Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Message d'erreur Zone Trustanchors

Modérateurs : Modérateurs, Modérateurs_Systèmes

Message d'erreur Zone Trustanchors

Message par como10 » Lun 20 Juin 2016, 12:39

Bonjour,

Je viens vers vous car j'ai un soucis sur un de mes 2 contrôleurs de domaine. En effet j'ai un message d'erreur dans le best pratice analyzer que je n'arrive pas à résoudre (voir photo ci joint). A savoir que je viens de récupérer la gestion de ces serveurs et que ce n'est pas moi qui les ait installé ou configuré. Les 2 serveurs sont en Windows server 2008 R2 avec un niveau fonctionnel 2008 r2 pour le domaine.
J'ai remarqué aussi que sur le serveur qui présente cette erreur il y a dans le répertoire "windows\system32\dns" un ficher trustanchors.dns qui n'est pas présent sur le poste qui est ok.
Voilà si quelqu'un a déjà eu et résolu ce problème ou bien une piste pour le résoudre.

Merci d'avance
Pièces jointes

2016-06-20 12_26_59-192.168.0.18 - problème DNS.png [ 7.08 Kio | Consulté 4334 fois ]

como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Lun 20 Juin 2016, 19:39

Si tu as ce fichier dans system32\dns c'est que tu dois avoir une de tes zones signées avec DNSSEC.
Tu devrais trouver si c'est bien DNSSEC des fichiers "dsset-nomdelazone" et "keyset-nomdelazone" et dans l'icone de la zone dans la console mmc dns sera avec un petit cadenas.

Pour le vérifier tu fais souris-droite sur le nom de la zone "domaine.local" qui t'intéresse et tu cliques sur DNSSEC,
Si tu vois que "Supprimer la signature de zone" est grisé c'est que DNSSEC n'est pas activé.
Si DNSSEC est activé, tu peux cliquer sur "Supprimer la signature de zone" pour te mettre dans la même config que ton autre serveur.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Mar 21 Juin 2016, 9:53

Bonjour Anexus et merci pour ton aide.
Dans system32\dns j'ai 4 fichiers: cache.dns, "domaine".local.dns, sec."domaine".local.dns et TrustAnchors.dns
Ces 3 derniers fichiers ne sont pas présents sur le serveur qui ne présente pas le problème.

J'ai vérifié dans le dns.mmc lorsque je fais clic droit sur le domaine.local sur la zone de recherche direct et sur le serveur qui met le message d'erreur, je ne vois aucune indication de DNSSEC ou bien un cadenas sur cette zone (voir fichier joint).
Par contre dans le bas de la zone je vois un dossier gris s'appelant "sec". A quoi correspond ce fichier ? A l'interieur apparait une colonne type avec "serveur de noms" et une colonne "données" avec le nom du serveur ou l'erreur apparait.
Je pense que cela pourrait avoir un lien avec mon problème. Qu en penses-tu ?

Merci par avance
Pièces jointes

2016-06-21 09_45_31-192.168.0.18 - dns mmc.png [ 16.29 Kio | Consulté 4278 fois ]

como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Mar 21 Juin 2016, 11:02

"sec" comme il est grisé (comme _mstsc d'ailleurs) correspond à une sous-zone de ton domaine.
sec.domaine.local comme il n'existe pas de dossier sec plus haut (comme _msdsc tu le vois deux fois une fois gris et l'autre fois normal).

Essaye d'editer avec notepad le fichier TrustAnchors.
Compares aussi les propriétés des deux serveurs (en faisant souris droite propriétés sur les noms des serveurs).
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Mar 21 Juin 2016, 15:00

J'ai édité le fichier TrustAnchors (voir pièce jointe). J'ai rajouté des blancs à la place de mon nom de domaine.
Le fichier fait référence au serveur qui m'annonce ce message d'erreur.
cette sous zone "sec" de mon domaine peut elle être supprimée ? A mon avis elle n'a aucun lieu d’être. Quelle est l’utilité de créer des sous zones ? Pour gérer le DNS des sous domaines ? Mais comme nous n'en avons pas.
Au niveau des propriétés des deux serveurs elles sont exactement identiques.

En fait le finalité de tout cela c'est que j'ai actuellement 2 serveurs 2008R2 qui sont AD/DNS/Serveur de fichier et DHCP pour l'un des deux. Je voudrais en fait éclater les rôles en créant 2 nouveaux DC en 2012R2.Avec pour l'un des deux les roles AD/ DNS et DHCP et l'autre AD/DNS/ DHCP en failover. Je comptais en fait promouvoir le premier DC basculer les roles FSMO dessus et ensuite promouvoir le 2eme et enfin dégrader les 2 anciens DC au niveau de simple serveur de fichier.
La question est dans quel mesure le problème que je rencontre peux gêner ou poser des problèmes dans l'action que je veux réaliser. Lorsque je fais un dcdiag /test:dns tous les tests sont réussis. Les autres test de vérification de réplication ont l'air ok aussi.
Peux tu m’éclairer sur ce sujet
Pièces jointes

2016-06-21 14_09_54-192.168.0.18 - trustanchor.png [ 21.77 Kio | Consulté 4252 fois ]

como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Mar 21 Juin 2016, 15:17

Dans ce cas là t'embêtes pas avec ça, tu rajoute tes deux nouveaux DC dans le domaine puis tu bascule les rôles FSMO sur l'un des 2012R2.
Puis tu changes les DNS sur tes équipements et tu rajoutes ton service DHCP en cluster sur les deux 2012R2.

Et tu dépromotes tes anciens DC 2008.
Au besoin tu peux mettre à jour le niveau fonctionnel de ta forêt et ton domaine.


P.S : pour l'AD et le DNS (à la différence de 2003) il n'y a pas de failover, chacun réponds aux requêtes.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Mar 21 Juin 2016, 16:20

En fait je voyais la chose à peu prêt comme tu viens de le décrire. Par contre quand tu parles du DHCP en cluster, c'est la même chose qu'en failover (voir lien http://www.it-connect.fr/windows-server ... eurs-dhcp/ ) ou sinon peux tu m'expliquer la différence. Je comptais faire un failover actif /passif.
En ce qui concerne l'AD et DNS j'ai du mal me faire comprendre je ne comptais pas faire de failover ceci est valable uniquement pour le DHCP. Il y aura tout de même une replication de l'ad et du dns entre les 2 serveurs ?
Une fois les 2 nouveaux serveurs promu j'activerai le DHCP sur le 2012R2 (avec les nouveaux DNS) et arrêterai celui sur le 2008R2 ce qui changera les dns sur les postes clients.
Actuellement le niveau fonctionnel de la foret et du domaine est en 2008r2 donc je ne pense pas augmenter le niveau fonctionnel pour l'instant.

A ce propos j'ai un vieux serveur windows 2000 qui est toujours actif dans mon infra. Le fait d'augmenter le niveau fonctionnel du domaine ou de la foret en 2012 ne sera pas gênant pour son fonctionnement. Le fait d'elever le niveau fonctionnel ne vaut que pour les DC ? Et quel serait l’intérêt de passer le niveau à 2012, y a t'il des nouveautés intéressantes ?

Au sujet de la dépromotion des serveurs AD y a t'il des erreurs à ne pas commettre ? je n'en ai jamais réalisé jusque là ?

Merci pour ton aide
como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Mer 22 Juin 2016, 17:37

Pour le DHCP je parle bien du lien que tu cite.

Pour l'AD et le DNS c'est d'office en "réplication/Cluster".
Chaque modif faite sur un AD/DNS de répliquent sur les autres. Comme le dossier netlogon également.

Tes AD répondront aux requêtes des ordinateurs automatiquement (je rentres pas dans le détail).

Pour le 2000 pas de soucis si cest un serveur simple et pas un AD.

Pour les erreurs à ne pas commettre c'est assez vaste et ça dépend vraiment de la conf client.
Mais déjà tu peux prendre ton temps en attendant bien 15min minimum lorsque tu rajoutes tes AD et quand tu migres les DNS que les réplications soient bien faire.
Ensuite tu peux vérifier le bon état en regardant les logs d'événements et avec des outils comme replmon (de tête) et dcdiag.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Jeu 23 Juin 2016, 12:11

Merci pour les infos mon 2000 n'est qu'un serveur lambda pour une vieille appli et n'est pas un DC donc aucun problème en perspective.

Par contre j'ai une dernière inquiétude. En effet, comme je l'ai spécifié précédemment, mes serveurs Ad sont aussi Serveurs de Fichiers. A la fin de la migration il va falloir que je rétrograde mes DC en 2008 R2 sauf que je veux qu'ils restent serveurs de fichiers membre du domaine pour l'instant.

J'ai regardé la procédure pour rétrograder un DC et à un moment il demande de rentrer un mot de passe pour l'admin local. Hors je ne veux pas qu'il sorte le DC du domaine, je voudrais qu'il reste serveur membre du domaine.
S'il sort du domaine j'ai peur que cela casse mes partages existants et/ou mes droits sur mes répertoires
Sais tu sir le DC sort du domaine après la rétrogradation ?
como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Jeu 23 Juin 2016, 12:43

Pas d'inquiétude ton ancien DC restera dans le domaine.
Il te demande le pass de l'administration local car sur un AD tu nas pas dadmin local.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Jeu 23 Juin 2016, 14:04

Merci pour ta réponse effectivement je n'avais pas pensé à cela. Du coup ça parait logique

Du coup je me suis fait une petite liste des étapes à réaliser:

1. Ajouter le rôle ADDS aux 2 nouveaux serveurs AD 2012 R2
2. Vérification de la réplication des contrôleurs de domaine (dcdiag, repadmin /showrepl)
3. Transfert des rôles FSMO
4. Mise en place du serveur DHCP sur serveur AD1 (création des réservations) + mise en place DHCP Fail over sur AD2
5. Baisse des baux DHCP (1 jour)
6. Basculement entre ancien et nouveau serveur DHCP
7. Changement sur les serveurs matériel réseau ip fixe des DNS (voir passage en DHCP pour machine avec réservations)
8. Vérifications du bon fonctionnement
9. Rétrogradation des anciens serveurs (procédure http://pbarth.fr/node/95 ) attention après la rétrogradation un redémarrage sera nécessaire.
10. Désinstallation des fonctionnalités AD DS, DNS et NTP sur les 2 anciens DC 2008 R2

Vois tu quelque chose à réaliser ou étape intermédiaire
Pour l'étape 10: après la rétrogradation des serveurs, ils redémarrent et ensuite il faut supprimer les rôles (ajout/suppression de fonctionnalités)
como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Jeu 23 Juin 2016, 15:24

Juste un point à faire attention pour faire ta partie 4 et 6.
Lorsque tu mettras les nouveaux DHCP ils seront d'office en prod. Pour attendre il faut pas oublier de désactiver la zone afin d'éviter qu'ils répondent aux requêtes DHCP avant que tu ne fasses ta bascule.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Jeu 23 Juin 2016, 16:56

Pour être plus précis je comptais installer le rôle DHCP sur les nouveaux serveur sans démarrer le rôle. Puis configurer l’étendu, plage DHCP et réservations tout cela en aillant le service DHCP arrêté sur les nouveaux serveurs (est ce possible ?)

Une fois tout paramétré, je baisse les baux à 1 jour (ou moins je ne sais pas, actuellement il est réglé à 2 jours). j'attend quelques jours puis je lance le nouveau serveur DHCP et je coupe le nouveau en même temps (à 30 seconde prêt)

Cette solution est elle irréaliste ?

Comment verrais tu la chose ? En sachant que je peux paramétrer l'ad1 au début et paramétrer le fail over sur AD2 plus tard.

Merci pour ton aide tu soulèves des points auquel je n'avais pas pensé
como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Re: Message d'erreur Zone Trustanchors

Message par anexus » Jeu 23 Juin 2016, 17:35

Pour être plus précis je comptais installer le rôle DHCP sur les nouveaux serveur sans démarrer le rôle. Puis configurer l’étendu, plage DHCP et réservations tout cela en aillant le service DHCP arrêté sur les nouveaux serveurs (est ce possible ?)

Oui

Une fois tout paramétré, je baisse les baux à 1 jour (ou moins je ne sais pas, actuellement il est réglé à 2 jours). j'attend quelques jours puis je lance le nouveau serveur DHCP et je coupe le nouveau en même temps (à 30 seconde prêt)

Non, tu touches pas à tes bauds, tu arrête le rôle de l'ancien et démarre aussitôt le rôle du nouveau et c'est bon. Win2012R2 gère très bien et ne donnera pas des IP en prod.

Comment verrais tu la chose ? En sachant que je peux paramétrer l'ad1 au début et paramétrer le fail over sur AD2 plus tard.

Oui tu peux configurer l'AD1 dans un premier temps et après le failover.
Tout problème à une solution.
S'il n'y a pas de solution,
Alors c'est qu'il n'y a pas de problème.
Avatar de l’utilisateur
anexus
Master
Master
 
Message(s) : 904
Inscription : Ven 17 Juin 2005, 0:41
Localisation : 92

Re: Message d'erreur Zone Trustanchors

Message par como10 » Ven 24 Juin 2016, 9:31

Merci pour ton aide je pense avoir fait le tour de la question.

J'ai vu aussi pour le DHCP une commande "netsh dhcp server export C:dhcp.txt all" à exécuter sur l'ancien DHCP pour récupérer la configuration du DHCP et ainsi l'importer sur le nouveau avec la commande "netsh dhcp server import C:dhcp.txt all"
Cela me permettrai de gagner du temps. Qu'en penses tu ? As tu déjà utilisé cette commande ?

Encore une interrogation avant de rétrograder les anciens DC il faut aussi que je change les DNS en mettant les nouveaux DC. C'est bien cela ?
como10
Novice
Novice
 
Message(s) : 19
Inscription : Lun 20 Juil 2015, 12:10

Suivant

Retour vers DNS

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive