[SBS 2003] [DHCP] [ISA] Probleme de dhcp

Probleme de dhcp [SBS 2003] [DHCP] [ISA] - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-02-2009 à 17:34:19    

Bonjour,
Bon je poste ici car mon problème portant sur plusieurs domaines, je ne savais pas vraiment ou le mettre.
 
 
Donc voila, je doit mettre en fonction un serveur DHCP et ISA.
 
Le réseau serait comme sa :   Livebox --> serveur SBS --> réseau interne
 
Le serveur possède deux cartes réseau que j'ai nommé Interne et Externe.
 
La carte Interne a la configuration suivante :
  IP : 10.0.0.10
 Masque : 255.0.0.0
 passerelle : ????
 
Serveur DNS préféré : 10.0.0.10
 
 
La carte Externe a la configuration suivante:
  IP : 192.168.1.60
  masque : 255.255.255.0
 passerelle : 192.168.1.1
 
Serveur DNS préféré :  192.168.1.1
 
 
Dans la configuration du serveur DNS, j'ai ajouter l'adresse du serveurs DNS pouvant résoudre les requêtes externes : soit ici 192.168.1.1 (la livebox)
 
 
Ensuite j'ai réglé le serveur DHCP pour qu'il n'agisse que sur la carte réseau Interne.
J'ai ajouter une étendue qui va de 10.0.0.10 à 10.0.0.100 avec une exclusion (10.0.0.10 pour le serveur).
 
Dans le serveur ISA, j'ai ajouter une règle qui autorise  les protocoles : DHCP (demande), DHCP (réponse), DNS, serveur DNS   de la carte réseau Interne a la carte réseau Interne.
 
Quand je connecte un ordinateur sur le réseau de la carte Interne, il ne trouve pas de serveur DHCP.  
 
Pourquoi ? J'ai oublier quoi ?
 
merci de vos réponses

Reply

Marsh Posté le 26-02-2009 à 17:34:19   

Reply

Marsh Posté le 26-02-2009 à 19:54:08    

Tu peu nous montrer le dhcpd.conf? (tu as utilisé dhcpd je suppose?)
 
Il faut aussi que tu le mettes en "authoritaire", sinon le serveur dhcp de la livebox risque de prendre la main( cela m'est arrivé une fois, beaucoup de galère pour rien)


Message édité par djbennyj le 26-02-2009 à 19:58:35
Reply

Marsh Posté le 26-02-2009 à 20:18:22    

dhcpd.conf, nan désolé !!!! j'ai pas précisé mais c'est SBS pour small business serveur. c'est pas du linux ^^ !!!!!
 
En autoritaire ? pourquoi faire ?
Le dhcp de la livebox ne peut pas prendre la main vu que j'ai mis une adresse ip statique au deux cartes reseau. De plus juste une carte est branché sur la livebox. Et il n'y a pas de communication entre les deux cartes pour l'instant.

Reply

Marsh Posté le 27-02-2009 à 10:24:49    

Alors :
- Passerelle carte interne : aucune, c'est normal ça aurait pas de sens sinon
- DNS carte externe : aucun sens de mettre ceux de la livebox
 
Ton serveur dhcp est autorisé dans AD (bouton droit sur le serveur dhcp dans la console mmc puis authorize)
 
Sinon faut faire des tests sur ISA et voir si c'est rejeté etc.
La règle cependant ça doit être de localhost à réseau interne et inversement puisque ton serveur dhcp est local à ta machine et que tes machines sont sur le lan interne

Reply

Marsh Posté le 27-02-2009 à 11:06:07    

Bonjour, merci de ta réponse.
 
Donc mon serveur est autorisé dans AD.
 
Donc j'ai fait plusieurs essais :
  Une seule regle avec les 2 protocoles DHCP, et de localhost et interne à localhost et interne --> sa ne fonctionne pas  :??:  
  Deux régles avec chacune un protocole, et chacune son port d'écoute et de destination --> sa ne fonctionne pas  :??:  
 
Du coup je n'ai fait qu'une seule règle avec les deux protocoles de Tout les réseaux (et de l'hôte local)  à Tout les réseaux (et de l'hôte local)  --> la sa fonctionne
Je pense que sa ne change pas grand chose vu que le DHCP n'est activé que sur la carte réseau du réseau Interne.
 
Sinon pourquoi sa n'a aucun sens de mettre les DNS de la livebox sur la carte externe ?
 
 
Maintenant que mon DHCP fonctionne, il faut que je rajoute une passerelle ou autre pour que mon réseau interne puisse accéder a internet ?
 
merci
 


Message édité par maxencer le 27-02-2009 à 11:12:19
Reply

Marsh Posté le 27-02-2009 à 12:23:25    

Euh ta règle est un peu too much mais bon pk pas.

 

Ca n'a aucun sens parce que tu as un serveur dns interne configuré avec comme forwarder ceux de la livebox. Du coup c'est ton serveur dns interne que tu dois utiliser et pas celui de la livebox qui en plus n'a aucune idée de l'existence de ton domaine ad (qui repose essentiellement sur les dns).

 

Sur tes clients du lan interne ouais faut mettre comme passerelle ton isa (et faire les règles d'accès si tu veux qu'ils aient accès au net)


Message édité par Je@nb le 27-02-2009 à 12:23:41
Reply

Marsh Posté le 27-02-2009 à 14:53:37    

Tu veux dire quoi par règle "too much" ?
 
Ok pour le DNS, je n'ai rien mis du coup.
 
J'ai configurer une règle pour que le serveur accède a internet, aucun problème.
 
Par contre, coté client sa bloque. Déja mon serveur DHCP distribue bien une IP, le masque, le DNS de mon serveur mais pas de passerelle ???

Reply

Marsh Posté le 27-02-2009 à 15:01:53    

too much je veux dire que c'est pas assez fin mais bon c du chipotage.
 
Sur ton serveur dhcp il faut que tu configues l'option pour qu'il distribue le routeur.

Reply

Marsh Posté le 27-02-2009 à 15:31:54    

Oué donc, dans les options du routeur, je rentre l'adresse quelle adresse ? carte interne ou externe ? car j'ai essayer et sa ne fonctionne pas
 

Reply

Marsh Posté le 27-02-2009 à 15:59:40    

carte interne biensur. Le routeur doit être dans le même sous réseau que tes machines.
 
Après faut que tu fasses une règle si tu veux les autoriser à surfer sur le net aussi

Reply

Marsh Posté le 27-02-2009 à 15:59:40   

Reply

Marsh Posté le 27-02-2009 à 16:11:16    

ok c'est bien ce que je pensais alors.  
Donc dans les options du serveur DHCP, je coche 003 routeur et je rentre l'adresse 10.0.0.10 (donc carte interne). Maintenant, sur mes clients, j'ai bien la passerelle 10.0.0.10.
 
Pour que mon serveur surf sur le net, j'avais créer une règle avec les protocoles HTTP, HTTPS, FTP, de Hôte local à Externe, et aucun problème je pouvais aller sur le net avec.
 
Donc je créée une règle avec les mêmes protocoles mais allant de Interne à Externe ??? si c'est bien sa, sa ne marche pas.

Reply

Marsh Posté le 27-02-2009 à 16:38:45    

ouais normalement c'est ça. bizarre que ça marche pas :/
Rajoute le ping pour voir et essaie depuis une machine de faire un traceroute vers google.
 
Et tu as une règle qui autorise comme pour le dhcp mais pour le dns ? pour que tes clients puissent interroger le serveur dns local ?

Reply

Marsh Posté le 27-02-2009 à 18:55:25    

heu..... j'ai oublier de remettre la règle pour le DNS   :sweat: :sarcastic:  lol !!
 
Bon da lundi, je rajouterai le PING et le DNS alors !!!!
 
Je dirai si c'était bien sa !!!!
 
 
 
 
En tout cas merci de m'aider car déja j'aime pas rester dans l'inconnu et sa me permettra de faire une ou deux AP  pour mon BTS informatique.
 
 
@+ et bon weekend

Reply

Marsh Posté le 02-03-2009 à 09:24:31    

Bonjour,
 
Donc voila, j'ai rajouter une règle avec les protocoles DNS et serveur DNS, avec comme source Hôte local et interne et comme destination Hôte local et interne.   Mon ordinateur du réseau interne peut maintenant se connecter a internet. Mais le problème, c'est que je n'est pas accepter le protocole MSN et je peux comme même me connecter. Il faut que je crée une regle qui le refuse ? (et encore, je viens d'essayer e sa ne fonctionne pas). Ou faut-il que j'installe le client pare feu ?

Reply

Marsh Posté le 02-03-2009 à 09:38:34    

Ouais fait une règle qui refuse parce que je pense que si msn n'arrive pas à se connecter sur les ports "standards" il se connecte en http

Reply

Marsh Posté le 02-03-2009 à 09:52:08    

Ok donc bon, si je veux qu'il se connecte a internet mais pas a msn, je vais avoir un problème si il choisit de se connecter sur les ports standard ou par http.
 
Sinon j'essaye d'installer le client pare-feu. Et que je rentre l'adresse IP du serveur manuellement, il me me l'erreur : "Le serveur spécifié a renvoyé un nom de serveur redirigé non résolu"
 
Si je rentre le nom du serveur il met l'erreur : "La résolution du nom du serveur a échoué."
 
Si je laisse la détection automatique, j'ai l'erreur : "La détection du serveur ISA Server a échoué."
 
Il faut que j'inscrive mon ordinateur au domaine pour qu'il le détecte ? ou faut-il que je  crée une règle avec un protocole spécifique pour qu'il le détecte ?  
 
merci

Reply

Marsh Posté le 02-03-2009 à 10:03:20    

Faut voir si le filter applicatif permet de bloquer msn. C'est dans les règles proposés il me semble (j'ai pas de ISA en face de moi)

Reply

Marsh Posté le 02-03-2009 à 10:23:27    

Il y a deux protocoles , MSN (port 569 TCP) et MSN Messenger (port 1863 TCP). J'ai bloquer les deux, msn continue toujours de fonctionner. Je désactive le HTTP, et hop sa ne marche plus. MSN bascule automatiquement je pense.
 
Sinon, j'ai trouver deux protocoles (client de pare-feu microsoft (TCP) et (UDP) que j'ai autoriser. Ce sont les protocoles qui permettent la communication entre le client et le serveur ISA. Mais sa ne marche toujours pas

Reply

Marsh Posté le 02-03-2009 à 10:24:39    

http://support.microsoft.com/kb/925120
 
C'est ce que je disais il y a des filtres HTTP à mettre en place

Reply

Marsh Posté le 02-03-2009 à 10:40:41    

Oué je l'avais remarqué cette KB. je viens d'essayer sa fonctionne.
 
mais bon, je comprend toujours pas mon problème de détection de serveur ISA !!!

Reply

Marsh Posté le 02-03-2009 à 14:18:22    

Cela fait cela lorsque l'authentification sur les clients du proxy Web et la configuration automatique WPAD/WSPAD sont activées simultanément.
 
http://support.microsoft.com/kb/885683/fr  
http://support.microsoft.com/kb/889035/fr

Reply

Marsh Posté le 02-03-2009 à 15:28:47    

Merci, les deux KB sont les mêmes, sauf que dans une on parle d'ISA 2006.
 
Donc j'ai essayer et sa ne fonctionne toujours pas.
 
 
Je vais donc adherer mon ordi au domaine pour voir si c'est bien sa le probleme.  
J'ai créer une regle avec 3 protocoles : LDAP, LDAP (UDP) et LDAP GC (controle global).
 
Donc quand je rentre mon domaine, il me demande de renseigner l'user et le mdp. Je met mon administrateur, jusque la tout es normal. Mais après, il me met une erreur comme quoi le chemin réseau n'est pas trouvé.
 
Faut-il que j'active d'autres protocoles ? kerberos pour l'authentification ? si oui lequel car il y en a 5 ^^

Reply

Marsh Posté le 02-03-2009 à 19:51:36    

ISA serveur doit être membre d'un domaine lorsqu'un client pare-feu isa est utilisé.
 
Par contre, sur le plan sécu l'inconvénient, c'est pas l'ideal d'intégrer un serveur isa à un domaine (En workgroup, un hacker n'a pas un accès direct au domaine s'il arrive à prendre le contrôle du serveurs ISA).
 
Les protocoles LDAP est déjà configuré par défaut : Localhost --> Internal, ainsi que le reste des protocoles pour pouvoir se connecter à un domaine.


Message édité par mmc le 02-03-2009 à 19:56:58
Reply

Marsh Posté le 03-03-2009 à 09:49:07    

Niveau sécu, je sais que c'est pas le top. C'est juste pour tester pour le moment.
 
De toute manière je doit tout réinstaller et reconfigurer, il refusait de booter ce matin.

Reply

Marsh Posté le 03-03-2009 à 10:12:40    

Une question sur le client pare-feu. Celui ci configure automatiquement la machine pour accéder à Internet ou à un autre réseau par l'intermédiaire d'un serveur ISA, c'est bien sa ?
 
Donc si mon serveur DHCP permet déjà a mes clients de se connecter a Internet, il n'est pas utile ?
 
merci

Reply

Marsh Posté le 03-03-2009 à 12:27:24    

Q1: oui
Q2: c'est pas indispensable.  
Mais a son utilité pour se connecter automatiquement au serveur proxy web de isa serveur pour un filtrage des requêtes http(s) et une authentification du client.
 
Pour que le client par-feu isa fonctionne, ne pas oublier de publier l'Auto-Discovery dans isa serveur : Configuration > Networks > Internal (clique droit, propriété) > Auto Discovery
 
Le client par-feu isa va faire une requête DNS pour découvrir qui fait Serveur Proxy (détection automatique par le client par-feu).
 
Dans le serveur DNS mettre une Alias (CNAME) nommé WPAD pointant vers le nom de domaine pleinement qualifié (FQDN) du serveur de proxy.
 
Sinon tapez manuellement l'IP du serveur isa sur le client par-feu.


Message édité par mmc le 03-03-2009 à 12:42:35
Reply

Marsh Posté le 03-03-2009 à 16:27:49    

oui j'avais réussi a faire fonctionner le client avant de devoir tout réinstaller mais je ne comprenais pas bien son utilité.
Merci pour tes précisions.  
 
La je vais recommencer ma configuration depuis tout le début, je devrais plus avoir de problème maintenant.
 
Je voulais juste savoir, il faut que j'enregistre tout l'historique de navigation de chaque utilisateur, ISA peut faire sa ?

Reply

Marsh Posté le 03-03-2009 à 18:54:11    

Oui, on peut journaliser avec isa (surveillance > journalisation).
Isa serveur peut snifer le réseau en fonction de ce qu'on désire précisément enregistrer.
Si tu veux enregistrer par exemple toutes les demandes de requête http de sites web.
Il faut ajouter un filtre comme exemple :
 
Http method  --  equals --  GET
 
Configurer la journalisation web proxy au format MSDE, SQL ou fichier W3C pour pouvoir le stocker.

Reply

Marsh Posté le 04-03-2009 à 11:58:15    

ok , merci pour les info. J'ai vu qu'on pouvait le faire avec la journalisation ou avec des rapports !!!!
 
Donc j'ai tout réinstaller. Le serveur a accès au Web, le problème c'est que j'ai remis le routeur comme avant mais sa ne fonctionne pas. Le réseau interne na pas accès a l'internet. Et le serveur ISA faisant partie du domaine (même serveur), je n'ai toujours aucun accès au domaine depuis mes clients.
 
Pourtant, dans l'éditeur de stratégie système, j'ai sélectionner active directory et j'ai cocher activer ce groupe de configuration et comme destination, j'ai mis interne

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed