Discussion :

[_Snoopy]

Bonjour à tous,

Je commence sur un nouveau projet qui englobe, entres autres, la gestion d'un Active Directory déjà en route.

Je suis loin d'être un pro du domaine, puisque c'est la première fois qu'on me demande d'en administrer un. J'ai donc besoin de vos lumières.

La situation actuelle me laisse penser qu'il n'est pas "à jour".
Par exemple, le 25/08, un poste client du parc a déménagé et donc changé d'adresse IP (l'utilisateur a suivi sa machine).
Une fois la machine installée dans le nouveau bureau et l'IP changée, l'utilisateur a pu se connecter au domaine sans aucun problème et sans modification et réinitialisation de compte de ma part.
Je trouve ça un peu étrange, d'autant que lorsque je regarde côté DNS (lié à l'AD), c'est toujours la même IP qui est enregistrée.
J'ai regardé la date de dernière connexion de la machine à l'AD, elle date du 25/08, probablement avant le déménagement.
Du coup, ce que je comprends, c'est que la machine se connecte sans laisser "de trace" sur l'AD... Ca me parait plus que bizarre.

J'ai donc deux questions :

Est-il possible de bloquer ce genre de chose ?
Une machine est enregistrée dans l'AD avec un nom et une IP, si l'un des deux change, la machine n'a plus le droit d'accéder au domaine.

Existe-il un moyen de faire un tour complet du parc pour trouver d'éventuelle machine qui se connecte à l'AD mais sans y figurer (je ne sais même pas si c'est possible...)

Merci d'avance pour votre aide !

[Viduc]

Bonjour à tous,

Est-il possible de bloquer ce genre de chose ?
Une machine est enregistrée dans l'AD avec un nom et une IP, si l'un des deux change, la machine n'a plus le droit d'accéder au domaine.

Je ne pense pas que cela soit possible. Il me semble que l'ad ne fait office que de dns pour cette partie, par contre normalement l'adresse devrait se mettre à jour... tu peux bloquer une machine depuis l'ad mais juste comme ça. Après si une machine ne peut pas contacter l'ad cela n’empêche pas l'utilisateur qui a déjà ouvert son compte ad sur cette machine de se connecter. Les machines enregistre en cache les connexions des utilisateurs (pratique pour les portables par ex...).

Existe-il un moyen de faire un tour complet du parc pour trouver d'éventuelle machine qui se connecte à l'AD mais sans y figurer (je ne sais même pas si c'est possible...)

Merci d'avance pour votre aide !

normalement toute machine qui se connecte à l'ad apparaît dans l'ad... une machine non enregistrée dans ton ad ne pourrait authentifié un utilisateur depuis cet ad...

Après tu peux utiliser des scripts pour interroger à distance (a condition d'avoir un compte admin identique) toutes les machines, ou utiliser un ocs/glpi par exemple.

[BenjGe]

il y a des subtilités entre AD, DNS et DHCP et plusieurs cas possibles.

En ce qui concerne DHCP, il peut ou pas mettre à jour DNS lors de l'attribution d'adresse IP. Il peut ou pas supprimer les enregistrements concernés dans dns lors de la fin de bail.

De même les clients peuvent être ordonnés ou pas de s'enregistrer auprès de DNS lors de la réception d'adresse IP via GPO.

Une zone DNS peut être indépendante d'AD ou intégrée à elle.

AD est un annuaire d'informations, il identifie les machine par leur DN (distinguished name) et leur SID et non par leur adresse IP. Dans les AD que je gère la propriété IP est toujours vide.

Pour que l'ensemble soit "à jour" il est possible de procéder ainsi (mais il y a d'autres constructions possibles):
DNS intégré à l'AD
DHCP mettant à jour DNS via un compte utilisateur autorisé à écrire et supprimer dans DNS.
Tu peux en profiter pour mettre en place DNSSEC et protéger des attaques par enregistrement DNS.

EDIT: tu peux mettre à jour ces propriétés avec un script comme ici:
http://gallery.technet.microsoft.com...ryps1-2b1bd7e2


EDIT2: pour la machine que tu as déménagé as t 'elle accès aux ressources administrées par AD (lecterus réseaux, imprimante du service d'impression,...)? Si c'est le cas revérifie ta propriété de date de connexion car elle doit être à jour. Si elle accès aux ressources du réseau c'est qu'elle peut demander des tickeets kerberos et donc qu'elle accède bien à l'AD. Autres tests: tu peux vérifier que depuis le poste déménagé tu peux interroger l'annuaire (ajout d'imprimante par exemple)

[_Snoopy]

Merci pour vos réponses à tous les deux.

Je comprend (enfin je crois) ce que vous m'expliquez.

Dans mon cas, pas de DHCP, chaque machine a une IP Fixe indiquée en dur dans les paramètres de la carte réseau.

Par contre, j'ai un DNS intégré à l'Active Directory.

Concernant la machine qui a déménagé, effectivement, elle a bien accès aux ressources du domaine. Donc de ce côté tout va bien.
Par contre, lorsque je regarde le côté DNS, c'est toujours son ancienne adresse IP que je vois. Et j'ai toujours une date de dernière connexion à l'AD datant du 25/08.

C'est bien ce qui m'étonne...

Je vais jeter un œil au script que tu proposes.

Merci encore pour votre aide.

[BenjGe]

si tu n'as pas de dhcp et que toutes les machines sont en IP fixes alors que l'ip a changé pour le déménagement, c'est qu'un opérateur a changé l'IP à la main. une fois ceci fait il aurait du poursuivre par un

ipconfig /registerdns

pour mettre à jour son enregistrement DNS.

Eventuellement par une gpo avec un script en ouverture de session il est possible d'automatiser l'enregistrement DNS.

Pur la date de connexion il faut que tu check sur quel contrôleur de domaine il s'authentifie et vérifier la propriété lastlogon sur ce DC (echo %logonserver%). Peut être as tu un problème de réplication d'annuaire et regardes tu le mauvais contrôleur de domaine.
Autre chose est tu sûr que quelqu'un s'est connecté sur la machine depuis le déménagement. La propriété lastlogon de l'ad recense cela.

[_Snoopy]

J'ai refais quelques tests sur la machine en question.
Le lastlogon est maintenant OK, à croire qu'il y avait un délai avant de mettre la jour la valeur... mais peu importe, ce n'est pas mon plus gros problème.

J'ai tenté d'exécuter la commande ipconfig /registerdns comme tu me l'as conseillé mais ça n'a pas mis à jour l'IP de la machine dans mon DNS.

Je précise que j'ai lancé cette commande avec un compte Admin du domaine depuis la machine en question, histoire de ne pas avoir de problème de droits.

J'ai également tenté de supprimer la machine de la liste du DNS (mais pas de l'AD) mais sans succès toujours. Dans tous les cas, l'event manager du poste client me renvoi l'erreur NETLOGON suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Type d'événement : Erreur
Source de l'événement : NETLOGON
Catégorie de l'événement : Aucune
ID de l'événement : 5789
Ordinateur : Ordinateur
Description :
Échec de la mise à jour du nom d'hôte DNS de l'objet ordinateur dans Active Directory. L'erreur suivante s'est produite : Paramètre incorrect.

Si tu as une idée sur ce qui peut causer ce problème, je suis preneur.
D'après mes recherches actuelles, il peut s'agir d'un problème de droits mais étant avec un compte admin du domaine, j'en doute, ou d'une différence de nom de domaine entre l'AD et le DNS ce qui n'est pas le cas non plus...

Merci d'avance !

[BenjGe]

et que te dis le journal "DNS client events" (il faut l'activer au préalable)

et check cet article:

http://support.microsoft.com/kb/258503/fr

vérifie les autorisations de la machine sur son compte ad (méthode 4 compte self)

[benjamin.f]

Bonsoir,

sur le server dns tentez la commande "dnscmd /clearcache" !?

[BenjGe]

laisse tomber mon dernier message

après vérification c'est le compte masqué de l'ordinateur qui doit disposer des autorisations (si ta machine s'appelle PC12 c'est le compte PC12$).

Voici ce que tu peux tester:
- sur le client clic droit sur ordinateur/propriétés/paramètres systèmes avancés/nom de l'ordinateur et là note le suffixe DNS
- sur le client taper: nslookup et note le serveur dns sur lequel tu es connecté
- connecte toi sur ce serveur dns
- supprime l'enregistrement de la machine dans la zone DNS correspondant au suffixe DNS noté
- sur le client fait un ipconfig /registerdns

Normalement, dans ton DNS le client devrait s'être créé un nom d'hôte (dans le zone correspondant au suffixe). Si tu ne le vois pas dans le serveur dns fais un nslookup nom_machine sur le client.

Si tout est ok on va maintenant vérifier que ton client se mettra à jour correctement lors de futurs déplacements:
-sur le client change l'ip
- fais un ipconfig /registerdns
- fais un nslookup nom_machine

normalement l'ip s'est mise à jour


PS: je viens de refaire toutes les manips sur mon réseau et tout fonctionne