Bonjour à tous,
 
dans le cadre d'une interconnexion de deux réseaux distants, nous souhaitons créer une approbation de domaines afin de partager les comptes et autres ressources des deux. Les domaines sont indépendants, nommons les principal.fr (un DC principal, et environ 150 postes) et secondaire.fr (un seul DC, une quinzaine de postes).
 
La liaison via Internet se fait par OpenVPN, intégré à Endian Firewall. Les deux pare-feux Endians (un client et un serveur VPN) sont connectés entre les routeurs et les réseaux locaux des deux sites. La connexion est établie en mode routé (empêche les broadcasts), les pings passent dans les deux sens d'un réseau à l'autre. Mis à part l'interface Web du pare-feu distant (port 10443), il est possible d'accéder aux interfaces Web des imprimantes réseaux, de se connecter au contrôleur de domaine secondaire.fr...
 
Seulement, l'approbation ne fonctionne pas: d'un côté ou de l'autre, les contrôleurs ne se voient pas ! Après moult recherches sur Gougueule, j'ai lu plusieurs avis comme quoi on aurait besoin de WINS, de DNS ou d'ouvrir des ports.
 
Ce qui a été tenté:  
-répliquer les zones WINS d'un DC à l'autre: en entrant l'adresse IP, le DC récupère même le nom de son homologue et copie les enregistrements (de toutes façon erronnées), mais j'avoue que j'ai du mal à servir le concept.
-répliquer les zones DNS (donc en secondaire): là, complétement impossible de les récupérer dans un sen ou l'autre.
-ajouter l'entrée sur les fichiers HOST: une entrée a été ajoutée dans chaque fichier HOST, permettant de faire la correspondance entre FQDN des serveurs et leurs IP. Ca, ça fonctionne (les pings sur le FQDN passent), mais ça ne m'apporte rien.
 
De plus, ce qui me paraît étrange, c'est qu'on parle également d'ouverture de ports, mais théoriquement, la connexion VPN ne "réunit" pas les deux réseaux locaux ? Et de ce fait, ne court-circuite-t-elle pas le pare-feu installé à ses côtés sur la même bécane ? Tout ça m'ammène à penser que cette foutue approbation utilise les broadcasts pour trouver le domaine auquel il faut donner la confiance...
 
Cordialement.
Guillaume

C'est une "approbation de domaine externe" ou une "approbation de forêt" ?  
As-tu ajouté une adresse redirecteur sur ton serveur DNS (principal.fr) qui pointe sur le serveur DNS distant (secondaire.fr) ?
 

 
Ci-dessus doit-être mis l'IP du serveur DNS distant (secondaire.fr)
 
Le serveur principale.fr cherche le service Ldap du domaine secondaire.fr
Le serveur fait une résolution DNS du service ldap --> _ldap._tcp.dc._msdcs.secondaire.fr

Typiquement ce que tu dois avoir :
 
- Ton réseau full routé (chaque DC a un accès complet à l'autre au niveau réseau (pas de firewall)
- Si tu as des DC en Windows 2003, tu configures des conditionnal forwarders (google) vers l'autre domaine plutôt que des redirecteurs (win 2000).
 
Par exemple :
sur le dc de principal tu mets un conditional forwarding de secondaire.fr avec l'ip du serveur dns de secondaire.fr
Et inversement pour l'autre sens.
 
tu valides que tu peux résoudre les entrées de l'autre domaine (genre mondc.secondaire.fr, les ns, les entrées du msdcs).
 
Là tu lances ton approbation (de forêt ou externe dans ton cas)

Utiliser un redirecteur conditionnel si tu en as la possibilité sinon il risque d'y avoir un bouclage de requêtes non résolu entre ces deux DNS.

Bonjour, et merci pour vos réponses. L'approbation est faite, j'ai utilisé le service WINS pour que la résolution du nom de domaine se fasse lors de l'approbation.
MAIS... à cause de ce foutu VPN routé, par exemple lors d'un partage de dossier, je peux sélectionner mon domaine distant, mais pas parcourir les comptes de ce domaine. Je peux pourtant me connecter sur  un ordinateur local avec un compte du domaine distant.
J'ai désactivé le filtrage SID sur mon site local, mais rien n'y fait, toujours pas d'accès aux compte d'un côté comme de l'autre.  
 
J'imagine que c'est dû au routage, mais je ne sais pas comment passer outre. Une idée ?
 
Merci d'avance.
 
Edit: c'est un domaine externe, bien que nous ayons la charge    de l'administrer.

vla les trucs crados quoi

Bien d'accord, j'ai remplacé WINS par la redirection DNS comme m'a indiqué mmc, mais je ne peux pas changer le VPN routé en ponté: il y aurait trop de broadcasts entre les sites, donc à moins de pouvoir les limiter en fonction des protocoles, macache.

C'est mieux de toute façon en routé, il n'y a aucun intéret de ponter ça et aucune logique

Tu peux cliquer sur "Avancé" puis "emplacement" sélectionner le domaine distant puis cliquer sur "Rechercher". En principe tu devrais pouvoir voir tes comptes distant.
 
Laisse en mode routeur ...
si tu as des protocoles qui ne passent pas c'est qu'il y a un filtrage quelque part niveau routeur (ACL, ...) ou firewall logiciel, ...
 

Bonjour, bon ça fonctionne, j'ai bien remplacé le WINS par DNS, et j'y ai rajouté le service LDAP pour sa résolution. Et il est bien possible de partager d'un réseau à l'autre. J'imagine que pour l'authentification je dois aussi ajouter un enregistrement SRV du protocole NBNS.
 
Merci beaucoup pour votre suivi, j'ai bien avancé du coup. A bientôt.

Ya rien besoin de créer hein ...