DNS Concat Technet

DNS

S'applique à: Windows Server 2008, Windows Server 2008 R2

DNS (Domain Name System) est le protocole de résolution de noms pour les réseaux TCP/IP, tels qu’Internet. Un serveur DNS héberge les informations qui permettent aux ordinateurs clients de résoudre des noms DNS alphanumériques explicites en adresses IP utilisées par les ordinateurs pour communiquer. Les rubriques suivantes décrivent le rôle de serveur DNS dans le système d’exploitation Windows Server® 2008 et contiennent des procédures d’installation, de configuration et de gestion des serveurs DNS sur votre réseau.

Présentation de DNS

Liste de vérification : ajouter un contrôleur de domaine avec le service Serveur DNS Liste de vérification : stocker des données dans une partition d’application AD DS Liste de vérification : utiliser des redirecteurs Liste de vérification : supprimer automatiquement les enregistrements de ressources

obsolètes Liste de vérification : créer un enregistrement alias (CNAME) Liste de vérification : utiliser des enregistrements de ressources Liste de vérification : sécuriser votre serveur DNS Liste de vérification : configurer des paramètres client DNS Liste de vérification : migrer un serveur DNS Liste de vérification : créer une zone de recherche inversée Installation et configuration de serveurs Gestion de serveurs et de zones Ajout de zones Configuration des propriétés de zone Gestion des enregistrements de ressources Gestion des clients Sécurisation de DNS Résolution des problèmes DNS Outils DNS Interface utilisateur : Serveur DNS

Présentation de DNSDNS (Domain Name System) est un système d’appellation d’ordinateurs et de services réseau organisé selon une hiérarchie de domaines. L’attribution de noms DNS est utilisée sur les réseaux TCP/IP tels qu’Internet afin de localiser les ordinateurs et les services au moyen de noms conviviaux. Lorsqu’un utilisateur entre un nom DNS dans une application, les services DNS peuvent résoudre ce nom en une autre information qui lui est associée, par exemple une adresse IP.

Par exemple, la plupart des utilisateurs préfèrent recourir à un nom convivial, tel que corp.contoso.com, pour localiser un ordinateur tel qu’un serveur de messagerie ou un serveur Web sur un réseau. Un nom convivial est plus facile à apprendre et à mémoriser. Toutefois, les ordinateurs communiquent sur un réseau par le biais d’adresses numériques. Pour faciliter l’utilisation des ressources réseau, des systèmes de noms tels que DNS fournissent une

1

http://technet.microsoft.com/fr-fr/library/cc742486.aspx






















méthode qui établit la correspondance entre le nom convivial d’un ordinateur ou d’un service et son adresse numérique.

Le rôle Serveur DNS dans Windows Server 2008 allie la prise en charge des protocoles DNS standard aux avantages offerts par l’intégration aux services de domaine Active Directory (AD DS) et autres fonctionnalités de sécurité et de mise en réseau de Windows, y compris des capacités avancées telles que la mise à jour dynamique sécurisée des enregistrements de ressources DNS.

Fonctionnalités de serveur

Le rôle Serveur DNS procure les fonctionnalités suivantes :

Serveur DNS conforme aux RFC (Request for Comments)

DNS est un protocole ouvert. Il est normalisé par un ensemble de RFC. Microsoft assure la prise en charge et la conformité avec ces spécifications standard.

Interopérabilité avec d’autres implémentations de serveur DNS

Le service Serveur DNS dans Windows Server 2008 étant conforme aux RFC et capable d’utiliser des formats d’enregistrements de ressources et des fichiers de données DNS standard, il peut fonctionner avec la plupart des autres implémentations de serveur DNS, telles que celles qui utilisent les logiciels BIND (Berkeley Internet Name Domain).

Prise en charge des services de domaine Active Directory (AD DS)

DNS est requis pour la prise en charge des services de domaine Active Directory afin de permettre aux ordinateurs réseau de localiser les contrôleurs de domaine et de prendre en charge la réplication AD DS. Si vous installez le rôle de serveur AD DS sur un serveur, vous devez installer et configurer en même temps le service Serveur DNS sur le nouveau contrôle de domaine. Cela garantit la meilleure intégration et prise en charge possible des services de domaine Active Directory et la disponibilité de fonctionnalités de serveur DNS avancées. Vous pouvez cependant utiliser un autre type de serveur DNS pour prendre en charge le déploiement des services de domaine Active Directory. Lorsque vous utilisez d’autres types de serveurs DNS, prenez en considération les aspects supplémentaires liés à l’interopérabilité DNS.

Améliorations du stockage de zone DNS dans les services de domaine Active Directory

Les zones DNS peuvent être stockées dans les partitions d’annuaire d’applications ou de domaines des services de domaine Active Directory. Une partition de l’annuaire d’applications est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Vous pouvez spécifier dans quelle partition d’annuaire d’applications AD DS une zone est stockée et, par conséquent, l’ensemble des contrôleurs de domaine entre lesquels les données de cette zone seront répliquées. Le service Serveur DNS maintient deux partitions d’annuaire d’applications, DomainDnsZones et ForestDnsZones, dans chaque domaine et forêt afin de stocker les zones pour la réplication standard.

2

Redirecteurs conditionnels

Le service Serveur DNS étend la fonctionnalité des redirecteurs standard en procurant des redirecteurs conditionnels. Un redirecteur conditionnel est un serveur DNS sur un réseau qui transfère des requêtes DNS en fonction du nom de domaine DNS mentionné dans la requête. Par exemple, vous pouvez configurer un serveur DNS de façon à transférer toutes les requêtes qu’il reçoit pour des noms se terminant par corp.contoso.com à l’adresse IP d’un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.

Zones de stub

DNS prend en charge un type de zone nommé zone de stub. Une zone de stub est une copie d’une zone qui contient uniquement les enregistrements de ressources nécessaires pour identifier les serveurs DNS de référence pour cette zone. Une zone de stub conserve un serveur DNS qui héberge une zone parente mise à jour avec les serveurs DNS de référence pour sa zone enfant. Cela contribue à maintenir l’efficacité de la résolution de noms DNS.

Fonctionnalités de sécurité DNS améliorées

DNS procure une administration de la sécurité améliorée pour le service Serveur DNS, le service Client DNS et les données DNS.

Intégration à d’autres services réseau Microsoft

Le service Serveur DNS permet une intégration avec d’autres services et propose des fonctionnalités au-delà de celles spécifiées dans les documents RFC, telles que l’intégration aux services de domaine Active Directory, au service WINS (Windows Internet Name Service) et aux services DHCP (Dynamic Host Configuration Protocol).

Facilité d’administration accrue

Gestionnaire DNS, le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console), offre une interface utilisateur graphique améliorée pour la gestion du service Serveur DNS. Plusieurs Assistants de configuration sont proposés pour l’exécution de tâches d’administration de serveur courantes. Outre le composant logiciel enfichable DNS, d’autres outils sont fournis pour aider à gérer et prendre en charge les serveurs et les clients DNS de votre réseau.

Prise en charge du protocole de mise à jour dynamique conforme aux RFC

Le service Serveur DNS permet aux clients de mettre à jour de manière dynamique des enregistrements de ressources sur la base du protocole de mise à jour dynamique (RFC 2136). Cela améliore l’administration DNS en réduisant la durée nécessaire à la gestion manuelle de ces enregistrements. Les ordinateurs exécutant le service Client DNS peuvent inscrire leurs noms DNS et adresses IP de manière dynamique.

Prise en charge du transfert de zone incrémentiel entre les serveurs

Les serveurs DNS qui stockent des données DNS dans des fichiers utilisent des transferts de zone pour répliquer les informations relatives à une partie de l’espace de noms DNS. Lorsqu’il transfère des zones qui ne sont pas intégrées aux services de domaine Active Directory, le service Serveur DNS utilise le transfert de zone

3

incrémentiel afin de répliquer uniquement les parties modifiées d’une zone, ce qui permet de préserver la bande passante réseau.

Résolution des noms d’hôtes en une partie sans WINS

Le service Serveur DNS prend en charge une zone nommée GlobalNames pour les noms en une partie, à savoir les noms qui ne contiennent pas le nom d’un domaine parent (tel que .com). Sur les réseaux où l’utilisation du service WINS ne constitue pas une option, la zone GlobalNames fournit une résolution des noms en une partie pour un ensemble limité de serveurs administrés de manière centralisée avec des adresses IP fixes.

Liste de vérification : ajouter un contrôleur de domaine avec le service Serveur DNSL’intégration de DNS (Domain Name System) aux services de domaine Active Directory (AD DS) fournit une réplication automatique entre les contrôleurs de domaine dans un domaine ou une forêt commune. L’installation de plusieurs contrôleurs de domaine dans un domaine exécutant le service Serveur DNS vous permet de vous assurer que DNS continuera de fonctionner en cas de défaillance d’un contrôleur de domaine ou de sa mise hors service à des fins de maintenance. Cela vous procure également la possibilité de trouver les serveurs sur les sites où ils peuvent être atteints de la manière la plus efficace par les clients DNS. En outre, l’équilibrage de la charge ainsi obtenu peut améliorer les performances globales de DNS.

Tâche Référence

En savoir plus sur l’intégration de DNS aux services de domaine Active Directory.

Présentation de l’intégration aux services de domaine Active Directory

4




Planifier comment diviser votre espace de noms de domaine DNS et d’adresses réseau en zones de recherche directe et inversée, selon les besoins.

Planification des zones DNS

Planifier votre déploiement de serveur, y compris déterminer le nombre de serveurs à utiliser et où les placer sur votre réseau, en gardant à l’esprit le fait que par défaut, les contrôleurs de domaine fonctionnent aussi comme serveurs DNS.

Planification des serveurs DNS

Si les clients de votre réseau doivent être capables de résoudre des noms DNS externes, déterminez si vous devez configurer et utiliser des redirecteurs sur les serveurs DNS de votre réseau.

Utilisation de redirecteurs;

Configurer un serveur DNS de façon à utiliser des redirecteurs

Déterminer comment gérer les configurations de résolution de client DNS.

Liste de vérification : configurer des paramètres client DNS

Installer et configurer des contrôleurs de domaine et des domaines pour l’hébergement de vos zones.

Installer un serveur DNS;

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory

Le cas échéant, ajouter des délégations dans les zones parentes pour tout sous-domaine.

Par exemple, si vous ajoutez sub.corp.contoso.com en tant que nouveau domaine Active Directory, vous y ajoutez une délégation à la zone corp.contoso.com.

Présentation de la délégation de zone;

Créer une délégation de zone

Présentation de l’intégration aux services de domaine Active DirectoryLe service Serveur DNS est intégré à la conception et à l’implémentation des services de domaine Active Directory (AD DS). Les services de domaine Active Directory procurent un outil de niveau entreprise pour l’organisation, la gestion et la localisation des ressources sur un réseau.

Lorsque vous déployez des serveurs DNS (Domain Name System) avec les services de domaine Active Directory, considérez les points suivants :

DNS est obligatoire pour la localisation des contrôleurs de domaine.

Le service Ouverture de session réseau utilise la prise en charge des serveurs DNS pour assurer l’inscription des contrôleurs de domaine dans votre espace de noms de domaine DNS.

5


















Les serveurs DNS exécutant Windows Server 2003 ou Windows Server 2008 peuvent utiliser les services de domaine Active Directory pour le stockage et la réplication de vos zones.

En intégrant vos zones aux services de domaine Active Directory, vous pouvez tirer parti des fonctionnalités DNS telles que la réplication AD DS, les mises à jour dynamiques sécurisées et les fonctionnalités d’antériorité et de nettoyage d’enregistrements.

Intégration de DNS aux services de domaine Active Directory

Lorsque vous installez les services de domaine Active Directory sur un serveur, vous le promulguez au rôle de contrôleur de domaine pour un domaine spécifique. Dans le cadre de ce processus, vous êtes invité à spécifier un nom de domaine DNS pour le domaine AD DS que vous joignez et pour lequel vous promulguez le serveur, et vous avez la possibilité d’installer le rôle de Serveur DNS. Cette option est fournie car un serveur DNS est requis pour localiser ce serveur ou d’autres contrôleurs de domaine pour les membres d’un domaine AD DS.

Avantages offerts par l’intégration aux services de domaine Active Directory

Pour les réseaux qui déploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommandé d’utiliser des zones principales intégrées à l’annuaire. Ces zones présentent les avantages suivants :

DNS propose une réplication des données multimaître et une sécurité améliorée basées sur les capacités des services de domaine Active Directory.

Dans un modèle de stockage de zone standard, les mises à jour DNS sont effectuées sur la base d’un modèle de mise à jour à maître unique. Dans ce modèle, un seul serveur DNS de référence pour une zone est désigné comme source principale pour la zone. Ce serveur conserve la copie maître de la zone dans un fichier local. Avec ce modèle, le serveur principal pour la zone représente un point de défaillance unique fixe. Si ce serveur n’est pas disponible, les demandes de mise à jour émises par les clients DNS ne sont pas traitées pour la zone.

Avec le stockage intégré à l’annuaire, les mises à jour dynamiques de DNS sont envoyées à tout serveur DNS intégré aux services de domaine Active Directory et sont répliquées à tous les autres serveurs DNS intégrés aux services de domaine Active Directory par le biais de la réplication AD DS. Dans ce modèle, tout serveur DNS intégré aux services de domaine Active Directory peut accepter des mises à jour dynamiques pour la zone. La copie maître de la zone étant conservée dans la base de données AD DS, qui est entièrement répliquée vers tous les contrôleurs de domaine, la zone peut être mise à jour par les serveurs DNS opérant sur tout contrôleur de domaine pour le domaine. Avec le modèle de mise à jour multimaître des services de domaine Active Directory, n’importe lequel des serveurs DNS principaux pour la zone intégrée à l’annuaire peut traiter les demandes de mise à jour de la zone émises par les clients DNS, tant qu’un contrôleur de domaine est disponible et accessible sur le réseau.

6

De plus, lorsque vous utilisez des zones intégrées à l’annuaire, vous pouvez utiliser la modification des listes de contrôle d’accès pour sécuriser un conteneur d’objet dnsZone dans l’arborescence de répertoires. Cette fonctionnalité procure un accès détaillé à la zone ou à un enregistrement de ressource spécifié dans la zone. Par exemple, une liste de contrôle d’accès pour un enregistrement de ressource de zone peut être limitée de telle sorte que les mises à jour dynamiques soient autorisées uniquement pour un ordinateur client ou un groupe sécurisé (par exemple un groupe d’administrateurs de domaine) spécifique. Cette fonctionnalité de sécurité n’est pas disponible avec les zones principales standard.

Les zones sont répliquées et synchronisées automatiquement sur les nouveaux contrôleurs de domaine chaque fois que vous en ajoutez un à un domaine AD DS.

Bien que le service Serveur DNS puisse être supprimé d’un contrôleur de domaine de manière sélective, les zones intégrées à l’annuaire sont déjà stockées sur chaque contrôleur de domaine. Par conséquent, le stockage et la gestion des zones ne constituent pas une ressource supplémentaire. En outre, les méthodes utilisées pour synchroniser les informations stockées dans l’annuaire offrent des améliorations de performances par rapport aux méthodes de mise à jour de zone standard, qui peuvent éventuellement nécessiter le transfert d’une zone entière.

En intégrant le stockage de vos bases de données de zones DNS dans les services de domaine Active Directory, vous pouvez optimiser la planification de réplication de base de données pour votre réseau.

Lorsque votre espace de noms DNS et vos domaines AD DS sont stockés et répliqués séparément, vous devez planifier et éventuellement administrer chacun de ces éléments séparément. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez concevoir, implémenter, tester et maintenir deux topologies de réplication de base de données différentes.

Par exemple, une topologie de réplication est nécessaire pour la réplication des données d’annuaire entre les contrôleurs de domaine et une autre topologie est nécessaire pour la réplication des bases de données de zones entre les serveurs DNS. Cela peut engendrer une complexité supplémentaire dans la planification et la conception de votre réseau, et constituer un obstacle à sa croissance ultérieure. En intégrant le stockage DNS, vous unifiez les aspects liés à la réplication et à la gestion du stockage pour DNS et les services de domaine Active Directory en les fusionnant et en les affichant en tant qu’entité administrative unique.

La réplication intégrée à l’annuaire est plus rapide et plus efficace que la réplication DNS standard.

Le traitement de la réplication AD DS étant effectué sur la base de chaque propriété, seules les modifications pertinentes sont propagées. Une quantité inférieure de données est utilisée et soumise dans les mises à jour pour les zones intégrées à l’annuaire.

Seules les zones principales peuvent être stockées dans l’annuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans l’annuaire. Il doit les stocker dans des fichiers texte

7

standard. Le modèle de réplication multimaître des services de domaine Active Directory élimine la nécessité d’avoir des zones secondaires lorsque toutes les zones sont stockées dans les services de domaine Active Directory.

Planification des zones DNSLorsque vous partitionnez initialement votre espace de noms en zones, vous devez examiner les tendances de trafic dans votre réseau actuel ou proposé. Bien que DNS (Domain Name System) soit conçu pour aider à réduire le trafic de diffusion entre des sous-réseaux locaux, il crée une certaine quantité de trafic entre les serveurs et les clients qui doit être examinée. Cela est particulièrement vrai dans les cas où DNS est utilisé sur les réseaux routés. Pour examiner le trafic DNS, vous pouvez utiliser les statistiques de serveur DNS ou les compteurs de performance DNS fournis avec le Moniteur système.

Outre le routage du trafic, vous devez considérer l’impact des types de communications DNS courants suivants, en particulier lorsque vous opérez sur des liaisons à faible débit sur un réseau étendu :

trafic de serveur à serveur dû aux transferts de zone avec d’autres serveurs DNS et à l’interopérabilité DNS avec d’autres serveurs (par exemple lorsque la recherche WINS (Windows Internet Name Service) est activée) ;

8

trafic de client à serveur dû aux charges de requêtes et aux mises à jour dynamiques envoyées par des ordinateurs clients DNS ou des serveurs DHCP fournissant la mise à jour dynamique pour les clients DNS de version antérieure qui ne prennent pas en charge les mises à jour dynamiques.

Pour les petits espaces de noms plats, vous pouvez utiliser la réplication complète de toutes les zones DNS sur tous les serveurs DNS de votre réseau. Pour les grands espaces de noms verticaux, cela n’est ni possible ni recommandé. Sur les réseaux de grande taille, il est souvent nécessaire d’étudier, de tester, d’analyser et de réviser vos plans de zones sur la base des tendances de trafic observées ou estimées. Après une analyse minutieuse, vous pouvez partitionner et déléguer vos zones DNS en fonction des impératifs à respecter pour fournir un service de noms efficace et à tolérance de panne à chaque emplacement ou site.

Le service Serveur DNS prend en charge les transferts de zone incrémentiels entre les serveurs qui répliquent une zone standard. Cette fonctionnalité peut réduire les considérations relatives au trafic de réplication DNS ; vous devez donc l’étudier lors de votre planification de zones.

Vous souhaiterez peut-être également envisager l’utilisation de serveurs cache uniquement, qui n’hébergent pas de zones DNS. Les serveurs cache uniquement constituent une bonne option sur les petits sites distants présentant une utilisation stable et minimale du service de noms DNS, mais qui se trouvent de l’autre côté d’un réseau étendu où le transfert d’une grande zone sur une liaison à faible débit peut consommer de grosses quantités de ressources.

Planification des serveurs DNSLorsque vous planifiez vos serveurs DNS (Domain Name System), il est important d’effectuer les tâches suivantes :

Effectuer la planification de capacité et examiner les exigences matérielles des serveurs.

Déterminer le nombre de serveurs DNS nécessaires et leur rôle dans votre réseau.

Lors de la prise en compte du nombre de serveurs DNS à utiliser, identifiez les serveurs qui hébergeront des copies principales et secondaires des zones. De plus, si vous utilisez les services de domaine Active Directory (AD DS), déterminez si l’ordinateur serveur assumera la fonction de contrôleur de domaine ou de serveur membre dans le domaine.

Déterminer l’emplacement des serveurs DNS sur votre réseau pour les charges de trafic, la réplication et la tolérance de panne.

9

Déterminer si vous utilisez uniquement des serveurs DNS exécutant Windows Server 2008 ou une combinaison d’implémentations de serveurs DNS.

Planification de la capacité de serveur

La planification et le déploiement de serveurs DNS sur votre réseau nécessitent l’examen de plusieurs aspects de votre réseau et des exigences de capacité des serveurs DNS que vous prévoyez d’utiliser sur le réseau. Voici quelques questions à se poser lors de la planification de la capacité de serveur DNS :

Combien de zones le serveur DNS devra-t-il charger et héberger ?

Quelle est la taille de chaque zone chargée par le serveur (d’après la taille du fichier de zone ou le nombre d’enregistrements de ressources utilisés dans la zone) ?

Pour un serveur DNS multirésident, quel est le nombre d’interfaces devant être activées pour écouter et servir les clients DNS sur chacun des sous-réseaux connectés au serveur ?

Quelle est la quantité totale de requêtes DNS en provenance de tous ses clients qu’un serveur DNS peut s’attendre à recevoir et à servir ?

Dans de nombreux cas, l’ajout de RAM supplémentaire à un serveur DNS peut provoquer les améliorations de performances les plus remarquables. Cela est dû au fait que le service Serveur DNS charge complètement en mémoire toutes les zones configurées lors de son démarrage. Si votre serveur opère et charge un grand nombre de zones et que des mises à jour dynamiques ont lieu fréquemment pour les clients des zones, il peut être utile d’ajouter de la mémoire.

Sachez que, pour une utilisation ordinaire, le serveur DNS consomme de la mémoire système comme suit :

Environ 4 mégaoctets (Mo) de RAM sont utilisés lorsque le serveur DNS est démarré sans zone.

Pour chaque ajout de zones ou d’enregistrements de ressources au serveur, le serveur DNS consomme de la mémoire serveur supplémentaire.

On estime que pour chaque enregistrement de ressource ajouté à une zone de serveur, une moyenne d’environ 100 octets de mémoire serveur est utilisée.

Par exemple, si une zone contenant 1000 enregistrements de ressources est ajoutée à un serveur, elle nécessite environ 100 kilo-octets (Ko) de mémoire serveur.

Lors de la planification des serveurs DNS, vous pouvez commencer par examiner les résultats des tests de performances de serveur DNS recueillis par vos équipes de test et de développement DNS. Vous pouvez également utiliser les compteurs liés aux serveurs DNS fournis avec les outils d’analyse afin d’obtenir vos propres mesures de performances.

Important Les recommandations précédentes n’ont pas pour but d’indiquer les performances maximales

10

ou les limitations des serveurs DNS. Ces chiffres ne constituent que des approximations et peuvent être influencés par le type d’enregistrement de ressource entré dans les zones, le nombre d’enregistrements de ressources avec le même nom de propriétaire et le nombre de zones utilisées sur un serveur DNS spécifique.

Où placer les serveurs DNS ?

Dans la plupart des cas, vous installerez des serveurs DNS sur tous les contrôleurs de domaine. Si toutefois vous avez une bonne raison de ne pas déployer de serveur DNS sur chaque contrôleur de domaine, vous pouvez suivre les recommandations suivantes afin de choisir l’emplacement de vos serveurs DNS.

En général, vous devez placer vos serveurs DNS à un emplacement sur votre réseau qui est facilement accessible à vos clients. Il est généralement plus commode d’utiliser un serveur DNS sur chaque sous-réseau. Plusieurs questions doivent être étudiées afin de déterminer la nécessité de la présence d’un serveur DNS :

Si vous déployez DNS pour prendre en charge les services de domaine Active Directory, l’ordinateur serveur DNS est-il également contrôleur de domaine ou est-il susceptible de devenir contrôleur de domaine dans le futur ?

Si le serveur DNS cesse de répondre, ses clients locaux sont-ils en mesure d’accéder à un autre serveur DNS ?

Si le serveur DNS se trouve sur un sous-réseau qui est distant pour certains de ses clients, quels sont les autres serveurs DNS ou options de résolution de noms disponibles si la connexion routée cesse de répondre ?

Par exemple, si vous avez un réseau local routé et des liaisons à haut débit raisonnablement fiables, vous pourrez peut-être utiliser un serveur DNS pour une zone réseau plus grande à sous-réseaux multiples. Si vous avez un grand nombre de nœuds clients dans une conception à sous-réseau unique, vous souhaiterez peut-être ajouter plusieurs serveurs DNS au sous-réseau afin de fournir des fonctionnalités de sauvegarde et de basculement si le serveur DNS préféré cesse de répondre.

Lorsque vous déterminez le nombre de serveurs DNS nécessaires, évaluez l’effet des transferts de zone et du trafic de requêtes DNS sur les liaisons à faible débit de votre réseau. Bien que DNS soit conçu pour aider à réduire le trafic de diffusion entre des sous-réseaux locaux, il crée une certaine quantité de trafic entre les serveurs et les clients qui doit être examinée, en particulier lorsque les serveurs DNS se trouvent dans des environnements de réseau local ou de réseau étendu avec un routage complexe.

Considérez les effets du transfert de zone sur les liaisons à faible débit, telles que celles qui sont généralement utilisées pour une connexion de réseau étendu. Bien que le service Serveur DNS prenne en charge les transferts de zone incrémentiels et que les clients et serveurs DNS puissent mettre en cache les derniers noms utilisés, les considérations relatives au trafic sont parfois encore importantes, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) sont raccourcis et, en conséquence, les mises à jour dynamiques dans DNS sont effectuées plus fréquemment. L’une des options à votre disposition pour gérer les emplacements distants sur des liaisons de réseau étendu consiste à configurer un serveur DNS à ces emplacements afin de fournir un service DNS de mise en cache uniquement.

11

Dans la plupart des installations, vous devez avoir au moins deux ordinateurs serveurs hébergeant chacune de vos zones DNS, à des fins de tolérance de panne. Lors des ultimes déterminations quant au nombre de serveurs à utiliser, évaluez d’abord le niveau de tolérance de panne adapté à votre réseau.

Lorsqu’un seul serveur DNS est utilisé sur un petit réseau local dans un environnement à sous-réseau unique, vous pouvez configurer ce serveur de façon à simuler les serveurs principal et secondaires pour une zone.

Utilisation de redirecteursPour utiliser des redirecteurs afin de gérer le trafic DNS (Domain Name System) entre votre réseau et Internet, vous devez configurer le pare-feu de votre réseau de façon à autoriser un seul serveur DNS à communiquer avec Internet. Lorsque vous configurez les autres serveurs DNS de votre réseau pour transférer vers ce serveur les requêtes qu’ils ne peuvent résoudre localement, ce serveur assume le rôle de redirecteur. Pour plus d’informations sur les redirecteurs, voir Présentation des redirecteurs.

Séquence de transfert

L’ordre des adresses IP répertoriées comme redirecteurs sur un serveur DNS détermine la séquence selon laquelle les adresses IP sont utilisées. Une fois que le serveur DNS a transféré la requête au redirecteur avec la première adresse IP, il attend pendant quelques instants de recevoir une réponse de ce redirecteur (en respectant le délai d’expiration de transfert de ce serveur DNS) avant de reprendre l’opération de transfert avec l’adresse IP suivante. Il continue ce processus jusqu’à recevoir une réponse affirmative de la part d’un redirecteur.

Part exemple, dans l’illustration suivante, les serveurs DNS avec les première et deuxième adresses IP de redirecteurs ne répondent pas au serveur DNS. Le serveur DNS avec la troisième adresse IP de redirecteur répond et la requête est transférée à ce serveur DNS.

12


Contrairement à la résolution conventionnelle, dans laquelle un délai d’aller-retour est associé à chaque serveur, les adresses IP mentionnées dans la liste de redirecteurs ne sont pas classées selon le délai d’aller-retour. Vous devez les reclasser manuellement afin de modifier la préférence.


Les redirecteurs conditionnels sont des serveurs DNS qui transfèrent des requêtes en fonction des noms de domaine. Plutôt que d’avoir un serveur DNS qui transfère à un redirecteur toutes les requêtes qu’il ne peut résoudre localement, vous pouvez configurer les serveurs DNS de façon à transférer les requêtes vers différents redirecteurs en fonction des noms de domaine spécifiques contenus dans les requêtes. Le transfert sur la base des noms de domaine améliore le transfert conventionnel en ajoutant une condition basée sur le nom au processus de transfert.

Le paramètre de redirecteur conditionnel pour un serveur DNS se compose des éléments suivants :

le nom de domaine pour lequel le serveur DNS transfèrera les requêtes ;

une ou plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spécifié.

Lorsqu’un client ou serveur DNS effectue une opération de requête sur un serveur DNS, celui-ci vérifie si la requête peut être résolue avec ses propres données de zone ou avec les données stockées dans son cache. Si le serveur DNS est configuré pour effectuer un transfert pour le nom de domaine désigné dans la requête, celle-ci est transférée à l’adresse IP d’un redirecteur associé à ce nom de domaine. Par exemple, dans l’illustration suivante, chacune des requêtes pour les noms de domaine est transférée à un serveur DNS associé au nom de domaine.

13

Si aucun redirecteur n’est répertorié pour le nom désigné dans la requête, le serveur DNS tente de la résoudre par le biais de la récursivité standard. Pour plus d’informations, voir Configurer un serveur DNS de façon à utiliser des redirecteurs.

Vous pouvez utiliser des redirecteurs conditionnels pour améliorer la résolution de noms entre les espaces de noms DNS internes (privés) qui ne font pas partie de l’espace de noms DNS d’Internet. Ces types d’espaces de noms DNS peuvent apparaître suite à une fusion de sociétés. Lorsque vous configurez les serveurs DNS d’un espace de noms interne de façon à transférer toutes les requêtes vers les serveurs DNS de référence dans un second espace de noms interne, les redirecteurs conditionnels autorisent la résolution des noms entre les deux espaces de noms sans effectuer de récursivité sur l’espace de noms DNS d’Internet. Cette amélioration de la résolution de noms évite également à vos serveurs DNS de faire appel à la récursivité vers votre racine interne pour différents espaces de noms au sein de votre réseau.

Important Un serveur DNS ne peut pas transférer de requêtes pour les noms de domaine compris dans les zones qu’il héberge. Par exemple, le serveur DNS de référence pour la zone widgets.tailspintoys.com ne peut pas transférer de requêtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de référence pour widgets.tailspintoys.com peut transférer des requêtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est délégué à un autre serveur DNS.

Longueur de nom de domaine de redirecteur conditionnel

Lorsqu’un serveur DNS configuré avec un redirecteur conditionnel reçoit une requête pour un nom de domaine, il compare ce nom de domaine à sa liste de conditions de noms de domaine et utilise la condition de nom de domaine la plus longue correspondant au nom de domaine dans la requête. Par exemple, dans l’illustration suivante, le serveur DNS respecte la logique de transfert conditionnel suivante afin de déterminer comment transférer une requête pour un nom de domaine :

1. Le serveur DNS reçoit une requête pour toys.widgets.tailspintoys.com.

2. Il compare ce nom de domaine à tailspintoys.com et widgets.tailspintoys.com.3. Le serveur DNS détermine que widgets.tailspintoys.com est le nom de domaine qui

présente la correspondance la plus étroite avec la requête de nom de domaine.

14


4. Le serveur DNS transfère la requête au serveur DNS avec l’adresse IP 172.31.255.255, qui est associé à widgets.tailspintoys.com.

Configurer un serveur DNS de façon à utiliser des redirecteursUn redirecteur est un serveur DNS (Domain Name System) sur un réseau utilisé pour transférer des requêtes DNS pour des noms DNS externes vers des serveurs DNS situés à l’extérieur de ce réseau. Vous pouvez également configurer votre serveur de façon à transférer les requêtes sur la base de noms de domaine spécifiques au moyen de redirecteurs conditionnels.

Un serveur DNS sur un réseau est désigné comme redirecteur lorsque les autres serveurs DNS du réseau sont configurés de sorte qu’ils transfèrent à ce serveur DNS les requêtes qu’ils ne peuvent pas résoudre localement. L’utilisation d’un redirecteur vous permet de gérer la résolution des noms externes à votre réseau, tels que les noms Internet, ce qui peut améliorer l’efficacité de la résolution de noms pour les ordinateurs de votre réseau. Pour plus d’informations sur les redirecteurs et les redirecteurs conditionnels, voir Présentation des redirecteurs.

15



Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs ou à un groupe équivalent. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant : http://go.microsoft.com/fwlink/?LinkId=83477.

Configuration d’un serveur DNS de façon à utiliser des redirecteurs

À l’aide de l’interface Windows

À l’aide d’une ligne de commande

Pour configurer un serveur DNS de façon à utiliser des redirecteurs à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez sur le serveur DNS applicable.

Où ?

o DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Propriétés.

4. Sous l’onglet Redirecteurs, sous Domaine DNS, cliquez sur un nom de domaine.

5. Sous Liste d’adresses IP du redirecteur du domaine sélectionné, tapez l’adresse IP d’un redirecteur, puis cliquez sur Ajouter.

Considérations supplémentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour créer un nom de domaine, cliquez sur Nouveau puis, sous Domaine DNS, tapez le nom de domaine.

Lorsque vous spécifiez un redirecteur conditionnel, sélectionnez un nom de domaine DNS avant d’entrer une adresse IP.

Par défaut, le serveur DNS attend une réponse d’une adresse IP de redirecteur pendant cinq secondes avant d’essayer une autre adresse IP de redirecteur. Dans Délai d’expiration des requêtes de redirection (en secondes), vous pouvez modifier la durée d’attente du serveur DNS. Lorsque le serveur a épuisé tous les redirecteurs, il tente d’effectuer une opération de récursivité standard.

Si vous souhaitez que le serveur DNS utilise uniquement des redirecteurs et ne tente pas de récursivité supplémentaire si les redirecteurs échouent, activez la case à cocher Ne pas utiliser la récursivité pour ce domaine.

Vous pouvez désactiver la récursivité pour le serveur DNS de sorte qu’il n’effectue d’opération de récursivité sur aucune requête. Si vous désactivez la récursivité sur le serveur DNS, vous ne serez pas en mesure d’utiliser des redirecteurs sur ce serveur.

16

http://technet.microsoft.com/fr-fr/library/cc754941.aspx#BKMK_cmd%23BKMK_cmd

http://technet.microsoft.com/fr-fr/library/cc754941.aspx#BKMK_winui%23BKMK_winui

http://go.microsoft.com/fwlink/?LinkId=83477

N’entrez pas une adresse IP de redirecteur plus d’une fois dans la liste de redirecteurs d’un serveur DNS pour la simple raison qu’elle concerne un serveur plus fiable ou plus proche géographiquement. Si vous préférez l’un des redirecteurs, placez-le en premier dans la série d’adresses IP de redirecteurs.

Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS héberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait référence pour le nom de domaine corp.contoso.com (autrement dit, il héberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com.

Vous pouvez prévenir les problèmes courants associés aux redirecteurs en configurant vos serveurs DNS de façon à éviter la surutilisation de vos redirecteurs.

Pour configurer un serveur DNS de façon à utiliser des redirecteurs à l’aide d’une ligne de commande

1. Ouvrez une invite de commandes.2. Tapez la commande suivante et appuyez sur Entrée :

dnscmd <ServerName> /ResetForwarders <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

Paramètre Description

dnscmd Spécifie le nom de l’outil en ligne de commande pour la gestion des serveurs DNS.

<NomServeur>Obligatoire. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/ResetForwarders Obligatoire. Configure un redirecteur.

<AdresseIPMaître...>

Obligatoire. Spécifie une liste (à séparation par des virgules) d’une ou plusieurs adresses IP de serveurs DNS vers lesquels les requêtes sont transférées. Vous pouvez spécifier une liste d’adresses IP séparées par des espaces.

/TimeOutSpécifie le paramètre de délai d’attente. Ce paramètre correspond au nombre de secondes qui s’écoulent avant expiration des requêtes dont le transfert a échoué.

<Durée>Spécifie la valeur du paramètre /TimeOut. La valeur est spécifiée en secondes. Le délai d’attente par défaut est de cinq secondes.

/SlaveDétermine si le serveur DNS utilise la récursivité lorsqu’il interroge le nom de domaine spécifié par NomZone.

17

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

dnscmd /ResetForwarders /help


Pour ouvrir une fenêtre d'invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.

Pour définir le redirecteur conditionnel pour une zone, utilisez la commande suivante :

dnscmd <ServerName> /ZoneAdd <ZoneName> /Forwarder <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

La commande /ZoneAdd ajoute la zone spécifiée par le paramètre NomZone. Le paramètre AdresseIP est l’adresse IP à laquelle le serveur DNS transfèrera les requêtes DNS non solubles. Le paramètre /Slave définit le serveur DNS comme serveur subordonné. Le paramètre /NoSlave (valeur par défaut) définit le serveur DNS comme serveur non subordonné, ce qui signifie qu’il effectuera la récursivité. Les paramètres /Timeout et Durée sont décrits dans le tableau précédent.

Pour afficher une zone ajoutée uniquement en tant que redirecteur conditionnel, utilisez la commande suivante :

dnscmd <ServerName> /ZoneInfo <ZoneName>

Pour réinitialiser les adresses IP de redirecteurs pour un nom de domaine de redirecteur conditionnel, utilisez la commande suivante :

dnscmd <ServerName> /ZoneResetMasters <ZoneName> [/Local] [<ServerIPs>]

Le paramètre /Local définit la liste de serveurs maîtres locale pour les redirecteurs intégrés à Active Directory. Le paramètre IPServeur correspond à la liste d’une ou plusieurs adresses IP de serveurs maîtres pour la zone. Les serveurs maîtres peuvent inclure des serveurs DNS qui hébergent des copies principales ou secondaires de la zone, mais ils ne doivent pas inclure d’adresses IP de serveurs DNS de telle manière que deux serveurs DNS hébergeant des copies d’une zone s’utilisent l’un l’autre comme serveurs maîtres. Une telle configuration rend cyclique le chemin de transfert.

Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS héberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait autorité pour le nom de domaine corp.contoso.com (autrement dit, il héberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com.

18


Liste de vérification : configurer des paramètres client DNSLa configuration des clients DNS (Domain Name System) est aussi essentielle au bon fonctionnement de votre infrastructure DNS que la configuration des serveurs DNS. Les considérations à prendre en compte pour la configuration des clients DNS incluent les conventions d’attribution de noms aux clients (y compris le suffixe DNS principal et de nom d’hôte), la spécification des serveurs DNS pour un client ou l’autorisation du protocole DHCP (Dynamic Host Configuration Protocol) pour affecter des serveurs DNS, ainsi que la configuration d’une liste de recherche de suffixe pour la résolution des noms d’hôtes courts non complets. Vous pouvez également configurer des paramètres DNS spécifiques aux connexions pour les ordinateurs disposant de plusieurs cartes réseau ou connexions RAS (Remote Access Service).

Tâche Référence

En savoir plus sur la configuration des clients.Présentation des paramètres de client DNS

Configurer des clients DNS statiques.Configurer DNS pour des clients statiques

19





Configurer des serveurs DHCP et des clients activés pour le protocole DHCP.

Activer DNS pour les clients DHCP

Présentation des paramètres de client DNSLa configuration DNS (Domain Name System) nécessite les tâches de configuration suivantes pour les propriétés TCP/IP sur chaque ordinateur :

Définir un nom d’hôte ou d’ordinateur DNS pour chaque ordinateur. Par exemple, dans le nom de domaine complet wkstn1.widgets.tailspintoys.com., le nom de l’ordinateur DNS est le libellé wkstn1 figurant à l’extrême gauche.

Définir un suffixe DNS principal pour chaque ordinateur, placé après le nom d’hôte ou d’ordinateur afin de constituer le nom de domaine complet. Dans l’exemple précédent, le suffixe DNS principal est widgets.tailspintoys.com.

Définir une liste de serveurs DNS utilisables par les clients lors de la résolution des noms DNS, tels qu’un serveur DNS préféré, et tout serveur DNS secondaire à utiliser si le serveur préféré est indisponible.

Définir la méthode de recherche ou la liste de recherche de suffixe DNS à utiliser par un client lorsqu’il effectue des recherches de requêtes DNS pour des noms de domaine courts, non complets.

Ces tâches sont décrites en détail dans chacune des sections suivantes.

Définition de noms d’ordinateurs

Lorsque vous définissez des noms d’ordinateurs pour DNS, considérez le nom comme la partie la plus à gauche d’un nom de domaine complet. Par exemple, dans wkstn1.widgets.tailspintoys.com., wkstn1 est le nom d’ordinateur.

Vous pouvez configurer tous les clients DNS Windows avec un nom d’ordinateur basé sur n’importe lesquels des caractères standard pris en charge définis dans la RFC (Request for Comments) 1123 intitulée « Requirements for Internet Hosts – Application and Support ». Il s’agit des caractères suivants :

Lettres majuscules de A à Z

Lettres minuscules de a à z Chiffres de 0 à 9 Tirets (-)

Si vous prenez en charge à la fois les espaces de noms DNS et NetBIOS sur votre réseau, vous pouvez utiliser un nom d’ordinateur différent dans chaque espace de noms. Il est toutefois recommandé, dans la mesure du possible, d’utiliser des noms d’ordinateurs de moins de 16 caractères et de respecter les impératifs d’attribution de noms définis dans la RFC 1123.

20



Par défaut, le libellé le plus à gauche dans le nom de domaine complet pour les clients correspond au nom d’ordinateur NetBIOS, à moins que ce libellé ne fasse 16 caractères ou plus, qui est le maximum autorisé pour les noms NetBIOS. Lorsque le nom d’ordinateur dépasse la longueur maximale autorisée pour NetBIOS, le nom d’ordinateur NetBIOS est tronqué en fonction du libellé complet spécifié.

Avant de configurer des ordinateurs avec différents noms DNS et NetBIOS, considérez les implications suivantes et les problèmes associés pour votre déploiement :

Si la recherche WINS (Windows Internet Name Service) est activée pour les zones hébergées par vos serveurs DNS, utilisez le même nom d’ordinateur pour NetBIOS et DNS. Autrement, les résultats des requêtes et des tentatives de résolution des noms de ces ordinateurs effectuées par les clients seront incohérents.

Si vous devez utiliser des noms NetBIOS pour prendre en charge une technologie de mise en réseau Microsoft héritée, nous vous recommandons de réviser les noms d’ordinateurs NetBIOS utilisés sur votre réseau afin de préparer la migration vers un environnement standard exclusivement DNS. Votre réseau sera alors mieux adapté à la croissance à long terme et à l’interopérabilité avec les futurs impératifs d’attribution de noms. Par exemple, si vous utilisez le même nom d’ordinateur pour la résolution NetBIOS et DNS, envisagez de convertir tous les caractères spéciaux tels que le trait de soulignement (_) dans vos noms NetBIOS actuels qui ne sont pas conformes aux normes d’attribution de noms DNS. Bien que ces caractères soient autorisés dans les noms NetBIOS, ils sont plus souvent incompatibles avec les impératifs d’attribution de noms d’hôtes DNS traditionnels et avec la plupart des logiciels clients de résolution DNS.


Bien que l’utilisation du trait de soulignement (_) dans les noms d’hôtes DNS ou dans les enregistrements de ressources hôte (A) soit traditionnellement interdit par les normes DNS, l’utilisation des traits de soulignement dans les noms liés aux services (tels que les noms utilisés pour les enregistrements de ressources SRV) a été proposée afin d’éviter les conflits d’attribution de noms dans l’espace de noms DNS Internet.

Outre les conventions d’attribution de noms DNS standard, DNS Windows Server 2008 prend en charge l’utilisation des caractères ASCII et Unicode étendus. Cependant, la plupart des logiciels de résolution écrits pour d’autres plateformes (telles qu’UNIX) étant basés sur les normes DNS Internet, cette prise en charge des caractères améliorée peut être utilisée uniquement sur les réseaux privés avec des ordinateurs exécutant DNS Windows 2000, Windows Server 2003 ou Windows Server 2008.

La configuration initiale de DNS et du protocole TCP/IP affiche un avertissement suggérant un nom DNS standard si un nom DNS non-standard est entré.

Par défaut, les ordinateurs et serveurs utilisent DNS pour résoudre les noms dont la longueur est supérieure à 15 caractères. Si la longueur du nom est inférieure ou égale à 15 caractères, la résolution de noms NetBIOS et DNS peut être tentée et utilisée pour résoudre le nom.

21

Définition des noms de domaine

Le nom de domaine est utilisé avec le nom d’ordinateur client pour former le nom de domaine complet. En général, le nom de domaine DNS est la partie restante du nom de domaine complet qui n’est pas utilisée comme nom d’hôte unique pour l’ordinateur.

Par exemple, le nom de domaine DNS pour un ordinateur client peut être le suivant : si le nom de domaine complet est wkstn1.widgets.tailspintoys.com, le nom de domaine est la partie widgets.tailspintoys.com de ce nom.

Les noms de domaine DNS ont deux variantes : un nom DNS et un nom NetBIOS. Le nom de domaine complet est utilisé durant les requêtes et la recherche des ressources nommées sur votre réseau. Pour les clients de version antérieure, le nom NetBIOS est utilisé pour rechercher différents types de services NetBIOS partagés sur votre réseau.

Le service Ouverture de session réseau constitue un exemple de composant nécessitant à la fois des noms NetBIOS et DNS. Dans DNS Windows Server 2008, le service Ouverture de session réseau sur un contrôleur de domaine inscrit ses enregistrements de ressources SRV sur un serveur DNS. Pour Windows NT Server 4.0 et versions antérieures, les contrôleurs de domaine inscrivent une entrée DomainName dans le service WINS afin d’effectuer la même inscription et d’annoncer leur disponibilité pour fournir un service d’authentification sur le réseau.

Lorsqu’un ordinateur client est démarré sur le réseau, il utilise la résolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configuré. Cette requête est utilisée pour trouver les contrôleurs de domaine et fournir une authentification d’ouverture de session pour l’accès aux ressources réseau. Un client ou contrôleur de domaine sur le réseau peut également utiliser le service de résolution NetBIOS pour interroger des serveurs WINS et tenter de localiser des entrées DomainName [1C] afin d’achever le processus d’ouverture de session.

Vos noms de domaine DNS doivent respecter les mêmes normes et pratiques recommandées que celles applicables à l’attribution des noms d’ordinateurs DNS décrites dans la section précédente. En général, les conventions d’attribution des noms acceptables pour les noms de domaine incluent l’utilisation des lettres de A à Z, des chiffres de 0 à 9 et du tiret (-). Un point (.) dans un nom de domaine est toujours utilisé pour séparer les parties discrètes d’un nom de domaine, qui sont couramment appelées « libellés » ou simplement « noms ». Chaque libellé correspond à un niveau supplémentaire défini dans l’arborescence d’espace de noms DNS.

Pour la plupart des ordinateurs, le suffixe DNS principal configuré pour l’ordinateur peut être identique à son nom de domaine des services de domaine Active Directory (AD DS), bien que les deux valeurs puissent aussi être différentes.

Important Par défaut, la partie suffixe DNS principal du nom de domaine complet d’un ordinateur doit être identique au nom du domaine AD DS où se trouve l’ordinateur. Pour autoriser différents suffixes DNS principaux, un administrateur de domaine peut créer une liste restreinte de suffixes autorisés en créant l’attribut msDS-AllowedDNSSuffixes dans le conteneur d’objet de domaine. Un administrateur de domaine crée et gère cet attribut à l’aide des interfaces ADSI (Active Directory Service Interfaces) ou du protocole LDAP.

22

Configuration d’une liste de serveurs DNS

Pour que les clients DNS opèrent de manière efficace, une liste de serveurs de noms DNS classée par ordre de priorité doit être configurée et utilisée par chaque ordinateur lorsqu’il traite les requêtes et résout les noms DNS. Dans la plupart des cas, l’ordinateur client contacte et utilise son serveur DNS préféré, qui est le premier serveur DNS sur sa liste configurée localement. Les serveurs DNS secondaires répertoriés sont contactés et utilisés lorsque le serveur préféré est indisponible. Pour cette raison, il est important que le serveur DNS préféré soit adapté à une utilisation continue par le client dans des conditions normales.


Pour les ordinateurs exécutant Microsoft Windows XP ou Windows Vista®, la liste de serveurs DNS est utilisée par les clients uniquement pour résoudre les noms DNS. Lorsque les clients envoient des mises à jour dynamiques, par exemple lorsqu’ils modifient leur nom de domaine DNS ou une adresse IP configurée, ils peuvent contacter ces serveurs ou d’autres serveurs DNS selon les besoins afin de mettre à jour leurs enregistrements de ressources DNS. Pour plus d’informations, voir Présentation de la mise à jour dynamique.

Par défaut, le client DNS sur Windows XP ou Windows Vista ne tente pas d’effectuer de mise à jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramètres TCP/IP avancés de la connexion réseau en question ou modifier le Registre. Pour plus d’informations, voir les Informations de référence sur le Registre du Kit de ressources de Windows Server 2003 à l’adresse http://go.microsoft.com/fwlink/?LinkId=428 (éventuellement en anglais).

Par défaut, le client DNS ne tente pas d’effectuer de mise à jour dynamique des zones de domaine du niveau supérieur. Toute zone nommée avec un nom en une partie est considérée comme une zone de domaine du niveau supérieur, par exemple com, edu, vierge, ma-société. Pour configurer le client DNS de façon à autoriser la mise à jour dynamique des zones de domaine du niveau supérieur, vous pouvez utiliser le paramètre de stratégie Mettre à jour les zones de domaine du niveau supérieur ou modifier le Registre.

Lorsque les clients DNS sont configurés de manière dynamique à l’aide d’un serveur DHCP (Dynamic Host Configuration Protocol), il est possible d’avoir une plus grande liste de serveurs DNS. Pour fournir une liste d’adresses IP de serveurs DNS à vos clients DHCP, activez le code d’option 6 sur les types d’options configurés fournis par votre serveur DHCP. Pour les serveurs DHCP Windows Server 2003 et Windows Server 2008, vous pouvez configurer une liste comportant jusqu’à 25 serveurs DNS pour chaque client avec cette option.

Pour partager de manière efficace la charge lorsque plusieurs serveurs DNS sont répertoriés dans une liste avec options DHCP spécifiées, vous pouvez configurer une étendue DHCP distincte qui fait permuter l’ordre des serveurs DNS et WINS fournis aux clients.

Configuration d’une liste de recherche de suffixe DNS

Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui étend ou révise leurs capacités de recherche DNS. En ajoutant des suffixes

23




supplémentaires à la liste, vous pouvez rechercher des noms d’ordinateurs plus courts (non complets) dans plusieurs domaines DNS spécifiés. Ensuite, en cas d’échec d’une requête DNS, le service Client DNS peut utiliser cette liste pour ajouter d’autres terminaisons de suffixe de nom à votre nom d’origine et répéter les requêtes DNS au serveur DNS pour ces autres noms de domaine complets.

Pour les ordinateurs et les serveurs, le comportement de recherche DNS par défaut suivant est prédéterminé et utilisé lors de la résolution de noms courts non complets.

Lorsque la liste de recherche de suffixe est vide ou non spécifiée, le suffixe DNS principal de l’ordinateur est ajouté aux noms courts non complets et une requête DNS est utilisée pour résoudre le nom de domaine complet résultant. Si cette requête échoue, l’ordinateur peut essayer d’effectuer des requêtes supplémentaires pour d’autres noms de domaine complets en ajoutant tout suffixe DNS spécifique à la connexion configuré pour les connexions réseau.

Si aucun suffixe spécifique à la connexion n’est configuré ou si les requêtes pour ces noms de domaine complets résultants spécifiques à la connexion échouent, le client peut alors commencer à réessayer d’exécuter les requêtes sur la base d’une réduction systématique du suffixe principal (également appelé dévolution).

Par exemple, si le suffixe principal est « widgets.tailspintoys.com », le processus de dévolution est capable de réexécuter les requêtes pour le nom court en le recherchant dans les domaines « microsoft.com » et « com ».

Lorsque la liste de recherche de suffixe n’est pas vide et comporte au moins un suffixe DNS, les tentatives de résolution des noms DNS courts sont limitées à la recherche des noms de domaine complets rendue possible par la liste de suffixes spécifiée. En cas d’échec de résolution de tous les noms de domaine complets formés suite à l’ajout et à la tentative de chaque suffixe dans la liste, le processus de requête échoue, ce qui génère un message « Nom introuvable ».


Si la liste de suffixes de domaine est utilisée, les clients continuent d’envoyer des requêtes secondaires supplémentaires basées sur différents noms de domaine DNS lorsqu’une requête ne reçoit aucune réponse ou n’est pas résolue. Lorsqu’un nom est résolu avec une entrée dans la liste de suffixes, aucune tentative n’est effectuée avec les entrées inutilisées de la liste. Pour cette raison, il est préférable de placer en haut de la liste les suffixes de domaine les plus utilisés.

Les recherches de suffixe de nom de domaine sont utilisées uniquement lorsqu’une entrée de nom DNS n’est pas complète. Pour obtenir un nom DNS complet, entrez un point (.) à la fin du nom.

Windows Server 2008 prend en charge une zone nommée spéciale, appelée GlobalNames, pour fournir la résolution d’un ensemble limité de noms en une seule partie globalement uniques sur un réseau d’entreprise. Vous pouvez utiliser cette zone lorsque les impératifs du réseau rendent impossible l’utilisation d’une liste de recherche de suffixe à cet effet. Pour plus d’informations, voir Déploiement d’une zone GlobalNames.

24



Configuration de plusieurs noms

Les ordinateurs exécutant Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 sont affectés de noms DNS par défaut. Chaque ordinateur peut avoir ses noms DNS configurés par le biais d’une des deux méthodes suivantes :

Un nom de domaine DNS principal, qui s’applique en tant que nom DNS complet par défaut pour l’ordinateur et toutes ses connexions réseau configurées.

Un nom de domaine DNS spécifique à la connexion qui peut être configuré en tant que nom de domaine DNS secondaire qui s’applique uniquement pour une seule carte réseau installée et configurée sur l’ordinateur.

Bien que la plupart des ordinateurs n’aient pas besoin de prendre en charge plus d’un nom dans DNS, la prise en charge de la configuration de plusieurs noms DNS spécifiques aux connexions est parfois utile. Par exemple, l’utilisation de plusieurs noms permet à un utilisateur de spécifier la connexion réseau à utiliser lors de la connexion à un ordinateur multirésident.

Exemple : utilisation de noms spécifiques aux connexions

Comme l’indique l’illustration suivante, un ordinateur serveur multirésident nommé host-a peut être nommé en fonction de ses noms de domaine DNS principal et spécifique à la connexion.

Dans cet exemple, l’ordinateur serveur host-a est relié à deux sous-réseaux distincts (Subnet 1 et Subnet 2) qui sont également liés à des points redondants à l’aide de deux routeurs pour des chemins d’accès supplémentaires entre chaque sous-réseau. Étant donné cette configuration, host-a procure un accès comme suit par le biais de ses connexions de réseau local nommées séparément :

Le nom host-a.public.example.microsoft.com procure un accès par le biais de la connexion de réseau local 1 sur le sous-réseau Subnet 1, un réseau local Ethernet

25

faible vitesse (10 mégabits), pour l’accès normal aux utilisateurs ayant des besoins de service de fichiers et d’impression ordinaires.

Le nom host-a.backup.example.microsoft.com procure un accès par le biais de la connexion de réseau local 2 sur le sous-réseau Subnet 2, un réseau local Ethernet à vitesse élevée (100 mégabits), pour l’accès réservé par des applications de serveur et des administrateurs ayant des besoins spéciaux, tels que le dépannage des problèmes de mise en réseau de serveur, l’exécution de sauvegardes réseau ou la réplication de données de zone entre des serveurs.

Outre les noms DNS spécifiques aux connexions, l’ordinateur peut également être accessible par le biais d’une des deux connexions de réseau local en spécifiant son nom de domaine DNS principal, « host-a.example.microsoft.com ».

Lorsqu’il est configuré comme illustré, un ordinateur peut inscrire les enregistrements de ressources dans DNS sur la base de ses trois noms distincts et ensembles d’adresses IP, comme indiqué dans le tableau suivant.

Nom DNS Adresses IP Description

host-a.example.microsoft.com

10.1.1.11, 10.2.2.22

Nom DNS principal de l’ordinateur. L’ordinateur inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour toutes les adresses IP configurées sous ce nom dans la zone widgets.tailspintoys.com.

host-a.public.example.microsoft.com

10.1.1.11

Nom DNS spécifique à la connexion pour la connexion de réseau local 1, qui inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour l’adresse IP 10.1.1.11 dans la zone public.widgets.tailspintoys.com.

26

host-a.backup.example.microsoft.com

10.2.2.22

Nom DNS spécifique à la connexion pour la connexion de réseau local 2, qui inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour l’adresse IP 10.2.2.22 dans la zone backup.widgets.tailspintoys.com.


Les noms DNS peuvent être définis à l’aide de services d’administration à distance et autres services de configuration à distance, tels que DHCP. Pour un serveur DNS exécutant Windows Server 2008, le nom de domaine DNS principal peut être défini à l’aide de l’administration à distance ou de l’option d’installation sans assistance.

Pour l’attribut des noms spécifiques à la connexion, vous pouvez utiliser des méthodes de configuration TCP/IP. Vous pouvez configurer manuellement le nom de domaine DNS pour chaque connexion qui figure dans le dossier Connexions réseau ou vous pouvez utiliser le type d’option DHCP (code d’option 15).

Pour plus d’informations sur les options DHCP, voir la section sur les options DHCP dans la Collection Réseau (http://go.microsoft.com/fwlink/?LinkId=4639) (éventuellement en anglais).

Configurer DNS pour des clients statiquesPour configurer DNS (Domain Name System) pour des clients avec des adresses IP configurées de manière statique, vous configurez en général les éléments suivants :

Nom(s) d’hôte(s) DNS de l’ordinateur client.

Serveurs DNS principal et secondaires utilisés par le client pour aider à la résolution des noms de domaine DNS.

Une liste de suffixes DNS à ajouter pour compléter les noms DNS non complets utilisés pour la recherche et la soumission de requêtes DNS sur le client.

Le comportement d’inscription et de mise à jour dynamique spécifique à la connexion, par exemple pour déterminer si des cartes réseau spécifiques installées sur le client inscrivent de manière dynamique leurs adresses IP configurées auprès d’un serveur DNS.

27


Remarques Pour plus d’informations sur la façon de configurer DNS pour les clients statiques, voir la documentation de client DNS ou TCP/IP applicable délivrée par le fournisseur.

Activer DNS pour les clients DHCP Pour configurer DNS (Domain Name System) pour les clients avec des adresses IP

configurées de manière dynamique fournies par un serveur DHCP (Dynamic Host Configuration Protocol), on configure en général les éléments suivants sur le serveur DHCP ou sur les clients applicables :

o Nom(s) d’hôte(s) DNS de l’ordinateur client. Pour les clients DHCP, ce nom doit être défini sur l’ordinateur client ou affecté durant l’installation sans assistance.

o Serveurs DNS principal et secondaires utilisés par le client pour aider à la résolution des noms de domaine DNS. Pour les clients DHCP, ces serveurs peuvent être définis sur le serveur DHCP en affectant l’option de serveur DNS (option 6) et en fournissant une liste configurée d’adresses IP triées pour les serveurs DNS que le client est configuré pour utiliser.

o Une liste de suffixes DNS à ajouter pour compléter les noms DNS non complets utilisés pour la recherche et la soumission de requêtes DNS sur le client. Pour les clients DHCP, cette liste peut être définie sur le serveur DHCP en affectant l’option de nom de domaine DNS (option 15) et en fournissant un seul suffixe DNS à ajouter et utiliser dans les recherches. Pour configurer des suffixes DNS supplémentaires, configurez le protocole TCP/IP manuellement pour la configuration DNS.

o Le comportement d’inscription et de mise à jour dynamique spécifique à la connexion, par exemple pour déterminer si des cartes réseau spécifiques installées sur le client inscrivent de manière dynamique leurs adresses IP configurées auprès d’un serveur DNS. Pour les clients DNS, par défaut les connexions clientes inscrivent leurs adresses IP configurées auprès d’un serveur DNS. Pour modifier ce comportement sur le client, configurez le protocole TCP/IP manuellement sur le client pour la configuration DNS.

28

Pour plus d’informations sur la façon de configurer d’autres serveurs DNS pour des clients DHCP, voir la documentation de client DNS ou TCP/IP applicable délivrée par le fournisseur.



Installer un serveur DNSL’installation d’un serveur DNS (Domain Name System) nécessite l’ajout du rôle de serveur DNS à un serveur Windows Server 2008 existant. Vous pouvez également installer le rôle de serveur DNS lors de l’installation du rôle de services de domaine Active Directory (AD DS). Il s’agit de la méthode recommandée pour l’installation du rôle de serveur DNS si vous souhaitez intégrer votre espace de noms de domaine DNS à l’espace de noms de domaine AD DS.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs ou à un groupe équivalent.

Pour installer un serveur DNS

1. Ouvrez le Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur Démarrer, puis sur Gestionnaire de serveur.

2. Dans le volet de résultats, sous Résumé des rôles, cliquez sur Ajouter des rôles.

3. Dans l’Assistant Ajout de rôles, si la page Avant de commencer s’affiche, cliquez sur Suivant.

4. Dans la liste Rôles, cliquez sur Serveur DNS, puis sur Suivant.

5. Lisez les informations de la page Serveur DNS, puis cliquez sur Suivant.

6. Dans la page Confirmer les options d’installation, vérifiez que le rôle Serveur DNS sera installé, puis cliquez sur Installer.

29



Nous vous recommandons de configurer l’ordinateur de façon à utiliser une adresse IP statique. Si le serveur DNS est configuré de façon à utiliser des adresses dynamiques affectées par le serveur DHCP, lorsque celui-ci affectera une nouvelle adresse IP au serveur DNS, les clients DNS configurés pour utiliser la précédente adresse IP de ce serveur DNS seront dans l’incapacité de résoudre la précédente adresse IP et de trouver le serveur DNS.

Après avoir installé un serveur DNS, vous pouvez décider de la manière d’administrer le serveur et ses zones. Bien qu’il soit possible d’utiliser un éditeur de texte pour apporter des modifications aux fichiers de zone et d’amorçage du serveur, cette méthode n’est pas recommandée. Le Gestionnaire DNS et l’outil en ligne de commande DNS, dnscmd, simplifient la maintenance de ces fichiers et doivent être utilisés dans la mesure du possible. Une fois que vous avez commencé à utiliser le Gestionnaire DNS ou l’outil en ligne de commande pour gérer ces fichiers, leur modification manuelle n’est pas recommandée.

Vous pouvez administrer des zones DNS intégrées aux services de domaine Active Directory uniquement avec le Gestionnaire DNS ou l’outil en ligne de commande dnscmd. Vous ne pouvez pas administrer ces zones avec un éditeur de texte.

Si vous désinstallez un serveur DNS qui héberge des zones DNS intégrées aux services de domaine Active Directory, ces zones sont enregistrées ou supprimées en fonction de leur type de stockage. Pour tous les types de stockages, les données de zone sont stockées sur d’autres contrôleurs de domaine ou serveurs DNS. Les données de zone ne sont pas supprimées, à moins que le serveur DNS que vous désinstallez ne soit le dernier serveur DNS hébergeant cette zone.

Si vous désinstallez un serveur DNS qui héberge des zones DNS standard, les fichiers de zone demeurent dans le répertoire %systemroot%\system32\Dns, mais elles ne sont pas rechargées si le serveur DNS est réinstallé. Si vous créez une nouvelle zone avec le même nom que l’ancienne zone, l’ancien fichier de zone est remplacé par le nouveau fichier de zone.

Lorsqu’ils écrivent des données de zone et d’amorçage de serveur DNS dans les fichiers texte, les serveurs DNS utilisent le format de fichier BIND (Berkeley Internet Name Domain) qui est reconnu par les serveurs BIND 4 hérités, et non le format BIND 8 plus récent.

Configurer un serveur DNS pour une utilisation avec les services de domaine Active DirectoryLorsque vous installez les services de domaine Active Directory (AD DS) avec l’Assistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilité

30

d’installer et de configurer automatiquement un serveur DNS. La zone DNS résultante est intégrée au domaine AD DS contrôlé par ce serveur AD DS.

Pour installer les services de domaine Active Directory sur cet ordinateur, utilisez le Gestionnaire de serveur.

Cette méthode s’applique uniquement aux ordinateurs serveurs utilisés comme contrôleurs de domaine. Si des serveurs membres (serveurs non utilisés comme contrôleurs de domaine) sont utilisés en tant que serveurs DNS, ils ne sont pas intégrés aux services de domaine Active Directory.

Si vous choisissez l’option de l’Assistant permettant d’installer et de configurer automatiquement un serveur DNS local, le serveur DNS est installé sur l’ordinateur sur lequel vous exécutez l’Assistant et le paramètre de serveur DNS préféré de l’ordinateur est configuré de façon à utiliser le nouveau serveur DNS local. Configurez tout autre ordinateur qui joindra ce domaine de façon à utiliser l’adresse IP de ce serveur DNS comme serveur DNS préféré.

Présentation de la délégation de zoneDNS (Domain Name System) offre la possibilité de diviser l’espace de noms en une ou plusieurs zones, qui peuvent ensuite être stockées, distribuées et répliquées sur d’autres serveurs DNS. Lorsque vous décidez s’il faut diviser votre espace de noms DNS afin de créer des zones supplémentaires, prenez en considération les raisons suivantes :

Vous souhaitez déléguer la gestion d’une partie de votre espace de noms DNS à un autre emplacement ou service de votre organisation.

Vous souhaitez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic parmi plusieurs serveurs, d’améliorer les performances de résolution de noms DNS ou de créer un environnement DNS plus tolérant envers les pannes.

Vous souhaitez étendre l’espace de noms en ajoutant de nombreux sous-domaines à la fois, par exemple en cas d’ouverture d’une nouvelle succursale ou d’un nouveau site.

Si, pour l’une des ces raisons, vous pouvez tirer parti de la délégation de zones, il peut être judicieux de restructurer votre espace de noms en ajoutant des zones supplémentaires. Lorsque vous décidez de la manière de structurer les zones, utilisez un plan qui reflète la structure de votre organisation.

Lorsque vous déléguez des zones dans votre espace de noms, souvenez-vous que pour chaque nouvelle zone que vous créez, vous devrez avoir des enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS de référence pour la nouvelle zone. Cela est nécessaire à la fois pour transférer l’autorité et pour fournir une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de référence pour la nouvelle zone.

31

Lorsqu’une zone principale standard est initialement créée, toutes les informations sur les enregistrements de ressources sont stockées en tant que fichier texte sur un seul serveur DNS. Ce serveur joue le rôle de maître principal pour la zone. Les informations de zone peuvent être répliquées sur d’autres serveurs DNS afin d’améliorer la tolérance de pannes et les performances des serveurs.

Lorsque vous structurez vos zones, il existe plusieurs bonnes raisons d’utiliser des serveurs DNS supplémentaires pour la réplication de zone :

Les serveurs DNS ajoutés apportent une redondance de zone, ce qui permet de résoudre les noms DNS de la zone pour les clients si un serveur principal pour la zone cesse de répondre.

Les serveurs DNS ajoutés peuvent être placés de façon à réduire le trafic réseau DNS. Par exemple, l’ajout d’un serveur DNS du côté opposé d’une liaison de réseau étendu à faible vitesse peut être utile pour la gestion et la réduction du trafic réseau.

Les serveurs secondaires supplémentaires peuvent contribuer à la réduction des charges sur un serveur principal pour une zone.

Exemple : délégation d’un sous-domaine à une nouvelle zone

Comme l’indique l’illustration suivante, lorsqu’une nouvelle zone pour un sous-domaine (example.microsoft.com) est créée, la délégation depuis la zone parente (microsoft.com) est nécessaire.

Dans cet exemple, un ordinateur serveur DNS de référence pour le sous-domaine example.microsoft.com nouvellement délégué est nommé sur la base d’un sous-domaine dérivé inclus dans la nouvelle zone (ns1.na.example.microsoft.com). Pour faire en sorte que

32

ce serveur soit connu des autres serveurs en dehors de la nouvelle zone déléguée, deux enregistrements de ressources sont nécessaires dans la zone microsoft.com afin d’achever le processus de délégation vers la nouvelle zone.

Il s’agit des enregistrements de ressources suivants :

Un enregistrement de serveur de noms (NS) pour rendre la délégation effective. Cet enregistrement de ressource annonce que le serveur nommé ns1.na.example.microsoft.com est un serveur de référence pour le sous-domaine délégué.

Un enregistrement de ressource hôte (A ou AAAA) (également appelé enregistrement de type glue) est nécessaire afin de résoudre le nom du serveur spécifié dans l’enregistrement de ressource de serveur de noms par son adresse IP. Le processus consistant à résoudre le nom de l’hôte dans cet enregistrement de ressource par le serveur DNS délégué dans l’enregistrement de serveur de noms est parfois appelé « recherche d’enregistrements de type glue ».

Créer une délégation de zoneCe

Vous pouvez diviser votre espace de noms de domaine DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez déléguer la gestion d’une partie de votre espace de noms à un autre emplacement ou service de votre organisation en déléguant la gestion de la zone correspondante. Pour plus d’informations, voir Présentation de la délégation de zone.

Lorsque vous déléguez une zone, souvenez-vous que pour chaque zone que vous créez, vous devrez avoir des enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS de référence pour la nouvelle zone. Cela est nécessaire à la fois pour transférer l’autorité et pour fournir une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de référence pour la nouvelle zone.


Création d’une délégation de zone



Pour créer une délégation de zone à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.

33


2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le sous-domaine applicable, puis cliquez sur Nouvelle délégation.

3. Suivez les instructions de l’Assistant Nouvelle délégation pour terminer la création du nouveau domaine délégué.



Tous les domaines (et sous-domaines) qui apparaissent comme faisant partie de la délégation de zone applicable doivent être créés dans la zone actuelle avant que la délégation décrite ici ne soit effectuée. Le cas échéant, utilisez le Gestionnaire DNS pour ajouter d’abord les domaines à la zone, avant d’effectuer cette procédure.

Pour créer une délégation de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<FQDN>}



<NomServeur>

Obligatoire. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/RecordAddObligatoire. Spécifie la commande permettant d’ajouter un enregistrement de ressource.

<NomZone>Obligatoire. Spécifie le nom de domaine complet de la zone.

<NomNœud> Obligatoire. Spécifie le nom de domaine complet du nœud dans l’espace de noms DNS pour lequel

34

l’enregistrement de source de noms (SOA) est ajouté. Vous pouvez également taper le nom du nœud relativement au NomZone ou @, qui spécifie le nœud racine de la zone.

/Aging

Si cette commande est utilisée, cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si elle n’est pas utilisée, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.

/OpenAcl

Spécifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramètre, seuls les administrateurs peuvent modifier le nouvel enregistrement.

<Ttl>

Spécifie le paramètre de durée de vie (TTL) pour l’enregistrement de ressource. (La durée de vie par défaut est définie dans l’enregistrement de source de noms (SOA)).

NSObligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) à la zone spécifiée dans NomZone.

<NomHôte>|<NomDomaineComplet>Obligatoire. Spécifie le nom d’hôte ou nom de domaine complet du nouveau serveur de référence.


dnscmd /RecordAdd /help



Liste de vérification : stocker des données dans une partition d’application AD DSVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une

35

partition de l’annuaire d’applications est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Lorsque vous stockez une zone DNS dans une partition de l’annuaire d’applications, vous pouvez contrôler l’étendue de la réplication de zone en contrôlant l’étendue de réplication de la partition de l’annuaire d’applications. Pour qu’une zone soit stockée dans la partition de l’annuaire d’applications spécifiée, le serveur DNS hébergeant la zone doit être inscrit dans la partition de l’annuaire d’applications spécifiée. Par défaut, chaque serveur DNS intégré aux services de domaine Active Directory maintient des inscriptions pour lui-même dans les partitions de l’annuaire d’applications DomainDnsZones et ForestDnsZones appropriées.

Tâche Référence

Lire les informations relatives à l’intégration aux services de domaine Active Directory.


Lire les informations relatives à la réplication de zone.

Présentation de la réplication de zone DNS dans les services de domaine Active Directory

Créer une partition d’annuaire d’applications.Créer une partition d’annuaire d’applications DNS

Inscrire des contrôleurs de domaine supplémentaires dans la partition de l’annuaire d’applications.

Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS

Configurer l’étendue de réplication des zones à l’étendue de la partition de l’annuaire d’applications.

Modifier l’étendue de réplication de zone

Liste de vérification : stocker des données dans une partition d’application AD DSVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une partition de l’annuaire d’applications est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Lorsque vous stockez une zone DNS dans une partition de l’annuaire d’applications, vous pouvez contrôler l’étendue de la réplication de zone en contrôlant l’étendue de réplication de la partition de l’annuaire d’applications. Pour qu’une zone soit stockée dans la partition de l’annuaire d’applications spécifiée, le serveur DNS hébergeant la zone doit être inscrit dans la partition de l’annuaire d’applications spécifiée. Par défaut, chaque serveur DNS intégré aux services de domaine Active Directory maintient des inscriptions pour lui-même dans les partitions de l’annuaire d’applications DomainDnsZones et ForestDnsZones appropriées.

36











Tâche Référence

Lire les informations relatives à l’intégration aux services de domaine Active Directory.


Lire les informations relatives à la réplication de zone.

Présentation de la réplication de zone DNS dans les services de domaine Active Directory

Créer une partition d’annuaire d’applications.Créer une partition d’annuaire d’applications DNS

Inscrire des contrôleurs de domaine supplémentaires dans la partition de l’annuaire d’applications.

Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS

Configurer l’étendue de réplication des zones à l’étendue de la partition de l’annuaire d’applications.




37





















Avec le stockage intégré à l’annuaire, les mises à jour dynamiques de DNS sont envoyées à tout serveur DNS intégré aux services de domaine Active Directory et sont répliquées à tous les autres serveurs DNS intégrés aux services de domaine Active Directory par le biais de la réplication AD DS. Dans ce modèle, tout serveur DNS intégré aux services de domaine Active Directory peut accepter des mises à jour dynamiques pour la zone. La copie maître de la zone étant conservée dans la base de données AD DS, qui est entièrement répliquée vers tous les contrôleurs de domaine, la

38

zone peut être mise à jour par les serveurs DNS opérant sur tout contrôleur de domaine pour le domaine. Avec le modèle de mise à jour multimaître des services de domaine Active Directory, n’importe lequel des serveurs DNS principaux pour la zone intégrée à l’annuaire peut traiter les demandes de mise à jour de la zone émises par les clients DNS, tant qu’un contrôleur de domaine est disponible et accessible sur le réseau.








Le traitement de la réplication AD DS étant effectué sur la base de chaque propriété,

39

seules les modifications pertinentes sont propagées. Une quantité inférieure de données est utilisée et soumise dans les mises à jour pour les zones intégrées à l’annuaire.

Seules les zones principales peuvent être stockées dans l’annuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans l’annuaire. Il doit les stocker dans des fichiers texte standard. Le modèle de réplication multimaître des services de domaine Active Directory élimine la nécessité d’avoir des zones secondaires lorsque toutes les zones sont stockées dans les services de domaine Active Directory.

Présentation de la réplication de zone DNS dans les services de domaine Active DirectoryVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Pour plus d’informations, voir Présentation de l’intégration aux services de domaine Active Directory.

Le tableau suivant décrit les étendues de réplication de zone disponibles pour les données de zones DNS intégrées aux services de domaine Active Directory.

Étendue de réplication de Description

40


zone

Tous les serveurs DNS de la forêt qui sont des contrôleurs de domaine exécutant Windows Server 2003 ou Windows Server 2008

Réplique les données de zone sur tous les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 exécutant le service Serveur DNS dans la forêt AD DS. Cette option réplique les données de zone dans la partition ForestDNSZones. Elle procure par conséquent l’étendue de réplication la plus large.

Tous les serveurs DNS du domaine qui sont des contrôleurs de domaine exécutant Windows Server 2003 ou Windows Server 2008

Réplique les données de zone sur tous les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 exécutant le service Serveur DNS dans le domaine Active Directory. Cette option réplique les données de zone dans la partition DomainDNSZone. Il s’agit du paramètre par défaut pour la réplication de zone DNS dans Windows Server 2003 et Windows Server 2008.

Tous les contrôleurs de domaine dans le domaine Active Directory

Réplique les données de zone sur tous les contrôleurs de domaine dans le domaine Active Directory. Si vous souhaitez que des serveurs DNS Windows 2000 chargent une zone intégrée à Active Directory, vous devez spécifier cette étendue pour cette zone.

Tous les contrôleurs de domaine dans une partition d’annuaire d’applications spécifiée

Réplique les données de zone en fonction de l’étendue de réplication de la partition d’annuaire d’applications spécifiée. Pour qu’une zone soit stockée dans la partition de l’annuaire d’applications spécifiée, le serveur DNS hébergeant la zone doit être inscrit dans la partition de l’annuaire d’applications spécifiée. Utilisez cette étendue uniquement lorsque vous souhaitez que les données de zone soient répliquées sur les contrôleurs de domaine dans plusieurs domaines mais pas dans toute la forêt. Pour plus d’informations, voir Créer une partition d’annuaire d’applications DNS et Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS.

Lorsque vous décidez de l’étendue de réplication à utiliser, sachez que plus l’étendue de réplication sera large, plus le trafic réseau engendré par la réplication sera élevé. Par exemple, si vous décidez de répliquer des données de zones DNS intégrées aux services de domaine Active Directory sur tous les serveurs DNS de la forêt, le trafic réseau sera plus important que si vous répliquez les données de zones sur tous les serveurs DNS d’un domaine AD DS unique dans cette forêt.

Les données de zones DNS intégrées aux services de domaine Active Directory qui sont stockées dans une partition d’annuaire d’applications ne sont pas répliquées dans le catalogue global de la forêt. Le contrôleur de domaine qui contient le catalogue global peut également héberger des partitions d’annuaire d’applications, mais il ne répliquera pas ces données dans son catalogue global.

Des données de zones DNS intégrées aux services de domaine Active Directory qui sont stockées dans une partition de domaine sont répliquées sur tous les contrôleurs de domaine de

41





leur domaine AD DS et une partie de ces données sont stockées dans le catalogue global. Ce paramètre est destiné à la prise en charge de Windows 2000.

Si l’étendue de réplication d’une partition d’annuaire d’applications couvre plusieurs sites AD DS, la réplication aura lieu avec la même planification de réplication intersite que celle utilisée pour les données de partition de domaine.

Par défaut, le service Ouverture de session réseau inscrit les enregistrements de ressources DNS du localisateur de contrôleurs de domaine pour les partitions d’annuaire d’applications qui sont hébergées sur un contrôleur de domaine de la même manière qu’il inscrit ceux de la partition de domaine hébergée sur un contrôleur de domaine.

Créer une partition d’annuaire d’applications DNSVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Lorsque vous créez une partition d’annuaire d’applications pour DNS, vous pouvez contrôler l’étendue de la réplication pour la zone stockée dans cette partition. Pour plus d’informations, voir Présentation de l’intégration aux services de domaine Active Directory.

42


Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs de l’entreprise.

Pour créer une partition d’annuaire d’applications DNS


dnscmd <ServerName> /CreateDirectoryPartition <FQDN>



<NomServeur>


/CreateDirectoryPartition Obligatoire. Crée une partition d’annuaire d’applications DNS.

<NomDomaineComplet> Obligatoire. Spécifie le nom de la nouvelle partition d’annuaire d’applications DNS. Vous devez utiliser un nom de domaine complet DNS.


dnscmd /CreateDirectoryPartition /?

Considérations supplémentaires Pour ouvrir une fenêtre d'invite de commandes, cliquez sur Démarrer, pointez sur

Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.

Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNSAprès avoir créé une partition de l’annuaire d’applications DNS (Domain Name System) pour stocker une zone, vous devez enrôler le serveur DNS qui héberge la zone dans la partition de l’annuaire d’applications. Pour plus d’informations, voir Présentation de la réplication de zone DNS dans les services de domaine Active Directory.

43



Pour effectuer cette procédure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine, ou à un compte équivalent.

Pour enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS


dnscmd <ServerName> /EnlistDirectoryPartition <FQDN>

Valeur Description


<NomServeur>


/EnlistDirectoryPartition Obligatoire. Enrôle un serveur DNS dans une partition de l’annuaire d’applications DNS.

<NomDomaineComplet> Obligatoire. Spécifie le nom de domaine complet de la partition de l’annuaire d’applications DNS.


dnscmd /EnlistDirectoryPartition /?




44

Vous pouvez appliquer la procédure suivante pour modifier l’étendue de réplication d’une zone. Il est possible de modifier l’étendue de réplication uniquement pour les zones de recherche avancée de stub et principales intégrées aux services de domaine Active Directory (AD DS). Vous ne pouvez pas modifier l’étendue de réplication des zones de recherche avancée secondaires.


Modification de l’étendue de réplication de zone



Pour modifier l’étendue de réplication à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone applicable,

puis cliquez sur Propriétés.

3. Sous l’onglet Général, notez le type de réplication de zone actuel, puis cliquez sur Modifier.

4. Sélectionnez une étendue de réplication pour la zone.



Pour modifier l’étendue de réplication à l’aide de la ligne de commande

À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

dnscmd <ServerName> /ZoneChangeDirectoryPartition <ZoneName> <NewPartitionName>



<NomServeur>

Obligatoire. Spécifie le nom d’hôte DNS (Domain Name System) du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

45

/ZoneChangeDirectoryPartitionObligatoire. Modifie l’étendue de réplication d’une zone.

<NomZone> Obligatoire. Spécifie le nom de domaine complet de la zone.

<NomNouvellePartition> Obligatoire. Nom de domaine complet de la partition d’annuaire d’applications où la zone sera stockée.

46

Liste de vérification : utiliser des redirecteursL’utilisation d’un redirecteur vous permet de gérer la résolution de noms pour les noms qui se trouvent en dehors de votre réseau, tels que les noms Internet ou les noms dans d’autres forêts ou domaines.

Tâche Référence

En savoir plus sur les redirecteurs. Présentation des redirecteurs

Planifier la façon dont vous déploierez les redirecteurs dans votre réseau.

Utilisation de redirecteurs

Configurer le pare-feu utilisé par votre réseau de façon à autoriser un seul serveur DNS (Domain Name System) à communiquer avec Internet.

Configurer d’autres serveurs de sorte qu’ils utilisent ce serveur DNS comme redirecteur.

Configurer un serveur DNS de façon à utiliser des redirecteurs

Présentation des redirecteursUn redirecteur est un serveur DNS (Domain Name System) sur un réseau qui transfère des requêtes DNS pour des noms DNS externes vers des serveurs DNS situés à l’extérieur de ce réseau. Vous pouvez également transférer les requêtes sur la base de noms de domaine spécifiques au moyen de redirecteurs conditionnels.

Vous désignez un serveur DNS sur un réseau comme redirecteur en configurant les autres serveurs DNS du réseau de sorte qu’ils transfèrent à ce serveur DNS les requêtes qu’ils ne peuvent pas résoudre localement. L’utilisation d’un redirecteur vous permet de gérer la résolution des noms externes à votre réseau, tels que les noms Internet, et d’améliorer l’efficacité de la résolution de noms pour les ordinateurs de votre réseau. Pour plus d’informations sur les redirecteurs et les redirecteurs conditionnels, voir Utilisation de redirecteurs.

La figure suivante illustre la façon dont les requêtes de noms externes sont dirigées avec des redirecteurs.

47







Lorsque vous désignez un serveur DNS comme redirecteur, vous le rendez responsable de la gestion du trafic externe, ce qui limite l’exposition du serveur DNS à Internet. Un redirecteur entraîne l’existence d’un grand cache d’informations DNS externes car toutes les requêtes DNS externes sur le réseau sont résolues par son intermédiaire. En peu de temps, un redirecteur résout un grand nombre de requêtes DNS externes à l’aide de ces données mises en cache. Cela réduit le trafic Internet sur le réseau et le temps de réponse pour les clients DNS.

Un serveur DNS configuré pour utiliser un redirecteur se comporte différemment d’un serveur DNS non configuré pour utiliser un redirecteur. Le comportement d’un serveur DNS configuré pour utiliser un redirecteur est le suivant :

1. Lorsque le serveur DNS reçoit une requête, il tente de la résoudre au moyen des zones qu’il héberge et à l’aide de son cache.

2. Si la requête ne peut pas être résolue à l’aide des données locales, le serveur DNS la transfère au serveur DNS désigné comme redirecteur.

3. Si aucun redirecteur n’est disponible, le serveur DNS tente d’utiliser ses indications de racine pour résoudre la requête.

Lorsqu’un serveur DNS transfère une requête à un redirecteur, il envoie une requête récursive au redirecteur. Celle-ci diffère de la requête itérative envoyée par un serveur DNS à un autre serveur DNS durant une résolution de noms standard (qui n’implique pas de redirecteur).


Un redirecteur conditionnel est un serveur DNS sur un réseau qui transfère des requêtes DNS en fonction du nom de domaine DNS mentionné dans la requête. Par exemple, vous pouvez configurer un serveur DNS de façon à transférer toutes les requêtes qu’il reçoit pour des noms se terminant par corp.contoso.com à l’adresse IP d’un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.

48

Résolution de noms Internet

Les serveurs DNS peuvent utiliser des redirecteurs conditionnels pour résoudre des requêtes entre les noms de domaine DNS de sociétés qui partagent des informations. Par exemple, deux sociétés, Wingtip Toys et Tailspin Toys, souhaitent améliorer la manière dont les clients DNS de Wingtip Toys résolvent les noms des clients DNS de Tailspin Toys. Les administrateurs de Tailspin Toys informent les administrateurs de Wingtip Toys à propos de l’ensemble de serveurs DNS sur le réseau Tailspin Toys où Wingtip Toys peut envoyer les requêtes pour le domaine dolls.tailspintoys.com. Les serveurs DNS du réseau Wingtip Toys sont configurés pour transférer toutes les requêtes pour les noms se terminant par dolls.tailspintoys.com aux serveurs DNS désignés dans le réseau Tailspin Toys. En conséquence, les serveurs DNS du réseau Wingtip Toys ne sont pas contraints d’interroger leurs serveurs racines internes (ni les serveurs racines Internet) pour résoudre les requêtes de noms se terminant par dolls.tailspintoys.com.





49




Les redirecteurs conditionnels sont des serveurs DNS qui transfèrent des requêtes en fonction des noms de domaine. Plutôt que d’avoir un serveur DNS qui transfère à un redirecteur toutes les requêtes qu’il ne peut résoudre localement, vous pouvez configurer les serveurs DNS de façon à transférer les requêtes vers différents redirecteurs en fonction des noms de domaine spécifiques contenus dans les requêtes. Le transfert sur la base des noms de domaine améliore le transfert conventionnel en ajoutant une condition basée sur le nom au processus de transfert.





50



Important Un serveur DNS ne peut pas transférer de requêtes pour les noms de domaine compris dans les zones qu’il héberge. Par exemple, le serveur DNS de référence pour la zone widgets.tailspintoys.com ne peut pas transférer de requêtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de référence pour widgets.tailspintoys.com peut transférer des requêtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est délégué à un autre serveur DNS.





présente la correspondance la plus étroite avec la requête de nom de domaine.

51


4. Le serveur DNS transfère la requête au serveur DNS avec l’adresse IP 172.31.255.255, qui est associé à widgets.tailspintoys.com.

52









Où ?







53


















54












La commande /ZoneAdd ajoute la zone spécifiée par le paramètre NomZone. Le paramètre AdresseIP est l’adresse IP à laquelle le serveur DNS transfèrera les requêtes DNS non solubles. Le paramètre /Slave définit le serveur DNS comme serveur subordonné. Le paramètre /NoSlave (valeur par défaut) définit le serveur DNS comme serveur non subordonné, ce qui signifie qu’il effectuera la récursivité. Les paramètres /Timeout et Durée sont décrits dans le tableau précédent.




55





Liste de vérification : supprimer automatiquement les enregistrements de ressources obsolètes

56

Les fonctionnalités d’antériorité et de nettoyage procurent un mécanisme de suppression des enregistrements de ressources obsolètes. Ces enregistrements de ressources peuvent s’accumuler dans les données de zone DNS (Domain Name System) au fil du temps lorsque des ordinateurs quittent le réseau de manière définitive. Par exemple, si un ordinateur inscrit son enregistrement de ressource hôte au démarrage et qu’il est ultérieurement déconnecté du réseau, son enregistrement de ressource hôte peut ne pas être supprimé. Si votre réseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se présenter fréquemment.

Tâche Référence

Lire les informations relatives à l’antériorité et au nettoyage.

Présentation de l’antériorité et du nettoyage

Activer et configurer l’antériorité et le nettoyage pour le serveur DNS.

Définir les propriétés d’antériorité et de nettoyage du serveur DNS

Activer et configurer l’antériorité et le nettoyage pour les zones.

Définir les propriétés d’antériorité et de nettoyage pour une zone

Configurer l’antériorité et le nettoyage pour les différents enregistrements de ressources.

Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié


57









Le service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps.

Avec la mise à jour dynamique, les enregistrements de ressources sont ajoutés automatiquement aux zones lorsque les ordinateurs démarrent sur le réseau. Toutefois, dans certains cas ils ne sont pas supprimés automatiquement lorsque les ordinateurs quittent le réseau. Par exemple, si un ordinateur inscrit son propre enregistrement de ressource hôte au démarrage et qu’il est ultérieurement déconnecté du réseau de manière incorrecte, son enregistrement de ressource hôte peut ne pas être supprimé. Si votre réseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se présenter fréquemment.

Si vous ne vous en occupez pas, la présence d’enregistrements de ressources obsolètes dans les données de zone peut provoquer des problèmes :

Si un grand nombre d’enregistrements de ressources obsolètes demeurent dans des zones, ils peuvent finir par prendre beaucoup d’espace sur le disque du serveur et entraîner de longs délais de transfert de zone.

Les serveurs DNS (Domain Name System) qui chargent des zones contenant des enregistrements de ressources obsolètes risquent d’utiliser des informations obsolètes pour répondre à des demandes de clients, auquel cas ces derniers peuvent rencontrer des problèmes de résolution de noms sur le réseau.

L’accumulation d’enregistrements de ressources obsolètes sur le serveur DNS peut entraîner une dégradation de ses performances et de sa capacité de réponse.

Dans certains cas, la présence d’un enregistrement de ressource obsolète dans une zone peut empêcher un nom de domaine DNS d’être utilisé par un autre ordinateur ou périphérique hôte.

Pour résoudre ces problèmes, le service Serveur DNS propose les fonctionnalités suivantes :

Enregistrement des informations de date, sur la base de la date et de l’heure actuelles définies sur l’ordinateur serveur, pour tout enregistrement de ressource ajouté de manière dynamique aux zones de type principal. En outre, des horodatages sont enregistrés dans les zones principales standard où l’antériorité et le nettoyage sont activés.

Pour les enregistrements de ressources que vous ajoutez manuellement, une valeur d’horodatage de zéro est utilisée pour indiquer que ces enregistrements ne sont pas affectés par le processus d’antériorité et qu’ils peuvent demeurer dans les données de zone de manière illimitée, à moins que vous ne modifiiez leur horodatage ou que vous ne les supprimiez.

Antériorité des enregistrements de ressources dans les données locales, sur la base d’une période d’actualisation spécifiée, pour toute zone éligible.

Seules les zones de type principal qui sont chargées par le service Serveur DNS peuvent participer à ce processus.

58

Nettoyage de tous les enregistrements de ressources qui persistent au-delà de la période d’actualisation spécifiée.

Lorsqu’un serveur DNS effectue une opération de nettoyage, il peut déterminer que les enregistrements de ressources ont « vieilli » au point de devenir obsolètes et doivent être supprimés des données de zone. Vous pouvez configurer les serveurs de façon à effectuer des opérations de nettoyage automatiques récurrentes ou vous pouvez initier une opération de nettoyage immédiate sur le serveur.

Pour plus d’informations, voir Activer le nettoyage automatique des enregistrements de ressources obsolètes ou Commencer le nettoyage immédiat des enregistrements de ressources obsolètes.

Attention Par défaut, le mécanisme d’antériorité et de nettoyage du service Serveur DNS est désactivé. Il doit être activé uniquement lorsque tous les paramètres sont bien compris. Autrement, le serveur peut être accidentellement configuré de façon à supprimer des enregistrements qui ne devraient pas l’être. En cas de suppression accidentelle d’un enregistrement, non seulement les utilisateurs ne pourront résoudre les requêtes pour cet enregistrement, mais tout utilisateur pourra créer un enregistrement et en devenir propriétaire, même dans les zones configurées pour la mise à jour dynamique sécurisée.

Un serveur utilise le contenu de chaque horodatage spécifique à l’enregistrement de ressource, ainsi que d’autres propriétés d’antériorité et de nettoyage que vous pouvez ajuster ou configurer, afin de déterminer quand il doit nettoyer les enregistrements.

Conditions préalables pour l’antériorité et le nettoyage

Pour que vous puissiez utiliser les fonctionnalités d’antériorité et de nettoyage de DNS, plusieurs conditions doivent être remplies :

1. Le nettoyage et l’antériorité doivent être activés sur le serveur DNS et dans la zone.

Par défaut, l’antériorité et le nettoyage des enregistrements de ressources sont désactivés.

2. Les enregistrements de ressources doivent être ajoutés de manière dynamique aux zones ou modifiés manuellement pour être utilisés dans les opérations d’antériorité et de nettoyage.

En général, seuls les enregistrements de ressources ajoutés de manière dynamique à l’aide du protocole de mise à jour dynamique DNS sont soumis à l’antériorité et au nettoyage.

Vous pouvez toutefois activer le nettoyage pour d’autres enregistrements de ressources ajoutés de façon non dynamique. Pour les enregistrements ajoutés à des zones de cette manière, soit en chargeant un fichier texte de zone à partir d’un autre serveur DNS, soit en les ajoutant manuellement à une zone, un horodatage de zéro est défini. Cela rend ces enregistrements inéligibles pour une utilisation dans les opérations d’antériorité et de nettoyage.

59





Pour modifier ce comportement par défaut, vous pouvez administrer ces enregistrements individuellement afin de les réinitialiser et leur permettre d’utiliser une valeur d’horodatage actuelle (différente de zéro). Ces enregistrements pourront alors être soumis à l’antériorité et au nettoyage.

Pour plus d’informations, voir Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié.

Remarques En cas de changement d’une zone principale standard en zone intégrée à Active Directory, vous souhaiterez peut-être activer le nettoyage de tous les enregistrements de ressources existants dans la zone. Pour activer l’antériorité pour tous les enregistrements de ressources dans une zone, vous pouvez utiliser la commande AgeAllRecords, accessible par le biais de l’outil en ligne de commande dnscmd.

Terminologie relative à l’antériorité et au nettoyage

Le tableau suivant contient des termes nouveaux ou révisés ayant été introduits afin de faciliter la discussion de l’antériorité et du nettoyage.

Terme Description

Horodatage d’enregistrement de ressource

Valeur de date et heure utilisée par le serveur DNS pour déterminer la suppression de l’enregistrement de ressource lorsqu’il effectue des opérations d’antériorité et de nettoyage.

Heure actuelle du serveur

Date et heure actuelles sur le serveur DNS. Ce nombre peut être exprimé sous la forme d’une valeur numérique exacte à tout moment.

Intervalle de non-actualisation

Intervalle de temps, déterminé pour chaque zone, tel que limité par les deux événements suivants :

1. La date et l’heure de dernière actualisation de l’enregistrement et de dernière définition de son horodatage.

2. Les prochaines date et heure auxquelles l’enregistrement deviendra éligible pour l’actualisation et auxquelles son horodatage sera réinitialisé.

Cette valeur est nécessaire afin de réduire le nombre d’opérations d’écriture dans la base de données Active Directory. Par défaut, cet intervalle est de sept jours. Il ne doit pas être augmenté jusqu’à une valeur déraisonnable, car les avantages offerts par la fonctionnalité d’antériorité et de nettoyage seraient alors éliminés ou réduits.

Intervalle d’actualisation

Intervalle de temps, déterminé pour chaque zone, tel que limité par les deux événements distincts suivants :

1. Les date et heure les plus proches auxquelles l’enregistrement

60



deviendra éligible pour l’actualisation et auxquelles son horodatage sera réinitialisé.

2. Les date et heure les plus proches auxquelles l’enregistrement deviendra éligible pour le nettoyage et la suppression de la base de données de zone.

Cette valeur doit être suffisamment élevée pour permettre à tous les clients d’actualiser leurs enregistrements. Par défaut, cet intervalle est de sept jours. Il ne doit pas être augmenté jusqu’à une valeur déraisonnable, car les avantages offerts par la fonctionnalité d’antériorité et de nettoyage seraient alors éliminés ou réduits.

Heure de début de nettoyage

Heure spécifique, exprimée sous la forme d’un nombre. Cette heure est utilisée par le serveur pour déterminer quand une zone devient éligible pour le nettoyage.

Période de nettoyage

Lorsque le nettoyage automatique est activé sur le serveur, cette période représente le temps écoulé entre les répétitions du processus de nettoyage automatisé. La valeur par défaut pour ce paramètre est de sept jours. Pour empêcher toute dégradation des performances du serveur DNS, la valeur minimale autorisée est d’une heure.

Actualisation d’enregistrement

Moment auquel une mise à jour dynamique DNS est traitée pour un enregistrement de ressource lorsque seul l’horodatage d’enregistrement de ressource, et aucune autre caractéristique de l’enregistrement, est révisé.

Les actualisations ont généralement lieu pour les raisons suivantes :

1. Lorsqu’un ordinateur est redémarré sur le réseau et que, à son démarrage, les informations concernant son nom et son adresse IP sont cohérentes avec celles qu’il a utilisées avant de s’arrêter, il envoie une actualisation afin de renouveler ses enregistrements de ressources associés pour ces informations.

2. Une actualisation périodique est envoyée par l’ordinateur durant son exécution.

Le service Client DNS Windows renouvelle l’inscription DNS des enregistrements de ressources client toutes les 24 heures. Lorsque cette mise à jour dynamique a lieu, si la demande de mise à jour dynamique n’entraîne aucune modification de la base de données DNS, on considère qu’il s’agit d’une actualisation et non d’une mise à jour d’enregistrement de ressource.

3. D’autres services réseau effectuent des tentatives d’actualisation, par exemple les serveurs DHCP, qui renouvellent les baux d’adresses client, les serveurs de cluster, qui inscrivent et mettent à jour les enregistrements pour un cluster, et le service Ouverture

61

de session réseau, qui peut inscrire et mettre à jour des enregistrements de ressources utilisés par des contrôleurs de domaine Active Directory.

Mise à jour d’enregistrement

Moment durant lequel une mise à jour dynamique DNS est traitée pour un enregistrement de ressource pour lequel d’autres caractéristiques de l’enregistrement, en plus de l’horodatage, sont révisées.

Les mises à jour ont généralement lieu pour les raisons suivantes :

1. Lorsqu’un nouvel ordinateur est ajouté au réseau et que, au démarrage, il envoie une mise à jour afin d’inscrire pour la première fois ses enregistrements de ressources dans sa zone configurée.

2. Lorsqu’un ordinateur avec des enregistrements existants dans la zone subit un changement d’adresse IP, provoquant l’envoi de mises à jour pour ses mappages nom-à-adresse modifiés dans les données de zone DNS.

3. Lorsque le service Ouverture de session réseau inscrit un nouveau contrôleur de domaine Active Directory.

Serveurs de nettoyage

Paramètre de zone avancé facultatif qui vous permet de spécifier une liste restreinte d’adresses IP pour les serveurs DNS autorisés à effectuer le nettoyage de la zone.

Par défaut, si ce paramètre n’est pas spécifié, tous les serveurs DNS qui chargent une zone intégrée à l’annuaire (également activés pour le nettoyage) tentent d’effectuer le nettoyage de la zone. Dans certains cas, ce paramètre peut être utile s’il est préférable d’effectuer le nettoyage uniquement sur certains serveurs chargeant la zone intégrée à l’annuaire.

Pour définir ce paramètre, vous devez spécifier la liste d’adresses IP pour les serveurs autorisés à nettoyer la zone dans le paramètre ZoneResetScavengeServers de la zone. Cette opération peut s’effectuer à l’aide de la commande dnscmd, un outil en ligne de commande permettant d’administrer les serveurs DNS Windows.

Quand le nettoyage peut-il commencer ?

Une fois que toutes les conditions préalables à l’activation du nettoyage sont réunies, celui-ci peut commencer pour une zone de serveur lorsque l’heure actuelle du serveur est ultérieure à la valeur de l’heure de début de nettoyage pour la zone.

Le serveur définit la valeur temporelle du démarrage du nettoyage en fonction de chaque zone lorsque l’un des événements suivants se produit :

Les mises à jour dynamiques sont activées pour la zone.

62

Une modification de l’état de la case à cocher Nettoyer les enregistrements de ressources obsolètes est appliquée. Vous pouvez utiliser le Gestionnaire DNS pour modifier ce paramètre sur un serveur DNS applicable ou l’une de ses zones principales.

Le serveur DNS charge une zone principale qui est activée pour utiliser le nettoyage.

Cela peut se produire lorsque l’ordinateur serveur ou le service Serveur DNS est démarré.

Lorsqu’une zone est remise en service après avoir été suspendue. Si la zone est intégrée aux services de domaine Active Directory (AD DS) , la

réplication pour la zone doit avoir eu lieu au moins une fois depuis le redémarrage du service DNS ou le réamorçage du contrôleur de domaine. Lorsque les événements précédents se produisent, le serveur DNS définit la valeur de l’heure de début de nettoyage en calculant la somme suivante :

heure actuelle du serveur + intervalle d’actualisation = heure de début de nettoyage

Cette valeur est utilisée comme base pour la comparaison durant les opérations de nettoyage.

Exemple : processus d’antériorité et de nettoyage pour un exemple d’enregistrement

Pour comprendre le processus d’antériorité et de nettoyage sur le serveur, considérez la durée de vie et les phases successives d’un enregistrement de ressource unique à mesure qu’il est ajouté à un serveur et à une zone où ce processus est en vigueur, puis considéré comme « vieilli », et enfin supprimé de la base de données.

1. Un exemple d’hôte DNS, « host-a.example.microsoft.com », inscrit son enregistrement de ressource hôte (A) sur le serveur DNS pour une zone où l’antériorité et le nettoyage sont activés.

2. Lors de l’inscription de l’enregistrement, le serveur DNS place un horodatage sur cet enregistrement en fonction de l’heure actuelle du serveur.

Une fois l’horodatage d’enregistrement écrit, le serveur DNS n’accepte aucune actualisation pour cet enregistrement pendant toute la durée de l’intervalle de non-actualisation de la zone. Il peut toutefois accepter les mises à jour avant la fin de cet intervalle. Par exemple, si l’adresse IP pour « host-a.example.microsoft.com » change, le serveur DNS peut accepter la mise à jour. Dans ce cas, le serveur met à jour (réinitialise) également l’horodatage d’enregistrement.

3. Dès l’expiration de la période de non-actualisation, le serveur commence à accepter les tentatives d’actualisation de cet enregistrement.

Lorsque la période initiale de non-actualisation se termine, la période d’actualisation commence immédiatement pour l’enregistrement. Durant ce temps-là, le serveur n’empêche pas les tentatives d’actualisation de l’enregistrement pendant le reste de sa durée de vie.

4. Durant et après la période d’actualisation, si le serveur reçoit une actualisation pour l’enregistrement, il la traite.

63

Cela réinitialise l’horodatage de l’enregistrement selon la méthode décrite à l’étape 2.5. Lorsque le nettoyage ultérieur est effectué par le serveur pour la zone

« example.microsoft.com », l’enregistrement (et tous les autres enregistrements de la zone) est examiné par le serveur.

Chaque enregistrement est comparé à l’heure actuelle du serveur sur la base de la somme suivante afin de déterminer s’il doit être supprimé :

horodatage de l’enregistrement + Intervalle de non-actualisation pour la zone + Intervalle d’actualisation pour la zone

o Si la valeur de cette somme est supérieure à l’heure actuelle du serveur, aucune action n’est effectuée et l’enregistrement continue de vieillir dans la zone.

o Si la valeur de cette somme est inférieure à l’heure actuelle du serveur, l’enregistrement est supprimé de toute donnée de zone actuellement chargée dans la mémoire du serveur et également de la banque d’objets DnsZone applicable dans les services de domaine Active Directory (AD DS) pour la zone « example.microsoft.com » intégrée à l’annuaire.

Définir les propriétés d’antériorité et de nettoyage du serveur DNSLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour définir les propriétés d’antériorité et de nettoyage par défaut pour les zones sur un serveur.


Définition des propriétés d’antériorité et de nettoyage du serveur DNS



Pour définir les propriétés d’antériorité et de nettoyage du serveur DNS à l’aide de l’interface Windows


64

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Définir le vieillissement/nettoyage pour toutes les zones.

3. Activez la case à cocher Nettoyer les enregistrements de ressources obsolètes.

4. Modifiez d’autres propriétés d’antériorité et de nettoyage selon vos besoins.



Les propriétés d’antériorité et de nettoyage configurées à l’aide de cette procédure deviennent des propriétés par défaut qui s’appliquent uniquement aux zones intégrées aux services de domaine Active Directory. Pour les zones principales standard, vous devez définir les propriétés appropriées au niveau de la zone concernée.

Lorsque vous appliquez les modifications apportées aux paramètres d’antériorité et de nettoyage du serveur, le Gestionnaire DNS vous invite à confirmer les modifications. Vous avez alors la possibilité d’appliquer vos modifications aux nouvelles zones intégrées aux services de domaine Active Directory uniquement. Si nécessaire, vous pouvez appliquer également vos modifications aux zones intégrées aux services de domaine Active Directory existantes.

Que la case à cocher Nettoyer les enregistrements de ressources obsolètes soit activée ou non (comme décrit à l’étape 3), pour les zones principales standard, cette fonctionnalité est désactivée à moins qu’elle ne soit activée manuellement au niveau de la zone applicable.

Pour définir les propriétés d’antériorité et de nettoyage du serveur DNS à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {/ScavengingInterval <Value>|/DefaultAgingState <Value>|/DefaultNoRefreshInterval <Value>|/DefaultRefreshInterval <Value>}


dnscmd Outil en ligne de commande pour la gestion des serveurs DNS.

<NomServeur>


/Config Obligatoire. Configure le serveur spécifié.

65

/ScavengingInterval Obligatoire. Définit la fréquence à laquelle le serveur effectuera le nettoyage pour toutes les zones activées à cet effet.

/DefaultAgingState Obligatoire. Définit la configuration d’antériorité par défaut pour toutes les zones sur le serveur.

/DefaultNoRefreshInterval Obligatoire. Définit l’intervalle de non-actualisation par défaut pour les zones activées pour le nettoyage.

/DefaultRefreshInterval Définit l’intervalle d’actualisation par défaut pour les zones activées pour le nettoyage.

<Valeur>

Pour /ScavengingInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine). Pour /DefaultAgingState, tapez 1 pour activer l’antériorité pour les nouvelles zones lorsqu’elles sont créées. Tapez 0 pour désactiver l’antériorité pour les nouvelles zones. Pour /DefaultNoRefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine). Pour /DefaultRefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine).


dnscmd /Config /help

66

Définir les propriétés d’antériorité et de nettoyage pour une zoneLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour définir les propriétés d’antériorité et de nettoyage pour une zone spécifique.


Définition des propriétés d’antériorité et de nettoyage pour une zone



Pour définir les propriétés d’antériorité et de nettoyage pour une zone à l’aide de l’interface Windows



3. Sous l’onglet Général, cliquez sur Vieillissement.





Pour définir les propriétés d’antériorité et de nettoyage pour une zone à l’aide d’une ligne de commande

67


dnscmd <ServerName> /Config <ZoneName> {/Aging <Value>|/RefreshInterval <Value>|/NoRefreshInterval <Value>}



<NomServeur>


/Config Obligatoire. Indique que la commande configure la zone spécifiée.

<NomZone>Obligatoire. Spécifie le nom de la zone pour laquelle vous souhaitez définir les propriétés d’antériorité et de nettoyage.

/Aging Obligatoire. Active l’antériorité pour des zones.

/RefreshInterval Obligatoire. Spécifie l’intervalle d’actualisation pour une zone activée pour le nettoyage.

/NoRefreshInterval Obligatoire. Spécifie l’intervalle de non-actualisation pour une zone activée pour le nettoyage.

<Valeur>

Obligatoire. Pour /Aging, tapez 1 pour activer l’antériorité. Tapez 0 pour désactiver l’antériorité. Pour /RefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 heures (une semaine). Pour /NoRefreshInterval, tapez une valeur en secondes. Le paramètre standard est 3600 (une heure).



68

Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifiéLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour modifier la façon dont un enregistrement de ressource spécifique est nettoyé.


Réinitialisation des propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié



Pour réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez sur la zone applicable.

3. Dans le volet d’informations, double-cliquez sur l’enregistrement de ressource pour lequel vous souhaitez réinitialiser les propriétés d’antériorité et de nettoyage.

4. Effectuez l’une des opérations suivantes, selon la manière dont l’enregistrement de ressource a été initialement ajouté à la zone :

o Si l’enregistrement a été ajouté de manière dynamique à l’aide de la fonctionnalité de mise à jour dynamique, désactivez la case à cocher Supprimer cet enregistrement lorsqu’il deviendra périmé afin d’empêcher son vieillissement ou sa suppression éventuelle durant le processus de nettoyage. Si les mises à jour dynamiques de cet enregistrement continuent de se produire, le serveur DNS (Domain Name System) réinitialisera toujours cette case à cocher de sorte que l’enregistrement mis à jour de façon dynamique puisse être supprimé.

o Si l’enregistrement a été ajouté de manière statique, activez la case à cocher Supprimer cet enregistrement lorsqu’il deviendra périmé afin d’autoriser

69

son vieillissement ou sa suppression éventuelle durant le processus de nettoyage.



Cette procédure est nécessaire uniquement pour les enregistrements de ressources inscrits de manière dynamique. Pour les enregistrements que vous ajoutez manuellement à une zone, une valeur d’horodatage de zéro s’applique toujours à l’enregistrement, ce qui l’exclut du processus de nettoyage.

Les propriétés d’antériorité et de nettoyage des enregistrements de serveur de noms (NS) et de source de noms (SOA) sont réinitialisées dans les propriétés de la zone, et non dans celles de l’enregistrement de ressource.

Pour réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /ScavengingInterval <Value>



<NomServeur>


/Config Obligatoire. Configure la zone spécifiée.

<NomZone>|..AllZones

Obligatoire. Spécifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hébergées sur le serveur DNS spécifié de façon à autoriser les mises à jour dynamiques, tapez ..AllZones.

/ScavengingInterval Obligatoire. Définit l’intervalle de nettoyage.

<Valeur> Obligatoire. Nouvelle valeur de l’intervalle de nettoyage, spécifiée en heures. La valeur par défaut est 168 (une semaine).

70



Liste de vérification : créer un enregistrement alias (CNAME)Avec les enregistrements de ressources alias (CNAME), vous pouvez utiliser plusieurs noms pour pointer vers un seul ordinateur. Vous pouvez par exemple utiliser un enregistrement de ressource alias (CNAME) de sorte qu’un serveur nommé webserver.contoso.com soit également connu sous le nom www.contoso.com.

Tâche Référence

En savoir plus sur les enregistrements de ressources alias (CNAME).

Ajout d’enregistrements de ressources

Ajouter des enregistrements de ressources alias (CNAME) selon les besoins.

Ajouter un enregistrement de ressource alias (CNAME) à une zone

Ajout d’enregistrements de ressourcesAprès avoir créé une zone, vous devez y ajouter des enregistrements de ressources supplémentaires. Les enregistrements de ressources les plus courants à ajouter sont les suivants :

Enregistrements de ressources hôte (A) : pour le mappage d’un nom de domaine DNS (Domain Name System) à une adresse IP utilisée par un ordinateur.

Enregistrements de ressources alias (CNAME) : pour le mappage d’un alias de nom de domaine DNS à un autre nom canonique ou principal.

71




Enregistrements de serveur de messagerie (MX) : pour le mappage d’un nom de domaine DNS au nom d’un ordinateur qui échange ou transfère du courrier.

Enregistrements de ressources pointeur (PTR) : pour le mappage d’un nom de domaine DNS inversé basé sur l’adresse IP d’un ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur.

Enregistrements de ressources Emplacement du service (SRV) : pour le mappage d’un nom de domaine DNS à une liste spécifiée d’ordinateurs hôtes DNS qui offrent un type spécifique de service, tels que des contrôleurs de domaine Active Directory.

Autres enregistrements de ressources selon les besoins.

Enregistrements de ressources hôte (A)

Vous utilisez des enregistrements de ressources hôte (A) dans une zone afin d’associer des noms de domaine DNS d’ordinateurs (ou hôtes) à leurs adresses IP. Vous pouvez les ajouter à une zone de plusieurs manières :

Vous pouvez créer manuellement un enregistrement de ressource hôte (A) pour un ordinateur client TCP/IP statique à l’aide du Gestionnaire DNS.

Les clients et serveurs Windows utilisent le service Client DHCP pour inscrire et mettre à jour de manière dynamique leurs propres enregistrements de ressources hôte (A) dans DNS lorsqu’une modification de configuration IP a lieu.

Les ordinateurs clients DHCP (Dynamic Host Configuration Protocol) exécutant des versions antérieures de systèmes d’exploitation Microsoft peuvent inscrire et mettre à jour leurs enregistrements de ressources hôte (A) par proxy s’ils reçoivent leur bail IP d’un serveur DHCP qualifié. (Seul le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 prend en charge cette fonctionnalité.)

Les enregistrements de ressources hôte (A) ne sont pas nécessaires sur tous les ordinateurs, mais ils le sont sur ceux qui partagent des ressources réseau. Tout ordinateur qui partage des ressources et qui doit être identifié par son nom de domaine DNS doit utiliser des enregistrements de ressources hôte (A) pour fournir la résolution de noms DNS à l’adresse IP de l’ordinateur.

La plupart des enregistrements de ressources hôte (A) requis dans une zone peuvent inclure d’autres stations de travail ou serveurs qui partagent des ressources, d’autres serveurs Web, serveurs de messagerie et serveurs Web. Ces enregistrements de ressources composent la plus grande partie des enregistrements de ressources dans une base de données de zone.

Enregistrements de ressources alias (CNAME)

Les enregistrements de ressources alias (CNAME) sont parfois appelés enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un même hôte, ce qui facilite certaines tâches telles que l’hébergement d’un serveur FTP (File Transfer Protocol) et d’un serveur Web sur le même ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits à l’aide d’enregistrements de ressources alias (CNAME) mappés au nom d’hôte DNS (tel que server-1) pour l’ordinateur serveur qui héberge ces services.

72

Nous recommandons l’utilisation d’enregistrements de ressources alias (CNAME) pour les scénarios suivants :

Lorsqu’un hôte spécifié dans un enregistrement de ressource hôte (A) dans la même zone doit être renommé.

Lorsqu’un nom générique pour un serveur bien connu, tel que www, doit être résolu à un groupe d’ordinateurs (chacun avec des enregistrements de ressources hôte (A) individuels) qui procurent le même service, par exemple dans un groupe de serveurs Web redondants.

Lorsque vous renommez un ordinateur avec un enregistrement de ressource hôte (A) existant dans la zone, vous pouvez utiliser un enregistrement de ressource alias (CNAME) de manière temporaire afin de permettre aux utilisateurs et aux programmes d’effectuer la transition de l’ancien nom d’ordinateur au nouveau, de la façon suivante :

Pour le nouveau nom de domaine DNS de l’ordinateur, ajoutez un nouvel enregistrement de ressource hôte (A) à la zone.

Pour l’ancien nom de domaine DNS, ajoutez un enregistrement de ressource alias (CNAME) qui pointe vers le nouvel enregistrement de ressource hôte (A).

Supprimez de la zone l’enregistrement de ressource hôte (A) d’origine pour l’ancien nom de domaine DNS (et son enregistrement de ressource pointeur (PTR) le cas échéant).

Lorsque vous utilisez un enregistrement de ressource alias (CNAME) pour attribuer un alias ou renommer un ordinateur, définissez une limite temporelle pour l’utilisation de cet enregistrement dans la zone avant qu’il ne soit supprimé de DNS. Si vous oubliez de supprimer l’enregistrement de ressource alias (CNAME) et que son enregistrement de ressource hôte (A) est supprimé ultérieurement, l’enregistrement de ressource alias (CNAME) peut utiliser inutilement des ressources de serveur en essayant de résoudre des requêtes pour un nom qui n’est plus utilisé sur le réseau.

L’utilisation la plus courante des enregistrements de ressources alias (CNAME) consiste à fournir un nom de domaine DNS à alias permanent pour la résolution de noms générique d’un nom basé sur service, tel que www.tailspintoys.com, à plusieurs ordinateurs ou adresses IP sur un serveur Web. L’exemple suivant indique la syntaxe de base d’un enregistrement de ressource alias (CNAME) :

nom_alias IN CNAME nom_canonique_principal

Dans cet exemple, un ordinateur nommé host-a.tailspintoys.com fonctionne comme serveur Web nommé www.tailspintoys.com. et comme serveur FTP nommé ftp.tailspintoys.com. Pour nommer cet ordinateur comme vous le souhaitez, vous pouvez ajouter les entrées CNAME suivantes dans la zone tailspintoys.com :

host-a IN A 10.0.0.20ftp IN CNAME host-awww IN CNAME host-a

73

Si plus tard vous décidez de déplacer le serveur FTP vers un autre ordinateur (séparé du serveur Web sur host-a), il vous suffit de modifier l’enregistrement de ressource alias (CNAME) dans la zone pour ftp.tailspintoys.com et d’ajouter un enregistrement de ressource hôte (A) supplémentaire à la zone pour le nouvel ordinateur hébergeant le serveur FTP.

Reprenons l’exemple précédent : si le nouvel ordinateur se nomme host-b.tailspintoys.com, les enregistrements de ressources hôte (A) et alias (CNAME) nouveaux et révisés seront les suivants :

host-a IN A 10.0.0.20host-b IN A 10.0.0.21ftp IN CNAME host-bwww IN CNAME host-a

Enregistrements de serveur de messagerie (MX)

Les applications de messagerie utilisent l’enregistrement de serveur de messagerie (MX) pour trouver un serveur de messagerie sur la base d’un nom de domaine DNS spécifié dans l’adresse de destination d’un message électronique. Par exemple, une requête DNS pour le nom example.tailspintoys.com peut être utilisée pour trouver un enregistrement de serveur de messagerie (MX), ce qui permet à une application de messagerie de transférer ou d’échanger du courrier à un utilisateur avec l’adresse [email protected].

L’enregistrement de serveur de messagerie (MX) indique le nom de domaine DNS du ou des ordinateurs qui traitent le courrier pour un domaine. S’il existe plusieurs enregistrements de serveur de messagerie (MX), le service Client DNS tente de contacter les serveurs de messagerie selon l’ordre de priorité, de la valeur la plus basse (priorité la plus élevée) à la valeur la plus élevée (priorité la plus faible). L’exemple suivant indique la syntaxe de base d’un enregistrement de serveur de messagerie (MX) :

nom_domaine_messagerie IN MX préférencehôte_serveur_messagerie

Si l’on prend les enregistrements de serveur de messagerie (MX) de l’exemple suivant pour la zone tailspintoys.com, le courrier adressé à [email protected] est remis tout d’abord à [email protected], dans la mesure du possible. Si ce serveur n’est pas disponible, le client de résolution peut alors utiliser [email protected].

@ IN MX 1 mailserver0@ IN MX 2 mailserver1

Notez que l’utilisation du signe arobase (@) dans les enregistrements indique que le nom de domaine DNS du service de messagerie est identique au nom d’origine (tailspintoys.com) pour la zone.

74

Enregistrements de ressources pointeur (PTR)

Les enregistrements de ressources pointeur (PTR) prennent en charge le processus de recherche inversée, en fonction des zones créées et enracinées dans le domaine in-addr.arpa. Ces enregistrements localisent un ordinateur par son adresse IP et résolvent ces informations au nom de domaine DNS de cet ordinateur.

Vous pouvez ajouter des enregistrements de ressources pointeur (PTR) à une zone de plusieurs manières :

Vous pouvez créer manuellement un enregistrement de ressource pointeur (PTR) pour un ordinateur client TCP/IP statique qui utilise DNS, soit en tant que procédure distincte, soit dans le cadre de la procédure de création d’un enregistrement de ressource hôte (A).

Les ordinateurs utilisent le service Client DHCP pour inscrire et mettre à jour de manière dynamique leur enregistrement de ressource pointeur (PTR) dans DNS lorsqu’une modification de configuration IP a lieu.

Tous les autres clients DHCP (Dynamic Host Configuration Protocol) peuvent faire inscrire et mettre à jour leurs enregistrements de ressources pointeur (PTR) par le serveur DHCP s’ils reçoivent leur bail IP d’un serveur qualifié. Le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 fournit cette capacité.)

L’enregistrement de ressource pointeur (PTR) est utilisé uniquement dans les zones de recherche inversée pour prendre en charge la recherche inversée.

Enregistrements de ressources Emplacement du service (SRV)

Les enregistrements de ressources Emplacement du service (SRV) sont nécessaires pour la localisation des contrôleurs de domaine Active Directory. En général, vous pouvez éviter d’administrer manuellement les enregistrements de ressources Emplacement du service (SRV) lorsque vous installez les services de domaine Active Directory (AD DS).

Par défaut, l’Assistant Installation des services de domaine Active Directory tente de trouver un serveur DNS d’après la liste des serveurs DNS préférés ou secondaires, qui sont configurés dans ses propriétés de client TCP/IP, pour chacune de ses connexions réseau actives. Si un serveur DNS qui peut accepter la mise à jour dynamique de l’enregistrement de ressource Emplacement du service (SRV) est contacté, le processus de configuration est terminé. (Cela est également vrai pour les autres enregistrements de ressources liés à l’inscription des services de domaine Active Directory dans DNS.)

Si, durant l’installation, aucun serveur DNS capable d’accepter les mises à jour pour le nom de domaine DNS utilisé pour nommer votre répertoire n’est détecté, l’Assistant peut installer un serveur DNS localement et le configurer automatiquement avec une zone prenant en charge le domaine Active Directory.

75

Par exemple, si le domaine Active Directory que vous choisissez pour votre premier domaine dans la forêt est example.tailspintoys.com, vous pouvez ajouter et configurer une zone enracinée au nom de domaine DNS example.tailspintoys.com à utiliser avec le serveur DNS qui s’exécute sur le nouveau contrôleur de domaine.

Dans l’avenir, l’enregistrement de ressource Emplacement du service (SRV) pourra également être utilisé pour inscrire et rechercher d’autres services TCP/IP bien connus sur votre réseau si les applications implémentent et prennent en charge les requêtes de noms DNS qui spécifient ce type d’enregistrement.

Autres enregistrements de ressources

D’autres enregistrements de ressources sont pris en charge par DNS Windows Server 2008 et utilisés moins fréquemment dans la plupart des zones. Vous pouvez ajouter ces types d’enregistrements de ressources supplémentaires si nécessaire avec le Gestionnaire DNS.

Ajouter un enregistrement de ressource alias (CNAME) à une zoneLes enregistrements de ressources alias (CNAME) sont parfois appelés enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un même hôte, ce qui facilite certaines tâches telles que l’hébergement d’un serveur FTP (File Transfer Protocol) et d’un serveur Web sur le même ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits à l’aide d’enregistrements de ressources alias (CNAME) mappés au nom d’hôte DNS (Domain Name System), tel que server-1, pour l’ordinateur serveur qui héberge ces services.


Ajout d’un enregistrement de ressource alias (CNAME) à une zone



Pour ajouter un enregistrement de ressource alias (CNAME) à une zone à l’aide de l’interface Windows


76

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone de recherche directe applicable, puis cliquez sur Nouvel alias.

3. Dans Nom de l’alias, tapez le nom de l’alias.

4. Dans Nom de domaine pleinement qualifié (FQDN) pour l’hôte de destination, tapez le nom de domaine complet de l’ordinateur hôte DNS pour lequel cet alias doit être utilisé.

Si vous le souhaitez, vous pouvez cliquer sur Parcourir pour rechercher dans l’espace de noms DNS des hôtes de ce domaine pour lesquels des enregistrements de ressources hôte (A) sont déjà définis.

5. Cliquez sur OK pour ajouter le nouvel enregistrement à la zone.



Pour ajouter un enregistrement de ressource alias (CNAME) à une zone à l’aide d’une ligne de commande


dnscmd <NomServeur>/RecordAdd <NomZone> <NomNœud> [/Aging] [/OpenAcl] [<Ttl>] CNAME <NomHôte>|<NomDomaine>



<NomServeur>


/RecordAdd Obligatoire. Ajoute un nouvel enregistrement de ressource.

<NomZone> Obligatoire. Spécifie le nom de la zone où cet enregistrement de ressource alias (CNAME) sera ajouté.

<NomNœud>

Obligatoire. Spécifie le nom de domaine complet du nœud dans l’espace de noms DNS. Vous pouvez également taper le nom du nœud relativement au NomZone ou @, qui spécifie le nœud racine de la zone.

77

/Aging

Spécifie que cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si ce paramètre n’est pas utilisé, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.

/OpenAcl Spécifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramètre, seuls les administrateurs peuvent modifier le nouvel enregistrement.

<Ttl> Spécifie le paramètre de durée de vie (TTL) pour l’enregistrement de ressource. (La durée de vie par défaut est définie dans l’enregistrement de source de noms (SOA).)

CNAME Obligatoire. Spécifie le type d’enregistrement de ressource de l’enregistrement que vous ajoutez.

<NomHôte>|<NomDomaine>

Obligatoire. Spécifie le nom de domaine complet de tout nom de domaine ou hôte DNS valide dans l’espace de noms. Pour les noms de domaine complets, un point final (.) est utilisé pour qualifier pleinement le nom.



78

Liste de vérification : sécuriser votre serveur DNSIl est important de s’assurer que votre infrastructure DNS (Domain Name System) est protégée contre les agressions de l’extérieur (ou même de l’intérieur) de votre organisation, en particulier dans le cas des serveurs DNS tournés vers Internet. Vous pouvez configurer votre serveur DNS, lorsqu’il est intégré aux services de domaine Active Directory (AD DS), de façon à utiliser des mises à jour dynamiques sécurisées afin de prévenir toute modification non autorisée des données DNS. Vous pouvez prendre des mesures supplémentaires afin de réduire le risque de compromis de l’intégrité de votre infrastructure DNS suite à une agression.

Tâche Référence

Déterminer les menaces pour la sécurité DNS les plus pertinentes à votre environnement et déterminer le niveau de sécurité requis.

Informations de sécurité pour DNS

Pour aider à empêcher tout utilisateur extérieur à votre société d’obtenir des informations réseau internes, utilisez des serveurs DNS distincts pour la résolution des noms internes et Internet. Votre espace de noms DNS interne doit être hébergé sur des serveurs DNS situés derrière un pare-feu pour votre réseau. Votre présence DNS

Présentation des redirecteurs;

Utilisation de redirecteurs

79







externe (Internet) doit être gérée par un serveur DNS situé dans un réseau de périmètre. Pour fournir la résolution de noms Internet aux hôtes internes, vous pouvez faire en sorte que vos serveurs DNS internes utilisent un redirecteur afin d’envoyer les requêtes externes à votre serveur DNS externe. Configurez votre pare-feu et votre routeur externe de façon à autoriser le trafic DNS entre vos serveurs DNS internes et externes uniquement.

Pour les serveurs DNS de votre réseau qui sont exposés à Internet, si le transfert de zone doit être activé, limitez les transferts de zone DNS soit aux serveurs DNS identifiés dans la zone par des enregistrements de serveur de noms (NS), soit à des serveurs DNS spécifiques sur votre réseau.

Modifier les paramètres de transfert de zone

Si le serveur exécutant le service Serveur DNS est un ordinateur multirésident, limitez le service Serveur DNS de sorte qu’il écoute uniquement l’adresse IP de l’interface utilisée par ses clients DNS et serveurs DNS internes. Un serveur jouant le rôle de serveur proxy peut, par exemple, posséder deux cartes réseau, une pour l’intranet et l’autre pour Internet. Si ce serveur exécute également le service Serveur DNS, vous pouvez configurer le service de sorte qu’il écoute le trafic DNS uniquement sur l’adresse IP utilisée par la carte réseau intranet.

Configuration de serveurs multirésidents;

Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées

Assurez-vous que les options de serveur par défaut qui sécurisent les caches de tous les serveurs DNS contre la pollution de noms n’ont pas été modifiées. La pollution de noms se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité.

Sécuriser le cache de serveur contre la pollution des noms

Autorisez uniquement les mises à jour dynamiques sécurisées pour toutes les zones DNS. Cela garantit que seuls les utilisateurs authentifiés peuvent soumettre des mises à jour DNS au moyen d’une méthode sécurisée, ce qui contribue à prévenir le détournement d’adresses IP d’hôtes approuvés par un agresseur.

Présentation de la mise à jour dynamique;

Autoriser uniquement les mises à jour dynamiques

Désactivez la récursivité sur les serveurs DNS qui ne répondent pas aux clients DNS directement et qui ne sont pas configurés avec des redirecteurs. Un serveur DNS requiert la récursivité uniquement s’il répond à des requêtes récursives envoyées par des clients DNS ou s’il est configuré avec un redirecteur. Les serveurs DNS utilisent des requêtes itératives pour communiquer.

Désactiver la récursivité sur le serveur DNS

Si vous avez un espace de noms DNS interne privé, configurez les indications de racine sur vos serveurs DNS internes de sorte qu’elles pointent uniquement vers les serveurs DNS qui hébergent votre domaine racine interne, et non vers ceux qui hébergent le domaine racine Internet.

Mise à jour des indications de racine;

Mettre à jour des indications de racine sur le serveur DNS

80






















Si le serveur exécutant le service Serveur DNS est un contrôleur de domaine, utilisez des listes de contrôle d’accès Active Directory afin de sécuriser le contrôle d’accès au service Serveur DNS.

Modifier la sécurité du service Serveur DNS sur un contrôleur de domaine

Utilisez uniquement des zones DNS intégrées aux services de domaine Active Directory. Les zones DNS stockées dans AD DS peuvent tirer parti des fonctionnalités de sécurité d’Active Directory, telles que la mise à jour dynamique sécurisée et la capacité à appliquer des paramètres de sécurité AD DS à des serveurs DNS, des zones et des enregistrements de ressources.

Si une zone DNS n’est pas stockée dans AD DS, sécurisez le fichier de zone DNS en modifiant les autorisations sur le fichier de zone DNS ou sur le dossier dans lequel les fichiers de zone sont stockés. Les autorisations de dossier ou de fichier de zone doivent être configurées afin d’accorder le Contrôle total uniquement au groupe Système. Par défaut, les fichiers de zone sont stockés dans le dossier %systemroot%\System32\Dns.

Présentation de l’intégration aux services de domaine Active Directory;

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory

Informations de sécurité pour DNSDNS (Domain Name System) a été conçu à l’origine en tant que protocole ouvert. Il est par conséquent vulnérable aux attaques. DNS Windows Server 2008 aide à améliorer votre capacité à prévenir toute attaque sur votre infrastructure DNS grâce à l’ajout de fonctionnalités de sécurité. Avant de décider des fonctionnalités de sécurité à utiliser, vous devez vous familiariser avec les menaces courantes envers la sécurité DNS et le niveau de sécurité DNS dans votre organisation.

Menaces pour la sécurité DNS

Voici les manières les plus courantes dont votre infrastructure DNS peut être menacée par des agresseurs :

Footprinting : processus par lequel des données de zone DNS sont obtenues par un agresseur en vue d’obtenir les noms de domaine, noms d’ordinateurs DNS et adresses IP de ressources réseau confidentielles. Un agresseur commence en général une attaque en utilisant ces données DNS pour « schématiser » un réseau. Les noms de

81










domaine et d’ordinateurs DNS indiquent en général la fonction ou l’emplacement d’un domaine ou d’un ordinateur afin d’aider les utilisateurs à mémoriser et à identifier plus facilement les domaines et les ordinateurs. Un agresseur tire parti du même principe pour connaître la fonction ou l’emplacement des domaines et des ordinateurs du réseau.

Attaque par déni de service : tentative par un agresseur de suppression de la disponibilité de services réseau en inondant un ou plusieurs serveurs DNS du réseau à l’aide de requêtes récursives. Lorsqu’un serveur DNS est inondé de requêtes, son utilisation de processeurs finit par atteindre la capacité maximale et le service Serveur DNS devient indisponible. Sans serveur DNS totalement opérationnel sur le réseau, les services réseau qui utilisent DNS deviennent indisponibles pour les utilisateurs réseau.

Modification de données : tentative par un agresseur (ayant « schématisé » un réseau à l’aide de DNS) d’utiliser des adresses IP valides dans des paquets IP qu’il a lui-même créés, ce qui donne l’apparence que ces paquets proviennent d’une adresse IP valide sur le réseau. Cette approche porte parfois le nom d’emprunt d’adresse IP. Avec une adresse IP valide (adresse IP comprise dans la plage d’adresses IP d’un sous-réseau), l’agresseur peut accéder au réseau et détruire des données ou mener d’autres attaques.

Redirection : un agresseur redirige des requêtes de noms DNS vers des serveurs sous son contrôle. Une méthode de redirection consiste à tenter de polluer le cache DNS d’un serveur DNS avec des données DNS erronées qui peuvent diriger les requêtes ultérieures vers des serveurs contrôlés par l’agresseur. Par exemple, si une requête est effectuée initialement pour widgets.tailspintoys.com et qu’une réponse de référence fournit un enregistrement pour un nom en dehors du domaine tailspintoys.com, tel que malicious-user.com, le serveur DNS utilise les données mises en cache pour malicious-user.com pour résoudre une requête pour ce nom. Les agresseurs peuvent effectuer des opérations de redirection lorsqu’ils disposent d’un accès en écriture à des données DNS, par exemple lorsque les mises à jour dynamiques ne sont pas sécurisées.

Atténuation des menaces pour la sécurité DNS

DNS peut être configuré pour atténuer ces menaces courantes pour la sécurité DNS. Le tableau suivant répertorie cinq domaines principaux sur lesquels vous devez axer vos efforts en matière de sécurité DNS.

Zone de sécurité

DNS Description

Espace de noms DNS

Incorporez la sécurité DNS à la conception de votre espace de noms DNS. Pour plus d’informations, voirSécurisation du déploiement DNS.

Service Serveur DNS

Examinez les paramètres de sécurité par défaut du service Serveur DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation du service Serveur DNS.

82



Zones DNS

Examinez les paramètres de sécurité par défaut des zones DNS et appliquez les mises à jour dynamiques sécurisées et les fonctionnalités de sécurité Active Directory lorsque la zone DNS est hébergée sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des zones DNS.

Enregistrements de ressources DNS

Examinez les paramètres de sécurité par défaut des enregistrements de ressources DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque les enregistrements de ressources DNS sont hébergés sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des enregistrements de ressources DNS.

Clients DNSContrôlez les adresses IP de serveur DNS utilisées par les clients DNS. Pour plus d’informations, voir Sécurisation des clients DNS.

Trois niveaux de sécurité DNS

Les sections suivantes décrivent les trois niveaux de sécurité DNS.

Sécurité de faible niveau

La sécurité de faible niveau est un déploiement DNS standard sans aucune précaution de sécurité configurée. Déployez ce niveau de sécurité DNS uniquement dans les environnements réseau où il n’y a aucun risque pour l’intégrité de vos données DNS ou sur un réseau privé où il n’y a aucune menace de connectivité externe. La sécurité DNS de faible niveau possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation est totalement exposée à Internet.

La résolution DNS standard est effectuée par tous les serveurs DNS du réseau. Tous les serveurs DNS sont configurés avec des indications de racine pointant vers les

serveurs racines pour Internet. Tous les serveurs DNS autorisent les transferts de zone vers tout serveur. Tous les serveurs DNS sont configurés de façon à écouter toutes leurs adresses IP. La prévention de pollution du cache est désactivée sur tous les serveurs DNS. La mise à jour dynamique est autorisée pour toutes les zones DNS. Le port UDP (User Datagram Protocol) et TCP/IP 53 est ouvert sur le pare-feu du

réseau pour les adresses sources et de destination.

Sécurité de niveau intermédiaire

La sécurité de niveau intermédiaire utilise les fonctionnalités de sécurité DNS disponibles sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker de zones DNS dans les services de domaine Active Directory (AD DS). La sécurité DNS de niveau intermédiaire possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation est exposée à Internet de manière limitée.

83





Tous les serveurs DNS sont configurés de façon à utiliser des redirecteurs qui pointent vers une liste spécifique de serveurs DNS internes lorsqu’ils ne peuvent pas résoudre les noms localement.

Tous les serveurs DNS limitent les transferts de zone aux serveurs répertoriés dans les enregistrements de ressources de serveur de noms (NS) dans leurs zones.

Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées. La prévention de pollution du cache est activée sur tous les serveurs DNS. La mise à jour dynamique non sécurisée n’est autorisée pour aucune zone DNS. Les serveurs DNS internes communiquent avec les serveurs DNS externes par le biais

du pare-feu avec une liste limitée d’adresses sources et de destination autorisées. Les serveurs DNS externes placés devant le pare-feu sont configurés avec des

indications de racine pointant vers les serveurs racines pour Internet. Toute la résolution de noms Internet est effectuée à l’aide de serveurs proxy et de

passerelles.

Sécurité de niveau élevé

La sécurité de niveau élevé utilise la même configuration que la sécurité de niveau intermédiaire. Elle utilise également les fonctionnalités de sécurité disponibles lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine et que les zones DNS sont stockées dans les services de domaine Active Directory. En outre, la sécurité de niveau élevé élimine complètement la communication DNS avec Internet. Il ne s’agit pas d’une configuration par défaut, mais elle est recommandée chaque fois que la connectivité Internet n’est pas requise. La sécurité DNS de niveau élevé possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation n’a aucune communication Internet par le biais des serveurs DNS internes.

Le réseau utilise un espace de noms et une racine DNS internes, dans laquelle toute l’autorité pour les zones DNS est interne.

Les serveurs DNS configurés avec des redirecteurs utilisent uniquement des adresses IP de serveurs DNS internes.

Tous les serveurs DNS limitent les transferts de zone aux adresses IP spécifiées. Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées. La prévention de pollution du cache est activée sur tous les serveurs DNS. Les serveurs DNS internes sont configurés avec des indications de racine pointant vers

les serveurs DNS internes qui hébergent la zone racine pour l’espace de noms interne. Tous les serveurs DNS s’exécutent sur des contrôleurs de domaine. Une liste de

contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) est configurée sur le service Serveur DNS afin d’autoriser uniquement des utilisateurs spécifiques à effectuer des tâches d’administration sur le serveur DNS.

Toutes les zones DNS sont stockées dans les services de domaine Active Directory. Une liste DACL est configurée de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des zones DNS.

Des listes DACL sont configurées sur des enregistrements de ressources DNS de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des données DNS.

La mise à jour dynamique sécurisée est configurée pour les zones DNS (hormis pour les zones racines et de niveau supérieur, qui n’autorisent aucune mise à jour dynamique).

84

Sécurisation du déploiement DNSSécurisation du déploiement DNS

Lorsque vous concevez votre déploiement de serveur DNS (Domain Name System), respectez les directives de sécurité DNS suivantes :

Si vos hôtes réseau ne doivent pas résoudre de noms sur Internet, éliminez la communication DNS avec Internet.

Dans cette conception DNS, vous pouvez utiliser un espace de noms DNS privé hébergé entièrement sur votre réseau. L’espace de noms DNS privé est distribué de la même façon que l’espace de noms DNS Internet, avec vos serveurs DNS internes hébergeant des zones pour le domaine racine et les domaines de niveau supérieur.

Fractionnez l’espace de noms DNS de votre organisation entre des serveurs DNS internes placés derrière le pare-feu et des serveurs DNS externes placés devant le pare-feu.

Dans cette conception DNS, votre espace de noms DNS interne est un sous-domaine de votre espace de noms DNS externe. Par exemple, si l’espace de noms DNS Internet de votre organisation est tailspintoys.com, l’espace de noms DNS interne de votre réseau est corp.tailspintoys.com.

Hébergez votre espace de noms DNS interne sur des serveurs DNS internes et hébergez votre espace de noms DNS externe sur des serveurs DNS externes exposés à Internet.

Pour résoudre les requêtes de noms externes effectuées par des hôtes internes, les serveurs DNS internes dans cette conception DNS transfèrent les requêtes de noms externes aux serveurs DNS externes. Les hôtes externes utilisent uniquement les serveurs DNS externes pour la résolution des noms Internet.

Configurez votre pare-feu de filtrage de paquets de façon à autoriser uniquement la communication UDP et TCP sur le port 53 entre votre serveur DNS externe et un serveur DNS interne.

85

Cette conception DNS facilite la communication entre les serveurs DNS internes et externes et empêche tout autre ordinateur externe d’accéder à votre espace de noms DNS interne.

Sécurisation du service Serveur DNSPour aider à sécuriser les serveurs DNS (Domain Name System) de votre réseau, appliquez les directives suivantes.

Examinez et configurez les paramètres par défaut du service Serveur DNS qui affectent la sécurité

Les options de configuration suivantes du service Serveur DNS ont des implications pour la sécurité du service Serveur DNS standard et intégré à Active Directory.

Paramètre par

défaut Description

Interfaces

Par défaut, un service Serveur DNS qui s’exécute sur un ordinateur multirésident est configuré de façon à écouter les requêtes DNS avec toutes ses adresses IP. Limitez les adresses IP écoutées par le service Serveur DNS à celle utilisée par ses clients DNS comme adresse de serveur DNS préféré.

Pour plus d’informations, voir Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées.

Sécuriser le cache contre la pollution

Par défaut, le service Serveur DNS est sécurisé contre la pollution du cache, qui se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité. L’option Sécuriser le cache contre la pollution aide à empêcher un agresseur de polluer le cache d’un serveur DNS avec des enregistrements de ressources qui n’ont pas été demandés par le serveur DNS. La modification de ce paramètre par défaut réduit l’intégrité des réponses fournies par le service Serveur DNS.

Pour plus d’informations, voir Sécuriser le cache de serveur contre la pollution des noms.

Désactiver la Par défaut, la récursivité n’est pas désactivée pour le service Serveur DNS. Cela permet au serveur DNS d’effectuer des requêtes récursives pour le

86





récursivité

compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes de clients DNS. La récursivité peut être utilisée par des agresseurs à des fins de déni de service Serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursivité doit être désactivée.

Pour plus d’informations, voir Désactiver la récursivité sur le serveur DNS.

Indications de racine

Si vous avez une racine DNS interne dans votre infrastructure DNS, configurez les indications de racine des serveurs DNS internes de sorte qu’elles pointent uniquement vers les serveurs DNS qui hébergent votre domaine racine, et non vers ceux qui hébergent le domaine racine Internet. Cela empêche vos serveurs DNS internes d’envoyer des informations privées sur Internet lorsqu’ils résolvent des noms.

Pour plus d’informations, voir Mettre à jour des indications de racine sur le serveur DNS et Mise à jour des indications de racine.

Gérez la liste DACL sur les serveurs DNS exécutés sur des contrôleurs de domaine

Outre les paramètres par défaut de service Serveur DNS déjà décrits et affectant la sécurité, les serveurs DNS qui sont configurés comme contrôleurs de domaine utilisent une liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Vous pouvez utiliser la liste DACL pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui contrôlent le service Serveur DNS.

Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour le service Serveur DNS lorsqu’il s’exécute sur un contrôleur de domaine.

Noms d’utilisateurs ou de groupes Autorisations

AdministrateursAutoriser : Lecture, Écriture, Créer tous les objets enfants, Autorisations spéciales

Créateur propriétaire Autorisations spéciales

DnsAdminsAutoriser : Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales

Administrateurs du domaineAutoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants

Administrateurs de l’entrepriseAutoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants

Contrôleurs de domaine Enterprise Autoriser : Autorisations spéciales

87





Accès compatible avec les versions antérieures de Windows 2000

Autoriser : Autorisations spéciales

SystèmeAutoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants

Lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine, vous pouvez gérer sa liste DACL à l’aide de l’objet Active Directory MicrosoftDNS. Configurer la liste DACL sur l’objet MicrosoftDNS revient à configurer la liste DACL sur le serveur DNS dans le Gestionnaire DNS, qui constitue la méthode recommandée. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des serveurs DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.

Sécurisation des zones DNSLes options de configuration de zone DNS (Domain Name System) dans les sections suivantes présentent des implications pour la sécurité des zones DNS standard et intégrées à Active Directory.

Configuration de mises à jour dynamiques sécurisées

Par défaut, le paramètre Mises à jour dynamiques n’est pas configuré pour autoriser les mises à jour dynamiques. Il s’agit du paramètre le plus sûr car il empêche tout agresseur de mettre à jour des zones DNS. Toutefois, il vous empêche également de tirer parti des avantages administratifs offerts par la mise à jour dynamique. Pour configurer les ordinateurs de façon à mettre à jour les données DNS de manière plus sécurisée, stockez les zones DNS dans les services de domaine Active Directory (AD DS) et utilisez la fonctionnalité de mise à jour dynamique. La mise à jour dynamique limite les mises à jour de zones DNS aux ordinateurs qui sont authentifiés et membres du domaine Active Directory dans lequel se trouve le serveur DNS et aux paramètres de sécurité spécifiques définis dans les listes de contrôle d’accès de la zone DNS.

Pour plus d’informations, voir Autoriser uniquement les mises à jour dynamiques.

88


Gestion de la liste DACL sur les zones DNS stockées dans les services de domaine Active Directory

Vous pouvez utiliser la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les zones DNS.

Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour les zones DNS stockées dans les services de domaine Active Directory.

Noms d’utilisateurs ou de

groupes Autorisations


Utilisateurs authentifiés Autoriser : Créer tous les objets enfants


DnsAdminsAutoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales



Contrôleurs de domaine EnterpriseAutoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales

Tout le monde Autoriser : Lecture, Autorisations spéciales




Pour plus d’informations, voir Modifier la sécurité pour une zone intégrée à Active Directory.

Un service Serveur DNS exécuté sur un contrôleur de domaine qui a des zones stockées dans les services de domaine Active Directory stocke ses données de zone dans les services de domaine Active Directory à l’aide d’objets et d’attributs Active Directory. Configurer la liste

89


DACL sur les objets Active Directory DNS revient à configurer la liste DACL sur des zones DNS dans le Gestionnaire DNS. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des données DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.

Le tableau suivant décrit les objets et attributs Active Directory utilisés par les données de zone DNS.

Objet Description

DnsZoneCe conteneur est créé lorsqu’une zone est stockée dans les services de domaine Active Directory.

DnsNodeCet objet feuille est utilisé pour mapper et associer un nom dans la zone à des données de ressources.

DnsRecordCet attribut à plusieurs valeurs d’un objet dnsNode est utilisé pour stocker les enregistrements de ressources associés à l’objet de nœud nommé.

DnsPropertyCet attribut à plusieurs valeurs d’un objet dnsZone est utilisé pour stocker des informations de configuration de zone.

Restriction des transferts de zone

Par défaut, le service Serveur DNS autorise le transfert des informations de zone uniquement vers les serveurs répertoriés dans les enregistrements de serveur de noms (NS) d’une zone. Il s’agit d’une configuration sécurisée, mais pour une sécurité accrue, ce paramètre doit être modifié et l’option autorisant les transferts de zone vers les adresses IP spécifiées doit être activée. La modification de ce paramètre de façon à autoriser les transferts de zone vers n’importe quel serveur peut exposer vos données DNS à une tentative de « schématisation » de votre réseau par un agresseur.

Pour plus d’informations, voir Modifier les paramètres de transfert de zone.

Compromis lié à la délégation de zone

Lorsque vous décidez s’il faut déléguer des noms de domaine DNS à des zones hébergées sur des serveurs DNS administrés séparément, vous devez prendre en compte les implications de sécurité liées au fait que vous accorderez à plusieurs utilisateurs la capacité à administrer les données DNS de votre réseau. La délégation de zone DNS implique un compromis entre les avantages pour la sécurité offerts par l’utilisation d’un serveur DNS de référence unique pour toutes les données DNS et les avantages administratifs offerts par la distribution de la responsabilité de votre espace de noms DNS à différents administrateurs. Cet aspect est très important lorsque vous déléguez des domaines de niveau supérieur d’un espace de noms DNS privé car ces domaines contiennent des données DNS très sensibles.

Pour plus d’informations, voir Présentation de la délégation de zone.

90



Récupération de données de zone DNS

Si vos données DNS sont endommagées, vous pouvez restaurer votre fichier de zone DNS à partir du dossier de sauvegarde, qui se trouve dans le dossier %systemroot%/DNS/Backup. Lors de la création initiale d’une zone, une copie de la zone est ajoutée au dossier de sauvegarde. Pour récupérer la zone, copiez le fichier de zone d’origine depuis le dossier de sauvegarde dans le dossier %systemroot%/DNS. Lorsque vous utilisez l’Assistant Nouvelle zone pour créer la zone, spécifiez le fichier de zone dans le dossier %systemroot%/DNS en tant que fichier de zone pour la nouvelle zone. Pour plus d’informations, voir Ajouter une zone de recherche directe.

Cette opération s’applique uniquement aux zones standard qui ne sont pas hébergées dans les services de domaine Active Directory.

Sécurisation des enregistrements de ressources DNSLes options de configuration d’enregistrements de ressources DNS (Domain Name System) ont des implications liées à la sécurité pour les enregistrements de ressources stockés dans les zones DNS standard et les zones DNS intégrées à Active Directory :

91



Gestion de la liste DACL sur les enregistrements de ressources DNS dans les services de domaine Active Directory

Vous pouvez utiliser la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les enregistrements de ressources DNS. Pour plus d’informations, voir Modifier la sécurité pour un enregistrement de ressource.

Le tableau suivant répertorie les noms et autorisations de groupes ou d’utilisateurs par défaut pour les enregistrements de ressources DNS stockés dans les services de domaine Active Directory (AD DS).














Sécurisation des clients DNS

92


Les considérations suivantes relatives aux clients DNS (Domain Name System) présentent des implications pour la sécurité des clients DNS dans une infrastructure DNS.

Dans la mesure du possible, spécifiez des adresses IP statiques pour les serveurs DNS préféré et secondaires utilisés par un client DNS.

Si un client DNS est configuré de façon à obtenir ses adresses de serveurs DNS automatiquement, il les obtient par le biais d’un serveur DHCP (Dynamic Host Configuration Protocol). Bien que cette méthode d’obtention des adresses de serveurs DNS soit sécurisée, sa sécurité ne va pas plus loin que celle du serveur DHCP. En configurant les clients DNS avec des adresses IP statiques pour les serveurs DNS préférés et secondaires, vous pouvez éliminer un itinéraire d’attaque éventuelle.

Pour plus d’informations, voir Activer DNS pour les clients DHCP.

Contrôle des clients DNS ayant accès au serveur DNS

Si un serveur DNS est configuré de façon à écouter uniquement des adresses IP spécifiques, seuls les clients DNS configurés pour utiliser ces adresses IP comme serveurs DNS préféré et secondaires contacteront le serveur DNS.

93


Modifier les paramètres de transfert de zoneVous pouvez utiliser la procédure suivante pour contrôler si une zone est transférée vers d’autres serveurs et quels serveurs peuvent recevoir le transfert de zone.


Modification des paramètres de transfert de zone



Pour modifier les paramètres de transfert de zone à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Cliquez avec le bouton droit sur une zone DNS, puis cliquez sur Propriétés.

3. Sous l’onglet Transferts de zone, effectuez l’une des actions suivantes :

o Pour désactiver les transferts de zone, désactivez la case à cocher Autoriser les transferts de zone.

o Pour autoriser les transferts de zone, activez la case à cocher Autoriser les transferts de zone.

4. Si vous avez autorisé les transferts de zone, effectuez l’une des actions suivantes :

o Pour autoriser les transferts de zone vers n’importe quel serveur, cliquez sur Vers n’importe quel serveur.

o Pour autoriser les transferts de zone uniquement vers les serveurs DNS répertoriés sous l’onglet Serveurs de noms, cliquez sur Uniquement vers les serveurs listés dans l’onglet Serveurs de noms.

o Pour autoriser les transferts de zone uniquement vers des serveurs DNS spécifiques, cliquez sur Uniquement vers les serveurs suivants, puis ajoutez l’adresse IP d’un ou plusieurs serveurs DNS.



Pour améliorer la sécurité de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spécifiés. Si vous autorisez tout serveur DNS à effectuer un transfert de zone, vous autorisez le transfert des informations du réseau interne vers tout hôte capable de contacter votre serveur DNS.

94

Pour modifier les paramètres de transfert de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> {/NoXfr | /NonSecure | /SecureNs | /SecureList [<SecondaryIPAddress...>]}



<NomServeur>



/NoXfr Désactive les transferts de zone pour la zone.

/NonSecure Autorise les transferts de zone vers tout serveur DNS.

/SecureNs Autorise les transferts de zone uniquement vers les serveurs DNS répertoriés dans la zone à l’aide d’enregistrements de serveur de noms (NS).

/SecureList Autorise les transferts de zone uniquement vers les serveurs DNS spécifiés par AdresseIPSecondaire.

<AdresseIPSecondaire> Obligatoire si /SecureList est spécifié. Liste d’une ou plusieurs adresses IP de serveurs DNS autorisés à obtenir des transferts de zone.


dnscmd /ZoneResetSecondaries /?



Pour améliorer la sécurité de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spécifiés. Si vous autorisez tout serveur DNS

95

à effectuer un transfert de zone, vous autorisez le transfert des informations du réseau interne vers tout hôte capable de contacter votre serveur DNS.

Configuration de serveurs multirésidentsConfiguration de serveurs multirésidents

Pour les serveurs DNS multirésidents (à savoir, les serveurs DNS disposant de plusieurs adresses IP), vous pouvez configurer le service Serveur DNS de façon à activer et lier de manière sélective uniquement les adresses IP spécifiées à l’aide du Gestionnaire DNS. Cela vous permet de vous assurer que seuls les serveurs et clients configurés pour utiliser les adresses IP spécifiées peuvent envoyer des requêtes au serveur DNS. Pour les serveurs proxy connectés à Internet, par exemple, vous pouvez utiliser cette fonctionnalité afin de garantir que seuls les clients du réseau interne peuvent accéder aux données DNS. Par défaut, le service Serveur DNS établit une liaison à toutes les adresses IP configurées pour l’ordinateur. Il peut s’agir des interfaces suivantes :

toute adresse IP supplémentaire configurée pour une connexion réseau unique ;

des adresses IP individuelles configurées pour chaque connexion distincte dans le cas où plusieurs connexions réseau sont installées sur le serveur.

Pour les serveurs DNS multirésidents, vous pouvez limiter la prise en charge DNS pour des adresses IP sélectionnées. Lorsque cette fonctionnalité est activée, le service Serveur DNS écoute et répond uniquement aux requêtes envoyées aux adresses IP spécifiées sous l’onglet Interface dans les propriétés du serveur.

Quand faut-il spécifier des interfaces ?

Par défaut, le service Serveur DNS écoute toutes les adresses IP et accepte toutes les demandes de clients envoyées à ses ports de service par défaut (UDP 53 et TCP 53). Si vous souhaitez que le serveur DNS ne réponde pas aux demandes envoyées à certaines adresses, par exemple si ces adresses correspondent à des interfaces externes, vous pouvez configurer le serveur DNS pour qu’il réponde aux demandes reçues seulement sur certaines de ses interfaces.

Considérations supplémentaires relatives aux serveurs DNS multirésidents

Vous devez prendre en compte les éléments suivants lors de la configuration d’adresses IP supplémentaires et de leur activation pour une utilisation avec un serveur DNS :

Des ressources de serveur supplémentaires sont consommées sur l’ordinateur serveur.

96

Bien que DNS permette de configurer plusieurs adresses IP pour une utilisation avec n’importe lesquelles de vos cartes réseau installées, cela ne présente aucun avantage en termes de performances.

Même si le serveur DNS gère plusieurs zones inscrites pour une utilisation Internet, le processus d’inscription Internet ne vous oblige pas à inscrire différentes adresses IP pour chaque zone.

Étant donné ces considérations :

Sachez que, lorsque vous ajoutez des adresses IP pour une utilisation avec des serveurs IP, chaque adresse supplémentaire risque de n’améliorer que légèrement les performances du serveur. Dans le cas où vous activez l’utilisation d’un grand nombre d’adresses IP, vous risquez de constater une dégradation des performances du serveur.

En général, lorsque vous ajoutez du matériel réseau à l’ordinateur serveur, vous devez affecter une seule adresse IP principale à chaque connexion réseau.

Dans la mesure du possible, supprimez des configurations TCP/IP de serveur existantes les adresses IP qui ne sont pas essentielles.

97

Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnéesPar défaut, un service Serveur DNS qui s’exécute sur un ordinateur multirésident est configuré de façon à écouter les requêtes DNS avec toutes ses adresses IP. Vous pouvez renforcer la sécurité du serveur DNS en limitant les adresses IP écoutées par le service Serveur DNS à l’adresse IP utilisée par ses clients DNS comme serveur DNS préféré.


Limitation d’un serveur DNS de façon à écouter uniquement les adresses sélectionnées



Pour limiter un serveur DNS pour écouter uniquement les adresses sélectionnées à l’aide de l’interface Windows


Où ?



4. Sous l’onglet Interfaces, cliquez sur Uniquement les adresses IP suivantes.

5. Dans Adresse IP, tapez une adresse IP à activer pour ce serveur DNS, puis cliquez sur Ajouter.

6. Répétez l’étape précédente si nécessaire pour spécifier d’autres adresses IP de serveur à activer pour ce serveur DNS.

Pour supprimer une adresse IP de la liste, cliquez dessus, puis cliquez sur Supprimer.

98



Par défaut, le service Serveur DNS écoute les communications de messages DNS sur toutes les adresses IP configurées pour l’ordinateur serveur.

Les adresses IP de serveurs ajoutées à cet endroit doivent être gérées de manière statique. Si vous modifiez ou supprimez ultérieurement les adresses spécifiées ici des configurations TCP/IP maintenues sur ce serveur, vous devez mettre à jour cette liste en conséquence.

Après avoir mis à jour ou révisé la liste d’interfaces restreintes, vous devez arrêter et redémarrer le serveur DNS afin d’appliquer la nouvelle liste.

Le fait de limiter le service Serveur DNS de sorte qu’il écoute uniquement des adresses IP spécifiques constitue une mesure de sécurité efficace car seuls les hôtes du même sous-réseau (ou des hôtes avec un routeur qui les connecte à ce même segment) ont accès à ce serveur.

Pour limiter un serveur DNS pour écouter uniquement les adresses sélectionnées à l’aide d’une ligne de commande


dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]



<NomServeur>


/ResetListenAddressesObligatoire. Réinitialise les adresses IP des interfaces sur lesquelles le serveur DNS écoute.

<AdresseÉcoute> ...

Spécifie une ou plusieurs adresses IP pour les interfaces sur lesquelles vous souhaitez que le serveur DNS écoute. Par défaut, le service Serveur DNS écoute les communications de messages DNS sur toutes les adresses IP configurées pour l’ordinateur serveur.


99

dnscmd <ServerName> /ResetListenAddresses /help






100

Sécuriser le cache de serveur contre la pollution des nomsPar défaut, le service Serveur DNS est sécurisé contre la pollution du cache, qui se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité. L’option Sécuriser le cache contre la pollution empêche un agresseur de polluer le cache d’un serveur DNS avec des enregistrements de ressources qui n’ont pas été demandés par le serveur DNS. La modification de ce paramètre par défaut réduit l’intégrité des réponses fournies par le service Serveur DNS. Vous pouvez appliquer cette procédure pour restaurer le paramètre par défaut s’il a été modifié précédemment.


Pour sécuriser le cache de serveur contre la pollution des noms


Où ?



4. Cliquez sur l’onglet Avancé.

5. Dans Options de serveur, activez la case à cocher Sécuriser le cache contre la pollution, puis cliquez sur OK.



L’option Sécuriser le cache contre la pollution est activée par défaut.

101

Présentation de la mise à jour dynamiqueLes ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise à jour dynamique pour inscrire et mettre à jour de manière dynamique leurs enregistrements de ressources auprès d’un serveur DNS lorsque des modifications ont lieu. Cela permet de réduire les tâches d’administration manuelle des enregistrements de zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Le service Client DNS et le service Serveur DNS prennent en charge l’utilisation des mises à jour dynamiques, comme décrit dans la RFC (Request for Comments) 2136, intitulée « Dynamic Updates in the Domain Name System ». Le service Serveur DNS autorise l’activation ou la désactivation de la mise à jour dynamique sur la base de chaque zone sur chaque serveur configuré pour charger une zone principale standard ou une zone intégrée à l’annuaire. Par défaut, le service Client DNS met à jour de manière dynamique les enregistrements de ressources hôte (A) dans DNS lorsque le service est configuré pour le protocole TCP/IP.

Processus de mise à jour de leurs noms DNS par les ordinateurs clients et serveurs

Par défaut, les ordinateurs configurés de manière statique pour le protocole TCP/IP tentent d’inscrire de manière dynamique les enregistrements de ressources hôte (A) et pointeur (PTR) pour les adresses IP qui sont configurées et utilisées par leurs connexions réseau installées. Par défaut, tous les ordinateurs inscrivent les enregistrements sur la base de leur nom de domaine complet.

Le nom d’ordinateur complet principal, un nom de domaine complet, est basé sur le suffixe DNS principal d’un ordinateur,ajouté à son nom d’ordinateur.

Considérations supplémentaires :

Par défaut, le client DNS ne tente pas d’effectuer de mise à jour dynamique des zones de domaine du niveau supérieur. Toute zone nommée avec un nom en une partie est considérée comme une zone de domaine du niveau supérieur, par exemple com, edu, vierge, ma-société. Pour configurer un client DNS de façon à autoriser la mise à jour

102

dynamique des zones de domaine du niveau supérieur, vous pouvez utiliser le paramètre de stratégie Mettre à jour les zones de domaine du niveau supérieur ou modifier le Registre.

Par défaut, la partie suffixe DNS principal du nom de domaine complet d’un ordinateur est identique au nom du domaine AD DS auquel l’ordinateur est joint. Pour autoriser l’utilisation de suffixes DNS principaux différents, un administrateur de domaine peut créer une liste restreinte de suffixes autorisés en modifiant l’attribut msDS-AllowedDNSSuffixes dans le conteneur d’objet de domaine. L’attribut est géré par l’administrateur de domaine à l’aide de l’interface ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol).

Les mises à jour dynamiques peuvent être envoyées pour les événements ou raisons suivants :

Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l’une des connexions réseau installées.

Un bail d’adresse IP est modifié ou renouvelé auprès du serveur DHCP pour l’une des connexions réseau installées. Par exemple, lorsque l’ordinateur est démarré ou si la commande ipconfig /renew est utilisée.

La commande ipconfig /registerdns est utilisée pour forcer manuellement une actualisation de l’inscription du nom de client dans DNS.

Au moment du démarrage, lorsque l’ordinateur est allumé. Un serveur membre est promu contrôleur de domaine.

Lorsque l’un des événements précédents déclenche une mise à jour dynamique, le service Client DHCP (et non le service Client DNS) envoie les mises à jour. Ce mécanisme est conçu de telle sorte que si une modification est apportée aux informations d’adresse IP à cause du protocole DHCP, les mises à jour correspondantes dans DNS sont effectuées afin de synchroniser les mappages noms-à-adresses pour l’ordinateur. Le service Client DHCP effectue cette fonction pour toutes les connexions réseau sur le système, y compris les connexions qui ne sont pas configurées pour utiliser le protocole DHCP.

Exemple : fonctionnement de la mise à jour dynamique

En général, des mises à jour dynamiques sont demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, supposez qu’un client nommé oldhost est d’abord configuré dans Propriétés système avec les noms suivants.

Nom de l’ordinateur oldhost

Nom de domaine DNS de l’ordinateur tailspintoys.com

Nom complet de l’ordinateur oldhost.tailspintoys.com

103

Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. Ultérieurement, l’ordinateur est renommé de oldhost en newhost, ce qui provoque les changements de nom suivants sur le système.

Nom de l’ordinateur newhost


Nom complet de l’ordinateur newhost.tailspintoys.com

Après avoir appliqué le changement de nom dans Propriétés système, vous êtes invité à redémarrer l’ordinateur. Lorsque l’ordinateur redémarre Windows, le service Client DHCP effectue la séquence suivante pour mettre à jour DNS :

1. Le service Client DHCP envoie une requête de type Source de noms (SOA) en utilisant le nom de domaine DNS de l’ordinateur.

L’ordinateur client utilise le nom de domaine complet de l’ordinateur configuré actuellement (tel que newhost.tailspintoys.com) comme nom spécifié dans cette requête.

2. Le serveur DNS de référence pour la zone qui contient le nom de domaine complet du client répond à la requête de type SOA.

Pour les zones principales standard, le serveur principal (propriétaire) retourné dans la réponse à la requête SOA est fixe et statique. Il correspond toujours au nom DNS exact apparaissant dans l’enregistrement de source de noms (SOA) stocké avec la zone. Si, toutefois, la zone mise à jour est intégrée à l’annuaire, tout serveur DNS qui charge la zone peut répondre et insérer de manière dynamique son propre nom en tant que serveur principal (propriétaire) de la zone dans la réponse à la requête SOA.

3. Le service Client DHCP tente ensuite de contacter le serveur DNS principal.

Le client traite la réponse à la requête SOA afin de déterminer l’adresse IP du serveur DNS autorisé comme serveur principal pour accepter son nom. Il effectue ensuite la séquence d’étapes suivante, le cas échéant, afin de contacter et de mettre à jour de manière dynamique son serveur principal :

1. Il envoie une demande de mise à jour dynamique au serveur principal déterminé dans la réponse à la requête SOA.

Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.2. Si la mise à jour échoue, le client envoie alors une requête de type Serveur de

noms (NS) pour le nom de zone spécifié dans l’enregistrement SOA.3. Lorsqu’il reçoit une réponse à cette requête, il envoie une requête SOA au

premier serveur DNS répertorié dans la réponse.4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique

au serveur spécifié dans l’enregistrement SOA retourné.

104

Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.5. Si cette mise à jour échoue, le client répète le processus de requête SOA en

envoyant une mise à jour au serveur DNS suivant répertorié dans la réponse.

4. Une fois que le serveur principal capable d’effectuer la mise à jour a été contacté, le client envoie la demande de mise à jour et le serveur la traite.

La demande de mise à jour inclut des instructions visant à ajouter des enregistrements de ressources hôte (A) (et éventuellement des enregistrements de ressources pointeur (PTR)) pour newhost.tailspintoys.com et à supprimer ces mêmes types d’enregistrements pour oldhost.tailspintoys.com, le nom qui était inscrit auparavant.

Le serveur vérifie également que les mises à jour sont autorisées pour la demande du client. Pour les zones principales standard, les mises à jour dynamiques ne sont pas sécurisées ; par conséquent, toute tentative de mise à jour par un client réussit. Pour les zones intégrées aux services de domaine Active Directory (AD DS), les mises à jour sont sécurisées et effectuées à l’aide de paramètres de sécurité basés sur l’annuaire.

Les mises à jour dynamiques sont envoyées ou actualisées de façon périodique. Par défaut, les ordinateurs envoient une actualisation une fois tous les sept jours. Si la mise à jour n’entraîne aucune modification des données de zone, la zone demeure à sa version actuelle et aucune modification n’est écrite. Les mises à jour provoquent des modifications de zone ou une augmentation des transferts de zone uniquement si les noms ou adresses changent.

Lorsque le service Client DHCP inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour un ordinateur, il utilise une durée de vie (TTL) de mise en cache par défaut de 15 minutes pour les enregistrements hôte. Cela détermine pendant combien de temps les autres serveurs et clients DNS mettent en cache les enregistrements d’un ordinateur lorsque ceux-ci sont inclus dans une réponse à une requête.

Mise à jour dynamique sécurisée

La sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées aux services de domaine Active Directory. Lorsque vous intégrez une zone à l’annuaire, les fonctionnalités de modification de liste de contrôle d’accès (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet d’ajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spécifié.

Par défaut, la sécurité des mises à jour dynamiques pour les clients et serveurs DNS peut être gérée comme suit :

Les clients DNS tentent d’abord d’utiliser la mise à jour dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les clients tentent d’utiliser la mise à jour

105

sécurisée.

En outre, les clients utilisent une stratégie de mise à jour par défaut qui leur permet de tenter de remplacer un enregistrement de ressource précédemment inscrit, à moins qu’ils ne soient spécifiquement bloqués par la sécurité de mise à jour.

Une fois qu’une zone a été intégrée aux services de domaine Active Directory, les serveurs DNS exécutant Windows Server® 2008 autorisent par défaut uniquement les mises à jour dynamiques sécurisées.

Lorsque vous utilisez le stockage de zone standard, le comportement par défaut du service Serveur DNS consiste à ne pas autoriser les mises à jour dynamiques sur ses zones. Pour les zones qui sont intégrées aux services de domaine Active Directory ou qui utilisent le stockage standard basé sur fichiers, vous pouvez modifier la zone de façon à autoriser toutes les mises à jour dynamiques, ce qui permet à toutes les mises à jour d’être acceptées.

106

Autoriser uniquement les mises à jour dynamiquesLes ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise à jour dynamique pour inscrire et mettre à jour de manière dynamique leurs enregistrements de ressources auprès d’un serveur DNS lorsque des modifications ont lieu. Cela permet de réduire les tâches d’administration manuelle des enregistrements de zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Les mises à jour dynamiques peuvent être sécurisées ou non sécurisées. La sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées aux services de domaine Active Directory (AD DS). Une fois qu’une zone a été intégrée à l’annuaire, les fonctionnalités de modification de liste de contrôle d’accès (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet d’ajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spécifié.


Autorisation des mises à jour dynamiques sécurisées uniquement



Pour autoriser uniquement les mises à jour dynamiques sécurisées à l’aide de l’interface Windows



3. Sous l’onglet Général, vérifiez que le type de zone est Intégré Active Directory.

4. Dans Mises à jour dynamiques, cliquez sur Sécurisé uniquement.

107



Les mises à jour dynamiques sécurisées sont prises en charge uniquement pour les zones intégrées aux services de domaine Active Directory. Si le type de zone est configuré différemment, vous devez modifier le type de zone et intégrer la zone à l’annuaire avant de la sécuriser pour les mises à jour dynamiques DNS.

La mise à jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) ».

Par défaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de référence répertoriés dans les enregistrements de serveur de noms (NS) pour la zone.

Pour autoriser uniquement les mises à jour dynamiques sécurisées à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate 2



<NomServeur>





/AllowUpdate Obligatoire. Permet à la zone d’effectuer des mises à jour dynamiques.

2 Obligatoire. Configure le serveur pour autoriser la mise à jour sécurisée. Si vous excluez le 2, la zone sera configurée pour effectuer uniquement des mises à jour dynamiques standard.

108





La mise à jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) ».

Par défaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de référence répertoriés dans les enregistrements de ressources de serveur de noms (NS) pour la zone.

109

Désactiver la récursivité sur le serveur DNSPar défaut, le serveur DNS effectue des requêtes récursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes de clients DNS. La récursivité est une technique de résolution de noms dans laquelle un serveur DNS interroge d’autres serveurs DNS pour le compte du client demandeur afin de résoudre totalement le nom, puis il envoie une réponse au client.

Les agresseurs peuvent utiliser la récursivité afin de créer un déni de service Serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursivité doit être désactivée sur ce serveur.


Désactivation de la récursivité sur le serveur DNS



Pour désactiver la récursivité sur le serveur DNS à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur DNS

applicable, puis cliquez sur Propriétés.

Où ?

DNS/serveur DNS applicable


4. Dans Options de serveur, activez la case à cocher Désactiver la récursivité, puis cliquez sur OK.

110



Si vous désactivez la récursivité sur le serveur DNS, vous ne serez pas en mesure d’utiliser des redirecteurs sur ce serveur.

Pour désactiver la récursivité sur le serveur DNS à l’aide d’une ligne de commande


dnscmd <ServerName> /Config /NoRecursion {1|0}



<NomServeur> Obligatoire. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/Config Obligatoire. Indique que la commande configure le serveur spécifié.

/NoRecursion Obligatoire. Désactive la récursivité.

{1|0}Obligatoire. Pour désactiver la récursivité, tapez 1 (désactivée). Pour activer la récursivité, tapez 0 (activée). Par défaut, la récursivité est activée.






111

Mise à jour des indications de racineVous pouvez utiliser des indications de racine pour préparer des serveurs de référence pour des zones non-racines de sorte qu’ils puissent découvrir les serveurs de référence qui gèrent des domaines à un niveau supérieur ou dans d’autres sous-arborescences de l’espace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorité à des niveaux inférieurs de l’espace de noms lors de la recherche d’autres serveurs dans ces conditions.

Par exemple, supposez qu’un serveur DNS (Serveur A) possède une zone nommée sub.corp.contoso.com. Durant la réponse à une requête pour un domaine de niveau supérieur, tel que le domaine corp.contoso.com, le Serveur A a besoin d’assistance pour trouver un serveur de référence (tel que le Serveur B) pour ce domaine.

Pour que le Serveur A trouve le Serveur B (ou tout autre serveur de référence pour le domaine contoso.com, le Serveur A doit être en mesure d’interroger les serveurs racines de l’espace de noms DNS. Les serveurs racines peuvent ensuite renvoyer le Serveur A aux serveurs de référence du domaine com. Les serveurs de référence du domaine com peuvent, à leur tour, offrir une référence au Serveur B ou autres serveurs qui font autorité pour le domaine contoso.com. Les indications de racine utilisées par le Serveur A doivent avoir des indications utiles vers les serveurs racines pour que ce processus trouve le Serveur B (ou un autre serveur de référence) comme demandé.

Pour configurer et utiliser des indications de racine correctement, répondez tout d’abord aux questions suivantes relatives à votre serveur DNS :

Utilisez-vous DNS sur Internet ou sur un réseau privé ?

Le serveur DNS est-il utilisé en tant que serveur racine ?

112

Par défaut, le service Serveur DNS implémente des indications de racine en utilisant un fichier, Cache.dns, stocké dans le dossier %systemroot%\System32\Dns sur l’ordinateur serveur. Ce fichier contient normalement les enregistrements de ressources hôte et de serveur de noms pour les serveurs racines Internet. Si, toutefois, vous utilisez le service Serveur DNS sur un réseau privé, vous pouvez modifier ou remplacer ce fichier par des enregistrements similaires qui pointent vers vos propres serveurs DNS racines internes.

Les indications de racine sont également traitées différemment lorsqu’un serveur DNS est configuré pour être utilisé par d’autres serveurs DNS dans un espace de noms interne en tant que redirecteur pour toute requête DNS de noms gérés de manière externe (par exemple sur Internet). Même si le serveur DNS utilisé comme redirecteur peut être placé sur le même réseau interne que des serveurs qui l’utilisent comme redirecteur, il a besoin d’indications pour que les serveurs racines Internet fonctionnent correctement et résolvent les noms externes.

Si un serveur DNS est configuré pour accéder à d’autres serveurs DNS, par exemple par le biais d’une liste de serveurs DNS configurée dans ses propriétés client TCP/IP pour une connexion réseau installée, le service Serveur DNS est capable de rassembler ses propres indications de racine durant une nouvelle configuration de serveur. Vous pouvez pour cela utiliser l’Assistant Configuration d’un serveur DNS.

113

Mettre à jour des indications de racine sur le serveur DNSVous pouvez utiliser des indications de racine pour préparer des serveurs de référence pour des zones non-racines de sorte qu’ils puissent découvrir les serveurs de référence qui gèrent des domaines à un niveau supérieur ou dans d’autres sous-arborescences de l’espace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorité à des niveaux inférieurs de l’espace de noms lors de la recherche d’autres serveurs dans ces conditions.


Pour mettre à jour des indications de racine sur le serveur DNS


Où ?



4. Cliquez sur l’onglet Indications de racine.

5. Modifiez les indications de racine de serveur comme suit :

o Pour ajouter un serveur racine à la liste, cliquez sur Ajouter, puis spécifiez le nom et l’adresse IP du serveur à ajouter.

114

o Pour modifier un serveur racine dans la liste, cliquez sur Modifier, puis spécifiez le nom et l’adresse IP du serveur à modifier.

o Pour supprimer un serveur racine de la liste, sélectionnez-le dans la liste, puis cliquez sur Supprimer.

o Pour copier des indications de racine depuis un serveur DNS, cliquez sur Copier à partir du serveur, puis spécifiez l’adresse IP du serveur DNS à partir duquel vous souhaitez copier une liste de serveurs racines à utiliser pour résoudre les requêtes. Ces indications de racine ne remplaceront pas d’indications de racine existantes.

Considérations supplémentaires Pour ouvrir le Gestionnaire DNS, cliquez sur Démarrer, pointez sur Outils

d'administration, puis cliquez sur DNS.

Modifier la sécurité du service Serveur DNS sur un contrôleur de domaineVous pouvez appliquer cette procédure pour spécifier qui peut administrer le service Serveur DNS lorsqu’il s’exécute sur un contrôleur de domaine. Elle n’affecte cependant pas les catégories d’utilisateurs pouvant administrer des zones et des enregistrements de ressources hébergés sur le serveur.


Pour modifier la sécurité du service Serveur DNS sur un contrôleur de domaine

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur


Où ?


3. Sous l’onglet Sécurité, modifiez la liste des utilisateurs ou groupes membres autorisés à administrer le serveur applicable.



115

Les listes de contrôle d’accès Active Directory sont prises en charge pour le service Serveur DNS uniquement lorsqu’il s’exécute sur un contrôleur de domaine.







116








De plus, lorsque vous utilisez des zones intégrées à l’annuaire, vous pouvez utiliser la modification des listes de contrôle d’accès pour sécuriser un conteneur d’objet dnsZone dans l’arborescence de répertoires. Cette fonctionnalité procure un accès détaillé à la zone ou à un enregistrement de ressource spécifié dans la zone. Par exemple, une liste de contrôle d’accès pour un enregistrement de ressource de zone peut être limitée de telle sorte que les mises à jour dynamiques soient autorisées uniquement pour un ordinateur client ou un groupe sécurisé (par exemple un groupe

117

d’administrateurs de domaine) spécifique. Cette fonctionnalité de sécurité n’est pas disponible avec les zones principales standard.









118

Configurer un serveur DNS pour une utilisation avec les services de domaine Active DirectoryLorsque vous installez les services de domaine Active Directory (AD DS) avec l’Assistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilité d’installer et de configurer automatiquement un serveur DNS. La zone DNS résultante est intégrée au domaine AD DS contrôlé par ce serveur AD DS.




119

Liste de vérification : configurer des paramètres client DNSLa configuration des clients DNS (Domain Name System) est aussi essentielle au bon fonctionnement de votre infrastructure DNS que la configuration des serveurs DNS. Les considérations à prendre en compte pour la configuration des clients DNS incluent les conventions d’attribution de noms aux clients (y compris le suffixe DNS principal et de nom d’hôte), la spécification des serveurs DNS pour un client ou l’autorisation du protocole DHCP (Dynamic Host Configuration Protocol) pour affecter des serveurs DNS, ainsi que la configuration d’une liste de recherche de suffixe pour la résolution des noms d’hôtes courts non complets. Vous pouvez également configurer des paramètres DNS spécifiques aux connexions pour les ordinateurs disposant de plusieurs cartes réseau ou connexions RAS (Remote Access Service).

Tâche Référence

En savoir plus sur la configuration des clients.Présentation des paramètres de client DNS

Configurer des clients DNS statiques.Configurer DNS pour des clients statiques

Configurer des serveurs DHCP et des clients activés pour le protocole DHCP.

Activer DNS pour les clients DHCP

120







Présentation des paramètres de client DNSLa configuration DNS (Domain Name System) nécessite les tâches de configuration suivantes pour les propriétés TCP/IP sur chaque ordinateur :






121











122











Lorsqu’un ordinateur client est démarré sur le réseau, il utilise la résolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configuré. Cette requête est utilisée pour trouver les contrôleurs de domaine et fournir une authentification d’ouverture de session pour l’accès aux ressources réseau. Un client ou contrôleur de domaine sur le réseau peut également utiliser le service de résolution

123

NetBIOS pour interroger des serveurs WINS et tenter de localiser des entrées DomainName [1C] afin d’achever le processus d’ouverture de session.









124








Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui étend ou révise leurs capacités de recherche DNS. En ajoutant des suffixes supplémentaires à la liste, vous pouvez rechercher des noms d’ordinateurs plus courts (non complets) dans plusieurs domaines DNS spécifiés. Ensuite, en cas d’échec d’une requête DNS, le service Client DNS peut utiliser cette liste pour ajouter d’autres terminaisons de suffixe de nom à votre nom d’origine et répéter les requêtes DNS au serveur DNS pour ces autres noms de domaine complets.





Lorsque la liste de recherche de suffixe n’est pas vide et comporte au moins un suffixe DNS, les tentatives de résolution des noms DNS courts sont limitées à la recherche des noms de domaine complets rendue possible par la liste de suffixes spécifiée. En cas d’échec de

125

résolution de tous les noms de domaine complets formés suite à l’ajout et à la tentative de chaque suffixe dans la liste, le processus de requête échoue, ce qui génère un message « Nom introuvable ».












126




Le nom host-a.public.example.microsoft.com procure un accès par le biais de la connexion de réseau local 1 sur le sous-réseau Subnet 1, un réseau local Ethernet faible vitesse (10 mégabits), pour l’accès normal aux utilisateurs ayant des besoins de service de fichiers et d’impression ordinaires.






10.1.1.11, 10.2.2.22 Nom DNS principal de l’ordinateur. L’ordinateur inscrit les

127

enregistrements de ressources hôte (A) et pointeur (PTR) pour toutes les adresses IP configurées sous ce nom dans la zone widgets.tailspintoys.com.


10.1.1.11



10.2.2.22

Nom DNS spécifique à la connexion pour la connexion de réseau local 2, qui inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour l’adresse IP 10.2.2.22 dans la zone backup.widgets.tailspintoys.com.




128









129









130


Liste de vérification : migrer un serveur DNSVous pouvez migrer un serveur DNS en mettant à niveau un serveur DNS exécutant une version antérieure de Windows vers Windows Server 2008, en déplaçant des fichiers de zone à partir d’un serveur DNS existant exécutant une autre implémentation de serveur DNS ou en migrant des zones à l’aide du transfert de zone maître-secondaire vers des serveurs DNS exécutant Windows Server 2008. La migration d’un serveur DNS (Domain Name System) peut améliorer les performances, la sécurité et la fiabilité de votre infrastructure DNS en vous permettant d’accéder aux fonctionnalités avancées disponibles dans Windows Server 2008.

Mise à niveau d’un serveur DNS

Déplacement de fichiers de zone Migration de zones à partir de serveurs BIND Migration de zones à partir de serveurs Windows

Mise à niveau d’un serveur DNS

Tâche Référence

Toutes les zones ou tous les fichiers et paramètres de configuration de serveur créés et stockés à l’aide de la version Windows Server 2003 du service Serveur DNS sont stockés aux mêmes emplacements de dossier système. Aucune conversion de données n’est requise durant le processus de mise à niveau de Windows Server 2003 vers Windows Server 2008.

131

http://technet.microsoft.com/fr-fr/library/cc755303.aspx#BKMK_move_win%23BKMK_move_win

http://technet.microsoft.com/fr-fr/library/cc755303.aspx#BKMK_move_bind%23BKMK_move_bind

http://technet.microsoft.com/fr-fr/library/cc755303.aspx#BKMK_move_files%23BKMK_move_files

http://technet.microsoft.com/fr-fr/library/cc755303.aspx#BKMK_upgrade%23BKMK_upgrade

Déplacement de fichiers de zone

Tâche Référence

Copiez tous les fichiers de zone ou d’amorçage créés avec BIND (Berkeley Internet Name Domain) que vous prévoyez d’utiliser avec le service Serveur DNS dans le dossier %systemroot%\System32\DNS sur le serveur exécutant Windows Server 2008.

Si vous continuez à utiliser un fichier d’amorçage BIND pour fournir les paramètres de configuration initiale utilisés par le service Serveur DNS lors de son démarrage, modifiez la méthode d’amorçage utilisée par le service Serveur DNS. Ou renommez les fichiers de zone de la convention d’affectation de noms BIND vers la convention utilisée par les serveurs DNS exécutés sous le service Serveur DNS fourni avec les systèmes d’exploitation Windows.

Modifier la méthode d’amorçage utilisée par le serveur DNS

Si vous ne migrez pas le fichier d’amorçage BIND ou si vous ne spécifiez pas le nom BIND lors de la création des zones avec le Gestionnaire DNS, vous devrez renommer ces zones :

Fichier d’amorçage : renommez named.boot en Boot

Fichier de zone de recherche directe : renommez db.nom_domaine en nom_domaine.dns

Fichier de zone de recherche inversée : renommez db.notation_directe_réseau_IP en notation_inversée_réseau_IP.dns

Pour une zone de recherche inversée, BIND note les noms de domaine inversés comme notation directe du réseau IP mappé, par exemple db.192.1.168 pour une zone de recherche inversée créée pour une adresse réseau IP de 192.168.1.0. Les serveurs DNS exécutant Windows Server 2008, quant à eux, utilisent le nom de domaine complet de la zone, qui inclut le domaine in-addr.arpa, pour achever le nom de fichier. Dans cet exemple, le nom correct à utiliser pour la même zone dans DNS Windows Server 2008 est 168.1.192.in-addr.arpa.dns lorsque vous copiez et renommez le fichier.


Si vous utilisez le fichier d’amorçage BIND avec le service Serveur DNS après la migration, d’autres limitations s’appliquent à l’utilisation de ce fichier par le service Serveur DNS. Par exemple, certaines directives d’amorçage BIND ne sont pas prises en charge, en particulier xfrnets et d’autres directives fournies avec des versions de BIND, telles que la version 8.1.1 ou ultérieure. Pour plus d’informations, voir les articles Q194513 et Q234144 de la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkID=4441) (éventuellement en anglais).

132

http://go.microsoft.com/fwlink/?LinkID=4441




Si vous avez l’habitude de modifier manuellement des fichiers de zone DNS, sachez que le service Serveur DNS utilise une notation conforme aux RFC (Requests for Comments) pour ses enregistrements de ressources pris en charge. Dans la plupart des cas, le service Serveur DNS interprète et charge les enregistrements de ressources à partir de fichiers de zone créés initialement pour des serveurs DNS BIND, sans qu’il soit nécessaire de modifier les fichiers. Si toutefois vous avez utilisé une mise en forme d’enregistrement non standard, le service Serveur DNS peut détecter ces modifications et les interpréter comme des données de zone non valides.

Migration de zones à partir de serveurs BIND

Tâche Référence

Configurez les serveurs BIND comme serveurs maîtres pour chacune des zones à migrer.

Sur le serveur exécutant le service Serveur DNS, ajoutez des zones secondaires pour toutes les zones existantes hébergées sur les serveurs DNS BIND.

Ajouter une zone de recherche directe

Si nécessaire, créez des zones de recherche inversée pour toutes les zones de recherche inversée existantes hébergées sur les serveurs DNS BIND.

Ajouter une zone de recherche inversée

Après avoir effectué les transferts de zone, convertissez en zones principales les zones secondaires pour les zones qui ont été obtenues à partir de zones principales sur les serveurs BIND.

Modifier le type de zone

Facultatif : si le serveur DNS exécutant Windows Server 2008 est un contrôleur de domaine, stockez la zone dans les services de domaine Active Directory (AD DS).


Configurez les serveurs principaux précédents en serveurs secondaires pour les zones migrées ou rétrogradez les serveurs principaux précédents.

Pour les autres zones secondaires restantes, mettez à jour les serveurs maîtres de ces zones de façon à utiliser les nouveaux serveurs DNS principaux exécutant Windows Server 2008.

Migration de zones à partir de serveurs DNS Windows

Ces tâches sont nécessaires uniquement si les zones que vous migrez sont hébergées sur des serveurs Windows et ne sont pas stockées dans les services de domaine Active Directory.

Tâche Référence

Sur le serveur exécutant Windows Server 2008, créez des zones Ajouter une zone de

133










secondaires pour toutes les zones existantes hébergées sur les serveurs DNS Windows.

recherche directe

Si nécessaire, créez des zones de recherche inversée pour toutes les zones de recherche inversée existantes hébergées sur les serveurs DNS Windows.

Ajouter une zone de recherche inversée

Après avoir effectué les transferts de zone, convertissez les zones secondaires en zones principales pour les zones qui ont été migrées.


Facultatif : si le serveur DNS exécutant Windows Server 2008 est un contrôleur de domaine, stockez la zone dans les services de domaine Active Directory.


Facultatif : pour continuer à utiliser les serveurs maîtres précédents comme serveurs DNS, convertissez les zones migrées sur les serveurs maîtres précédents en zones secondaires.


Modifier la méthode d’amorçage utilisée par le serveur DNSVous pouvez appliquer cette procédure pour déterminer si le serveur DNS (Domain Name System) obtient ses informations de démarrage à partir du Registre, d’un fichier d’amorçage ou des services de domaine Active Directory (AD DS).

Par défaut, les serveurs DNS utilisent les informations stockées dans le Registre pour initialiser le service et charger toutes les données de zone à utiliser sur le serveur. En guise d’options supplémentaires, vous pouvez configurer le serveur DNS pour qu’il s’amorce à partir d’un fichier ou, dans les environnements AD DS, vous pouvez compléter les données de Registre locales avec des données de zone récupérées pour des zones intégrées à l’annuaire stockées dans la base de données Active Directory. Si vous utilisez un fichier d’amorçage, le fichier utilisé doit être un fichier texte nommé Boot et il doit être situé sur cet ordinateur dans le dossier %systemroot%\Windows\System32\Dns.

134












Pour modifier la méthode d’amorçage utilisée par le serveur DNS




4. Dans la liste Charger les données de zone au démarrage, sélectionnez À partir du Registre, À partir d’un fichier ou À partir de Active Directory et du Registre.

Ajouter une zone de recherche directeLes zones de recherche directe prennent en charge la fonction principale de DNS (Domain Name System), autrement dit la résolution des noms d’hôtes en adresses IP. Pour plus d’informations, voir Présentation des types de zones.


Ajout d’une zone de recherche directe



Pour ajouter une zone de recherche directe à l’aide de l’interface Windows

135


1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec un bouton droit sur un serveur DNS,

puis cliquez sur Nouvelle zone pour ouvrir l’Assistant Nouvelle zone.

3. Suivez les instructions pour créer une zone principale, une zone secondaire ou une zone de stub.



Pour ajouter une zone de recherche directe à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary|/Secondary|/Stub|/DsStub} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]


dsncmd Gère les serveurs DNS.

<NomServeur>


/ZoneAdd Obligatoire. Ajoute une zone.


/Primary|/DsPrimary|/Secondary|/Stub|/DsStubObligatoire. Spécifie le type de zone. /DsPrimary et /DsStub spécifient un type de zone intégrée à Active Directory.

/file Obligatoire pour /Primary. Spécifie un fichier pour la nouvelle zone. Ce paramètre n’est pas valide pour le type de zone /DsPrimary.

<NomFichier> Obligatoire pour /Primary. Spécifie le nom du fichier de zone. Ce paramètre n’est pas valide pour le type de zone /DsPrimary.

136

/load

Charge un fichier existant pour la zone. Si ce paramètre n’est pas spécifié, des enregistrements de zone par défaut sont créés automatiquement. Ce paramètre ne s’applique pas à /DsPrimary.

/a Ajoute une adresse de messagerie d’administrateur pour la zone.

<EmailAdmin> Spécifie l’adresse de messagerie d’administrateur pour la zone.

/DP

Ajoute la zone à une partition d’annuaire d’applications. Vous pouvez utiliser l’une des valeurs suivantes :

/DP /domain - Pour une partition d’annuaire du domaine (réplique sur tous les serveurs DNS du domaine).

/DP /forest - Pour une partition d’annuaire de la forêt (réplique sur tous les serveurs DNS de la forêt).

/DP /legacy - Pour une partition d’annuaire héritée (réplique sur tous les contrôleurs de domaine du domaine). Ce paramètre prend en charge les domaines qui contiennent des contrôleurs de domaine hérités exécutant Windows 2000 Server.

<NomDomaineComplet>Spécifie le nom de domaine complet de la partition d’annuaire.


dnscmd /ZoneAdd /help

Ajouter une zone de recherche inverséeLes zones de recherche inversée prennent en charge la résolution des adresses IP en noms d’hôtes. Bien qu’elles soient facultatives sur la plupart des réseaux, les zones de recherche

137

inversée peuvent s’avérer nécessaires pour certaines applications sécurisées qui requièrent la validation des adresses IP. Pour plus d’informations, voir Présentation des types de zones.


Ajout d’une zone de recherche inversée



Pour ajouter une zone de recherche inversée à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec un bouton droit sur un serveur DNS

(Domain Name System), puis cliquez sur Nouvelle zone pour ouvrir l’Assistant Nouvelle zone.

3. Suivez les instructions pour créer une nouvelle zone de recherche inversée.



Pour ajouter une zone de recherche inversée à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]



<NomServeur>



<NomZone> Obligatoire. Spécifie le nom de domaine complet du domaine in-addr.arpa pour la zone, par exemple, 20.1.168.192.in-addr.arpa.

138


/Primary|/DsPrimaryObligatoire. Spécifie le type de zone. Pour spécifier une zone intégrée à Active Directory, tapez /DsPrimary.



/load Charge un fichier existant pour la zone. Si ce paramètre n’est pas spécifié, des enregistrements de zone par défaut sont créés automatiquement. Ce paramètre ne s’applique pas à /DsPrimary.



/DP





<NomDomaineComplet> Spécifie le nom de domaine complet de la partition d’annuaire.



139

Modifier le type de zoneVous pouvez appliquer cette procédure pour faire d’une zone une zone principale, secondaire ou de stub. Vous pouvez également l’appliquer pour intégrer une zone aux services de domaine Active Directory (AD DS). Pour plus d’informations, voir Présentation des types de zones.


Modification du type de zone



Pour modifier le type de zone à l’aide de l’interface Windows


puis sélectionnez Propriétés.

3. Sous l’onglet Général, notez le type de zone actuel, puis cliquez sur Modifier.

4. Dans Modification du type de zone, sélectionnez un type de zone autre que le type de zone actuel, puis cliquez sur OK.



Vous pouvez sélectionner Zone principale, Zone secondaire ou Zone de stub. Lorsque vous sélectionnez le type de zone secondaire ou de stub, vous devez spécifier l’adresse IP d’un autre serveur DNS (Domain Name System) à utiliser comme source pour l’obtention des informations mises à jour pour la zone.

Si l’ordinateur serveur DNS assume la fonction de contrôleur de domaine, l’option de stockage de la zone dans les services de domaine Active Directory est disponible. Autrement, cette option n’est pas disponible. Lorsque ce type de zone est sélectionné, les données de zone sont stockées et répliquées dans le cadre de la base de données AD DS.

140



Remarques Vous ne pouvez pas modifier simultanément le type de zone (principale, secondaire ou de stub) et la méthode de stockage de la zone. Vous devez effectuer ces deux opérations séparément.

La modification d’une zone secondaire en zone principale peut affecter d’autres activités de zone, y compris la gestion des mises à jour dynamiques et des transferts de zone et l’utilisation des listes de notification DNS pour informer les autres serveurs des modifications dans la zone.

Il n’est pas recommandé de changer une zone de stub en zone principale, ou l’inverse, car cela contredit la fonction des zones de stub.

La modification du stockage ou du type de zone DNS peut prendre beaucoup de temps pour les grandes zones.

Pour modifier le type de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneResetType <ZoneName Property> [<MasterIPaddress...>] [/file <FileName>] {/OverWrite_Mem|/OverWrite_Ds|/DirectoryPartition <FQDN>}



<NomServeur>



<Propriété> Obligatoire. L’un des types de zones suivants :

/Primary

Zone principale standard. L’option /fileNomFichier est obligatoire.

/DsPrimary

Zone principale intégrée aux services de domaine Active Directory. Si la zone n’en est pas déjà une, vous devez la convertir en zone principale (à l’aide de /Primary) avant d’utiliser ce paramètre pour intégrer la zone aux services de domaine Active Directory.

/Secondary

141

Zone secondaire. Vous devez spécifier au moins une AdresseIPMaître.

/Stub

Zone de stub. Vous devez spécifier au moins une AdresseIPMaître. S’il s’agit d’une zone principale intégrée aux services de domaine Active Directory, vous devez utiliser /DsStub pour la convertir en zone de stub intégrée aux services de domaine Active Directory avant d’utiliser ce paramètre.

/DsStub

Zone de stub intégrée aux services de domaine Active Directory. Vous devez spécifier au moins une AdresseIPMaître. Si la zone n’en est pas déjà une, vous devez la convertir en zone de stub (à l’aide de /Stub) avant d’utiliser ce paramètre pour intégrer la zone aux services de domaine Active Directory.

/file <NomFichier>Obligatoire pour /Primary. Spécifie le nom d’un fichier pour la nouvelle zone. Ce paramètre n’est pas valide pour le type de zone /DsPrimary.


Obligatoire pour /Secondary, /Stub et /DsStub. Spécifie une ou plusieurs adresses IP pour les serveurs maîtres de la zone secondaire ou de la zone de stub, à partir desquels les données de zone sont copiées.

/OverWrite_Mem | /OverWrite_Ds | /DirectoryPartition <NomDomaineComplet>

/OverWrite_Mem remplace les données DNS existantes par les données se trouvant dans les services de domaine Active Directory. /OverWrite_Ds remplace les données Active Directory par les données se trouvant dans DNS. /DirectoryPartition stocke la nouvelle zone dans la partition d’annuaire d’applications spécifiée par NomDomaineComplet, telle que DomainDnsZones.corp.widgets.tailspintoys.com.


dnscmd /ZoneResetType /help



142

Vous avez le choix entre des zones principales, des zones secondaires et des zones de stub. Lorsque vous sélectionnez le type de zone secondaire ou de stub, spécifiez l’adresse IP d’un autre serveur DNS à utiliser comme source pour l’obtention des informations mises à jour pour la zone.

Si l’ordinateur serveur DNS assume la fonction de contrôleur de domaine, vous pouvez utiliser le paramètre /DsPrimary ou le paramètre /DsStub. Autrement, ces options ne sont pas disponibles. Lorsque l’un de ces types de zones est sélectionné, les données de zone sont stockées et répliquées dans le cadre de la base de données AD DS.Remarques Avant d’utiliser ces options, vous devez tout d’abord convertir la zone au type approprié, si nécessaire. Autrement dit, la zone doit déjà être une zone principale pour que vous puissiez utiliser /DsPrimary pour l’intégrer aux services de domaine Active Directory. De même, la zone doit déjà être une zone de stub pour que vous puissiez utiliser /DsStub pour l’intégrer aux services de domaine Active Directory.



143

Liste de vérification : créer une zone de recherche inverséeLes serveurs DNS (Domain Name System) peuvent permettre aux clients de déterminer le nom DNS d’un hôte sur la base de son adresse IP à l’aide d’une zone spéciale appelée zone de recherche inversée. Une zone de recherche inversée contient des enregistrements de ressources pointeur (PTR) qui mappent des adresses IP au nom d’hôte. Certaines applications, telles que les applications Web sécurisées, reposent sur l’utilisation de la recherche inversée. Créez une zone de recherche inversée uniquement si des applications exécutées sur votre réseau l’exigent. Autrement, vous devez désactiver les mises à jour dynamiques des enregistrements de ressources pointeur (PTR) par les ordinateurs clients.

Tâche Référence

En savoir plus sur les recherches inversées. Présentation de la recherche inversée

Créer une zone de recherche inversée. Ajouter une zone de recherche inversée

144



Présentation de la recherche inverséeDans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, à savoir une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource hôte (A). Ce type de requête attend une adresse IP comme données de ressource pour la réponse.

DNS propose également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d’ordinateur sur la base de cette adresse. Une recherche inversée assume la forme d’une question du type « Pouvez-vous me donner le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ? ».

DNS n’a pas été conçu initialement pour prendre en charge ce type de requête. L’un des problèmes liés à la prise en charge du processus de requête inversée est la différence dans la façon dont l’espace de noms DNS organise et indexe les noms et la façon dont les adresses IP sont affectées. Si la seule méthode permettant de répondre à la question précédente consiste à rechercher dans tous les domaines de l’espace de noms DNS, une requête inversée prendrait trop longtemps et exigerait trop de traitement pour être réellement utile.

Pour résoudre ce problème, un domaine spécial, le domaine in-addr.arpa, a été défini dans les normes DNS et réservé dans l’espace de noms DNS Internet afin de fournir un moyen fiable et pratique d’effectuer des requêtes inversées. Pour créer l’espace de noms inversé, des sous-domaines dans le domaine in-addr.arpa sont formés, à l’aide du classement inversé des nombres dans la notation décimale séparée par des points des adresses IP.

Ce classement inversé des domaines pour chaque valeur d’octet est nécessaire car, contrairement aux noms DNS, lorsque des adresses IP sont lues de gauche à droite, elles sont interprétées de manière opposée. Lorsqu’une adresse IP est lue de gauche à droite, les informations les plus générales (une adresse IP réseau) contenues dans la première partie de l’adresse sont vues en premier, suivies des informations les plus spécifiques (une adresse d’hôte IP) contenues dans les derniers octets.

Pour cette raison, l’ordre des octets d’adresse IP doit être inversé lors de la création de l’arborescence de domaine in-addr.arpa. Les adresses IP de l’arborescence DNS in-addr.arpa peuvent être déléguées à des organisations car un ensemble spécifique ou limité d’adresses IP leur est affecté dans la classe d’adresses définie par Internet.

Pour finir, l’arborescence de domaine in-addr.arpa, étant intégrée à DNS, requiert la définition d’un type d’enregistrement de ressource supplémentaire : l’enregistrement de ressource pointeur (PTR). Cet enregistrement de ressource crée un mappage dans la zone de recherche inversée qui correspond en général à un enregistrement de ressource hôte (A) nommé pour le nom d’ordinateur DNS d’un hôte dans sa zone de recherche directe.

145

Le domaine in-addr.arpa s’applique à tous les réseaux TCP/IP basés sur l’adressage IPv4 (Internet Protocol version 4). L’Assistant Nouvelle zone suppose automatiquement que vous utilisez ce domaine lorsque vous créez une zone de recherche inversée.

Si vous installez DNS et que vous configurez des zones de recherche inversée pour un réseau IPv6 (Internet Protocol version 6), vous pouvez spécifier un nom exact dans l’Assistant Nouvelle zone. De cette façon, vous pouvez créer des zones de recherche inversée dans le Gestionnaire DNS qui peuvent prendre en charge des réseaux IPv6, qui utilisent un nom de domaine spécial différent, le domaine ip6.arpa.

Vous trouverez des informations supplémentaires concernant le protocole IPv6 et DNS, y compris des exemples démontrant comment créer et utiliser des noms de domaine ip6.arpa, dans la RFC (Request for Comments) 3596 intitulée « DNS Extensions to support IP version 6 ». Pour plus d’informations, reportez-vous directement à cette RFC, disponible sur le site Web RFC Editor (http://go.microsoft.com/fwlink/?LinkId=240) (éventuellement en anglais).

Exemple : requête inversée (pour les réseaux IPv4)

L’illustration suivante représente un exemple de requête inversée initiée par un client DNS afin de découvrir le nom d’un autre hôte (host-a) sur la base de son adresse IP : 192.168.1.20.

Le processus de requête inversée implique les étapes suivantes :

1. Le client interroge le serveur DNS concernant un enregistrement de ressource pointeur (PTR) mappé à l’adresse IP 192.168.1.20 pour host-a.

Étant donné que la requête concerne un enregistrement de ressource pointeur (PTR), la résolution inverse l’adresse et ajoute le domaine in-addr.arpa à la fin de l’adresse inversée. Cela forme le nom de domaine complet (20.1.168.192.in-addr.arpa.) dans lequel effectuer la recherche dans une zone de recherche inversée.

2. Une fois localisé, le serveur DNS de référence pour 20.1.168.192.in-addr.arpa peut répondre avec les informations d’enregistrement de ressource pointeur (PTR). Ces informations incluent le nom de domaine DNS pour host-a, qui achève le processus de recherche inversée.

N’oubliez pas que si aucune réponse ne peut être obtenue depuis le serveur DNS pour le nom inversé interrogé, la résolution DNS normale (récursivité ou itération) peut être utilisée pour localiser un serveur DNS faisant autorité pour la zone de recherche inversée et contenant le nom interrogé. Dans ce sens, le processus de résolution de nom utilisé dans une recherche inversée est identique à celui d’une recherche directe.

146


Requêtes inverses

L’utilisation des requêtes inverses (à ne pas confondre avec les requêtes inversées) est une pratique obsolète, proposée à l’origine dans le cadre de la norme DNS pour rechercher un nom d’hôte sur la base de son adresse IP. Elles utilisent une opération de requête DNS non standard et leur utilisation est limitée à certaines versions antérieures de Nslookup, un utilitaire de ligne de commande pour le dépannage et le test du service Serveur DNS.

Le service Serveur DNS reconnaît et accepte les messages de requête inverse, et y répond par une fausse réponse de réponse inverse. Pour les serveurs DNS exécutant Windows NT® Server 4.0, cette prise en charge est disponible par défaut si l’ordinateur serveur a été mis à jour vers le Service Pack 4 (SP4) ou ultérieur.

Remarques La configuration des enregistrements de ressources pointeur (PTR) et des zones de recherche inversée pour l’identification des hôtes par requête inversée est une partie strictement facultative de l’implémentation de la norme DNS. Rien ne vous oblige à utiliser des zones de recherche inversée, bien que pour certaines applications réseau elles soient utilisées pour effectuer des vérifications de sécurité.

147

Ajouter une zone de recherche inverséeLes zones de recherche inversée prennent en charge la résolution des adresses IP en noms d’hôtes. Bien qu’elles soient facultatives sur la plupart des réseaux, les zones de recherche inversée peuvent s’avérer nécessaires pour certaines applications sécurisées qui requièrent la validation des adresses IP. Pour plus d’informations, voir Présentation des types de zones.


Ajout d’une zone de recherche inversée



Pour ajouter une zone de recherche inversée à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec un bouton droit sur un serveur DNS

(Domain Name System), puis cliquez sur Nouvelle zone pour ouvrir l’Assistant Nouvelle zone.

3. Suivez les instructions pour créer une nouvelle zone de recherche inversée.



Pour ajouter une zone de recherche inversée à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]



148


<NomServeur>



<NomZone> Obligatoire. Spécifie le nom de domaine complet du domaine in-addr.arpa pour la zone, par exemple, 20.1.168.192.in-addr.arpa.

/Primary|/DsPrimaryObligatoire. Spécifie le type de zone. Pour spécifier une zone intégrée à Active Directory, tapez /DsPrimary.



/load Charge un fichier existant pour la zone. Si ce paramètre n’est pas spécifié, des enregistrements de zone par défaut sont créés automatiquement. Ce paramètre ne s’applique pas à /DsPrimary.



/DP







149


Installation et configuration de serveursLa première étape dans l’implémentation de DNS (Domain Name System) sur un réseau consiste à installer et à configurer les serveurs qui fourniront le service. Avant cela, toutefois, il est important de planifier le déploiement afin de garantir l’efficacité optimale de votre infrastructure DNS. En plus de planifier votre disposition de zones et la fonction et l’emplacement des serveurs, vous devez déterminer si vous intégrerez votre infrastructure DNS aux services de domaine Active Directory (AD DS).


Présentation des redirecteurs Utilisation de redirecteurs Planification des zones DNS Planification des serveurs DNS Présentation de la réplication de zone DNS dans les services de domaine Active

Directory Installer un serveur DNS Configurer un serveur DNS pour une utilisation avec les services de domaine Active

Directory Configurer un nouveau serveur DNS Configurer un serveur DNS de façon à utiliser des redirecteurs Créer une partition d’annuaire d’applications DNS Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS Supprimer un serveur DNS d’une partition de l’annuaire d’applications DNS Modifier la méthode d’amorçage utilisée par le serveur DNS Configuration de serveurs multirésidents Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées Sécuriser le cache de serveur contre la pollution des noms Modifier la sécurité du service Serveur DNS sur un contrôleur de domaine Désactiver la récursivité sur le serveur DNS Mise à jour des indications de racine

150























Mettre à jour des indications de racine sur le serveur DNS












151








Lorsque votre espace de noms DNS et vos domaines AD DS sont stockés et répliqués séparément, vous devez planifier et éventuellement administrer chacun de ces éléments séparément. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez

152

concevoir, implémenter, tester et maintenir deux topologies de réplication de base de données différentes.





153

Présentation des redirecteursUn redirecteur est un serveur DNS (Domain Name System) sur un réseau qui transfère des requêtes DNS pour des noms DNS externes vers des serveurs DNS situés à l’extérieur de ce réseau. Vous pouvez également transférer les requêtes sur la base de noms de domaine spécifiques au moyen de redirecteurs conditionnels.

Vous désignez un serveur DNS sur un réseau comme redirecteur en configurant les autres serveurs DNS du réseau de sorte qu’ils transfèrent à ce serveur DNS les requêtes qu’ils ne peuvent pas résoudre localement. L’utilisation d’un redirecteur vous permet de gérer la résolution des noms externes à votre réseau, tels que les noms Internet, et d’améliorer l’efficacité de la résolution de noms pour les ordinateurs de votre réseau. Pour plus d’informations sur les redirecteurs et les redirecteurs conditionnels, voir Utilisation de redirecteurs.

La figure suivante illustre la façon dont les requêtes de noms externes sont dirigées avec des redirecteurs.

Lorsque vous désignez un serveur DNS comme redirecteur, vous le rendez responsable de la gestion du trafic externe, ce qui limite l’exposition du serveur DNS à Internet. Un redirecteur entraîne l’existence d’un grand cache d’informations DNS externes car toutes les requêtes DNS externes sur le réseau sont résolues par son intermédiaire. En peu de temps, un redirecteur résout un grand nombre de requêtes DNS externes à l’aide de ces données mises en cache. Cela réduit le trafic Internet sur le réseau et le temps de réponse pour les clients DNS.

Un serveur DNS configuré pour utiliser un redirecteur se comporte différemment d’un serveur DNS non configuré pour utiliser un redirecteur. Le comportement d’un serveur DNS configuré pour utiliser un redirecteur est le suivant :

154



1. Lorsque le serveur DNS reçoit une requête, il tente de la résoudre au moyen des zones qu’il héberge et à l’aide de son cache.

2. Si la requête ne peut pas être résolue à l’aide des données locales, le serveur DNS la transfère au serveur DNS désigné comme redirecteur.

3. Si aucun redirecteur n’est disponible, le serveur DNS tente d’utiliser ses indications de racine pour résoudre la requête.

Lorsqu’un serveur DNS transfère une requête à un redirecteur, il envoie une requête récursive au redirecteur. Celle-ci diffère de la requête itérative envoyée par un serveur DNS à un autre serveur DNS durant une résolution de noms standard (qui n’implique pas de redirecteur).


Un redirecteur conditionnel est un serveur DNS sur un réseau qui transfère des requêtes DNS en fonction du nom de domaine DNS mentionné dans la requête. Par exemple, vous pouvez configurer un serveur DNS de façon à transférer toutes les requêtes qu’il reçoit pour des noms se terminant par corp.contoso.com à l’adresse IP d’un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.

Résolution de noms Internet

Les serveurs DNS peuvent utiliser des redirecteurs conditionnels pour résoudre des requêtes entre les noms de domaine DNS de sociétés qui partagent des informations. Par exemple, deux sociétés, Wingtip Toys et Tailspin Toys, souhaitent améliorer la manière dont les clients DNS de Wingtip Toys résolvent les noms des clients DNS de Tailspin Toys. Les administrateurs de Tailspin Toys informent les administrateurs de Wingtip Toys à propos de l’ensemble de serveurs DNS sur le réseau Tailspin Toys où Wingtip Toys peut envoyer les requêtes pour le domaine dolls.tailspintoys.com. Les serveurs DNS du réseau Wingtip Toys sont configurés pour transférer toutes les requêtes pour les noms se terminant par dolls.tailspintoys.com aux serveurs DNS désignés dans le réseau Tailspin Toys. En conséquence, les serveurs DNS du réseau Wingtip Toys ne sont pas contraints d’interroger leurs serveurs racines internes (ni les serveurs racines Internet) pour résoudre les requêtes de noms se terminant par dolls.tailspintoys.com.

155







Les redirecteurs conditionnels sont des serveurs DNS qui transfèrent des requêtes en fonction des noms de domaine. Plutôt que d’avoir un serveur DNS qui transfère à un redirecteur toutes les requêtes qu’il ne peut résoudre localement, vous pouvez configurer les serveurs DNS de façon à transférer les requêtes vers différents redirecteurs en fonction des noms de domaine spécifiques contenus dans les requêtes. Le transfert sur la base des noms de domaine améliore

156


le transfert conventionnel en ajoutant une condition basée sur le nom au processus de transfert.







Important Un serveur DNS ne peut pas transférer de requêtes pour les noms de domaine compris dans les zones qu’il héberge. Par exemple, le serveur DNS de référence pour la zone widgets.tailspintoys.com ne peut pas transférer de requêtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de référence pour widgets.tailspintoys.com peut

157


transférer des requêtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est délégué à un autre serveur DNS.





présente la correspondance la plus étroite avec la requête de nom de domaine.4. Le serveur DNS transfère la requête au serveur DNS avec l’adresse IP

172.31.255.255, qui est associé à widgets.tailspintoys.com.

158

Planification des zones DNSLorsque vous partitionnez initialement votre espace de noms en zones, vous devez examiner les tendances de trafic dans votre réseau actuel ou proposé. Bien que DNS (Domain Name System) soit conçu pour aider à réduire le trafic de diffusion entre des sous-réseaux locaux, il crée une certaine quantité de trafic entre les serveurs et les clients qui doit être examinée. Cela est particulièrement vrai dans les cas où DNS est utilisé sur les réseaux routés. Pour examiner le trafic DNS, vous pouvez utiliser les statistiques de serveur DNS ou les compteurs de performance DNS fournis avec le Moniteur système.

Outre le routage du trafic, vous devez considérer l’impact des types de communications DNS courants suivants, en particulier lorsque vous opérez sur des liaisons à faible débit sur un réseau étendu :

trafic de serveur à serveur dû aux transferts de zone avec d’autres serveurs DNS et à l’interopérabilité DNS avec d’autres serveurs (par exemple lorsque la recherche WINS (Windows Internet Name Service) est activée) ;

trafic de client à serveur dû aux charges de requêtes et aux mises à jour dynamiques envoyées par des ordinateurs clients DNS ou des serveurs DHCP fournissant la mise à jour dynamique pour les clients DNS de version antérieure qui ne prennent pas en charge les mises à jour dynamiques.

Pour les petits espaces de noms plats, vous pouvez utiliser la réplication complète de toutes les zones DNS sur tous les serveurs DNS de votre réseau. Pour les grands espaces de noms verticaux, cela n’est ni possible ni recommandé. Sur les réseaux de grande taille, il est souvent nécessaire d’étudier, de tester, d’analyser et de réviser vos plans de zones sur la base des tendances de trafic observées ou estimées. Après une analyse minutieuse, vous pouvez partitionner et déléguer vos zones DNS en fonction des impératifs à respecter pour fournir un service de noms efficace et à tolérance de panne à chaque emplacement ou site.

Le service Serveur DNS prend en charge les transferts de zone incrémentiels entre les serveurs qui répliquent une zone standard. Cette fonctionnalité peut réduire les considérations relatives au trafic de réplication DNS ; vous devez donc l’étudier lors de votre planification de zones.

Vous souhaiterez peut-être également envisager l’utilisation de serveurs cache uniquement, qui n’hébergent pas de zones DNS. Les serveurs cache uniquement constituent une bonne option sur les petits sites distants présentant une utilisation stable et minimale du service de noms DNS, mais qui se trouvent de l’autre côté d’un réseau étendu où le transfert d’une grande zone sur une liaison à faible débit peut consommer de grosses quantités de ressources.

159

Planification des serveurs DNSLorsque vous planifiez vos serveurs DNS (Domain Name System), il est important d’effectuer les tâches suivantes :

Effectuer la planification de capacité et examiner les exigences matérielles des serveurs.

Déterminer le nombre de serveurs DNS nécessaires et leur rôle dans votre réseau.

Lors de la prise en compte du nombre de serveurs DNS à utiliser, identifiez les serveurs qui hébergeront des copies principales et secondaires des zones. De plus, si vous utilisez les services de domaine Active Directory (AD DS), déterminez si l’ordinateur serveur assumera la fonction de contrôleur de domaine ou de serveur membre dans le domaine.

Déterminer l’emplacement des serveurs DNS sur votre réseau pour les charges de trafic, la réplication et la tolérance de panne.

Déterminer si vous utilisez uniquement des serveurs DNS exécutant Windows Server 2008 ou une combinaison d’implémentations de serveurs DNS.

Planification de la capacité de serveur

La planification et le déploiement de serveurs DNS sur votre réseau nécessitent l’examen de plusieurs aspects de votre réseau et des exigences de capacité des serveurs DNS que vous prévoyez d’utiliser sur le réseau. Voici quelques questions à se poser lors de la planification de la capacité de serveur DNS :

Combien de zones le serveur DNS devra-t-il charger et héberger ?

Quelle est la taille de chaque zone chargée par le serveur (d’après la taille du fichier de zone ou le nombre d’enregistrements de ressources utilisés dans la zone) ?

Pour un serveur DNS multirésident, quel est le nombre d’interfaces devant être activées pour écouter et servir les clients DNS sur chacun des sous-réseaux connectés au serveur ?

Quelle est la quantité totale de requêtes DNS en provenance de tous ses clients qu’un serveur DNS peut s’attendre à recevoir et à servir ?

Dans de nombreux cas, l’ajout de RAM supplémentaire à un serveur DNS peut provoquer les améliorations de performances les plus remarquables. Cela est dû au fait que le service Serveur DNS charge complètement en mémoire toutes les zones configurées lors de son démarrage. Si votre serveur opère et charge un grand nombre de zones et que des mises à jour dynamiques ont lieu fréquemment pour les clients des zones, il peut être utile d’ajouter de la mémoire.

Sachez que, pour une utilisation ordinaire, le serveur DNS consomme de la mémoire système comme suit :

Environ 4 mégaoctets (Mo) de RAM sont utilisés lorsque le serveur DNS est démarré sans zone.

160

Pour chaque ajout de zones ou d’enregistrements de ressources au serveur, le serveur DNS consomme de la mémoire serveur supplémentaire.

On estime que pour chaque enregistrement de ressource ajouté à une zone de serveur, une moyenne d’environ 100 octets de mémoire serveur est utilisée.

Par exemple, si une zone contenant 1000 enregistrements de ressources est ajoutée à un serveur, elle nécessite environ 100 kilo-octets (Ko) de mémoire serveur.

Lors de la planification des serveurs DNS, vous pouvez commencer par examiner les résultats des tests de performances de serveur DNS recueillis par vos équipes de test et de développement DNS. Vous pouvez également utiliser les compteurs liés aux serveurs DNS fournis avec les outils d’analyse afin d’obtenir vos propres mesures de performances.

Important Les recommandations précédentes n’ont pas pour but d’indiquer les performances maximales ou les limitations des serveurs DNS. Ces chiffres ne constituent que des approximations et peuvent être influencés par le type d’enregistrement de ressource entré dans les zones, le nombre d’enregistrements de ressources avec le même nom de propriétaire et le nombre de zones utilisées sur un serveur DNS spécifique.

Où placer les serveurs DNS ?

Dans la plupart des cas, vous installerez des serveurs DNS sur tous les contrôleurs de domaine. Si toutefois vous avez une bonne raison de ne pas déployer de serveur DNS sur chaque contrôleur de domaine, vous pouvez suivre les recommandations suivantes afin de choisir l’emplacement de vos serveurs DNS.

En général, vous devez placer vos serveurs DNS à un emplacement sur votre réseau qui est facilement accessible à vos clients. Il est généralement plus commode d’utiliser un serveur DNS sur chaque sous-réseau. Plusieurs questions doivent être étudiées afin de déterminer la nécessité de la présence d’un serveur DNS :

Si vous déployez DNS pour prendre en charge les services de domaine Active Directory, l’ordinateur serveur DNS est-il également contrôleur de domaine ou est-il susceptible de devenir contrôleur de domaine dans le futur ?

Si le serveur DNS cesse de répondre, ses clients locaux sont-ils en mesure d’accéder à un autre serveur DNS ?

Si le serveur DNS se trouve sur un sous-réseau qui est distant pour certains de ses clients, quels sont les autres serveurs DNS ou options de résolution de noms disponibles si la connexion routée cesse de répondre ?

Par exemple, si vous avez un réseau local routé et des liaisons à haut débit raisonnablement fiables, vous pourrez peut-être utiliser un serveur DNS pour une zone réseau plus grande à sous-réseaux multiples. Si vous avez un grand nombre de nœuds clients dans une conception à sous-réseau unique, vous souhaiterez peut-être ajouter plusieurs serveurs DNS au sous-réseau afin de fournir des fonctionnalités de sauvegarde et de basculement si le serveur DNS préféré cesse de répondre.

161

Lorsque vous déterminez le nombre de serveurs DNS nécessaires, évaluez l’effet des transferts de zone et du trafic de requêtes DNS sur les liaisons à faible débit de votre réseau. Bien que DNS soit conçu pour aider à réduire le trafic de diffusion entre des sous-réseaux locaux, il crée une certaine quantité de trafic entre les serveurs et les clients qui doit être examinée, en particulier lorsque les serveurs DNS se trouvent dans des environnements de réseau local ou de réseau étendu avec un routage complexe.

Considérez les effets du transfert de zone sur les liaisons à faible débit, telles que celles qui sont généralement utilisées pour une connexion de réseau étendu. Bien que le service Serveur DNS prenne en charge les transferts de zone incrémentiels et que les clients et serveurs DNS puissent mettre en cache les derniers noms utilisés, les considérations relatives au trafic sont parfois encore importantes, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) sont raccourcis et, en conséquence, les mises à jour dynamiques dans DNS sont effectuées plus fréquemment. L’une des options à votre disposition pour gérer les emplacements distants sur des liaisons de réseau étendu consiste à configurer un serveur DNS à ces emplacements afin de fournir un service DNS de mise en cache uniquement.

Dans la plupart des installations, vous devez avoir au moins deux ordinateurs serveurs hébergeant chacune de vos zones DNS, à des fins de tolérance de panne. Lors des ultimes déterminations quant au nombre de serveurs à utiliser, évaluez d’abord le niveau de tolérance de panne adapté à votre réseau.

Lorsqu’un seul serveur DNS est utilisé sur un petit réseau local dans un environnement à sous-réseau unique, vous pouvez configurer ce serveur de façon à simuler les serveurs principal et secondaires pour une zone.

162

Présentation de la réplication de zone DNS dans les services de domaine Active DirectoryVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Pour plus d’informations, voir Présentation de l’intégration aux services de domaine Active Directory.

Le tableau suivant décrit les étendues de réplication de zone disponibles pour les données de zones DNS intégrées aux services de domaine Active Directory.

Étendue de réplication de

zone Description

Tous les serveurs DNS de la forêt qui sont des contrôleurs de domaine exécutant Windows Server 2003 ou Windows Server 2008

Réplique les données de zone sur tous les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 exécutant le service Serveur DNS dans la forêt AD DS. Cette option réplique les données de zone dans la partition ForestDNSZones. Elle procure par conséquent l’étendue de réplication la plus large.

Tous les serveurs DNS du domaine qui sont des contrôleurs de domaine exécutant Windows Server 2003 ou Windows Server 2008

Réplique les données de zone sur tous les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 exécutant le service Serveur DNS dans le domaine Active Directory. Cette option réplique les données de zone dans la partition DomainDNSZone. Il s’agit du paramètre par défaut pour la réplication de zone DNS dans Windows Server 2003 et Windows Server 2008.

Tous les contrôleurs de domaine dans le domaine Active Directory

Réplique les données de zone sur tous les contrôleurs de domaine dans le domaine Active Directory. Si vous souhaitez que des serveurs DNS Windows 2000 chargent une zone intégrée à Active Directory, vous devez spécifier cette étendue pour cette zone.

Tous les contrôleurs de domaine dans une partition d’annuaire d’applications spécifiée

Réplique les données de zone en fonction de l’étendue de réplication de la partition d’annuaire d’applications spécifiée. Pour qu’une zone soit stockée dans la partition de l’annuaire d’applications spécifiée, le serveur DNS hébergeant la zone doit être inscrit dans la partition de l’annuaire d’applications spécifiée. Utilisez cette étendue uniquement lorsque vous souhaitez que les données de zone soient répliquées sur les contrôleurs de domaine dans plusieurs domaines mais pas dans

163


toute la forêt. Pour plus d’informations, voir Créer une partition d’annuaire d’applications DNS et Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS.

Lorsque vous décidez de l’étendue de réplication à utiliser, sachez que plus l’étendue de réplication sera large, plus le trafic réseau engendré par la réplication sera élevé. Par exemple, si vous décidez de répliquer des données de zones DNS intégrées aux services de domaine Active Directory sur tous les serveurs DNS de la forêt, le trafic réseau sera plus important que si vous répliquez les données de zones sur tous les serveurs DNS d’un domaine AD DS unique dans cette forêt.

Les données de zones DNS intégrées aux services de domaine Active Directory qui sont stockées dans une partition d’annuaire d’applications ne sont pas répliquées dans le catalogue global de la forêt. Le contrôleur de domaine qui contient le catalogue global peut également héberger des partitions d’annuaire d’applications, mais il ne répliquera pas ces données dans son catalogue global.

Des données de zones DNS intégrées aux services de domaine Active Directory qui sont stockées dans une partition de domaine sont répliquées sur tous les contrôleurs de domaine de leur domaine AD DS et une partie de ces données sont stockées dans le catalogue global. Ce paramètre est destiné à la prise en charge de Windows 2000.

Si l’étendue de réplication d’une partition d’annuaire d’applications couvre plusieurs sites AD DS, la réplication aura lieu avec la même planification de réplication intersite que celle utilisée pour les données de partition de domaine.

Par défaut, le service Ouverture de session réseau inscrit les enregistrements de ressources DNS du localisateur de contrôleurs de domaine pour les partitions d’annuaire d’applications qui sont hébergées sur un contrôleur de domaine de la même manière qu’il inscrit ceux de la partition de domaine hébergée sur un contrôleur de domaine.

164





Installer un serveur DNSL’installation d’un serveur DNS (Domain Name System) nécessite l’ajout du rôle de serveur DNS à un serveur Windows Server 2008 existant. Vous pouvez également installer le rôle de serveur DNS lors de l’installation du rôle de services de domaine Active Directory (AD DS). Il s’agit de la méthode recommandée pour l’installation du rôle de serveur DNS si vous souhaitez intégrer votre espace de noms de domaine DNS à l’espace de noms de domaine AD DS.


Pour installer un serveur DNS

1. Ouvrez le Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur Démarrer, puis sur Gestionnaire de serveur.

2. Dans le volet de résultats, sous Résumé des rôles, cliquez sur Ajouter des rôles.

3. Dans l’Assistant Ajout de rôles, si la page Avant de commencer s’affiche, cliquez sur Suivant.

4. Dans la liste Rôles, cliquez sur Serveur DNS, puis sur Suivant.

5. Lisez les informations de la page Serveur DNS, puis cliquez sur Suivant.

6. Dans la page Confirmer les options d’installation, vérifiez que le rôle Serveur DNS sera installé, puis cliquez sur Installer.


Nous vous recommandons de configurer l’ordinateur de façon à utiliser une adresse IP statique. Si le serveur DNS est configuré de façon à utiliser des adresses dynamiques affectées par le serveur DHCP, lorsque celui-ci affectera une nouvelle adresse IP au serveur DNS, les clients DNS configurés pour utiliser la précédente adresse IP de ce serveur DNS seront dans l’incapacité de résoudre la précédente adresse IP et de trouver le serveur DNS.

Après avoir installé un serveur DNS, vous pouvez décider de la manière d’administrer le serveur et ses zones. Bien qu’il soit possible d’utiliser un éditeur de texte pour apporter des modifications aux fichiers de zone et d’amorçage du serveur, cette méthode n’est pas recommandée. Le Gestionnaire DNS et l’outil en ligne de commande DNS, dnscmd, simplifient la maintenance de ces fichiers et doivent être utilisés dans la mesure du possible. Une fois que vous avez commencé à utiliser le

165

Gestionnaire DNS ou l’outil en ligne de commande pour gérer ces fichiers, leur modification manuelle n’est pas recommandée.

Vous pouvez administrer des zones DNS intégrées aux services de domaine Active Directory uniquement avec le Gestionnaire DNS ou l’outil en ligne de commande dnscmd. Vous ne pouvez pas administrer ces zones avec un éditeur de texte.

Si vous désinstallez un serveur DNS qui héberge des zones DNS intégrées aux services de domaine Active Directory, ces zones sont enregistrées ou supprimées en fonction de leur type de stockage. Pour tous les types de stockages, les données de zone sont stockées sur d’autres contrôleurs de domaine ou serveurs DNS. Les données de zone ne sont pas supprimées, à moins que le serveur DNS que vous désinstallez ne soit le dernier serveur DNS hébergeant cette zone.

Si vous désinstallez un serveur DNS qui héberge des zones DNS standard, les fichiers de zone demeurent dans le répertoire %systemroot%\system32\Dns, mais elles ne sont pas rechargées si le serveur DNS est réinstallé. Si vous créez une nouvelle zone avec le même nom que l’ancienne zone, l’ancien fichier de zone est remplacé par le nouveau fichier de zone.

Lorsqu’ils écrivent des données de zone et d’amorçage de serveur DNS dans les fichiers texte, les serveurs DNS utilisent le format de fichier BIND (Berkeley Internet Name Domain) qui est reconnu par les serveurs BIND 4 hérités, et non le format BIND 8 plus récent.

166

Configurer un serveur DNS pour une utilisation avec les services de domaine Active DirectoryLorsque vous installez les services de domaine Active Directory (AD DS) avec l’Assistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilité d’installer et de configurer automatiquement un serveur DNS. La zone DNS résultante est intégrée au domaine AD DS contrôlé par ce serveur AD DS.




167

Configurer un nouveau serveur DNSLorsqu’un nouveau serveur DNS (Domain Name System) n’est pas installé sur un contrôleur de domaine, vous effectuez en général les tâches suivantes pour le configurer :

Créer une zone de recherche directe et (facultatif) inversée.

Déterminer si le serveur autorisera les mises à jour dynamiques (y compris les mises à jour non sécurisées).

Déterminer si les requêtes seront transférées et vers quels serveurs.

Au lieu de configurer ces paramètres, vous pouvez choisir de configurer le serveur de façon à utiliser des indications de racine afin de pouvoir effectuer ces tâches de configuration ultérieurement.


Configuration d’un nouveau serveur DNS



Pour configurer un nouveau serveur DNS à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Si nécessaire, ajoutez le serveur applicable au composant logiciel enfichable, puis

établissez une connexion.

3. Dans l’arborescence de la console, cliquez sur le serveur DNS applicable.

Où ?

o DNS/Serveur DNS

4. Dans le menu Action, cliquez sur Configurer un serveur DNS.

5. Suivez les instructions dans l’Assistant Configuration d’un serveur DNS.

168



Si le serveur DNS s’exécute localement, l’étape 2 est facultative. Lorsque vous aurez terminé de configurer le serveur, vous devrez peut-être effectuer

des tâches supplémentaires, telles que l’activation des mises à jour dynamiques pour ses zones ou l’ajout d’enregistrement de ressources à ses zones.

Pour configurer un nouveau serveur DNS à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} <Property> {1|0}



<NomServeur>


/Config Indique que la commande configure la zone spécifiée.

{<NomZone>|..AllZones}Spécifie le nom de la zone à configurer. Pour appliquer la configuration à toutes les zones hébergées par le serveur DNS spécifié, tapez ..AllZones.

<Propriété>

Spécifie la propriété de serveur ou la propriété de zone à configurer. Différentes propriétés sont disponibles pour les serveurs et les zones. Pour afficher une liste des propriétés disponibles, à l’invite de commandes, tapez : dnscmd /Config /help.

{1|0}

Définit les options de configuration à la valeur 1 (actif) ou 0 (inactif). Notez que certaines propriétés de serveur et de zone doivent être réinitialisées dans le cadre d’une opération plus complexe.



169



Lorsque vous aurez terminé de configurer le serveur, vous devrez peut-être effectuer des tâches supplémentaires, telles que l’activation des mises à jour dynamiques pour ses zones ou l’ajout d’enregistrements de ressources à ses zones.









Où ?

170




















171
















La commande /ZoneAdd ajoute la zone spécifiée par le paramètre NomZone. Le paramètre AdresseIP est l’adresse IP à laquelle le serveur DNS transfèrera les requêtes DNS non solubles. Le paramètre /Slave définit le serveur DNS comme serveur subordonné. Le paramètre /NoSlave (valeur par défaut) définit le serveur DNS comme

172

serveur non subordonné, ce qui signifie qu’il effectuera la récursivité. Les paramètres /Timeout et Durée sont décrits dans le tableau précédent.








173

Créer une partition d’annuaire d’applications DNSVous pouvez stocker des zones DNS (Domain Name System) dans les partitions de l’annuaire d’applications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de données dans les services de domaine Active Directory qui distingue les données pour différentes fonctions de réplication. Lorsque vous créez une partition d’annuaire d’applications pour DNS, vous pouvez contrôler l’étendue de la réplication pour la zone stockée dans cette partition. Pour plus d’informations, voir Présentation de l’intégration aux services de domaine Active Directory.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs de l’entreprise.

Pour créer une partition d’annuaire d’applications DNS


dnscmd <ServerName> /CreateDirectoryPartition <FQDN>



<NomServeur>


/CreateDirectoryPartition Obligatoire. Crée une partition d’annuaire d’applications DNS.

<NomDomaineComplet> Obligatoire. Spécifie le nom de la nouvelle partition d’annuaire d’applications DNS. Vous devez utiliser un nom de domaine complet DNS.


dnscmd /CreateDirectoryPartition /?

174




Enrôler un serveur DNS dans une partition de l’annuaire d’applications DNSAprès avoir créé une partition de l’annuaire d’applications DNS (Domain Name System) pour stocker une zone, vous devez enrôler le serveur DNS qui héberge la zone dans la partition de l’annuaire d’applications. Pour plus d’informations, voir Présentation de la réplication de zone DNS dans les services de domaine Active Directory.

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine, ou à un compte équivalent.

Pour enrôler un serveur DNS dans une partition de l’annuaire d’applications DNS


dnscmd <ServerName> /EnlistDirectoryPartition <FQDN>

Valeur Description


<NomServeur>


/EnlistDirectoryPartition Obligatoire. Enrôle un serveur DNS dans une partition de l’annuaire d’applications DNS.

<NomDomaineComplet> Obligatoire. Spécifie le nom de domaine complet de la partition de l’annuaire d’applications DNS.


dnscmd /EnlistDirectoryPartition /?

175





Supprimer un serveur DNS d’une partition de l’annuaire d’applications DNSVous pouvez appliquer cette procédure lorsque vous ne souhaitez plus que le serveur DNS (Domain Name System) participe à la réplication de la zone hébergée dans une partition d’annuaire d’applications DNS. Vous ne pouvez pas supprimer un serveur DNS des partitions d’annuaire d’applications DomainDnsZones et ForestDnsZones.

Pour effectuer cette procédure, vous devez être membre du groupe DnsAdmins, ou Admins du domaine dans les services de domaine Active Directory (AD DS), ou avoir reçu par délégation les autorisations nécessaires.

Pour supprimer un serveur DNS d’une partition de l’annuaire d’applications DNS


dnscmd <ServerName> /UnenlistDirectoryPartition <FQDN>



<NomServeur>


/UnenlistDirectoryPartition Obligatoire. Supprime un serveur DNS d’une partition de l’annuaire d’applications DNS.

176

<NomDomaineComplet> Obligatoire. Spécifie le nom de domaine complet de la partition d’annuaire d’applications DNS de laquelle vous supprimez le serveur DNS spécifié par NomServeur.


dnscmd /UnenlistDirectoryPartition /?

Modifier la méthode d’amorçage utilisée par le serveur DNSVous pouvez appliquer cette procédure pour déterminer si le serveur DNS (Domain Name System) obtient ses informations de démarrage à partir du Registre, d’un fichier d’amorçage ou des services de domaine Active Directory (AD DS).

Par défaut, les serveurs DNS utilisent les informations stockées dans le Registre pour initialiser le service et charger toutes les données de zone à utiliser sur le serveur. En guise d’options supplémentaires, vous pouvez configurer le serveur DNS pour qu’il s’amorce à partir d’un fichier ou, dans les environnements AD DS, vous pouvez compléter les données de Registre locales avec des données de zone récupérées pour des zones intégrées à l’annuaire stockées dans la base de données Active Directory. Si vous utilisez un fichier d’amorçage, le fichier utilisé doit être un fichier texte nommé Boot et il doit être situé sur cet ordinateur dans le dossier %systemroot%\Windows\System32\Dns.


Pour modifier la méthode d’amorçage utilisée par le serveur DNS




4. Dans la liste Charger les données de zone au démarrage, sélectionnez À partir du Registre, À partir d’un fichier ou À partir de Active Directory et du Registre

177

Configuration de serveurs multirésidentsConfiguration de serveurs multirésidents

Pour les serveurs DNS multirésidents (à savoir, les serveurs DNS disposant de plusieurs adresses IP), vous pouvez configurer le service Serveur DNS de façon à activer et lier de manière sélective uniquement les adresses IP spécifiées à l’aide du Gestionnaire DNS. Cela vous permet de vous assurer que seuls les serveurs et clients configurés pour utiliser les adresses IP spécifiées peuvent envoyer des requêtes au serveur DNS. Pour les serveurs proxy connectés à Internet, par exemple, vous pouvez utiliser cette fonctionnalité afin de garantir que seuls les clients du réseau interne peuvent accéder aux données DNS. Par défaut, le service Serveur DNS établit une liaison à toutes les adresses IP configurées pour l’ordinateur. Il peut s’agir des interfaces suivantes :

toute adresse IP supplémentaire configurée pour une connexion réseau unique ;

des adresses IP individuelles configurées pour chaque connexion distincte dans le cas où plusieurs connexions réseau sont installées sur le serveur.

Pour les serveurs DNS multirésidents, vous pouvez limiter la prise en charge DNS pour des adresses IP sélectionnées. Lorsque cette fonctionnalité est activée, le service Serveur DNS écoute et répond uniquement aux requêtes envoyées aux adresses IP spécifiées sous l’onglet Interface dans les propriétés du serveur.

Quand faut-il spécifier des interfaces ?

Par défaut, le service Serveur DNS écoute toutes les adresses IP et accepte toutes les demandes de clients envoyées à ses ports de service par défaut (UDP 53 et TCP 53). Si vous souhaitez que le serveur DNS ne réponde pas aux demandes envoyées à certaines adresses,

178

par exemple si ces adresses correspondent à des interfaces externes, vous pouvez configurer le serveur DNS pour qu’il réponde aux demandes reçues seulement sur certaines de ses interfaces.

Considérations supplémentaires relatives aux serveurs DNS multirésidents

Vous devez prendre en compte les éléments suivants lors de la configuration d’adresses IP supplémentaires et de leur activation pour une utilisation avec un serveur DNS :

Des ressources de serveur supplémentaires sont consommées sur l’ordinateur serveur.

Bien que DNS permette de configurer plusieurs adresses IP pour une utilisation avec n’importe lesquelles de vos cartes réseau installées, cela ne présente aucun avantage en termes de performances.

Même si le serveur DNS gère plusieurs zones inscrites pour une utilisation Internet, le processus d’inscription Internet ne vous oblige pas à inscrire différentes adresses IP pour chaque zone.

Étant donné ces considérations :

Sachez que, lorsque vous ajoutez des adresses IP pour une utilisation avec des serveurs IP, chaque adresse supplémentaire risque de n’améliorer que légèrement les performances du serveur. Dans le cas où vous activez l’utilisation d’un grand nombre d’adresses IP, vous risquez de constater une dégradation des performances du serveur.

En général, lorsque vous ajoutez du matériel réseau à l’ordinateur serveur, vous devez affecter une seule adresse IP principale à chaque connexion réseau.

Dans la mesure du possible, supprimez des configurations TCP/IP de serveur existantes les adresses IP qui ne sont pas essentielles.

179

Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnéesPar défaut, un service Serveur DNS qui s’exécute sur un ordinateur multirésident est configuré de façon à écouter les requêtes DNS avec toutes ses adresses IP. Vous pouvez renforcer la sécurité du serveur DNS en limitant les adresses IP écoutées par le service Serveur DNS à l’adresse IP utilisée par ses clients DNS comme serveur DNS préféré.


Limitation d’un serveur DNS de façon à écouter uniquement les adresses sélectionnées



Pour limiter un serveur DNS pour écouter uniquement les adresses sélectionnées à l’aide de l’interface Windows


Où ?



180

4. Sous l’onglet Interfaces, cliquez sur Uniquement les adresses IP suivantes.

5. Dans Adresse IP, tapez une adresse IP à activer pour ce serveur DNS, puis cliquez sur Ajouter.

6. Répétez l’étape précédente si nécessaire pour spécifier d’autres adresses IP de serveur à activer pour ce serveur DNS.

Pour supprimer une adresse IP de la liste, cliquez dessus, puis cliquez sur Supprimer.



Par défaut, le service Serveur DNS écoute les communications de messages DNS sur toutes les adresses IP configurées pour l’ordinateur serveur.




Pour limiter un serveur DNS pour écouter uniquement les adresses sélectionnées à l’aide d’une ligne de commande


dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]



<NomServeur>


/ResetListenAddressesObligatoire. Réinitialise les adresses IP des interfaces sur lesquelles le serveur DNS écoute.

181

<AdresseÉcoute> ...

Spécifie une ou plusieurs adresses IP pour les interfaces sur lesquelles vous souhaitez que le serveur DNS écoute. Par défaut, le service Serveur DNS écoute les communications de messages DNS sur toutes les adresses IP configurées pour l’ordinateur serveur.


dnscmd <ServerName> /ResetListenAddresses /help






182

Sécuriser le cache de serveur contre la pollution des nomsPar défaut, le service Serveur DNS est sécurisé contre la pollution du cache, qui se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité. L’option Sécuriser le cache contre la pollution empêche un agresseur de polluer le cache d’un serveur DNS avec des enregistrements de ressources qui n’ont pas été demandés par le serveur DNS. La modification de ce paramètre par défaut réduit l’intégrité des réponses fournies par le service Serveur DNS. Vous pouvez appliquer cette procédure pour restaurer le paramètre par défaut s’il a été modifié précédemment.


Pour sécuriser le cache de serveur contre la pollution des noms


Où ?




183

5. Dans Options de serveur, activez la case à cocher Sécuriser le cache contre la pollution, puis cliquez sur OK.



L’option Sécuriser le cache contre la pollution est activée par défaut.

Modifier la sécurité du service Serveur DNS sur un contrôleur de domaineVous pouvez appliquer cette procédure pour spécifier qui peut administrer le service Serveur DNS lorsqu’il s’exécute sur un contrôleur de domaine. Elle n’affecte cependant pas les catégories d’utilisateurs pouvant administrer des zones et des enregistrements de ressources hébergés sur le serveur.


Pour modifier la sécurité du service Serveur DNS sur un contrôleur de domaine

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur


Où ?


3. Sous l’onglet Sécurité, modifiez la liste des utilisateurs ou groupes membres autorisés à administrer le serveur applicable.

184



Les listes de contrôle d’accès Active Directory sont prises en charge pour le service Serveur DNS uniquement lorsqu’il s’exécute sur un contrôleur de domaine.

Désactiver la récursivité sur le serveur DNSPar défaut, le serveur DNS effectue des requêtes récursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes de clients DNS. La récursivité est une technique de résolution de noms dans laquelle un serveur DNS interroge d’autres serveurs DNS pour le compte du client demandeur afin de résoudre totalement le nom, puis il envoie une réponse au client.

Les agresseurs peuvent utiliser la récursivité afin de créer un déni de service Serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursivité doit être désactivée sur ce serveur.


Désactivation de la récursivité sur le serveur DNS



Pour désactiver la récursivité sur le serveur DNS à l’aide de l’interface Windows


185

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Propriétés.

Où ?



4. Dans Options de serveur, activez la case à cocher Désactiver la récursivité, puis cliquez sur OK.




Pour désactiver la récursivité sur le serveur DNS à l’aide d’une ligne de commande


dnscmd <ServerName> /Config /NoRecursion {1|0}



<NomServeur> Obligatoire. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/Config Obligatoire. Indique que la commande configure le serveur spécifié.

/NoRecursion Obligatoire. Désactive la récursivité.

{1|0}Obligatoire. Pour désactiver la récursivité, tapez 1 (désactivée). Pour activer la récursivité, tapez 0 (activée). Par défaut, la récursivité est activée.



186




Mise à jour des indications de racineVous pouvez utiliser des indications de racine pour préparer des serveurs de référence pour des zones non-racines de sorte qu’ils puissent découvrir les serveurs de référence qui gèrent des domaines à un niveau supérieur ou dans d’autres sous-arborescences de l’espace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorité à des niveaux inférieurs de l’espace de noms lors de la recherche d’autres serveurs dans ces conditions.

Par exemple, supposez qu’un serveur DNS (Serveur A) possède une zone nommée sub.corp.contoso.com. Durant la réponse à une requête pour un domaine de niveau supérieur, tel que le domaine corp.contoso.com, le Serveur A a besoin d’assistance pour trouver un serveur de référence (tel que le Serveur B) pour ce domaine.

Pour que le Serveur A trouve le Serveur B (ou tout autre serveur de référence pour le domaine contoso.com, le Serveur A doit être en mesure d’interroger les serveurs racines de l’espace de noms DNS. Les serveurs racines peuvent ensuite renvoyer le Serveur A aux serveurs de référence du domaine com. Les serveurs de référence du domaine com peuvent, à leur tour,

187

offrir une référence au Serveur B ou autres serveurs qui font autorité pour le domaine contoso.com. Les indications de racine utilisées par le Serveur A doivent avoir des indications utiles vers les serveurs racines pour que ce processus trouve le Serveur B (ou un autre serveur de référence) comme demandé.

Pour configurer et utiliser des indications de racine correctement, répondez tout d’abord aux questions suivantes relatives à votre serveur DNS :

Utilisez-vous DNS sur Internet ou sur un réseau privé ?

Le serveur DNS est-il utilisé en tant que serveur racine ?

Par défaut, le service Serveur DNS implémente des indications de racine en utilisant un fichier, Cache.dns, stocké dans le dossier %systemroot%\System32\Dns sur l’ordinateur serveur. Ce fichier contient normalement les enregistrements de ressources hôte et de serveur de noms pour les serveurs racines Internet. Si, toutefois, vous utilisez le service Serveur DNS sur un réseau privé, vous pouvez modifier ou remplacer ce fichier par des enregistrements similaires qui pointent vers vos propres serveurs DNS racines internes.

Les indications de racine sont également traitées différemment lorsqu’un serveur DNS est configuré pour être utilisé par d’autres serveurs DNS dans un espace de noms interne en tant que redirecteur pour toute requête DNS de noms gérés de manière externe (par exemple sur Internet). Même si le serveur DNS utilisé comme redirecteur peut être placé sur le même réseau interne que des serveurs qui l’utilisent comme redirecteur, il a besoin d’indications pour que les serveurs racines Internet fonctionnent correctement et résolvent les noms externes.

Si un serveur DNS est configuré pour accéder à d’autres serveurs DNS, par exemple par le biais d’une liste de serveurs DNS configurée dans ses propriétés client TCP/IP pour une connexion réseau installée, le service Serveur DNS est capable de rassembler ses propres indications de racine durant une nouvelle configuration de serveur. Vous pouvez pour cela utiliser l’Assistant Configuration d’un serveur DNS.

188

Mettre à jour des indications de racine sur le serveur DNSVous pouvez utiliser des indications de racine pour préparer des serveurs de référence pour des zones non-racines de sorte qu’ils puissent découvrir les serveurs de référence qui gèrent des domaines à un niveau supérieur ou dans d’autres sous-arborescences de l’espace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorité à des niveaux inférieurs de l’espace de noms lors de la recherche d’autres serveurs dans ces conditions.


Pour mettre à jour des indications de racine sur le serveur DNS


189

2. Dans l’arborescence de la console, cliquez sur le serveur DNS applicable.

Où ?



4. Cliquez sur l’onglet Indications de racine.

5. Modifiez les indications de racine de serveur comme suit :

o Pour ajouter un serveur racine à la liste, cliquez sur Ajouter, puis spécifiez le nom et l’adresse IP du serveur à ajouter.

o Pour modifier un serveur racine dans la liste, cliquez sur Modifier, puis spécifiez le nom et l’adresse IP du serveur à modifier.

o Pour supprimer un serveur racine de la liste, sélectionnez-le dans la liste, puis cliquez sur Supprimer.

o Pour copier des indications de racine depuis un serveur DNS, cliquez sur Copier à partir du serveur, puis spécifiez l’adresse IP du serveur DNS à partir duquel vous souhaitez copier une liste de serveurs racines à utiliser pour résoudre les requêtes. Ces indications de racine ne remplaceront pas d’indications de racine existantes.

Gestion de serveurs et de zonesVous pouvez utiliser Gestionnaire DNS, le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console), pour gérer le serveur DNS (Domain Name System) local ainsi que les serveurs DNS distants. Vous pouvez démarrer, arrêter ou suspendre un serveur DNS par le biais du Gestionnaire DNS ou d’une ligne de commande. Vous pouvez également suspendre et redémarrer des zones spécifiques hébergées par le serveur.

Ajouter un serveur au Gestionnaire DNS

Supprimer un serveur du Gestionnaire DNS Démarrer ou arrêter un serveur DNS Suspendre une zone ou remettre une zone en service

190





Ajouter un serveur au Gestionnaire DNSVous pouvez appliquer cette procédure pour ajouter un serveur local ou distant au Gestionnaire DNS afin de pouvoir le gérer.


Pour ajouter un serveur au Gestionnaire DNS

1. Ouvrez le Gestionnaire DNS.2. Dans le menu Action, cliquez sur Établir une connexion au serveur DNS.

3. Dans Connexion au serveur DNS, cliquez sur l’une des options suivantes :

o Cet ordinateur, si le serveur auquel vous souhaitez vous connecter se trouve sur le même ordinateur que celui que vous utilisez pour le gérer.

o L’ ordinateur suivant, si le serveur auquel vous souhaitez vous connecter se trouve sur un ordinateur distant.

191

Si vous choisissez de vous connecter à un serveur distant, spécifiez son nom d’ordinateur DNS (Domain Name System) ou son adresse IP.

4. Activez la case à cocher Se connecter à l’ordinateur spécifié maintenant, puis cliquez sur OK.

Supprimer un serveur du Gestionnaire DNSVous pouvez appliquer cette procédure pour supprimer un serveur distant du Gestionnaire DNS.


Pour supprimer un serveur du Gestionnaire DNS

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez sur le serveur DNS (Domain Name

System) applicable.

3. Dans le menu Action, cliquez sur Supprimer.

4. Lorsque vous êtes invité à confirmer la suppression de ce serveur de la liste, cliquez sur OK.

192

Démarrer ou arrêter un serveur DNSVous pouvez appliquer cette procédure pour contrôler si le service Serveur DNS s’exécute et est capable de répondre aux requêtes.


Pour démarrer ou arrêter un serveur DNS

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez sur le serveur DNS (Domain Name

System) applicable.

3. Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur l’un des éléments suivants :

193

o Pour démarrer le service, cliquez sur Démarrer.o Pour arrêter le service, cliquez sur Arrêter.o Pour interrompre le service, cliquez sur Pause.

4. Pour arrêter puis redémarrer automatiquement le service, cliquez sur Redémarrer.



Après avoir suspendu ou arrêté le service, dans le menu Action, dans Toutes les tâches, vous pouvez cliquer sur Reprendre pour reprendre immédiatement le service.

Lorsque la méthode d’amorçage de votre serveur est configurée pour charger des données de zone depuis le Registre, les modifications sont appliquées aux serveurs DNS uniquement lorsque le service Serveur DNS est réinitialisé. Dans ce cas, si une valeur DNS est modifié manuellement directement dans le Registre, le service Serveur DNS doit toujours être redémarré pour que la nouvelle valeur soit utilisée.

Suspendre une zone ou remettre une zone en serviceVous pouvez appliquer cette procédure pour contrôler si une zone répond aux requêtes ou aux demandes de transfert.


Suspension d’une zone ou remise en service d’une zone



194

Pour suspendre une zone ou remettre une zone en service à l’aide de l’interface Windows


Où ?

o DNS/serveur_DNS_applicable/Zones de recherche directe (ou Zones de recherche inversée)/zone_applicable


4. Sous l’onglet Général, cliquez sur Pause ou Démarrer, puis sur OK.



Par défaut, les zones sont démarrées lorsqu’elles sont créées ou chargées sur le serveur. Après avoir appliqué cette procédure pour suspendre une zone, vous devez redémarrer la zone pour qu’elle soit disponible pour servir les clients ou pour la mise à jour de zone.

Pour suspendre une zone ou remettre une zone en service à l’aide d’une ligne de commande

1. Ouvrez une invite de commandes.2. Effectuez l’une des actions suivantes :

o Pour suspendre la zone, tapez la commande suivante, puis appuyez sur Entrée :

dnscmd <ServerName> /ZonePause <ZoneName>

o Pour remettre la zone en service, tapez la commande suivante, puis appuyez sur Entrée :

dnscmd <ServerName> /ZoneResume <ZoneName>


dnscmd Gère les serveurs DNS.

NomServeurObligatoire. Spécifie le nom d’hôte DNS (Domain Name System) du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/ZonePause Obligatoire. Suspend la zone.

195

/ZoneResume Obligatoire. Remet la zone en service.


Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez l’une des commandes suivantes et appuyez sur Entrée :

dnscmd <ServerName> /ZonePause /help

Ajout de zonesDans DNS (Domain Name System), un espace de noms DNS peut être divisé en zones. Les zones contiennent des informations sur les noms concernant un ou plusieurs domaines DNS. Pour chaque nom de domaine DNS inclus dans une zone, la zone devient la source d’autorité pour les informations relatives à ce domaine.

Une zone commence comme base de données pour un seul nom de domaine DNS. Si d’autres domaines sont ajoutés sous le domaine utilisé pour créer la zone, ces domaines peuvent soit faire partie de la même zone, soit appartenir à une autre zone.

196

Les zones de recherche directe fournissent une résolution nom-à-adresse. Les zones de recherche inversée sont facultatives et fournissent une résolution adresse-à-nom.

Vous pouvez déployer une zone de recherche directe spéciale nommée GlobalNames afin de fournir une résolution des noms composés d’une seule partie (à savoir, les noms qui ne contiennent pas le nom du domaine parent) lorsque vous ne pouvez pas utiliser le service WINS (Windows Internet Name Service) ou des listes de recherche de suffixe.

Les rubriques suivantes contiennent une brève explication des zones. Elles expliquent également comment créer des zones et les supprimer de l’espace de noms DNS.

Présentation des zones

Présentation des types de zones Présentation de la recherche inversée Ajouter une zone de recherche directe Ajouter une zone de recherche inversée Ajouter une zone de stub Déploiement d’une zone GlobalNames

Présentation des zonesEn plus de diviser votre espace de noms DNS (Domain Name System) en domaines, vous pouvez également le diviser en zones qui stockent des informations de noms concernant un ou plusieurs domaines DNS. Une zone est la source d’informations faisant autorité concernant chaque nom de domaine DNS inclus dans la zone.

Une zone commence par un seul nom de domaine DNS. Si d’autres domaines sont ajoutés sous le domaine initial, ces domaines peuvent soit faire partie de la même zone, soit appartenir à une autre zone. Autrement dit, lorsque vous ajoutez un sous-domaine, vous pouvez soit l’inclure dans la zone d’origine, soit le déléguer à une autre zone que vous créez pour prendre en charge le sous-domaine.

Par exemple, l’illustration suivante montre le domaine microsoft.com, qui contient des noms de domaines pour Microsoft. Lorsque le domaine microsoft.com est créé initialement sur un

197








serveur, il est configuré en tant que zone unique pour tout l’espace de noms DNS Microsoft. Si le domaine microsoft.com doit utiliser des sous-domaines, ces derniers doivent être inclus dans la zone ou être délégués à une autre zone.

Dans cette illustration, le domaine example.microsoft.com a un sous-domaine (le domaine example.microsoft.com) délégué à partir de la zone microsoft.com et géré dans sa propre zone. Toutefois, la zone microsoft.com doit contenir quelques enregistrements de ressources afin de fournir des informations de délégation qui font référence aux serveurs DNS faisant autorité pour le sous-domaine example.microsoft.com délégué.

Si la zone microsoft.com n’utilise pas la délégation pour un sous-domaine, toute donnée pour le sous-domaine appartient encore à la zone microsoft.com. Par exemple, le sous-domaine dev.microsoft.com n’est pas délégué, mais il est géré par la zone microsoft.com.

Réplication et transferts de zone

Étant donné le rôle important assumé par les zones dans DNS, elles doivent être disponibles depuis plusieurs serveurs DNS sur le réseau afin de pouvoir procurer une disponibilité et une tolérance de panne. Autrement, si un seul serveur est disponible et qu’il ne répond pas, les requêtes de noms appartenant à la zone peuvent échouer. Pour que des serveurs supplémentaires puissent héberger une zone, des transferts de zone sont nécessaires pour la réplication et la synchronisation de toutes les copies de la zone utilisées sur chaque serveur configuré pour héberger la zone.

Lorsqu’un nouveau serveur DNS est ajouté au réseau et configuré comme nouveau serveur secondaire pour une zone existante, il effectue un transfert initial complet de la zone afin

198

d’obtenir et de répliquer une copie complète des enregistrements de ressources de la zone. La plupart des implémentations de serveur DNS antérieures utilisent cette méthode de transfert complet pour une zone lorsque celle-ci nécessite une mise à jour après que des modifications y ont été apportées. Pour les serveurs DNS exécutant Windows Server 2003 et Windows Server 2008, le service Serveur DNS prend en charge le transfert de zone incrémentiel, un processus de transfert de zone DNS révisé pour les modifications intermédiaires. Les transferts incrémentiels constituent une méthode plus efficace de propagation des modifications et mises à jour de zone. Contrairement aux implémentations DNS antérieures, dans lesquelles toute demande de mise à jour de données de zone nécessitait un transfert complet de l’intégralité de la base de données de zone, avec le transfert incrémentiel le serveur secondaire peut extraire uniquement les modifications de zone dont il a besoin pour synchroniser sa copie de la zone avec sa source, une copie principale ou secondaire de la zone maintenue par un autre serveur DNS.

Présentation des types de zonesLe service Serveur DNS propose trois types de zones :

Zone principale

Zone secondaire Zone de stub

Remarques Si le serveur DNS est également un contrôleur de domaine des services de domaine Active Directory (AD DS), les zones principales et zones de stub peuvent être stockées dans les services de domaine Active Directory. Pour plus d’informations, voir Présentation de

199


l’intégration aux services de domaine Active Directory.

Les sections suivantes décrivent chacun de ces types de zones.

Zone principale

Lorsqu’une zone hébergée par ce serveur DNS est une zone principale, le serveur DNS est la source principale d’informations concernant cette zone et il stocke la copie maître des données de zone dans un fichier local ou dans les services de domaine Active Directory. Lorsque la zone est stockée dans un fichier, par défaut le fichier de zone principale se nomme nom_zone.dns et il se trouve dans le dossier %windir%\System32\Dns sur le serveur.

Zone secondaire

Lorsqu’une zone hébergée par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire d’informations concernant cette zone. La zone sur ce serveur doit être obtenue à partir d’un autre ordinateur serveur DNS distant qui héberge également la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant qui lui fournit des informations mises à jour concernant la zone. Une zone secondaire étant simplement une copie d’une zone principale hébergée sur un autre serveur, elle ne peut pas être stockée dans les services de domaine Active Directory.

Zone de stub

Lorsqu’une zone hébergée par ce serveur DNS est une zone de stub, ce serveur DNS est une source d’informations concernant uniquement les serveurs de noms faisant autorité pour cette zone. La zone sur ce serveur doit être obtenue à partir d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant afin de pouvoir copier les informations relatives aux serveurs de noms faisant autorité concernant la zone.

Vous pouvez utiliser des zones de stub pour :

maintenir à jour les informations de zones déléguées. Grâce à la mise à jour régulière d’une zone de stub pour l’une de ses zones enfants, le serveur DNS qui héberge la zone parente et la zone de stub maintiendra une liste à jour des serveurs DNS de référence pour la zone enfant.

améliorer la résolution de noms. Les zones de stub permettent à un serveur DNS d’effectuer la récursivité à l’aide de la liste de serveurs de noms de la zone de stub sans avoir à interroger un serveur racine interne ou Internet pour l’espace de noms DNS.

simplifier l’administration DNS. L’utilisation de zones de stub dans toute votre infrastructure DNS vous permet de distribuer une liste de serveurs DNS de référence pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub ne remplissent pas le même rôle que les zones secondaires et elles ne constituent pas une alternative pour l’amélioration de la redondance et du partage de la charge.

200


Deux listes de serveurs DNS sont impliquées dans le chargement et la maintenance d’une zone de stub :

La liste de serveurs maîtres à partir de laquelle le serveur DNS charge et met à jour une zone de stub. Un serveur maître peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il disposera d’une liste complète des serveurs DNS pour la zone.

La liste des serveurs DNS de référence pour la zone. Cette liste est contenue dans la zone de stub avec des enregistrements de serveur de noms (NS).

Lorsqu’un serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs maîtres, qui peuvent se trouver à différents emplacements, afin d’obtenir les enregistrements de ressources nécessaires des serveurs de référence pour la zone widgets.tailspintoys.com. La liste de serveurs maîtres peut contenir un ou plusieurs serveurs et peut être modifiée à tout moment.

Présentation de la recherche inverséeDans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, à savoir une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource hôte (A). Ce type de requête attend une adresse IP comme données de ressource pour la réponse.

DNS propose également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d’ordinateur sur la base de cette adresse. Une recherche inversée assume la forme d’une question du type « Pouvez-vous me donner le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ? ».

DNS n’a pas été conçu initialement pour prendre en charge ce type de requête. L’un des problèmes liés à la prise en charge du processus de requête inversée est la différence dans la façon dont l’espace de noms DNS organise et indexe les noms et la façon dont les adresses IP sont affectées. Si la seule méthode permettant de répondre à la question précédente consiste à

201

rechercher dans tous les domaines de l’espace de noms DNS, une requête inversée prendrait trop longtemps et exigerait trop de traitement pour être réellement utile.

Pour résoudre ce problème, un domaine spécial, le domaine in-addr.arpa, a été défini dans les normes DNS et réservé dans l’espace de noms DNS Internet afin de fournir un moyen fiable et pratique d’effectuer des requêtes inversées. Pour créer l’espace de noms inversé, des sous-domaines dans le domaine in-addr.arpa sont formés, à l’aide du classement inversé des nombres dans la notation décimale séparée par des points des adresses IP.

Ce classement inversé des domaines pour chaque valeur d’octet est nécessaire car, contrairement aux noms DNS, lorsque des adresses IP sont lues de gauche à droite, elles sont interprétées de manière opposée. Lorsqu’une adresse IP est lue de gauche à droite, les informations les plus générales (une adresse IP réseau) contenues dans la première partie de l’adresse sont vues en premier, suivies des informations les plus spécifiques (une adresse d’hôte IP) contenues dans les derniers octets.

Pour cette raison, l’ordre des octets d’adresse IP doit être inversé lors de la création de l’arborescence de domaine in-addr.arpa. Les adresses IP de l’arborescence DNS in-addr.arpa peuvent être déléguées à des organisations car un ensemble spécifique ou limité d’adresses IP leur est affecté dans la classe d’adresses définie par Internet.

Pour finir, l’arborescence de domaine in-addr.arpa, étant intégrée à DNS, requiert la définition d’un type d’enregistrement de ressource supplémentaire : l’enregistrement de ressource pointeur (PTR). Cet enregistrement de ressource crée un mappage dans la zone de recherche inversée qui correspond en général à un enregistrement de ressource hôte (A) nommé pour le nom d’ordinateur DNS d’un hôte dans sa zone de recherche directe.

Le domaine in-addr.arpa s’applique à tous les réseaux TCP/IP basés sur l’adressage IPv4 (Internet Protocol version 4). L’Assistant Nouvelle zone suppose automatiquement que vous utilisez ce domaine lorsque vous créez une zone de recherche inversée.

Si vous installez DNS et que vous configurez des zones de recherche inversée pour un réseau IPv6 (Internet Protocol version 6), vous pouvez spécifier un nom exact dans l’Assistant Nouvelle zone. De cette façon, vous pouvez créer des zones de recherche inversée dans le Gestionnaire DNS qui peuvent prendre en charge des réseaux IPv6, qui utilisent un nom de domaine spécial différent, le domaine ip6.arpa.

Vous trouverez des informations supplémentaires concernant le protocole IPv6 et DNS, y compris des exemples démontrant comment créer et utiliser des noms de domaine ip6.arpa, dans la RFC (Request for Comments) 3596 intitulée « DNS Extensions to support IP version 6 ». Pour plus d’informations, reportez-vous directement à cette RFC, disponible sur le site Web RFC Editor (http://go.microsoft.com/fwlink/?LinkId=240) (éventuellement en anglais).

Exemple : requête inversée (pour les réseaux IPv4)

L’illustration suivante représente un exemple de requête inversée initiée par un client DNS afin de découvrir le nom d’un autre hôte (host-a) sur la base de son adresse IP : 192.168.1.20.

202


Le processus de requête inversée implique les étapes suivantes :

1. Le client interroge le serveur DNS concernant un enregistrement de ressource pointeur (PTR) mappé à l’adresse IP 192.168.1.20 pour host-a.

Étant donné que la requête concerne un enregistrement de ressource pointeur (PTR), la résolution inverse l’adresse et ajoute le domaine in-addr.arpa à la fin de l’adresse inversée. Cela forme le nom de domaine complet (20.1.168.192.in-addr.arpa.) dans lequel effectuer la recherche dans une zone de recherche inversée.

2. Une fois localisé, le serveur DNS de référence pour 20.1.168.192.in-addr.arpa peut répondre avec les informations d’enregistrement de ressource pointeur (PTR). Ces informations incluent le nom de domaine DNS pour host-a, qui achève le processus de recherche inversée.

N’oubliez pas que si aucune réponse ne peut être obtenue depuis le serveur DNS pour le nom inversé interrogé, la résolution DNS normale (récursivité ou itération) peut être utilisée pour localiser un serveur DNS faisant autorité pour la zone de recherche inversée et contenant le nom interrogé. Dans ce sens, le processus de résolution de nom utilisé dans une recherche inversée est identique à celui d’une recherche directe.

Requêtes inverses

L’utilisation des requêtes inverses (à ne pas confondre avec les requêtes inversées) est une pratique obsolète, proposée à l’origine dans le cadre de la norme DNS pour rechercher un nom d’hôte sur la base de son adresse IP. Elles utilisent une opération de requête DNS non standard et leur utilisation est limitée à certaines versions antérieures de Nslookup, un utilitaire de ligne de commande pour le dépannage et le test du service Serveur DNS.

Le service Serveur DNS reconnaît et accepte les messages de requête inverse, et y répond par une fausse réponse de réponse inverse. Pour les serveurs DNS exécutant Windows NT® Server 4.0, cette prise en charge est disponible par défaut si l’ordinateur serveur a été mis à jour vers le Service Pack 4 (SP4) ou ultérieur.

Remarques La configuration des enregistrements de ressources pointeur (PTR) et des zones de recherche inversée pour l’identification des hôtes par requête inversée est une partie strictement facultative de l’implémentation de la norme DNS. Rien ne vous oblige à utiliser des zones de recherche inversée, bien que pour certaines applications réseau elles soient utilisées pour effectuer des vérifications de sécurité.

203

Ajouter une zone de stubUne zone de stub est une copie d’une zone qui contient uniquement les enregistrements de ressources nécessaires pour identifier les serveurs DNS (Domain Name System) de référence pour cette zone. On utilise en général une zone de stub pour résoudre les noms entre des espaces de noms DNS distincts. Pour plus d’informations, voir Présentation des types de zones.


Ajout d’une zone de stub



204



Pour ajouter une zone de stub à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS. 2. Dans l’arborescence de la console, cliquez avec un bouton droit sur un serveur DNS,

puis cliquez sur Nouvelle zone pour ouvrir l’Assistant Nouvelle zone.

3. Suivez les instructions pour créer une nouvelle zone de stub.



La zone de stub ne peut pas être hébergée sur un serveur DNS qui fait autorité pour la même zone.

Si vous intégrez la zone de stub aux services de domaine Active Directory (AD DS), vous avez la possibilité de spécifier que le serveur DNS hébergeant la zone de stub utilise une liste locale de serveurs maîtres lorsqu’il met à jour les enregistrements de ressources de la zone de stub, plutôt que la liste de serveurs maîtres stockée dans les services de domaine Active Directory. Si vous souhaitez utiliser une liste locale de serveurs maîtres, vous devez avoir les adresses IP des serveurs maîtres locaux.

Pour ajouter une zone de stub à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneAdd <ZoneName> {/Stub|/DsStub} <MasterIPaddress...> [/file <FileName>] [/load] [/DP <FQDN>]


dsncmd Outil en ligne de commande pour la gestion des serveurs DNS.

<NomServeur>




/Stub|/DsStubObligatoire. Spécifie le type de zone. Pour spécifier une zone de stub intégrée à Active Directory, tapez /DsStub.

205

<AdresseIPMaître...> Obligatoire. Spécifie une ou plusieurs adresses IP pour les serveurs maîtres de la zone de stub, à partir desquels elle copie les données de zone.

/file Ajoute un fichier pour la nouvelle zone.

<NomFichier> Spécifie le nom du fichier de zone.

/load Charge un fichier existant pour la zone. Si ce paramètre n’est pas spécifié, des enregistrements de zone par défaut sont créés automatiquement.

/DP


o /DP /domain - Pour une partition d’annuaire du domaine (réplique sur tous les serveurs DNS du domaine).

o /DP /forest - Pour une partition d’annuaire de la forêt (réplique sur tous les serveurs DNS de la forêt).

o /DP /legacy - Pour une partition d’annuaire héritée (réplique sur tous les contrôleurs de domaine du domaine). Ce paramètre prend en charge les domaines qui contiennent des contrôleurs de domaine hérités exécutant Windows 2000 Server.






La zone de stub ne peut pas être hébergée sur un serveur DNS qui fait autorité pour la même zone.

Si vous intégrez la zone de stub aux services de domaine Active Directory, vous avez la possibilité de spécifier que le serveur DNS hébergeant la zone de stub utilise une liste locale de serveurs maîtres lorsqu’il met à jour les enregistrements de ressources

206

de la zone de stub, plutôt que la liste de serveurs maîtres stockée dans les services de domaine Active Directory. Si vous souhaitez utiliser une liste de serveurs maîtres locale, vous devez avoir les adresses IP des serveurs maîtres locaux.

Déploiement d’une zone GlobalNamesS'applique à: Windows Server 2008 R2

L’un des impératifs les plus courants sur les réseaux informatiques est la capacité à résoudre des noms simples en une partie. L’utilisation de noms en une partie permet à un ordinateur d’accéder à des hôtes (tels que des serveurs de fichiers et des serveurs Web) par le biais de noms courts et facilement mémorisables plutôt que par le biais de noms de domaine complets qui constituent la convention d’attribution de noms par défaut pour DNS (Domain Name System). Pour rendre possible l’utilisation de noms en une partie, de nombreux réseaux déploient la technologie WINS (Windows Internet Name Service) et des serveurs WINS dans

207

leur environnement. En tant que protocole de résolution de noms, WINS constitue une alternative à DNS. Il s’agit d’un service plus ancien qui utilise NetBIOS sur TCP/IP (NetBT). WINS et NetBT ne prennent pas en charge les protocoles IPv6 (Internet Protocol version 6) ; par conséquent, ils disparaissent progressivement de nombreux réseaux.

Pour aider les administrateurs réseau à migrer vers DNS pour toute la résolution de noms, le rôle Serveur DNS dans Windows Server 2008 prend en charge une zone spéciale nommée GlobalNames. En déployant une zone avec ce nom, vous pouvez disposer des enregistrements globaux et statiques avec des noms en une partie sans dépendre du service WINS. Ces noms en une partie font généralement référence à des enregistrements relatifs à des serveurs bien connus et fréquemment utilisés (des serveurs auxquels sont déjà affectées des adresses IP statiques et qui sont gérés actuellement par des administrateurs informatiques à l’aide du service WINS).

La zone GlobalNames n’a pas pour fonction de remplacer totalement le service WINS. Vous ne devez pas utiliser la zone GlobalNames pour prendre en charge la résolution de noms des enregistrements inscrits de manière dynamique dans WINS, enregistrements qui ne sont généralement pas gérés par les administrateurs informatiques. La prise en charge de ces enregistrements inscrits de manière dynamique n’est pas évolutive, en particulier pour les clients disposant de plusieurs domaines ou forêts.

Le déploiement d’une zone GlobalNames est-il nécessaire ?

Vous pouvez envisager de déployer une zone GlobalNames si :

vous supprimez le service WINS ou vous envisagez de déployer uniquement le protocole IPv6 dans votre environnement, de sorte que toute la résolution de noms dépendra de DNS ;

votre besoin en résolution de noms en une partie se limite à des serveurs ou des sites Web importants qui peuvent être inscrits de manière statique dans DNS. (En général, ces noms sont également configurés de manière statique et globale dans la base de données WINS.) Les noms d’hôtes ne peuvent pas être inscrits dans la zone GlobalNames par les mises à jour dynamiques ;

vous ne pouvez pas dépendre des listes de recherche de suffixe sur les ordinateurs clients pour fournir la résolution des noms en une partie, par exemple lorsque le nombre de domaines cibles est trop élevé ou lorsque les domaines ne peuvent pas être gérés de façon centralisée afin de garantir le caractère unique des noms d’hôtes. Pour plus d’informations sur les listes de recherche de suffixe, voir Présentation des paramètres de client DNS ;

tous les serveurs DNS de référence pour vos zones sont des serveurs exécutant Windows Server 2008. Pour résoudre les noms inscrits dans la zone GlobalNames, tous les serveurs DNS de référence pour une zone et qui répondent à des requêtes de clients doivent exécuter Windows Server 2008 et doivent être configurés avec une copie locale de la zone GlobalNames ou être en mesure de contacter des serveurs DNS distants qui hébergent la zone GlobalNames.

Nous recommandons également d’intégrer la zone GlobalNames aux services de domaine Active Directory (AD DS). Cette intégration garantit une plus grande facilité de gestion et d’évolutivité ultérieure.

208



Déploiement d’une zone GlobalNames

Les étapes spécifiques du déploiement d’une zone GlobalNames peuvent quelque peu varier en fonction de la topologie AD DS de votre réseau.

Étape 1 : créer la zone GlobalNames

La première étape du déploiement d’une zone GlobalNames consiste à créer la zone sur un serveur DNS qui est un contrôleur de domaine exécutant Windows Server 2008. La zone GlobalNames n’est pas un type de zone spécial ; il s’agit plutôt simplement d’une zone de recherche directe intégrée aux services de domaine Active Directory nommée GlobalNames. Pour plus d’informations sur la création d’une zone de recherche directe principale, voir Ajouter une zone de recherche directe.

Étape 2 : activer la prise en charge de la zone GlobalNames

La zone GlobalNames n’est pas disponible pour la résolution de noms tant que la prise en charge de cette zone n’est pas activée de manière explicite au moyen de la commande suivante sur chaque serveur DNS de référence dans la forêt :

dnscmd <ServerName> /config /enableglobalnamessupport 1

où NomServeur est le nom DNS ou l’adresse IP du serveur DNS qui héberge la zone GlobalNames. Pour spécifier l’ordinateur local, remplacez NomServeur par un point (.), par exemple dnscmd . /config /enableglobalnamessupport 1.

Étape 3 : répliquer la zone GlobalNames

Pour rendre la zone GlobalNames accessible à tous les serveurs et clients DNS d’une forêt, répliquez la zone sur tous les contrôleurs de domaine de la forêt, autrement dit ajoutez la zone GlobalNames à la partition d’application DNS à l’échelle de la forêt. Pour plus d’informations, voir Modifier l’étendue de réplication de zone.

Si vous souhaitez limiter les serveurs qui feront autorité pour la zone GlobalNames, vous pouvez créer une partition d’application DNS personnalisée pour la réplication de la zone GlobalNames. Pour plus d’informations, voir Présentation de la réplication de zone DNS dans les services de domaine Active Directory.

Étape 4 : peupler la zone GlobalNames

Pour chaque serveur pour lequel vous souhaitez pouvoir fournir la résolution des noms en une partie, ajoutez un enregistrement de ressource alias (CNAME) à la zone GlobalNames. Pour plus d’informations, voir Ajouter un enregistrement de ressource alias (CNAME) à une zone.

Étape 5 : publier l’emplacement de la zone GlobalNames dans d’autres forêts

Si vous souhaitez que les clients DNS d’autres forêts utilisent la zone GlobalNames pour la résolution de noms, ajoutez des enregistrements de ressources Emplacement du service (SRV)

209






à la partition d’application DNS à l’échelle de la forêt, en utilisant le nom de service _globalnames._msdcs et en spécifiant le nom de domaine complet du serveur DNS qui héberge la zone GlobalNames. Pour plus d’informations, voir Ajouter un enregistrement de ressource à une zone et Boîte de dialogue Engistrement de ressource d’emplacement du service (SRV).

En outre, vous devez exécuter la commande dnscmdNomServeur/config /enableglobalnamessupport 1 sur chaque serveur DNS de référence dans les forêts qui n’hébergent pas la zone GlobalNames.


Par défaut, un serveur DNS de référence utilise d’abord les données de zone locale pour répondre à une requête, avant de se tourner vers la zone GlobalNames pour vérifier si le nom existe. Si la zone GlobalNames ne contient aucune donnée pertinente et que la résolution à l’aide des suffixes échoue, la résolution bascule vers le service WINS. L’interrogation préalable des données de zone locale est une optimisation des performances.

Les mises à jour dynamiques envoyées à un serveur DNS de référence sont d’abord comparées aux données de zone GlobalNames avant d’être comparées aux données de zone locale. Cela permet de garantir le caractère unique des noms de la zone GlobalNames.

Aucune mise à jour logicielle n’est requise sur les clients afin de leur permettre de résoudre les noms configurés dans la zone GlobalNames. Le suffixe DNS principal, les suffixes DNS spécifiques aux connexions et la liste de recherche de suffixe DNS continuent de fonctionner normalement.

L’inscription des clients DNS n’est pas affectée, à moins qu’un ordinateur ne tente d’inscrire un nom déjà configuré dans la zone GlobalNames.

Configuration des propriétés de zoneDans DNS (Domain Name System), vous pouvez diviser un espace de noms DNS en zones qui stockent des informations de noms concernant un ou plusieurs domaines DNS. Pour chaque nom de domaine DNS inclus dans une zone, la zone devient la source d’autorité pour les informations relatives à ce domaine.

Une zone commence comme base de données pour un seul nom de domaine DNS. Si d’autres domaines sont ajoutés sous le domaine utilisé pour créer la zone, ces domaines peuvent soit faire partie de la même zone, soit appartenir à une autre zone. Une fois qu’un sous-domaine a été ajouté, il peut être :

géré et inclus dans le cadre des enregistrements de zone d’origine ;

délégué à une autre zone créée pour prendre en charge le sous-domaine.

210





Vous pouvez configurer un serveur DNS de façon à héberger une zone selon l’un des trois types de zones suivants :

Une zone principale, pour laquelle le serveur DNS est l’autorité principale

Une zone secondaire, pour laquelle le serveur DNS maintient une copie de la zone qui est transférée depuis un serveur principal

Une zone de stub, pour laquelle le serveur DNS fournit uniquement les serveurs de noms qui font autorité pour la zone

Vous pouvez également configurer une zone de façon à utiliser le service WINS (Windows Internet Name Service) pour résoudre les noms et vous pouvez déterminer la façon dont une zone intégrée aux services de domaine Active Directory (AD DS) est répliquée.

Présentation de la délégation de zone

Présentation des types de zones Créer une délégation de zone Activer DNS de façon à utiliser la résolution WINS Spécifier d’autres serveurs DNS comme serveurs de référence pour une zone Modifier le type de zone Modifier l’étendue de réplication de zone Modifier la sécurité pour une zone intégrée à Active Directory Modifier les paramètres de transfert de zone

Présentation de la délégation de zoneDNS (Domain Name System) offre la possibilité de diviser l’espace de noms en une ou plusieurs zones, qui peuvent ensuite être stockées, distribuées et répliquées sur d’autres serveurs DNS. Lorsque vous décidez s’il faut diviser votre espace de noms DNS afin de créer des zones supplémentaires, prenez en considération les raisons suivantes :

Vous souhaitez déléguer la gestion d’une partie de votre espace de noms DNS à un autre emplacement ou service de votre organisation.

Vous souhaitez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic parmi plusieurs serveurs, d’améliorer les performances de résolution de noms DNS ou de créer un environnement DNS plus tolérant envers les pannes.

Vous souhaitez étendre l’espace de noms en ajoutant de nombreux sous-domaines à la fois, par exemple en cas d’ouverture d’une nouvelle succursale ou d’un nouveau site.

Si, pour l’une des ces raisons, vous pouvez tirer parti de la délégation de zones, il peut être judicieux de restructurer votre espace de noms en ajoutant des zones supplémentaires. Lorsque vous décidez de la manière de structurer les zones, utilisez un plan qui reflète la structure de votre organisation.

211










Lorsque vous déléguez des zones dans votre espace de noms, souvenez-vous que pour chaque nouvelle zone que vous créez, vous devrez avoir des enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS de référence pour la nouvelle zone. Cela est nécessaire à la fois pour transférer l’autorité et pour fournir une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de référence pour la nouvelle zone.

Lorsqu’une zone principale standard est initialement créée, toutes les informations sur les enregistrements de ressources sont stockées en tant que fichier texte sur un seul serveur DNS. Ce serveur joue le rôle de maître principal pour la zone. Les informations de zone peuvent être répliquées sur d’autres serveurs DNS afin d’améliorer la tolérance de pannes et les performances des serveurs.

Lorsque vous structurez vos zones, il existe plusieurs bonnes raisons d’utiliser des serveurs DNS supplémentaires pour la réplication de zone :

Les serveurs DNS ajoutés apportent une redondance de zone, ce qui permet de résoudre les noms DNS de la zone pour les clients si un serveur principal pour la zone cesse de répondre.

Les serveurs DNS ajoutés peuvent être placés de façon à réduire le trafic réseau DNS. Par exemple, l’ajout d’un serveur DNS du côté opposé d’une liaison de réseau étendu à faible vitesse peut être utile pour la gestion et la réduction du trafic réseau.

Les serveurs secondaires supplémentaires peuvent contribuer à la réduction des charges sur un serveur principal pour une zone.

Exemple : délégation d’un sous-domaine à une nouvelle zone

Comme l’indique l’illustration suivante, lorsqu’une nouvelle zone pour un sous-domaine (example.microsoft.com) est créée, la délégation depuis la zone parente (microsoft.com) est nécessaire.

212

Dans cet exemple, un ordinateur serveur DNS de référence pour le sous-domaine example.microsoft.com nouvellement délégué est nommé sur la base d’un sous-domaine dérivé inclus dans la nouvelle zone (ns1.na.example.microsoft.com). Pour faire en sorte que ce serveur soit connu des autres serveurs en dehors de la nouvelle zone déléguée, deux enregistrements de ressources sont nécessaires dans la zone microsoft.com afin d’achever le processus de délégation vers la nouvelle zone.

Il s’agit des enregistrements de ressources suivants :

Un enregistrement de serveur de noms (NS) pour rendre la délégation effective. Cet enregistrement de ressource annonce que le serveur nommé ns1.na.example.microsoft.com est un serveur de référence pour le sous-domaine délégué.

Un enregistrement de ressource hôte (A ou AAAA) (également appelé enregistrement de type glue) est nécessaire afin de résoudre le nom du serveur spécifié dans l’enregistrement de ressource de serveur de noms par son adresse IP. Le processus consistant à résoudre le nom de l’hôte dans cet enregistrement de ressource par le serveur DNS délégué dans l’enregistrement de serveur de noms est parfois appelé « recherche d’enregistrements de type glue ».

Présentation des types de zones

213

Le service Serveur DNS propose trois types de zones :

Zone principale

Zone secondaire Zone de stub

Remarques Si le serveur DNS est également un contrôleur de domaine des services de domaine Active Directory (AD DS), les zones principales et zones de stub peuvent être stockées dans les services de domaine Active Directory. Pour plus d’informations, voir Présentation de l’intégration aux services de domaine Active Directory.

Les sections suivantes décrivent chacun de ces types de zones.

Zone principale

Lorsqu’une zone hébergée par ce serveur DNS est une zone principale, le serveur DNS est la source principale d’informations concernant cette zone et il stocke la copie maître des données de zone dans un fichier local ou dans les services de domaine Active Directory. Lorsque la zone est stockée dans un fichier, par défaut le fichier de zone principale se nomme nom_zone.dns et il se trouve dans le dossier %windir%\System32\Dns sur le serveur.

Zone secondaire

Lorsqu’une zone hébergée par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire d’informations concernant cette zone. La zone sur ce serveur doit être obtenue à partir d’un autre ordinateur serveur DNS distant qui héberge également la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant qui lui fournit des informations mises à jour concernant la zone. Une zone secondaire étant simplement une copie d’une zone principale hébergée sur un autre serveur, elle ne peut pas être stockée dans les services de domaine Active Directory.

Zone de stub

Lorsqu’une zone hébergée par ce serveur DNS est une zone de stub, ce serveur DNS est une source d’informations concernant uniquement les serveurs de noms faisant autorité pour cette zone. La zone sur ce serveur doit être obtenue à partir d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant afin de pouvoir copier les informations relatives aux serveurs de noms faisant autorité concernant la zone.

Vous pouvez utiliser des zones de stub pour :

maintenir à jour les informations de zones déléguées. Grâce à la mise à jour régulière d’une zone de stub pour l’une de ses zones enfants, le serveur DNS qui héberge la zone parente et la zone de stub maintiendra une liste à jour des serveurs DNS de référence pour la zone enfant.

214



améliorer la résolution de noms. Les zones de stub permettent à un serveur DNS d’effectuer la récursivité à l’aide de la liste de serveurs de noms de la zone de stub sans avoir à interroger un serveur racine interne ou Internet pour l’espace de noms DNS.

simplifier l’administration DNS. L’utilisation de zones de stub dans toute votre infrastructure DNS vous permet de distribuer une liste de serveurs DNS de référence pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub ne remplissent pas le même rôle que les zones secondaires et elles ne constituent pas une alternative pour l’amélioration de la redondance et du partage de la charge.

Deux listes de serveurs DNS sont impliquées dans le chargement et la maintenance d’une zone de stub :

La liste de serveurs maîtres à partir de laquelle le serveur DNS charge et met à jour une zone de stub. Un serveur maître peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il disposera d’une liste complète des serveurs DNS pour la zone.

La liste des serveurs DNS de référence pour la zone. Cette liste est contenue dans la zone de stub avec des enregistrements de serveur de noms (NS).

Lorsqu’un serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs maîtres, qui peuvent se trouver à différents emplacements, afin d’obtenir les enregistrements de ressources nécessaires des serveurs de référence pour la zone widgets.tailspintoys.com. La liste de serveurs maîtres peut contenir un ou plusieurs serveurs et peut être modifiée à tout moment.

Créer une délégation de zoneVous pouvez diviser votre espace de noms de domaine DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez déléguer la gestion d’une partie de votre espace de noms à un autre emplacement ou service de votre organisation en déléguant la gestion de la zone correspondante. Pour plus d’informations, voir Présentation de la délégation de zone.

215


Lorsque vous déléguez une zone, souvenez-vous que pour chaque zone que vous créez, vous devrez avoir des enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS de référence pour la nouvelle zone. Cela est nécessaire à la fois pour transférer l’autorité et pour fournir une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de référence pour la nouvelle zone.


Création d’une délégation de zone



Pour créer une délégation de zone à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le sous-domaine

applicable, puis cliquez sur Nouvelle délégation.

3. Suivez les instructions de l’Assistant Nouvelle délégation pour terminer la création du nouveau domaine délégué.



Tous les domaines (et sous-domaines) qui apparaissent comme faisant partie de la délégation de zone applicable doivent être créés dans la zone actuelle avant que la délégation décrite ici ne soit effectuée. Le cas échéant, utilisez le Gestionnaire DNS pour ajouter d’abord les domaines à la zone, avant d’effectuer cette procédure.

Pour créer une délégation de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<FQDN>}



<NomServeur> Obligatoire. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du

216

serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).

/RecordAddObligatoire. Spécifie la commande permettant d’ajouter un enregistrement de ressource.

<NomZone>Obligatoire. Spécifie le nom de domaine complet de la zone.

<NomNœud>

Obligatoire. Spécifie le nom de domaine complet du nœud dans l’espace de noms DNS pour lequel l’enregistrement de source de noms (SOA) est ajouté. Vous pouvez également taper le nom du nœud relativement au NomZone ou @, qui spécifie le nœud racine de la zone.

/Aging

Si cette commande est utilisée, cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si elle n’est pas utilisée, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.

/OpenAcl


<Ttl>


NSObligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) à la zone spécifiée dans NomZone.




217

Activer DNS de façon à utiliser la résolution WINSLe service Serveur DNS peut utiliser des serveurs WINS (Windows Internet Name Service) pour rechercher des noms introuvables dans l’espace de noms de domaine DNS (Domain Name System) en vérifiant l’espace de noms NetBIOS géré par le service WINS.

Pour utiliser l’intégration de recherche WINS, deux types d’enregistrements de ressources spéciaux (les enregistrements de ressources WINS et WINS-R) sont activés et ajoutés à une zone. Lorsque l’enregistrement de ressource WINS est utilisé, les requêtes DNS pour lesquelles aucun enregistrement de ressource hôte (A) correspondant n’est trouvé dans la zone sont transférées aux serveurs WINS configurés dans l’enregistrement de ressource WINS. Pour les zones de recherche inversée, l’enregistrement de ressource WINS-R peut être activé et utilisé dans le même but de résoudre une requête inversée qui ne trouve pas de réponse dans le domaine inversé in-addr.arpa.

Remarques En guise d’alternative à l’utilisation du service WINS pour la résolution des noms en une partie, vous pouvez configurer les ordinateurs clients DNS de façon à utiliser des listes de recherche de suffixe. Vous pouvez également déployer une zone spéciale nommée GlobalNames afin de fournir la résolution de noms pour un ensemble limité de noms d’hôtes gérés de façon centralisée. Pour plus d’informations sur ces alternatives au service WINS, voir Présentation des paramètres de client DNS et Déploiement d’une zone GlobalNames.


Pour activer la résolution WINS dans DNS



3. Effectuez l’une des actions suivantes :

o Si la zone applicable est une zone de recherche directe, sous l’onglet WINS, activez la case à cocher Utiliser la recherche directe WINS. Dans Adresse IP, tapez l’adresse IP d’un serveur WINS à utiliser pour la résolution des noms qui sont introuvables dans DNS, puis cliquez sur Ajouter.

o Si la zone applicable est une zone de recherche inversée, sous l’onglet WINS-R, activez la case à cocher Utiliser la recherche WINS-R. Dans Domaine à apposer au nom renvoyé, tapez un nom.

4. Activez la case à cocher Ne pas répliquer cet enregistrement pour cet enregistrement WINS, le cas échéant.

Si vous répliquez cette zone entre des serveurs DNS qui ne reconnaissent pas les enregistrements de ressources WINS et WINS-R, activez cette case à cocher. Cela empêche ces enregistrements d’être répliqués vers ces autres serveurs durant les

218



transferts de zone. Si cette zone doit être utilisée dans les transferts de zone vers des serveurs BIND, il s’agit d’une option critique car BIND (Berkeley Internet Name Domain) ne reconnaîtra pas les enregistrements WINS.



Lorsque vous activez cette option, les serveurs WINS spécifiés configurés dans cette procédure sont utilisés pour la référence finale des noms introuvables dans la zone applicable.

Si vous le souhaitez, vous pouvez cliquer sur Avancé pour ajuster les paramètres de recherche WINS avancés.

219

Spécifier d’autres serveurs DNS comme serveurs de référence pour une zoneAppliquez cette procédure pour ajouter des serveurs secondaires pour vos zones existantes à l’enregistrement de serveur de noms (NS) afin d’en faire des serveurs de référence pour la zone. En général, il peut être nécessaire d’appliquer cette procédure sur la zone principale uniquement lorsque vous ajoutez des serveurs DNS (Domain Name System) devant assumer la fonction de serveurs secondaires. Vous pouvez également appliquer cette procédure pour spécifier que ces serveurs font autorité lorsqu’ils répondent à des requêtes de données de zone. Les serveurs DNS effectuent l’ajout et la configuration initiale automatiques de l’enregistrement de serveur de noms pour chaque nouvelle zone principale ajoutée au serveur.


Spécification d’autres serveurs DNS comme serveurs de référence pour une zone



Pour spécifier d’autres serveurs DNS comme serveurs de référence pour une zone à l’aide de l’interface Windows



3. Cliquez sur l’onglet Serveurs de noms.

4. Cliquez sur Ajouter.

5. Spécifiez les serveurs DNS supplémentaires par leur nom et leur adresse IP, puis cliquez sur Ajouter pour les ajouter à la liste.



Pour spécifier d’autres serveurs DNS comme serveurs de référence pour une zone à l’aide d’une ligne de commande


220

dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<DomainName>}



<NomServeur>


/RecordAdd Obligatoire. Ajoute un enregistrement de ressource.


<NomNœud>

Obligatoire. Spécifie le nom de domaine complet du nœud dans l’espace de noms DNS pour lequel l’enregistrement de source de noms (SOA) est ajouté. Vous pouvez également taper le nom du nœud relativement au NomZone ou @, qui spécifie le nœud racine de la zone.

/Aging

Si vous utilisez ce paramètre, cet enregistrement de ressource est soumis à l’antériorité et au nettoyage. Si vous ne l’utilisez pas, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.

/OpenAcl


<Ttl>


NS Obligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) à la zone spécifiée dans NomZone.


221



Modifier le type de zoneVous pouvez appliquer cette procédure pour faire d’une zone une zone principale, secondaire ou de stub. Vous pouvez également l’appliquer pour intégrer une zone aux services de domaine Active Directory (AD DS). Pour plus d’informations, voir Présentation des types de zones.


Modification du type de zone



Pour modifier le type de zone à l’aide de l’interface Windows


puis sélectionnez Propriétés.

3. Sous l’onglet Général, notez le type de zone actuel, puis cliquez sur Modifier.

4. Dans Modification du type de zone, sélectionnez un type de zone autre que le type de zone actuel, puis cliquez sur OK.



Vous pouvez sélectionner Zone principale, Zone secondaire ou Zone de stub. Lorsque vous sélectionnez le type de zone secondaire ou de stub, vous devez spécifier l’adresse IP d’un autre serveur DNS (Domain Name System) à utiliser comme source pour l’obtention des informations mises à jour pour la zone.

Si l’ordinateur serveur DNS assume la fonction de contrôleur de domaine, l’option de stockage de la zone dans les services de domaine Active Directory est disponible.

222



Autrement, cette option n’est pas disponible. Lorsque ce type de zone est sélectionné, les données de zone sont stockées et répliquées dans le cadre de la base de données AD DS.Remarques Vous ne pouvez pas modifier simultanément le type de zone (principale, secondaire ou de stub) et la méthode de stockage de la zone. Vous devez effectuer ces deux opérations séparément.



La modification du stockage ou du type de zone DNS peut prendre beaucoup de temps pour les grandes zones.

Pour modifier le type de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneResetType <ZoneName Property> [<MasterIPaddress...>] [/file <FileName>] {/OverWrite_Mem|/OverWrite_Ds|/DirectoryPartition <FQDN>}



<NomServeur>



<Propriété> Obligatoire. L’un des types de zones suivants :

/Primary

Zone principale standard. L’option /fileNomFichier est obligatoire.

/DsPrimary

Zone principale intégrée aux services de domaine Active Directory. Si la zone n’en est pas déjà une, vous devez la convertir en zone principale (à l’aide de /Primary) avant d’utiliser ce paramètre pour intégrer la zone aux services

223

de domaine Active Directory. /Secondary

Zone secondaire. Vous devez spécifier au moins une AdresseIPMaître.

/Stub

Zone de stub. Vous devez spécifier au moins une AdresseIPMaître. S’il s’agit d’une zone principale intégrée aux services de domaine Active Directory, vous devez utiliser /DsStub pour la convertir en zone de stub intégrée aux services de domaine Active Directory avant d’utiliser ce paramètre.

/DsStub

Zone de stub intégrée aux services de domaine Active Directory. Vous devez spécifier au moins une AdresseIPMaître. Si la zone n’en est pas déjà une, vous devez la convertir en zone de stub (à l’aide de /Stub) avant d’utiliser ce paramètre pour intégrer la zone aux services de domaine Active Directory.

/file <NomFichier>Obligatoire pour /Primary. Spécifie le nom d’un fichier pour la nouvelle zone. Ce paramètre n’est pas valide pour le type de zone /DsPrimary.


Obligatoire pour /Secondary, /Stub et /DsStub. Spécifie une ou plusieurs adresses IP pour les serveurs maîtres de la zone secondaire ou de la zone de stub, à partir desquels les données de zone sont copiées.

/OverWrite_Mem | /OverWrite_Ds | /DirectoryPartition <NomDomaineComplet>

/OverWrite_Mem remplace les données DNS existantes par les données se trouvant dans les services de domaine Active Directory. /OverWrite_Ds remplace les données Active Directory par les données se trouvant dans DNS. /DirectoryPartition stocke la nouvelle zone dans la partition d’annuaire d’applications spécifiée par NomDomaineComplet, telle que DomainDnsZones.corp.widgets.tailspintoys.com.


dnscmd /ZoneResetType /help

224



Vous avez le choix entre des zones principales, des zones secondaires et des zones de stub. Lorsque vous sélectionnez le type de zone secondaire ou de stub, spécifiez l’adresse IP d’un autre serveur DNS à utiliser comme source pour l’obtention des informations mises à jour pour la zone.

Si l’ordinateur serveur DNS assume la fonction de contrôleur de domaine, vous pouvez utiliser le paramètre /DsPrimary ou le paramètre /DsStub. Autrement, ces options ne sont pas disponibles. Lorsque l’un de ces types de zones est sélectionné, les données de zone sont stockées et répliquées dans le cadre de la base de données AD DS.Remarques Avant d’utiliser ces options, vous devez tout d’abord convertir la zone au type approprié, si nécessaire. Autrement dit, la zone doit déjà être une zone principale pour que vous puissiez utiliser /DsPrimary pour l’intégrer aux services de domaine Active Directory. De même, la zone doit déjà être une zone de stub pour que vous puissiez utiliser /DsStub pour l’intégrer aux services de domaine Active Directory.



225

Modifier l’étendue de réplication de zoneVous pouvez appliquer la procédure suivante pour modifier l’étendue de réplication d’une zone. Il est possible de modifier l’étendue de réplication uniquement pour les zones de recherche avancée de stub et principales intégrées aux services de domaine Active Directory (AD DS). Vous ne pouvez pas modifier l’étendue de réplication des zones de recherche avancée secondaires.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs ou à un groupe équivalent. Consultez

Modification de l’étendue de réplication de zone



Pour modifier l’étendue de réplication à l’aide de l’interface Windows



3. Sous l’onglet Général, notez le type de réplication de zone actuel, puis cliquez sur Modifier.

4. Sélectionnez une étendue de réplication pour la zone.



Pour modifier l’étendue de réplication à l’aide de la ligne de commande

À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

dnscmd <ServerName> /ZoneChangeDirectoryPartition <ZoneName> <NewPartitionName>

226



<NomServeur>


/ZoneChangeDirectoryPartitionObligatoire. Modifie l’étendue de réplication d’une zone.


<NomNouvellePartition> Obligatoire. Nom de domaine complet de la partition d’annuaire d’applications où la zone sera stockée.

227

Modifier la sécurité pour une zone intégrée à Active DirectoryVous pouvez gérer la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) sur les zones DNS stockées dans les services de domaine Active Directory (AD DS). Vous pouvez utiliser la liste DACL pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les zones DNS.

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine dans AD DS, ou à un compte équivalent.

Pour modifier la sécurité pour une zone intégrée à Active Directory


Où ?

o DNS/serveur_DNS_applicable/Zones de recherche directe (ou Zones de recherche inversée)/zone_applicable



5. Sous l’onglet Sécurité, modifiez la liste des utilisateurs ou groupes membres qui sont autorisés à mettre à jour de manière sécurisée la zone applicable et à réinitialiser leurs autorisations en cas de besoin.

228



Les mises à jour dynamiques sécurisées sont prises en charge uniquement pour les zones stockées dans les services de domaine Active Directory.

Les paramètres de sécurité déterminent qui peut administrer la zone, mais ils n’affectent pas les mises à jour dynamiques de la zone. Pour appliquer des paramètres dynamiques pour des mises à jour dynamiques, voir « Références supplémentaires ».

Modifier les paramètres de transfert de zoneVous pouvez utiliser la procédure suivante pour contrôler si une zone est transférée vers d’autres serveurs et quels serveurs peuvent recevoir le transfert de zone.


Modification des paramètres de transfert de zone



Pour modifier les paramètres de transfert de zone à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Cliquez avec le bouton droit sur une zone DNS, puis cliquez sur Propriétés.

3. Sous l’onglet Transferts de zone, effectuez l’une des actions suivantes :

o Pour désactiver les transferts de zone, désactivez la case à cocher Autoriser les transferts de zone.

o Pour autoriser les transferts de zone, activez la case à cocher Autoriser les transferts de zone.

4. Si vous avez autorisé les transferts de zone, effectuez l’une des actions suivantes :

229

o Pour autoriser les transferts de zone vers n’importe quel serveur, cliquez sur Vers n’importe quel serveur.

o Pour autoriser les transferts de zone uniquement vers les serveurs DNS répertoriés sous l’onglet Serveurs de noms, cliquez sur Uniquement vers les serveurs listés dans l’onglet Serveurs de noms.

o Pour autoriser les transferts de zone uniquement vers des serveurs DNS spécifiques, cliquez sur Uniquement vers les serveurs suivants, puis ajoutez l’adresse IP d’un ou plusieurs serveurs DNS.




Pour modifier les paramètres de transfert de zone à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> {/NoXfr | /NonSecure | /SecureNs | /SecureList [<SecondaryIPAddress...>]}



<NomServeur>



/NoXfr Désactive les transferts de zone pour la zone.

/NonSecure Autorise les transferts de zone vers tout serveur DNS.

/SecureNs Autorise les transferts de zone uniquement vers les serveurs DNS répertoriés dans la zone à l’aide d’enregistrements de serveur de noms (NS).

/SecureList Autorise les transferts de zone uniquement vers les serveurs DNS

230

spécifiés par AdresseIPSecondaire.

<AdresseIPSecondaire> Obligatoire si /SecureList est spécifié. Liste d’une ou plusieurs adresses IP de serveurs DNS autorisés à obtenir des transferts de zone.


dnscmd /ZoneResetSecondaries /?



Gestion des enregistrements de ressourcesLes enregistrements de ressources contiennent les informations maintenues par une zone concernant les ressources (telles que les hôtes) qu’elle contient. Un enregistrement de ressource par défaut est constitué du nom (hôte) du propriétaire de l’enregistrement de ressource, d’informations relatives à la durée pendant laquelle l’enregistrement de ressource peut rester dans le cache, du type d’enregistrement de ressource (par exemple enregistrement de ressource hôte (A)) et de données spécifiques au type d’enregistrement (telles que l’adresse de l’hôte). Vous pouvez ajouter des enregistrements de ressources directement ou ils peuvent être ajoutés automatiquement lorsque des clients DHCP (Dynamic Host Configuration Protocol) Windows joignent un réseau, processus que l’on nomme « mise à jour dynamique ».

Ajout d’enregistrements de ressources

Présentation de la mise à jour dynamique Autoriser les mises à jour dynamiques Autoriser uniquement les mises à jour dynamiques Ajouter un enregistrement de ressource à une zone Ajouter un enregistrement de ressource alias (CNAME) à une zone Modifier la sécurité pour un enregistrement de ressource Utiliser l’antériorité et le nettoyage

231









Ajout d’enregistrements de ressourcesAprès avoir créé une zone, vous devez y ajouter des enregistrements de ressources supplémentaires. Les enregistrements de ressources les plus courants à ajouter sont les suivants :

Enregistrements de ressources hôte (A) : pour le mappage d’un nom de domaine DNS (Domain Name System) à une adresse IP utilisée par un ordinateur.

Enregistrements de ressources alias (CNAME) : pour le mappage d’un alias de nom de domaine DNS à un autre nom canonique ou principal.

Enregistrements de serveur de messagerie (MX) : pour le mappage d’un nom de domaine DNS au nom d’un ordinateur qui échange ou transfère du courrier.

Enregistrements de ressources pointeur (PTR) : pour le mappage d’un nom de domaine DNS inversé basé sur l’adresse IP d’un ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur.

Enregistrements de ressources Emplacement du service (SRV) : pour le mappage d’un nom de domaine DNS à une liste spécifiée d’ordinateurs hôtes DNS qui offrent un type spécifique de service, tels que des contrôleurs de domaine Active Directory.

Autres enregistrements de ressources selon les besoins.

Enregistrements de ressources hôte (A)

Vous utilisez des enregistrements de ressources hôte (A) dans une zone afin d’associer des noms de domaine DNS d’ordinateurs (ou hôtes) à leurs adresses IP. Vous pouvez les ajouter à une zone de plusieurs manières :

232

Vous pouvez créer manuellement un enregistrement de ressource hôte (A) pour un ordinateur client TCP/IP statique à l’aide du Gestionnaire DNS.

Les clients et serveurs Windows utilisent le service Client DHCP pour inscrire et mettre à jour de manière dynamique leurs propres enregistrements de ressources hôte (A) dans DNS lorsqu’une modification de configuration IP a lieu.

Les ordinateurs clients DHCP (Dynamic Host Configuration Protocol) exécutant des versions antérieures de systèmes d’exploitation Microsoft peuvent inscrire et mettre à jour leurs enregistrements de ressources hôte (A) par proxy s’ils reçoivent leur bail IP d’un serveur DHCP qualifié. (Seul le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 prend en charge cette fonctionnalité.)

Les enregistrements de ressources hôte (A) ne sont pas nécessaires sur tous les ordinateurs, mais ils le sont sur ceux qui partagent des ressources réseau. Tout ordinateur qui partage des ressources et qui doit être identifié par son nom de domaine DNS doit utiliser des enregistrements de ressources hôte (A) pour fournir la résolution de noms DNS à l’adresse IP de l’ordinateur.

La plupart des enregistrements de ressources hôte (A) requis dans une zone peuvent inclure d’autres stations de travail ou serveurs qui partagent des ressources, d’autres serveurs Web, serveurs de messagerie et serveurs Web. Ces enregistrements de ressources composent la plus grande partie des enregistrements de ressources dans une base de données de zone.

Enregistrements de ressources alias (CNAME)

Les enregistrements de ressources alias (CNAME) sont parfois appelés enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un même hôte, ce qui facilite certaines tâches telles que l’hébergement d’un serveur FTP (File Transfer Protocol) et d’un serveur Web sur le même ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits à l’aide d’enregistrements de ressources alias (CNAME) mappés au nom d’hôte DNS (tel que server-1) pour l’ordinateur serveur qui héberge ces services.

Nous recommandons l’utilisation d’enregistrements de ressources alias (CNAME) pour les scénarios suivants :

Lorsqu’un hôte spécifié dans un enregistrement de ressource hôte (A) dans la même zone doit être renommé.

Lorsqu’un nom générique pour un serveur bien connu, tel que www, doit être résolu à un groupe d’ordinateurs (chacun avec des enregistrements de ressources hôte (A) individuels) qui procurent le même service, par exemple dans un groupe de serveurs Web redondants.

Lorsque vous renommez un ordinateur avec un enregistrement de ressource hôte (A) existant dans la zone, vous pouvez utiliser un enregistrement de ressource alias (CNAME) de manière temporaire afin de permettre aux utilisateurs et aux programmes d’effectuer la transition de l’ancien nom d’ordinateur au nouveau, de la façon suivante :

233

Pour le nouveau nom de domaine DNS de l’ordinateur, ajoutez un nouvel enregistrement de ressource hôte (A) à la zone.

Pour l’ancien nom de domaine DNS, ajoutez un enregistrement de ressource alias (CNAME) qui pointe vers le nouvel enregistrement de ressource hôte (A).

Supprimez de la zone l’enregistrement de ressource hôte (A) d’origine pour l’ancien nom de domaine DNS (et son enregistrement de ressource pointeur (PTR) le cas échéant).

Lorsque vous utilisez un enregistrement de ressource alias (CNAME) pour attribuer un alias ou renommer un ordinateur, définissez une limite temporelle pour l’utilisation de cet enregistrement dans la zone avant qu’il ne soit supprimé de DNS. Si vous oubliez de supprimer l’enregistrement de ressource alias (CNAME) et que son enregistrement de ressource hôte (A) est supprimé ultérieurement, l’enregistrement de ressource alias (CNAME) peut utiliser inutilement des ressources de serveur en essayant de résoudre des requêtes pour un nom qui n’est plus utilisé sur le réseau.

L’utilisation la plus courante des enregistrements de ressources alias (CNAME) consiste à fournir un nom de domaine DNS à alias permanent pour la résolution de noms générique d’un nom basé sur service, tel que www.tailspintoys.com, à plusieurs ordinateurs ou adresses IP sur un serveur Web. L’exemple suivant indique la syntaxe de base d’un enregistrement de ressource alias (CNAME) :

nom_alias IN CNAME nom_canonique_principal

Dans cet exemple, un ordinateur nommé host-a.tailspintoys.com fonctionne comme serveur Web nommé www.tailspintoys.com. et comme serveur FTP nommé ftp.tailspintoys.com. Pour nommer cet ordinateur comme vous le souhaitez, vous pouvez ajouter les entrées CNAME suivantes dans la zone tailspintoys.com :

host-a IN A 10.0.0.20ftp IN CNAME host-awww IN CNAME host-a

Si plus tard vous décidez de déplacer le serveur FTP vers un autre ordinateur (séparé du serveur Web sur host-a), il vous suffit de modifier l’enregistrement de ressource alias (CNAME) dans la zone pour ftp.tailspintoys.com et d’ajouter un enregistrement de ressource hôte (A) supplémentaire à la zone pour le nouvel ordinateur hébergeant le serveur FTP.

Reprenons l’exemple précédent : si le nouvel ordinateur se nomme host-b.tailspintoys.com, les enregistrements de ressources hôte (A) et alias (CNAME) nouveaux et révisés seront les suivants :

host-a IN A 10.0.0.20host-b IN A 10.0.0.21ftp IN CNAME host-bwww IN CNAME host-a

234

Enregistrements de serveur de messagerie (MX)

Les applications de messagerie utilisent l’enregistrement de serveur de messagerie (MX) pour trouver un serveur de messagerie sur la base d’un nom de domaine DNS spécifié dans l’adresse de destination d’un message électronique. Par exemple, une requête DNS pour le nom example.tailspintoys.com peut être utilisée pour trouver un enregistrement de serveur de messagerie (MX), ce qui permet à une application de messagerie de transférer ou d’échanger du courrier à un utilisateur avec l’adresse [email protected].

L’enregistrement de serveur de messagerie (MX) indique le nom de domaine DNS du ou des ordinateurs qui traitent le courrier pour un domaine. S’il existe plusieurs enregistrements de serveur de messagerie (MX), le service Client DNS tente de contacter les serveurs de messagerie selon l’ordre de priorité, de la valeur la plus basse (priorité la plus élevée) à la valeur la plus élevée (priorité la plus faible). L’exemple suivant indique la syntaxe de base d’un enregistrement de serveur de messagerie (MX) :

nom_domaine_messagerie IN MX préférencehôte_serveur_messagerie

Si l’on prend les enregistrements de serveur de messagerie (MX) de l’exemple suivant pour la zone tailspintoys.com, le courrier adressé à [email protected] est remis tout d’abord à [email protected], dans la mesure du possible. Si ce serveur n’est pas disponible, le client de résolution peut alors utiliser [email protected].

@ IN MX 1 mailserver0@ IN MX 2 mailserver1

Notez que l’utilisation du signe arobase (@) dans les enregistrements indique que le nom de domaine DNS du service de messagerie est identique au nom d’origine (tailspintoys.com) pour la zone.

Enregistrements de ressources pointeur (PTR)

Les enregistrements de ressources pointeur (PTR) prennent en charge le processus de recherche inversée, en fonction des zones créées et enracinées dans le domaine in-addr.arpa. Ces enregistrements localisent un ordinateur par son adresse IP et résolvent ces informations au nom de domaine DNS de cet ordinateur.

Vous pouvez ajouter des enregistrements de ressources pointeur (PTR) à une zone de plusieurs manières :

Vous pouvez créer manuellement un enregistrement de ressource pointeur (PTR) pour un ordinateur client TCP/IP statique qui utilise DNS, soit en tant que procédure distincte, soit dans le cadre de la procédure de création d’un enregistrement de ressource hôte (A).

Les ordinateurs utilisent le service Client DHCP pour inscrire et mettre à jour de manière dynamique leur enregistrement de ressource pointeur (PTR) dans DNS lorsqu’une modification de configuration IP a lieu.

235

Tous les autres clients DHCP (Dynamic Host Configuration Protocol) peuvent faire inscrire et mettre à jour leurs enregistrements de ressources pointeur (PTR) par le serveur DHCP s’ils reçoivent leur bail IP d’un serveur qualifié. Le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 fournit cette capacité.)

L’enregistrement de ressource pointeur (PTR) est utilisé uniquement dans les zones de recherche inversée pour prendre en charge la recherche inversée.

Enregistrements de ressources Emplacement du service (SRV)

Les enregistrements de ressources Emplacement du service (SRV) sont nécessaires pour la localisation des contrôleurs de domaine Active Directory. En général, vous pouvez éviter d’administrer manuellement les enregistrements de ressources Emplacement du service (SRV) lorsque vous installez les services de domaine Active Directory (AD DS).

Par défaut, l’Assistant Installation des services de domaine Active Directory tente de trouver un serveur DNS d’après la liste des serveurs DNS préférés ou secondaires, qui sont configurés dans ses propriétés de client TCP/IP, pour chacune de ses connexions réseau actives. Si un serveur DNS qui peut accepter la mise à jour dynamique de l’enregistrement de ressource Emplacement du service (SRV) est contacté, le processus de configuration est terminé. (Cela est également vrai pour les autres enregistrements de ressources liés à l’inscription des services de domaine Active Directory dans DNS.)

Si, durant l’installation, aucun serveur DNS capable d’accepter les mises à jour pour le nom de domaine DNS utilisé pour nommer votre répertoire n’est détecté, l’Assistant peut installer un serveur DNS localement et le configurer automatiquement avec une zone prenant en charge le domaine Active Directory.

Par exemple, si le domaine Active Directory que vous choisissez pour votre premier domaine dans la forêt est example.tailspintoys.com, vous pouvez ajouter et configurer une zone enracinée au nom de domaine DNS example.tailspintoys.com à utiliser avec le serveur DNS qui s’exécute sur le nouveau contrôleur de domaine.

Dans l’avenir, l’enregistrement de ressource Emplacement du service (SRV) pourra également être utilisé pour inscrire et rechercher d’autres services TCP/IP bien connus sur votre réseau si les applications implémentent et prennent en charge les requêtes de noms DNS qui spécifient ce type d’enregistrement.

Autres enregistrements de ressources

D’autres enregistrements de ressources sont pris en charge par DNS Windows Server 2008 et utilisés moins fréquemment dans la plupart des zones. Vous pouvez ajouter ces types d’enregistrements de ressources supplémentaires si nécessaire avec le Gestionnaire DNS.

236

Présentation de la mise à jour dynamiqueLes ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise à jour dynamique pour inscrire et mettre à jour de manière dynamique leurs enregistrements de ressources auprès d’un serveur DNS lorsque des modifications ont lieu. Cela permet de réduire les tâches d’administration manuelle des enregistrements de zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Le service Client DNS et le service Serveur DNS prennent en charge l’utilisation des mises à jour dynamiques, comme décrit dans la RFC (Request for Comments) 2136, intitulée « Dynamic Updates in the Domain Name System ». Le service Serveur DNS autorise l’activation ou la désactivation de la mise à jour dynamique sur la base de chaque zone sur chaque serveur configuré pour charger une zone principale standard ou une zone intégrée à l’annuaire. Par défaut, le service Client DNS met à jour de manière dynamique les enregistrements de ressources hôte (A) dans DNS lorsque le service est configuré pour le protocole TCP/IP.

Processus de mise à jour de leurs noms DNS par les ordinateurs clients et serveurs

Par défaut, les ordinateurs configurés de manière statique pour le protocole TCP/IP tentent d’inscrire de manière dynamique les enregistrements de ressources hôte (A) et pointeur (PTR) pour les adresses IP qui sont configurées et utilisées par leurs connexions réseau installées. Par défaut, tous les ordinateurs inscrivent les enregistrements sur la base de leur nom de domaine complet.

Le nom d’ordinateur complet principal, un nom de domaine complet, est basé sur le suffixe DNS principal d’un ordinateur, ajouté à son nom d’ordinateur.

Considérations supplémentaires :

237

Par défaut, le client DNS ne tente pas d’effectuer de mise à jour dynamique des zones de domaine du niveau supérieur. Toute zone nommée avec un nom en une partie est considérée comme une zone de domaine du niveau supérieur, par exemple com, edu, vierge, ma-société. Pour configurer un client DNS de façon à autoriser la mise à jour dynamique des zones de domaine du niveau supérieur, vous pouvez utiliser le paramètre de stratégie Mettre à jour les zones de domaine du niveau supérieur ou modifier le Registre.

Par défaut, la partie suffixe DNS principal du nom de domaine complet d’un ordinateur est identique au nom du domaine AD DS auquel l’ordinateur est joint. Pour autoriser l’utilisation de suffixes DNS principaux différents, un administrateur de domaine peut créer une liste restreinte de suffixes autorisés en modifiant l’attribut msDS-AllowedDNSSuffixes dans le conteneur d’objet de domaine. L’attribut est géré par l’administrateur de domaine à l’aide de l’interface ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol).

Les mises à jour dynamiques peuvent être envoyées pour les événements ou raisons suivants :

Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l’une des connexions réseau installées.

Un bail d’adresse IP est modifié ou renouvelé auprès du serveur DHCP pour l’une des connexions réseau installées. Par exemple, lorsque l’ordinateur est démarré ou si la commande ipconfig /renew est utilisée.

La commande ipconfig /registerdns est utilisée pour forcer manuellement une actualisation de l’inscription du nom de client dans DNS.

Au moment du démarrage, lorsque l’ordinateur est allumé. Un serveur membre est promu contrôleur de domaine.

Lorsque l’un des événements précédents déclenche une mise à jour dynamique, le service Client DHCP (et non le service Client DNS) envoie les mises à jour. Ce mécanisme est conçu de telle sorte que si une modification est apportée aux informations d’adresse IP à cause du protocole DHCP, les mises à jour correspondantes dans DNS sont effectuées afin de synchroniser les mappages noms-à-adresses pour l’ordinateur. Le service Client DHCP effectue cette fonction pour toutes les connexions réseau sur le système, y compris les connexions qui ne sont pas configurées pour utiliser le protocole DHCP.

Exemple : fonctionnement de la mise à jour dynamique

En général, des mises à jour dynamiques sont demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, supposez qu’un client nommé oldhost est d’abord configuré dans Propriétés système avec les noms suivants.

Nom de l’ordinateur oldhost


Nom complet de l’ordinateur oldhost.tailspintoys.com

238

Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. Ultérieurement, l’ordinateur est renommé de oldhost en newhost, ce qui provoque les changements de nom suivants sur le système.

Nom de l’ordinateur newhost


Nom complet de l’ordinateur newhost.tailspintoys.com

Après avoir appliqué le changement de nom dans Propriétés système, vous êtes invité à redémarrer l’ordinateur. Lorsque l’ordinateur redémarre Windows, le service Client DHCP effectue la séquence suivante pour mettre à jour DNS :

1. Le service Client DHCP envoie une requête de type Source de noms (SOA) en utilisant le nom de domaine DNS de l’ordinateur.

L’ordinateur client utilise le nom de domaine complet de l’ordinateur configuré actuellement (tel que newhost.tailspintoys.com) comme nom spécifié dans cette requête.

2. Le serveur DNS de référence pour la zone qui contient le nom de domaine complet du client répond à la requête de type SOA.

Pour les zones principales standard, le serveur principal (propriétaire) retourné dans la réponse à la requête SOA est fixe et statique. Il correspond toujours au nom DNS exact apparaissant dans l’enregistrement de source de noms (SOA) stocké avec la zone. Si, toutefois, la zone mise à jour est intégrée à l’annuaire, tout serveur DNS qui charge la zone peut répondre et insérer de manière dynamique son propre nom en tant que serveur principal (propriétaire) de la zone dans la réponse à la requête SOA.

3. Le service Client DHCP tente ensuite de contacter le serveur DNS principal.

Le client traite la réponse à la requête SOA afin de déterminer l’adresse IP du serveur DNS autorisé comme serveur principal pour accepter son nom. Il effectue ensuite la séquence d’étapes suivante, le cas échéant, afin de contacter et de mettre à jour de manière dynamique son serveur principal :

1. Il envoie une demande de mise à jour dynamique au serveur principal déterminé dans la réponse à la requête SOA.

Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.2. Si la mise à jour échoue, le client envoie alors une requête de type Serveur de

noms (NS) pour le nom de zone spécifié dans l’enregistrement SOA.3. Lorsqu’il reçoit une réponse à cette requête, il envoie une requête SOA au

premier serveur DNS répertorié dans la réponse.4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique

au serveur spécifié dans l’enregistrement SOA retourné.

239

Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.5. Si cette mise à jour échoue, le client répète le processus de requête SOA en

envoyant une mise à jour au serveur DNS suivant répertorié dans la réponse.4. Une fois que le serveur principal capable d’effectuer la mise à jour a été contacté, le

client envoie la demande de mise à jour et le serveur la traite.

La demande de mise à jour inclut des instructions visant à ajouter des enregistrements de ressources hôte (A) (et éventuellement des enregistrements de ressources pointeur (PTR)) pour newhost.tailspintoys.com et à supprimer ces mêmes types d’enregistrements pour oldhost.tailspintoys.com, le nom qui était inscrit auparavant.

Le serveur vérifie également que les mises à jour sont autorisées pour la demande du client. Pour les zones principales standard, les mises à jour dynamiques ne sont pas sécurisées ; par conséquent, toute tentative de mise à jour par un client réussit. Pour les zones intégrées aux services de domaine Active Directory (AD DS), les mises à jour sont sécurisées et effectuées à l’aide de paramètres de sécurité basés sur l’annuaire.

Les mises à jour dynamiques sont envoyées ou actualisées de façon périodique. Par défaut, les ordinateurs envoient une actualisation une fois tous les sept jours. Si la mise à jour n’entraîne aucune modification des données de zone, la zone demeure à sa version actuelle et aucune modification n’est écrite. Les mises à jour provoquent des modifications de zone ou une augmentation des transferts de zone uniquement si les noms ou adresses changent.

Lorsque le service Client DHCP inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour un ordinateur, il utilise une durée de vie (TTL) de mise en cache par défaut de 15 minutes pour les enregistrements hôte. Cela détermine pendant combien de temps les autres serveurs et clients DNS mettent en cache les enregistrements d’un ordinateur lorsque ceux-ci sont inclus dans une réponse à une requête.

Mise à jour dynamique sécurisée

La sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées aux services de domaine Active Directory. Lorsque vous intégrez une zone à l’annuaire, les fonctionnalités de modification de liste de contrôle d’accès (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet d’ajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spécifié.

Par défaut, la sécurité des mises à jour dynamiques pour les clients et serveurs DNS peut être gérée comme suit :

Les clients DNS tentent d’abord d’utiliser la mise à jour dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les clients tentent d’utiliser la mise à jour sécurisée.

En outre, les clients utilisent une stratégie de mise à jour par défaut qui leur permet de tenter de remplacer un enregistrement de ressource précédemment inscrit, à moins qu’ils ne soient spécifiquement bloqués par la sécurité de mise à jour.

240

Une fois qu’une zone a été intégrée aux services de domaine Active Directory, les serveurs DNS exécutant Windows Server® 2008 autorisent par défaut uniquement les mises à jour dynamiques sécurisées.

Lorsque vous utilisez le stockage de zone standard, le comportement par défaut du service Serveur DNS consiste à ne pas autoriser les mises à jour dynamiques sur ses zones. Pour les zones qui sont intégrées aux services de domaine Active Directory ou qui utilisent le stockage standard basé sur fichiers, vous pouvez modifier la zone de façon à autoriser toutes les mises à jour dynamiques, ce qui permet à toutes les mises à jour d’être acceptées.

Autoriser les mises à jour dynamiquesLes ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise à jour dynamique pour inscrire et mettre à jour de manière dynamique leurs enregistrements de ressources auprès d’un serveur DNS lorsque des modifications ont lieu. Cela permet de réduire les tâches d’administration manuelle des enregistrements de zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Les mises à jour dynamiques peuvent être à la fois sécurisées et non sécurisées. Pour plus d’informations, voir Présentation de la mise à jour dynamique.


Autorisation des mises à jour dynamiques



Pour autoriser les mises à jour dynamiques à l’aide de l’interface Windows



3. Sous l’onglet Général, vérifiez que le type de zone est Principale ou Intégré Active Directory.

4. Dans Mises à jour dynamiques, cliquez sur Non sécurisé et sécurisé.



241


La mise à jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATES) ».

Pour autoriser les mises à jour dynamiques à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate {1|0}



<NomServeur>





/AllowUpdate Obligatoire. Active les mises à jour dynamiques pour les zones spécifiées.

1|0Configure la mise à jour dynamique. Pour autoriser les mises à jour dynamiques, entrez la valeur 1. Pour ne pas autoriser les mises à jour dynamiques, entrez la valeur 0.





242

La mise à jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATES) ».

Autoriser uniquement les mises à jour dynamiquesLes mises à jour dynamiques peuvent être sécurisées ou non sécurisées. La sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées aux services de domaine Active Directory (AD DS). Une fois qu’une zone a été intégrée à l’annuaire, les fonctionnalités de modification de liste de contrôle d’accès (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet d’ajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spécifié.


Autorisation des mises à jour dynamiques sécurisées uniquement



Pour autoriser uniquement les mises à jour dynamiques sécurisées à l’aide de l’interface Windows




243

4. Dans Mises à jour dynamiques, cliquez sur Sécurisé uniquement.



Les mises à jour dynamiques sécurisées sont prises en charge uniquement pour les zones intégrées aux services de domaine Active Directory. Si le type de zone est configuré différemment, vous devez modifier le type de zone et intégrer la zone à l’annuaire avant de la sécuriser pour les mises à jour dynamiques DNS.

La mise à jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) ».

Par défaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de référence répertoriés dans les enregistrements de serveur de noms (NS) pour la zone.

Pour autoriser uniquement les mises à jour dynamiques sécurisées à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate 2



<NomServeur>





/AllowUpdate Obligatoire. Permet à la zone d’effectuer des mises à jour dynamiques.

2 Obligatoire. Configure le serveur pour autoriser la mise à jour sécurisée. Si vous excluez le 2, la zone sera configurée pour effectuer uniquement des mises à jour dynamiques standard.

244





La mise à jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) ».

Par défaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de référence répertoriés dans les enregistrements de ressources de serveur de noms (NS) pour la zone.

Ajouter un enregistrement de ressource à une zoneAprès avoir créé une zone, on y ajoute généralement des enregistrements de ressources supplémentaires. Les enregistrements de ressources les plus courants à ajouter sont les suivants :

Enregistrement de ressource hôte (A) pour le mappage d’un nom de domaine DNS (Domain Name System) à une adresse IP utilisée par un ordinateur.

Enregistrement de ressource alias (CNAME) pour le mappage d’un alias de nom de domaine DNS à un autre nom canonique ou principal.

Enregistrement de serveur de messagerie (MX) pour le mappage d’un nom de domaine DNS au nom d’un ordinateur qui échange ou transfère du courrier.

Enregistrement de ressource pointeur (PTR) pour le mappage d’un nom de domaine DNS inversé basé sur l’adresse IP d’un ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur.

Enregistrement de ressource Emplacement du service (SRV) pour le mappage d’un nom de domaine DNS à une liste spécifiée d’ordinateurs hôtes DNS qui offrent un type spécifique de service, tels que des contrôleurs de domaine Active Directory.

245

Vous pouvez également ajouter d’autres enregistrements de ressources selon vos besoins. Pour plus d’informations, voir Liste de vérification : utiliser des enregistrements de ressources.


Ajout d’un enregistrement de ressource à une zone



Pour ajouter un enregistrement de ressource à une zone à l’aide de l’interface Windows


puis cliquez sur Nouveaux enregistrements.

3. Dans la zone de liste Choisissez un type d’enregistrement de ressource, sélectionnez le type d’enregistrement de ressource à ajouter.

4. Cliquez sur Créer un enregistrement.

5. Dans Nouvel enregistrement de ressource, entrez les informations pour créer l’enregistrement de ressource.

6. Après avoir spécifié toutes les informations nécessaires pour l’enregistrement de ressource, cliquez sur OK pour ajouter le nouvel enregistrement à la zone.



Pour ajouter un enregistrement de ressource à une zone à l’aide d’une ligne de commande


dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [Ttl] <RRType> <RRData>



246



<NomServeur>




<NomNœud>


/Aging

Spécifie que cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si cette commande est utilisée, cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si elle n’est pas utilisée, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.


Ttl Spécifie le paramètre de durée de vie (TTL) pour l’enregistrement de ressource.

<TypeER> <DonnéesER>Obligatoire. Spécifie le type d’enregistrement de ressource à ajouter, suivi des données devant être contenues dans l’enregistrement de ressource.

Type d’enregistrement de ressource Données

d’enregistrement de ressource

A AdresseIPv4

AAAA AdresseIPv6

NS,CNAME,MB,MD,PTR,MF,MG,MR

NomHôte|NomDomaine

MX,RT,AFSDB Préférence NomServeur

SRV Priorité Poids Port NomHôte

247

SOA

SrvPrinc Admin N°Série\ Actualisation Nouv Tent. Expiration TTLmin

TXT,X25,HINFO,ISDN Chaîne [String]

MINFO,RP NomBoîtesAuxLettres NomBoîtesAuxLettresErr

WKS Protocole AdresseIP Service...

WINSIndicMap DélaiRecherche DélaiCache AdresseIP...

WINSR

IndicMap DélaiRecherche DélaiCache NomDomaineRst...

<AdresseIP> Spécifie une adresse IP standard, par exemple 255.255.255.255.

<Adresseipv6> Spécifie une adresse IPv6 standard, par exemple 1:2:3:4:5:6:7:8.

<Protocole> Spécifie le protocole de transmission : UDP ou TCP.

<Service> Spécifie un service standard, par exemple domain, smtp.

<NomHôte|<NomDomaine>

Spécifie le nom de domaine complet d’un enregistrement de ressource dans l’espace de noms DNS.



248

Ajouter un enregistrement de ressource alias (CNAME) à une zoneLes enregistrements de ressources alias (CNAME) sont parfois appelés enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un même hôte, ce qui facilite certaines tâches telles que l’hébergement d’un serveur FTP (File Transfer Protocol) et d’un serveur Web sur le même ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits à l’aide d’enregistrements de ressources alias (CNAME) mappés au nom d’hôte DNS (Domain Name System), tel que server-1, pour l’ordinateur serveur qui héberge ces services.


Ajout d’un enregistrement de ressource alias (CNAME) à une zone



Pour ajouter un enregistrement de ressource alias (CNAME) à une zone à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone de

recherche directe applicable, puis cliquez sur Nouvel alias.

3. Dans Nom de l’alias, tapez le nom de l’alias.

4. Dans Nom de domaine pleinement qualifié (FQDN) pour l’hôte de destination, tapez le nom de domaine complet de l’ordinateur hôte DNS pour lequel cet alias doit être utilisé.

Si vous le souhaitez, vous pouvez cliquer sur Parcourir pour rechercher dans l’espace de noms DNS des hôtes de ce domaine pour lesquels des enregistrements de ressources hôte (A) sont déjà définis.

5. Cliquez sur OK pour ajouter le nouvel enregistrement à la zone.



Pour ajouter un enregistrement de ressource alias (CNAME) à une zone à l’aide d’une ligne de commande

249


dnscmd <NomServeur>/RecordAdd <NomZone> <NomNœud> [/Aging] [/OpenAcl] [<Ttl>] CNAME <NomHôte>|<NomDomaine>



<NomServeur>



<NomZone> Obligatoire. Spécifie le nom de la zone où cet enregistrement de ressource alias (CNAME) sera ajouté.

<NomNœud>


/Aging

Spécifie que cet enregistrement de ressource est activé pour l’antériorité et le nettoyage. Si ce paramètre n’est pas utilisé, l’enregistrement de ressource demeure dans la base de données DNS à moins qu’il ne soit mis à jour ou supprimé manuellement.


<Ttl> Spécifie le paramètre de durée de vie (TTL) pour l’enregistrement de ressource. (La durée de vie par défaut est définie dans l’enregistrement de source de noms (SOA).)

CNAME Obligatoire. Spécifie le type d’enregistrement de ressource de l’enregistrement que vous ajoutez.

<NomHôte>|<NomDomaine>

Obligatoire. Spécifie le nom de domaine complet de tout nom de domaine ou hôte DNS valide dans l’espace de noms. Pour les noms de domaine complets, un point final (.) est utilisé pour qualifier pleinement le nom.

250



Modifier la sécurité pour un enregistrement de ressourceVous pouvez appliquer cette procédure pour contrôler qui peut mettre à jour ou supprimer un enregistrement de ressource d’une zone. Pour plus d’informations, voirSécurisation des enregistrements de ressources DNS.

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine dans les services de domaine Active Directory (AD DS), ou à un compte équivalent.

Pour modifier la sécurité pour un enregistrement de ressource


3. Dans le volet d’informations, cliquez sur l’enregistrement à afficher.


5. Sous l’onglet Sécurité, modifiez la liste des utilisateurs ou groupes membres qui sont autorisés à mettre à jour de manière sécurisée l’enregistrement applicable et à réinitialiser leurs autorisations en cas de besoin.



Les mises à jour dynamiques sécurisées sont prises en charge ou configurables uniquement pour les enregistrements de ressources dans des zones stockées dans les services de domaine Active Directory (AD DS).

Les paramètres de sécurité appliqués aux enregistrements de ressources affectent uniquement les mises à jour dynamiques. Ces paramètres de sécurité n’ont aucune incidence sur les catégories d’utilisateurs qui peuvent administrer la zone où ces

251



enregistrements de ressources résident. Pour plus d’informations sur les paramètres de sécurité qui affectent les catégories d’utilisateurs autorisés à administrer une zone, voir « Références supplémentaires ».

Les enregistrements de ressources ayant le même nom partagent les mêmes paramètres de sécurité d’enregistrement de ressource. Les noms des enregistrements de ressources sont répertoriés dans la colonne Nom du Gestionnaire DNS.

Utiliser l’antériorité et le nettoyageL’antériorité et le nettoyage est le processus par lequel les enregistrements de ressources sont affectés d’un horodatage lors de leur création, puis supprimés lorsque leur âge dépasse une limite spécifiée. Ce processus est particulièrement utile pour empêcher l’accumulation d’enregistrements non valides lorsque les enregistrements de ressources sont créés automatiquement, comme avec la mise à jour dynamique.


Définir les propriétés d’antériorité et de nettoyage pour une zone Définir les propriétés d’antériorité et de nettoyage du serveur DNS Activer le nettoyage automatique des enregistrements de ressources obsolètes Commencer le nettoyage immédiat des enregistrements de ressources obsolètes Afficher quand une zone peut commencer à nettoyer des enregistrements obsolètes Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de

ressource spécifié

252









Présentation de l’antériorité et du nettoyageLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps.

Avec la mise à jour dynamique, les enregistrements de ressources sont ajoutés automatiquement aux zones lorsque les ordinateurs démarrent sur le réseau. Toutefois, dans certains cas ils ne sont pas supprimés automatiquement lorsque les ordinateurs quittent le réseau. Par exemple, si un ordinateur inscrit son propre enregistrement de ressource hôte au démarrage et qu’il est ultérieurement déconnecté du réseau de manière incorrecte, son enregistrement de ressource hôte peut ne pas être supprimé. Si votre réseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se présenter fréquemment.

Si vous ne vous en occupez pas, la présence d’enregistrements de ressources obsolètes dans les données de zone peut provoquer des problèmes :

Si un grand nombre d’enregistrements de ressources obsolètes demeurent dans des zones, ils peuvent finir par prendre beaucoup d’espace sur le disque du serveur et entraîner de longs délais de transfert de zone.

Les serveurs DNS (Domain Name System) qui chargent des zones contenant des enregistrements de ressources obsolètes risquent d’utiliser des informations obsolètes pour répondre à des demandes de clients, auquel cas ces derniers peuvent rencontrer des problèmes de résolution de noms sur le réseau.

L’accumulation d’enregistrements de ressources obsolètes sur le serveur DNS peut entraîner une dégradation de ses performances et de sa capacité de réponse.

Dans certains cas, la présence d’un enregistrement de ressource obsolète dans une zone peut empêcher un nom de domaine DNS d’être utilisé par un autre ordinateur ou périphérique hôte.

Pour résoudre ces problèmes, le service Serveur DNS propose les fonctionnalités suivantes :

Enregistrement des informations de date, sur la base de la date et de l’heure actuelles définies sur l’ordinateur serveur, pour tout enregistrement de ressource ajouté de manière dynamique aux zones de type principal. En outre, des horodatages sont enregistrés dans les zones principales standard où l’antériorité et le nettoyage sont activés.

253

Pour les enregistrements de ressources que vous ajoutez manuellement, une valeur d’horodatage de zéro est utilisée pour indiquer que ces enregistrements ne sont pas affectés par le processus d’antériorité et qu’ils peuvent demeurer dans les données de zone de manière illimitée, à moins que vous ne modifiiez leur horodatage ou que vous ne les supprimiez.

Antériorité des enregistrements de ressources dans les données locales, sur la base d’une période d’actualisation spécifiée, pour toute zone éligible.

Seules les zones de type principal qui sont chargées par le service Serveur DNS peuvent participer à ce processus.

Nettoyage de tous les enregistrements de ressources qui persistent au-delà de la période d’actualisation spécifiée.

Lorsqu’un serveur DNS effectue une opération de nettoyage, il peut déterminer que les enregistrements de ressources ont « vieilli » au point de devenir obsolètes et doivent être supprimés des données de zone. Vous pouvez configurer les serveurs de façon à effectuer des opérations de nettoyage automatiques récurrentes ou vous pouvez initier une opération de nettoyage immédiate sur le serveur.

Pour plus d’informations, voir Activer le nettoyage automatique des enregistrements de ressources obsolètes ou Commencer le nettoyage immédiat des enregistrements de ressources obsolètes.

Attention Par défaut, le mécanisme d’antériorité et de nettoyage du service Serveur DNS est désactivé. Il doit être activé uniquement lorsque tous les paramètres sont bien compris. Autrement, le serveur peut être accidentellement configuré de façon à supprimer des enregistrements qui ne devraient pas l’être. En cas de suppression accidentelle d’un enregistrement, non seulement les utilisateurs ne pourront résoudre les requêtes pour cet enregistrement, mais tout utilisateur pourra créer un enregistrement et en devenir propriétaire, même dans les zones configurées pour la mise à jour dynamique sécurisée.

Un serveur utilise le contenu de chaque horodatage spécifique à l’enregistrement de ressource, ainsi que d’autres propriétés d’antériorité et de nettoyage que vous pouvez ajuster ou configurer, afin de déterminer quand il doit nettoyer les enregistrements.

Conditions préalables pour l’antériorité et le nettoyage

Pour que vous puissiez utiliser les fonctionnalités d’antériorité et de nettoyage de DNS, plusieurs conditions doivent être remplies :

1. Le nettoyage et l’antériorité doivent être activés sur le serveur DNS et dans la zone.

Par défaut, l’antériorité et le nettoyage des enregistrements de ressources sont désactivés.

2. Les enregistrements de ressources doivent être ajoutés de manière dynamique aux zones ou modifiés manuellement pour être utilisés dans les opérations d’antériorité et

254





de nettoyage.

En général, seuls les enregistrements de ressources ajoutés de manière dynamique à l’aide du protocole de mise à jour dynamique DNS sont soumis à l’antériorité et au nettoyage.

Vous pouvez toutefois activer le nettoyage pour d’autres enregistrements de ressources ajoutés de façon non dynamique. Pour les enregistrements ajoutés à des zones de cette manière, soit en chargeant un fichier texte de zone à partir d’un autre serveur DNS, soit en les ajoutant manuellement à une zone, un horodatage de zéro est défini. Cela rend ces enregistrements inéligibles pour une utilisation dans les opérations d’antériorité et de nettoyage.

Pour modifier ce comportement par défaut, vous pouvez administrer ces enregistrements individuellement afin de les réinitialiser et leur permettre d’utiliser une valeur d’horodatage actuelle (différente de zéro). Ces enregistrements pourront alors être soumis à l’antériorité et au nettoyage.

Pour plus d’informations, voir Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié.

Remarques En cas de changement d’une zone principale standard en zone intégrée à Active Directory, vous souhaiterez peut-être activer le nettoyage de tous les enregistrements de ressources existants dans la zone. Pour activer l’antériorité pour tous les enregistrements de ressources dans une zone, vous pouvez utiliser la commande AgeAllRecords, accessible par le biais de l’outil en ligne de commande dnscmd.

Terminologie relative à l’antériorité et au nettoyage

Le tableau suivant contient des termes nouveaux ou révisés ayant été introduits afin de faciliter la discussion de l’antériorité et du nettoyage.

Terme Description

Horodatage d’enregistrement de ressource

Valeur de date et heure utilisée par le serveur DNS pour déterminer la suppression de l’enregistrement de ressource lorsqu’il effectue des opérations d’antériorité et de nettoyage.

Heure actuelle du serveur

Date et heure actuelles sur le serveur DNS. Ce nombre peut être exprimé sous la forme d’une valeur numérique exacte à tout moment.


Intervalle de temps, déterminé pour chaque zone, tel que limité par les deux événements suivants :

1. La date et l’heure de dernière actualisation de l’enregistrement et de dernière définition de son horodatage.

2. Les prochaines date et heure auxquelles l’enregistrement

255



deviendra éligible pour l’actualisation et auxquelles son horodatage sera réinitialisé.

Cette valeur est nécessaire afin de réduire le nombre d’opérations d’écriture dans la base de données Active Directory. Par défaut, cet intervalle est de sept jours. Il ne doit pas être augmenté jusqu’à une valeur déraisonnable, car les avantages offerts par la fonctionnalité d’antériorité et de nettoyage seraient alors éliminés ou réduits.

Intervalle d’actualisation

Intervalle de temps, déterminé pour chaque zone, tel que limité par les deux événements distincts suivants :

1. Les date et heure les plus proches auxquelles l’enregistrement deviendra éligible pour l’actualisation et auxquelles son horodatage sera réinitialisé.

2. Les date et heure les plus proches auxquelles l’enregistrement deviendra éligible pour le nettoyage et la suppression de la base de données de zone.

Cette valeur doit être suffisamment élevée pour permettre à tous les clients d’actualiser leurs enregistrements. Par défaut, cet intervalle est de sept jours. Il ne doit pas être augmenté jusqu’à une valeur déraisonnable, car les avantages offerts par la fonctionnalité d’antériorité et de nettoyage seraient alors éliminés ou réduits.

Heure de début de nettoyage

Heure spécifique, exprimée sous la forme d’un nombre. Cette heure est utilisée par le serveur pour déterminer quand une zone devient éligible pour le nettoyage.

Période de nettoyage

Lorsque le nettoyage automatique est activé sur le serveur, cette période représente le temps écoulé entre les répétitions du processus de nettoyage automatisé. La valeur par défaut pour ce paramètre est de sept jours. Pour empêcher toute dégradation des performances du serveur DNS, la valeur minimale autorisée est d’une heure.

Actualisation d’enregistrement

Moment auquel une mise à jour dynamique DNS est traitée pour un enregistrement de ressource lorsque seul l’horodatage d’enregistrement de ressource, et aucune autre caractéristique de l’enregistrement, est révisé.

Les actualisations ont généralement lieu pour les raisons suivantes :

1. Lorsqu’un ordinateur est redémarré sur le réseau et que, à son démarrage, les informations concernant son nom et son adresse IP sont cohérentes avec celles qu’il a utilisées avant de s’arrêter, il envoie une actualisation afin de renouveler ses enregistrements de ressources associés pour ces informations.

2. Une actualisation périodique est envoyée par l’ordinateur durant son exécution.

256

Le service Client DNS Windows renouvelle l’inscription DNS des enregistrements de ressources client toutes les 24 heures. Lorsque cette mise à jour dynamique a lieu, si la demande de mise à jour dynamique n’entraîne aucune modification de la base de données DNS, on considère qu’il s’agit d’une actualisation et non d’une mise à jour d’enregistrement de ressource.

3. D’autres services réseau effectuent des tentatives d’actualisation, par exemple les serveurs DHCP, qui renouvellent les baux d’adresses client, les serveurs de cluster, qui inscrivent et mettent à jour les enregistrements pour un cluster, et le service Ouverture de session réseau, qui peut inscrire et mettre à jour des enregistrements de ressources utilisés par des contrôleurs de domaine Active Directory.

Mise à jour d’enregistrement

Moment durant lequel une mise à jour dynamique DNS est traitée pour un enregistrement de ressource pour lequel d’autres caractéristiques de l’enregistrement, en plus de l’horodatage, sont révisées.

Les mises à jour ont généralement lieu pour les raisons suivantes :

1. Lorsqu’un nouvel ordinateur est ajouté au réseau et que, au démarrage, il envoie une mise à jour afin d’inscrire pour la première fois ses enregistrements de ressources dans sa zone configurée.

2. Lorsqu’un ordinateur avec des enregistrements existants dans la zone subit un changement d’adresse IP, provoquant l’envoi de mises à jour pour ses mappages nom-à-adresse modifiés dans les données de zone DNS.

3. Lorsque le service Ouverture de session réseau inscrit un nouveau contrôleur de domaine Active Directory.

Serveurs de nettoyage

Paramètre de zone avancé facultatif qui vous permet de spécifier une liste restreinte d’adresses IP pour les serveurs DNS autorisés à effectuer le nettoyage de la zone.

Par défaut, si ce paramètre n’est pas spécifié, tous les serveurs DNS qui chargent une zone intégrée à l’annuaire (également activés pour le nettoyage) tentent d’effectuer le nettoyage de la zone. Dans certains cas, ce paramètre peut être utile s’il est préférable d’effectuer le nettoyage uniquement sur certains serveurs chargeant la zone intégrée à l’annuaire.

Pour définir ce paramètre, vous devez spécifier la liste d’adresses IP pour les serveurs autorisés à nettoyer la zone dans le paramètre ZoneResetScavengeServers de la zone. Cette opération peut s’effectuer à l’aide de la commande dnscmd, un outil en ligne de commande permettant d’administrer les serveurs DNS Windows.

257

Quand le nettoyage peut-il commencer ?

Une fois que toutes les conditions préalables à l’activation du nettoyage sont réunies, celui-ci peut commencer pour une zone de serveur lorsque l’heure actuelle du serveur est ultérieure à la valeur de l’heure de début de nettoyage pour la zone.

Le serveur définit la valeur temporelle du démarrage du nettoyage en fonction de chaque zone lorsque l’un des événements suivants se produit :

Les mises à jour dynamiques sont activées pour la zone.

Une modification de l’état de la case à cocher Nettoyer les enregistrements de ressources obsolètes est appliquée. Vous pouvez utiliser le Gestionnaire DNS pour modifier ce paramètre sur un serveur DNS applicable ou l’une de ses zones principales.

Le serveur DNS charge une zone principale qui est activée pour utiliser le nettoyage.

Cela peut se produire lorsque l’ordinateur serveur ou le service Serveur DNS est démarré.

Lorsqu’une zone est remise en service après avoir été suspendue. Si la zone est intégrée aux services de domaine Active Directory (AD DS) , la

réplication pour la zone doit avoir eu lieu au moins une fois depuis le redémarrage du service DNS ou le réamorçage du contrôleur de domaine. Lorsque les événements précédents se produisent, le serveur DNS définit la valeur de l’heure de début de nettoyage en calculant la somme suivante :

heure actuelle du serveur + intervalle d’actualisation = heure de début de nettoyage

Cette valeur est utilisée comme base pour la comparaison durant les opérations de nettoyage.

Exemple : processus d’antériorité et de nettoyage pour un exemple d’enregistrement

Pour comprendre le processus d’antériorité et de nettoyage sur le serveur, considérez la durée de vie et les phases successives d’un enregistrement de ressource unique à mesure qu’il est ajouté à un serveur et à une zone où ce processus est en vigueur, puis considéré comme « vieilli », et enfin supprimé de la base de données.

1. Un exemple d’hôte DNS, « host-a.example.microsoft.com », inscrit son enregistrement de ressource hôte (A) sur le serveur DNS pour une zone où l’antériorité et le nettoyage sont activés.

2. Lors de l’inscription de l’enregistrement, le serveur DNS place un horodatage sur cet enregistrement en fonction de l’heure actuelle du serveur.

Une fois l’horodatage d’enregistrement écrit, le serveur DNS n’accepte aucune actualisation pour cet enregistrement pendant toute la durée de l’intervalle de non-actualisation de la zone. Il peut toutefois accepter les mises à jour avant la fin de cet intervalle. Par exemple, si l’adresse IP pour « host-a.example.microsoft.com » change,

258

le serveur DNS peut accepter la mise à jour. Dans ce cas, le serveur met à jour (réinitialise) également l’horodatage d’enregistrement.

3. Dès l’expiration de la période de non-actualisation, le serveur commence à accepter les tentatives d’actualisation de cet enregistrement.

Lorsque la période initiale de non-actualisation se termine, la période d’actualisation commence immédiatement pour l’enregistrement. Durant ce temps-là, le serveur n’empêche pas les tentatives d’actualisation de l’enregistrement pendant le reste de sa durée de vie.

4. Durant et après la période d’actualisation, si le serveur reçoit une actualisation pour l’enregistrement, il la traite.

Cela réinitialise l’horodatage de l’enregistrement selon la méthode décrite à l’étape 2.5. Lorsque le nettoyage ultérieur est effectué par le serveur pour la zone

« example.microsoft.com », l’enregistrement (et tous les autres enregistrements de la zone) est examiné par le serveur.

Chaque enregistrement est comparé à l’heure actuelle du serveur sur la base de la somme suivante afin de déterminer s’il doit être supprimé :

horodatage de l’enregistrement + Intervalle de non-actualisation pour la zone + Intervalle d’actualisation pour la zone

o Si la valeur de cette somme est supérieure à l’heure actuelle du serveur, aucune action n’est effectuée et l’enregistrement continue de vieillir dans la zone.

o Si la valeur de cette somme est inférieure à l’heure actuelle du serveur, l’enregistrement est supprimé de toute donnée de zone actuellement chargée dans la mémoire du serveur et également de la banque d’objets DnsZone applicable dans les services de domaine Active Directory (AD DS) pour la zone « example.microsoft.com » intégrée à l’annuaire.

259

Définir les propriétés d’antériorité et de nettoyage pour une zoneLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour définir les propriétés d’antériorité et de nettoyage pour une zone spécifique.


Définition des propriétés d’antériorité et de nettoyage pour une zone



Pour définir les propriétés d’antériorité et de nettoyage pour une zone à l’aide de l’interface Windows








Pour définir les propriétés d’antériorité et de nettoyage pour une zone à l’aide d’une ligne de commande

1. Ouvrez une invite de commandes.

260

2. Tapez la commande suivante et appuyez sur Entrée :

dnscmd <ServerName> /Config <ZoneName> {/Aging <Value>|/RefreshInterval <Value>|/NoRefreshInterval <Value>}



<NomServeur>


/Config Obligatoire. Indique que la commande configure la zone spécifiée.

<NomZone>Obligatoire. Spécifie le nom de la zone pour laquelle vous souhaitez définir les propriétés d’antériorité et de nettoyage.

/Aging Obligatoire. Active l’antériorité pour des zones.

/RefreshInterval Obligatoire. Spécifie l’intervalle d’actualisation pour une zone activée pour le nettoyage.

/NoRefreshInterval Obligatoire. Spécifie l’intervalle de non-actualisation pour une zone activée pour le nettoyage.

<Valeur>

Obligatoire. Pour /Aging, tapez 1 pour activer l’antériorité. Tapez 0 pour désactiver l’antériorité. Pour /RefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 heures (une semaine). Pour /NoRefreshInterval, tapez une valeur en secondes. Le paramètre standard est 3600 (une heure).



261

Définir les propriétés d’antériorité et de nettoyage du serveur DNSLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour définir les propriétés d’antériorité et de nettoyage par défaut pour les zones sur un serveur.


Définition des propriétés d’antériorité et de nettoyage du serveur DNS



Pour définir les propriétés d’antériorité et de nettoyage du serveur DNS à l’aide de l’interface Windows


applicable, puis cliquez sur Définir le vieillissement/nettoyage pour toutes les zones.



262



Les propriétés d’antériorité et de nettoyage configurées à l’aide de cette procédure deviennent des propriétés par défaut qui s’appliquent uniquement aux zones intégrées aux services de domaine Active Directory. Pour les zones principales standard, vous devez définir les propriétés appropriées au niveau de la zone concernée.

Lorsque vous appliquez les modifications apportées aux paramètres d’antériorité et de nettoyage du serveur, le Gestionnaire DNS vous invite à confirmer les modifications. Vous avez alors la possibilité d’appliquer vos modifications aux nouvelles zones intégrées aux services de domaine Active Directory uniquement. Si nécessaire, vous pouvez appliquer également vos modifications aux zones intégrées aux services de domaine Active Directory existantes.

Que la case à cocher Nettoyer les enregistrements de ressources obsolètes soit activée ou non (comme décrit à l’étape 3), pour les zones principales standard, cette fonctionnalité est désactivée à moins qu’elle ne soit activée manuellement au niveau de la zone applicable.

Pour définir les propriétés d’antériorité et de nettoyage du serveur DNS à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {/ScavengingInterval <Value>|/DefaultAgingState <Value>|/DefaultNoRefreshInterval <Value>|/DefaultRefreshInterval <Value>}



<NomServeur>


/Config Obligatoire. Configure le serveur spécifié.

/ScavengingInterval Obligatoire. Définit la fréquence à laquelle le serveur effectuera le nettoyage pour toutes les zones activées à cet effet.

/DefaultAgingState Obligatoire. Définit la configuration d’antériorité par défaut pour toutes les zones sur le serveur.

/DefaultNoRefreshInterval Obligatoire. Définit l’intervalle de non-actualisation par défaut

263

pour les zones activées pour le nettoyage.

/DefaultRefreshInterval Définit l’intervalle d’actualisation par défaut pour les zones activées pour le nettoyage.

<Valeur>

Pour /ScavengingInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine). Pour /DefaultAgingState, tapez 1 pour activer l’antériorité pour les nouvelles zones lorsqu’elles sont créées. Tapez 0 pour désactiver l’antériorité pour les nouvelles zones. Pour /DefaultNoRefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine). Pour /DefaultRefreshInterval, tapez une valeur en heures. La valeur par défaut est 168 (une semaine).



Activer le nettoyage automatique des enregistrements de ressources obsolètesLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps. Vous pouvez appliquer cette procédure pour fournir un nettoyage automatique des enregistrements de ressources contenus dans les zones hébergées par le serveur DNS (Domain Name System).

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs ou à un groupe équivalent

Pour activer le nettoyage automatique des enregistrements de ressources obsolètes




264

4. Activez la case à cocher Activer le nettoyage automatique des enregistrements obsolètes.

5. Pour ajuster la Délai de nettoyage, dans la liste déroulante, sélectionnez un intervalle en heures ou en jours, puis tapez un nombre dans la zone.

Commencer le nettoyage immédiat des enregistrements de ressources obsolètesVous pouvez appliquer cette procédure pour supprimer immédiatement les enregistrements de ressources de serveur ayant dépassé le délai imparti depuis leur création.


Démarrage du nettoyage immédiat des enregistrements de ressources obsolètes



Pour commencer le nettoyage immédiat des enregistrements de ressources obsolètes à l’aide de l’interface Windows

265


(Domain Name System), puis cliquez sur Nettoyer les enregistrements de ressources obsolètes.

3. Lorsque vous êtes invité à confirmer le nettoyage de tous les enregistrements de ressources obsolètes sur le serveur, cliquez sur OK.



Pour commencer le nettoyage immédiat des enregistrements de ressources obsolètes à l’aide d’une ligne de commande


dnscmd <ServerName> /StartScavenging




/StartScavenging Obligatoire. Initie le nettoyage des enregistrements de ressources.


dnscmd /StartScavenging /help

266

Afficher quand une zone peut commencer à nettoyer des enregistrements obsolètesVous pouvez appliquer cette procédure pour vérifier que l’intervalle de nettoyage d’une zone est correct.


Affichage du moment auquel une zone peut commencer à nettoyer des enregistrements obsolètes


267


Pour afficher le moment auquel une zone peut commencer à nettoyer des enregistrements obsolètes à l’aide de l’interface Windows

1. Ouvrez le Gestionnaire DNS.2. Dans le menu Affichage, cliquez sur Avancé.

3. Cliquez avec le bouton droit sur la zone appropriée, puis cliquez sur Propriétés.


5. Sous Intervalle d’actualisation, affichez le moment auquel la zone est pour la première fois éligible pour le nettoyage des enregistrements de ressources obsolètes.



L’horodatage de début de nettoyage est utilisé pour déterminer le moment auquel le nettoyage de zone peut commencer.

Une fois l’horodatage de début de nettoyage atteint, le nettoyage peut avoir lieu uniquement si la case à cocher Nettoyer les enregistrements de ressources obsolètes est activée. Si cette case à cocher est désactivée, le nettoyage de la zone ne peut pas être effectué.

Pour afficher le moment auquel une zone peut commencer à nettoyer des enregistrements obsolètes à l’aide d’une ligne de commande


dnscmd <ServerName> /ZoneInfo <ZoneName> RefreshInterval




/ZoneInfo Obligatoire. Affiche les informations de configuration.


RefreshInterval Obligatoire. Spécifie la propriété de configuration qui affiche le moment

268

auquel la zone est pour la première fois éligible pour le nettoyage des enregistrements de ressources obsolètes. La valeur de sortie est exprimée en heures. La valeur par défaut est 168 heures (une semaine).


dnscmd /ZoneInfo /help



Réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifiéLe service Serveur DNS prend en charge des fonctionnalités d’antériorité et de nettoyage. Ces fonctionnalités sont fournies en guise de mécanisme de nettoyage et de suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au

269

fil du temps. Vous pouvez appliquer cette procédure pour modifier la façon dont un enregistrement de ressource spécifique est nettoyé.


Réinitialisation des propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié



Pour réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié à l’aide de l’interface Windows


3. Dans le volet d’informations, double-cliquez sur l’enregistrement de ressource pour lequel vous souhaitez réinitialiser les propriétés d’antériorité et de nettoyage.

4. Effectuez l’une des opérations suivantes, selon la manière dont l’enregistrement de ressource a été initialement ajouté à la zone :

o Si l’enregistrement a été ajouté de manière dynamique à l’aide de la fonctionnalité de mise à jour dynamique, désactivez la case à cocher Supprimer cet enregistrement lorsqu’il deviendra périmé afin d’empêcher son vieillissement ou sa suppression éventuelle durant le processus de nettoyage. Si les mises à jour dynamiques de cet enregistrement continuent de se produire, le serveur DNS (Domain Name System) réinitialisera toujours cette case à cocher de sorte que l’enregistrement mis à jour de façon dynamique puisse être supprimé.

o Si l’enregistrement a été ajouté de manière statique, activez la case à cocher Supprimer cet enregistrement lorsqu’il deviendra périmé afin d’autoriser son vieillissement ou sa suppression éventuelle durant le processus de nettoyage.



Cette procédure est nécessaire uniquement pour les enregistrements de ressources inscrits de manière dynamique. Pour les enregistrements que vous ajoutez manuellement à une zone, une valeur d’horodatage de zéro s’applique toujours à l’enregistrement, ce qui l’exclut du processus de nettoyage.

Les propriétés d’antériorité et de nettoyage des enregistrements de serveur de noms (NS) et de source de noms (SOA) sont réinitialisées dans les propriétés de la zone, et non dans celles de l’enregistrement de ressource.

270

Pour réinitialiser les propriétés d’antériorité et de nettoyage pour un enregistrement de ressource spécifié à l’aide d’une ligne de commande


dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /ScavengingInterval <Value>



<NomServeur>





/ScavengingInterval Obligatoire. Définit l’intervalle de nettoyage.

<Valeur> Obligatoire. Nouvelle valeur de l’intervalle de nettoyage, spécifiée en heures. La valeur par défaut est 168 (une semaine).



Gestion des clients

271

Les ordinateurs clients doivent être configurés correctement afin de fonctionner avec les serveurs DNS sur lesquels ils reposent pour la résolution des noms réseau. Vous pouvez configurer les ordinateurs clients de sorte que leurs adresses réseau soient fournies par des serveurs DHCP (Dynamic Host Configuration Protocol), ou vous pouvez les configurer avec des adresses fixes. Vous pouvez également configurer les clients avec des paramètres supplémentaires afin d’améliorer leur capacité à localiser les hôtes réseau et à être localisés par ces derniers.

Présentation des paramètres de client DNS

Activer DNS pour les clients DHCP Configurer DNS pour des clients statiques

Présentation des paramètres de client DNS

272




La configuration DNS (Domain Name System) nécessite les tâches de configuration suivantes pour les propriétés TCP/IP sur chaque ordinateur :














273











274



Lorsqu’un ordinateur client est démarré sur le réseau, il utilise la résolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configuré. Cette requête est utilisée pour trouver les contrôleurs de domaine et fournir une authentification d’ouverture de session pour l’accès aux ressources réseau. Un client ou contrôleur de domaine sur le réseau peut également utiliser le service de résolution NetBIOS pour interroger des serveurs WINS et tenter de localiser des entrées DomainName [1C] afin d’achever le processus d’ouverture de session.






275








Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui étend ou révise leurs capacités de recherche DNS. En ajoutant des suffixes supplémentaires à la liste, vous pouvez rechercher des noms d’ordinateurs plus courts (non complets) dans plusieurs domaines DNS spécifiés. Ensuite, en cas d’échec d’une requête DNS, le service Client DNS peut utiliser cette liste pour ajouter d’autres terminaisons de suffixe de nom à votre nom d’origine et répéter les requêtes DNS au serveur DNS pour ces autres noms de domaine complets.


276







Lorsque la liste de recherche de suffixe n’est pas vide et comporte au moins un suffixe DNS, les tentatives de résolution des noms DNS courts sont limitées à la recherche des noms de domaine complets rendue possible par la liste de suffixes spécifiée. En cas d’échec de résolution de tous les noms de domaine complets formés suite à l’ajout et à la tentative de chaque suffixe dans la liste, le processus de requête échoue, ce qui génère un message « Nom introuvable ».








277








Le nom host-a.public.example.microsoft.com procure un accès par le biais de la connexion de réseau local 1 sur le sous-réseau Subnet 1, un réseau local Ethernet faible vitesse (10 mégabits), pour l’accès normal aux utilisateurs ayant des besoins de service de fichiers et d’impression ordinaires.


278





10.1.1.11, 10.2.2.22

Nom DNS principal de l’ordinateur. L’ordinateur inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour toutes les adresses IP configurées sous ce nom dans la zone widgets.tailspintoys.com.


10.1.1.11



10.2.2.22

Nom DNS spécifique à la connexion pour la connexion de réseau local 2, qui inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour l’adresse IP 10.2.2.22 dans la zone

279

backup.widgets.tailspintoys.com.








280












281



Sécurisation de DNSÉtant un protocole ouvert, DNS (Domain Name System) est particulièrement vulnérable aux agresseurs. Les attaques réussies peuvent être particulièrement perturbatrices étant donné le rôle critique joué par DNS dans la plupart des réseaux. Pour cette raison, il est très important de tirer parti des fonctionnalités de sécurité avancées fournies pour le rôle de serveur DNS dans Windows Server 2008. Cette section fournit des recommandations pour l’utilisation de ces fonctionnalités de sécurité.

Informations de sécurité pour DNS

282


Sécurisation du déploiement DNS Sécurisation du service Serveur DNS Sécurisation des zones DNS Sécurisation des enregistrements de ressources DNS Sécurisation des clients DNS

Informations de sécurité pour DNSDSN (Domain Name System) a été conçu à l’origine en tant que protocole ouvert. Il est par conséquent vulnérable aux attaques. DNS Windows Server 2008 aide à améliorer votre capacité à prévenir toute attaque sur votre infrastructure DNS grâce à l’ajout de fonctionnalités de sécurité. Avant de décider des fonctionnalités de sécurité à utiliser, vous devez vous familiariser avec les menaces courantes envers la sécurité DNS et le niveau de sécurité DNS dans votre organisation.

Menaces pour la sécurité DNS

Voici les manières les plus courantes dont votre infrastructure DNS peut être menacée par des agresseurs :

283






Footprinting : processus par lequel des données de zone DNS sont obtenues par un agresseur en vue d’obtenir les noms de domaine, noms d’ordinateurs DNS et adresses IP de ressources réseau confidentielles. Un agresseur commence en général une attaque en utilisant ces données DNS pour « schématiser » un réseau. Les noms de domaine et d’ordinateurs DNS indiquent en général la fonction ou l’emplacement d’un domaine ou d’un ordinateur afin d’aider les utilisateurs à mémoriser et à identifier plus facilement les domaines et les ordinateurs. Un agresseur tire parti du même principe pour connaître la fonction ou l’emplacement des domaines et des ordinateurs du réseau.

Attaque par déni de service : tentative par un agresseur de suppression de la disponibilité de services réseau en inondant un ou plusieurs serveurs DNS du réseau à l’aide de requêtes récursives. Lorsqu’un serveur DNS est inondé de requêtes, son utilisation de processeurs finit par atteindre la capacité maximale et le service Serveur DNS devient indisponible. Sans serveur DNS totalement opérationnel sur le réseau, les services réseau qui utilisent DNS deviennent indisponibles pour les utilisateurs réseau.

Modification de données : tentative par un agresseur (ayant « schématisé » un réseau à l’aide de DNS) d’utiliser des adresses IP valides dans des paquets IP qu’il a lui-même créés, ce qui donne l’apparence que ces paquets proviennent d’une adresse IP valide sur le réseau. Cette approche porte parfois le nom d’emprunt d’adresse IP. Avec une adresse IP valide (adresse IP comprise dans la plage d’adresses IP d’un sous-réseau), l’agresseur peut accéder au réseau et détruire des données ou mener d’autres attaques.

Redirection : un agresseur redirige des requêtes de noms DNS vers des serveurs sous son contrôle. Une méthode de redirection consiste à tenter de polluer le cache DNS d’un serveur DNS avec des données DNS erronées qui peuvent diriger les requêtes ultérieures vers des serveurs contrôlés par l’agresseur. Par exemple, si une requête est effectuée initialement pour widgets.tailspintoys.com et qu’une réponse de référence fournit un enregistrement pour un nom en dehors du domaine tailspintoys.com, tel que malicious-user.com, le serveur DNS utilise les données mises en cache pour malicious-user.com pour résoudre une requête pour ce nom. Les agresseurs peuvent effectuer des opérations de redirection lorsqu’ils disposent d’un accès en écriture à des données DNS, par exemple lorsque les mises à jour dynamiques ne sont pas sécurisées.

Atténuation des menaces pour la sécurité DNS

DNS peut être configuré pour atténuer ces menaces courantes pour la sécurité DNS. Le tableau suivant répertorie cinq domaines principaux sur lesquels vous devez axer vos efforts en matière de sécurité DNS.

Zone de sécurité

DNS Description

Espace de noms DNS

Incorporez la sécurité DNS à la conception de votre espace de noms DNS. Pour plus d’informations, voirSécurisation du déploiement DNS.

284


Service Serveur DNS

Examinez les paramètres de sécurité par défaut du service Serveur DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation du service Serveur DNS.

Zones DNS

Examinez les paramètres de sécurité par défaut des zones DNS et appliquez les mises à jour dynamiques sécurisées et les fonctionnalités de sécurité Active Directory lorsque la zone DNS est hébergée sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des zones DNS.

Enregistrements de ressources DNS

Examinez les paramètres de sécurité par défaut des enregistrements de ressources DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque les enregistrements de ressources DNS sont hébergés sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des enregistrements de ressources DNS.

Clients DNSContrôlez les adresses IP de serveur DNS utilisées par les clients DNS. Pour plus d’informations, voir Sécurisation des clients DNS.

Trois niveaux de sécurité DNS

Les sections suivantes décrivent les trois niveaux de sécurité DNS.

Sécurité de faible niveau

La sécurité de faible niveau est un déploiement DNS standard sans aucune précaution de sécurité configurée. Déployez ce niveau de sécurité DNS uniquement dans les environnements réseau où il n’y a aucun risque pour l’intégrité de vos données DNS ou sur un réseau privé où il n’y a aucune menace de connectivité externe. La sécurité DNS de faible niveau possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation est totalement exposée à Internet.

La résolution DNS standard est effectuée par tous les serveurs DNS du réseau. Tous les serveurs DNS sont configurés avec des indications de racine pointant vers les

serveurs racines pour Internet. Tous les serveurs DNS autorisent les transferts de zone vers tout serveur. Tous les serveurs DNS sont configurés de façon à écouter toutes leurs adresses IP. La prévention de pollution du cache est désactivée sur tous les serveurs DNS. La mise à jour dynamique est autorisée pour toutes les zones DNS. Le port UDP (User Datagram Protocol) et TCP/IP 53 est ouvert sur le pare-feu du

réseau pour les adresses sources et de destination.

Sécurité de niveau intermédiaire

La sécurité de niveau intermédiaire utilise les fonctionnalités de sécurité DNS disponibles sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker de zones DNS

285






dans les services de domaine Active Directory (AD DS). La sécurité DNS de niveau intermédiaire possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation est exposée à Internet de manière limitée.

Tous les serveurs DNS sont configurés de façon à utiliser des redirecteurs qui pointent vers une liste spécifique de serveurs DNS internes lorsqu’ils ne peuvent pas résoudre les noms localement.

Tous les serveurs DNS limitent les transferts de zone aux serveurs répertoriés dans les enregistrements de ressources de serveur de noms (NS) dans leurs zones.

Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées. La prévention de pollution du cache est activée sur tous les serveurs DNS. La mise à jour dynamique non sécurisée n’est autorisée pour aucune zone DNS. Les serveurs DNS internes communiquent avec les serveurs DNS externes par le biais

du pare-feu avec une liste limitée d’adresses sources et de destination autorisées. Les serveurs DNS externes placés devant le pare-feu sont configurés avec des

indications de racine pointant vers les serveurs racines pour Internet. Toute la résolution de noms Internet est effectuée à l’aide de serveurs proxy et de

passerelles.

Sécurité de niveau élevé

La sécurité de niveau élevé utilise la même configuration que la sécurité de niveau intermédiaire. Elle utilise également les fonctionnalités de sécurité disponibles lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine et que les zones DNS sont stockées dans les services de domaine Active Directory. En outre, la sécurité de niveau élevé élimine complètement la communication DNS avec Internet. Il ne s’agit pas d’une configuration par défaut, mais elle est recommandée chaque fois que la connectivité Internet n’est pas requise. La sécurité DNS de niveau élevé possède les caractéristiques suivantes :

L’infrastructure DNS de l’organisation n’a aucune communication Internet par le biais des serveurs DNS internes.

Le réseau utilise un espace de noms et une racine DNS internes, dans laquelle toute l’autorité pour les zones DNS est interne.

Les serveurs DNS configurés avec des redirecteurs utilisent uniquement des adresses IP de serveurs DNS internes.

Tous les serveurs DNS limitent les transferts de zone aux adresses IP spécifiées. Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées. La prévention de pollution du cache est activée sur tous les serveurs DNS. Les serveurs DNS internes sont configurés avec des indications de racine pointant vers

les serveurs DNS internes qui hébergent la zone racine pour l’espace de noms interne. Tous les serveurs DNS s’exécutent sur des contrôleurs de domaine. Une liste de

contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) est configurée sur le service Serveur DNS afin d’autoriser uniquement des utilisateurs spécifiques à effectuer des tâches d’administration sur le serveur DNS.

Toutes les zones DNS sont stockées dans les services de domaine Active Directory. Une liste DACL est configurée de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des zones DNS.

286

Des listes DACL sont configurées sur des enregistrements de ressources DNS de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des données DNS.

La mise à jour dynamique sécurisée est configurée pour les zones DNS (hormis pour les zones racines et de niveau supérieur, qui n’autorisent aucune mise à jour dynamique).

Sécurisation du déploiement DNSSécurisation du déploiement DNS

Lorsque vous concevez votre déploiement de serveur DNS (Domain Name System), respectez les directives de sécurité DNS suivantes :

Si vos hôtes réseau ne doivent pas résoudre de noms sur Internet, éliminez la communication DNS avec Internet.

Dans cette conception DNS, vous pouvez utiliser un espace de noms DNS privé hébergé entièrement sur votre réseau. L’espace de noms DNS privé est distribué de la même façon que l’espace de noms DNS Internet, avec vos serveurs DNS internes hébergeant des zones pour le domaine racine et les domaines de niveau supérieur.

Fractionnez l’espace de noms DNS de votre organisation entre des serveurs DNS internes placés derrière le pare-feu et des serveurs DNS externes placés devant le pare-feu.

Dans cette conception DNS, votre espace de noms DNS interne est un sous-domaine de votre espace de noms DNS externe. Par exemple, si l’espace de noms DNS Internet de votre organisation est tailspintoys.com, l’espace de noms DNS interne de votre réseau est corp.tailspintoys.com.

Hébergez votre espace de noms DNS interne sur des serveurs DNS internes et hébergez votre espace de noms DNS externe sur des serveurs DNS externes exposés à Internet.

287

Pour résoudre les requêtes de noms externes effectuées par des hôtes internes, les serveurs DNS internes dans cette conception DNS transfèrent les requêtes de noms externes aux serveurs DNS externes. Les hôtes externes utilisent uniquement les serveurs DNS externes pour la résolution des noms Internet.

Configurez votre pare-feu de filtrage de paquets de façon à autoriser uniquement la communication UDP et TCP sur le port 53 entre votre serveur DNS externe et un serveur DNS interne.

Cette conception DNS facilite la communication entre les serveurs DNS internes et externes et empêche tout autre ordinateur externe d’accéder à votre espace de noms DNS interne.

Sécurisation du service Serveur DNSPour aider à sécuriser les serveurs DNS (Domain Name System) de votre réseau, appliquez les directives suivantes.

Examinez et configurez les paramètres par défaut du service Serveur DNS qui affectent la sécurité

Les options de configuration suivantes du service Serveur DNS ont des implications pour la sécurité du service Serveur DNS standard et intégré à Active Directory.

Paramètre par

défaut Description

Interfaces

Par défaut, un service Serveur DNS qui s’exécute sur un ordinateur multirésident est configuré de façon à écouter les requêtes DNS avec toutes ses adresses IP. Limitez les adresses IP écoutées par le service Serveur DNS à celle utilisée par ses clients DNS comme adresse de serveur DNS préféré.

Pour plus d’informations, voir Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées.

Sécuriser le cache contre la pollution

Par défaut, le service Serveur DNS est sécurisé contre la pollution du cache, qui se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité. L’option Sécuriser le cache contre la pollution aide à empêcher un agresseur de polluer le cache d’un serveur DNS avec des enregistrements de ressources qui n’ont pas été

288



demandés par le serveur DNS. La modification de ce paramètre par défaut réduit l’intégrité des réponses fournies par le service Serveur DNS.

Pour plus d’informations, voir Sécuriser le cache de serveur contre la pollution des noms.

Désactiver la récursivité

Par défaut, la récursivité n’est pas désactivée pour le service Serveur DNS. Cela permet au serveur DNS d’effectuer des requêtes récursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes de clients DNS. La récursivité peut être utilisée par des agresseurs à des fins de déni de service Serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursivité doit être désactivée.

Pour plus d’informations, voir Désactiver la récursivité sur le serveur DNS.


Si vous avez une racine DNS interne dans votre infrastructure DNS, configurez les indications de racine des serveurs DNS internes de sorte qu’elles pointent uniquement vers les serveurs DNS qui hébergent votre domaine racine, et non vers ceux qui hébergent le domaine racine Internet. Cela empêche vos serveurs DNS internes d’envoyer des informations privées sur Internet lorsqu’ils résolvent des noms.

Pour plus d’informations, voir Mettre à jour des indications de racine sur le serveur DNS et Mise à jour des indications de racine.

Gérez la liste DACL sur les serveurs DNS exécutés sur des contrôleurs de domaine

Outre les paramètres par défaut de service Serveur DNS déjà décrits et affectant la sécurité, les serveurs DNS qui sont configurés comme contrôleurs de domaine utilisent une liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Vous pouvez utiliser la liste DACL pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui contrôlent le service Serveur DNS.

Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour le service Serveur DNS lorsqu’il s’exécute sur un contrôleur de domaine.

Noms d’utilisateurs ou de groupes Autorisations



DnsAdminsAutoriser : Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales

289









Contrôleurs de domaine Enterprise Autoriser : Autorisations spéciales




Lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine, vous pouvez gérer sa liste DACL à l’aide de l’objet Active Directory MicrosoftDNS. Configurer la liste DACL sur l’objet MicrosoftDNS revient à configurer la liste DACL sur le serveur DNS dans le Gestionnaire DNS, qui constitue la méthode recommandée. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des serveurs DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.

Sécurisation des zones DNSLes options de configuration de zone DNS (Domain Name System) dans les sections suivantes présentent des implications pour la sécurité des zones DNS standard et intégrées à Active Directory.

Configuration de mises à jour dynamiques sécurisées

Par défaut, le paramètre Mises à jour dynamiques n’est pas configuré pour autoriser les mises à jour dynamiques. Il s’agit du paramètre le plus sûr car il empêche tout agresseur de mettre à jour des zones DNS. Toutefois, il vous empêche également de tirer parti des avantages administratifs offerts par la mise à jour dynamique. Pour configurer les ordinateurs de façon à mettre à jour les données DNS de manière plus sécurisée, stockez les zones DNS dans les services de domaine Active Directory (AD DS) et utilisez la fonctionnalité de mise à jour dynamique. La mise à jour dynamique limite les mises à jour de zones DNS aux ordinateurs qui sont authentifiés et membres du domaine Active Directory dans lequel se trouve le serveur DNS et aux paramètres de sécurité spécifiques définis dans les listes de contrôle d’accès de la zone DNS.

290

Pour plus d’informations, voir Autoriser uniquement les mises à jour dynamiques.

Gestion de la liste DACL sur les zones DNS stockées dans les services de domaine Active Directory

Vous pouvez utiliser la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les zones DNS.

Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour les zones DNS stockées dans les services de domaine Active Directory.














Pour plus d’informations, voir Modifier la sécurité pour une zone intégrée à Active Directory.

291



Un service Serveur DNS exécuté sur un contrôleur de domaine qui a des zones stockées dans les services de domaine Active Directory stocke ses données de zone dans les services de domaine Active Directory à l’aide d’objets et d’attributs Active Directory. Configurer la liste DACL sur les objets Active Directory DNS revient à configurer la liste DACL sur des zones DNS dans le Gestionnaire DNS. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des données DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.

Le tableau suivant décrit les objets et attributs Active Directory utilisés par les données de zone DNS.

Objet Description

DnsZoneCe conteneur est créé lorsqu’une zone est stockée dans les services de domaine Active Directory.

DnsNodeCet objet feuille est utilisé pour mapper et associer un nom dans la zone à des données de ressources.

DnsRecordCet attribut à plusieurs valeurs d’un objet dnsNode est utilisé pour stocker les enregistrements de ressources associés à l’objet de nœud nommé.

DnsPropertyCet attribut à plusieurs valeurs d’un objet dnsZone est utilisé pour stocker des informations de configuration de zone.

Restriction des transferts de zone

Par défaut, le service Serveur DNS autorise le transfert des informations de zone uniquement vers les serveurs répertoriés dans les enregistrements de serveur de noms (NS) d’une zone. Il s’agit d’une configuration sécurisée, mais pour une sécurité accrue, ce paramètre doit être modifié et l’option autorisant les transferts de zone vers les adresses IP spécifiées doit être activée. La modification de ce paramètre de façon à autoriser les transferts de zone vers n’importe quel serveur peut exposer vos données DNS à une tentative de « schématisation » de votre réseau par un agresseur.

Pour plus d’informations, voir Modifier les paramètres de transfert de zone.

Compromis lié à la délégation de zone

Lorsque vous décidez s’il faut déléguer des noms de domaine DNS à des zones hébergées sur des serveurs DNS administrés séparément, vous devez prendre en compte les implications de sécurité liées au fait que vous accorderez à plusieurs utilisateurs la capacité à administrer les données DNS de votre réseau. La délégation de zone DNS implique un compromis entre les avantages pour la sécurité offerts par l’utilisation d’un serveur DNS de référence unique pour toutes les données DNS et les avantages administratifs offerts par la distribution de la responsabilité de votre espace de noms DNS à différents administrateurs. Cet aspect est très important lorsque vous déléguez des domaines de niveau supérieur d’un espace de noms DNS privé car ces domaines contiennent des données DNS très sensibles.

292


Pour plus d’informations, voir Présentation de la délégation de zone.

Récupération de données de zone DNS

Si vos données DNS sont endommagées, vous pouvez restaurer votre fichier de zone DNS à partir du dossier de sauvegarde, qui se trouve dans le dossier %systemroot%/DNS/Backup. Lors de la création initiale d’une zone, une copie de la zone est ajoutée au dossier de sauvegarde. Pour récupérer la zone, copiez le fichier de zone d’origine depuis le dossier de sauvegarde dans le dossier %systemroot%/DNS. Lorsque vous utilisez l’Assistant Nouvelle zone pour créer la zone, spécifiez le fichier de zone dans le dossier %systemroot%/DNS en tant que fichier de zone pour la nouvelle zone. Pour plus d’informations, voir Ajouter une zone de recherche directe.

Cette opération s’applique uniquement aux zones standard qui ne sont pas hébergées dans les services de domaine Active Directory.

.

Sécurisation des enregistrements de ressources DNSLes options de configuration d’enregistrements de ressources DNS (Domain Name System) ont des implications liées à la sécurité pour les enregistrements de ressources stockés dans les zones DNS standard et les zones DNS intégrées à Active Directory :

293




Gestion de la liste DACL sur les enregistrements de ressources DNS dans les services de domaine Active Directory

Vous pouvez utiliser la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les enregistrements de ressources DNS. Pour plus d’informations, voir Modifier la sécurité pour un enregistrement de ressource.

Le tableau suivant répertorie les noms et autorisations de groupes ou d’utilisateurs par défaut pour les enregistrements de ressources DNS stockés dans les services de domaine Active Directory (AD DS).














294


Sécurisation des clients DNSLes considérations suivantes relatives aux clients DNS (Domain Name System) présentent des implications pour al sécurité des clients DNS dans une infrastructure DNS.

Dans la mesure du possible, spécifiez des adresses IP statiques pour les serveurs DNS préféré et secondaires utilisés par un client DNS.

Si un client DNS est configuré de façon à obtenir ses adresses de serveurs DNS automatiquement, il les obtient par le biais d’un serveur DHCP (Dynamic Host Configuration Protocol). Bien que cette méthode d’obtention des adresses de serveurs DNS soit sécurisée, sa sécurité ne va pas plus loin que celle du serveur DHCP. En configurant les clients DNS avec des adresses IP statiques pour les serveurs DNS préférés et secondaires, vous pouvez éliminer un itinéraire d’attaque éventuelle.

Pour plus d’informations, voir Activer DNS pour les clients DHCP.

Contrôle des clients DNS ayant accès au serveur DNS

Si un serveur DNS est configuré de façon à écouter uniquement des adresses IP spécifiques, seuls les clients DNS configurés pour utiliser ces adresses IP comme serveurs DNS préféré et secondaires contacteront le serveur DNS.

295


Résolution des problèmes DNSVous pouvez utiliser les informations fournies dans les rubriques suivantes pour aider à isoler et à résoudre les problèmes liés à votre infrastructure DNS (Domain Name System).

Dépannage des clients DNS

Dépannage des serveurs DNS Résolution des problèmes de mise à jour dynamique Résolution des problèmes de zone

296





Dépannage des clients DNSQuels sont les problèmes rencontrés ?

Le client DNS reçoit un message d’erreur « Nom introuvable » .

Le client DNS semble avoir reçu une réponse contenant des informations périmées ou incorrectes.

Le client DNS semble être affecté par un autre problème non décrit dans cet article .

Le client DNS reçoit un message d’erreur « Nom introuvable ».

Cause : la configuration IP de l’ordinateur client DNS (Domain Name System) n’est pas valide pour le réseau.

Solution : vérifiez que les paramètres de configuration TCP/IP pour l’ordinateur client sont corrects, en particulier ceux utilisés pour la résolution de noms DNS.

Pour vérifier la configuration IP d’un client, utilisez la commande ipconfig. Dans la sortie de commande, vérifiez que le client possède une adresse IP, un masque de sous-réseau et une passerelle par défaut corrects pour le réseau auquel il est relié et utilisé.

Si la configuration TCP/IP du client n’est pas valide, vous pouvez procéder comme suit :

Pour les clients configurés de manière dynamique, utilisez la commande ipconfig /renew pour forcer manuellement le client à renouveler sa configuration d’adresse IP auprès du serveur DHCP (Dynamic Host Configuration Protocol).

Pour les clients configurés de manière statique, modifiez les propriétés TCP/IP du client de façon à utiliser des paramètres de configuration valides ou à terminer sa configuration DNS pour le réseau. Ne configurez pas les clients de façon à utiliser à la fois des serveurs DNS intégrés aux services de domaine Active Directory (AD DS) et des serveurs DNS de Fournisseur de services Internet (FAI). Au lieu de cela, configurez les clients de façon à utiliser uniquement des serveurs DNS intégrés aux services de domaine Active Directory et configurez ces derniers de sorte qu’ils transfèrent les requêtes à vos serveurs DNS de FAI.

Pour plus d’informations, voir Gestion des clients.

Cause : le client n’est pas parvenu à contacter de serveur DNS suite à une défaillance réseau ou matérielle.

Solution : vérifiez que l’ordinateur client a une connexion réseau valide et opérationnelle. Tout d’abord, vérifiez que le matériel du client (câbles et cartes réseau) fonctionne correctement sur le client en appliquant des étapes de dépannage réseau et matériel de base.

Si le matériel client semble fonctionner correctement, vérifiez qu’il peut contacter d’autres ordinateurs sur le même réseau au moyen de la commande ping.

297


http://technet.microsoft.com/fr-fr/library/cc754588.aspx#BKMK_3%23BKMK_3




Cause : le client DNS ne peut pas contacter ses serveurs DNS configurés.

Solution : si le client DNS dispose d’une connectivité de base au réseau, vérifiez qu’il peut contacter un serveur DNS préféré (ou secondaire).

Pour vérifier si un client dispose d’un accès TCP/IP de base au serveur DNS, essayez d’abord de contacter le serveur DNS préféré par son adresse IP à l’aide de la commande ping.

Par exemple, si le client utilise un serveur DNS préféré avec l’adresse 10.0.0.1, tapez ping 10.0.0.1 à l’invite de commandes sur l’ordinateur client. Si vous avez des doutes concernant l’adresse IP du serveur DNS préféré, vous pouvez l’afficher au moyen de la commande ipconfig. Par exemple, sur l’ordinateur client, tapez ipconfig /all|more si nécessaire afin d’interrompre l’affichage de façon à pouvoir lire et noter les adresses IP répertoriées dans Serveurs DNS dans la sortie de commande.

Si aucun serveur DNS configuré ne répond à une requête ping directe de son adresse IP, cela indique que le problème est vraisemblablement lié à la connectivité réseau entre le client et les serveurs DNS. Dans ce cas, suivez les étapes de dépannage réseau TCP/IP de base pour résoudre le problème.

Cause : le serveur DNS ne s’exécute pas ou ne répond pas aux requêtes.

Solution : si le client DNS peut exécuter une requête ping sur le serveur DNS, vérifiez que ce dernier est démarré et en mesure d’écouter et de répondre aux demandes des clients. Essayez d’utiliser la commande nslookup pour tester si le serveur peut répondre aux clients DNS.

Pour plus d’informations, voir Démarrer ou arrêter un serveur DNS.

Cause : le serveur DNS utilisé par le client ne fait pas autorité pour le nom demandé et ne parvient pas à trouver le serveur de référence pour ce nom.

Solution : vérifie que le nom de domaine DNS que le client tente de résoudre est celui pour lequel ses serveurs DNS configurés font autorité.

Par exemple, si le client tente de résoudre le nom host.widgets.tailspintoys.com, vérifiez que le serveur DNS préféré (ou un serveur secondaire, le cas échéant) interrogé par le client charge la zone faisant autorité où un enregistrement de ressource hôte (A) pour le nom recherché doit exister.

Si le serveur préféré fait autorité pour le nom recherché et qu’il charge la zone applicable, déterminez si les enregistrements de ressources appropriés ne sont pas manquants dans la zone. Si nécessaire, ajoutez les enregistrements de ressources à la zone.

Si le serveur préféré ne fait pas autorité pour le nom recherché, le problème est sans doute dû à des erreurs de configuration sur le serveur DNS. Le cas échéant, effectuez la procédure de dépannage adéquate au niveau du serveur DNS.

Pour plus d’informations, voir Gestion des enregistrements de ressources et Dépannage des serveurs DNS.

298





Le client DNS semble avoir reçu une réponse contenant des informations périmées ou incorrectes.

Cause : le serveur DNS utilisé par le client ne fait pas autorité pour le nom demandé et il utilise des informations périmées provenant de sa base de données DNS locale.

Solution : déterminez si le serveur DNS fait autorité pour le nom et agissez en conséquence.

Par exemple, si le client tente de résoudre le nom host.widgets.tailspintoys.com, vérifiez que le serveur DNS préféré (ou un serveur secondaire, le cas échéant) interrogé par le client charge la zone faisant autorité où un enregistrement de ressource hôte (A) pour le nom recherché doit exister.

Si le serveur préféré fait autorité pour le nom et qu’il a répondu avec des données incorrectes, cela indique que la zone applicable contient peut-être des informations périmés ou obsolètes dans les données d’enregistrements de ressources applicables. Dans ce cas, vous pouvez ajouter et supprimer l’enregistrement de ressource approprié dans la zone.

Lorsque les mises à jour dynamiques sont activées, une autre option consiste à forcer l’inscription et la mise à jour sur l’ordinateur ciblé par la requête. Vous pouvez le forcer à mettre à jour l’inscription de ses enregistrements de ressources en tapant la commande ipconfig /registerdns à l’invite de commandes.

Si le serveur préféré ne constitue pas une autorité directe pour le nom interrogé, il est probable qu’il a répondu à la requête sur la base d’informations obtenues et mises en cache durant une recherche récursive antérieure. Dans ce cas, il peut être préférable de nettoyer le cache de noms du serveur. Cela force le serveur à utiliser de nouvelles requêtes récursives pour ces données d’enregistrement de ressource et à recréer le contenu de son cache sur la base des informations actuelles.

Pour plus d’informations, voir Gestion des enregistrements de ressources et Dépannage des serveurs DNS.

Cause : le serveur DNS préféré est un serveur secondaire pour la zone qui contient le nom ciblé et il possède des informations périmés.

Solution : si le serveur ayant répondu au client est un serveur secondaire pour la zone, il se peut que la version de la zone utilisée sur ce serveur soit périmée et nécessite une mise à jour plus fréquente.

En guise de solution immédiate, vous pouvez initier un transfert de zone sur le serveur secondaire vers son serveur maître afin de mettre à jour la zone. Vous pourriez également envisager l’une des options suivantes afin d’améliorer l’actualisation des données de zone secondaire dans le futur :

Spécifiez des serveurs maîtres supplémentaires devant être utilisés par le serveur secondaire lors de l’actualisation de la zone.

299




Ajustez légèrement l’intervalle d’actualisation sur la zone afin de réduire la durée pendant laquelle tous les serveurs de référence pour la zone peuvent utiliser la zone avant de devoir l’actualiser.

Configurez une liste de notification sur un serveur maître qui joue le rôle de source de zone pour le serveur secondaire et autorisez-le à informer ce serveur lors des modifications de zone.

Cause : le nom interrogé a été spécifié par erreur, soit suite à une saisie de l’utilisateur, soit dans une configuration cliente stockée.

Solution : vérifiez que le nom a été spécifié correctement dans l’application d’où provenait la requête de nom.

Dans la plupart des cas, des données incorrectes dans une réponse de requête positive indiquent l’une des trois possibilités suivantes :

un nom DNS incorrect a été entré sur le client par un utilisateur ;

un nom court (non complet) a été utilisé sur le client et a été complété par la résolution locale avec un suffixe DNS incorrect ;

les enregistrements de ressources spécifiés dans la requête n’ont pas été mis à jour correctement sur le serveur DNS.

Confirmez que le nom n’a pas été entré par erreur par l’utilisateur. Vérifiez l’ensemble exact de caractères entrés par l’utilisateur lors de la requête DNS initiale ou vérifiez les paramètres d’application, tels que les paramètres des configurations de navigateur Web ou de messagerie Internet.

Si le nom utilisé dans la requête initiale n’est pas le nom de domaine complet, essayez d’utiliser ce dernier dans l’application cliente et réexécutez la requête. Dans ce cas, assurez-vous d’inclure le point (.) à la fin du nom afin d’indiquer que le nom entré est un nom de domaine complet exact.

Si la requête de nom de domaine complet réussit et retourne des données correctes dans la réponse, la cause la plus probable du problème est une liste de recherche de suffixe de domaine DNS configurée de façon incorrecte dans les paramètres de résolution du client.

Si vous utilisez DNS dans un environnement qui ne prend pas en charge les mises à jour dynamiques ou si vous administrez généralement les données de zone manuellement, vous souhaiterez peut-être aussi vérifier que les enregistrements de ressources impliqués dans la réponse à la requête n’ont pas été entrés de façon incorrecte. Affichez-les afin de vous assurer que les données d’enregistrements stockées dans la zone sont correctes ou modifiez-les en conséquence.

Cause : la zone principale contient peut-être des données manquantes ou erronées.

Solution : vérifiez que le serveur principal pour la zone possède des données complètes et correctes.

300

La cause la plus probable de présence de données incomplètes ou manquantes pour une zone sur un serveur DNS est l’échec d’une demande de mise à jour. Il est possible que la prise en charge des mises à jour dynamiques n’ait pas été implémentée ou configurée entièrement. Pour résoudre le problème, étudiez le protocole de mise à jour dynamique DNS (Request for Comments (RFC) 2136) et toute exigence relative aux serveurs et clients DNS qui l’utilisent.

Pour les zones intégrées à l’annuaire, il est possible que les enregistrements affectés pour la requête ayant échoué aient été mis à jour dans les services de domaine Active Directory (AD DS) mais pas répliqués sur tous les serveurs DNS qui chargent la zone. Par défaut, tous les serveurs DNS qui chargent des zones depuis les services de domaine Active Directory les interrogent à intervalle régulier (en général toutes les 15 minutes) et ils mettent à jour la zone pour toute modification incrémentielle apportée. Dans la plupart des cas, la réplication d’une mise à jour DNS sur tous les serveurs DNS ne prend pas plus de 20 minutes dans un environnement de domaine Active Directory avec les paramètres de réplication par défaut et des liaisons haut débit fiables.

Si vous avez spécifiquement configuré vos zones afin de désactiver la mise à jour dynamique, n’oubliez pas que vous devez ajouter et mettre à jour manuellement la plupart des types d’enregistrements utilisés dans une zone. Dans ce cas, utilisez le Gestionnaire DNS pour afficher et mettre à jour les enregistrements affectés.

Le service WINS (Windows Internet Name Service) constitue une autre source possible pour la présence de données incorrectes. Déterminez si l’intégration de recherche WINS est activée et utilisée avec la zone. Si vous utilisez la recherche WINS avec vos zones, vérifiez que le service WINS n’est pas la source des données incorrectes.

Pour plus d’informations, voir Résolution des problèmes de mise à jour dynamique et Gestion des enregistrements de ressources.

Le client DNS semble être affecté par un autre problème non décrit dans cet article.

Cause : mon problème n’est pas décrit ici.

Solution: recherchez sur le site Web Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkId=170) (éventuellement en anglais) les informations techniques les plus récentes pouvant avoir un rapport avec votre problème. Si nécessaire, vous pouvez obtenir des informations et des instructions liées à votre problème.

Si vous êtes connecté à Internet, les mises à jour de système d’exploitation les plus récentes sont disponibles sur le site Web Microsoft Update (http://go.microsoft.com/fwlink/?LinkId=284) (éventuellement en anglais).

301








Dépannage des serveurs DNSQuels sont les problèmes rencontrés ?

Le serveur DNS ne répond pas aux clients .

Le serveur DNS ne résout pas les noms correctement . Le serveur DNS semble être affecté par un autre problème non décrit dans cet article .

Le serveur DNS ne répond pas aux clients.

Cause : le serveur DNS (Domain Name System) est affecté par une défaillance réseau.

Solution : vérifiez que l’ordinateur serveur a une connexion réseau valide et opérationnelle. Tout d’abord, vérifiez que le matériel du client (câbles et cartes réseau) fonctionne correctement sur le client en appliquant des étapes de dépannage réseau et matériel de base.

Si le matériel serveur semble fonctionner correctement, vérifiez qu’il dispose d’une connectivité réseau en exécutant la commande ping pour contacter d’autres ordinateurs ou routeurs (par exemple sa passerelle par défaut) utilisés et accessibles sur le même réseau que les serveurs affectés.

Cause : le serveur DNS est accessible par des tests réseau élémentaires, mais il ne répond pas aux requêtes DNS des clients.

Solution : si le client DNS peut exécuter une requête ping sur le serveur DNS, vérifiez que ce dernier est démarré et en mesure d’écouter et de répondre aux demandes des clients. Essayez d’utiliser la commande nslookup pour tester si le serveur peut répondre aux clients DNS.

Pour plus d’informations, voir Démarrer ou arrêter un serveur DNS.

Cause : le serveur DNS a été configuré de façon à limiter le service à une liste spécifique de ses adresses IP configurées. L’adresse IP utilisée initialement lors des tests de connectivité ne figure pas dans la liste.

Solution : si le serveur a été précédemment configuré de façon à limiter les adresses IP pour lesquelles il répond aux requêtes, il est possible que l’adresse IP utilisée par les clients pour le contacter ne figure pas dans la liste d’adresses IP restreintes autorisées à fournir un service aux clients.

Réessayez d’obtenir une réponse de la part du serveur, mais spécifiez une adresse IP différente que vous savez figurer dans la liste d’interfaces restreintes pour le serveur. Si le serveur DNS répond avec cette adresse, ajoutez l’adresse IP de serveur manquante à la liste.

Cause : le serveur DNS a été configuré de façon à désactiver l’utilisation de ses zones de recherche inversée par défaut créées automatiquement.

302





Solution : vérifiez que des zones de recherche inversée par défaut créées automatiquement ont été créées pour ce serveur ou qu’aucune modification de configuration avancée n’a été apportée précédemment à ce serveur.

Par défaut, les serveurs DNS créent automatiquement les trois zones de recherche inversée standard, sur la base des recommandations RFC (Request for Comments).

Ces zones sont créées avec des adresses IP courantes couvertes par ces zones, et qui n’ont aucune utilité dans une recherche de zone inversée (0.0.0.0, 127.0.0.1 et 255.255.255.255). En faisant autorité pour les zones correspondant à ces adresses, le service DNS évite toute récursivité inutile vers les serveurs racines pour effectuer des recherches inversées sur ces types d’adresses IP.

Il est possible, quoique improbable, que ces zones automatiques n’aient pas été créées. La désactivation de la création de ces zones nécessite une configuration manuelle avancée du Registre du serveur par un utilisateur.

Pour vérifier que ces zones ont été créées, procédez comme suit :


2. Dans le menu Affichage, cliquez sur Avancé.3. Dans l’arborescence de la console, cliquez sur Zones de recherche inversée.

Où ?o DNS/serveur DNS applicable/Zones de recherche inversée

4. Dans le volet d’informations, vérifiez que les sones de recherche inversée suivantes sont présentes :

o 0.in-addr.arpao 127.in-addr.arpao 255.in-addr.arpa

Cause : le serveur DNS est configuré de façon à utiliser un port de service différent du port par défaut, par exemple dans une configuration de pare-feu ou de sécurité avancée.

Solution : vérifiez que le serveur DNS n’utilise pas de configuration non standard.

Il s’agit d’une cause rare mais possible. Par défaut, la commande nslookup envoie des requêtes aux serveurs DNS cibles par le biais du port UDP (User Datagram Protocol) 53. Si le serveur DNS se trouve sur un autre réseau et est accessible uniquement par le biais d’un hôte intermédiaire (tel qu’un routeur de filtrage de paquets ou un serveur proxy), il se peut que le serveur DNS utilise un port non standard pour écouter et recevoir les requêtes des clients.

Dans ce cas, déterminez si une configuration de serveur proxy ou de pare-feu intermédiaire est utilisée de manière intentionnelle dans le but de bloquer le trafic sur des ports de service bien connus utilisés par DNS. Dans la négative, vous pourriez ajouter un filtre de paquets à ces configurations afin d’autoriser le trafic sur les ports DNS standard.

303

Consultez également le journal des événements du serveur DNS pour voir si l’ID d’événement 414 ou autres événements critiques liés au service se sont produits et indiquent pourquoi le serveur DNS ne répond pas.

Le serveur DNS ne résout pas les noms correctement.

Cause : le serveur DNS fournit des données incorrectes pour les requêtes auxquelles il répond.

Solution : déterminez la cause des données incorrectes pour le serveur DNS.

Les causes les plus probables sont les suivantes :

Les enregistrements de ressources n’ont pas été mis à jour de manière dynamique dans la zone.

Une erreur a été faite lors de l’ajout ou de la modification manuelle d’enregistrements de ressources statiques dans la zone.

Des enregistrements de ressources périmés dans la base de données du serveur DNS laissés suite à des enregistrements de zone ou à des recherches en cache n’on pas été mis à jour avec les informations actuelles ou n’ont pas été supprimés lorsqu’ils n’étaient plus nécessaires.

Pour aider à prévenir les types de problèmes les plus courants, assurez-vous d’examiner d’abord les pratiques recommandées, qui contiennent des astuces et des suggestions pour le déploiement et la gestion de vos serveurs DNS. Respectez et utilisez également les listes de vérification en rapport avec l’installation et la configuration des serveurs et des clients DNS, sur la base de vos besoins en déploiement.

Si vous déployez DNS pour les services de domaine Active Directory (AD DS), notez les nouvelles fonctionnalités d’intégration à l’annuaire. Ces fonctionnalités peuvent donner lieu à des différences entre les paramètres par défaut des serveurs DNS utilisés lorsque la base de données DNS est intégrée à l’annuaire et ceux utilisés avec le stockage traditionnel basé sur fichiers.

De nombreux problèmes de serveur DNS commencent par l’échec des requêtes au niveau du client. Il est donc souvent préférable de dépanner en premier lieu le client DNS.

Pour plus d’informations, voir Dépannage des clients DNS.

Cause : le serveur DNS ne résout pas les noms pour les ordinateurs ou services situés en dehors de votre réseau immédiat, par exemple les noms des ordinateurs ou services situés sur des réseaux externes ou sur Internet.

Solution : il existe un problème au niveau de la capacité de récursivité du serveur. La récursivité est utilisée dans la plupart des configurations DNS pour résoudre les noms qui ne sont pas situés dans le nom de domaine DNS configuré utilisé par les serveurs et clients DNS.

Lorsqu’un serveur DNS ne parvient pas à résoudre un nom pour lequel il ne fait pas autorité, cela est généralement dû à l’échec d’une requête récursive. Les requêtes récursives sont

304


utilisées fréquemment par les serveurs DNS pour résoudre les noms distants délégués à d’autres serveurs et zones DNS.

Pour que la récursivité fonctionne correctement, tous les serveurs DNS figurant sur le chemin d’une requête récursive doivent être capables de répondre à la requête et de transférer les données correctes. Dans le cas contraire, une requête récursive peut échouer pour l’une des raisons suivantes :

Le délai d’expiration de la requête récursive est atteint avant que celle-ci ne soit satisfaite.

Un serveur DNS distant ne répond pas. Un serveur DNS distant fournit des données incorrectes.

Cause : le serveur DNS n’est pas configuré de façon à utiliser d’autres serveurs DNS pour l’aider à résoudre les requêtes.

Solution : vérifiez si le serveur DNS peut utiliser des redirecteurs et la récursivité.

Par défaut, la récursivité est activée sur tous les serveurs DNS, bien que l’option permettant de désactiver son utilisation soit configurable dans le Gestionnaire DNS (modification des options de serveur avancées). Il se peut également que le serveur soit configuré de façon à utiliser des redirecteurs et que la récursivité ait été désactivée spécifiquement pour cette configuration.

Remarques Si vous désactivez la récursivité sur le serveur DNS, vous ne serez pas en mesure d’utiliser des redirecteurs sur ce serveur.

Pour plus d’informations, voir Configurer un serveur DNS de façon à utiliser des redirecteurs.

Cause : les indications de racine actuelles pour le serveur DNS ne sont pas valides.

Solution : vérifiez si les indications de racine du serveur sont valides.

Si elles sont configurées et utilisées correctement, les indications de racine doivent toujours pointer vers les serveurs DNS de référence pour la zone qui contient le domaine racine et les domaines de niveau supérieur.

Par défaut, les serveurs DNS sont configurés de façon à utiliser des indications de racine adaptées à votre déploiement, sur la base des choix suivants disponibles lorsque vous utilisez le Gestionnaire DNS pour configurer un serveur :

1. Si le serveur DNS est installé en tant que premier serveur DNS pour votre réseau, il est configuré comme serveur racine.

Pour cette configuration, les indications de racine sont désactivées sur le serveur car il s’agit du serveur de référence pour la zone racine.

305


2. Si le serveur installé est un serveur supplémentaire pour votre réseau, vous pouvez faire en sorte que l’Assistant Configuration d’un serveur DNS mette à jour ses indications de racine à partir d’un serveur DNS existant sur le réseau.

3. Si vous n’avez pas d’autre serveur DNS sur votre réseau mais que vous devez tout de même résoudre des noms DNS Internet, vous pouvez utiliser le fichier d’indications de racine par défaut, qui contient une liste de serveurs racines Internet qui font autorité pour l’espace de noms DNS Internet.

Cause : le serveur DNS ne dispose pas de connectivité réseau aux serveurs racines.

Solution : testez la connectivité aux serveurs racines.

Si les indications de racine semblent être configurées correctement, vérifiez que le serveur DNS utilisé dans une requête ayant échoué peut exécuter une requête ping sur ses serveurs racines par leurs adresses IP.

Si une requête ping sur un serveur racine échoue, cela peut indiquer qu’une adresse IP pour ce serveur racine a changé. La reconfiguration des serveurs racines est cependant une opération peu courante.

Il est plus probable que la cause du problème soit une perte totale de connectivité réseau ou, dans certains cas, des performances réseau médiocres sur les liaisons réseau intermédiaires entre le serveur DNS et ses serveurs racines configurés. Suivez les étapes de dépannage réseau TCP/IP de base afin de diagnostiquer les connexions et déterminer si le problème est bien à ce niveau.

Par défaut, le service DNS utilise un délai d’expiration de récursivité de 15 secondes avant de provoquer l’échec d’une requête récursive. Dans des conditions réseau normales, il n’est pas nécessaire de modifier ce délai d’expiration. Si les performances l’exigent, vous pouvez toutefois augmenter cette valeur.

Pour examiner des informations supplémentaires liées aux performances des requêtes DNS, vous pouvez activer et utiliser le fichier journal de débogage de serveur DNS, Dns.log. Ce journal peut fournir des informations détaillées sur certains types d’événements liés aux services.

Cause : il existe d’autres problèmes au niveau de la mise à jour des données de serveur DNS, par exemple un problème lié aux zones ou aux mises à jour dynamiques.

Solution : déterminez si le problème est lié aux zones. Si nécessaire, résolvez les problèmes à ce niveau, tels que l’échec possible du transfert de zone.

Pour plus d’informations, voir Résolution des problèmes de mise à jour dynamique et Résolution des problèmes de zone.

Le serveur DNS semble être affecté par un autre problème non décrit dans cet article.


306



Solution: recherchez sur le site Web TechNet (http://go.microsoft.com/fwlink/?LinkId=170) (éventuellement en anglais) les informations techniques les plus récentes pouvant avoir un rapport avec votre problème. Si nécessaire, vous pouvez obtenir des informations et des instructions liées à votre problème.


Résolution des problèmes de mise à jour dynamique

307




Quels sont les problèmes rencontrés ?

Le client DNS n’effectue pas de mises à jour dynamiques .

Le serveur DNS n’effectue pas de mise à jour dynamique . Je rencontre un autre problème lié aux mises à jour dynamiques que ceux décrits ici .

Le client DNS n’effectue pas de mises à jour dynamiques.

Cause : le client, ou son serveur DHCP (Dynamic Host Configuration Protocol), ne prend pas en charge l’utilisation du protocole de mise à jour dynamique DNS (Domain Name System).

Solution : vérifiez que vos clients ou serveurs prennent en charge le protocole de mise à jour dynamique DNS.

Pour que les ordinateurs clients soient inscrits et mis à jour de manière dynamique auprès d’un serveur DNS, vous devez effectuer l’une des opérations suivantes :

installer ou mettre à jour les ordinateurs clients vers la version actuelle de Windows ;

installer et utiliser le service Serveur DHCP sur votre réseau afin d’accorder des baux aux ordinateurs clients.

Par défaut, les ordinateurs tentent d’inscrire et de mettre à jour de façon dynamique leurs noms DNS et adresses IP auprès d’un serveur DNS.

Pour les autres types d’ordinateurs, vous pouvez déployer des serveurs DHCP Windows Server 2008, qui peuvent effectuer des inscriptions et des mises à jour par proxy nécessaires pour les clients non dynamiques.


Par défaut, le client DNS sur Microsoft Windows XP ou Windows Vista ne tente pas d’effectuer de mise à jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramètres TCP/IP avancés de la connexion réseau en question ou modifier le Registre. Pour plus d’informations, voir les Informations de référence sur le Registre du Kit de ressources de Windows Server 2003 à l’adresse http://go.microsoft.com/fwlink/?LinkId=428 (éventuellement en anglais).


308





Cause : le client n’a pas pu s’inscrire auprès du serveur DNS suite à des problèmes intermittents au niveau du serveur DNS ou du réseau.

Solution : sur l’ordinateur client, utilisez la commande ipconfig pour retenter d’effectuer l’inscription ou le renouvellement et la mise à jour des informations client auprès du serveur DNS.

Vous pouvez utiliser l’option de commande ipconfig /regsiterdns pour forcer manuellement une nouvelle tentative d’inscription dynamique de l’ordinateur client.

Pour les ordinateurs exécutant des versions antérieures de Windows, vous pouvez utiliser les options de la commande ipconfig pour vérifier, afficher ou renouveler les détails de configuration TCP/IP du client selon les besoins.

Par exemple, si l’ordinateur client obtient son bail d’adresse IP à partir d’un serveur DHCP, vous pourriez utiliser la commande ipconfig /renew pour forcer le client à renouveler son bail avec le serveur DHCP. Cette action fait en sorte que le serveur DHCP soumette une demande de mise à jour à son serveur DNS configuré pour le compte du client.

Si le serveur DHCP réussit à effectuer la mise à jour auprès du serveur DNS, le résultat est un nom d’hôte DNS mis à jour et des informations d’adresse IP mises à jour pour l’ordinateur client dans la base de données DNS.

Cause : le client n’est pas parvenu à effectuer l’inscription et la mise à jour auprès du serveur DNS à cause d’une configuration DNS incomplète ou manquante.

Solution : vérifiez que le client est configuré correctement et complètement pour DNS et mettez à jour sa configuration si besoin est.

L’une des causes courantes de l’échec de mise à jour du client auprès du serveur DNS est l’absence de suffixe DNS (suffixe principal ou spécifique à la connexion) configuré. Le client risque alors de tenter d’inscrire un nom de domaine DNS incorrect ou imprévu.

Par exemple, le client peut tenter d’inscrire son nom d’hôte ou d’ordinateur court ou non complet en tant que nom de domaine de niveau supérieur dans la zone racine. Cela se produit car, sans suffixe DNS configuré pour l’ordinateur client, il détermine que le nom court configuré d’un ordinateur (tel que hôte-a) est son nom de domaine complet. Cela se produit uniquement car le nom d’ordinateur n’a aucun suffixe DNS à ajouter afin de former un nom complet lors de l’inscription pour le client dans DNS.

Pour mettre à jour la configuration DNS d’un client, vous devez effectuer l’une des opérations suivantes :

configurer un suffixe DNS principal sur l’ordinateur client pour les clients TCP/IP statiques ;

configurer un suffixe DNS spécifique à la connexion pour une utilisation sur l’une des connexions réseau installées sur l’ordinateur client.

Pour plus d’informations, voir Gestion des clients.

309


Cause : le client DNS a tenté de mettre à jour ses informations auprès du serveur DNS mais il a échoué suite à un problème au niveau du serveur.

Solution : si un client peut atteindre ses serveurs DNS préféré et secondaires comme configuré, il est probable que la cause de ses échecs de mise à jour est lié à un autre aspect.

Sur les ordinateurs clients Windows, vous pouvez utiliser l’Observateurs d’événements pour vérifier si le journal Système contient des messages d’événements expliquant pourquoi les tentatives de mise à jour dynamique de ses enregistrements de ressources hôte (A) et pointeur (PTR) par le client ont échoué.

Lors de l’examen des messages du journal Système, filtrez ou triez l’affichage de tous les messages afin d’afficher les messages qui spécifient DnsApi comme source. En général, ces messages sont liés aux performances des activités DNS, telles que les requêtes ou les mises à jour dynamiques DNS.

L’une des raisons courantes de l’échec des mises à jour pour un client mobile est que le serveur DNS requis pour accepter ou effectuer la mise à jour ne répond pas lorsque le client démarre à un emplacement distant sur le réseau. Cela peut être dû à des problèmes de performances réseau ou peut indiquer un problème au niveau de la conception sous-jacente de votre réseau. Lorsque ces problèmes persistent ou semblent probables, examinez votre déploiement DNS et modifiez-le en conséquence.

Pour plus d’informations, voir Présentation de la mise à jour dynamique.

Le serveur DNS n’effectue pas de mise à jour dynamique.

Cause : le serveur DNS ne prend pas en charge les mises à jour dynamiques.

Solution : vérifiez que le serveur DNS utilisé par le client peut prendre en charge le protocole de mise à jour dynamique DNS, comme décrit dans la RFC 2136.

Si vous utilisez d’autres serveurs sur votre réseau, vérifiez qu’ils exécutent une implémentation de serveur DNS qui prend en charge les mises à jour dynamiques.


Cause : le serveur DNS prend en charge les mises à jour dynamiques, mais il n’est pas configuré pour les accepter.

Solution : vérifiez que la zone principale où les clients requièrent des mises à jour est configurée pour autoriser les mises à jour dynamiques.

Par défaut, une nouvelle zone principale n’accepte pas les mises à jour dynamiques. Sur le serveur DNS qui charge la zone principale applicable, modifiez les propriétés de zone afin d’autoriser les mises à jour.

Pour plus d’informations, voir Autoriser les mises à jour dynamiques.

Cause : la base de données de zone n’est pas disponible.

310




Solution : vérifiez que la zone est disponible pour la mise à jour.

Tout d’abord, si nécessaire, vérifiez que la zone existe. Pour une zone standard principale, vérifiez que le fichier de zone existe sur le serveur et que la zone n’est pas suspendue (en pause). Si vous utilisez des zones intégrées aux services de domaine Active Directory (AD DS), vérifiez que le serveur DNS s’exécute en tant que contrôleur de domaine et qu’il a accès à la base de données Active Directory dans laquelle les données de zone sont stockées.

Les zones secondaires ne prennent pas en charge les mises à jour dynamiques. Si vous tentez de déterminer quel serveur est le serveur principal pour une zone standard, examinez les enregistrements d’autorité de zone afin de déterminer quel serveur est référencé dans les enregistrements de source de noms (SOA) et de serveur de noms (NS) pour la zone. Il s’agit du serveur principal pour la zone qui peut accepter les mises à jour dynamiques de cette zone.

Si nécessaire, vous pouvez utiliser le Gestionnaire DNS pour changer une zone secondaire en zone principale de sorte qu’elle soit compatible avec les mises à jour dynamiques. Toutefois, les zones principales standard utilisant un modèle de mise à jour à maître unique, vous ne pouvez configurer qu’un seul serveur pouvant accepter les mises à jour dynamiques de la zone.

Si vous modifiez le type de zone sur un serveur secondaire de sorte qu’il devienne le serveur principal pour cette zone, vous devez supprimer la zone ou la convertir en un autre type (par exemple une zone secondaire) sur le serveur principal d’origine. Autrement, les données de zone deviennent incohérentes et provoquent des problèmes supplémentaires.

Si vous souhaitez que plusieurs serveurs DNS puissent mettre à jour une zone, nous vous conseillons de modifier le type de zone afin de l’intégrer aux services de domaine Active Directory. Pour que ce type de zone soit utilisé, les services de domaine Active Directory doivent être installés et l’ordinateur serveur doit être promu en contrôleur de domaine.

Une fois la zone stockée dans l’annuaire, d’autres contrôleurs de domaine peuvent charger la zone automatiquement et sont autorisés à la mettre à jour lorsqu’ils exécutent le service Serveur DNS. Cela est dû au fait que les services de domaine Active Directory prennent en charge un modèle de mise à jour à maîtres multiples (ou flottants), dans lequel plusieurs ordinateurs peuvent traiter les mises à jour de la base de données d’annuaire.

Pour plus d’informations, voir Modifier le type de zone, Ajout de zones et Présentation de l’intégration aux services de domaine Active Directory.

Cause : le serveur DNS est configuré de façon à autoriser uniquement les mises à jour dynamiques sécurisées et il existe un problème lié à la sécurité.

Solution : vérifiez que la sécurité de zone ou d’enregistrement de ressource ne bloque ou n’empêche pas les mises à jour dynamiques sur le serveur.

La mise à jour sécurisée peut être activée pour les zones intégrées à l’annuaire et leurs enregistrements de ressources. Si la mise à jour dynamique sécurisée est en vigueur pour une zone intégrée à l’annuaire, seuls les utilisateurs, groupes ou ordinateurs qui disposent d’autorisations d’écriture peuvent ajouter des enregistrements de ressources à la zone. Si la mise à jour dynamique sécurisée est en vigueur pour des enregistrements de ressources, seuls

311





les utilisateurs, groupes ou ordinateurs qui disposent d’autorisations d’écriture peuvent mettre à jour ces enregistrements de ressources. En conséquence, la sécurité peut bloquer ou empêcher un client DNS (ou son serveur DHCP) d’effectuer une mise à jour de ses enregistrements de ressources hôte (A) et pointeur (PTR).

Dans la plupart des cas, la mise à jour dynamique sécurisée n’empêche pas la création ou l’ajout de nouveaux enregistrements à une zone, mais elle limite la catégorie d’utilisateurs disposant d’autorisations par défaut pour la mise à jour ou la modification des enregistrements. Si nécessaire, vous pouvez utiliser les fonctionnalités de modification de liste de contrôle d’accès disponibles pour les zones intégrées à l’annuaire afin de modifier les autorisations de sécurité sur une zone ou ses enregistrements de ressources et d’activer la mise à jour par un autre utilisateur, groupe ou ordinateur.

En général, cela est nécessaire uniquement si l’ordinateur qui demande la mise à jour n’est pas celui qui est propriétaire des enregistrements client et qui les a créés initialement.


Cause : le serveur DNS requis pour effectuer les mises à jour n’est pas disponible sur le réseau.

Solution : vérifiez que le serveur DNS est disponible sur le réseau ou tentez de résoudre tout problème supplémentaire le cas échéant.

Pour plus d’informations, voir Dépannage des serveurs DNS.

Je rencontre un autre problème lié aux mises à jour dynamiques que ceux décrits ici.




Résolution des problèmes de zoneQuels sont les problèmes rencontrés ?

J’ai un problème lié aux transferts de zone .

312







J’essaie d’utiliser une délégation de zone, mais elle semble être rompue . J’ai un problème de zone autre que ceux décrits ici .

J’ai un problème lié aux transferts de zone.

Cause : le service Serveur DNS est arrêté ou la zone est suspendue.

Solution : vérifiez que les serveurs DNS (Domain Name System) maître (source) et secondaire (de destination) impliqués dans le transfert de la zone sont tous deux démarrés et que la zone n’est pas suspendue sur l’un des serveurs.

Pour plus d’informations, voir Démarrer ou arrêter un serveur DNS, Suspendre une zone ou remettre une zone en service et Présentation des zones.

Cause : les serveurs DNS qui ont été utilisés durant un transfert n’ont aucune connectivité réseau entre eux.

Solution : éliminez la possibilité d’un problème de connectivité réseau de base entre les deux serveurs.

À l’aide de la commande ping, contactez chaque serveur DNS par son adresse IP à partir de son homologue distant.

Par exemple, sur le serveur source, utilisez la commande ping pour tester la connectivité IP avec le serveur de destination. Sur le serveur de destination, répétez le test ping en remplaçant l’adresse IP par celle du serveur source.

Les deux tests ping doivent réussir. Dans le cas contraire, vous devez résoudre les problèmes de connectivité réseau intermédiaire.

Cause : le numéro de série est identique sur les serveurs source et de destination. La valeur étant identique sur les deux serveurs, aucun transfert de zone n’a lieu entre les serveurs.

Solution : À l’aide du Gestionnaire DNS, effectuez les tâches suivantes :

1. Augmentez la valeur du numéro de série de la zone sur le serveur maître (source) à un nombre supérieur à la valeur sur le serveur secondaire (de destination) applicable.

2. Après cela, initiez le transfert de zone sur le serveur secondaire.

Lorsque vous travaillez dans le Gestionnaire DNS, vous pouvez afficher le numéro de série de zone sous l’onglet Source de noms (SOA) dans les propriétés de la zone. Pour augmenter ce nombre dans la zone, cliquez sur Incrémenter.

Cause : le serveur maître (source) et son serveur secondaire (de destination) cible ont des problèmes liés à l’interopérabilité.

Solution : étudiez les causes possibles des éventuels problèmes liés à l’interopérabilité entre les serveurs DNS exécutant Windows Server 2008 et d’autres implémentations de serveur

313







DNS, telles qu’une version antérieure de la distribution BIND (Berkeley Internet Name Domain).

Les anciens serveurs BIND utilisent un format de transfert de zone non compressé. Par défaut, les serveurs exécutant Windows Server 2008 (et les serveurs BIND de version ultérieure) utilisent un format compressé plus rapide durant les transferts de zone. Pour permettre les transferts de zone avec les anciens serveurs BIND, vous devez modifier des options de serveur avancées sur vos serveurs Windows Server 2008.

Un autre problème d’interopérabilité possible est lié à l’utilisation et l’inclusion d’enregistrements de ressources de recherche directe WINS (Windows Internet Name Service) dans une zone ou leur homologue, l’enregistrement de ressource WINS de recherche inversée (WINS-R) utilisé pour les zones de recherche inversée. Les serveurs BIND ne reconnaissent pas ces enregistrements lorsqu’ils sont inclus dans des données de zone transférées et ils peuvent marquer ces enregistrements comme données incorrectes, ce qui peut faire échouer le transfert de zone.

Pour empêcher que ces enregistrements soient utilisés ou inclus dans des transferts de zone vers des serveurs BIND et autres serveurs qui ne les reconnaissent pas, sélectionnez l’option Ne pas répliquer cet enregistrement lors de la configuration des propriétés WINS dans la zone applicable.

Pour plus d’informations, voir Activer DNS de façon à utiliser la résolution WINS.

Cause : la zone possède des enregistrements de ressources ou autres données qui ne peuvent pas être interprétées par le serveur DNS.

Solution : vérifiez que la zone ne contient pas de données incompatibles, telles que des erreurs de données ou des types d’enregistrements de ressources non pris en charge.

Dans la plupart des cas, le service Serveur DNS prend en charge tous les types d’enregistrements de ressources approuvés et nécessaires pour une utilisation DNS de norme Internet.

Vérifiez également que le serveur n’a pas été configuré au préalable pour empêcher le chargement d’une zone lorsque des données incorrectes sont détectées et examinez sa méthode de vérification des noms. Vous pouvez configurer ces paramètres avec le Gestionnaire DNS.

Cause : les données de zone faisant autorité sont incorrectes.

Solution : si un transfert de zone continue d’échouer, assurez-vous que la zone ne contient pas de données non standard.

Si vous modifiez manuellement des fichiers de zones, sachez que les enregistrements doivent être mis en forme et utilisés conformément à des directives d’utilisation et de mise en forme d’enregistrements standard spécifiées dans les RFC (Request for Comments) relatives à DNS. Dans la plupart des cas, les erreurs de données et d’entrée utilisateur peuvent être évitées si les enregistrements sont ajoutés et gérés avec le Gestionnaire DNS.

314


Pour déterminer si un échec de transfert de zone peut être dû à des données de zone incorrectes, vérifiez la présence de messages dans le journal des événements du serveur DNS. Vous pouvez également utiliser la commande nslookup avec l’option -ls pour simuler et tester un transfert de zone, tout en observant si les données retournées se terminent avant que le transfert complet soit achevé.

J’essaie d’utiliser une délégation de zone, mais elle semble être rompue.

Cause : les délégations de zone ne sont pas configurées correctement.

Solution : examinez la façon dont les délégations de zone sont utilisées et révisez vos configurations de zone le cas échéant.

Les zones contiennent des informations relatives aux domaines et sous-domaines DNS. Pour chaque nouvelle zone que vous créez, la zone commence initialement comme base de données à nœud unique pour un domaine DNS. Selon les besoins, de nouveaux nœuds de sous-domaine peuvent être ajoutés directement sous le domaine d’origine (parent) et stockés en tant que zone unique. Parfois, lorsque de nouveaux sous-domaines demeurent dans la même zone, on les dénomme « sous-zones ».

S’ils sont utilisés comme sous-zones, les nouveaux sous-domaines sont conservés dans le cadre de la zone et répliqués et mis à jour avec la zone en tant qu’entité unique. Vous pouvez toutefois déléguer les sous-domaines et les gérer dans leur propre zone. Pour chaque sous-domaine délégué à sa propre zone, des enregistrements de délégation doivent être ajoutés à la zone parente.

Vous pouvez utiliser l’Assistant Nouvelle délégation du Gestionnaire DNS pour simplifier l’ajout de ces enregistrements.

Pour plus d’informations, voir Présentation de la délégation de zone et Créer une délégation de zone.

J’ai un problème de zone autre que ceux décrits ici.

Cause : mon problème n’est pas décrit ci-dessus.



315







Outils DNSIl existe plusieurs utilitaires pour l’administration, le contrôle et le dépannage des serveurs et des clients DNS (Domain Name System), dont les suivants :

Le Gestionnaire DNS (DNS dans le menu Outils d’administration).

316

Des utilitaires en ligne de commande, tels que Nslookup, que vous pouvez utiliser pour résoudre les problèmes liés à DNS.

Des fonctionnalités de journalisation, telles que le journal de serveur DNS, que vous pouvez afficher à l’aide du Gestionnaire DNS ou de l’Observateur d’événements. Vous pouvez également utiliser momentanément des journaux basés sur fichiers en guise d’option de débogage avancée afin d’enregistrer et de tracer des événements de service sélectionnés.

Des utilitaires de contrôle des performances, tels que des compteurs statistiques permettant de mesurer et d’analyser l’activité des serveurs DNS à l’aide du Moniteur système.

Windows Management Instrumentation (WMI), une technologie standard d’accès aux informations de gestion dans un environnement d’entreprise.

Kit de développement Platform SDK.

Gestionnaire DNS

Le principal outil de gestion des serveurs DNS est le Gestionnaire DNS, le composant logiciel enfichable DNS dans la console MMC (Microsoft Management Console), qui apparaît sous le nom DNS dans Outils d’administration dans le menu Démarrer. Vous pouvez utiliser le Gestionnaire DNS avec d’autres composants logiciels enfichables dans la console MMC afin d’intégrer davantage l’administration DNS dans votre gestion réseau globale. Il est également disponible dans le Gestionnaire de serveur sur les ordinateurs sur lesquels le rôle Serveur DNS est installé.

Vous pouvez utiliser le Gestionnaire DNS pour effectuer les tâches d’administration de serveur de base suivantes :

exécution de la configuration initiale d’un nouveau serveur DNS ;

connexion et gestion d’un serveur DNS local sur le même ordinateur ou de serveurs DNS distants sur d’autres ordinateurs ;

ajout et suppression de zones de recherche directe et inversée, selon les besoins ; ajout, suppression et mise à jour d’enregistrements de ressources dans des zones ; modification de la manière dont les zones sont stockées et répliquées entre les

serveurs ; modification de la manière dont les serveurs traitent les requêtes et gèrent les mises à

jour dynamiques ; modification de la sécurité pour des zones ou des enregistrements de ressources

spécifiques.

Vous pouvez également utiliser le gestionnaire DNS pour effectuer les tâches suivantes :

Effectuer des opérations de maintenance sur le serveur. Vous pouvez démarrer, arrêter, suspendre ou reprendre le serveur ou mettre à jour des fichiers de données de serveur manuellement.

Contrôler le contenu du cache de serveur et, le cas échéant, l’effacer. Affiner des options de serveur avancées. Configurer et effectuer des opérations d’antériorité et de nettoyage des

enregistrements de ressources périmés stockés par le serveur.

317

Vous pouvez en outre utiliser le Gestionnaire DNS à partir d’une station de travail afin d’administrer des serveurs DNS à distance.

Important Vous pouvez utiliser le Gestionnaire DNS uniquement pour gérer des serveurs DNS exécutant des systèmes d’exploitation Windows Server. La console ne peut pas être utilisée pour gérer d’autres serveurs DNS, tels que des serveurs BIND.

Utilitaires de ligne de commande

Il existe plusieurs utilitaires de ligne de commande permettant de gérer et de dépanner les serveurs et les clients DNS. Le tableau suivant décrit chacun de ces utilitaires, que vous pouvez exécuter soit en les tapant à une invite de commandes, soit en les entrant dans des fichiers de commandes pour une utilisation dans des scripts.

Commande Description

Nslookup Effectue des tests de requête de l’espace de noms de domaine DNS.

Dnscmd

Interface de ligne de commande pour la gestion des serveurs DNS. Cet utilitaire est idéal pour l’écriture de fichiers de commandes afin d’automatiser les tâches de gestion DNS de routine ou pour effectuer une installation et une configuration simples et sans assistance de nouveaux serveurs DNS sur votre réseau.

IpconfigAffiche et modifie les détails de configuration IP utilisés par l’ordinateur. Des options de ligne de commande supplémentaires sont fournies avec cet utilitaire afin d’aider au dépannage et à la prise en charge des clients DNS.

Utilitaires d’analyse des événements

La famille Windows Server 2008 inclut deux options d’analyse des serveurs DNS :

Enregistrement par défaut des messages d’événements de serveur DNS dans le journal de serveur DNS.

Les messages d’événements de serveur DNS sont séparés et conservés dans leur propre journal des événements système, le journal de serveur DNS, que vous pouvez afficher à l’aide du Gestionnaire DNS ou de l’Observateur d’événements.

Le journal de serveur DNS contient les événements enregistrés par le service Serveur DNS. Par exemple, lorsque le serveur DNS démarre ou s’arrête, un message d’événement correspondant est écrit dans ce journal. La plupart des événements de service Serveur DNS critiques supplémentaires sont également enregistrés à cet endroit, par exemple lorsque le serveur démarre mais ne peut trouver les données d’initialisation et les informations de zone ou d’amorçage stockées dans le Registre ou (dans certains cas) les services de domaine Active Directory (AD DS).

Vous pouvez utiliser l’Observateur d’événements pour afficher et analyser les

318

événements DNS liés aux clients. Ces événements apparaissent dans le journal Système et sont écrits par le service Client DNS sur tout ordinateur exécutant Windows (toutes versions).

Options de débogage facultatives pour l’enregistrement des traces dans un fichier texte sur l’ordinateur serveur DNS.

Vous pouvez également utiliser le Gestionnaire DNS pour activer de manière sélective des options de journalisation de débogage supplémentaires pour l’enregistrement de traces temporaire de l’activité de serveur DNS dans un fichier texte. Le fichier créé et utilisé pour cette fonctionnalité, Dns.log, est stocké dans le dossier %systemroot%\System32\Dns.

Utilitaires d’analyse des performances

Vous pouvez analyser les performances des serveurs DNS à l’aide de compteurs supplémentaires spécifiques aux services qui mesurent les performances des serveurs DNS. Ces compteurs sont accessibles par le biais du Moniteur système, fourni avec le composant logiciel enfichable Performance.

Lorsque vous utilisez le Moniteur système, vous pouvez créer des tableaux et des graphiques des tendances de performances des serveurs au fil du temps pour tout serveur DNS. Ces tableaux et graphiques peuvent être étudiés et analysés afin de déterminer si un réglage supplémentaire des serveurs est nécessaire.

Grâce à la mesure et à l’examen des métriques de serveurs sur une période spécifique, il est possible de déterminer des points de référence de performances et de décider si des réglages supplémentaires peuvent être effectués afin d’optimiser le système.

WMI (Windows Management Instrumentation)

WMI est l’implémentation Microsoft de WBEM (Web-Based Enterprise Management), une initiative visant à développer une technologie standard pour l’accès aux informations de gestion dans un environnement d’entreprise. WMI utilise la norme industrielle CMI (Common Information Model) pour représenter les systèmes, applications, réseaux, périphériques et autres composants gérés dans un environnement d’entreprise. Pour plus d’informations sur WMI, visitez la page, éventuellement en anglais, traitant de Windows Management Instrumentation (WMI) (http://go.microsoft.com/fwlink/?LinkID=80947).

Kit de développement Platform SDK

Les ordinateurs qui exécutent un produit de la famille Windows Server 2008 procurent des fonctions permettant aux programmeurs d’applications d’utiliser DNS, par exemple d’effectuer des requêtes DNS, de comparer des enregistrements et de rechercher des noms par programme.

Les composants DNS programmables sont conçus pour une utilisation par les programmeurs C/C++. Une bonne connaissance de la mise en réseau et de DNS est requise. Les programmeurs doivent connaître la suite de protocoles IP, ainsi que le protocole DNS et les opérations DNS.

319

http://go.microsoft.com/fwlink/?LinkID=80947

Interface utilisateur : Serveur DNS Feuille de propriétés <Nom_Serveur_DNS>

Feuille de propriétés < Nom_Zone > Boîte de dialogue Avancé (WINS) Boîte de dialogue Enregistrement de serveur de messagerie (MX) Boîte de dialogue Enregistrement de ressource de nouvelle adresse ATM (ATMA) Boîte de dialogue Nouvel hôte Boîte de dialogue Nouvel enregistrement de serveur de noms Boîte de dialogue Notifier Boîte de dialogue Vieillissement de serveur/Propriétés de nettoyage Boîte de dialogue Engistrement de ressource d’emplacement du service (SRV) Boîte de dialogue Vieillissement de zone/Propriétés de nettoyage

320

http://technet.microsoft.com/fr-fr/library/dd145342.aspx











Feuille de propriétés <Nom_Serveur_DNS>

Élément Détails

Interfaces Utilisez cet onglet pour sélectionner les adresses IP que le serveur DNS (Domain Name System) utilisera pour écouter les requêtes DNS.

Redirecteurs

Utilisez cet onglet pour spécifier les serveurs DNS auxquels ce serveur transfèrera les requêtes lorsqu’il sera dans l’incapacité de les résoudre lui-même. L’utilisation de redirecteurs empêche ce serveur d’utiliser la récursivité pour résoudre les requêtes DNS.

Avancé Utilisez cet onglet pour effectuer les actions suivantes :

afficher le numéro de version du serveur ;

définir des options de serveur avancées ; sélectionner le type de vérification de nom à effectuer pour toutes

les zones.

321

Sélectionnez l’emplacement où le serveur obtient les données de zone lors de son démarrage.

Activez et configurez les paramètres de nettoyage par défaut.


Utilisez cet onglet pour spécifier les serveurs à utiliser pour les indications de racine lorsque aucun redirecteur n’est configuré ou ne répond.

Enregistrement de débogage

Utilisez cet onglet pour configurer l’enregistrement de niveau paquet à des fins de débogage.

Enregistrement des événements

Utilisez cet onglet pour spécifier les types d’événements qui seront enregistrés dans le journal des événements DNS.

Analyse Utilisez cet onglet pour effectuer des tests afin de vérifier si la configuration de serveur est correcte.

Feuille de propriétés < Nom_Zone >Vous pouvez utiliser les contrôles de cette feuille de propriétés pour administrer les propriétés d’une zone spécifique. Le tableau suivant répertorie les onglets qui peuvent figurer dans la feuille de propriétés de zone, selon le type de zone.

Élément Détails

Général Utilisez cet onglet pour afficher l’état de la zone et pour configurer les propriétés de zone suivantes :

Propriétés d’antériorité et de nettoyage par défaut

Mises à jour dynamiques Type de zone (y compris le stockage éventuel de la zone dans les

services de domaine Active Directory (AD DS) ou dans un fichier) Étendue de la réplication (zones intégrées à Active Directory

322

uniquement)

Serveurs maîtres (zones secondaires et zones de stub uniquement)

Source de noms (SOA)

Utilisez cet onglet pour configurer l’enregistrement SOA de la zone. L’enregistrement SOA spécifie les éléments suivants pour la zone :

Serveur principal

Adresse de messagerie de l’administrateur de zone Valeurs d’expiration de zone secondaire

Valeurs de durée de vie (TTL) minimales par défaut pour les enregistrements de ressources de zone.

Serveurs de noms

Utilisez cet onglet pour gérer la liste de noms de serveurs de référence pour la zone.

WINS Utilisez cet onglet pour activer et gérer la résolution de noms WINS (Windows Internet Name Service) pour la zone. Cet onglet n’est pas disponible pour les zones de stub.

Transferts de zone

Utilisez cet onglet pour activer la réplication des données de zone vers d’autres serveurs et pour spécifier les serveurs qui peuvent recevoir des données de zone. Cet onglet n’est pas disponible pour les zones de stub.

Sécurité

Utilisez cet onglet pour spécifier les comptes d’utilisateurs qui peuvent être utilisés pour accéder à la zone et le type d’accès à autoriser pour chaque compte. Cet onglet est disponible uniquement pour les zones intégrées à Active Directory.

Boîte de dialogue Avancé (WINS)

Élément Détails

Délai d’expiration du cache

Permet de taper une valeur de durée de vie (TTL) pouvant être utilisée par d’autres serveurs DNS (Domain Name System) et certains clients DNS afin de déterminer pendant combien de temps ils sont autorisés à mettre en cache les informations dans cet enregistrement de ressource retournées par le biais de l’utilisation de l’intégration de recherche WINS (Windows Internet Name Service). Le format de la durée doit être en jours (JJJJJ), heures (HH), minutes (MM) et secondes (SS).

Délai d’expiration de

Permet de spécifier pendant combien de temps le serveur attend une réponse de WINS avant de retourner un message d’erreur « Nom introuvable » au

323

la recherche demandeur. Le format de la durée doit être en jours (JJJJJ), heures (HH), minutes (MM) et secondes (SS).

Boîte de dialogue Enregistrement de serveur de messagerie (MX)

Élément Détails

Hôte ou domaine enfant

Nom en une seule partie d’un serveur de messagerie dans cette zone. Si vous devez ajouter ici un nom contenant un point (.) afin d’indiquer le nom d’un niveau de domaine supplémentaire, ajoutez d’abord le domaine supplémentaire séparément dans le Gestionnaire

324

DNS, puis ajoutez là un nouvel enregistrement de serveur de messagerie (MX) en tant que nom en une seule partie.

Nom de domaine pleinement qualifié (FQDN)

Nom de domaine auquel cet enregistrement de ressource s’applique. Le nom de domaine complet (FQDN) identifie de manière unique l’arborescence hiérarchique DNS en spécifiant une liste de noms séparés par des points, dans le chemin d’accès, du domaine ou hôte référencé vers la racine.

Nom de domaine pleinement qualifié (FQDN) pour le serveur de messagerie

Nom de domaine complet d’un hôte acceptant d’assumer la fonction de serveur de messagerie pour le propriétaire spécifié dans Hôte ou domaine enfant. Il peut s’agir de tout nom reconnu par DNS comme le nom complet et valide d’un ordinateur d’hôte exécutant un serveur de messagerie. Le nom que vous tapez ici doit être résolu en un enregistrement de ressource hôte (A) correspondant dans cette zone. Si vous avez des doutes concernant le nom de domaine complet à utiliser, cliquez sur Parcourir pour rechercher ce nom dans l’espace de noms DNS.

Priorité du serveur de messagerie

Chiffre compris entre 0 et 65535 qui indique la priorité du serveur de messagerie par rapport aux autres serveurs de messagerie. Les serveurs référencés dans des enregistrements de serveur de messagerie (MX) avec un chiffre faible sont prioritaires par rapport à ceux affectés d’un chiffre élevé. La préférence ou priorité la plus élevée pour un serveur de messagerie est accordée lorsqu’une valeur de zéro (0) est utilisée.

Lorsque plusieurs enregistrements de serveur de messagerie (MX) sont présents, le service de messagerie tente tout d’abord de remettre le courrier au serveur de messagerie ayant le chiffre de préférence le plus faible. Si la remise échoue, le serveur de messagerie affecté du chiffre de préférence suivant est utilisé.

Si plusieurs serveurs de messagerie partagent le même chiffre de préférence, le service de messagerie en choisit un de manière aléatoire.

Boîte de dialogue Enregistrement de ressource de nouvelle adresse ATM (ATMA)

Élément Détails

325

Hôte (utilise le domaine parent si ce champ est vide)

Nom en une seule partie d’un hôte ATM (Asynchronous Transfer Mode) dans cette zone. Si vous devez ajouter ici un nom contenant un point (.) afin d’indiquer le nom d’un niveau de domaine supplémentaire, ajoutez d’abord le domaine supplémentaire séparément dans le Gestionnaire DNS, puis ajoutez là un nouvel enregistrement d’adresse ATM (ATMA) en tant que nom en une seule partie.



Mise en forme

E164 spécifie que votre hôte ATM utilise le format d’adresse E.164 pour les adresses ATM.

NSAP spécifie que votre hôte ADM utilise des adresses conformes au modèle d’adresse NSAP (Network Service Access Protocol) pour les adresses ATM.

Valeur L’adresse ATM (ATMA) de l’hôte ATM sur votre réseau.

Boîte de dialogue Nouvel hôte

326

Élément Détails

Nom (utilise le domaine parent si ce champ est vide)

Nom en une partie d’un hôte (ordinateur ou autre périphérique) dans cette zone. Si cette zone est vierge, le nom d’hôte est identique au nom de domaine parent. Si vous devez ajouter ici un nom contenant un point (.) afin d’indiquer le nom d’un niveau de domaine supplémentaire, ajoutez d’abord le domaine supplémentaire séparément dans le Gestionnaire DNS, puis ajoutez là un nouvel enregistrement hôte en tant que nom en une partie.



Adresse IP

Vous permet de taper l’adresse IP de l’hôte que vous spécifiez dans Nom. Le serveur DNS ne tente pas de vérifier l’existence de l’hôte représenté par cette adresse IP. Si vous spécifiez une adresse IPv4 (Internet Protocol version 4), le serveur DNS crée un enregistrement de ressource hôte (A). Si vous spécifiez une adresse IPv6 (Internet Protocol version 6), le serveur DNS crée un enregistrement de ressource hôte IPv6 (AAAA).

Créer un pointeur d’enregistrement PTR associé

Crée un enregistrement de ressource dans la zone de recherche inversée. Un enregistrement de ressource pointeur (PTR) mappe un nom de domaine DNS inversé sur la base de l’adresse IP d’un ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur.

Autoriser tout utilisateur identifié à mettre à jour les enregistrements DNS avec le même nom de propriétaire

Lorsque cette option est sélectionnée, elle autorise la mise à jour dynamique de l’enregistrement de ressource. Lorsque la mise à jour est effectuée, l’hôte qui demande la mise à jour obtient l’autorisation de modifier l’enregistrement de ressource, mais toutes les autres autorisations non administratives sont supprimées de la liste de contrôle d’accès qui protège l’enregistrement de ressource. L’administrateur peut ainsi créer un enregistrement de ressource sécurisé pour un hôte qui n’est pas encore en ligne tout en autorisant la mise à jour dynamique de l’enregistrement de ressource lorsque l’hôte obtient son adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol).

327

Boîte de dialogue Nouvel enregistrement de serveur de noms

Élément Détails

Résoudre Résout le nom de domaine complet de l’ordinateur serveur spécifié en son adresse IP, vérifie que le serveur est un serveur de noms, puis l’ajoute à la liste d’adresses IP.

Adresses IP de cet enregistrement NS

Répertorie les adresses IP qui seront utilisées par le nouveau serveur de noms pour répondre aux requêtes DNS (Domain Name System). Pour ajouter une adresse, cliquez n’importe où dans la liste, puis tapez l’adresse.

Supprimer Supprime l’adresse IP sélectionnée de la liste de serveurs de noms.Haut

Bas Déplace l’adresse IP sélectionnée vers le haut ou le bas de la liste.

328

Boîte de dialogue Notifier

Élément Détails

Notifier automatiquement

Lorsque cette option est sélectionnée, elle indique que les serveurs secondaires spécifiés doivent être informés des mises à jour de zones.

Les serveurs listés dans l’onglet Serveurs de noms

Lorsque cette option est sélectionnée, elle indique que tous les serveurs secondaires doivent être informés des mises à jour de zones.

Les serveurs suivants

Lorsque cette option est sélectionnée, elle répertorie les serveurs secondaires qui sont informés des mises à jour de zones. Pour ajouter un serveur à la liste, cliquez sur la liste, tapez l’adresse IP ou le nom DNS (Domain Name System) du serveur, puis cliquez de nouveau sur la liste pour résoudre et vérifier le serveur.

329

Boîte de dialogue Vieillissement de serveur/Propriétés de nettoyageLorsque vous configurez les paramètres suivants pour les propriétés de serveur, ils s’appliquent comme valeur par défaut pour toutes les zones. Lorsque vous les configurez dans une zone spécifique, ils s’appliquent uniquement à celle-ci.

Élément Détails

Nettoyer les enregistrements de ressources obsolètes

Spécifie si les enregistrements de ressources obsolètes doivent être supprimés de la base de données DNS (Domain Name System).


Spécifie un intervalle, en jours ou heures. Lorsqu’un enregistrement est actualisé, il n’est pas réactualisé tant que cet intervalle ne s’est pas écoulé.

Actualiser

Spécifie la durée minimale durant laquelle les enregistrements de ressources doivent rester dans la base de données DNS après l’expiration de l’intervalle de non-actualisation.

Cet intervalle ne doit pas être inférieur à la période d’actualisation maximale pour tout enregistrement de ressource. Sur la plupart des réseaux, cet intervalle correspond à l’intervalle de renouvellement de bail DHCP (Dynamic Host Configuration Protocol). Pour les serveurs DHCP exécutant Windows Server, l’intervalle de renouvellement par défaut est de quatre jours.

330

Boîte de dialogue Engistrement de ressource d’emplacement du service (SRV)

Élément Détails

Domaine Nom de domaine complet du domaine auquel cet enregistrement de ressource s’applique.

Service Nom symbolique universel du service TCP/IP, tel que « _telnet » ou « _smtp », devant être servi par cet enregistrement.

Protocole

Protocole de transport utilisé par ce service. Dans la plupart des cas, cette valeur est Protocole TCP (Transmission Control Protocol) ou Protocole UDP (User Datagram Protocol), bien que d’autres protocoles de transport puissent être utilisés s’ils sont implémentés pour votre réseau.

Priorité Nombre compris entre 0 et 65 535 qui indique la priorité ou le niveau de préférence accordé pour cet enregistrement à l’hôte spécifié dans Hôte offrant ce service.

Priorité indique la priorité de cet hôte par rapport aux autres hôtes dans ce domaine qui offrent le même service et qui sont spécifiés par des enregistrements de ressources Emplacement du service (SRV) différents. Plus le nombre est bas, plus la priorité est élevée. La priorité ou préférence la plus élevée est accordée à l’hôte (offrant le service spécifié dans cet enregistrement) ayant une valeur de priorité nulle (0).

Lorsque plusieurs enregistrements de ressources Emplacement du service (SRV) sont présents pour un

331

service spécifique, l’hôte ayant le chiffre de préférence le plus bas est d’abord offert aux clients DNS (Domain Name System). Si cet hôte échoue ou est inaccessible, c’est l’hôte spécifié dans l’enregistrement SRV ayant le chiffre de préférence suivant qui est utilisé.

Si plusieurs hôtes répertoriés dans l’enregistrement de ressource Emplacement du service (SRV) pour un service spécifié partagent le même chiffre de préférence, les clients DNS peuvent tenter d’utiliser les hôtes de préférence égale dans un ordre aléatoire.

Poids

Nombre compris entre 1 et 65 535 à utiliser comme mécanisme d’équilibrage de la charge. Lorsque vous effectuez une sélection parmi plusieurs hôtes SRV cibles pour le type de service (spécifié dans Service) qui utilisent le même nombre Priorité, vous pouvez utiliser ce champ pour affecter une préférence à des hôtes spécifiques. Lorsque plusieurs hôtes partagent une même priorité, les hôtes spécifiés dans l’enregistrement SRV ayant une valeur de poids plus élevée doivent être retournés en premier aux clients de résolution dans les résultats de requête SRV.

Nous vous conseillons d’utiliser une valeur de 0 (aucun poids) lorsque l’équilibrage de la charge n’est pas nécessaire. Cela permet de réduire la durée de traitement des requêtes SRV et rend les enregistrements de ressources SRV plus lisibles.

Numéro de port

Port de serveur TCP/IP sur l’hôte qui offre le service spécifié dans Service sur l’hôte cible spécifié dans Hôte offrant ce service. Les numéros de port sont compris dans la plage 0-65 535. Ce nombre est souvent un numéro de port réservé bien connu (mais cela n’est pas obligatoire), conformément au document RFC 1700 intitulé « Assigned Numbers ». Selon la valeur spécifiée dans Protocole pour cet enregistrement, le numéro de port peut représenter un port TCP ou UDP.

Hôte offrant ce service

Nom de domaine complet de l’hôte cible qui fournit le type de service TCP/IP décrit dans Service. Le nom doit correspondre à un enregistrement de ressource hôte (A) valide dans l’espace de noms de domaine DNS. Si vous utilisez à cet endroit un nom de domaine complet cible constitué d’un seul point (« . »), cela indique aux programmes de résolution DNS (clients) qui demandent ce type de service que ce service n’est pas disponible pour ce domaine.

332

Autoriser tout utilisateur identifié à mettre à jour tous les enregistrements DNS avec le même nom. Ce paramètre s’applique uniquement aux enregistrements DNS pour un nouveau nom.

Lorsque cette option est sélectionnée, elle autorise la mise à jour dynamique de l’enregistrement de ressource. Lorsque la mise à jour est effectuée, l’hôte qui demande la mise à jour obtient l’autorisation de modifier l’enregistrement de ressource, mais toutes les autres autorisations non administratives sont supprimées de la liste de contrôle d’accès qui protège l’enregistrement de ressource. L’administrateur peut ainsi créer un enregistrement de ressource sécurisé pour un hôte qui n’est pas encore en ligne tout en autorisant la mise à jour dynamique de l’enregistrement de ressource lorsque l’hôte obtient son adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol).

Boîte de dialogue Vieillissement de zone/Propriétés de nettoyageLorsque vous configurez les paramètres suivants pour les propriétés de serveur, ils s’appliquent comme valeur par défaut pour toutes les zones. Lorsque vous les configurez dans une zone spécifique, ils s’appliquent uniquement à celle-ci.

Élément Détails

Nettoyer les enregistrements de ressources obsolètes

Spécifie si les enregistrements de ressources obsolètes doivent être supprimés de la base de données DNS (Domain Name System).


Spécifie un intervalle, en jours ou heures. Lorsqu’un enregistrement est actualisé, il n’est pas réactualisé tant que cet intervalle ne s’est pas écoulé.

Actualiser

Spécifie la durée minimale durant laquelle les enregistrements doivent rester dans la base de données DNS après l’expiration de l’intervalle de non-actualisation.

Cet intervalle ne doit pas être inférieur à la période d’actualisation maximale pour tout enregistrement de ressource. Sur la plupart des réseaux, cet intervalle correspond à l’intervalle de renouvellement de bail DHCP (Dynamic Host Configuration Protocol). Pour les serveurs DHCP exécutant Windows Server 2008, l’intervalle de renouvellement de bail par défaut est de quatre jours.

333

334

Documents

DNS Concat Technet