locked
Recherche d'enregistrement SRV dans une forêt distante RRS feed

  • Question

  • Bonjour à tous,

    Voilà ma problématique : je dispose de 2 forêts Active Directory, reliées par une relation d'approbation externe (contrainte client). L'une est une forêt de ressources (pour exchange), l'autre une forêt de comptes. La forêt de compte n'est joignable depuis la forêt de ressource que par une seul DC, positionné dans un site AD spécifique. Les autres DC sont positionnés derrière un nat (les problématiques de réplications etc... sont correctement traitées, pas de soucis de ce coté)

    Je souhaite créer des BALs linkée depuis ma forêt de ressource pour mes utilisateurs de ma forêt de comptes. Dans la console Exchange, lors du browse d'un DC disponible pour trouver les utilisateurs de la forêt de compte, je rencontre de grosse lenteu d'affichage. Elles proviennent du fait que la requête DNS envoyée recherche l'ensemble des serveurs LDAP de ma forêt de compte. J'aimerai forcer cette requête pour ne rechercher que les DC d'un site spécifique.

    Lors d'une précédente maquette, j'avais réussi à obtenir ce résultat, en nommant, dans chacune des forêts, le site Active Directory avec le même nom. Je remarquais que lors du browse, la première requête DNS envoyée à ma forêt distante contenait le nom du site AD. Sur ma nouvelle infra, je n'arrive pas à reproduire ce comportement. La premièr requete est toujours _ldap._tcp.dc._msdcs.nomdemondomainedistant.com, et non pas _ldap._tcp.SITENAME._sites.dc._msdcs.nomdemondomainedistant.com

    Si j'ai été suffisemment clair, avez vous des idées pour forcer le comportement voulu?

    A noter que depuis mes DCs de forêt de ressources, la 1ère requête DNS qui part vers le DNS distant, la requête contient le nom du site AD. La problématique se situe donc sur mon serveur Exchange.

    Merci d'avance

    Olivier
    jeudi 28 janvier 2010 11:33

Réponses

  • Bonjour,

    Merci pour votre retour. Mon problème n'a pas de solution via la console. En revanche, en passant par les commandes powershell, je peux fixer mon DC. 

    La KB MS est très intéressante, car elle valide le fonctionnement DNS que je décris, et dont je n'avais pas encore trouvé de "preuves".

    Olivier
    vendredi 29 janvier 2010 12:16

Toutes les réponses

  • Petite mise à jour : je remarque que le comportement est systématiquement bon quand j'utilise le client ldp pour me connecter/binder la forêt distante : le client DNS recherche bien un enregistrement SRV en tenant compte du site. En revanche, quand j'utilise le browse de la console Exchange, cette fois la requête ne prend pas en compte la notion de site. Ma question va donc devenir une question pour les spécialistes Exchange : Comment restreindre le champ de recherche des DCs de la forêt de compte distante quand je cherche à créer une boite aux lettre linkée. 

    Olivier
    jeudi 28 janvier 2010 13:49
  • Bonsoir,

    Pour l'authentification pure, sans prendre en compte Exchange, une première requête DNS sans référence à un site peut-être causée par le fait que le "client" ne soit pas en mesure de déterminer le site auquel il appartient. la commande "nltest /dsgetsite" permettra de vérifier.
    Prenant Exchange en compte, la méthode de détermination est différente et particulièrement complexe dans le cas d'une forêt ressource. Voir:
    http://www.msexchange.org/tutorials/Exchange-System-Manager-Domain-Controller-Selection.html

    Concernant l'authentification, un article utile: http://support.microsoft.com/kb/916474/fr.

    Je vous conseille de poster la question dans les forums Exchange. Si il vous est possible de poser la question en anglais, vous pouvez également le faire sur http://www.proexchange.be/forums/



    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Proposé comme réponse Marc Lognoul vendredi 29 janvier 2010 14:39
    jeudi 28 janvier 2010 18:49
  • Bonjour,

    Merci pour votre retour. Mon problème n'a pas de solution via la console. En revanche, en passant par les commandes powershell, je peux fixer mon DC. 

    La KB MS est très intéressante, car elle valide le fonctionnement DNS que je décris, et dont je n'avais pas encore trouvé de "preuves".

    Olivier
    vendredi 29 janvier 2010 12:16
  • Bonjour,

    En effet, l'article ne s'applique qu'aux fluxs d'authentifications "classiques" et non aux protocoles Exchange. Voici quelques posts intéressant sur le sujet (mais un peu anciens malheureusement):
    http://msexchangeteam.com/archive/2006/03/17/422350.aspx
    http://msexchangeteam.com/archive/2006/01/05/416998.aspx
    http://msexchangeteam.com/archive/2006/08/28/428776.aspx


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    vendredi 29 janvier 2010 14:38