locked
Problème de connexion au domaine sur site distant via VPN - Windows 7 OK , Windows XP KO RRS feed

  • Discussion générale

  • Bonjour,

    Comme indiqué dans le titre, je rencontre un souci de connexion au domaine sur les postes en Windows XP dans un contexte multi-sites:

    Il y a 4 sites, dont un principal qui héberge l’ensemble des serveurs. Les 3 sites distants sont reliées en VPN via des routeurs multi Wan (1-3 ADSL + 1 SDSL).

    Les serveurs sont sous Windows Server 2008 R2 (domaine et foret en niveau fonctionnel 2008 R2). Il en reste 3 sous 2003 pour les applis métiers. Le tout virtualisé sous VMware.

    Mon problème concerne les postes sous Windows XP :

    -          Les postes du site principal fonctionnent correctement (connexion au domaine se fait bien, script de démarrage se lancent, etc) mais  perdent aléatoirement la connexion avec les imprimantes partagées sur un des DC.

    -          Les postes des sites distants :

    • posent problème dès l’ouverture de session, qui prend presqu’une minute et n’aboutit pas puisque les scripts de démarrage ne se lancent pas (il ne s’agit pas de profils itinérants). Il est alors impossible de naviguer sur Internet, et d’accéder aux ressources réseau (dossiers partagés, imprimantes, serveur Exchange). Lorsqu'on essaye d'accéder à ces ressources, le PC se bloque un trentaine de secondes mais ne renvoie pas de message d'erreur.
      Le ping fonctionne cependant vers tous les équipements réseau, dont le serveur DC/DNS, indiqué comme il se doit en première position dans la liste des DNS.
    • Le problème n’existe que si les VPN sont établis sur les lignes SDSL. Si je bascule sur les lignes ADSL, tout rentre dans l’ordre… Evidemment, j’ai vérifié la config des routeurs, et le temps d’établissement des connexions entre PC clients et contrôleur de domaine : c’est nettement plus rapide en passant par les lignes SDSL.

     

    Depuis presqu’un mois, je désespère de trouver la solution. J’ai contacté les différents supports (routeur et fournisseur d’accès), ils ne voient pas non plus d’où cela peut venir… Je pense néanmoins que le problème se situe au niveau du site central, voire de la connexion des contrôleurs de domaine mais évidemment il n’y a de traces d’erreurs nulle part.

    Nos recherches nous ont mené aux connexions RPC vers les serveurs, dont le comportement diffère visiblement entre un poste XP et un poste Windows 7 (ports élevés). Mais je n'arrive pas à faire le lien entre ce constat et le fait que ça passe en ADSL et non en SDSL...

    Toute aide ou toute piste de recherche que je j’aurais pas envisagée serait la bienvenue.

    Merci d'avance,

    jeudi 7 février 2013 10:26

Toutes les réponses

  • Qu'est ce qui est changé quand tu passes de l'ADSL à la SDSL uniquement la passerelle ?
    Est ce qu'il n'y aurait pas un pb de configuration dans les routes dans ce cas ? 

    Est ce qu'au niveau de la SDSL il n'y aurait pas un élément qui viendrai perturber genre un parefeu ou qqc comme ça ?


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    jeudi 7 février 2013 10:55
  • Merci de ta réponse.

    La bascule ADSL/SDSL des VPN se fait simplement en changeant l'adresse IP du routeur distant. Il n'y a pas de règles de routage particulières dans la mesure où c'est le VPN qui encapsule les échanges.

    Même chose pour les pare-feu, d'un point de vue extérieur il n'y a du trafic que sur les ports 500 et 4500 qui correspondent au VPN.

    jeudi 7 février 2013 11:06
  • Bonjour rollinguy,

    Un route print pourrait nous etre utile pour les PC externe. La route 0.0.0.0 ne semble pas bonne dans le PC. Car l'internet doit normalement sortir par le site ou la machine est. Donc votre probleme #1 m'indique une possiblement cela.

    Donc j'aurait tendance vos demander un "IPCONFIG /all" et "route print" d'une machine a l'interne du site principale et de une machine d'un site secondaire.

    Un petit somaine pourrait aider a visualiser votre réseaux. (genre Site principale : 192.168.1.0/24 passerrelle: 192.168.1.1, DNS: ...  etc..)

    Derniere question, est-ce que le lien VPN laisse passé tout les ports ? Le RPC dynamique est très large, et souvent le netbios ne marche pas via un lien VPN, donc des longue ouverture de session peuvent démontré un problème a communiquer avec le serveur DNS. (De la machine en probleme telnet server_DNS 53 pour voir si cela passe bien)

    Merci


    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Twitter - @yagmoth555 ()
    Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/


    vendredi 8 février 2013 03:53
  • Avez-vous regarder l'observateur d’évènement sur les postes XP ?

    Avez-vous configurer des suffixes DNS sur les cartes réseaux des sites distants afin de faciliter les résolutions de nom netbios par le nom dns (en ajoutant le suffixe) ?

    Avez- vous envisager de mettre un RODC sur un site distant pour améliorer la situation ?

    vendredi 8 février 2013 07:35
  • Bonjour,

    @Yagmoth555

    Voici les résultats des différentes commandes.

    Site principal: réseau 10.64.30.0/24, gw 10.64.30.1, DNS 10.64.30.251 / 10.64.30.254

    site secondaire: réseau 10.64.32.0/24, gw 10.64.32.1, DNS 10.64.300.251 / 10.64.30.254

    Il n'y a rien sur le PC qui indique de passer sur le site principal:

    ipconfig depuis un poste d'un site secondaire:

    C:\Documents and Settings\CALMES_E>route print
    ===========================================================================
    Liste d'Interfaces
    0x1Itinéraires actifs :
    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
              0.0.0.0          0.0.0.0       10.64.32.1    10.64.32.104       10
           10.64.32.0    255.255.255.0     10.64.32.104    10.64.32.104       10
         10.64.32.104  255.255.255.255        127.0.0.1       127.0.0.1       10
       10.255.255.255  255.255.255.255     10.64.32.104    10.64.32.104       10
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
          169.254.0.0      255.255.0.0     10.64.32.104    10.64.32.104       20
            224.0.0.0        240.0.0.0     10.64.32.104    10.64.32.104       10
      255.255.255.255  255.255.255.255     10.64.32.104    10.64.32.104       1
    Passerelle par défaut :        10.64.32.1
    ===========================================================================
    Itinéraires persistants :
      Aucun

    C:\Documents and Settings\CALMES_E>ipconfig /all

    Configuration IP de Windows

            Nom de l'hôte . . . . . . . . . . : PC-Accueil2
            Suffixe DNS principal . . . . . . : D-025078.ZF
            Type de noud . . . . . . . . . . : Hybride
            Routage IP activé . . . . . . . . : Non
            Proxy WINS activé . . . . . . . . : Non
            Liste de recherche du suffixe DNS : d-025078.zf

    Carte Ethernet Connexion au réseau local:

            Suffixe DNS propre à la connexion :
            Description . . . . . . . . . . . : Marvell Yukon 88E8057 PCI-E Gigabit
    Ethernet Controller
            Adresse physique . . . . . . . . .: 00-1C-25-DD-80-39
            DHCP activé. . . . . . . . . . . : Oui
            Configuration automatique activée . . . . : Oui
            Adresse IP. . . . . . . . . . . . : 10.64.32.104
            Masque de sous-réseau . . . . . . : 255.255.255.0
            Passerelle par défaut . . . . . . : 10.64.32.1
            Serveur DHCP. . . . . . . . . . . : 10.64.32.1
            Serveurs DNS . . . . . . . . . .  : 10.64.30.251
                                                10.64.30.254
            Bail obtenu . . . . . . . . . . . : vendredi 8 février 2013 08:44:38
            Bail expirant . . . . . . . . . . : dimanche 10 février 2013 08:44:38 ........................... MS TCP Loopback interface
    0x2 ...00 1c 25 dd 80 39 ...... Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Con
    troller - Miniport d'ordonnancement de paquets
    ===========================================================================
    ===========================================================================

    Même chose depuis le site principal:

    C:\Users\admindealer>route print
    ===========================================================================
    Liste d'Interfaces
     15...00 0c 29 7d ea 66 ......Connexion réseau Intel(R) PRO/1000 MT #2
     10...00 0c 29 7d ea 5c ......Connexion réseau Intel(R) PRO/1000 MT
      1...........................Software Loopback Interface 1
     11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
     12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     13...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2
    ===========================================================================

    IPv4 Table de routage
    ===========================================================================
    Itinéraires actifs :
    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
              0.0.0.0          0.0.0.0       10.64.30.1     10.64.30.252    266
           10.64.30.0    255.255.255.0         On-link      10.64.30.252    266
         10.64.30.252  255.255.255.255         On-link      10.64.30.252    266
         10.64.30.255  255.255.255.255         On-link      10.64.30.252    266
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
         172.31.143.0    255.255.255.0       10.64.30.2     10.64.30.252     11
          192.168.0.0    255.255.255.0         On-link      192.168.0.42    266
         192.168.0.42  255.255.255.255         On-link      192.168.0.42    266
        192.168.0.255  255.255.255.255         On-link      192.168.0.42    266
         192.168.70.0    255.255.255.0         On-link      192.168.0.42    266
       192.168.70.252  255.255.255.255         On-link      192.168.0.42    266
       192.168.70.255  255.255.255.255         On-link      192.168.0.42    266
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link      10.64.30.252    266
            224.0.0.0        240.0.0.0         On-link      192.168.0.42    266
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link      10.64.30.252    266
      255.255.255.255  255.255.255.255         On-link      192.168.0.42    266
    ===========================================================================
    Itinéraires persistants :
      Adresse réseau    Masque réseau  Adresse passerelle Métrique
         172.31.143.0    255.255.255.0       10.64.30.2       1
              0.0.0.0          0.0.0.0       10.64.30.1  Par défaut
    ===========================================================================

    IPv6 Table de routage
    ===========================================================================
    Itinéraires actifs :
     If Metric Network Destination      Gateway
      1    306 ::1/128                  On-link
     10    266 fe80::/64                On-link
     15    266 fe80::/64                On-link
     10    266 fe80::2584:6eb5:5835:ca0b/128
                                        On-link
     15    266 fe80::3cfb:b0ca:c244:739f/128
                                        On-link
      1    306 ff00::/8                 On-link
     10    266 ff00::/8                 On-link
     15    266 ff00::/8                 On-link
    ===========================================================================
    Itinéraires persistants :
      Aucun

    Quant au Telnet sur le port 53 du serveur DNS, il passe bien.

    @P barth

    L'observateur d'évènement renvoie cet erreur à de nombreuses reprises:

    Type de l'événement : Erreur
    Source de l'événement : Userenv
    Catégorie de l'événement : Aucun
    ID de l'événement : 1054
    Date :  21/11/2012
    Heure :  12:35:02
    Utilisateur : AUTORITE NT\SYSTEM
    Ordinateur : PC-ACCUEIL2
    Description :
    Windows ne peut pas obtenir le nom du contrôleur de domaine pour votre réseau. (Le domaine spécifié n'existe pas ou n'a pas pu être contacté. ). Le traitement de la stratégie de groupe est interrompu.

    _______________________________________

    J'ai essayé avec le suffixe DNS, et de jouer avec le paramètre activer/désactiver NETBIOS, mais rien n'y fait...

    Quant aux serveurs RODC sur les sites distants, rien n'est envisagé pour le moment.

    Merci pour votre attention

    vendredi 8 février 2013 08:07
  • Bonjour,

    Essaye de désactiver "la détection des connections lentes" en ajoutant ces clés de registre:

    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
    Value name: GroupPolicyMinTransferRate
    Value type: DWORD
    Value Data: 0

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
    Value name: GroupPolicyMinTransferRate
    Value type: DWORD
    Value Data: 0

    Viet kieu

    vendredi 8 février 2013 15:51
  • La configuration a l'air bonne du coté routage des machines.

    A tester sans le parefeu sur les poste en probleme, et a vérifier avec un wireshark dans le pires des cas.

    L'event id 1054 me dit que le serveur DNS n'est pas accesible. Le SDSL passe t-il par un modem/routeur qui a un pare-feu intégré ? Donc 10.64.32.1= routeur a toi et lien WAN -> modem/routeur. (donc double-nat)

    Donc une restriction possible par une mauvaise configuration du modem par le fournisseur de lien internet. Un tracert pourrait montré quelque chose sinon le wireshark va directement te montré les perte de paquets)


    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Twitter - @yagmoth555 ()
    Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/



    vendredi 8 février 2013 21:51