none
Résolutions de problèmes BPA AD et DNS

    Discussion générale

  • Bonjour

    faisant actuellement un audit BPA sur mes serveurs, je suis tombé sur les erreurs suivantes:

    Titre :
    La stratégie des contrôleurs de domaine par défaut du domaine XXXXXXX.local doit être appliquée à l’unité d’organisation OU=Domain Controllers,DC=XXXXXXX,DC=local.
    
    Gravité
    Erreur
    
    Date :
    12/12/2017 12:33:05
    
    Catégorie :
    Configuration
    
    Problème :
    Actuellement, la stratégie des contrôleurs de domaine par défaut n’est pas appliquée à l’unité d’organisation OU=Domain Controllers,DC=XXXXXXX,DC=local.
    
    Impact :
    Si les paramètres de stratégie de groupe définis dans la stratégie des contrôleurs de domaine par défaut ne sont pas appliqués aux contrôleurs de domaine, les opérations d’Active Directory peuvent échouer.
    
    Résolution
    Liez la stratégie des contrôleurs de domaine par défaut à l’unité d’organisation OU=Domain Controllers,DC=XXXXXXX,DC=local.
    
    

    j'ai suivi les différentes étapes préconisées ici (https://technet.microsoft.com/en-us/library/ff646920(WS.10).aspx), la GPO Default Domain Controller Policy est bien liée et appliquée à l'OU nécessaire, avec les filtrages de sécurités nécessaires. un gpresult indique que la GPO est bien appliquée. les groupes administrateurs, enterprise domain controllers, controleurs de de domaine en lecture seule, controleurs de domaines, utilisateurs authentifiés sont autorisés dans "accéder à cet ordinateur à partir du réseau". cette erreur n'apparait que sur les RODC du domaine

    autres erreurs qui pourrait etre liées, coté DNS:

    Titre :
    DNS : le serveur DNS secondaire XXX.XXX.XXX.XXX de la zone TrustAnchors doit répondre aux requêtes relatives à cette zone.
    
    Gravité
    Avertissement
    
    Date :
    12/12/2017 14:55:18
    
    Catégorie :
    Configuration
    
    Problème :
    Le serveur DNS secondaire XXX.XXX.XXX.XXX ne répond pas aux requêtes sur la zone TrustAnchors.
    
    Impact :
    Les requêtes DNS relatives à la zone TrustAnchors risquent d’échouer.
    
    Résolution
    Vérifiez que le serveur XXX.XXX.XXX.XXX est un serveur DNS secondaire qui héberge la zone TrustAnchors.
    
    http://go.microsoft.com/fwlink/?LinkId=188802
    
    
    Titre :
    DNS : les serveurs secondaires de la zone TrustAnchors doivent répondre aux requêtes relatives à cette zone.
    
    Gravité
    Erreur
    
    Date :
    12/12/2017 14:54:56
    
    Catégorie :
    Configuration
    
    Problème :
    Aucun des serveurs secondaires configurés pour la zone TrustAnchors ne répond.
    
    Impact :
    Les serveurs secondaires ne traitent pas les requêtes DNS relatives à la zone TrustAnchors.
    
    Résolution
    Validez les serveurs secondaires pour la zone TrustAnchors.
    
    http://go.microsoft.com/fwlink/?LinkId=188791
    
    


    j'ai lu qu'il pouvait s'agir d'erreurs liées à DNSSEC (que nous n'avons pas mis en place) mais je n'ai pas réussi à trouver d'informations pertinentes à ce sujet. ces erreurs occurent sur les mêmes RODC

    Une idée de la provenance de ces erreurs?

    Merci encore pour le temps accordé, cordialement

    mardi 12 décembre 2017 15:20

Toutes les réponses

  • Bonjour,

    Pour le premier message d'erreur, il faut que la GPO par défaut soit toujours attaché à l'OU contrôleurs de domaine et dans le champs filtrage de sécurité mettre utilisateurs authentifiés.

    Si vous désirez appliquer un paramètre GPO sur certains DC , il faut créer une autre GPO.

    Pour le deuxième message si vous n'avez pas configuré DNSSEC, essayer d'utiliser adsedit pour supprimer l'objet TrustAnchors :

      



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 12 décembre 2017 19:35
    Modérateur
  • bonjour

    la default domain controller policy est bien appliquée au groupe utilisateurs authentifiés, depuis le début. je n'avais pas ce souci avant de rajouter mes RODC il y a quelques mois.

    pour l'objet TrustAnchors, le supprimer comporte-t-il un risque particulier? de plus, l'un de mes anciens DC qui a été dépromote apparait comme étant un serveur devant répondre pour la zone TrustAnchors alors qu'il n'est plus référencé nulle part comme serveur DNS et ne sert plus que de serveur de fichiers

    mercredi 13 décembre 2017 08:25
  • Bonjour

    petit up de la question, le problème étant toujours d'actualité

    Cordialement

    jeudi 11 janvier 2018 13:58