Bonjour,
 
J'ai remarqué un truc étrange au niveau du DNS dans mon réseau (le primaire forward est sur un serveur windows 2000). Normalement, dans les zones _msdcs.dc._sites.premier-site-par-defaut._tcp et _msdcs.pdc._tcp, on trouve un enregistrement _ldap et un enregistrement _kerberos. Or dans mon cas, je n'ai que l'enregistrement _ldap et pas l'enregistrement _kerberos pour un des domaines enfants dans ma hiérarchie active directory. De plus, pour ce domaine enfant, il manque la zone _udp, il n'y a que les zones _mscdcs, _sites et _tcp.
 
Est-ce que ça peut être une source de soucis dans le fonctionnement d'Active Directory et surtout est-ce que je peux envisager d'ajouter ces zones et ces enregistrements à la main? Je présume que oui dans les deux cas mais, n'ayant jamais été confronté à ce genre de problème auparavant et étant en environnement de production, je préfère poser la question avant de tout casser    
 
Merci    
 
a+
 
Rocks
 
P.S. je précise que j'ai bien lu la page à ce sujet chez M$ (http://www.microsoft.com/windows20 [...] hoot2C.asp) mais c'est un peu succint par rapport à mon problème...

Bonjour,
 
Ton problème m'est pas inconnu. Si ton serveur est neuf, que tu as monté crée ton AD (avec DCPROMO) il te propose normalement d'installer et de configurer le DNS. Et il configure tout avec tout ce qu'il faut là ou il faut.
 
Si ton serveur est ancien, que tu la redescendu en tant que simple serveur membre (DCPROMO /removeall) , et que t'es remonté un nouvel AD (DCPROMO), il est possible qu'il est gardé des anciens enregistrements en cache et certains fichiers sur ton disque dur (faut tout nettoyer à la main). Il s'embrouille un peu avec ça...
 
Ce dernier et plus particulièrement ton cas m'est arrivé et ces enregistrements sont necessaires au bon fonctionnement de ton AD et de ton serveur...
 
@+
cvb
 
ps : Regarde si ton serveur est bien client de lui-même au passage (DNS primaire je parle).

Salut,
 
Merci pour ces infos.
 
En fait, ma situation est un peu plus complexe que ça. On m'a confié la gestion de ces serveurs il y a un peu plus d'un an et je n'ai aucune info précise sur l'historique de ces serveurs...  Tout ce que je sais, c'est que la hiérarchie de serveurs Active Directory a été déployée en 2001. Quant à ce qu'il s'est passé pendant les trois années entre le déploiement et celui où j'ai pris en main les serveurs... je n'en sais rien    Pour dire à quel point la gestion ici est catastrophique, quant la hiérarchie a été déployée, des licences Windows 2000 server ont été achetées. Et bien on les a perdu! Si si, on a perdu les licences de nos serveurs. Personne ne sait où elles sont et j'ai fouillé partout dans les affaires qu'on m'a laissé : elles n'y sont pas    Ca fait vraiment pas très sérieux, mais ça se passe comme ça chez nous    Alors savoir ce qu'il s'est passé sur les serveurs, il ne faut même pas que j'en rêve...    
 
N'empêche que j'ai ajouté les enregistrements SRV à la main mais j'ai toujours des soucis au niveau de la réplication du serveur enfant... Il faut un certain temps pour que les enregistrements se propagent (normalement non, le DNS est primaire pour tous les serveurs) ou que le cache se régénère, ou mettre à jour le fichier de données du serveur ou même nettoyer les enregistrements de ressource périmés?    
 
Merci.
 
a+
 
Rocks

Normalement ça se réplique assez vite. Je crois aussi sans m'avancer que l'on peut régler ce temps de réplication entre les différentes sites et les différentes serveurs...Perso, je n'ai jamais rajouté des enregistrement à la main, donc je ne peux pas trop me prononcer sur la viabilité les conséquences à long terme ! En ce qui me concerne j'aurais pris le moins de risque possible et une assurance pour les mois avenir en refesant mon AD complètement (dcpromo /removeall) et de nouveau (dcpromo)...Aprés chacun as ses contraintes donc voià
 
@+

net stop netlogon
net start netlogon
 
si ton serveur est bien configuré (au niveau client DNS) la zone _msdcs est recrée automatiquement.

Salut,
 
J'ai ajouté manuellement toutes les entrées des zones _msdcs et _udp manquantes. Elles sont désormais identiques pour tous mes contrôleurs de domaines enfants. Cependant je n'ai toujours pas de réplication pour ce serveur particulier qui pose problème.
Un net stop/start netlogon ne va rien apporter de plus non?
Quant à refaire un dcpromo sur ce serveur, je vais perdre tous les comptes utilisateurs configurés depuis des années, non?
 
Merci.
 
a+
 
Rocks

messages d'erreur dans l'event log ?

Salut,
 
Erreur Netlogon (évènement 5719).
 
Le plus souvent le message est :

J'ai aussi parfois ce message :

(remplacer ****** par le nom du domaine enfant, bien entendu   )
 
C'est pour ça que j'ai regardé du côté du dns, comme indiqué dans la doc de M$ (http://www.microsoft.com/windows20 [...] hoot2C.asp) mais ça n'a pas résolu mon problème.
 
Juste pour préciser :

• Tout IP est ouvert entre les serveurs, il n'y a ni firewall, ni filtrage sur les routeurs (je sais, c'est pas bien mais c'est juste le temps de résoudre mon problème).
• Les serveurs parents et enfants sont bien configurés en termes de DNS.

Voilà    
 
Merci.
 
a+
 
Rocks

que donne un nslookup d'un DC racine, à partir d'un dc enfant ?

Hello,
 
Les requêtes s'exécutent bien. On a bien une réponse provenant du serveur DNS configuré sur le serveur Active Directory qui donne le nom complet et l'ip des DC racine. Tout est OK de ce côté là...
 
Petit truc curieux : la connexion en Terminal Server sur le serveur qui pose problème est extrèmement lente à s'établir. Une fois le login entré,  il faut plus de 10 minutes, montre en main, pour que la session soit ouverte! Par contre, une fois que la session est ouverte, c'est très rapide, tout à fait comparable aux autres serveurs. C'est plutôt bizarre non?
 
a+
 
Rocks

 
Non, pb de localisation du DC, donc de DNS.

OK, je vais continuer à creuser du côté du DNS.
Merci pour toutes ces infos brainbugs, c'est sympa
 
a+

tu es pas le seul  
J'ai connu ca quand je suis arrivé à mon entreprise (j'ai reussi à les retrouver par hasard dans un carton pret à etre balancé à la poubelle ) et encore c'était pas le plus tragique que j'ai vu , il y avait un 2000serveur avec Ad installé sans domaine les personnes référencés sur le serveur c'était be6 (pour le bureau d'étude) ou alors sec1,2,3,4 ( pour les 4 secrétaires) je savais meme pas qui avait quel login sur le serveur

Les licences tu t'en fous. Du moment que tu peux prouver (facture) que tu les as achetées.

 
Ouaip, si seulement les factures étaient au moins aussi mal gérées que les licences, ce serait déjà pas mal. Malheureusement, c'est pire. Les licences, on en a besoin pour les installations alors elles sont plus ou moins bien conservées mais les factures, c'est perdu ou, pire encore, archivé    
 
Juste pour ajouter des infos par rapport à où j'en suis avec mes histoires : j'ai fait un net stop netlogon + net start netlogon sur le DC enfant, mais c'est toujours pas mieux... J'ai aussi constaté un truc bizarre : le DC enfant dispose de 2 cartes réseau, la seconde, non reliée, avait une adresse APIPA (169.254.*). Apparamment, le net stop/start netlogon a ajouté une entrée d'hôte dans le DNS correspondant à cette carte. Du coup, le serveur cherchait à communiquer sur les 2 interfaces, ce qui ne devait pas aider. J'ai désactivé la seconde carte réseau, supprimé l'entrée du DNS, verifié avec netstat -nr que les entrées en 169.254.* avaient disparu. Tout est OK de ce côté là, mais j'ai toujours des erreurs netlogon et toujours pas de replication de ce serveur...
 
a+

 
Salut,
 
Je suis toujours planté avec mes serveurs qui ne se répliquent pas. J'ai beau chercher, je ne vois pas ce qui peut coincer    
 
Est-ce que quelqu'un aurait une liste de tests à me suggérer pour essayer de cerner la cause du problème?
 
Merci.
 
a+

http://www.eventid.net/display.asp [...] ON&phase=1
 
Là t'as tout plein de trucs à essayer
 
Une question...quelle sont les situations géographiques de tes domaines? Dans AD, as-tu créé des sites différents ou sont-ils tous dans le même site?
 
Ha ben, ca fait deux questions en fait....  

Salut,
 
Merci pour le lien, je connaissais pas    
 
Géographiquement, on est pas trop éparpillés (le site le plus distant est à 15km) et d'un point de vue de la connexion, ça va, on a du débit. Par contre, on a un plusieurs routeurs pour certains sites (jusqu'à 3) ce qui complique parfois un peu les choses, les ACL sont pas simples à gérer... D'un point de vue active directory, tout est dans Premier-Site-par-defaut. C'est peut-être pas génial mais c'est pas moi qui ait choisi (j'"hérite" d'une hiérarchie existante, je ne l'ai pas créé). J'aurais probablement pas mieux fait, d'ailleurs    
 
Info supplémentaire : j'ai fait tourner ethereal sur le serveur qui plante, en filtrant la capture sur le port 53.
On voit passer des paquets du type : "Standard query A ff(plein-de-code)._msdcs.mon.domaine.fr" pour lesquels la réponse est : "Standard query response, No such name".
Il y a aussi des paquets du type "Dynamic update SOA" qui se prennent des "Refused"...
 
a+

Houla...
 
Normalement, pour faire répliquer des serveurs qui ne se trouvent pas dans la même localisation géographique, à moins d'avoir une connection à 100Mb entre tes deux bâtiments, il faut créer deux sites, a cause des deux types de réplications avec protocoles différents...
 
Bref, c'est peut être pas ça ton problème mais....en intersite la réplication utilise smtp, alors qu'en intrasite c'est smtp ou rpc..
 
Autre chose, a priori il cherche un domaine enfant qui n'existe pas si jai bien compris. Tu as fait un flushdns sur le serveur? Tu as essayé un nslookup sur 1°/ le nom de ton domaine enfant 2°/le nom indiqué dans ta capture de trame "query A" (d'ailleurs sont ils identiques? Le nom dans la capture est-il correct?)

Salut,
 

 
 
Oui, en effet, pour rester en intrasite, il faut avoir de l'ethernet 10Mbps mini, 100Mbps de préférence. J'ai de la chance, tous mes routeurs sont reliés en fibre et sont sur des boucles à 2.5GBps, donc je suis à priori ok de ce côté là     N'empêche, si il cherche à faire du smtp, je suis pas sur que mes serveurs racine soient configurés pour accepter ce mode de réplication...
 
 

 
Ouaip, flushdns n'a rien donné.
 
Pour le 1°/ tu veux dire nslookup nom_serveur_enfant depuis le serveur racine? Si oui, je l'ai fait et tout est OK. J'ai fait l'inverse aussi (nslookup du domaine parent depuis le serveur enfant et tout est ok). Par contre, si je fais un nslookup sur certains des autres serveurs enfants sans utiliser le FQDN, la requête plante... Ce qui est encore plus dingue, c'est que la même requête depuis mon poste perso, qui a strictement la même config réseau que mes serveurs (en dehors de son @ip, bien sur) ne plante pas, même si la réponse est marquée comme ne faisant pas authorité... Est-ce un pb de fonctionnement entre 2000 et XP Pro?    
 
2°/ je ne saisis pas : il n'y a pas de nom indiqué dans la trame, juste un code du style : "0f796f14-a8b9-4382-a2c9-d456fb310d69._msdcs.mon.domaine.fr". Je ne peux pas voir sa correspondance manuellement, si?    
D'ailleurs, habituellement, à ce genre de requête, le serveur DNS répond par le nom DNS de la machine concernée, mais pas dans le cas du serveur qui plante...
 
a+

Alors, l'espèce de clé bizarre que tu as dans la trame, ca resseemble fortement à l'enregistrement CNAME du serveur, dans la config de ton serveur DNS, dans _msdcs, si ma mémoire est bonne, il y a des enregistrements statiques dont le nom est une clé du genre celle que tu obtiens, le type alias, et le data le nom dns complet du dc.
Tu as ça?

Oui, tu as tout à fait raison    
Et en effet, il n'y a pas de correspondance entre le cname dans mon dns et le contenu de la trame...    Je comprends d'où il tient ces enregistrements erronés...

Et si tu rajoutais à la main le CNAME contenu dans la trame avec comme data le nom du dc? (j'avoue que ca me parait un peu louche mais bon c'est pas mon serveur ^^ ....)

Heu.. oui, sauf que j'ai plusieurs CNAME que demande ce serveur et je n'ai aucune idée à quel dc ils peuvent bien correspondre...
D'ailleurs, c'est bizarre, il fait des requêtes sur des CNAME existants (qui ne plantent pas, heureusement ) mais aussi sur des CNAME non existants (et là, bien entendu, ça plante )

ben peut etre qu'en supprimant les CNAME non existant (qui donc ne servent a rien) il pourrait faire un rebuild lors de sa prochaine requete dns...., mais la je ne sais vraiment pas.

Euh, excuse-moi, mais j'ai du louper quelque chose là  
 
C'est le serveur enfant qui fait des requêtes avec des CNAME farfelus, or il n'a pas de serveur DNS d'installé.
Il fait ses requêtes auprès du serveur DNS qui est aussi mon serveur Active Directory à la racine du domaine.
Il n'a pas de serveur DNS configuré en local.
Je ne vois donc pas d'où il tire ces enregistrements CNAME. Ils ne sont pas sur le serveur à la racine du domaine. Si ils sont sur le serveur enfant, je ne comprends pas où et donc je ne vois pas ce que je peux supprimer...
Est-ce qu'il y a quelque chose que je n'ai pas compris?    
 
Merci.

Ha non c'est moi qui avait mal compris. Je pensais que la trame allait dans l'autre sens et que c'était une requête faite par le dc parent lorsqu'il essayait de répliquer avec l'enfant....
 
Je vais essayer de voir ça ce soir
 

Bonjour,
 
Bon j'ai essayé" de reprendre depuis le début et de mettre toutes les infos dans l'ordre.
Tu dis que ta connexion TS est très lente à l'ouverture mais pas après (donc la connexion est bonne mais l'authentification prend du temps.). tu te connectes dessus avec le nom de la machine, l'IP, ou les deux? Le temps de réponse de la machine est correct?
Tu dis que dans les logs tu as un problème RPC
Tu dis que tes serveurs sont dans le même site AD bien que séparés géographiquement, donc AD utilise au choix soit smtp soit RPC pour sa réplication.
 
D'où :
1°/ il n'y aurait pas un problème sur la ligne reliant tes deux serveurs? (câble, cartes réseau, port des switchs ou routeur, voire routeur lui même)
2°/ il n'y aurait pas un problème au niveau du service RPC de l'un des deux serveurs (surtout l'enfant) un stop/start du service est-il envisageable?
3°/ il n'y aurait pas une route statique configurée quelque part pour cette destination, bien plus longue que celle devant normalement être employée, mais forcée avec une priorité de 1 (on en revient également au routeur peut être HS et les messages font donc "tout le tour" )?
 
Perso, je pencherais pour un problème sur le service RPC. Mais là, faut tout vérifier

oups autre chose: qui est serveur DNS du serveur DNS enfant?

j'ai eu un problème sur un site ou le serveur avait ete mis en domaine enfant puis remis en foret disjointe sans casser le dns.  
du coup la zone msdcs n'etait pas bien configure.
 
Mon problème ne se resolvait pas par un netlogon /stop puis netlogon /start comme ca devrait car mon SOA n'était pas bon sur la zone.
apres modification du SOA pour un utilisateur ayant les droits la réplication s'est remise en route.
 
j'avais trouve un super lien sur DNS 2000 (et plus large) chez crosoft
http://www.microsoft.com/technet/p [...] kdns2.mspx
 
bon courage

Salut,
 

 
Merci pour ces infos    
Oui, tu as bien repris tous les points du problème    
 
Je viens d'avoir la solution : les ACL sur un des routeurs étaient pourries (ça fait des mois que je dis ça aux responsables des routeurs et à chaque fois on m'a répondu : "mais non, c'est bon, tout IP est ouvert entre les serveurs, ça ne vient pas des routeurs" )    Y'a des fois, autant souffler dans un violon, ça fait autant d'effet ici    
Les ACL ont été corrigées et maintenant la réplication se passe bien    J'ai même pas eu besoin de faire un net stop/start netlogon  
 

Qu'entends-tu par serveur enfant? Si c'est le serveur DNS qu'utilise le serveur qui avait des soucis de réplication : il utilise un serveur BIND comme redirecteur et il est serveur racine de sa zone, donc pas de soucis de ce côté là    
 

Ah oui, en effet, c'est assez tordu comme problème. J'avais lu cette doc    
 
En tout cas, un grand merci à tous pour votre aide. Vous avez été d'un grand soutien et ça a énormément compté, merci    
 
a+
 
Rocks

mais ton pb est resolu ou pas ?

Ouaip, désolé, c'était pas très clair. C'est ce que je voulais dire par :

Donc c'est cool, la réplication se passe bien

oups j'avais lu trop vite
cool
 
en tout cas un topic interessant sur les problèmes possibles de DNS