par Mark Minasi - Mis en ligne le 17/06/2002
"Je mets Win2K Server sur un autre ordinateur et exécute Dcpromo pour faire de cet ordinateur le second DC dans le domaine. Mais Dcpromo dit qu'il est incapable de contacter le domaine ..." - Pour détecter où et quand les
choses se gâtent ...
De nombreux lecteurs me posent ce
genre de question : « J'installe un ordinateur
de test appelé DC1 à 192.168.1.4 pour travailler avec Active
Directory (AD). Cet appareil utilise
Windows 2000 Server et joue le double rôle de serveur DNS et de premier DC
(domain controller) AD sur mon domaine
de test, que j'appelle acme.com.
Tout se passe bien avec ce DC - je peux
créer des utilisateurs et utiliser tous les
outils administratifs AD. Ensuite, je
mets Win2K Server sur un autre ordinateur
nommé DC2 à 192.168.1.5 et
exécute Dcpromo pour faire de cet ordinateur
le second DC dans le domaine.
Mais Dcpromo dit qu'il est incapable
de contacter le domaine et qu'il
ne peut pas faire de DC2 un DC pour
acme.com. Pourtant je peux envoyer
un ping à DC1 à partir de DC2 et viceversa,
et les DC sont sur le même sousréseau,
alors pourquoi ne peuvent-ils
pas se « voir » mutuellement ?
Pour détecter où et quand les
choses se gâtent, nous allons reconstituer
le scénario.
Quand vous exécutez Dcpromo et lui
ordonnez de transformer votre ordinateur
en un DC supplémentaire,
Dcpromo affiche un panneau Network
Credentials qui demande le nom, le
domaine, et le mot de passe d’un
compte ayant le droit d’ajouter un DC
au domaine existant (acme.com, par
exemple). Dcpromo recherche ensuite
un DC acme.com et utilise le nom et le
mot de passe pour essayer de se
connecter. Mais il faut d’abord que
Dcpromo soit capable de trouver un
DC.
Rappelons que DNS joue le rôle de
service de nommage central pour un
domaine AD. Une fonction DNS essentielle
dans un réseau Win2K est d’aider
les ordinateurs à trouver les DC. Pour
utiliser DNS, votre système a besoin de
deux composants logiciels : le logiciel
serveur, qui fonctionne sur le serveur
DNS, et le logiciel client DNS, qui fonctionne
sur votre station de travail.
Cette dernière utilise le logiciel client
DNS pour résoudre les noms. Mais le
client ne peut aider que s’il trouve un
serveur DNS. Pour trouver un DC qui
vous authentifiera, Dcpromo dit au logiciel
client DNS : « Trouvez un serveur
DNS pour acme.com et demandez-lui
les noms et les adresses IP des DC présents dans le domaine ». Le client
obtempère en demandant un enregistrement
RSV au serveur DNS.
Pour déterminer quel serveur DNS
votre système interroge, vous pouvez
ouvrir une ligne de commande et taper
ipconfig /all
Dans la sortie, vous verrez une liste
des adresses IP pour tous les serveurs
DNS du domaine. Quand le logiciel
client DNS a besoin de résoudre une
requête DNS, le client essaie de
contacter la première machine de la
liste. Si un serveur DNS est à cet endroit,
le client adressera toutes les requêtes
DNS à cette machine. Le client
n'interroge un autre serveur DNS de la
liste que s'il n'obtient pas de réponse
du serveur préféré.
Quand un système Win2K a besoin
de trouver un AD DC pour la
connexion, il préfère utiliser un DC local.
Par conséquent, un système Win2K
effectue souvent de multiples requêtes
DNS quand il recherche un DC : premièrement,
« Informez-moi sur les DC
locaux pour acme.com », puis si cette
requête échoue, « Informez-moi sur
tous les DC pour acme.com ».
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
