DNS, Migration NT4 -> Active directory

DNS, Migration NT4 -> Active directory - Windows & Software

Marsh Posté le 14-12-2005 à 07:07:07    

Etat :  
600 postes sous 2000 et XP.
2 domaines NT4 avec double relation d'approbation. Un domaine mig1 avec 600 utilisateurs et un domaine mig2 avec 30 utilisateurs.
Résolution de noms : WINS
Un serveur DNS hébergé chez un prestataire servant uniquement a la résolution de noms internet
 
Nous possèdons un nom de domaine public, mais pas de serveur associé pour le moment, on va dire : test.com
 
But : Migration en active directory des deux domaines NT4. (qui sera suivi par une mise en place d'exchange, d'un webmail, et d'une DMZ ou sera le serveur DNS : test.com avec des adresses email routable sur internet bien entendu).
 
Questions :  
1) La configuration IP actuel des postes clients, fait que si on migre en AD, les postes sont incapable de se connecter, car il ne possède pas la bonne adresse du DNS, nous avons décider de monter notre serveur DNS, avant la migration, sur lequel on activera le forwarding vers le DNS du prestataire qui nous fournit le DNS actuellement, afin de pouvoir changer correctement la configuration IP des postes.
Quel nom de domaine utiliser pour ce DNS ? test.com ? mig1.test.com ?
Avez vous une solution via des scripts pour modifier toutes les adresses DNS ? Netsh ?
 
2) En environnement active directory, vaut il mieux mettre mig2 enfant de mig1 ou mig 1 et mig2 controleur de domaine de leur domaine dans une meme foret ? Inconvenient et avantage ?
 
3) En fait le gros probleme que j'ai actuellement, c'est de prévoir la nomenclature DNS, en prévoyant, le futur server exchange et les adresses email routable sur internet, l'utilisation du nom de domaine public (qui sera inactive tant que pas de DMZ), et la présence des 2 domaines. Donc si quelqu'un pouvait m'aider a ce sujet ?
 
4) Peut on transformer avec le service DNS windows 2003 server, une zone DNS du type : secondary en primary ?

Reply

Marsh Posté le 14-12-2005 à 07:07:07   

Reply

Marsh Posté le 14-12-2005 à 10:14:32    

Hello Vampyrx,
 
Point 1/
Tes postes clients ne sont pas en DHCP je suppose ?
Trois possibilités en plus du forwarding (qu'il faudra probablement faire en selective)
- Passer tes postes en DHCP (tu pourras changer le DNS en cas de besoin)
- Utiliser le mécanisme WINS Lookup dans un premier temps
- Utiliser le fichier cache.dns qui reprend la logique du forwarding (mais tu peux le faire dès maintenant sans attendre AD)
 
Pour le choix du nom de domaine.
Deux possibilités :
- Choisir un nom DNS disjoint du nom de domaine public.
DNS public : test.com
DNS interne : local.test par exemple
- Choisir le même nom de domaine (racine : test.com) mais faire une délégation de zone sur interne.test.com. Au niveau de la racine.
 
Pour la création/suppression de zones mieux vaut s'appuyer sur DNSCMD.
 
2/ As-tu vraiment besoin de conserver les deux domaines ? (mig1 et mig2)
La correspondance Domaine NT 4 est une Unité Organisationnelle dans AD. Intérêt : réduire le nombre de DCs
Si tu veux une isolation complète entre les deux domaines mieux vaut faire deux forêts.
Tout choix autre que l'option OU entraîne la multiplication du nombre de Domain Controller ce qui impact l'aspect coût matériel et humain (admin) de la solution.
 
3/ Pas de contrainte.
Avec un enregistrement MX (ou plusieurs) tu peux avoir autant de nom de domaine que tu souhaites et le serveur Exchange acceptera de les servir.
Par contre tu ne pourras répondre qu'avec un seul nom de domaine. (Sauf à former tes utilisateurs à l'usage un peu avancé d'Outlook pour le champ De)
On reboucle avec le point 1.
Soit deux noms de domaine disctint soit une délégation de zone.
 
4/ Oui mais attention aux impacts notamment sur AD. (Usage de DNSCMD)
AD et DNS sont étroitement lié par défaut. Donc toute modification de la zone primaire peu avoir des incidences sur le comportement d'AD.
Et idem on reboucle sur le premier point.
 
Tu dois donc faire un choix.
 
@+
 
WW

Reply

Marsh Posté le 14-12-2005 à 12:26:50    

1) Je ne pense pas pour le moment avoir le choix pour le DHCP, car on utilise un fichier Host sous unix, contenant des IP fixe, ce qui risque de poser probleme si on utilise un DHCP. Je suis entrain de voir pour essayer de trouver une solution, comme fixer les adresses IP avec la mac adresse dans le dhcp, enfin je vais y reflechir.
 
2)  En fait il y a 5 domaines actuellement, et je le reduis a 2, car c'est necessaire d'en garder 2, et pour des raisons de partage de fichier et d'administration, je preferai qu'un compte administrateur de l'entreprise puisse sans restriction accéder aux deux.
 
4) Ma question a propos du DNS pour savoir si je peux changer une zone dns en la passant de secondary a primary est simple, dans un premier temps il y aurait un serveur DNS, mais sans AD, puis au moment de creer un AD il serait sur un autre serveur, mais je souhaite que le serveur AD pour des raison de trafic heberge aussi les zones DNS. Donc j'ai du mal a voir comment faire.
 
3) Imaginons que je parte donc sur l'idée de deux domaines mig1 (createur de la foret) et mig2. Que j'utilise le domaine test.com
On aurait donc un Ad en : mig1.test.com et mig2.test.com ou mig2.mig1.test.com (si parent/enfant)
Dans la DMZ j'aurai le DNS test.com, et il faut que je rajoute un AD dans le DNS qui hebergera le serveur exchange, ca sera sur le serveur dns test.com ? Ou sur un autre ?
Vis a vis des enregistrements MX, je les mets dans quel zone ?
 
Si tu peux m'éclaircir deux trois trucs, merci d'avance :)

Reply

Marsh Posté le 14-12-2005 à 13:08:56    

Pour le point 1/ je ne vois pas le pb.
Tu peux utiliser un host sur les UNIX et passer en DHCP les postes Windows.
Il suffit d'exclure les adresses IP des UNIX des scope DHCP.
Tu peux aussi faire des reservations d'adresse par rapport à une @MAC.
 
Pour le point 2/ idem je ne vois pas le problème.
Tu peux avoir deux OU (Unité Organisationnelles) dans lequelles tu va répartir tes utilisateurs.
Après tu va créer des groupes de sécurité auxquels tu donneras des droits d'accès à tes répertoires sur tes/ton serveur de fichiers.
Enfin pour à voir sur les aspects concepts AD.
 
Pour le point 4/ a quoi sert la zone DNS avant la construction d'AD.
Pas possibilité de fusionner ?
Que contient-elle ?
Mon objectif est de te proposer une démarche simple.
 
3/ l'enregistrement MX devra être positionné sur le DNS externe (celui du fournisseur d'accès)
en pointant l'adresse IP du serveur Exchange
 
WW

Reply

Marsh Posté le 14-12-2005 à 15:28:22    

1) Pour le DHCP oui c'est ce que j'envisage, de reserver par rapport aux adresses MAC...mais en fait ce que je voulais surtout eviter, c'etait de devoir passer sur les 600 postes pour modifier leur configuration.
 
 2) Oui c'est vrai pour la notion d'OU, mais je ne sais pas encore, je vais y réfléchir c'est une bonne piste.
 
 3) Le DNS avant la construction d'AD avait qu'un seul but, nous affranchir d'abord du DNS de notre prestataire en forwardant, préparé les postes en modifiant leur config IP (via script ou autre) et donc enclencher la migration petit a petit. Mais cela me poste le probleme de soit creer un AD séparé du serveur DNS (tres mauvais pour le trafic réseau), enfin je crois que c'est une mauvaise solution. En fait je sais pas d'ou le forum :)
 
 4) Le serveur DNS externe test.com qui aura les enregistrements de type MX pointera donc sur un serveur Exchange qui sera sur un AD avec un DNS, et ce DNS sera donc (par exemple) : mig1.test.com
 Cela fonctionne comme ca ? Et donc les adresses email sur internet seront bien : toto@test.com ? Car c'est le but quand meme :)
 
 Merci pour toutes ces reponses WESTWOOD !

Reply

Marsh Posté le 14-12-2005 à 15:58:33    

Si tes postes sont au moins en Windows 2000
Tu peux basculer d'IP fixe en IP dynamique avec l'outil Netsh :
http://www.microsoft.com/resources [...] netsh.mspx
 
Pour le 3ème point tu peux à mon avis directement construire ton DNS interne en même temps que ton AD.
Moins d'actions donc moins de complexité donc moins de problème ou d'erreur.
 
Pour le dernier c'est bien le principe.
Tes utilisateurs internes auront deux adresses SMTP.
toto@test.com
toto@mig1.test.com
 
La première sera la default c'est celle qui sera utilisée dans les réponse au mail.
 
Hth,
 
WW

Reply

Marsh Posté le 14-12-2005 à 23:29:53    

Je crois que Netsh sera mon salue, je ne sais pas encore si je l'utiliserai pour mettre tout en dhcp ou juste modifier le DNS des postes.
 
Pour le SMTP Ok c'est nickel, merci, tu penses que je peux juste mettre le webmail exchange dans la DMZ et le serveur Exchange avec l'AD dans le reseau interne ?
 
Je pense avoir pratiquement tout en main maintenant, c'est cool !!!
 
Merci bcp !

Reply

Marsh Posté le 15-12-2005 à 10:55:52    

Plutôt mettre un ISA en rebond dans la DMZ pour l'accès à ton Exchange/OWA/Backend de ton LAN.
 
L'ISA 2004 offloadera les aspects tentatives de login et attaques.
En plus tu pourras ensuite activer RPC over HTTP en faisant du filtrage niveau applicatif. (Si Exchange 2003 et Outlook 2003)
 
@+
 
WW

Reply

Marsh Posté le 15-12-2005 à 23:08:20    

En tout cas merci bcp, pour toutes ces réponses :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed