Lier à un domaine via VPN

Parfois il est compliqué de lier un PC à un domaine à distance, à travers un VPN. Toutefois avec la bonne méthodologie, c'est totalement réalisable avec la bonne méthodologie.

Dans le cas présent, on va imaginer un serveur appelé SRVAD qui est contrôleur du domaine ad.corporate.com avec nom netbios CORPONET. Ce contrôleur de domaine aura l'IP 192.168.1.100.

Etape 1 : Fichier hosts

Lancez un editeur de text en privilège administrateur et éditer le fichier hosts dans le dossier C:\Windows\System32\drivers\etc. Ce fichier permet de forcer la résolution des noms. Le format est première colonne l'IP résolu, et les colonnes suivantes les noms à résoudre. Les colonnes sont séparés par des espaces. Par convention, la deuxième colonne est toujours le FQDN de la machine.

On rajoute donc notre contrôleur de domaine. La ligne est la suivante : 

192.168.1.100 srvad.ad.corporate.com srvad ad.corporate.com
Le domaine, ici ad.corporate.com doit aussi être résolu avec l'IP du contrôleur de domaine. On l'ajoute donc en quatrième colonne.

Etape 2 : Fichier lmhosts.sam

Lancez un editeur de text en privilège administrateur et éditer le fichier lmhosts.sam dans le dossier C:\Windows\System32\drivers\etc. Ce fichier permet de forcer la résolution des nom netbios. Son format est proche de celui du fichier host. Des paramètres supplémentaires peuvent être ajoutés avec des flags comme #DOM:<DOMAINE> pour spécifier un contrôleur de domaine.

Dans notre cas d'exemple, il faudra donc ajouter la ligne suivante : 

192.168.1.100 SRVAD #DOM:CORPONET
Le fichier étant spécifique à la résolution NetBIOS, il ne contient pas de domaine FQDN. On ne rempli que le nom NetBIOS de la machine et du domaine.

Etape 3 : Ajouter au domaine

Pour cette étape, vous devez être connecté au VPN.

Suivant la version de Windows, l'ajout au domaine peut différé. Un moyen simple d'accéder à la liaison au domaine est de faire Win + R et exécuter le programme SystemPropertiesAdvanced. Dans l'onglet « Nom de l'ordinateur », cliquez sur « Identité sur le réseau… ».

Nom du domaine, remplir le FQDN, autrement dit dans notre cas ad.corporate.com. Quand viendra l'utilisateur pour la connexion, utilisez le nom complet de l'administrateur du domaine. Par exemple CORPONET\Administrateur. Si vous mettez seulement le nom, la liaison au domaine peut échouer.

Une fois l'ordinateur lié au domaine, redémarrez.

Si jamais la liaison au domaine échoue, il se peut que les DNS configurés sur le VPN sont erronés. Vérifiez la configuration avec un ipconfig.

Etape 4 : Ajouter des utilisateurs en cache

Vous ne pourrez pas vous connecter immédiatement sur le poste une fois la liaison faite. Il faut ajouter l'utilisateur et faire une première connexion avec le domaine joignable. Pour ce faire, faites les étapes ci-dessous dans l'ordre :

  1. Se connecter au poste avec l'utilisateur local utilisé pour toutes les étapes précédentes.
  2. Se connecter au VPN.
  3. Faites Win + R puis lancez netplwiz. Ajouter ensuite l'utilisateur qui devra utiliser le poste, en administrateur ou utilisateur standard suivant la politique de sécurité de votre société.
  4. Toujours VPN connecté, changer d'utilisateur Windows. Attention, ne pas fermer la session, bien faire « Changer d'utilisateur ».
  5. Connectez-vous avec l'utilisateur AD. La connexion peut être longue mais devrait fonctionner.
  6. Fermez toutes les sessions utilisateurs (local et domaine) pour finir.

Une fois cette opération faite, la session utilisateur sera bien mise en cache et la connexion sera possible même VPN désactivé, au démarrage du poste.

Nettoyage

Une fois toutes les opérations effectuées et la connexion de l'utilisateur domaine possible sur le poste, les modifications réalisées dans le fichier hosts et lmhosts.sam peuvent être retirées. Il suffira de supprimer les lignes ajoutés lors des étapes 1 et 2.