@bmeeks said in Allow outgoing traffic based on Active Directory group:

I would suggest setting up a pfSense instance in a virtual environment and experimenting with some of the options. Pretty easy to do in something like VMware or Proxmox (or even Hyper-V).

Yes, this is exactly my plan. I installed a 2.7.0 pfSense, a 2012 R2 DomainController, and two W10 virtual machines on my lab, just to test everything before touching the production environment.
Thanks, and best regards,
HeCSa.

Finalement, j'ai trouvé, mais ça n'a pas été sans mal !
J'ai été sur mon ADCS.
J'ai importé le certificat de mon autorité de certification : CA-WinServ161.
Je voulais l’éditer en texte pour faire un copier/coller et le balancer dans pfSense mais c'était crypté.
Alors je l'ai ouvert avec le certmgr.exe et l'ai exporté de nouveau sans les clefs (de toute façon je n’avais pas le choix)
Cette fois-ci quand je l'ai ouvert avec un éditeur de texte, je l'avais en clair. Je l'ai copié.
Retour sur pfSense dans l'AC, j'en créer une nouvelle, mais cette fois-ci une externe. Je colle le certificat de mon AC-WinServ161.
Je vais dans gestionnaire de certification pour en créer une version LDAPS avec la nouvelle autorité de certification externe.
Je valide, je teste ...
... et ça passe !!! Le pire, c’est que la réponse était dans les commentaires de la vidéo ...

@jgq85 I think that will work but it's always best to have Windows do your DNS and DHCP if your clients are using AD. Just use pfSense as a routing firewall and VPN remote site. Are you looking to move the existing building DC somewhere else? Otherwise I don't know why you wouldn't just connect the new building to the old one and the clients use the same old DC they always did with the least amount of disruption.