Configuration existante  
 
(DMZ:192.168.2.0 ) Serveur ___ Isa ___DC (Interne:192.168.1.0)  
..............................................|  
...........................................Internet  
 
 
je vous passe les tests.  
On est arrivé à la solution de tout ouvrir dans tous les sens et on arrive a l'erreur suivante quand nous voulons joindre le Serveur au domaine.  
 
L'erreur suivante s'est produite lors de la tentative de jonction au domaine "Mon_domaine":  
Le chemin réseau n'a pas été trouvé.  
 
A votre bon coeur pour la solution.  
Merci messieurs

tu devrais plutot aller sur un autre site.
je ne sais pas si tu touveras ta réponse ici

Ca sent le DNS. peux tu nous dire ta config actuelle ?

 
2 zones : 1 direct et 1 inversée  
Toutes deux intégrées à l'ad.  
Le serveur peut bien joindre le DC.  
 
Quand on met le tente de mettre le serveur sur le domaine on a bien la fenetre d'authentification, a partir de la le dns est ok. du moins le Serveur arrive à le joindre.  
 
Par contre le Serveur ne s'est pas inscrit dans le DNS.  
 
En lancant un netdiag a partir du serveur on ne voit pas derreur significative.  
 
le dcdiag quant a lui nous montre ceci  
Performing initial setup:  
[dc1] Directory Binding Error 1727:  
L'appel de procédure distante a échoué et ne s"est pas exécuté.  
This may limit some of the tests that can be performed.  
Done gathering initial info.  
 
Doing initial required tests  
Testing serveur : Premier-Site-par-defaut\DC1  
Starting test: Connectivity  
[DC1] DsBindWithSpnEx() failed with error 1727  
L'appel de procédure distante a échoué et ne s'est pas exécuté................................................... DC1 failed test Connectivity
 
DC1 etant le serveur possédant l'active directory et le dns

Personnellement, mettre un serveur en DMZ dans le domaine, je ferais même pas. Quel est l'intérêt ? Il a une fonction particulière pour avoir besoin d'être accessible depuis Internet ?

et un serveur exchange frontal ca te parle?
non mais retourne jouer sur le forum de disney

 
comme oseborn l'a dit, c'est exactement mon cas. Je souhaite intégrer un serveur exchange configuré en tant que frontal, d'où la nécessité de l'adjoindre au domaine AD existant.

des que ca commence un peu a toucher il n'y a plus personne ici.
sortie du reglage du son et de la souris je ne sais pas si tu trouveras qq1 de compétent

Oseborn -> si c'est pour sortir ce genre de réponses, c'est pas la peine. Visiblement t'es pas plus compétent que les autres
 
Nemo- -> as-tu ouvert les passages nécessaires entre ton serveur Exchange et ton contrôleur ? DNS, RPC, etc.

 
Justement, j'ai tout ouvert sur le serveur ISA pour vérifier si ce n'était pas un pb de firewall et visiblement, l'erreur persiste. Je sais que normalement, ouvrir le DNS, LDAP, RPC et Kerberos suffit à communiquer avec un domaine.
 
J'ai patché l'ISA en SP1 et rien de plus.
 
Une idée??

Hello,
 
P'tite question bête ça ne pourrait pas être une question de range IP masque de sous-réseaux ? Je dis ça parce que je vois que ton serveur en DMZ est en 192.168.2.0 et le DC en 192.168.1.0...

Oseborn, si je te dis un truc du genre:
 
"Si tu connais, partage, si tu sais pas, demande" ca te dis rien ?  
 
Arrete de prendre les gens de haut, tu n'est pas tout puissant et même si c'était le cas, profite-en pour nous aider au lieu de te moquer des gens...
 
White.

 
J'y pensais mais à quel niveau se situerait le problème? Au niveau d'ISA, les règles de réseaux sont ok, le routage se fait bien comme il faut. J'ai placé un ethereal qui analyse le traffic de la carte réseau du serveur en DMZ et un autre qui analyse le traffic de la carte réseau du DC. Apparemment, tous les paquets envoyés par le serveur en DMZ arrivent bien sur le DC.
 
C'est là où je ne vois pas ce qui bloque réellement.
 

Je pense qu'il aura du mal à répondre maintenant...

Moué... Et si tu plaçais Ethereal sur l'ISA et que tu analysais le traffic réseau ? Ou que tu fasses une requête dans ISA ayant en paramètres d'analyse tout le traffic réseau passant de ta DMZ à ton DC ?

 
J'ai testé et malheureusement, tout le traffic réseau passe correctement d'une interface à une autre. On pourrait en déduire qu'ISA n'est pas en cause. Pourtant, si je place la machine sur le réseau interne, la jonction au domaine se passe bien donc le DC n'est pas en cause.
 
Qu'en pensez vous?

Perso je dis que c'est l'ISA. À mon taf, on a un ISA  mais on va le mettre hors-service... Il nous fait trop de merdes !!!! Il empêche certaines serveurs TomCat de communiquer entre eux (et pas d'autres !), il bloque les envois de formulaires WEB sitôt qu'ils contiennent des accents, l'URL encoding tu oublies, etc.
Bref, on l'avait surtout mis pour tester et pour bloquer les en-têtes HTTP des programmes p2p (ça, ça fonctionne sans problème !).... mais on va faire du HTTP Filtering avec un firewall et basta ! Plein l'cul de ce machin... qui peut sans doute être très bien, encore faut-il passer un peu de temps dessus.

 
Je viens de tester en désactivant le service Pare Feu d'ISA Server et en activant le service Routage et accès distant de Windows 2003. Effectivement, mon serveur en DMZ a pu immédiatement joindre le domaine AD.  
 
Conclusion : Le problème vient bien d'ISA Server 2004.
 
Mais comment contournez ce bug ???

Ben tu vois !    
 
Mais pourquoi as-tu un ISA en fait ? Nous on s'est posés la question... réponse : on va l'enlever  

 
C'est bon j'ai réussi ! Merci pour tous vos avis  

Comment t'as fait ?! Où c'est que c'était le problème ?

 
Je laisse oseborn vous donner la réponse  

Ben vu qu'il s'est pris le chou avec un des modos et qu'il a insulté quand même une bonne partie du forum... Ça serait peut-être plus simple si tu nous la donnais toi-même

Il est pas prêt de la donner. Il a été viré...

Que j'pensais ^^
 
Alors Nemo- ? Comment que c'est quoi la solution ? Ça m'intéresse moi...

 
Après avoir analysé le traffic réseau, il s'est avéré que le port 445 devait être ouvert pour permettre l'accès aux services AD. Etant donné que ce port n'est pas directement enregistré dans ISA (il faut donc le définir manuellement), même en ouvrant tout le traffic, les paquets à destination de ce port ne transitaient pas.
 
Voilà
 
PS : ha oui, ca serait sympa de débannir oseborn  

Ben perso je trouve que wolfman a très bien agi sur ce coup là, on lui demande que d'etre poli et un minimum de respect envers les autres, un forum est avant tout une communeauté et malgré tout ce qu'on peut penser les uns des autres par moments, un peu de respect mutuel ne fait de mal à personne...
 
White

 
Je suis d'accord    
 
Mais bon, il ne faudrait pas priver le forum d'un bon connaisseur des technologies Microsoft je pense ...  
 
A votre bon coeur les amis  

Ok d'acc', merci pour l'info !    
@+ !