DHCP et firewall

Le
juste_ciel
configuration des reseaux

2 a 5 serveurs Windows 2003 serveur active directory
10 a 100 stations Windows 2000/XP
commutateurs 3com (managable ou non)
firewall Sonicwall ou 3com

Recemment j'ai constate que les stations Windows XP qui tiraient leur
adresse IP d'un DHCP sur le firewall avait beaucoup difficulte a
communiquer avec le reseau. Cependant, quand le serveur DHCP est
local (soit sur un controlleur de domaine Windows 2003) aucun probleme
d'acces ne survient.

Sur les reseaux problematiques, nous avons ramene le DHCP sur un
controlleur de domaine, les problemes furent aussitot resolus.

QUESTION: quelle genre de topographie, a l'intereiru du cadre active
directory, pourrait permettre l'acces a internet (via le firewall) si
un controlleur de domaine qui tient le DHCP n'est pas disponible?
Autrement dit, quand uns station tire son IP d'un DHCP sur un
firewall, elle accede a internet peu importe l'etat des serveurs.
Mais si elle tire son IP d'un controlleur de domaine, alors elle ne
pourra acceder a internet si le DC est down.

Merci

Thomas Lally
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric PERROMAT
Le #796695
Bonjour,
En fait il faut comprendre que lorsque des utilisateurs sur des postes
2000/XP veulent ouvrir une session dans un domaine AD, ils ont besoin
d'avoir accés à un serveur DNS(et pour accéder au ressources aussi !)
permettant par exemple de trouver un serveur global catalogue dans le même
site AD.
Donc, il faut que les clients 2000/XP soit client d'un serveur DNS interne
(et pas internet) ...
Donc de ce fait, il faut que le serveur DNS interne soit configuré avec des
redirecteurs (serveur DNS du FAI) de manière à être apte à resoudre tous les
noms externes ... Effectivement si il n'y a qu'un seul DNS et qu'en plus il
est en panne, les résolutions de noms externe ne se font pas ...
C'est pour cela qu'il vaut mieux avoir deux DC-DNS (avec Zone intégré à
l'AD) activé avec les redirecteurs, et que les clients DNS soit configurés
(en fixe ou dhcp) avec DNS primaire @IP DC1, DNS secondaire @IP DC2
Donc peut être faudrait t-il regarder la confiration DHCP du FW dans votre
cas ....
Eric

"Thomas Lally"
configuration des reseaux

2 a 5 serveurs Windows 2003 serveur active directory
10 a 100 stations Windows 2000/XP
commutateurs 3com (managable ou non)
firewall Sonicwall ou 3com

Recemment j'ai constate que les stations Windows XP qui tiraient leur
adresse IP d'un DHCP sur le firewall avait beaucoup difficulte a
communiquer avec le reseau. Cependant, quand le serveur DHCP est
local (soit sur un controlleur de domaine Windows 2003) aucun probleme
d'acces ne survient.

Sur les reseaux problematiques, nous avons ramene le DHCP sur un
controlleur de domaine, les problemes furent aussitot resolus.

QUESTION: quelle genre de topographie, a l'intereiru du cadre active
directory, pourrait permettre l'acces a internet (via le firewall) si
un controlleur de domaine qui tient le DHCP n'est pas disponible?
Autrement dit, quand uns station tire son IP d'un DHCP sur un
firewall, elle accede a internet peu importe l'etat des serveurs.
Mais si elle tire son IP d'un controlleur de domaine, alors elle ne
pourra acceder a internet si le DC est down.

Merci

Thomas Lally


juste_ciel
Le #795974
Merci pour votre reponse et les informations pertinentes.
D'ordinaire, nous utilisons les root hints pour la resolution externe.
De ce cote tout va bien. Quels seraient les arguments favorables au
redirecteur par rapport aux root hints? Dans la plupart des bureaux
desservis, deux serveurs DNS a zones integrees (AD) sont en fonction.
De sorte qu'en cas de pepin, l'autre peut prendre la releve.
Evidemment, deux serveurs DHCP sont egalement en fonction la plupart
du temps, avec des "pools" d'adresses differents bien entendu.

Les problemes surviennaient dans les bureaux qui a notre arrivee
utilisaient un DHCP sur leur firewall ou routeur. Cependant, la
configuration du DHCP (sur le firewall) etait inadequate puisqu'ils
avaient mis la IP du serveur DNS externe (du fournisseur d'acces
internet) Par consequent, les stations, surtout Windows XP qui je
suppose est plus capricieux, suivaient le chemin indique par le DHCP,
vers un DNS non local. Apres une recherche en vain, elles finissaient
par retrouver une route locale.

A ce niveau, j'essaie de comprendre comment? Theoriquement, la
station est configure dans le DNS local. Mais en pratique, en
obtenant son adresse d'un DHCP qui lui indique un DNS externe plutot
qu'interne, elle peut difficilement rejoindre le reseau local.

Merci

Thomas

"Eric PERROMAT"
Bonjour,
En fait il faut comprendre que lorsque des utilisateurs sur des postes
2000/XP veulent ouvrir une session dans un domaine AD, ils ont besoin
d'avoir accés à un serveur DNS(et pour accéder au ressources aussi !)
permettant par exemple de trouver un serveur global catalogue dans le même
site AD.
Donc, il faut que les clients 2000/XP soit client d'un serveur DNS interne
(et pas internet) ...
Donc de ce fait, il faut que le serveur DNS interne soit configuré avec des
redirecteurs (serveur DNS du FAI) de manière à être apte à resoudre tous les
noms externes ... Effectivement si il n'y a qu'un seul DNS et qu'en plus il
est en panne, les résolutions de noms externe ne se font pas ...
C'est pour cela qu'il vaut mieux avoir deux DC-DNS (avec Zone intégré à
l'AD) activé avec les redirecteurs, et que les clients DNS soit configurés
(en fixe ou dhcp) avec DNS primaire @IP DC1, DNS secondaire @IP DC2
Donc peut être faudrait t-il regarder la confiration DHCP du FW dans votre
cas ....
Eric

"Thomas Lally"
configuration des reseaux

2 a 5 serveurs Windows 2003 serveur active directory
10 a 100 stations Windows 2000/XP
commutateurs 3com (managable ou non)
firewall Sonicwall ou 3com

Recemment j'ai constate que les stations Windows XP qui tiraient leur
adresse IP d'un DHCP sur le firewall avait beaucoup difficulte a
communiquer avec le reseau. Cependant, quand le serveur DHCP est
local (soit sur un controlleur de domaine Windows 2003) aucun probleme
d'acces ne survient.

Sur les reseaux problematiques, nous avons ramene le DHCP sur un
controlleur de domaine, les problemes furent aussitot resolus.

QUESTION: quelle genre de topographie, a l'intereiru du cadre active
directory, pourrait permettre l'acces a internet (via le firewall) si
un controlleur de domaine qui tient le DHCP n'est pas disponible?
Autrement dit, quand uns station tire son IP d'un DHCP sur un
firewall, elle accede a internet peu importe l'etat des serveurs.
Mais si elle tire son IP d'un controlleur de domaine, alors elle ne
pourra acceder a internet si le DC est down.

Merci

Thomas Lally




Eric PERROMAT
Le #795725
Les stations peuvent effectivement rejoindre "difficilement" le domaine
local, grace à NETBIOS. En effet, une des difference essentielle entre NT4
et 2000/XP, c'est que le processus de résolution de nom et pour ainsi dire
inversé ...
En effet, sous NT4, le processus commencé par Netbios, pour se terminer par
les noms d'hotes ; maintenant les postes commencent par nom d'hotes (DNS) et
termine par NETBIOS ...
Par contre, j'ai tjrs mis le DNS du FAI en redirecteur, je n'ai même jamais
pensé à mettre les serveurs du domaine racine en redirecteur ... Car pour
moi, la résolution à partir du DNS FAI sera peut être plus rapide car
surement en cache ...

Eric

"Thomas Lally"
Merci pour votre reponse et les informations pertinentes.
D'ordinaire, nous utilisons les root hints pour la resolution externe.
De ce cote tout va bien. Quels seraient les arguments favorables au
redirecteur par rapport aux root hints? Dans la plupart des bureaux
desservis, deux serveurs DNS a zones integrees (AD) sont en fonction.
De sorte qu'en cas de pepin, l'autre peut prendre la releve.
Evidemment, deux serveurs DHCP sont egalement en fonction la plupart
du temps, avec des "pools" d'adresses differents bien entendu.

Les problemes surviennaient dans les bureaux qui a notre arrivee
utilisaient un DHCP sur leur firewall ou routeur. Cependant, la
configuration du DHCP (sur le firewall) etait inadequate puisqu'ils
avaient mis la IP du serveur DNS externe (du fournisseur d'acces
internet) Par consequent, les stations, surtout Windows XP qui je
suppose est plus capricieux, suivaient le chemin indique par le DHCP,
vers un DNS non local. Apres une recherche en vain, elles finissaient
par retrouver une route locale.

A ce niveau, j'essaie de comprendre comment? Theoriquement, la
station est configure dans le DNS local. Mais en pratique, en
obtenant son adresse d'un DHCP qui lui indique un DNS externe plutot
qu'interne, elle peut difficilement rejoindre le reseau local.

Merci

Thomas

"Eric PERROMAT" news:

Bonjour,
En fait il faut comprendre que lorsque des utilisateurs sur des postes
2000/XP veulent ouvrir une session dans un domaine AD, ils ont besoin
d'avoir accés à un serveur DNS(et pour accéder au ressources aussi !)
permettant par exemple de trouver un serveur global catalogue dans le
même


site AD.
Donc, il faut que les clients 2000/XP soit client d'un serveur DNS
interne


(et pas internet) ...
Donc de ce fait, il faut que le serveur DNS interne soit configuré avec
des


redirecteurs (serveur DNS du FAI) de manière à être apte à resoudre tous
les


noms externes ... Effectivement si il n'y a qu'un seul DNS et qu'en plus
il


est en panne, les résolutions de noms externe ne se font pas ...
C'est pour cela qu'il vaut mieux avoir deux DC-DNS (avec Zone intégré à
l'AD) activé avec les redirecteurs, et que les clients DNS soit
configurés


(en fixe ou dhcp) avec DNS primaire @IP DC1, DNS secondaire @IP DC2
Donc peut être faudrait t-il regarder la confiration DHCP du FW dans
votre


cas ....
Eric

"Thomas Lally"
configuration des reseaux

2 a 5 serveurs Windows 2003 serveur active directory
10 a 100 stations Windows 2000/XP
commutateurs 3com (managable ou non)
firewall Sonicwall ou 3com

Recemment j'ai constate que les stations Windows XP qui tiraient leur
adresse IP d'un DHCP sur le firewall avait beaucoup difficulte a
communiquer avec le reseau. Cependant, quand le serveur DHCP est
local (soit sur un controlleur de domaine Windows 2003) aucun probleme
d'acces ne survient.

Sur les reseaux problematiques, nous avons ramene le DHCP sur un
controlleur de domaine, les problemes furent aussitot resolus.

QUESTION: quelle genre de topographie, a l'intereiru du cadre active
directory, pourrait permettre l'acces a internet (via le firewall) si
un controlleur de domaine qui tient le DHCP n'est pas disponible?
Autrement dit, quand uns station tire son IP d'un DHCP sur un
firewall, elle accede a internet peu importe l'etat des serveurs.
Mais si elle tire son IP d'un controlleur de domaine, alors elle ne
pourra acceder a internet si le DC est down.

Merci

Thomas Lally






Publicité
Poster une réponse
Anonyme