[W2003] DC & Vlans (et dns)

DC & Vlans (et dns) [W2003] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 15-07-2010 à 16:13:41    

Bonjour,
 
En l'état actuel des choses, j'ai un serveur windows 2003 qui est contrôleur de domaine, et des postes sous windows (windows 2000 et xp) membre de ce domaine, qui sont tous dans le même vlan.
 
Mon objectif : avoir le serveur dans un vlan, et les postes dans des vlans différents.
 
Mon problème : que faire pour que les postes puissent "trouver" le DC en étant dans un segment réseau différent ?
 
J'ai à des fins de test, pris une machine cliente sous xp et l'ai mis dans un Vlan différent.
(Pour information : oui j'ai du routage entre mes différents vlan  ;) )
J'ai fait une capture ethernet pour essayer de comprendre la chose, et je constate que le poste recherche le contrôleur de domaine en broadcastant dans le sous réseau via le protocole NetBios Name Service une requête avec le nom du domaine.
Le souci bien évidemment, c'est que le broadcast n'atteint pas le serveur, le but des vlan étant de segmenter le broadcast...
 
J'ai tenter de rechercher sur le net des informations sur le sujet, mais j'ai bizarrement du mal à trouver des réponses à ma question.
 
Donc je suis quasi sûr qu'il est possible de faire ce que je veux, mais je ne sais pas comment  :pt1cable:  
 
Merci d'avance si quelqu'un à une réponse ou piste  :ange:


Message édité par Djeng0 le 19-07-2010 à 17:01:50
Reply

Marsh Posté le 15-07-2010 à 16:13:41   

Reply

Marsh Posté le 15-07-2010 à 16:28:47    

Avec un ip-helper on peut propager le broadcast netbios mais c'est vraiment pas propre.
 
Ta question est très intéressante et je me la suis souvent posée. Normalement le Netbios n'est quasiment plus utilisé, surtout si l'on a un domaine. Pourtant j'ai souvent entendu parler de ces problématiques netbios, comme par exemple l'election d'un master browser y compris quand il y a un wins sur le réseau (!!!).
 
Braif je vais lire la suite du thread en esperant voir qlq un de compétent venir nous eclairer.


---------------
Jujudu44
Reply

Marsh Posté le 15-07-2010 à 16:32:32    

Sur un domaine le DC est trouvé avec DNS plutot non ?

Reply

Marsh Posté le 15-07-2010 à 17:21:53    

@jujudu44 : pourtant le poste utilise netbios pour tenter de retrouver le DC, je vais essayer de voir pour désactiver peut-être netbios sur le poste client.
 
@supernina : à vrai dire, je n'ai pas étudier cette facette d'active directory, mais c'est peut-être au niveau du poste client comme dit dans le début de mon message qu'il faut que je désactive netbios...
 
Quelques petits supplément : le dns récupéré via dhcp n'est pas celui du même domaine, mais il peut résoudre les noms de mon domaine si on lui rajoute bien le suffixe.
 
A l'ouverture de session j'ai le message d'erreur qui me dit que le domaine n'a pas été trouvé.
 
Je me rend compte que j'effectue ma capture via un switch, donc effectivement je n'ai pas les échanges autres que les broadcast, je vais voir si je peux avoir un hub...

Reply

Marsh Posté le 15-07-2010 à 19:18:34    

je ne pense pas que netbios soit indispensable. S'il est activé sur le client, je suppose qu'il est prioritaire (MS Oblige) mais s'il ne l'est pas, une simple requete dns indique au client qui est DC... ce ne sont que des suppositions mais cela me semblerait logique.
Est ce que tu vois ton DC dans le voisinage réseau de ton client ? Car là aussi, il me semble que cela passe par Netbios uniquement et que du coup ca ne passe pas les vlans.

Reply

Marsh Posté le 15-07-2010 à 19:29:32    

Je n'ai pas eu le temps cet après midi de faire des test, mais l'ouverture de session ne s'effectue pas (avec un compte qui n'est pas présent dans l'historique de connexion) vu que le DC est introuvable.
J'essaye demain de désactiver le netbios sur le client...

Reply

Marsh Posté le 15-07-2010 à 21:28:24    

domaine windows = DNS donc si ton DNS est bien configuré ça marche.
 
Si ça marche pas, ça veut dire que ton DNS est en bois :o

Reply

Marsh Posté le 16-07-2010 à 17:03:39    

J'ai réussi à capturer tout le trafic du poste (bricoler un pont avec une carte réseau 10Mbps, personne n'a de hub  :lol: )
 
Effectivement, le problème se situe au niveau des dns, le serveur dns du dhcp utilise comme résolveur de mon domaine ad un serveur dns dans ma boîte qui n'est pas un dc, d'ailleurs je vous avoue que je ne sais pas à quoi il sert ce dns ni pourquoi il a été utiliser là...
 
Donc lorsque le poste faisait une requête dns de type "_ldap._tcp.dc_msdcs.ledomaine.com", le poste au lieu de recevoir la liste des dc reçoit un no such name ... en forçant dans la config ip du poste un serveur dns de l'ad, effectivement cela marche bien :)
 
J'ai aussi identifié un autre point, dans les sites et services ad, le sous réseau correspondant aux vlan n'existe pas.
J'ai vu qu'il permet de définir dans quel site se trouve le sous réseau.
Mais en pratique ça sert à quoi ? Du genre obtenir un contrôleur de domaine du même site ? (bah tiens, je vais faire le test en me mettant dans le sous réseau du dc...)
 
(ps : oui je n'ai pas effectuer les modifications que j'aborde, il faut que j'ai l'avale d'une autre personne  :( )

Message cité 1 fois
Message édité par Djeng0 le 16-07-2010 à 17:04:41
Reply

Marsh Posté le 16-07-2010 à 19:16:54    

Djeng0 a écrit :

J'ai réussi à capturer tout le trafic du poste (bricoler un pont avec une carte réseau 10Mbps, personne n'a de hub  :lol: )
 
Effectivement, le problème se situe au niveau des dns, le serveur dns du dhcp utilise comme résolveur de mon domaine ad un serveur dns dans ma boîte qui n'est pas un dc, d'ailleurs je vous avoue que je ne sais pas à quoi il sert ce dns ni pourquoi il a été utiliser là...
 
Donc lorsque le poste faisait une requête dns de type "_ldap._tcp.dc_msdcs.ledomaine.com", le poste au lieu de recevoir la liste des dc reçoit un no such name ... en forçant dans la config ip du poste un serveur dns de l'ad, effectivement cela marche bien :)
 
J'ai aussi identifié un autre point, dans les sites et services ad, le sous réseau correspondant aux vlan n'existe pas.
J'ai vu qu'il permet de définir dans quel site se trouve le sous réseau.
Mais en pratique ça sert à quoi ? Du genre obtenir un contrôleur de domaine du même site ? (bah tiens, je vais faire le test en me mettant dans le sous réseau du dc...)
 
(ps : oui je n'ai pas effectuer les modifications que j'aborde, il faut que j'ai l'avale d'une autre personne  :( )


 
 
Exactement, ca sert dans les grosses architectures avec plusieurs sites pour entre autre définir un DC préféré par site.

Reply

Marsh Posté le 19-07-2010 à 17:00:35    

Ok :)

 

Bon pour ce qui est du redirecteur je vais pouvoir le faire modifier...

 

Par contre il y a l'onglet "Serveurs de noms" dans les propriétés d'un nom de domaine dans la zone de recherche directe que je sais pas à quoi ça correspond :

 

http://hfr-rehost.net/images.camarades-pc.fr/N0162324001279554959.jpg

 

Donc à quoi sert cet onglet ?
(Et question pour laquelle j'ai besoin de savoir la réponse de la précédente : est-ce qu'il faut y mettre le serveur dns qui utilisera mon serveur dns d'ad en tant que redirecteur ? pas très clair je sais  :( )


Message édité par Djeng0 le 19-07-2010 à 17:01:09
Reply

Marsh Posté le 19-07-2010 à 17:00:35   

Reply

Marsh Posté le 19-07-2010 à 20:45:18    

c'est les serveurs dns de la zone ....
 
Honnêtement, demande une formation parce que là tu y vas à l'arrache, au pif et ça ne peut que pas marcher

Reply

Marsh Posté le 19-07-2010 à 21:22:52    

Je@nb a écrit :

c'est les serveurs dns de la zone ....
 
Honnêtement, demande une formation parce que là tu y vas à l'arrache, au pif et ça ne peut que pas marcher


Ok, donc un serveur redirecteur n'aura rien à faire là dedans.
 

Spoiler :

Alors je vais nul part, vu que je n'effectue rien sans accord interne, je suis qu'un apprenti, et j'ai rien trouvé sur le net à propos de cette fenêtre, donc j'ai préféré essayer de me renseigner ... mais bon à ce que je vois ça a l'air pas très conseiller ici ... puis t'inquiète pas pour moi, j'ai que des bases d'AD (le dns je l'ai plus pratiqué sous du linux,) mais la spécialité de ma formation est le réseau donc bon ça ira pour une formation :o  


Message édité par Djeng0 le 19-07-2010 à 21:24:22
Reply

Marsh Posté le 19-07-2010 à 21:40:49    

C'est en aucun cas un reproche tu sais.
 
DNS c'est pas ultra compliqué, suffit juste de s'y mettre allez disons 1 semaine à fond dedans. Tu as plein de bouquins, de cours ou tu pourras comprendre et où tu seras bien plus efficace que de tester plein de trucs, essayer de faire marchouiller à l'aveugle.
 
Et ta formation est peut être le réseau mais souvent dans les entreprises la gestion du DNS est faite par les gars du réseau (souvent à tord je trouve vu l'imbrication de l'AD avec le DNS mais c'est historique). Donc oui, c'est important le DNS et ça le sera encore plus avec l'IPv6 (fini les apprentissage par coeur des IP là ... sauf si t'es maso)

Reply

Marsh Posté le 19-07-2010 à 22:00:58    

J'ai du voir au moins 3 fois le protocole dns  :pt1cable:  
Effectivement ça devrait aller vite avec un bouquin... (je t'avoue que mes cours windows était pourri, j'ai eu droit au sémaphore avec, le truc qui a rien à avoir ...)
J'essayerais de voir pour me document sur win 2008 qui implémente l'ipv6 :)
Sur ce, je pense que mon problème est résolu.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed