GPO et DNS

GPO et DNS - Poste de travail - Systèmes & Réseaux Pro

Marsh Posté le 08-10-2012 à 11:42:33    

Bonjour,
 
Mon parc est composé de 70 poste sous XP sp3 et Seven pro ainsi que d'un contrôleur de domaine sous Windows 2003 entreprise r2.
 
J'effectue les mises à jour des logiciels courants (firefox, adobe, flash, ...) sur les machines clientes via GPO.
 
Tout fonctionne à peu près bien sauf que j'ai quelques machines récalcitrantes qui ne descendent pas les GPO.
 
Je suis au courant qu'il faut paramétrer dans les DNS de chaque poste client uniquement uniquement l'adresse IP du contrôleur de domaine pour un fonctionnement optimal des ouvertures de sessions sur le domaine ainsi que des GPO.
 
Malheureusement, je n'ai qu'un contrôleur de domaine sur mon parc et dans l'optique d'un éventuel sinistre du serveur, j'ai paramétré sur les postes clients :
 
- en DNS primaire : l'adresse IP du serveur 2003
- en DNS secondaire : l'adresse IP de nos serveurs DNS dédiés.
 
Ainsi, en cas de sinistre du serveur 2003, les utilisateurs auraient tout de même accès à Internet puisque les machines clientes pourront envoyer leur requête Internet vers les DNS secondaires.
 
Le revers de la médaille, est que certains postes sont récalcitrants à la descente des GPO alors que la majeure partie s'en sort très bien avec la configuration actuelle.
 
Lorsque je regarde dans l'observateur d'évènements, celui-ci m'indique que la machine cliente n'a pas pu contacter de contrôleur de domaine ce qui évoque bien un problème de DNS.
 
Pour vérifier cette hypothèse, je supprime le DNS secondaire et je laisse uniquement l'IP du contrôleur de domaine en DNS primaire.
Résultat : les GPO descendent immédiatement.
 
Question 1 : comment windows XP et 7 gèrent-ils les DNS ?
 
Lorsqu'il ne parvient pas à contacter le DNS primaire ou que celui-ci met trop de temps à répondre, je suppose qu'il utilise le DNS secondaire. Mais pour combien de temps ? Un redémarrage de la machine ne semble pas forcément arranger les choses ni un ipconfig /flushdns
 
Comment puis-je faire dans mon cas ?
 
Merci

Reply

Marsh Posté le 08-10-2012 à 11:42:33   

Reply

Marsh Posté le 08-10-2012 à 12:14:31    

C'est prendre un gros risque de n'avoir qu'un seul controleur de domaine. Sache que s'il tombe en rade, tes postes clients ne vont pas aimer du tout (si c'est possible, le mieux est que tu fasse le test de l'éteindre pendant 30 minutes, tu verras ^^) Bref j'arrête pour le hors sujet car je suppose que tu es parfaitement au courant de ça.
 
Pour ta question, je voudrais pas dire de bêtises mais je ne vois pas pourquoi un espèce de partage de charge de DNS s'effectuerai !?
J'aurais configuré DNS 1 : ton controleur de domaine
et c'est tout et j'aurais fais une redirection DNS dédiés internet sur le DNS1.
 
Effectivement, il n'y aura plus d'Internet mais vu que y'aura plus de controleur de domaine...
 
A la limite, sur les postes qui posent problèmes de descente de GPO, il faudrait justement s'assurer que c'est le DNS2 qui est utilisé.
Comment on fait ça ? aucune idée mais je vais chercher (à part si quelqu'un d'autre connait le truc...)


Message édité par akizan le 08-10-2012 à 12:15:28
Reply

Marsh Posté le 08-10-2012 à 12:24:59    

Si le contrôleur de domaine tombe, les postes clients pourront :
 
- ouvrir une session et travailler en local
- avoir accès au Web
- Avoir accès à leur messagerie
 
 
ils ne pourront par contre plus :
 
- avoir accès aux partages réseau.
- imprimer (car imprimantes déployées)
 
Ca limite la casse quand même la casse le fait qu'il puisse avoir accès au net et aux applications web locales via le DNS secondaire, les utilisateurs peuvent quand même bosser.


Message édité par bart007 le 08-10-2012 à 12:25:28
Reply

Marsh Posté le 08-10-2012 à 13:18:51    

As tu essayé de paramétrer la priorité DNS ici :
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\GUID_CarteReseau\NameServer ???
 
1er adresse = priorité 1
2eme adresse = priorité 2
 
PS : sur XP, le caractère de séparation est ","
 
Exemple :

Code :
  1. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{GUID_RESEAU}]
  2. "NameServer"="192.168.1.1,192.168.1.2"


 
Sinon si tu veux t'assurer que le DNS utilisé est le primaire ou le secondaire, tu peux faire un "nslookup www.google.fr"
La première adresse retournée devrait logiquement correspondre à ton DNS.
 
N'oublie pas de faire un ipconfig /flushdns pour les tests :)


Message édité par akizan le 08-10-2012 à 13:33:22
Reply

Marsh Posté le 08-10-2012 à 13:34:28    

Merci pour ta réponse
 
Cette clef correspond j'imagine à la dénomination et à l'ordre des priorités des DNS que l'on configure plus simplement via la voisinage réseau (propriétés TCP/IP) ?
 
La clef de registre est déjà présente dans la base de registre.
 
 
 

Reply

Marsh Posté le 08-10-2012 à 13:40:49    

oui
 
http://imageshack.us/a/img152/7338/dnspriority.png
 

Reply

Marsh Posté le 08-10-2012 à 14:53:15    

Ce que je te propose de faire c'est plutôt de mettre ton "l'adresse IP de nos serveurs DNS dédiés" réplica DNS de ta zone (et la msdcs). Ainsi tes clients même s'ils interroge le secondaire pourront résoudre les records.
 
Configure la zone en slave et autorise la sur le DC à répliquer sur les secondaires.
 
Mais sinon oui il vaut mieux avoir un 2ème DC

Reply

Marsh Posté le 08-10-2012 à 16:01:56    

yeahh, ça s'est bien :)

Reply

Marsh Posté le 08-10-2012 à 16:12:24    

Ouh la Je@nb tu parles chinois tout à coup pour moi lol
 
Alors vas-y plus doucement s'il te plaît.
 
La manip que tu me décris est à faire sur nos serveurs DNS (que je ne gère pas) ou sur le contrôleur de domaine ?  
 
Merci

Reply

Marsh Posté le 08-10-2012 à 16:45:50    

Mouarf, mes cours d'AD sont partis loin, je sais plus du tout comment qu'on fait ça aussi :(

Reply

Marsh Posté le 08-10-2012 à 16:45:50   

Reply

Marsh Posté le 08-10-2012 à 16:56:10    

Toi tu as eu des cours lol moi j'ai appris (et j'apprends toujours) sur le tas et à l'aide de forumeurs donc une petite explication pédagogique sur le principe ainsi que quelques détails supplémentaires sont les bienvenus.
 
Merci beaucoup.


Message édité par bart007 le 08-10-2012 à 16:58:28
Reply

Marsh Posté le 08-10-2012 à 17:02:12    

Je@nb a écrit :

Ce que je te propose de faire c'est plutôt de mettre ton "l'adresse IP de nos serveurs DNS dédiés" réplica DNS de ta zone (et la msdcs). Ainsi tes clients même s'ils interroge le secondaire pourront résoudre les records.
 


Je pense que par DNS Dediés, il entends les DNS de son FAI .. Je n'ai peut etre pas tout saisi, mais il me semble que du coup, la solution de réplica ne doit pas être faisable.


---------------
www.google.fr  
Reply

Marsh Posté le 08-10-2012 à 17:15:38    

Salut Boobaka,
 
Non ce ne sont pas les DNS du FAI mais bel et bien les nôtres. Un serveur primaire et un réplica je suppose.  
 
Nous sommes une université.

Reply

Marsh Posté le 08-10-2012 à 17:17:32    

La solution ne consisterait-elle pas à créer un enregistrement de l'adresse IP ainsi que du nom fqdn de mon contrôleur de domaine sur nos DNS ? afin que lorsque mes postes clients interrogent nos DNS, ces derniers puissent les renseigner correctement ?  
 
Je n'y connais absolument rien en DNS je dis peut-être une ânerie.
 

Reply

Marsh Posté le 08-10-2012 à 18:38:21    

bart007 a écrit :

Ouh la Je@nb tu parles chinois tout à coup pour moi lol
 
Alors vas-y plus doucement s'il te plaît.
 
La manip que tu me décris est à faire sur nos serveurs DNS (que je ne gère pas) ou sur le contrôleur de domaine ?  
 
Merci


 
Une partie sur vos serveurs DNS (création d'une zone secondaire, dire quelle est l'ip du primare etc.), une partie sur ton contrôleur de domaine (bouton droit sur la zone, transferts, autoriser et tu mets les ip des secondaires)

Reply

Marsh Posté le 08-10-2012 à 20:26:36    

La réponse à ton problème c'est tout simplement d'enlever le dns secondaire qui n'a absolument rien à faire ici au niveau de la configuration puisque qu'il ne gère absolument pas la zone AD.
Pour rappel le DNS Active Directory contient les différents enregistrements des services nécessaire à son bon fonctionnement comme kerberos, ldap , gc et les différents pointeurs vers les domaines contrôleurs de la forêt.
Si le Resolver interroge ton serveur alternatif , tu te retrouveras avec un tas de problèmes  car ces services ne seront pas joignables ce qui se produit dans ton cas.
Différentes solutions sont possibles:
Tu peux tout simplement faire comme Je@nb t'a recommandé plus haut , cad un replica DNS sur un second DC avec une redirection vers tes autres DNS . C'est la plus simple si tu ne gères pas la zone parente.
Tu peux aussi dans le cas où tu gères les DNS de la zone parente faire une délégation de zone.
Tu peux aussi faire du forwarding vers ta zone.

 

Dans tous les cas il est recommandé de monter 2 DCs pour ta zone AD, avec un réplica DNS pour bien faire.

 

Pour les clients de ta zone, ils doivent pointer essentiellement sur les serveurs de noms qui font autorité sur la zone AD. Si les requêtes doivent être renvoyés vers d'autres zones DNS utilises les redirecteurs.
Et surtout pense à préciser le suffixe de connexion sur tes clients pour la zone, ils ne sont pas renseigner sur ton screen et tout est faisable par GPO.

 

Bon courage ++
 :hello:


Message édité par statoon54 le 08-10-2012 à 20:28:50
Reply

Marsh Posté le 08-10-2012 à 20:34:54    

les suffixes sont inutiles si il a qu'un domaine. Le domaine AD est déjà précisé puisque c'est le primary dns suffix

Reply

Marsh Posté le 09-10-2012 à 08:45:36    

Je@nb a écrit :

les suffixes sont inutiles si il a qu'un domaine. Le domaine AD est déjà précisé puisque c'est le primary dns suffix


+1 pour le primary suffixe mais vu qu'il a des zones parentes, les renseigner dans la liste des suffixes serait vivement recommandé surtout qu'il travaille en université et qu'a mon avis certains services sont accessibles que sur ces zones.  :jap:  

Reply

Marsh Posté le 10-10-2012 à 08:44:17    

Je pense à une éventuelle solution alternative.
 
Nous avons un autre contrôleur de domaine sous w2003qui gère un tout autre partie du parc informatique.
 
Celui-ci a été installé dans un second temps et a été installé dans sa propre forêt où il est tout seul en fait car à l'époque je débutais sur windows 2003 et je ne savais pas "relier" 2 serveurs de domaine ensemble de plus chacun était dans son sous-réseau et ne se voyait pas donc je ne m'étais pas compliqué la vie et je les avais installé "chacun de leur côté".
 
Je n'utilise sans doute pas les bons termes mais j'espère que vous me comprenez.
 
Le premier serveur possède le nom bureautique.centraux.univ-***.fr et le second bureautique.bulcodom.univ-****.fr
 
Y a-t-il un moyen de les "relier" après coup pour que chacun serve de réplica à l'autre (pour ce qui est des GPO et des DNS) en cas de panne de l'un des 2 ?
 
Quel(s) serai(en)t l(es) avantage(s) de cette solution si elle est possible ?
Quel(s) serait(ent) le(s) contrainte(s) ?
 
Merci  
 
Merci


Message édité par bart007 le 10-10-2012 à 08:46:39
Reply

Marsh Posté le 10-10-2012 à 11:51:21    

Tu as installé deux forêts différentes mais qui portent le même nom ? Ca va faire des Chocapic avec ton AD là.
 
Laisse tomber le bricolage, tu risques vraiment de tout péter. Installe un ou deux contrôleurs supplémentaires pour ton problème initial, puis fais-toi aider par un presta pour auditer ton architectire AD et apporter les modifications nécessaires avant qu'il arrive quelque chose de grave.

Reply

Marsh Posté le 12-10-2012 à 13:18:57    

OK bon va falloir que je bannisse cette solution alors merci pour l'info.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed