none
RODC et enregistrement DNS_msdcs_sites RRS feed

  • Discussion générale

  • Bonjour

    J'ai un RODC sur un site distant (et que ça) et lorsque je regarde dans mes enregistrements DNS dans _msdcs sur ce site en question je trouve des enregistrements (kerberos ldap gc) d'un autre dc (en écriture) qui est sur le site principal.

    J'imagine que c'est "normal" mais quelqu'un peut m'expliquer le fonctionnement ?

    Le truc aussi c'est que le serveur qui c'est enregistré je vais le décommissionner du coup quel va etre l'impact sur le site distant ?

    Peut dont changer/forcer cet enregistrement ?

    Merci d'avance.  

    • Type modifié Emile Supiot lundi 31 août 2015 08:58 en attente de retour
    jeudi 6 août 2015 16:19

Toutes les réponses

  • L'annuaire AD étant répliqué, il est normal que tous les DC présente les même infos. Dans la zone de la forêt _msdcs vous trouverez des infos concernant l'ensemble des DC de la forêt. 

    AD se base sur _site de la zone du domaine pour rechercher un DC sur le même site, dans la mesure ou vous avez paramétré les sites et les sous réseaux. voir http://pbarth.fr/node/127. Il s'agit bien d'un préférence car en cas de panne du DC du site distant il interrogera un autre DC ...

    Lorsque vous supprimerez proprement un ancien DC celui supprimera automatiquement les enregistrements, les liens de replications etc ... il faut bien valider que les postes clients et les serveurs membres utilisent des DC restant en tant que serveur DNS avant de le rétrograder http://pbarth.fr/node/95

    Qui crée les enregistrements DNS : http://pbarth.fr/node/35


    jeudi 6 août 2015 21:39
    Modérateur
  • Merci pour votre retour,

    Effectivement j'ai bien configuré les sites et les sous réseaux et c'est pour cela que je me demande pourquoi j'ai ce DC enregistré sur le site distant alors qu'il est sur le site primaire ? vous parlez de préférence, je peux voir ça où ?

    Sinon je viens de m’apercevoir que le DC qui est enregistré sur le site distant est le générateur de topo inter-site de mon site primaire, étant donné que sur le site distant il n'y a qu'un RODC c'est pas pour cela ?

    Merci d'avance.

    vendredi 7 août 2015 09:46
  • Pouvez vous donner plus de détail sur ce qui apparait dans _msdsc ?

    Dans la zone de la forêt _msdcs vous trouverez des infos concernant l'ensemble des DC de la forêt. 

    Si vous voulez voir les informations liés à vos sites regardez dans la zone DNS du domaine sous _sites ...


    vendredi 7 août 2015 10:23
    Modérateur
  • oui c'est exactement ça, dans la zone DNS du domaine sous _sites j'ai mais 3 sites et dans un des 3 (ou il a juste un RODC) j'ai des enregistrements _gc _kerberos et _ldap pour on contrôleur qui n'est pas sur ce site.  
    vendredi 7 août 2015 12:19
  • Voir http://pbarth.fr/node/35 : comment sont créé les enregistrements DNS des DC.
    Si tu as des choses en trop qui n'ont pas été purgé, tu peux supprimer l'enregistrement en question. Tu attends la réplication puis tu redémarres le service Netlogon du ou des DC dont tu as supprimé un enregistrement. Le service net logon recrée au démarrage les enregistrements dont il a besoin (donc si tu en as supprimé un mauvais).
    Je ne vois pas d'impact sur la rétrogradation du serveur. Mais si tu as un environnement multi sites vérifie que lors de la suppression du DC il n'y a de DC qui se retrouve isolé.

    samedi 8 août 2015 07:02
    Modérateur
  • hum , je viens de regarder l'enregistrements est régulièrement mis à jour, il doit y avoir une explication technique certainement car il n'y a qu'un RODC sur ce site, afin d'assurer l'authentification des comptes qui ne sont pas dans le cache du serveur...???

    je crois que je vais éteindre le dc en question pour voir comme notre bon AD se comporte.

    C'est drôle que rien ne soit documenté. personne à un site distant avec un seul RODC sur le site pour regarder quels sont les enregistrement dans _sites ??   

    samedi 8 août 2015 17:24
  • Je n'arrive pas à suivre votre question par moment vous parlez de _msdsc (zone de la forêt) et par moment de la zone du domaine.

    Je vous déconseille d'éteindre le DC sur le site principale.  

    Pour l'instant votre environnement parait un peu flou.

    Avez vous d'autres DC ? Sites ?

    Le RODC est-il catalogue global ?

    dimanche 9 août 2015 15:47
    Modérateur
  • Bonjour, je vais reprendre :

    J'ai 3 sites dans ma topologie AD : Paris Lyon et Annecy

    Sur Paris:

    DC1 : Tous les rôles FSMO sauf GC

    DC2: GC

    PDC2 (que je veux éteindre) : GC

    Sur Lyon:

    DC3-LYON :GC

    Sur Annecy:

    DC5-ANNECY:RODC+GC

    Voici une impression d'écran des enregistrements pour lesquels je m' interroge : 

    https://social.technet.microsoft.com/Forums/getfile/706135

    Merci d'avance pour votre retour.

    lundi 10 août 2015 13:01
  • Le PDC2 a également des enregistrement DNS dans le site de Paris ?

    Il est bien affecté aux bon site ? Je m'en doute mais je pose quand la même question ... Normalement l'enregistrement devrait apparaître dans son site de ratachement ...

    Tu as déja fais un dcdiag sur PDC2 ?


    Sinon si c'est une forêt mon-domaine, il vaut mieux mettre le catalogue global sur tous les DC , voir :http://pbarth.fr/node/6

    lundi 10 août 2015 14:43
    Modérateur
  • Oui il est bien sur le bon site et l'enregistrement apparaît aussi sur le bon site....

    Je pense quand même qu'il y un rapport avec le fait que sur ce site il y n'y a qu'un RODC (et pas de gestionnaire de topo par exemple, pdc2 est actuellement le gestionnaire de la topo sur le site principal).

    Il y a bien une explication car l'enregistrement est constamment mis à jour ...

    Je vais creuser.

    Pour le GC oui c'est bien une foret mono domaine et je connais cette BP mais bon je préfère que l'authentification ne se fasse pas sur le DC qui à les roles FSMO... là c'est dans ma tête.

    DCDIAG ne donne rien sur PDC2


    • Modifié GIGI92 lundi 10 août 2015 15:52
    lundi 10 août 2015 15:51
  •  pdc2 est actuellement le gestionnaire de la topo sur le site principal

    Je n'ai pas compris, vous parlez de serveur de tête de pont pour la réplication InterSite ?

    Pour le GC oui c'est bien une foret mono domaine et je connais cette BP mais bon je préfère que l'authentification ne se fasse pas sur le DC 

    Le catalogue globale n'a rien a voir avec l'authentification Kerberos ou NTLM ... Le catalogue globale permet de retrouver a quel domaine appartient un utilisateur pour déterminer le DC qui peut l'authentifier. Il permet également de déterminer l'appartenance aux groupes universelles.

    Vous ne pouvez l'empêcher de jouer son rôle de DC. Si vous voulez privilégié les autres DC il faut jouer sur la priorité des enregistrements dns (voir round robin). 

    DCDIAG ne donne rien sur PDC2

    Je suppose qu'il n'y a que des "réussi" ?

    Perso j'aurais déja supprimé les enregistrements dans le site et redémarrer le service netlogon de pdc2 pour voir. 

    Je ne vois toujours pas le problème avec le fait de rétrograder PDC2 ..

    lundi 10 août 2015 16:19
    Modérateur
  • j'aimerai comprendre pourquoi cet enregistrement est là... et pourquoi il est mis à jour.

    Supprimer l’enregistrement ne répondra pas à ma question.

    Le problème est que si je rétrograde PDC2 et que l’authentification ne marche plus sur ANNECY je suis bon pour un voyage.

    Par contre l'étendre 24/48 heure pour voir, ça c'est plus gérable ... mais bon il doit y avoir une explication ....

     

    lundi 10 août 2015 18:41

  • Imagine au début tu as un site avec un DC par exemple. Si tu rajoute un 2 ème site à ce moment il n'y a pas de DC pour assurer le service il crée automatiquement des enregistrements SRV des DC de ton premier site. Ensuite tu rajoute le RODC du 2 sites il rajoute l'enregistrement du nouveau DC sur ce site les autres ne sont pas purgés.

    Si tu supprimer un enregistrement d'un DC du site 1 dans la partie site1 au redémarrage de netlogon il le recrée car il en a besoin, si tu l'enlève de la partie Site2 comme tu as un DC il n'est pas recrée ...

    Ce n'est pas recommandé d'éteindre un DC(génère des erreurs de réplications), mais tu peux toujours essayer pour une courte durée.

    Si tu essaye l'arrêt vérifie bien ta réplication après. 

    Si la réplication fonctionne tu peux corriger des éventuels erreurs DNS à distance. Si tu as des problèmes de réplications de l'annuaire c'est plus galère, mais en générale c'est faisable à distance.

    Dans l'exemple précédent http://pbarth.fr/node/35 j'ai carrément supprimé la zone DNS entière pour en recréer une vide afin d'expliquer qui crée les enregistrements, c'est sur que c'est une maquette, mais les postes clients de tests ont correctement repris après la création de la zone.


    C'est un serveur physique sur le site distant ?

    A toi de voir pour la suite...


    lundi 10 août 2015 19:46
    Modérateur
  • Bonjour,

    Effectivement un début d'explication: j'ai créé le site vide à l'origine et j'ai rajouté dc5 que quelques heures plus tard.

    Sinon j'ai arrêté pdc2 pendants 2 heures et je n'ai pas rencontré de dysfonctionnement (hors quelques problèmes de résolution DNS par des serveurs qui l’utilisaient).

    Lors du dé commissionnement de pdc2 les enregistrement devraient se supprimer.

    Je reviens vers vous début septembre pour le retour final.

    Merci pour cet échange.

    NB:DC5 annecy c'est sur un HV.

     

       


    • Modifié GIGI92 jeudi 13 août 2015 13:51
    jeudi 13 août 2015 13:50