Koozali.org: home of the SME Server

Gestion du serveur à distance.

igor

Gestion du serveur à distance.
« on: January 10, 2007, 05:15:57 AM »
Bonjour,

J'arrive à administrer la SME sans problème en LAN, pour ce qui est de la gestion "à distance",
MAIS
quand je suis à la maison par exemple, et comme j'ai une IP dynamique; quelle adresse IP dois-je mettre dans le serveur pour avoir un accès à ce dernier.

ps: ayant un service dyndns (à la maison) est-ce que je peux mettre mon [nom.dynedns.org] en lieu et place de l'adresse ip devant avoir accès de l'extérieur?
SINON quelle solution ?

Merci d'avance.

oblooblo2000

Gestion du serveur à distance.
« Reply #1 on: January 10, 2007, 01:07:44 PM »
oui tu peux si tes ports adequats sont ouvert !!
cependant quelle techno utilise tu, ssh, vpn, telnet, http??? qu'entends tu part administrer a distance??

igor

Comme en LAN
« Reply #2 on: January 10, 2007, 08:55:49 PM »
en fait en lan avec l'explorateur internet je fais
10.0.128.15/server-manager et j'accède au serveur.

Je voudrais pouvoir faire la mm chose (en utilisant dyndns) mais depuis la maison, sachant qu'il y a un dyndns des 2 côté, d'ailleurs l'appel du site (monsite/server-manager) est OK, puisque j'ai l'acceptation des certificats, mais après j'ai
Forbidden
You don't have permission to access /server-manager on this server.

Je comprend simplement que c'est de MON côté qu'il faut que je rajoute dans le serveur l'autorisation, mais c'est au niveau des @IP que je suis pas sûr, d'où ma question, étant donné qu'a la maison j'ai une IP dynamique, mais que j'ai du Dyndns paramétré dans mon routeur, est-ce que je peux mettre un nom dns au lieu de l'@IP autorisée à avoir accès au serveur depuis internet, en http donc !
Merci.

Offline Gaston94

  • ****
  • 184
  • +0/-0
Gestion du serveur à distance.
« Reply #3 on: January 10, 2007, 11:44:32 PM »
Salut,
si ta question est la configuration d'une adresse réseau "amie" je sait pas.
Par contre, tu peux parfaitement gérer ton serveur de l'extérieur. Par gérer j'entends accéder au server manager.
1) authoriser les accès ssh à partir d'Internet
2) crééer un tunnel ssh
 - sous Win , avec Putty, definir
      Connection/SSH/Tunnels SourcePort =980 , Destination=localhost:980
 - sous Linux
        ssh -L 980:localhost:980
2bis) ouvrir la connection ssh
3) avec un browser accéder à http://localhost:980

et voilà
G.

oblooblo2000

Gestion du serveur à distance.
« Reply #4 on: January 12, 2007, 07:38:36 AM »
PErso j'avais ce probleme avec le vpn, en ajoutant la class reseau du vpn dans les reseaux locaux ca a disparu (logique meme si je trouve ca moyen comme technique). Donc moi je ne saurai trop te conseiller de faire du vpn entre les deux et des les ajouter dans les reseaux locaux de chaque sme!!!
Il doit surement y avoir d'autre solutions... comme celle de gaston je suppose.
D'ailleur qq'un m'avais dit que le ssh etait plus securisé que le vpn (ssl), faudrai que je verifie (a mon sens ca doit dependre du niveau de cryptage), en plus j'avais lu une solution de fusion des deux (vpn sur ssh)!!

Pour ta methode gaston, on accede au server-manager a  l'interface html donc!!! Je ne connaissait pas cette methode, ca a l'air bien d'ailleur!!

Offline cool34000

  • *
  • 339
  • +0/-0
Gestion du serveur à distance.
« Reply #5 on: January 12, 2007, 11:51:31 AM »
Pour ma part je fais cette tâche à travers le VPN intégré de SME :
J'ai autorisé le user xxx à faire du VPN.
Depuis chez moi, je me connecte au VPN SME avec ce user xxx et une fois connecté je peux accéder au server-manager en tapant : https://adresse_ip_locale_ton_SME_distant/server-manager
A noter qu'il n'y a pas de traduction de noms, donc c'est IP obligatoire et pas le nom netbios de ta machine (à moins que tu fasses joujou avec ton fichier hosts sous window$)

oblooblo2000

Gestion du serveur à distance.
« Reply #6 on: January 22, 2007, 07:23:09 AM »
Quote from: "cool34000"

A noter qu'il n'y a pas de traduction de noms, donc c'est IP obligatoire et pas le nom netbios de ta machine (à moins que tu fasses joujou avec ton fichier hosts sous window$)

avoue que c'est un peu lourd quant meme !!!

Offline cool34000

  • *
  • 339
  • +0/-0
Gestion du serveur à distance.
« Reply #7 on: January 24, 2007, 08:52:59 PM »
Non ce n'est pas lourd, il suffit de mettre en place soit un serveur WINS et la traduction NETBIOS fonctionne, soit de faire mumuse avec le fichier hosts... J'ai opté pour ma part pour la seconde solution, tellement simple à mettre en place !

oblooblo2000

Gestion du serveur à distance.
« Reply #8 on: January 24, 2007, 11:59:40 PM »
pour le serveur wins, je sais pas la manip... pour le host, si tu as acces depuis plusieurs machines, tu dois le creer sur chaque machine (copie mais bon...)

Offline Gaston94

  • ****
  • 184
  • +0/-0
Gestion du serveur à distance.
« Reply #9 on: January 25, 2007, 01:32:53 PM »
Salut,
pourquoi recourir à de la bidouille ?
les noms NetBios, c'ets fini depuis w2k, windows s'est rallié à DNS avec l'AD.
Le DNS ne passe pas dans vos tuyaux privés ?

G.

Offline cool34000

  • *
  • 339
  • +0/-0
Gestion du serveur à distance.
« Reply #10 on: January 25, 2007, 10:31:28 PM »
DNS est effectivement étroitement lié à l'active directory depuis 200x serveur... Dailleurs il s'agit d'une version modifiée de DNS : DDNS (je n'ai plus en mémoire les numéros de RFC). Couplé au serveur DHCP, DDNS devient un outil très puissant sur un réseau Windows...

Mais il me semble que tu enterres NETBIOS un peu vite : Microsoft conseille la mise en place de serveurs WINS pour les réseaux routés ou la modification du fichier hosts... Du moins dans mes bouquins de certifs :wink:  :wink:  :wink:
Certes les OS NT5.x se sont "rallié" avec DNS, mais une fois de plus, Microsoft préconise l'utilisation de WINS avec des postes 98 (ou antérieurs) ainsi que si des machines LINUX sont présentes... A quand le ralliement entre le reste du monde et Microsoft ? :roll:

Tu utilises déja DNS quand tu te connectes à SME en VPN ! DHCP activé ou pas sur SME, le service PPTP te fourni un paramétrage IP complet, y compris un serveur DNS (l'IP de SME). DNS passe dans le tuyau privé donc...
Big problème, t'as déja regardé la tronche d'un NSLOOKUP sur SME ? Chez moi mon PC s'appelle pc-00100.mondomaine.com !!! Mouarf même raide défoncé j'appellerai jamais mon PC comme ca !!! Juré !!! :twisted:
Tu ne peux pas te connecter à ton serveur en tapant : https://nom_fqdn/server-manager (une fois la le VPN monté) ni même voir les stations distantes dans les favoris réseaux ou voir les partages, etc...
A moins d'ajouter manuellement les bons noms avec les bonnes IP sur ton serveur SME (mais bon, modifier un fichier hosts sur un serveur, moi c'est CA que j'appelle de la bidouille). Sinon je vois pas... Mais y'a surement d'autres solutions...


J'ai testé la solution du tunnel SSH que je connaissais sans l'avoir jamais testée... Merci pour ce petit howto très clair !


Je viens à l'instant de tester WINS et ca fonctionne très bien : j'ai ajouté un serveur WINS manuellement dans la config IP de la connexion VPN. Donc pour la "bidouille" c'est quand même TRES limité ! 8)

Offline Gaston94

  • ****
  • 184
  • +0/-0
Gestion du serveur à distance.
« Reply #11 on: January 25, 2007, 10:45:30 PM »
salut,
ma compétence dans le domaine s'arrête à la lecture des postes de jdh et billou02 qui s'arrachent les cheveux pour expliquer pourquoi ce genre d'information ne passent pas les routeurs.
Je  ne sait pas/plus ce qu'est un nom NetBios, je sait juste m'en passer pour ce que je fait (implicitement ce pour quoi ça pourrait m'être utile, je m'en passe ;) ).
Quant au nom de tes PC, les noms prédéfinis ne sont qu'une partie de la conf du dhcp (via le server manager si tu veux pas taper dans les templates).

J'ai du mal à comprendre pourquoi l'accès à https://monserveur.mondomaine.tld/server-manager ne fonctionne pas avec un VPN monté, pour peu que cette résolution DNS soit la résolution valide vis à vis du FW : l'adresse IP Lan du serveur. Mais comme je l'ai dit j'ai pas la compétence ou l'usage pour argumenter.
Je me rallie donc à ton expérience.

G.
PS et loin de moi d'aller trafiquer un /etc/host de serveur hors d'une config de cluster ;)

Offline cool34000

  • *
  • 339
  • +0/-0
Gestion du serveur à distance.
« Reply #12 on: January 26, 2007, 12:54:58 AM »
En fait, pour ce qui est de l'utilisation du nom FQDN pour se connecter au server-manager, je pense que cela est impossible du fait que cela correspond à l'IP externe et justement le server-manager n'est pas accessible de l'extérieur !!! D'ou l'obligation d'utiliser soit l'IP soit son nom pour y accéder... J'ai essayé, c'est la même chose en local !


En VPN, c'est un peu différent, le nom NETBIOS n'étant pas disponible, la page ne peut être accessible que par l'IP... D'ou l'utilité de WINS ou du fichier hosts !
Si tu disposes d'un serveur WINS sur ton réseau distant, et que les stations de ton réseau son toutes clientes WINS, alors tu pourra de chez toi les voir dans les favoris réseau par leur petit nom et même accéder à leurs partages/imprimantes ou encore faire des pings sans préciser le nom de domaine derrière... La classe !
Si tu utilises un réseau VPN inter-sites connectés en permance, il est plus approprié de configurer 1 serveur WINS sur chaque site et de les synchroniser pour arriver au même résultat. Les différents domaines ou groupes de travail seront visibles dans les favoris réseau.


Je pense qu'une modification du template incriminé serait la bien venue : au minimum remonter le nom NETBIOS plutot que d'en prédéfinir un.
Par contre, je ne pense pas que cela vienne d'un template de DHCP puisque je ne l'utilise pas chez moi et que NSLOOKUP me renvoi cet enregistrement prédéfini sur mes stations LAN. Surement DNS ?

Offline Gaston94

  • ****
  • 184
  • +0/-0
Gestion du serveur à distance.
« Reply #13 on: January 26, 2007, 09:24:01 PM »
Bonsoir,
Quote

faire des pings sans préciser le nom de domaine derrière... La classe !

désolé je vais être cru et utiliser mon coup de gueule du mois : pas la classe du tout. Un vrai foutoir qui rends les utilisateurs complètement passifs et entraîne des configurations ingérrables dans le cas d'utilisation multidomaine (je parle de conf à plus de 10 000 stations) et dont la majorité des utilisateurs ne savent plus dire quel nom correspond à quel équipement. Mais aussi, par exemple dans les configuration de tnsnames et consort où on confond enregistrement DNS et NetBios :evil:
Ce qui paraissait au départ une bonne idée devient vite un cauchemar dont tout le monde pati: les techniciens pour essayer de faire des trucs qui marchent, les utilisateurs à qui un jour on a dit "tu tapes juste http://intranet, c'est bon", qui a intégré ce concept dans sa vie de tous les jours, son développement en excel, acces, ..." et qui quelques mois plus tard doit reprendre à zero parce qu'il doit utiliser des FQDN ...
C'est du n'importe quoi :roll:

Pour en revenir au sujet :
Quote from: "cool34000"
En fait, pour ce qui est de l'utilisation du nom FQDN pour se connecter au server-manager, je pense que cela est impossible du fait que cela correspond à l'IP externe et justement le server-manager n'est pas accessible de l'extérieur !!! D'ou l'obligation d'utiliser soit l'IP soit son nom pour y accéder... J'ai essayé, c'est la même chose en local !

Ca n'a rien d'obligatoire : c'est un choix de configuration que tu as fait, et non pas un problème technique.

Je ne suis pas sur que l'on parle de la même chose  pour les noms Netbios, je t'ai dit je n'utilise pas.
Les nom pc-xxxx sont en fait pré-enregistés dans le conf DNS, ce qui ma induit en erreur. Donc lorsque tu te fais attribuer une adresse par le DHCP, tu hérites du A record correspondant.
Via le server manager, par exemple lorsque tu défini un host, tu peux surcharger cette définition (en fait, toute définiton d'attribution de nom dans le DHCP prends le pas sur la recréation des records génériques).

G.

Offline cool34000

  • *
  • 339
  • +0/-0
Gestion du serveur à distance.
« Reply #14 on: January 31, 2007, 12:20:09 AM »
Pour répondre à ton coup de gueule Gaston94, on ne s'est visiblement pas compris je te l'accorde !

Pour commencer, le ping était un simple exemple loufoque (mais pourtant explicite ?). Cependant, je ne vois pas en quoi un tout petit ping te met tant en colère, même si tu gères moins de 10000 stations, je ne te vois pas connaitre par coeur les noms NETBIOS ou même FQDN et encore moins les IP... WINS est un équivalent de DNS pour WINDOWS sur les réseaux routés pour permettre toute la couche NETBIOS d'être opérationnelle, il se couple d'ailleurs parfaitement avec le DNS des serveurs 200x qui savent intéroger leur serveur WINS si DNS ne possède d'enregistrement... Cela te permet de faire du partage de fichier, d'imprimante comme si le réseau distant était un réseau local... Tu le vois même dans "tout le réseau" Je ne vois pas d'équivalence avec le DNS de SME ici, puisque le nom de la machine lui est inconnu... Y'a déja le nom netbios à retenir, l'IP, le nom de domaine et SME rajoute un pc-xxx ! Ca fait beaucoup à se souvenir ! (à vrai dire je vois un intrus et ce n'est pas netbios !)

Pour ce qui est des 10000 stations, je n'ai malheureusement pas d'expérience en la matière... Je gère cependant dans la liste de mes clients une entreprise interconnectée au niveau mondial...
3 agences en France, la maison mère en Angleterre, une agence en Australie et pour finir une agence aux USA. Tous ces réseaux sont connectés à la maison mère via un VPN (routeurs CISCO) via des lignes spécialisés. Cela représente au total 9 domaines AD, plus de 2000 utilisateurs, pas loin de 1500 machines et je ne parle même pas des imprimantes... De quoi commencer à avoir besoin de s'organiser pour gérer les ressources, surtout quand on veut hiérarchiser et administrer le tout !
Ce réseau contient des AS400 (pour les applicatifs entreprise), des serveurs Windows 2000 et 2003, des groupes de travail parfois multiples sur un site (plusieurs filliales)... Bref si tu me trouves un moyen de gérer les ressources Windows aussi simplement qu'en cliquant sur un nom de machine dans les favoris réseau pour accéder à ses partages, je suis preneur... DNS n'a rien à voir la dedans, ce n'est pas son rôle...
Alors non, on ne parle pas de la même chose... Je te parle de mise en réseau, de mise à disposition des ressources partagés ! Sinon y'avait la solution "bricolage" et la modif à appliquer au fichier hosts que j'avais proposé ou la soluce de créer un tunnel SSH avec putty...

Pour interconnecter des domaines distant Windows, utilise les services DNS, DHCP et WINS combinés sur tes serveurs Windows, tu verra tu te sentira mieux au niveau de la gestion...
C'est aussi valable si tu connectes un portable (ou ton PC chez toi si tu veux te connecter à ton réseau d'entreprise, le sujet initial ou du moins ca y correspond ?) à un réseau distant en VPN qui contient un SME et serveur Windows (avec WINS). C'est facile, rapide... On ne parle pas de connecter 10000 gonzes en VPN et utiliser le serveur WINS du serveur Windows la !!!

Pour en revenir au sujet initial (moi aussi), pour écarter tout risque de mal entendu cette fois, as tu tapé dans la barre d'adresse de ton navigateur Internet préféré l'adresse https://nom_fqdn/server-manager depuis une machine du LAN ? Chez moi ca ne marche pas et sur les serveurs de mes clients (ou celui de mon entreprise) c'est la même chose. Je ne vois pas ou j'ai fait ce choix, je ne vois pas cette fonctionnalité possible dans le server-manager ni encore moins comment changer un tel comportement par défaut. Peux tu m'expliquer comment tu procèdes dans ce cas précis ?
Je n'y vois pas de problème technique pour ma part, mais la conscéquence d'un paramétrage logique, empéchant toute tentative d'intrusion de l'extérieur sur une application critique du système (imagine que l'on trouve une faille dans le server-manager !)

Pour te renvoyer l'ascenseur, comment me proposerai tu de définir 10000 hosts sur mon serveur SME ?
Je n'ose imaginer que tu me conseillerai de taper 10000 fois l'ajout dans le server-manager du host en question, parce que moi ca me va pas comme solution !
Sur ce sujet je crois que l'on pourrait être daccord !
Donc l'idéal ca serait que SME remonte l'enregistrement A comme étant le nom NETBIOS de la machine...
Si j'ai bien compris, le serveur DNS de SME n'est pas ouvert sur le WAN ?
Donc selon cette logique je ne vois pas pourquoi ne pas utiliser nom_machine.nom_domaine_fqdn pour se simplifier la vie plutot que de mettre un pc-xxx qui ne correspond à rien pour personne ?
Le cas du VPN n'entre pas dans le cas du WAN, puisqu'il créé un réseau privé virtuel... Pourquoi s'en priver à distance si tu utilises SME comme passerelle pour te connecter aux ressources de ton domaine Windows dans ton entreprise via le VPN intégré ?

Le problème étant plus un problème de philosophie plus que de technique, je te propose d'arreter de se prendre la tête sur WINS et de se concentrer sur le "pourquoi ?". Il faudrait (ca n'engage que moi) que SME renseigne par défaut le nom de machine plutot que pc-xxxx. Cela n'est utile à personne et je n'y vois aucune raison ni avantage... Utiliser le nom netbios comme enregistrement A serait non seulement innofensif en terme de performance ou de sécurité mais par contre cela simplifierai la gestion des noms pour les admins et au final pour l'utilisateur !
Personne ne patirai d'un tel paramétrage sur le template responsable de ce pc-xxx et les techniciens seraient heureux de pouvoir concentrer leurs efforts ailleurs que sur des "rien ne marche quand je suis à distance" ou "allo c'est quoi déja que je met dans le truc la ? L'IP ouais... C'est quoi une IP déja ? Ah ouais j'y comprend rien t'emmerdes pas..."
Un admin à mieux à faire : s'occuper par exemple de l'uniformisation des noms de machines... Un admin de base devrait savoir qu'il ne peut exister qu'un et un seul pc portant le même nom sur un réseau, par exemple... C'est valable pour netbios comme pour dns ! Alors pourquoi ne pas faire correspondre le nom netbios avec le nom DNS (DNS n'étant pas ouvert sur l'extérieur...). C'est ce que fait Microsoft pour ses réseaux, si une station Linux vient en faire parti, elle doit s'y adapter et non l'inverse... D'ou l'importance d'uniformiser les noms !
Du coté utilisateur (selon moi le plus important) c'est transparent au niveau de l'utilisation locale ou distante (du moment qu'ils sont en VPN). Du coup ca allège le travail "de fond" des admins... Que demande le peuple ? De ton coté, tu restes seul juge pour donner http://intranet ou http://intranet.tondomaine.com ou http://adresse_ip (ou même les 3) à tes utilisateurs.
Rien à voir avec la gestion d'un DNS externe, tout cela est interne et doit le rester ! Un peu de simplification SURTOUT sur des gros réseaux est de mise. Si tu utilises VPN, tu sais forcement que les 2 réseaux distant ne peuvent pas contenir 2 IP identiques... Cela ne devrait pas être très dur de ne pas mettre 2 noms de machines identiques si tu uniformises aussi les noms !