none
Best practice : config réseau sur RODC

    Question

  • Bonjour,

    Mon infrastructure : 
    - 2 DC sur le site principal
    - 8 RODC sur nos sites annexes

    Tout tourne sans problèmes. Toutefois, je me pose une question concernant la configuration réseau des serveurs RODC, particulièrement pour les DNS.

    Mes RODC sont configurés ainsi :
    DNS1 : 127.0.01
    DNS2: IP d'un DC site principal

    Mes DC du sites principal :
    DNS1 : l'autre DC
    DNS2 : lui même

    Le Best Practice Analyser des RODC indique que la "carte réseau doit inclure l’adresse de bouclage, mais non pas en tant que première entrée".

    Or, dans cet article ( https://technet.microsoft.com/fr-fr/library/cc742490(v=ws.10).aspx ) Microsoft demande à configurer l’adresse de bouclage en DNS principal.

    Quelle est la meilleure config ?

    PS : les liens entre mes sites sont stables.

    Merci.

    Benjamin

    vendredi 26 janvier 2018 08:24

Réponses

  • Le Best Practice Analyser donne des recommandations. A chacun d'analyser les recommandations qui paraissent juste.

    Il est possible de croiser les DNS, mais il est préférable d'avoir un DNS local sur le site en tant que primaire. Si ton RODC est seul sur le site, c'est vite vu. Certains utilisent l'adresse IP, d'autre l'adresse de bouclage, mais il est primordial que la résolution de nom fonctionne.

    Par contre mes à minima un autre DC comme DNS secondaire.

    Attention également à l'IP DNS en ipv6 (boiuclage ::1), car ipv6 et par défaut prioritaire.

    Si tu fais un simple nslookup sur un poste ou DC tu verras vite s'il utilise IPV4 ou IPV6 ...

    • Marqué comme réponse Bcarion mardi 30 janvier 2018 14:06
    vendredi 26 janvier 2018 09:10
    Modérateur
  • Bonjour,

    A mon avis le plus important est de déclarer plusieurs serveur DNS dans les paramètres IP qui sont capable de résoudre le nom DNS du domaine.  

    Certain clients préfère de déclarer les DNS local en primaire comme expliqué par Philippe pour avoir une réponse plus rapide et réduire le trafic réseau.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Bcarion mardi 30 janvier 2018 14:06
    vendredi 26 janvier 2018 12:42
    Modérateur

Toutes les réponses

  • Le Best Practice Analyser donne des recommandations. A chacun d'analyser les recommandations qui paraissent juste.

    Il est possible de croiser les DNS, mais il est préférable d'avoir un DNS local sur le site en tant que primaire. Si ton RODC est seul sur le site, c'est vite vu. Certains utilisent l'adresse IP, d'autre l'adresse de bouclage, mais il est primordial que la résolution de nom fonctionne.

    Par contre mes à minima un autre DC comme DNS secondaire.

    Attention également à l'IP DNS en ipv6 (boiuclage ::1), car ipv6 et par défaut prioritaire.

    Si tu fais un simple nslookup sur un poste ou DC tu verras vite s'il utilise IPV4 ou IPV6 ...

    • Marqué comme réponse Bcarion mardi 30 janvier 2018 14:06
    vendredi 26 janvier 2018 09:10
    Modérateur
  • Bonjour,

    A mon avis le plus important est de déclarer plusieurs serveur DNS dans les paramètres IP qui sont capable de résoudre le nom DNS du domaine.  

    Certain clients préfère de déclarer les DNS local en primaire comme expliqué par Philippe pour avoir une réponse plus rapide et réduire le trafic réseau.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Bcarion mardi 30 janvier 2018 14:06
    vendredi 26 janvier 2018 12:42
    Modérateur
  • Bonjour,

    Je me posais surtout la question concernant les suppressions de contrôleurs de domaines (ceux du siège, en écriture).

    Imaginons :
    Config DNS du RODC : 127.0.01 et un DC du siège en secondaire (pas celui qu'on supprime, évidemment).
    Le RODC se synchronise depuis un DC que l'on supprime (lien dans "sites et active directory" créé automatiquement.

    Une fois le DC supprimé, le RODC ne peut plus se synchroniser. Il faut que le RODC se synchronise sur un autre DC encore disponible. Or, la liste des DC pour le domaine est transmise via les DNS et le RODC n'aura pas pu mettre à jour sa "base de donnés" DNS lui indiquant que son partenaire de réplication n'est plus un DC.

    Un avis ?

    Merci par avance.

    Benjamin

    mardi 30 janvier 2018 09:59
  • Une fois le DC supprimé, le RODC ne peut plus se synchroniser. Il faut que le RODC se synchronise sur un autre DC encore disponible.

    Si le DC n'a plus de partenaire pour la synchro, le KCC en ajoutera un afin de garantir le fonctionnement, sauf si vérification de la cohérence a été désactivé sur un site. (

    Ce que tu peux vérifier avec un Repadmin /showrepl

    dans les options de site IL NE FAUT PAS AVOIR  : IS_AUTO_TOPOLOGY_DISABLED 

    Or, la liste des DC pour le domaine est transmise via les DNS et le RODC n'aura pas pu mettre à jour sa "base de donnés" DNS lui indiquant que son partenaire de réplication n'est plus un DC.

    Il est toujours recommandé d'avoir au moins un DNS primaire et secondaire et un nombre suffisant de partenaire pour la réplication. Si jamais le rôle du KCC est de rajouter des partenaires en cas de besoin.

    mardi 30 janvier 2018 12:01
    Modérateur