Salut,
 
Je suis entrain d'effectuer une refonte de mon domaine et je me pose la question suivante: ou mettre le serveur DHCP ?
Voilà un rapide schéma de mon réseau:
 
Internet <====> ISA Serveur <===> Contröleur de domaine + Serveur Exchange <====> Clients
 
Il vaut mieux mettre le DHCP sur le serveur ISA ou alors sur le CD + Exchange ? et pourquoi sur un serveur plutôt que sur un autre ? C'est peut etre pas trés bon du point de vuie de la sécurité de mettre le DHCP sur le serveur ISA ? non ?
 

Sur le DC+Exchange.
 
Pourquoi par ce que si le serveur ISA tombe (hacké) il détient la liste de toutes les machines avec leurs adresses IP+default Gateway, IP du DNS...
(idéal pour poursuivre une attaque)
 
Et en plus si tu installes le DDNS (Dynamic DNS) toutes machines obtenant une adresse IP ira s'enregistrer dans le DNS.
Autant limiter les échanges réseau et surtout le nombre de machines impliquées.
 
WW

Ok merci
 
Sinon j'ai lu que ISA Server a des difficultés avec les adresses IP dynamique (je parle là de la connexion Internet). C'est une légende de plus ou alors cela peut etre une source réelle de problème ?

Hormis l'aspect purement sécuritaire soulevé par Westwood, d'un point de vue purement opérationnel il est préférable que ton réseau soit le moins possible dépendant de la machine servant de passerelle. En effet, en cas de compromission de celle ci tu peux envisager de continuer a fonctionner en situation dégradée (cad sans accès internet) mais sans perte de service de services importants.

 
Ok
 
Je me régale sur ce forum on n'y apprend des choses intéressantes tous les jours !!!

Concernant ce point il est logique.
ISA utilise une table local (TAL ou LAT) pour déterminer si une requête IP est interne ou externe au réseau.
La TAL définie la liste des @IP interne du LAN + celle de la carte interne du ISA.
Toutes autres adresses (dont celle de la carte externe allant vers internet) et considérées comme générant un trafic qui doit être filtré.
En conséquence si l'adresse de la carte externe change et rentre dans le scope des adresses définies dans la TAL (Table d'@ locales) ceci peut poser un grave problème à ISA.
 
Sinon pour terminer sur ce point, il est fortement recommandé de disposer d'une infrastructure d'adressage statique pour les serveurs. C'est un principe élémentaire lié au problématique de résolution de noms (mais il tendra peut etre à disparaitre avec des mécanismes de type DDNS : mais le débat est largement ouvert)
 
WW

Merci de ces précisions
 
De toute facon je ne compte utiliser le DHCP uniquement pour les clients, pour les serveurs ce sera du fixe.
Si d'un point de vue théorique l'adresse IP dynamique pose problème à ISA est-ce que dans la pratique quelqu'un à constaté des problèmes du a cela ? ISA n'est t'il pas capable de mettre a jour dynamiquement sa TAL ?
 

Négatif la TAL est statique.
 
Par contre j'ai déjà effectué des tests avec une adresse IP dynamique côté externe vers le NET sans constater de pb particulier.
 
Mais d'autres personnes ici auront peut-être d'autre retour.
 
WW

Ok merci !
Je n'ai donc plus qu'a croiser les doigts Car cela serait dommage que toute cette usine à gaz de serveurs soit bloquée pour une simple histoire d'IP dynamique
 

 
PS: si il y a d'autres personnes qui ont testé ISA Server avec une adresse IP dynamique je suis à l'écoute

Ce que je comprends pas c'est que le modem ADSL utilisant une carte réseau et que celle ci à une adresse IP fixe du côté du serveur je comprends pas pourquoi cela gène ISA car finalement pour ISA l'adresse IP d'accès au web est celle de la carte réseau et non l'IP publique donnée par le FAI ?  
C'est une question posée comme cela je dis peut etre une énorme bétise mais bon il faut bien apprendre un jour...
 

Ben pareil.
A la lumière de ton information ISA Server dispose, dans ton cas, d'une adresse IP fixe.
Donc de mon pt de vue tu n'auras pas de souci.
 
Dans mon cas, je faisais du cascading d'ISA (plusieurs serveurs enchaînés les uns aux autres) donc certains étaient des stations simples du réseau et elles obtenaient une @IP dynamique via le DHCP. Et dans mon cas pas de pb.
 
WW

Ok merci
C'est compliqué toutes ces histoires Mais bon c'est pour ca que c'est intéressant !!!!!