locked
Requêtes DNS etranges pourquoi? RRS feed

  • Discussion générale

  •  

    Bonjour,

    Je suis actuellement en train de maquetter une architecture AD, afin de mettre en place les procédures de déploiements pour la futur infrastructure de prod.

    Voici l'architecture actuelle:

    Domaine: domain.prive (niveau fonctionnel 2008 R2)

    Controleurs de domaines (2008 R2): dc01 (GC) et dc02 (IM)

     

    Domaine-Enfant:  sub.domain.prive (niveau fonctionnel 2008 R2)

    Controleurs de domaines(2008 R2): dc03 (GC) et dc04 (IM)

     

    Patch DNS appliqué sur l'ensemble des DC (http://support.microsoft.com/kb/977158)

     

    DNS (Tiers): Bind Linux en Dynamique hébergeant les zones:

    domain.prive.

    _msdcs.domain.prive.

    sub.domain.prive.

    _msdcs.sub.domain.prive.

     

    Afin d'analyser et de répondre au mieux aux requêtes des DC nous avons analysé le trafic à l'aide de tshark.

    Deux point nous interrogent:

    1 - Des requêtes avec des FQDN étranges sont envoyées par les contrôleurs de domaine:

      DNS Standard query SRV _ldap._tcp.Default-First-Site-Name._sites.dc03.sub.domain.prive
      DNS Standard query response, No such name
      DNS Standard query SRV _ldap._tcp.dc03.sub.domain.prive
      DNS Standard query response, No such name

      Pourquoi ils requêtent de temps en temps sur

      _ldap._tcp.Default-First-Site-Name._sites.dc03.sub.domain.prive
      
      et non sur:
      _ldap._tcp.Default-First-Site-Name._sites.sub.domain.prive
      

     

    2 - Les contrôleurs de domaines du domaine enfant "sub" essai de changer le SOA de zones (ce qui est interdit voir RFC lié à DNS):

     

    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)
    DNS Standard query SOA _kerberos._udp.sub.domain.prive
    DNS Standard query response
    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)
    DNS Standard query SOA _kpasswd._tcp.sub.domain.prive
    DNS Standard query response
    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)
    DNS Standard query SOA _kpasswd._udp.sub.domain.prive
    DNS Standard query response
    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)
    ...

    Pouvez vous m'expliquer ces 2 comportements?

    d'avance merci.

    lundi 7 mars 2011 13:01

Toutes les réponses

  • Bonjour,

    Les 2 problèmes semblent-ils uniquement liés au domaine enfant?

    Pour le problème 1, je regarderais d'abord du côté des DC et de leur configuration de client DNS: liste des suffixes, manière de résoudre...

    Pour le 2, les zones sont-elles correctement crées? Des erreurs sont-elles rapportées par DCDIAG?

    Quelle est la topologie DNS exacte? SOA, NS, zones reverses, transfers de zones...

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    lundi 7 mars 2011 15:34
  • Bonjour Marc,

    Merci de votre réponse qui m'a permis de creuser un peux plus la question avec DCDiag.

     

    D'ailleurs après étude de ces 2 comportements je penses qu'ils sont liés et sont la cause d'un "problème".

    Apres vérif:

    Les suffixes DNS sont bons.

    Les DNS sont bons.

    Les SOA et NS des serveur DNS sont les bons.

     

    Apres investigation le comportement ci-dessous vient du service NetLogon et est présent sur l'ensemble des DC :

    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)
    DNS Standard query SOA _kerberos._udp.sub.domain.prive
    DNS Standard query response
    DNS Standard query A dns.sub.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA sub.domain.prive
    DNS Dynamic update response (rejected)

    Le problème pour moi c'est qu'il n'enregistre par les GUID des DC enfant (DC du domaine sub.domain.prive.)

    Pour rappel les GUID sont enregistrés sur la zone _msdcs.domain.prive même pour les domaines enfants. (exemple: 0ae9d36d-1c8c-4aa4-8130-11a140138bc6.domain.prive)

    La configuration DNS à l'air de lui poser problème alors qu'elle est totalement conforme à la norme.

    l'infrastructure DNS est la suivante:

    -> DNS1 master des zones directs dynamiques (SOA) (n'est pas solver)

    -> DNS2 master des zones statiques arpa ou les adresses des contrôleurs de domaines sont renseignés (SOA) (n'est pas solver)

    -> DNS3 DNS4 DNS5 slave des zones directes et arpa (NS) (sont solver)

     

    Les contrôleurs de domaines ont bien DNS3 DNS4 DNS5 en tant que serveurs DNS.

    Les zones sont bien alimentés par les DC sauf les GUID des DC du domaine enfant.

    Voir résultat du DCDIAG:

    Exécution des tests initiaux nécessaires
      Test du serveur : Default-First-Site-Name\DC03
     Démarrage du test : Connectivity
        L'adresse IP de l'hote
        6978cf82-aa7a-4992-8d24-407954a61511._msdcs.domain.prive n'a
        pas pu étre résolue.

    Pour DC01 et DC02 du domaine "domain.prive" pas de probleme

    Pour DC03 et DC04 du domaine enfant "sub.domain.prive" probleme d'enregistrement de GUID dans le DNS.

     

    Je trouve étrange que NetLogon ne vérifie pas la présence direct de cet enregistrement mais interroge le SAO de cet enregistrement...(voir tshark):

    DNS Dynamic update SOA _msdcs.domain.prive
    DNS Dynamic update response, Refused
    DNS Standard query SOA 6978cf82-aa7a-4992-8d24-407954a61511._msdcs.domain.prive <-- Why???
    DNS Standard query response, No such name
    DNS Standard query A dns.domain.prive
    DNS Standard query response A 10.0.0.11
    DNS Dynamic update SOA _msdcs.domain.prive
    DNS Dynamic update response, Refused
    

    Si vous avez des pistes sur ce que attend Windows d'un DNS tiers en tant que typo SOA par rapport aux zones, car il à l'air de vouloir constament changer le SOA... et ne pas finir l'inscription des enregistrement via le service NetLogon?

    Merci a vous.

    mardi 8 mars 2011 10:12
  • Bonjour,

    Pourriez-vous me confirme qu'il s'agit d'un seule forêt avec 2 domaines? Si oui, un seul zone _msdcs est nécessaire sauf erreur de ma part. Celle-ci est nommée sur base dur nom DNS de la forêt. Si vous modifier les zones de cette manière, les problèmes se produisent-ils toujours?

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    mercredi 9 mars 2011 08:36