none
Active Directory sur sous-réseaux différents (VPN) RRS feed

  • Question

  • Bonjour,

    Dans une entreprise répartie sur deux sites, je commence la mise en place d'un Active Directory.
    Les deux sites sont reliés en VPN afin de pouvoir communiquer. Chaque site possède son sous-réseau :
    - site 1 : 192.168.1.0/24
    - site 2 : 192.168.2.0/24

    J'ai installé un Windows Server 2012, sur le site 1 avec les rôles suivants :
    - AD DS
    - DNS
    - DHCP

    Domaine : entreprise.local
    Depuis la console "Sites et services Active Directory" j'ai bien créé les deux sites et associé le bon sous-réseau au site correspondant.
    Le seul DC est donc pour l'instant sur le site 1, et quelques machines sont déjà intégrées au domaine.

    Je voudrais également intégrer quelques machines du site 2 dans le domaine (avant d'y mettre prochainement un DC secondaire) mais je n'y arrive pas.
    Je modifie bien les paramètres IP de la machine à intégrer pour fixer le DNS du site 1 en tant que DNS primaire mais lors de l'intégration j'ai ce message :

    http://i.imgur.com/epM6MlL.png

    J'arrive bien depuis le site 2 à communiquer avec des machines du site 1. (Le ping vers le DNS fonctionne)
    Les résolutions DNS fonctionnent pour des adresses Internet, mais pas pour le domaine local : par exemple si je fais un nslookup de dc1.entreprise.local, j'ai un délai de requête dépassé. Et si je fais un nslookup d'un domaine local qui n'existe pas j'ai bien une erreur de domaine non existant, et enfin un nslookup de google.com par exemple fonctionne.

    J'ai capturé les trames Wireshark qui montrent le problème:

    http://i.imgur.com/FRp9n3S.png

    On voit bien que le serveur répond aux requêtes mais mon pc ne les reçoit jamais les réponses en "A" du domaine.

    Là il s'agit d'un nslookup mais c'est la même chose lors d'un test d'intégration, mon poste fait les requêtes pour _ldap... je vois que le serveur de son côté répond, mais le pc ne les reçoit pas ces réponses. (d'où l'erreur de timeout)...

    Une idée d'où cela pourrait venir ?

    Avant de commencer cette mise en place en réel, j'avais fait des tests sur machines virtuelles en essayant de reproduire l'architecture actuelle (avec un routeur a 3 interfaces : 1 internet, 2 pour les réseaux des deux sites) et ça avait fonctionné)



    vendredi 12 juin 2015 13:06

Réponses

  • Bonsoir,

    Si vous avez la main sur les firewall/VPN?

    Si oui, vous pouvez tenter de regarder les logs sur le Firewall afin de voir si vous n'avez pas des deny sur certaines trames.

    - Sur l'interface LAN du site 1 avec comme source le DC

    - Sur l'interface WAN du site 2


    Cordialement,

    Mickaël LOPES

    Blog : http://lopes.im 

      

    vendredi 12 juin 2015 16:14
  • Bonsoir,

    Si vous avez la main sur les firewall/VPN?

    Si oui, vous pouvez tenter de regarder les logs sur le Firewall afin de voir si vous n'avez pas des deny sur certaines trames.

    - Sur l'interface LAN du site 1 avec comme source le DC

    - Sur l'interface WAN du site 2


    Cordialement,

    Mickaël LOPES

     

    Il y avait effectivement un blocage de certaines trames DNS, au niveau des firewall Netasq. (protection DNS rebinding)

    Merci pour votre aide !

    • Marqué comme réponse villadroid lundi 15 juin 2015 11:39
    lundi 15 juin 2015 11:37

Toutes les réponses

  • Avez-vous autoriser les flux sur le port 53(DNS) entre les 2 sites sur votre routeur dans les 2 sens ?

    Sur le poste client avec ipconfig /all indique bien l'ip de votre DC en tant que DNS primaire ?

    Sinon les pertes de paquets sont liés soit au routeur d'un des 2 sites,  soit aux connections internet.

    vendredi 12 juin 2015 13:40
    Modérateur
  • Avez-vous autoriser les flux sur le port 53(DNS) entre les 2 sites sur votre routeur dans les 2 sens ?

    Sur le poste client avec ipconfig /all indique bien l'ip de votre DC en tant que DNS primaire ?

    Sinon les pertes de paquets sont liés soit au routeur d'un des 2 sites,  soit aux connections internet.

    Oui, les flux DNS sont autorisés et cela fonctionne d'ailleurs bien pour le surf Internet, les résolutions se font sans soucis depuis l'IP du DC.

    l'ipconfig /all affiche bien l'IP du DC que j'ai paramétré manuellement dans les paramètres IP.

    Pour les tests j'ai désactivé le pare-feu du serveur et du client sur le site 2 mais cela ne change rien.

    vendredi 12 juin 2015 14:02
  • Bonsoir,

    Si vous avez la main sur les firewall/VPN?

    Si oui, vous pouvez tenter de regarder les logs sur le Firewall afin de voir si vous n'avez pas des deny sur certaines trames.

    - Sur l'interface LAN du site 1 avec comme source le DC

    - Sur l'interface WAN du site 2


    Cordialement,

    Mickaël LOPES

    Blog : http://lopes.im 

      

    vendredi 12 juin 2015 16:14
  • Je modifie bien les paramètres IP de la machine à intégrer pour fixer le DNS du site 1 en tant que DNS primaire mais lors de l'intégration j'ai ce message :

    Vous devez mettre l'IP des contrôleurs de domaine en tant que seul serveur DNS sur les postes et serveurs du domaine. Est-ce bien ce que vous avez fait?


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    vendredi 12 juin 2015 17:10
  • Je doit avoir accès a ces log, je vous tiens au courant.

    Je modifie bien les paramètres IP de la machine à intégrer pour fixer le DNS du site 1 en tant que DNS primaire mais lors de l'intégration j'ai ce message :

    Vous devez mettre l'IP des contrôleurs de domaine en tant que seul serveur DNS sur les postes et serveurs du domaine. Est-ce bien ce que vous avez fait?


    Bruce Jourdain de Coutance - Consultant MVP Exchange

    Oui, c'est ce que j'ai fait.

    lundi 15 juin 2015 05:54
  • Bonsoir,

    Si vous avez la main sur les firewall/VPN?

    Si oui, vous pouvez tenter de regarder les logs sur le Firewall afin de voir si vous n'avez pas des deny sur certaines trames.

    - Sur l'interface LAN du site 1 avec comme source le DC

    - Sur l'interface WAN du site 2


    Cordialement,

    Mickaël LOPES

     

    Il y avait effectivement un blocage de certaines trames DNS, au niveau des firewall Netasq. (protection DNS rebinding)

    Merci pour votre aide !

    • Marqué comme réponse villadroid lundi 15 juin 2015 11:39
    lundi 15 juin 2015 11:37