> Tech > Attention aux données figées

Attention aux données figées

Tech - Par iTPro - Publié le 24 juin 2010
email

Comme ces DC de reprise ne se répliqueront que selon un calendrier différé, il faut prendre les mesures nécessaires pour empêcher que ces DC ne servent l’authentification des utilisateurs ou la consultation des répertoires. Comme la réplication sera en retard de plusieurs jours, il faut considérer les données sur les

DC de reprise comme figées. Un attribut de numéro de téléphone changé sur un objet utilisateur d’un DC de production, par exemple, ne changera sur le DC de reprise qu’au moment de la réplication. Pour empêcher les consultations de l’authentification utilisateur et des répertoires, vous pouvez appliquer un paramètre de stratégies de groupe spécial aux sites d’AD qui hébergent les DC de reprise. Ce paramètre de stratégies de groupe cache essentiellement le DC du reste de l’environnement et ne permet la réplication qu’avec des DC partenaires. Le GPO (Group Policy Object) DC Locator DNS Records not registered by the DCs basé sur site, que montre la figure 3, empêche les DC à réplication différée d’enregistrer le SRV et les autres enregistrements DNS. Vous trouverez ce GPO dans GPE (Group Policy Editor) sous \administrative templates\system\netlogon\ DC Locator DNS Records.

L’objectif est de permettre l’enregistrement du seul enregistrement Cname GUID dans DNS, en même temps que l’enregistrement A pour le nom du noeud DC (parce que le GUID Dname pointe vers cet enregistrement A). Il est important de ne pas laisser Netlogon inscrire d’autres enregistrements DNS, y compris l’enregistrement domaine A, aucun enregistrement SRV, et l’enregistrement A GC (Global Catalog). Chaque classification d’enregistrement est représentée par un mnémonique pour faciliter l’application de la politique. Pour chaque type d’enregistrement que vous ne voulez pas enregistrer dans DNS, vous devez entrer ce mnémonique dans une liste délimitée par des espaces dans les stratégies de groupe. DsaCname est le seul mnémonique qui devrait manquer de la liste des mnémoniques délimités par des espaces qui doit être entré dans les stratégies de groupe.

Le tableau 1 montre la liste complète des mnémoniques pour la politique de groupe. Si vous gérez une forêt Win2K, il vous faudra entrer manuellement ces paramètres dans le registre de chaque DC à réplication différée, comme le décrit l’article « How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client’s Site » (http://support. microsoft.com/?kbid=306602).

Il est également important d’empêcher ces DC de s’enregistrer dans WINS, dans lequel les clients de niveau inférieur pourraient tenter de résoudre l’enregistrement IC pour trouver un DC approprié dans le domaine. Chaque DC dans le domaine inscrit un enregistrement IC dans WINS. Cet enregistrement associe un nom de domaine à une adresse IP, permettant aux systèmes client de trouver un DC approprié d’après le nom du domaine. Pour empêcher l’inscription de l’enregistrement IC, ne spécifiez pas de résolveurs WINS dans la configuration IP.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro - Publié le 24 juin 2010