Bonjour,
 
J'ai besoin d'avoir quelques précisions sur le RODC car soit j'ai mal compris, soit je suis mauvais ! (dans les 2 cas, je suis mauvais )
 
Donc , ca sert a optimiser la bande passante intersite + délégation + sécurité sur un petit site sans local.
 
Il a été décidé qu'on en mette un en place, j'ai je pense toute la doc pour le faire par contre, chez moi lorsque je fais des test, il y a des résultats que je ne comprends pas.
 
Mon infra :  
1 DC + 1 RODC + 1 poste client
Le DC est sur un Reseau 1 / Le RODC a 2 carte réseaux (réseau 1 + 2) / Le client est sur le réseaux 2
Un serveur dhcp est présent sur le rodc pour distribuer la config ip au client avec pour dns lui meme ainsi que lui même en passerelle.
La console sites et services a ete configurer 2 sites 2 reseaux avec les bonnes assignation et le placement correct du DC et du RODC
 
Test : Tout est allumé, je me connecte avec un compte test que j'ai rajouter au groupe utilisateur dont la réplication du mot de passe est autorisée et ca fonctionne tres bien, si je lance la commande set je vois bien que c'est dc1 qui m'a authentifier.
Je vais alors sur l'AD et je m'attends a voir mon nom d'utilisateur apres avoir double cliquer sur le RODC puis stratégie de réplication puis avancé mais rien n'apparait.
 
J'éteins le DC je redémarre mon poste client, et j'arrive de nouveau a m'authentifier, ma session s'ouvre bien, mais lorsque je fais set c'est toujours DC1 qui est renseigné. j'ai bien une adresse ip sur le réseaux 2.
 
Je sais qu'il y a la possibilité de spécifier tous les comptes (users et computers) que l'on souhaite préconfigurer pour la répplications des mots de passe au niveau de l'AD mais j'avais cru comprendre que pour eviter ca, on pouvait aussi demander à l'utilisateur de se logger. La premiere fois le RODC va aller consulter un DC pour réussir a verifier le mot de passe et je pensais qu'il le mettais également en cache si l'utilisateur fait parti du groupe ou c'est autorisé.
 
Quelqu'un pourrait prendre 5 minutes pour m'expliquer soit ce que j'ai mal compris, soit pourquoi dans mon infra de test je n'ai pas reussi a avoir le resultat que je devrai avoir ?

déjà un dc multihomé tu oublies

pas compris ? Bien sur c'est l'infra de test dont je parle la (la vraie infra c'est 2 site reliés via une liaison vpn ipsec aujourd'hui, et bientot mpls)

Mon probleme la c'est que pour moi, je pensais que si la liaison WAN entre les 2 sites tombe, le RODC est en mesure de fournir les memes services qu'un DC pour un utilisateur (authentification / tgt / tgs). Et la je comprends pas que meme avec le DC1 éteint la commande SET me renvoit que c'est le DC1 qui m'authentifie et de plus que le nom du compte n'est pas été renseigné automatiquement au niveau de l'AD sur le rodc

Tu met pas 2 cartes réseaux à un DC

c'est pour un environnement de test juste mais ok je vais monter une vm qui fera routeur pour voir si le resultat est le meme ou non ca simulera un peu mieux la réalité ^^
je te tiens au courant

Bon alors voila ma new infra :

DC1 === RT === RODC === PC1

RT est le seul a avoir 2 carte réseaux
PC1 a pour serveur DNS RODC
RODC a pour DNS DC1 puis lui meme

Lorsque je suis dans cette config avec tout allumé, pc1 s'authentifie sur DC1 alors qu'il est dans le groupe dont le mot de passe est autorisé a être repliqué. Mon utilisateur est ptest

Si j'éteins DC1 et que je reboot pc1 et que je me loggue et fait un set c'est toujours DC1 qui m'authentifie apparement.

Je comprends pas qu'il ne s'ajoute pas au niveau du RODC a cet endroit :

Le compte user qu'on voit, c'est parce que je l'ai mis à la main en faisant préremplir les mots de passe.

tu as configuré tes sites & services ? (subnets, sites etc.) ?

oui oui ^^ (enfin, le site et le subnet, tu mets etc je vois pas ce qu'il y a d'autre) j'ai pas posté parce que je l'ai précisé dans mon premier message mais je vais mettre ca

avec le premier site en 172.16.0.0 et celui du bas en 192.168.100.0

et donc PC1 il a quelle IP ?

PC 1 192.168.100.10 (dhcp rodc)
RODC 192.168.100.1
RT 192.168.100.11 - 172.16.0.253
DC 172.16.0.2

J ai regarde de nouveau ce soir et je comprebds pas ...
C est pas un fonctionnement normal on est d accord ?
Je suis sous VMware workstation pour faire mes test si jamais ça a son importance

J'avoue je comprends pas. Peut être un truc qui va pas.
J'ai pas de temps pour monter une plateforme et regarder ça.
Faudrait regarder sur les dc qui a authentifier quoi

je vais essayer de voir un peu les logs sur le RODC mais moi non plus je comprends pas...
C'est pas un fonctionnement normal apparement donc ca va ca me rassure parce que je pensais avoir mal saisi l'intérêt d'un RODC

Rebonjour,
 
Plutot qu'ouvrir un nouveau topic, ca concerne toujours le RODC donc je vais reprendre celui la.
 
Nous avons actuellement le schema en 2003 au niveau foret et domaine.
Nous avons sur notre domaine parent un dc en 2012 qui a tous les roles fsmo (foret + pdc / rid / infra) et un en 2008.
Ces 2 DC sont sur le meme site logique au niveau Site et service.
 
L'objectif est de mettre en place notre premier RODC sur un site différent avec un réseaux différent donc, et que si celui ci a un probleme, les DC 2008 et 2012 soient capable d'authentifier les utilisateurs.
 
La mise en place logique du RODC aurait voulu que :
 
1 - on crée un nouveau soux réseau + nouveau site  
2 - on met le rodc sur ce nouveau site
 
Est ce que si le rodc n'est pas dispo les clients vont aller intéroger les dcs d'un autre site ? Si non, comment faire ?
 
Existe t'il une autre solution répondant a mon besoin en dehors d'avoir 2 RODC ^^  
 
 
Autre question, est il possible d'avoir un RODC en 2012 R2 alors qu'aucun DC est en 2012 R2 ?
 
Enfin, le fait de basculer le niveau fonctionnel de 2003 vers 2008 r2 a pour changement majeur l'utilisation de dfs-r au lieu de frs au niveau de réplication sysvol je sais, mais il y a t'il des taches à réaliser ou juste faire augmenter le niveau fonctionnel du domaine ?
Cela nous permettrait principalement de pouvoir profiter de la corbeille AD bien qu'elle ne sera possible qu'en ligne de commande, c'est toujours mieux qu'un rollback avec l'obligation de monter l'USN pour que le DC soit considéré comme "le plus a jour".
 
Si je me suis mal fait comprendre je tenterais d'expliquer mon problème différement.

Si tu as un DC en 2012 c'est que ton schéma est au moins en 2012 ...
Après t'es pas clair sur "domaine parent". Si tu veux mettre un rodc sur le domaine enfant bah non les DC du domaine parent vont pas identifier tes utilisateurs si c'est des DC du domaine enfant alors oui.
Et la corbeille ad suffit d'avoir une console adac récente sur un w8/w2012

Désolé j'ai fais le post un peu vite et en effet, j'ai dis une connerie.
 
Donc je recommence :
Le niveau fonctionnel de la foret 2003  
Le niveau fonctionnel du domaine parent : 2003
La version du schema 56 (donc 2012)
 
Je dis domaine parent car nous avons 3 domaine et c'est sur le domaine parent que le RODC va etre installé donc en gros j'aurai pu ne rien dire ca aurait rien changé ^^
 
La corbeille AD graphique me semblait que c'était lié au domaine O_o  
En fait c'est l'apparition de la corbeille il faut etre en 2008 ou 2008 r2 me souvient plus et apres si t'as un dc en 2008 r2 tu as l'interface de commande et si t'en as un en 2012 tu as l'interface graphique via l'adac c'est ca ?
Si tel est le cas, alors il nous suffit juste de monter le niveau du domaine et ce sera ok pour ca !
Parce qu'avec un niveau fonctionnel en 2003 on a pas de corbeille me semble si ?
 
Et donc si j'ai bien compris, meme si les DC ne sont pas sur un meme site, ils seront capable d'authentifier mes utilisateurs ?
 
Donc en gros le fonctionnement du processus d'authentification c'est :
Le poste tente de s'authentifier via les DC présent sur le site logique dont il fait partie, et si ca ne fonctionne pas sur les autres du même domaine que lui ?
Sachant que ce sera le premier qui repondra qui l'authentifiera si j'ai bien compris.
Si c'est ca, c'est tres bien puisque ca veut dire que même si le RODC tombe, bé ils s'authentifieront comme ils le font aujourd'hui en réalité.

Non ne confond pas domaine d'ad, version des dc et des consoles.
La corbeille AD c'est une chose. Tu peux avoir des DC en 2008 R2 mais utiliser ton poste de travail en windows 8 avec les RSAT installé et tu peux utiliser l'adac pour manager ta corbeille.
 
Encore heureux qu'il faut pas une version d'ad spéciale pour gérer qqch en graphique ...
 
oui les clients cherchent les DC qui répondent.
Par contre si tu mets en DNS dans ton dhcp que ton RODC, si celui ci tombe, tu auras plus rien ils pourront même pas chercher d'autres DC.

http://blogs.msmvps.com/acefekay/2 [...] v-records/ pour savoir comment trouver un dc

OK en effet j avais mal compris pour la corbeille du cou !
Je te remercie !
Ton lien est bien complet c est cool ça je vais avoir un peu de lecture comme ça
 
Et OK donc en DNS je mettrai le rodc plus les deux DC de l autre site et ça devrait aller comme ça !  
Le problème c est que du cou des qu ils vont vouloir aller sur le net si le premier DNS donc le rodc be sait pas cq va être tente sur le second puis le troisième avant de demander aux redirecteurs du DC non ?

si le premier répond non il demande pas aux autres.
Tu confond resolvers et forwarders là

Je sais pas mais je suppose du cou avoir mal compris le DNS alors...
Pour moi tu demande à aller sur tati.dom.l'an si dns1 ne sait pas et avec ses redirecteurs n à pas de réponse le client essayé sur son dns2 et etc non ?
Faut que je relise peut être mais de memoire le rodc à un serveur DNS en lecture seule mais en fait en y réfléchissant cq veut dire qu on ne peut pas créer de nouveau enregistrement dessus mais je suppose qu il est quand même capable de garder en cache les requêtes DNS effectuées par ses clients.

non, si il reçoit une réponse négative il vas pas aller chez les autres. Si le serveur dns répond pas alors oui il va voir d'autres.

D accord donc tes deux petite phrases explique pourquoi dans un problème que j ai eu à règle l ordre des DNS est important !
Du cou avoir plusieurs DNS sert uniquement à faire de la haute dispo si le premier tombe OK !  
Bon be du cou sur mon site je mettrai bien en DNS 1 le rodc et ensuite les DNS des sites distant si le rodc ne répond pas ça interrogera les deux autre parfait !

Pour la corbeille il te faut bien un niveau de forêt en 2008 R2 minimum oui.

Je n ai pas eu de réponse par contre à ma question est ce qu on peut avoir un rodc en 2012r2 alors que le DC le plus récent est en 2012 ?

j'aurais tendance à dire oui

Bon je vais migre un DC d abord alors vu qu on en a un qui a un dcdiag pas clean et que ms est pas foutu de nous dire autre chose que : il faut depromiter et reproumouvoir

Achète un Bescherelle aussi  

Ca pourrait être quelque chose d'utile aussi parfois en effet. Désolé parfois j'écris depuis mon téléphone et j'avoue qu'il y a plus pratique.

Concernant la migration 2008R2 -> 2012R2 :

Je crée une nouvelle VM avec une IP dans le réseau d'un DC.
J'installe le role AD DS etc comme si c'était un controleur de domaine standard.
Ensuite je supprime (dépromouvoir je crois que c'est le verbe) le DC en 2012R2 (il n'a pas de role fsmo)
je le sors du domaine.
Je donne l'adresse IP a mon nouveau DC de l'ancien DC
ensuite ipconfig /flushdns
ipconfig /registerdns
dcdiag/fix

et c'est tout ?

(me suis inspiré de ce site http://www.it-connect.fr/comment-c [...] e-domaine/ )

Une petite question en rapport avec le RODC.

Je lui mets quoi comme serveur DNS ?

Il fera RODC + DNS

Lui même en 1er ou bien un serveur dns du site distant le plus proche ?

Jamais lui-même en premier.
 
Serveur DNS/DC d'un autre site (mais ça dépend de ton infra, du nombre de sites aussi). Tu rajoutes le bouclage également.

Oui dans le best practice j'avais lu aussi qu'on se met jamais en premier meme si j'ai toujours pas compris pourquoi concrétement.
 
Ok donc ca veut dire au final qu'il consulte le DNS1 uniquement pour mettre a jour sa base, et sinon, il va utiliser les forwarder c'est bien ca ?