locked
Réplication AD sur un domaine enfant sur un site distant RRS feed

  • Question

  • Bonjour à tous,

    Je vous explique mon scénario. Toujours dans le cadre d'un projet, biensûr avant de tenter quoi que ce soit. L'environnement est tester en labo.

    Je fourni un visio ça parle plus.
    http://nsa08.casimages.com/img/2009/04/27/090427112636770833.png

    Sans toucher à la configuration DNS des deux serveurs, les deux serveurs résouds bien les noms de domaine.
    Sois tech.local.fr et techdis.tech.local.fr

    sur le SRVDC001 dans l'outils d'administration "Sites et Services Active Directory", au niveau des NTDS Settings:
    Lorsque je force la réplication AD, il me répond que la "les connexions ont bien répliquées"
    Ce qui me parait bizzare vu qu'il ne me réplique pas les comptes AD créer en tests.

    sur le SRVDC002 dans l'outils d'administration "Sites et Services Active Directory", au niveau des NTDS Settings:
    Lorsque je force la réplication AD sur le SRVDC001> NTDS Settings, il me retourne un message d'erreur "Problème contexte de nommage ... Accès réfusé".
    et lorsque je je force la réplication AD sur le SRVDC002> NTDS Settings, il me dit que les connexion ont bien répliqués.

    Dans tout les cas de figures, les comptes et OU AD se répliquent pas.
    Les fuseaux horaires sont les mêmes. Ok soucis la dessus. Mais en regardant un peu les différents sujet et problème de chacun, ça pourrait venir du DNS.

    Est-ce que ça serait un problème du au DNS ? Une configuration à effectué peut-être ?

    Je vous remercie d'avance.

    Cordialement.


    • Déplacé swapnilpBanned jeudi 4 février 2010 00:55 Forum Consolidation (Origine :Windows Server 2003 – Services d’Annuaire)
    lundi 27 avril 2009 09:34

Réponses

  • Oui, il est préférable de créer une zone inversé. Quand tu fais nslookup des deux serveurs, la réponse doit être le nom de ton serveur DNS, si c'est le contrôleur de domaine c'est préférable.
    Cdlt
    AMBERT Aurélien Consultant INSECO
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 12:32
  • Une solution, qui va dans le sens DNS, c'est de verifier au niveau de la zone MSDCS que les alias DNS sont bien placés comme il faut et surtout qu'il soit là.
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 15:49
  • Bon j'avoue j'avais pas bien lu le post initial et pas vu l'histoire du domaine enfant.... Sorry...

    Alors pour infos, les objets AD d'un domaine (User, group, Computer, etc) ne se replique pas d'un domaine a l'autre. donc c'est normal que tu ne voit pas les objets sur le second serveur. Il y a une partition d'annuaire pour chaque domaine.

    Quand au requette DNS, il faut que tu est un forward dans chaque sens si tu veux avoir une resolution correct.

    Un domaine enfant n'est pas fait pour avoir les meme contenue que sont parents... Il partage juste les services de foret.

    Cordialement,
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 16:07

Toutes les réponses

  • Bonjour, dans un premier temps que je te conseil de verifier ta zone reverse dns 1.168.192 & faire un ipconfig /registerdns sur les deux serveurs, et un ipconfig /flushdns sur les deux aussi. Et ensuite tu test la réplication. L'idéal pour la synchro de l'heure est de synchroniser sur le serveur de temps supérieur. Net time /set, etc....
    Cdlt
    lundi 27 avril 2009 10:08
  • Ok, je viens de vider le cash DNS sur les deux serveurs.

    Au niveau de zones de recherches inversé je n'ai rien sur les deux serveurs.

    Pour la synchro je verrai après. Je pense que pour l'instant c'est sur la partie DNS que je pêche.

    Sur le SRVDC001 en faisant un ping -a 192.168.1.101 il me résoud bien le nom DNS;
    Sur le SRVDC001 en faisant un ping -a 192.168.1.102 il ne me résoud pas le nom DNS mais il me répond le nom du DC.

    Sur le SRVDC002 en faisant un ping -a 192.168.1.102 il me résoud bien le nom DNS;
    Sur le SRVDC002 en faisant un ping -a 192.168.1.101 il ne me résoud pas le nom DNS mais il me répond le nom du DC.

    Je pense qu'il va falloir créer un zone de recherche inversée.
    Tu peux me le confirmer aurélien stp ?

    CDT
    lundi 27 avril 2009 11:46
  • Oui, il est préférable de créer une zone inversé. Quand tu fais nslookup des deux serveurs, la réponse doit être le nom de ton serveur DNS, si c'est le contrôleur de domaine c'est préférable.
    Cdlt
    AMBERT Aurélien Consultant INSECO
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 12:32
  • J'ai créer un zone de recherche inversé au niveau du SRVDC002

    Et en faisant un nslookup sur lui même, il est reconnu pour comme serveur DNS. Parce que je veux qu'il soit serveur DNS aussi biensur.

    J'ai tester la réplication toujours la même choses qu'au départ.

    Sur le SRVDC001 dans les sites et services AD, il me dit que les connexion sont répliqués.
    Sur le SRVDC002 dans les sites et services AD, sur le NTDS Settings de SRVDC001, accès refusé. et sur le sur le NTDS Settings de SRVDC002 les connexions sont répliqués.

    Sur le SRVDC001 en faisant un ping -a 192.168.1.101 il me résoud bien le nom DNS;
    Sur le SRVDC001 en faisant un ping -a 192.168.1.102 il ne me résoud pas le nom DNS mais que le nom du DC.

    Sur le SRVDC002 en faisant un ping -a 192.168.1.102 il me résoud bien le nom DNS;
    Sur le SRVDC002 en faisant un ping -a 192.168.1.101 il ne me résoud pas le nom DNS mais que le nom du DC.

    Je suis un peu bloqué là :/
    lundi 27 avril 2009 13:05
  • Bonjour,

    En regardant ton problème, as tu essayé FRSDIAG pour faire un diag de tes réplications ?

    D'autre part, tes zones DNS sont elles toutes intégrées à l'AD ?

    Cordialement,

    lundi 27 avril 2009 13:55
  • les DNS sont toutes intégrées à AD

    Au niveau du FRSDiag, le force réplication on targer m'affiche all failed alors que dans les sites services AD il me dit que les réplication sont bien faîtes !?
    lundi 27 avril 2009 14:40
  • je commence à désespéré je vous avoue, ça fait 7 heures que je suis dessus :/
    lundi 27 avril 2009 14:49
  • Et puis faire un diag AD sans avoir acces en direct au résultat, c'est pas gagné...

    Questions :

    - As tu mis les suffixe DNS sur chaque serveur
    - Comme premier DNS dans la couche TCP/IP, tu as mis l'IP réel ou la localhost (127.0.0.1)
    - As tu vérifier que les 2 DCPROMO c'était correctement passés avec les fichiers de log

    Dans FRSDIAG, n'oubli pas de vider tes journaux avant pour ne pas récupérer des erreurs qui sont réglées

    Avec REPLMON, arrive tu à repliquer chaque partition de l'annuaire individuellement ?

    La réplication SYSVOL fonctinone t elle correctement (voir journaux)

    Si en premier DNS dans la couche TCP/IP tu met l'autre DC comme premier DNS, il se passe quoi au niveau des ping ?

    Tes ping sont fait à partir des serveur, cela donne quoi à partir d'une station ?

    Cordialement,

    lundi 27 avril 2009 15:16
  • Sur le labo vmware, c'est DC neuf, les suffixe DNS sont mis, évidemment sinon ils pingent pas.

    Pour les couches TCP/IP c'est l'ip réel et non le localhost.

    Les 2 DCS Promo se sont bien passé sinon le domaine enfant ne se créer pas s'il y a une erreur.

    REPLMON m'affiche was succesfull sur les réplications et je peux synchro les partitions une a une et success.

    Pour l'instant la partie cliente n'intervient pas.

    Pour la procédure toute neuf pour la jonctione d'un domaine enfant à un domaine parent. J'ai suivi celle du technet sans plus.

    La il s'agit pas d'un problème de réplication il s'agit d'une configuration qu'il doit manqué, un peu plus haut, tu vois que je crese du coté DNS avec aurélien.


    Cdt.
    lundi 27 avril 2009 15:32
  • Une solution, qui va dans le sens DNS, c'est de verifier au niveau de la zone MSDCS que les alias DNS sont bien placés comme il faut et surtout qu'il soit là.
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 15:49
  • A ce niveau là je pense que j'ai les alias nécessaires:

    (identique au dossier parent)    Source de nom (SOA)    [15], srcdc001.tech.local.fr., hostmaster.
    (identique au dossier parent)    Serveur de noms (NS)    srcdc001.tech.local.fr.
    (identique au dossier parent)    Serveur de noms (NS)    srvdc002.techdis.tech.local.fr.
    57e77fc9-c3f1-4baf-a06e-6832766289c0    Alias (CNAME)    srcdc001.tech.local.fr.
    6cd6b4ce-f5b3-4f5d-a384-6278f0fe1cba    Alias (CNAME)    srvdc002.techdis.tech.local.fr.

    Je suis en train de me remettre en question par rapport à l'architecture du domaine parent/enfant.

    Le principe étant d'écrire dans l'ad du domaine parent sans passer par l'option "Connexion au domaine dans AD" pour écrire les comptes utilisateurs sur le domaine enfant. Que les OU et autres que je créer dans l'ad sur le domaine parent sois répliqués sur le domaine enfant.
    Vu que normalement si je suis physiquement sur le dc du domaine parent, que je crée un compte utilisateurs je devrais avoir le choix de choisir sur quels domaine je voudrais le créer.

    Dites moi que je me suis pas trompé d'architecture ?

    lundi 27 avril 2009 16:04
  • Bon j'avoue j'avais pas bien lu le post initial et pas vu l'histoire du domaine enfant.... Sorry...

    Alors pour infos, les objets AD d'un domaine (User, group, Computer, etc) ne se replique pas d'un domaine a l'autre. donc c'est normal que tu ne voit pas les objets sur le second serveur. Il y a une partition d'annuaire pour chaque domaine.

    Quand au requette DNS, il faut que tu est un forward dans chaque sens si tu veux avoir une resolution correct.

    Un domaine enfant n'est pas fait pour avoir les meme contenue que sont parents... Il partage juste les services de foret.

    Cordialement,
    • Marqué comme réponse Carafraichit lundi 27 avril 2009 17:51
    lundi 27 avril 2009 16:07
  • Pas de problème,

    Pour les requêtes DNS, je vais utiliser les redirecteurs pour ne pas avoir de soucis.

    Ok donc je n'obtiendrai pas la réplication qu'il s'effectue avec par exemple des partenaires de réplication.
    Bon et bien je pense que l'architecture est bonne puisque le domaine enfant sera placé sur un site distant via VPN sur le domaine parent.
    Le fait que je puisse déja centralisé l'administration du domaine enfant en étant physiquement sur le domaine parent arrange bien.

    Un partenaire de réplication est plus risqué sur des sites distants. Problème de bande passante, réplication lentes (j'ai lu pas mal de sujet microsoft la dessus) Qu'en penses-tu ? Ou qu'en pensez vous ?

    J'en profite pour poser une question, est-il possible de mettre le domaine enfant en tant que catalogue global en même temps que le domaine parent ?
    lundi 27 avril 2009 16:19
  • N'oubli pas de mettre un forwarder dans chaque sens si tu fais des requetes DNS du pqrent vers l'enfant aussi.

    Tout controleur de domaine d'un meme domaine est partenaire de replication par defaut.

    Pour le catalogue global, normalement tes 2 DC le sont déjà puisqu'il sont DC chacun d'un domaine.

    Pour info, j'ai fait tourner un AD avec des liaisons à 64ko en satelitte, et avec quelques réglages sur les times out de replication tout fonctionnais très bien. Surtout que depuis 2003 R2, les synchro de l'AD sont incrementielles.

    Cordialement,
    mardi 28 avril 2009 07:49

  • Alors vu qu'en 64ko sat ça tourne, avec des liaisons de types sDSL je pense qu'il n'y a aucun soucis pour le fait d'intégrer un  contrôleur de domaine dans un domaine existant en tant que partenaire de réplication et non en tant que domaine enfant.

    Le partenaire de réplication se créer lors de l'ajout d'un nouveau contrôleur de domaine dans un domaine existant.

    Créer un domaine enfant c'est par sécurité et par architecture et surtout pas organisation AD. Si le domaine parent tombe en panne, un partenaire de réplication sur un site distant c'est très léger et le partenaire n'est pas catalogue globale comparé à un domaine enfant.

    Dans le cadre où j'ai un partenaire de réplication sur le site B, je peux répliquer des OU distinct ? Si j'en ai 40 OU sur le site A et que je veux avoir qu'1 seule OU (créer sur le site A) de répliquer sur le site B, est-ce possible ? 

    CDT
    mardi 28 avril 2009 08:06