Configurer la publication des enregistrements SRV génériques

Si un client dans un site satellite
ne parvient pas à  contacter son
DC local, le client va explorer DNS à  la
recherche d’enregistrements SRV génériques
pour un DC dans son domaine.
Comme tous les DC publient
des enregistrements génériques par
défaut, le client pourrait sélectionner
un DC provenant de n’importe quel
point du réseau, y compris un autre
site satellite à  distance : ce n’est certainement
pas ce que vous voulez.
AD offre un moyen de désactiver la
publication des enregistrements SRV
individuels de telle sorte que vous
puissiez rendre un DC invisible aux
clients d’autres sites ou même du
propre site du DC. Cette possibilité
permet de bien contrôler les DC que les clients utiliseront pour s’authentifier.
Pour contrôler les enregistrements
SRV qu’un DC publie, définir la valeur
DnsAvoidRegisterRecords de la sousclé
de registre HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Se
rvices\Netlogon\Parameters comme
une liste de mnémoniques (séparés
par des espaces) qui correspondent à 
l’enregistrement SRV que vous voulez
inhiber. Le tableau 1 montre les mnémoniques
disponibles et les enregistrements
SRV correspondants.
Considérons notre exemple « huband-
spoke » : un simple réseau avec
un hub à  Denver et des bureaux satellite
à  Scottsdale, San Antonio et
Albuquerque, au Nouveau Mexique.
Par défaut, un client de Scottsdale
(c’est-à -dire, WSSC1) sélectionnera le
DC Scottsdale (c’est-à -dire, DCSC1)
pour l’authentification. Mais supposons
que DCSC1 soit en panne.
Idéalement, nous aimerions que
WSSC1 se replie sur un DC dans le site
hub Denver. Mais, par défaut, WSSC1
va simplement chercher les enregistrements
SRV génériques du réseau, avec
une bonne chance de sélectionner un
DC dans l’un des autres sites satellite
(c’est-à -dire, DCSA1 ou DCAL1). La solution
consiste à  rendre les DC dans les
sites satellite invisibles aux clients à 
l’extérieur de chaque site. Dans cet
exemple, vous désactiveriez la publication
de tous les enregistrements génériques
pour les DC dans les sites satellite
afin que les clients provenant
d’autres sites ne les sélectionnent pas.
Plus précisément, pour DCSC1, DCSA1
et DCAL1, définissez la valeur
DnsAvoidRegisterRecords pour qu’elle
inclue les mnémoniques suivants : Dc,
DcByGuid, Gc, GcIpAddress,
GenericGc, Kdc, Ldap, LdapIpAddress,
Rfc1510Kdc , Rfc1510Kpwd ,
Rfc1510UdpKdc et Rfc1510UdpKpwd.
Voici un autre scénario intéressant :
supposons que vous vouliez dédier un
DC à  un site central uniquement pour
pratiquer la sauvegarde à  chaud. Vous
voulez que le DC soit là , pratiquant la
réplication avec les autres DC dans le domaine, mais sans rien faire d’autre.
En fait, vous voulez rendre le DC invisible
aussi bien à  l’intérieur qu’à  l’extérieur
de son site. Pour cela, définissez
tous les mnémoniques sauf DcByGuid,
qui contrôle la publication de l’enregistrement
SRV que les autres DC utilisent
pour trouver les partenaires de réplication.