du GLPI et autre, mais jamais le DC/WSUS/WDS/DHCP/PROXY qui était sur un seul (petit) serveur avec 16G de RAM et 8 coeurs.
 
@nebulios : je veux bien ton explication sur le DCPromo : je ne suis pas là pour vous contredire absolument, j'essaye de comprendre, mais ne m'en voulez pas si je ne suis pas du genre à croire tout ce que je vais lire sur des forums sans assurances.

c'est plutot sur les phases de migration changement que cela pose des problémes.
J'avais avant un Exchange 2003 sur un controleur de domaine W2003.
Lors de la migration cela a été très compliqué.

Il suffit juste de lire les préco Microsoft la réponse se trouve dedans.

Maintenant ça fonctionnera sûrement, mais je doute que tu prennes un jour le risque de partir avec ta famille en vacance avec un pneu dégonflé, ça fonctionnera mais à un moment ça pétera ba la c'est le même principe.

Ce que tu ne piges pas, c'est que ton expérience ne reflète pas forcément des faits. Ce n'est pas parce que ça fonctionne chez toi que ça va fonctionner systématiquement.
Une machine qui regroupe tout ça, ça a déjà existé chez Microsoft, ça s'appelait les Small Business Server. Ils en ont fait deux éditions avant de les faire disparaître, car les machines étaient trop instables et trop fragiles pour fonctionner de manière fiable.
 
iI tu veux des arguments plus techniques, au-delà de l'aspect performances, alors en termes de sécurité lors d'un dcpromo l'OS est profondément modifié - la SAM locale disparaît, les comptes et groupes locaux avec. Des ACL spécifiques sont ajoutées, des GPO spécifiques sont appliquées etc...Et tout ça c'est totalement incompatible avec les besoins d'une application de base de données en réseau. En bidouillant comme un porc tu peux faire généralement faire fonctionner cette dernière (ce qui est un premier problème), mais au prix de privilèges exhorbitants donnés à la base, ce qui est très dangereux puisque ton serveur AD est la colonne vertébrale de la sécurité de ton infrastructure.