locked
Déploiement partiel d'un domaine avec Windows Server 2003 RRS feed

  • Question

  • Bonjour à tous,

    Dans une salle info étudiante sont présent actuellement 20 PC sous XP Pro appartenant tous au même groupe de travail. Ils ont tous accès à internet par une Freebox. Afin d'utiliser un même soft en client-serveur, un serveur Windows 2003 (non SBS) a été acheté.
    Pour faire un test de déploiement sans impacter tous les postes clients, j'ai utilisé 2 PC parmi les 20 que j'ai voulu intégrer au domaine AD.....malheureusement, rien n'y a fait, impossible de joindre le domaine.

    Voici la configuration du réseau initiale :
    Tous les PC XP pro clients obtiennent leur configuration IP par DHCP (par la Freebox en 192.168.1.254).

    Pour déployer partiellement le domaine, j'ai installé le rôle Controleur de domaine sur le serveur (donc avec DHCP et DNS). La configuration IP du serveur est la suivante :
    IP statique : 192.168.1.1 (masque 255.255.255.0)
    Passerelle : 192.168.1.254 (la Freebox)
    Serveur DNS préféré : 192.168.1.1 (le serveur lui même donc)
    Serveur DNS secondare : 212.27.40.241 (un DNS chez Free)
    Le domaine s'appelle TOTO.local (l'extension "local " est conseillé par l'assistant)

    Je n'ai fait aucune autre configuration DNS sur le serveur ni DHCP etant donné que la Freebox doit toujours faire office de DHCP pour servir les autres PC clients qui ne feront pas encore parti du domaine.

    J'ai attribué une adresse IP statique aux 2 pc à integrer au domaine ainsi qu'un serveur DNS préféré qui pointe sur le serveur (192.168.1.1).

    Afin de joindre le domaine je passe par Système->Nom de l'ordinateur->modifier->domaine et là je rentre TOTO.local, mais j'ai toujours une erreur "impossible de joindre le domaine bla bla bla" le code erreur etant

    0x000005B4 ERROR_TIMEOUT
    ou
    0x0000232B RCODE_NAME_ERROR
    Je précise que je peux faire un ping du Client vers Serveur et inversement.

    Merci d'avance pour votre aide.


    • Déplacé Shrikant Maske jeudi 4 février 2010 05:22 Forums Consolidation (Origine :Windows Server 2003 – Installation et déploiement)
    lundi 15 décembre 2008 16:50

Réponses

  • Résultat des tests : Une fois que le firewall est désactivé, plus de problème ! Dire que c'était juste devant moi (quand j'ai authorisé ICMP)......

    En tout cas, merci d'avoir participé.

     

    A+

     

    lundi 22 décembre 2008 10:50

Toutes les réponses

  • Bonsoir,

     

    au niveau config DNS, le DC et ses clients doivent pointer EXCLUSIVEMENT sur un DNS interne dans lequel le DC peut s'enregistrer.

    Par défaut lors de la promotion, il vous propose d'installer le service DNS.

    Vérifiez dans un premier temps que le DC a enregistré toutes les entrées présentes dans le fichier netlogon.dns.

    Nettoyez la config DNS cliente du DC pour qu'il pointe sur lui même uniquement.

     

    Ensuite configurez les forwarder du serveur DNS pour qu'ils pointent vers les DNS de Free.

     

    Puis configurez les clients pour qu'ils pointent sur le même DNS que le DC. Si c'est déployé par DHCP, il est possible de configurer le DHCP pour qu'il distribue les bonnes adresses DNS.

     

    A partir de ce moment là seulement, vous pourrez commencer à intégrer des postes au domaine.

     

    Cordialement,

    Emmanuel Dreux

    http://www.ilinfo.fr

     

     

     

    lundi 15 décembre 2008 20:27
  • Merci pour votre réponse,

     

    au niveau config DNS, le DC et ses clients doivent pointer EXCLUSIVEMENT sur un DNS interne dans lequel le DC peut s'enregistrer

    Effectivement, j'ai rajouté un DNS Free comme DNS auxilliaire, mon DNS préféré étant l'adresse IP de mon serveur (qui fourni aussi le service DNS). Il faut donc que je supprime le DNS auxilliaire.

     

    Vérifiez dans un premier temps que le DC a enregistré toutes les entrées présentes dans le fichier netlogon.dns.

    Je ne connaissais pas ce fichier, mais d'après ce que j'ai pu trouvé comme info, il faut que je trouve dans netlogon.dns les 3 enregistrements A, PTR et SRV correspondant à mon DC. Si ce n'est pas le cas, c'est qu'il y a une ou des erreurs dans le cas d'un DNS dynamique, ou alors c'est que le DNS opère en statique. Comment savoir comment est configuré mon service DNS ?

     

    Nettoyez la config DNS cliente du DC pour qu'il pointe sur lui même uniquement.

    Si j'ai bien compris il faut que je créé les 3 enregistrements A, PTR et SRV manuellement, si ce n'est pas déjà fait (dans le cas d'un DNS dynamique).

     

    Ensuite configurez les forwarder du serveur DNS pour qu'ils pointent vers les DNS de Free.

    C'est ce que j'ai fait à l'étape "Transfert de requêtes DNS" de l'assistant configurer votre serveur en indiquant un DNS Free. Et je retrouve bien ce DNS dans l'onglet "redirecteurs" des propriétés du serveur DNS.

     

    Puis configurez les clients pour qu'ils pointent sur le même DNS que le DC. Si c'est déployé par DHCP, il est possible de configurer le DHCP pour qu'il distribue les bonnes adresses DNS.

    C'est ce que j'avais fait, mais j'avais aussi rajouté le DNS auxilliaire Free......

     

    En conclusion, à part avoir rajouté un DNS auxilliaire inutile sur mes 2 clients, et si on prend comme hypothèse que le fichier netlogon.dns est correct (je n'ai pas encore vérifié), il me semble qu'il n'y a pas trop de raison pour que ce déploiement ne fonctionne pas.

     

    Par contre, lors de la toute première tentative d'incription d'un PC dans le domaine, j'avais fait une erreur de frappe sur la config IP du DC (192.168.0.1 au lieu de 192.168.1.1). J'avais aussi répercuté cette "fausse" adresse IP sur mes 2 clients. Est-il possible que le cache DNS coté client (qui a du enregistrer cette mauvaise adresse) ai faussé mes tentatives ultérieures ? Ce serait balot ! un flushdns aurait-il pu résoudre ce problème ? Ne vaudrait il pas mieux que je désactive carrément le cache DNS client lors des tests ?

     

    Dans tout les cas, merci pour votre réponse, si vous voyez d'autres bourdes de ma part, n'hésitez pas ! La confrérie des Manu vous en sera reconnaissante.

     

    Cordialement.

    lundi 15 décembre 2008 22:13
  • Re bonjour,

     

    Le serveur Windows 2003 qui sert de DC est un DELL PowerEdge et le Firewall est activé dessus (j'ai du autoriser ICMP afin de pouvoir effectuer un ping depuis un client). L'impossibilité pour un client de joindre le domaine ne pourrait il pas provenir  d'une trop grande restriction de ce firewall ?

    Y'a-t-il des ports et/ou process et/ou services a autoriser sur le serveur afin qu'un client puisse joindre mon domaine ?

     

    Merci d'avance.

     

    Cordialement

     

    mardi 16 décembre 2008 08:31
  • Bonjour,

     

    il faut que tous les enregistrements de netlogon.dns soient enregistrés dans le DNS, mais bonne nouvelle, si ça marche pour un, ça marche pour tous :-)

     

    Au niveau firewall, ce n'est pas une bonne idée sur un DC de l'activer sur un DC.

    Il y a une multitude de ports de communication utilisés lorsqu'un client se connecte

    DNS : UDP 53

    Kerberos : UDP et TCP 88

    EPM : 135

    Netbios : 137, 138, 139

    GC: 3268

    LDAP: 389, ( 636 si secure ldap).

    SMB 445

    RPC dynamique : 1024-5000

     

    Cordialement,

    Emmanuel Dreux

    http://www.ilinfo.fr

     

    mardi 16 décembre 2008 09:55
  • Merci pour vos réponses,

     

    Je retourne sur place ce jeudi et j'espère que je pourrais clore ce post d'ici là.

     

    Cordialement

    mardi 16 décembre 2008 14:50
  • Bon finalement j'irai ce samedi....;patience....patience

     

    jeudi 18 décembre 2008 16:59
  • Résultat des tests : Une fois que le firewall est désactivé, plus de problème ! Dire que c'était juste devant moi (quand j'ai authorisé ICMP)......

    En tout cas, merci d'avoir participé.

     

    A+

     

    lundi 22 décembre 2008 10:50