Windows 2000 Server + DHCP + DNS + AD = %$#¤£*@ !!!

Windows 2000 Server + DHCP + DNS + AD = %$#¤£*@ !!! - Windows & Software

Marsh Posté le 28-04-2004 à 22:31:01    

Salut amis gourous niveau quarante douze!!!
 
Sur un Windows 2000 server SP4, on a installé le DNS et le DHCP pour un parc d'une vingtaine de stations Windows 2000 Pro. Les comptes AD des stations et des users du domaine ont été créés.
 
Pour DHCP, qui est relié à AD, on lui a demandé d'indiquer aux stations que le DNS c'était le serveur (PDC) et que la gateway était par là.
 
Sur les stations, qu'on a bien entendu raccordé au domaine NT, dans les paramètres IP on a indiqué qu'elles se débrouillaient pour obtenir leur adresse IP et l'adresse du DNS. On leur a en plus indiqué (params avancés, onglet DNS) que le domaine DNS auquel elles participent est bien le même que celui déclaré sur le serveur (genre "toto.fr" ).
 
Jusque là tout va bien! Les stations récupèrent bien une adresse IP, l'adresse du serveur DNS, le domaine DNS et la gateway sont bien renseignés. Avec "ipconfig /all", tout est Nickel! On peut aller sur hardware.fr!!!
 
On a ensuite installé le DNS sur le serveur, qui lui aussi est relié à AD (j'veux dire par là, par défaut il stocke ses infos dans AD et pas dans des fichiers). On a enlevé la zone ".", on a indiqué le redirecteur et surtout on a demandé que DHCP mette à jour dynamiquement DNS quand une nouvelle station fait une requête.
 
Et là, ça va pas du tout!!!
 
1) La zone inverse du DNS est bien mise à jour dynamiquement, mais pas la zone directe, qui reste désespérement vide... Ce qui est fantastiquement couillon, parce que les stations ne se voient par leurs noms que par Netbios. Un ping d'une station par son nom ne fonctionne pas (par son IP oui, forcément). On a constaté que lorsqu'on ajoutait "à la main" une station dans la zone DNS directe, alors DHCP met bien à jour son IP. Mais s'il faut rentrer A NOUVEAU toutes les machines du domaine dans la zone directe, d'abord c'est nul à chier, ensuite à quoi ça sert que DNS cause avec AD??? DNS devrait les voir les noms des stations dans AD???
 
2) Comme les stations participaient à un domaine, étaient déclarés dans AD, et que DHCP et DNS participaient à AD aussi, on pensait (mal!) que seules les machines du domaine pourraient faire des requêtes DHCP!!! Que nenni: des stations qui ne sont pas déclarées dans le domaine mais qui font des requêtes DHCP se voient attribuer une adresse et la gateway par notre serveur! CE QUE L'ON NE VEUT PAS DU TOUT!
 
-----------
 
Mes questions:
 
1) Pour le DNS et la zone directe qui ne veut pas se mettre à jour dynamiquement: Y a-t-il une explication simple, et une manip rapide et rationnelle? (non, laissez tomber "rationnelle", c'est vrai que c'est du Cro$oft ;) !!!)
 
2) Où c'est-y donc, crévindiou, qu'on dit à AD ou bien à DHCP de n'accepter les requêtes qu'en provenance de stations déclarées dans le domaine?
 
---------------
 
Merci tout plein.
Tchô

Reply

Marsh Posté le 28-04-2004 à 22:31:01   

Reply

Marsh Posté le 28-04-2004 à 22:48:47    

2) PAS POSSIBLE.
 
Dhcp ne travaille qu'avec les adresses macs, donc ce qui est possible de faire c'est d'attribuer des ips à certaines adresses mac et pas à d'autres.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 28-04-2004 à 22:54:10    

mikeleetoris a écrit :

1) Pour le DNS et la zone directe qui ne veut pas se mettre à jour dynamiquement: Y a-t-il une explication simple, et une manip rapide et rationnelle? (non, laissez tomber "rationnelle", c'est vrai que c'est du Cro$oft ;) !!!)


 
Deja l'option "utiliser DHCP pour mettre a jour DNS" on s'en fout dans ton cas : ca ne fonctionne que pour les postes en win 9x, qui ne sont pas capables tout seul de s'inscrire dans un DNS dynamique, les 2k/xp savent le faire par eux-meme.
A verifier par contre que dans l'onglet DNS de la config IP de tes postes, la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée.
Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées (essaie deja en non-sécurisé au cas ou).
Sur tes stations essaie de lancer la MAJ DNS a la main avec un "ipconfig /registerdns".
Si ca marche toujours pas, check l'observateur d'evenement des stations ou des serveurs pour voir si des erreurs en rapport avec le DNS n'apparaisse pas.
 
Au passage ca ne change rien a ton probleme, mais ton suffixe DNS "toto.fr" tu peux tres bien le faire passer par le DHCP aussi, pas obligé de le rentrer en dur sur chaque poste.
 

Citation :

2) Où c'est-y donc, crévindiou, qu'on dit à AD ou bien à DHCP de n'accepter les requêtes qu'en provenance de stations déclarées dans le domaine?


 
C'est impossible, le protocole DHCP fonctionne bien en ammont de ton AD ou de toute sécurité au niveau de l'OS, c'est pas de la faute a Microsoft. Ce que tu peux faire pour sécuriser ca un peu c'est pour tous tes postes leur mettre une réservation par leur adresse MAC dans ton etendue DHCP, et limiter ton etendue aux seules IP que tu as réservée.
Mais bon, spoofer un @mac c'est pas bien compliqué, et rentrer manuellement une IP fixe qui corresponde a ton sous-réseau IP non plus, faut pas compter sécuriser comme ca.


Message édité par El Pollo Diablo le 28-04-2004 à 22:55:04
Reply

Marsh Posté le 28-04-2004 à 23:29:47    

té un bon toi hein mikeleetoris

Reply

Marsh Posté le 28-04-2004 à 23:41:54    

mikeleetoris a écrit :


 
 On a enlevé la zone ".", on a indiqué le redirecteur


 
aucun interet. La zone "." signifie que ton serveur fait autorité dans ton domaine et qu'il n'ira jamais faire des requetes en dehors de celui-ci.
 
Donc : on ne mets les redirecteurs que lorsqu'on laisse cette "."
 
ça marche quand meme si on les inscrit mais c que tu as fait est illogique, et DNS n'aime pas ce qui est illogique ;-)


---------------

Reply

Marsh Posté le 28-04-2004 à 23:47:35    

rogntudjuuuuuuuuu a écrit :

aucun interet. La zone "." signifie que ton serveur fait autorité dans ton domaine et qu'il n'ira jamais faire des requetes en dehors de celui-ci.
 
Donc : on ne mets les redirecteurs que lorsqu'on laisse cette "."
 
ça marche quand meme si on les inscrit mais c que tu as fait est illogique, et DNS n'aime pas ce qui est illogique ;-)


 
Sur le coup c'est toi qui te plante : la zone "." signifie que ton serveur est un root-server, donc il considere qu'il fait authorité pour son domaine certes, mais aussi pour tous les autres domaines de la terre :D c'est quand cette zone est présente que le serveur n'ira jamais chercher ailleurs une résolution de nom.
Ca se vérifie simplement d'ailleurs, si ton serveur a la zone ".", on ne peut meme pas rajouter de redirecteurs, toutes les options de l'onglet sont grisées.
 
Ce qu'a fait mikeleetoris est donc correct de ce point de vue, et root ou pas, ca ne change rien a son probleme de mises a jour.


Message édité par El Pollo Diablo le 28-04-2004 à 23:48:40
Reply

Marsh Posté le 28-04-2004 à 23:51:04    

[:plusun]

El Pollo Diablo a écrit :

Sur le coup c'est toi qui te plante : la zone "." signifie que ton serveur est un root-server, donc il considere qu'il fait authorité pour son domaine certes, mais aussi pour tous les autres domaines de la terre :D c'est quand cette zone est présente que le serveur n'ira jamais chercher ailleurs une résolution de nom.
Ca se vérifie simplement d'ailleurs, si ton serveur a la zone ".", on ne peut meme pas rajouter de redirecteurs, toutes les options de l'onglet sont grisées.
 
Ce qu'a fait mikeleetoris est donc correct de ce point de vue, et root ou pas, ca ne change rien a son probleme de mises a jour.


 
 

Reply

Marsh Posté le 29-04-2004 à 01:02:16    

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres

Reply

Marsh Posté le 29-04-2004 à 10:48:38    

pcvision a écrit :

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres


 
un poil grillaid  quand meme ;)


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 29-04-2004 à 14:53:56    

pcvision a écrit :

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres


EXACT sur le DHCP linux cela fonctionne très bien, avec W2k server cela doit etre possible il faut faire une reservation d'IP et sans doute exlure les adresses IP de la distribution automatique
Avec cette méthode on perd la souplesse du DHCP dynamique mais on est sure qu'aucune machine inconnu ne prendra d'IP de son LAN. Perso je reserve des IP uniquement pour les Imprimantes sans raison vraiment objective juste par habitude et parce que c'est plus facil a configurer comme ca que de mettre l'IP en dure sur les imprimantes.

Reply

Marsh Posté le 29-04-2004 à 14:53:56   

Reply

Marsh Posté le 29-04-2004 à 14:56:29    

com21 a écrit :

un poil grillaid  quand meme ;)


 :D  :jap:

Reply

Marsh Posté le 30-04-2004 à 02:56:00    

Ouaoh!!! Cool! Plein de réponses pratiques! Merci les gars!
 

Citation :

[nom]El Pollo Diablo a écrit[/nom]Déjà l'option "utiliser DHCP pour mettre à jour DNS" on s'en fout dans ton cas: ça ne fonctionne que pour les postes en win 9x, qui ne sont pas capables tout seuls de s'inscrire dans un DNS dynamique, les 2k/xp savent le faire par eux-mêmes.


Certes! Sauf que je ne me suis pas étendu sur l'intégralité de la configuration réseau qui nous préoccupe parce que ça ne me semblait pas pertinent par rapport aux questions, mais j'ai malheureusement des postes en W98 et des MacOSX qui font de la bureautique... Avec des utilisateurs à qui il m'est difficile de forcer la main pour passer sur 2000...
 

Citation :

A verifier que ... la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée.


Ah ça! T'as raison, je ne suis plus sur site actuellement, mais là tu me mets le doute... Prochain passage, je checke cela immédiatement.
 

Citation :

Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées


Cela en revanche, j'en suis sûr! Vu qu'on a du se prendre la tête en testant à peu près toutes les confs possibles! Entre AD ou pas AD (les zones en fichiers à la Unix); dynamique, pas dynamique; sécurisé, pas sécurisé... Et les trois milliards de combinatoires possibles!!!
 

Citation :

Sur tes stations essaie de lancer la MAJ DNS a la main avec un "ipconfig /registerdns".


Celle-là, je la note aussi, tel le benet moyen, je n'ai essayé que ipconfig /renew, ou /release puis /renew.
 

Citation :

ton suffixe DNS "toto.fr" tu peux tres bien le faire passer par le DHCP aussi, pas obligé de le rentrer en dur sur chaque poste.


Ben en fait, on l'avait entré aussi dans DHCP!!! Ceinture et bretelles donc!
 

Citation :

Ce que tu peux faire pour sécuriser ca un peu c'est pour tous tes postes leur mettre une réservation par leur adresse MAC dans ton etendue DHCP


Ouais, on y avait pensé, mais ça nous cassait les tûûûûût de re-rentrer toutes les machines en faisant du copier-coller sur le retour de arp -a. Boarf...
 
En fait, on va être plus pragmatique, sachant que les postes sont géographiquement statiques, donc facilement répérables dans les switchs, on va leur faire un ch'tit VLAN, et les autres postes iront se toucher le pistile!!!
 
-----------
 

Citation :

Si ca marche toujours pas, check l'observateur d'evenement des stations ou des serveurs pour voir si des erreurs en rapport avec le DNS n'apparaisse pas.


Ben justement il y en a... Pour revenir au dysfonctionnement du DNS, en ayant lu un autre article dans ce forum à propos de quelqu'un aillant un problème qui ressemble, et sachant que nous avons repris le serveur après son installation (par défaut) par le fournisseur... ils ont créé le domaine NT avec un nom simple "toto", et malheureusement le nom de domaine DNS a suivi, ça créé un "toto" aussi, ou plus exactement un "toto.". Or, ça pour moi, c'est pas super génial au niveau convention de Genève du nommage internet! Pour moi, le nom de domaine DNS, même interne devrait être "toto.local" ou "toto.int", mais pas "toto" tout court.
 
Il y a bien une clé à rajouter dans la base de registre pour que le système tolère cela.
 
HKLM/System/CurrentControlSet/Services/Dnscache/Parameters
    UpdateTopLevelDomainZones     DWORD 0x1
 
Mais plutôt que de commencer à aller tripatouiller la registry, je pense qu'à notre prochain passage, on va supprimer la conf DNS existante, la recréer en "toto.int" et passer sur toutes les stations pour vérifier ce que tu avançais plus haut sur la case à cocher sur l'enregistrement dans le DNS. Puis tester cette *%¤£ de mise à jour dynamique!!!
 
En tout cas, grand merci pour toutes ces précisions, ainsi qu'aux autres intervenants.
 
Tchô

Reply

Marsh Posté le 30-04-2004 à 04:18:03    

vu que comme toi, j'en ai chié ya pas longtemps avec les histoires de dns
 
n'oublies pas :
 
ipconfig /release
ipconfig /renew  
 
n'oublies pas non plus ipconfig /flushdns qui permet de vider le cache dns de ta machine locale
 
de meme n'oublies pas ipconfig /registerdns
 
apres histoire de ne pas te faire emmerder par AD utilisez plutot un serveur de dns normal  (primaire)
 
n'oublies pas non plus qu'au niveau du dhcp tu peux exporter le domaine vers tes stations
 
exemple  
 
015 nom de domaine dns toto.Fr  
 
apres :  
A verifier que ... la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée. sur tes stations
 
Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées
 
et pareil bien sur pour ta recherche indirecte
 
accessoirement pour t'achever sur la fin, sache que les win9X on besoin d'un serveur wins pour tourner car sinon ils ne sont pas content :)
 
en derniere extremité tu peux configurer les fichiers host de chaques stations.
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed