Aujourd'hui confronté a un problème que j'ai solutioné sans comprendre pourquoi au final je souhaiterais avoir un éclaircissement de votre part !
 
Soit une societe A avec une foret FA et un domaine DA et une societe B avec une foret FB et un domaine DB
Les deux societes sont connectés entres elles via VPN.
 
Une personne de la societe B s'installe dans un des locaux de la société A avec un serveur DHCP de la société A et donc les DNS de la société A.  
 
A partir de ce moment la, cette personne ne parvient à se connecter qu'en ouvrant son profil local car lorsqu'une personne qui ne s'est jamais logué sur ce poste et fait parti de la société B essaye windows lui dit gentiement qu'aucun DC n'est disponible pour traiter la demande.  
 
J'ai pensé qu'en rajoutant des enregistrement de type A dans le DNS de la societe A qui pointent vers les DC du sites B fonctionnerait mais non, il a fallu que je rajoute a la machine le serveur DNS du site B pour que ca fonctionne.
 
En d'autre terme, est ce qu'il faut absolument qu'une machine ait comme serveur DNS un des serveur DNS du domaine sur lequel elle se situe ?  
 
Parce que la société A a bien une zone de la société B dans son DNS (mais avec des enregistrement qu'on rnetre a la main un par un etc evidement car pas le meme domaine donc pas de réplication).

c'est une machine de quel domaine ?
il y a des trusts ?
 
t'es pas clair
 
si A a besoin de résoudre des enregistrements de B, il faut soit une conditional forwarder, une stub ou une zone secondaire sur A de la zone de B

C'est une machine du domaine B.

Aucun trust

Le but est que B puisse travailler comme si il était chez B en étant sur le réseau A.

secondaire du cou pas possible car pas de trust.
un forwarder serait pas mal en effet

en gros, on a souvent en A des personnes de B qui viennent avec leur poste sur le domaine B.
et j'ai pu voir que pour aller chercher des licences pour certaines applis on a fait des enregistrements qui pointent vers les serveur de B donc on fait au cas par cas.
Mais en effet, pourquoi ne pas faire directement un forwarder ?

Parce que si je crée une zone forwardé domaineB sur domaineA ca devrait fonctionner je suppose...

Au niveau best practice, qu'est ce qui serait recommandé normalement ?

ça dépend du nb d'enregistrement, de la capacité réseau etc.
En général faut pas se faire chier un conditional forwarder fait le job. Enfin perso c'est ce que je recommande.

le conditionnal forwarder est le seul moyen pour qu'ils puissent s'authentifier au niveau du DC ?
 
Parce que la, meme si je rentre l'ip d'un DC en enregistrement A ca ne fonctionnait pas.
Alors que si je met cette ip la sur le poste client comme DNS la ca fonctionne.

ça veut rien dire ce que tu dis.

Salut,
Les enregistrements pour les services ldap, kerberos et consorts ne sont pas uniquement des enregistrements de type A dans le dns AD.
A+

voila une piste serieuse

peux tu préciser un peu stp ?

@jeanb :

La en fait, je me suis mis sur le domaine A et j'ai crée un enregistrement de type A dans la zone du domaine B qui pointe vers un serveur DNS de B
ca ne fonctionne pas

Par contre, si sur le poste client, je rentre comme adresse DNS cette ip que je renseigne dans l'enregistrement de type A ca fonctionne bien.

Mais comme dit franck, en fait, c'est juste mon manque de connaissance sur le domaine apparement qui fait que contacter un DC pour s'authentifier c'est pas contacter un serveur de licence pour récuperer un token donc c'est pas juste un enregistrement de type A.

C'est tout ce qui se situe dans les zones msdsc créent par défaut je suppose ?

Oui

je te remercie

un enregistrement de type A tu as un nom qui pointe vers une ip. Donc ok tu met l'ip du serveur dns de A mais tu mets quoi en nom ? un truc au pif ?
 
Non mais dans tous les cas ça marchera pas. ton domaine est dans le domaine toto.com il doit joindre la zone toto.com pour accéder à plein d'enregistrement (et pas que les msdcs), point c'est tout !

le nom du serveur....
c'est la société mere l'entreprise B en fait. donc j'ai quand meme un contact avec !

mais ouep j'ai bien compris ce coté la ^^ parce que la je capte pas en fait on a bien 8 zone en plus de la notre chez nous et il n'y a aucun redirecteur vers ces domaines la, juste 2 ou 3 enregistrements chaque fois... pourquoi faire ca plutot qu'un redirecteur apres... parce que niveau connection de notre coté c'est pas minable et puis c'est pas 150 enregistrements en plus donc c'est vrai qu'un CF aurait ete mieux.

J'en parlerai a mon responsable voir si jamais

Peut-être que je n'ai pas bien compris la demande mais simplement placer en redirecteur sur les serveurs DNS de chaque site un serveur DNS de l'autre site contenant la zone AD.

- soit tu permets à ton pc de résoudre son DNS habituel via le VPN (routage, ouvertures firewall, config du client malgré le DHCP, toussa)  
- soit tu crées les bons redirecteurs/zones stub/slaves (selon comme tes entreprises sont imbriquées) sur le DNS que tu fournira le DHCP
...et dans les 2 cas : routage/ouvertures firewall pour qu'il joigne son contrôleur de domaine habituel (firewall en mode passoire ou restriction de ports RPC, mais ca tu dois déjà l'avoir en place visiblement)
 

Oui tout est déjà en place et mon responsable qui chaque fois qu il savait pas me répond a oui mais ça faut qu on le mette en place justement etc etc
Quand je lui dis redire teur conditionnel il me dit tu veux dire qu on héberge leur zone .....
Bref il y a des choses qu il connaît pas mal mais certaines moins et moi je me retrouve dans une société ou on final nous on a une forêt un domaine et deux domaine enfant et l autre société en question c est 8 forêt 8 domaines et va falloir créer les relations d approbation avec tous le monde un jour ou l autre puisqu iis nous ont racheté mais je doute que ce soit fait a l arrache en 5 min  
En attendant il préfère rentrer chaque dns manuellement chaque fois qu un client de l autre entreprise qui se connecte sur notre réseau doit accéder a certains service sur leur réseau !