none
Fonctionnement Topologie Réplication AD RRS feed

  • Question

  • Bonjour,

    J'ai mis en place récemment une topologie de réplication active directory entre 2 sites (A et B) sur le même domaine.
     - Quand je fais la commande "echo %logonserver%" sur le siteA c'est un des DC du siteA qui me repond. Idem pour le siteB.
     - Depuis le site A quand je fais un ping du domaine, le DC du site B me répond souvent ou DC du siteA répond.
    Pourquoi en faisant le Ping du domaine sur le siteA, le DC du siteB répond?

    Merci pour votre aide.


    Serge

    mardi 20 octobre 2020 07:21

Réponses

  • Bonjour,

    le ping n'est pas lié au fonctionnement d'Active Directory.

    La réponse au ping dépend simplement du fonctionnement normal de la résolution DNS.

    Donc, si l'on teste le ping du nom "domaine.extension" d'un domaine AD, tous les serveurs contrôleurs de domaine sont inscrits avec le même niveau de priorité/préférence.

    Si l'on flushe le cache DNS et ARP d'un client, n'importe quelle adresse IP inscrite sous le nom "domaine.extension" est susceptible d'être renvoyée par le DNS (avec un mécanisme équivalent à un RoundRobin).

    Dans les communications suivantes (LDAP), l'ordinateur pourra interroger l'annuaire et utiliser les notions de sites AD pour interroger le contrôleur de domaine adéquat.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    • Marqué comme réponse Serge MFR mardi 20 octobre 2020 08:23
    mardi 20 octobre 2020 08:01
  • Bonjour,

    Le ping va utilisé le DNS pour faire la résolution de nom de ton domaine.

    Dans ton domaine, tu as 2 DC, dans ce cas, 50% de chance d'obtenir le DC1 et 50% de chance d'obtenir le DC2.

    Par défaut, le DNS fait du round robin, c'est à dire que si tu interroges un enregistrement depuis 2 machines différentes, 1 devrait avoir comme résultat le DC1 et l'autre le DC2.

    Si tu interroges depuis la même machine, il y a un cache DNS donc tu auras 2 fois le même résultat.

    Pour supprimer le cache DNS, tu peux faire un ping nomdudomaine et ensuite faire la commande :

    ipconfig /flushdns

    Tu peux ensuite refaire ton ping

    De cette façon, tu devrais avoir 1 fois un DC et une fois l'autre (environs...)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Serge MFR mardi 20 octobre 2020 08:35
    mardi 20 octobre 2020 08:04

Toutes les réponses

  • Bonjour Serge MFR

    Un poste trouve le DC qui doit l'authentifier en s'appuyant sur le DNS qui lui-même tire ces infos de AD Sites&Services.

    Normalement, tu as définir 2 sites dans AD Sites&Services. Sur le siteA, Un DC, sur le SiteB Un DC. Je ne pense pas que le pb vienne de cela. Cependant, il est important de rappeler ce qu'est un site au sens AD Sites&Services : Un ensemble de subnets liés par des liaisons rapides qui peuvent s'assimiler à une liaison LAN.

    Vérifies dans AD Sites&Services, que pour le SiteB, il y a bien tous les subnets liés à ce site. Sinon, les postes de ce site vont être attachés au site par défaut (le premier site, qui doit être le Site A dans ton cas).

    J'ai eu, par le passé, exactement ce cas : Un site a augmenté de taille. Il a été décider d'ajouter des VLANs. Opération menée par le réseau. Cependant, les postes/users situés sur ces nouveaux VLANs s'authentifiaient sur le site principal (site par défaut). Une fois au courant ce cet "incident", il a suffit de créer les nouveaux subnets dans AD sites & Services et de la lier au site correspondant. Pb réglé.

    Autre exemple : des utilisateurs de Lyon allaient chercher leurs packages SCCM en Espagne, alors qu'ils avaient un "Distribution Point" au sens SCCM local. Imagine le trafic réseau sur la liaison WAN (saturée). Question aux admin sur le site AD par défaut (Espagne naturellement). Ma réponse : votre AD est mal configuré. Et là, chacun campe sur ces positions. SCCM s'appuie (par défaut sur la topologie Sites&services). Mon Conseil : Go AD sites&Services et vérifier sur le site de Lyon quels sont les subnets associés, puis demander au réseau quels sont les subnets de ce site. 5 minutes plus tard, on avait les 2 réponses qui ne concordaient pas naturellement. Les admins ont ajouté les subnets manquants et la magie a opérée. J'attends toujours les remerciements ... même si avec le temps je devrais être habitué. :-)

    Après, si le (les) DC du site ne répondent pas (causes multiples : HS, surcharge ponctuelle, ....) , le poste/user va aller taper sur  autre DC localisé sur un autre site.

    J'ai dit que je pensais que ton DC du site B était bien dans Sites&Services dans le site B. Vérifies quand même.

    cordialement

    Olivier

    mardi 20 octobre 2020 07:55
  • Bonjour,

    le ping n'est pas lié au fonctionnement d'Active Directory.

    La réponse au ping dépend simplement du fonctionnement normal de la résolution DNS.

    Donc, si l'on teste le ping du nom "domaine.extension" d'un domaine AD, tous les serveurs contrôleurs de domaine sont inscrits avec le même niveau de priorité/préférence.

    Si l'on flushe le cache DNS et ARP d'un client, n'importe quelle adresse IP inscrite sous le nom "domaine.extension" est susceptible d'être renvoyée par le DNS (avec un mécanisme équivalent à un RoundRobin).

    Dans les communications suivantes (LDAP), l'ordinateur pourra interroger l'annuaire et utiliser les notions de sites AD pour interroger le contrôleur de domaine adéquat.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    • Marqué comme réponse Serge MFR mardi 20 octobre 2020 08:23
    mardi 20 octobre 2020 08:01
  • Bonjour,

    Le ping va utilisé le DNS pour faire la résolution de nom de ton domaine.

    Dans ton domaine, tu as 2 DC, dans ce cas, 50% de chance d'obtenir le DC1 et 50% de chance d'obtenir le DC2.

    Par défaut, le DNS fait du round robin, c'est à dire que si tu interroges un enregistrement depuis 2 machines différentes, 1 devrait avoir comme résultat le DC1 et l'autre le DC2.

    Si tu interroges depuis la même machine, il y a un cache DNS donc tu auras 2 fois le même résultat.

    Pour supprimer le cache DNS, tu peux faire un ping nomdudomaine et ensuite faire la commande :

    ipconfig /flushdns

    Tu peux ensuite refaire ton ping

    De cette façon, tu devrais avoir 1 fois un DC et une fois l'autre (environs...)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Serge MFR mardi 20 octobre 2020 08:35
    mardi 20 octobre 2020 08:04
  • Bonjour Olivier,

    Merci pour ta réponse.

    La configuration de mon archi est correcte. Les subnets de chaque site sont rattachés à leur site.

    Puis que quand je fais la commande "echo %logonserver%" sur le siteA c'est un des DC du siteA qui me répond. Idem pour le siteB. ça fonctionne bien.

    Je voulais juste comprendre, pourquoi en faisant un Ping de mon domaine sur le siteA c'est un DC du siteB qui me répondait?

    Thierry nous a apporté une réponse.

    Cordialement,


    Serge


    • Modifié Serge MFR mardi 20 octobre 2020 08:43
    mardi 20 octobre 2020 08:35
  • @Serge MFR

    Je suis parti sur authentification alors qu'il s'agissait d'un simple ping du domaine. Thierry a effectivement fourni une réponse technique adaptée (c'est le DNS sui répond le nom).

    Olivier

    mardi 20 octobre 2020 09:09
  • Après, il existe la possibilité de configurer pour privilégier la réponse en fonction du site :

    https://docs.microsoft.com/fr-fr/security-updates/windowsupdateservices/21741557#step-3-set-up-the-dns-server-for-netmask-ordering-and-round-robin

    mardi 20 octobre 2020 10:04