Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1538 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Comment redonder accès à internet dans windows serveur ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Comment redonder accès à internet dans windows serveur ?

n°145183
bunny123
Posté le 07-03-2017 à 10:50:00  profilanswer
 

Bonjour,
Je suis face à une "colle" :  
 
J'ai deux routeurs (un accès fibre et un accès DSL) d'un coté, et un serveur windows 2016 de l'autre.
 
Le serveur windows dispose de deux interfaces ethernet : une pour le LAN et une directement branché au routeur fibre. C'est avec le service RAS (le service de routage et d'accès distant) que le serveur fait office de passerelle pour les utilisateurs. Donc le serveur fait du NAT, ainsi que DNS et DHCP.  
 
J'aimerais brancher sur un même réseau (ou VLAN) les deux routeurs et le serveur, et demander au serveur de faire du NAT vers la fibre, et en cas de panne, de faire du NAT vers l'aDSL : changer de paserelle en fait. Pas de load balancing, juste la possibilité de basculer automatiquement en cas de panne de la fibre.
 
Question simple : comment configurer ça ? je ne trouve pas.
 
Je vous remercie pour vos pistes.

mood
Publicité
Posté le 07-03-2017 à 10:50:00  profilanswer
 

n°145185
bicoun
Et non pas Bicounet !!!
Posté le 07-03-2017 à 11:30:04  profilanswer
 

Salut,
C'est une obligation que ce soit le serveur 2016 qui fasse office de passerelle ?


---------------
Pixel mort -> .
n°145186
bunny123
Posté le 07-03-2017 à 11:53:24  profilanswer
 

Obligatoire, non. Mais ça me permet de mettre en place un proxy transparent à l'avenir.
Pourquoi tu pensait à une autre solution ?  
 
De mon coté je me demandais si je ne pouvais pas simplement mettre 2 paserelles dans la config IP de la carte coté "WAN",  ave une métrique 1 pour la fibre et 2 pour l'aDSL, mais je ne sait pas trop comment windows se comporte avec deux paserelles sur une carte. Esce la solution à mon problème ou bien c'est coté services windows qu'il faut le régler ?

n°145189
bicoun
Et non pas Bicounet !!!
Posté le 07-03-2017 à 14:07:40  profilanswer
 

Des solutions payantes comme StormShield te permettent de faire des bascules en cas de défaillance d'un accès Internet.
N'ayant jamais configuré un Windows en passerelle, je ne saurai te dire :/


---------------
Pixel mort -> .
n°145211
bunny123
Posté le 08-03-2017 à 08:39:04  profilanswer
 

J'ai fait un essais hier, en adressant comme suit :
fibre : 192.168.42.1 /24
adsl : 192.168.42.2 /24
 
serveur :  
ip : 192.168.42.3 /24
dns1 : 192.168.42.3 (lui même puisque DNS), DNS2 : 8.8.8.8
gateway / paserelle : 192.168.42.1 metric 1 et 192.168.42.2 metric 2
 
sur internet j'avais l'ip de la fibre (donc tout bon) et quand je débranche la fibre du réseau : pas de bascule vers l'adsl : juste plus internet pour personne :(
 
Personne ne sait comment redonder un accès à internet depuis windows serveur sur une seule et même interface ?

n°145213
ShonGail
En phase de calmitude ...
Posté le 08-03-2017 à 10:35:40  profilanswer
 

C'est à mon sens pas le job d'un windows server.
 
Tu prends un routeur/appliance dual wan
ou tu t'en montes un avec des distributions type pfsense.

n°145219
bicoun
Et non pas Bicounet !!!
Posté le 08-03-2017 à 11:05:11  profilanswer
 

C'est quoi le rôle de ton serveur en dehors de vouloir en faire une passerelle ?


---------------
Pixel mort -> .
n°145227
bunny123
Posté le 08-03-2017 à 12:16:24  profilanswer
 

Le serveur fait AD, DHCP, DNS, WDS, prochainement WSUS et désormais paserelle.
 
Les motivations / buts sont :
* Que j'ai de moyens limités, donc je fais avec ce que j'ai sous la main, et je n'ai pas de routeur de qualité (seulement les box des FAI, dont la box orange qui plante dès que 40/45 machines y sont connectés)
 
* Que le serveur ne dispose que de 2 interfaces ethernet, et que je ne veux pas qu'il soit possible de bypasser le serveur pour aller sur le net (c'est pourquoi c'est le seul accès au WAN)
 
* En plus de ça, il faut que internet soit toujours opérationel, d'où mon besoin de haute dispo / redondance. Sachant que je ne suis pas toujours dans les locaux, si ça pète, j'aimerais qu'il n'y ait pas de manipulation manuelle à faire.
 
* Que par la même je mettrais en place un proxy pour m’aligner sur la législation
 
J4avais pensé à un pfsense ou zeroshell ou avec un linux directement, mais je ne vois pas pourquoi Windows ne serais pas capable de faire ça.
 
--> Je suis pro Linux à la base, et je suis contraint d'utiliser un serveur Windows, et du coup j'aimerais me prouver à moi-même qu'il est possible de faire du réseau avec Windows.
De mauvaise foi, j'ai toujours dit que c'était un mauvais outil, et j'ai décidé de prendre cette contrainte comme une opportunité d'apprendre et d'apprécier Windows Serveur.

n°145228
ShonGail
En phase de calmitude ...
Posté le 08-03-2017 à 12:33:45  profilanswer
 

On ne place pas tous les rôles sur un même serveur.
Un serveur ne peut pas être à la fois un élément de sécurité/routage réseau et contenir l'AD.
Sans compter la problématique du SPOF.
Ton seul serveur pète, tu perds tous tes services !

n°145229
nebulios
Posté le 08-03-2017 à 12:53:55  profilanswer
 

Tu fais n'importe quoi là.
 
Déjà tu n'installes pas n'importe quoi sur un AD, et surtout pas un WSUS/WDS. DHCP ok à la rigueur. Mais RAS tu oublies.
 
Tu peux faire du RAS, mais dans ce cas il faut dédier le serveru à ce rôle.
 

mood
Publicité
Posté le 08-03-2017 à 12:53:55  profilanswer
 

n°145233
logre
Posté le 08-03-2017 à 13:51:24  profilanswer
 

Complètement d'accord avec ShonGail et Nebulios.

 

Concernant ton problème, c'est normal que cela ne bascule pas, car même si ton routeur "primaire" ne répond plus, la route ne sera pas supprimer de la table de routage.

 

Si tu ne peux utiliser d'équipement propre (un firewall te ferai le plus grand bien), tu peux ,peut-être, tenter ta chance avec un script qui test un ping sur internet et qui change la métrique de tes routes en cas de problème (ping NOK)

 

GL.

 

P.S: Windows avait bien ISA (une solution de "Firewall" à installer sur une surcouche Windows), ensuite renommé TMG, mais ce produit a été abandonné en 2012 et est quasiment EOL depuis janvier 2016.


Message édité par logre le 08-03-2017 à 13:55:09
n°145234
Micko77666
Posté le 08-03-2017 à 14:03:13  profilanswer
 


Au pire si peux de moyen, vaut mieux mettre un ESXi (donc gratuit) et faire plusieurs VMs tout simplement.

n°145277
bunny123
Posté le 09-03-2017 à 14:38:02  profilanswer
 

Je prends en compte vos avis, et je vais donc chercher une autre solution pour la passerelle.
Sorti du contexte qui m'est propre, c'est quand même dommage que windows ne sache pas "simplement" changer de passerelle (et donc de routes par défaut) seul en cas de panne d'un accès à internet.
 
Par contre je ne comprends pas pourquoi WDS/WSUS ne doivent pas se retrouver sur un AD ?

n°145279
Je@nb
Modérateur
Kindly give dime
Posté le 09-03-2017 à 15:13:51  profilanswer
 

Parce que c'est pas le rôle d'un AD

n°145280
bunny123
Posté le 09-03-2017 à 15:52:46  profilanswer
 

Je@nb a écrit :

Parce que c'est pas le rôle d'un AD


 
J'entends bien, mais si je n'ai pas d'outres machines qui puisse faire le JOB ?  
Enfin, je veux dire quels sont les risques (ormis le SPOF) à ajouter ce rôle qui n'est pas beaucoup utilisé (seulement par moi d'ailleurs).

n°145281
nebulios
Posté le 09-03-2017 à 15:59:20  profilanswer
 

Parce qu'un AD implique des modifications profondes de l'OS, notamment sécurité, modifications qui sont fondamentalement incompatibles avec le rôle d'un serveur de base de données. Et sans compter les problèmes de perfs également.

n°145303
bunny123
Posté le 10-03-2017 à 14:48:55  profilanswer
 

Heu ... là pour le coup je ne suis pas du tout convaincu.  
1) un AD est un annuaire (une base de donnée) qui communique via le protocole LDAP. Rien de plus.  
2) preuve que l'OS n'est pas du tout modifié : AD est installable sous linux.
 
Autant ne pas tout installer sur un même serveur pour éviter de tout perdre d'un coup, OK. Mais vu l'adressage ip que j'ai, tu peu déduire que j'ai  moins de 250 utilisateurs, c'est donc une charge ridicule pour un serveur. Je pense que WDS, en particulier quand je précise que je suis seul à l'utiliser, n'ajoute pas une charge particulièrement complexe ni paralysante pour un serveur.
 
Même un PC (pas un serveur, un poste client) est plus sollicité quand vous écoutez de la musique en ligne (donc débit en continu similaire à WDS) et que vous travaillez sur Access ou Sage en simultané...

n°145304
ShonGail
En phase de calmitude ...
Posté le 10-03-2017 à 14:58:18  profilanswer
 

Houla !
Tu n'installes pas Active Directory sous un Linux :o
Un LDAP oui OK :D

n°145310
nebulios
Posté le 10-03-2017 à 15:31:57  profilanswer
 

bunny123 a écrit :


2) preuve que l'OS n'est pas du tout modifié : AD est installable sous linux.


Vas-y montre nous, sinon on risque de croire que tu vomis à l'écrit un flot considérable de merde.

n°145313
Je@nb
Modérateur
Kindly give dime
Posté le 10-03-2017 à 15:37:17  profilanswer
 

AD c'est pas qu'un LDAP hein. ADLDS à la rigueur oui.

n°145347
snipereyes
Posté le 12-03-2017 à 20:51:30  profilanswer
 

Tu ne sais manifestement pas de quoi tu parles.

 

Ce dont tu parles sous Linux c'est une implémentation de l'AD sous Linux (samba) et on est loin d'avoir un vrai AD.

 

Sinon on ne mélange pas les rôles en pratique tu ça avoir de gros problèmes de performance et tes utilisateurs vont sérieusement en pâtir.

 

Pour la passerelle monte un opnsense sur une machine lambda avec 3 carte réseau prévoir la même chose en séparé et ça va le faire.


---------------
-- Topic de vente -- FeedBack --
n°145392
bunny123
Posté le 14-03-2017 à 18:00:39  profilanswer
 

snipereyes a écrit :

Ce dont tu parles sous Linux c'est une implémentation de l'AD sous Linux (samba) et on est loin d'avoir un vrai AD.
 


 
"Le projet Samba [...] apporte la fonctionnalité supplémentaire d'un contrôleur de domaine Active Directory (Active Directory Domain Controller - AD DC). Cette fonctionnalité inclue en natif les services DNS, LDAP, Kerberos, RPC et SMB 3.0 ainsi que la distribution et la gestion des GPO.
[...]
Selon les cas, probablement au sein des PME, Samba AD DC pourrait parfaitement remplacer ces produits"
source : https://doc.ubuntu-fr.org/samba-active-directory
 
OK je vous voit venir : il est aussi dit que tout n'est pas encore disponible. ==> Oui mais il n'empèche que c'est un AD. En fait c'est surtout vous qui ne semblais pas être au courrant qu'un AD n'est qu'un LDAP provisonné selon une RFC spécifique + un DNS. C'est donc une base de donnée (pour rebondir sur la discution avant que ça ne tourne en pugilat Linux VS Windows que je ne souhaites pas).
 
Ce que je dis juste, c'est qu'un AD sur un serveur dans une PME, ça ne doit pas FORCEMENT occuper 100 % d'un serveur qui ne ferais rien d'autre. J'ai déjà vu plusieurs exemples ou ce n'est pas le cas, et sans problèmes pour les utilisateurs.


Message édité par bunny123 le 14-03-2017 à 18:03:22
n°145394
Je@nb
Modérateur
Kindly give dime
Posté le 14-03-2017 à 18:29:12  profilanswer
 

Tu oublies juste le plus important dans un AD : Kerberos mais ça fait rien on n'y connaît rien en vrai ...
Et on t'a déjà dit que c'est pas juste une question de perf mais de sécurité. L'AD modifiant en profondeur l'OS (plus de comptes locaux et groupes locaux déjà)

n°145397
nebulios
Posté le 14-03-2017 à 20:42:21  profilanswer
 

En fait j'allais te pondre un pavé sur les modifs de sécurité apportées par un dcpromo, mais après la phrase AD = LDAP, j'ai compris que c'était une perte d'énergie :/

n°145400
bunny123
Posté le 15-03-2017 à 08:48:06  profilanswer
 

Je@nb a écrit :

Tu oublies juste le plus important dans un AD : Kerberos mais ça fait rien on n'y connaît rien en vrai ...
Et on t'a déjà dit que c'est pas juste une question de perf mais de sécurité. L'AD modifiant en profondeur l'OS (plus de comptes locaux et groupes locaux déjà)


 
Mais as tu lu mon message précédent ? Kerberos fonctionne sous linux.
L'ajout de groupes et de comptes ? C'est du profond pour toi ça ? ....  
 
- - - - Passons sur le débat Linux - - - -  
 
Tout ce que je demande c'est effectivement une explication argumenté et cohérente (que je cherche réellement) mais vous ne m'avez pas convaincu pour l'instant. Relisez-vous, vous verrez que franchement se cacher derrière "On mélange pas les rôles pour de la performance / C'est pour la sécurité" vous n'avez pas beaucoup creusé en arguments valables :  
J'ai déjà vu des DC avec du WSUS et WDS sur un parc de plus de 350 PC, sans qu'il n'y ait le moindre problème, alors même qu'il s'agissait d'une école dans laquelle des étudiants en informatique donnaient tout ce qu'ils avaient pour faire "suer" les admins : ils en ont cassé du GLPI et autre, mais jamais le DC/WSUS/WDS/DHCP/PROXY qui était sur un seul (petit) serveur avec 16G de RAM et 8 coeurs.
 
@nebulios : je veux bien ton explication sur le DCPromo : je ne suis pas là pour vous contredire absolument, j'essaye de comprendre, mais ne m'en voulez pas si je ne suis pas du genre à croire tout ce que je vais lire sur des forums sans assurances.

n°145401
skoizer
tripoux et tête de veau
Posté le 15-03-2017 à 11:48:08  profilanswer
 

c'est plutot sur les phases de migration changement que cela pose des problémes.
J'avais avant un Exchange 2003 sur un controleur de domaine W2003.
Lors de la migration cela a été très compliqué.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°145402
snipereyes
Posté le 15-03-2017 à 12:29:44  profilanswer
 

Il suffit juste de lire les préco Microsoft la réponse se trouve dedans.

 

Maintenant ça fonctionnera sûrement, mais je doute que tu prennes un jour le risque de partir avec ta famille en vacance avec un pneu dégonflé, ça fonctionnera mais à un moment ça pétera ba la c'est le même principe.


---------------
-- Topic de vente -- FeedBack --
n°145404
nebulios
Posté le 15-03-2017 à 13:05:06  profilanswer
 

bunny123 a écrit :


J'ai déjà vu des DC avec du WSUS et WDS sur un parc de plus de 350 PC, sans qu'il n'y ait le moindre problème, alors même qu'il s'agissait d'une école dans laquelle des étudiants en informatique donnaient tout ce qu'ils avaient pour faire "suer" les admins : ils en ont cassé du GLPI et autre, mais jamais le DC/WSUS/WDS/DHCP/PROXY qui était sur un seul (petit) serveur avec 16G de RAM et 8 coeurs.
 
@nebulios : je veux bien ton explication sur le DCPromo : je ne suis pas là pour vous contredire absolument, j'essaye de comprendre, mais ne m'en voulez pas si je ne suis pas du genre à croire tout ce que je vais lire sur des forums sans assurances.


Ce que tu ne piges pas, c'est que ton expérience ne reflète pas forcément des faits. Ce n'est pas parce que ça fonctionne chez toi que ça va fonctionner systématiquement.
Une machine qui regroupe tout ça, ça a déjà existé chez Microsoft, ça s'appelait les Small Business Server. Ils en ont fait deux éditions avant de les faire disparaître, car les machines étaient trop instables et trop fragiles pour fonctionner de manière fiable.
 
iI tu veux des arguments plus techniques, au-delà de l'aspect performances, alors en termes de sécurité lors d'un dcpromo l'OS est profondément modifié - la SAM locale disparaît, les comptes et groupes locaux avec. Des ACL spécifiques sont ajoutées, des GPO spécifiques sont appliquées etc...Et tout ça c'est totalement incompatible avec les besoins d'une application de base de données en réseau. En bidouillant comme un porc tu peux faire généralement faire fonctionner cette dernière (ce qui est un premier problème), mais au prix de privilèges exhorbitants donnés à la base, ce qui est très dangereux puisque ton serveur AD est la colonne vertébrale de la sécurité de ton infrastructure.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Comment redonder accès à internet dans windows serveur ?

 

Sujets relatifs
replication bureau pool serveur tseProblème sur serveur DNS
securiser serveur web de l'exterieurAccès conditionnel PFSense
Sécuriser accès extérieurServeur, virtualisation, roles, licences
Vérifier le niveau de TX/Rx d'un SFP/QSFP sur un server windowserreur 0x800f922 sur Windows 2012 R2 Essential et HP Proliant
Remplacer Serveur RDS vieillissant par deux serveurs RDS + stockagenouvelle installation windows server 2016
Plus de sujets relatifs à : Comment redonder accès à internet dans windows serveur ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR