Remove From My Forums

Problème de connexion au domaine sur site distant via VPN - Windows 7 OK , Windows XP KO

Discussion générale
0

Connectez-vous pour voter
Bonjour,

Comme indiqué dans le titre, je rencontre un souci de connexion au domaine sur les postes en Windows XP dans un contexte multi-sites:

Il y a 4 sites, dont un principal qui héberge l’ensemble des serveurs. Les 3 sites distants sont reliées en VPN via des routeurs multi Wan (1-3 ADSL + 1 SDSL).

Les serveurs sont sous Windows Server 2008 R2 (domaine et foret en niveau fonctionnel 2008 R2). Il en reste 3 sous 2003 pour les applis métiers. Le tout virtualisé sous VMware.

Mon problème concerne les postes sous Windows XP :

- Les postes du site principal fonctionnent correctement (connexion au domaine se fait bien, script de démarrage se lancent, etc) mais perdent aléatoirement la connexion avec les imprimantes partagées sur un des DC.

- Les postes des sites distants :

posent problème dès l’ouverture de session, qui prend presqu’une minute et n’aboutit pas puisque les scripts de démarrage ne se lancent pas (il ne s’agit pas de profils itinérants). Il est alors impossible de naviguer sur Internet, et d’accéder aux ressources réseau (dossiers partagés, imprimantes, serveur Exchange). Lorsqu'on essaye d'accéder à ces ressources, le PC se bloque un trentaine de secondes mais ne renvoie pas de message d'erreur.
Le ping fonctionne cependant vers tous les équipements réseau, dont le serveur DC/DNS, indiqué comme il se doit en première position dans la liste des DNS.
Le problème n’existe que si les VPN sont établis sur les lignes SDSL. Si je bascule sur les lignes ADSL, tout rentre dans l’ordre… Evidemment, j’ai vérifié la config des routeurs, et le temps d’établissement des connexions entre PC clients et contrôleur de domaine : c’est nettement plus rapide en passant par les lignes SDSL.

Depuis presqu’un mois, je désespère de trouver la solution. J’ai contacté les différents supports (routeur et fournisseur d’accès), ils ne voient pas non plus d’où cela peut venir… Je pense néanmoins que le problème se situe au niveau du site central, voire de la connexion des contrôleurs de domaine mais évidemment il n’y a de traces d’erreurs nulle part.

Nos recherches nous ont mené aux connexions RPC vers les serveurs, dont le comportement diffère visiblement entre un poste XP et un poste Windows 7 (ports élevés). Mais je n'arrive pas à faire le lien entre ce constat et le fait que ça passe en ADSL et non en SDSL...

Toute aide ou toute piste de recherche que je j’aurais pas envisagée serait la bienvenue.

Merci d'avance,
- Type modifié Dan BajenaruMicrosoft employee mardi 12 février 2013 11:25 attente de feedback
jeudi 7 février 2013 10:26

Toutes les réponses

0

Connectez-vous pour voter

Qu'est ce qui est changé quand tu passes de l'ADSL à la SDSL uniquement la passerelle ?
Est ce qu'il n'y aurait pas un pb de configuration dans les routes dans ce cas ?

Est ce qu'au niveau de la SDSL il n'y aurait pas un élément qui viendrai perturber genre un parefeu ou qqc comme ça ?
Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

jeudi 7 février 2013 10:55
0

Connectez-vous pour voter

Merci de ta réponse.

La bascule ADSL/SDSL des VPN se fait simplement en changeant l'adresse IP du routeur distant. Il n'y a pas de règles de routage particulières dans la mesure où c'est le VPN qui encapsule les échanges.

Même chose pour les pare-feu, d'un point de vue extérieur il n'y a du trafic que sur les ports 500 et 4500 qui correspondent au VPN.

jeudi 7 février 2013 11:06
2

Connectez-vous pour voter
Bonjour rollinguy,

Un route print pourrait nous etre utile pour les PC externe. La route 0.0.0.0 ne semble pas bonne dans le PC. Car l'internet doit normalement sortir par le site ou la machine est. Donc votre probleme #1 m'indique une possiblement cela.

Donc j'aurait tendance vos demander un "IPCONFIG /all" et "route print" d'une machine a l'interne du site principale et de une machine d'un site secondaire.

Un petit somaine pourrait aider a visualiser votre réseaux. (genre Site principale : 192.168.1.0/24 passerrelle: 192.168.1.1, DNS: ... etc..)

Derniere question, est-ce que le lien VPN laisse passé tout les ports ? Le RPC dynamique est très large, et souvent le netbios ne marche pas via un lien VPN, donc des longue ouverture de session peuvent démontré un problème a communiquer avec le serveur DNS. (De la machine en probleme telnet server_DNS 53 pour voir si cela passe bien)

Merci

MCP | MCTS 70-236: Exchange Server 2007, Configuring

Twitter - @yagmoth555 ()
Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/
- Modifié Yagmoth555MVP vendredi 8 février 2013 04:29
vendredi 8 février 2013 03:53
0

Connectez-vous pour voter

Avez-vous regarder l'observateur d’évènement sur les postes XP ?

Avez-vous configurer des suffixes DNS sur les cartes réseaux des sites distants afin de faciliter les résolutions de nom netbios par le nom dns (en ajoutant le suffixe) ?

Avez- vous envisager de mettre un RODC sur un site distant pour améliorer la situation ?

vendredi 8 février 2013 07:35
0

Connectez-vous pour voter

Bonjour,

@Yagmoth555

Voici les résultats des différentes commandes.

Site principal: réseau 10.64.30.0/24, gw 10.64.30.1, DNS 10.64.30.251 / 10.64.30.254

site secondaire: réseau 10.64.32.0/24, gw 10.64.32.1, DNS 10.64.300.251 / 10.64.30.254

Il n'y a rien sur le PC qui indique de passer sur le site principal:

ipconfig depuis un poste d'un site secondaire:

C:\Documents and Settings\CALMES_E>route print
===========================================================================
Liste d'Interfaces
0x1Itinéraires actifs :
Destination réseau    Masque réseau Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0       10.64.32.1    10.64.32.104       10
       10.64.32.0    255.255.255.0     10.64.32.104    10.64.32.104       10
     10.64.32.104 255.255.255.255        127.0.0.1       127.0.0.1       10
   10.255.255.255 255.255.255.255     10.64.32.104    10.64.32.104       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0     10.64.32.104    10.64.32.104       20
        224.0.0.0        240.0.0.0     10.64.32.104    10.64.32.104       10
255.255.255.255 255.255.255.255     10.64.32.104    10.64.32.104       1
Passerelle par défaut :        10.64.32.1
===========================================================================
Itinéraires persistants :
Aucun

C:\Documents and Settings\CALMES_E>ipconfig /all

Configuration IP de Windows

        Nom de l'hôte . . . . . . . . . . : PC-Accueil2
        Suffixe DNS principal . . . . . . : D-025078.ZF
        Type de noud . . . . . . . . . . : Hybride
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non
        Liste de recherche du suffixe DNS : d-025078.zf

Carte Ethernet Connexion au réseau local:

        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Marvell Yukon 88E8057 PCI-E Gigabit
Ethernet Controller
        Adresse physique . . . . . . . . .: 00-1C-25-DD-80-39
        DHCP activé. . . . . . . . . . . : Oui
        Configuration automatique activée . . . . : Oui
        Adresse IP. . . . . . . . . . . . : 10.64.32.104
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 10.64.32.1
        Serveur DHCP. . . . . . . . . . . : 10.64.32.1
        Serveurs DNS . . . . . . . . . . : 10.64.30.251
                                            10.64.30.254
        Bail obtenu . . . . . . . . . . . : vendredi 8 février 2013 08:44:38
        Bail expirant . . . . . . . . . . : dimanche 10 février 2013 08:44:38 ........................... MS TCP Loopback interface
0x2 ...00 1c 25 dd 80 39 ...... Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Con
troller - Miniport d'ordonnancement de paquets
===========================================================================
===========================================================================

Même chose depuis le site principal:

C:\Users\admindealer>route print
===========================================================================
Liste d'Interfaces
15...00 0c 29 7d ea 66 ......Connexion réseau Intel(R) PRO/1000 MT #2
10...00 0c 29 7d ea 5c ......Connexion réseau Intel(R) PRO/1000 MT
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2
===========================================================================

IPv4 Table de routage
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0       10.64.30.1     10.64.30.252    266
       10.64.30.0    255.255.255.0         On-link      10.64.30.252    266
     10.64.30.252 255.255.255.255         On-link      10.64.30.252    266
     10.64.30.255 255.255.255.255         On-link      10.64.30.252    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1 255.255.255.255         On-link         127.0.0.1    306
127.255.255.255 255.255.255.255         On-link         127.0.0.1    306
     172.31.143.0    255.255.255.0       10.64.30.2     10.64.30.252     11
      192.168.0.0    255.255.255.0         On-link      192.168.0.42    266
     192.168.0.42 255.255.255.255         On-link      192.168.0.42    266
    192.168.0.255 255.255.255.255         On-link      192.168.0.42    266
     192.168.70.0    255.255.255.0         On-link      192.168.0.42    266
   192.168.70.252 255.255.255.255         On-link      192.168.0.42    266
   192.168.70.255 255.255.255.255         On-link      192.168.0.42    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.64.30.252    266
        224.0.0.0        240.0.0.0         On-link      192.168.0.42    266
255.255.255.255 255.255.255.255         On-link         127.0.0.1    306
255.255.255.255 255.255.255.255         On-link      10.64.30.252    266
255.255.255.255 255.255.255.255         On-link      192.168.0.42    266
===========================================================================
Itinéraires persistants :
Adresse réseau    Masque réseau Adresse passerelle Métrique
     172.31.143.0    255.255.255.0       10.64.30.2       1
          0.0.0.0          0.0.0.0       10.64.30.1 Par défaut
===========================================================================

IPv6 Table de routage
===========================================================================
Itinéraires actifs :
If Metric Network Destination      Gateway
1    306 ::1/128                  On-link
10    266 fe80::/64                On-link
15    266 fe80::/64                On-link
10    266 fe80::2584:6eb5:5835:ca0b/128
                                    On-link
15    266 fe80::3cfb:b0ca:c244:739f/128
                                    On-link
1    306 ff00::/8                 On-link
10    266 ff00::/8                 On-link
15    266 ff00::/8                 On-link
===========================================================================
Itinéraires persistants :
Aucun

Quant au Telnet sur le port 53 du serveur DNS, il passe bien.

@P barth

L'observateur d'évènement renvoie cet erreur à de nombreuses reprises:

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID de l'événement : 1054
Date :  21/11/2012
Heure :  12:35:02
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : PC-ACCUEIL2
Description :
Windows ne peut pas obtenir le nom du contrôleur de domaine pour votre réseau. (Le domaine spécifié n'existe pas ou n'a pas pu être contacté. ). Le traitement de la stratégie de groupe est interrompu.

_______________________________________

J'ai essayé avec le suffixe DNS, et de jouer avec le paramètre activer/désactiver NETBIOS, mais rien n'y fait...

Quant aux serveurs RODC sur les sites distants, rien n'est envisagé pour le moment.

Merci pour votre attention

vendredi 8 février 2013 08:07
1

Connectez-vous pour voter

Bonjour,

Essaye de désactiver "la détection des connections lentes" en ajoutant ces clés de registre:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Value name: GroupPolicyMinTransferRate
Value type: DWORD
Value Data: 0

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
Value name: GroupPolicyMinTransferRate
Value type: DWORD
Value Data: 0

Viet kieu

vendredi 8 février 2013 15:51
1

Connectez-vous pour voter
La configuration a l'air bonne du coté routage des machines.

A tester sans le parefeu sur les poste en probleme, et a vérifier avec un wireshark dans le pires des cas.

L'event id 1054 me dit que le serveur DNS n'est pas accesible. Le SDSL passe t-il par un modem/routeur qui a un pare-feu intégré ? Donc 10.64.32.1= routeur a toi et lien WAN -> modem/routeur. (donc double-nat)

Donc une restriction possible par une mauvaise configuration du modem par le fournisseur de lien internet. Un tracert pourrait montré quelque chose sinon le wireshark va directement te montré les perte de paquets)

MCP | MCTS 70-236: Exchange Server 2007, Configuring

Twitter - @yagmoth555 ()
Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/
- Modifié Yagmoth555MVP vendredi 8 février 2013 21:54
vendredi 8 février 2013 21:51

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Auteur de questions

Problème de connexion au domaine sur site distant via VPN - Windows 7 OK , Windows XP KO

Discussion générale

Toutes les réponses