none
ping mauvais controlleur de domaine RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    J'ai un domaine avec plusieurs sites AD, les subnets sont bien déclarés. Le round Robin et le netmask ordering sont activés.

    Sur le site1 : Le ping interroge le mauvais DC-site2 une fois sur 2 (round robin). Je voudrais que le ping se fasse que sur le DC-site1 quand je suis sur le site1. et sur le site2, qu'il interroge que le DC-site2.

    Merci

    vendredi 12 juillet 2019 09:37
    |

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Pour mettre fin à tout débat chronophage et rendant depuis quelque temps le forum technet prolixe, la question est  :

    J'ai un domaine avec plusieurs sites AD, les subnets sont bien déclarés. Le round Robin et le netmask ordering sont activés.
    Sur le site1 : Le ping interroge le mauvais DC-site2 une fois sur 2 (round robin). Je voudrais que le ping se fasse que sur le DC-site1 quand je suis sur le site1. et sur le site2, qu'il interroge que le DC-site2.

    Donc reformulée : est normale que je ping une fois à gauche, une fois à droite avec un round robin, la réponse est oui :

    https://social.technet.microsoft.com/Forums/windows/en-US/6399aa28-32be-41f4-83b4-fa2d12d357fa/round-robin-in-resolving-the-domain-name?forum=winserverDS

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc787484(v=ws.10)

    Il n'y a pas de relation entre round robin et site et service AD.
    Sinon, nous n'aurions pas tant de difficulté à créer des infrastructure WSUS (par exemple) viables. Et les stratégie de géolocalisation n'auraient pas vu le jour.

    Par contre, concernant l'authentification et DFS (en autre), la mécanique est complétement différente et round robin ne s'applique pas.

    Cordialement

    Benoit

    vendredi 12 juillet 2019 15:37
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Donc reformulée : est normale que je ping une fois à gauche, une fois à droite avec un round robin, la réponse est oui :

    Exactement Benoit, le fait que le ping du nom de domaine fasse du round robin, sur l'ensemble des DCs n'a aucun lien avec le fait que les clients priviliégie les DCs du site pour l'authentification. Des enregisrements de services existent pour chaque site permettant au client de trouver le DC du site en rapport avec son IP.

    https://blogs.msdn.microsoft.com/servergeeks/2014/07/05/how-do-servers-locate-a-domain-controller-in-a-network/

    Il n'y a pas d'inquiétude à avoir, le comportement est normal. 


    vendredi 12 juillet 2019 21:27
    |
    Modérateur

Toutes les réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Sauf erreur de ma part, ce comportement est normal.

    Round Robin DNS vous envoie à tour de rôle sur chacun des contrôleurs de domaine de votre domaine.

    C'est l'un des soucis que nous rencontrons régulièrement avec WSUS par exemple où si un serveur WSUS est déployé sur chaque site et que vous interroger un alias DNS qui pointe sur l'ensemble des serveurs WSUS, vous ne contacterez pas le plus proche.

    Par contre, quelle est la version de votre DNS ? Car si vous être avec un DNS en version 2016, ce type de comportement peut-être contourné avecles stratégie de géolocalisation :

    https://docs.microsoft.com/fr-fr/windows-server/networking/dns/deploy/primary-secondary-geo-location

    Cordialement

    Benoit

    vendredi 12 juillet 2019 14:55
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Pour ce qui est des pings c'est bizarre, mais le plus important dans une configuration multi-sites est la déclaration dans l'active directory par la console Sites et service AD et la déclaration des réseaux.

    http://www.pbarth.fr/node/127

    Romain


    • Modifié Romain.D vendredi 12 juillet 2019 15:14
    vendredi 12 juillet 2019 15:08
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Est-ce que vous utilisez DNS intégré à Active Directory? Si c'est le cas, je vous invite de vérifier s'il n'y a pas de problème au niveau de la réplication AD. Et pour se faire:

    • Sur votre contrôleur de domaine, ouvrez l'invite de commandes en tant qu'administrateur.
    • Tappez la commande repadmin /replsummary

    S'il n'y a aucune erreur, forcez une synrhconisation de la réplication avec les autres serveurs avec la commande:

    • repadmin /replicate

    Assuez-vous que vous avez déclaré correctement les sous-réseaux avec les contrôleurs de domaine en fonction de leur emplacement.

    Cordialement,

    SAAD Youssef

    _______

    Prière de ne pas oublier de marquer les réponses utiles à votre besoin comme solution, en vous remerciant!

    vendredi 12 juillet 2019 15:16
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Pour mettre fin à tout débat chronophage et rendant depuis quelque temps le forum technet prolixe, la question est  :

    J'ai un domaine avec plusieurs sites AD, les subnets sont bien déclarés. Le round Robin et le netmask ordering sont activés.
    Sur le site1 : Le ping interroge le mauvais DC-site2 une fois sur 2 (round robin). Je voudrais que le ping se fasse que sur le DC-site1 quand je suis sur le site1. et sur le site2, qu'il interroge que le DC-site2.

    Donc reformulée : est normale que je ping une fois à gauche, une fois à droite avec un round robin, la réponse est oui :

    https://social.technet.microsoft.com/Forums/windows/en-US/6399aa28-32be-41f4-83b4-fa2d12d357fa/round-robin-in-resolving-the-domain-name?forum=winserverDS

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc787484(v=ws.10)

    Il n'y a pas de relation entre round robin et site et service AD.
    Sinon, nous n'aurions pas tant de difficulté à créer des infrastructure WSUS (par exemple) viables. Et les stratégie de géolocalisation n'auraient pas vu le jour.

    Par contre, concernant l'authentification et DFS (en autre), la mécanique est complétement différente et round robin ne s'applique pas.

    Cordialement

    Benoit

    vendredi 12 juillet 2019 15:37
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Donc reformulée : est normale que je ping une fois à gauche, une fois à droite avec un round robin, la réponse est oui :

    Exactement Benoit, le fait que le ping du nom de domaine fasse du round robin, sur l'ensemble des DCs n'a aucun lien avec le fait que les clients priviliégie les DCs du site pour l'authentification. Des enregisrements de services existent pour chaque site permettant au client de trouver le DC du site en rapport avec son IP.

    https://blogs.msdn.microsoft.com/servergeeks/2014/07/05/how-do-servers-locate-a-domain-controller-in-a-network/

    Il n'y a pas d'inquiétude à avoir, le comportement est normal. 


    vendredi 12 juillet 2019 21:27
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour toutes ces réponses.

    Je vais essayé https://docs.microsoft.com/fr-fr/windows-server/networking/dns/deploy/primary-secondary-geo-location

    Pour l'authentification, je n'ai aucun souci.

    dimanche 14 juillet 2019 10:56
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Tu peux détailler ton objectif ?

    Les zones DNS secondaires issus du transferts de zone peuvent être intéressante pour résoudre un nom tierce.

    Pour ton domaine AD il est préférable d'utiliser des zones primaires intégrés AD acceptant les mises à jours sécurisés. Cela permet aux postes clients de s'enregistrer et de limité la pollution de la zone DNS de l'AD.

    Si tu as plusieurs site avec des lan différents, il sufit de mettre en DNS primaire sur chaque site un DC du même site dans les options DHCP par exemple. Néanmoins même si le DNS primaire est sur le même site, un ping du nom de domaine renverra vers un des DCs de l'entreprise.

    Ton article parle de gérer l'exposition de site internet (par exemple www.masociete.fr)  vers le monde en redirigeant les clients vers le serveur Web de la bonne région (Europe, USA , ...). Je ne vois pas trop le liens avec les sites AD.

    dimanche 14 juillet 2019 17:54
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Les DNS sont bien configurés au niveau DHCP. Les subnets sont bien déclarés dans les sites AD.

    Il est donc impossible de forcer un ping sur les DNS locaux !?

    lundi 15 juillet 2019 06:44
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Quel en serait l'intérêt ? Je ne comprends pas ton objectif .

    Tu peux faire un ping de ton adresse local .

    lundi 15 juillet 2019 06:49
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter
    Peut-on empêcher que le ping aille vers les site distant, qu'il ne se fasse que sur les DC locaux?
    mercredi 17 juillet 2019 09:02
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Le ping n'est qu un test de connectivité. Il n'a pas de lien avec le fonctionnement de l'ad.  


    Interdite le trafic vers les autres sites n'est pas une bonne idée et n'apporte rien.

    Cela permet de garantir le fonctionnement en cas absence d'un dc sur un site

     


    mercredi 17 juillet 2019 09:43
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    L'authentification Kerberos se fait à la base de la configuration des Sites et Services Active Directory en prenant considération les sous-réseaux déclarés avec leurs contrôleurs de domaine dédiés. Le ping n'a rien à voir avec le fonctionnement de AD, comme dit par Philippe.

    Pour vérifier sur quel DC un utilisateur X s'est connecté, il suffit d'ouvrir l'invite de commandes (sur le PC utilisateur) et saisir la commande suivante:

           echo %logonserver%

    Cordialement,

    SAAD Youssef

    mercredi 17 juillet 2019 09:57
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Je voudrais que le nslookup et le ping ne vois que les DC (dns) locaux

    Les clients sont bien sur les bons sites.

    • Modifié Volupia mercredi 17 juillet 2019 13:35
    mercredi 17 juillet 2019 13:34
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Je voudrais que le nslookup et le ping ne vois que les DC (dns) locaux

    Les clients sont bien sur les bons sites.

    Je ne vois aucun intêret pour ça, puisque le PING ne permet que tester la connectivité.

    Sinon vous pouvez pinger directement sur le DC local au lieu de faire un ping sur le domaine.

    mercredi 17 juillet 2019 13:52
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Je voudrais que le nslookup et le ping ne vois que les DC (dns) locaux

    Les clients sont bien sur les bons sites.

    Quel en est le but ?

    nslookup n'est qu'un outil pour tester la résolution de nom et ping pour tester la connectivité, ils n'ont pas de rapport avec le fonctionnement des clients.

    A part créer des erreurs je ne vois pas ce que tu espère en retirer.

    mercredi 17 juillet 2019 17:02
    |
    Modérateur