Site, Forêt, Domaine : cas concret

Site, Forêt, Domaine : cas concret - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 08-07-2009 à 10:41:09    

Bonjour,
 
J'ai passé mes 3 derniers mois à implanter mon tout premier contrôleur de domaine windows 2003 dans mon service qui contient une 100aine de postes XP. J'ai appris à maitriser Active directory, les GPO, les quotas, les imprimantes réseau, ... bref une auto formation très enrichissante qui fonctionne très très bien à ce jour alors que je n'avais jamais touché à ce système.
 
Aujourd'hui j'ai une autre mission : implanter un autre contrôleur de domaine 2003 qui fera serveur de fichiers aussi dans le bâtiment de la bibliothèque qui se trouve à 50 mètres de mon service. Ce contrôleur de domaine gèrera 4 sites distincts correspondant aux 4 sites des bibliothèques du campus se situant chacun à environ 30 km les uns des autres.  
 
S'ouvre donc à moi tout une partie nouvelle vis à vis des notions de sites, de domaines, de forêt, de réplication, de catalogue global, ...
 
J'ai pas mal lu la documentation présente sur le site Technet et je pense avoir saisi comment faire mais je souhaiterais avant de me lancer, que vous me confirmiez ou pas mes choix qui sont encore ceux d'un débutant.
 
******************************************************
Pour que vous me compreniez bien, je vais établir la nomenclature suivante :
 
- Le bâtiment où je travaille je l'appellerai : CENTRAUX
- Le contrôleur du bâtiment CENTRAUX se nommera : DC1 (gère 100 utilisateurs)
- Le bâtiment de la bibliothèque qui stockera physiquement le contrôleur de domaine je l'appellerai : BIBLIO1
- Le contrôleur du bâtiment BIBLIO1 se nommera : DC2 (gèrera une 60aine d'utilisateurs)
- Les 3 autres sites qui s'identifieront auprès de   DC2 se nommeront : BIBLIO2, BIBLIO3 et BIBLIO4
 
*******************************************************
Voici mes souhaits :
 
- Je souhaiterais pouvoir gérer les objets de l'annuaire de DC2 à partir de DC1, c'est à dire si c'est possible voir les 2 arborescences de domaine à partir de DC1 et appliquer mes GPO pour le domaine BIBLIO tranquillement à partir de DC1 au lieu de devoir me déplacer physiquement jusque DC2.
 
- Je souhaiterais qu'en cas de panne du DC1, les utilisateurs de CENTRAUX puissent tout de même se logguer à leur domaine et que les GPO s'appliquent, et inversement en cas de panne du DC2.
 
*******************************************************
 
1° Choix du schéma global
 
Actuellement, le DC1 gère le domaine que j'ai appelé CENTRAUX ayant le nom DNS suivant CENTRAUX.UNIV-***.FR
 
J'avais l'intention de créer un second domaine que j'aurai appelé BIBLIO et qui aurait eu le nom DNS : BIBLIO.UNIV-***.FR et qui aurait regroupé les 4 sites BIBLIO1,2,3 et 4.
 
J'avais l'intention de créer ce second domaine dans la même forêt que CENTRAUX. Mais c'est là où j'ai besoin de vos lumières car quelles seront les différences en terme de possibilité si j'intègre DC2 dans le même forêt que DC1, ou si je crée 2 forêts distinctes, voire 1 forêt mais avec un domaine enfant.
 
 
 
2° Réplication
 
C'est une partie que je ne connais absolument pas. J'ai cru comprendre que cette réplication permettait  chacun des DC de conserver le catalogue global mais que contient exactement ce catalogue ? Les GPO, les Objets ? Donc s'il y a réplication, cela réalise mon deuxième souhait non ?
 
Voilà pour le moment, je vais attendre quelques avis avant d'aller plus loin. Merci de me justifier ou de me contredire quant à l'usage des termes sites, forêt, domaine dans le cas où j'aurai mal assimilé la philosophie microsoft.
 
Merci


Message édité par bart007 le 08-07-2009 à 10:49:18
Reply

Marsh Posté le 08-07-2009 à 10:41:09   

Reply

Marsh Posté le 08-07-2009 à 11:21:30    

Il vaut mieux s'interroger sur :
- Qui administre ?
- Quelles sont les frontière de sécurité ?
- Quel est la vitesse des liens ?
 
Perso je ferais une seule forêt, un seul domaine contenant les 2 DC. Un site pour le centraux, un site biblio qui contiendrait les subnets de tes 4 biblios (comme ça l'auth se fait d'abord sur le dc biblio et si pas dispo alors sur le dc centraux).
 
 
Un domaine est une frontière de réplication, d'administration, une forêt une frontière de sécurité.
 
 
Après puisque tu es une université, tu dois avoir un correspondant sur la liste suptech http://listes.recherche.gouv.fr/sympa/info/suptech qui est une ML de l'ensemble des universités/établissement publics de recherche qui s'aide. En plus de ces membres, des étudiants de l'INSA Lyon en collaboration avec MS est là pour faire du support et conseil sur les technos MS :) (AD, exchange, isa, ts, wsus etc etc)

Reply

Marsh Posté le 08-07-2009 à 11:44:10    

Merci pour ta réponse Je@nb
 
Pour répondre à tes questions :
 
- qui administre : moi dans l'immédiat mais qui sait s'il n'y aura pas un transfert de compétences à moyen terme un jour vers un membre de la BIBLIOTHEQUE. Ce qui veut dire que si un jour je délègue l'administration du DC2 à quelqu'un d'autre, il serait peut-être préférable de dissocier les 2 domaines ? Qu'en penses-tu ? Car sinon il verra l'arborescence de CENTRAUX ce qui ne sera pas forcément une bonne chose. Au pire, y a-t-il moyen que la réplication s'exécute entre les 2 Dc mais que la gestion de chaque arborescence soit distincte et bien séparé ?  
 
- quelles sont les frontières de sécurité ? je ne comprends pas le sens de ta question peux-tu m'expliquer ?
 
- Pour la vitesse des liens, je vais me renseigner mais entre les bâtiments qui stockeront les DC, c'est une liaison rapide fibre optique, de même je pense entre les différents sites.
 
Donc pour toi, 1 domaine et 1 forêt cela permettrait la réplication des annuaires entre les 2 DC ainsi qu'une gestion commune à partir de l'un ou l'autre des DC.
 
Bon tu vois, je pensais que la réplication était possible entre 2 DC même s'ils faisaient partis de 2 domaines différents. Par contre pour la forêt et la notion de frontière de sécurité j'ai du mal à saisir la notion et les répercussions.
 
Merci pour le lien, je n'avais pas connaissance de cette Mailing list.


Message édité par bart007 le 08-07-2009 à 11:52:25
Reply

Marsh Posté le 08-07-2009 à 12:02:22    

- Tu peux déléguer l'administration sur une OU particulière sans pour autant donner les droits sur tout le domaine. L'idée étant de faire une OU pour le central et une OU pour la biblio.
 
Il ne faut pas penser en tant que serveur mais en tant que domaine. Quand tu administres un domaine, tu administres le domaine, peut importe le serveur.
 
- Les docs MS expliqueraient mieux que moi la notion de frontière de sécurité mais typiquement ça veut dire qu'il n'y a aucun trust entre les 2 forêts, que si tu en mets un tu peux le filtrer, que les administrateurs de l'entreprise sont séparés (un EA a des droits en plus/différents que les DA)

Reply

Marsh Posté le 08-07-2009 à 13:42:49    

Donc à l'installation d'active directory du DC2, tu me recommandes de choisir donc :
 
contrôleur de domaine pour un domaine existant puis à l'écran suivant, arborescence de domaine dans une forêt existante ?
 
Quel est l'intérêt de l'autre option "domaine enfant dans une arborescence de domaine existante" qu'est-ce que je pourrais faire de plus ou de moins ?
 
Si je résume ta pensée, faire un seul et même domaine facilite l'administration des 2 DC pour l'administrateur.
 
Mais dans quel cas aurait été-t-il préférable que je crée un nouveau domaine pour BIBLIO ?? car techniquement je peux le faire c'est pas çà qui empêchera les utilisateurs de BIBLIO de s'identifier sur le DC2, c'est juste que DC1 ne se répliquera pas sur DC2 c'est bien çà ? et qu'en cas de défaillance de l'un, l'autre ne prendra pas le relais ?
 
Dernière question : il faudrait que dans l'absolu, les utilisateurs de BIBLIO ne puissent voir les ressources (dossiers partagés, imprimantes, ....) de DC1, mais si DC1 et DC2 sont dans le même domaine, DC1 fera office de catalogue global (je suppose c'est une autre notion que je ne maitrise pas correctement) et donc les utilisateurs du domaine BIBLIO pourraient théoriquement voir à partir d'active directory et connecter une imprimante ne faisant pas partie de leur bâtiment (domaine).


Message édité par bart007 le 08-07-2009 à 13:52:21
Reply

Marsh Posté le 08-07-2009 à 13:59:26    

Oui tu fais ajout d'un contrôleur à un domaine existant.
 
L'option domaine enfant c'est si tu veux créer un sous domaine à ton domaine existant (par exemple us.domain.com et emea.domain.com enfant du domaine domain.com). Tu peux faire quoi de différent ? Administration séparé (droits domaines admins), séparation des ressources, frontière de réplication (us ne réplique pas tout avec emea donc moins de traffic), gpo de domaines différentes (stratégies de mot de passe différents en 2003 par exemple) etc. En moins bah c'est ce que tu dis, les utilisateurs d'un domaine X peuvent pas s'auth sur un DC d'un domaine Y.
 
Tu aurais créé un autre domaine pour biblio si :
- les administrateurs du domaine doivent être différent
- la stratégie des mdp doit être différents (plus valable sous un AD 2008)
- la réplication ne doit pas se faire entre les DC
 
 
Après dans les best practice c'est d'avoir au minimum 2 DC par domaine donc si tu peux en avoir un centraux et un biblio c pas mal. Dans AD il y a pas de "défaillance de l'un, l'autre prend le relai", c'est du partage de charge pur et simple. Tu peux juste mettre une "priorité" pour dire que certains subnet sont membre de tel ou tel site et que se serait mieux qu'ils interrogent le dc local en premier :d.

Reply

Marsh Posté le 08-07-2009 à 14:22:42    

OK d'accord.
 
Si je venais à déléguer l'administration du serveur à un employé de BIBLIo, de quel groupe devrait-il faire partie afin qu'il puisse gérer uniquement les postes de biblio sans pouvoir accéder ni modifier tout ce qui a trait au domaine centraux ?
 
Un grand merci à toit Je@nb pour tes explication didactiques et précises. Je vais m'atteler à présent à cette tâche et je reviendrai vraisemblablement d'ici quelques jours dans le forum afin de te faire savoir la progression de cette installation.
 
Merci encore et bonne fin d'après-midi


Message édité par bart007 le 08-07-2009 à 14:23:21
Reply

Marsh Posté le 08-07-2009 à 14:28:07    

Tu crées un groupe  et tu fais bouton droit sur l'OU, déléguer le contrôle. Après tu peux faire ça plus finement dans les onglets de sécurité

Reply

Marsh Posté le 10-07-2009 à 12:23:16    

En potassant encore la doc et tes réponses Je@nb, je me pose encore quelques questions dont celle là :
 
Quelle différence entre mettre mon DC2 en tant que second domaine (BIBLIO) bien distinct ou le mettre en tant que domaine enfant du domaine CENTRAUX.
 
Que permet de faire l'une ou l'autre de ces options de configuration ?
 
Dans quel cas précis utilise-t-on plus l'un que l'autre ?
 
Merci


Message édité par bart007 le 10-07-2009 à 13:33:10
Reply

Marsh Posté le 10-07-2009 à 14:20:12    

C un peu ce que j'ai mis au dessus hein :d

Reply

Marsh Posté le 10-07-2009 à 14:20:12   

Reply

Marsh Posté le 10-07-2009 à 15:10:40    

Je me suis sans doute mal exprimé, ma question est quelle est la différence entre (lors de l'installation) :
 
Contrôleur de domaine pour un nouveau domaine => Domaine enfant dans une arborescence de domaine existant.
 
et  
 
Contrôleur de domaine pour un nouveau domaine => Arborescence de domaine dans une forêt existante.
 
Y a-t-il des répercussions sur les droits, accès aux ressource, GPO qui sont différentes l'une de l'autre ? si oui quelles sont-elles ?
 
Tu m'as dit que faire un domaine enfant (choix n°2 lors de l'install) çà permettait de :
 
- Administration séparé (droits domaines admins)
- Séparation des ressources
- Frontière de réplication  
- Gpo de domaines différentes (stratégies de mot de passe différents en 2003 par exemple)  
- Et que es utilisateurs d'un domaine X peuvent pas s'auth sur un DC d'un domaine Y.  
 
Mais qu'est-ce que çà apporte de faire une arborescence de domaine (choix N°3 lors de l'install) ?
 
Merci et désolé si je me fais mal comprendre.

Reply

Marsh Posté le 10-07-2009 à 15:26:45    

C'est pareil sauf que tu as un autre namespace DNS. Peut être utile dans certaines boites ayant plusieurs "marques" par exemple.
MS montre souvent l'exemple microsoft.com et msn.com. 2 domaines dans la même forêts (donc même schéma, même permissions entreprise mais 2 domaines différents avec un espace de nom différent)

 


edit : Tu dois pouvoir trouver des infos sur le design AD dans technet, dans les bouquins de prep à la certif 70-294 (me semble) ou 70-640 (win 2008)


Message édité par Je@nb le 10-07-2009 à 15:27:23
Reply

Marsh Posté le 15-07-2009 à 13:31:47    

J'ai besoin d'aide Je@nb !
 
J'ai installé mon windows 2003 sur mon DC2 j'ai voulu tout de suite installer active directory ( à l'aide de dcpromo) afin d'ajouter DC2 comme nouveau contrôleur de domaine d'un domaine existant (CENTRAUX en l'occurence) comme tu m'avais conseillé.
 
Windows me demande alors un login, un mot de passe et un domaine.
 
Je lui mets donc le login et mot de passe de l'administrateur du domaine du DC1 ainsi que le domaine CENTRAUX mais il refuse et me dit qu'il n'arrive pas à contacter le domaine.
 
A quoi cela peut-il être du ?
 
Les serveurs sont sur 2 deux sous réseaux différents mais j'arrive à pinger les serveurs entre eux.
 
Quelle config dns dois-je mettre sur le DC2 ?  
Quels sont les ports spécifiques devant être ouverts sur les routeurs afin de permettre une bonne communication entre deux DC ?  
 
Merci

Reply

Marsh Posté le 15-07-2009 à 14:58:14    

Met comme DNS le DC1 installe AD, puis installe le DNS attends que ça réplique un coup, met comme DNS le DC2 et DC1 en secondaire.
 
Pur les ports, ne me dis pas que tu fais du NAT :/

Reply

Marsh Posté le 15-07-2009 à 15:26:29    

Salut Je@nb,
 
Je suis actuellement devant le DC2 à la bibliothèque et malgré tes instructionsj, DC2 ne parvient pas à joindre le domaine centraux.univ-****.fr
 
J'ai mis l'adresse ip du DC1 dans les propriétés réseau TCP/IP, en tant que DNS principal.
 
Je lance un DCPROMO pour installer active directory, je lui dis que je souhaite installer ce serveru en tant que contrôleur de domaine pour un domaine existant,
 
Il me demande un nom d'utilisateur, un mot de passe et un domaine,  
 
je lui indique un login et un mot de passe d'un compte administrateur de DC2 (j'ai même essayé un compte de DC1), et je mets centraux.univ-***.fr comme domaine mais après quelques secondes de réflexion, il me dit que "un contrôleur de domaine active directory pour le domaine centraux.univ-***.fr n'a pas pu être trouvé - vérifiez la saisie du nom de domaine"
 
J'ai même essayé de taper directement l'adresse ip du DC1 mais sans plus de succès.
 
Sinon à priori pas de NAT en vue, chacun des DC possèdent une adresse IP publique.

Reply

Marsh Posté le 15-07-2009 à 15:43:59    

fais depuis DC2 un :
 
nslookup -type=SRV _ldap._tcp.pdc.centraux.univ-....fr
 
Si ça résoud c'est autre chose.

Reply

Marsh Posté le 15-07-2009 à 16:00:24    

çà résout pas : "impossible de trouver _ldap._tcp.pdc.centraux.univ-....fr : Non existent domain
 
(toujours en ayant l'adresse ip du DC1 comme DNS préféré sur le DC2)


Message édité par bart007 le 15-07-2009 à 16:01:10
Reply

Marsh Posté le 15-07-2009 à 16:37:11    

Il est en forme ton AD sur DC1 ? :D

Reply

Marsh Posté le 15-07-2009 à 16:55:42    

bah oui écoute çà roule lol !  
 
Si tu vois pas d'où çà peut provenir tant pis, je créerai un nouveau domaine et une nouvelle forêt pour DC2.  
 
J'avoue être gené de te harceler de questions mais il y a des cas précis qui parfois ne trouve pas de solutions dans les docs sur le net, si on suivait les docs selon microsoft tout va pour le mieux dans le meilleur des mondes !
 
Il me manque un certain nombre de notions pour appréhender l'active directory dans son ensemble alors je glane des infos au coup par coup sur le forum grâce à de bonnes âmes patientes comme toi, mais n'ayant pas la possibilité prochainement de suivre une formation avancé sur windows server faut que je me débrouille.
 
Sinon pour toi, rejoindre un domaine même si les DC sont dans des sous réseaux différents ne posent pas de prob particuliers ?  
 
Penses-tu qu'il y a une manip à faire sur DC1 ? Sur la console DNS du DC1, je n'ai configuré que les redirecteurs afin que les clients interrogeant le DC1 pour une requête internet, puisse obtenir une réponse. Il y a peut-être autre chose à paramétrer ???


Message édité par bart007 le 15-07-2009 à 16:57:57
Reply

Marsh Posté le 15-07-2009 à 17:38:08    

Depuis DC2, tu arrives à pinguer le DC1
As-tu des Vlan?


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
Reply

Marsh Posté le 15-07-2009 à 19:21:05    

Essaie de joindre DC2 au domaine comme un poste client

Reply

Marsh Posté le 15-07-2009 à 20:27:00    

Je me permet d'intervenir.
A tester :  
  - Renseigner le fichier host sur les 2 DC
  - ipconfig /flushdns sur les 2 toujours
  - est-ce que DC2 accede à \\nomdedomaine.com
  - integration dans le domaine ?
  - quels sont les event dans application ou système?


---------------
Galerie photo : http://sebouvard.free.fr
Reply

Marsh Posté le 15-07-2009 à 20:35:16    

euh mauvaise idée le fichier hosts, c'est le DNS qui doit être bien configuré.

 

bart007 : fait un dcdiag sur DC1 (dans les support tools) pour vérifier que ton domaine est ok. et tu peux tenter le nslookup précédent sur le dc ?

Message cité 1 fois
Message édité par Je@nb le 15-07-2009 à 20:35:34
Reply

Marsh Posté le 16-07-2009 à 00:06:05    

2 sites, t'aurais pas du filtrage entre les deux ? le firewall d'activer sur ton DC ?
+1 pour la mauvaise idée du fichier host
Il faut que ton DNS soit sain et eviter les bidouilles du genre pour un AD

 

et
Afin de prevenir un futur problème
L'OS sur ton nouveau serveur c'est du 2003 simple ou 2003 R2
Si c'est du R2 faudra penser a faire un adprep /forestprep adprep /domainprep avec ton CD R2


Message édité par woo le 16-07-2009 à 00:08:49

---------------
The name isn't Logan, bub...it's Wolverine.
Reply

Marsh Posté le 16-07-2009 à 06:58:06    

Je@nb a écrit :

euh mauvaise idée le fichier hosts, c'est le DNS qui doit être bien configuré.
 
bart007 : fait un dcdiag sur DC1 (dans les support tools) pour vérifier que ton domaine est ok. et tu peux tenter le nslookup précédent sur le dc ?


 
 
Oui mauvaise idée, mais c'est le moyen le plus rapide et le plus simple de mettre en évidence un problème DNS et de le résoudre localement (cela y ressemble beaucoup). Si cela résoud le problème, il n'y aura plus qu'à  résoudre le problème DNS (cache ou autre).

Reply

Marsh Posté le 16-07-2009 à 09:40:40    

Bonjour à tous,
 
Merci d'avoir réfléchi à mon problème et d'avoir participé à cette conversation.
 
Donc ce matin, j'ai commencé par effectuer les manips sur le DC1 du domaine CENTRAUX (je rappelle que DC1 est le serveur qui est en production depuos 2 mois et qui tourne "bien" ) puisque je suis sur place.
 
- Pour info c'est un windows 2003 R2
 
- le nslookup -type=SRV _ldap._tcp.pdc.centraux.univ-***.fr ne donne rien => non existent domain qu'il me dit
 
- pour le dcdiag il réussit parfaitement le test apparement.
 
Voici tout de même les résultats :
 
 
Domain Controller Diagnosis
 
Performing initial setup:
   Done gathering initial info.
 
Doing initial required tests
   
   Testing server: Premier-Site-par-defaut\BUREAUTIQUE
      Starting test: Connectivity
         ......................... BUREAUTIQUE passed test Connectivity
 
Doing primary tests
   
   Testing server: Premier-Site-par-defaut\BUREAUTIQUE
      Starting test: Replications
         ......................... BUREAUTIQUE passed test Replications
      Starting test: NCSecDesc
         ......................... BUREAUTIQUE passed test NCSecDesc
      Starting test: NetLogons
         ......................... BUREAUTIQUE passed test NetLogons
      Starting test: Advertising
         ......................... BUREAUTIQUE passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... BUREAUTIQUE passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... BUREAUTIQUE passed test RidManager
      Starting test: MachineAccount
         ......................... BUREAUTIQUE passed test MachineAccount
      Starting test: Services
         ......................... BUREAUTIQUE passed test Services
      Starting test: ObjectsReplicated
         ......................... BUREAUTIQUE passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... BUREAUTIQUE passed test frssysvol
      Starting test: frsevent
         ......................... BUREAUTIQUE passed test frsevent
      Starting test: kccevent
         ......................... BUREAUTIQUE passed test kccevent
      Starting test: systemlog
         ......................... BUREAUTIQUE passed test systemlog
      Starting test: VerifyReferences
         ......................... BUREAUTIQUE passed test VerifyReferences
   
   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
   
   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
   
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
   
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
   
   Running partition tests on : centraux
      Starting test: CrossRefValidation
         ......................... centraux passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... centraux passed test CheckSDRefDom
   
   Running enterprise tests on : centraux.univ-****.fr
      Starting test: Intersite
         ......................... centraux.univ-littoral.fr passed test Intersite
      Starting test: FsmoCheck
         ......................... centraux.univ-littoral.fr passed test FsmoCheck
 
 
J'attends quelques minutes vos réactions si vous lisez ce post d'ici là bien entendu avant d'aller dans l'autre bâtiment faire les tests sur le DC2
 
Merci


Message édité par bart007 le 16-07-2009 à 09:51:03
Reply

Marsh Posté le 16-07-2009 à 10:03:15    

J'affiche aussi le résultat de la commande ipconfig /displaydns sur le DC1  
 
Configuration IP de Windows
 
 
 
         1.0.0.127.in-addr.arpa
 
  ----------------------------------------
 
         Nom d'enregistrement. : 1.0.0.127.in-addr.arpa.
 
         Type d'enregistrement : 12
 
         Durée de vie  . . . . : 0
 
         Longueur de données . : 4
 
         Section . . . . . . . : Réponse
 
         Enregistrement PTR. . : localhost
 
 
 
 
 
         _ldap._tcp.dc.centraux.univ-*****.fr
 
         ----------------------------------------
 
         Le nom n'existe pas.
 
 
 
 
 
         localhost
 
  ----------------------------------------
 
         Nom d'enregistrement. : localhost
 
         Type d'enregistrement : 1
 
         Durée de vie  . . . . : 0
 
         Longueur de données . : 4
 
         Section . . . . . . . : Réponse
 
         Enregistrement (hôte) : 127.0.0.1


Message édité par bart007 le 16-07-2009 à 10:03:34
Reply

Marsh Posté le 16-07-2009 à 10:09:13    

Le DC1 utilise bien son IP en DNS ?
 
Sinon me suis planté dans le nslookup à faire :D c'est  
nslookup -type=SRV _ldap._tcp.pdc._msdcs.centraux.univ-....fr  (oublié le _msdcs :D et toi tu as mis dc au lieu de pdc là sur le dernier nslookup

Reply

Marsh Posté le 16-07-2009 à 10:18:07    

Oui le DC1 utilise bien sa propre adresse IP dans son DNS principal,
 
Voici le résultat de la bonne commande nslookup sur DC1
 
Serveur :  UnKnown
Address:  193.49.*.*
 
_ldap._tcp.pdc._msdcs.centraux.univ-***.fr SRV service location:
   priority       = 0
   weight         = 100
   port           = 389
   svr hostname   = bureautique.centraux.univ-***.fr
bureautique.centraux.univ-***.fr internet address = 193.49.*.*

Reply

Marsh Posté le 16-07-2009 à 10:19:22    

ok et depuis le DC2 ?

Reply

Marsh Posté le 16-07-2009 à 10:27:52    

J'y vais de ce pas lol merci à tout de suite

Reply

Marsh Posté le 16-07-2009 à 10:37:06    

Active le bureau à distance, t'auras moins souvent besoin de bouger d'un bâtiment à l'autre.

Reply

Marsh Posté le 16-07-2009 à 10:50:21    

Alors sur le DC2, je rappelle que c'est un windows 2003 r2 fraichement installé.
 
Active directory et le serveur DNS ne sont pas installés vu que je ne parviens pas à joindre le domaine CENTRAUX.
 
Dans les propriétés de la connexion au réseau local de DC2, l'adresse ip du DNS principal est celle du serveur DNS commun à tous les sites de l'université (adresse ip : 195.220.*.*). Je dois forcément mettre celle-ci en attendant afin de pouvoir avoir le net sur le DC2 le temps de résoudre le problème.
 
Lorsque j'essaye de joindre DC2 au domaine comme une simple machine cliente, même erreur : "un contrôleur de domaine pour le domaine centraux.univ-***.fr n'a pas pu être contacté"
 
- DC2 n'accède pas à DC1 en faisant \\centraux.univ-***.fr dans le menu exécuter
 
- La commande nslookup affiche
 
Serveur : ambre.univ-***.fr
Adress : 195.220.*.*
 
*** ambre.univ-***.fr ne parvient pas à trouver _ldap._tcp.pdc._msdcs.centraux.univ-***.fr : Non-existent domain

Reply

Marsh Posté le 16-07-2009 à 10:53:24    

Ah bah oui mais c sûr que ça va pas marcher.
Soit tu fais une délégation DNS au niveau de univ....fr pour que la zone centraux soit délégué au DC1 soit tu utilises DC1 comme serveur DNS

Reply

Marsh Posté le 16-07-2009 à 10:57:41    

Désolé mais je ne saisis pas tout Je@nb,
 
Peux-tu m'expliquer pourquoi çà ne fonctionne pas et ce que je dois faire exactement sur chaque machine ?
 
Même en mettant l'adresse IP de DC1 (en tant que DNS primaire) dans les propriétés IP de la connexion réseau local de DC2, j'obtiens à la commande nslookup :
 
- serveur : unknown
- adress : 193.49.*.*
 
DNS request times out

Message cité 1 fois
Message édité par bart007 le 16-07-2009 à 11:02:44
Reply

Marsh Posté le 16-07-2009 à 11:01:00    

Comment ton serveur ambre peut connaitre ton domaine ?

Reply

Marsh Posté le 16-07-2009 à 11:06:02    

Vu que je vais sur internet à partir de DC1 grâce aux redirecteurs pointant vers le serveur ambre.univ-***.fr (195.220.*.*), je pensais que le serveur DNS aurait inscrit mon DC1 dans sa table automatiquement et qu'à partir de là DC2 aurait trouvé DC1.
 
Il faut saisir une entrée sur le serveur DNS ambre parce que çà je n'y ai pas accès.


Message édité par bart007 le 16-07-2009 à 11:07:23
Reply

Marsh Posté le 16-07-2009 à 11:38:58    

Configure l'option DNS de ton DC2 comme tu configures les postes clients, tu peux rajouter l'autre serveur DNS en serveur secondaire, ça ne mange pas de pain s' il n' arrive à résoudre un truc sur l' un il va attaquer l'autre.
Active Directory utilise DNS, et les noms à rallonge créés automatiquement à l'install du DNS...


Message édité par tuxerman12 le 16-07-2009 à 11:45:22
Reply

Marsh Posté le 16-07-2009 à 11:42:40    

Ca ne change rien au schmilblick, même avec l'ip du DC1 en dns primaire et l'dresse ip du serveur DNS ambre en secondaire, rien ne change.

Reply

Marsh Posté le 16-07-2009 à 11:44:40    

Tu arrives à faire communiquer DC1 et DC2 ?
Je ne comprends déjà pas que tu bouges d'un site à l'autre alors que tu peux administrer le tout à distance.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed