none
Active Directory DNS et sous-réseaux RRS feed

  • Question

  • Bonjour,

    Je souhaiterais savoir s'il est déconseillé de mettre deux serveurs AD + DNS dans un sous-réseau différent de celui des postes clients et membres du domaine. Nous sommes avec des contrôleurs de domaine avec Windows 2012 virtualisés sous Hyper-V 3.

    Merci d'avance.

    jeudi 26 décembre 2013 15:26

Réponses

  • Bonsoir, 

    D'avoir deux contrôleurs de même site sur deux plages réseaux différentes cette configuration n'as pas de sens.

    Puisque vous avez choisit de segmenter votre réseaux afin d'assurer la protection des serveurs en les mettre dans un VLAN différents des PC, donc les serveurs active directory doivent être configurés dans ce VLAN si non ils ne seront pas protégés, et autoriser uniquement les protocoles nécessaires pour assurer la communication des PC (DNS ,GPO, AUthentification, intégration domaine,...) et réplication avec les contrôleurs des autres sites. 

    Si vous avez des problème de communication entre l'active directory et les autres serveurs ou PC sur d'autres sites ou VLAN, vous devrez vérifier d'abord la configuration de la segmentation réseaux et les ports autorisés pour la communication entre les différents VLAN et les sites distants au niveau switch/routeur/firewall pour déterminer la source du problème.

    Notez bien que au niveau de la configuration Site et services ACtive Directory vous pouvez ajouter plusieurs sous réseau s'il se trouvent dans le même site pour qu'il communiquent avec le(s)contrôleur(s) qui se trouve(nt) dans le même site et subissent les GPO de site aussi.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    jeudi 26 décembre 2013 21:43
    Modérateur
  • Lorsque nous passons un des deux DC dans la même zone que les postes nous ne rencontrons plus le problème. J'ai déclaré les sous(réseaux dans Sites et Services AD mais cela n'a pas corrigé le problème.

    Merci.

    Bonjour

    Cela prouve que vous avez un problème de configuration de routage entre les différents VLAn pour autoriser les protocoles nécessaires. 

    essayer de revoir le config au niveau de votre switch/routeur/firewall, pour autoriser les PC de voir les le segment des Serveurs.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 27 décembre 2013 08:42
    Modérateur
  • Bonsoir, merci à tous pour vos réponses.

    Après plusieurs tests nous avons effectivement constaté un problème avec une règle dans notre firewall.

    Le soucis est maintenant réglé et tout fonctionne. Merci.

    jeudi 9 janvier 2014 16:24
  • Si vous avez des sites distants  configurer les sites et les LAN pour chaques sites. Il faut voir la réplication inter site .

    Quel protocole avait vous autoriser entre le lan serveur et le lan poste ?

    DNS , AD (LDAP 389, CG : 3268) Kerberos, ... 

    Vous avez des problèmes de ping avec les sites distants. Avez vous ajoutez les règles de routages sur tous les routeurs ? 


    jeudi 26 décembre 2013 23:45
    Modérateur

Toutes les réponses

  • Il n'est pas déconseillé d'avoir plusieurs LAN et Active Directory s'en accommode bien . Il sufit de gérer ses LAN dans sites et services.

    Il faut cependant que les flux réseaux lié à l'AD ne soient pas bloqués

    Maintenant de la a dire qu'il y a un intérêt à faire cela. 

    Si vous pouviez précisé quel est votre objectif ?


    jeudi 26 décembre 2013 16:07
    Modérateur
  • Bonsoir, merci de votre réponse

    En fait nous préparons une migration de notre parc vers AD en Windows 2012 virtualisé et nous avons choisi de séparer nos serveurs AD, DNS ainsi que les hyperviseurs et le serveur VMM dans une zone à part afin que seuls les administrateurs puissent avoir l'accès. Les zones sont séparées par un firewall/routeur sonicwall dans lequel nous avons paramétré les droits d'accès (autorisations pour le protocole DNS, protocoles liés aux services AD...) pour les postes afin qu'ils puissent dialoguer. Depuis ce début de migration nous rencontrons des problèmes de ping vers nos sites distants et nos clients. Nous avons fait l'essai de passer un des deux nouveaux DC dans la même zone que les postes clients et le problème a disparu. 

    Je ne sais pas trop à quoi cela peut-être du. Par contre, je n'ai rien ajouté dans site et services.

    Si vous avez une idée, je suis preneur.


    • Modifié OnLine2014 jeudi 26 décembre 2013 16:32
    jeudi 26 décembre 2013 16:22
  • Bonsoir, 

    D'avoir deux contrôleurs de même site sur deux plages réseaux différentes cette configuration n'as pas de sens.

    Puisque vous avez choisit de segmenter votre réseaux afin d'assurer la protection des serveurs en les mettre dans un VLAN différents des PC, donc les serveurs active directory doivent être configurés dans ce VLAN si non ils ne seront pas protégés, et autoriser uniquement les protocoles nécessaires pour assurer la communication des PC (DNS ,GPO, AUthentification, intégration domaine,...) et réplication avec les contrôleurs des autres sites. 

    Si vous avez des problème de communication entre l'active directory et les autres serveurs ou PC sur d'autres sites ou VLAN, vous devrez vérifier d'abord la configuration de la segmentation réseaux et les ports autorisés pour la communication entre les différents VLAN et les sites distants au niveau switch/routeur/firewall pour déterminer la source du problème.

    Notez bien que au niveau de la configuration Site et services ACtive Directory vous pouvez ajouter plusieurs sous réseau s'il se trouvent dans le même site pour qu'il communiquent avec le(s)contrôleur(s) qui se trouve(nt) dans le même site et subissent les GPO de site aussi.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    jeudi 26 décembre 2013 21:43
    Modérateur
  • Si vous avez des sites distants  configurer les sites et les LAN pour chaques sites. Il faut voir la réplication inter site .

    Quel protocole avait vous autoriser entre le lan serveur et le lan poste ?

    DNS , AD (LDAP 389, CG : 3268) Kerberos, ... 

    Vous avez des problèmes de ping avec les sites distants. Avez vous ajoutez les règles de routages sur tous les routeurs ? 


    jeudi 26 décembre 2013 23:45
    Modérateur
  • Bonjour,

    Nos 2 serveurs AD sont dans la même zone. Ce sont les postes qui sont dans une zone différente. Pour valider que cela ne vient pas du firewall nous avons ouvert tous les ports entres ces deux zones de notre réseau interne. Même en ayant tout ouvert, nous rencontrons toujours des problèmes au niveau (perte de plusieurs paquets avant de recevoir une réponse).

    Lorsque nous passons un des deux DC dans la même zone que les postes nous ne rencontrons plus le problème. J'ai déclaré les sous(réseaux dans Sites et Services AD mais cela n'a pas corrigé le problème.

    Merci.

    vendredi 27 décembre 2013 08:32
  • Lorsque nous passons un des deux DC dans la même zone que les postes nous ne rencontrons plus le problème. J'ai déclaré les sous(réseaux dans Sites et Services AD mais cela n'a pas corrigé le problème.

    Merci.

    Bonjour

    Cela prouve que vous avez un problème de configuration de routage entre les différents VLAn pour autoriser les protocoles nécessaires. 

    essayer de revoir le config au niveau de votre switch/routeur/firewall, pour autoriser les PC de voir les le segment des Serveurs.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 27 décembre 2013 08:42
    Modérateur
  • idem , je pense à un problème de routage
    vendredi 27 décembre 2013 12:07
    Modérateur
  • Bonsoir, merci à tous pour vos réponses.

    Après plusieurs tests nous avons effectivement constaté un problème avec une règle dans notre firewall.

    Le soucis est maintenant réglé et tout fonctionne. Merci.

    jeudi 9 janvier 2014 16:24