none
Problème de réplication AD à travers VPN (pptp) RRS feed

  • Question

  • Bonjour à tous,

    Alors voilà, j'ai un problème concernant la réplication de mes deux serveurs AD. Le premier DC est sur un site (site1) et le second sur un autre site (site2). Sur site2 impossible d'avoir une ligne VDSL potable j'ai donc dû opter pour un routeur 4G. J'ai donc un VPN PPTP entre les deux sites. 

    Alors à ce jour le DC de site2 se connecte bien au VPN et reçois une adresse IP du réseau de site1, cependant il arrive parfois une déconnexion de quelques secondes et du coup l'adresse IP qu'il obtient après reconnexion change :/ 

    De plus même en renseignant l'adresse IP du DC de site2 sur le DC de site1, la réplication ne se fait pas. 

    Avant le changement de site les DCs se répliquaient très bien.

    Des idées ?

    Merci d'avance


    • Modifié Nightingal vendredi 25 janvier 2019 08:57
    vendredi 25 janvier 2019 08:56

Réponses

  • Il te faut faire VPN site à site avec du routage inter-site et non pas du VPN client à la demande.

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 08:27
    vendredi 25 janvier 2019 14:43
  • Bonjour,

    Si vous n'avez une infrastructure fiable entre le site vous aller rencontrer des problèmes de réplication.

    Comme expliqué dans réponses précédentes, il est fortement recommandé  de configurer une IP fixe sur chaque DC. Si vous avez des sites distant ,il faut configurer une connection VPN site à site , et dans la topologie site de l'AD , il faut créer un site AD pour chaque site physique , un lien de site entre chaque deux sites qui possèdent une connexion VPN et déclarer tous les subnet et les assigner au site AD le plus proche.

    Commencez alors par stabiliser l'infrastructure réseau avant mettre en place l'infrastructure active directory


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 09:02
    vendredi 25 janvier 2019 23:37
    Modérateur
  • Bonjour,

    Merci pour vos réponse, j'essaye de mettre en place vos recommandation mais je ne vois pas la différence entre le VPN pptp que j'ai mis en place et un VPN site à site, qu'elle est l'outil qui me permet de le faire svp ? Avec mon VPN actuelle je n'arrive pas à fixer l'adresse IP de mon DC de site 2 sur le subnet du DC de site 1

    Merci d'avance.

    Le type de connexion VPN que vous êtes entrai de le configurer est de type client - serveur ou site to site?

    Je vous recommande d’acheter un routeur dédié pour la VPN si vous n'arriver pas à configurer un VPN site to site. Microsoft n'a pas un outil performant pour créer une connexion VPN site to site après le TMG.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 08:27
    lundi 28 janvier 2019 09:28
    Modérateur
  • Les contrôleurs de domaine doivent utilisé une adresse IP fixe de préférence dans la plage d'adresse du site.

    Le routage et les tunels VPN entre les sites doivent être assurés par les routeurs et équipement réseaux, ou directement via l'opérateur.

    Il ne faut mettre de client VPN logiciel sur le contrôleur de domaine et les IP ne doivent pas changer.

    Il ne faut pas utiliser de NAT entre des sites.

    Si les contrôleurs de domaine ne réplique pas pendant une périu=ode prolongé (TombStoneLifeTime 60 ou 180j) il faudra sacrifier 1 des 2 et refaire.

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 09:02
    lundi 28 janvier 2019 13:46

Toutes les réponses

  • Bonjour,

    1) Il est recommandé d'avoir des IP fixes sur les serveur DC.

    Vous pouvez utiliser la réservation DHCP si jamais vous souhaitez le gérer via le DHCP.

    2) Une coupure de quelque seconde ne renouvelle pas l'adresse IP du DC. Lorsque le serveur DHCP attribue une IP, elle est conservée pour la durée du bail. Cela signifie que si le DC reboote, il récupère la même IP tant qu'il est dans la durée du bail.

    Je pense que votre problème est ailleurs...

    Même en coupant le cable après qu'un @IP ait été obtenue, elle est conservée.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 25 janvier 2019 09:00
  • Merci de la réponse rapide,

    Je me suis dit la même chose concernant le bail et j'ai vérifié la durée de celui-ci fournit par le DHCP mais je vous assure que l'adresse IP change à chaque reconnexion qui doit venir environ 2 fois ou 3 fois par jour en moyenne :/ 

    Concernant la réservation d'adresse par le DHCP je ne connais que la réservation via adresse MAC, or celle-ci n'est pas visible via le VPN je ne peux donc pas réserver l'adresse de mon DC de site2 sur le réseau de site1.

    Merci 

    vendredi 25 janvier 2019 09:06
  • Les DC doivent avoir des adresses fixes et sont très liés à la mise à jour des DNS.

    En  plus le phénomène de cache DNS (client et serveur) complique l'opération.

    Et si les zones sont intégrés AD, la résolution DNS dépend de la réplication AD, et la réplication AD dépend de DNS.



    vendredi 25 janvier 2019 11:07
  • Il te faut faire VPN site à site avec du routage inter-site et non pas du VPN client à la demande.

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 08:27
    vendredi 25 janvier 2019 14:43
  • Bonjour,

    Si vous n'avez une infrastructure fiable entre le site vous aller rencontrer des problèmes de réplication.

    Comme expliqué dans réponses précédentes, il est fortement recommandé  de configurer une IP fixe sur chaque DC. Si vous avez des sites distant ,il faut configurer une connection VPN site à site , et dans la topologie site de l'AD , il faut créer un site AD pour chaque site physique , un lien de site entre chaque deux sites qui possèdent une connexion VPN et déclarer tous les subnet et les assigner au site AD le plus proche.

    Commencez alors par stabiliser l'infrastructure réseau avant mettre en place l'infrastructure active directory


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 09:02
    vendredi 25 janvier 2019 23:37
    Modérateur
  • Bonjour,

    Merci pour vos réponse, j'essaye de mettre en place vos recommandation mais je ne vois pas la différence entre le VPN pptp que j'ai mis en place et un VPN site à site, qu'elle est l'outil qui me permet de le faire svp ? Avec mon VPN actuelle je n'arrive pas à fixer l'adresse IP de mon DC de site 2 sur le subnet du DC de site 1

    Merci d'avance.

    lundi 28 janvier 2019 09:02
  • Bonjour,

    Merci pour vos réponse, j'essaye de mettre en place vos recommandation mais je ne vois pas la différence entre le VPN pptp que j'ai mis en place et un VPN site à site, qu'elle est l'outil qui me permet de le faire svp ? Avec mon VPN actuelle je n'arrive pas à fixer l'adresse IP de mon DC de site 2 sur le subnet du DC de site 1

    Merci d'avance.

    Le type de connexion VPN que vous êtes entrai de le configurer est de type client - serveur ou site to site?

    Je vous recommande d’acheter un routeur dédié pour la VPN si vous n'arriver pas à configurer un VPN site to site. Microsoft n'a pas un outil performant pour créer une connexion VPN site to site après le TMG.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 08:27
    lundi 28 janvier 2019 09:28
    Modérateur
  • Les contrôleurs de domaine doivent utilisé une adresse IP fixe de préférence dans la plage d'adresse du site.

    Le routage et les tunels VPN entre les sites doivent être assurés par les routeurs et équipement réseaux, ou directement via l'opérateur.

    Il ne faut mettre de client VPN logiciel sur le contrôleur de domaine et les IP ne doivent pas changer.

    Il ne faut pas utiliser de NAT entre des sites.

    Si les contrôleurs de domaine ne réplique pas pendant une périu=ode prolongé (TombStoneLifeTime 60 ou 180j) il faudra sacrifier 1 des 2 et refaire.

    • Marqué comme réponse Nightingal mardi 29 janvier 2019 09:02
    lundi 28 janvier 2019 13:46
  • Bonjour,

    J'ai réglé le problème grâce au vpn site to site que j'ai réalisé avec PFsense, c'était bien le vpn pptp qui posais problème. j'ai pu fixer les IPs et après une réinstallation de la forêt, tout est bon les DC répliquent très bien !

    En vous remerciant tous :)

    Bonne journée

    mardi 29 janvier 2019 08:26
  • Bonjour,

    Ah oui, c'est vrai que Pfsense utilise le protocole OpvenVPN pour réalisé des tunnels vpn. 

    mardi 29 janvier 2019 08:48