Windows 2000 Server + DHCP + DNS + AD = %$#¤£*@ !!!

Recherche :

Dernière réponse
Sujet : Windows 2000 Server + DHCP + DNS + AD = %$#¤£*@ !!!
weebbeep	vu que comme toi, j'en ai chié ya pas longtemps avec les histoires de dns n'oublies pas : ipconfig /release ipconfig /renew n'oublies pas non plus ipconfig /flushdns qui permet de vider le cache dns de ta machine locale de meme n'oublies pas ipconfig /registerdns apres histoire de ne pas te faire emmerder par AD utilisez plutot un serveur de dns normal (primaire) n'oublies pas non plus qu'au niveau du dhcp tu peux exporter le domaine vers tes stations exemple 015 nom de domaine dns toto.Fr apres : A verifier que ... la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée. sur tes stations Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées et pareil bien sur pour ta recherche indirecte accessoirement pour t'achever sur la fin, sache que les win9X on besoin d'un serveur wins pour tourner car sinon ils ne sont pas content :) en derniere extremité tu peux configurer les fichiers host de chaques stations.

Dernière réponse

Sujet : Windows 2000 Server + DHCP + DNS + AD = %$#¤£*@ !!!

weebbeep

vu que comme toi, j'en ai chié ya pas longtemps avec les histoires de dns

n'oublies pas :

ipconfig /release
ipconfig /renew

n'oublies pas non plus ipconfig /flushdns qui permet de vider le cache dns de ta machine locale

de meme n'oublies pas ipconfig /registerdns

apres histoire de ne pas te faire emmerder par AD utilisez plutot un serveur de dns normal (primaire)

n'oublies pas non plus qu'au niveau du dhcp tu peux exporter le domaine vers tes stations

exemple

015 nom de domaine dns toto.Fr

apres :
A verifier que ... la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée. sur tes stations

Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées

et pareil bien sur pour ta recherche indirecte

accessoirement pour t'achever sur la fin, sache que les win9X on besoin d'un serveur wins pour tourner car sinon ils ne sont pas content :)

en derniere extremité tu peux configurer les fichiers host de chaques stations.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

weebbeep

mikeleetoris

Ouaoh!!! Cool! Plein de réponses pratiques! Merci les gars!

Citation :

[nom]El Pollo Diablo a écrit[/nom]Déjà l'option "utiliser DHCP pour mettre à jour DNS" on s'en fout dans ton cas: ça ne fonctionne que pour les postes en win 9x, qui ne sont pas capables tout seuls de s'inscrire dans un DNS dynamique, les 2k/xp savent le faire par eux-mêmes.

Certes! Sauf que je ne me suis pas étendu sur l'intégralité de la configuration réseau qui nous préoccupe parce que ça ne me semblait pas pertinent par rapport aux questions, mais j'ai malheureusement des postes en W98 et des MacOSX qui font de la bureautique... Avec des utilisateurs à qui il m'est difficile de forcer la main pour passer sur 2000...

Citation :

A verifier que ... la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée.

Ah ça! T'as raison, je ne suis plus sur site actuellement, mais là tu me mets le doute... Prochain passage, je checke cela immédiatement.

Citation :

Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées

Cela en revanche, j'en suis sûr! Vu qu'on a du se prendre la tête en testant à peu près toutes les confs possibles! Entre AD ou pas AD (les zones en fichiers à la Unix); dynamique, pas dynamique; sécurisé, pas sécurisé... Et les trois milliards de combinatoires possibles!!!

Citation :

Sur tes stations essaie de lancer la MAJ DNS a la main avec un "ipconfig /registerdns".

Celle-là, je la note aussi, tel le benet moyen, je n'ai essayé que ipconfig /renew, ou /release puis /renew.

Citation :

ton suffixe DNS "toto.fr" tu peux tres bien le faire passer par le DHCP aussi, pas obligé de le rentrer en dur sur chaque poste.

Ben en fait, on l'avait entré aussi dans DHCP!!! Ceinture et bretelles donc!

Citation :

Ce que tu peux faire pour sécuriser ca un peu c'est pour tous tes postes leur mettre une réservation par leur adresse MAC dans ton etendue DHCP

Ouais, on y avait pensé, mais ça nous cassait les tûûûûût de re-rentrer toutes les machines en faisant du copier-coller sur le retour de arp -a. Boarf...

En fait, on va être plus pragmatique, sachant que les postes sont géographiquement statiques, donc facilement répérables dans les switchs, on va leur faire un ch'tit VLAN, et les autres postes iront se toucher le pistile!!!

-----------

Citation :

Si ca marche toujours pas, check l'observateur d'evenement des stations ou des serveurs pour voir si des erreurs en rapport avec le DNS n'apparaisse pas.

Ben justement il y en a... Pour revenir au dysfonctionnement du DNS, en ayant lu un autre article dans ce forum à propos de quelqu'un aillant un problème qui ressemble, et sachant que nous avons repris le serveur après son installation (par défaut) par le fournisseur... ils ont créé le domaine NT avec un nom simple "toto", et malheureusement le nom de domaine DNS a suivi, ça créé un "toto" aussi, ou plus exactement un "toto.". Or, ça pour moi, c'est pas super génial au niveau convention de Genève du nommage internet! Pour moi, le nom de domaine DNS, même interne devrait être "toto.local" ou "toto.int", mais pas "toto" tout court.

Il y a bien une clé à rajouter dans la base de registre pour que le système tolère cela.

HKLM/System/CurrentControlSet/Services/Dnscache/Parameters
UpdateTopLevelDomainZones DWORD 0x1

Mais plutôt que de commencer à aller tripatouiller la registry, je pense qu'à notre prochain passage, on va supprimer la conf DNS existante, la recréer en "toto.int" et passer sur toutes les stations pour vérifier ce que tu avançais plus haut sur la case à cocher sur l'enregistrement dans le DNS. Puis tester cette *%¤£ de mise à jour dynamique!!!

En tout cas, grand merci pour toutes ces précisions, ainsi qu'aux autres intervenants.

Tchô

pcvision

com21 a écrit :

un poil grillaid quand meme ;)

:D :jap:

barbatruc666

pcvision a écrit :

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres

EXACT sur le DHCP linux cela fonctionne très bien, avec W2k server cela doit etre possible il faut faire une reservation d'IP et sans doute exlure les adresses IP de la distribution automatique
Avec cette méthode on perd la souplesse du DHCP dynamique mais on est sure qu'aucune machine inconnu ne prendra d'IP de son LAN. Perso je reserve des IP uniquement pour les Imprimantes sans raison vraiment objective juste par habitude et parce que c'est plus facil a configurer comme ca que de mettre l'IP en dure sur les imprimantes.

com21

pcvision a écrit :

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres

un poil grillaid quand meme ;)

pcvision

pour la question 2: il y a la possibilité d'indiqué au DHCP les adresses MAC des machines autorisés a prendre une adresse IP et ainsi refuser les autres

Jef34

[:plusun]

El Pollo Diablo a écrit :

Sur le coup c'est toi qui te plante : la zone "." signifie que ton serveur est un root-server, donc il considere qu'il fait authorité pour son domaine certes, mais aussi pour tous les autres domaines de la terre :D c'est quand cette zone est présente que le serveur n'ira jamais chercher ailleurs une résolution de nom.
Ca se vérifie simplement d'ailleurs, si ton serveur a la zone ".", on ne peut meme pas rajouter de redirecteurs, toutes les options de l'onglet sont grisées.

Ce qu'a fait mikeleetoris est donc correct de ce point de vue, et root ou pas, ca ne change rien a son probleme de mises a jour.

El Pollo Diablo

rogntudjuuuuuuuuu a écrit :

aucun interet. La zone "." signifie que ton serveur fait autorité dans ton domaine et qu'il n'ira jamais faire des requetes en dehors de celui-ci.

Donc : on ne mets les redirecteurs que lorsqu'on laisse cette "."

ça marche quand meme si on les inscrit mais c que tu as fait est illogique, et DNS n'aime pas ce qui est illogique ;-)

rogntudjuuuuuuuuu

mikeleetoris a écrit :

On a enlevé la zone ".", on a indiqué le redirecteur

MANFOX

té un bon toi hein mikeleetoris

El Pollo Diablo

mikeleetoris a écrit :

1) Pour le DNS et la zone directe qui ne veut pas se mettre à jour dynamiquement: Y a-t-il une explication simple, et une manip rapide et rationnelle? (non, laissez tomber "rationnelle", c'est vrai que c'est du Cro$oft ;) !!!)

Deja l'option "utiliser DHCP pour mettre a jour DNS" on s'en fout dans ton cas : ca ne fonctionne que pour les postes en win 9x, qui ne sont pas capables tout seul de s'inscrire dans un DNS dynamique, les 2k/xp savent le faire par eux-meme.
A verifier par contre que dans l'onglet DNS de la config IP de tes postes, la case "enregistrer les adresses de cette connexion dans le systeme DNS" soit bien cochée.
Sur le serveur, dans la config de ta zone directe verifie que les mises a jour dynamiques soient bien autorisées (essaie deja en non-sécurisé au cas ou).
Sur tes stations essaie de lancer la MAJ DNS a la main avec un "ipconfig /registerdns".
Si ca marche toujours pas, check l'observateur d'evenement des stations ou des serveurs pour voir si des erreurs en rapport avec le DNS n'apparaisse pas.

Au passage ca ne change rien a ton probleme, mais ton suffixe DNS "toto.fr" tu peux tres bien le faire passer par le DHCP aussi, pas obligé de le rentrer en dur sur chaque poste.

Citation :

2) Où c'est-y donc, crévindiou, qu'on dit à AD ou bien à DHCP de n'accepter les requêtes qu'en provenance de stations déclarées dans le domaine?

C'est impossible, le protocole DHCP fonctionne bien en ammont de ton AD ou de toute sécurité au niveau de l'OS, c'est pas de la faute a Microsoft. Ce que tu peux faire pour sécuriser ca un peu c'est pour tous tes postes leur mettre une réservation par leur adresse MAC dans ton etendue DHCP, et limiter ton etendue aux seules IP que tu as réservée.
Mais bon, spoofer un @mac c'est pas bien compliqué, et rentrer manuellement une IP fixe qui corresponde a ton sous-réseau IP non plus, faut pas compter sécuriser comme ca.

com21

2) PAS POSSIBLE.

Dhcp ne travaille qu'avec les adresses macs, donc ce qui est possible de faire c'est d'attribuer des ips à certaines adresses mac et pas à d'autres.

mikeleetoris

Salut amis gourous niveau quarante douze!!!

Sur un Windows 2000 server SP4, on a installé le DNS et le DHCP pour un parc d'une vingtaine de stations Windows 2000 Pro. Les comptes AD des stations et des users du domaine ont été créés.

Pour DHCP, qui est relié à AD, on lui a demandé d'indiquer aux stations que le DNS c'était le serveur (PDC) et que la gateway était par là.

Sur les stations, qu'on a bien entendu raccordé au domaine NT, dans les paramètres IP on a indiqué qu'elles se débrouillaient pour obtenir leur adresse IP et l'adresse du DNS. On leur a en plus indiqué (params avancés, onglet DNS) que le domaine DNS auquel elles participent est bien le même que celui déclaré sur le serveur (genre "toto.fr" ).

Jusque là tout va bien! Les stations récupèrent bien une adresse IP, l'adresse du serveur DNS, le domaine DNS et la gateway sont bien renseignés. Avec "ipconfig /all", tout est Nickel! On peut aller sur hardware.fr!!!

On a ensuite installé le DNS sur le serveur, qui lui aussi est relié à AD (j'veux dire par là, par défaut il stocke ses infos dans AD et pas dans des fichiers). On a enlevé la zone ".", on a indiqué le redirecteur et surtout on a demandé que DHCP mette à jour dynamiquement DNS quand une nouvelle station fait une requête.

Et là, ça va pas du tout!!!

1) La zone inverse du DNS est bien mise à jour dynamiquement, mais pas la zone directe, qui reste désespérement vide... Ce qui est fantastiquement couillon, parce que les stations ne se voient par leurs noms que par Netbios. Un ping d'une station par son nom ne fonctionne pas (par son IP oui, forcément). On a constaté que lorsqu'on ajoutait "à la main" une station dans la zone DNS directe, alors DHCP met bien à jour son IP. Mais s'il faut rentrer A NOUVEAU toutes les machines du domaine dans la zone directe, d'abord c'est nul à chier, ensuite à quoi ça sert que DNS cause avec AD??? DNS devrait les voir les noms des stations dans AD???

2) Comme les stations participaient à un domaine, étaient déclarés dans AD, et que DHCP et DNS participaient à AD aussi, on pensait (mal!) que seules les machines du domaine pourraient faire des requêtes DHCP!!! Que nenni: des stations qui ne sont pas déclarées dans le domaine mais qui font des requêtes DHCP se voient attribuer une adresse et la gateway par notre serveur! CE QUE L'ON NE VEUT PAS DU TOUT!

-----------

Mes questions:

1) Pour le DNS et la zone directe qui ne veut pas se mettre à jour dynamiquement: Y a-t-il une explication simple, et une manip rapide et rationnelle? (non, laissez tomber "rationnelle", c'est vrai que c'est du Cro$oft ;) !!!)

2) Où c'est-y donc, crévindiou, qu'on dit à AD ou bien à DHCP de n'accepter les requêtes qu'en provenance de stations déclarées dans le domaine?

---------------

Merci tout plein.
Tchô