Réplication partielle d'un AD
Résolu
MarcusDom
Messages postés
48
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je suis actuellement en stage et ca fait 3 semaines que je me creuse la tête pour trouver une solution à mon problème.
Je m'explique : je dois répliquer un AD qui se trouve dans un VPN vers une DMZ, mais en répliquant qu'une partie des attributs de l'annuaire ( ne pas répliquer les données sensibles comme les mots de passe par exemple ). Je souhaiterai savoir s'il est possible d'effectuer ce genre d'opérations à partir d'un environnement windows server 2008 se situant dans le VPN et avec un windows server 2003 dans la DMZ.
J'ai un peu abandonné l'idée de répliquer l'AD vers un openLDAP, apparement ca pose soucis au niveau des normes des schémas entre les deux annuaires.
Voilà si vous avez une solution à me proposer je suis preneur.
Merci
Je suis actuellement en stage et ca fait 3 semaines que je me creuse la tête pour trouver une solution à mon problème.
Je m'explique : je dois répliquer un AD qui se trouve dans un VPN vers une DMZ, mais en répliquant qu'une partie des attributs de l'annuaire ( ne pas répliquer les données sensibles comme les mots de passe par exemple ). Je souhaiterai savoir s'il est possible d'effectuer ce genre d'opérations à partir d'un environnement windows server 2008 se situant dans le VPN et avec un windows server 2003 dans la DMZ.
J'ai un peu abandonné l'idée de répliquer l'AD vers un openLDAP, apparement ca pose soucis au niveau des normes des schémas entre les deux annuaires.
Voilà si vous avez une solution à me proposer je suis preneur.
Merci
A voir également:
- Réplication partielle d'un AD
- Ad aware - Télécharger - Sécurité
- Ad cleaner - Télécharger - Antivirus & Antimalwares
- Ad away - Télécharger - Outils Internet
- Ad remover - Télécharger - Antivirus & Antimalwares
- Ad doubleclick net - Forum Samsung
69 réponses
Tu as juste dans l'absolu. Le truc, c'est que tu as dit ce que tu voulais faire, mais pas pourquoi :o)
Du coup j'ai un peu de mal à te dire si ta solution est appropriée, vu que je n'en connais pas la finalité ;o)
Du coup j'ai un peu de mal à te dire si ta solution est appropriée, vu que je n'en connais pas la finalité ;o)
Bien sûr, alors je veux juste répliquer 3 ou 4 attributs de chaque utilisateurs de l'active directory ( nom, prénom, adresse e-mail, éventuellement numéro de téléphone ), pour que les employés utilisant le carnet d'adresses de l'entreprise, puissent consulter l'annuaire même en étant à l'extérieur du VPN. Pour le moment il faut être dans l'intranet pour avoir accès au carnet d'adresses ( utilisation via outlook et webmail ). Donc le mettre dans la DMZ permettrait aux utilisateurs nomades d'utiliser l'annuaire sans pour autant que ce dernier ne contienne des données sensibles.
Il faut également que ce soit dynamique, d'où la synchronisation.
J'ai du mal à l'expliquer ce sujet :-|
Il faut également que ce soit dynamique, d'où la synchronisation.
J'ai du mal à l'expliquer ce sujet :-|
Problématique cette fois parfaitement exprimée, et je te confirme que la solution est la bonne.
Juste, quand les petits malins habituels vont voir qu'il y a des noms, des adresses mail et des des nums de tel, y vont bien se régaler.
D'un autre côté, c'est pas bien grave, hein, une DMZ c'est fait pour ça ;o)
Juste, quand les petits malins habituels vont voir qu'il y a des noms, des adresses mail et des des nums de tel, y vont bien se régaler.
D'un autre côté, c'est pas bien grave, hein, une DMZ c'est fait pour ça ;o)
Très bien ca me rassure, après avoir envisagé l'openLDAP, la réplication entre AD, le LSC project ou les solutions payantes, je me sentais un peu découragé :)
Pour les données en DMZ c'est pas ce qui me pose le plus de soucis, j'appréhende plus le côté pare-feu, je ne souhaite pas le transformer en passoire si je dois synchroniser l'adam. Enfin pour le moment je vais déjà essayer de régler le problème de la synchronisation.
Pour les données en DMZ c'est pas ce qui me pose le plus de soucis, j'appréhende plus le côté pare-feu, je ne souhaite pas le transformer en passoire si je dois synchroniser l'adam. Enfin pour le moment je vais déjà essayer de régler le problème de la synchronisation.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai refais la manip'.
J'ai mis comme nom DNS domaine.principal.test
Cette fois ci j'ai créer une instance ADAM cn=partition,dc=domaine,dc=principal,dc=test.
Avec :
<description>Adamsync</description>
<security-mode>object</security-mode>
<source-ad-name>w2k3test.domaine.principal.test</source-ad-name>
<source-ad-partition>dc=domaine,dc=principal,dc=test</source-ad-partition>
<source-ad-account>Administrateur</source-ad-account>
<account-domain>Administrateur.domaine.principal.test</account-domain>
<target-dn>cn=partition,dc=domaine,dc=principal,dc=test</target-dn>
<query>
<base-dn>dc=domaine,dc=principal,dc=test</base-dn>
<object-filter>(objectClass=*)</object-filter>
Et j'ai comme message d'erreur :
Impossible de lire l'attribut objectclass sur cn=partition,dc=domaine,dc=principal,dc=test
On peut pas dire que ce soit beaucoup mieux :o|
J'ai mis comme nom DNS domaine.principal.test
Cette fois ci j'ai créer une instance ADAM cn=partition,dc=domaine,dc=principal,dc=test.
Avec :
<description>Adamsync</description>
<security-mode>object</security-mode>
<source-ad-name>w2k3test.domaine.principal.test</source-ad-name>
<source-ad-partition>dc=domaine,dc=principal,dc=test</source-ad-partition>
<source-ad-account>Administrateur</source-ad-account>
<account-domain>Administrateur.domaine.principal.test</account-domain>
<target-dn>cn=partition,dc=domaine,dc=principal,dc=test</target-dn>
<query>
<base-dn>dc=domaine,dc=principal,dc=test</base-dn>
<object-filter>(objectClass=*)</object-filter>
Et j'ai comme message d'erreur :
Impossible de lire l'attribut objectclass sur cn=partition,dc=domaine,dc=principal,dc=test
On peut pas dire que ce soit beaucoup mieux :o|
Là, je comprends plus rien de rien...
Tu as bien fait les extensions de schéma qui sont demandées, tu as bien importé les fichiers ldif et tout et tout ?
Tu as bien fait les extensions de schéma qui sont demandées, tu as bien importé les fichiers ldif et tout et tout ?
oui, avec les 2 commandes en ldifde.
J'ai eu un "soucis" par contre. Lors de la création du fichier LDIF, mais comme je m'en sers pas encore j'y ai pas prêté attention.
Avec ADSchemaAnalyzer, j'ai mis le schéma de base et la cible et lorsque je crée le fichier LDIF, il me met schéma valide, mais lors de la création, il me marque : 0 attributs, 0 classes, 0 ensembles de propriétés, 0 éléments présents mis à jour.
Mais je doute que ca vienne de là le problème
J'ai eu un "soucis" par contre. Lors de la création du fichier LDIF, mais comme je m'en sers pas encore j'y ai pas prêté attention.
Avec ADSchemaAnalyzer, j'ai mis le schéma de base et la cible et lorsque je crée le fichier LDIF, il me met schéma valide, mais lors de la création, il me marque : 0 attributs, 0 classes, 0 ensembles de propriétés, 0 éléments présents mis à jour.
Mais je doute que ca vienne de là le problème
la connexion à l'instance se fait bien ? le port 50000 serait pas des fois bloqué ? tente un telnet du bouzin sur ce port, histoire de voir...
Là j'envoie au hasard dès que ça me vient, parce que je comprends pas...
De toute manière s'il ne sait pas lire l'attribut objectclass, c'est même pas la peine, c'est le plus important.
Là j'envoie au hasard dès que ça me vient, parce que je comprends pas...
De toute manière s'il ne sait pas lire l'attribut objectclass, c'est même pas la peine, c'est le plus important.
pare-feu désactivé donc je pense qu'il ne devrait pas y avoir de soucis.
Ensuite via les outils ADAM ADSI et Schéma ADAM j'arrive à explorer sans soucis. Donc je suppose qu'il est bien ouvert.
Je crois que je suis reparti pour faire un essai, je suis plus à ca près
Ensuite via les outils ADAM ADSI et Schéma ADAM j'arrive à explorer sans soucis. Donc je suppose qu'il est bien ouvert.
Je crois que je suis reparti pour faire un essai, je suis plus à ca près
Du neuf, j'ai le même problème qu'au début la même erreur, sauf que la commande de l'install s'est bien déroulé.
Voilà le nouveau fichier de config :
description>Adamsync</description>
<security-mode>object</security-mode>
<source-ad-name>serveur.test</source-ad-name>
<source-ad-partition>dc=serveur,dc=test</source-ad-partition>
<source-ad-account>Administrateur</source-ad-account>
<account-domain>Administrateur.serveur.test</account-domain>
<target-dn>cn=partition,dc=adam,dc=serveur,dc=test</target-dn>
<query>
<base-dn>dc=serveur,dc=test</base-dn>
<object-filter>(objectClass=*)</object-filter>
sur les ports 50000 et 50001.
si je tape adamsync /sync localhost:50000 "dc=adam,dc=serveur,dc=test"
j'ai l'erreur vu précédement.
si je tape adamsync /sync localhost:50000 "cn=partition,dc=adam,dc=serveur,dc=test"
j'ai : Une erreur LDAP s'est produite. ldap_add_sW: Définition de la violation.
Informations détaillées : 00002099: NameErr: DSID-03050F78, problem 2005 (naming_violation), data 0, best match of:
'cn=partition,dc=adam,dc=serveur,dc=test'
Mais au moins l'étape de l'install est passée, mais bon si c'est pour coincer une commande plus loin, ca craint...
Voilà le nouveau fichier de config :
description>Adamsync</description>
<security-mode>object</security-mode>
<source-ad-name>serveur.test</source-ad-name>
<source-ad-partition>dc=serveur,dc=test</source-ad-partition>
<source-ad-account>Administrateur</source-ad-account>
<account-domain>Administrateur.serveur.test</account-domain>
<target-dn>cn=partition,dc=adam,dc=serveur,dc=test</target-dn>
<query>
<base-dn>dc=serveur,dc=test</base-dn>
<object-filter>(objectClass=*)</object-filter>
sur les ports 50000 et 50001.
si je tape adamsync /sync localhost:50000 "dc=adam,dc=serveur,dc=test"
j'ai l'erreur vu précédement.
si je tape adamsync /sync localhost:50000 "cn=partition,dc=adam,dc=serveur,dc=test"
j'ai : Une erreur LDAP s'est produite. ldap_add_sW: Définition de la violation.
Informations détaillées : 00002099: NameErr: DSID-03050F78, problem 2005 (naming_violation), data 0, best match of:
'cn=partition,dc=adam,dc=serveur,dc=test'
Mais au moins l'étape de l'install est passée, mais bon si c'est pour coincer une commande plus loin, ca craint...
Là, c'est déjà plus logique...
Effectivement, ce que tu essaies de synchroniser dans ta commande initiale est incomplet, la seconde est syntaxiquement la bonne.
Pour l'erreur de naming violation, jette un oeil à ce thread :
http://forums.techarena.in/active-directory/64934.htm
Courage, tu y es presque :o)
Effectivement, ce que tu essaies de synchroniser dans ta commande initiale est incomplet, la seconde est syntaxiquement la bonne.
Pour l'erreur de naming violation, jette un oeil à ce thread :
http://forums.techarena.in/active-directory/64934.htm
Courage, tu y es presque :o)
Bonjour, nouvelle semaine, nouvelle galère ?
J'ai jeté un oeil sur ton lien mais je n'arrive pas à régler mon problème. En même temps je pige pas tout en anglais. J'ai essayé une autre méthode via un fichier de config "update", mais rien n'y fait, je suis toujours coincé à cette install
J'ai jeté un oeil sur ton lien mais je n'arrive pas à régler mon problème. En même temps je pige pas tout en anglais. J'ai essayé une autre méthode via un fichier de config "update", mais rien n'y fait, je suis toujours coincé à cette install
Dans le thread que je t'ai indiqué, cette partie est intéressante :
That's a namespace problem, the DSA is punting to a namespace
it does not cover
> My AD is organized so I have
> ou=users,ou=accounts,dn=web,dn=nmda,dn=org
assuming that should be dc= rather than dn=
> and I want to sync that with the ADAM instance at
> ou=users,ou=accounts,o=nmda,c=us
That is most likely your problem; you cannot transform the naming
contexts in that way, so in your config.xml if your source-ad-partition is
dc=web,dc=nmda,dc=org
then you will need to create an ADAM naming context
dc=web,dc=nmda,dc=org, <target-rdn>
where target-rdn can be some naming component or nothing. If you
then specify the base-dn as
ou=users,ou=accounts,dc=web,dc=nmda,dc=org
That should sync the data for you.
That's a namespace problem, the DSA is punting to a namespace
it does not cover
> My AD is organized so I have
> ou=users,ou=accounts,dn=web,dn=nmda,dn=org
assuming that should be dc= rather than dn=
> and I want to sync that with the ADAM instance at
> ou=users,ou=accounts,o=nmda,c=us
That is most likely your problem; you cannot transform the naming
contexts in that way, so in your config.xml if your source-ad-partition is
dc=web,dc=nmda,dc=org
then you will need to create an ADAM naming context
dc=web,dc=nmda,dc=org, <target-rdn>
where target-rdn can be some naming component or nothing. If you
then specify the base-dn as
ou=users,ou=accounts,dc=web,dc=nmda,dc=org
That should sync the data for you.
J'ai pas vraiment saisi l'utilité du <target-rdn> c'est quoi le r ?
J'ai changé un peu toute la config de ce fichier, mais rien n'y fait.
C'est bien une ligne à rajouter ?
Ensuite, le type met des dn, bon si j'ai bien compris, c'est pas bon, mais je ne l'ai pas fait donc de ce côté là, ca va.
Je comprends toujours pas l'erreur. Mon instance ADAM est bien dans la forêt de l'AD, donc il ne doit pas avoir de soucis pour y accèder non ?
Le lundi matin c'est dur :)
J'ai changé un peu toute la config de ce fichier, mais rien n'y fait.
C'est bien une ligne à rajouter ?
Ensuite, le type met des dn, bon si j'ai bien compris, c'est pas bon, mais je ne l'ai pas fait donc de ce côté là, ca va.
Je comprends toujours pas l'erreur. Mon instance ADAM est bien dans la forêt de l'AD, donc il ne doit pas avoir de soucis pour y accèder non ?
Le lundi matin c'est dur :)
Moi de même...
Mais il n'y a pas autre chose que je pourrai faire à part toucher au fichier de config ?
Si ca se trouve ca vient peut être de mon serveur DNS.
Ou alors je refais ( encore ) un essai en utilisant scrupulesement les noms utilisés dans le tutoriel de microsoft avec les "o=Microsoft,dc=FR", mais je doute que ca ne change quelque chose
Mais il n'y a pas autre chose que je pourrai faire à part toucher au fichier de config ?
Si ca se trouve ca vient peut être de mon serveur DNS.
Ou alors je refais ( encore ) un essai en utilisant scrupulesement les noms utilisés dans le tutoriel de microsoft avec les "o=Microsoft,dc=FR", mais je doute que ca ne change quelque chose
C'est ce que j'allais te proposer en dernier recours :o)
Mais bon, j'y crois pas plus que ça non plus
Plus on est confiant dans sa capacité à faire fonctionner une machine, plus on passe pour un con quand ça foire...
Mais bon, j'y crois pas plus que ça non plus
Plus on est confiant dans sa capacité à faire fonctionner une machine, plus on passe pour un con quand ça foire...