none
espace de nom disjoint et poste de travail

    Question

  • Bonjour,

    je vous explique ma problématique : nous disposons de plusieurs DC et d'1 domaine : xxx.fr

    Les ordinateurs des utilisateurs sont membres du domaine et leur fqdn est <numero>.xxx.fr

    Nous sommes dans le déploiement de SCCM et celui-ci a besoin de résoudre les noms des machines.

    Le serveur DNS n'A PAS les mises à jour dynamiques (non-sécurisées) activées et je ne souhaite pas activer ce réglage.

    J'ai donc créé une zone DNS postes.xxx.fr et sur laquelle j'ai activé les mises à jour dynamiques (non-sécurisées).

    J'ai poussé par GPO le changement de suffixe DNS principal : postes.xxx.fr

    Mais j'ai des problèmes sur certains ordinateurs de tests (pas tous donc) sur lesquels les utilisateurs ne peuvent plus ouvrir de session.

    Les ordinateurs s'enregistrent bien dans postes.xxx.fr sur le serveur DNS

    Est-ce que vous pouvez me dire si j'ai oublié quelque chose ?

    Je fais référence à la case à cocher (ou pas ???) dans les propriétés du nom de l'ordinateur.

    mercredi 24 janvier 2018 11:22

Réponses

  • Je suis allé sur un poste de test qui avait le problème.

    J'ai redémarré l'ordinateur mais impossible d'ouvrir une session, ni en prenom.nom, ni en prenom.nom@xxx.fr.

    Le message d'erreur exact est : "La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail".

    Absolument aucun message d'erreur dans les logs.

    D'après ce que je comprends, ce genre de message se produit quand il y a plusieurs domaines et des relations d'approbations, ce qui n'est pas mon cas.

    Il y a beaucoup d'articles qui parle de nom disjoint mais ils impliquent tous MS exchange.

    Je n'arrive pas à trouver un tutoriel simple : laisser mes DC et autres serveurs dans la zone DNS par defaut xxx.fr et avoir les comptes ordinateurs des utilisateurs dans une autre zone DNS postes.xxx.fr

    Pourtant sur le papier, ca a l'air simple.

    Bonjour,

    SI j'ai bien compris votre configuration, vous avez une nouvelle zone DNS qui s'appelle poste.xxx.fr et vous avez ajouter le nom de la nouvelle zone dans le suffixe DNS dans les paramètres IP de la carte réseau de chaque PC. Cette configuration n'impacte pas la communication du poste de travail avec les contrôleurs de domaine si le poste client est entrain d'interroger un serveur DNS capable de résoudre la zone DNS du domaine xxxx.fr et poste.xxx.fr.

    Selon le message d'erreur que vous avez reçu, il faut vérifier que le poste de client a déjà un compte AD créé dans le domaine, et qu'il est capable de résoudre la le nom DNS du domaine xxx.fr pour l'authentification des utilisateur.
    Si le problème persiste vous pouvez essayer réintégrer la machine au domaine et tester l'authentification


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 24 janvier 2018 16:26
    Modérateur
  • Oui, on a aussi testé en ajoutant les suffixes dns sur la carte réseau par GPO.

    Sortir/rerentrer le PC dans le domaine règle le problème mais je cherche encore ce qui peut faire ce problème.

    jeudi 25 janvier 2018 09:59

Toutes les réponses

  • Merci de votre réponse.

    Faites-vous bien référence aux comptes ordinateurs dans la MMC "utilisateurs et ordinateurs Active Directory" ?

    Effectivement, après examen, certains ordinateurs ont toujours l'ancien nom DNS dans les propriétés du compte ordinateur (<numero>.xxx.fr) alors que d'autres ont le nouveau nom (<numero>.postes.xxx.fr).

    Par défaut, sur nos ordinateurs, l'ouverture de session se fait sans le nom de domaine, juste <prenom.nom>.

    Je vais regarder ce point en détail dés que j'ai un ordinateur de test qui remonte un problème.

    En effet, nous n'appliquerons ce système de nom uniquement si ces problèmes sont réglés sur les utilisateurs de tests.

    mercredi 24 janvier 2018 12:31
  • Je suis allé sur un poste de test qui avait le problème.

    J'ai redémarré l'ordinateur mais impossible d'ouvrir une session, ni en prenom.nom, ni en prenom.nom@xxx.fr.

    Le message d'erreur exact est : "La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail".

    Absolument aucun message d'erreur dans les logs.

    D'après ce que je comprends, ce genre de message se produit quand il y a plusieurs domaines et des relations d'approbations, ce qui n'est pas mon cas.

    Il y a beaucoup d'articles qui parle de nom disjoint mais ils impliquent tous MS exchange.

    Je n'arrive pas à trouver un tutoriel simple : laisser mes DC et autres serveurs dans la zone DNS par defaut xxx.fr et avoir les comptes ordinateurs des utilisateurs dans une autre zone DNS postes.xxx.fr

    Pourtant sur le papier, ca a l'air simple.

    mercredi 24 janvier 2018 15:50
  • Je suis allé sur un poste de test qui avait le problème.

    J'ai redémarré l'ordinateur mais impossible d'ouvrir une session, ni en prenom.nom, ni en prenom.nom@xxx.fr.

    Le message d'erreur exact est : "La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail".

    Absolument aucun message d'erreur dans les logs.

    D'après ce que je comprends, ce genre de message se produit quand il y a plusieurs domaines et des relations d'approbations, ce qui n'est pas mon cas.

    Il y a beaucoup d'articles qui parle de nom disjoint mais ils impliquent tous MS exchange.

    Je n'arrive pas à trouver un tutoriel simple : laisser mes DC et autres serveurs dans la zone DNS par defaut xxx.fr et avoir les comptes ordinateurs des utilisateurs dans une autre zone DNS postes.xxx.fr

    Pourtant sur le papier, ca a l'air simple.

    Bonjour,

    SI j'ai bien compris votre configuration, vous avez une nouvelle zone DNS qui s'appelle poste.xxx.fr et vous avez ajouter le nom de la nouvelle zone dans le suffixe DNS dans les paramètres IP de la carte réseau de chaque PC. Cette configuration n'impacte pas la communication du poste de travail avec les contrôleurs de domaine si le poste client est entrain d'interroger un serveur DNS capable de résoudre la zone DNS du domaine xxxx.fr et poste.xxx.fr.

    Selon le message d'erreur que vous avez reçu, il faut vérifier que le poste de client a déjà un compte AD créé dans le domaine, et qu'il est capable de résoudre la le nom DNS du domaine xxx.fr pour l'authentification des utilisateur.
    Si le problème persiste vous pouvez essayer réintégrer la machine au domaine et tester l'authentification


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 24 janvier 2018 16:26
    Modérateur
  • Oui, on a aussi testé en ajoutant les suffixes dns sur la carte réseau par GPO.

    Sortir/rerentrer le PC dans le domaine règle le problème mais je cherche encore ce qui peut faire ce problème.

    jeudi 25 janvier 2018 09:59
  • Bonjour,

    une petite idée à vérifier. Je suppose que vos PC sont en DHCP?

    Contrôlez que vous distribuez bien tous les suffixes de recherche nécessaires, ou que l'option "Ajouter des suffixes parents du suffixe DNS principal" est bien activé.

    Cela paraît basique, mais il vaut mieux le contrôler...

    Bonne journée,


    Laurent Dumont PRESTINFORM - Revel

    jeudi 25 janvier 2018 13:59
  • Oui, on a aussi testé en ajoutant les suffixes dns sur la carte réseau par GPO.

    Sortir/rerentrer le PC dans le domaine règle le problème mais je cherche encore ce qui peut faire ce problème.

    Généralement ce genre de problème peut être dû à:

    • Une mauvaise configuration DNS .
    • Problème de réplication AD
    • les outils de clonage des poste de travail


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 25 janvier 2018 16:42
    Modérateur