Redirecteur DNS choix judicieux ? - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 03-04-2009 à 13:56:02
dans le serveur DHCP tu peux choisir quels DNS tu veux mettre pour les clients.
Mets celui de ton serv en prio et celui de ton routeur en secondaire par exemple.
Ca ne sert a rien de mettre le dns de ton ISP, car si ta connexion internet tombe à cause du routeur, tu pourras pas aller bien loin
De plus si ton serveur windows tombe, ben y aura plus de DHCP pour les autres..
Mais pour répondre précisément: oui c'est possible
Marsh Posté le 03-04-2009 à 14:42:27
Si je ne mets rien dans le DNS secondaire, on en revient à la problématique exposé plus haut : si le contrôleur 2003 tombe en panne, les utilisateurs n'ont plus d'internet, donc ne vaut-il mieux pas mettre le DNS de notre routeur ?
Marsh Posté le 03-04-2009 à 14:44:10
Sur les postes clients d'un domaine, seul le ou les DC doivent être déclarés en serveur DNS ou alors des serveurs DNS qui contiennent tous les enregistrements nécessaires à ton AD. Ce n'est pas le cas de ceux du FAI.
Marsh Posté le 03-04-2009 à 14:46:21
Il te faut un second serveur DNS. Tu doubles donc ce service.
Tu as autant de risques que ton switch tombe en panne que ton serveur DNS, que le routeur, que le modem, etc.
A toi de voir quels services tu veux doubler pour avoir une tolérance de panne.
Marsh Posté le 03-04-2009 à 14:50:09
Le routeur il va faire quoi ? rediriger sur celui du fai mais n'aura aucune connaissance des enregistrements dans ton serveur dns interne.
http://support.microsoft.com/kb/825036
Il faut que les records soient consistants entre les serveurs. Si ton controlleur tombe et revient (voir ne répond pas qq ms), les ordis vont continuer à utiliser le backup pdt un certain temps.
Ce que tu peux faire c'est régler un bail court sur le DHCP pour qu'un changement de configuration de celui-ci se propage assez vite et changer le serveur dns si le 2003 tombe.
Marsh Posté le 03-04-2009 à 15:12:42
Je vais paraître sans doute complètement ignare mais que perdrais l'utilisateur au niveau fonctionnalités, si je ne mettais tout simplement pas l'adresse IP de mon serveur 2003 mais uniquement les DNS primaires et secondaires du FAI comme c'est le cas actuellement ?
L'intérêt principal du serveur est de gérer les comptes utilisateur et de faire serveur de fichier, même sans intégrer l'adresse IP du 2003 sur les machines clientes, celles-ci pourront tout de même s'authentifier sur le réseau et avoir accès aux ressources partagées ?
Pouvez-vous m'expliquer l'intérêt productif de passer par le serveur 2003 pour les requêtes DNS ? qu'est-ce que l'utilisateur pourrait faire de plus concrètement qui lui serait utile ? Sachant que nous sommes un batiment d'une centaine de personnes pour vous donner une idée de la dimension de l'entreprise.
Désolé si je n'intègre pas bien le concept d'active directory. J'attends qu'une bonne âme m'explique un peu.
Merci
Marsh Posté le 03-04-2009 à 15:58:48
AD reposant entièrement sur LDAP + DNS + Kerberos, enlève une brique et pouf cassé
Marsh Posté le 03-04-2009 à 17:42:38
bart007 a écrit : Je vais paraître sans doute complètement ignare mais que perdrais l'utilisateur au niveau fonctionnalités, si je ne mettais tout simplement pas l'adresse IP de mon serveur 2003 mais uniquement les DNS primaires et secondaires du FAI comme c'est le cas actuellement ? |
Tu risques concrètement des problèmes grosses de lenteurs lors des ouvertures de sessions, des erreurs lors des applications de stratégies, etc.
Marsh Posté le 03-04-2009 à 22:09:59
Franchement, si ton contrôleur de domaine tombe, tes utilisateurs auront d'autres préoccupations que leur accès internet...
C'est le propre de toutes les petites installations d'avoir des limites en terme de tolérance de pannes.
Ta seule solution si tu veux vraiment qu'ils continuent à avoir internet lorsque ton serveur tombe, c'est l'autoconfiguration dans les paramètres des cartes réseau des ordinateurs.
Lorsque ceux-ci n'arriveront pas à joindre le DHCP en démarrant, ils utiliseront cette autoconfiguration au lieu de s'attribuer une adresse APIPA en 169.254.X.X avec laquelle on ne peut rien faire.
A toi de voir.
Marsh Posté le 06-04-2009 à 09:33:48
+1 pour la lenteur lors des ouvertures de sessions mais ...
... Actuellement les utilisateurs ouvrent une session locale sur leur windows XP et se connecte sur les partages réseau du serveur si besoin. Ce qui fait qu'actuellement si le serveur devait tomber, cela empêcherait à l'utilisateur d'accéder aux ressources partagées mais il pourrait tout de même continuer à travailler en local et d'avoir du réseau (puisque beaucoup utilisent des logiciels réseau et que cela nous leur est nécessaire).
J'ai bien sur penser pour cette migration à intégrer réellement tous les postes au domaine (avec une fenêtre d'ouverture de session à 3 champs), mais si le contrôleur tombe, là les utilisateurs n'auraient plus accès à rien, de plus il faudrait migrer systématiquement leur profil utilisateur, ce qui alourdit considérablement la tâche.
Actuellement le profil user est dans c:\D&Settings\dupont, si j'intègre chaque machine au domaine, XP, le nouveau chemin sera c:\D&Settings\users.%domaine%
Avez-vous une solution autre que la simple copie pour transférer proprement un profil d'un dossier à un autre ?
Merci beaucoup de vos conseils.
Marsh Posté le 06-04-2009 à 10:57:02
Merci du tuyau et désolé si je soulève des indignations dû à mon ignorance.
Marsh Posté le 06-04-2009 à 19:37:04
Ouais ou bien une copie du profil dans default user avant le passage en domaine.
Et t'arrêtes pas de parler du DC qui tombe... Aux dernières nouvelles, un serveur en RAID correctement entretenu et surveillé ça tombe vraiment rarement...
Marsh Posté le 07-04-2009 à 09:11:42
C'est juste une crainte, n'ayant pas de contrôleur secondaire, il suffirait de la carte raid en panne ou de la carte mère pour m'attirer les foudres du boss.
Pour la copie du profil dans default user, ne vaudrait-il mieux pas une fois le profil de domaine crée, se logguer en admin et copier le profil utilisateur local dans le répertoire de l'user du domaine ? Un simple copier coller ne suffit-il pas ou faut-il user d'un outil vraiment particulier afin que la migration modifie certaines clefs du registre ?
Marsh Posté le 07-04-2009 à 09:24:03
bart007 a écrit : C'est juste une crainte, n'ayant pas de contrôleur secondaire, il suffirait de la carte raid en panne ou de la carte mère pour m'attirer les foudres du boss. |
Alors sois clair avec le boss : il te faut un second contrôleur de domaine
Marsh Posté le 07-04-2009 à 14:58:26
Heu pardon mais je comprends pas bien votre raisonement : même dans le cas de 2 DC avec 2 serveurs DNS, qu'est ce qui empêche de mettre une 3eme entrée DNS avec les dns du FAI?
A priori, windows utilise les DNS dans l'ordre : il essaye le 1er, si ça réponds pas il essaye le 2eme, et enfin le 3ème... donc au pire si le DC1 tombe, et que le DC2 tombe aussi (ou est mal configuré, ou ne s'est pas répliqué etc...) il reste toujours le 3eme DNS du fai pour avoir accès à Internet... non?
Marsh Posté le 07-04-2009 à 15:03:03
il n'essaie pas à chaque fois de résoudre a partir du premier puis du 2ème etc. si le premier tombe il va utiliser le 2ème pdt qq temps même si le 1 est revenu
Marsh Posté le 07-04-2009 à 15:09:10
ok.. donc le souci que vous soulevez c'est si les 2 dns windobe tombent, et qu'il se cale sur le dns du FAI, il va y rester pendant un petit moment?
Ouais bon ok, c'est pas faux... mais bon normalement, ça n'empêche pour d'ouvrir une session, ni d'accèder aux ressources quand le serveur est de nouveau up, normalement?
Pour une petite structure, ça me parait tout de même pas scandaleux
Marsh Posté le 07-04-2009 à 15:22:46
tu ne pourras pas accéder aux ressources internes pdt un moment, sans compter les pb aléatoires.
Dans tout, tu essaies d'avoir un comportement prévisible, là tu introduis qqch de non prédictable où les réponses varient en fn du serveur que tu interroge ce qui est loin d'être un comportement souhaitable
Marsh Posté le 07-04-2009 à 16:00:08
Certes... mais imagnions que le serveur AD/dhcp/dns ne remonte pas avant plusieurs heures... si les users ne peuvent pas accèder aux ressources NI à internet, ils peuvent rentrer à la maison... on est bien d'accord, c'est mieux d'avoir 2 controleurs, 2 dns 2 dhcp etc... mais bon, c'est mieux que rien..? Pis au pire, quand c'est up, un ti reboot machine ça tous les utilisateurs savent le faire, et roule....
Bien sûr, sur une grosse archi c'est pas envisageable une seconde!
Marsh Posté le 07-04-2009 à 19:32:20
bart007 a écrit : C'est juste une crainte, n'ayant pas de contrôleur secondaire, il suffirait de la carte raid en panne ou de la carte mère pour m'attirer les foudres du boss. |
Pour la copie du profil, tu te log dans un autre profil, tu fais propriétés sur le poste de travail, onglet avancé, bouton paramètres dans la section profils utilisateurs.
Il te suffit de sélectionner le profil à copier, puis le répertoire c:\documents and settings\default user (c'est un dossier caché, il faut les afficher pour le voir)
Pour en revenir au risque du DC qui tombe, tu peux pas demander à une architecture à 1 serveur d'avoir la tolérance de pannes d'une archi à 2 ou plus.
Explique à ton boss, il pourra pas gueuler qu'on l'a pas prévenu...
Marsh Posté le 03-04-2009 à 13:46:27
Bonjour,
Je suis un train de préparer un serveur 2003 qui viendra remplacer notre vieux serveur de fichier et contrôleur de domaine NT4. Je suis complètement novice en la matière.
J'ai installé Active Directory ainsi que le service DNS.
J'ai lu qu'il fallait indiquer dans le champ DNS des machines clientes, l'adresse IP du serveur 2003 qui re-dirigera les requêtes externes vers d'autres DNS.
Admettons, que je fasse cela et que mon serveur 2003 serve d'intermédiaire dans le traitement des requêtes DNS .... S'il tombe en panne, les utilisateurs n'auront plus accès à Internet : plutôt gênant.
Ma question est :
Est-il possible que j'inscrive dans le DNS primaire des machines clientes, l'adresse IP de mon serveur 2003 et qu'en DNS secondaire j'inscrive l'adresse IP d'un des DNS de notre fournisseur d'accès ?
Cette solution est-elle envisageable et ne ralentira-t-elle pas le réseau ?
Merci de vos éclaircissements