FortiGate Fortinet - Liaison AD
Résolu/Fermé
larmine
Messages postés
414
Date d'inscription
jeudi 26 janvier 2012
Statut
Membre
Dernière intervention
28 octobre 2018
-
24 nov. 2015 à 10:25
larmine Messages postés 414 Date d'inscription jeudi 26 janvier 2012 Statut Membre Dernière intervention 28 octobre 2018 - 24 nov. 2015 à 17:23
larmine Messages postés 414 Date d'inscription jeudi 26 janvier 2012 Statut Membre Dernière intervention 28 octobre 2018 - 24 nov. 2015 à 17:23
1 réponse
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
24 nov. 2015 à 13:36
24 nov. 2015 à 13:36
Bonjour,
D'après mes maigres recherches, le polling Mode est plus adapté à des petits environnements ; notamment avec la "charge" mais aussi comment est agencé l'infrastructure. (40 DCs éclatés sur 20 sites par exe.)
La charge sur le fortinet va être plus importante avec le nombre de requetes à traiter. Un second point, avec la montée en charge, est qu' il faut aussi assurer un temps de traitement de la requête (en dessous de 100ms).
-
Un autre point, le boitier tape direct sur les DCs, en LDAP.
Un mec du réseau vient avec des boitiers en DMZ en bordure d'internet interroger mes DCs en LDAP ? -> Il se prend un coup de boule direct ;-)
Donc passer par une machine intermédiaire avec un agent (installé sur une machine serveur non DC c'est mieux) servira d'intermédiaire et permet de faire une rupture protocolaire entre la DMZ et le backend.
Ca va permettre de sécuriser au niveau flux mais aussi que la charge soit ni absorbée par les boitiers FortiNet, ni absorbée par les DCs.
Après il doit y avoir des fonctionnalités offertes en plus (logging, évènements monitorés etc ...)
D'après mes maigres recherches, le polling Mode est plus adapté à des petits environnements ; notamment avec la "charge" mais aussi comment est agencé l'infrastructure. (40 DCs éclatés sur 20 sites par exe.)
La charge sur le fortinet va être plus importante avec le nombre de requetes à traiter. Un second point, avec la montée en charge, est qu' il faut aussi assurer un temps de traitement de la requête (en dessous de 100ms).
-
Un autre point, le boitier tape direct sur les DCs, en LDAP.
Un mec du réseau vient avec des boitiers en DMZ en bordure d'internet interroger mes DCs en LDAP ? -> Il se prend un coup de boule direct ;-)
Donc passer par une machine intermédiaire avec un agent (installé sur une machine serveur non DC c'est mieux) servira d'intermédiaire et permet de faire une rupture protocolaire entre la DMZ et le backend.
Ca va permettre de sécuriser au niveau flux mais aussi que la charge soit ni absorbée par les boitiers FortiNet, ni absorbée par les DCs.
Après il doit y avoir des fonctionnalités offertes en plus (logging, évènements monitorés etc ...)
24 nov. 2015 à 17:23
Cela confirme mes idées et m'apporte de nouvelles perspectives =)