mercredi 13 octobre 2010

[MAJ] DirectAccess : corruption de la table NRPT


Lors de la mise en place de l'utilisation de Citrix au travers de DirectAccess grâce à l'article de Tom Shinder disponible ici je modifie donc la table NRPT sur le serveur Forefront UAG comme suit mais cette fois si en précisant plusieurs serveur DNS :
Mal m'en a pris après application de la GPO sur un poste client ce dernier se retrouve dans l'impossibilité de résoudre un FQDN...


Pas de problème je le connecte  au réseau local pour investiguer mais problème y compris une résolution de FQDN interne refuse de fonctionner :
Il y a donc effectivement un gros soucis si je ne peux plus rafraîchir les GPO, je consulte donc la table NRPT du poste client que ce soit a commande netsh namspace show effective policy ou netsh dnsclient show state le message retourné est le suivant :
« La table de stratégie de résolution des noms a été endommagée. La résolution DNS échouera tant que le problème ne sera pas résolu. Contactez votre administrateur réseau. »

La seule solution pour résoudre le problème :
  • Formater le disque est réinstaller Windows : ce qui n'est pas très viable en déploiement de masse.
  • Ou supprimer les informations de la NRPT comme précisé sur http://technet.microsoft.com/de-de/library/ee649182(WS.10).aspx.
    En effet en supprimant tout les sous conteneur de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig puis en redémarrant le service Client DNS tout revient à la normale.
Le problème temporairement résolu il faut maintenant trouver la source du problème. En analysant de plus prés l'entrée de registre associée à l'ajout de la Citrix Secure Gateway quelque chose à attiré mon attention :

Chaque adresse IP est séparée par une virgule ce qui ne pose pas de problème pour une version US de Windows 7 mais pas pour la version française par exemple ce qui entraine la « corruption » de la table NRPT par l'OS. En effet en supprimant les autres adresses IP dans la base de registre pour un test tout fonctionne de nouveau.

Faite donc attention en attendant un fix de la part de Microsoft à ne pas préciser plus d'un serveur DNS dans la NRPT vous êtes prévenu :).

Attention ce problème impact DirectAccess de façon générale, les produits suivants sont donc impactés :
  • La fonctionnalité serveur DirectAccess de Windows 2008 R2
  • Forefront UAG RTM
  • Forefront UAG Update 1
  • Forefront UAG Update 2
[MAJ] : Il est possible temporairement comme solution de contournement de modifier le script powershell généré pour remplacer la virgule par un point virgule. Merci à Benoît SAUTIERE pour cette solution.

DirectAccess : corruption de la table NRPT

2 commentaires:

  1. Autre solution : corriger le script powershell pour remplacer la virgule par un point-virgule.

    RépondreSupprimer
  2. En effet cela peut être une solution de contournement en attendant un fix officiel. Il faut cependant garder à l'esprit que la modification du script powershell doit être faite avec beaucoup de précaution.

    RépondreSupprimer