> Tech > Configurer la publication des enregistrements SRV génériques

Configurer la publication des enregistrements SRV génériques

Tech - Par iTPro - Publié le 24 juin 2010
email

Quand un client ne peut pas trouver un DC au moyen des enregistrements SRV spécifiques au site, il va rechercher les enregistrements SRV génériques. Ce comportement peut avoir quelques résultats fâcheux. Soit un scénario « hub-and-spoke » dans lequel le site hub et chaque site satellite contiennent un DC.

Configurer la publication des enregistrements SRV génériques

Si un client dans un site satellite
ne parvient pas à  contacter son
DC local, le client va explorer DNS à  la
recherche d’enregistrements SRV génériques
pour un DC dans son domaine.
Comme tous les DC publient
des enregistrements génériques par
défaut, le client pourrait sélectionner
un DC provenant de n’importe quel
point du réseau, y compris un autre
site satellite à  distance : ce n’est certainement
pas ce que vous voulez.
AD offre un moyen de désactiver la
publication des enregistrements SRV
individuels de telle sorte que vous
puissiez rendre un DC invisible aux
clients d’autres sites ou même du
propre site du DC. Cette possibilité
permet de bien contrôler les DC que les clients utiliseront pour s’authentifier.
Pour contrôler les enregistrements
SRV qu’un DC publie, définir la valeur
DnsAvoidRegisterRecords de la sousclé
de registre HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Se
rvices\Netlogon\Parameters comme
une liste de mnémoniques (séparés
par des espaces) qui correspondent à 
l’enregistrement SRV que vous voulez
inhiber. Le tableau 1 montre les mnémoniques
disponibles et les enregistrements
SRV correspondants.
Considérons notre exemple « huband-
spoke » : un simple réseau avec
un hub à  Denver et des bureaux satellite
à  Scottsdale, San Antonio et
Albuquerque, au Nouveau Mexique.
Par défaut, un client de Scottsdale
(c’est-à -dire, WSSC1) sélectionnera le
DC Scottsdale (c’est-à -dire, DCSC1)
pour l’authentification. Mais supposons
que DCSC1 soit en panne.
Idéalement, nous aimerions que
WSSC1 se replie sur un DC dans le site
hub Denver. Mais, par défaut, WSSC1
va simplement chercher les enregistrements
SRV génériques du réseau, avec
une bonne chance de sélectionner un
DC dans l’un des autres sites satellite
(c’est-à -dire, DCSA1 ou DCAL1). La solution
consiste à  rendre les DC dans les
sites satellite invisibles aux clients à 
l’extérieur de chaque site. Dans cet
exemple, vous désactiveriez la publication
de tous les enregistrements génériques
pour les DC dans les sites satellite
afin que les clients provenant
d’autres sites ne les sélectionnent pas.
Plus précisément, pour DCSC1, DCSA1
et DCAL1, définissez la valeur
DnsAvoidRegisterRecords pour qu’elle
inclue les mnémoniques suivants : Dc,
DcByGuid, Gc, GcIpAddress,
GenericGc, Kdc, Ldap, LdapIpAddress,
Rfc1510Kdc , Rfc1510Kpwd ,
Rfc1510UdpKdc et Rfc1510UdpKpwd.
Voici un autre scénario intéressant :
supposons que vous vouliez dédier un
DC à  un site central uniquement pour
pratiquer la sauvegarde à  chaud. Vous
voulez que le DC soit là , pratiquant la
réplication avec les autres DC dans le domaine, mais sans rien faire d’autre.
En fait, vous voulez rendre le DC invisible
aussi bien à  l’intérieur qu’à  l’extérieur
de son site. Pour cela, définissez
tous les mnémoniques sauf DcByGuid,
qui contrôle la publication de l’enregistrement
SRV que les autres DC utilisent
pour trouver les partenaires de réplication.

Téléchargez gratuitement cette ressource

HP Elite Slice G2 : optimisez la collaboration… et votre budget !

HP Elite Slice G2 : optimisez la collaboration… et votre budget !

Téléchargez cette étude Forrester et découvrez comment booster la collaboration tout en dégageant un excellent R.O.I grâce au système de vidéoconférence HP Elite Slice G2 avec Microsoft Teams !

Tech - Par iTPro - Publié le 24 juin 2010