Devez-vous vraiment installer un VPN sur votre ordinateur ou votre smartphone?
Si vous téléchargez des films illégalement, si vous voulez surfer sur Internet de façon anonyme sans que le gouvernement, votre FAI ou votre employeur soit au courant ... OUI installer un VPN est définitivement une bonne idée.
Installer un VPN consiste à chiffrer toutes vos communications vers Internet. Ce n'est plus votre ordinateur qui est exposé sur Internet mais votre fournisseur de VPN.
Dans un environnement Active Directory constitué de plusieurs domaines, les administrateurs doivent parfois mettre en place des relations d’approbations entre les domaines afin d’autoriser l’accès à des ressources communes.
NLTEST, un outil en ligne de commande intégré à Windows Server, permet de vérifier l’état des canaux de communications entre les domaines et donc des relations d’approbations.
Voici quelques méthodes pour tester les relations d’approbations Active Directory :
1. Utiliser la commande NLTEST : Cette commande permet de tester une relation d’approbation entre deux domaines Active Directory et de lister tous les contrôleurs d’un domaine. Pour utiliser cette commande, il suffit d’ouvrir une invite de commande et de taper “nltest /domain_trusts” pour lister toutes les relations d’approbation entre les domaines, ou “nltest /sc_query:domain_name” pour tester une relation d’approbation entre deux domaines.
2. Vérifier la création de la relation d’approbation : Si une relation d’approbation a été créée entre deux domaines, il est possible de vérifier sa création en ouvrant la console Active Directory Domain and Trust, en cliquant avec le bouton droit sur le domaine 1 et en sélectionnant “Propriétés”. Dans l’onglet “Relations d’approbation”, il est possible de voir toutes les relations d’approbation créées pour ce domaine.
3. Tester l’accès aux ressources : Pour tester l’accès aux ressources entre deux domaines, il est possible de se connecter à un poste membre d’un domaine et d’ouvrir une session avec un utilisateur membre de l’autre domaine. Il est également possible de faire partie d’un groupe d’un domaine et de se connecter à un poste membre de l’autre domaine pour vérifier si l’accès aux ressources est autorisé.
Il est important de noter que les relations d’approbations peuvent être complexes et qu’il est recommandé de suivre les bonnes pratiques pour les configurer correctement. Il est également possible de rencontrer des erreurs de relation d’approbation, dans ce cas, il est recommandé de consulter les méthodes de dépannage disponibles en ligne.
Afficher les options de NLTEST
C:\>nltest /? Usage: nltest [/OPTIONS] /SERVER: - Specify /QUERY - Query netlogon service /REPL - Force partial sync on BDC /SYNC - Force full sync on BDC /PDC_REPL - Force UAS change message from PDC /SC_QUERY: - Query secure channel for on /SC_RESET:[\] - Reset secure channel for on to /SC_VERIFY: - Verify secure channel for on /SC_CHANGE_PWD: - Change a secure channel password for on /DCLIST: - Get list of DC's for /DCNAME: - Get the PDC name for /DSGETDC: - Call DsGetDcName /PDC /DS /DSP /GC /KDC /TIMESERV /GTIMESERV /NETBIOS /DNS /IP /FORCE /WRITABLE /AVOIDSELF /LDAPONLY /BACKG /SITE: /ACCOUNT: /RET_DNS /RET_NETBIOS /DNSGETDC: - Call DsGetDcOpen/Next/Close /PDC /GC /KDC /WRITABLE /LDAPONLY /FORCE /SITESPEC /DSGETFTI: - Call DsGetForestTrustInformation /UPDATE_TDO /DSGETSITE - Call DsGetSiteName /DSGETSITECOV - Call DsGetDcSiteCoverage /PARENTDOMAIN - Get the name of the parent domain of this machine /WHOWILL:* [] - See if will log on /FINDUSER: - See which trusted domain will log on /TRANSPORT_NOTIFY - Notify netlogon of new transport /DBFLAG: - New debug flag /USER: - Query User info on /TIME: - Convert NT GMT time to ascii /LOGON_QUERY - Query number of cumulative logon attempts /DOMAIN_TRUSTS - Query domain trusts on /PRIMARY /FOREST /DIRECT_OUT /DIRECT_IN /ALL_TRUSTS /V /DSREGDNS - Force registration of all DC-specific DNS records /DSDEREGDNS: - Deregister DC-specific DNS records for specified DC /DOM: /DOMGUID: /DSAGUID: /DSQUERYDNS - Query the status of the last update for all DC-specific DNS records /BDC_QUERY: - Query replication status of BDCs for /SIM_SYNC: - Simulate full sync replication /LIST_DELTAS: - display the content of given change log file /CDIGEST: /DOMAIN: - Get client digest /SDIGEST: /RID: - Get server digest /SHUTDOWN: [] - Shutdown for /SHUTDOWN_ABORT - Abort a system shutdown
Tester une relation d’approbation entre deux domaines Active Directory
Dans cet exemple nous allons vérifier les domaines approuvés par le domaine LABDOM.COM. Pour cela il suffit de lancer cette commande depuis une machine membre du domaine LABDOM.COM
C:\nltest /trusted_domains
List of domain trusts:
0: PRODDOM proddom.com (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
1: DEVDOM devdom.com (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
The command completed successfully
Lister tous les contrôleurs d’un domaine
Nous souhaitons lister tous les DC du domaine LABDOM
C:\nltest /dclist:labdom
List of DCs in Domain labdom
\\SRVLAB01 (PDC)
\\SRVLAB02
\\SRVLAB03
The command completed successfully
Afficher les canaux sécurisés entre 2 domaines
Soit SRVLAB01 membre du domaine LABDOM et SRVPROD01 membre du domaine PRODDOM. Nous voyons ici qu’un canal sécurisé est établit entre LABDOM et PRODDOM. De plus la requête révèle que ce canal est établit avec le serveur SRVPROD01. Si nous ne connaissions pas le nom d’un contrôleur de ce domaine, c’est maintenant chose faite.
C:\>nltest /server:SRVLAB01 /sc_query:PRODDOM Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name \\SRVPROD01 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully De la même manière un canal est établit entre SRVLAB02 et SRVPROD01. C:\>nltest /server:SRVLAB02 /sc_query:PRODDOM Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name \\SRVPROD01 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Afficher le canal sécurisé entre une station et un contrôleur de son domaine
Soit STATIONLABDOM01 membre du domaine LABDOM. Cet exemple nous montre qu’il existe un canal sécurisé entre la station et le contrôleur SRVLAB02.
C:\>nltest /server:STATIONLABDOM01 /sc_query:LABDOM Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name \\SRVLAB02 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Tester l’authentification d’un compte sur un contrôleur de domaine
Bernard est un compte membre du domaine PRODDOM. Nous allons vérifier qu’il est possible de s’authentifier avec ce compte depuis une station membre du domaine LABDOM.
C:\>nltest /whowill:PRODDOM bernard [14:23:12] Mail message 0 sent successfully (\MAILSLOT\NET\GETDC417) [14:23:12] Response 0: S:\\NET1 D:ESS A:bob (Act found) The command completed successfully
Cet exemple ne vous semble peut être pas probant. On a tendance à croire qu’une relation d’approbation permet à un compte de s’authentifier sur un autre domaine. Mais pas du tout ! Une relation d’approbation permet à un domaine de relayer une requête d’authentification vers un domaine approuvé ou approuvant. Dans notre exemple la requête a été envoyé depuis un autre domaine que le domaine de Bernard et ça a fonctionné !
Trouver à quel domaine un compte utilisateur appartient
Cet exemple permet de rechercher à quel domaine appartient un compte donné. Seul les domaines approuvés vont répondre bien évidement.
C:\>nltest /finduser:Bernard Domain Name: PRODDOM Trusted DC Name \\SRVPROD02 The command completed successfully
Bernard appartient donc au domaine PRODDOM !
Excellent article, de plus votre blog est très bien fait. Merci de nous partager tout ça !