 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : [Résolu] DNS et Active Directory Windows 2000 | |
| boisorbe | oups j'avais lu trop vite :D
cool en tout cas un topic interessant sur les problèmes possibles de DNS |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| boisorbe | oups j'avais lu trop vite :D
cool en tout cas un topic interessant sur les problèmes possibles de DNS |
| Rocks | Ouaip, désolé, c'était pas très clair. C'est ce que je voulais dire par :
|
| boisorbe | mais ton pb est resolu ou pas ? |
| Rocks | Salut,
|
| boisorbe | j'ai eu un problème sur un site ou le serveur avait ete mis en domaine enfant puis remis en foret disjointe sans casser le dns. du coup la zone msdcs n'etait pas bien configure. Mon problème ne se resolvait pas par un netlogon /stop puis netlogon /start comme ca devrait car mon SOA n'était pas bon sur la zone. apres modification du SOA pour un utilisateur ayant les droits la réplication s'est remise en route. j'avais trouve un super lien sur DNS 2000 (et plus large) chez crosoft http://www.microsoft.com/technet/p [...] kdns2.mspx bon courage |
| The Psychowizard | oups autre chose: qui est serveur DNS du serveur DNS enfant? |
| The Psychowizard | Bonjour,
Bon j'ai essayé" de reprendre depuis le début et de mettre toutes les infos dans l'ordre. Tu dis que ta connexion TS est très lente à l'ouverture mais pas après (donc la connexion est bonne mais l'authentification prend du temps.). tu te connectes dessus avec le nom de la machine, l'IP, ou les deux? Le temps de réponse de la machine est correct? Tu dis que dans les logs tu as un problème RPC Tu dis que tes serveurs sont dans le même site AD bien que séparés géographiquement, donc AD utilise au choix soit smtp soit RPC pour sa réplication. D'où : 1°/ il n'y aurait pas un problème sur la ligne reliant tes deux serveurs? (câble, cartes réseau, port des switchs ou routeur, voire routeur lui même) 2°/ il n'y aurait pas un problème au niveau du service RPC de l'un des deux serveurs (surtout l'enfant) un stop/start du service est-il envisageable? 3°/ il n'y aurait pas une route statique configurée quelque part pour cette destination, bien plus longue que celle devant normalement être employée, mais forcée avec une priorité de 1 (on en revient également au routeur peut être HS et les messages font donc "tout le tour" )? Perso, je pencherais pour un problème sur le service RPC. Mais là, faut tout vérifier ;) |
| The Psychowizard | Ha non c'est moi qui avait mal compris. Je pensais que la trame allait dans l'autre sens et que c'était une requête faite par le dc parent lorsqu'il essayait de répliquer avec l'enfant....
Je vais essayer de voir ça ce soir |
| Rocks | Euh, excuse-moi, mais j'ai du louper quelque chose là :o
C'est le serveur enfant qui fait des requêtes avec des CNAME farfelus, or il n'a pas de serveur DNS d'installé. Il fait ses requêtes auprès du serveur DNS qui est aussi mon serveur Active Directory à la racine du domaine. Il n'a pas de serveur DNS configuré en local. Je ne vois donc pas d'où il tire ces enregistrements CNAME. Ils ne sont pas sur le serveur à la racine du domaine. Si ils sont sur le serveur enfant, je ne comprends pas où et donc je ne vois pas ce que je peux supprimer... Est-ce qu'il y a quelque chose que je n'ai pas compris? :??: Merci. |
| The Psychowizard | ben peut etre qu'en supprimant les CNAME non existant (qui donc ne servent a rien) il pourrait faire un rebuild lors de sa prochaine requete dns...., mais la je ne sais vraiment pas. |
| Rocks | Heu.. oui, sauf que j'ai plusieurs CNAME que demande ce serveur et je n'ai aucune idée à quel dc ils peuvent bien correspondre...
D'ailleurs, c'est bizarre, il fait des requêtes sur des CNAME existants (qui ne plantent pas, heureusement :) ) mais aussi sur des CNAME non existants (et là, bien entendu, ça plante :p ) |
| The Psychowizard | Et si tu rajoutais à la main le CNAME contenu dans la trame avec comme data le nom du dc? (j'avoue que ca me parait un peu louche mais bon c'est pas mon serveur ^^ ....) |
| Rocks | Oui, tu as tout à fait raison :jap: Et en effet, il n'y a pas de correspondance entre le cname dans mon dns et le contenu de la trame... :heink: Je comprends d'où il tient ces enregistrements erronés... |
| The Psychowizard | Alors, l'espèce de clé bizarre que tu as dans la trame, ca resseemble fortement à l'enregistrement CNAME du serveur, dans la config de ton serveur DNS, dans _msdcs, si ma mémoire est bonne, il y a des enregistrements statiques dont le nom est une clé du genre celle que tu obtiens, le type alias, et le data le nom dns complet du dc.
Tu as ça? |
| Rocks | Salut,
|
| The Psychowizard | Houla...
Normalement, pour faire répliquer des serveurs qui ne se trouvent pas dans la même localisation géographique, à moins d'avoir une connection à 100Mb entre tes deux bâtiments, il faut créer deux sites, a cause des deux types de réplications avec protocoles différents... Bref, c'est peut être pas ça ton problème mais....en intersite la réplication utilise smtp, alors qu'en intrasite c'est smtp ou rpc.. Autre chose, a priori il cherche un domaine enfant qui n'existe pas si jai bien compris. Tu as fait un flushdns sur le serveur? Tu as essayé un nslookup sur 1°/ le nom de ton domaine enfant 2°/le nom indiqué dans ta capture de trame "query A" (d'ailleurs sont ils identiques? Le nom dans la capture est-il correct?) |
| Rocks | Salut,
Merci pour le lien, je connaissais pas :) Géographiquement, on est pas trop éparpillés (le site le plus distant est à 15km) et d'un point de vue de la connexion, ça va, on a du débit. Par contre, on a un plusieurs routeurs pour certains sites (jusqu'à 3) ce qui complique parfois un peu les choses, les ACL sont pas simples à gérer... D'un point de vue active directory, tout est dans Premier-Site-par-defaut. C'est peut-être pas génial mais c'est pas moi qui ait choisi (j'"hérite" d'une hiérarchie existante, je ne l'ai pas créé). J'aurais probablement pas mieux fait, d'ailleurs ;) Info supplémentaire : j'ai fait tourner ethereal sur le serveur qui plante, en filtrant la capture sur le port 53. On voit passer des paquets du type : "Standard query A ff(plein-de-code)._msdcs.mon.domaine.fr" pour lesquels la réponse est : "Standard query response, No such name". Il y a aussi des paquets du type "Dynamic update SOA" qui se prennent des "Refused"... a+ |
| The Psychowizard | http://www.eventid.net/display.asp [...] ON&phase=1
Là t'as tout plein de trucs à essayer ;) Une question...quelle sont les situations géographiques de tes domaines? Dans AD, as-tu créé des sites différents ou sont-ils tous dans le même site? Ha ben, ca fait deux questions en fait.... :) |
| Rocks |
|
| Rocks |
|
| brainbugs | Les licences tu t'en fous. Du moment que tu peux prouver (facture) que tu les as achetées.
|
| unital |
tu es pas le seul |
| Rocks | OK, je vais continuer à creuser du côté du DNS.
Merci pour toutes ces infos brainbugs, c'est sympa :) a+ |
| brainbugs |
|
| Rocks | Hello,
Les requêtes s'exécutent bien. On a bien une réponse provenant du serveur DNS configuré sur le serveur Active Directory qui donne le nom complet et l'ip des DC racine. Tout est OK de ce côté là... Petit truc curieux : la connexion en Terminal Server sur le serveur qui pose problème est extrèmement lente à s'établir. Une fois le login entré, il faut plus de 10 minutes, montre en main, pour que la session soit ouverte! Par contre, une fois que la session est ouverte, c'est très rapide, tout à fait comparable aux autres serveurs. C'est plutôt bizarre non? a+ Rocks |
| brainbugs | que donne un nslookup d'un DC racine, à partir d'un dc enfant ? |
| Rocks | Salut,
Erreur Netlogon (évènement 5719). Le plus souvent le message est :
|
| brainbugs | messages d'erreur dans l'event log ? |
| Rocks | Salut,
J'ai ajouté manuellement toutes les entrées des zones _msdcs et _udp manquantes. Elles sont désormais identiques pour tous mes contrôleurs de domaines enfants. Cependant je n'ai toujours pas de réplication pour ce serveur particulier qui pose problème. Un net stop/start netlogon ne va rien apporter de plus non? Quant à refaire un dcpromo sur ce serveur, je vais perdre tous les comptes utilisateurs configurés depuis des années, non? Merci. a+ Rocks |
| brainbugs | net stop netlogon
net start netlogon si ton serveur est bien configuré (au niveau client DNS) la zone _msdcs est recrée automatiquement. |
| cvb | Normalement ça se réplique assez vite. Je crois aussi sans m'avancer que l'on peut régler ce temps de réplication entre les différentes sites et les différentes serveurs...Perso, je n'ai jamais rajouté des enregistrement à la main, donc je ne peux pas trop me prononcer sur la viabilité les conséquences à long terme ! En ce qui me concerne j'aurais pris le moins de risque possible et une assurance pour les mois avenir en refesant mon AD complètement (dcpromo /removeall) et de nouveau (dcpromo)...Aprés chacun as ses contraintes donc voià :)
@+ |
| Rocks | Salut,
Merci pour ces infos. En fait, ma situation est un peu plus complexe que ça. On m'a confié la gestion de ces serveurs il y a un peu plus d'un an et je n'ai aucune info précise sur l'historique de ces serveurs... :sarcastic: Tout ce que je sais, c'est que la hiérarchie de serveurs Active Directory a été déployée en 2001. Quant à ce qu'il s'est passé pendant les trois années entre le déploiement et celui où j'ai pris en main les serveurs... je n'en sais rien :pfff: Pour dire à quel point la gestion ici est catastrophique, quant la hiérarchie a été déployée, des licences Windows 2000 server ont été achetées. Et bien on les a perdu! Si si, on a perdu les licences de nos serveurs. Personne ne sait où elles sont et j'ai fouillé partout dans les affaires qu'on m'a laissé : elles n'y sont pas :ouch: Ca fait vraiment pas très sérieux, mais ça se passe comme ça chez nous :sarcastic: Alors savoir ce qu'il s'est passé sur les serveurs, il ne faut même pas que j'en rêve... :D N'empêche que j'ai ajouté les enregistrements SRV à la main mais j'ai toujours des soucis au niveau de la réplication du serveur enfant... Il faut un certain temps pour que les enregistrements se propagent (normalement non, le DNS est primaire pour tous les serveurs) ou que le cache se régénère, ou mettre à jour le fichier de données du serveur ou même nettoyer les enregistrements de ressource périmés? :??: Merci. a+ Rocks |
| cvb | Bonjour,
Ton problème m'est pas inconnu. Si ton serveur est neuf, que tu as monté crée ton AD (avec DCPROMO) il te propose normalement d'installer et de configurer le DNS. Et il configure tout avec tout ce qu'il faut là ou il faut. Si ton serveur est ancien, que tu la redescendu en tant que simple serveur membre (DCPROMO /removeall) , et que t'es remonté un nouvel AD (DCPROMO), il est possible qu'il est gardé des anciens enregistrements en cache et certains fichiers sur ton disque dur (faut tout nettoyer à la main). Il s'embrouille un peu avec ça... Ce dernier et plus particulièrement ton cas m'est arrivé et ces enregistrements sont necessaires au bon fonctionnement de ton AD et de ton serveur... @+ cvb ps : Regarde si ton serveur est bien client de lui-même au passage (DNS primaire je parle). |
| Rocks | Bonjour,
J'ai remarqué un truc étrange au niveau du DNS dans mon réseau (le primaire forward est sur un serveur windows 2000). Normalement, dans les zones _msdcs.dc._sites.premier-site-par-defaut._tcp et _msdcs.pdc._tcp, on trouve un enregistrement _ldap et un enregistrement _kerberos. Or dans mon cas, je n'ai que l'enregistrement _ldap et pas l'enregistrement _kerberos pour un des domaines enfants dans ma hiérarchie active directory. De plus, pour ce domaine enfant, il manque la zone _udp, il n'y a que les zones _mscdcs, _sites et _tcp. Est-ce que ça peut être une source de soucis dans le fonctionnement d'Active Directory et surtout est-ce que je peux envisager d'ajouter ces zones et ces enregistrements à la main? Je présume que oui dans les deux cas mais, n'ayant jamais été confronté à ce genre de problème auparavant et étant en environnement de production, je préfère poser la question avant de tout casser :D Merci :) a+ Rocks P.S. je précise que j'ai bien lu la page à ce sujet chez M$ (http://www.microsoft.com/windows20 [...] hoot2C.asp) mais c'est un peu succint par rapport à mon problème... |
