Vous êtes sur la page 1sur 334

DNS

S'applique : Windows Server 2008, Windows Server 2008 R2 DNS (Domain Name System) est le protocole de rsolution de noms pour les rseaux TCP/IP, tels quInternet. Un serveur DNS hberge les informations qui permettent aux ordinateurs clients de rsoudre des noms DNS alphanumriques explicites en adresses IP utilises par les ordinateurs pour communiquer. Les rubriques suivantes dcrivent le rle de serveur DNS dans le systme dexploitation Windows Server 2008 et contiennent des procdures dinstallation, de configuration et de gestion des serveurs DNS sur votre rseau.

Prsentation de DNS Liste de vrification : ajouter un contrleur de domaine avec le service Serveur DNS Liste de vrification : stocker des donnes dans une partition dapplication AD DS Liste de vrification : utiliser des redirecteurs Liste de vrification : supprimer automatiquement les enregistrements de ressources obsoltes Liste de vrification : crer un enregistrement alias (CNAME) Liste de vrification : utiliser des enregistrements de ressources Liste de vrification : scuriser votre serveur DNS Liste de vrification : configurer des paramtres client DNS Liste de vrification : migrer un serveur DNS Liste de vrification : crer une zone de recherche inverse Installation et configuration de serveurs Gestion de serveurs et de zones Ajout de zones Configuration des proprits de zone Gestion des enregistrements de ressources Gestion des clients Scurisation de DNS Rsolution des problmes DNS Outils DNS Interface utilisateur : Serveur DNS

Prsentation de DNS
DNS (Domain Name System) est un systme dappellation dordinateurs et de services rseau organis selon une hirarchie de domaines. Lattribution de noms DNS est utilise sur les rseaux TCP/IP tels quInternet afin de localiser les ordinateurs et les services au moyen de noms conviviaux. Lorsquun utilisateur entre un nom DNS dans une application, les services DNS peuvent rsoudre ce nom en une autre information qui lui est associe, par exemple une adresse IP. Par exemple, la plupart des utilisateurs prfrent recourir un nom convivial, tel que corp.contoso.com, pour localiser un ordinateur tel quun serveur de messagerie ou un serveur Web sur un rseau. Un nom convivial est plus facile apprendre et mmoriser. Toutefois, les ordinateurs communiquent sur un rseau par le biais dadresses numriques. Pour faciliter lutilisation des ressources rseau, des systmes de noms tels que DNS fournissent une 1

mthode qui tablit la correspondance entre le nom convivial dun ordinateur ou dun service et son adresse numrique. Le rle Serveur DNS dans Windows Server 2008 allie la prise en charge des protocoles DNS standard aux avantages offerts par lintgration aux services de domaine Active Directory (AD DS) et autres fonctionnalits de scurit et de mise en rseau de Windows, y compris des capacits avances telles que la mise jour dynamique scurise des enregistrements de ressources DNS.

Fonctionnalits de serveur
Le rle Serveur DNS procure les fonctionnalits suivantes :

Serveur DNS conforme aux RFC (Request for Comments) DNS est un protocole ouvert. Il est normalis par un ensemble de RFC. Microsoft assure la prise en charge et la conformit avec ces spcifications standard.

Interoprabilit avec dautres implmentations de serveur DNS Le service Serveur DNS dans Windows Server 2008 tant conforme aux RFC et capable dutiliser des formats denregistrements de ressources et des fichiers de donnes DNS standard, il peut fonctionner avec la plupart des autres implmentations de serveur DNS, telles que celles qui utilisent les logiciels BIND (Berkeley Internet Name Domain). Prise en charge des services de domaine Active Directory (AD DS) DNS est requis pour la prise en charge des services de domaine Active Directory afin de permettre aux ordinateurs rseau de localiser les contrleurs de domaine et de prendre en charge la rplication AD DS. Si vous installez le rle de serveur AD DS sur un serveur, vous devez installer et configurer en mme temps le service Serveur DNS sur le nouveau contrle de domaine. Cela garantit la meilleure intgration et prise en charge possible des services de domaine Active Directory et la disponibilit de fonctionnalits de serveur DNS avances. Vous pouvez cependant utiliser un autre type de serveur DNS pour prendre en charge le dploiement des services de domaine Active Directory. Lorsque vous utilisez dautres types de serveurs DNS, prenez en considration les aspects supplmentaires lis linteroprabilit DNS. Amliorations du stockage de zone DNS dans les services de domaine Active Directory Les zones DNS peuvent tre stockes dans les partitions dannuaire dapplications ou de domaines des services de domaine Active Directory. Une partition de lannuaire dapplications est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Vous pouvez spcifier dans quelle partition dannuaire dapplications AD DS une zone est stocke et, par consquent, lensemble des contrleurs de domaine entre lesquels les donnes de cette zone seront rpliques. Le service Serveur DNS maintient deux partitions dannuaire dapplications, DomainDnsZones et ForestDnsZones, dans chaque domaine et fort afin de stocker les zones pour la rplication standard.

Redirecteurs conditionnels Le service Serveur DNS tend la fonctionnalit des redirecteurs standard en procurant des redirecteurs conditionnels. Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction du nom de domaine DNS mentionn dans la requte. Par exemple, vous pouvez configurer un serveur DNS de faon transfrer toutes les requtes quil reoit pour des noms se terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS. Zones de stub DNS prend en charge un type de zone nomm zone de stub. Une zone de stub est une copie dune zone qui contient uniquement les enregistrements de ressources ncessaires pour identifier les serveurs DNS de rfrence pour cette zone. Une zone de stub conserve un serveur DNS qui hberge une zone parente mise jour avec les serveurs DNS de rfrence pour sa zone enfant. Cela contribue maintenir lefficacit de la rsolution de noms DNS. Fonctionnalits de scurit DNS amliores DNS procure une administration de la scurit amliore pour le service Serveur DNS, le service Client DNS et les donnes DNS. Intgration dautres services rseau Microsoft Le service Serveur DNS permet une intgration avec dautres services et propose des fonctionnalits au-del de celles spcifies dans les documents RFC, telles que lintgration aux services de domaine Active Directory, au service WINS (Windows Internet Name Service) et aux services DHCP (Dynamic Host Configuration Protocol). Facilit dadministration accrue Gestionnaire DNS, le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console), offre une interface utilisateur graphique amliore pour la gestion du service Serveur DNS. Plusieurs Assistants de configuration sont proposs pour lexcution de tches dadministration de serveur courantes. Outre le composant logiciel enfichable DNS, dautres outils sont fournis pour aider grer et prendre en charge les serveurs et les clients DNS de votre rseau. Prise en charge du protocole de mise jour dynamique conforme aux RFC Le service Serveur DNS permet aux clients de mettre jour de manire dynamique des enregistrements de ressources sur la base du protocole de mise jour dynamique (RFC 2136). Cela amliore ladministration DNS en rduisant la dure ncessaire la gestion manuelle de ces enregistrements. Les ordinateurs excutant le service Client DNS peuvent inscrire leurs noms DNS et adresses IP de manire dynamique. Prise en charge du transfert de zone incrmentiel entre les serveurs Les serveurs DNS qui stockent des donnes DNS dans des fichiers utilisent des transferts de zone pour rpliquer les informations relatives une partie de lespace de noms DNS. Lorsquil transfre des zones qui ne sont pas intgres aux services de domaine Active Directory, le service Serveur DNS utilise le transfert de zone

incrmentiel afin de rpliquer uniquement les parties modifies dune zone, ce qui permet de prserver la bande passante rseau. Rsolution des noms dhtes en une partie sans WINS Le service Serveur DNS prend en charge une zone nomme GlobalNames pour les noms en une partie, savoir les noms qui ne contiennent pas le nom dun domaine parent (tel que .com). Sur les rseaux o lutilisation du service WINS ne constitue pas une option, la zone GlobalNames fournit une rsolution des noms en une partie pour un ensemble limit de serveurs administrs de manire centralise avec des adresses IP fixes.

Liste de vrification : ajouter un contrleur de domaine avec le service Serveur DNS


Lintgration de DNS (Domain Name System) aux services de domaine Active Directory (AD DS) fournit une rplication automatique entre les contrleurs de domaine dans un domaine ou une fort commune. Linstallation de plusieurs contrleurs de domaine dans un domaine excutant le service Serveur DNS vous permet de vous assurer que DNS continuera de fonctionner en cas de dfaillance dun contrleur de domaine ou de sa mise hors service des fins de maintenance. Cela vous procure galement la possibilit de trouver les serveurs sur les sites o ils peuvent tre atteints de la manire la plus efficace par les clients DNS. En outre, lquilibrage de la charge ainsi obtenu peut amliorer les performances globales de DNS.

Tche

Rfrence

Prsentation de lintgration En savoir plus sur lintgration de DNS aux services de domaine aux services de domaine Active Directory. Active Directory

Planifier comment diviser votre espace de noms de domaine DNS et dadresses rseau en zones de recherche directe et inverse, selon les besoins.

Planification des zones DNS

Planifier votre dploiement de serveur, y compris dterminer le nombre de serveurs utiliser et o les placer sur votre rseau, en Planification des serveurs gardant lesprit le fait que par dfaut, les contrleurs de DNS domaine fonctionnent aussi comme serveurs DNS. Utilisation de redirecteurs; Si les clients de votre rseau doivent tre capables de rsoudre Configurer un serveur DNS des noms DNS externes, dterminez si vous devez configurer et de faon utiliser des utiliser des redirecteurs sur les serveurs DNS de votre rseau. redirecteurs Dterminer comment grer les configurations de rsolution de client DNS. Liste de vrification : configurer des paramtres client DNS Installer un serveur DNS; Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory Prsentation de la dlgation de zone; Crer une dlgation de zone

Installer et configurer des contrleurs de domaine et des domaines pour lhbergement de vos zones. Le cas chant, ajouter des dlgations dans les zones parentes pour tout sous-domaine. Par exemple, si vous ajoutez sub.corp.contoso.com en tant que nouveau domaine Active Directory, vous y ajoutez une dlgation la zone corp.contoso.com.

Prsentation de lintgration aux services de domaine Active Directory


Le service Serveur DNS est intgr la conception et limplmentation des services de domaine Active Directory (AD DS). Les services de domaine Active Directory procurent un outil de niveau entreprise pour lorganisation, la gestion et la localisation des ressources sur un rseau. Lorsque vous dployez des serveurs DNS (Domain Name System) avec les services de domaine Active Directory, considrez les points suivants :

DNS est obligatoire pour la localisation des contrleurs de domaine. Le service Ouverture de session rseau utilise la prise en charge des serveurs DNS pour assurer linscription des contrleurs de domaine dans votre espace de noms de domaine DNS.

Les serveurs DNS excutant Windows Server 2003 ou Windows Server 2008 peuvent utiliser les services de domaine Active Directory pour le stockage et la rplication de vos zones. En intgrant vos zones aux services de domaine Active Directory, vous pouvez tirer parti des fonctionnalits DNS telles que la rplication AD DS, les mises jour dynamiques scurises et les fonctionnalits dantriorit et de nettoyage denregistrements.

Intgration de DNS aux services de domaine Active Directory


Lorsque vous installez les services de domaine Active Directory sur un serveur, vous le promulguez au rle de contrleur de domaine pour un domaine spcifique. Dans le cadre de ce processus, vous tes invit spcifier un nom de domaine DNS pour le domaine AD DS que vous joignez et pour lequel vous promulguez le serveur, et vous avez la possibilit dinstaller le rle de Serveur DNS. Cette option est fournie car un serveur DNS est requis pour localiser ce serveur ou dautres contrleurs de domaine pour les membres dun domaine AD DS.

Avantages offerts par lintgration aux services de domaine Active Directory


Pour les rseaux qui dploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommand dutiliser des zones principales intgres lannuaire. Ces zones prsentent les avantages suivants :

DNS propose une rplication des donnes multimatre et une scurit amliore bases sur les capacits des services de domaine Active Directory. Dans un modle de stockage de zone standard, les mises jour DNS sont effectues sur la base dun modle de mise jour matre unique. Dans ce modle, un seul serveur DNS de rfrence pour une zone est dsign comme source principale pour la zone. Ce serveur conserve la copie matre de la zone dans un fichier local. Avec ce modle, le serveur principal pour la zone reprsente un point de dfaillance unique fixe. Si ce serveur nest pas disponible, les demandes de mise jour mises par les clients DNS ne sont pas traites pour la zone. Avec le stockage intgr lannuaire, les mises jour dynamiques de DNS sont envoyes tout serveur DNS intgr aux services de domaine Active Directory et sont rpliques tous les autres serveurs DNS intgrs aux services de domaine Active Directory par le biais de la rplication AD DS. Dans ce modle, tout serveur DNS intgr aux services de domaine Active Directory peut accepter des mises jour dynamiques pour la zone. La copie matre de la zone tant conserve dans la base de donnes AD DS, qui est entirement rplique vers tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS oprant sur tout contrleur de domaine pour le domaine. Avec le modle de mise jour multimatre des services de domaine Active Directory, nimporte lequel des serveurs DNS principaux pour la zone intgre lannuaire peut traiter les demandes de mise jour de la zone mises par les clients DNS, tant quun contrleur de domaine est disponible et accessible sur le rseau. 6

De plus, lorsque vous utilisez des zones intgres lannuaire, vous pouvez utiliser la modification des listes de contrle daccs pour scuriser un conteneur dobjet dnsZone dans larborescence de rpertoires. Cette fonctionnalit procure un accs dtaill la zone ou un enregistrement de ressource spcifi dans la zone. Par exemple, une liste de contrle daccs pour un enregistrement de ressource de zone peut tre limite de telle sorte que les mises jour dynamiques soient autorises uniquement pour un ordinateur client ou un groupe scuris (par exemple un groupe dadministrateurs de domaine) spcifique. Cette fonctionnalit de scurit nest pas disponible avec les zones principales standard.

Les zones sont rpliques et synchronises automatiquement sur les nouveaux contrleurs de domaine chaque fois que vous en ajoutez un un domaine AD DS. Bien que le service Serveur DNS puisse tre supprim dun contrleur de domaine de manire slective, les zones intgres lannuaire sont dj stockes sur chaque contrleur de domaine. Par consquent, le stockage et la gestion des zones ne constituent pas une ressource supplmentaire. En outre, les mthodes utilises pour synchroniser les informations stockes dans lannuaire offrent des amliorations de performances par rapport aux mthodes de mise jour de zone standard, qui peuvent ventuellement ncessiter le transfert dune zone entire. En intgrant le stockage de vos bases de donnes de zones DNS dans les services de domaine Active Directory, vous pouvez optimiser la planification de rplication de base de donnes pour votre rseau. Lorsque votre espace de noms DNS et vos domaines AD DS sont stocks et rpliqus sparment, vous devez planifier et ventuellement administrer chacun de ces lments sparment. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez concevoir, implmenter, tester et maintenir deux topologies de rplication de base de donnes diffrentes. Par exemple, une topologie de rplication est ncessaire pour la rplication des donnes dannuaire entre les contrleurs de domaine et une autre topologie est ncessaire pour la rplication des bases de donnes de zones entre les serveurs DNS. Cela peut engendrer une complexit supplmentaire dans la planification et la conception de votre rseau, et constituer un obstacle sa croissance ultrieure. En intgrant le stockage DNS, vous unifiez les aspects lis la rplication et la gestion du stockage pour DNS et les services de domaine Active Directory en les fusionnant et en les affichant en tant quentit administrative unique. La rplication intgre lannuaire est plus rapide et plus efficace que la rplication DNS standard. Le traitement de la rplication AD DS tant effectu sur la base de chaque proprit, seules les modifications pertinentes sont propages. Une quantit infrieure de donnes est utilise et soumise dans les mises jour pour les zones intgres lannuaire.

Seules les zones principales peuvent tre stockes dans lannuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans lannuaire. Il doit les stocker dans des fichiers texte

standard. Le modle de rplication multimatre des services de domaine Active Directory limine la ncessit davoir des zones secondaires lorsque toutes les zones sont stockes dans les services de domaine Active Directory.

Planification des zones DNS


Lorsque vous partitionnez initialement votre espace de noms en zones, vous devez examiner les tendances de trafic dans votre rseau actuel ou propos. Bien que DNS (Domain Name System) soit conu pour aider rduire le trafic de diffusion entre des sous-rseaux locaux, il cre une certaine quantit de trafic entre les serveurs et les clients qui doit tre examine. Cela est particulirement vrai dans les cas o DNS est utilis sur les rseaux routs. Pour examiner le trafic DNS, vous pouvez utiliser les statistiques de serveur DNS ou les compteurs de performance DNS fournis avec le Moniteur systme. Outre le routage du trafic, vous devez considrer limpact des types de communications DNS courants suivants, en particulier lorsque vous oprez sur des liaisons faible dbit sur un rseau tendu :

trafic de serveur serveur d aux transferts de zone avec dautres serveurs DNS et linteroprabilit DNS avec dautres serveurs (par exemple lorsque la recherche WINS (Windows Internet Name Service) est active) ;

trafic de client serveur d aux charges de requtes et aux mises jour dynamiques envoyes par des ordinateurs clients DNS ou des serveurs DHCP fournissant la mise jour dynamique pour les clients DNS de version antrieure qui ne prennent pas en charge les mises jour dynamiques.

Pour les petits espaces de noms plats, vous pouvez utiliser la rplication complte de toutes les zones DNS sur tous les serveurs DNS de votre rseau. Pour les grands espaces de noms verticaux, cela nest ni possible ni recommand. Sur les rseaux de grande taille, il est souvent ncessaire dtudier, de tester, danalyser et de rviser vos plans de zones sur la base des tendances de trafic observes ou estimes. Aprs une analyse minutieuse, vous pouvez partitionner et dlguer vos zones DNS en fonction des impratifs respecter pour fournir un service de noms efficace et tolrance de panne chaque emplacement ou site. Le service Serveur DNS prend en charge les transferts de zone incrmentiels entre les serveurs qui rpliquent une zone standard. Cette fonctionnalit peut rduire les considrations relatives au trafic de rplication DNS ; vous devez donc ltudier lors de votre planification de zones. Vous souhaiterez peut-tre galement envisager lutilisation de serveurs cache uniquement, qui nhbergent pas de zones DNS. Les serveurs cache uniquement constituent une bonne option sur les petits sites distants prsentant une utilisation stable et minimale du service de noms DNS, mais qui se trouvent de lautre ct dun rseau tendu o le transfert dune grande zone sur une liaison faible dbit peut consommer de grosses quantits de ressources.

Planification des serveurs DNS


Lorsque vous planifiez vos serveurs DNS (Domain Name System), il est important deffectuer les tches suivantes :

Effectuer la planification de capacit et examiner les exigences matrielles des serveurs. Dterminer le nombre de serveurs DNS ncessaires et leur rle dans votre rseau. Lors de la prise en compte du nombre de serveurs DNS utiliser, identifiez les serveurs qui hbergeront des copies principales et secondaires des zones. De plus, si vous utilisez les services de domaine Active Directory (AD DS), dterminez si lordinateur serveur assumera la fonction de contrleur de domaine ou de serveur membre dans le domaine. Dterminer lemplacement des serveurs DNS sur votre rseau pour les charges de trafic, la rplication et la tolrance de panne.

Dterminer si vous utilisez uniquement des serveurs DNS excutant Windows Server 2008 ou une combinaison dimplmentations de serveurs DNS.

Planification de la capacit de serveur


La planification et le dploiement de serveurs DNS sur votre rseau ncessitent lexamen de plusieurs aspects de votre rseau et des exigences de capacit des serveurs DNS que vous prvoyez dutiliser sur le rseau. Voici quelques questions se poser lors de la planification de la capacit de serveur DNS :

Combien de zones le serveur DNS devra-t-il charger et hberger ? Quelle est la taille de chaque zone charge par le serveur (daprs la taille du fichier de zone ou le nombre denregistrements de ressources utiliss dans la zone) ? Pour un serveur DNS multirsident, quel est le nombre dinterfaces devant tre actives pour couter et servir les clients DNS sur chacun des sous-rseaux connects au serveur ? Quelle est la quantit totale de requtes DNS en provenance de tous ses clients quun serveur DNS peut sattendre recevoir et servir ?

Dans de nombreux cas, lajout de RAM supplmentaire un serveur DNS peut provoquer les amliorations de performances les plus remarquables. Cela est d au fait que le service Serveur DNS charge compltement en mmoire toutes les zones configures lors de son dmarrage. Si votre serveur opre et charge un grand nombre de zones et que des mises jour dynamiques ont lieu frquemment pour les clients des zones, il peut tre utile dajouter de la mmoire.

Sachez que, pour une utilisation ordinaire, le serveur DNS consomme de la mmoire systme comme suit :

Environ 4 mgaoctets (Mo) de RAM sont utiliss lorsque le serveur DNS est dmarr sans zone. Pour chaque ajout de zones ou denregistrements de ressources au serveur, le serveur DNS consomme de la mmoire serveur supplmentaire. On estime que pour chaque enregistrement de ressource ajout une zone de serveur, une moyenne denviron 100 octets de mmoire serveur est utilise. Par exemple, si une zone contenant 1000 enregistrements de ressources est ajoute un serveur, elle ncessite environ 100 kilo-octets (Ko) de mmoire serveur.

Lors de la planification des serveurs DNS, vous pouvez commencer par examiner les rsultats des tests de performances de serveur DNS recueillis par vos quipes de test et de dveloppement DNS. Vous pouvez galement utiliser les compteurs lis aux serveurs DNS fournis avec les outils danalyse afin dobtenir vos propres mesures de performances. Important Les recommandations prcdentes nont pas pour but dindiquer les performances maximales 10

ou les limitations des serveurs DNS. Ces chiffres ne constituent que des approximations et peuvent tre influencs par le type denregistrement de ressource entr dans les zones, le nombre denregistrements de ressources avec le mme nom de propritaire et le nombre de zones utilises sur un serveur DNS spcifique.

O placer les serveurs DNS ?


Dans la plupart des cas, vous installerez des serveurs DNS sur tous les contrleurs de domaine. Si toutefois vous avez une bonne raison de ne pas dployer de serveur DNS sur chaque contrleur de domaine, vous pouvez suivre les recommandations suivantes afin de choisir lemplacement de vos serveurs DNS. En gnral, vous devez placer vos serveurs DNS un emplacement sur votre rseau qui est facilement accessible vos clients. Il est gnralement plus commode dutiliser un serveur DNS sur chaque sous-rseau. Plusieurs questions doivent tre tudies afin de dterminer la ncessit de la prsence dun serveur DNS :

Si vous dployez DNS pour prendre en charge les services de domaine Active Directory, lordinateur serveur DNS est-il galement contrleur de domaine ou est-il susceptible de devenir contrleur de domaine dans le futur ? Si le serveur DNS cesse de rpondre, ses clients locaux sont-ils en mesure daccder un autre serveur DNS ? Si le serveur DNS se trouve sur un sous-rseau qui est distant pour certains de ses clients, quels sont les autres serveurs DNS ou options de rsolution de noms disponibles si la connexion route cesse de rpondre ?

Par exemple, si vous avez un rseau local rout et des liaisons haut dbit raisonnablement fiables, vous pourrez peut-tre utiliser un serveur DNS pour une zone rseau plus grande sous-rseaux multiples. Si vous avez un grand nombre de nuds clients dans une conception sous-rseau unique, vous souhaiterez peut-tre ajouter plusieurs serveurs DNS au sousrseau afin de fournir des fonctionnalits de sauvegarde et de basculement si le serveur DNS prfr cesse de rpondre. Lorsque vous dterminez le nombre de serveurs DNS ncessaires, valuez leffet des transferts de zone et du trafic de requtes DNS sur les liaisons faible dbit de votre rseau. Bien que DNS soit conu pour aider rduire le trafic de diffusion entre des sous-rseaux locaux, il cre une certaine quantit de trafic entre les serveurs et les clients qui doit tre examine, en particulier lorsque les serveurs DNS se trouvent dans des environnements de rseau local ou de rseau tendu avec un routage complexe. Considrez les effets du transfert de zone sur les liaisons faible dbit, telles que celles qui sont gnralement utilises pour une connexion de rseau tendu. Bien que le service Serveur DNS prenne en charge les transferts de zone incrmentiels et que les clients et serveurs DNS puissent mettre en cache les derniers noms utiliss, les considrations relatives au trafic sont parfois encore importantes, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) sont raccourcis et, en consquence, les mises jour dynamiques dans DNS sont effectues plus frquemment. Lune des options votre disposition pour grer les emplacements distants sur des liaisons de rseau tendu consiste configurer un serveur DNS ces emplacements afin de fournir un service DNS de mise en cache uniquement. 11

Dans la plupart des installations, vous devez avoir au moins deux ordinateurs serveurs hbergeant chacune de vos zones DNS, des fins de tolrance de panne. Lors des ultimes dterminations quant au nombre de serveurs utiliser, valuez dabord le niveau de tolrance de panne adapt votre rseau. Lorsquun seul serveur DNS est utilis sur un petit rseau local dans un environnement sous-rseau unique, vous pouvez configurer ce serveur de faon simuler les serveurs principal et secondaires pour une zone.

Utilisation de redirecteurs
Pour utiliser des redirecteurs afin de grer le trafic DNS (Domain Name System) entre votre rseau et Internet, vous devez configurer le pare-feu de votre rseau de faon autoriser un seul serveur DNS communiquer avec Internet. Lorsque vous configurez les autres serveurs DNS de votre rseau pour transfrer vers ce serveur les requtes quils ne peuvent rsoudre localement, ce serveur assume le rle de redirecteur. Pour plus dinformations sur les redirecteurs, voir Prsentation des redirecteurs.

Squence de transfert
Lordre des adresses IP rpertories comme redirecteurs sur un serveur DNS dtermine la squence selon laquelle les adresses IP sont utilises. Une fois que le serveur DNS a transfr la requte au redirecteur avec la premire adresse IP, il attend pendant quelques instants de recevoir une rponse de ce redirecteur (en respectant le dlai dexpiration de transfert de ce serveur DNS) avant de reprendre lopration de transfert avec ladresse IP suivante. Il continue ce processus jusqu recevoir une rponse affirmative de la part dun redirecteur. Part exemple, dans lillustration suivante, les serveurs DNS avec les premire et deuxime adresses IP de redirecteurs ne rpondent pas au serveur DNS. Le serveur DNS avec la troisime adresse IP de redirecteur rpond et la requte est transfre ce serveur DNS.

12

Contrairement la rsolution conventionnelle, dans laquelle un dlai daller-retour est associ chaque serveur, les adresses IP mentionnes dans la liste de redirecteurs ne sont pas classes selon le dlai daller-retour. Vous devez les reclasser manuellement afin de modifier la prfrence.

Redirecteurs conditionnels
Les redirecteurs conditionnels sont des serveurs DNS qui transfrent des requtes en fonction des noms de domaine. Plutt que davoir un serveur DNS qui transfre un redirecteur toutes les requtes quil ne peut rsoudre localement, vous pouvez configurer les serveurs DNS de faon transfrer les requtes vers diffrents redirecteurs en fonction des noms de domaine spcifiques contenus dans les requtes. Le transfert sur la base des noms de domaine amliore le transfert conventionnel en ajoutant une condition base sur le nom au processus de transfert. Le paramtre de redirecteur conditionnel pour un serveur DNS se compose des lments suivants :

le nom de domaine pour lequel le serveur DNS transfrera les requtes ; une ou plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spcifi.

Lorsquun client ou serveur DNS effectue une opration de requte sur un serveur DNS, celui-ci vrifie si la requte peut tre rsolue avec ses propres donnes de zone ou avec les donnes stockes dans son cache. Si le serveur DNS est configur pour effectuer un transfert pour le nom de domaine dsign dans la requte, celle-ci est transfre ladresse IP dun redirecteur associ ce nom de domaine. Par exemple, dans lillustration suivante, chacune des requtes pour les noms de domaine est transfre un serveur DNS associ au nom de domaine.

13

Si aucun redirecteur nest rpertori pour le nom dsign dans la requte, le serveur DNS tente de la rsoudre par le biais de la rcursivit standard. Pour plus dinformations, voir Configurer un serveur DNS de faon utiliser des redirecteurs. Vous pouvez utiliser des redirecteurs conditionnels pour amliorer la rsolution de noms entre les espaces de noms DNS internes (privs) qui ne font pas partie de lespace de noms DNS dInternet. Ces types despaces de noms DNS peuvent apparatre suite une fusion de socits. Lorsque vous configurez les serveurs DNS dun espace de noms interne de faon transfrer toutes les requtes vers les serveurs DNS de rfrence dans un second espace de noms interne, les redirecteurs conditionnels autorisent la rsolution des noms entre les deux espaces de noms sans effectuer de rcursivit sur lespace de noms DNS dInternet. Cette amlioration de la rsolution de noms vite galement vos serveurs DNS de faire appel la rcursivit vers votre racine interne pour diffrents espaces de noms au sein de votre rseau. Important Un serveur DNS ne peut pas transfrer de requtes pour les noms de domaine compris dans les zones quil hberge. Par exemple, le serveur DNS de rfrence pour la zone widgets.tailspintoys.com ne peut pas transfrer de requtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de rfrence pour widgets.tailspintoys.com peut transfrer des requtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est dlgu un autre serveur DNS.

Longueur de nom de domaine de redirecteur conditionnel


Lorsquun serveur DNS configur avec un redirecteur conditionnel reoit une requte pour un nom de domaine, il compare ce nom de domaine sa liste de conditions de noms de domaine et utilise la condition de nom de domaine la plus longue correspondant au nom de domaine dans la requte. Par exemple, dans lillustration suivante, le serveur DNS respecte la logique de transfert conditionnel suivante afin de dterminer comment transfrer une requte pour un nom de domaine : 1. Le serveur DNS reoit une requte pour toys.widgets.tailspintoys.com. 2. Il compare ce nom de domaine tailspintoys.com et widgets.tailspintoys.com. 3. Le serveur DNS dtermine que widgets.tailspintoys.com est le nom de domaine qui prsente la correspondance la plus troite avec la requte de nom de domaine.

14

4. Le serveur DNS transfre la requte au serveur DNS avec ladresse IP 172.31.255.255, qui est associ widgets.tailspintoys.com.

Configurer un serveur DNS de faon utiliser des redirecteurs


Un redirecteur est un serveur DNS (Domain Name System) sur un rseau utilis pour transfrer des requtes DNS pour des noms DNS externes vers des serveurs DNS situs lextrieur de ce rseau. Vous pouvez galement configurer votre serveur de faon transfrer les requtes sur la base de noms de domaine spcifiques au moyen de redirecteurs conditionnels. Un serveur DNS sur un rseau est dsign comme redirecteur lorsque les autres serveurs DNS du rseau sont configurs de sorte quils transfrent ce serveur DNS les requtes quils ne peuvent pas rsoudre localement. Lutilisation dun redirecteur vous permet de grer la rsolution des noms externes votre rseau, tels que les noms Internet, ce qui peut amliorer lefficacit de la rsolution de noms pour les ordinateurs de votre rseau. Pour plus dinformations sur les redirecteurs et les redirecteurs conditionnels, voir Prsentation des redirecteurs.

15

Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Consultez les informations dtailles sur l'utilisation des comptes et des appartenances au groupe appropris sur le site Web suivant : http://go.microsoft.com/fwlink/?LinkId=83477.

Configuration dun serveur DNS de faon utiliser des redirecteurs


laide de linterface Windows laide dune ligne de commande

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Redirecteurs, sous Domaine DNS, cliquez sur un nom de domaine. 5. Sous Liste dadresses IP du redirecteur du domaine slectionn, tapez ladresse IP dun redirecteur, puis cliquez sur Ajouter.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Pour crer un nom de domaine, cliquez sur Nouveau puis, sous Domaine DNS, tapez le nom de domaine. Lorsque vous spcifiez un redirecteur conditionnel, slectionnez un nom de domaine DNS avant dentrer une adresse IP. Par dfaut, le serveur DNS attend une rponse dune adresse IP de redirecteur pendant cinq secondes avant dessayer une autre adresse IP de redirecteur. Dans Dlai dexpiration des requtes de redirection (en secondes), vous pouvez modifier la dure dattente du serveur DNS. Lorsque le serveur a puis tous les redirecteurs, il tente deffectuer une opration de rcursivit standard. Si vous souhaitez que le serveur DNS utilise uniquement des redirecteurs et ne tente pas de rcursivit supplmentaire si les redirecteurs chouent, activez la case cocher Ne pas utiliser la rcursivit pour ce domaine. Vous pouvez dsactiver la rcursivit pour le serveur DNS de sorte quil neffectue dopration de rcursivit sur aucune requte. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur.

16

Nentrez pas une adresse IP de redirecteur plus dune fois dans la liste de redirecteurs dun serveur DNS pour la simple raison quelle concerne un serveur plus fiable ou plus proche gographiquement. Si vous prfrez lun des redirecteurs, placez-le en premier dans la srie dadresses IP de redirecteurs. Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait rfrence pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com. Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ResetForwarders <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure un redirecteur.

<NomServeur> /ResetForwarders

Obligatoire. Spcifie une liste ( sparation par des virgules) dune ou plusieurs adresses IP de serveurs DNS vers lesquels les requtes sont <AdresseIPMatre...> transfres. Vous pouvez spcifier une liste dadresses IP spares par des espaces. /TimeOut Spcifie le paramtre de dlai dattente. Ce paramtre correspond au nombre de secondes qui scoulent avant expiration des requtes dont le transfert a chou. Spcifie la valeur du paramtre /TimeOut. La valeur est spcifie en secondes. Le dlai dattente par dfaut est de cinq secondes. Dtermine si le serveur DNS utilise la rcursivit lorsquil interroge le nom de domaine spcifi par NomZone.

<Dure> /Slave

17

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ResetForwarders /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Pour dfinir le redirecteur conditionnel pour une zone, utilisez la commande suivante :
dnscmd <ServerName> /ZoneAdd <ZoneName> /Forwarder <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

La commande /ZoneAdd ajoute la zone spcifie par le paramtre NomZone. Le paramtre AdresseIP est ladresse IP laquelle le serveur DNS transfrera les requtes DNS non solubles. Le paramtre /Slave dfinit le serveur DNS comme serveur subordonn. Le paramtre /NoSlave (valeur par dfaut) dfinit le serveur DNS comme serveur non subordonn, ce qui signifie quil effectuera la rcursivit. Les paramtres /Timeout et Dure sont dcrits dans le tableau prcdent.

Pour afficher une zone ajoute uniquement en tant que redirecteur conditionnel, utilisez la commande suivante :
dnscmd <ServerName> /ZoneInfo <ZoneName>

Pour rinitialiser les adresses IP de redirecteurs pour un nom de domaine de redirecteur conditionnel, utilisez la commande suivante :
dnscmd <ServerName> /ZoneResetMasters <ZoneName> [/Local] [<ServerIPs>]

Le paramtre /Local dfinit la liste de serveurs matres locale pour les redirecteurs intgrs Active Directory. Le paramtre IPServeur correspond la liste dune ou plusieurs adresses IP de serveurs matres pour la zone. Les serveurs matres peuvent inclure des serveurs DNS qui hbergent des copies principales ou secondaires de la zone, mais ils ne doivent pas inclure dadresses IP de serveurs DNS de telle manire que deux serveurs DNS hbergeant des copies dune zone sutilisent lun lautre comme serveurs matres. Une telle configuration rend cyclique le chemin de transfert.

Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait autorit pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com.

18

Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

Liste de vrification : configurer des paramtres client DNS


La configuration des clients DNS (Domain Name System) est aussi essentielle au bon fonctionnement de votre infrastructure DNS que la configuration des serveurs DNS. Les considrations prendre en compte pour la configuration des clients DNS incluent les conventions dattribution de noms aux clients (y compris le suffixe DNS principal et de nom dhte), la spcification des serveurs DNS pour un client ou lautorisation du protocole DHCP (Dynamic Host Configuration Protocol) pour affecter des serveurs DNS, ainsi que la configuration dune liste de recherche de suffixe pour la rsolution des noms dhtes courts non complets. Vous pouvez galement configurer des paramtres DNS spcifiques aux connexions pour les ordinateurs disposant de plusieurs cartes rseau ou connexions RAS (Remote Access Service).

Tche En savoir plus sur la configuration des clients.

Rfrence Prsentation des paramtres de client DNS Configurer DNS pour des clients statiques

Configurer des clients DNS statiques.

19

Configurer des serveurs DHCP et des clients activs pour le Activer DNS pour les clients protocole DHCP. DHCP

Prsentation des paramtres de client DNS


La configuration DNS (Domain Name System) ncessite les tches de configuration suivantes pour les proprits TCP/IP sur chaque ordinateur :

Dfinir un nom dhte ou dordinateur DNS pour chaque ordinateur. Par exemple, dans le nom de domaine complet wkstn1.widgets.tailspintoys.com., le nom de lordinateur DNS est le libell wkstn1 figurant lextrme gauche. Dfinir un suffixe DNS principal pour chaque ordinateur, plac aprs le nom dhte ou dordinateur afin de constituer le nom de domaine complet. Dans lexemple prcdent, le suffixe DNS principal est widgets.tailspintoys.com. Dfinir une liste de serveurs DNS utilisables par les clients lors de la rsolution des noms DNS, tels quun serveur DNS prfr, et tout serveur DNS secondaire utiliser si le serveur prfr est indisponible. Dfinir la mthode de recherche ou la liste de recherche de suffixe DNS utiliser par un client lorsquil effectue des recherches de requtes DNS pour des noms de domaine courts, non complets.

Ces tches sont dcrites en dtail dans chacune des sections suivantes.

Dfinition de noms dordinateurs


Lorsque vous dfinissez des noms dordinateurs pour DNS, considrez le nom comme la partie la plus gauche dun nom de domaine complet. Par exemple, dans wkstn1.widgets.tailspintoys.com., wkstn1 est le nom dordinateur. Vous pouvez configurer tous les clients DNS Windows avec un nom dordinateur bas sur nimporte lesquels des caractres standard pris en charge dfinis dans la RFC (Request for Comments) 1123 intitule Requirements for Internet Hosts Application and Support . Il sagit des caractres suivants :

Lettres majuscules de A Z Lettres minuscules de a z Chiffres de 0 9 Tirets (-)

Si vous prenez en charge la fois les espaces de noms DNS et NetBIOS sur votre rseau, vous pouvez utiliser un nom dordinateur diffrent dans chaque espace de noms. Il est toutefois recommand, dans la mesure du possible, dutiliser des noms dordinateurs de moins de 16 caractres et de respecter les impratifs dattribution de noms dfinis dans la RFC 1123. 20

Par dfaut, le libell le plus gauche dans le nom de domaine complet pour les clients correspond au nom dordinateur NetBIOS, moins que ce libell ne fasse 16 caractres ou plus, qui est le maximum autoris pour les noms NetBIOS. Lorsque le nom dordinateur dpasse la longueur maximale autorise pour NetBIOS, le nom dordinateur NetBIOS est tronqu en fonction du libell complet spcifi. Avant de configurer des ordinateurs avec diffrents noms DNS et NetBIOS, considrez les implications suivantes et les problmes associs pour votre dploiement :

Si la recherche WINS (Windows Internet Name Service) est active pour les zones hberges par vos serveurs DNS, utilisez le mme nom dordinateur pour NetBIOS et DNS. Autrement, les rsultats des requtes et des tentatives de rsolution des noms de ces ordinateurs effectues par les clients seront incohrents.

Si vous devez utiliser des noms NetBIOS pour prendre en charge une technologie de mise en rseau Microsoft hrite, nous vous recommandons de rviser les noms dordinateurs NetBIOS utiliss sur votre rseau afin de prparer la migration vers un environnement standard exclusivement DNS. Votre rseau sera alors mieux adapt la croissance long terme et linteroprabilit avec les futurs impratifs dattribution de noms. Par exemple, si vous utilisez le mme nom dordinateur pour la rsolution NetBIOS et DNS, envisagez de convertir tous les caractres spciaux tels que le trait de soulignement (_) dans vos noms NetBIOS actuels qui ne sont pas conformes aux normes dattribution de noms DNS. Bien que ces caractres soient autoriss dans les noms NetBIOS, ils sont plus souvent incompatibles avec les impratifs dattribution de noms dhtes DNS traditionnels et avec la plupart des logiciels clients de rsolution DNS.

Considrations supplmentaires

Bien que lutilisation du trait de soulignement (_) dans les noms dhtes DNS ou dans les enregistrements de ressources hte (A) soit traditionnellement interdit par les normes DNS, lutilisation des traits de soulignement dans les noms lis aux services (tels que les noms utiliss pour les enregistrements de ressources SRV) a t propose afin dviter les conflits dattribution de noms dans lespace de noms DNS Internet. Outre les conventions dattribution de noms DNS standard, DNS Windows Server 2008 prend en charge lutilisation des caractres ASCII et Unicode tendus. Cependant, la plupart des logiciels de rsolution crits pour dautres plateformes (telles quUNIX) tant bass sur les normes DNS Internet, cette prise en charge des caractres amliore peut tre utilise uniquement sur les rseaux privs avec des ordinateurs excutant DNS Windows 2000, Windows Server 2003 ou Windows Server 2008. La configuration initiale de DNS et du protocole TCP/IP affiche un avertissement suggrant un nom DNS standard si un nom DNS non-standard est entr. Par dfaut, les ordinateurs et serveurs utilisent DNS pour rsoudre les noms dont la longueur est suprieure 15 caractres. Si la longueur du nom est infrieure ou gale 15 caractres, la rsolution de noms NetBIOS et DNS peut tre tente et utilise pour rsoudre le nom.

21

Dfinition des noms de domaine


Le nom de domaine est utilis avec le nom dordinateur client pour former le nom de domaine complet. En gnral, le nom de domaine DNS est la partie restante du nom de domaine complet qui nest pas utilise comme nom dhte unique pour lordinateur. Par exemple, le nom de domaine DNS pour un ordinateur client peut tre le suivant : si le nom de domaine complet est wkstn1.widgets.tailspintoys.com, le nom de domaine est la partie widgets.tailspintoys.com de ce nom. Les noms de domaine DNS ont deux variantes : un nom DNS et un nom NetBIOS. Le nom de domaine complet est utilis durant les requtes et la recherche des ressources nommes sur votre rseau. Pour les clients de version antrieure, le nom NetBIOS est utilis pour rechercher diffrents types de services NetBIOS partags sur votre rseau. Le service Ouverture de session rseau constitue un exemple de composant ncessitant la fois des noms NetBIOS et DNS. Dans DNS Windows Server 2008, le service Ouverture de session rseau sur un contrleur de domaine inscrit ses enregistrements de ressources SRV sur un serveur DNS. Pour Windows NT Server 4.0 et versions antrieures, les contrleurs de domaine inscrivent une entre DomainName dans le service WINS afin deffectuer la mme inscription et dannoncer leur disponibilit pour fournir un service dauthentification sur le rseau. Lorsquun ordinateur client est dmarr sur le rseau, il utilise la rsolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configur. Cette requte est utilise pour trouver les contrleurs de domaine et fournir une authentification douverture de session pour laccs aux ressources rseau. Un client ou contrleur de domaine sur le rseau peut galement utiliser le service de rsolution NetBIOS pour interroger des serveurs WINS et tenter de localiser des entres DomainName [1C] afin dachever le processus douverture de session. Vos noms de domaine DNS doivent respecter les mmes normes et pratiques recommandes que celles applicables lattribution des noms dordinateurs DNS dcrites dans la section prcdente. En gnral, les conventions dattribution des noms acceptables pour les noms de domaine incluent lutilisation des lettres de A Z, des chiffres de 0 9 et du tiret (-). Un point (.) dans un nom de domaine est toujours utilis pour sparer les parties discrtes dun nom de domaine, qui sont couramment appeles libells ou simplement noms . Chaque libell correspond un niveau supplmentaire dfini dans larborescence despace de noms DNS. Pour la plupart des ordinateurs, le suffixe DNS principal configur pour lordinateur peut tre identique son nom de domaine des services de domaine Active Directory (AD DS), bien que les deux valeurs puissent aussi tre diffrentes. Important Par dfaut, la partie suffixe DNS principal du nom de domaine complet dun ordinateur doit tre identique au nom du domaine AD DS o se trouve lordinateur. Pour autoriser diffrents suffixes DNS principaux, un administrateur de domaine peut crer une liste restreinte de suffixes autoriss en crant lattribut msDS-AllowedDNSSuffixes dans le conteneur dobjet de domaine. Un administrateur de domaine cre et gre cet attribut laide des interfaces ADSI (Active Directory Service Interfaces) ou du protocole LDAP. 22

Configuration dune liste de serveurs DNS


Pour que les clients DNS oprent de manire efficace, une liste de serveurs de noms DNS classe par ordre de priorit doit tre configure et utilise par chaque ordinateur lorsquil traite les requtes et rsout les noms DNS. Dans la plupart des cas, lordinateur client contacte et utilise son serveur DNS prfr, qui est le premier serveur DNS sur sa liste configure localement. Les serveurs DNS secondaires rpertoris sont contacts et utiliss lorsque le serveur prfr est indisponible. Pour cette raison, il est important que le serveur DNS prfr soit adapt une utilisation continue par le client dans des conditions normales.

Considrations supplmentaires

Pour les ordinateurs excutant Microsoft Windows XP ou Windows Vista, la liste de serveurs DNS est utilise par les clients uniquement pour rsoudre les noms DNS. Lorsque les clients envoient des mises jour dynamiques, par exemple lorsquils modifient leur nom de domaine DNS ou une adresse IP configure, ils peuvent contacter ces serveurs ou dautres serveurs DNS selon les besoins afin de mettre jour leurs enregistrements de ressources DNS. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Par dfaut, le client DNS sur Windows XP ou Windows Vista ne tente pas deffectuer de mise jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramtres TCP/IP avancs de la connexion rseau en question ou modifier le Registre. Pour plus dinformations, voir les Informations de rfrence sur le Registre du Kit de ressources de Windows Server 2003 ladresse http://go.microsoft.com/fwlink/?LinkId=428 (ventuellement en anglais). Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Lorsque les clients DNS sont configurs de manire dynamique laide dun serveur DHCP (Dynamic Host Configuration Protocol), il est possible davoir une plus grande liste de serveurs DNS. Pour fournir une liste dadresses IP de serveurs DNS vos clients DHCP, activez le code doption 6 sur les types doptions configurs fournis par votre serveur DHCP. Pour les serveurs DHCP Windows Server 2003 et Windows Server 2008, vous pouvez configurer une liste comportant jusqu 25 serveurs DNS pour chaque client avec cette option. Pour partager de manire efficace la charge lorsque plusieurs serveurs DNS sont rpertoris dans une liste avec options DHCP spcifies, vous pouvez configurer une tendue DHCP distincte qui fait permuter lordre des serveurs DNS et WINS fournis aux clients.

Configuration dune liste de recherche de suffixe DNS


Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui tend ou rvise leurs capacits de recherche DNS. En ajoutant des suffixes 23

supplmentaires la liste, vous pouvez rechercher des noms dordinateurs plus courts (non complets) dans plusieurs domaines DNS spcifis. Ensuite, en cas dchec dune requte DNS, le service Client DNS peut utiliser cette liste pour ajouter dautres terminaisons de suffixe de nom votre nom dorigine et rpter les requtes DNS au serveur DNS pour ces autres noms de domaine complets. Pour les ordinateurs et les serveurs, le comportement de recherche DNS par dfaut suivant est prdtermin et utilis lors de la rsolution de noms courts non complets. Lorsque la liste de recherche de suffixe est vide ou non spcifie, le suffixe DNS principal de lordinateur est ajout aux noms courts non complets et une requte DNS est utilise pour rsoudre le nom de domaine complet rsultant. Si cette requte choue, lordinateur peut essayer deffectuer des requtes supplmentaires pour dautres noms de domaine complets en ajoutant tout suffixe DNS spcifique la connexion configur pour les connexions rseau. Si aucun suffixe spcifique la connexion nest configur ou si les requtes pour ces noms de domaine complets rsultants spcifiques la connexion chouent, le client peut alors commencer ressayer dexcuter les requtes sur la base dune rduction systmatique du suffixe principal (galement appel dvolution). Par exemple, si le suffixe principal est widgets.tailspintoys.com , le processus de dvolution est capable de rexcuter les requtes pour le nom court en le recherchant dans les domaines microsoft.com et com . Lorsque la liste de recherche de suffixe nest pas vide et comporte au moins un suffixe DNS, les tentatives de rsolution des noms DNS courts sont limites la recherche des noms de domaine complets rendue possible par la liste de suffixes spcifie. En cas dchec de rsolution de tous les noms de domaine complets forms suite lajout et la tentative de chaque suffixe dans la liste, le processus de requte choue, ce qui gnre un message Nom introuvable .

Considrations supplmentaires

Si la liste de suffixes de domaine est utilise, les clients continuent denvoyer des requtes secondaires supplmentaires bases sur diffrents noms de domaine DNS lorsquune requte ne reoit aucune rponse ou nest pas rsolue. Lorsquun nom est rsolu avec une entre dans la liste de suffixes, aucune tentative nest effectue avec les entres inutilises de la liste. Pour cette raison, il est prfrable de placer en haut de la liste les suffixes de domaine les plus utiliss. Les recherches de suffixe de nom de domaine sont utilises uniquement lorsquune entre de nom DNS nest pas complte. Pour obtenir un nom DNS complet, entrez un point (.) la fin du nom. Windows Server 2008 prend en charge une zone nomme spciale, appele GlobalNames, pour fournir la rsolution dun ensemble limit de noms en une seule partie globalement uniques sur un rseau dentreprise. Vous pouvez utiliser cette zone lorsque les impratifs du rseau rendent impossible lutilisation dune liste de recherche de suffixe cet effet. Pour plus dinformations, voir Dploiement dune zone GlobalNames.

24

Configuration de plusieurs noms


Les ordinateurs excutant Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 sont affects de noms DNS par dfaut. Chaque ordinateur peut avoir ses noms DNS configurs par le biais dune des deux mthodes suivantes :

Un nom de domaine DNS principal, qui sapplique en tant que nom DNS complet par dfaut pour lordinateur et toutes ses connexions rseau configures. Un nom de domaine DNS spcifique la connexion qui peut tre configur en tant que nom de domaine DNS secondaire qui sapplique uniquement pour une seule carte rseau installe et configure sur lordinateur.

Bien que la plupart des ordinateurs naient pas besoin de prendre en charge plus dun nom dans DNS, la prise en charge de la configuration de plusieurs noms DNS spcifiques aux connexions est parfois utile. Par exemple, lutilisation de plusieurs noms permet un utilisateur de spcifier la connexion rseau utiliser lors de la connexion un ordinateur multirsident.

Exemple : utilisation de noms spcifiques aux connexions


Comme lindique lillustration suivante, un ordinateur serveur multirsident nomm host-a peut tre nomm en fonction de ses noms de domaine DNS principal et spcifique la connexion.

Dans cet exemple, lordinateur serveur host-a est reli deux sous-rseaux distincts (Subnet 1 et Subnet 2) qui sont galement lis des points redondants laide de deux routeurs pour des chemins daccs supplmentaires entre chaque sous-rseau. tant donn cette configuration, host-a procure un accs comme suit par le biais de ses connexions de rseau local nommes sparment :

Le nom host-a.public.example.microsoft.com procure un accs par le biais de la connexion de rseau local 1 sur le sous-rseau Subnet 1, un rseau local Ethernet

25

faible vitesse (10 mgabits), pour laccs normal aux utilisateurs ayant des besoins de service de fichiers et dimpression ordinaires.

Le nom host-a.backup.example.microsoft.com procure un accs par le biais de la connexion de rseau local 2 sur le sous-rseau Subnet 2, un rseau local Ethernet vitesse leve (100 mgabits), pour laccs rserv par des applications de serveur et des administrateurs ayant des besoins spciaux, tels que le dpannage des problmes de mise en rseau de serveur, lexcution de sauvegardes rseau ou la rplication de donnes de zone entre des serveurs.

Outre les noms DNS spcifiques aux connexions, lordinateur peut galement tre accessible par le biais dune des deux connexions de rseau local en spcifiant son nom de domaine DNS principal, host-a.example.microsoft.com . Lorsquil est configur comme illustr, un ordinateur peut inscrire les enregistrements de ressources dans DNS sur la base de ses trois noms distincts et ensembles dadresses IP, comme indiqu dans le tableau suivant.

Nom DNS

Adresses IP

Description Nom DNS principal de lordinateur. Lordinateur inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour toutes les adresses IP configures sous ce nom dans la zone widgets.tailspinto ys.com.

hosta.example.microsoft.c 10.1.1.11, 10.2.2.22 om

hosta.public.example.micr 10.1.1.11 osoft.com

Nom DNS spcifique la connexion pour la connexion de rseau local 1, qui inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour ladresse IP 10.1.1.11 dans la zone public.widgets.tailspi ntoys.com.

26

Nom DNS spcifique la connexion pour la connexion de rseau local 2, qui inscrit les hostenregistrements de 10.2.2. a.backup.example.mic ressources hte (A) et 22 rosoft.com pointeur (PTR) pour ladresse IP 10.2.2.22 dans la zone backup.widgets.tailspi ntoys.com.

Considrations supplmentaires

Les noms DNS peuvent tre dfinis laide de services dadministration distance et autres services de configuration distance, tels que DHCP. Pour un serveur DNS excutant Windows Server 2008, le nom de domaine DNS principal peut tre dfini laide de ladministration distance ou de loption dinstallation sans assistance. Pour lattribut des noms spcifiques la connexion, vous pouvez utiliser des mthodes de configuration TCP/IP. Vous pouvez configurer manuellement le nom de domaine DNS pour chaque connexion qui figure dans le dossier Connexions rseau ou vous pouvez utiliser le type doption DHCP (code doption 15). Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

Configurer DNS pour des clients statiques


Pour configurer DNS (Domain Name System) pour des clients avec des adresses IP configures de manire statique, vous configurez en gnral les lments suivants :

Nom(s) dhte(s) DNS de lordinateur client. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS.

27

Remarques Pour plus dinformations sur la faon de configurer DNS pour les clients statiques, voir la documentation de client DNS ou TCP/IP applicable dlivre par le fournisseur.

Activer DNS pour les clients DHCP

Pour configurer DNS (Domain Name System) pour les clients avec des adresses IP configures de manire dynamique fournies par un serveur DHCP (Dynamic Host Configuration Protocol), on configure en gnral les lments suivants sur le serveur DHCP ou sur les clients applicables :
o

Nom(s) dhte(s) DNS de lordinateur client. Pour les clients DHCP, ce nom doit tre dfini sur lordinateur client ou affect durant linstallation sans assistance. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Pour les clients DHCP, ces serveurs peuvent tre dfinis sur le serveur DHCP en affectant loption de serveur DNS (option 6) et en fournissant une liste configure dadresses IP tries pour les serveurs DNS que le client est configur pour utiliser. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Pour les clients DHCP, cette liste peut tre dfinie sur le serveur DHCP en affectant loption de nom de domaine DNS (option 15) et en fournissant un seul suffixe DNS ajouter et utiliser dans les recherches. Pour configurer des suffixes DNS supplmentaires, configurez le protocole TCP/IP manuellement pour la configuration DNS. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS. Pour les clients DNS, par dfaut les connexions clientes inscrivent leurs adresses IP configures auprs dun serveur DNS. Pour modifier ce comportement sur le client, configurez le protocole TCP/IP manuellement sur le client pour la configuration DNS.

28

Pour plus dinformations sur la faon de configurer dautres serveurs DNS pour des clients DHCP, voir la documentation de client DNS ou TCP/IP applicable dlivre par le fournisseur. Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

Installer un serveur DNS


Linstallation dun serveur DNS (Domain Name System) ncessite lajout du rle de serveur DNS un serveur Windows Server 2008 existant. Vous pouvez galement installer le rle de serveur DNS lors de linstallation du rle de services de domaine Active Directory (AD DS). Il sagit de la mthode recommande pour linstallation du rle de serveur DNS si vous souhaitez intgrer votre espace de noms de domaine DNS lespace de noms de domaine AD DS. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour installer un serveur DNS 1. Ouvrez le Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur Dmarrer, puis sur Gestionnaire de serveur. 2. Dans le volet de rsultats, sous Rsum des rles, cliquez sur Ajouter des rles. 3. Dans lAssistant Ajout de rles, si la page Avant de commencer saffiche, cliquez sur Suivant. 4. Dans la liste Rles, cliquez sur Serveur DNS, puis sur Suivant. 5. Lisez les informations de la page Serveur DNS, puis cliquez sur Suivant. 6. Dans la page Confirmer les options dinstallation, vrifiez que le rle Serveur DNS sera install, puis cliquez sur Installer.

29

Considrations supplmentaires

Nous vous recommandons de configurer lordinateur de faon utiliser une adresse IP statique. Si le serveur DNS est configur de faon utiliser des adresses dynamiques affectes par le serveur DHCP, lorsque celui-ci affectera une nouvelle adresse IP au serveur DNS, les clients DNS configurs pour utiliser la prcdente adresse IP de ce serveur DNS seront dans lincapacit de rsoudre la prcdente adresse IP et de trouver le serveur DNS. Aprs avoir install un serveur DNS, vous pouvez dcider de la manire dadministrer le serveur et ses zones. Bien quil soit possible dutiliser un diteur de texte pour apporter des modifications aux fichiers de zone et damorage du serveur, cette mthode nest pas recommande. Le Gestionnaire DNS et loutil en ligne de commande DNS, dnscmd, simplifient la maintenance de ces fichiers et doivent tre utiliss dans la mesure du possible. Une fois que vous avez commenc utiliser le Gestionnaire DNS ou loutil en ligne de commande pour grer ces fichiers, leur modification manuelle nest pas recommande. Vous pouvez administrer des zones DNS intgres aux services de domaine Active Directory uniquement avec le Gestionnaire DNS ou loutil en ligne de commande dnscmd. Vous ne pouvez pas administrer ces zones avec un diteur de texte. Si vous dsinstallez un serveur DNS qui hberge des zones DNS intgres aux services de domaine Active Directory, ces zones sont enregistres ou supprimes en fonction de leur type de stockage. Pour tous les types de stockages, les donnes de zone sont stockes sur dautres contrleurs de domaine ou serveurs DNS. Les donnes de zone ne sont pas supprimes, moins que le serveur DNS que vous dsinstallez ne soit le dernier serveur DNS hbergeant cette zone. Si vous dsinstallez un serveur DNS qui hberge des zones DNS standard, les fichiers de zone demeurent dans le rpertoire %systemroot%\system32\Dns, mais elles ne sont pas recharges si le serveur DNS est rinstall. Si vous crez une nouvelle zone avec le mme nom que lancienne zone, lancien fichier de zone est remplac par le nouveau fichier de zone. Lorsquils crivent des donnes de zone et damorage de serveur DNS dans les fichiers texte, les serveurs DNS utilisent le format de fichier BIND (Berkeley Internet Name Domain) qui est reconnu par les serveurs BIND 4 hrits, et non le format BIND 8 plus rcent.

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory
Lorsque vous installez les services de domaine Active Directory (AD DS) avec lAssistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilit 30

dinstaller et de configurer automatiquement un serveur DNS. La zone DNS rsultante est intgre au domaine AD DS contrl par ce serveur AD DS. Pour installer les services de domaine Active Directory sur cet ordinateur, utilisez le Gestionnaire de serveur.

Cette mthode sapplique uniquement aux ordinateurs serveurs utiliss comme contrleurs de domaine. Si des serveurs membres (serveurs non utiliss comme contrleurs de domaine) sont utiliss en tant que serveurs DNS, ils ne sont pas intgrs aux services de domaine Active Directory. Si vous choisissez loption de lAssistant permettant dinstaller et de configurer automatiquement un serveur DNS local, le serveur DNS est install sur lordinateur sur lequel vous excutez lAssistant et le paramtre de serveur DNS prfr de lordinateur est configur de faon utiliser le nouveau serveur DNS local. Configurez tout autre ordinateur qui joindra ce domaine de faon utiliser ladresse IP de ce serveur DNS comme serveur DNS prfr.

Prsentation de la dlgation de zone


DNS (Domain Name System) offre la possibilit de diviser lespace de noms en une ou plusieurs zones, qui peuvent ensuite tre stockes, distribues et rpliques sur dautres serveurs DNS. Lorsque vous dcidez sil faut diviser votre espace de noms DNS afin de crer des zones supplmentaires, prenez en considration les raisons suivantes :

Vous souhaitez dlguer la gestion dune partie de votre espace de noms DNS un autre emplacement ou service de votre organisation. Vous souhaitez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic parmi plusieurs serveurs, damliorer les performances de rsolution de noms DNS ou de crer un environnement DNS plus tolrant envers les pannes. Vous souhaitez tendre lespace de noms en ajoutant de nombreux sous-domaines la fois, par exemple en cas douverture dune nouvelle succursale ou dun nouveau site.

Si, pour lune des ces raisons, vous pouvez tirer parti de la dlgation de zones, il peut tre judicieux de restructurer votre espace de noms en ajoutant des zones supplmentaires. Lorsque vous dcidez de la manire de structurer les zones, utilisez un plan qui reflte la structure de votre organisation. Lorsque vous dlguez des zones dans votre espace de noms, souvenez-vous que pour chaque nouvelle zone que vous crez, vous devrez avoir des enregistrements de dlgation dans dautres zones qui pointent vers les serveurs DNS de rfrence pour la nouvelle zone. Cela est ncessaire la fois pour transfrer lautorit et pour fournir une rfrence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de rfrence pour la nouvelle zone.

31

Lorsquune zone principale standard est initialement cre, toutes les informations sur les enregistrements de ressources sont stockes en tant que fichier texte sur un seul serveur DNS. Ce serveur joue le rle de matre principal pour la zone. Les informations de zone peuvent tre rpliques sur dautres serveurs DNS afin damliorer la tolrance de pannes et les performances des serveurs. Lorsque vous structurez vos zones, il existe plusieurs bonnes raisons dutiliser des serveurs DNS supplmentaires pour la rplication de zone :

Les serveurs DNS ajouts apportent une redondance de zone, ce qui permet de rsoudre les noms DNS de la zone pour les clients si un serveur principal pour la zone cesse de rpondre. Les serveurs DNS ajouts peuvent tre placs de faon rduire le trafic rseau DNS. Par exemple, lajout dun serveur DNS du ct oppos dune liaison de rseau tendu faible vitesse peut tre utile pour la gestion et la rduction du trafic rseau. Les serveurs secondaires supplmentaires peuvent contribuer la rduction des charges sur un serveur principal pour une zone.

Exemple : dlgation dun sous-domaine une nouvelle zone


Comme lindique lillustration suivante, lorsquune nouvelle zone pour un sous-domaine (example.microsoft.com) est cre, la dlgation depuis la zone parente (microsoft.com) est ncessaire.

Dans cet exemple, un ordinateur serveur DNS de rfrence pour le sous-domaine example.microsoft.com nouvellement dlgu est nomm sur la base dun sous-domaine driv inclus dans la nouvelle zone (ns1.na.example.microsoft.com). Pour faire en sorte que

32

ce serveur soit connu des autres serveurs en dehors de la nouvelle zone dlgue, deux enregistrements de ressources sont ncessaires dans la zone microsoft.com afin dachever le processus de dlgation vers la nouvelle zone. Il sagit des enregistrements de ressources suivants :

Un enregistrement de serveur de noms (NS) pour rendre la dlgation effective. Cet enregistrement de ressource annonce que le serveur nomm ns1.na.example.microsoft.com est un serveur de rfrence pour le sous-domaine dlgu. Un enregistrement de ressource hte (A ou AAAA) (galement appel enregistrement de type glue) est ncessaire afin de rsoudre le nom du serveur spcifi dans lenregistrement de ressource de serveur de noms par son adresse IP. Le processus consistant rsoudre le nom de lhte dans cet enregistrement de ressource par le serveur DNS dlgu dans lenregistrement de serveur de noms est parfois appel recherche denregistrements de type glue .

Crer une dlgation de zone


Ce Vous pouvez diviser votre espace de noms de domaine DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez dlguer la gestion dune partie de votre espace de noms un autre emplacement ou service de votre organisation en dlguant la gestion de la zone correspondante. Pour plus dinformations, voir Prsentation de la dlgation de zone. Lorsque vous dlguez une zone, souvenez-vous que pour chaque zone que vous crez, vous devrez avoir des enregistrements de dlgation dans dautres zones qui pointent vers les serveurs DNS de rfrence pour la nouvelle zone. Cela est ncessaire la fois pour transfrer lautorit et pour fournir une rfrence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de rfrence pour la nouvelle zone. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Cration dune dlgation de zone


laide de linterface Windows laide dune ligne de commande

Pour crer une dlgation de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 33

2. Dans larborescence de la console, cliquez avec le bouton droit sur le sous-domaine applicable, puis cliquez sur Nouvelle dlgation. 3. Suivez les instructions de lAssistant Nouvelle dlgation pour terminer la cration du nouveau domaine dlgu.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Tous les domaines (et sous-domaines) qui apparaissent comme faisant partie de la dlgation de zone applicable doivent tre crs dans la zone actuelle avant que la dlgation dcrite ici ne soit effectue. Le cas chant, utilisez le Gestionnaire DNS pour ajouter dabord les domaines la zone, avant deffectuer cette procdure.

Pour crer une dlgation de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<FQDN>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Spcifie la commande permettant dajouter un enregistrement de ressource. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS pour lequel

<NomServeur>

/RecordAdd

<NomZone> <NomNud>

34

lenregistrement de source de noms (SOA) est ajout. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone. Si cette commande est utilise, cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si elle nest pas utilise, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. (La dure de vie par dfaut est dfinie dans lenregistrement de source de noms (SOA)). Obligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) la zone spcifie dans NomZone. Obligatoire. Spcifie le nom dhte ou nom de domaine complet du nouveau serveur de rfrence.

/Aging

/OpenAcl

<Ttl>

NS

<NomHte>|<NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Liste de vrification : stocker des donnes dans une partition dapplication AD DS


Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une

35

partition de lannuaire dapplications est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Lorsque vous stockez une zone DNS dans une partition de lannuaire dapplications, vous pouvez contrler ltendue de la rplication de zone en contrlant ltendue de rplication de la partition de lannuaire dapplications. Pour quune zone soit stocke dans la partition de lannuaire dapplications spcifie, le serveur DNS hbergeant la zone doit tre inscrit dans la partition de lannuaire dapplications spcifie. Par dfaut, chaque serveur DNS intgr aux services de domaine Active Directory maintient des inscriptions pour lui-mme dans les partitions de lannuaire dapplications DomainDnsZones et ForestDnsZones appropries.

Tche

Rfrence

Lire les informations relatives lintgration aux Prsentation de lintgration aux services de services de domaine Active Directory. domaine Active Directory Prsentation de la rplication de zone DNS Lire les informations relatives la rplication de dans les services de domaine Active zone. Directory Crer une partition dannuaire dapplications. Inscrire des contrleurs de domaine supplmentaires dans la partition de lannuaire dapplications. Configurer ltendue de rplication des zones ltendue de la partition de lannuaire dapplications. Crer une partition dannuaire dapplications DNS Enrler un serveur DNS dans une partition de lannuaire dapplications DNS

Modifier ltendue de rplication de zone

Liste de vrification : stocker des donnes dans une partition dapplication AD DS


Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une partition de lannuaire dapplications est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Lorsque vous stockez une zone DNS dans une partition de lannuaire dapplications, vous pouvez contrler ltendue de la rplication de zone en contrlant ltendue de rplication de la partition de lannuaire dapplications. Pour quune zone soit stocke dans la partition de lannuaire dapplications spcifie, le serveur DNS hbergeant la zone doit tre inscrit dans la partition de lannuaire dapplications spcifie. Par dfaut, chaque serveur DNS intgr aux services de domaine Active Directory maintient des inscriptions pour lui-mme dans les partitions de lannuaire dapplications DomainDnsZones et ForestDnsZones appropries.

36

Tche

Rfrence

Lire les informations relatives lintgration aux Prsentation de lintgration aux services de services de domaine Active Directory. domaine Active Directory Prsentation de la rplication de zone DNS Lire les informations relatives la rplication de dans les services de domaine Active zone. Directory Crer une partition dannuaire dapplications. Inscrire des contrleurs de domaine supplmentaires dans la partition de lannuaire dapplications. Configurer ltendue de rplication des zones ltendue de la partition de lannuaire dapplications. Crer une partition dannuaire dapplications DNS Enrler un serveur DNS dans une partition de lannuaire dapplications DNS

Modifier ltendue de rplication de zone

Prsentation de lintgration aux services de domaine Active Directory


Le service Serveur DNS est intgr la conception et limplmentation des services de domaine Active Directory (AD DS). Les services de domaine Active Directory procurent un outil de niveau entreprise pour lorganisation, la gestion et la localisation des ressources sur un rseau. Lorsque vous dployez des serveurs DNS (Domain Name System) avec les services de domaine Active Directory, considrez les points suivants : 37

DNS est obligatoire pour la localisation des contrleurs de domaine. Le service Ouverture de session rseau utilise la prise en charge des serveurs DNS pour assurer linscription des contrleurs de domaine dans votre espace de noms de domaine DNS.

Les serveurs DNS excutant Windows Server 2003 ou Windows Server 2008 peuvent utiliser les services de domaine Active Directory pour le stockage et la rplication de vos zones. En intgrant vos zones aux services de domaine Active Directory, vous pouvez tirer parti des fonctionnalits DNS telles que la rplication AD DS, les mises jour dynamiques scurises et les fonctionnalits dantriorit et de nettoyage denregistrements.

Intgration de DNS aux services de domaine Active Directory


Lorsque vous installez les services de domaine Active Directory sur un serveur, vous le promulguez au rle de contrleur de domaine pour un domaine spcifique. Dans le cadre de ce processus, vous tes invit spcifier un nom de domaine DNS pour le domaine AD DS que vous joignez et pour lequel vous promulguez le serveur, et vous avez la possibilit dinstaller le rle de Serveur DNS. Cette option est fournie car un serveur DNS est requis pour localiser ce serveur ou dautres contrleurs de domaine pour les membres dun domaine AD DS.

Avantages offerts par lintgration aux services de domaine Active Directory


Pour les rseaux qui dploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommand dutiliser des zones principales intgres lannuaire. Ces zones prsentent les avantages suivants :

DNS propose une rplication des donnes multimatre et une scurit amliore bases sur les capacits des services de domaine Active Directory. Dans un modle de stockage de zone standard, les mises jour DNS sont effectues sur la base dun modle de mise jour matre unique. Dans ce modle, un seul serveur DNS de rfrence pour une zone est dsign comme source principale pour la zone. Ce serveur conserve la copie matre de la zone dans un fichier local. Avec ce modle, le serveur principal pour la zone reprsente un point de dfaillance unique fixe. Si ce serveur nest pas disponible, les demandes de mise jour mises par les clients DNS ne sont pas traites pour la zone. Avec le stockage intgr lannuaire, les mises jour dynamiques de DNS sont envoyes tout serveur DNS intgr aux services de domaine Active Directory et sont rpliques tous les autres serveurs DNS intgrs aux services de domaine Active Directory par le biais de la rplication AD DS. Dans ce modle, tout serveur DNS intgr aux services de domaine Active Directory peut accepter des mises jour dynamiques pour la zone. La copie matre de la zone tant conserve dans la base de donnes AD DS, qui est entirement rplique vers tous les contrleurs de domaine, la 38

zone peut tre mise jour par les serveurs DNS oprant sur tout contrleur de domaine pour le domaine. Avec le modle de mise jour multimatre des services de domaine Active Directory, nimporte lequel des serveurs DNS principaux pour la zone intgre lannuaire peut traiter les demandes de mise jour de la zone mises par les clients DNS, tant quun contrleur de domaine est disponible et accessible sur le rseau. De plus, lorsque vous utilisez des zones intgres lannuaire, vous pouvez utiliser la modification des listes de contrle daccs pour scuriser un conteneur dobjet dnsZone dans larborescence de rpertoires. Cette fonctionnalit procure un accs dtaill la zone ou un enregistrement de ressource spcifi dans la zone. Par exemple, une liste de contrle daccs pour un enregistrement de ressource de zone peut tre limite de telle sorte que les mises jour dynamiques soient autorises uniquement pour un ordinateur client ou un groupe scuris (par exemple un groupe dadministrateurs de domaine) spcifique. Cette fonctionnalit de scurit nest pas disponible avec les zones principales standard.

Les zones sont rpliques et synchronises automatiquement sur les nouveaux contrleurs de domaine chaque fois que vous en ajoutez un un domaine AD DS. Bien que le service Serveur DNS puisse tre supprim dun contrleur de domaine de manire slective, les zones intgres lannuaire sont dj stockes sur chaque contrleur de domaine. Par consquent, le stockage et la gestion des zones ne constituent pas une ressource supplmentaire. En outre, les mthodes utilises pour synchroniser les informations stockes dans lannuaire offrent des amliorations de performances par rapport aux mthodes de mise jour de zone standard, qui peuvent ventuellement ncessiter le transfert dune zone entire. En intgrant le stockage de vos bases de donnes de zones DNS dans les services de domaine Active Directory, vous pouvez optimiser la planification de rplication de base de donnes pour votre rseau. Lorsque votre espace de noms DNS et vos domaines AD DS sont stocks et rpliqus sparment, vous devez planifier et ventuellement administrer chacun de ces lments sparment. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez concevoir, implmenter, tester et maintenir deux topologies de rplication de base de donnes diffrentes. Par exemple, une topologie de rplication est ncessaire pour la rplication des donnes dannuaire entre les contrleurs de domaine et une autre topologie est ncessaire pour la rplication des bases de donnes de zones entre les serveurs DNS. Cela peut engendrer une complexit supplmentaire dans la planification et la conception de votre rseau, et constituer un obstacle sa croissance ultrieure. En intgrant le stockage DNS, vous unifiez les aspects lis la rplication et la gestion du stockage pour DNS et les services de domaine Active Directory en les fusionnant et en les affichant en tant quentit administrative unique. La rplication intgre lannuaire est plus rapide et plus efficace que la rplication DNS standard. Le traitement de la rplication AD DS tant effectu sur la base de chaque proprit,

39

seules les modifications pertinentes sont propages. Une quantit infrieure de donnes est utilise et soumise dans les mises jour pour les zones intgres lannuaire. Seules les zones principales peuvent tre stockes dans lannuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans lannuaire. Il doit les stocker dans des fichiers texte standard. Le modle de rplication multimatre des services de domaine Active Directory limine la ncessit davoir des zones secondaires lorsque toutes les zones sont stockes dans les services de domaine Active Directory.

Prsentation de la rplication de zone DNS dans les services de domaine Active Directory
Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Pour plus dinformations, voir Prsentation de lintgration aux services de domaine Active Directory. Le tableau suivant dcrit les tendues de rplication de zone disponibles pour les donnes de zones DNS intgres aux services de domaine Active Directory.

tendue de rplication de

Description 40

zone Tous les serveurs DNS de la fort qui sont des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008 Tous les serveurs DNS du domaine qui sont des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008 Rplique les donnes de zone sur tous les contrleurs de domaine Windows Server 2003 et Windows Server 2008 excutant le service Serveur DNS dans la fort AD DS. Cette option rplique les donnes de zone dans la partition ForestDNSZones. Elle procure par consquent ltendue de rplication la plus large. Rplique les donnes de zone sur tous les contrleurs de domaine Windows Server 2003 et Windows Server 2008 excutant le service Serveur DNS dans le domaine Active Directory. Cette option rplique les donnes de zone dans la partition DomainDNSZone. Il sagit du paramtre par dfaut pour la rplication de zone DNS dans Windows Server 2003 et Windows Server 2008. Rplique les donnes de zone sur tous les contrleurs de domaine dans le domaine Active Directory. Si vous souhaitez que des serveurs DNS Windows 2000 chargent une zone intgre Active Directory, vous devez spcifier cette tendue pour cette zone. Rplique les donnes de zone en fonction de ltendue de rplication de la partition dannuaire dapplications spcifie. Pour quune zone soit stocke dans la partition de lannuaire dapplications spcifie, le serveur DNS hbergeant la zone doit tre inscrit dans la partition de lannuaire dapplications spcifie. Utilisez cette tendue uniquement lorsque vous souhaitez que les donnes de zone soient rpliques sur les contrleurs de domaine dans plusieurs domaines mais pas dans toute la fort. Pour plus dinformations, voir Crer une partition dannuaire dapplications DNS et Enrler un serveur DNS dans une partition de lannuaire dapplications DNS.

Tous les contrleurs de domaine dans le domaine Active Directory

Tous les contrleurs de domaine dans une partition dannuaire dapplications spcifie

Lorsque vous dcidez de ltendue de rplication utiliser, sachez que plus ltendue de rplication sera large, plus le trafic rseau engendr par la rplication sera lev. Par exemple, si vous dcidez de rpliquer des donnes de zones DNS intgres aux services de domaine Active Directory sur tous les serveurs DNS de la fort, le trafic rseau sera plus important que si vous rpliquez les donnes de zones sur tous les serveurs DNS dun domaine AD DS unique dans cette fort. Les donnes de zones DNS intgres aux services de domaine Active Directory qui sont stockes dans une partition dannuaire dapplications ne sont pas rpliques dans le catalogue global de la fort. Le contrleur de domaine qui contient le catalogue global peut galement hberger des partitions dannuaire dapplications, mais il ne rpliquera pas ces donnes dans son catalogue global. Des donnes de zones DNS intgres aux services de domaine Active Directory qui sont stockes dans une partition de domaine sont rpliques sur tous les contrleurs de domaine de 41

leur domaine AD DS et une partie de ces donnes sont stockes dans le catalogue global. Ce paramtre est destin la prise en charge de Windows 2000. Si ltendue de rplication dune partition dannuaire dapplications couvre plusieurs sites AD DS, la rplication aura lieu avec la mme planification de rplication intersite que celle utilise pour les donnes de partition de domaine. Par dfaut, le service Ouverture de session rseau inscrit les enregistrements de ressources DNS du localisateur de contrleurs de domaine pour les partitions dannuaire dapplications qui sont hberges sur un contrleur de domaine de la mme manire quil inscrit ceux de la partition de domaine hberge sur un contrleur de domaine.

Crer une partition dannuaire dapplications DNS


Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Lorsque vous crez une partition dannuaire dapplications pour DNS, vous pouvez contrler ltendue de la rplication pour la zone stocke dans cette partition. Pour plus dinformations, voir Prsentation de lintgration aux services de domaine Active Directory.

42

Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs de lentreprise. Pour crer une partition dannuaire dapplications DNS 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /CreateDirectoryPartition <FQDN>

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.).

<NomServeur>

/CreateDirectoryPartition Obligatoire. Cre une partition dannuaire dapplications DNS. Obligatoire. Spcifie le nom de la nouvelle partition dannuaire <NomDomaineComplet> dapplications DNS. Vous devez utiliser un nom de domaine complet DNS. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /CreateDirectoryPartition /?

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Enrler un serveur DNS dans une partition de lannuaire dapplications DNS


Aprs avoir cr une partition de lannuaire dapplications DNS (Domain Name System) pour stocker une zone, vous devez enrler le serveur DNS qui hberge la zone dans la partition de lannuaire dapplications. Pour plus dinformations, voir Prsentation de la rplication de zone DNS dans les services de domaine Active Directory.

43

Pour effectuer cette procdure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine, ou un compte quivalent. Pour enrler un serveur DNS dans une partition de lannuaire dapplications DNS 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /EnlistDirectoryPartition <FQDN>

Valeur dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Enrle un serveur DNS dans une partition de lannuaire dapplications DNS. Obligatoire. Spcifie le nom de domaine complet de la partition de lannuaire dapplications DNS.

<NomServeur>

/EnlistDirectoryPartition <NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /EnlistDirectoryPartition /?

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Modifier ltendue de rplication de zone

44

Vous pouvez appliquer la procdure suivante pour modifier ltendue de rplication dune zone. Il est possible de modifier ltendue de rplication uniquement pour les zones de recherche avance de stub et principales intgres aux services de domaine Active Directory (AD DS). Vous ne pouvez pas modifier ltendue de rplication des zones de recherche avance secondaires. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Modification de ltendue de rplication de zone

laide de linterface Windows laide dune ligne de commande

Pour modifier ltendue de rplication laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, notez le type de rplication de zone actuel, puis cliquez sur Modifier. 4. Slectionnez une tendue de rplication pour la zone.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour modifier ltendue de rplication laide de la ligne de commande

linvite de commandes, tapez la commande suivante, puis appuyez sur Entre :


dnscmd <ServerName> /ZoneChangeDirectoryPartition <ZoneName> <NewPartitionName>

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS (Domain Name System) du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). 45

<NomServeur>

/ZoneChangeDirectoryPartition

Obligatoire. Modifie ltendue de rplication dune zone. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Nom de domaine complet de la partition dannuaire dapplications o la zone sera stocke.

<NomZone>

<NomNouvellePartition>

46

Liste de vrification : utiliser des redirecteurs


Lutilisation dun redirecteur vous permet de grer la rsolution de noms pour les noms qui se trouvent en dehors de votre rseau, tels que les noms Internet ou les noms dans dautres forts ou domaines.

Tche En savoir plus sur les redirecteurs. Planifier la faon dont vous dploierez les redirecteurs dans votre rseau. Configurer le pare-feu utilis par votre rseau de faon autoriser un seul serveur DNS (Domain Name System) communiquer avec Internet.

Rfrence Prsentation des redirecteurs Utilisation de redirecteurs

Configurer dautres serveurs de sorte quils utilisent ce serveur Configurer un serveur DNS de DNS comme redirecteur. faon utiliser des redirecteurs

Prsentation des redirecteurs


Un redirecteur est un serveur DNS (Domain Name System) sur un rseau qui transfre des requtes DNS pour des noms DNS externes vers des serveurs DNS situs lextrieur de ce rseau. Vous pouvez galement transfrer les requtes sur la base de noms de domaine spcifiques au moyen de redirecteurs conditionnels. Vous dsignez un serveur DNS sur un rseau comme redirecteur en configurant les autres serveurs DNS du rseau de sorte quils transfrent ce serveur DNS les requtes quils ne peuvent pas rsoudre localement. Lutilisation dun redirecteur vous permet de grer la rsolution des noms externes votre rseau, tels que les noms Internet, et damliorer lefficacit de la rsolution de noms pour les ordinateurs de votre rseau. Pour plus dinformations sur les redirecteurs et les redirecteurs conditionnels, voir Utilisation de redirecteurs. La figure suivante illustre la faon dont les requtes de noms externes sont diriges avec des redirecteurs.

47

Lorsque vous dsignez un serveur DNS comme redirecteur, vous le rendez responsable de la gestion du trafic externe, ce qui limite lexposition du serveur DNS Internet. Un redirecteur entrane lexistence dun grand cache dinformations DNS externes car toutes les requtes DNS externes sur le rseau sont rsolues par son intermdiaire. En peu de temps, un redirecteur rsout un grand nombre de requtes DNS externes laide de ces donnes mises en cache. Cela rduit le trafic Internet sur le rseau et le temps de rponse pour les clients DNS. Un serveur DNS configur pour utiliser un redirecteur se comporte diffremment dun serveur DNS non configur pour utiliser un redirecteur. Le comportement dun serveur DNS configur pour utiliser un redirecteur est le suivant : 1. Lorsque le serveur DNS reoit une requte, il tente de la rsoudre au moyen des zones quil hberge et laide de son cache. 2. Si la requte ne peut pas tre rsolue laide des donnes locales, le serveur DNS la transfre au serveur DNS dsign comme redirecteur. 3. Si aucun redirecteur nest disponible, le serveur DNS tente dutiliser ses indications de racine pour rsoudre la requte. Lorsquun serveur DNS transfre une requte un redirecteur, il envoie une requte rcursive au redirecteur. Celle-ci diffre de la requte itrative envoye par un serveur DNS un autre serveur DNS durant une rsolution de noms standard (qui nimplique pas de redirecteur).

Redirecteurs conditionnels
Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction du nom de domaine DNS mentionn dans la requte. Par exemple, vous pouvez configurer un serveur DNS de faon transfrer toutes les requtes quil reoit pour des noms se terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS.

48

Rsolution de noms Internet


Les serveurs DNS peuvent utiliser des redirecteurs conditionnels pour rsoudre des requtes entre les noms de domaine DNS de socits qui partagent des informations. Par exemple, deux socits, Wingtip Toys et Tailspin Toys, souhaitent amliorer la manire dont les clients DNS de Wingtip Toys rsolvent les noms des clients DNS de Tailspin Toys. Les administrateurs de Tailspin Toys informent les administrateurs de Wingtip Toys propos de lensemble de serveurs DNS sur le rseau Tailspin Toys o Wingtip Toys peut envoyer les requtes pour le domaine dolls.tailspintoys.com. Les serveurs DNS du rseau Wingtip Toys sont configurs pour transfrer toutes les requtes pour les noms se terminant par dolls.tailspintoys.com aux serveurs DNS dsigns dans le rseau Tailspin Toys. En consquence, les serveurs DNS du rseau Wingtip Toys ne sont pas contraints dinterroger leurs serveurs racines internes (ni les serveurs racines Internet) pour rsoudre les requtes de noms se terminant par dolls.tailspintoys.com.

Utilisation de redirecteurs
Pour utiliser des redirecteurs afin de grer le trafic DNS (Domain Name System) entre votre rseau et Internet, vous devez configurer le pare-feu de votre rseau de faon autoriser un seul serveur DNS communiquer avec Internet. Lorsque vous configurez les autres serveurs DNS de votre rseau pour transfrer vers ce serveur les requtes quils ne peuvent rsoudre localement, ce serveur assume le rle de redirecteur. Pour plus dinformations sur les redirecteurs, voir Prsentation des redirecteurs.

Squence de transfert
Lordre des adresses IP rpertories comme redirecteurs sur un serveur DNS dtermine la squence selon laquelle les adresses IP sont utilises. Une fois que le serveur DNS a transfr la requte au redirecteur avec la premire adresse IP, il attend pendant quelques instants de recevoir une rponse de ce redirecteur (en respectant le dlai dexpiration de transfert de ce serveur DNS) avant de reprendre lopration de transfert avec ladresse IP suivante. Il continue ce processus jusqu recevoir une rponse affirmative de la part dun redirecteur. Part exemple, dans lillustration suivante, les serveurs DNS avec les premire et deuxime adresses IP de redirecteurs ne rpondent pas au serveur DNS. Le serveur DNS avec la troisime adresse IP de redirecteur rpond et la requte est transfre ce serveur DNS.

49

Contrairement la rsolution conventionnelle, dans laquelle un dlai daller-retour est associ chaque serveur, les adresses IP mentionnes dans la liste de redirecteurs ne sont pas classes selon le dlai daller-retour. Vous devez les reclasser manuellement afin de modifier la prfrence.

Redirecteurs conditionnels
Les redirecteurs conditionnels sont des serveurs DNS qui transfrent des requtes en fonction des noms de domaine. Plutt que davoir un serveur DNS qui transfre un redirecteur toutes les requtes quil ne peut rsoudre localement, vous pouvez configurer les serveurs DNS de faon transfrer les requtes vers diffrents redirecteurs en fonction des noms de domaine spcifiques contenus dans les requtes. Le transfert sur la base des noms de domaine amliore le transfert conventionnel en ajoutant une condition base sur le nom au processus de transfert. Le paramtre de redirecteur conditionnel pour un serveur DNS se compose des lments suivants :

le nom de domaine pour lequel le serveur DNS transfrera les requtes ; une ou plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spcifi.

Lorsquun client ou serveur DNS effectue une opration de requte sur un serveur DNS, celui-ci vrifie si la requte peut tre rsolue avec ses propres donnes de zone ou avec les donnes stockes dans son cache. Si le serveur DNS est configur pour effectuer un transfert pour le nom de domaine dsign dans la requte, celle-ci est transfre ladresse IP dun redirecteur associ ce nom de domaine. Par exemple, dans lillustration suivante, chacune des requtes pour les noms de domaine est transfre un serveur DNS associ au nom de domaine.

50

Si aucun redirecteur nest rpertori pour le nom dsign dans la requte, le serveur DNS tente de la rsoudre par le biais de la rcursivit standard. Pour plus dinformations, voir Configurer un serveur DNS de faon utiliser des redirecteurs. Vous pouvez utiliser des redirecteurs conditionnels pour amliorer la rsolution de noms entre les espaces de noms DNS internes (privs) qui ne font pas partie de lespace de noms DNS dInternet. Ces types despaces de noms DNS peuvent apparatre suite une fusion de socits. Lorsque vous configurez les serveurs DNS dun espace de noms interne de faon transfrer toutes les requtes vers les serveurs DNS de rfrence dans un second espace de noms interne, les redirecteurs conditionnels autorisent la rsolution des noms entre les deux espaces de noms sans effectuer de rcursivit sur lespace de noms DNS dInternet. Cette amlioration de la rsolution de noms vite galement vos serveurs DNS de faire appel la rcursivit vers votre racine interne pour diffrents espaces de noms au sein de votre rseau. Important Un serveur DNS ne peut pas transfrer de requtes pour les noms de domaine compris dans les zones quil hberge. Par exemple, le serveur DNS de rfrence pour la zone widgets.tailspintoys.com ne peut pas transfrer de requtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de rfrence pour widgets.tailspintoys.com peut transfrer des requtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est dlgu un autre serveur DNS.

Longueur de nom de domaine de redirecteur conditionnel


Lorsquun serveur DNS configur avec un redirecteur conditionnel reoit une requte pour un nom de domaine, il compare ce nom de domaine sa liste de conditions de noms de domaine et utilise la condition de nom de domaine la plus longue correspondant au nom de domaine dans la requte. Par exemple, dans lillustration suivante, le serveur DNS respecte la logique de transfert conditionnel suivante afin de dterminer comment transfrer une requte pour un nom de domaine : 1. Le serveur DNS reoit une requte pour toys.widgets.tailspintoys.com. 2. Il compare ce nom de domaine tailspintoys.com et widgets.tailspintoys.com. 3. Le serveur DNS dtermine que widgets.tailspintoys.com est le nom de domaine qui prsente la correspondance la plus troite avec la requte de nom de domaine.

51

4. Le serveur DNS transfre la requte au serveur DNS avec ladresse IP 172.31.255.255, qui est associ widgets.tailspintoys.com.

52

Configurer un serveur DNS de faon utiliser des redirecteurs


Un redirecteur est un serveur DNS (Domain Name System) sur un rseau utilis pour transfrer des requtes DNS pour des noms DNS externes vers des serveurs DNS situs lextrieur de ce rseau. Vous pouvez galement configurer votre serveur de faon transfrer les requtes sur la base de noms de domaine spcifiques au moyen de redirecteurs conditionnels. Un serveur DNS sur un rseau est dsign comme redirecteur lorsque les autres serveurs DNS du rseau sont configurs de sorte quils transfrent ce serveur DNS les requtes quils ne peuvent pas rsoudre localement. Lutilisation dun redirecteur vous permet de grer la rsolution des noms externes votre rseau, tels que les noms Internet, ce qui peut amliorer lefficacit de la rsolution de noms pour les ordinateurs de votre rseau. Pour plus dinformations sur les redirecteurs et les redirecteurs conditionnels, voir Prsentation des redirecteurs. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Configuration dun serveur DNS de faon utiliser des redirecteurs


laide de linterface Windows laide dune ligne de commande

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Redirecteurs, sous Domaine DNS, cliquez sur un nom de domaine. 5. Sous Liste dadresses IP du redirecteur du domaine slectionn, tapez ladresse IP dun redirecteur, puis cliquez sur Ajouter.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

53

Pour crer un nom de domaine, cliquez sur Nouveau puis, sous Domaine DNS, tapez le nom de domaine. Lorsque vous spcifiez un redirecteur conditionnel, slectionnez un nom de domaine DNS avant dentrer une adresse IP. Par dfaut, le serveur DNS attend une rponse dune adresse IP de redirecteur pendant cinq secondes avant dessayer une autre adresse IP de redirecteur. Dans Dlai dexpiration des requtes de redirection (en secondes), vous pouvez modifier la dure dattente du serveur DNS. Lorsque le serveur a puis tous les redirecteurs, il tente deffectuer une opration de rcursivit standard. Si vous souhaitez que le serveur DNS utilise uniquement des redirecteurs et ne tente pas de rcursivit supplmentaire si les redirecteurs chouent, activez la case cocher Ne pas utiliser la rcursivit pour ce domaine. Vous pouvez dsactiver la rcursivit pour le serveur DNS de sorte quil neffectue dopration de rcursivit sur aucune requte. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur. Nentrez pas une adresse IP de redirecteur plus dune fois dans la liste de redirecteurs dun serveur DNS pour la simple raison quelle concerne un serveur plus fiable ou plus proche gographiquement. Si vous prfrez lun des redirecteurs, placez-le en premier dans la srie dadresses IP de redirecteurs. Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait rfrence pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com. Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ResetForwarders <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure un redirecteur. 54

<NomServeur>

/ResetForwarders

Obligatoire. Spcifie une liste ( sparation par des virgules) dune ou plusieurs adresses IP de serveurs DNS vers lesquels les requtes sont <AdresseIPMatre...> transfres. Vous pouvez spcifier une liste dadresses IP spares par des espaces. Spcifie le paramtre de dlai dattente. Ce paramtre correspond au nombre de secondes qui scoulent avant expiration des requtes dont le transfert a chou. Spcifie la valeur du paramtre /TimeOut. La valeur est spcifie en secondes. Le dlai dattente par dfaut est de cinq secondes. Dtermine si le serveur DNS utilise la rcursivit lorsquil interroge le nom de domaine spcifi par NomZone.

/TimeOut

<Dure>

/Slave

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ResetForwarders /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Pour dfinir le redirecteur conditionnel pour une zone, utilisez la commande suivante :
dnscmd <ServerName> /ZoneAdd <ZoneName> /Forwarder <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

La commande /ZoneAdd ajoute la zone spcifie par le paramtre NomZone. Le paramtre AdresseIP est ladresse IP laquelle le serveur DNS transfrera les requtes DNS non solubles. Le paramtre /Slave dfinit le serveur DNS comme serveur subordonn. Le paramtre /NoSlave (valeur par dfaut) dfinit le serveur DNS comme serveur non subordonn, ce qui signifie quil effectuera la rcursivit. Les paramtres /Timeout et Dure sont dcrits dans le tableau prcdent.

Pour afficher une zone ajoute uniquement en tant que redirecteur conditionnel, utilisez la commande suivante :
dnscmd <ServerName> /ZoneInfo <ZoneName>

Pour rinitialiser les adresses IP de redirecteurs pour un nom de domaine de redirecteur conditionnel, utilisez la commande suivante :

55

dnscmd <ServerName> /ZoneResetMasters <ZoneName> [/Local] [<ServerIPs>]

Le paramtre /Local dfinit la liste de serveurs matres locale pour les redirecteurs intgrs Active Directory. Le paramtre IPServeur correspond la liste dune ou plusieurs adresses IP de serveurs matres pour la zone. Les serveurs matres peuvent inclure des serveurs DNS qui hbergent des copies principales ou secondaires de la zone, mais ils ne doivent pas inclure dadresses IP de serveurs DNS de telle manire que deux serveurs DNS hbergeant des copies dune zone sutilisent lun lautre comme serveurs matres. Une telle configuration rend cyclique le chemin de transfert.

Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait autorit pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com. Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

Liste de vrification : supprimer automatiquement les enregistrements de ressources obsoltes


56

Les fonctionnalits dantriorit et de nettoyage procurent un mcanisme de suppression des enregistrements de ressources obsoltes. Ces enregistrements de ressources peuvent saccumuler dans les donnes de zone DNS (Domain Name System) au fil du temps lorsque des ordinateurs quittent le rseau de manire dfinitive. Par exemple, si un ordinateur inscrit son enregistrement de ressource hte au dmarrage et quil est ultrieurement dconnect du rseau, son enregistrement de ressource hte peut ne pas tre supprim. Si votre rseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se prsenter frquemment.

Tche

Rfrence

Lire les informations relatives lantriorit Prsentation de lantriorit et du nettoyage et au nettoyage. Activer et configurer lantriorit et le nettoyage pour le serveur DNS. Activer et configurer lantriorit et le nettoyage pour les zones. Dfinir les proprits dantriorit et de nettoyage du serveur DNS Dfinir les proprits dantriorit et de nettoyage pour une zone

Rinitialiser les proprits dantriorit et de Configurer lantriorit et le nettoyage pour nettoyage pour un enregistrement de ressource les diffrents enregistrements de ressources. spcifi

Prsentation de lantriorit et du nettoyage


57

Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Avec la mise jour dynamique, les enregistrements de ressources sont ajouts automatiquement aux zones lorsque les ordinateurs dmarrent sur le rseau. Toutefois, dans certains cas ils ne sont pas supprims automatiquement lorsque les ordinateurs quittent le rseau. Par exemple, si un ordinateur inscrit son propre enregistrement de ressource hte au dmarrage et quil est ultrieurement dconnect du rseau de manire incorrecte, son enregistrement de ressource hte peut ne pas tre supprim. Si votre rseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se prsenter frquemment. Si vous ne vous en occupez pas, la prsence denregistrements de ressources obsoltes dans les donnes de zone peut provoquer des problmes :

Si un grand nombre denregistrements de ressources obsoltes demeurent dans des zones, ils peuvent finir par prendre beaucoup despace sur le disque du serveur et entraner de longs dlais de transfert de zone. Les serveurs DNS (Domain Name System) qui chargent des zones contenant des enregistrements de ressources obsoltes risquent dutiliser des informations obsoltes pour rpondre des demandes de clients, auquel cas ces derniers peuvent rencontrer des problmes de rsolution de noms sur le rseau. Laccumulation denregistrements de ressources obsoltes sur le serveur DNS peut entraner une dgradation de ses performances et de sa capacit de rponse. Dans certains cas, la prsence dun enregistrement de ressource obsolte dans une zone peut empcher un nom de domaine DNS dtre utilis par un autre ordinateur ou priphrique hte.

Pour rsoudre ces problmes, le service Serveur DNS propose les fonctionnalits suivantes :

Enregistrement des informations de date, sur la base de la date et de lheure actuelles dfinies sur lordinateur serveur, pour tout enregistrement de ressource ajout de manire dynamique aux zones de type principal. En outre, des horodatages sont enregistrs dans les zones principales standard o lantriorit et le nettoyage sont activs. Pour les enregistrements de ressources que vous ajoutez manuellement, une valeur dhorodatage de zro est utilise pour indiquer que ces enregistrements ne sont pas affects par le processus dantriorit et quils peuvent demeurer dans les donnes de zone de manire illimite, moins que vous ne modifiiez leur horodatage ou que vous ne les supprimiez.

Antriorit des enregistrements de ressources dans les donnes locales, sur la base dune priode dactualisation spcifie, pour toute zone ligible. Seules les zones de type principal qui sont charges par le service Serveur DNS peuvent participer ce processus.

58

Nettoyage de tous les enregistrements de ressources qui persistent au-del de la priode dactualisation spcifie. Lorsquun serveur DNS effectue une opration de nettoyage, il peut dterminer que les enregistrements de ressources ont vieilli au point de devenir obsoltes et doivent tre supprims des donnes de zone. Vous pouvez configurer les serveurs de faon effectuer des oprations de nettoyage automatiques rcurrentes ou vous pouvez initier une opration de nettoyage immdiate sur le serveur. Pour plus dinformations, voir Activer le nettoyage automatique des enregistrements de ressources obsoltes ou Commencer le nettoyage immdiat des enregistrements de ressources obsoltes.

Attention Par dfaut, le mcanisme dantriorit et de nettoyage du service Serveur DNS est dsactiv. Il doit tre activ uniquement lorsque tous les paramtres sont bien compris. Autrement, le serveur peut tre accidentellement configur de faon supprimer des enregistrements qui ne devraient pas ltre. En cas de suppression accidentelle dun enregistrement, non seulement les utilisateurs ne pourront rsoudre les requtes pour cet enregistrement, mais tout utilisateur pourra crer un enregistrement et en devenir propritaire, mme dans les zones configures pour la mise jour dynamique scurise. Un serveur utilise le contenu de chaque horodatage spcifique lenregistrement de ressource, ainsi que dautres proprits dantriorit et de nettoyage que vous pouvez ajuster ou configurer, afin de dterminer quand il doit nettoyer les enregistrements.

Conditions pralables pour lantriorit et le nettoyage


Pour que vous puissiez utiliser les fonctionnalits dantriorit et de nettoyage de DNS, plusieurs conditions doivent tre remplies : 1. Le nettoyage et lantriorit doivent tre activs sur le serveur DNS et dans la zone. Par dfaut, lantriorit et le nettoyage des enregistrements de ressources sont dsactivs. 2. Les enregistrements de ressources doivent tre ajouts de manire dynamique aux zones ou modifis manuellement pour tre utiliss dans les oprations dantriorit et de nettoyage. En gnral, seuls les enregistrements de ressources ajouts de manire dynamique laide du protocole de mise jour dynamique DNS sont soumis lantriorit et au nettoyage. Vous pouvez toutefois activer le nettoyage pour dautres enregistrements de ressources ajouts de faon non dynamique. Pour les enregistrements ajouts des zones de cette manire, soit en chargeant un fichier texte de zone partir dun autre serveur DNS, soit en les ajoutant manuellement une zone, un horodatage de zro est dfini. Cela rend ces enregistrements inligibles pour une utilisation dans les oprations dantriorit et de nettoyage. 59

Pour modifier ce comportement par dfaut, vous pouvez administrer ces enregistrements individuellement afin de les rinitialiser et leur permettre dutiliser une valeur dhorodatage actuelle (diffrente de zro). Ces enregistrements pourront alors tre soumis lantriorit et au nettoyage. Pour plus dinformations, voir Rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi. Remarques En cas de changement dune zone principale standard en zone intgre Active Directory, vous souhaiterez peut-tre activer le nettoyage de tous les enregistrements de ressources existants dans la zone. Pour activer lantriorit pour tous les enregistrements de ressources dans une zone, vous pouvez utiliser la commande AgeAllRecords, accessible par le biais de loutil en ligne de commande dnscmd.

Terminologie relative lantriorit et au nettoyage


Le tableau suivant contient des termes nouveaux ou rviss ayant t introduits afin de faciliter la discussion de lantriorit et du nettoyage.

Terme

Description

Horodatage Valeur de date et heure utilise par le serveur DNS pour dterminer la denregistrement de suppression de lenregistrement de ressource lorsquil effectue des ressource oprations dantriorit et de nettoyage. Heure actuelle du serveur Date et heure actuelles sur le serveur DNS. Ce nombre peut tre exprim sous la forme dune valeur numrique exacte tout moment. Intervalle de temps, dtermin pour chaque zone, tel que limit par les deux vnements suivants : 1. La date et lheure de dernire actualisation de lenregistrement et de dernire dfinition de son horodatage. Intervalle de nonactualisation 2. Les prochaines date et heure auxquelles lenregistrement deviendra ligible pour lactualisation et auxquelles son horodatage sera rinitialis. Cette valeur est ncessaire afin de rduire le nombre doprations dcriture dans la base de donnes Active Directory. Par dfaut, cet intervalle est de sept jours. Il ne doit pas tre augment jusqu une valeur draisonnable, car les avantages offerts par la fonctionnalit dantriorit et de nettoyage seraient alors limins ou rduits. Intervalle de temps, dtermin pour chaque zone, tel que limit par les deux vnements distincts suivants : 1. Les date et heure les plus proches auxquelles lenregistrement 60

Intervalle dactualisation

deviendra ligible pour lactualisation et auxquelles son horodatage sera rinitialis. 2. Les date et heure les plus proches auxquelles lenregistrement deviendra ligible pour le nettoyage et la suppression de la base de donnes de zone. Cette valeur doit tre suffisamment leve pour permettre tous les clients dactualiser leurs enregistrements. Par dfaut, cet intervalle est de sept jours. Il ne doit pas tre augment jusqu une valeur draisonnable, car les avantages offerts par la fonctionnalit dantriorit et de nettoyage seraient alors limins ou rduits. Heure de dbut de nettoyage Heure spcifique, exprime sous la forme dun nombre. Cette heure est utilise par le serveur pour dterminer quand une zone devient ligible pour le nettoyage.

Lorsque le nettoyage automatique est activ sur le serveur, cette priode reprsente le temps coul entre les rptitions du processus de nettoyage Priode de nettoyage automatis. La valeur par dfaut pour ce paramtre est de sept jours. Pour empcher toute dgradation des performances du serveur DNS, la valeur minimale autorise est dune heure. Moment auquel une mise jour dynamique DNS est traite pour un enregistrement de ressource lorsque seul lhorodatage denregistrement Actualisation de ressource, et aucune autre caractristique de lenregistrement, est denregistrement rvis. Les actualisations ont gnralement lieu pour les raisons suivantes : 1. Lorsquun ordinateur est redmarr sur le rseau et que, son dmarrage, les informations concernant son nom et son adresse IP sont cohrentes avec celles quil a utilises avant de sarrter, il envoie une actualisation afin de renouveler ses enregistrements de ressources associs pour ces informations. 2. Une actualisation priodique est envoye par lordinateur durant son excution. Le service Client DNS Windows renouvelle linscription DNS des enregistrements de ressources client toutes les 24 heures. Lorsque cette mise jour dynamique a lieu, si la demande de mise jour dynamique nentrane aucune modification de la base de donnes DNS, on considre quil sagit dune actualisation et non dune mise jour denregistrement de ressource. 3. Dautres services rseau effectuent des tentatives dactualisation, par exemple les serveurs DHCP, qui renouvellent les baux dadresses client, les serveurs de cluster, qui inscrivent et mettent jour les enregistrements pour un cluster, et le service Ouverture 61

de session rseau, qui peut inscrire et mettre jour des enregistrements de ressources utiliss par des contrleurs de domaine Active Directory. Moment durant lequel une mise jour dynamique DNS est traite pour un enregistrement de ressource pour lequel dautres caractristiques de lenregistrement, en plus de lhorodatage, sont rvises. Les mises jour ont gnralement lieu pour les raisons suivantes : 1. Lorsquun nouvel ordinateur est ajout au rseau et que, au dmarrage, il envoie une mise jour afin dinscrire pour la premire fois ses enregistrements de ressources dans sa zone configure. 2. Lorsquun ordinateur avec des enregistrements existants dans la zone subit un changement dadresse IP, provoquant lenvoi de mises jour pour ses mappages nom--adresse modifis dans les donnes de zone DNS. 3. Lorsque le service Ouverture de session rseau inscrit un nouveau contrleur de domaine Active Directory. Paramtre de zone avanc facultatif qui vous permet de spcifier une liste restreinte dadresses IP pour les serveurs DNS autoriss effectuer le nettoyage de la zone. Par dfaut, si ce paramtre nest pas spcifi, tous les serveurs DNS qui chargent une zone intgre lannuaire (galement activs pour le nettoyage) tentent deffectuer le nettoyage de la zone. Dans certains cas, ce paramtre peut tre utile sil est prfrable deffectuer le nettoyage uniquement sur certains serveurs chargeant la zone intgre lannuaire. Pour dfinir ce paramtre, vous devez spcifier la liste dadresses IP pour les serveurs autoriss nettoyer la zone dans le paramtre ZoneResetScavengeServers de la zone. Cette opration peut seffectuer laide de la commande dnscmd, un outil en ligne de commande permettant dadministrer les serveurs DNS Windows.

Mise jour denregistrement

Serveurs de nettoyage

Quand le nettoyage peut-il commencer ?


Une fois que toutes les conditions pralables lactivation du nettoyage sont runies, celui-ci peut commencer pour une zone de serveur lorsque lheure actuelle du serveur est ultrieure la valeur de lheure de dbut de nettoyage pour la zone. Le serveur dfinit la valeur temporelle du dmarrage du nettoyage en fonction de chaque zone lorsque lun des vnements suivants se produit :

Les mises jour dynamiques sont actives pour la zone. 62

Une modification de ltat de la case cocher Nettoyer les enregistrements de ressources obsoltes est applique. Vous pouvez utiliser le Gestionnaire DNS pour modifier ce paramtre sur un serveur DNS applicable ou lune de ses zones principales. Le serveur DNS charge une zone principale qui est active pour utiliser le nettoyage. Cela peut se produire lorsque lordinateur serveur ou le service Serveur DNS est dmarr. Lorsquune zone est remise en service aprs avoir t suspendue. Si la zone est intgre aux services de domaine Active Directory (AD DS) , la rplication pour la zone doit avoir eu lieu au moins une fois depuis le redmarrage du service DNS ou le ramorage du contrleur de domaine. Lorsque les vnements prcdents se produisent, le serveur DNS dfinit la valeur de lheure de dbut de nettoyage en calculant la somme suivante : heure actuelle du serveur + intervalle dactualisation = heure de dbut de nettoyage Cette valeur est utilise comme base pour la comparaison durant les oprations de nettoyage.

Exemple : processus dantriorit et de nettoyage pour un exemple denregistrement


Pour comprendre le processus dantriorit et de nettoyage sur le serveur, considrez la dure de vie et les phases successives dun enregistrement de ressource unique mesure quil est ajout un serveur et une zone o ce processus est en vigueur, puis considr comme vieilli , et enfin supprim de la base de donnes. 1. Un exemple dhte DNS, host-a.example.microsoft.com , inscrit son enregistrement de ressource hte (A) sur le serveur DNS pour une zone o lantriorit et le nettoyage sont activs. 2. Lors de linscription de lenregistrement, le serveur DNS place un horodatage sur cet enregistrement en fonction de lheure actuelle du serveur. Une fois lhorodatage denregistrement crit, le serveur DNS naccepte aucune actualisation pour cet enregistrement pendant toute la dure de lintervalle de nonactualisation de la zone. Il peut toutefois accepter les mises jour avant la fin de cet intervalle. Par exemple, si ladresse IP pour host-a.example.microsoft.com change, le serveur DNS peut accepter la mise jour. Dans ce cas, le serveur met jour (rinitialise) galement lhorodatage denregistrement. 3. Ds lexpiration de la priode de non-actualisation, le serveur commence accepter les tentatives dactualisation de cet enregistrement. Lorsque la priode initiale de non-actualisation se termine, la priode dactualisation commence immdiatement pour lenregistrement. Durant ce temps-l, le serveur nempche pas les tentatives dactualisation de lenregistrement pendant le reste de sa dure de vie. 4. Durant et aprs la priode dactualisation, si le serveur reoit une actualisation pour lenregistrement, il la traite. 63

Cela rinitialise lhorodatage de lenregistrement selon la mthode dcrite ltape 2. 5. Lorsque le nettoyage ultrieur est effectu par le serveur pour la zone example.microsoft.com , lenregistrement (et tous les autres enregistrements de la zone) est examin par le serveur. Chaque enregistrement est compar lheure actuelle du serveur sur la base de la somme suivante afin de dterminer sil doit tre supprim : horodatage de lenregistrement + Intervalle de non-actualisation pour la zone + Intervalle dactualisation pour la zone o Si la valeur de cette somme est suprieure lheure actuelle du serveur, aucune action nest effectue et lenregistrement continue de vieillir dans la zone. o Si la valeur de cette somme est infrieure lheure actuelle du serveur, lenregistrement est supprim de toute donne de zone actuellement charge dans la mmoire du serveur et galement de la banque dobjets DnsZone applicable dans les services de domaine Active Directory (AD DS) pour la zone example.microsoft.com intgre lannuaire.

Dfinir les proprits dantriorit et de nettoyage du serveur DNS


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour dfinir les proprits dantriorit et de nettoyage par dfaut pour les zones sur un serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dfinition des proprits dantriorit et de nettoyage du serveur DNS


laide de linterface Windows laide dune ligne de commande

Pour dfinir les proprits dantriorit et de nettoyage du serveur DNS laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 64

2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Dfinir le vieillissement/nettoyage pour toutes les zones. 3. Activez la case cocher Nettoyer les enregistrements de ressources obsoltes. 4. Modifiez dautres proprits dantriorit et de nettoyage selon vos besoins.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les proprits dantriorit et de nettoyage configures laide de cette procdure deviennent des proprits par dfaut qui sappliquent uniquement aux zones intgres aux services de domaine Active Directory. Pour les zones principales standard, vous devez dfinir les proprits appropries au niveau de la zone concerne. Lorsque vous appliquez les modifications apportes aux paramtres dantriorit et de nettoyage du serveur, le Gestionnaire DNS vous invite confirmer les modifications. Vous avez alors la possibilit dappliquer vos modifications aux nouvelles zones intgres aux services de domaine Active Directory uniquement. Si ncessaire, vous pouvez appliquer galement vos modifications aux zones intgres aux services de domaine Active Directory existantes. Que la case cocher Nettoyer les enregistrements de ressources obsoltes soit active ou non (comme dcrit ltape 3), pour les zones principales standard, cette fonctionnalit est dsactive moins quelle ne soit active manuellement au niveau de la zone applicable.

Pour dfinir les proprits dantriorit et de nettoyage du serveur DNS laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {/ScavengingInterval <Value>|/DefaultAgingState <Value>|/DefaultNoRefreshInterval <Value>|/DefaultRefreshInterval <Value>}

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure le serveur spcifi. 65

<NomServeur>

/Config

/ScavengingInterval

Obligatoire. Dfinit la frquence laquelle le serveur effectuera le nettoyage pour toutes les zones actives cet effet. Obligatoire. Dfinit la configuration dantriorit par dfaut pour toutes les zones sur le serveur. Obligatoire. Dfinit lintervalle de non-actualisation par dfaut pour les zones actives pour le nettoyage. Dfinit lintervalle dactualisation par dfaut pour les zones actives pour le nettoyage. Pour /ScavengingInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine). Pour /DefaultAgingState, tapez 1 pour activer lantriorit pour les nouvelles zones lorsquelles sont cres. Tapez 0 pour dsactiver lantriorit pour les nouvelles zones. Pour /DefaultNoRefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine). Pour /DefaultRefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine).

/DefaultAgingState

/DefaultNoRefreshInterval

/DefaultRefreshInterval

<Valeur>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

66

Dfinir les proprits dantriorit et de nettoyage pour une zone


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour dfinir les proprits dantriorit et de nettoyage pour une zone spcifique. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dfinition des proprits dantriorit et de nettoyage pour une zone


laide de linterface Windows laide dune ligne de commande

Pour dfinir les proprits dantriorit et de nettoyage pour une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, cliquez sur Vieillissement. 4. Activez la case cocher Nettoyer les enregistrements de ressources obsoltes. 5. Modifiez dautres proprits dantriorit et de nettoyage selon vos besoins.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour dfinir les proprits dantriorit et de nettoyage pour une zone laide dune ligne de commande

67

1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config <ZoneName> {/Aging <Value>|/RefreshInterval <Value>|/NoRefreshInterval <Value>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS (Domain Name System) du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Indique que la commande configure la zone spcifie. Obligatoire. Spcifie le nom de la zone pour laquelle vous souhaitez dfinir les proprits dantriorit et de nettoyage. Obligatoire. Active lantriorit pour des zones. Obligatoire. Spcifie lintervalle dactualisation pour une zone active pour le nettoyage. Obligatoire. Spcifie lintervalle de non-actualisation pour une zone active pour le nettoyage. Obligatoire. Pour /Aging, tapez 1 pour activer lantriorit. Tapez 0 pour dsactiver lantriorit. Pour /RefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 heures (une semaine). Pour /NoRefreshInterval, tapez une valeur en secondes. Le paramtre standard est 3600 (une heure).

<NomServeur>

/Config <NomZone> /Aging /RefreshInterval

/NoRefreshInterval

<Valeur>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

68

Rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour modifier la faon dont un enregistrement de ressource spcifique est nettoy. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Rinitialisation des proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi


laide de linterface Windows laide dune ligne de commande

Pour rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur la zone applicable. 3. Dans le volet dinformations, double-cliquez sur lenregistrement de ressource pour lequel vous souhaitez rinitialiser les proprits dantriorit et de nettoyage. 4. Effectuez lune des oprations suivantes, selon la manire dont lenregistrement de ressource a t initialement ajout la zone :
o

Si lenregistrement a t ajout de manire dynamique laide de la fonctionnalit de mise jour dynamique, dsactivez la case cocher Supprimer cet enregistrement lorsquil deviendra prim afin dempcher son vieillissement ou sa suppression ventuelle durant le processus de nettoyage. Si les mises jour dynamiques de cet enregistrement continuent de se produire, le serveur DNS (Domain Name System) rinitialisera toujours cette case cocher de sorte que lenregistrement mis jour de faon dynamique puisse tre supprim. Si lenregistrement a t ajout de manire statique, activez la case cocher Supprimer cet enregistrement lorsquil deviendra prim afin dautoriser 69

son vieillissement ou sa suppression ventuelle durant le processus de nettoyage.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Cette procdure est ncessaire uniquement pour les enregistrements de ressources inscrits de manire dynamique. Pour les enregistrements que vous ajoutez manuellement une zone, une valeur dhorodatage de zro sapplique toujours lenregistrement, ce qui lexclut du processus de nettoyage. Les proprits dantriorit et de nettoyage des enregistrements de serveur de noms (NS) et de source de noms (SOA) sont rinitialises dans les proprits de la zone, et non dans celles de lenregistrement de ressource.

Pour rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /ScavengingInterval <Value>

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure la zone spcifie.

<NomServeur>

/Config

Obligatoire. Spcifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hberges sur le serveur DNS <NomZone>|..AllZones spcifi de faon autoriser les mises jour dynamiques, tapez ..AllZones. /ScavengingInterval <Valeur> Obligatoire. Dfinit lintervalle de nettoyage. Obligatoire. Nouvelle valeur de lintervalle de nettoyage, spcifie en heures. La valeur par dfaut est 168 (une semaine).

70

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Liste de vrification : crer un enregistrement alias (CNAME)


Avec les enregistrements de ressources alias (CNAME), vous pouvez utiliser plusieurs noms pour pointer vers un seul ordinateur. Vous pouvez par exemple utiliser un enregistrement de ressource alias (CNAME) de sorte quun serveur nomm webserver.contoso.com soit galement connu sous le nom www.contoso.com.

Tche En savoir plus sur les enregistrements de ressources alias (CNAME). Ajouter des enregistrements de ressources alias (CNAME) selon les besoins.

Rfrence Ajout denregistrements de ressources Ajouter un enregistrement de ressource alias (CNAME) une zone

Ajout denregistrements de ressources


Aprs avoir cr une zone, vous devez y ajouter des enregistrements de ressources supplmentaires. Les enregistrements de ressources les plus courants ajouter sont les suivants :

Enregistrements de ressources hte (A) : pour le mappage dun nom de domaine DNS (Domain Name System) une adresse IP utilise par un ordinateur. Enregistrements de ressources alias (CNAME) : pour le mappage dun alias de nom de domaine DNS un autre nom canonique ou principal.

71

Enregistrements de serveur de messagerie (MX) : pour le mappage dun nom de domaine DNS au nom dun ordinateur qui change ou transfre du courrier. Enregistrements de ressources pointeur (PTR) : pour le mappage dun nom de domaine DNS invers bas sur ladresse IP dun ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur. Enregistrements de ressources Emplacement du service (SRV) : pour le mappage dun nom de domaine DNS une liste spcifie dordinateurs htes DNS qui offrent un type spcifique de service, tels que des contrleurs de domaine Active Directory. Autres enregistrements de ressources selon les besoins.

Enregistrements de ressources hte (A)


Vous utilisez des enregistrements de ressources hte (A) dans une zone afin dassocier des noms de domaine DNS dordinateurs (ou htes) leurs adresses IP. Vous pouvez les ajouter une zone de plusieurs manires :

Vous pouvez crer manuellement un enregistrement de ressource hte (A) pour un ordinateur client TCP/IP statique laide du Gestionnaire DNS. Les clients et serveurs Windows utilisent le service Client DHCP pour inscrire et mettre jour de manire dynamique leurs propres enregistrements de ressources hte (A) dans DNS lorsquune modification de configuration IP a lieu. Les ordinateurs clients DHCP (Dynamic Host Configuration Protocol) excutant des versions antrieures de systmes dexploitation Microsoft peuvent inscrire et mettre jour leurs enregistrements de ressources hte (A) par proxy sils reoivent leur bail IP dun serveur DHCP qualifi. (Seul le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 prend en charge cette fonctionnalit.)

Les enregistrements de ressources hte (A) ne sont pas ncessaires sur tous les ordinateurs, mais ils le sont sur ceux qui partagent des ressources rseau. Tout ordinateur qui partage des ressources et qui doit tre identifi par son nom de domaine DNS doit utiliser des enregistrements de ressources hte (A) pour fournir la rsolution de noms DNS ladresse IP de lordinateur. La plupart des enregistrements de ressources hte (A) requis dans une zone peuvent inclure dautres stations de travail ou serveurs qui partagent des ressources, dautres serveurs Web, serveurs de messagerie et serveurs Web. Ces enregistrements de ressources composent la plus grande partie des enregistrements de ressources dans une base de donnes de zone.

Enregistrements de ressources alias (CNAME)


Les enregistrements de ressources alias (CNAME) sont parfois appels enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un mme hte, ce qui facilite certaines tches telles que lhbergement dun serveur FTP (File Transfer Protocol) et dun serveur Web sur le mme ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits laide denregistrements de ressources alias (CNAME) mapps au nom dhte DNS (tel que server-1) pour lordinateur serveur qui hberge ces services.

72

Nous recommandons lutilisation denregistrements de ressources alias (CNAME) pour les scnarios suivants :

Lorsquun hte spcifi dans un enregistrement de ressource hte (A) dans la mme zone doit tre renomm. Lorsquun nom gnrique pour un serveur bien connu, tel que www, doit tre rsolu un groupe dordinateurs (chacun avec des enregistrements de ressources hte (A) individuels) qui procurent le mme service, par exemple dans un groupe de serveurs Web redondants.

Lorsque vous renommez un ordinateur avec un enregistrement de ressource hte (A) existant dans la zone, vous pouvez utiliser un enregistrement de ressource alias (CNAME) de manire temporaire afin de permettre aux utilisateurs et aux programmes deffectuer la transition de lancien nom dordinateur au nouveau, de la faon suivante :

Pour le nouveau nom de domaine DNS de lordinateur, ajoutez un nouvel enregistrement de ressource hte (A) la zone. Pour lancien nom de domaine DNS, ajoutez un enregistrement de ressource alias (CNAME) qui pointe vers le nouvel enregistrement de ressource hte (A). Supprimez de la zone lenregistrement de ressource hte (A) dorigine pour lancien nom de domaine DNS (et son enregistrement de ressource pointeur (PTR) le cas chant).

Lorsque vous utilisez un enregistrement de ressource alias (CNAME) pour attribuer un alias ou renommer un ordinateur, dfinissez une limite temporelle pour lutilisation de cet enregistrement dans la zone avant quil ne soit supprim de DNS. Si vous oubliez de supprimer lenregistrement de ressource alias (CNAME) et que son enregistrement de ressource hte (A) est supprim ultrieurement, lenregistrement de ressource alias (CNAME) peut utiliser inutilement des ressources de serveur en essayant de rsoudre des requtes pour un nom qui nest plus utilis sur le rseau. Lutilisation la plus courante des enregistrements de ressources alias (CNAME) consiste fournir un nom de domaine DNS alias permanent pour la rsolution de noms gnrique dun nom bas sur service, tel que www.tailspintoys.com, plusieurs ordinateurs ou adresses IP sur un serveur Web. Lexemple suivant indique la syntaxe de base dun enregistrement de ressource alias (CNAME) : nom_alias IN CNAME nom_canonique_principal Dans cet exemple, un ordinateur nomm host-a.tailspintoys.com fonctionne comme serveur Web nomm www.tailspintoys.com. et comme serveur FTP nomm ftp.tailspintoys.com. Pour nommer cet ordinateur comme vous le souhaitez, vous pouvez ajouter les entres CNAME suivantes dans la zone tailspintoys.com :
host-a ftp www IN IN IN A CNAME CNAME 10.0.0.20 host-a host-a

73

Si plus tard vous dcidez de dplacer le serveur FTP vers un autre ordinateur (spar du serveur Web sur host-a), il vous suffit de modifier lenregistrement de ressource alias (CNAME) dans la zone pour ftp.tailspintoys.com et dajouter un enregistrement de ressource hte (A) supplmentaire la zone pour le nouvel ordinateur hbergeant le serveur FTP. Reprenons lexemple prcdent : si le nouvel ordinateur se nomme host-b.tailspintoys.com, les enregistrements de ressources hte (A) et alias (CNAME) nouveaux et rviss seront les suivants :
host-a host-b ftp www IN IN IN IN A A CNAME CNAME 10.0.0.20 10.0.0.21 host-b host-a

Enregistrements de serveur de messagerie (MX)


Les applications de messagerie utilisent lenregistrement de serveur de messagerie (MX) pour trouver un serveur de messagerie sur la base dun nom de domaine DNS spcifi dans ladresse de destination dun message lectronique. Par exemple, une requte DNS pour le nom example.tailspintoys.com peut tre utilise pour trouver un enregistrement de serveur de messagerie (MX), ce qui permet une application de messagerie de transfrer ou dchanger du courrier un utilisateur avec ladresse user@tailspintoys.com. Lenregistrement de serveur de messagerie (MX) indique le nom de domaine DNS du ou des ordinateurs qui traitent le courrier pour un domaine. Sil existe plusieurs enregistrements de serveur de messagerie (MX), le service Client DNS tente de contacter les serveurs de messagerie selon lordre de priorit, de la valeur la plus basse (priorit la plus leve) la valeur la plus leve (priorit la plus faible). Lexemple suivant indique la syntaxe de base dun enregistrement de serveur de messagerie (MX) : nom_domaine_messagerie IN MX prfrencehte_serveur_messagerie Si lon prend les enregistrements de serveur de messagerie (MX) de lexemple suivant pour la zone tailspintoys.com, le courrier adress user@tailspintoys.com est remis tout dabord user@mailserver0.tailspintoys.com, dans la mesure du possible. Si ce serveur nest pas disponible, le client de rsolution peut alors utiliser user@mailserver1.tailspintoys.com.
@ @ IN IN MX MX 1 2 mailserver0 mailserver1

Notez que lutilisation du signe arobase (@) dans les enregistrements indique que le nom de domaine DNS du service de messagerie est identique au nom dorigine (tailspintoys.com) pour la zone.

74

Enregistrements de ressources pointeur (PTR)


Les enregistrements de ressources pointeur (PTR) prennent en charge le processus de recherche inverse, en fonction des zones cres et enracines dans le domaine in-addr.arpa. Ces enregistrements localisent un ordinateur par son adresse IP et rsolvent ces informations au nom de domaine DNS de cet ordinateur. Vous pouvez ajouter des enregistrements de ressources pointeur (PTR) une zone de plusieurs manires :

Vous pouvez crer manuellement un enregistrement de ressource pointeur (PTR) pour un ordinateur client TCP/IP statique qui utilise DNS, soit en tant que procdure distincte, soit dans le cadre de la procdure de cration dun enregistrement de ressource hte (A). Les ordinateurs utilisent le service Client DHCP pour inscrire et mettre jour de manire dynamique leur enregistrement de ressource pointeur (PTR) dans DNS lorsquune modification de configuration IP a lieu. Tous les autres clients DHCP (Dynamic Host Configuration Protocol) peuvent faire inscrire et mettre jour leurs enregistrements de ressources pointeur (PTR) par le serveur DHCP sils reoivent leur bail IP dun serveur qualifi. Le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 fournit cette capacit.)

Lenregistrement de ressource pointeur (PTR) est utilis uniquement dans les zones de recherche inverse pour prendre en charge la recherche inverse.

Enregistrements de ressources Emplacement du service (SRV)


Les enregistrements de ressources Emplacement du service (SRV) sont ncessaires pour la localisation des contrleurs de domaine Active Directory. En gnral, vous pouvez viter dadministrer manuellement les enregistrements de ressources Emplacement du service (SRV) lorsque vous installez les services de domaine Active Directory (AD DS). Par dfaut, lAssistant Installation des services de domaine Active Directory tente de trouver un serveur DNS daprs la liste des serveurs DNS prfrs ou secondaires, qui sont configurs dans ses proprits de client TCP/IP, pour chacune de ses connexions rseau actives. Si un serveur DNS qui peut accepter la mise jour dynamique de lenregistrement de ressource Emplacement du service (SRV) est contact, le processus de configuration est termin. (Cela est galement vrai pour les autres enregistrements de ressources lis linscription des services de domaine Active Directory dans DNS.) Si, durant linstallation, aucun serveur DNS capable daccepter les mises jour pour le nom de domaine DNS utilis pour nommer votre rpertoire nest dtect, lAssistant peut installer un serveur DNS localement et le configurer automatiquement avec une zone prenant en charge le domaine Active Directory.

75

Par exemple, si le domaine Active Directory que vous choisissez pour votre premier domaine dans la fort est example.tailspintoys.com, vous pouvez ajouter et configurer une zone enracine au nom de domaine DNS example.tailspintoys.com utiliser avec le serveur DNS qui sexcute sur le nouveau contrleur de domaine. Dans lavenir, lenregistrement de ressource Emplacement du service (SRV) pourra galement tre utilis pour inscrire et rechercher dautres services TCP/IP bien connus sur votre rseau si les applications implmentent et prennent en charge les requtes de noms DNS qui spcifient ce type denregistrement.

Autres enregistrements de ressources


Dautres enregistrements de ressources sont pris en charge par DNS Windows Server 2008 et utiliss moins frquemment dans la plupart des zones. Vous pouvez ajouter ces types denregistrements de ressources supplmentaires si ncessaire avec le Gestionnaire DNS.

Ajouter un enregistrement de ressource alias (CNAME) une zone


Les enregistrements de ressources alias (CNAME) sont parfois appels enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un mme hte, ce qui facilite certaines tches telles que lhbergement dun serveur FTP (File Transfer Protocol) et dun serveur Web sur le mme ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits laide denregistrements de ressources alias (CNAME) mapps au nom dhte DNS (Domain Name System), tel que server-1, pour lordinateur serveur qui hberge ces services. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dun enregistrement de ressource alias (CNAME) une zone


laide de linterface Windows laide dune ligne de commande

Pour ajouter un enregistrement de ressource alias (CNAME) une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS.

76

2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone de recherche directe applicable, puis cliquez sur Nouvel alias. 3. Dans Nom de lalias, tapez le nom de lalias. 4. Dans Nom de domaine pleinement qualifi (FQDN) pour lhte de destination, tapez le nom de domaine complet de lordinateur hte DNS pour lequel cet alias doit tre utilis. Si vous le souhaitez, vous pouvez cliquer sur Parcourir pour rechercher dans lespace de noms DNS des htes de ce domaine pour lesquels des enregistrements de ressources hte (A) sont dj dfinis. 5. Cliquez sur OK pour ajouter le nouvel enregistrement la zone.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter un enregistrement de ressource alias (CNAME) une zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre : dnscmd <NomServeur>/RecordAdd <NomZone> <NomNud> [/Aging] [/OpenAcl] [<Ttl>] CNAME <NomHte>|<NomDomaine>

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute un nouvel enregistrement de ressource. Obligatoire. Spcifie le nom de la zone o cet enregistrement de ressource alias (CNAME) sera ajout. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone.

<NomServeur>

/RecordAdd <NomZone>

<NomNud>

77

/Aging

Spcifie que cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si ce paramtre nest pas utilis, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. (La dure de vie par dfaut est dfinie dans lenregistrement de source de noms (SOA).) Obligatoire. Spcifie le type denregistrement de ressource de lenregistrement que vous ajoutez.

/OpenAcl

<Ttl>

CNAME

Obligatoire. Spcifie le nom de domaine complet de tout nom de domaine ou hte DNS valide dans lespace de noms. Pour <NomHte>|<NomDomaine> les noms de domaine complets, un point final (.) est utilis pour qualifier pleinement le nom. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

78

Liste de vrification : scuriser votre serveur DNS


Il est important de sassurer que votre infrastructure DNS (Domain Name System) est protge contre les agressions de lextrieur (ou mme de lintrieur) de votre organisation, en particulier dans le cas des serveurs DNS tourns vers Internet. Vous pouvez configurer votre serveur DNS, lorsquil est intgr aux services de domaine Active Directory (AD DS), de faon utiliser des mises jour dynamiques scurises afin de prvenir toute modification non autorise des donnes DNS. Vous pouvez prendre des mesures supplmentaires afin de rduire le risque de compromis de lintgrit de votre infrastructure DNS suite une agression.

Tche

Rfrence

Dterminer les menaces pour la scurit DNS les plus pertinentes Informations de scurit votre environnement et dterminer le niveau de scurit requis. pour DNS Prsentation des Pour aider empcher tout utilisateur extrieur votre socit redirecteurs; dobtenir des informations rseau internes, utilisez des serveurs DNS distincts pour la rsolution des noms internes et Internet. Votre Utilisation de espace de noms DNS interne doit tre hberg sur des serveurs DNS redirecteurs situs derrire un pare-feu pour votre rseau. Votre prsence DNS

79

externe (Internet) doit tre gre par un serveur DNS situ dans un rseau de primtre. Pour fournir la rsolution de noms Internet aux htes internes, vous pouvez faire en sorte que vos serveurs DNS internes utilisent un redirecteur afin denvoyer les requtes externes votre serveur DNS externe. Configurez votre pare-feu et votre routeur externe de faon autoriser le trafic DNS entre vos serveurs DNS internes et externes uniquement. Pour les serveurs DNS de votre rseau qui sont exposs Internet, si le transfert de zone doit tre activ, limitez les transferts de zone Modifier les paramtres DNS soit aux serveurs DNS identifis dans la zone par des de transfert de zone enregistrements de serveur de noms (NS), soit des serveurs DNS spcifiques sur votre rseau. Si le serveur excutant le service Serveur DNS est un ordinateur Configuration de multirsident, limitez le service Serveur DNS de sorte quil coute serveurs multirsidents; uniquement ladresse IP de linterface utilise par ses clients DNS et serveurs DNS internes. Un serveur jouant le rle de serveur proxy Limiter un serveur DNS peut, par exemple, possder deux cartes rseau, une pour lintranet et de faon couter lautre pour Internet. Si ce serveur excute galement le service uniquement des adresses Serveur DNS, vous pouvez configurer le service de sorte quil slectionnes coute le trafic DNS uniquement sur ladresse IP utilise par la carte rseau intranet. Assurez-vous que les options de serveur par dfaut qui scurisent les caches de tous les serveurs DNS contre la pollution de noms nont Scuriser le cache de pas t modifies. La pollution de noms se produit lorsque des serveur contre la rponses des requtes DNS contiennent des donnes malveillantes pollution des noms ou ne faisant pas autorit. Autorisez uniquement les mises jour dynamiques scurises pour toutes les zones DNS. Cela garantit que seuls les utilisateurs authentifis peuvent soumettre des mises jour DNS au moyen dune mthode scurise, ce qui contribue prvenir le dtournement dadresses IP dhtes approuvs par un agresseur. Prsentation de la mise jour dynamique; Autoriser uniquement les mises jour dynamiques

Dsactivez la rcursivit sur les serveurs DNS qui ne rpondent pas aux clients DNS directement et qui ne sont pas configurs avec des redirecteurs. Un serveur DNS requiert la rcursivit uniquement sil Dsactiver la rcursivit rpond des requtes rcursives envoyes par des clients DNS ou sur le serveur DNS sil est configur avec un redirecteur. Les serveurs DNS utilisent des requtes itratives pour communiquer. Mise jour des Si vous avez un espace de noms DNS interne priv, configurez les indications de racine; indications de racine sur vos serveurs DNS internes de sorte quelles pointent uniquement vers les serveurs DNS qui hbergent votre Mettre jour des domaine racine interne, et non vers ceux qui hbergent le domaine indications de racine sur racine Internet. le serveur DNS

80

Modifier la scurit du Si le serveur excutant le service Serveur DNS est un contrleur de service Serveur DNS sur domaine, utilisez des listes de contrle daccs Active Directory afin un contrleur de de scuriser le contrle daccs au service Serveur DNS. domaine Utilisez uniquement des zones DNS intgres aux services de domaine Active Directory. Les zones DNS stockes dans AD DS peuvent tirer parti des fonctionnalits de scurit dActive Directory, Prsentation de telles que la mise jour dynamique scurise et la capacit lintgration aux services appliquer des paramtres de scurit AD DS des serveurs DNS, de domaine Active des zones et des enregistrements de ressources. Directory; Si une zone DNS nest pas stocke dans AD DS, scurisez le fichier de zone DNS en modifiant les autorisations sur le fichier de zone DNS ou sur le dossier dans lequel les fichiers de zone sont stocks. Les autorisations de dossier ou de fichier de zone doivent tre configures afin daccorder le Contrle total uniquement au groupe Systme. Par dfaut, les fichiers de zone sont stocks dans le dossier %systemroot%\System32\Dns. Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory

Informations de scurit pour DNS


DNS (Domain Name System) a t conu lorigine en tant que protocole ouvert. Il est par consquent vulnrable aux attaques. DNS Windows Server 2008 aide amliorer votre capacit prvenir toute attaque sur votre infrastructure DNS grce lajout de fonctionnalits de scurit. Avant de dcider des fonctionnalits de scurit utiliser, vous devez vous familiariser avec les menaces courantes envers la scurit DNS et le niveau de scurit DNS dans votre organisation.

Menaces pour la scurit DNS


Voici les manires les plus courantes dont votre infrastructure DNS peut tre menace par des agresseurs :

Footprinting : processus par lequel des donnes de zone DNS sont obtenues par un agresseur en vue dobtenir les noms de domaine, noms dordinateurs DNS et adresses IP de ressources rseau confidentielles. Un agresseur commence en gnral une attaque en utilisant ces donnes DNS pour schmatiser un rseau. Les noms de 81

domaine et dordinateurs DNS indiquent en gnral la fonction ou lemplacement dun domaine ou dun ordinateur afin daider les utilisateurs mmoriser et identifier plus facilement les domaines et les ordinateurs. Un agresseur tire parti du mme principe pour connatre la fonction ou lemplacement des domaines et des ordinateurs du rseau.

Attaque par dni de service : tentative par un agresseur de suppression de la disponibilit de services rseau en inondant un ou plusieurs serveurs DNS du rseau laide de requtes rcursives. Lorsquun serveur DNS est inond de requtes, son utilisation de processeurs finit par atteindre la capacit maximale et le service Serveur DNS devient indisponible. Sans serveur DNS totalement oprationnel sur le rseau, les services rseau qui utilisent DNS deviennent indisponibles pour les utilisateurs rseau. Modification de donnes : tentative par un agresseur (ayant schmatis un rseau laide de DNS) dutiliser des adresses IP valides dans des paquets IP quil a luimme crs, ce qui donne lapparence que ces paquets proviennent dune adresse IP valide sur le rseau. Cette approche porte parfois le nom demprunt dadresse IP. Avec une adresse IP valide (adresse IP comprise dans la plage dadresses IP dun sousrseau), lagresseur peut accder au rseau et dtruire des donnes ou mener dautres attaques. Redirection : un agresseur redirige des requtes de noms DNS vers des serveurs sous son contrle. Une mthode de redirection consiste tenter de polluer le cache DNS dun serveur DNS avec des donnes DNS errones qui peuvent diriger les requtes ultrieures vers des serveurs contrls par lagresseur. Par exemple, si une requte est effectue initialement pour widgets.tailspintoys.com et quune rponse de rfrence fournit un enregistrement pour un nom en dehors du domaine tailspintoys.com, tel que malicious-user.com, le serveur DNS utilise les donnes mises en cache pour malicious-user.com pour rsoudre une requte pour ce nom. Les agresseurs peuvent effectuer des oprations de redirection lorsquils disposent dun accs en criture des donnes DNS, par exemple lorsque les mises jour dynamiques ne sont pas scurises.

Attnuation des menaces pour la scurit DNS


DNS peut tre configur pour attnuer ces menaces courantes pour la scurit DNS. Le tableau suivant rpertorie cinq domaines principaux sur lesquels vous devez axer vos efforts en matire de scurit DNS.

Zone de scurit DNS Espace de noms DNS

Description Incorporez la scurit DNS la conception de votre espace de noms DNS. Pour plus dinformations, voirScurisation du dploiement DNS. Examinez les paramtres de scurit par dfaut du service Serveur DNS et appliquez les fonctionnalits de scurit Active Directory lorsque le service Serveur DNS sexcute sur un contrleur de domaine. Pour plus dinformations, voir Scurisation du service Serveur DNS.

Service Serveur DNS

82

Zones DNS

Examinez les paramtres de scurit par dfaut des zones DNS et appliquez les mises jour dynamiques scurises et les fonctionnalits de scurit Active Directory lorsque la zone DNS est hberge sur un contrleur de domaine. Pour plus dinformations, voir Scurisation des zones DNS.

Examinez les paramtres de scurit par dfaut des enregistrements de ressources DNS et appliquez les fonctionnalits de scurit Enregistrements de Active Directory lorsque les enregistrements de ressources DNS sont ressources DNS hbergs sur un contrleur de domaine. Pour plus dinformations, voir Scurisation des enregistrements de ressources DNS. Clients DNS Contrlez les adresses IP de serveur DNS utilises par les clients DNS. Pour plus dinformations, voir Scurisation des clients DNS.

Trois niveaux de scurit DNS


Les sections suivantes dcrivent les trois niveaux de scurit DNS.

Scurit de faible niveau


La scurit de faible niveau est un dploiement DNS standard sans aucune prcaution de scurit configure. Dployez ce niveau de scurit DNS uniquement dans les environnements rseau o il ny a aucun risque pour lintgrit de vos donnes DNS ou sur un rseau priv o il ny a aucune menace de connectivit externe. La scurit DNS de faible niveau possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation est totalement expose Internet. La rsolution DNS standard est effectue par tous les serveurs DNS du rseau. Tous les serveurs DNS sont configurs avec des indications de racine pointant vers les serveurs racines pour Internet. Tous les serveurs DNS autorisent les transferts de zone vers tout serveur. Tous les serveurs DNS sont configurs de faon couter toutes leurs adresses IP. La prvention de pollution du cache est dsactive sur tous les serveurs DNS. La mise jour dynamique est autorise pour toutes les zones DNS. Le port UDP (User Datagram Protocol) et TCP/IP 53 est ouvert sur le pare-feu du rseau pour les adresses sources et de destination.

Scurit de niveau intermdiaire


La scurit de niveau intermdiaire utilise les fonctionnalits de scurit DNS disponibles sans excuter de serveurs DNS sur les contrleurs de domaine et sans stocker de zones DNS dans les services de domaine Active Directory (AD DS). La scurit DNS de niveau intermdiaire possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation est expose Internet de manire limite.

83

Tous les serveurs DNS sont configurs de faon utiliser des redirecteurs qui pointent vers une liste spcifique de serveurs DNS internes lorsquils ne peuvent pas rsoudre les noms localement. Tous les serveurs DNS limitent les transferts de zone aux serveurs rpertoris dans les enregistrements de ressources de serveur de noms (NS) dans leurs zones. Les serveurs DNS sont configurs de faon couter des adresses IP spcifies. La prvention de pollution du cache est active sur tous les serveurs DNS. La mise jour dynamique non scurise nest autorise pour aucune zone DNS. Les serveurs DNS internes communiquent avec les serveurs DNS externes par le biais du pare-feu avec une liste limite dadresses sources et de destination autorises. Les serveurs DNS externes placs devant le pare-feu sont configurs avec des indications de racine pointant vers les serveurs racines pour Internet. Toute la rsolution de noms Internet est effectue laide de serveurs proxy et de passerelles.

Scurit de niveau lev


La scurit de niveau lev utilise la mme configuration que la scurit de niveau intermdiaire. Elle utilise galement les fonctionnalits de scurit disponibles lorsque le service Serveur DNS sexcute sur un contrleur de domaine et que les zones DNS sont stockes dans les services de domaine Active Directory. En outre, la scurit de niveau lev limine compltement la communication DNS avec Internet. Il ne sagit pas dune configuration par dfaut, mais elle est recommande chaque fois que la connectivit Internet nest pas requise. La scurit DNS de niveau lev possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation na aucune communication Internet par le biais des serveurs DNS internes. Le rseau utilise un espace de noms et une racine DNS internes, dans laquelle toute lautorit pour les zones DNS est interne. Les serveurs DNS configurs avec des redirecteurs utilisent uniquement des adresses IP de serveurs DNS internes. Tous les serveurs DNS limitent les transferts de zone aux adresses IP spcifies. Les serveurs DNS sont configurs de faon couter des adresses IP spcifies. La prvention de pollution du cache est active sur tous les serveurs DNS. Les serveurs DNS internes sont configurs avec des indications de racine pointant vers les serveurs DNS internes qui hbergent la zone racine pour lespace de noms interne. Tous les serveurs DNS sexcutent sur des contrleurs de domaine. Une liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) est configure sur le service Serveur DNS afin dautoriser uniquement des utilisateurs spcifiques effectuer des tches dadministration sur le serveur DNS. Toutes les zones DNS sont stockes dans les services de domaine Active Directory. Une liste DACL est configure de faon autoriser uniquement des utilisateurs spcifiques crer, supprimer ou modifier des zones DNS. Des listes DACL sont configures sur des enregistrements de ressources DNS de faon autoriser uniquement des utilisateurs spcifiques crer, supprimer ou modifier des donnes DNS. La mise jour dynamique scurise est configure pour les zones DNS (hormis pour les zones racines et de niveau suprieur, qui nautorisent aucune mise jour dynamique). 84

Scurisation du dploiement DNS


Scurisation du dploiement DNS
Lorsque vous concevez votre dploiement de serveur DNS (Domain Name System), respectez les directives de scurit DNS suivantes :

Si vos htes rseau ne doivent pas rsoudre de noms sur Internet, liminez la communication DNS avec Internet. Dans cette conception DNS, vous pouvez utiliser un espace de noms DNS priv hberg entirement sur votre rseau. Lespace de noms DNS priv est distribu de la mme faon que lespace de noms DNS Internet, avec vos serveurs DNS internes hbergeant des zones pour le domaine racine et les domaines de niveau suprieur.

Fractionnez lespace de noms DNS de votre organisation entre des serveurs DNS internes placs derrire le pare-feu et des serveurs DNS externes placs devant le parefeu. Dans cette conception DNS, votre espace de noms DNS interne est un sous-domaine de votre espace de noms DNS externe. Par exemple, si lespace de noms DNS Internet de votre organisation est tailspintoys.com, lespace de noms DNS interne de votre rseau est corp.tailspintoys.com. Hbergez votre espace de noms DNS interne sur des serveurs DNS internes et hbergez votre espace de noms DNS externe sur des serveurs DNS externes exposs Internet. Pour rsoudre les requtes de noms externes effectues par des htes internes, les serveurs DNS internes dans cette conception DNS transfrent les requtes de noms externes aux serveurs DNS externes. Les htes externes utilisent uniquement les serveurs DNS externes pour la rsolution des noms Internet. Configurez votre pare-feu de filtrage de paquets de faon autoriser uniquement la communication UDP et TCP sur le port 53 entre votre serveur DNS externe et un serveur DNS interne. 85

Cette conception DNS facilite la communication entre les serveurs DNS internes et externes et empche tout autre ordinateur externe daccder votre espace de noms DNS interne.

Scurisation du service Serveur DNS


Pour aider scuriser les serveurs DNS (Domain Name System) de votre rseau, appliquez les directives suivantes.

Examinez et configurez les paramtres par dfaut du service Serveur DNS qui affectent la scurit
Les options de configuration suivantes du service Serveur DNS ont des implications pour la scurit du service Serveur DNS standard et intgr Active Directory.

Paramtre par dfaut

Description Par dfaut, un service Serveur DNS qui sexcute sur un ordinateur multirsident est configur de faon couter les requtes DNS avec toutes ses adresses IP. Limitez les adresses IP coutes par le service Serveur DNS celle utilise par ses clients DNS comme adresse de serveur DNS prfr.

Interfaces

Pour plus dinformations, voir Limiter un serveur DNS de faon couter uniquement des adresses slectionnes. Par dfaut, le service Serveur DNS est scuris contre la pollution du cache, qui se produit lorsque des rponses des requtes DNS contiennent des donnes malveillantes ou ne faisant pas autorit. Loption Scuriser le cache contre la pollution aide empcher un agresseur de polluer le cache dun serveur DNS avec des enregistrements de ressources qui nont pas t Scuriser le cache contre la demands par le serveur DNS. La modification de ce paramtre par dfaut rduit lintgrit des rponses fournies par le service Serveur DNS. pollution Pour plus dinformations, voir Scuriser le cache de serveur contre la pollution des noms. Par dfaut, la rcursivit nest pas dsactive pour le service Serveur DNS. Cela permet au serveur DNS deffectuer des requtes rcursives pour le 86

Dsactiver la

rcursivit

compte de ses clients DNS et des serveurs DNS qui lui ont transfr des requtes de clients DNS. La rcursivit peut tre utilise par des agresseurs des fins de dni de service Serveur DNS. Par consquent, si un serveur DNS de votre rseau nest pas destin recevoir des requtes rcursives, la rcursivit doit tre dsactive. Pour plus dinformations, voir Dsactiver la rcursivit sur le serveur DNS. Si vous avez une racine DNS interne dans votre infrastructure DNS, configurez les indications de racine des serveurs DNS internes de sorte quelles pointent uniquement vers les serveurs DNS qui hbergent votre domaine racine, et non vers ceux qui hbergent le domaine racine Internet. Cela empche vos serveurs DNS internes denvoyer des informations prives sur Internet lorsquils rsolvent des noms. Pour plus dinformations, voir Mettre jour des indications de racine sur le serveur DNS et Mise jour des indications de racine.

Indications de racine

Grez la liste DACL sur les serveurs DNS excuts sur des contrleurs de domaine
Outre les paramtres par dfaut de service Serveur DNS dj dcrits et affectant la scurit, les serveurs DNS qui sont configurs comme contrleurs de domaine utilisent une liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Vous pouvez utiliser la liste DACL pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui contrlent le service Serveur DNS. Le tableau suivant rpertorie les autorisations et noms dutilisateurs ou de groupes par dfaut pour le service Serveur DNS lorsquil sexcute sur un contrleur de domaine.

Noms dutilisateurs ou de groupes Administrateurs Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autorisations spciales Autoriser : Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Autorisations spciales

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise Contrleurs de domaine Enterprise

87

Accs compatible avec les versions antrieures de Windows 2000 Systme

Autoriser : Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

Lorsque le service Serveur DNS sexcute sur un contrleur de domaine, vous pouvez grer sa liste DACL laide de lobjet Active Directory MicrosoftDNS. Configurer la liste DACL sur lobjet MicrosoftDNS revient configurer la liste DACL sur le serveur DNS dans le Gestionnaire DNS, qui constitue la mthode recommande. Par consquent, les administrateurs de la scurit des objets Active Directory et des serveurs DNS doivent tre en contact direct afin de sassurer que lun ninverse pas les paramtres de scurit de lautre.

Scurisation des zones DNS


Les options de configuration de zone DNS (Domain Name System) dans les sections suivantes prsentent des implications pour la scurit des zones DNS standard et intgres Active Directory.

Configuration de mises jour dynamiques scurises


Par dfaut, le paramtre Mises jour dynamiques nest pas configur pour autoriser les mises jour dynamiques. Il sagit du paramtre le plus sr car il empche tout agresseur de mettre jour des zones DNS. Toutefois, il vous empche galement de tirer parti des avantages administratifs offerts par la mise jour dynamique. Pour configurer les ordinateurs de faon mettre jour les donnes DNS de manire plus scurise, stockez les zones DNS dans les services de domaine Active Directory (AD DS) et utilisez la fonctionnalit de mise jour dynamique. La mise jour dynamique limite les mises jour de zones DNS aux ordinateurs qui sont authentifis et membres du domaine Active Directory dans lequel se trouve le serveur DNS et aux paramtres de scurit spcifiques dfinis dans les listes de contrle daccs de la zone DNS. Pour plus dinformations, voir Autoriser uniquement les mises jour dynamiques.

88

Gestion de la liste DACL sur les zones DNS stockes dans les services de domaine Active Directory
Vous pouvez utiliser la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrler les zones DNS. Le tableau suivant rpertorie les autorisations et noms dutilisateurs ou de groupes par dfaut pour les zones DNS stockes dans les services de domaine Active Directory.

Noms dutilisateurs ou de groupes Administrateurs Utilisateurs authentifis Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autoriser : Crer tous les objets enfants Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise

Autoriser : Contrle total, Lecture, criture, Crer tous les Contrleurs de domaine Enterprise objets enfants, Supprimer des objets enfants, Autorisations spciales Tout le monde Autoriser : Lecture, Autorisations spciales

Accs compatible avec les versions Autoriser : Autorisations spciales antrieures de Windows 2000 Systme Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

Pour plus dinformations, voir Modifier la scurit pour une zone intgre Active Directory. Un service Serveur DNS excut sur un contrleur de domaine qui a des zones stockes dans les services de domaine Active Directory stocke ses donnes de zone dans les services de domaine Active Directory laide dobjets et dattributs Active Directory. Configurer la liste 89

DACL sur les objets Active Directory DNS revient configurer la liste DACL sur des zones DNS dans le Gestionnaire DNS. Par consquent, les administrateurs de la scurit des objets Active Directory et des donnes DNS doivent tre en contact direct afin de sassurer que lun ninverse pas les paramtres de scurit de lautre. Le tableau suivant dcrit les objets et attributs Active Directory utiliss par les donnes de zone DNS.

Objet DnsZone

Description Ce conteneur est cr lorsquune zone est stocke dans les services de domaine Active Directory. Cet objet feuille est utilis pour mapper et associer un nom dans la zone des donnes de ressources. Cet attribut plusieurs valeurs dun objet dnsNode est utilis pour stocker les enregistrements de ressources associs lobjet de nud nomm. Cet attribut plusieurs valeurs dun objet dnsZone est utilis pour stocker des informations de configuration de zone.

DnsNode

DnsRecord

DnsProperty

Restriction des transferts de zone


Par dfaut, le service Serveur DNS autorise le transfert des informations de zone uniquement vers les serveurs rpertoris dans les enregistrements de serveur de noms (NS) dune zone. Il sagit dune configuration scurise, mais pour une scurit accrue, ce paramtre doit tre modifi et loption autorisant les transferts de zone vers les adresses IP spcifies doit tre active. La modification de ce paramtre de faon autoriser les transferts de zone vers nimporte quel serveur peut exposer vos donnes DNS une tentative de schmatisation de votre rseau par un agresseur. Pour plus dinformations, voir Modifier les paramtres de transfert de zone.

Compromis li la dlgation de zone


Lorsque vous dcidez sil faut dlguer des noms de domaine DNS des zones hberges sur des serveurs DNS administrs sparment, vous devez prendre en compte les implications de scurit lies au fait que vous accorderez plusieurs utilisateurs la capacit administrer les donnes DNS de votre rseau. La dlgation de zone DNS implique un compromis entre les avantages pour la scurit offerts par lutilisation dun serveur DNS de rfrence unique pour toutes les donnes DNS et les avantages administratifs offerts par la distribution de la responsabilit de votre espace de noms DNS diffrents administrateurs. Cet aspect est trs important lorsque vous dlguez des domaines de niveau suprieur dun espace de noms DNS priv car ces domaines contiennent des donnes DNS trs sensibles. Pour plus dinformations, voir Prsentation de la dlgation de zone.

90

Rcupration de donnes de zone DNS


Si vos donnes DNS sont endommages, vous pouvez restaurer votre fichier de zone DNS partir du dossier de sauvegarde, qui se trouve dans le dossier %systemroot%/DNS/Backup. Lors de la cration initiale dune zone, une copie de la zone est ajoute au dossier de sauvegarde. Pour rcuprer la zone, copiez le fichier de zone dorigine depuis le dossier de sauvegarde dans le dossier %systemroot%/DNS. Lorsque vous utilisez lAssistant Nouvelle zone pour crer la zone, spcifiez le fichier de zone dans le dossier %systemroot%/DNS en tant que fichier de zone pour la nouvelle zone. Pour plus dinformations, voir Ajouter une zone de recherche directe. Cette opration sapplique uniquement aux zones standard qui ne sont pas hberges dans les services de domaine Active Directory.

Scurisation des enregistrements de ressources DNS


Les options de configuration denregistrements de ressources DNS (Domain Name System) ont des implications lies la scurit pour les enregistrements de ressources stocks dans les zones DNS standard et les zones DNS intgres Active Directory :

91

Gestion de la liste DACL sur les enregistrements de ressources DNS dans les services de domaine Active Directory
Vous pouvez utiliser la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrler les enregistrements de ressources DNS. Pour plus dinformations, voir Modifier la scurit pour un enregistrement de ressource. Le tableau suivant rpertorie les noms et autorisations de groupes ou dutilisateurs par dfaut pour les enregistrements de ressources DNS stocks dans les services de domaine Active Directory (AD DS).

Noms dutilisateurs ou de groupes Administrateurs Utilisateurs authentifis Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autoriser : Crer tous les objets enfants Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise

Autoriser : Contrle total, Lecture, criture, Crer tous les Contrleurs de domaine Enterprise objets enfants, Supprimer des objets enfants, Autorisations spciales Tout le monde Autoriser : Lecture, Autorisations spciales

Accs compatible avec les versions Autoriser : Autorisations spciales antrieures de Windows 2000 Systme Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

Scurisation des clients DNS


92

Les considrations suivantes relatives aux clients DNS (Domain Name System) prsentent des implications pour la scurit des clients DNS dans une infrastructure DNS.

Dans la mesure du possible, spcifiez des adresses IP statiques pour les serveurs DNS prfr et secondaires utiliss par un client DNS.
Si un client DNS est configur de faon obtenir ses adresses de serveurs DNS automatiquement, il les obtient par le biais dun serveur DHCP (Dynamic Host Configuration Protocol). Bien que cette mthode dobtention des adresses de serveurs DNS soit scurise, sa scurit ne va pas plus loin que celle du serveur DHCP. En configurant les clients DNS avec des adresses IP statiques pour les serveurs DNS prfrs et secondaires, vous pouvez liminer un itinraire dattaque ventuelle. Pour plus dinformations, voir Activer DNS pour les clients DHCP.

Contrle des clients DNS ayant accs au serveur DNS


Si un serveur DNS est configur de faon couter uniquement des adresses IP spcifiques, seuls les clients DNS configurs pour utiliser ces adresses IP comme serveurs DNS prfr et secondaires contacteront le serveur DNS.

93

Modifier les paramtres de transfert de zone


Vous pouvez utiliser la procdure suivante pour contrler si une zone est transfre vers dautres serveurs et quels serveurs peuvent recevoir le transfert de zone. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Modification des paramtres de transfert de zone


laide de linterface Windows laide dune ligne de commande

Pour modifier les paramtres de transfert de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Cliquez avec le bouton droit sur une zone DNS, puis cliquez sur Proprits. 3. Sous longlet Transferts de zone, effectuez lune des actions suivantes : Pour dsactiver les transferts de zone, dsactivez la case cocher Autoriser les transferts de zone. o Pour autoriser les transferts de zone, activez la case cocher Autoriser les transferts de zone. 4. Si vous avez autoris les transferts de zone, effectuez lune des actions suivantes :
o o o

Pour autoriser les transferts de zone vers nimporte quel serveur, cliquez sur Vers nimporte quel serveur. Pour autoriser les transferts de zone uniquement vers les serveurs DNS rpertoris sous longlet Serveurs de noms, cliquez sur Uniquement vers les serveurs lists dans longlet Serveurs de noms. Pour autoriser les transferts de zone uniquement vers des serveurs DNS spcifiques, cliquez sur Uniquement vers les serveurs suivants, puis ajoutez ladresse IP dun ou plusieurs serveurs DNS.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Pour amliorer la scurit de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spcifis. Si vous autorisez tout serveur DNS effectuer un transfert de zone, vous autorisez le transfert des informations du rseau interne vers tout hte capable de contacter votre serveur DNS.

94

Pour modifier les paramtres de transfert de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> {/NoXfr | /NonSecure | /SecureNs | /SecureList [<SecondaryIPAddress...>]}

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Spcifie le nom de domaine complet de la zone. Dsactive les transferts de zone pour la zone. Autorise les transferts de zone vers tout serveur DNS. Autorise les transferts de zone uniquement vers les serveurs DNS rpertoris dans la zone laide denregistrements de serveur de noms (NS). Autorise les transferts de zone uniquement vers les serveurs DNS spcifis par AdresseIPSecondaire.

<NomServeur>

<NomZone> /NoXfr /NonSecure

/SecureNs

/SecureList

Obligatoire si /SecureList est spcifi. Liste dune ou plusieurs <AdresseIPSecondaire> adresses IP de serveurs DNS autoriss obtenir des transferts de zone. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneResetSecondaries /?

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Pour amliorer la scurit de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spcifis. Si vous autorisez tout serveur DNS

95

effectuer un transfert de zone, vous autorisez le transfert des informations du rseau interne vers tout hte capable de contacter votre serveur DNS.

Configuration de serveurs multirsidents


Configuration de serveurs multirsidents
Pour les serveurs DNS multirsidents ( savoir, les serveurs DNS disposant de plusieurs adresses IP), vous pouvez configurer le service Serveur DNS de faon activer et lier de manire slective uniquement les adresses IP spcifies laide du Gestionnaire DNS. Cela vous permet de vous assurer que seuls les serveurs et clients configurs pour utiliser les adresses IP spcifies peuvent envoyer des requtes au serveur DNS. Pour les serveurs proxy connects Internet, par exemple, vous pouvez utiliser cette fonctionnalit afin de garantir que seuls les clients du rseau interne peuvent accder aux donnes DNS. Par dfaut, le service Serveur DNS tablit une liaison toutes les adresses IP configures pour lordinateur. Il peut sagir des interfaces suivantes :

toute adresse IP supplmentaire configure pour une connexion rseau unique ; des adresses IP individuelles configures pour chaque connexion distincte dans le cas o plusieurs connexions rseau sont installes sur le serveur.

Pour les serveurs DNS multirsidents, vous pouvez limiter la prise en charge DNS pour des adresses IP slectionnes. Lorsque cette fonctionnalit est active, le service Serveur DNS coute et rpond uniquement aux requtes envoyes aux adresses IP spcifies sous longlet Interface dans les proprits du serveur.

Quand faut-il spcifier des interfaces ?


Par dfaut, le service Serveur DNS coute toutes les adresses IP et accepte toutes les demandes de clients envoyes ses ports de service par dfaut (UDP 53 et TCP 53). Si vous souhaitez que le serveur DNS ne rponde pas aux demandes envoyes certaines adresses, par exemple si ces adresses correspondent des interfaces externes, vous pouvez configurer le serveur DNS pour quil rponde aux demandes reues seulement sur certaines de ses interfaces.

Considrations supplmentaires relatives aux serveurs DNS multirsidents


Vous devez prendre en compte les lments suivants lors de la configuration dadresses IP supplmentaires et de leur activation pour une utilisation avec un serveur DNS :

Des ressources de serveur supplmentaires sont consommes sur lordinateur serveur.

96

Bien que DNS permette de configurer plusieurs adresses IP pour une utilisation avec nimporte lesquelles de vos cartes rseau installes, cela ne prsente aucun avantage en termes de performances. Mme si le serveur DNS gre plusieurs zones inscrites pour une utilisation Internet, le processus dinscription Internet ne vous oblige pas inscrire diffrentes adresses IP pour chaque zone.

tant donn ces considrations :

Sachez que, lorsque vous ajoutez des adresses IP pour une utilisation avec des serveurs IP, chaque adresse supplmentaire risque de namliorer que lgrement les performances du serveur. Dans le cas o vous activez lutilisation dun grand nombre dadresses IP, vous risquez de constater une dgradation des performances du serveur. En gnral, lorsque vous ajoutez du matriel rseau lordinateur serveur, vous devez affecter une seule adresse IP principale chaque connexion rseau. Dans la mesure du possible, supprimez des configurations TCP/IP de serveur existantes les adresses IP qui ne sont pas essentielles.

97

Limiter un serveur DNS de faon couter uniquement des adresses slectionnes


Par dfaut, un service Serveur DNS qui sexcute sur un ordinateur multirsident est configur de faon couter les requtes DNS avec toutes ses adresses IP. Vous pouvez renforcer la scurit du serveur DNS en limitant les adresses IP coutes par le service Serveur DNS ladresse IP utilise par ses clients DNS comme serveur DNS prfr. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Limitation dun serveur DNS de faon couter uniquement les adresses slectionnes

laide de linterface Windows laide dune ligne de commande

Pour limiter un serveur DNS pour couter uniquement les adresses slectionnes laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Interfaces, cliquez sur Uniquement les adresses IP suivantes. 5. Dans Adresse IP, tapez une adresse IP activer pour ce serveur DNS, puis cliquez sur Ajouter. 6. Rptez ltape prcdente si ncessaire pour spcifier dautres adresses IP de serveur activer pour ce serveur DNS. Pour supprimer une adresse IP de la liste, cliquez dessus, puis cliquez sur Supprimer.

98

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Par dfaut, le service Serveur DNS coute les communications de messages DNS sur toutes les adresses IP configures pour lordinateur serveur. Les adresses IP de serveurs ajoutes cet endroit doivent tre gres de manire statique. Si vous modifiez ou supprimez ultrieurement les adresses spcifies ici des configurations TCP/IP maintenues sur ce serveur, vous devez mettre jour cette liste en consquence. Aprs avoir mis jour ou rvis la liste dinterfaces restreintes, vous devez arrter et redmarrer le serveur DNS afin dappliquer la nouvelle liste. Le fait de limiter le service Serveur DNS de sorte quil coute uniquement des adresses IP spcifiques constitue une mesure de scurit efficace car seuls les htes du mme sous-rseau (ou des htes avec un routeur qui les connecte ce mme segment) ont accs ce serveur.

Pour limiter un serveur DNS pour couter uniquement les adresses slectionnes laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :

dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Rinitialise les adresses IP des interfaces sur lesquelles le serveur DNS coute. Spcifie une ou plusieurs adresses IP pour les interfaces sur lesquelles vous souhaitez que le serveur DNS coute. Par dfaut, le service Serveur DNS coute les communications de messages DNS sur toutes les adresses IP configures pour lordinateur serveur.

<NomServeur>

/ResetListenAddresses

<Adressecoute> ...

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :

99

dnscmd <ServerName> /ResetListenAddresses /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Les adresses IP de serveurs ajoutes cet endroit doivent tre gres de manire statique. Si vous modifiez ou supprimez ultrieurement les adresses spcifies ici des configurations TCP/IP maintenues sur ce serveur, vous devez mettre jour cette liste en consquence. Aprs avoir mis jour ou rvis la liste dinterfaces restreintes, vous devez arrter et redmarrer le serveur DNS afin dappliquer la nouvelle liste. Le fait de limiter le service Serveur DNS de sorte quil coute uniquement des adresses IP spcifiques constitue une mesure de scurit efficace car seuls les htes du mme sous-rseau (ou des htes avec un routeur qui les connecte ce mme segment) ont accs ce serveur.

100

Scuriser le cache de serveur contre la pollution des noms


Par dfaut, le service Serveur DNS est scuris contre la pollution du cache, qui se produit lorsque des rponses des requtes DNS contiennent des donnes malveillantes ou ne faisant pas autorit. Loption Scuriser le cache contre la pollution empche un agresseur de polluer le cache dun serveur DNS avec des enregistrements de ressources qui nont pas t demands par le serveur DNS. La modification de ce paramtre par dfaut rduit lintgrit des rponses fournies par le service Serveur DNS. Vous pouvez appliquer cette procdure pour restaurer le paramtre par dfaut sil a t modifi prcdemment. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour scuriser le cache de serveur contre la pollution des noms 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Cliquez sur longlet Avanc. 5. Dans Options de serveur, activez la case cocher Scuriser le cache contre la pollution, puis cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Loption Scuriser le cache contre la pollution est active par dfaut.

101

Prsentation de la mise jour dynamique


Les ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise jour dynamique pour inscrire et mettre jour de manire dynamique leurs enregistrements de ressources auprs dun serveur DNS lorsque des modifications ont lieu. Cela permet de rduire les tches dadministration manuelle des enregistrements de zone, en particulier pour les clients qui changent frquemment demplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP. Le service Client DNS et le service Serveur DNS prennent en charge lutilisation des mises jour dynamiques, comme dcrit dans la RFC (Request for Comments) 2136, intitule Dynamic Updates in the Domain Name System . Le service Serveur DNS autorise lactivation ou la dsactivation de la mise jour dynamique sur la base de chaque zone sur chaque serveur configur pour charger une zone principale standard ou une zone intgre lannuaire. Par dfaut, le service Client DNS met jour de manire dynamique les enregistrements de ressources hte (A) dans DNS lorsque le service est configur pour le protocole TCP/IP.

Processus de mise jour de leurs noms DNS par les ordinateurs clients et serveurs
Par dfaut, les ordinateurs configurs de manire statique pour le protocole TCP/IP tentent dinscrire de manire dynamique les enregistrements de ressources hte (A) et pointeur (PTR) pour les adresses IP qui sont configures et utilises par leurs connexions rseau installes. Par dfaut, tous les ordinateurs inscrivent les enregistrements sur la base de leur nom de domaine complet. Le nom dordinateur complet principal, un nom de domaine complet, est bas sur le suffixe DNS principal dun ordinateur,ajout son nom dordinateur. Considrations supplmentaires :

Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer un client DNS de faon autoriser la mise jour 102

dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre.

Par dfaut, la partie suffixe DNS principal du nom de domaine complet dun ordinateur est identique au nom du domaine AD DS auquel lordinateur est joint. Pour autoriser lutilisation de suffixes DNS principaux diffrents, un administrateur de domaine peut crer une liste restreinte de suffixes autoriss en modifiant lattribut msDS-AllowedDNSSuffixes dans le conteneur dobjet de domaine. Lattribut est gr par ladministrateur de domaine laide de linterface ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol).

Les mises jour dynamiques peuvent tre envoyes pour les vnements ou raisons suivants :

Une adresse IP est ajoute, supprime ou modifie dans la configuration des proprits TCP/IP pour lune des connexions rseau installes. Un bail dadresse IP est modifi ou renouvel auprs du serveur DHCP pour lune des connexions rseau installes. Par exemple, lorsque lordinateur est dmarr ou si la commande ipconfig /renew est utilise. La commande ipconfig /registerdns est utilise pour forcer manuellement une actualisation de linscription du nom de client dans DNS. Au moment du dmarrage, lorsque lordinateur est allum. Un serveur membre est promu contrleur de domaine.

Lorsque lun des vnements prcdents dclenche une mise jour dynamique, le service Client DHCP (et non le service Client DNS) envoie les mises jour. Ce mcanisme est conu de telle sorte que si une modification est apporte aux informations dadresse IP cause du protocole DHCP, les mises jour correspondantes dans DNS sont effectues afin de synchroniser les mappages noms--adresses pour lordinateur. Le service Client DHCP effectue cette fonction pour toutes les connexions rseau sur le systme, y compris les connexions qui ne sont pas configures pour utiliser le protocole DHCP.

Exemple : fonctionnement de la mise jour dynamique


En gnral, des mises jour dynamiques sont demandes lorsquun nom DNS ou une adresse IP change sur lordinateur. Par exemple, supposez quun client nomm oldhost est dabord configur dans Proprits systme avec les noms suivants.

Nom de lordinateur

oldhost

Nom de domaine DNS de lordinateur tailspintoys.com Nom complet de lordinateur oldhost.tailspintoys.com

103

Dans cet exemple, aucun nom de domaine DNS spcifique la connexion nest configur pour lordinateur. Ultrieurement, lordinateur est renomm de oldhost en newhost, ce qui provoque les changements de nom suivants sur le systme.

Nom de lordinateur

newhost

Nom de domaine DNS de lordinateur tailspintoys.com Nom complet de lordinateur newhost.tailspintoys.com

Aprs avoir appliqu le changement de nom dans Proprits systme, vous tes invit redmarrer lordinateur. Lorsque lordinateur redmarre Windows, le service Client DHCP effectue la squence suivante pour mettre jour DNS : 1. Le service Client DHCP envoie une requte de type Source de noms (SOA) en utilisant le nom de domaine DNS de lordinateur. Lordinateur client utilise le nom de domaine complet de lordinateur configur actuellement (tel que newhost.tailspintoys.com) comme nom spcifi dans cette requte. 2. Le serveur DNS de rfrence pour la zone qui contient le nom de domaine complet du client rpond la requte de type SOA. Pour les zones principales standard, le serveur principal (propritaire) retourn dans la rponse la requte SOA est fixe et statique. Il correspond toujours au nom DNS exact apparaissant dans lenregistrement de source de noms (SOA) stock avec la zone. Si, toutefois, la zone mise jour est intgre lannuaire, tout serveur DNS qui charge la zone peut rpondre et insrer de manire dynamique son propre nom en tant que serveur principal (propritaire) de la zone dans la rponse la requte SOA. 3. Le service Client DHCP tente ensuite de contacter le serveur DNS principal. Le client traite la rponse la requte SOA afin de dterminer ladresse IP du serveur DNS autoris comme serveur principal pour accepter son nom. Il effectue ensuite la squence dtapes suivante, le cas chant, afin de contacter et de mettre jour de manire dynamique son serveur principal : 1. Il envoie une demande de mise jour dynamique au serveur principal dtermin dans la rponse la requte SOA. Si la mise jour russit, aucune action supplmentaire nest effectue. 2. Si la mise jour choue, le client envoie alors une requte de type Serveur de noms (NS) pour le nom de zone spcifi dans lenregistrement SOA. 3. Lorsquil reoit une rponse cette requte, il envoie une requte SOA au premier serveur DNS rpertori dans la rponse. 4. Une fois la requte SOA rsolue, le client envoie une mise jour dynamique au serveur spcifi dans lenregistrement SOA retourn. 104

Si la mise jour russit, aucune action supplmentaire nest effectue. 5. Si cette mise jour choue, le client rpte le processus de requte SOA en envoyant une mise jour au serveur DNS suivant rpertori dans la rponse.

4. Une fois que le serveur principal capable deffectuer la mise jour a t contact, le client envoie la demande de mise jour et le serveur la traite. La demande de mise jour inclut des instructions visant ajouter des enregistrements de ressources hte (A) (et ventuellement des enregistrements de ressources pointeur (PTR)) pour newhost.tailspintoys.com et supprimer ces mmes types denregistrements pour oldhost.tailspintoys.com, le nom qui tait inscrit auparavant. Le serveur vrifie galement que les mises jour sont autorises pour la demande du client. Pour les zones principales standard, les mises jour dynamiques ne sont pas scurises ; par consquent, toute tentative de mise jour par un client russit. Pour les zones intgres aux services de domaine Active Directory (AD DS), les mises jour sont scurises et effectues laide de paramtres de scurit bass sur lannuaire. Les mises jour dynamiques sont envoyes ou actualises de faon priodique. Par dfaut, les ordinateurs envoient une actualisation une fois tous les sept jours. Si la mise jour nentrane aucune modification des donnes de zone, la zone demeure sa version actuelle et aucune modification nest crite. Les mises jour provoquent des modifications de zone ou une augmentation des transferts de zone uniquement si les noms ou adresses changent. Lorsque le service Client DHCP inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour un ordinateur, il utilise une dure de vie (TTL) de mise en cache par dfaut de 15 minutes pour les enregistrements hte. Cela dtermine pendant combien de temps les autres serveurs et clients DNS mettent en cache les enregistrements dun ordinateur lorsque ceux-ci sont inclus dans une rponse une requte.

Mise jour dynamique scurise


La scurit des mises jour DNS est disponible uniquement pour les zones intgres aux services de domaine Active Directory. Lorsque vous intgrez une zone lannuaire, les fonctionnalits de modification de liste de contrle daccs (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet dajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spcifi. Par dfaut, la scurit des mises jour dynamiques pour les clients et serveurs DNS peut tre gre comme suit :

Les clients DNS tentent dabord dutiliser la mise jour dynamique non scurise. Si une mise jour non scurise est refuse, les clients tentent dutiliser la mise jour 105

scurise. En outre, les clients utilisent une stratgie de mise jour par dfaut qui leur permet de tenter de remplacer un enregistrement de ressource prcdemment inscrit, moins quils ne soient spcifiquement bloqus par la scurit de mise jour.

Une fois quune zone a t intgre aux services de domaine Active Directory, les serveurs DNS excutant Windows Server 2008 autorisent par dfaut uniquement les mises jour dynamiques scurises. Lorsque vous utilisez le stockage de zone standard, le comportement par dfaut du service Serveur DNS consiste ne pas autoriser les mises jour dynamiques sur ses zones. Pour les zones qui sont intgres aux services de domaine Active Directory ou qui utilisent le stockage standard bas sur fichiers, vous pouvez modifier la zone de faon autoriser toutes les mises jour dynamiques, ce qui permet toutes les mises jour dtre acceptes.

106

Autoriser uniquement les mises jour dynamiques


Les ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise jour dynamique pour inscrire et mettre jour de manire dynamique leurs enregistrements de ressources auprs dun serveur DNS lorsque des modifications ont lieu. Cela permet de rduire les tches dadministration manuelle des enregistrements de zone, en particulier pour les clients qui changent frquemment demplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP. Les mises jour dynamiques peuvent tre scurises ou non scurises. La scurit des mises jour DNS est disponible uniquement pour les zones intgres aux services de domaine Active Directory (AD DS). Une fois quune zone a t intgre lannuaire, les fonctionnalits de modification de liste de contrle daccs (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet dajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spcifi. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Autorisation des mises jour dynamiques scurises uniquement


laide de linterface Windows laide dune ligne de commande

Pour autoriser uniquement les mises jour dynamiques scurises laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, vrifiez que le type de zone est Intgr Active Directory. 4. Dans Mises jour dynamiques, cliquez sur Scuris uniquement.

107

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les mises jour dynamiques scurises sont prises en charge uniquement pour les zones intgres aux services de domaine Active Directory. Si le type de zone est configur diffremment, vous devez modifier le type de zone et intgrer la zone lannuaire avant de la scuriser pour les mises jour dynamiques DNS. La mise jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATE) . Par dfaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de rfrence rpertoris dans les enregistrements de serveur de noms (NS) pour la zone.

Pour autoriser uniquement les mises jour dynamiques scurises laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate 2

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure la zone spcifie.

<NomServeur>

/Config

Obligatoire. Spcifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hberges sur le serveur DNS <NomZone>|..AllZones spcifi de faon autoriser les mises jour dynamiques, tapez ..AllZones. /AllowUpdate Obligatoire. Permet la zone deffectuer des mises jour dynamiques. Obligatoire. Configure le serveur pour autoriser la mise jour scurise. Si vous excluez le 2, la zone sera configure pour effectuer uniquement des mises jour dynamiques standard.

108

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. La mise jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATE) . Par dfaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de rfrence rpertoris dans les enregistrements de ressources de serveur de noms (NS) pour la zone.

109

Dsactiver la rcursivit sur le serveur DNS


Par dfaut, le serveur DNS effectue des requtes rcursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transfr des requtes de clients DNS. La rcursivit est une technique de rsolution de noms dans laquelle un serveur DNS interroge dautres serveurs DNS pour le compte du client demandeur afin de rsoudre totalement le nom, puis il envoie une rponse au client. Les agresseurs peuvent utiliser la rcursivit afin de crer un dni de service Serveur DNS. Par consquent, si un serveur DNS de votre rseau nest pas destin recevoir des requtes rcursives, la rcursivit doit tre dsactive sur ce serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dsactivation de la rcursivit sur le serveur DNS


laide de linterface Windows laide dune ligne de commande

Pour dsactiver la rcursivit sur le serveur DNS laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Proprits. O ? DNS/serveur DNS applicable 3. Cliquez sur longlet Avanc. 4. Dans Options de serveur, activez la case cocher Dsactiver la rcursivit, puis cliquez sur OK. 110

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur.

Pour dsactiver la rcursivit sur le serveur DNS laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config /NoRecursion {1|0}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS.

Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez <NomServeur> galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /Config /NoRecursion {1|0} Obligatoire. Indique que la commande configure le serveur spcifi. Obligatoire. Dsactive la rcursivit. Obligatoire. Pour dsactiver la rcursivit, tapez 1 (dsactive). Pour activer la rcursivit, tapez 0 (active). Par dfaut, la rcursivit est active.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur.

111

Mise jour des indications de racine


Vous pouvez utiliser des indications de racine pour prparer des serveurs de rfrence pour des zones non-racines de sorte quils puissent dcouvrir les serveurs de rfrence qui grent des domaines un niveau suprieur ou dans dautres sous-arborescences de lespace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorit des niveaux infrieurs de lespace de noms lors de la recherche dautres serveurs dans ces conditions. Par exemple, supposez quun serveur DNS (Serveur A) possde une zone nomme sub.corp.contoso.com. Durant la rponse une requte pour un domaine de niveau suprieur, tel que le domaine corp.contoso.com, le Serveur A a besoin dassistance pour trouver un serveur de rfrence (tel que le Serveur B) pour ce domaine. Pour que le Serveur A trouve le Serveur B (ou tout autre serveur de rfrence pour le domaine contoso.com, le Serveur A doit tre en mesure dinterroger les serveurs racines de lespace de noms DNS. Les serveurs racines peuvent ensuite renvoyer le Serveur A aux serveurs de rfrence du domaine com. Les serveurs de rfrence du domaine com peuvent, leur tour, offrir une rfrence au Serveur B ou autres serveurs qui font autorit pour le domaine contoso.com. Les indications de racine utilises par le Serveur A doivent avoir des indications utiles vers les serveurs racines pour que ce processus trouve le Serveur B (ou un autre serveur de rfrence) comme demand. Pour configurer et utiliser des indications de racine correctement, rpondez tout dabord aux questions suivantes relatives votre serveur DNS :

Utilisez-vous DNS sur Internet ou sur un rseau priv ? Le serveur DNS est-il utilis en tant que serveur racine ?

112

Par dfaut, le service Serveur DNS implmente des indications de racine en utilisant un fichier, Cache.dns, stock dans le dossier %systemroot%\System32\Dns sur lordinateur serveur. Ce fichier contient normalement les enregistrements de ressources hte et de serveur de noms pour les serveurs racines Internet. Si, toutefois, vous utilisez le service Serveur DNS sur un rseau priv, vous pouvez modifier ou remplacer ce fichier par des enregistrements similaires qui pointent vers vos propres serveurs DNS racines internes. Les indications de racine sont galement traites diffremment lorsquun serveur DNS est configur pour tre utilis par dautres serveurs DNS dans un espace de noms interne en tant que redirecteur pour toute requte DNS de noms grs de manire externe (par exemple sur Internet). Mme si le serveur DNS utilis comme redirecteur peut tre plac sur le mme rseau interne que des serveurs qui lutilisent comme redirecteur, il a besoin dindications pour que les serveurs racines Internet fonctionnent correctement et rsolvent les noms externes. Si un serveur DNS est configur pour accder dautres serveurs DNS, par exemple par le biais dune liste de serveurs DNS configure dans ses proprits client TCP/IP pour une connexion rseau installe, le service Serveur DNS est capable de rassembler ses propres indications de racine durant une nouvelle configuration de serveur. Vous pouvez pour cela utiliser lAssistant Configuration dun serveur DNS.

113

Mettre jour des indications de racine sur le serveur DNS


Vous pouvez utiliser des indications de racine pour prparer des serveurs de rfrence pour des zones non-racines de sorte quils puissent dcouvrir les serveurs de rfrence qui grent des domaines un niveau suprieur ou dans dautres sous-arborescences de lespace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorit des niveaux infrieurs de lespace de noms lors de la recherche dautres serveurs dans ces conditions. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour mettre jour des indications de racine sur le serveur DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Cliquez sur longlet Indications de racine. 5. Modifiez les indications de racine de serveur comme suit :
o

Pour ajouter un serveur racine la liste, cliquez sur Ajouter, puis spcifiez le nom et ladresse IP du serveur ajouter. 114

o o o

Pour modifier un serveur racine dans la liste, cliquez sur Modifier, puis spcifiez le nom et ladresse IP du serveur modifier. Pour supprimer un serveur racine de la liste, slectionnez-le dans la liste, puis cliquez sur Supprimer. Pour copier des indications de racine depuis un serveur DNS, cliquez sur Copier partir du serveur, puis spcifiez ladresse IP du serveur DNS partir duquel vous souhaitez copier une liste de serveurs racines utiliser pour rsoudre les requtes. Ces indications de racine ne remplaceront pas dindications de racine existantes.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Modifier la scurit du service Serveur DNS sur un contrleur de domaine


Vous pouvez appliquer cette procdure pour spcifier qui peut administrer le service Serveur DNS lorsquil sexcute sur un contrleur de domaine. Elle naffecte cependant pas les catgories dutilisateurs pouvant administrer des zones et des enregistrements de ressources hbergs sur le serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour modifier la scurit du service Serveur DNS sur un contrleur de domaine 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur applicable, puis cliquez sur Proprits. O ? DNS/serveur DNS applicable 3. Sous longlet Scurit, modifiez la liste des utilisateurs ou groupes membres autoriss administrer le serveur applicable.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

115

Les listes de contrle daccs Active Directory sont prises en charge pour le service Serveur DNS uniquement lorsquil sexcute sur un contrleur de domaine.

Prsentation de lintgration aux services de domaine Active Directory


Le service Serveur DNS est intgr la conception et limplmentation des services de domaine Active Directory (AD DS). Les services de domaine Active Directory procurent un outil de niveau entreprise pour lorganisation, la gestion et la localisation des ressources sur un rseau. Lorsque vous dployez des serveurs DNS (Domain Name System) avec les services de domaine Active Directory, considrez les points suivants :

DNS est obligatoire pour la localisation des contrleurs de domaine. Le service Ouverture de session rseau utilise la prise en charge des serveurs DNS pour assurer linscription des contrleurs de domaine dans votre espace de noms de domaine DNS.

Les serveurs DNS excutant Windows Server 2003 ou Windows Server 2008 peuvent utiliser les services de domaine Active Directory pour le stockage et la rplication de vos zones. En intgrant vos zones aux services de domaine Active Directory, vous pouvez tirer parti des fonctionnalits DNS telles que la rplication AD DS, les mises jour dynamiques scurises et les fonctionnalits dantriorit et de nettoyage denregistrements.

116

Intgration de DNS aux services de domaine Active Directory


Lorsque vous installez les services de domaine Active Directory sur un serveur, vous le promulguez au rle de contrleur de domaine pour un domaine spcifique. Dans le cadre de ce processus, vous tes invit spcifier un nom de domaine DNS pour le domaine AD DS que vous joignez et pour lequel vous promulguez le serveur, et vous avez la possibilit dinstaller le rle de Serveur DNS. Cette option est fournie car un serveur DNS est requis pour localiser ce serveur ou dautres contrleurs de domaine pour les membres dun domaine AD DS.

Avantages offerts par lintgration aux services de domaine Active Directory


Pour les rseaux qui dploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommand dutiliser des zones principales intgres lannuaire. Ces zones prsentent les avantages suivants :

DNS propose une rplication des donnes multimatre et une scurit amliore bases sur les capacits des services de domaine Active Directory. Dans un modle de stockage de zone standard, les mises jour DNS sont effectues sur la base dun modle de mise jour matre unique. Dans ce modle, un seul serveur DNS de rfrence pour une zone est dsign comme source principale pour la zone. Ce serveur conserve la copie matre de la zone dans un fichier local. Avec ce modle, le serveur principal pour la zone reprsente un point de dfaillance unique fixe. Si ce serveur nest pas disponible, les demandes de mise jour mises par les clients DNS ne sont pas traites pour la zone. Avec le stockage intgr lannuaire, les mises jour dynamiques de DNS sont envoyes tout serveur DNS intgr aux services de domaine Active Directory et sont rpliques tous les autres serveurs DNS intgrs aux services de domaine Active Directory par le biais de la rplication AD DS. Dans ce modle, tout serveur DNS intgr aux services de domaine Active Directory peut accepter des mises jour dynamiques pour la zone. La copie matre de la zone tant conserve dans la base de donnes AD DS, qui est entirement rplique vers tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS oprant sur tout contrleur de domaine pour le domaine. Avec le modle de mise jour multimatre des services de domaine Active Directory, nimporte lequel des serveurs DNS principaux pour la zone intgre lannuaire peut traiter les demandes de mise jour de la zone mises par les clients DNS, tant quun contrleur de domaine est disponible et accessible sur le rseau. De plus, lorsque vous utilisez des zones intgres lannuaire, vous pouvez utiliser la modification des listes de contrle daccs pour scuriser un conteneur dobjet dnsZone dans larborescence de rpertoires. Cette fonctionnalit procure un accs dtaill la zone ou un enregistrement de ressource spcifi dans la zone. Par exemple, une liste de contrle daccs pour un enregistrement de ressource de zone peut tre limite de telle sorte que les mises jour dynamiques soient autorises uniquement pour un ordinateur client ou un groupe scuris (par exemple un groupe

117

dadministrateurs de domaine) spcifique. Cette fonctionnalit de scurit nest pas disponible avec les zones principales standard.

Les zones sont rpliques et synchronises automatiquement sur les nouveaux contrleurs de domaine chaque fois que vous en ajoutez un un domaine AD DS. Bien que le service Serveur DNS puisse tre supprim dun contrleur de domaine de manire slective, les zones intgres lannuaire sont dj stockes sur chaque contrleur de domaine. Par consquent, le stockage et la gestion des zones ne constituent pas une ressource supplmentaire. En outre, les mthodes utilises pour synchroniser les informations stockes dans lannuaire offrent des amliorations de performances par rapport aux mthodes de mise jour de zone standard, qui peuvent ventuellement ncessiter le transfert dune zone entire. En intgrant le stockage de vos bases de donnes de zones DNS dans les services de domaine Active Directory, vous pouvez optimiser la planification de rplication de base de donnes pour votre rseau. Lorsque votre espace de noms DNS et vos domaines AD DS sont stocks et rpliqus sparment, vous devez planifier et ventuellement administrer chacun de ces lments sparment. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez concevoir, implmenter, tester et maintenir deux topologies de rplication de base de donnes diffrentes. Par exemple, une topologie de rplication est ncessaire pour la rplication des donnes dannuaire entre les contrleurs de domaine et une autre topologie est ncessaire pour la rplication des bases de donnes de zones entre les serveurs DNS. Cela peut engendrer une complexit supplmentaire dans la planification et la conception de votre rseau, et constituer un obstacle sa croissance ultrieure. En intgrant le stockage DNS, vous unifiez les aspects lis la rplication et la gestion du stockage pour DNS et les services de domaine Active Directory en les fusionnant et en les affichant en tant quentit administrative unique. La rplication intgre lannuaire est plus rapide et plus efficace que la rplication DNS standard. Le traitement de la rplication AD DS tant effectu sur la base de chaque proprit, seules les modifications pertinentes sont propages. Une quantit infrieure de donnes est utilise et soumise dans les mises jour pour les zones intgres lannuaire.

Seules les zones principales peuvent tre stockes dans lannuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans lannuaire. Il doit les stocker dans des fichiers texte standard. Le modle de rplication multimatre des services de domaine Active Directory limine la ncessit davoir des zones secondaires lorsque toutes les zones sont stockes dans les services de domaine Active Directory.

118

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory
Lorsque vous installez les services de domaine Active Directory (AD DS) avec lAssistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilit dinstaller et de configurer automatiquement un serveur DNS. La zone DNS rsultante est intgre au domaine AD DS contrl par ce serveur AD DS. Pour installer les services de domaine Active Directory sur cet ordinateur, utilisez le Gestionnaire de serveur.

Cette mthode sapplique uniquement aux ordinateurs serveurs utiliss comme contrleurs de domaine. Si des serveurs membres (serveurs non utiliss comme contrleurs de domaine) sont utiliss en tant que serveurs DNS, ils ne sont pas intgrs aux services de domaine Active Directory. Si vous choisissez loption de lAssistant permettant dinstaller et de configurer automatiquement un serveur DNS local, le serveur DNS est install sur lordinateur sur lequel vous excutez lAssistant et le paramtre de serveur DNS prfr de lordinateur est configur de faon utiliser le nouveau serveur DNS local. Configurez tout autre ordinateur qui joindra ce domaine de faon utiliser ladresse IP de ce serveur DNS comme serveur DNS prfr.

119

Liste de vrification : configurer des paramtres client DNS


La configuration des clients DNS (Domain Name System) est aussi essentielle au bon fonctionnement de votre infrastructure DNS que la configuration des serveurs DNS. Les considrations prendre en compte pour la configuration des clients DNS incluent les conventions dattribution de noms aux clients (y compris le suffixe DNS principal et de nom dhte), la spcification des serveurs DNS pour un client ou lautorisation du protocole DHCP (Dynamic Host Configuration Protocol) pour affecter des serveurs DNS, ainsi que la configuration dune liste de recherche de suffixe pour la rsolution des noms dhtes courts non complets. Vous pouvez galement configurer des paramtres DNS spcifiques aux connexions pour les ordinateurs disposant de plusieurs cartes rseau ou connexions RAS (Remote Access Service).

Tche En savoir plus sur la configuration des clients.

Rfrence Prsentation des paramtres de client DNS Configurer DNS pour des clients statiques

Configurer des clients DNS statiques.

Configurer des serveurs DHCP et des clients activs pour le Activer DNS pour les clients protocole DHCP. DHCP

120

Prsentation des paramtres de client DNS


La configuration DNS (Domain Name System) ncessite les tches de configuration suivantes pour les proprits TCP/IP sur chaque ordinateur :

Dfinir un nom dhte ou dordinateur DNS pour chaque ordinateur. Par exemple, dans le nom de domaine complet wkstn1.widgets.tailspintoys.com., le nom de lordinateur DNS est le libell wkstn1 figurant lextrme gauche. Dfinir un suffixe DNS principal pour chaque ordinateur, plac aprs le nom dhte ou dordinateur afin de constituer le nom de domaine complet. Dans lexemple prcdent, le suffixe DNS principal est widgets.tailspintoys.com. Dfinir une liste de serveurs DNS utilisables par les clients lors de la rsolution des noms DNS, tels quun serveur DNS prfr, et tout serveur DNS secondaire utiliser si le serveur prfr est indisponible. Dfinir la mthode de recherche ou la liste de recherche de suffixe DNS utiliser par un client lorsquil effectue des recherches de requtes DNS pour des noms de domaine courts, non complets.

Ces tches sont dcrites en dtail dans chacune des sections suivantes.

121

Dfinition de noms dordinateurs


Lorsque vous dfinissez des noms dordinateurs pour DNS, considrez le nom comme la partie la plus gauche dun nom de domaine complet. Par exemple, dans wkstn1.widgets.tailspintoys.com., wkstn1 est le nom dordinateur. Vous pouvez configurer tous les clients DNS Windows avec un nom dordinateur bas sur nimporte lesquels des caractres standard pris en charge dfinis dans la RFC (Request for Comments) 1123 intitule Requirements for Internet Hosts Application and Support . Il sagit des caractres suivants :

Lettres majuscules de A Z Lettres minuscules de a z Chiffres de 0 9 Tirets (-)

Si vous prenez en charge la fois les espaces de noms DNS et NetBIOS sur votre rseau, vous pouvez utiliser un nom dordinateur diffrent dans chaque espace de noms. Il est toutefois recommand, dans la mesure du possible, dutiliser des noms dordinateurs de moins de 16 caractres et de respecter les impratifs dattribution de noms dfinis dans la RFC 1123. Par dfaut, le libell le plus gauche dans le nom de domaine complet pour les clients correspond au nom dordinateur NetBIOS, moins que ce libell ne fasse 16 caractres ou plus, qui est le maximum autoris pour les noms NetBIOS. Lorsque le nom dordinateur dpasse la longueur maximale autorise pour NetBIOS, le nom dordinateur NetBIOS est tronqu en fonction du libell complet spcifi. Avant de configurer des ordinateurs avec diffrents noms DNS et NetBIOS, considrez les implications suivantes et les problmes associs pour votre dploiement :

Si la recherche WINS (Windows Internet Name Service) est active pour les zones hberges par vos serveurs DNS, utilisez le mme nom dordinateur pour NetBIOS et DNS. Autrement, les rsultats des requtes et des tentatives de rsolution des noms de ces ordinateurs effectues par les clients seront incohrents.

Si vous devez utiliser des noms NetBIOS pour prendre en charge une technologie de mise en rseau Microsoft hrite, nous vous recommandons de rviser les noms dordinateurs NetBIOS utiliss sur votre rseau afin de prparer la migration vers un environnement standard exclusivement DNS. Votre rseau sera alors mieux adapt la croissance long terme et linteroprabilit avec les futurs impratifs dattribution de noms. Par exemple, si vous utilisez le mme nom dordinateur pour la rsolution NetBIOS et DNS, envisagez de convertir tous les caractres spciaux tels que le trait de soulignement (_) dans vos noms NetBIOS actuels qui ne sont pas conformes aux normes dattribution de noms DNS. Bien que ces caractres soient autoriss dans les noms NetBIOS, ils sont plus souvent incompatibles avec les impratifs dattribution de noms dhtes DNS traditionnels et avec la plupart des logiciels clients de rsolution DNS.

122

Considrations supplmentaires

Bien que lutilisation du trait de soulignement (_) dans les noms dhtes DNS ou dans les enregistrements de ressources hte (A) soit traditionnellement interdit par les normes DNS, lutilisation des traits de soulignement dans les noms lis aux services (tels que les noms utiliss pour les enregistrements de ressources SRV) a t propose afin dviter les conflits dattribution de noms dans lespace de noms DNS Internet. Outre les conventions dattribution de noms DNS standard, DNS Windows Server 2008 prend en charge lutilisation des caractres ASCII et Unicode tendus. Cependant, la plupart des logiciels de rsolution crits pour dautres plateformes (telles quUNIX) tant bass sur les normes DNS Internet, cette prise en charge des caractres amliore peut tre utilise uniquement sur les rseaux privs avec des ordinateurs excutant DNS Windows 2000, Windows Server 2003 ou Windows Server 2008. La configuration initiale de DNS et du protocole TCP/IP affiche un avertissement suggrant un nom DNS standard si un nom DNS non-standard est entr. Par dfaut, les ordinateurs et serveurs utilisent DNS pour rsoudre les noms dont la longueur est suprieure 15 caractres. Si la longueur du nom est infrieure ou gale 15 caractres, la rsolution de noms NetBIOS et DNS peut tre tente et utilise pour rsoudre le nom.

Dfinition des noms de domaine


Le nom de domaine est utilis avec le nom dordinateur client pour former le nom de domaine complet. En gnral, le nom de domaine DNS est la partie restante du nom de domaine complet qui nest pas utilise comme nom dhte unique pour lordinateur. Par exemple, le nom de domaine DNS pour un ordinateur client peut tre le suivant : si le nom de domaine complet est wkstn1.widgets.tailspintoys.com, le nom de domaine est la partie widgets.tailspintoys.com de ce nom. Les noms de domaine DNS ont deux variantes : un nom DNS et un nom NetBIOS. Le nom de domaine complet est utilis durant les requtes et la recherche des ressources nommes sur votre rseau. Pour les clients de version antrieure, le nom NetBIOS est utilis pour rechercher diffrents types de services NetBIOS partags sur votre rseau. Le service Ouverture de session rseau constitue un exemple de composant ncessitant la fois des noms NetBIOS et DNS. Dans DNS Windows Server 2008, le service Ouverture de session rseau sur un contrleur de domaine inscrit ses enregistrements de ressources SRV sur un serveur DNS. Pour Windows NT Server 4.0 et versions antrieures, les contrleurs de domaine inscrivent une entre DomainName dans le service WINS afin deffectuer la mme inscription et dannoncer leur disponibilit pour fournir un service dauthentification sur le rseau. Lorsquun ordinateur client est dmarr sur le rseau, il utilise la rsolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configur. Cette requte est utilise pour trouver les contrleurs de domaine et fournir une authentification douverture de session pour laccs aux ressources rseau. Un client ou contrleur de domaine sur le rseau peut galement utiliser le service de rsolution 123

NetBIOS pour interroger des serveurs WINS et tenter de localiser des entres DomainName [1C] afin dachever le processus douverture de session. Vos noms de domaine DNS doivent respecter les mmes normes et pratiques recommandes que celles applicables lattribution des noms dordinateurs DNS dcrites dans la section prcdente. En gnral, les conventions dattribution des noms acceptables pour les noms de domaine incluent lutilisation des lettres de A Z, des chiffres de 0 9 et du tiret (-). Un point (.) dans un nom de domaine est toujours utilis pour sparer les parties discrtes dun nom de domaine, qui sont couramment appeles libells ou simplement noms . Chaque libell correspond un niveau supplmentaire dfini dans larborescence despace de noms DNS. Pour la plupart des ordinateurs, le suffixe DNS principal configur pour lordinateur peut tre identique son nom de domaine des services de domaine Active Directory (AD DS), bien que les deux valeurs puissent aussi tre diffrentes. Important Par dfaut, la partie suffixe DNS principal du nom de domaine complet dun ordinateur doit tre identique au nom du domaine AD DS o se trouve lordinateur. Pour autoriser diffrents suffixes DNS principaux, un administrateur de domaine peut crer une liste restreinte de suffixes autoriss en crant lattribut msDS-AllowedDNSSuffixes dans le conteneur dobjet de domaine. Un administrateur de domaine cre et gre cet attribut laide des interfaces ADSI (Active Directory Service Interfaces) ou du protocole LDAP.

Configuration dune liste de serveurs DNS


Pour que les clients DNS oprent de manire efficace, une liste de serveurs de noms DNS classe par ordre de priorit doit tre configure et utilise par chaque ordinateur lorsquil traite les requtes et rsout les noms DNS. Dans la plupart des cas, lordinateur client contacte et utilise son serveur DNS prfr, qui est le premier serveur DNS sur sa liste configure localement. Les serveurs DNS secondaires rpertoris sont contacts et utiliss lorsque le serveur prfr est indisponible. Pour cette raison, il est important que le serveur DNS prfr soit adapt une utilisation continue par le client dans des conditions normales.

Considrations supplmentaires

Pour les ordinateurs excutant Microsoft Windows XP ou Windows Vista, la liste de serveurs DNS est utilise par les clients uniquement pour rsoudre les noms DNS. Lorsque les clients envoient des mises jour dynamiques, par exemple lorsquils modifient leur nom de domaine DNS ou une adresse IP configure, ils peuvent contacter ces serveurs ou dautres serveurs DNS selon les besoins afin de mettre jour leurs enregistrements de ressources DNS. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Par dfaut, le client DNS sur Windows XP ou Windows Vista ne tente pas deffectuer de mise jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramtres TCP/IP avancs de la connexion rseau en question ou modifier le Registre. Pour plus dinformations, voir les Informations de rfrence sur le Registre du Kit de ressources de Windows Server 2003 ladresse http://go.microsoft.com/fwlink/?LinkId=428 (ventuellement en anglais). 124

Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Lorsque les clients DNS sont configurs de manire dynamique laide dun serveur DHCP (Dynamic Host Configuration Protocol), il est possible davoir une plus grande liste de serveurs DNS. Pour fournir une liste dadresses IP de serveurs DNS vos clients DHCP, activez le code doption 6 sur les types doptions configurs fournis par votre serveur DHCP. Pour les serveurs DHCP Windows Server 2003 et Windows Server 2008, vous pouvez configurer une liste comportant jusqu 25 serveurs DNS pour chaque client avec cette option. Pour partager de manire efficace la charge lorsque plusieurs serveurs DNS sont rpertoris dans une liste avec options DHCP spcifies, vous pouvez configurer une tendue DHCP distincte qui fait permuter lordre des serveurs DNS et WINS fournis aux clients.

Configuration dune liste de recherche de suffixe DNS


Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui tend ou rvise leurs capacits de recherche DNS. En ajoutant des suffixes supplmentaires la liste, vous pouvez rechercher des noms dordinateurs plus courts (non complets) dans plusieurs domaines DNS spcifis. Ensuite, en cas dchec dune requte DNS, le service Client DNS peut utiliser cette liste pour ajouter dautres terminaisons de suffixe de nom votre nom dorigine et rpter les requtes DNS au serveur DNS pour ces autres noms de domaine complets. Pour les ordinateurs et les serveurs, le comportement de recherche DNS par dfaut suivant est prdtermin et utilis lors de la rsolution de noms courts non complets. Lorsque la liste de recherche de suffixe est vide ou non spcifie, le suffixe DNS principal de lordinateur est ajout aux noms courts non complets et une requte DNS est utilise pour rsoudre le nom de domaine complet rsultant. Si cette requte choue, lordinateur peut essayer deffectuer des requtes supplmentaires pour dautres noms de domaine complets en ajoutant tout suffixe DNS spcifique la connexion configur pour les connexions rseau. Si aucun suffixe spcifique la connexion nest configur ou si les requtes pour ces noms de domaine complets rsultants spcifiques la connexion chouent, le client peut alors commencer ressayer dexcuter les requtes sur la base dune rduction systmatique du suffixe principal (galement appel dvolution). Par exemple, si le suffixe principal est widgets.tailspintoys.com , le processus de dvolution est capable de rexcuter les requtes pour le nom court en le recherchant dans les domaines microsoft.com et com . Lorsque la liste de recherche de suffixe nest pas vide et comporte au moins un suffixe DNS, les tentatives de rsolution des noms DNS courts sont limites la recherche des noms de domaine complets rendue possible par la liste de suffixes spcifie. En cas dchec de 125

rsolution de tous les noms de domaine complets forms suite lajout et la tentative de chaque suffixe dans la liste, le processus de requte choue, ce qui gnre un message Nom introuvable .

Considrations supplmentaires

Si la liste de suffixes de domaine est utilise, les clients continuent denvoyer des requtes secondaires supplmentaires bases sur diffrents noms de domaine DNS lorsquune requte ne reoit aucune rponse ou nest pas rsolue. Lorsquun nom est rsolu avec une entre dans la liste de suffixes, aucune tentative nest effectue avec les entres inutilises de la liste. Pour cette raison, il est prfrable de placer en haut de la liste les suffixes de domaine les plus utiliss. Les recherches de suffixe de nom de domaine sont utilises uniquement lorsquune entre de nom DNS nest pas complte. Pour obtenir un nom DNS complet, entrez un point (.) la fin du nom. Windows Server 2008 prend en charge une zone nomme spciale, appele GlobalNames, pour fournir la rsolution dun ensemble limit de noms en une seule partie globalement uniques sur un rseau dentreprise. Vous pouvez utiliser cette zone lorsque les impratifs du rseau rendent impossible lutilisation dune liste de recherche de suffixe cet effet. Pour plus dinformations, voir Dploiement dune zone GlobalNames.

Configuration de plusieurs noms


Les ordinateurs excutant Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 sont affects de noms DNS par dfaut. Chaque ordinateur peut avoir ses noms DNS configurs par le biais dune des deux mthodes suivantes :

Un nom de domaine DNS principal, qui sapplique en tant que nom DNS complet par dfaut pour lordinateur et toutes ses connexions rseau configures. Un nom de domaine DNS spcifique la connexion qui peut tre configur en tant que nom de domaine DNS secondaire qui sapplique uniquement pour une seule carte rseau installe et configure sur lordinateur.

Bien que la plupart des ordinateurs naient pas besoin de prendre en charge plus dun nom dans DNS, la prise en charge de la configuration de plusieurs noms DNS spcifiques aux connexions est parfois utile. Par exemple, lutilisation de plusieurs noms permet un utilisateur de spcifier la connexion rseau utiliser lors de la connexion un ordinateur multirsident.

Exemple : utilisation de noms spcifiques aux connexions


Comme lindique lillustration suivante, un ordinateur serveur multirsident nomm host-a peut tre nomm en fonction de ses noms de domaine DNS principal et spcifique la connexion.

126

Dans cet exemple, lordinateur serveur host-a est reli deux sous-rseaux distincts (Subnet 1 et Subnet 2) qui sont galement lis des points redondants laide de deux routeurs pour des chemins daccs supplmentaires entre chaque sous-rseau. tant donn cette configuration, host-a procure un accs comme suit par le biais de ses connexions de rseau local nommes sparment :

Le nom host-a.public.example.microsoft.com procure un accs par le biais de la connexion de rseau local 1 sur le sous-rseau Subnet 1, un rseau local Ethernet faible vitesse (10 mgabits), pour laccs normal aux utilisateurs ayant des besoins de service de fichiers et dimpression ordinaires. Le nom host-a.backup.example.microsoft.com procure un accs par le biais de la connexion de rseau local 2 sur le sous-rseau Subnet 2, un rseau local Ethernet vitesse leve (100 mgabits), pour laccs rserv par des applications de serveur et des administrateurs ayant des besoins spciaux, tels que le dpannage des problmes de mise en rseau de serveur, lexcution de sauvegardes rseau ou la rplication de donnes de zone entre des serveurs.

Outre les noms DNS spcifiques aux connexions, lordinateur peut galement tre accessible par le biais dune des deux connexions de rseau local en spcifiant son nom de domaine DNS principal, host-a.example.microsoft.com . Lorsquil est configur comme illustr, un ordinateur peut inscrire les enregistrements de ressources dans DNS sur la base de ses trois noms distincts et ensembles dadresses IP, comme indiqu dans le tableau suivant.

Nom DNS host10.1.1.11, 10.2.2.22 a.example.microsoft.c om

Adresses IP

Description Nom DNS principal de lordinateur. Lordinateur inscrit les 127

enregistrements de ressources hte (A) et pointeur (PTR) pour toutes les adresses IP configures sous ce nom dans la zone widgets.tailspinto ys.com. Nom DNS spcifique la connexion pour la connexion de rseau local 1, qui inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour ladresse IP 10.1.1.11 dans la zone public.widgets.tailspi ntoys.com.

hosta.public.example.micr 10.1.1.11 osoft.com

Nom DNS spcifique la connexion pour la connexion de rseau local 2, qui inscrit les hostenregistrements de 10.2.2. a.backup.example.mic ressources hte (A) et 22 rosoft.com pointeur (PTR) pour ladresse IP 10.2.2.22 dans la zone backup.widgets.tailspi ntoys.com.

Considrations supplmentaires

Les noms DNS peuvent tre dfinis laide de services dadministration distance et autres services de configuration distance, tels que DHCP. Pour un serveur DNS excutant Windows Server 2008, le nom de domaine DNS principal peut tre dfini laide de ladministration distance ou de loption dinstallation sans assistance. Pour lattribut des noms spcifiques la connexion, vous pouvez utiliser des mthodes de configuration TCP/IP. Vous pouvez configurer manuellement le nom de domaine DNS pour chaque connexion qui figure dans le dossier Connexions rseau ou vous pouvez utiliser le type doption DHCP (code doption 15).

128

Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

Configurer DNS pour des clients statiques


Pour configurer DNS (Domain Name System) pour des clients avec des adresses IP configures de manire statique, vous configurez en gnral les lments suivants :

Nom(s) dhte(s) DNS de lordinateur client. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS.

Activer DNS pour les clients DHCP

Pour configurer DNS (Domain Name System) pour les clients avec des adresses IP configures de manire dynamique fournies par un serveur DHCP (Dynamic Host Configuration Protocol), on configure en gnral les lments suivants sur le serveur DHCP ou sur les clients applicables :

129

Nom(s) dhte(s) DNS de lordinateur client. Pour les clients DHCP, ce nom doit tre dfini sur lordinateur client ou affect durant linstallation sans assistance. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Pour les clients DHCP, ces serveurs peuvent tre dfinis sur le serveur DHCP en affectant loption de serveur DNS (option 6) et en fournissant une liste configure dadresses IP tries pour les serveurs DNS que le client est configur pour utiliser. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Pour les clients DHCP, cette liste peut tre dfinie sur le serveur DHCP en affectant loption de nom de domaine DNS (option 15) et en fournissant un seul suffixe DNS ajouter et utiliser dans les recherches. Pour configurer des suffixes DNS supplmentaires, configurez le protocole TCP/IP manuellement pour la configuration DNS. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS. Pour les clients DNS, par dfaut les connexions clientes inscrivent leurs adresses IP configures auprs dun serveur DNS. Pour modifier ce comportement sur le client, configurez le protocole TCP/IP manuellement sur le client pour la configuration DNS.

Pour plus dinformations sur la faon de configurer dautres serveurs DNS pour des clients DHCP, voir la documentation de client DNS ou TCP/IP applicable dlivre par le fournisseur. Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

130

Liste de vrification : migrer un serveur DNS


Vous pouvez migrer un serveur DNS en mettant niveau un serveur DNS excutant une version antrieure de Windows vers Windows Server 2008, en dplaant des fichiers de zone partir dun serveur DNS existant excutant une autre implmentation de serveur DNS ou en migrant des zones laide du transfert de zone matre-secondaire vers des serveurs DNS excutant Windows Server 2008. La migration dun serveur DNS (Domain Name System) peut amliorer les performances, la scurit et la fiabilit de votre infrastructure DNS en vous permettant daccder aux fonctionnalits avances disponibles dans Windows Server 2008.

Mise niveau dun serveur DNS Dplacement de fichiers de zone Migration de zones partir de serveurs BIND Migration de zones partir de serveurs Windows

Mise niveau dun serveur DNS


Tche Toutes les zones ou tous les fichiers et paramtres de configuration de serveur crs et stocks laide de la version Windows Server 2003 du service Serveur DNS sont stocks aux mmes emplacements de dossier systme. Aucune conversion de donnes nest requise durant le processus de mise niveau de Windows Server 2003 vers Windows Server 2008. Rfrence

131

Dplacement de fichiers de zone


Tche Copiez tous les fichiers de zone ou damorage crs avec BIND (Berkeley Internet Name Domain) que vous prvoyez dutiliser avec le service Serveur DNS dans le dossier %systemroot%\System32\DNS sur le serveur excutant Windows Server 2008. Si vous continuez utiliser un fichier damorage BIND pour fournir les paramtres de configuration initiale utiliss par le service Serveur DNS lors de son dmarrage, modifiez la mthode damorage utilise par le service Serveur DNS. Ou renommez les fichiers de zone de la convention daffectation de noms BIND vers la convention utilise par les serveurs DNS excuts sous le service Serveur DNS fourni avec les systmes dexploitation Windows. Si vous ne migrez pas le fichier damorage BIND ou si vous ne spcifiez pas le nom BIND lors de la cration des zones avec le Gestionnaire DNS, vous devrez renommer ces zones :

Rfrence

Modifier la mthode damorage utilise par le serveur DNS

Fichier damorage : renommez named.boot en Boot Fichier de zone de recherche directe : renommez db.nom_domaine en nom_domaine.dns Fichier de zone de recherche inverse : renommez db.notation_directe_rseau_IP en notation_inverse_rseau_IP.dns

Pour une zone de recherche inverse, BIND note les noms de domaine inverss comme notation directe du rseau IP mapp, par exemple db.192.1.168 pour une zone de recherche inverse cre pour une adresse rseau IP de 192.168.1.0. Les serveurs DNS excutant Windows Server 2008, quant eux, utilisent le nom de domaine complet de la zone, qui inclut le domaine in-addr.arpa, pour achever le nom de fichier. Dans cet exemple, le nom correct utiliser pour la mme zone dans DNS Windows Server 2008 est 168.1.192.in-addr.arpa.dns lorsque vous copiez et renommez le fichier.

Considrations supplmentaires

Si vous utilisez le fichier damorage BIND avec le service Serveur DNS aprs la migration, dautres limitations sappliquent lutilisation de ce fichier par le service Serveur DNS. Par exemple, certaines directives damorage BIND ne sont pas prises en charge, en particulier xfrnets et dautres directives fournies avec des versions de BIND, telles que la version 8.1.1 ou ultrieure. Pour plus dinformations, voir les articles Q194513 et Q234144 de la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkID=4441) (ventuellement en anglais).

132

Si vous avez lhabitude de modifier manuellement des fichiers de zone DNS, sachez que le service Serveur DNS utilise une notation conforme aux RFC (Requests for Comments) pour ses enregistrements de ressources pris en charge. Dans la plupart des cas, le service Serveur DNS interprte et charge les enregistrements de ressources partir de fichiers de zone crs initialement pour des serveurs DNS BIND, sans quil soit ncessaire de modifier les fichiers. Si toutefois vous avez utilis une mise en forme denregistrement non standard, le service Serveur DNS peut dtecter ces modifications et les interprter comme des donnes de zone non valides.

Migration de zones partir de serveurs BIND


Tche Configurez les serveurs BIND comme serveurs matres pour chacune des zones migrer. Sur le serveur excutant le service Serveur DNS, ajoutez des zones secondaires pour toutes les zones existantes hberges sur les serveurs DNS BIND. Ajouter une zone de recherche directe Rfrence

Si ncessaire, crez des zones de recherche inverse pour toutes les zones Ajouter une zone de de recherche inverse existantes hberges sur les serveurs DNS BIND. recherche inverse Aprs avoir effectu les transferts de zone, convertissez en zones principales les zones secondaires pour les zones qui ont t obtenues partir de zones principales sur les serveurs BIND. Facultatif : si le serveur DNS excutant Windows Server 2008 est un contrleur de domaine, stockez la zone dans les services de domaine Active Directory (AD DS). Configurez les serveurs principaux prcdents en serveurs secondaires pour les zones migres ou rtrogradez les serveurs principaux prcdents. Pour les autres zones secondaires restantes, mettez jour les serveurs matres de ces zones de faon utiliser les nouveaux serveurs DNS principaux excutant Windows Server 2008. Modifier le type de zone

Modifier le type de zone

Migration de zones partir de serveurs DNS Windows


Ces tches sont ncessaires uniquement si les zones que vous migrez sont hberges sur des serveurs Windows et ne sont pas stockes dans les services de domaine Active Directory.

Tche Sur le serveur excutant Windows Server 2008, crez des zones

Rfrence Ajouter une zone de 133

secondaires pour toutes les zones existantes hberges sur les serveurs DNS Windows. Si ncessaire, crez des zones de recherche inverse pour toutes les zones de recherche inverse existantes hberges sur les serveurs DNS Windows. Aprs avoir effectu les transferts de zone, convertissez les zones secondaires en zones principales pour les zones qui ont t migres. Facultatif : si le serveur DNS excutant Windows Server 2008 est un contrleur de domaine, stockez la zone dans les services de domaine Active Directory. Facultatif : pour continuer utiliser les serveurs matres prcdents comme serveurs DNS, convertissez les zones migres sur les serveurs matres prcdents en zones secondaires.

recherche directe

Ajouter une zone de recherche inverse Modifier le type de zone Modifier le type de zone

Modifier le type de zone

Modifier la mthode damorage utilise par le serveur DNS


Vous pouvez appliquer cette procdure pour dterminer si le serveur DNS (Domain Name System) obtient ses informations de dmarrage partir du Registre, dun fichier damorage ou des services de domaine Active Directory (AD DS). Par dfaut, les serveurs DNS utilisent les informations stockes dans le Registre pour initialiser le service et charger toutes les donnes de zone utiliser sur le serveur. En guise doptions supplmentaires, vous pouvez configurer le serveur DNS pour quil samorce partir dun fichier ou, dans les environnements AD DS, vous pouvez complter les donnes de Registre locales avec des donnes de zone rcupres pour des zones intgres lannuaire stockes dans la base de donnes Active Directory. Si vous utilisez un fichier damorage, le fichier utilis doit tre un fichier texte nomm Boot et il doit tre situ sur cet ordinateur dans le dossier %systemroot%\Windows\System32\Dns.

134

Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour modifier la mthode damorage utilise par le serveur DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Proprits. 3. Cliquez sur longlet Avanc. 4. Dans la liste Charger les donnes de zone au dmarrage, slectionnez partir du Registre, partir dun fichier ou partir de Active Directory et du Registre.

Ajouter une zone de recherche directe


Les zones de recherche directe prennent en charge la fonction principale de DNS (Domain Name System), autrement dit la rsolution des noms dhtes en adresses IP. Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dune zone de recherche directe


laide de linterface Windows laide dune ligne de commande

Pour ajouter une zone de recherche directe laide de linterface Windows 135

1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec un bouton droit sur un serveur DNS, puis cliquez sur Nouvelle zone pour ouvrir lAssistant Nouvelle zone. 3. Suivez les instructions pour crer une zone principale, une zone secondaire ou une zone de stub.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter une zone de recherche directe laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary|/Secondary|/Stub|/DsStub} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]

Paramtre dsncmd

Description Gre les serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute une zone. Obligatoire. Spcifie le nom de domaine complet de la zone.

<NomServeur>

/ZoneAdd <NomZone>

Obligatoire. Spcifie le type de zone. /Primary|/DsPrimary|/Secondary|/Stub|/DsStub /DsPrimary et /DsStub spcifient un type de zone intgre Active Directory. Obligatoire pour /Primary. Spcifie un fichier pour la nouvelle zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Obligatoire pour /Primary. Spcifie le nom du fichier de zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary.

/file

<NomFichier>

136

/load

Charge un fichier existant pour la zone. Si ce paramtre nest pas spcifi, des enregistrements de zone par dfaut sont crs automatiquement. Ce paramtre ne sapplique pas /DsPrimary. Ajoute une adresse de messagerie dadministrateur pour la zone. Spcifie ladresse de messagerie dadministrateur pour la zone. Ajoute la zone une partition dannuaire dapplications. Vous pouvez utiliser lune des valeurs suivantes :

/a

<EmailAdmin>

/DP /domain - Pour une partition dannuaire du domaine (rplique sur tous les serveurs DNS du domaine). /DP /forest - Pour une partition dannuaire de la fort (rplique sur tous les serveurs DNS de la fort). /DP /legacy - Pour une partition dannuaire hrite (rplique sur tous les contrleurs de domaine du domaine). Ce paramtre prend en charge les domaines qui contiennent des contrleurs de domaine hrits excutant Windows 2000 Server.

/DP

<NomDomaineComplet>

Spcifie le nom de domaine complet de la partition dannuaire.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneAdd /help

Ajouter une zone de recherche inverse


Les zones de recherche inverse prennent en charge la rsolution des adresses IP en noms dhtes. Bien quelles soient facultatives sur la plupart des rseaux, les zones de recherche

137

inverse peuvent savrer ncessaires pour certaines applications scurises qui requirent la validation des adresses IP. Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dune zone de recherche inverse


laide de linterface Windows laide dune ligne de commande

Pour ajouter une zone de recherche inverse laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec un bouton droit sur un serveur DNS (Domain Name System), puis cliquez sur Nouvelle zone pour ouvrir lAssistant Nouvelle zone. 3. Suivez les instructions pour crer une nouvelle zone de recherche inverse.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter une zone de recherche inverse laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute une zone. Obligatoire. Spcifie le nom de domaine complet du domaine inaddr.arpa pour la zone, par exemple, 20.1.168.192.in-addr.arpa.

<NomServeur>

/ZoneAdd <NomZone>

138

/Primary|/DsPrimary

Obligatoire. Spcifie le type de zone. Pour spcifier une zone intgre Active Directory, tapez /DsPrimary. Obligatoire pour /Primary. Spcifie un fichier pour la nouvelle zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Obligatoire pour /Primary. Spcifie le nom du fichier de zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Charge un fichier existant pour la zone. Si ce paramtre nest pas spcifi, des enregistrements de zone par dfaut sont crs automatiquement. Ce paramtre ne sapplique pas /DsPrimary. Ajoute une adresse de messagerie dadministrateur pour la zone. Spcifie ladresse de messagerie dadministrateur pour la zone. Ajoute la zone une partition dannuaire dapplications. Vous pouvez utiliser lune des valeurs suivantes :

/file

<NomFichier>

/load

/a <EmailAdmin>

/DP /domain - Pour une partition dannuaire du domaine (rplique sur tous les serveurs DNS du domaine). /DP /forest - Pour une partition dannuaire de la fort (rplique sur tous les serveurs DNS de la fort). /DP /legacy - Pour une partition dannuaire hrite (rplique sur tous les contrleurs de domaine du domaine). Ce paramtre prend en charge les domaines qui contiennent des contrleurs de domaine hrits excutant Windows 2000 Server.

/DP

<NomDomaineComplet> Spcifie le nom de domaine complet de la partition dannuaire. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneAdd /help

139

Modifier le type de zone


Vous pouvez appliquer cette procdure pour faire dune zone une zone principale, secondaire ou de stub. Vous pouvez galement lappliquer pour intgrer une zone aux services de domaine Active Directory (AD DS). Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Modification du type de zone


laide de linterface Windows laide dune ligne de commande

Pour modifier le type de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis slectionnez Proprits. 3. Sous longlet Gnral, notez le type de zone actuel, puis cliquez sur Modifier. 4. Dans Modification du type de zone, slectionnez un type de zone autre que le type de zone actuel, puis cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Vous pouvez slectionner Zone principale, Zone secondaire ou Zone de stub. Lorsque vous slectionnez le type de zone secondaire ou de stub, vous devez spcifier ladresse IP dun autre serveur DNS (Domain Name System) utiliser comme source pour lobtention des informations mises jour pour la zone. Si lordinateur serveur DNS assume la fonction de contrleur de domaine, loption de stockage de la zone dans les services de domaine Active Directory est disponible. Autrement, cette option nest pas disponible. Lorsque ce type de zone est slectionn, les donnes de zone sont stockes et rpliques dans le cadre de la base de donnes AD DS.

140

Remarques Vous ne pouvez pas modifier simultanment le type de zone (principale, secondaire ou de stub) et la mthode de stockage de la zone. Vous devez effectuer ces deux oprations sparment. La modification dune zone secondaire en zone principale peut affecter dautres activits de zone, y compris la gestion des mises jour dynamiques et des transferts de zone et lutilisation des listes de notification DNS pour informer les autres serveurs des modifications dans la zone. Il nest pas recommand de changer une zone de stub en zone principale, ou linverse, car cela contredit la fonction des zones de stub. La modification du stockage ou du type de zone DNS peut prendre beaucoup de temps pour les grandes zones. Pour modifier le type de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneResetType <ZoneName Property> [<MasterIPaddress...>] [/file <FileName>] {/OverWrite_Mem|/OverWrite_Ds|/DirectoryPartition <FQDN>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Lun des types de zones suivants :

<NomServeur>

<NomZone> <Proprit>

/Primary Zone principale standard. Loption /fileNomFichier est obligatoire.

/DsPrimary Zone principale intgre aux services de domaine Active Directory. Si la zone nen est pas dj une, vous devez la convertir en zone principale ( laide de /Primary) avant dutiliser ce paramtre pour intgrer la zone aux services de domaine Active Directory. /Secondary

141

Zone secondaire. Vous devez spcifier au moins une AdresseIPMatre. /Stub Zone de stub. Vous devez spcifier au moins une AdresseIPMatre. Sil sagit dune zone principale intgre aux services de domaine Active Directory, vous devez utiliser /DsStub pour la convertir en zone de stub intgre aux services de domaine Active Directory avant dutiliser ce paramtre.

/DsStub Zone de stub intgre aux services de domaine Active Directory. Vous devez spcifier au moins une AdresseIPMatre. Si la zone nen est pas dj une, vous devez la convertir en zone de stub ( laide de /Stub) avant dutiliser ce paramtre pour intgrer la zone aux services de domaine Active Directory.

/file <NomFichier>

Obligatoire pour /Primary. Spcifie le nom dun fichier pour la nouvelle zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Obligatoire pour /Secondary, /Stub et /DsStub. Spcifie une ou plusieurs adresses IP pour les serveurs matres de la zone secondaire ou de la zone de stub, partir desquels les donnes de zone sont copies. /OverWrite_Mem remplace les donnes DNS existantes par les donnes se trouvant dans les services de domaine Active Directory. /OverWrite_Ds remplace les donnes Active Directory par les donnes se trouvant dans DNS. /DirectoryPartition stocke la nouvelle zone dans la partition dannuaire dapplications spcifie par NomDomaineComplet, telle que DomainDnsZones.corp.widgets.tailspintoys.com.

<AdresseIPMatre...>

/OverWrite_Mem | /OverWrite_Ds | /DirectoryPartition <NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneResetType /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. 142

Vous avez le choix entre des zones principales, des zones secondaires et des zones de stub. Lorsque vous slectionnez le type de zone secondaire ou de stub, spcifiez ladresse IP dun autre serveur DNS utiliser comme source pour lobtention des informations mises jour pour la zone. Si lordinateur serveur DNS assume la fonction de contrleur de domaine, vous pouvez utiliser le paramtre /DsPrimary ou le paramtre /DsStub. Autrement, ces options ne sont pas disponibles. Lorsque lun de ces types de zones est slectionn, les donnes de zone sont stockes et rpliques dans le cadre de la base de donnes AD DS. Remarques Avant dutiliser ces options, vous devez tout dabord convertir la zone au type appropri, si ncessaire. Autrement dit, la zone doit dj tre une zone principale pour que vous puissiez utiliser /DsPrimary pour lintgrer aux services de domaine Active Directory. De mme, la zone doit dj tre une zone de stub pour que vous puissiez utiliser /DsStub pour lintgrer aux services de domaine Active Directory. La modification dune zone secondaire en zone principale peut affecter dautres activits de zone, y compris la gestion des mises jour dynamiques et des transferts de zone et lutilisation des listes de notification DNS pour informer les autres serveurs des modifications dans la zone. Il nest pas recommand de changer une zone de stub en zone principale, ou linverse, car cela contredit la fonction des zones de stub.

143

Liste de vrification : crer une zone de recherche inverse


Les serveurs DNS (Domain Name System) peuvent permettre aux clients de dterminer le nom DNS dun hte sur la base de son adresse IP laide dune zone spciale appele zone de recherche inverse. Une zone de recherche inverse contient des enregistrements de ressources pointeur (PTR) qui mappent des adresses IP au nom dhte. Certaines applications, telles que les applications Web scurises, reposent sur lutilisation de la recherche inverse. Crez une zone de recherche inverse uniquement si des applications excutes sur votre rseau lexigent. Autrement, vous devez dsactiver les mises jour dynamiques des enregistrements de ressources pointeur (PTR) par les ordinateurs clients.

Tche

Rfrence

En savoir plus sur les recherches inverses. Prsentation de la recherche inverse Crer une zone de recherche inverse. Ajouter une zone de recherche inverse

144

Prsentation de la recherche inverse


Dans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, savoir une recherche base sur le nom DNS dun autre ordinateur stock dans un enregistrement de ressource hte (A). Ce type de requte attend une adresse IP comme donnes de ressource pour la rponse. DNS propose galement un processus de recherche inverse, dans lequel les clients utilisent une adresse IP connue et recherchent un nom dordinateur sur la base de cette adresse. Une recherche inverse assume la forme dune question du type Pouvez-vous me donner le nom DNS de lordinateur qui utilise ladresse IP 192.168.1.20 ? . DNS na pas t conu initialement pour prendre en charge ce type de requte. Lun des problmes lis la prise en charge du processus de requte inverse est la diffrence dans la faon dont lespace de noms DNS organise et indexe les noms et la faon dont les adresses IP sont affectes. Si la seule mthode permettant de rpondre la question prcdente consiste rechercher dans tous les domaines de lespace de noms DNS, une requte inverse prendrait trop longtemps et exigerait trop de traitement pour tre rellement utile. Pour rsoudre ce problme, un domaine spcial, le domaine in-addr.arpa, a t dfini dans les normes DNS et rserv dans lespace de noms DNS Internet afin de fournir un moyen fiable et pratique deffectuer des requtes inverses. Pour crer lespace de noms invers, des sousdomaines dans le domaine in-addr.arpa sont forms, laide du classement invers des nombres dans la notation dcimale spare par des points des adresses IP. Ce classement invers des domaines pour chaque valeur doctet est ncessaire car, contrairement aux noms DNS, lorsque des adresses IP sont lues de gauche droite, elles sont interprtes de manire oppose. Lorsquune adresse IP est lue de gauche droite, les informations les plus gnrales (une adresse IP rseau) contenues dans la premire partie de ladresse sont vues en premier, suivies des informations les plus spcifiques (une adresse dhte IP) contenues dans les derniers octets. Pour cette raison, lordre des octets dadresse IP doit tre invers lors de la cration de larborescence de domaine in-addr.arpa. Les adresses IP de larborescence DNS in-addr.arpa peuvent tre dlgues des organisations car un ensemble spcifique ou limit dadresses IP leur est affect dans la classe dadresses dfinie par Internet. Pour finir, larborescence de domaine in-addr.arpa, tant intgre DNS, requiert la dfinition dun type denregistrement de ressource supplmentaire : lenregistrement de ressource pointeur (PTR). Cet enregistrement de ressource cre un mappage dans la zone de recherche inverse qui correspond en gnral un enregistrement de ressource hte (A) nomm pour le nom dordinateur DNS dun hte dans sa zone de recherche directe.

145

Le domaine in-addr.arpa sapplique tous les rseaux TCP/IP bass sur ladressage IPv4 (Internet Protocol version 4). LAssistant Nouvelle zone suppose automatiquement que vous utilisez ce domaine lorsque vous crez une zone de recherche inverse. Si vous installez DNS et que vous configurez des zones de recherche inverse pour un rseau IPv6 (Internet Protocol version 6), vous pouvez spcifier un nom exact dans lAssistant Nouvelle zone. De cette faon, vous pouvez crer des zones de recherche inverse dans le Gestionnaire DNS qui peuvent prendre en charge des rseaux IPv6, qui utilisent un nom de domaine spcial diffrent, le domaine ip6.arpa. Vous trouverez des informations supplmentaires concernant le protocole IPv6 et DNS, y compris des exemples dmontrant comment crer et utiliser des noms de domaine ip6.arpa, dans la RFC (Request for Comments) 3596 intitule DNS Extensions to support IP version 6 . Pour plus dinformations, reportez-vous directement cette RFC, disponible sur le site Web RFC Editor (http://go.microsoft.com/fwlink/?LinkId=240) (ventuellement en anglais).

Exemple : requte inverse (pour les rseaux IPv4)


Lillustration suivante reprsente un exemple de requte inverse initie par un client DNS afin de dcouvrir le nom dun autre hte (host-a) sur la base de son adresse IP : 192.168.1.20.

Le processus de requte inverse implique les tapes suivantes : 1. Le client interroge le serveur DNS concernant un enregistrement de ressource pointeur (PTR) mapp ladresse IP 192.168.1.20 pour host-a. tant donn que la requte concerne un enregistrement de ressource pointeur (PTR), la rsolution inverse ladresse et ajoute le domaine in-addr.arpa la fin de ladresse inverse. Cela forme le nom de domaine complet (20.1.168.192.in-addr.arpa.) dans lequel effectuer la recherche dans une zone de recherche inverse. 2. Une fois localis, le serveur DNS de rfrence pour 20.1.168.192.in-addr.arpa peut rpondre avec les informations denregistrement de ressource pointeur (PTR). Ces informations incluent le nom de domaine DNS pour host-a, qui achve le processus de recherche inverse. Noubliez pas que si aucune rponse ne peut tre obtenue depuis le serveur DNS pour le nom invers interrog, la rsolution DNS normale (rcursivit ou itration) peut tre utilise pour localiser un serveur DNS faisant autorit pour la zone de recherche inverse et contenant le nom interrog. Dans ce sens, le processus de rsolution de nom utilis dans une recherche inverse est identique celui dune recherche directe. 146

Requtes inverses
Lutilisation des requtes inverses ( ne pas confondre avec les requtes inverses) est une pratique obsolte, propose lorigine dans le cadre de la norme DNS pour rechercher un nom dhte sur la base de son adresse IP. Elles utilisent une opration de requte DNS non standard et leur utilisation est limite certaines versions antrieures de Nslookup, un utilitaire de ligne de commande pour le dpannage et le test du service Serveur DNS. Le service Serveur DNS reconnat et accepte les messages de requte inverse, et y rpond par une fausse rponse de rponse inverse. Pour les serveurs DNS excutant Windows NT Server 4.0, cette prise en charge est disponible par dfaut si lordinateur serveur a t mis jour vers le Service Pack 4 (SP4) ou ultrieur. Remarques La configuration des enregistrements de ressources pointeur (PTR) et des zones de recherche inverse pour lidentification des htes par requte inverse est une partie strictement facultative de limplmentation de la norme DNS. Rien ne vous oblige utiliser des zones de recherche inverse, bien que pour certaines applications rseau elles soient utilises pour effectuer des vrifications de scurit.

147

Ajouter une zone de recherche inverse


Les zones de recherche inverse prennent en charge la rsolution des adresses IP en noms dhtes. Bien quelles soient facultatives sur la plupart des rseaux, les zones de recherche inverse peuvent savrer ncessaires pour certaines applications scurises qui requirent la validation des adresses IP. Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dune zone de recherche inverse


laide de linterface Windows laide dune ligne de commande

Pour ajouter une zone de recherche inverse laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec un bouton droit sur un serveur DNS (Domain Name System), puis cliquez sur Nouvelle zone pour ouvrir lAssistant Nouvelle zone. 3. Suivez les instructions pour crer une nouvelle zone de recherche inverse.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter une zone de recherche inverse laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. 148

<NomServeur>

Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute une zone. Obligatoire. Spcifie le nom de domaine complet du domaine inaddr.arpa pour la zone, par exemple, 20.1.168.192.in-addr.arpa. Obligatoire. Spcifie le type de zone. Pour spcifier une zone intgre Active Directory, tapez /DsPrimary. Obligatoire pour /Primary. Spcifie un fichier pour la nouvelle zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Obligatoire pour /Primary. Spcifie le nom du fichier de zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Charge un fichier existant pour la zone. Si ce paramtre nest pas spcifi, des enregistrements de zone par dfaut sont crs automatiquement. Ce paramtre ne sapplique pas /DsPrimary. Ajoute une adresse de messagerie dadministrateur pour la zone. Spcifie ladresse de messagerie dadministrateur pour la zone. Ajoute la zone une partition dannuaire dapplications. Vous pouvez utiliser lune des valeurs suivantes :

/ZoneAdd <NomZone>

/Primary|/DsPrimary

/file

<NomFichier>

/load

/a <EmailAdmin>

/DP /domain - Pour une partition dannuaire du domaine (rplique sur tous les serveurs DNS du domaine). /DP /forest - Pour une partition dannuaire de la fort (rplique sur tous les serveurs DNS de la fort). /DP /legacy - Pour une partition dannuaire hrite (rplique sur tous les contrleurs de domaine du domaine). Ce paramtre prend en charge les domaines qui contiennent des contrleurs de domaine hrits excutant Windows 2000 Server.

/DP

<NomDomaineComplet> Spcifie le nom de domaine complet de la partition dannuaire. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :

149

dnscmd /ZoneAdd /help

Installation et configuration de serveurs


La premire tape dans limplmentation de DNS (Domain Name System) sur un rseau consiste installer et configurer les serveurs qui fourniront le service. Avant cela, toutefois, il est important de planifier le dploiement afin de garantir lefficacit optimale de votre infrastructure DNS. En plus de planifier votre disposition de zones et la fonction et lemplacement des serveurs, vous devez dterminer si vous intgrerez votre infrastructure DNS aux services de domaine Active Directory (AD DS).

Prsentation de lintgration aux services de domaine Active Directory Prsentation des redirecteurs Utilisation de redirecteurs Planification des zones DNS Planification des serveurs DNS Prsentation de la rplication de zone DNS dans les services de domaine Active Directory Installer un serveur DNS Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory Configurer un nouveau serveur DNS Configurer un serveur DNS de faon utiliser des redirecteurs Crer une partition dannuaire dapplications DNS Enrler un serveur DNS dans une partition de lannuaire dapplications DNS Supprimer un serveur DNS dune partition de lannuaire dapplications DNS Modifier la mthode damorage utilise par le serveur DNS Configuration de serveurs multirsidents Limiter un serveur DNS de faon couter uniquement des adresses slectionnes Scuriser le cache de serveur contre la pollution des noms Modifier la scurit du service Serveur DNS sur un contrleur de domaine Dsactiver la rcursivit sur le serveur DNS Mise jour des indications de racine 150

Mettre jour des indications de racine sur le serveur DNS

Prsentation de lintgration aux services de domaine Active Directory


Le service Serveur DNS est intgr la conception et limplmentation des services de domaine Active Directory (AD DS). Les services de domaine Active Directory procurent un outil de niveau entreprise pour lorganisation, la gestion et la localisation des ressources sur un rseau. Lorsque vous dployez des serveurs DNS (Domain Name System) avec les services de domaine Active Directory, considrez les points suivants :

DNS est obligatoire pour la localisation des contrleurs de domaine. Le service Ouverture de session rseau utilise la prise en charge des serveurs DNS pour assurer linscription des contrleurs de domaine dans votre espace de noms de domaine DNS.

Les serveurs DNS excutant Windows Server 2003 ou Windows Server 2008 peuvent utiliser les services de domaine Active Directory pour le stockage et la rplication de vos zones. En intgrant vos zones aux services de domaine Active Directory, vous pouvez tirer parti des fonctionnalits DNS telles que la rplication AD DS, les mises jour dynamiques scurises et les fonctionnalits dantriorit et de nettoyage denregistrements.

Intgration de DNS aux services de domaine Active Directory


Lorsque vous installez les services de domaine Active Directory sur un serveur, vous le promulguez au rle de contrleur de domaine pour un domaine spcifique. Dans le cadre de ce processus, vous tes invit spcifier un nom de domaine DNS pour le domaine AD DS que vous joignez et pour lequel vous promulguez le serveur, et vous avez la possibilit dinstaller le rle de Serveur DNS. Cette option est fournie car un serveur DNS est requis pour localiser ce serveur ou dautres contrleurs de domaine pour les membres dun domaine AD DS.

Avantages offerts par lintgration aux services de domaine Active Directory


Pour les rseaux qui dploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommand dutiliser des zones principales intgres lannuaire. Ces zones prsentent les avantages suivants :

DNS propose une rplication des donnes multimatre et une scurit amliore bases sur les capacits des services de domaine Active Directory.

151

Dans un modle de stockage de zone standard, les mises jour DNS sont effectues sur la base dun modle de mise jour matre unique. Dans ce modle, un seul serveur DNS de rfrence pour une zone est dsign comme source principale pour la zone. Ce serveur conserve la copie matre de la zone dans un fichier local. Avec ce modle, le serveur principal pour la zone reprsente un point de dfaillance unique fixe. Si ce serveur nest pas disponible, les demandes de mise jour mises par les clients DNS ne sont pas traites pour la zone. Avec le stockage intgr lannuaire, les mises jour dynamiques de DNS sont envoyes tout serveur DNS intgr aux services de domaine Active Directory et sont rpliques tous les autres serveurs DNS intgrs aux services de domaine Active Directory par le biais de la rplication AD DS. Dans ce modle, tout serveur DNS intgr aux services de domaine Active Directory peut accepter des mises jour dynamiques pour la zone. La copie matre de la zone tant conserve dans la base de donnes AD DS, qui est entirement rplique vers tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS oprant sur tout contrleur de domaine pour le domaine. Avec le modle de mise jour multimatre des services de domaine Active Directory, nimporte lequel des serveurs DNS principaux pour la zone intgre lannuaire peut traiter les demandes de mise jour de la zone mises par les clients DNS, tant quun contrleur de domaine est disponible et accessible sur le rseau. De plus, lorsque vous utilisez des zones intgres lannuaire, vous pouvez utiliser la modification des listes de contrle daccs pour scuriser un conteneur dobjet dnsZone dans larborescence de rpertoires. Cette fonctionnalit procure un accs dtaill la zone ou un enregistrement de ressource spcifi dans la zone. Par exemple, une liste de contrle daccs pour un enregistrement de ressource de zone peut tre limite de telle sorte que les mises jour dynamiques soient autorises uniquement pour un ordinateur client ou un groupe scuris (par exemple un groupe dadministrateurs de domaine) spcifique. Cette fonctionnalit de scurit nest pas disponible avec les zones principales standard.

Les zones sont rpliques et synchronises automatiquement sur les nouveaux contrleurs de domaine chaque fois que vous en ajoutez un un domaine AD DS. Bien que le service Serveur DNS puisse tre supprim dun contrleur de domaine de manire slective, les zones intgres lannuaire sont dj stockes sur chaque contrleur de domaine. Par consquent, le stockage et la gestion des zones ne constituent pas une ressource supplmentaire. En outre, les mthodes utilises pour synchroniser les informations stockes dans lannuaire offrent des amliorations de performances par rapport aux mthodes de mise jour de zone standard, qui peuvent ventuellement ncessiter le transfert dune zone entire. En intgrant le stockage de vos bases de donnes de zones DNS dans les services de domaine Active Directory, vous pouvez optimiser la planification de rplication de base de donnes pour votre rseau. Lorsque votre espace de noms DNS et vos domaines AD DS sont stocks et rpliqus sparment, vous devez planifier et ventuellement administrer chacun de ces lments sparment. Par exemple, lorsque vous utilisez conjointement le stockage de zone DNS standard et les services de domaine Active Directory, vous devez

152

concevoir, implmenter, tester et maintenir deux topologies de rplication de base de donnes diffrentes. Par exemple, une topologie de rplication est ncessaire pour la rplication des donnes dannuaire entre les contrleurs de domaine et une autre topologie est ncessaire pour la rplication des bases de donnes de zones entre les serveurs DNS. Cela peut engendrer une complexit supplmentaire dans la planification et la conception de votre rseau, et constituer un obstacle sa croissance ultrieure. En intgrant le stockage DNS, vous unifiez les aspects lis la rplication et la gestion du stockage pour DNS et les services de domaine Active Directory en les fusionnant et en les affichant en tant quentit administrative unique. La rplication intgre lannuaire est plus rapide et plus efficace que la rplication DNS standard. Le traitement de la rplication AD DS tant effectu sur la base de chaque proprit, seules les modifications pertinentes sont propages. Une quantit infrieure de donnes est utilise et soumise dans les mises jour pour les zones intgres lannuaire. Seules les zones principales peuvent tre stockes dans lannuaire. Un serveur DNS ne peut pas stocker de zones secondaires dans lannuaire. Il doit les stocker dans des fichiers texte standard. Le modle de rplication multimatre des services de domaine Active Directory limine la ncessit davoir des zones secondaires lorsque toutes les zones sont stockes dans les services de domaine Active Directory.

153

Prsentation des redirecteurs


Un redirecteur est un serveur DNS (Domain Name System) sur un rseau qui transfre des requtes DNS pour des noms DNS externes vers des serveurs DNS situs lextrieur de ce rseau. Vous pouvez galement transfrer les requtes sur la base de noms de domaine spcifiques au moyen de redirecteurs conditionnels. Vous dsignez un serveur DNS sur un rseau comme redirecteur en configurant les autres serveurs DNS du rseau de sorte quils transfrent ce serveur DNS les requtes quils ne peuvent pas rsoudre localement. Lutilisation dun redirecteur vous permet de grer la rsolution des noms externes votre rseau, tels que les noms Internet, et damliorer lefficacit de la rsolution de noms pour les ordinateurs de votre rseau. Pour plus dinformations sur les redirecteurs et les redirecteurs conditionnels, voir Utilisation de redirecteurs. La figure suivante illustre la faon dont les requtes de noms externes sont diriges avec des redirecteurs.

Lorsque vous dsignez un serveur DNS comme redirecteur, vous le rendez responsable de la gestion du trafic externe, ce qui limite lexposition du serveur DNS Internet. Un redirecteur entrane lexistence dun grand cache dinformations DNS externes car toutes les requtes DNS externes sur le rseau sont rsolues par son intermdiaire. En peu de temps, un redirecteur rsout un grand nombre de requtes DNS externes laide de ces donnes mises en cache. Cela rduit le trafic Internet sur le rseau et le temps de rponse pour les clients DNS. Un serveur DNS configur pour utiliser un redirecteur se comporte diffremment dun serveur DNS non configur pour utiliser un redirecteur. Le comportement dun serveur DNS configur pour utiliser un redirecteur est le suivant :

154

1. Lorsque le serveur DNS reoit une requte, il tente de la rsoudre au moyen des zones quil hberge et laide de son cache. 2. Si la requte ne peut pas tre rsolue laide des donnes locales, le serveur DNS la transfre au serveur DNS dsign comme redirecteur. 3. Si aucun redirecteur nest disponible, le serveur DNS tente dutiliser ses indications de racine pour rsoudre la requte. Lorsquun serveur DNS transfre une requte un redirecteur, il envoie une requte rcursive au redirecteur. Celle-ci diffre de la requte itrative envoye par un serveur DNS un autre serveur DNS durant une rsolution de noms standard (qui nimplique pas de redirecteur).

Redirecteurs conditionnels
Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction du nom de domaine DNS mentionn dans la requte. Par exemple, vous pouvez configurer un serveur DNS de faon transfrer toutes les requtes quil reoit pour des noms se terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS.

Rsolution de noms Internet


Les serveurs DNS peuvent utiliser des redirecteurs conditionnels pour rsoudre des requtes entre les noms de domaine DNS de socits qui partagent des informations. Par exemple, deux socits, Wingtip Toys et Tailspin Toys, souhaitent amliorer la manire dont les clients DNS de Wingtip Toys rsolvent les noms des clients DNS de Tailspin Toys. Les administrateurs de Tailspin Toys informent les administrateurs de Wingtip Toys propos de lensemble de serveurs DNS sur le rseau Tailspin Toys o Wingtip Toys peut envoyer les requtes pour le domaine dolls.tailspintoys.com. Les serveurs DNS du rseau Wingtip Toys sont configurs pour transfrer toutes les requtes pour les noms se terminant par dolls.tailspintoys.com aux serveurs DNS dsigns dans le rseau Tailspin Toys. En consquence, les serveurs DNS du rseau Wingtip Toys ne sont pas contraints dinterroger leurs serveurs racines internes (ni les serveurs racines Internet) pour rsoudre les requtes de noms se terminant par dolls.tailspintoys.com.

155

Utilisation de redirecteurs
Pour utiliser des redirecteurs afin de grer le trafic DNS (Domain Name System) entre votre rseau et Internet, vous devez configurer le pare-feu de votre rseau de faon autoriser un seul serveur DNS communiquer avec Internet. Lorsque vous configurez les autres serveurs DNS de votre rseau pour transfrer vers ce serveur les requtes quils ne peuvent rsoudre localement, ce serveur assume le rle de redirecteur. Pour plus dinformations sur les redirecteurs, voir Prsentation des redirecteurs.

Squence de transfert
Lordre des adresses IP rpertories comme redirecteurs sur un serveur DNS dtermine la squence selon laquelle les adresses IP sont utilises. Une fois que le serveur DNS a transfr la requte au redirecteur avec la premire adresse IP, il attend pendant quelques instants de recevoir une rponse de ce redirecteur (en respectant le dlai dexpiration de transfert de ce serveur DNS) avant de reprendre lopration de transfert avec ladresse IP suivante. Il continue ce processus jusqu recevoir une rponse affirmative de la part dun redirecteur. Part exemple, dans lillustration suivante, les serveurs DNS avec les premire et deuxime adresses IP de redirecteurs ne rpondent pas au serveur DNS. Le serveur DNS avec la troisime adresse IP de redirecteur rpond et la requte est transfre ce serveur DNS.

Contrairement la rsolution conventionnelle, dans laquelle un dlai daller-retour est associ chaque serveur, les adresses IP mentionnes dans la liste de redirecteurs ne sont pas classes selon le dlai daller-retour. Vous devez les reclasser manuellement afin de modifier la prfrence.

Redirecteurs conditionnels
Les redirecteurs conditionnels sont des serveurs DNS qui transfrent des requtes en fonction des noms de domaine. Plutt que davoir un serveur DNS qui transfre un redirecteur toutes les requtes quil ne peut rsoudre localement, vous pouvez configurer les serveurs DNS de faon transfrer les requtes vers diffrents redirecteurs en fonction des noms de domaine spcifiques contenus dans les requtes. Le transfert sur la base des noms de domaine amliore

156

le transfert conventionnel en ajoutant une condition base sur le nom au processus de transfert. Le paramtre de redirecteur conditionnel pour un serveur DNS se compose des lments suivants :

le nom de domaine pour lequel le serveur DNS transfrera les requtes ; une ou plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spcifi.

Lorsquun client ou serveur DNS effectue une opration de requte sur un serveur DNS, celui-ci vrifie si la requte peut tre rsolue avec ses propres donnes de zone ou avec les donnes stockes dans son cache. Si le serveur DNS est configur pour effectuer un transfert pour le nom de domaine dsign dans la requte, celle-ci est transfre ladresse IP dun redirecteur associ ce nom de domaine. Par exemple, dans lillustration suivante, chacune des requtes pour les noms de domaine est transfre un serveur DNS associ au nom de domaine.

Si aucun redirecteur nest rpertori pour le nom dsign dans la requte, le serveur DNS tente de la rsoudre par le biais de la rcursivit standard. Pour plus dinformations, voir Configurer un serveur DNS de faon utiliser des redirecteurs. Vous pouvez utiliser des redirecteurs conditionnels pour amliorer la rsolution de noms entre les espaces de noms DNS internes (privs) qui ne font pas partie de lespace de noms DNS dInternet. Ces types despaces de noms DNS peuvent apparatre suite une fusion de socits. Lorsque vous configurez les serveurs DNS dun espace de noms interne de faon transfrer toutes les requtes vers les serveurs DNS de rfrence dans un second espace de noms interne, les redirecteurs conditionnels autorisent la rsolution des noms entre les deux espaces de noms sans effectuer de rcursivit sur lespace de noms DNS dInternet. Cette amlioration de la rsolution de noms vite galement vos serveurs DNS de faire appel la rcursivit vers votre racine interne pour diffrents espaces de noms au sein de votre rseau. Important Un serveur DNS ne peut pas transfrer de requtes pour les noms de domaine compris dans les zones quil hberge. Par exemple, le serveur DNS de rfrence pour la zone widgets.tailspintoys.com ne peut pas transfrer de requtes pour le nom de domaine widgets.tailspintoys.com. Le serveur DNS de rfrence pour widgets.tailspintoys.com peut

157

transfrer des requtes pour les noms DNS qui se terminent par hr.widgets.tailspintoys.com si hr.widgets.tailspintoys.com est dlgu un autre serveur DNS.

Longueur de nom de domaine de redirecteur conditionnel


Lorsquun serveur DNS configur avec un redirecteur conditionnel reoit une requte pour un nom de domaine, il compare ce nom de domaine sa liste de conditions de noms de domaine et utilise la condition de nom de domaine la plus longue correspondant au nom de domaine dans la requte. Par exemple, dans lillustration suivante, le serveur DNS respecte la logique de transfert conditionnel suivante afin de dterminer comment transfrer une requte pour un nom de domaine : 1. Le serveur DNS reoit une requte pour toys.widgets.tailspintoys.com. 2. Il compare ce nom de domaine tailspintoys.com et widgets.tailspintoys.com. 3. Le serveur DNS dtermine que widgets.tailspintoys.com est le nom de domaine qui prsente la correspondance la plus troite avec la requte de nom de domaine. 4. Le serveur DNS transfre la requte au serveur DNS avec ladresse IP 172.31.255.255, qui est associ widgets.tailspintoys.com.

158

Planification des zones DNS


Lorsque vous partitionnez initialement votre espace de noms en zones, vous devez examiner les tendances de trafic dans votre rseau actuel ou propos. Bien que DNS (Domain Name System) soit conu pour aider rduire le trafic de diffusion entre des sous-rseaux locaux, il cre une certaine quantit de trafic entre les serveurs et les clients qui doit tre examine. Cela est particulirement vrai dans les cas o DNS est utilis sur les rseaux routs. Pour examiner le trafic DNS, vous pouvez utiliser les statistiques de serveur DNS ou les compteurs de performance DNS fournis avec le Moniteur systme. Outre le routage du trafic, vous devez considrer limpact des types de communications DNS courants suivants, en particulier lorsque vous oprez sur des liaisons faible dbit sur un rseau tendu :

trafic de serveur serveur d aux transferts de zone avec dautres serveurs DNS et linteroprabilit DNS avec dautres serveurs (par exemple lorsque la recherche WINS (Windows Internet Name Service) est active) ; trafic de client serveur d aux charges de requtes et aux mises jour dynamiques envoyes par des ordinateurs clients DNS ou des serveurs DHCP fournissant la mise jour dynamique pour les clients DNS de version antrieure qui ne prennent pas en charge les mises jour dynamiques.

Pour les petits espaces de noms plats, vous pouvez utiliser la rplication complte de toutes les zones DNS sur tous les serveurs DNS de votre rseau. Pour les grands espaces de noms verticaux, cela nest ni possible ni recommand. Sur les rseaux de grande taille, il est souvent ncessaire dtudier, de tester, danalyser et de rviser vos plans de zones sur la base des tendances de trafic observes ou estimes. Aprs une analyse minutieuse, vous pouvez partitionner et dlguer vos zones DNS en fonction des impratifs respecter pour fournir un service de noms efficace et tolrance de panne chaque emplacement ou site. Le service Serveur DNS prend en charge les transferts de zone incrmentiels entre les serveurs qui rpliquent une zone standard. Cette fonctionnalit peut rduire les considrations relatives au trafic de rplication DNS ; vous devez donc ltudier lors de votre planification de zones. Vous souhaiterez peut-tre galement envisager lutilisation de serveurs cache uniquement, qui nhbergent pas de zones DNS. Les serveurs cache uniquement constituent une bonne option sur les petits sites distants prsentant une utilisation stable et minimale du service de noms DNS, mais qui se trouvent de lautre ct dun rseau tendu o le transfert dune grande zone sur une liaison faible dbit peut consommer de grosses quantits de ressources.

159

Planification des serveurs DNS


Lorsque vous planifiez vos serveurs DNS (Domain Name System), il est important deffectuer les tches suivantes :

Effectuer la planification de capacit et examiner les exigences matrielles des serveurs. Dterminer le nombre de serveurs DNS ncessaires et leur rle dans votre rseau. Lors de la prise en compte du nombre de serveurs DNS utiliser, identifiez les serveurs qui hbergeront des copies principales et secondaires des zones. De plus, si vous utilisez les services de domaine Active Directory (AD DS), dterminez si lordinateur serveur assumera la fonction de contrleur de domaine ou de serveur membre dans le domaine. Dterminer lemplacement des serveurs DNS sur votre rseau pour les charges de trafic, la rplication et la tolrance de panne. Dterminer si vous utilisez uniquement des serveurs DNS excutant Windows Server 2008 ou une combinaison dimplmentations de serveurs DNS.

Planification de la capacit de serveur


La planification et le dploiement de serveurs DNS sur votre rseau ncessitent lexamen de plusieurs aspects de votre rseau et des exigences de capacit des serveurs DNS que vous prvoyez dutiliser sur le rseau. Voici quelques questions se poser lors de la planification de la capacit de serveur DNS :

Combien de zones le serveur DNS devra-t-il charger et hberger ? Quelle est la taille de chaque zone charge par le serveur (daprs la taille du fichier de zone ou le nombre denregistrements de ressources utiliss dans la zone) ? Pour un serveur DNS multirsident, quel est le nombre dinterfaces devant tre actives pour couter et servir les clients DNS sur chacun des sous-rseaux connects au serveur ? Quelle est la quantit totale de requtes DNS en provenance de tous ses clients quun serveur DNS peut sattendre recevoir et servir ?

Dans de nombreux cas, lajout de RAM supplmentaire un serveur DNS peut provoquer les amliorations de performances les plus remarquables. Cela est d au fait que le service Serveur DNS charge compltement en mmoire toutes les zones configures lors de son dmarrage. Si votre serveur opre et charge un grand nombre de zones et que des mises jour dynamiques ont lieu frquemment pour les clients des zones, il peut tre utile dajouter de la mmoire. Sachez que, pour une utilisation ordinaire, le serveur DNS consomme de la mmoire systme comme suit :

Environ 4 mgaoctets (Mo) de RAM sont utiliss lorsque le serveur DNS est dmarr sans zone. 160

Pour chaque ajout de zones ou denregistrements de ressources au serveur, le serveur DNS consomme de la mmoire serveur supplmentaire. On estime que pour chaque enregistrement de ressource ajout une zone de serveur, une moyenne denviron 100 octets de mmoire serveur est utilise. Par exemple, si une zone contenant 1000 enregistrements de ressources est ajoute un serveur, elle ncessite environ 100 kilo-octets (Ko) de mmoire serveur.

Lors de la planification des serveurs DNS, vous pouvez commencer par examiner les rsultats des tests de performances de serveur DNS recueillis par vos quipes de test et de dveloppement DNS. Vous pouvez galement utiliser les compteurs lis aux serveurs DNS fournis avec les outils danalyse afin dobtenir vos propres mesures de performances. Important Les recommandations prcdentes nont pas pour but dindiquer les performances maximales ou les limitations des serveurs DNS. Ces chiffres ne constituent que des approximations et peuvent tre influencs par le type denregistrement de ressource entr dans les zones, le nombre denregistrements de ressources avec le mme nom de propritaire et le nombre de zones utilises sur un serveur DNS spcifique.

O placer les serveurs DNS ?


Dans la plupart des cas, vous installerez des serveurs DNS sur tous les contrleurs de domaine. Si toutefois vous avez une bonne raison de ne pas dployer de serveur DNS sur chaque contrleur de domaine, vous pouvez suivre les recommandations suivantes afin de choisir lemplacement de vos serveurs DNS. En gnral, vous devez placer vos serveurs DNS un emplacement sur votre rseau qui est facilement accessible vos clients. Il est gnralement plus commode dutiliser un serveur DNS sur chaque sous-rseau. Plusieurs questions doivent tre tudies afin de dterminer la ncessit de la prsence dun serveur DNS :

Si vous dployez DNS pour prendre en charge les services de domaine Active Directory, lordinateur serveur DNS est-il galement contrleur de domaine ou est-il susceptible de devenir contrleur de domaine dans le futur ? Si le serveur DNS cesse de rpondre, ses clients locaux sont-ils en mesure daccder un autre serveur DNS ? Si le serveur DNS se trouve sur un sous-rseau qui est distant pour certains de ses clients, quels sont les autres serveurs DNS ou options de rsolution de noms disponibles si la connexion route cesse de rpondre ?

Par exemple, si vous avez un rseau local rout et des liaisons haut dbit raisonnablement fiables, vous pourrez peut-tre utiliser un serveur DNS pour une zone rseau plus grande sous-rseaux multiples. Si vous avez un grand nombre de nuds clients dans une conception sous-rseau unique, vous souhaiterez peut-tre ajouter plusieurs serveurs DNS au sousrseau afin de fournir des fonctionnalits de sauvegarde et de basculement si le serveur DNS prfr cesse de rpondre.

161

Lorsque vous dterminez le nombre de serveurs DNS ncessaires, valuez leffet des transferts de zone et du trafic de requtes DNS sur les liaisons faible dbit de votre rseau. Bien que DNS soit conu pour aider rduire le trafic de diffusion entre des sous-rseaux locaux, il cre une certaine quantit de trafic entre les serveurs et les clients qui doit tre examine, en particulier lorsque les serveurs DNS se trouvent dans des environnements de rseau local ou de rseau tendu avec un routage complexe. Considrez les effets du transfert de zone sur les liaisons faible dbit, telles que celles qui sont gnralement utilises pour une connexion de rseau tendu. Bien que le service Serveur DNS prenne en charge les transferts de zone incrmentiels et que les clients et serveurs DNS puissent mettre en cache les derniers noms utiliss, les considrations relatives au trafic sont parfois encore importantes, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) sont raccourcis et, en consquence, les mises jour dynamiques dans DNS sont effectues plus frquemment. Lune des options votre disposition pour grer les emplacements distants sur des liaisons de rseau tendu consiste configurer un serveur DNS ces emplacements afin de fournir un service DNS de mise en cache uniquement. Dans la plupart des installations, vous devez avoir au moins deux ordinateurs serveurs hbergeant chacune de vos zones DNS, des fins de tolrance de panne. Lors des ultimes dterminations quant au nombre de serveurs utiliser, valuez dabord le niveau de tolrance de panne adapt votre rseau. Lorsquun seul serveur DNS est utilis sur un petit rseau local dans un environnement sous-rseau unique, vous pouvez configurer ce serveur de faon simuler les serveurs principal et secondaires pour une zone.

162

Prsentation de la rplication de zone DNS dans les services de domaine Active Directory
Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Pour plus dinformations, voir Prsentation de lintgration aux services de domaine Active Directory. Le tableau suivant dcrit les tendues de rplication de zone disponibles pour les donnes de zones DNS intgres aux services de domaine Active Directory.

tendue de rplication de zone Tous les serveurs DNS de la fort qui sont des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008

Description Rplique les donnes de zone sur tous les contrleurs de domaine Windows Server 2003 et Windows Server 2008 excutant le service Serveur DNS dans la fort AD DS. Cette option rplique les donnes de zone dans la partition ForestDNSZones. Elle procure par consquent ltendue de rplication la plus large. Rplique les donnes de zone sur tous les contrleurs de domaine Windows Server 2003 et Windows Server 2008 excutant le service Serveur DNS dans le domaine Active Directory. Cette option rplique les donnes de zone dans la partition DomainDNSZone. Il sagit du paramtre par dfaut pour la rplication de zone DNS dans Windows Server 2003 et Windows Server 2008. Rplique les donnes de zone sur tous les contrleurs de domaine dans le domaine Active Directory. Si vous souhaitez que des serveurs DNS Windows 2000 chargent une zone intgre Active Directory, vous devez spcifier cette tendue pour cette zone. Rplique les donnes de zone en fonction de ltendue de rplication de la partition dannuaire dapplications spcifie. Pour quune zone soit stocke dans la partition de lannuaire dapplications spcifie, le serveur DNS hbergeant la zone doit tre inscrit dans la partition de lannuaire dapplications spcifie. Utilisez cette tendue uniquement lorsque vous souhaitez que les donnes de zone soient rpliques sur les contrleurs de domaine dans plusieurs domaines mais pas dans

Tous les serveurs DNS du domaine qui sont des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008

Tous les contrleurs de domaine dans le domaine Active Directory

Tous les contrleurs de domaine dans une partition dannuaire dapplications spcifie

163

toute la fort. Pour plus dinformations, voir Crer une partition dannuaire dapplications DNS et Enrler un serveur DNS dans une partition de lannuaire dapplications DNS. Lorsque vous dcidez de ltendue de rplication utiliser, sachez que plus ltendue de rplication sera large, plus le trafic rseau engendr par la rplication sera lev. Par exemple, si vous dcidez de rpliquer des donnes de zones DNS intgres aux services de domaine Active Directory sur tous les serveurs DNS de la fort, le trafic rseau sera plus important que si vous rpliquez les donnes de zones sur tous les serveurs DNS dun domaine AD DS unique dans cette fort. Les donnes de zones DNS intgres aux services de domaine Active Directory qui sont stockes dans une partition dannuaire dapplications ne sont pas rpliques dans le catalogue global de la fort. Le contrleur de domaine qui contient le catalogue global peut galement hberger des partitions dannuaire dapplications, mais il ne rpliquera pas ces donnes dans son catalogue global. Des donnes de zones DNS intgres aux services de domaine Active Directory qui sont stockes dans une partition de domaine sont rpliques sur tous les contrleurs de domaine de leur domaine AD DS et une partie de ces donnes sont stockes dans le catalogue global. Ce paramtre est destin la prise en charge de Windows 2000. Si ltendue de rplication dune partition dannuaire dapplications couvre plusieurs sites AD DS, la rplication aura lieu avec la mme planification de rplication intersite que celle utilise pour les donnes de partition de domaine. Par dfaut, le service Ouverture de session rseau inscrit les enregistrements de ressources DNS du localisateur de contrleurs de domaine pour les partitions dannuaire dapplications qui sont hberges sur un contrleur de domaine de la mme manire quil inscrit ceux de la partition de domaine hberge sur un contrleur de domaine.

164

Installer un serveur DNS


Linstallation dun serveur DNS (Domain Name System) ncessite lajout du rle de serveur DNS un serveur Windows Server 2008 existant. Vous pouvez galement installer le rle de serveur DNS lors de linstallation du rle de services de domaine Active Directory (AD DS). Il sagit de la mthode recommande pour linstallation du rle de serveur DNS si vous souhaitez intgrer votre espace de noms de domaine DNS lespace de noms de domaine AD DS. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour installer un serveur DNS 1. Ouvrez le Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur Dmarrer, puis sur Gestionnaire de serveur. 2. Dans le volet de rsultats, sous Rsum des rles, cliquez sur Ajouter des rles. 3. Dans lAssistant Ajout de rles, si la page Avant de commencer saffiche, cliquez sur Suivant. 4. Dans la liste Rles, cliquez sur Serveur DNS, puis sur Suivant. 5. Lisez les informations de la page Serveur DNS, puis cliquez sur Suivant. 6. Dans la page Confirmer les options dinstallation, vrifiez que le rle Serveur DNS sera install, puis cliquez sur Installer.

Considrations supplmentaires

Nous vous recommandons de configurer lordinateur de faon utiliser une adresse IP statique. Si le serveur DNS est configur de faon utiliser des adresses dynamiques affectes par le serveur DHCP, lorsque celui-ci affectera une nouvelle adresse IP au serveur DNS, les clients DNS configurs pour utiliser la prcdente adresse IP de ce serveur DNS seront dans lincapacit de rsoudre la prcdente adresse IP et de trouver le serveur DNS. Aprs avoir install un serveur DNS, vous pouvez dcider de la manire dadministrer le serveur et ses zones. Bien quil soit possible dutiliser un diteur de texte pour apporter des modifications aux fichiers de zone et damorage du serveur, cette mthode nest pas recommande. Le Gestionnaire DNS et loutil en ligne de commande DNS, dnscmd, simplifient la maintenance de ces fichiers et doivent tre utiliss dans la mesure du possible. Une fois que vous avez commenc utiliser le 165

Gestionnaire DNS ou loutil en ligne de commande pour grer ces fichiers, leur modification manuelle nest pas recommande. Vous pouvez administrer des zones DNS intgres aux services de domaine Active Directory uniquement avec le Gestionnaire DNS ou loutil en ligne de commande dnscmd. Vous ne pouvez pas administrer ces zones avec un diteur de texte. Si vous dsinstallez un serveur DNS qui hberge des zones DNS intgres aux services de domaine Active Directory, ces zones sont enregistres ou supprimes en fonction de leur type de stockage. Pour tous les types de stockages, les donnes de zone sont stockes sur dautres contrleurs de domaine ou serveurs DNS. Les donnes de zone ne sont pas supprimes, moins que le serveur DNS que vous dsinstallez ne soit le dernier serveur DNS hbergeant cette zone. Si vous dsinstallez un serveur DNS qui hberge des zones DNS standard, les fichiers de zone demeurent dans le rpertoire %systemroot%\system32\Dns, mais elles ne sont pas recharges si le serveur DNS est rinstall. Si vous crez une nouvelle zone avec le mme nom que lancienne zone, lancien fichier de zone est remplac par le nouveau fichier de zone. Lorsquils crivent des donnes de zone et damorage de serveur DNS dans les fichiers texte, les serveurs DNS utilisent le format de fichier BIND (Berkeley Internet Name Domain) qui est reconnu par les serveurs BIND 4 hrits, et non le format BIND 8 plus rcent.

166

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory
Lorsque vous installez les services de domaine Active Directory (AD DS) avec lAssistant Installation des services de domaine Active Directory, celui-ci vous donne la possibilit dinstaller et de configurer automatiquement un serveur DNS. La zone DNS rsultante est intgre au domaine AD DS contrl par ce serveur AD DS. Pour installer les services de domaine Active Directory sur cet ordinateur, utilisez le Gestionnaire de serveur.

Cette mthode sapplique uniquement aux ordinateurs serveurs utiliss comme contrleurs de domaine. Si des serveurs membres (serveurs non utiliss comme contrleurs de domaine) sont utiliss en tant que serveurs DNS, ils ne sont pas intgrs aux services de domaine Active Directory. Si vous choisissez loption de lAssistant permettant dinstaller et de configurer automatiquement un serveur DNS local, le serveur DNS est install sur lordinateur sur lequel vous excutez lAssistant et le paramtre de serveur DNS prfr de lordinateur est configur de faon utiliser le nouveau serveur DNS local. Configurez tout autre ordinateur qui joindra ce domaine de faon utiliser ladresse IP de ce serveur DNS comme serveur DNS prfr.

167

Configurer un nouveau serveur DNS


Lorsquun nouveau serveur DNS (Domain Name System) nest pas install sur un contrleur de domaine, vous effectuez en gnral les tches suivantes pour le configurer :

Crer une zone de recherche directe et (facultatif) inverse. Dterminer si le serveur autorisera les mises jour dynamiques (y compris les mises jour non scurises). Dterminer si les requtes seront transfres et vers quels serveurs.

Au lieu de configurer ces paramtres, vous pouvez choisir de configurer le serveur de faon utiliser des indications de racine afin de pouvoir effectuer ces tches de configuration ultrieurement. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Configuration dun nouveau serveur DNS


laide de linterface Windows laide dune ligne de commande

Pour configurer un nouveau serveur DNS laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Si ncessaire, ajoutez le serveur applicable au composant logiciel enfichable, puis tablissez une connexion. 3. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/Serveur DNS

4. Dans le menu Action, cliquez sur Configurer un serveur DNS. 5. Suivez les instructions dans lAssistant Configuration dun serveur DNS.

168

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Si le serveur DNS sexcute localement, ltape 2 est facultative. Lorsque vous aurez termin de configurer le serveur, vous devrez peut-tre effectuer des tches supplmentaires, telles que lactivation des mises jour dynamiques pour ses zones ou lajout denregistrement de ressources ses zones.

Pour configurer un nouveau serveur DNS laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} <Property> {1|0}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Indique que la commande configure la zone spcifie.

<NomServeur>

/Config

Spcifie le nom de la zone configurer. Pour appliquer la {<NomZone>|..AllZones} configuration toutes les zones hberges par le serveur DNS spcifi, tapez ..AllZones. Spcifie la proprit de serveur ou la proprit de zone configurer. Diffrentes proprits sont disponibles pour les serveurs et les zones. Pour afficher une liste des proprits disponibles, linvite de commandes, tapez : dnscmd /Config /help. Dfinit les options de configuration la valeur 1 (actif) ou 0 (inactif). Notez que certaines proprits de serveur et de zone doivent tre rinitialises dans le cadre dune opration plus complexe.

<Proprit>

{1|0}

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

169

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Lorsque vous aurez termin de configurer le serveur, vous devrez peut-tre effectuer des tches supplmentaires, telles que lactivation des mises jour dynamiques pour ses zones ou lajout denregistrements de ressources ses zones.

Configurer un serveur DNS de faon utiliser des redirecteurs


Un redirecteur est un serveur DNS (Domain Name System) sur un rseau utilis pour transfrer des requtes DNS pour des noms DNS externes vers des serveurs DNS situs lextrieur de ce rseau. Vous pouvez galement configurer votre serveur de faon transfrer les requtes sur la base de noms de domaine spcifiques au moyen de redirecteurs conditionnels. Un serveur DNS sur un rseau est dsign comme redirecteur lorsque les autres serveurs DNS du rseau sont configurs de sorte quils transfrent ce serveur DNS les requtes quils ne peuvent pas rsoudre localement. Lutilisation dun redirecteur vous permet de grer la rsolution des noms externes votre rseau, tels que les noms Internet, ce qui peut amliorer lefficacit de la rsolution de noms pour les ordinateurs de votre rseau. Pour plus dinformations sur les redirecteurs et les redirecteurs conditionnels, voir Prsentation des redirecteurs. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Configuration dun serveur DNS de faon utiliser des redirecteurs


laide de linterface Windows laide dune ligne de commande

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?

170

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Redirecteurs, sous Domaine DNS, cliquez sur un nom de domaine. 5. Sous Liste dadresses IP du redirecteur du domaine slectionn, tapez ladresse IP dun redirecteur, puis cliquez sur Ajouter.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Pour crer un nom de domaine, cliquez sur Nouveau puis, sous Domaine DNS, tapez le nom de domaine. Lorsque vous spcifiez un redirecteur conditionnel, slectionnez un nom de domaine DNS avant dentrer une adresse IP. Par dfaut, le serveur DNS attend une rponse dune adresse IP de redirecteur pendant cinq secondes avant dessayer une autre adresse IP de redirecteur. Dans Dlai dexpiration des requtes de redirection (en secondes), vous pouvez modifier la dure dattente du serveur DNS. Lorsque le serveur a puis tous les redirecteurs, il tente deffectuer une opration de rcursivit standard. Si vous souhaitez que le serveur DNS utilise uniquement des redirecteurs et ne tente pas de rcursivit supplmentaire si les redirecteurs chouent, activez la case cocher Ne pas utiliser la rcursivit pour ce domaine. Vous pouvez dsactiver la rcursivit pour le serveur DNS de sorte quil neffectue dopration de rcursivit sur aucune requte. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur. Nentrez pas une adresse IP de redirecteur plus dune fois dans la liste de redirecteurs dun serveur DNS pour la simple raison quelle concerne un serveur plus fiable ou plus proche gographiquement. Si vous prfrez lun des redirecteurs, placez-le en premier dans la srie dadresses IP de redirecteurs. Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait rfrence pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com. Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

Pour configurer un serveur DNS de faon utiliser des redirecteurs laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :

171

dnscmd <ServerName> /ResetForwarders <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure un redirecteur.

<NomServeur>

/ResetForwarders

Obligatoire. Spcifie une liste ( sparation par des virgules) dune ou plusieurs adresses IP de serveurs DNS vers lesquels les requtes sont <AdresseIPMatre...> transfres. Vous pouvez spcifier une liste dadresses IP spares par des espaces. Spcifie le paramtre de dlai dattente. Ce paramtre correspond au nombre de secondes qui scoulent avant expiration des requtes dont le transfert a chou. Spcifie la valeur du paramtre /TimeOut. La valeur est spcifie en secondes. Le dlai dattente par dfaut est de cinq secondes. Dtermine si le serveur DNS utilise la rcursivit lorsquil interroge le nom de domaine spcifi par NomZone.

/TimeOut

<Dure>

/Slave

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ResetForwarders /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Pour dfinir le redirecteur conditionnel pour une zone, utilisez la commande suivante :
dnscmd <ServerName> /ZoneAdd <ZoneName> /Forwarder <MasterIPaddress ...> [/TimeOut <Time>] [/Slave]

La commande /ZoneAdd ajoute la zone spcifie par le paramtre NomZone. Le paramtre AdresseIP est ladresse IP laquelle le serveur DNS transfrera les requtes DNS non solubles. Le paramtre /Slave dfinit le serveur DNS comme serveur 172

subordonn. Le paramtre /NoSlave (valeur par dfaut) dfinit le serveur DNS comme serveur non subordonn, ce qui signifie quil effectuera la rcursivit. Les paramtres /Timeout et Dure sont dcrits dans le tableau prcdent.

Pour afficher une zone ajoute uniquement en tant que redirecteur conditionnel, utilisez la commande suivante :
dnscmd <ServerName> /ZoneInfo <ZoneName>

Pour rinitialiser les adresses IP de redirecteurs pour un nom de domaine de redirecteur conditionnel, utilisez la commande suivante :
dnscmd <ServerName> /ZoneResetMasters <ZoneName> [/Local] [<ServerIPs>]

Le paramtre /Local dfinit la liste de serveurs matres locale pour les redirecteurs intgrs Active Directory. Le paramtre IPServeur correspond la liste dune ou plusieurs adresses IP de serveurs matres pour la zone. Les serveurs matres peuvent inclure des serveurs DNS qui hbergent des copies principales ou secondaires de la zone, mais ils ne doivent pas inclure dadresses IP de serveurs DNS de telle manire que deux serveurs DNS hbergeant des copies dune zone sutilisent lun lautre comme serveurs matres. Une telle configuration rend cyclique le chemin de transfert.

Vous ne pouvez pas utiliser de nom de domaine dans un redirecteur conditionnel si le serveur DNS hberge une zone principale, une zone secondaire ou une zone de stub pour ce nom de domaine. Par exemple, si un serveur DNS fait autorit pour le nom de domaine corp.contoso.com (autrement dit, il hberge la zone principale pour ce nom de domaine), vous ne pouvez pas configurer ce serveur DNS avec un redirecteur conditionnel pour corp.contoso.com. Vous pouvez prvenir les problmes courants associs aux redirecteurs en configurant vos serveurs DNS de faon viter la surutilisation de vos redirecteurs.

173

Crer une partition dannuaire dapplications DNS


Vous pouvez stocker des zones DNS (Domain Name System) dans les partitions de lannuaire dapplications ou de domaine des services de domaine Active Directory (AD DS). Une partition est une structure de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Lorsque vous crez une partition dannuaire dapplications pour DNS, vous pouvez contrler ltendue de la rplication pour la zone stocke dans cette partition. Pour plus dinformations, voir Prsentation de lintgration aux services de domaine Active Directory. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs de lentreprise. Pour crer une partition dannuaire dapplications DNS 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /CreateDirectoryPartition <FQDN>

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.).

<NomServeur>

/CreateDirectoryPartition Obligatoire. Cre une partition dannuaire dapplications DNS. Obligatoire. Spcifie le nom de la nouvelle partition dannuaire <NomDomaineComplet> dapplications DNS. Vous devez utiliser un nom de domaine complet DNS. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /CreateDirectoryPartition /?

174

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Enrler un serveur DNS dans une partition de lannuaire dapplications DNS


Aprs avoir cr une partition de lannuaire dapplications DNS (Domain Name System) pour stocker une zone, vous devez enrler le serveur DNS qui hberge la zone dans la partition de lannuaire dapplications. Pour plus dinformations, voir Prsentation de la rplication de zone DNS dans les services de domaine Active Directory. Pour effectuer cette procdure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine, ou un compte quivalent. Pour enrler un serveur DNS dans une partition de lannuaire dapplications DNS 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /EnlistDirectoryPartition <FQDN>

Valeur dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Enrle un serveur DNS dans une partition de lannuaire dapplications DNS. Obligatoire. Spcifie le nom de domaine complet de la partition de lannuaire dapplications DNS.

<NomServeur>

/EnlistDirectoryPartition

<NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /EnlistDirectoryPartition /?

175

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Supprimer un serveur DNS dune partition de lannuaire dapplications DNS


Vous pouvez appliquer cette procdure lorsque vous ne souhaitez plus que le serveur DNS (Domain Name System) participe la rplication de la zone hberge dans une partition dannuaire dapplications DNS. Vous ne pouvez pas supprimer un serveur DNS des partitions dannuaire dapplications DomainDnsZones et ForestDnsZones. Pour effectuer cette procdure, vous devez tre membre du groupe DnsAdmins, ou Admins du domaine dans les services de domaine Active Directory (AD DS), ou avoir reu par dlgation les autorisations ncessaires. Pour supprimer un serveur DNS dune partition de lannuaire dapplications DNS 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /UnenlistDirectoryPartition <FQDN>

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Supprime un serveur DNS dune partition de lannuaire dapplications DNS.

<NomServeur>

/UnenlistDirectoryPartition

176

<NomDomaineComplet>

Obligatoire. Spcifie le nom de domaine complet de la partition dannuaire dapplications DNS de laquelle vous supprimez le serveur DNS spcifi par NomServeur.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /UnenlistDirectoryPartition /?

Modifier la mthode damorage utilise par le serveur DNS


Vous pouvez appliquer cette procdure pour dterminer si le serveur DNS (Domain Name System) obtient ses informations de dmarrage partir du Registre, dun fichier damorage ou des services de domaine Active Directory (AD DS). Par dfaut, les serveurs DNS utilisent les informations stockes dans le Registre pour initialiser le service et charger toutes les donnes de zone utiliser sur le serveur. En guise doptions supplmentaires, vous pouvez configurer le serveur DNS pour quil samorce partir dun fichier ou, dans les environnements AD DS, vous pouvez complter les donnes de Registre locales avec des donnes de zone rcupres pour des zones intgres lannuaire stockes dans la base de donnes Active Directory. Si vous utilisez un fichier damorage, le fichier utilis doit tre un fichier texte nomm Boot et il doit tre situ sur cet ordinateur dans le dossier %systemroot%\Windows\System32\Dns. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour modifier la mthode damorage utilise par le serveur DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Proprits. 3. Cliquez sur longlet Avanc. 4. Dans la liste Charger les donnes de zone au dmarrage, slectionnez partir du Registre, partir dun fichier ou partir de Active Directory et du Registre

177

Configuration de serveurs multirsidents


Configuration de serveurs multirsidents
Pour les serveurs DNS multirsidents ( savoir, les serveurs DNS disposant de plusieurs adresses IP), vous pouvez configurer le service Serveur DNS de faon activer et lier de manire slective uniquement les adresses IP spcifies laide du Gestionnaire DNS. Cela vous permet de vous assurer que seuls les serveurs et clients configurs pour utiliser les adresses IP spcifies peuvent envoyer des requtes au serveur DNS. Pour les serveurs proxy connects Internet, par exemple, vous pouvez utiliser cette fonctionnalit afin de garantir que seuls les clients du rseau interne peuvent accder aux donnes DNS. Par dfaut, le service Serveur DNS tablit une liaison toutes les adresses IP configures pour lordinateur. Il peut sagir des interfaces suivantes :

toute adresse IP supplmentaire configure pour une connexion rseau unique ; des adresses IP individuelles configures pour chaque connexion distincte dans le cas o plusieurs connexions rseau sont installes sur le serveur.

Pour les serveurs DNS multirsidents, vous pouvez limiter la prise en charge DNS pour des adresses IP slectionnes. Lorsque cette fonctionnalit est active, le service Serveur DNS coute et rpond uniquement aux requtes envoyes aux adresses IP spcifies sous longlet Interface dans les proprits du serveur.

Quand faut-il spcifier des interfaces ?


Par dfaut, le service Serveur DNS coute toutes les adresses IP et accepte toutes les demandes de clients envoyes ses ports de service par dfaut (UDP 53 et TCP 53). Si vous souhaitez que le serveur DNS ne rponde pas aux demandes envoyes certaines adresses, 178

par exemple si ces adresses correspondent des interfaces externes, vous pouvez configurer le serveur DNS pour quil rponde aux demandes reues seulement sur certaines de ses interfaces.

Considrations supplmentaires relatives aux serveurs DNS multirsidents


Vous devez prendre en compte les lments suivants lors de la configuration dadresses IP supplmentaires et de leur activation pour une utilisation avec un serveur DNS :

Des ressources de serveur supplmentaires sont consommes sur lordinateur serveur. Bien que DNS permette de configurer plusieurs adresses IP pour une utilisation avec nimporte lesquelles de vos cartes rseau installes, cela ne prsente aucun avantage en termes de performances. Mme si le serveur DNS gre plusieurs zones inscrites pour une utilisation Internet, le processus dinscription Internet ne vous oblige pas inscrire diffrentes adresses IP pour chaque zone.

tant donn ces considrations :

Sachez que, lorsque vous ajoutez des adresses IP pour une utilisation avec des serveurs IP, chaque adresse supplmentaire risque de namliorer que lgrement les performances du serveur. Dans le cas o vous activez lutilisation dun grand nombre dadresses IP, vous risquez de constater une dgradation des performances du serveur. En gnral, lorsque vous ajoutez du matriel rseau lordinateur serveur, vous devez affecter une seule adresse IP principale chaque connexion rseau. Dans la mesure du possible, supprimez des configurations TCP/IP de serveur existantes les adresses IP qui ne sont pas essentielles.

179

Limiter un serveur DNS de faon couter uniquement des adresses slectionnes


Par dfaut, un service Serveur DNS qui sexcute sur un ordinateur multirsident est configur de faon couter les requtes DNS avec toutes ses adresses IP. Vous pouvez renforcer la scurit du serveur DNS en limitant les adresses IP coutes par le service Serveur DNS ladresse IP utilise par ses clients DNS comme serveur DNS prfr. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Limitation dun serveur DNS de faon couter uniquement les adresses slectionnes

laide de linterface Windows laide dune ligne de commande

Pour limiter un serveur DNS pour couter uniquement les adresses slectionnes laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits.

180

4. Sous longlet Interfaces, cliquez sur Uniquement les adresses IP suivantes. 5. Dans Adresse IP, tapez une adresse IP activer pour ce serveur DNS, puis cliquez sur Ajouter. 6. Rptez ltape prcdente si ncessaire pour spcifier dautres adresses IP de serveur activer pour ce serveur DNS. Pour supprimer une adresse IP de la liste, cliquez dessus, puis cliquez sur Supprimer.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Par dfaut, le service Serveur DNS coute les communications de messages DNS sur toutes les adresses IP configures pour lordinateur serveur. Les adresses IP de serveurs ajoutes cet endroit doivent tre gres de manire statique. Si vous modifiez ou supprimez ultrieurement les adresses spcifies ici des configurations TCP/IP maintenues sur ce serveur, vous devez mettre jour cette liste en consquence. Aprs avoir mis jour ou rvis la liste dinterfaces restreintes, vous devez arrter et redmarrer le serveur DNS afin dappliquer la nouvelle liste. Le fait de limiter le service Serveur DNS de sorte quil coute uniquement des adresses IP spcifiques constitue une mesure de scurit efficace car seuls les htes du mme sous-rseau (ou des htes avec un routeur qui les connecte ce mme segment) ont accs ce serveur.

Pour limiter un serveur DNS pour couter uniquement les adresses slectionnes laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Rinitialise les adresses IP des interfaces sur lesquelles le serveur DNS coute.

<NomServeur>

/ResetListenAddresses

181

<Adressecoute> ...

Spcifie une ou plusieurs adresses IP pour les interfaces sur lesquelles vous souhaitez que le serveur DNS coute. Par dfaut, le service Serveur DNS coute les communications de messages DNS sur toutes les adresses IP configures pour lordinateur serveur.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ResetListenAddresses /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Les adresses IP de serveurs ajoutes cet endroit doivent tre gres de manire statique. Si vous modifiez ou supprimez ultrieurement les adresses spcifies ici des configurations TCP/IP maintenues sur ce serveur, vous devez mettre jour cette liste en consquence. Aprs avoir mis jour ou rvis la liste dinterfaces restreintes, vous devez arrter et redmarrer le serveur DNS afin dappliquer la nouvelle liste. Le fait de limiter le service Serveur DNS de sorte quil coute uniquement des adresses IP spcifiques constitue une mesure de scurit efficace car seuls les htes du mme sous-rseau (ou des htes avec un routeur qui les connecte ce mme segment) ont accs ce serveur.

182

Scuriser le cache de serveur contre la pollution des noms


Par dfaut, le service Serveur DNS est scuris contre la pollution du cache, qui se produit lorsque des rponses des requtes DNS contiennent des donnes malveillantes ou ne faisant pas autorit. Loption Scuriser le cache contre la pollution empche un agresseur de polluer le cache dun serveur DNS avec des enregistrements de ressources qui nont pas t demands par le serveur DNS. La modification de ce paramtre par dfaut rduit lintgrit des rponses fournies par le service Serveur DNS. Vous pouvez appliquer cette procdure pour restaurer le paramtre par dfaut sil a t modifi prcdemment. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour scuriser le cache de serveur contre la pollution des noms 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?
o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Cliquez sur longlet Avanc.

183

5. Dans Options de serveur, activez la case cocher Scuriser le cache contre la pollution, puis cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Loption Scuriser le cache contre la pollution est active par dfaut.

Modifier la scurit du service Serveur DNS sur un contrleur de domaine


Vous pouvez appliquer cette procdure pour spcifier qui peut administrer le service Serveur DNS lorsquil sexcute sur un contrleur de domaine. Elle naffecte cependant pas les catgories dutilisateurs pouvant administrer des zones et des enregistrements de ressources hbergs sur le serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour modifier la scurit du service Serveur DNS sur un contrleur de domaine 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur applicable, puis cliquez sur Proprits. O ? DNS/serveur DNS applicable 3. Sous longlet Scurit, modifiez la liste des utilisateurs ou groupes membres autoriss administrer le serveur applicable.

184

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les listes de contrle daccs Active Directory sont prises en charge pour le service Serveur DNS uniquement lorsquil sexcute sur un contrleur de domaine.

Dsactiver la rcursivit sur le serveur DNS


Par dfaut, le serveur DNS effectue des requtes rcursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transfr des requtes de clients DNS. La rcursivit est une technique de rsolution de noms dans laquelle un serveur DNS interroge dautres serveurs DNS pour le compte du client demandeur afin de rsoudre totalement le nom, puis il envoie une rponse au client. Les agresseurs peuvent utiliser la rcursivit afin de crer un dni de service Serveur DNS. Par consquent, si un serveur DNS de votre rseau nest pas destin recevoir des requtes rcursives, la rcursivit doit tre dsactive sur ce serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dsactivation de la rcursivit sur le serveur DNS


laide de linterface Windows laide dune ligne de commande

Pour dsactiver la rcursivit sur le serveur DNS laide de linterface Windows 1. Ouvrez le Gestionnaire DNS.

185

2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Proprits. O ? DNS/serveur DNS applicable 3. Cliquez sur longlet Avanc. 4. Dans Options de serveur, activez la case cocher Dsactiver la rcursivit, puis cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur.

Pour dsactiver la rcursivit sur le serveur DNS laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config /NoRecursion {1|0}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS.

Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez <NomServeur> galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /Config /NoRecursion {1|0} Obligatoire. Indique que la commande configure le serveur spcifi. Obligatoire. Dsactive la rcursivit. Obligatoire. Pour dsactiver la rcursivit, tapez 1 (dsactive). Pour activer la rcursivit, tapez 0 (active). Par dfaut, la rcursivit est active.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

186

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur.

Mise jour des indications de racine


Vous pouvez utiliser des indications de racine pour prparer des serveurs de rfrence pour des zones non-racines de sorte quils puissent dcouvrir les serveurs de rfrence qui grent des domaines un niveau suprieur ou dans dautres sous-arborescences de lespace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorit des niveaux infrieurs de lespace de noms lors de la recherche dautres serveurs dans ces conditions. Par exemple, supposez quun serveur DNS (Serveur A) possde une zone nomme sub.corp.contoso.com. Durant la rponse une requte pour un domaine de niveau suprieur, tel que le domaine corp.contoso.com, le Serveur A a besoin dassistance pour trouver un serveur de rfrence (tel que le Serveur B) pour ce domaine. Pour que le Serveur A trouve le Serveur B (ou tout autre serveur de rfrence pour le domaine contoso.com, le Serveur A doit tre en mesure dinterroger les serveurs racines de lespace de noms DNS. Les serveurs racines peuvent ensuite renvoyer le Serveur A aux serveurs de rfrence du domaine com. Les serveurs de rfrence du domaine com peuvent, leur tour, 187

offrir une rfrence au Serveur B ou autres serveurs qui font autorit pour le domaine contoso.com. Les indications de racine utilises par le Serveur A doivent avoir des indications utiles vers les serveurs racines pour que ce processus trouve le Serveur B (ou un autre serveur de rfrence) comme demand. Pour configurer et utiliser des indications de racine correctement, rpondez tout dabord aux questions suivantes relatives votre serveur DNS :

Utilisez-vous DNS sur Internet ou sur un rseau priv ? Le serveur DNS est-il utilis en tant que serveur racine ?

Par dfaut, le service Serveur DNS implmente des indications de racine en utilisant un fichier, Cache.dns, stock dans le dossier %systemroot%\System32\Dns sur lordinateur serveur. Ce fichier contient normalement les enregistrements de ressources hte et de serveur de noms pour les serveurs racines Internet. Si, toutefois, vous utilisez le service Serveur DNS sur un rseau priv, vous pouvez modifier ou remplacer ce fichier par des enregistrements similaires qui pointent vers vos propres serveurs DNS racines internes. Les indications de racine sont galement traites diffremment lorsquun serveur DNS est configur pour tre utilis par dautres serveurs DNS dans un espace de noms interne en tant que redirecteur pour toute requte DNS de noms grs de manire externe (par exemple sur Internet). Mme si le serveur DNS utilis comme redirecteur peut tre plac sur le mme rseau interne que des serveurs qui lutilisent comme redirecteur, il a besoin dindications pour que les serveurs racines Internet fonctionnent correctement et rsolvent les noms externes. Si un serveur DNS est configur pour accder dautres serveurs DNS, par exemple par le biais dune liste de serveurs DNS configure dans ses proprits client TCP/IP pour une connexion rseau installe, le service Serveur DNS est capable de rassembler ses propres indications de racine durant une nouvelle configuration de serveur. Vous pouvez pour cela utiliser lAssistant Configuration dun serveur DNS.

188

Mettre jour des indications de racine sur le serveur DNS


Vous pouvez utiliser des indications de racine pour prparer des serveurs de rfrence pour des zones non-racines de sorte quils puissent dcouvrir les serveurs de rfrence qui grent des domaines un niveau suprieur ou dans dautres sous-arborescences de lespace de noms de domaine DNS. Ces indications de racine sont essentielles pour les serveurs qui font autorit des niveaux infrieurs de lespace de noms lors de la recherche dautres serveurs dans ces conditions. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour mettre jour des indications de racine sur le serveur DNS 1. Ouvrez le Gestionnaire DNS. 189

2. Dans larborescence de la console, cliquez sur le serveur DNS applicable. O ?


o

DNS/serveur DNS applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Cliquez sur longlet Indications de racine. 5. Modifiez les indications de racine de serveur comme suit :
o o o o

Pour ajouter un serveur racine la liste, cliquez sur Ajouter, puis spcifiez le nom et ladresse IP du serveur ajouter. Pour modifier un serveur racine dans la liste, cliquez sur Modifier, puis spcifiez le nom et ladresse IP du serveur modifier. Pour supprimer un serveur racine de la liste, slectionnez-le dans la liste, puis cliquez sur Supprimer. Pour copier des indications de racine depuis un serveur DNS, cliquez sur Copier partir du serveur, puis spcifiez ladresse IP du serveur DNS partir duquel vous souhaitez copier une liste de serveurs racines utiliser pour rsoudre les requtes. Ces indications de racine ne remplaceront pas dindications de racine existantes.

Gestion de serveurs et de zones


Vous pouvez utiliser Gestionnaire DNS, le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console), pour grer le serveur DNS (Domain Name System) local ainsi que les serveurs DNS distants. Vous pouvez dmarrer, arrter ou suspendre un serveur DNS par le biais du Gestionnaire DNS ou dune ligne de commande. Vous pouvez galement suspendre et redmarrer des zones spcifiques hberges par le serveur.

Ajouter un serveur au Gestionnaire DNS Supprimer un serveur du Gestionnaire DNS Dmarrer ou arrter un serveur DNS Suspendre une zone ou remettre une zone en service

190

Ajouter un serveur au Gestionnaire DNS


Vous pouvez appliquer cette procdure pour ajouter un serveur local ou distant au Gestionnaire DNS afin de pouvoir le grer. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour ajouter un serveur au Gestionnaire DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans le menu Action, cliquez sur tablir une connexion au serveur DNS. 3. Dans Connexion au serveur DNS, cliquez sur lune des options suivantes :
o o

Cet ordinateur, si le serveur auquel vous souhaitez vous connecter se trouve sur le mme ordinateur que celui que vous utilisez pour le grer. L ordinateur suivant, si le serveur auquel vous souhaitez vous connecter se trouve sur un ordinateur distant. 191

Si vous choisissez de vous connecter un serveur distant, spcifiez son nom dordinateur DNS (Domain Name System) ou son adresse IP. 4. Activez la case cocher Se connecter lordinateur spcifi maintenant, puis cliquez sur OK.

Supprimer un serveur du Gestionnaire DNS


Vous pouvez appliquer cette procdure pour supprimer un serveur distant du Gestionnaire DNS. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour supprimer un serveur du Gestionnaire DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS (Domain Name System) applicable. 3. Dans le menu Action, cliquez sur Supprimer. 4. Lorsque vous tes invit confirmer la suppression de ce serveur de la liste, cliquez sur OK.

192

Dmarrer ou arrter un serveur DNS


Vous pouvez appliquer cette procdure pour contrler si le service Serveur DNS sexcute et est capable de rpondre aux requtes. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour dmarrer ou arrter un serveur DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur le serveur DNS (Domain Name System) applicable. 3. Dans le menu Action, pointez sur Toutes les tches, puis cliquez sur lun des lments suivants :

193

o o o

Pour dmarrer le service, cliquez sur Dmarrer. Pour arrter le service, cliquez sur Arrter. Pour interrompre le service, cliquez sur Pause.

4. Pour arrter puis redmarrer automatiquement le service, cliquez sur Redmarrer.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Aprs avoir suspendu ou arrt le service, dans le menu Action, dans Toutes les tches, vous pouvez cliquer sur Reprendre pour reprendre immdiatement le service. Lorsque la mthode damorage de votre serveur est configure pour charger des donnes de zone depuis le Registre, les modifications sont appliques aux serveurs DNS uniquement lorsque le service Serveur DNS est rinitialis. Dans ce cas, si une valeur DNS est modifi manuellement directement dans le Registre, le service Serveur DNS doit toujours tre redmarr pour que la nouvelle valeur soit utilise.

Suspendre une zone ou remettre une zone en service


Vous pouvez appliquer cette procdure pour contrler si une zone rpond aux requtes ou aux demandes de transfert. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Suspension dune zone ou remise en service dune zone


laide de linterface Windows laide dune ligne de commande

194

Pour suspendre une zone ou remettre une zone en service laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur la zone applicable. O ?
o

DNS/serveur_DNS_applicable/Zones de recherche directe (ou Zones de recherche inverse)/zone_applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Gnral, cliquez sur Pause ou Dmarrer, puis sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Par dfaut, les zones sont dmarres lorsquelles sont cres ou charges sur le serveur. Aprs avoir appliqu cette procdure pour suspendre une zone, vous devez redmarrer la zone pour quelle soit disponible pour servir les clients ou pour la mise jour de zone.

Pour suspendre une zone ou remettre une zone en service laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Effectuez lune des actions suivantes :
o

Pour suspendre la zone, tapez la commande suivante, puis appuyez sur Entre :
dnscmd <ServerName> /ZonePause <ZoneName>

Pour remettre la zone en service, tapez la commande suivante, puis appuyez sur Entre :
dnscmd <ServerName> /ZoneResume <ZoneName>

Paramtre dnscmd Gre les serveurs DNS.

Description

Obligatoire. Spcifie le nom dhte DNS (Domain Name System) du serveur NomServeur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /ZonePause Obligatoire. Suspend la zone. 195

/ZoneResume Obligatoire. Remet la zone en service. <NomZone> Obligatoire. Spcifie le nom de domaine complet de la zone. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez lune des commandes suivantes et appuyez sur Entre :
dnscmd <ServerName> /ZonePause /help

Ajout de zones
Dans DNS (Domain Name System), un espace de noms DNS peut tre divis en zones. Les zones contiennent des informations sur les noms concernant un ou plusieurs domaines DNS. Pour chaque nom de domaine DNS inclus dans une zone, la zone devient la source dautorit pour les informations relatives ce domaine. Une zone commence comme base de donnes pour un seul nom de domaine DNS. Si dautres domaines sont ajouts sous le domaine utilis pour crer la zone, ces domaines peuvent soit faire partie de la mme zone, soit appartenir une autre zone.

196

Les zones de recherche directe fournissent une rsolution nom--adresse. Les zones de recherche inverse sont facultatives et fournissent une rsolution adresse--nom. Vous pouvez dployer une zone de recherche directe spciale nomme GlobalNames afin de fournir une rsolution des noms composs dune seule partie ( savoir, les noms qui ne contiennent pas le nom du domaine parent) lorsque vous ne pouvez pas utiliser le service WINS (Windows Internet Name Service) ou des listes de recherche de suffixe. Les rubriques suivantes contiennent une brve explication des zones. Elles expliquent galement comment crer des zones et les supprimer de lespace de noms DNS.

Prsentation des zones Prsentation des types de zones Prsentation de la recherche inverse Ajouter une zone de recherche directe Ajouter une zone de recherche inverse Ajouter une zone de stub Dploiement dune zone GlobalNames

Prsentation des zones


En plus de diviser votre espace de noms DNS (Domain Name System) en domaines, vous pouvez galement le diviser en zones qui stockent des informations de noms concernant un ou plusieurs domaines DNS. Une zone est la source dinformations faisant autorit concernant chaque nom de domaine DNS inclus dans la zone. Une zone commence par un seul nom de domaine DNS. Si dautres domaines sont ajouts sous le domaine initial, ces domaines peuvent soit faire partie de la mme zone, soit appartenir une autre zone. Autrement dit, lorsque vous ajoutez un sous-domaine, vous pouvez soit linclure dans la zone dorigine, soit le dlguer une autre zone que vous crez pour prendre en charge le sous-domaine. Par exemple, lillustration suivante montre le domaine microsoft.com, qui contient des noms de domaines pour Microsoft. Lorsque le domaine microsoft.com est cr initialement sur un 197

serveur, il est configur en tant que zone unique pour tout lespace de noms DNS Microsoft. Si le domaine microsoft.com doit utiliser des sous-domaines, ces derniers doivent tre inclus dans la zone ou tre dlgus une autre zone.

Dans cette illustration, le domaine example.microsoft.com a un sous-domaine (le domaine example.microsoft.com) dlgu partir de la zone microsoft.com et gr dans sa propre zone. Toutefois, la zone microsoft.com doit contenir quelques enregistrements de ressources afin de fournir des informations de dlgation qui font rfrence aux serveurs DNS faisant autorit pour le sous-domaine example.microsoft.com dlgu. Si la zone microsoft.com nutilise pas la dlgation pour un sous-domaine, toute donne pour le sous-domaine appartient encore la zone microsoft.com. Par exemple, le sous-domaine dev.microsoft.com nest pas dlgu, mais il est gr par la zone microsoft.com.

Rplication et transferts de zone


tant donn le rle important assum par les zones dans DNS, elles doivent tre disponibles depuis plusieurs serveurs DNS sur le rseau afin de pouvoir procurer une disponibilit et une tolrance de panne. Autrement, si un seul serveur est disponible et quil ne rpond pas, les requtes de noms appartenant la zone peuvent chouer. Pour que des serveurs supplmentaires puissent hberger une zone, des transferts de zone sont ncessaires pour la rplication et la synchronisation de toutes les copies de la zone utilises sur chaque serveur configur pour hberger la zone. Lorsquun nouveau serveur DNS est ajout au rseau et configur comme nouveau serveur secondaire pour une zone existante, il effectue un transfert initial complet de la zone afin

198

dobtenir et de rpliquer une copie complte des enregistrements de ressources de la zone. La plupart des implmentations de serveur DNS antrieures utilisent cette mthode de transfert complet pour une zone lorsque celle-ci ncessite une mise jour aprs que des modifications y ont t apportes. Pour les serveurs DNS excutant Windows Server 2003 et Windows Server 2008, le service Serveur DNS prend en charge le transfert de zone incrmentiel, un processus de transfert de zone DNS rvis pour les modifications intermdiaires. Les transferts incrmentiels constituent une mthode plus efficace de propagation des modifications et mises jour de zone. Contrairement aux implmentations DNS antrieures, dans lesquelles toute demande de mise jour de donnes de zone ncessitait un transfert complet de lintgralit de la base de donnes de zone, avec le transfert incrmentiel le serveur secondaire peut extraire uniquement les modifications de zone dont il a besoin pour synchroniser sa copie de la zone avec sa source, une copie principale ou secondaire de la zone maintenue par un autre serveur DNS.

Prsentation des types de zones


Le service Serveur DNS propose trois types de zones :

Zone principale Zone secondaire Zone de stub

Remarques Si le serveur DNS est galement un contrleur de domaine des services de domaine Active Directory (AD DS), les zones principales et zones de stub peuvent tre stockes dans les services de domaine Active Directory. Pour plus dinformations, voir Prsentation de 199

lintgration aux services de domaine Active Directory. Les sections suivantes dcrivent chacun de ces types de zones.

Zone principale
Lorsquune zone hberge par ce serveur DNS est une zone principale, le serveur DNS est la source principale dinformations concernant cette zone et il stocke la copie matre des donnes de zone dans un fichier local ou dans les services de domaine Active Directory. Lorsque la zone est stocke dans un fichier, par dfaut le fichier de zone principale se nomme nom_zone.dns et il se trouve dans le dossier %windir%\System32\Dns sur le serveur.

Zone secondaire
Lorsquune zone hberge par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire dinformations concernant cette zone. La zone sur ce serveur doit tre obtenue partir dun autre ordinateur serveur DNS distant qui hberge galement la zone. Ce serveur DNS doit disposer dun accs rseau au serveur DNS distant qui lui fournit des informations mises jour concernant la zone. Une zone secondaire tant simplement une copie dune zone principale hberge sur un autre serveur, elle ne peut pas tre stocke dans les services de domaine Active Directory.

Zone de stub
Lorsquune zone hberge par ce serveur DNS est une zone de stub, ce serveur DNS est une source dinformations concernant uniquement les serveurs de noms faisant autorit pour cette zone. La zone sur ce serveur doit tre obtenue partir dun autre serveur DNS qui hberge la zone. Ce serveur DNS doit disposer dun accs rseau au serveur DNS distant afin de pouvoir copier les informations relatives aux serveurs de noms faisant autorit concernant la zone.

Vous pouvez utiliser des zones de stub pour :

maintenir jour les informations de zones dlgues. Grce la mise jour rgulire dune zone de stub pour lune de ses zones enfants, le serveur DNS qui hberge la zone parente et la zone de stub maintiendra une liste jour des serveurs DNS de rfrence pour la zone enfant. amliorer la rsolution de noms. Les zones de stub permettent un serveur DNS deffectuer la rcursivit laide de la liste de serveurs de noms de la zone de stub sans avoir interroger un serveur racine interne ou Internet pour lespace de noms DNS. simplifier ladministration DNS. Lutilisation de zones de stub dans toute votre infrastructure DNS vous permet de distribuer une liste de serveurs DNS de rfrence pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub ne remplissent pas le mme rle que les zones secondaires et elles ne constituent pas une alternative pour lamlioration de la redondance et du partage de la charge.

200

Deux listes de serveurs DNS sont impliques dans le chargement et la maintenance dune zone de stub :

La liste de serveurs matres partir de laquelle le serveur DNS charge et met jour une zone de stub. Un serveur matre peut tre un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il disposera dune liste complte des serveurs DNS pour la zone. La liste des serveurs DNS de rfrence pour la zone. Cette liste est contenue dans la zone de stub avec des enregistrements de serveur de noms (NS).

Lorsquun serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs matres, qui peuvent se trouver diffrents emplacements, afin dobtenir les enregistrements de ressources ncessaires des serveurs de rfrence pour la zone widgets.tailspintoys.com. La liste de serveurs matres peut contenir un ou plusieurs serveurs et peut tre modifie tout moment.

Prsentation de la recherche inverse


Dans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, savoir une recherche base sur le nom DNS dun autre ordinateur stock dans un enregistrement de ressource hte (A). Ce type de requte attend une adresse IP comme donnes de ressource pour la rponse. DNS propose galement un processus de recherche inverse, dans lequel les clients utilisent une adresse IP connue et recherchent un nom dordinateur sur la base de cette adresse. Une recherche inverse assume la forme dune question du type Pouvez-vous me donner le nom DNS de lordinateur qui utilise ladresse IP 192.168.1.20 ? . DNS na pas t conu initialement pour prendre en charge ce type de requte. Lun des problmes lis la prise en charge du processus de requte inverse est la diffrence dans la faon dont lespace de noms DNS organise et indexe les noms et la faon dont les adresses IP sont affectes. Si la seule mthode permettant de rpondre la question prcdente consiste

201

rechercher dans tous les domaines de lespace de noms DNS, une requte inverse prendrait trop longtemps et exigerait trop de traitement pour tre rellement utile. Pour rsoudre ce problme, un domaine spcial, le domaine in-addr.arpa, a t dfini dans les normes DNS et rserv dans lespace de noms DNS Internet afin de fournir un moyen fiable et pratique deffectuer des requtes inverses. Pour crer lespace de noms invers, des sousdomaines dans le domaine in-addr.arpa sont forms, laide du classement invers des nombres dans la notation dcimale spare par des points des adresses IP. Ce classement invers des domaines pour chaque valeur doctet est ncessaire car, contrairement aux noms DNS, lorsque des adresses IP sont lues de gauche droite, elles sont interprtes de manire oppose. Lorsquune adresse IP est lue de gauche droite, les informations les plus gnrales (une adresse IP rseau) contenues dans la premire partie de ladresse sont vues en premier, suivies des informations les plus spcifiques (une adresse dhte IP) contenues dans les derniers octets. Pour cette raison, lordre des octets dadresse IP doit tre invers lors de la cration de larborescence de domaine in-addr.arpa. Les adresses IP de larborescence DNS in-addr.arpa peuvent tre dlgues des organisations car un ensemble spcifique ou limit dadresses IP leur est affect dans la classe dadresses dfinie par Internet. Pour finir, larborescence de domaine in-addr.arpa, tant intgre DNS, requiert la dfinition dun type denregistrement de ressource supplmentaire : lenregistrement de ressource pointeur (PTR). Cet enregistrement de ressource cre un mappage dans la zone de recherche inverse qui correspond en gnral un enregistrement de ressource hte (A) nomm pour le nom dordinateur DNS dun hte dans sa zone de recherche directe. Le domaine in-addr.arpa sapplique tous les rseaux TCP/IP bass sur ladressage IPv4 (Internet Protocol version 4). LAssistant Nouvelle zone suppose automatiquement que vous utilisez ce domaine lorsque vous crez une zone de recherche inverse. Si vous installez DNS et que vous configurez des zones de recherche inverse pour un rseau IPv6 (Internet Protocol version 6), vous pouvez spcifier un nom exact dans lAssistant Nouvelle zone. De cette faon, vous pouvez crer des zones de recherche inverse dans le Gestionnaire DNS qui peuvent prendre en charge des rseaux IPv6, qui utilisent un nom de domaine spcial diffrent, le domaine ip6.arpa. Vous trouverez des informations supplmentaires concernant le protocole IPv6 et DNS, y compris des exemples dmontrant comment crer et utiliser des noms de domaine ip6.arpa, dans la RFC (Request for Comments) 3596 intitule DNS Extensions to support IP version 6 . Pour plus dinformations, reportez-vous directement cette RFC, disponible sur le site Web RFC Editor (http://go.microsoft.com/fwlink/?LinkId=240) (ventuellement en anglais).

Exemple : requte inverse (pour les rseaux IPv4)


Lillustration suivante reprsente un exemple de requte inverse initie par un client DNS afin de dcouvrir le nom dun autre hte (host-a) sur la base de son adresse IP : 192.168.1.20.

202

Le processus de requte inverse implique les tapes suivantes : 1. Le client interroge le serveur DNS concernant un enregistrement de ressource pointeur (PTR) mapp ladresse IP 192.168.1.20 pour host-a. tant donn que la requte concerne un enregistrement de ressource pointeur (PTR), la rsolution inverse ladresse et ajoute le domaine in-addr.arpa la fin de ladresse inverse. Cela forme le nom de domaine complet (20.1.168.192.in-addr.arpa.) dans lequel effectuer la recherche dans une zone de recherche inverse. 2. Une fois localis, le serveur DNS de rfrence pour 20.1.168.192.in-addr.arpa peut rpondre avec les informations denregistrement de ressource pointeur (PTR). Ces informations incluent le nom de domaine DNS pour host-a, qui achve le processus de recherche inverse. Noubliez pas que si aucune rponse ne peut tre obtenue depuis le serveur DNS pour le nom invers interrog, la rsolution DNS normale (rcursivit ou itration) peut tre utilise pour localiser un serveur DNS faisant autorit pour la zone de recherche inverse et contenant le nom interrog. Dans ce sens, le processus de rsolution de nom utilis dans une recherche inverse est identique celui dune recherche directe.

Requtes inverses
Lutilisation des requtes inverses ( ne pas confondre avec les requtes inverses) est une pratique obsolte, propose lorigine dans le cadre de la norme DNS pour rechercher un nom dhte sur la base de son adresse IP. Elles utilisent une opration de requte DNS non standard et leur utilisation est limite certaines versions antrieures de Nslookup, un utilitaire de ligne de commande pour le dpannage et le test du service Serveur DNS. Le service Serveur DNS reconnat et accepte les messages de requte inverse, et y rpond par une fausse rponse de rponse inverse. Pour les serveurs DNS excutant Windows NT Server 4.0, cette prise en charge est disponible par dfaut si lordinateur serveur a t mis jour vers le Service Pack 4 (SP4) ou ultrieur. Remarques La configuration des enregistrements de ressources pointeur (PTR) et des zones de recherche inverse pour lidentification des htes par requte inverse est une partie strictement facultative de limplmentation de la norme DNS. Rien ne vous oblige utiliser des zones de recherche inverse, bien que pour certaines applications rseau elles soient utilises pour effectuer des vrifications de scurit.

203

Ajouter une zone de stub


Une zone de stub est une copie dune zone qui contient uniquement les enregistrements de ressources ncessaires pour identifier les serveurs DNS (Domain Name System) de rfrence pour cette zone. On utilise en gnral une zone de stub pour rsoudre les noms entre des espaces de noms DNS distincts. Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dune zone de stub


laide de linterface Windows laide dune ligne de commande

204

Pour ajouter une zone de stub laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec un bouton droit sur un serveur DNS, puis cliquez sur Nouvelle zone pour ouvrir lAssistant Nouvelle zone. 3. Suivez les instructions pour crer une nouvelle zone de stub.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. La zone de stub ne peut pas tre hberge sur un serveur DNS qui fait autorit pour la mme zone. Si vous intgrez la zone de stub aux services de domaine Active Directory (AD DS), vous avez la possibilit de spcifier que le serveur DNS hbergeant la zone de stub utilise une liste locale de serveurs matres lorsquil met jour les enregistrements de ressources de la zone de stub, plutt que la liste de serveurs matres stocke dans les services de domaine Active Directory. Si vous souhaitez utiliser une liste locale de serveurs matres, vous devez avoir les adresses IP des serveurs matres locaux.

Pour ajouter une zone de stub laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneAdd <ZoneName> {/Stub|/DsStub} <MasterIPaddress...> [/file <FileName>] [/load] [/DP <FQDN>]

Paramtre dsncmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute une zone. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Spcifie le type de zone. Pour spcifier une zone de stub intgre Active Directory, tapez /DsStub. 205

<NomServeur>

/ZoneAdd <NomZone>

/Stub|/DsStub

<AdresseIPMatre...>

Obligatoire. Spcifie une ou plusieurs adresses IP pour les serveurs matres de la zone de stub, partir desquels elle copie les donnes de zone. Ajoute un fichier pour la nouvelle zone. Spcifie le nom du fichier de zone. Charge un fichier existant pour la zone. Si ce paramtre nest pas spcifi, des enregistrements de zone par dfaut sont crs automatiquement. Ajoute la zone une partition dannuaire dapplications. Vous pouvez utiliser lune des valeurs suivantes :
o

/file <NomFichier>

/load

/DP /domain - Pour une partition dannuaire du domaine (rplique sur tous les serveurs DNS du domaine). /DP /forest - Pour une partition dannuaire de la fort (rplique sur tous les serveurs DNS de la fort). /DP /legacy - Pour une partition dannuaire hrite (rplique sur tous les contrleurs de domaine du domaine). Ce paramtre prend en charge les domaines qui contiennent des contrleurs de domaine hrits excutant Windows 2000 Server.

/DP
o

<NomDomaineComplet>

Spcifie le nom de domaine complet de la partition dannuaire.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneAdd /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. La zone de stub ne peut pas tre hberge sur un serveur DNS qui fait autorit pour la mme zone. Si vous intgrez la zone de stub aux services de domaine Active Directory, vous avez la possibilit de spcifier que le serveur DNS hbergeant la zone de stub utilise une liste locale de serveurs matres lorsquil met jour les enregistrements de ressources 206

de la zone de stub, plutt que la liste de serveurs matres stocke dans les services de domaine Active Directory. Si vous souhaitez utiliser une liste de serveurs matres locale, vous devez avoir les adresses IP des serveurs matres locaux.

Dploiement dune zone GlobalNames


S'applique : Windows Server 2008 R2 Lun des impratifs les plus courants sur les rseaux informatiques est la capacit rsoudre des noms simples en une partie. Lutilisation de noms en une partie permet un ordinateur daccder des htes (tels que des serveurs de fichiers et des serveurs Web) par le biais de noms courts et facilement mmorisables plutt que par le biais de noms de domaine complets qui constituent la convention dattribution de noms par dfaut pour DNS (Domain Name System). Pour rendre possible lutilisation de noms en une partie, de nombreux rseaux dploient la technologie WINS (Windows Internet Name Service) et des serveurs WINS dans 207

leur environnement. En tant que protocole de rsolution de noms, WINS constitue une alternative DNS. Il sagit dun service plus ancien qui utilise NetBIOS sur TCP/IP (NetBT). WINS et NetBT ne prennent pas en charge les protocoles IPv6 (Internet Protocol version 6) ; par consquent, ils disparaissent progressivement de nombreux rseaux. Pour aider les administrateurs rseau migrer vers DNS pour toute la rsolution de noms, le rle Serveur DNS dans Windows Server 2008 prend en charge une zone spciale nomme GlobalNames. En dployant une zone avec ce nom, vous pouvez disposer des enregistrements globaux et statiques avec des noms en une partie sans dpendre du service WINS. Ces noms en une partie font gnralement rfrence des enregistrements relatifs des serveurs bien connus et frquemment utiliss (des serveurs auxquels sont dj affectes des adresses IP statiques et qui sont grs actuellement par des administrateurs informatiques laide du service WINS). La zone GlobalNames na pas pour fonction de remplacer totalement le service WINS. Vous ne devez pas utiliser la zone GlobalNames pour prendre en charge la rsolution de noms des enregistrements inscrits de manire dynamique dans WINS, enregistrements qui ne sont gnralement pas grs par les administrateurs informatiques. La prise en charge de ces enregistrements inscrits de manire dynamique nest pas volutive, en particulier pour les clients disposant de plusieurs domaines ou forts.

Le dploiement dune zone GlobalNames est-il ncessaire ?


Vous pouvez envisager de dployer une zone GlobalNames si :

vous supprimez le service WINS ou vous envisagez de dployer uniquement le protocole IPv6 dans votre environnement, de sorte que toute la rsolution de noms dpendra de DNS ; votre besoin en rsolution de noms en une partie se limite des serveurs ou des sites Web importants qui peuvent tre inscrits de manire statique dans DNS. (En gnral, ces noms sont galement configurs de manire statique et globale dans la base de donnes WINS.) Les noms dhtes ne peuvent pas tre inscrits dans la zone GlobalNames par les mises jour dynamiques ; vous ne pouvez pas dpendre des listes de recherche de suffixe sur les ordinateurs clients pour fournir la rsolution des noms en une partie, par exemple lorsque le nombre de domaines cibles est trop lev ou lorsque les domaines ne peuvent pas tre grs de faon centralise afin de garantir le caractre unique des noms dhtes. Pour plus dinformations sur les listes de recherche de suffixe, voir Prsentation des paramtres de client DNS ; tous les serveurs DNS de rfrence pour vos zones sont des serveurs excutant Windows Server 2008. Pour rsoudre les noms inscrits dans la zone GlobalNames, tous les serveurs DNS de rfrence pour une zone et qui rpondent des requtes de clients doivent excuter Windows Server 2008 et doivent tre configurs avec une copie locale de la zone GlobalNames ou tre en mesure de contacter des serveurs DNS distants qui hbergent la zone GlobalNames.

Nous recommandons galement dintgrer la zone GlobalNames aux services de domaine Active Directory (AD DS). Cette intgration garantit une plus grande facilit de gestion et dvolutivit ultrieure. 208

Dploiement dune zone GlobalNames


Les tapes spcifiques du dploiement dune zone GlobalNames peuvent quelque peu varier en fonction de la topologie AD DS de votre rseau.

tape 1 : crer la zone GlobalNames


La premire tape du dploiement dune zone GlobalNames consiste crer la zone sur un serveur DNS qui est un contrleur de domaine excutant Windows Server 2008. La zone GlobalNames nest pas un type de zone spcial ; il sagit plutt simplement dune zone de recherche directe intgre aux services de domaine Active Directory nomme GlobalNames. Pour plus dinformations sur la cration dune zone de recherche directe principale, voir Ajouter une zone de recherche directe.

tape 2 : activer la prise en charge de la zone GlobalNames


La zone GlobalNames nest pas disponible pour la rsolution de noms tant que la prise en charge de cette zone nest pas active de manire explicite au moyen de la commande suivante sur chaque serveur DNS de rfrence dans la fort :
dnscmd <ServerName> /config /enableglobalnamessupport 1

o NomServeur est le nom DNS ou ladresse IP du serveur DNS qui hberge la zone GlobalNames. Pour spcifier lordinateur local, remplacez NomServeur par un point (.), par exemple dnscmd . /config /enableglobalnamessupport 1.

tape 3 : rpliquer la zone GlobalNames


Pour rendre la zone GlobalNames accessible tous les serveurs et clients DNS dune fort, rpliquez la zone sur tous les contrleurs de domaine de la fort, autrement dit ajoutez la zone GlobalNames la partition dapplication DNS lchelle de la fort. Pour plus dinformations, voir Modifier ltendue de rplication de zone. Si vous souhaitez limiter les serveurs qui feront autorit pour la zone GlobalNames, vous pouvez crer une partition dapplication DNS personnalise pour la rplication de la zone GlobalNames. Pour plus dinformations, voir Prsentation de la rplication de zone DNS dans les services de domaine Active Directory.

tape 4 : peupler la zone GlobalNames


Pour chaque serveur pour lequel vous souhaitez pouvoir fournir la rsolution des noms en une partie, ajoutez un enregistrement de ressource alias (CNAME) la zone GlobalNames. Pour plus dinformations, voir Ajouter un enregistrement de ressource alias (CNAME) une zone.

tape 5 : publier lemplacement de la zone GlobalNames dans dautres forts


Si vous souhaitez que les clients DNS dautres forts utilisent la zone GlobalNames pour la rsolution de noms, ajoutez des enregistrements de ressources Emplacement du service (SRV)

209

la partition dapplication DNS lchelle de la fort, en utilisant le nom de service _globalnames._msdcs et en spcifiant le nom de domaine complet du serveur DNS qui hberge la zone GlobalNames. Pour plus dinformations, voir Ajouter un enregistrement de ressource une zone et Bote de dialogue Engistrement de ressource demplacement du service (SRV). En outre, vous devez excuter la commande dnscmdNomServeur/config /enableglobalnamessupport 1 sur chaque serveur DNS de rfrence dans les forts qui nhbergent pas la zone GlobalNames.

Considrations supplmentaires

Par dfaut, un serveur DNS de rfrence utilise dabord les donnes de zone locale pour rpondre une requte, avant de se tourner vers la zone GlobalNames pour vrifier si le nom existe. Si la zone GlobalNames ne contient aucune donne pertinente et que la rsolution laide des suffixes choue, la rsolution bascule vers le service WINS. Linterrogation pralable des donnes de zone locale est une optimisation des performances. Les mises jour dynamiques envoyes un serveur DNS de rfrence sont dabord compares aux donnes de zone GlobalNames avant dtre compares aux donnes de zone locale. Cela permet de garantir le caractre unique des noms de la zone GlobalNames. Aucune mise jour logicielle nest requise sur les clients afin de leur permettre de rsoudre les noms configurs dans la zone GlobalNames. Le suffixe DNS principal, les suffixes DNS spcifiques aux connexions et la liste de recherche de suffixe DNS continuent de fonctionner normalement. Linscription des clients DNS nest pas affecte, moins quun ordinateur ne tente dinscrire un nom dj configur dans la zone GlobalNames.

Configuration des proprits de zone


Dans DNS (Domain Name System), vous pouvez diviser un espace de noms DNS en zones qui stockent des informations de noms concernant un ou plusieurs domaines DNS. Pour chaque nom de domaine DNS inclus dans une zone, la zone devient la source dautorit pour les informations relatives ce domaine. Une zone commence comme base de donnes pour un seul nom de domaine DNS. Si dautres domaines sont ajouts sous le domaine utilis pour crer la zone, ces domaines peuvent soit faire partie de la mme zone, soit appartenir une autre zone. Une fois quun sous-domaine a t ajout, il peut tre :

gr et inclus dans le cadre des enregistrements de zone dorigine ; dlgu une autre zone cre pour prendre en charge le sous-domaine.

210

Vous pouvez configurer un serveur DNS de faon hberger une zone selon lun des trois types de zones suivants :

Une zone principale, pour laquelle le serveur DNS est lautorit principale Une zone secondaire, pour laquelle le serveur DNS maintient une copie de la zone qui est transfre depuis un serveur principal Une zone de stub, pour laquelle le serveur DNS fournit uniquement les serveurs de noms qui font autorit pour la zone

Vous pouvez galement configurer une zone de faon utiliser le service WINS (Windows Internet Name Service) pour rsoudre les noms et vous pouvez dterminer la faon dont une zone intgre aux services de domaine Active Directory (AD DS) est rplique.

Prsentation de la dlgation de zone Prsentation des types de zones Crer une dlgation de zone Activer DNS de faon utiliser la rsolution WINS Spcifier dautres serveurs DNS comme serveurs de rfrence pour une zone Modifier le type de zone Modifier ltendue de rplication de zone Modifier la scurit pour une zone intgre Active Directory Modifier les paramtres de transfert de zone

Prsentation de la dlgation de zone


DNS (Domain Name System) offre la possibilit de diviser lespace de noms en une ou plusieurs zones, qui peuvent ensuite tre stockes, distribues et rpliques sur dautres serveurs DNS. Lorsque vous dcidez sil faut diviser votre espace de noms DNS afin de crer des zones supplmentaires, prenez en considration les raisons suivantes :

Vous souhaitez dlguer la gestion dune partie de votre espace de noms DNS un autre emplacement ou service de votre organisation. Vous souhaitez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic parmi plusieurs serveurs, damliorer les performances de rsolution de noms DNS ou de crer un environnement DNS plus tolrant envers les pannes. Vous souhaitez tendre lespace de noms en ajoutant de nombreux sous-domaines la fois, par exemple en cas douverture dune nouvelle succursale ou dun nouveau site.

Si, pour lune des ces raisons, vous pouvez tirer parti de la dlgation de zones, il peut tre judicieux de restructurer votre espace de noms en ajoutant des zones supplmentaires. Lorsque vous dcidez de la manire de structurer les zones, utilisez un plan qui reflte la structure de votre organisation.

211

Lorsque vous dlguez des zones dans votre espace de noms, souvenez-vous que pour chaque nouvelle zone que vous crez, vous devrez avoir des enregistrements de dlgation dans dautres zones qui pointent vers les serveurs DNS de rfrence pour la nouvelle zone. Cela est ncessaire la fois pour transfrer lautorit et pour fournir une rfrence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de rfrence pour la nouvelle zone. Lorsquune zone principale standard est initialement cre, toutes les informations sur les enregistrements de ressources sont stockes en tant que fichier texte sur un seul serveur DNS. Ce serveur joue le rle de matre principal pour la zone. Les informations de zone peuvent tre rpliques sur dautres serveurs DNS afin damliorer la tolrance de pannes et les performances des serveurs. Lorsque vous structurez vos zones, il existe plusieurs bonnes raisons dutiliser des serveurs DNS supplmentaires pour la rplication de zone :

Les serveurs DNS ajouts apportent une redondance de zone, ce qui permet de rsoudre les noms DNS de la zone pour les clients si un serveur principal pour la zone cesse de rpondre. Les serveurs DNS ajouts peuvent tre placs de faon rduire le trafic rseau DNS. Par exemple, lajout dun serveur DNS du ct oppos dune liaison de rseau tendu faible vitesse peut tre utile pour la gestion et la rduction du trafic rseau. Les serveurs secondaires supplmentaires peuvent contribuer la rduction des charges sur un serveur principal pour une zone.

Exemple : dlgation dun sous-domaine une nouvelle zone


Comme lindique lillustration suivante, lorsquune nouvelle zone pour un sous-domaine (example.microsoft.com) est cre, la dlgation depuis la zone parente (microsoft.com) est ncessaire.

212

Dans cet exemple, un ordinateur serveur DNS de rfrence pour le sous-domaine example.microsoft.com nouvellement dlgu est nomm sur la base dun sous-domaine driv inclus dans la nouvelle zone (ns1.na.example.microsoft.com). Pour faire en sorte que ce serveur soit connu des autres serveurs en dehors de la nouvelle zone dlgue, deux enregistrements de ressources sont ncessaires dans la zone microsoft.com afin dachever le processus de dlgation vers la nouvelle zone. Il sagit des enregistrements de ressources suivants :

Un enregistrement de serveur de noms (NS) pour rendre la dlgation effective. Cet enregistrement de ressource annonce que le serveur nomm ns1.na.example.microsoft.com est un serveur de rfrence pour le sous-domaine dlgu. Un enregistrement de ressource hte (A ou AAAA) (galement appel enregistrement de type glue) est ncessaire afin de rsoudre le nom du serveur spcifi dans lenregistrement de ressource de serveur de noms par son adresse IP. Le processus consistant rsoudre le nom de lhte dans cet enregistrement de ressource par le serveur DNS dlgu dans lenregistrement de serveur de noms est parfois appel recherche denregistrements de type glue .

Prsentation des types de zones


213

Le service Serveur DNS propose trois types de zones :


Zone principale Zone secondaire Zone de stub

Remarques Si le serveur DNS est galement un contrleur de domaine des services de domaine Active Directory (AD DS), les zones principales et zones de stub peuvent tre stockes dans les services de domaine Active Directory. Pour plus dinformations, voir Prsentation de lintgration aux services de domaine Active Directory. Les sections suivantes dcrivent chacun de ces types de zones.

Zone principale
Lorsquune zone hberge par ce serveur DNS est une zone principale, le serveur DNS est la source principale dinformations concernant cette zone et il stocke la copie matre des donnes de zone dans un fichier local ou dans les services de domaine Active Directory. Lorsque la zone est stocke dans un fichier, par dfaut le fichier de zone principale se nomme nom_zone.dns et il se trouve dans le dossier %windir%\System32\Dns sur le serveur.

Zone secondaire
Lorsquune zone hberge par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire dinformations concernant cette zone. La zone sur ce serveur doit tre obtenue partir dun autre ordinateur serveur DNS distant qui hberge galement la zone. Ce serveur DNS doit disposer dun accs rseau au serveur DNS distant qui lui fournit des informations mises jour concernant la zone. Une zone secondaire tant simplement une copie dune zone principale hberge sur un autre serveur, elle ne peut pas tre stocke dans les services de domaine Active Directory.

Zone de stub
Lorsquune zone hberge par ce serveur DNS est une zone de stub, ce serveur DNS est une source dinformations concernant uniquement les serveurs de noms faisant autorit pour cette zone. La zone sur ce serveur doit tre obtenue partir dun autre serveur DNS qui hberge la zone. Ce serveur DNS doit disposer dun accs rseau au serveur DNS distant afin de pouvoir copier les informations relatives aux serveurs de noms faisant autorit concernant la zone.

Vous pouvez utiliser des zones de stub pour :

maintenir jour les informations de zones dlgues. Grce la mise jour rgulire dune zone de stub pour lune de ses zones enfants, le serveur DNS qui hberge la zone parente et la zone de stub maintiendra une liste jour des serveurs DNS de rfrence pour la zone enfant.

214

amliorer la rsolution de noms. Les zones de stub permettent un serveur DNS deffectuer la rcursivit laide de la liste de serveurs de noms de la zone de stub sans avoir interroger un serveur racine interne ou Internet pour lespace de noms DNS. simplifier ladministration DNS. Lutilisation de zones de stub dans toute votre infrastructure DNS vous permet de distribuer une liste de serveurs DNS de rfrence pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub ne remplissent pas le mme rle que les zones secondaires et elles ne constituent pas une alternative pour lamlioration de la redondance et du partage de la charge.

Deux listes de serveurs DNS sont impliques dans le chargement et la maintenance dune zone de stub :

La liste de serveurs matres partir de laquelle le serveur DNS charge et met jour une zone de stub. Un serveur matre peut tre un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il disposera dune liste complte des serveurs DNS pour la zone. La liste des serveurs DNS de rfrence pour la zone. Cette liste est contenue dans la zone de stub avec des enregistrements de serveur de noms (NS).

Lorsquun serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs matres, qui peuvent se trouver diffrents emplacements, afin dobtenir les enregistrements de ressources ncessaires des serveurs de rfrence pour la zone widgets.tailspintoys.com. La liste de serveurs matres peut contenir un ou plusieurs serveurs et peut tre modifie tout moment.

Crer une dlgation de zone


Vous pouvez diviser votre espace de noms de domaine DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez dlguer la gestion dune partie de votre espace de noms un autre emplacement ou service de votre organisation en dlguant la gestion de la zone correspondante. Pour plus dinformations, voir Prsentation de la dlgation de zone.

215

Lorsque vous dlguez une zone, souvenez-vous que pour chaque zone que vous crez, vous devrez avoir des enregistrements de dlgation dans dautres zones qui pointent vers les serveurs DNS de rfrence pour la nouvelle zone. Cela est ncessaire la fois pour transfrer lautorit et pour fournir une rfrence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs de rfrence pour la nouvelle zone. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Cration dune dlgation de zone


laide de linterface Windows laide dune ligne de commande

Pour crer une dlgation de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le sous-domaine applicable, puis cliquez sur Nouvelle dlgation. 3. Suivez les instructions de lAssistant Nouvelle dlgation pour terminer la cration du nouveau domaine dlgu.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Tous les domaines (et sous-domaines) qui apparaissent comme faisant partie de la dlgation de zone applicable doivent tre crs dans la zone actuelle avant que la dlgation dcrite ici ne soit effectue. Le cas chant, utilisez le Gestionnaire DNS pour ajouter dabord les domaines la zone, avant deffectuer cette procdure.

Pour crer une dlgation de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<FQDN>}

Paramtre dnscmd <NomServeur>

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du 216

serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /RecordAdd Obligatoire. Spcifie la commande permettant dajouter un enregistrement de ressource. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS pour lequel lenregistrement de source de noms (SOA) est ajout. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone. Si cette commande est utilise, cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si elle nest pas utilise, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. (La dure de vie par dfaut est dfinie dans lenregistrement de source de noms (SOA)). Obligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) la zone spcifie dans NomZone. Obligatoire. Spcifie le nom dhte ou nom de domaine complet du nouveau serveur de rfrence.

<NomZone>

<NomNud>

/Aging

/OpenAcl

<Ttl>

NS

<NomHte>|<NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

217

Activer DNS de faon utiliser la rsolution WINS


Le service Serveur DNS peut utiliser des serveurs WINS (Windows Internet Name Service) pour rechercher des noms introuvables dans lespace de noms de domaine DNS (Domain Name System) en vrifiant lespace de noms NetBIOS gr par le service WINS. Pour utiliser lintgration de recherche WINS, deux types denregistrements de ressources spciaux (les enregistrements de ressources WINS et WINS-R) sont activs et ajouts une zone. Lorsque lenregistrement de ressource WINS est utilis, les requtes DNS pour lesquelles aucun enregistrement de ressource hte (A) correspondant nest trouv dans la zone sont transfres aux serveurs WINS configurs dans lenregistrement de ressource WINS. Pour les zones de recherche inverse, lenregistrement de ressource WINS-R peut tre activ et utilis dans le mme but de rsoudre une requte inverse qui ne trouve pas de rponse dans le domaine invers in-addr.arpa. Remarques En guise dalternative lutilisation du service WINS pour la rsolution des noms en une partie, vous pouvez configurer les ordinateurs clients DNS de faon utiliser des listes de recherche de suffixe. Vous pouvez galement dployer une zone spciale nomme GlobalNames afin de fournir la rsolution de noms pour un ensemble limit de noms dhtes grs de faon centralise. Pour plus dinformations sur ces alternatives au service WINS, voir Prsentation des paramtres de client DNS et Dploiement dune zone GlobalNames. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Pour activer la rsolution WINS dans DNS 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Effectuez lune des actions suivantes : Si la zone applicable est une zone de recherche directe, sous longlet WINS, activez la case cocher Utiliser la recherche directe WINS. Dans Adresse IP, tapez ladresse IP dun serveur WINS utiliser pour la rsolution des noms qui sont introuvables dans DNS, puis cliquez sur Ajouter. o Si la zone applicable est une zone de recherche inverse, sous longlet WINSR, activez la case cocher Utiliser la recherche WINS-R. Dans Domaine apposer au nom renvoy, tapez un nom. 4. Activez la case cocher Ne pas rpliquer cet enregistrement pour cet enregistrement WINS, le cas chant.
o

Si vous rpliquez cette zone entre des serveurs DNS qui ne reconnaissent pas les enregistrements de ressources WINS et WINS-R, activez cette case cocher. Cela empche ces enregistrements dtre rpliqus vers ces autres serveurs durant les 218

transferts de zone. Si cette zone doit tre utilise dans les transferts de zone vers des serveurs BIND, il sagit dune option critique car BIND (Berkeley Internet Name Domain) ne reconnatra pas les enregistrements WINS.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Lorsque vous activez cette option, les serveurs WINS spcifis configurs dans cette procdure sont utiliss pour la rfrence finale des noms introuvables dans la zone applicable. Si vous le souhaitez, vous pouvez cliquer sur Avanc pour ajuster les paramtres de recherche WINS avancs.

219

Spcifier dautres serveurs DNS comme serveurs de rfrence pour une zone
Appliquez cette procdure pour ajouter des serveurs secondaires pour vos zones existantes lenregistrement de serveur de noms (NS) afin den faire des serveurs de rfrence pour la zone. En gnral, il peut tre ncessaire dappliquer cette procdure sur la zone principale uniquement lorsque vous ajoutez des serveurs DNS (Domain Name System) devant assumer la fonction de serveurs secondaires. Vous pouvez galement appliquer cette procdure pour spcifier que ces serveurs font autorit lorsquils rpondent des requtes de donnes de zone. Les serveurs DNS effectuent lajout et la configuration initiale automatiques de lenregistrement de serveur de noms pour chaque nouvelle zone principale ajoute au serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Spcification dautres serveurs DNS comme serveurs de rfrence pour une zone

laide de linterface Windows laide dune ligne de commande

Pour spcifier dautres serveurs DNS comme serveurs de rfrence pour une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Cliquez sur longlet Serveurs de noms. 4. Cliquez sur Ajouter. 5. Spcifiez les serveurs DNS supplmentaires par leur nom et leur adresse IP, puis cliquez sur Ajouter pour les ajouter la liste.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour spcifier dautres serveurs DNS comme serveurs de rfrence pour une zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :

220

dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [<Ttl>] NS {<HostName>|<DomainName>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute un enregistrement de ressource. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS pour lequel lenregistrement de source de noms (SOA) est ajout. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone. Si vous utilisez ce paramtre, cet enregistrement de ressource est soumis lantriorit et au nettoyage. Si vous ne lutilisez pas, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. (La dure de vie par dfaut est dfinie dans lenregistrement de source de noms (SOA)). Obligatoire. Indique que vous ajoutez un enregistrement de serveur de noms (NS) la zone spcifie dans NomZone. Obligatoire. Spcifie le nom dhte ou nom de domaine complet du nouveau serveur de rfrence. 221

<NomServeur>

/RecordAdd <NomZone>

<NomNud>

/Aging

/OpenAcl

<Ttl>

NS

<NomHte>|<NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

Modifier le type de zone


Vous pouvez appliquer cette procdure pour faire dune zone une zone principale, secondaire ou de stub. Vous pouvez galement lappliquer pour intgrer une zone aux services de domaine Active Directory (AD DS). Pour plus dinformations, voir Prsentation des types de zones. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Modification du type de zone


laide de linterface Windows laide dune ligne de commande

Pour modifier le type de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis slectionnez Proprits. 3. Sous longlet Gnral, notez le type de zone actuel, puis cliquez sur Modifier. 4. Dans Modification du type de zone, slectionnez un type de zone autre que le type de zone actuel, puis cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Vous pouvez slectionner Zone principale, Zone secondaire ou Zone de stub. Lorsque vous slectionnez le type de zone secondaire ou de stub, vous devez spcifier ladresse IP dun autre serveur DNS (Domain Name System) utiliser comme source pour lobtention des informations mises jour pour la zone. Si lordinateur serveur DNS assume la fonction de contrleur de domaine, loption de stockage de la zone dans les services de domaine Active Directory est disponible. 222

Autrement, cette option nest pas disponible. Lorsque ce type de zone est slectionn, les donnes de zone sont stockes et rpliques dans le cadre de la base de donnes AD DS. Remarques Vous ne pouvez pas modifier simultanment le type de zone (principale, secondaire ou de stub) et la mthode de stockage de la zone. Vous devez effectuer ces deux oprations sparment. La modification dune zone secondaire en zone principale peut affecter dautres activits de zone, y compris la gestion des mises jour dynamiques et des transferts de zone et lutilisation des listes de notification DNS pour informer les autres serveurs des modifications dans la zone. Il nest pas recommand de changer une zone de stub en zone principale, ou linverse, car cela contredit la fonction des zones de stub. La modification du stockage ou du type de zone DNS peut prendre beaucoup de temps pour les grandes zones. Pour modifier le type de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneResetType <ZoneName Property> [<MasterIPaddress...>] [/file <FileName>] {/OverWrite_Mem|/OverWrite_Ds|/DirectoryPartition <FQDN>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Lun des types de zones suivants :

<NomServeur>

<NomZone> <Proprit>

/Primary Zone principale standard. Loption /fileNomFichier est obligatoire.

/DsPrimary Zone principale intgre aux services de domaine Active Directory. Si la zone nen est pas dj une, vous devez la convertir en zone principale ( laide de /Primary) avant dutiliser ce paramtre pour intgrer la zone aux services 223

de domaine Active Directory. /Secondary Zone secondaire. Vous devez spcifier au moins une AdresseIPMatre. /Stub Zone de stub. Vous devez spcifier au moins une AdresseIPMatre. Sil sagit dune zone principale intgre aux services de domaine Active Directory, vous devez utiliser /DsStub pour la convertir en zone de stub intgre aux services de domaine Active Directory avant dutiliser ce paramtre.

/DsStub Zone de stub intgre aux services de domaine Active Directory. Vous devez spcifier au moins une AdresseIPMatre. Si la zone nen est pas dj une, vous devez la convertir en zone de stub ( laide de /Stub) avant dutiliser ce paramtre pour intgrer la zone aux services de domaine Active Directory.

/file <NomFichier>

Obligatoire pour /Primary. Spcifie le nom dun fichier pour la nouvelle zone. Ce paramtre nest pas valide pour le type de zone /DsPrimary. Obligatoire pour /Secondary, /Stub et /DsStub. Spcifie une ou plusieurs adresses IP pour les serveurs matres de la zone secondaire ou de la zone de stub, partir desquels les donnes de zone sont copies. /OverWrite_Mem remplace les donnes DNS existantes par les donnes se trouvant dans les services de domaine Active Directory. /OverWrite_Ds remplace les donnes Active Directory par les donnes se trouvant dans DNS. /DirectoryPartition stocke la nouvelle zone dans la partition dannuaire dapplications spcifie par NomDomaineComplet, telle que DomainDnsZones.corp.widgets.tailspintoys.com.

<AdresseIPMatre...>

/OverWrite_Mem | /OverWrite_Ds | /DirectoryPartition <NomDomaineComplet>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneResetType /help

224

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

Vous avez le choix entre des zones principales, des zones secondaires et des zones de stub. Lorsque vous slectionnez le type de zone secondaire ou de stub, spcifiez ladresse IP dun autre serveur DNS utiliser comme source pour lobtention des informations mises jour pour la zone. Si lordinateur serveur DNS assume la fonction de contrleur de domaine, vous pouvez utiliser le paramtre /DsPrimary ou le paramtre /DsStub. Autrement, ces options ne sont pas disponibles. Lorsque lun de ces types de zones est slectionn, les donnes de zone sont stockes et rpliques dans le cadre de la base de donnes AD DS. Remarques Avant dutiliser ces options, vous devez tout dabord convertir la zone au type appropri, si ncessaire. Autrement dit, la zone doit dj tre une zone principale pour que vous puissiez utiliser /DsPrimary pour lintgrer aux services de domaine Active Directory. De mme, la zone doit dj tre une zone de stub pour que vous puissiez utiliser /DsStub pour lintgrer aux services de domaine Active Directory. La modification dune zone secondaire en zone principale peut affecter dautres activits de zone, y compris la gestion des mises jour dynamiques et des transferts de zone et lutilisation des listes de notification DNS pour informer les autres serveurs des modifications dans la zone. Il nest pas recommand de changer une zone de stub en zone principale, ou linverse, car cela contredit la fonction des zones de stub.

225

Modifier ltendue de rplication de zone


Vous pouvez appliquer la procdure suivante pour modifier ltendue de rplication dune zone. Il est possible de modifier ltendue de rplication uniquement pour les zones de recherche avance de stub et principales intgres aux services de domaine Active Directory (AD DS). Vous ne pouvez pas modifier ltendue de rplication des zones de recherche avance secondaires. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent. Consultez

Modification de ltendue de rplication de zone


laide de linterface Windows laide dune ligne de commande

Pour modifier ltendue de rplication laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, notez le type de rplication de zone actuel, puis cliquez sur Modifier. 4. Slectionnez une tendue de rplication pour la zone.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour modifier ltendue de rplication laide de la ligne de commande

linvite de commandes, tapez la commande suivante, puis appuyez sur Entre :


dnscmd <ServerName> /ZoneChangeDirectoryPartition <ZoneName> <NewPartitionName>

226

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS (Domain Name System) du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Modifie ltendue de rplication dune zone. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Nom de domaine complet de la partition dannuaire dapplications o la zone sera stocke.

<NomServeur>

/ZoneChangeDirectoryPartition

<NomZone>

<NomNouvellePartition>

227

Modifier la scurit pour une zone intgre Active Directory


Vous pouvez grer la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) sur les zones DNS stockes dans les services de domaine Active Directory (AD DS). Vous pouvez utiliser la liste DACL pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrler les zones DNS. Pour effectuer cette procdure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine dans AD DS, ou un compte quivalent. Pour modifier la scurit pour une zone intgre Active Directory 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur la zone applicable. O ?
o

DNS/serveur_DNS_applicable/Zones de recherche directe (ou Zones de recherche inverse)/zone_applicable

3. Dans le menu Action, cliquez sur Proprits. 4. Sous longlet Gnral, vrifiez que le type de zone est Intgr Active Directory. 5. Sous longlet Scurit, modifiez la liste des utilisateurs ou groupes membres qui sont autoriss mettre jour de manire scurise la zone applicable et rinitialiser leurs autorisations en cas de besoin.

228

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les mises jour dynamiques scurises sont prises en charge uniquement pour les zones stockes dans les services de domaine Active Directory. Les paramtres de scurit dterminent qui peut administrer la zone, mais ils naffectent pas les mises jour dynamiques de la zone. Pour appliquer des paramtres dynamiques pour des mises jour dynamiques, voir Rfrences supplmentaires .

Modifier les paramtres de transfert de zone


Vous pouvez utiliser la procdure suivante pour contrler si une zone est transfre vers dautres serveurs et quels serveurs peuvent recevoir le transfert de zone. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Modification des paramtres de transfert de zone


laide de linterface Windows laide dune ligne de commande

Pour modifier les paramtres de transfert de zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Cliquez avec le bouton droit sur une zone DNS, puis cliquez sur Proprits. 3. Sous longlet Transferts de zone, effectuez lune des actions suivantes : Pour dsactiver les transferts de zone, dsactivez la case cocher Autoriser les transferts de zone. o Pour autoriser les transferts de zone, activez la case cocher Autoriser les transferts de zone. 4. Si vous avez autoris les transferts de zone, effectuez lune des actions suivantes :
o

229

o o

Pour autoriser les transferts de zone vers nimporte quel serveur, cliquez sur Vers nimporte quel serveur. Pour autoriser les transferts de zone uniquement vers les serveurs DNS rpertoris sous longlet Serveurs de noms, cliquez sur Uniquement vers les serveurs lists dans longlet Serveurs de noms. Pour autoriser les transferts de zone uniquement vers des serveurs DNS spcifiques, cliquez sur Uniquement vers les serveurs suivants, puis ajoutez ladresse IP dun ou plusieurs serveurs DNS.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Pour amliorer la scurit de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spcifis. Si vous autorisez tout serveur DNS effectuer un transfert de zone, vous autorisez le transfert des informations du rseau interne vers tout hte capable de contacter votre serveur DNS.

Pour modifier les paramtres de transfert de zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> {/NoXfr | /NonSecure | /SecureNs | /SecureList [<SecondaryIPAddress...>]}

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Spcifie le nom de domaine complet de la zone. Dsactive les transferts de zone pour la zone. Autorise les transferts de zone vers tout serveur DNS. Autorise les transferts de zone uniquement vers les serveurs DNS rpertoris dans la zone laide denregistrements de serveur de noms (NS). Autorise les transferts de zone uniquement vers les serveurs DNS 230

<NomServeur>

<NomZone> /NoXfr /NonSecure

/SecureNs

/SecureList

spcifis par AdresseIPSecondaire. Obligatoire si /SecureList est spcifi. Liste dune ou plusieurs <AdresseIPSecondaire> adresses IP de serveurs DNS autoriss obtenir des transferts de zone. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneResetSecondaries /?

Considrations supplmentaires

Pour amliorer la scurit de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de serveur de noms (NS) pour une zone ou pour les serveurs DNS spcifis. Si vous autorisez tout serveur DNS effectuer un transfert de zone, vous autorisez le transfert des informations du rseau interne vers tout hte capable de contacter votre serveur DNS.

Gestion des enregistrements de ressources


Les enregistrements de ressources contiennent les informations maintenues par une zone concernant les ressources (telles que les htes) quelle contient. Un enregistrement de ressource par dfaut est constitu du nom (hte) du propritaire de lenregistrement de ressource, dinformations relatives la dure pendant laquelle lenregistrement de ressource peut rester dans le cache, du type denregistrement de ressource (par exemple enregistrement de ressource hte (A)) et de donnes spcifiques au type denregistrement (telles que ladresse de lhte). Vous pouvez ajouter des enregistrements de ressources directement ou ils peuvent tre ajouts automatiquement lorsque des clients DHCP (Dynamic Host Configuration Protocol) Windows joignent un rseau, processus que lon nomme mise jour dynamique .

Ajout denregistrements de ressources Prsentation de la mise jour dynamique Autoriser les mises jour dynamiques Autoriser uniquement les mises jour dynamiques Ajouter un enregistrement de ressource une zone Ajouter un enregistrement de ressource alias (CNAME) une zone Modifier la scurit pour un enregistrement de ressource Utiliser lantriorit et le nettoyage 231

Ajout denregistrements de ressources


Aprs avoir cr une zone, vous devez y ajouter des enregistrements de ressources supplmentaires. Les enregistrements de ressources les plus courants ajouter sont les suivants :

Enregistrements de ressources hte (A) : pour le mappage dun nom de domaine DNS (Domain Name System) une adresse IP utilise par un ordinateur. Enregistrements de ressources alias (CNAME) : pour le mappage dun alias de nom de domaine DNS un autre nom canonique ou principal. Enregistrements de serveur de messagerie (MX) : pour le mappage dun nom de domaine DNS au nom dun ordinateur qui change ou transfre du courrier. Enregistrements de ressources pointeur (PTR) : pour le mappage dun nom de domaine DNS invers bas sur ladresse IP dun ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur. Enregistrements de ressources Emplacement du service (SRV) : pour le mappage dun nom de domaine DNS une liste spcifie dordinateurs htes DNS qui offrent un type spcifique de service, tels que des contrleurs de domaine Active Directory. Autres enregistrements de ressources selon les besoins.

Enregistrements de ressources hte (A)


Vous utilisez des enregistrements de ressources hte (A) dans une zone afin dassocier des noms de domaine DNS dordinateurs (ou htes) leurs adresses IP. Vous pouvez les ajouter une zone de plusieurs manires :

232

Vous pouvez crer manuellement un enregistrement de ressource hte (A) pour un ordinateur client TCP/IP statique laide du Gestionnaire DNS. Les clients et serveurs Windows utilisent le service Client DHCP pour inscrire et mettre jour de manire dynamique leurs propres enregistrements de ressources hte (A) dans DNS lorsquune modification de configuration IP a lieu. Les ordinateurs clients DHCP (Dynamic Host Configuration Protocol) excutant des versions antrieures de systmes dexploitation Microsoft peuvent inscrire et mettre jour leurs enregistrements de ressources hte (A) par proxy sils reoivent leur bail IP dun serveur DHCP qualifi. (Seul le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 prend en charge cette fonctionnalit.)

Les enregistrements de ressources hte (A) ne sont pas ncessaires sur tous les ordinateurs, mais ils le sont sur ceux qui partagent des ressources rseau. Tout ordinateur qui partage des ressources et qui doit tre identifi par son nom de domaine DNS doit utiliser des enregistrements de ressources hte (A) pour fournir la rsolution de noms DNS ladresse IP de lordinateur. La plupart des enregistrements de ressources hte (A) requis dans une zone peuvent inclure dautres stations de travail ou serveurs qui partagent des ressources, dautres serveurs Web, serveurs de messagerie et serveurs Web. Ces enregistrements de ressources composent la plus grande partie des enregistrements de ressources dans une base de donnes de zone.

Enregistrements de ressources alias (CNAME)


Les enregistrements de ressources alias (CNAME) sont parfois appels enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un mme hte, ce qui facilite certaines tches telles que lhbergement dun serveur FTP (File Transfer Protocol) et dun serveur Web sur le mme ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits laide denregistrements de ressources alias (CNAME) mapps au nom dhte DNS (tel que server-1) pour lordinateur serveur qui hberge ces services. Nous recommandons lutilisation denregistrements de ressources alias (CNAME) pour les scnarios suivants :

Lorsquun hte spcifi dans un enregistrement de ressource hte (A) dans la mme zone doit tre renomm. Lorsquun nom gnrique pour un serveur bien connu, tel que www, doit tre rsolu un groupe dordinateurs (chacun avec des enregistrements de ressources hte (A) individuels) qui procurent le mme service, par exemple dans un groupe de serveurs Web redondants.

Lorsque vous renommez un ordinateur avec un enregistrement de ressource hte (A) existant dans la zone, vous pouvez utiliser un enregistrement de ressource alias (CNAME) de manire temporaire afin de permettre aux utilisateurs et aux programmes deffectuer la transition de lancien nom dordinateur au nouveau, de la faon suivante :

233

Pour le nouveau nom de domaine DNS de lordinateur, ajoutez un nouvel enregistrement de ressource hte (A) la zone. Pour lancien nom de domaine DNS, ajoutez un enregistrement de ressource alias (CNAME) qui pointe vers le nouvel enregistrement de ressource hte (A). Supprimez de la zone lenregistrement de ressource hte (A) dorigine pour lancien nom de domaine DNS (et son enregistrement de ressource pointeur (PTR) le cas chant).

Lorsque vous utilisez un enregistrement de ressource alias (CNAME) pour attribuer un alias ou renommer un ordinateur, dfinissez une limite temporelle pour lutilisation de cet enregistrement dans la zone avant quil ne soit supprim de DNS. Si vous oubliez de supprimer lenregistrement de ressource alias (CNAME) et que son enregistrement de ressource hte (A) est supprim ultrieurement, lenregistrement de ressource alias (CNAME) peut utiliser inutilement des ressources de serveur en essayant de rsoudre des requtes pour un nom qui nest plus utilis sur le rseau. Lutilisation la plus courante des enregistrements de ressources alias (CNAME) consiste fournir un nom de domaine DNS alias permanent pour la rsolution de noms gnrique dun nom bas sur service, tel que www.tailspintoys.com, plusieurs ordinateurs ou adresses IP sur un serveur Web. Lexemple suivant indique la syntaxe de base dun enregistrement de ressource alias (CNAME) : nom_alias IN CNAME nom_canonique_principal Dans cet exemple, un ordinateur nomm host-a.tailspintoys.com fonctionne comme serveur Web nomm www.tailspintoys.com. et comme serveur FTP nomm ftp.tailspintoys.com. Pour nommer cet ordinateur comme vous le souhaitez, vous pouvez ajouter les entres CNAME suivantes dans la zone tailspintoys.com :
host-a ftp www IN IN IN A CNAME CNAME 10.0.0.20 host-a host-a

Si plus tard vous dcidez de dplacer le serveur FTP vers un autre ordinateur (spar du serveur Web sur host-a), il vous suffit de modifier lenregistrement de ressource alias (CNAME) dans la zone pour ftp.tailspintoys.com et dajouter un enregistrement de ressource hte (A) supplmentaire la zone pour le nouvel ordinateur hbergeant le serveur FTP. Reprenons lexemple prcdent : si le nouvel ordinateur se nomme host-b.tailspintoys.com, les enregistrements de ressources hte (A) et alias (CNAME) nouveaux et rviss seront les suivants :
host-a host-b ftp www IN IN IN IN A A CNAME CNAME 10.0.0.20 10.0.0.21 host-b host-a

234

Enregistrements de serveur de messagerie (MX)


Les applications de messagerie utilisent lenregistrement de serveur de messagerie (MX) pour trouver un serveur de messagerie sur la base dun nom de domaine DNS spcifi dans ladresse de destination dun message lectronique. Par exemple, une requte DNS pour le nom example.tailspintoys.com peut tre utilise pour trouver un enregistrement de serveur de messagerie (MX), ce qui permet une application de messagerie de transfrer ou dchanger du courrier un utilisateur avec ladresse user@tailspintoys.com. Lenregistrement de serveur de messagerie (MX) indique le nom de domaine DNS du ou des ordinateurs qui traitent le courrier pour un domaine. Sil existe plusieurs enregistrements de serveur de messagerie (MX), le service Client DNS tente de contacter les serveurs de messagerie selon lordre de priorit, de la valeur la plus basse (priorit la plus leve) la valeur la plus leve (priorit la plus faible). Lexemple suivant indique la syntaxe de base dun enregistrement de serveur de messagerie (MX) : nom_domaine_messagerie IN MX prfrencehte_serveur_messagerie Si lon prend les enregistrements de serveur de messagerie (MX) de lexemple suivant pour la zone tailspintoys.com, le courrier adress user@tailspintoys.com est remis tout dabord user@mailserver0.tailspintoys.com, dans la mesure du possible. Si ce serveur nest pas disponible, le client de rsolution peut alors utiliser user@mailserver1.tailspintoys.com.
@ @ IN IN MX MX 1 2 mailserver0 mailserver1

Notez que lutilisation du signe arobase (@) dans les enregistrements indique que le nom de domaine DNS du service de messagerie est identique au nom dorigine (tailspintoys.com) pour la zone.

Enregistrements de ressources pointeur (PTR)


Les enregistrements de ressources pointeur (PTR) prennent en charge le processus de recherche inverse, en fonction des zones cres et enracines dans le domaine in-addr.arpa. Ces enregistrements localisent un ordinateur par son adresse IP et rsolvent ces informations au nom de domaine DNS de cet ordinateur. Vous pouvez ajouter des enregistrements de ressources pointeur (PTR) une zone de plusieurs manires :

Vous pouvez crer manuellement un enregistrement de ressource pointeur (PTR) pour un ordinateur client TCP/IP statique qui utilise DNS, soit en tant que procdure distincte, soit dans le cadre de la procdure de cration dun enregistrement de ressource hte (A). Les ordinateurs utilisent le service Client DHCP pour inscrire et mettre jour de manire dynamique leur enregistrement de ressource pointeur (PTR) dans DNS lorsquune modification de configuration IP a lieu.

235

Tous les autres clients DHCP (Dynamic Host Configuration Protocol) peuvent faire inscrire et mettre jour leurs enregistrements de ressources pointeur (PTR) par le serveur DHCP sils reoivent leur bail IP dun serveur qualifi. Le service Serveur DHCP de Windows 2000, Windows Server 2003 et Windows Server 2008 fournit cette capacit.)

Lenregistrement de ressource pointeur (PTR) est utilis uniquement dans les zones de recherche inverse pour prendre en charge la recherche inverse.

Enregistrements de ressources Emplacement du service (SRV)


Les enregistrements de ressources Emplacement du service (SRV) sont ncessaires pour la localisation des contrleurs de domaine Active Directory. En gnral, vous pouvez viter dadministrer manuellement les enregistrements de ressources Emplacement du service (SRV) lorsque vous installez les services de domaine Active Directory (AD DS). Par dfaut, lAssistant Installation des services de domaine Active Directory tente de trouver un serveur DNS daprs la liste des serveurs DNS prfrs ou secondaires, qui sont configurs dans ses proprits de client TCP/IP, pour chacune de ses connexions rseau actives. Si un serveur DNS qui peut accepter la mise jour dynamique de lenregistrement de ressource Emplacement du service (SRV) est contact, le processus de configuration est termin. (Cela est galement vrai pour les autres enregistrements de ressources lis linscription des services de domaine Active Directory dans DNS.) Si, durant linstallation, aucun serveur DNS capable daccepter les mises jour pour le nom de domaine DNS utilis pour nommer votre rpertoire nest dtect, lAssistant peut installer un serveur DNS localement et le configurer automatiquement avec une zone prenant en charge le domaine Active Directory. Par exemple, si le domaine Active Directory que vous choisissez pour votre premier domaine dans la fort est example.tailspintoys.com, vous pouvez ajouter et configurer une zone enracine au nom de domaine DNS example.tailspintoys.com utiliser avec le serveur DNS qui sexcute sur le nouveau contrleur de domaine. Dans lavenir, lenregistrement de ressource Emplacement du service (SRV) pourra galement tre utilis pour inscrire et rechercher dautres services TCP/IP bien connus sur votre rseau si les applications implmentent et prennent en charge les requtes de noms DNS qui spcifient ce type denregistrement.

Autres enregistrements de ressources


Dautres enregistrements de ressources sont pris en charge par DNS Windows Server 2008 et utiliss moins frquemment dans la plupart des zones. Vous pouvez ajouter ces types denregistrements de ressources supplmentaires si ncessaire avec le Gestionnaire DNS.

236

Prsentation de la mise jour dynamique


Les ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise jour dynamique pour inscrire et mettre jour de manire dynamique leurs enregistrements de ressources auprs dun serveur DNS lorsque des modifications ont lieu. Cela permet de rduire les tches dadministration manuelle des enregistrements de zone, en particulier pour les clients qui changent frquemment demplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP. Le service Client DNS et le service Serveur DNS prennent en charge lutilisation des mises jour dynamiques, comme dcrit dans la RFC (Request for Comments) 2136, intitule Dynamic Updates in the Domain Name System . Le service Serveur DNS autorise lactivation ou la dsactivation de la mise jour dynamique sur la base de chaque zone sur chaque serveur configur pour charger une zone principale standard ou une zone intgre lannuaire. Par dfaut, le service Client DNS met jour de manire dynamique les enregistrements de ressources hte (A) dans DNS lorsque le service est configur pour le protocole TCP/IP.

Processus de mise jour de leurs noms DNS par les ordinateurs clients et serveurs
Par dfaut, les ordinateurs configurs de manire statique pour le protocole TCP/IP tentent dinscrire de manire dynamique les enregistrements de ressources hte (A) et pointeur (PTR) pour les adresses IP qui sont configures et utilises par leurs connexions rseau installes. Par dfaut, tous les ordinateurs inscrivent les enregistrements sur la base de leur nom de domaine complet. Le nom dordinateur complet principal, un nom de domaine complet, est bas sur le suffixe DNS principal dun ordinateur, ajout son nom dordinateur. Considrations supplmentaires : 237

Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer un client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Par dfaut, la partie suffixe DNS principal du nom de domaine complet dun ordinateur est identique au nom du domaine AD DS auquel lordinateur est joint. Pour autoriser lutilisation de suffixes DNS principaux diffrents, un administrateur de domaine peut crer une liste restreinte de suffixes autoriss en modifiant lattribut msDS-AllowedDNSSuffixes dans le conteneur dobjet de domaine. Lattribut est gr par ladministrateur de domaine laide de linterface ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol).

Les mises jour dynamiques peuvent tre envoyes pour les vnements ou raisons suivants :

Une adresse IP est ajoute, supprime ou modifie dans la configuration des proprits TCP/IP pour lune des connexions rseau installes. Un bail dadresse IP est modifi ou renouvel auprs du serveur DHCP pour lune des connexions rseau installes. Par exemple, lorsque lordinateur est dmarr ou si la commande ipconfig /renew est utilise. La commande ipconfig /registerdns est utilise pour forcer manuellement une actualisation de linscription du nom de client dans DNS. Au moment du dmarrage, lorsque lordinateur est allum. Un serveur membre est promu contrleur de domaine.

Lorsque lun des vnements prcdents dclenche une mise jour dynamique, le service Client DHCP (et non le service Client DNS) envoie les mises jour. Ce mcanisme est conu de telle sorte que si une modification est apporte aux informations dadresse IP cause du protocole DHCP, les mises jour correspondantes dans DNS sont effectues afin de synchroniser les mappages noms--adresses pour lordinateur. Le service Client DHCP effectue cette fonction pour toutes les connexions rseau sur le systme, y compris les connexions qui ne sont pas configures pour utiliser le protocole DHCP.

Exemple : fonctionnement de la mise jour dynamique


En gnral, des mises jour dynamiques sont demandes lorsquun nom DNS ou une adresse IP change sur lordinateur. Par exemple, supposez quun client nomm oldhost est dabord configur dans Proprits systme avec les noms suivants.

Nom de lordinateur

oldhost

Nom de domaine DNS de lordinateur tailspintoys.com

238

Nom complet de lordinateur

oldhost.tailspintoys.com

Dans cet exemple, aucun nom de domaine DNS spcifique la connexion nest configur pour lordinateur. Ultrieurement, lordinateur est renomm de oldhost en newhost, ce qui provoque les changements de nom suivants sur le systme.

Nom de lordinateur

newhost

Nom de domaine DNS de lordinateur tailspintoys.com Nom complet de lordinateur newhost.tailspintoys.com

Aprs avoir appliqu le changement de nom dans Proprits systme, vous tes invit redmarrer lordinateur. Lorsque lordinateur redmarre Windows, le service Client DHCP effectue la squence suivante pour mettre jour DNS :

1. Le service Client DHCP envoie une requte de type Source de noms (SOA) en utilisant le nom de domaine DNS de lordinateur. Lordinateur client utilise le nom de domaine complet de lordinateur configur actuellement (tel que newhost.tailspintoys.com) comme nom spcifi dans cette requte. 2. Le serveur DNS de rfrence pour la zone qui contient le nom de domaine complet du client rpond la requte de type SOA. Pour les zones principales standard, le serveur principal (propritaire) retourn dans la rponse la requte SOA est fixe et statique. Il correspond toujours au nom DNS exact apparaissant dans lenregistrement de source de noms (SOA) stock avec la zone. Si, toutefois, la zone mise jour est intgre lannuaire, tout serveur DNS qui charge la zone peut rpondre et insrer de manire dynamique son propre nom en tant que serveur principal (propritaire) de la zone dans la rponse la requte SOA. 3. Le service Client DHCP tente ensuite de contacter le serveur DNS principal. Le client traite la rponse la requte SOA afin de dterminer ladresse IP du serveur DNS autoris comme serveur principal pour accepter son nom. Il effectue ensuite la squence dtapes suivante, le cas chant, afin de contacter et de mettre jour de manire dynamique son serveur principal : 1. Il envoie une demande de mise jour dynamique au serveur principal dtermin dans la rponse la requte SOA. Si la mise jour russit, aucune action supplmentaire nest effectue. 2. Si la mise jour choue, le client envoie alors une requte de type Serveur de noms (NS) pour le nom de zone spcifi dans lenregistrement SOA.

239

3. Lorsquil reoit une rponse cette requte, il envoie une requte SOA au premier serveur DNS rpertori dans la rponse. 4. Une fois la requte SOA rsolue, le client envoie une mise jour dynamique au serveur spcifi dans lenregistrement SOA retourn. Si la mise jour russit, aucune action supplmentaire nest effectue. 5. Si cette mise jour choue, le client rpte le processus de requte SOA en envoyant une mise jour au serveur DNS suivant rpertori dans la rponse. 4. Une fois que le serveur principal capable deffectuer la mise jour a t contact, le client envoie la demande de mise jour et le serveur la traite. La demande de mise jour inclut des instructions visant ajouter des enregistrements de ressources hte (A) (et ventuellement des enregistrements de ressources pointeur (PTR)) pour newhost.tailspintoys.com et supprimer ces mmes types denregistrements pour oldhost.tailspintoys.com, le nom qui tait inscrit auparavant. Le serveur vrifie galement que les mises jour sont autorises pour la demande du client. Pour les zones principales standard, les mises jour dynamiques ne sont pas scurises ; par consquent, toute tentative de mise jour par un client russit. Pour les zones intgres aux services de domaine Active Directory (AD DS), les mises jour sont scurises et effectues laide de paramtres de scurit bass sur lannuaire. Les mises jour dynamiques sont envoyes ou actualises de faon priodique. Par dfaut, les ordinateurs envoient une actualisation une fois tous les sept jours. Si la mise jour nentrane aucune modification des donnes de zone, la zone demeure sa version actuelle et aucune modification nest crite. Les mises jour provoquent des modifications de zone ou une augmentation des transferts de zone uniquement si les noms ou adresses changent. Lorsque le service Client DHCP inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour un ordinateur, il utilise une dure de vie (TTL) de mise en cache par dfaut de 15 minutes pour les enregistrements hte. Cela dtermine pendant combien de temps les autres serveurs et clients DNS mettent en cache les enregistrements dun ordinateur lorsque ceux-ci sont inclus dans une rponse une requte.

Mise jour dynamique scurise


La scurit des mises jour DNS est disponible uniquement pour les zones intgres aux services de domaine Active Directory. Lorsque vous intgrez une zone lannuaire, les fonctionnalits de modification de liste de contrle daccs (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet dajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spcifi. Par dfaut, la scurit des mises jour dynamiques pour les clients et serveurs DNS peut tre gre comme suit :

Les clients DNS tentent dabord dutiliser la mise jour dynamique non scurise. Si une mise jour non scurise est refuse, les clients tentent dutiliser la mise jour scurise. 240

En outre, les clients utilisent une stratgie de mise jour par dfaut qui leur permet de tenter de remplacer un enregistrement de ressource prcdemment inscrit, moins quils ne soient spcifiquement bloqus par la scurit de mise jour.

Une fois quune zone a t intgre aux services de domaine Active Directory, les serveurs DNS excutant Windows Server 2008 autorisent par dfaut uniquement les mises jour dynamiques scurises. Lorsque vous utilisez le stockage de zone standard, le comportement par dfaut du service Serveur DNS consiste ne pas autoriser les mises jour dynamiques sur ses zones. Pour les zones qui sont intgres aux services de domaine Active Directory ou qui utilisent le stockage standard bas sur fichiers, vous pouvez modifier la zone de faon autoriser toutes les mises jour dynamiques, ce qui permet toutes les mises jour dtre acceptes.

Autoriser les mises jour dynamiques


Les ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise jour dynamique pour inscrire et mettre jour de manire dynamique leurs enregistrements de ressources auprs dun serveur DNS lorsque des modifications ont lieu. Cela permet de rduire les tches dadministration manuelle des enregistrements de zone, en particulier pour les clients qui changent frquemment demplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP. Les mises jour dynamiques peuvent tre la fois scurises et non scurises. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Autorisation des mises jour dynamiques


laide de linterface Windows laide dune ligne de commande

Pour autoriser les mises jour dynamiques laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, vrifiez que le type de zone est Principale ou Intgr Active Directory. 4. Dans Mises jour dynamiques, cliquez sur Non scuris et scuris.

241

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. La mise jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATES) .

Pour autoriser les mises jour dynamiques laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate {1| 0}

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure la zone spcifie.

<NomServeur>

/Config

Obligatoire. Spcifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hberges sur le serveur DNS <NomZone>|..AllZones spcifi de faon autoriser les mises jour dynamiques, tapez ..AllZones. /AllowUpdate Obligatoire. Active les mises jour dynamiques pour les zones spcifies. Configure la mise jour dynamique. Pour autoriser les mises jour dynamiques, entrez la valeur 1. Pour ne pas autoriser les mises jour dynamiques, entrez la valeur 0.

1|0

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

242

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. La mise jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATES) .

Autoriser uniquement les mises jour dynamiques


Les mises jour dynamiques peuvent tre scurises ou non scurises. La scurit des mises jour DNS est disponible uniquement pour les zones intgres aux services de domaine Active Directory (AD DS). Une fois quune zone a t intgre lannuaire, les fonctionnalits de modification de liste de contrle daccs (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet dajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spcifi. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Autorisation des mises jour dynamiques scurises uniquement


laide de linterface Windows laide dune ligne de commande

Pour autoriser uniquement les mises jour dynamiques scurises laide de linterface Windows 243

1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, vrifiez que le type de zone est Intgr Active Directory. 4. Dans Mises jour dynamiques, cliquez sur Scuris uniquement.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les mises jour dynamiques scurises sont prises en charge uniquement pour les zones intgres aux services de domaine Active Directory. Si le type de zone est configur diffremment, vous devez modifier le type de zone et intgrer la zone lannuaire avant de la scuriser pour les mises jour dynamiques DNS. La mise jour dynamique est une extension conforme RFC (Request for Comments) de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATE) . Par dfaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de rfrence rpertoris dans les enregistrements de serveur de noms (NS) pour la zone.

Pour autoriser uniquement les mises jour dynamiques scurises laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /AllowUpdate 2

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure la zone spcifie.

<NomServeur>

/Config

Obligatoire. Spcifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hberges sur le serveur DNS <NomZone>|..AllZones spcifi de faon autoriser les mises jour dynamiques, tapez ..AllZones. /AllowUpdate Obligatoire. Permet la zone deffectuer des mises jour

244

dynamiques. Obligatoire. Configure le serveur pour autoriser la mise jour scurise. Si vous excluez le 2, la zone sera configure pour effectuer uniquement des mises jour dynamiques standard.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. La mise jour dynamique est une extension conforme RFC de la norme DNS. Le processus de mise jour DNS est dfini dans la RFC 2136, Dynamic Updates in the Domain Name System (DNS UPDATE) . Par dfaut, le serveur DNS autorise un transfert de zone uniquement vers les serveurs DNS de rfrence rpertoris dans les enregistrements de ressources de serveur de noms (NS) pour la zone.

Ajouter un enregistrement de ressource une zone


Aprs avoir cr une zone, on y ajoute gnralement des enregistrements de ressources supplmentaires. Les enregistrements de ressources les plus courants ajouter sont les suivants :

Enregistrement de ressource hte (A) pour le mappage dun nom de domaine DNS (Domain Name System) une adresse IP utilise par un ordinateur. Enregistrement de ressource alias (CNAME) pour le mappage dun alias de nom de domaine DNS un autre nom canonique ou principal. Enregistrement de serveur de messagerie (MX) pour le mappage dun nom de domaine DNS au nom dun ordinateur qui change ou transfre du courrier.

245

Enregistrement de ressource pointeur (PTR) pour le mappage dun nom de domaine DNS invers bas sur ladresse IP dun ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur. Enregistrement de ressource Emplacement du service (SRV) pour le mappage dun nom de domaine DNS une liste spcifie dordinateurs htes DNS qui offrent un type spcifique de service, tels que des contrleurs de domaine Active Directory.

Vous pouvez galement ajouter dautres enregistrements de ressources selon vos besoins. Pour plus dinformations, voir Liste de vrification : utiliser des enregistrements de ressources. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dun enregistrement de ressource une zone


laide de linterface Windows laide dune ligne de commande

Pour ajouter un enregistrement de ressource une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Nouveaux enregistrements. 3. Dans la zone de liste Choisissez un type denregistrement de ressource, slectionnez le type denregistrement de ressource ajouter. 4. Cliquez sur Crer un enregistrement. 5. Dans Nouvel enregistrement de ressource, entrez les informations pour crer lenregistrement de ressource. 6. Aprs avoir spcifi toutes les informations ncessaires pour lenregistrement de ressource, cliquez sur OK pour ajouter le nouvel enregistrement la zone.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter un enregistrement de ressource une zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName> [/Aging] [/OpenAcl] [Ttl] <RRType> <RRData>

246

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute un nouvel enregistrement de ressource. Obligatoire. Spcifie le nom de domaine complet de la zone. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone. Spcifie que cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si cette commande est utilise, cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si elle nest pas utilise, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. Obligatoire. Spcifie le type denregistrement de ressource ajouter, suivi des donnes devant tre contenues dans lenregistrement de ressource.

<NomServeur>

/RecordAdd <NomZone>

<NomNud>

/Aging

/OpenAcl

Ttl

Type denregistrement de ressource <TypeER> <DonnesER> A AAAA

Donnes denregistrement de ressource AdresseIPv4 AdresseIPv6

NS,CNAME,MB,MD,PTR,MF,MG,M NomHte|NomDomaine 247

R MX,RT,AFSDB SRV Prfrence NomServeur Priorit Poids Port NomHte SrvPrinc Admin NSrie\ Actualisation Nouv Tent. Expiration TTLmin Chane [String] NomBotesAuxLettres NomBotesAuxLettresEr r Protocole AdresseIP Service... IndicMap DlaiRecherche DlaiCache AdresseIP... IndicMap DlaiRecherche DlaiCache NomDomaineRst...

SOA

TXT,X25,HINFO,ISDN MINFO,RP

WKS

WINS

WINSR

<AdresseIP> <Adresseipv6> <Protocole> <Service> <NomHte| <NomDomaine>

Spcifie une adresse IP standard, par exemple 255.255.255.255. Spcifie une adresse IPv6 standard, par exemple 1:2:3:4:5:6:7:8. Spcifie le protocole de transmission : UDP ou TCP. Spcifie un service standard, par exemple domain, smtp. Spcifie le nom de domaine complet dun enregistrement de ressource dans lespace de noms DNS.

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

248

Ajouter un enregistrement de ressource alias (CNAME) une zone


Les enregistrements de ressources alias (CNAME) sont parfois appels enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un mme hte, ce qui facilite certaines tches telles que lhbergement dun serveur FTP (File Transfer Protocol) et dun serveur Web sur le mme ordinateur. Par exemple, les noms de serveurs bien connus (ftp, www) sont inscrits laide denregistrements de ressources alias (CNAME) mapps au nom dhte DNS (Domain Name System), tel que server-1, pour lordinateur serveur qui hberge ces services. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Ajout dun enregistrement de ressource alias (CNAME) une zone


laide de linterface Windows laide dune ligne de commande

Pour ajouter un enregistrement de ressource alias (CNAME) une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone de recherche directe applicable, puis cliquez sur Nouvel alias. 3. Dans Nom de lalias, tapez le nom de lalias. 4. Dans Nom de domaine pleinement qualifi (FQDN) pour lhte de destination, tapez le nom de domaine complet de lordinateur hte DNS pour lequel cet alias doit tre utilis. Si vous le souhaitez, vous pouvez cliquer sur Parcourir pour rechercher dans lespace de noms DNS des htes de ce domaine pour lesquels des enregistrements de ressources hte (A) sont dj dfinis. 249

5. Cliquez sur OK pour ajouter le nouvel enregistrement la zone.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour ajouter un enregistrement de ressource alias (CNAME) une zone laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre : dnscmd <NomServeur>/RecordAdd <NomZone> <NomNud> [/Aging] [/OpenAcl] [<Ttl>] CNAME <NomHte>|<NomDomaine>

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Ajoute un nouvel enregistrement de ressource. Obligatoire. Spcifie le nom de la zone o cet enregistrement de ressource alias (CNAME) sera ajout. Obligatoire. Spcifie le nom de domaine complet du nud dans lespace de noms DNS. Vous pouvez galement taper le nom du nud relativement au NomZone ou @, qui spcifie le nud racine de la zone. Spcifie que cet enregistrement de ressource est activ pour lantriorit et le nettoyage. Si ce paramtre nest pas utilis, lenregistrement de ressource demeure dans la base de donnes DNS moins quil ne soit mis jour ou supprim manuellement. Spcifie que les nouveaux enregistrements sont ouverts aux modifications par tout utilisateur. Sans ce paramtre, seuls les administrateurs peuvent modifier le nouvel enregistrement. Spcifie le paramtre de dure de vie (TTL) pour lenregistrement de ressource. (La dure de vie par dfaut est

<NomServeur>

/RecordAdd <NomZone>

<NomNud>

/Aging

/OpenAcl

<Ttl>

250

dfinie dans lenregistrement de source de noms (SOA).) CNAME Obligatoire. Spcifie le type denregistrement de ressource de lenregistrement que vous ajoutez.

Obligatoire. Spcifie le nom de domaine complet de tout nom de domaine ou hte DNS valide dans lespace de noms. Pour <NomHte>|<NomDomaine> les noms de domaine complets, un point final (.) est utilis pour qualifier pleinement le nom. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /RecordAdd /help

Modifier la scurit pour un enregistrement de ressource


Vous pouvez appliquer cette procdure pour contrler qui peut mettre jour ou supprimer un enregistrement de ressource dune zone. Pour plus dinformations, voirScurisation des enregistrements de ressources DNS. Pour effectuer cette procdure, vous devez appartenir au minimum au groupe DnsAdmins ou Admins du domaine dans les services de domaine Active Directory (AD DS), ou un compte quivalent. Pour modifier la scurit pour un enregistrement de ressource 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur la zone applicable. 3. Dans le volet dinformations, cliquez sur lenregistrement afficher. 4. Dans le menu Action, cliquez sur Proprits. 5. Sous longlet Scurit, modifiez la liste des utilisateurs ou groupes membres qui sont autoriss mettre jour de manire scurise lenregistrement applicable et rinitialiser leurs autorisations en cas de besoin.

251

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les mises jour dynamiques scurises sont prises en charge ou configurables uniquement pour les enregistrements de ressources dans des zones stockes dans les services de domaine Active Directory (AD DS). Les paramtres de scurit appliqus aux enregistrements de ressources affectent uniquement les mises jour dynamiques. Ces paramtres de scurit nont aucune incidence sur les catgories dutilisateurs qui peuvent administrer la zone o ces enregistrements de ressources rsident. Pour plus dinformations sur les paramtres de scurit qui affectent les catgories dutilisateurs autoriss administrer une zone, voir Rfrences supplmentaires . Les enregistrements de ressources ayant le mme nom partagent les mmes paramtres de scurit denregistrement de ressource. Les noms des enregistrements de ressources sont rpertoris dans la colonne Nom du Gestionnaire DNS.

Utiliser lantriorit et le nettoyage


Lantriorit et le nettoyage est le processus par lequel les enregistrements de ressources sont affects dun horodatage lors de leur cration, puis supprims lorsque leur ge dpasse une limite spcifie. Ce processus est particulirement utile pour empcher laccumulation denregistrements non valides lorsque les enregistrements de ressources sont crs automatiquement, comme avec la mise jour dynamique.

Prsentation de lantriorit et du nettoyage Dfinir les proprits dantriorit et de nettoyage pour une zone Dfinir les proprits dantriorit et de nettoyage du serveur DNS Activer le nettoyage automatique des enregistrements de ressources obsoltes Commencer le nettoyage immdiat des enregistrements de ressources obsoltes Afficher quand une zone peut commencer nettoyer des enregistrements obsoltes Rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi

252

Prsentation de lantriorit et du nettoyage


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Avec la mise jour dynamique, les enregistrements de ressources sont ajouts automatiquement aux zones lorsque les ordinateurs dmarrent sur le rseau. Toutefois, dans certains cas ils ne sont pas supprims automatiquement lorsque les ordinateurs quittent le rseau. Par exemple, si un ordinateur inscrit son propre enregistrement de ressource hte au dmarrage et quil est ultrieurement dconnect du rseau de manire incorrecte, son enregistrement de ressource hte peut ne pas tre supprim. Si votre rseau comporte des utilisateurs et des ordinateurs mobiles, cette situation peut se prsenter frquemment. Si vous ne vous en occupez pas, la prsence denregistrements de ressources obsoltes dans les donnes de zone peut provoquer des problmes :

Si un grand nombre denregistrements de ressources obsoltes demeurent dans des zones, ils peuvent finir par prendre beaucoup despace sur le disque du serveur et entraner de longs dlais de transfert de zone. Les serveurs DNS (Domain Name System) qui chargent des zones contenant des enregistrements de ressources obsoltes risquent dutiliser des informations obsoltes pour rpondre des demandes de clients, auquel cas ces derniers peuvent rencontrer des problmes de rsolution de noms sur le rseau. Laccumulation denregistrements de ressources obsoltes sur le serveur DNS peut entraner une dgradation de ses performances et de sa capacit de rponse.

253

Dans certains cas, la prsence dun enregistrement de ressource obsolte dans une zone peut empcher un nom de domaine DNS dtre utilis par un autre ordinateur ou priphrique hte.

Pour rsoudre ces problmes, le service Serveur DNS propose les fonctionnalits suivantes :

Enregistrement des informations de date, sur la base de la date et de lheure actuelles dfinies sur lordinateur serveur, pour tout enregistrement de ressource ajout de manire dynamique aux zones de type principal. En outre, des horodatages sont enregistrs dans les zones principales standard o lantriorit et le nettoyage sont activs. Pour les enregistrements de ressources que vous ajoutez manuellement, une valeur dhorodatage de zro est utilise pour indiquer que ces enregistrements ne sont pas affects par le processus dantriorit et quils peuvent demeurer dans les donnes de zone de manire illimite, moins que vous ne modifiiez leur horodatage ou que vous ne les supprimiez.

Antriorit des enregistrements de ressources dans les donnes locales, sur la base dune priode dactualisation spcifie, pour toute zone ligible. Seules les zones de type principal qui sont charges par le service Serveur DNS peuvent participer ce processus. Nettoyage de tous les enregistrements de ressources qui persistent au-del de la priode dactualisation spcifie. Lorsquun serveur DNS effectue une opration de nettoyage, il peut dterminer que les enregistrements de ressources ont vieilli au point de devenir obsoltes et doivent tre supprims des donnes de zone. Vous pouvez configurer les serveurs de faon effectuer des oprations de nettoyage automatiques rcurrentes ou vous pouvez initier une opration de nettoyage immdiate sur le serveur. Pour plus dinformations, voir Activer le nettoyage automatique des enregistrements de ressources obsoltes ou Commencer le nettoyage immdiat des enregistrements de ressources obsoltes.

Attention Par dfaut, le mcanisme dantriorit et de nettoyage du service Serveur DNS est dsactiv. Il doit tre activ uniquement lorsque tous les paramtres sont bien compris. Autrement, le serveur peut tre accidentellement configur de faon supprimer des enregistrements qui ne devraient pas ltre. En cas de suppression accidentelle dun enregistrement, non seulement les utilisateurs ne pourront rsoudre les requtes pour cet enregistrement, mais tout utilisateur pourra crer un enregistrement et en devenir propritaire, mme dans les zones configures pour la mise jour dynamique scurise. Un serveur utilise le contenu de chaque horodatage spcifique lenregistrement de ressource, ainsi que dautres proprits dantriorit et de nettoyage que vous pouvez ajuster ou configurer, afin de dterminer quand il doit nettoyer les enregistrements.

254

Conditions pralables pour lantriorit et le nettoyage


Pour que vous puissiez utiliser les fonctionnalits dantriorit et de nettoyage de DNS, plusieurs conditions doivent tre remplies : 1. Le nettoyage et lantriorit doivent tre activs sur le serveur DNS et dans la zone. Par dfaut, lantriorit et le nettoyage des enregistrements de ressources sont dsactivs. 2. Les enregistrements de ressources doivent tre ajouts de manire dynamique aux zones ou modifis manuellement pour tre utiliss dans les oprations dantriorit et de nettoyage. En gnral, seuls les enregistrements de ressources ajouts de manire dynamique laide du protocole de mise jour dynamique DNS sont soumis lantriorit et au nettoyage. Vous pouvez toutefois activer le nettoyage pour dautres enregistrements de ressources ajouts de faon non dynamique. Pour les enregistrements ajouts des zones de cette manire, soit en chargeant un fichier texte de zone partir dun autre serveur DNS, soit en les ajoutant manuellement une zone, un horodatage de zro est dfini. Cela rend ces enregistrements inligibles pour une utilisation dans les oprations dantriorit et de nettoyage. Pour modifier ce comportement par dfaut, vous pouvez administrer ces enregistrements individuellement afin de les rinitialiser et leur permettre dutiliser une valeur dhorodatage actuelle (diffrente de zro). Ces enregistrements pourront alors tre soumis lantriorit et au nettoyage. Pour plus dinformations, voir Rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi. Remarques En cas de changement dune zone principale standard en zone intgre Active Directory, vous souhaiterez peut-tre activer le nettoyage de tous les enregistrements de ressources existants dans la zone. Pour activer lantriorit pour tous les enregistrements de ressources dans une zone, vous pouvez utiliser la commande AgeAllRecords, accessible par le biais de loutil en ligne de commande dnscmd.

Terminologie relative lantriorit et au nettoyage


Le tableau suivant contient des termes nouveaux ou rviss ayant t introduits afin de faciliter la discussion de lantriorit et du nettoyage.

Terme Horodatage

Description Valeur de date et heure utilise par le serveur DNS pour dterminer la

255

denregistrement de suppression de lenregistrement de ressource lorsquil effectue des ressource oprations dantriorit et de nettoyage. Heure actuelle du serveur Date et heure actuelles sur le serveur DNS. Ce nombre peut tre exprim sous la forme dune valeur numrique exacte tout moment. Intervalle de temps, dtermin pour chaque zone, tel que limit par les deux vnements suivants : 1. La date et lheure de dernire actualisation de lenregistrement et de dernire dfinition de son horodatage. Intervalle de nonactualisation 2. Les prochaines date et heure auxquelles lenregistrement deviendra ligible pour lactualisation et auxquelles son horodatage sera rinitialis. Cette valeur est ncessaire afin de rduire le nombre doprations dcriture dans la base de donnes Active Directory. Par dfaut, cet intervalle est de sept jours. Il ne doit pas tre augment jusqu une valeur draisonnable, car les avantages offerts par la fonctionnalit dantriorit et de nettoyage seraient alors limins ou rduits. Intervalle de temps, dtermin pour chaque zone, tel que limit par les deux vnements distincts suivants : 1. Les date et heure les plus proches auxquelles lenregistrement deviendra ligible pour lactualisation et auxquelles son horodatage sera rinitialis. Intervalle dactualisation 2. Les date et heure les plus proches auxquelles lenregistrement deviendra ligible pour le nettoyage et la suppression de la base de donnes de zone. Cette valeur doit tre suffisamment leve pour permettre tous les clients dactualiser leurs enregistrements. Par dfaut, cet intervalle est de sept jours. Il ne doit pas tre augment jusqu une valeur draisonnable, car les avantages offerts par la fonctionnalit dantriorit et de nettoyage seraient alors limins ou rduits. Heure de dbut de nettoyage Heure spcifique, exprime sous la forme dun nombre. Cette heure est utilise par le serveur pour dterminer quand une zone devient ligible pour le nettoyage.

Lorsque le nettoyage automatique est activ sur le serveur, cette priode reprsente le temps coul entre les rptitions du processus de nettoyage Priode de nettoyage automatis. La valeur par dfaut pour ce paramtre est de sept jours. Pour empcher toute dgradation des performances du serveur DNS, la valeur minimale autorise est dune heure. Moment auquel une mise jour dynamique DNS est traite pour un enregistrement de ressource lorsque seul lhorodatage denregistrement Actualisation

256

de ressource, et aucune autre caractristique de lenregistrement, est rvis. Les actualisations ont gnralement lieu pour les raisons suivantes : 1. Lorsquun ordinateur est redmarr sur le rseau et que, son dmarrage, les informations concernant son nom et son adresse IP sont cohrentes avec celles quil a utilises avant de sarrter, il envoie une actualisation afin de renouveler ses enregistrements de ressources associs pour ces informations. 2. Une actualisation priodique est envoye par lordinateur durant son excution. denregistrement Le service Client DNS Windows renouvelle linscription DNS des enregistrements de ressources client toutes les 24 heures. Lorsque cette mise jour dynamique a lieu, si la demande de mise jour dynamique nentrane aucune modification de la base de donnes DNS, on considre quil sagit dune actualisation et non dune mise jour denregistrement de ressource. 3. Dautres services rseau effectuent des tentatives dactualisation, par exemple les serveurs DHCP, qui renouvellent les baux dadresses client, les serveurs de cluster, qui inscrivent et mettent jour les enregistrements pour un cluster, et le service Ouverture de session rseau, qui peut inscrire et mettre jour des enregistrements de ressources utiliss par des contrleurs de domaine Active Directory. Moment durant lequel une mise jour dynamique DNS est traite pour un enregistrement de ressource pour lequel dautres caractristiques de lenregistrement, en plus de lhorodatage, sont rvises. Les mises jour ont gnralement lieu pour les raisons suivantes : 1. Lorsquun nouvel ordinateur est ajout au rseau et que, au dmarrage, il envoie une mise jour afin dinscrire pour la premire fois ses enregistrements de ressources dans sa zone configure. 2. Lorsquun ordinateur avec des enregistrements existants dans la zone subit un changement dadresse IP, provoquant lenvoi de mises jour pour ses mappages nom--adresse modifis dans les donnes de zone DNS. 3. Lorsque le service Ouverture de session rseau inscrit un nouveau contrleur de domaine Active Directory. Serveurs de Paramtre de zone avanc facultatif qui vous permet de spcifier une liste restreinte dadresses IP pour les serveurs DNS autoriss effectuer

Mise jour denregistrement

257

le nettoyage de la zone. Par dfaut, si ce paramtre nest pas spcifi, tous les serveurs DNS qui chargent une zone intgre lannuaire (galement activs pour le nettoyage) tentent deffectuer le nettoyage de la zone. Dans certains cas, ce paramtre peut tre utile sil est prfrable deffectuer le nettoyage uniquement sur certains serveurs chargeant la zone intgre lannuaire. Pour dfinir ce paramtre, vous devez spcifier la liste dadresses IP pour les serveurs autoriss nettoyer la zone dans le paramtre ZoneResetScavengeServers de la zone. Cette opration peut seffectuer laide de la commande dnscmd, un outil en ligne de commande permettant dadministrer les serveurs DNS Windows.

nettoyage

Quand le nettoyage peut-il commencer ?


Une fois que toutes les conditions pralables lactivation du nettoyage sont runies, celui-ci peut commencer pour une zone de serveur lorsque lheure actuelle du serveur est ultrieure la valeur de lheure de dbut de nettoyage pour la zone. Le serveur dfinit la valeur temporelle du dmarrage du nettoyage en fonction de chaque zone lorsque lun des vnements suivants se produit :

Les mises jour dynamiques sont actives pour la zone. Une modification de ltat de la case cocher Nettoyer les enregistrements de ressources obsoltes est applique. Vous pouvez utiliser le Gestionnaire DNS pour modifier ce paramtre sur un serveur DNS applicable ou lune de ses zones principales. Le serveur DNS charge une zone principale qui est active pour utiliser le nettoyage. Cela peut se produire lorsque lordinateur serveur ou le service Serveur DNS est dmarr. Lorsquune zone est remise en service aprs avoir t suspendue. Si la zone est intgre aux services de domaine Active Directory (AD DS) , la rplication pour la zone doit avoir eu lieu au moins une fois depuis le redmarrage du service DNS ou le ramorage du contrleur de domaine. Lorsque les vnements prcdents se produisent, le serveur DNS dfinit la valeur de lheure de dbut de nettoyage en calculant la somme suivante : heure actuelle du serveur + intervalle dactualisation = heure de dbut de nettoyage Cette valeur est utilise comme base pour la comparaison durant les oprations de nettoyage.

Exemple : processus dantriorit et de nettoyage pour un exemple denregistrement


Pour comprendre le processus dantriorit et de nettoyage sur le serveur, considrez la dure de vie et les phases successives dun enregistrement de ressource unique mesure quil est 258

ajout un serveur et une zone o ce processus est en vigueur, puis considr comme vieilli , et enfin supprim de la base de donnes. 1. Un exemple dhte DNS, host-a.example.microsoft.com , inscrit son enregistrement de ressource hte (A) sur le serveur DNS pour une zone o lantriorit et le nettoyage sont activs. 2. Lors de linscription de lenregistrement, le serveur DNS place un horodatage sur cet enregistrement en fonction de lheure actuelle du serveur. Une fois lhorodatage denregistrement crit, le serveur DNS naccepte aucune actualisation pour cet enregistrement pendant toute la dure de lintervalle de nonactualisation de la zone. Il peut toutefois accepter les mises jour avant la fin de cet intervalle. Par exemple, si ladresse IP pour host-a.example.microsoft.com change, le serveur DNS peut accepter la mise jour. Dans ce cas, le serveur met jour (rinitialise) galement lhorodatage denregistrement. 3. Ds lexpiration de la priode de non-actualisation, le serveur commence accepter les tentatives dactualisation de cet enregistrement. Lorsque la priode initiale de non-actualisation se termine, la priode dactualisation commence immdiatement pour lenregistrement. Durant ce temps-l, le serveur nempche pas les tentatives dactualisation de lenregistrement pendant le reste de sa dure de vie. 4. Durant et aprs la priode dactualisation, si le serveur reoit une actualisation pour lenregistrement, il la traite. Cela rinitialise lhorodatage de lenregistrement selon la mthode dcrite ltape 2. 5. Lorsque le nettoyage ultrieur est effectu par le serveur pour la zone example.microsoft.com , lenregistrement (et tous les autres enregistrements de la zone) est examin par le serveur. Chaque enregistrement est compar lheure actuelle du serveur sur la base de la somme suivante afin de dterminer sil doit tre supprim : horodatage de lenregistrement + Intervalle de non-actualisation pour la zone + Intervalle dactualisation pour la zone o Si la valeur de cette somme est suprieure lheure actuelle du serveur, aucune action nest effectue et lenregistrement continue de vieillir dans la zone. o Si la valeur de cette somme est infrieure lheure actuelle du serveur, lenregistrement est supprim de toute donne de zone actuellement charge dans la mmoire du serveur et galement de la banque dobjets DnsZone applicable dans les services de domaine Active Directory (AD DS) pour la zone example.microsoft.com intgre lannuaire.

259

Dfinir les proprits dantriorit et de nettoyage pour une zone


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour dfinir les proprits dantriorit et de nettoyage pour une zone spcifique. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dfinition des proprits dantriorit et de nettoyage pour une zone


laide de linterface Windows laide dune ligne de commande

Pour dfinir les proprits dantriorit et de nettoyage pour une zone laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Proprits. 3. Sous longlet Gnral, cliquez sur Vieillissement. 4. Activez la case cocher Nettoyer les enregistrements de ressources obsoltes.

260

5. Modifiez dautres proprits dantriorit et de nettoyage selon vos besoins.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour dfinir les proprits dantriorit et de nettoyage pour une zone laide dune ligne de commande 1. Ouvrez une invite de commandes.

2. Tapez la commande suivante et appuyez sur Entre :


dnscmd <ServerName> /Config <ZoneName> {/Aging <Value>|/RefreshInterval <Value>|/NoRefreshInterval <Value>}

Paramtre dnscmd

Description Spcifie le nom de loutil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS (Domain Name System) du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Indique que la commande configure la zone spcifie. Obligatoire. Spcifie le nom de la zone pour laquelle vous souhaitez dfinir les proprits dantriorit et de nettoyage. Obligatoire. Active lantriorit pour des zones. Obligatoire. Spcifie lintervalle dactualisation pour une zone active pour le nettoyage. Obligatoire. Spcifie lintervalle de non-actualisation pour une zone active pour le nettoyage. Obligatoire. Pour /Aging, tapez 1 pour activer lantriorit. Tapez 0 pour dsactiver lantriorit. Pour /RefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 heures (une semaine). Pour /NoRefreshInterval, tapez une valeur en secondes. Le paramtre standard est 3600 (une heure). 261

<NomServeur>

/Config <NomZone> /Aging /RefreshInterval

/NoRefreshInterval

<Valeur>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Dfinir les proprits dantriorit et de nettoyage du serveur DNS


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour dfinir les proprits dantriorit et de nettoyage par dfaut pour les zones sur un serveur. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Dfinition des proprits dantriorit et de nettoyage du serveur DNS


laide de linterface Windows laide dune ligne de commande

Pour dfinir les proprits dantriorit et de nettoyage du serveur DNS laide de linterface Windows 262

1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Dfinir le vieillissement/nettoyage pour toutes les zones. 3. Activez la case cocher Nettoyer les enregistrements de ressources obsoltes. 4. Modifiez dautres proprits dantriorit et de nettoyage selon vos besoins.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Les proprits dantriorit et de nettoyage configures laide de cette procdure deviennent des proprits par dfaut qui sappliquent uniquement aux zones intgres aux services de domaine Active Directory. Pour les zones principales standard, vous devez dfinir les proprits appropries au niveau de la zone concerne. Lorsque vous appliquez les modifications apportes aux paramtres dantriorit et de nettoyage du serveur, le Gestionnaire DNS vous invite confirmer les modifications. Vous avez alors la possibilit dappliquer vos modifications aux nouvelles zones intgres aux services de domaine Active Directory uniquement. Si ncessaire, vous pouvez appliquer galement vos modifications aux zones intgres aux services de domaine Active Directory existantes. Que la case cocher Nettoyer les enregistrements de ressources obsoltes soit active ou non (comme dcrit ltape 3), pour les zones principales standard, cette fonctionnalit est dsactive moins quelle ne soit active manuellement au niveau de la zone applicable.

Pour dfinir les proprits dantriorit et de nettoyage du serveur DNS laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {/ScavengingInterval <Value>|/DefaultAgingState <Value>|/DefaultNoRefreshInterval <Value>|/DefaultRefreshInterval <Value>}

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure le serveur spcifi. 263

<NomServeur>

/Config

/ScavengingInterval

Obligatoire. Dfinit la frquence laquelle le serveur effectuera le nettoyage pour toutes les zones actives cet effet. Obligatoire. Dfinit la configuration dantriorit par dfaut pour toutes les zones sur le serveur. Obligatoire. Dfinit lintervalle de non-actualisation par dfaut pour les zones actives pour le nettoyage. Dfinit lintervalle dactualisation par dfaut pour les zones actives pour le nettoyage. Pour /ScavengingInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine). Pour /DefaultAgingState, tapez 1 pour activer lantriorit pour les nouvelles zones lorsquelles sont cres. Tapez 0 pour dsactiver lantriorit pour les nouvelles zones. Pour /DefaultNoRefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine). Pour /DefaultRefreshInterval, tapez une valeur en heures. La valeur par dfaut est 168 (une semaine).

/DefaultAgingState

/DefaultNoRefreshInterval

/DefaultRefreshInterval

<Valeur>

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

Activer le nettoyage automatique des enregistrements de ressources obsoltes


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour fournir un nettoyage automatique des enregistrements de ressources contenus dans les zones hberges par le serveur DNS (Domain Name System). Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent Pour activer le nettoyage automatique des enregistrements de ressources obsoltes

264

1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Proprits. 3. Cliquez sur longlet Avanc. 4. Activez la case cocher Activer le nettoyage automatique des enregistrements obsoltes. 5. Pour ajuster la Dlai de nettoyage, dans la liste droulante, slectionnez un intervalle en heures ou en jours, puis tapez un nombre dans la zone.

Commencer le nettoyage immdiat des enregistrements de ressources obsoltes


Vous pouvez appliquer cette procdure pour supprimer immdiatement les enregistrements de ressources de serveur ayant dpass le dlai imparti depuis leur cration. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

265

Dmarrage du nettoyage immdiat des enregistrements de ressources obsoltes


laide de linterface Windows laide dune ligne de commande

Pour commencer le nettoyage immdiat des enregistrements de ressources obsoltes laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le serveur DNS (Domain Name System), puis cliquez sur Nettoyer les enregistrements de ressources obsoltes. 3. Lorsque vous tes invit confirmer le nettoyage de tous les enregistrements de ressources obsoltes sur le serveur, cliquez sur OK.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

Pour commencer le nettoyage immdiat des enregistrements de ressources obsoltes laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /StartScavenging

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS.

Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez <NomServeur> galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /StartScavenging Obligatoire. Initie le nettoyage des enregistrements de ressources. Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /StartScavenging /help

266

Afficher quand une zone peut commencer nettoyer des enregistrements obsoltes
267

Vous pouvez appliquer cette procdure pour vrifier que lintervalle de nettoyage dune zone est correct. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Affichage du moment auquel une zone peut commencer nettoyer des enregistrements obsoltes

laide de linterface Windows laide dune ligne de commande

Pour afficher le moment auquel une zone peut commencer nettoyer des enregistrements obsoltes laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans le menu Affichage, cliquez sur Avanc. 3. Cliquez avec le bouton droit sur la zone approprie, puis cliquez sur Proprits. 4. Sous longlet Gnral, cliquez sur Vieillissement. 5. Sous Intervalle dactualisation, affichez le moment auquel la zone est pour la premire fois ligible pour le nettoyage des enregistrements de ressources obsoltes.

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Lhorodatage de dbut de nettoyage est utilis pour dterminer le moment auquel le nettoyage de zone peut commencer. Une fois lhorodatage de dbut de nettoyage atteint, le nettoyage peut avoir lieu uniquement si la case cocher Nettoyer les enregistrements de ressources obsoltes est active. Si cette case cocher est dsactive, le nettoyage de la zone ne peut pas tre effectu.

Pour afficher le moment auquel une zone peut commencer nettoyer des enregistrements obsoltes laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /ZoneInfo <ZoneName> RefreshInterval

Paramtre

Description

268

dnscmd

Outil en ligne de commande pour la gestion des serveurs DNS.

Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez <NomServeur> galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). /ZoneInfo <NomZone> Obligatoire. Affiche les informations de configuration. Obligatoire. Spcifie le nom de domaine complet de la zone.

Obligatoire. Spcifie la proprit de configuration qui affiche le moment auquel la zone est pour la premire fois ligible pour le nettoyage des RefreshInterval enregistrements de ressources obsoltes. La valeur de sortie est exprime en heures. La valeur par dfaut est 168 heures (une semaine). Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /ZoneInfo /help

Considrations supplmentaires

Pour ouvrir une fentre d'invite de commandes, cliquez sur Dmarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur.

269

Rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi


Le service Serveur DNS prend en charge des fonctionnalits dantriorit et de nettoyage. Ces fonctionnalits sont fournies en guise de mcanisme de nettoyage et de suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les donnes de zone au fil du temps. Vous pouvez appliquer cette procdure pour modifier la faon dont un enregistrement de ressource spcifique est nettoy. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs ou un groupe quivalent.

Rinitialisation des proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi


laide de linterface Windows laide dune ligne de commande

Pour rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi laide de linterface Windows 1. Ouvrez le Gestionnaire DNS. 2. Dans larborescence de la console, cliquez sur la zone applicable. 3. Dans le volet dinformations, double-cliquez sur lenregistrement de ressource pour lequel vous souhaitez rinitialiser les proprits dantriorit et de nettoyage. 4. Effectuez lune des oprations suivantes, selon la manire dont lenregistrement de ressource a t initialement ajout la zone :
o

Si lenregistrement a t ajout de manire dynamique laide de la fonctionnalit de mise jour dynamique, dsactivez la case cocher Supprimer cet enregistrement lorsquil deviendra prim afin dempcher son vieillissement ou sa suppression ventuelle durant le processus de nettoyage. Si les mises jour dynamiques de cet enregistrement continuent de se produire, le serveur DNS (Domain Name System) rinitialisera toujours cette case cocher de sorte que lenregistrement mis jour de faon dynamique puisse tre supprim. Si lenregistrement a t ajout de manire statique, activez la case cocher Supprimer cet enregistrement lorsquil deviendra prim afin dautoriser son vieillissement ou sa suppression ventuelle durant le processus de nettoyage.

270

Considrations supplmentaires

Pour ouvrir le Gestionnaire DNS, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. Cette procdure est ncessaire uniquement pour les enregistrements de ressources inscrits de manire dynamique. Pour les enregistrements que vous ajoutez manuellement une zone, une valeur dhorodatage de zro sapplique toujours lenregistrement, ce qui lexclut du processus de nettoyage. Les proprits dantriorit et de nettoyage des enregistrements de serveur de noms (NS) et de source de noms (SOA) sont rinitialises dans les proprits de la zone, et non dans celles de lenregistrement de ressource.

Pour rinitialiser les proprits dantriorit et de nettoyage pour un enregistrement de ressource spcifi laide dune ligne de commande 1. Ouvrez une invite de commandes. 2. Tapez la commande suivante et appuyez sur Entre :
dnscmd <ServerName> /Config {<ZoneName>|..AllZones} /ScavengingInterval <Value>

Paramtre dnscmd

Description Outil en ligne de commande pour la gestion des serveurs DNS. Obligatoire. Spcifie le nom dhte DNS du serveur DNS. Vous pouvez galement taper ladresse IP du serveur DNS. Pour spcifier le serveur DNS sur lordinateur local, vous pouvez galement taper un point (.). Obligatoire. Configure la zone spcifie.

<NomServeur>

/Config

Obligatoire. Spcifie le nom de domaine complet de la zone. Pour configurer toutes les zones qui sont hberges sur le serveur DNS <NomZone>|..AllZones spcifi de faon autoriser les mises jour dynamiques, tapez ..AllZones. /ScavengingInterval <Valeur> Obligatoire. Dfinit lintervalle de nettoyage. Obligatoire. Nouvelle valeur de lintervalle de nettoyage, spcifie en heures. La valeur par dfaut est 168 (une semaine).

Pour afficher la syntaxe complte de cette commande, linvite de commandes, tapez la commande suivante et appuyez sur Entre :
dnscmd /Config /help

271

Gestion des clients


Les ordinateurs clients doivent tre configurs correctement afin de fonctionner avec les serveurs DNS sur lesquels ils reposent pour la rsolution des noms rseau. Vous pouvez configurer les ordinateurs clients de sorte que leurs adresses rseau soient fournies par des serveurs DHCP (Dynamic Host Configuration Protocol), ou vous pouvez les configurer avec des adresses fixes. Vous pouvez galement configurer les clients avec des paramtres supplmentaires afin damliorer leur capacit localiser les htes rseau et tre localiss par ces derniers.

Prsentation des paramtres de client DNS Activer DNS pour les clients DHCP Configurer DNS pour des clients statiques

272

Prsentation des paramtres de client DNS


La configuration DNS (Domain Name System) ncessite les tches de configuration suivantes pour les proprits TCP/IP sur chaque ordinateur :

Dfinir un nom dhte ou dordinateur DNS pour chaque ordinateur. Par exemple, dans le nom de domaine complet wkstn1.widgets.tailspintoys.com., le nom de lordinateur DNS est le libell wkstn1 figurant lextrme gauche. Dfinir un suffixe DNS principal pour chaque ordinateur, plac aprs le nom dhte ou dordinateur afin de constituer le nom de domaine complet. Dans lexemple prcdent, le suffixe DNS principal est widgets.tailspintoys.com. Dfinir une liste de serveurs DNS utilisables par les clients lors de la rsolution des noms DNS, tels quun serveur DNS prfr, et tout serveur DNS secondaire utiliser si le serveur prfr est indisponible. Dfinir la mthode de recherche ou la liste de recherche de suffixe DNS utiliser par un client lorsquil effectue des recherches de requtes DNS pour des noms de domaine courts, non complets.

Ces tches sont dcrites en dtail dans chacune des sections suivantes.

Dfinition de noms dordinateurs


Lorsque vous dfinissez des noms dordinateurs pour DNS, considrez le nom comme la partie la plus gauche dun nom de domaine complet. Par exemple, dans wkstn1.widgets.tailspintoys.com., wkstn1 est le nom dordinateur. Vous pouvez configurer tous les clients DNS Windows avec un nom dordinateur bas sur nimporte lesquels des caractres standard pris en charge dfinis dans la RFC (Request for Comments) 1123 intitule Requirements for Internet Hosts Application and Support . Il sagit des caractres suivants :

Lettres majuscules de A Z Lettres minuscules de a z Chiffres de 0 9 Tirets (-) 273

Si vous prenez en charge la fois les espaces de noms DNS et NetBIOS sur votre rseau, vous pouvez utiliser un nom dordinateur diffrent dans chaque espace de noms. Il est toutefois recommand, dans la mesure du possible, dutiliser des noms dordinateurs de moins de 16 caractres et de respecter les impratifs dattribution de noms dfinis dans la RFC 1123. Par dfaut, le libell le plus gauche dans le nom de domaine complet pour les clients correspond au nom dordinateur NetBIOS, moins que ce libell ne fasse 16 caractres ou plus, qui est le maximum autoris pour les noms NetBIOS. Lorsque le nom dordinateur dpasse la longueur maximale autorise pour NetBIOS, le nom dordinateur NetBIOS est tronqu en fonction du libell complet spcifi. Avant de configurer des ordinateurs avec diffrents noms DNS et NetBIOS, considrez les implications suivantes et les problmes associs pour votre dploiement :

Si la recherche WINS (Windows Internet Name Service) est active pour les zones hberges par vos serveurs DNS, utilisez le mme nom dordinateur pour NetBIOS et DNS. Autrement, les rsultats des requtes et des tentatives de rsolution des noms de ces ordinateurs effectues par les clients seront incohrents.

Si vous devez utiliser des noms NetBIOS pour prendre en charge une technologie de mise en rseau Microsoft hrite, nous vous recommandons de rviser les noms dordinateurs NetBIOS utiliss sur votre rseau afin de prparer la migration vers un environnement standard exclusivement DNS. Votre rseau sera alors mieux adapt la croissance long terme et linteroprabilit avec les futurs impratifs dattribution de noms. Par exemple, si vous utilisez le mme nom dordinateur pour la rsolution NetBIOS et DNS, envisagez de convertir tous les caractres spciaux tels que le trait de soulignement (_) dans vos noms NetBIOS actuels qui ne sont pas conformes aux normes dattribution de noms DNS. Bien que ces caractres soient autoriss dans les noms NetBIOS, ils sont plus souvent incompatibles avec les impratifs dattribution de noms dhtes DNS traditionnels et avec la plupart des logiciels clients de rsolution DNS.

Considrations supplmentaires

Bien que lutilisation du trait de soulignement (_) dans les noms dhtes DNS ou dans les enregistrements de ressources hte (A) soit traditionnellement interdit par les normes DNS, lutilisation des traits de soulignement dans les noms lis aux services (tels que les noms utiliss pour les enregistrements de ressources SRV) a t propose afin dviter les conflits dattribution de noms dans lespace de noms DNS Internet. Outre les conventions dattribution de noms DNS standard, DNS Windows Server 2008 prend en charge lutilisation des caractres ASCII et Unicode tendus. Cependant, la plupart des logiciels de rsolution crits pour dautres plateformes (telles quUNIX) tant bass sur les normes DNS Internet, cette prise en charge des caractres amliore peut tre utilise uniquement sur les rseaux privs avec des ordinateurs excutant DNS Windows 2000, Windows Server 2003 ou Windows Server 2008. La configuration initiale de DNS et du protocole TCP/IP affiche un avertissement suggrant un nom DNS standard si un nom DNS non-standard est entr. Par dfaut, les ordinateurs et serveurs utilisent DNS pour rsoudre les noms dont la longueur est suprieure 15 caractres. Si la longueur du nom est infrieure ou gale 274

15 caractres, la rsolution de noms NetBIOS et DNS peut tre tente et utilise pour rsoudre le nom.

Dfinition des noms de domaine


Le nom de domaine est utilis avec le nom dordinateur client pour former le nom de domaine complet. En gnral, le nom de domaine DNS est la partie restante du nom de domaine complet qui nest pas utilise comme nom dhte unique pour lordinateur. Par exemple, le nom de domaine DNS pour un ordinateur client peut tre le suivant : si le nom de domaine complet est wkstn1.widgets.tailspintoys.com, le nom de domaine est la partie widgets.tailspintoys.com de ce nom. Les noms de domaine DNS ont deux variantes : un nom DNS et un nom NetBIOS. Le nom de domaine complet est utilis durant les requtes et la recherche des ressources nommes sur votre rseau. Pour les clients de version antrieure, le nom NetBIOS est utilis pour rechercher diffrents types de services NetBIOS partags sur votre rseau. Le service Ouverture de session rseau constitue un exemple de composant ncessitant la fois des noms NetBIOS et DNS. Dans DNS Windows Server 2008, le service Ouverture de session rseau sur un contrleur de domaine inscrit ses enregistrements de ressources SRV sur un serveur DNS. Pour Windows NT Server 4.0 et versions antrieures, les contrleurs de domaine inscrivent une entre DomainName dans le service WINS afin deffectuer la mme inscription et dannoncer leur disponibilit pour fournir un service dauthentification sur le rseau. Lorsquun ordinateur client est dmarr sur le rseau, il utilise la rsolution DNS pour interroger un serveur DNS afin de trouver des enregistrements de ressources SRV pour son nom de domaine configur. Cette requte est utilise pour trouver les contrleurs de domaine et fournir une authentification douverture de session pour laccs aux ressources rseau. Un client ou contrleur de domaine sur le rseau peut galement utiliser le service de rsolution NetBIOS pour interroger des serveurs WINS et tenter de localiser des entres DomainName [1C] afin dachever le processus douverture de session. Vos noms de domaine DNS doivent respecter les mmes normes et pratiques recommandes que celles applicables lattribution des noms dordinateurs DNS dcrites dans la section prcdente. En gnral, les conventions dattribution des noms acceptables pour les noms de domaine incluent lutilisation des lettres de A Z, des chiffres de 0 9 et du tiret (-). Un point (.) dans un nom de domaine est toujours utilis pour sparer les parties discrtes dun nom de domaine, qui sont couramment appeles libells ou simplement noms . Chaque libell correspond un niveau supplmentaire dfini dans larborescence despace de noms DNS. Pour la plupart des ordinateurs, le suffixe DNS principal configur pour lordinateur peut tre identique son nom de domaine des services de domaine Active Directory (AD DS), bien que les deux valeurs puissent aussi tre diffrentes. Important Par dfaut, la partie suffixe DNS principal du nom de domaine complet dun ordinateur doit tre identique au nom du domaine AD DS o se trouve lordinateur. Pour autoriser diffrents suffixes DNS principaux, un administrateur de domaine peut crer une liste restreinte de 275

suffixes autoriss en crant lattribut msDS-AllowedDNSSuffixes dans le conteneur dobjet de domaine. Un administrateur de domaine cre et gre cet attribut laide des interfaces ADSI (Active Directory Service Interfaces) ou du protocole LDAP.

Configuration dune liste de serveurs DNS


Pour que les clients DNS oprent de manire efficace, une liste de serveurs de noms DNS classe par ordre de priorit doit tre configure et utilise par chaque ordinateur lorsquil traite les requtes et rsout les noms DNS. Dans la plupart des cas, lordinateur client contacte et utilise son serveur DNS prfr, qui est le premier serveur DNS sur sa liste configure localement. Les serveurs DNS secondaires rpertoris sont contacts et utiliss lorsque le serveur prfr est indisponible. Pour cette raison, il est important que le serveur DNS prfr soit adapt une utilisation continue par le client dans des conditions normales.

Considrations supplmentaires

Pour les ordinateurs excutant Microsoft Windows XP ou Windows Vista, la liste de serveurs DNS est utilise par les clients uniquement pour rsoudre les noms DNS. Lorsque les clients envoient des mises jour dynamiques, par exemple lorsquils modifient leur nom de domaine DNS ou une adresse IP configure, ils peuvent contacter ces serveurs ou dautres serveurs DNS selon les besoins afin de mettre jour leurs enregistrements de ressources DNS. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Par dfaut, le client DNS sur Windows XP ou Windows Vista ne tente pas deffectuer de mise jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramtres TCP/IP avancs de la connexion rseau en question ou modifier le Registre. Pour plus dinformations, voir les Informations de rfrence sur le Registre du Kit de ressources de Windows Server 2003 ladresse http://go.microsoft.com/fwlink/?LinkId=428 (ventuellement en anglais). Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Lorsque les clients DNS sont configurs de manire dynamique laide dun serveur DHCP (Dynamic Host Configuration Protocol), il est possible davoir une plus grande liste de serveurs DNS. Pour fournir une liste dadresses IP de serveurs DNS vos clients DHCP, activez le code doption 6 sur les types doptions configurs fournis par votre serveur DHCP. Pour les serveurs DHCP Windows Server 2003 et Windows Server 2008, vous pouvez configurer une liste comportant jusqu 25 serveurs DNS pour chaque client avec cette option. Pour partager de manire efficace la charge lorsque plusieurs serveurs DNS sont rpertoris dans une liste avec options DHCP spcifies, vous pouvez configurer une tendue DHCP distincte qui fait permuter lordre des serveurs DNS et WINS fournis aux clients.

276

Configuration dune liste de recherche de suffixe DNS


Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixe de domaine DNS qui tend ou rvise leurs capacits de recherche DNS. En ajoutant des suffixes supplmentaires la liste, vous pouvez rechercher des noms dordinateurs plus courts (non complets) dans plusieurs domaines DNS spcifis. Ensuite, en cas dchec dune requte DNS, le service Client DNS peut utiliser cette liste pour ajouter dautres terminaisons de suffixe de nom votre nom dorigine et rpter les requtes DNS au serveur DNS pour ces autres noms de domaine complets. Pour les ordinateurs et les serveurs, le comportement de recherche DNS par dfaut suivant est prdtermin et utilis lors de la rsolution de noms courts non complets. Lorsque la liste de recherche de suffixe est vide ou non spcifie, le suffixe DNS principal de lordinateur est ajout aux noms courts non complets et une requte DNS est utilise pour rsoudre le nom de domaine complet rsultant. Si cette requte choue, lordinateur peut essayer deffectuer des requtes supplmentaires pour dautres noms de domaine complets en ajoutant tout suffixe DNS spcifique la connexion configur pour les connexions rseau. Si aucun suffixe spcifique la connexion nest configur ou si les requtes pour ces noms de domaine complets rsultants spcifiques la connexion chouent, le client peut alors commencer ressayer dexcuter les requtes sur la base dune rduction systmatique du suffixe principal (galement appel dvolution). Par exemple, si le suffixe principal est widgets.tailspintoys.com , le processus de dvolution est capable de rexcuter les requtes pour le nom court en le recherchant dans les domaines microsoft.com et com . Lorsque la liste de recherche de suffixe nest pas vide et comporte au moins un suffixe DNS, les tentatives de rsolution des noms DNS courts sont limites la recherche des noms de domaine complets rendue possible par la liste de suffixes spcifie. En cas dchec de rsolution de tous les noms de domaine complets forms suite lajout et la tentative de chaque suffixe dans la liste, le processus de requte choue, ce qui gnre un message Nom introuvable .

Considrations supplmentaires

Si la liste de suffixes de domaine est utilise, les clients continuent denvoyer des requtes secondaires supplmentaires bases sur diffrents noms de domaine DNS lorsquune requte ne reoit aucune rponse ou nest pas rsolue. Lorsquun nom est rsolu avec une entre dans la liste de suffixes, aucune tentative nest effectue avec les entres inutilises de la liste. Pour cette raison, il est prfrable de placer en haut de la liste les suffixes de domaine les plus utiliss. Les recherches de suffixe de nom de domaine sont utilises uniquement lorsquune entre de nom DNS nest pas complte. Pour obtenir un nom DNS complet, entrez un point (.) la fin du nom. Windows Server 2008 prend en charge une zone nomme spciale, appele GlobalNames, pour fournir la rsolution dun ensemble limit de noms en une seule partie globalement uniques sur un rseau dentreprise. Vous pouvez utiliser cette zone 277

lorsque les impratifs du rseau rendent impossible lutilisation dune liste de recherche de suffixe cet effet. Pour plus dinformations, voir Dploiement dune zone GlobalNames.

Configuration de plusieurs noms


Les ordinateurs excutant Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 sont affects de noms DNS par dfaut. Chaque ordinateur peut avoir ses noms DNS configurs par le biais dune des deux mthodes suivantes :

Un nom de domaine DNS principal, qui sapplique en tant que nom DNS complet par dfaut pour lordinateur et toutes ses connexions rseau configures. Un nom de domaine DNS spcifique la connexion qui peut tre configur en tant que nom de domaine DNS secondaire qui sapplique uniquement pour une seule carte rseau installe et configure sur lordinateur.

Bien que la plupart des ordinateurs naient pas besoin de prendre en charge plus dun nom dans DNS, la prise en charge de la configuration de plusieurs noms DNS spcifiques aux connexions est parfois utile. Par exemple, lutilisation de plusieurs noms permet un utilisateur de spcifier la connexion rseau utiliser lors de la connexion un ordinateur multirsident.

Exemple : utilisation de noms spcifiques aux connexions


Comme lindique lillustration suivante, un ordinateur serveur multirsident nomm host-a peut tre nomm en fonction de ses noms de domaine DNS principal et spcifique la connexion.

Dans cet exemple, lordinateur serveur host-a est reli deux sous-rseaux distincts (Subnet 1 et Subnet 2) qui sont galement lis des points redondants laide de deux routeurs pour des chemins daccs supplmentaires entre chaque sous-rseau. tant donn cette configuration, host-a procure un accs comme suit par le biais de ses connexions de rseau local nommes sparment :

278

Le nom host-a.public.example.microsoft.com procure un accs par le biais de la connexion de rseau local 1 sur le sous-rseau Subnet 1, un rseau local Ethernet faible vitesse (10 mgabits), pour laccs normal aux utilisateurs ayant des besoins de service de fichiers et dimpression ordinaires. Le nom host-a.backup.example.microsoft.com procure un accs par le biais de la connexion de rseau local 2 sur le sous-rseau Subnet 2, un rseau local Ethernet vitesse leve (100 mgabits), pour laccs rserv par des applications de serveur et des administrateurs ayant des besoins spciaux, tels que le dpannage des problmes de mise en rseau de serveur, lexcution de sauvegardes rseau ou la rplication de donnes de zone entre des serveurs.

Outre les noms DNS spcifiques aux connexions, lordinateur peut galement tre accessible par le biais dune des deux connexions de rseau local en spcifiant son nom de domaine DNS principal, host-a.example.microsoft.com . Lorsquil est configur comme illustr, un ordinateur peut inscrire les enregistrements de ressources dans DNS sur la base de ses trois noms distincts et ensembles dadresses IP, comme indiqu dans le tableau suivant.

Nom DNS

Adresses IP

Description Nom DNS principal de lordinateur. Lordinateur inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour toutes les adresses IP configures sous ce nom dans la zone widgets.tailspinto ys.com.

hosta.example.microsoft.c 10.1.1.11, 10.2.2.22 om

host10.1.1.11 a.public.example.micr osoft.com

Nom DNS spcifique la connexion pour la connexion de rseau local 1, qui inscrit les enregistrements de ressources hte (A) et pointeur (PTR) pour ladresse IP 10.1.1.11 dans la zone public.widgets.tailspi 279

ntoys.com. Nom DNS spcifique la connexion pour la connexion de rseau local 2, qui inscrit les hostenregistrements de 10.2.2. a.backup.example.mic ressources hte (A) et 22 rosoft.com pointeur (PTR) pour ladresse IP 10.2.2.22 dans la zone backup.widgets.tailspi ntoys.com.

Considrations supplmentaires

Les noms DNS peuvent tre dfinis laide de services dadministration distance et autres services de configuration distance, tels que DHCP. Pour un serveur DNS excutant Windows Server 2008, le nom de domaine DNS principal peut tre dfini laide de ladministration distance ou de loption dinstallation sans assistance. Pour lattribut des noms spcifiques la connexion, vous pouvez utiliser des mthodes de configuration TCP/IP. Vous pouvez configurer manuellement le nom de domaine DNS pour chaque connexion qui figure dans le dossier Connexions rseau ou vous pouvez utiliser le type doption DHCP (code doption 15). Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

280

Activer DNS pour les clients DHCP

Pour configurer DNS (Domain Name System) pour les clients avec des adresses IP configures de manire dynamique fournies par un serveur DHCP (Dynamic Host Configuration Protocol), on configure en gnral les lments suivants sur le serveur DHCP ou sur les clients applicables :
o

Nom(s) dhte(s) DNS de lordinateur client. Pour les clients DHCP, ce nom doit tre dfini sur lordinateur client ou affect durant linstallation sans assistance. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Pour les clients DHCP, ces serveurs peuvent tre dfinis sur le serveur DHCP en affectant loption de serveur DNS (option 6) et en fournissant une liste configure dadresses IP tries pour les serveurs DNS que le client est configur pour utiliser. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Pour les clients DHCP, cette liste peut tre dfinie sur le serveur DHCP en affectant loption de nom de domaine DNS (option 15) et en fournissant un seul suffixe DNS ajouter et utiliser dans les recherches. Pour configurer des suffixes DNS supplmentaires, configurez le protocole TCP/IP manuellement pour la configuration DNS. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS. Pour les clients DNS, par dfaut les connexions clientes inscrivent leurs adresses IP configures auprs dun serveur DNS. Pour modifier ce comportement sur le client, configurez le protocole TCP/IP manuellement sur le client pour la configuration DNS.

Pour plus dinformations sur la faon de configurer dautres serveurs DNS pour des clients DHCP, voir la documentation de client DNS ou TCP/IP applicable dlivre par le fournisseur. Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre. Pour plus dinformations sur les options DHCP, voir la section sur les options DHCP dans la Collection Rseau (http://go.microsoft.com/fwlink/?LinkId=4639) (ventuellement en anglais).

281

Configurer DNS pour des clients statiques


Pour configurer DNS (Domain Name System) pour des clients avec des adresses IP configures de manire statique, vous configurez en gnral les lments suivants :

Nom(s) dhte(s) DNS de lordinateur client. Serveurs DNS principal et secondaires utiliss par le client pour aider la rsolution des noms de domaine DNS. Une liste de suffixes DNS ajouter pour complter les noms DNS non complets utiliss pour la recherche et la soumission de requtes DNS sur le client. Le comportement dinscription et de mise jour dynamique spcifique la connexion, par exemple pour dterminer si des cartes rseau spcifiques installes sur le client inscrivent de manire dynamique leurs adresses IP configures auprs dun serveur DNS.

282

Scurisation de DNS
tant un protocole ouvert, DNS (Domain Name System) est particulirement vulnrable aux agresseurs. Les attaques russies peuvent tre particulirement perturbatrices tant donn le rle critique jou par DNS dans la plupart des rseaux. Pour cette raison, il est trs important de tirer parti des fonctionnalits de scurit avances fournies pour le rle de serveur DNS dans Windows Server 2008. Cette section fournit des recommandations pour lutilisation de ces fonctionnalits de scurit.

Informations de scurit pour DNS Scurisation du dploiement DNS Scurisation du service Serveur DNS Scurisation des zones DNS Scurisation des enregistrements de ressources DNS Scurisation des clients DNS

Informations de scurit pour DNS


283

DSN (Domain Name System) a t conu lorigine en tant que protocole ouvert. Il est par consquent vulnrable aux attaques. DNS Windows Server 2008 aide amliorer votre capacit prvenir toute attaque sur votre infrastructure DNS grce lajout de fonctionnalits de scurit. Avant de dcider des fonctionnalits de scurit utiliser, vous devez vous familiariser avec les menaces courantes envers la scurit DNS et le niveau de scurit DNS dans votre organisation.

Menaces pour la scurit DNS


Voici les manires les plus courantes dont votre infrastructure DNS peut tre menace par des agresseurs :

Footprinting : processus par lequel des donnes de zone DNS sont obtenues par un agresseur en vue dobtenir les noms de domaine, noms dordinateurs DNS et adresses IP de ressources rseau confidentielles. Un agresseur commence en gnral une attaque en utilisant ces donnes DNS pour schmatiser un rseau. Les noms de domaine et dordinateurs DNS indiquent en gnral la fonction ou lemplacement dun domaine ou dun ordinateur afin daider les utilisateurs mmoriser et identifier plus facilement les domaines et les ordinateurs. Un agresseur tire parti du mme principe pour connatre la fonction ou lemplacement des domaines et des ordinateurs du rseau. Attaque par dni de service : tentative par un agresseur de suppression de la disponibilit de services rseau en inondant un ou plusieurs serveurs DNS du rseau laide de requtes rcursives. Lorsquun serveur DNS est inond de requtes, son utilisation de processeurs finit par atteindre la capacit maximale et le service Serveur DNS devient indisponible. Sans serveur DNS totalement oprationnel sur le rseau, les services rseau qui utilisent DNS deviennent indisponibles pour les utilisateurs rseau. Modification de donnes : tentative par un agresseur (ayant schmatis un rseau laide de DNS) dutiliser des adresses IP valides dans des paquets IP quil a luimme crs, ce qui donne lapparence que ces paquets proviennent dune adresse IP valide sur le rseau. Cette approche porte parfois le nom demprunt dadresse IP. Avec une adresse IP valide (adresse IP comprise dans la plage dadresses IP dun sousrseau), lagresseur peut accder au rseau et dtruire des donnes ou mener dautres attaques. Redirection : un agresseur redirige des requtes de noms DNS vers des serveurs sous son contrle. Une mthode de redirection consiste tenter de polluer le cache DNS dun serveur DNS avec des donnes DNS errones qui peuvent diriger les requtes ultrieures vers des serveurs contrls par lagresseur. Par exemple, si une requte est effectue initialement pour widgets.tailspintoys.com et quune rponse de rfrence fournit un enregistrement pour un nom en dehors du domaine tailspintoys.com, tel que malicious-user.com, le serveur DNS utilise les donnes mises en cache pour malicious-user.com pour rsoudre une requte pour ce nom. Les agresseurs peuvent effectuer des oprations de redirection lorsquils disposent dun accs en criture des donnes DNS, par exemple lorsque les mises jour dynamiques ne sont pas scurises.

284

Attnuation des menaces pour la scurit DNS


DNS peut tre configur pour attnuer ces menaces courantes pour la scurit DNS. Le tableau suivant rpertorie cinq domaines principaux sur lesquels vous devez axer vos efforts en matire de scurit DNS.

Zone de scurit DNS Espace de noms DNS

Description Incorporez la scurit DNS la conception de votre espace de noms DNS. Pour plus dinformations, voirScurisation du dploiement DNS. Examinez les paramtres de scurit par dfaut du service Serveur DNS et appliquez les fonctionnalits de scurit Active Directory lorsque le service Serveur DNS sexcute sur un contrleur de domaine. Pour plus dinformations, voir Scurisation du service Serveur DNS. Examinez les paramtres de scurit par dfaut des zones DNS et appliquez les mises jour dynamiques scurises et les fonctionnalits de scurit Active Directory lorsque la zone DNS est hberge sur un contrleur de domaine. Pour plus dinformations, voir Scurisation des zones DNS.

Service Serveur DNS

Zones DNS

Examinez les paramtres de scurit par dfaut des enregistrements de ressources DNS et appliquez les fonctionnalits de scurit Enregistrements de Active Directory lorsque les enregistrements de ressources DNS sont ressources DNS hbergs sur un contrleur de domaine. Pour plus dinformations, voir Scurisation des enregistrements de ressources DNS. Clients DNS Contrlez les adresses IP de serveur DNS utilises par les clients DNS. Pour plus dinformations, voir Scurisation des clients DNS.

Trois niveaux de scurit DNS


Les sections suivantes dcrivent les trois niveaux de scurit DNS.

Scurit de faible niveau


La scurit de faible niveau est un dploiement DNS standard sans aucune prcaution de scurit configure. Dployez ce niveau de scurit DNS uniquement dans les environnements rseau o il ny a aucun risque pour lintgrit de vos donnes DNS ou sur un rseau priv o il ny a aucune menace de connectivit externe. La scurit DNS de faible niveau possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation est totalement expose Internet. La rsolution DNS standard est effectue par tous les serveurs DNS du rseau.

285

Tous les serveurs DNS sont configurs avec des indications de racine pointant vers les serveurs racines pour Internet. Tous les serveurs DNS autorisent les transferts de zone vers tout serveur. Tous les serveurs DNS sont configurs de faon couter toutes leurs adresses IP. La prvention de pollution du cache est dsactive sur tous les serveurs DNS. La mise jour dynamique est autorise pour toutes les zones DNS. Le port UDP (User Datagram Protocol) et TCP/IP 53 est ouvert sur le pare-feu du rseau pour les adresses sources et de destination.

Scurit de niveau intermdiaire


La scurit de niveau intermdiaire utilise les fonctionnalits de scurit DNS disponibles sans excuter de serveurs DNS sur les contrleurs de domaine et sans stocker de zones DNS dans les services de domaine Active Directory (AD DS). La scurit DNS de niveau intermdiaire possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation est expose Internet de manire limite. Tous les serveurs DNS sont configurs de faon utiliser des redirecteurs qui pointent vers une liste spcifique de serveurs DNS internes lorsquils ne peuvent pas rsoudre les noms localement. Tous les serveurs DNS limitent les transferts de zone aux serveurs rpertoris dans les enregistrements de ressources de serveur de noms (NS) dans leurs zones. Les serveurs DNS sont configurs de faon couter des adresses IP spcifies. La prvention de pollution du cache est active sur tous les serveurs DNS. La mise jour dynamique non scurise nest autorise pour aucune zone DNS. Les serveurs DNS internes communiquent avec les serveurs DNS externes par le biais du pare-feu avec une liste limite dadresses sources et de destination autorises. Les serveurs DNS externes placs devant le pare-feu sont configurs avec des indications de racine pointant vers les serveurs racines pour Internet. Toute la rsolution de noms Internet est effectue laide de serveurs proxy et de passerelles.

Scurit de niveau lev


La scurit de niveau lev utilise la mme configuration que la scurit de niveau intermdiaire. Elle utilise galement les fonctionnalits de scurit disponibles lorsque le service Serveur DNS sexcute sur un contrleur de domaine et que les zones DNS sont stockes dans les services de domaine Active Directory. En outre, la scurit de niveau lev limine compltement la communication DNS avec Internet. Il ne sagit pas dune configuration par dfaut, mais elle est recommande chaque fois que la connectivit Internet nest pas requise. La scurit DNS de niveau lev possde les caractristiques suivantes :

Linfrastructure DNS de lorganisation na aucune communication Internet par le biais des serveurs DNS internes. Le rseau utilise un espace de noms et une racine DNS internes, dans laquelle toute lautorit pour les zones DNS est interne. Les serveurs DNS configurs avec des redirecteurs utilisent uniquement des adresses IP de serveurs DNS internes. 286

Tous les serveurs DNS limitent les transferts de zone aux adresses IP spcifies. Les serveurs DNS sont configurs de faon couter des adresses IP spcifies. La prvention de pollution du cache est active sur tous les serveurs DNS. Les serveurs DNS internes sont configurs avec des indications de racine pointant vers les serveurs DNS internes qui hbergent la zone racine pour lespace de noms interne. Tous les serveurs DNS sexcutent sur des contrleurs de domaine. Une liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) est configure sur le service Serveur DNS afin dautoriser uniquement des utilisateurs spcifiques effectuer des tches dadministration sur le serveur DNS. Toutes les zones DNS sont stockes dans les services de domaine Active Directory. Une liste DACL est configure de faon autoriser uniquement des utilisateurs spcifiques crer, supprimer ou modifier des zones DNS. Des listes DACL sont configures sur des enregistrements de ressources DNS de faon autoriser uniquement des utilisateurs spcifiques crer, supprimer ou modifier des donnes DNS. La mise jour dynamique scurise est configure pour les zones DNS (hormis pour les zones racines et de niveau suprieur, qui nautorisent aucune mise jour dynamique).

Scurisation du dploiement DNS


Scurisation du dploiement DNS
Lorsque vous concevez votre dploiement de serveur DNS (Domain Name System), respectez les directives de scurit DNS suivantes :

Si vos htes rseau ne doivent pas rsoudre de noms sur Internet, liminez la communication DNS avec Internet. Dans cette conception DNS, vous pouvez utiliser un espace de noms DNS priv hberg entirement sur votre rseau. Lespace de noms DNS priv est distribu de la mme faon que lespace de noms DNS Internet, avec vos serveurs DNS internes hbergeant des zones pour le domaine racine et les domaines de niveau suprieur.

287

Fractionnez lespace de noms DNS de votre organisation entre des serveurs DNS internes placs derrire le pare-feu et des serveurs DNS externes placs devant le parefeu. Dans cette conception DNS, votre espace de noms DNS interne est un sous-domaine de votre espace de noms DNS externe. Par exemple, si lespace de noms DNS Internet de votre organisation est tailspintoys.com, lespace de noms DNS interne de votre rseau est corp.tailspintoys.com. Hbergez votre espace de noms DNS interne sur des serveurs DNS internes et hbergez votre espace de noms DNS externe sur des serveurs DNS externes exposs Internet. Pour rsoudre les requtes de noms externes effectues par des htes internes, les serveurs DNS internes dans cette conception DNS transfrent les requtes de noms externes aux serveurs DNS externes. Les htes externes utilisent uniquement les serveurs DNS externes pour la rsolution des noms Internet. Configurez votre pare-feu de filtrage de paquets de faon autoriser uniquement la communication UDP et TCP sur le port 53 entre votre serveur DNS externe et un serveur DNS interne. Cette conception DNS facilite la communication entre les serveurs DNS internes et externes et empche tout autre ordinateur externe daccder votre espace de noms DNS interne.

Scurisation du service Serveur DNS


Pour aider scuriser les serveurs DNS (Domain Name System) de votre rseau, appliquez les directives suivantes.

Examinez et configurez les paramtres par dfaut du service Serveur DNS qui affectent la scurit
Les options de configuration suivantes du service Serveur DNS ont des implications pour la scurit du service Serveur DNS standard et intgr Active Directory.

Paramtre par dfaut

Description

288

Interfaces

Par dfaut, un service Serveur DNS qui sexcute sur un ordinateur multirsident est configur de faon couter les requtes DNS avec toutes ses adresses IP. Limitez les adresses IP coutes par le service Serveur DNS celle utilise par ses clients DNS comme adresse de serveur DNS prfr.

Pour plus dinformations, voir Limiter un serveur DNS de faon couter uniquement des adresses slectionnes. Par dfaut, le service Serveur DNS est scuris contre la pollution du cache, qui se produit lorsque des rponses des requtes DNS contiennent des donnes malveillantes ou ne faisant pas autorit. Loption Scuriser le cache contre la pollution aide empcher un agresseur de polluer le cache dun serveur DNS avec des enregistrements de ressources qui nont pas t Scuriser le cache contre la demands par le serveur DNS. La modification de ce paramtre par dfaut rduit lintgrit des rponses fournies par le service Serveur DNS. pollution Pour plus dinformations, voir Scuriser le cache de serveur contre la pollution des noms. Par dfaut, la rcursivit nest pas dsactive pour le service Serveur DNS. Cela permet au serveur DNS deffectuer des requtes rcursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transfr des requtes de clients DNS. La rcursivit peut tre utilise par des agresseurs des fins de dni de service Serveur DNS. Par consquent, si un serveur DNS de votre rseau nest pas destin recevoir des requtes rcursives, la rcursivit doit tre dsactive. Pour plus dinformations, voir Dsactiver la rcursivit sur le serveur DNS. Si vous avez une racine DNS interne dans votre infrastructure DNS, configurez les indications de racine des serveurs DNS internes de sorte quelles pointent uniquement vers les serveurs DNS qui hbergent votre domaine racine, et non vers ceux qui hbergent le domaine racine Internet. Cela empche vos serveurs DNS internes denvoyer des informations prives sur Internet lorsquils rsolvent des noms. Pour plus dinformations, voir Mettre jour des indications de racine sur le serveur DNS et Mise jour des indications de racine.

Dsactiver la rcursivit

Indications de racine

Grez la liste DACL sur les serveurs DNS excuts sur des contrleurs de domaine
Outre les paramtres par dfaut de service Serveur DNS dj dcrits et affectant la scurit, les serveurs DNS qui sont configurs comme contrleurs de domaine utilisent une liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Vous pouvez utiliser la liste DACL pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui contrlent le service Serveur DNS. Le tableau suivant rpertorie les autorisations et noms dutilisateurs ou de groupes par dfaut pour le service Serveur DNS lorsquil sexcute sur un contrleur de domaine.

289

Noms dutilisateurs ou de groupes Administrateurs Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autorisations spciales Autoriser : Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Autorisations spciales Autoriser : Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise Contrleurs de domaine Enterprise Accs compatible avec les versions antrieures de Windows 2000 Systme

Lorsque le service Serveur DNS sexcute sur un contrleur de domaine, vous pouvez grer sa liste DACL laide de lobjet Active Directory MicrosoftDNS. Configurer la liste DACL sur lobjet MicrosoftDNS revient configurer la liste DACL sur le serveur DNS dans le Gestionnaire DNS, qui constitue la mthode recommande. Par consquent, les administrateurs de la scurit des objets Active Directory et des serveurs DNS doivent tre en contact direct afin de sassurer que lun ninverse pas les paramtres de scurit de lautre.

Scurisation des zones DNS


Les options de configuration de zone DNS (Domain Name System) dans les sections suivantes prsentent des implications pour la scurit des zones DNS standard et intgres Active Directory.

290

Configuration de mises jour dynamiques scurises


Par dfaut, le paramtre Mises jour dynamiques nest pas configur pour autoriser les mises jour dynamiques. Il sagit du paramtre le plus sr car il empche tout agresseur de mettre jour des zones DNS. Toutefois, il vous empche galement de tirer parti des avantages administratifs offerts par la mise jour dynamique. Pour configurer les ordinateurs de faon mettre jour les donnes DNS de manire plus scurise, stockez les zones DNS dans les services de domaine Active Directory (AD DS) et utilisez la fonctionnalit de mise jour dynamique. La mise jour dynamique limite les mises jour de zones DNS aux ordinateurs qui sont authentifis et membres du domaine Active Directory dans lequel se trouve le serveur DNS et aux paramtres de scurit spcifiques dfinis dans les listes de contrle daccs de la zone DNS. Pour plus dinformations, voir Autoriser uniquement les mises jour dynamiques.

Gestion de la liste DACL sur les zones DNS stockes dans les services de domaine Active Directory
Vous pouvez utiliser la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrler les zones DNS. Le tableau suivant rpertorie les autorisations et noms dutilisateurs ou de groupes par dfaut pour les zones DNS stockes dans les services de domaine Active Directory.

Noms dutilisateurs ou de groupes Administrateurs Utilisateurs authentifis Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autoriser : Crer tous les objets enfants Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise

Contrleurs de domaine Enterprise Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations

291

spciales Tout le monde Autoriser : Lecture, Autorisations spciales

Accs compatible avec les versions Autoriser : Autorisations spciales antrieures de Windows 2000 Systme Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

Pour plus dinformations, voir Modifier la scurit pour une zone intgre Active Directory. Un service Serveur DNS excut sur un contrleur de domaine qui a des zones stockes dans les services de domaine Active Directory stocke ses donnes de zone dans les services de domaine Active Directory laide dobjets et dattributs Active Directory. Configurer la liste DACL sur les objets Active Directory DNS revient configurer la liste DACL sur des zones DNS dans le Gestionnaire DNS. Par consquent, les administrateurs de la scurit des objets Active Directory et des donnes DNS doivent tre en contact direct afin de sassurer que lun ninverse pas les paramtres de scurit de lautre. Le tableau suivant dcrit les objets et attributs Active Directory utiliss par les donnes de zone DNS.

Objet DnsZone DnsNode DnsRecord DnsProperty

Description Ce conteneur est cr lorsquune zone est stocke dans les services de domaine Active Directory. Cet objet feuille est utilis pour mapper et associer un nom dans la zone des donnes de ressources. Cet attribut plusieurs valeurs dun objet dnsNode est utilis pour stocker les enregistrements de ressources associs lobjet de nud nomm. Cet attribut plusieurs valeurs dun objet dnsZone est utilis pour stocker des informations de configuration de zone.

Restriction des transferts de zone


Par dfaut, le service Serveur DNS autorise le transfert des informations de zone uniquement vers les serveurs rpertoris dans les enregistrements de serveur de noms (NS) dune zone. Il sagit dune configuration scurise, mais pour une scurit accrue, ce paramtre doit tre modifi et loption autorisant les transferts de zone vers les adresses IP spcifies doit tre active. La modification de ce paramtre de faon autoriser les transferts de zone vers nimporte quel serveur peut exposer vos donnes DNS une tentative de schmatisation de votre rseau par un agresseur.

292

Pour plus dinformations, voir Modifier les paramtres de transfert de zone.

Compromis li la dlgation de zone


Lorsque vous dcidez sil faut dlguer des noms de domaine DNS des zones hberges sur des serveurs DNS administrs sparment, vous devez prendre en compte les implications de scurit lies au fait que vous accorderez plusieurs utilisateurs la capacit administrer les donnes DNS de votre rseau. La dlgation de zone DNS implique un compromis entre les avantages pour la scurit offerts par lutilisation dun serveur DNS de rfrence unique pour toutes les donnes DNS et les avantages administratifs offerts par la distribution de la responsabilit de votre espace de noms DNS diffrents administrateurs. Cet aspect est trs important lorsque vous dlguez des domaines de niveau suprieur dun espace de noms DNS priv car ces domaines contiennent des donnes DNS trs sensibles. Pour plus dinformations, voir Prsentation de la dlgation de zone.

Rcupration de donnes de zone DNS


Si vos donnes DNS sont endommages, vous pouvez restaurer votre fichier de zone DNS partir du dossier de sauvegarde, qui se trouve dans le dossier %systemroot%/DNS/Backup. Lors de la cration initiale dune zone, une copie de la zone est ajoute au dossier de sauvegarde. Pour rcuprer la zone, copiez le fichier de zone dorigine depuis le dossier de sauvegarde dans le dossier %systemroot%/DNS. Lorsque vous utilisez lAssistant Nouvelle zone pour crer la zone, spcifiez le fichier de zone dans le dossier %systemroot%/DNS en tant que fichier de zone pour la nouvelle zone. Pour plus dinformations, voir Ajouter une zone de recherche directe. Cette opration sapplique uniquement aux zones standard qui ne sont pas hberges dans les services de domaine Active Directory. .

293

Scurisation des enregistrements de ressources DNS


Les options de configuration denregistrements de ressources DNS (Domain Name System) ont des implications lies la scurit pour les enregistrements de ressources stocks dans les zones DNS standard et les zones DNS intgres Active Directory :

Gestion de la liste DACL sur les enregistrements de ressources DNS dans les services de domaine Active Directory
Vous pouvez utiliser la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) pour contrler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrler les enregistrements de ressources DNS. Pour plus dinformations, voir Modifier la scurit pour un enregistrement de ressource. Le tableau suivant rpertorie les noms et autorisations de groupes ou dutilisateurs par dfaut pour les enregistrements de ressources DNS stocks dans les services de domaine Active Directory (AD DS).

Noms dutilisateurs ou de groupes Administrateurs Utilisateurs authentifis Crateur propritaire

Autorisations Autoriser : Lecture, criture, Crer tous les objets enfants, Autorisations spciales Autoriser : Crer tous les objets enfants Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants, Autorisations spciales Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

DnsAdmins

Administrateurs du domaine

Administrateurs de lentreprise

Autoriser : Contrle total, Lecture, criture, Crer tous les Contrleurs de domaine Enterprise objets enfants, Supprimer des objets enfants, Autorisations spciales

294

Tout le monde

Autoriser : Lecture, Autorisations spciales

Accs compatible avec les versions Autoriser : Autorisations spciales antrieures de Windows 2000 Systme Autoriser : Contrle total, Lecture, criture, Crer tous les objets enfants, Supprimer des objets enfants

Scurisation des clients DNS


Les considrations suivantes relatives aux clients DNS (Domain Name System) prsentent des implications pour al scurit des clients DNS dans une infrastructure DNS.

Dans la mesure du possible, spcifiez des adresses IP statiques pour les serveurs DNS prfr et secondaires utiliss par un client DNS.
Si un client DNS est configur de faon obtenir ses adresses de serveurs DNS automatiquement, il les obtient par le biais dun serveur DHCP (Dynamic Host Configuration Protocol). Bien que cette mthode dobtention des adresses de serveurs DNS soit scurise, sa scurit ne va pas plus loin que celle du serveur DHCP. En configurant les clients DNS avec des adresses IP statiques pour les serveurs DNS prfrs et secondaires, vous pouvez liminer un itinraire dattaque ventuelle. Pour plus dinformations, voir Activer DNS pour les clients DHCP.

Contrle des clients DNS ayant accs au serveur DNS


Si un serveur DNS est configur de faon couter uniquement des adresses IP spcifiques, seuls les clients DNS configurs pour utiliser ces adresses IP comme serveurs DNS prfr et secondaires contacteront le serveur DNS.

295

Rsolution des problmes DNS


Vous pouvez utiliser les informations fournies dans les rubriques suivantes pour aider isoler et rsoudre les problmes lis votre infrastructure DNS (Domain Name System).

Dpannage des clients DNS Dpannage des serveurs DNS Rsolution des problmes de mise jour dynamique Rsolution des problmes de zone

296

Dpannage des clients DNS


Quels sont les problmes rencontrs ?

Le client DNS reoit un message derreur Nom introuvable . Le client DNS semble avoir reu une rponse contenant des informations primes ou incorrectes. Le client DNS semble tre affect par un autre problme non dcrit dans cet article.

Le client DNS reoit un message derreur Nom introuvable .


Cause : la configuration IP de lordinateur client DNS (Domain Name System) nest pas valide pour le rseau. Solution : vrifiez que les paramtres de configuration TCP/IP pour lordinateur client sont corrects, en particulier ceux utiliss pour la rsolution de noms DNS. Pour vrifier la configuration IP dun client, utilisez la commande ipconfig. Dans la sortie de commande, vrifiez que le client possde une adresse IP, un masque de sous-rseau et une passerelle par dfaut corrects pour le rseau auquel il est reli et utilis. Si la configuration TCP/IP du client nest pas valide, vous pouvez procder comme suit :

Pour les clients configurs de manire dynamique, utilisez la commande ipconfig /renew pour forcer manuellement le client renouveler sa configuration dadresse IP auprs du serveur DHCP (Dynamic Host Configuration Protocol). Pour les clients configurs de manire statique, modifiez les proprits TCP/IP du client de faon utiliser des paramtres de configuration valides ou terminer sa configuration DNS pour le rseau. Ne configurez pas les clients de faon utiliser la fois des serveurs DNS intgrs aux services de domaine Active Directory (AD DS) et des serveurs DNS de Fournisseur de services Internet (FAI). Au lieu de cela, configurez les clients de faon utiliser uniquement des serveurs DNS intgrs aux services de domaine Active Directory et configurez ces derniers de sorte quils transfrent les requtes vos serveurs DNS de FAI.

297

Pour plus dinformations, voir Gestion des clients. Cause : le client nest pas parvenu contacter de serveur DNS suite une dfaillance rseau ou matrielle. Solution : vrifiez que lordinateur client a une connexion rseau valide et oprationnelle. Tout dabord, vrifiez que le matriel du client (cbles et cartes rseau) fonctionne correctement sur le client en appliquant des tapes de dpannage rseau et matriel de base. Si le matriel client semble fonctionner correctement, vrifiez quil peut contacter dautres ordinateurs sur le mme rseau au moyen de la commande ping. Cause : le client DNS ne peut pas contacter ses serveurs DNS configurs. Solution : si le client DNS dispose dune connectivit de base au rseau, vrifiez quil peut contacter un serveur DNS prfr (ou secondaire). Pour vrifier si un client dispose dun accs TCP/IP de base au serveur DNS, essayez dabord de contacter le serveur DNS prfr par son adresse IP laide de la commande ping. Par exemple, si le client utilise un serveur DNS prfr avec ladresse 10.0.0.1, tapez ping 10.0.0.1 linvite de commandes sur lordinateur client. Si vous avez des doutes concernant ladresse IP du serveur DNS prfr, vous pouvez lafficher au moyen de la commande ipconfig. Par exemple, sur lordinateur client, tapez ipconfig /all|more si ncessaire afin dinterrompre laffichage de faon pouvoir lire et noter les adresses IP rpertories dans Serveurs DNS dans la sortie de commande. Si aucun serveur DNS configur ne rpond une requte ping directe de son adresse IP, cela indique que le problme est vraisemblablement li la connectivit rseau entre le client et les serveurs DNS. Dans ce cas, suivez les tapes de dpannage rseau TCP/IP de base pour rsoudre le problme. Cause : le serveur DNS ne sexcute pas ou ne rpond pas aux requtes. Solution : si le client DNS peut excuter une requte ping sur le serveur DNS, vrifiez que ce dernier est dmarr et en mesure dcouter et de rpondre aux demandes des clients. Essayez dutiliser la commande nslookup pour tester si le serveur peut rpondre aux clients DNS. Pour plus dinformations, voir Dmarrer ou arrter un serveur DNS. Cause : le serveur DNS utilis par le client ne fait pas autorit pour le nom demand et ne parvient pas trouver le serveur de rfrence pour ce nom. Solution : vrifie que le nom de domaine DNS que le client tente de rsoudre est celui pour lequel ses serveurs DNS configurs font autorit. Par exemple, si le client tente de rsoudre le nom host.widgets.tailspintoys.com, vrifiez que le serveur DNS prfr (ou un serveur secondaire, le cas chant) interrog par le client

298

charge la zone faisant autorit o un enregistrement de ressource hte (A) pour le nom recherch doit exister. Si le serveur prfr fait autorit pour le nom recherch et quil charge la zone applicable, dterminez si les enregistrements de ressources appropris ne sont pas manquants dans la zone. Si ncessaire, ajoutez les enregistrements de ressources la zone. Si le serveur prfr ne fait pas autorit pour le nom recherch, le problme est sans doute d des erreurs de configuration sur le serveur DNS. Le cas chant, effectuez la procdure de dpannage adquate au niveau du serveur DNS. Pour plus dinformations, voir Gestion des enregistrements de ressources et Dpannage des serveurs DNS.

Le client DNS semble avoir reu une rponse contenant des informations primes ou incorrectes.
Cause : le serveur DNS utilis par le client ne fait pas autorit pour le nom demand et il utilise des informations primes provenant de sa base de donnes DNS locale. Solution : dterminez si le serveur DNS fait autorit pour le nom et agissez en consquence. Par exemple, si le client tente de rsoudre le nom host.widgets.tailspintoys.com, vrifiez que le serveur DNS prfr (ou un serveur secondaire, le cas chant) interrog par le client charge la zone faisant autorit o un enregistrement de ressource hte (A) pour le nom recherch doit exister. Si le serveur prfr fait autorit pour le nom et quil a rpondu avec des donnes incorrectes, cela indique que la zone applicable contient peut-tre des informations prims ou obsoltes dans les donnes denregistrements de ressources applicables. Dans ce cas, vous pouvez ajouter et supprimer lenregistrement de ressource appropri dans la zone. Lorsque les mises jour dynamiques sont actives, une autre option consiste forcer linscription et la mise jour sur lordinateur cibl par la requte. Vous pouvez le forcer mettre jour linscription de ses enregistrements de ressources en tapant la commande ipconfig /registerdns linvite de commandes. Si le serveur prfr ne constitue pas une autorit directe pour le nom interrog, il est probable quil a rpondu la requte sur la base dinformations obtenues et mises en cache durant une recherche rcursive antrieure. Dans ce cas, il peut tre prfrable de nettoyer le cache de noms du serveur. Cela force le serveur utiliser de nouvelles requtes rcursives pour ces donnes denregistrement de ressource et recrer le contenu de son cache sur la base des informations actuelles. Pour plus dinformations, voir Gestion des enregistrements de ressources et Dpannage des serveurs DNS. Cause : le serveur DNS prfr est un serveur secondaire pour la zone qui contient le nom cibl et il possde des informations prims.

299

Solution : si le serveur ayant rpondu au client est un serveur secondaire pour la zone, il se peut que la version de la zone utilise sur ce serveur soit prime et ncessite une mise jour plus frquente. En guise de solution immdiate, vous pouvez initier un transfert de zone sur le serveur secondaire vers son serveur matre afin de mettre jour la zone. Vous pourriez galement envisager lune des options suivantes afin damliorer lactualisation des donnes de zone secondaire dans le futur :

Spcifiez des serveurs matres supplmentaires devant tre utiliss par le serveur secondaire lors de lactualisation de la zone. Ajustez lgrement lintervalle dactualisation sur la zone afin de rduire la dure pendant laquelle tous les serveurs de rfrence pour la zone peuvent utiliser la zone avant de devoir lactualiser. Configurez une liste de notification sur un serveur matre qui joue le rle de source de zone pour le serveur secondaire et autorisez-le informer ce serveur lors des modifications de zone.

Cause : le nom interrog a t spcifi par erreur, soit suite une saisie de lutilisateur, soit dans une configuration cliente stocke. Solution : vrifiez que le nom a t spcifi correctement dans lapplication do provenait la requte de nom. Dans la plupart des cas, des donnes incorrectes dans une rponse de requte positive indiquent lune des trois possibilits suivantes :

un nom DNS incorrect a t entr sur le client par un utilisateur ; un nom court (non complet) a t utilis sur le client et a t complt par la rsolution locale avec un suffixe DNS incorrect ; les enregistrements de ressources spcifis dans la requte nont pas t mis jour correctement sur le serveur DNS.

Confirmez que le nom na pas t entr par erreur par lutilisateur. Vrifiez lensemble exact de caractres entrs par lutilisateur lors de la requte DNS initiale ou vrifiez les paramtres dapplication, tels que les paramtres des configurations de navigateur Web ou de messagerie Internet. Si le nom utilis dans la requte initiale nest pas le nom de domaine complet, essayez dutiliser ce dernier dans lapplication cliente et rexcutez la requte. Dans ce cas, assurezvous dinclure le point (.) la fin du nom afin dindiquer que le nom entr est un nom de domaine complet exact. Si la requte de nom de domaine complet russit et retourne des donnes correctes dans la rponse, la cause la plus probable du problme est une liste de recherche de suffixe de domaine DNS configure de faon incorrecte dans les paramtres de rsolution du client.

300

Si vous utilisez DNS dans un environnement qui ne prend pas en charge les mises jour dynamiques ou si vous administrez gnralement les donnes de zone manuellement, vous souhaiterez peut-tre aussi vrifier que les enregistrements de ressources impliqus dans la rponse la requte nont pas t entrs de faon incorrecte. Affichez-les afin de vous assurer que les donnes denregistrements stockes dans la zone sont correctes ou modifiez-les en consquence. Cause : la zone principale contient peut-tre des donnes manquantes ou errones. Solution : vrifiez que le serveur principal pour la zone possde des donnes compltes et correctes. La cause la plus probable de prsence de donnes incompltes ou manquantes pour une zone sur un serveur DNS est lchec dune demande de mise jour. Il est possible que la prise en charge des mises jour dynamiques nait pas t implmente ou configure entirement. Pour rsoudre le problme, tudiez le protocole de mise jour dynamique DNS (Request for Comments (RFC) 2136) et toute exigence relative aux serveurs et clients DNS qui lutilisent. Pour les zones intgres lannuaire, il est possible que les enregistrements affects pour la requte ayant chou aient t mis jour dans les services de domaine Active Directory (AD DS) mais pas rpliqus sur tous les serveurs DNS qui chargent la zone. Par dfaut, tous les serveurs DNS qui chargent des zones depuis les services de domaine Active Directory les interrogent intervalle rgulier (en gnral toutes les 15 minutes) et ils mettent jour la zone pour toute modification incrmentielle apporte. Dans la plupart des cas, la rplication dune mise jour DNS sur tous les serveurs DNS ne prend pas plus de 20 minutes dans un environnement de domaine Active Directory avec les paramtres de rplication par dfaut et des liaisons haut dbit fiables. Si vous avez spcifiquement configur vos zones afin de dsactiver la mise jour dynamique, noubliez pas que vous devez ajouter et mettre jour manuellement la plupart des types denregistrements utiliss dans une zone. Dans ce cas, utilisez le Gestionnaire DNS pour afficher et mettre jour les enregistrements affects. Le service WINS (Windows Internet Name Service) constitue une autre source possible pour la prsence de donnes incorrectes. Dterminez si lintgration de recherche WINS est active et utilise avec la zone. Si vous utilisez la recherche WINS avec vos zones, vrifiez que le service WINS nest pas la source des donnes incorrectes. Pour plus dinformations, voir Rsolution des problmes de mise jour dynamique et Gestion des enregistrements de ressources.

Le client DNS semble tre affect par un autre problme non dcrit dans cet article.
Cause : mon problme nest pas dcrit ici. Solution: recherchez sur le site Web Microsoft TechNet (http://go.microsoft.com/fwlink/? LinkId=170) (ventuellement en anglais) les informations techniques les plus rcentes pouvant avoir un rapport avec votre problme. Si ncessaire, vous pouvez obtenir des informations et des instructions lies votre problme. 301

Si vous tes connect Internet, les mises jour de systme dexploitation les plus rcentes sont disponibles sur le site Web Microsoft Update (http://go.microsoft.com/fwlink/? LinkId=284) (ventuellement en anglais).

Dpannage des serveurs DNS


Quels sont les problmes rencontrs ?

Le serveur DNS ne rpond pas aux clients. Le serveur DNS ne rsout pas les noms correctement. Le serveur DNS semble tre affect par un autre problme non dcrit dans cet article.

Le serveur DNS ne rpond pas aux clients.


Cause : le serveur DNS (Domain Name System) est affect par une dfaillance rseau. Solution : vrifiez que lordinateur serveur a une connexion rseau valide et oprationnelle. Tout dabord, vrifiez que le matriel du client (cbles et cartes rseau) fonctionne correctement sur le client en appliquant des tapes de dpannage rseau et matriel de base. Si le matriel serveur semble fonctionner correctement, vrifiez quil dispose dune connectivit rseau en excutant la commande ping pour contacter dautres ordinateurs ou routeurs (par exemple sa passerelle par dfaut) utiliss et accessibles sur le mme rseau que les serveurs affects. Cause : le serveur DNS est accessible par des tests rseau lmentaires, mais il ne rpond pas aux requtes DNS des clients. Solution : si le client DNS peut excuter une requte ping sur le serveur DNS, vrifiez que ce dernier est dmarr et en mesure dcouter et de rpondre aux demandes des clients. Essayez dutiliser la commande nslookup pour tester si le serveur peut rpondre aux clients DNS. Pour plus dinformations, voir Dmarrer ou arrter un serveur DNS. Cause : le serveur DNS a t configur de faon limiter le service une liste spcifique de ses adresses IP configures. Ladresse IP utilise initialement lors des tests de connectivit ne figure pas dans la liste.

302

Solution : si le serveur a t prcdemment configur de faon limiter les adresses IP pour lesquelles il rpond aux requtes, il est possible que ladresse IP utilise par les clients pour le contacter ne figure pas dans la liste dadresses IP restreintes autorises fournir un service aux clients. Ressayez dobtenir une rponse de la part du serveur, mais spcifiez une adresse IP diffrente que vous savez figurer dans la liste dinterfaces restreintes pour le serveur. Si le serveur DNS rpond avec cette adresse, ajoutez ladresse IP de serveur manquante la liste. Cause : le serveur DNS a t configur de faon dsactiver lutilisation de ses zones de recherche inverse par dfaut cres automatiquement. Solution : vrifiez que des zones de recherche inverse par dfaut cres automatiquement ont t cres pour ce serveur ou quaucune modification de configuration avance na t apporte prcdemment ce serveur. Par dfaut, les serveurs DNS crent automatiquement les trois zones de recherche inverse standard, sur la base des recommandations RFC (Request for Comments). Ces zones sont cres avec des adresses IP courantes couvertes par ces zones, et qui nont aucune utilit dans une recherche de zone inverse (0.0.0.0, 127.0.0.1 et 255.255.255.255). En faisant autorit pour les zones correspondant ces adresses, le service DNS vite toute rcursivit inutile vers les serveurs racines pour effectuer des recherches inverses sur ces types dadresses IP. Il est possible, quoique improbable, que ces zones automatiques naient pas t cres. La dsactivation de la cration de ces zones ncessite une configuration manuelle avance du Registre du serveur par un utilisateur. Pour vrifier que ces zones ont t cres, procdez comme suit : 1. Ouvrez le Gestionnaire DNS. 2. Dans le menu Affichage, cliquez sur Avanc. 3. Dans larborescence de la console, cliquez sur Zones de recherche inverse. O ?
o DNS/serveur DNS applicable/Zones de recherche inverse 4. Dans le volet dinformations, vrifiez que les sones de recherche inverse suivantes sont prsentes : o 0.in-addr.arpa o 127.in-addr.arpa o 255.in-addr.arpa

Cause : le serveur DNS est configur de faon utiliser un port de service diffrent du port par dfaut, par exemple dans une configuration de pare-feu ou de scurit avance. Solution : vrifiez que le serveur DNS nutilise pas de configuration non standard.

303

Il sagit dune cause rare mais possible. Par dfaut, la commande nslookup envoie des requtes aux serveurs DNS cibles par le biais du port UDP (User Datagram Protocol) 53. Si le serveur DNS se trouve sur un autre rseau et est accessible uniquement par le biais dun hte intermdiaire (tel quun routeur de filtrage de paquets ou un serveur proxy), il se peut que le serveur DNS utilise un port non standard pour couter et recevoir les requtes des clients. Dans ce cas, dterminez si une configuration de serveur proxy ou de pare-feu intermdiaire est utilise de manire intentionnelle dans le but de bloquer le trafic sur des ports de service bien connus utiliss par DNS. Dans la ngative, vous pourriez ajouter un filtre de paquets ces configurations afin dautoriser le trafic sur les ports DNS standard. Consultez galement le journal des vnements du serveur DNS pour voir si lID dvnement 414 ou autres vnements critiques lis au service se sont produits et indiquent pourquoi le serveur DNS ne rpond pas.

Le serveur DNS ne rsout pas les noms correctement.


Cause : le serveur DNS fournit des donnes incorrectes pour les requtes auxquelles il rpond. Solution : dterminez la cause des donnes incorrectes pour le serveur DNS. Les causes les plus probables sont les suivantes :

Les enregistrements de ressources nont pas t mis jour de manire dynamique dans la zone. Une erreur a t faite lors de lajout ou de la modification manuelle denregistrements de ressources statiques dans la zone. Des enregistrements de ressources prims dans la base de donnes du serveur DNS laisss suite des enregistrements de zone ou des recherches en cache non pas t mis jour avec les informations actuelles ou nont pas t supprims lorsquils ntaient plus ncessaires.

Pour aider prvenir les types de problmes les plus courants, assurez-vous dexaminer dabord les pratiques recommandes, qui contiennent des astuces et des suggestions pour le dploiement et la gestion de vos serveurs DNS. Respectez et utilisez galement les listes de vrification en rapport avec linstallation et la configuration des serveurs et des clients DNS, sur la base de vos besoins en dploiement. Si vous dployez DNS pour les services de domaine Active Directory (AD DS), notez les nouvelles fonctionnalits dintgration lannuaire. Ces fonctionnalits peuvent donner lieu des diffrences entre les paramtres par dfaut des serveurs DNS utiliss lorsque la base de donnes DNS est intgre lannuaire et ceux utiliss avec le stockage traditionnel bas sur fichiers. De nombreux problmes de serveur DNS commencent par lchec des requtes au niveau du client. Il est donc souvent prfrable de dpanner en premier lieu le client DNS. Pour plus dinformations, voir Dpannage des clients DNS. 304

Cause : le serveur DNS ne rsout pas les noms pour les ordinateurs ou services situs en dehors de votre rseau immdiat, par exemple les noms des ordinateurs ou services situs sur des rseaux externes ou sur Internet. Solution : il existe un problme au niveau de la capacit de rcursivit du serveur. La rcursivit est utilise dans la plupart des configurations DNS pour rsoudre les noms qui ne sont pas situs dans le nom de domaine DNS configur utilis par les serveurs et clients DNS. Lorsquun serveur DNS ne parvient pas rsoudre un nom pour lequel il ne fait pas autorit, cela est gnralement d lchec dune requte rcursive. Les requtes rcursives sont utilises frquemment par les serveurs DNS pour rsoudre les noms distants dlgus dautres serveurs et zones DNS. Pour que la rcursivit fonctionne correctement, tous les serveurs DNS figurant sur le chemin dune requte rcursive doivent tre capables de rpondre la requte et de transfrer les donnes correctes. Dans le cas contraire, une requte rcursive peut chouer pour lune des raisons suivantes :

Le dlai dexpiration de la requte rcursive est atteint avant que celle-ci ne soit satisfaite. Un serveur DNS distant ne rpond pas. Un serveur DNS distant fournit des donnes incorrectes.

Cause : le serveur DNS nest pas configur de faon utiliser dautres serveurs DNS pour laider rsoudre les requtes. Solution : vrifiez si le serveur DNS peut utiliser des redirecteurs et la rcursivit. Par dfaut, la rcursivit est active sur tous les serveurs DNS, bien que loption permettant de dsactiver son utilisation soit configurable dans le Gestionnaire DNS (modification des options de serveur avances). Il se peut galement que le serveur soit configur de faon utiliser des redirecteurs et que la rcursivit ait t dsactive spcifiquement pour cette configuration. Remarques Si vous dsactivez la rcursivit sur le serveur DNS, vous ne serez pas en mesure dutiliser des redirecteurs sur ce serveur. Pour plus dinformations, voir Configurer un serveur DNS de faon utiliser des redirecteurs. Cause : les indications de racine actuelles pour le serveur DNS ne sont pas valides. Solution : vrifiez si les indications de racine du serveur sont valides. Si elles sont configures et utilises correctement, les indications de racine doivent toujours pointer vers les serveurs DNS de rfrence pour la zone qui contient le domaine racine et les domaines de niveau suprieur.

305

Par dfaut, les serveurs DNS sont configurs de faon utiliser des indications de racine adaptes votre dploiement, sur la base des choix suivants disponibles lorsque vous utilisez le Gestionnaire DNS pour configurer un serveur : 1. Si le serveur DNS est install en tant que premier serveur DNS pour votre rseau, il est configur comme serveur racine. Pour cette configuration, les indications de racine sont dsactives sur le serveur car il sagit du serveur de rfrence pour la zone racine. 2. Si le serveur install est un serveur supplmentaire pour votre rseau, vous pouvez faire en sorte que lAssistant Configuration dun serveur DNS mette jour ses indications de racine partir dun serveur DNS existant sur le rseau. 3. Si vous navez pas dautre serveur DNS sur votre rseau mais que vous devez tout de mme rsoudre des noms DNS Internet, vous pouvez utiliser le fichier dindications de racine par dfaut, qui contient une liste de serveurs racines Internet qui font autorit pour lespace de noms DNS Internet. Cause : le serveur DNS ne dispose pas de connectivit rseau aux serveurs racines. Solution : testez la connectivit aux serveurs racines. Si les indications de racine semblent tre configures correctement, vrifiez que le serveur DNS utilis dans une requte ayant chou peut excuter une requte ping sur ses serveurs racines par leurs adresses IP. Si une requte ping sur un serveur racine choue, cela peut indiquer quune adresse IP pour ce serveur racine a chang. La reconfiguration des serveurs racines est cependant une opration peu courante. Il est plus probable que la cause du problme soit une perte totale de connectivit rseau ou, dans certains cas, des performances rseau mdiocres sur les liaisons rseau intermdiaires entre le serveur DNS et ses serveurs racines configurs. Suivez les tapes de dpannage rseau TCP/IP de base afin de diagnostiquer les connexions et dterminer si le problme est bien ce niveau. Par dfaut, le service DNS utilise un dlai dexpiration de rcursivit de 15 secondes avant de provoquer lchec dune requte rcursive. Dans des conditions rseau normales, il nest pas ncessaire de modifier ce dlai dexpiration. Si les performances lexigent, vous pouvez toutefois augmenter cette valeur. Pour examiner des informations supplmentaires lies aux performances des requtes DNS, vous pouvez activer et utiliser le fichier journal de dbogage de serveur DNS, Dns.log. Ce journal peut fournir des informations dtailles sur certains types dvnements lis aux services. Cause : il existe dautres problmes au niveau de la mise jour des donnes de serveur DNS, par exemple un problme li aux zones ou aux mises jour dynamiques.

306

Solution : dterminez si le problme est li aux zones. Si ncessaire, rsolvez les problmes ce niveau, tels que lchec possible du transfert de zone. Pour plus dinformations, voir Rsolution des problmes de mise jour dynamique et Rsolution des problmes de zone.

Le serveur DNS semble tre affect par un autre problme non dcrit dans cet article.
Cause : mon problme nest pas dcrit ici. Solution: recherchez sur le site Web TechNet (http://go.microsoft.com/fwlink/?LinkId=170) (ventuellement en anglais) les informations techniques les plus rcentes pouvant avoir un rapport avec votre problme. Si ncessaire, vous pouvez obtenir des informations et des instructions lies votre problme. Si vous tes connect Internet, les mises jour de systme dexploitation les plus rcentes sont disponibles sur le site Web Microsoft Update (http://go.microsoft.com/fwlink/? LinkId=284) (ventuellement en anglais).

307

Rsolution des problmes de mise jour dynamique


Quels sont les problmes rencontrs ?

Le client DNS neffectue pas de mises jour dynamiques. Le serveur DNS neffectue pas de mise jour dynamique. Je rencontre un autre problme li aux mises jour dynamiques que ceux dcrits ici.

Le client DNS neffectue pas de mises jour dynamiques.


Cause : le client, ou son serveur DHCP (Dynamic Host Configuration Protocol), ne prend pas en charge lutilisation du protocole de mise jour dynamique DNS (Domain Name System). Solution : vrifiez que vos clients ou serveurs prennent en charge le protocole de mise jour dynamique DNS. Pour que les ordinateurs clients soient inscrits et mis jour de manire dynamique auprs dun serveur DNS, vous devez effectuer lune des oprations suivantes :

installer ou mettre jour les ordinateurs clients vers la version actuelle de Windows ; installer et utiliser le service Serveur DHCP sur votre rseau afin daccorder des baux aux ordinateurs clients.

Par dfaut, les ordinateurs tentent dinscrire et de mettre jour de faon dynamique leurs noms DNS et adresses IP auprs dun serveur DNS. Pour les autres types dordinateurs, vous pouvez dployer des serveurs DHCP Windows Server 2008, qui peuvent effectuer des inscriptions et des mises jour par proxy ncessaires pour les clients non dynamiques.

Considrations supplmentaires

Par dfaut, le client DNS sur Microsoft Windows XP ou Windows Vista ne tente pas deffectuer de mise jour dynamique sur une connexion RAS (Remote Access Service) ou VPN (Virtual Private Network). Pour modifier cette configuration, vous pouvez modifier les paramtres TCP/IP avancs de la connexion rseau en question ou modifier le Registre. Pour plus dinformations, voir les Informations de rfrence sur le Registre du Kit de ressources de Windows Server 2003 ladresse http://go.microsoft.com/fwlink/?LinkId=428 (ventuellement en anglais). 308

Par dfaut, le client DNS ne tente pas deffectuer de mise jour dynamique des zones de domaine du niveau suprieur. Toute zone nomme avec un nom en une partie est considre comme une zone de domaine du niveau suprieur, par exemple com, edu, vierge, ma-socit. Pour configurer le client DNS de faon autoriser la mise jour dynamique des zones de domaine du niveau suprieur, vous pouvez utiliser le paramtre de stratgie Mettre jour les zones de domaine du niveau suprieur ou modifier le Registre.

Cause : le client na pas pu sinscrire auprs du serveur DNS suite des problmes intermittents au niveau du serveur DNS ou du rseau. Solution : sur lordinateur client, utilisez la commande ipconfig pour retenter deffectuer linscription ou le renouvellement et la mise jour des informations client auprs du serveur DNS. Vous pouvez utiliser loption de commande ipconfig /regsiterdns pour forcer manuellement une nouvelle tentative dinscription dynamique de lordinateur client. Pour les ordinateurs excutant des versions antrieures de Windows, vous pouvez utiliser les options de la commande ipconfig pour vrifier, afficher ou renouveler les dtails de configuration TCP/IP du client selon les besoins. Par exemple, si lordinateur client obtient son bail dadresse IP partir dun serveur DHCP, vous pourriez utiliser la commande ipconfig /renew pour forcer le client renouveler son bail avec le serveur DHCP. Cette action fait en sorte que le serveur DHCP soumette une demande de mise jour son serveur DNS configur pour le compte du client. Si le serveur DHCP russit effectuer la mise jour auprs du serveur DNS, le rsultat est un nom dhte DNS mis jour et des informations dadresse IP mises jour pour lordinateur client dans la base de donnes DNS. Cause : le client nest pas parvenu effectuer linscription et la mise jour auprs du serveur DNS cause dune configuration DNS incomplte ou manquante. Solution : vrifiez que le client est configur correctement et compltement pour DNS et mettez jour sa configuration si besoin est. Lune des causes courantes de lchec de mise jour du client auprs du serveur DNS est labsence de suffixe DNS (suffixe principal ou spcifique la connexion) configur. Le client risque alors de tenter dinscrire un nom de domaine DNS incorrect ou imprvu. Par exemple, le client peut tenter dinscrire son nom dhte ou dordinateur court ou non complet en tant que nom de domaine de niveau suprieur dans la zone racine. Cela se produit car, sans suffixe DNS configur pour lordinateur client, il dtermine que le nom court configur dun ordinateur (tel que hte-a) est son nom de domaine complet. Cela se produit uniquement car le nom dordinateur na aucun suffixe DNS ajouter afin de former un nom complet lors de linscription pour le client dans DNS. Pour mettre jour la configuration DNS dun client, vous devez effectuer lune des oprations suivantes : 309

configurer un suffixe DNS principal sur lordinateur client pour les clients TCP/IP statiques ; configurer un suffixe DNS spcifique la connexion pour une utilisation sur lune des connexions rseau installes sur lordinateur client.

Pour plus dinformations, voir Gestion des clients. Cause : le client DNS a tent de mettre jour ses informations auprs du serveur DNS mais il a chou suite un problme au niveau du serveur. Solution : si un client peut atteindre ses serveurs DNS prfr et secondaires comme configur, il est probable que la cause de ses checs de mise jour est li un autre aspect. Sur les ordinateurs clients Windows, vous pouvez utiliser lObservateurs dvnements pour vrifier si le journal Systme contient des messages dvnements expliquant pourquoi les tentatives de mise jour dynamique de ses enregistrements de ressources hte (A) et pointeur (PTR) par le client ont chou. Lors de lexamen des messages du journal Systme, filtrez ou triez laffichage de tous les messages afin dafficher les messages qui spcifient DnsApi comme source. En gnral, ces messages sont lis aux performances des activits DNS, telles que les requtes ou les mises jour dynamiques DNS. Lune des raisons courantes de lchec des mises jour pour un client mobile est que le serveur DNS requis pour accepter ou effectuer la mise jour ne rpond pas lorsque le client dmarre un emplacement distant sur le rseau. Cela peut tre d des problmes de performances rseau ou peut indiquer un problme au niveau de la conception sous-jacente de votre rseau. Lorsque ces problmes persistent ou semblent probables, examinez votre dploiement DNS et modifiez-le en consquence. Pour plus dinformations, voir Prsentation de la mise jour dynamique.

Le serveur DNS neffectue pas de mise jour dynamique.


Cause : le serveur DNS ne prend pas en charge les mises jour dynamiques. Solution : vrifiez que le serveur DNS utilis par le client peut prendre en charge le protocole de mise jour dynamique DNS, comme dcrit dans la RFC 2136. Si vous utilisez dautres serveurs sur votre rseau, vrifiez quils excutent une implmentation de serveur DNS qui prend en charge les mises jour dynamiques. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Cause : le serveur DNS prend en charge les mises jour dynamiques, mais il nest pas configur pour les accepter. Solution : vrifiez que la zone principale o les clients requirent des mises jour est configure pour autoriser les mises jour dynamiques. 310

Par dfaut, une nouvelle zone principale naccepte pas les mises jour dynamiques. Sur le serveur DNS qui charge la zone principale applicable, modifiez les proprits de zone afin dautoriser les mises jour. Pour plus dinformations, voir Autoriser les mises jour dynamiques. Cause : la base de donnes de zone nest pas disponible. Solution : vrifiez que la zone est disponible pour la mise jour. Tout dabord, si ncessaire, vrifiez que la zone existe. Pour une zone standard principale, vrifiez que le fichier de zone existe sur le serveur et que la zone nest pas suspendue (en pause). Si vous utilisez des zones intgres aux services de domaine Active Directory (AD DS), vrifiez que le serveur DNS sexcute en tant que contrleur de domaine et quil a accs la base de donnes Active Directory dans laquelle les donnes de zone sont stockes. Les zones secondaires ne prennent pas en charge les mises jour dynamiques. Si vous tentez de dterminer quel serveur est le serveur principal pour une zone standard, examinez les enregistrements dautorit de zone afin de dterminer quel serveur est rfrenc dans les enregistrements de source de noms (SOA) et de serveur de noms (NS) pour la zone. Il sagit du serveur principal pour la zone qui peut accepter les mises jour dynamiques de cette zone. Si ncessaire, vous pouvez utiliser le Gestionnaire DNS pour changer une zone secondaire en zone principale de sorte quelle soit compatible avec les mises jour dynamiques. Toutefois, les zones principales standard utilisant un modle de mise jour matre unique, vous ne pouvez configurer quun seul serveur pouvant accepter les mises jour dynamiques de la zone. Si vous modifiez le type de zone sur un serveur secondaire de sorte quil devienne le serveur principal pour cette zone, vous devez supprimer la zone ou la convertir en un autre type (par exemple une zone secondaire) sur le serveur principal dorigine. Autrement, les donnes de zone deviennent incohrentes et provoquent des problmes supplmentaires. Si vous souhaitez que plusieurs serveurs DNS puissent mettre jour une zone, nous vous conseillons de modifier le type de zone afin de lintgrer aux services de domaine Active Directory. Pour que ce type de zone soit utilis, les services de domaine Active Directory doivent tre installs et lordinateur serveur doit tre promu en contrleur de domaine. Une fois la zone stocke dans lannuaire, dautres contrleurs de domaine peuvent charger la zone automatiquement et sont autoriss la mettre jour lorsquils excutent le service Serveur DNS. Cela est d au fait que les services de domaine Active Directory prennent en charge un modle de mise jour matres multiples (ou flottants), dans lequel plusieurs ordinateurs peuvent traiter les mises jour de la base de donnes dannuaire. Pour plus dinformations, voir Modifier le type de zone, Ajout de zones et Prsentation de lintgration aux services de domaine Active Directory. Cause : le serveur DNS est configur de faon autoriser uniquement les mises jour dynamiques scurises et il existe un problme li la scurit.

311

Solution : vrifiez que la scurit de zone ou denregistrement de ressource ne bloque ou nempche pas les mises jour dynamiques sur le serveur. La mise jour scurise peut tre active pour les zones intgres lannuaire et leurs enregistrements de ressources. Si la mise jour dynamique scurise est en vigueur pour une zone intgre lannuaire, seuls les utilisateurs, groupes ou ordinateurs qui disposent dautorisations dcriture peuvent ajouter des enregistrements de ressources la zone. Si la mise jour dynamique scurise est en vigueur pour des enregistrements de ressources, seuls les utilisateurs, groupes ou ordinateurs qui disposent dautorisations dcriture peuvent mettre jour ces enregistrements de ressources. En consquence, la scurit peut bloquer ou empcher un client DNS (ou son serveur DHCP) deffectuer une mise jour de ses enregistrements de ressources hte (A) et pointeur (PTR). Dans la plupart des cas, la mise jour dynamique scurise nempche pas la cration ou lajout de nouveaux enregistrements une zone, mais elle limite la catgorie dutilisateurs disposant dautorisations par dfaut pour la mise jour ou la modification des enregistrements. Si ncessaire, vous pouvez utiliser les fonctionnalits de modification de liste de contrle daccs disponibles pour les zones intgres lannuaire afin de modifier les autorisations de scurit sur une zone ou ses enregistrements de ressources et dactiver la mise jour par un autre utilisateur, groupe ou ordinateur. En gnral, cela est ncessaire uniquement si lordinateur qui demande la mise jour nest pas celui qui est propritaire des enregistrements client et qui les a crs initialement. Pour plus dinformations, voir Prsentation de la mise jour dynamique. Cause : le serveur DNS requis pour effectuer les mises jour nest pas disponible sur le rseau. Solution : vrifiez que le serveur DNS est disponible sur le rseau ou tentez de rsoudre tout problme supplmentaire le cas chant. Pour plus dinformations, voir Dpannage des serveurs DNS.

Je rencontre un autre problme li aux mises jour dynamiques que ceux dcrits ici.
Cause : mon problme nest pas dcrit ici. Solution: recherchez sur le site Web TechNet (http://go.microsoft.com/fwlink/?LinkId=170) (ventuellement en anglais) les informations techniques les plus rcentes pouvant avoir un rapport avec votre problme. Si ncessaire, vous pouvez obtenir des informations et des instructions lies votre problme. Si vous tes connect Internet, les mises jour de systme dexploitation les plus rcentes sont disponibles sur le site Web Microsoft Update (http://go.microsoft.com/fwlink/? LinkId=284) (ventuellement en anglais).

312

Rsolution des problmes de zone


Quels sont les problmes rencontrs ?

Jai un problme li aux transferts de zone. Jessaie dutiliser une dlgation de zone, mais elle semble tre rompue. Jai un problme de zone autre que ceux dcrits ici.

Jai un problme li aux transferts de zone.


Cause : le service Serveur DNS est arrt ou la zone est suspendue. Solution : vrifiez que les serveurs DNS (Domain Name System) matre (source) et secondaire (de destination) impliqus dans le transfert de la zone sont tous deux dmarrs et que la zone nest pas suspendue sur lun des serveurs. Pour plus dinformations, voir Dmarrer ou arrter un serveur DNS, Suspendre une zone ou remettre une zone en service et Prsentation des zones. Cause : les serveurs DNS qui ont t utiliss durant un transfert nont aucune connectivit rseau entre eux. Solution : liminez la possibilit dun problme de connectivit rseau de base entre les deux serveurs. laide de la commande ping, contactez chaque serveur DNS par son adresse IP partir de son homologue distant. Par exemple, sur le serveur source, utilisez la commande ping pour tester la connectivit IP avec le serveur de destination. Sur le serveur de destination, rptez le test ping en remplaant ladresse IP par celle du serveur source. Les deux tests ping doivent russir. Dans le cas contraire, vous devez rsoudre les problmes de connectivit rseau intermdiaire. Cause : le numro de srie est identique sur les serveurs source et de destination. La valeur tant identique sur les deux serveurs, aucun transfert de zone na lieu entre les serveurs. Solution : laide du Gestionnaire DNS, effectuez les tches suivantes : 1. Augmentez la valeur du numro de srie de la zone sur le serveur matre (source) un nombre suprieur la valeur sur le serveur secondaire (de destination) applicable. 2. Aprs cela, initiez le transfert de zone sur le serveur secondaire. Lorsque vous travaillez dans le Gestionnaire DNS, vous pouvez afficher le numro de srie de zone sous longlet Source de noms (SOA) dans les proprits de la zone. Pour augmenter ce nombre dans la zone, cliquez sur Incrmenter. 313

Cause : le serveur matre (source) et son serveur secondaire (de destination) cible ont des problmes lis linteroprabilit. Solution : tudiez les causes possibles des ventuels problmes lis linteroprabilit entre les serveurs DNS excutant Windows Server 2008 et dautres implmentations de serveur DNS, telles quune version antrieure de la distribution BIND (Berkeley Internet Name Domain). Les anciens serveurs BIND utilisent un format de transfert de zone non compress. Par dfaut, les serveurs excutant Windows Server 2008 (et les serveurs BIND de version ultrieure) utilisent un format compress plus rapide durant les transferts de zone. Pour permettre les transferts de zone avec les anciens serveurs BIND, vous devez modifier des options de serveur avances sur vos serveurs Windows Server 2008. Un autre problme dinteroprabilit possible est li lutilisation et linclusion denregistrements de ressources de recherche directe WINS (Windows Internet Name Service) dans une zone ou leur homologue, lenregistrement de ressource WINS de recherche inverse (WINS-R) utilis pour les zones de recherche inverse. Les serveurs BIND ne reconnaissent pas ces enregistrements lorsquils sont inclus dans des donnes de zone transfres et ils peuvent marquer ces enregistrements comme donnes incorrectes, ce qui peut faire chouer le transfert de zone. Pour empcher que ces enregistrements soient utiliss ou inclus dans des transferts de zone vers des serveurs BIND et autres serveurs qui ne les reconnaissent pas, slectionnez loption Ne pas rpliquer cet enregistrement lors de la configuration des proprits WINS dans la zone applicable. Pour plus dinformations, voir Activer DNS de faon utiliser la rsolution WINS. Cause : la zone possde des enregistrements de ressources ou autres donnes qui ne peuvent pas tre interprtes par le serveur DNS. Solution : vrifiez que la zone ne contient pas de donnes incompatibles, telles que des erreurs de donnes ou des types denregistrements de ressources non pris en charge. Dans la plupart des cas, le service Serveur DNS prend en charge tous les types denregistrements de ressources approuvs et ncessaires pour une utilisation DNS de norme Internet. Vrifiez galement que le serveur na pas t configur au pralable pour empcher le chargement dune zone lorsque des donnes incorrectes sont dtectes et examinez sa mthode de vrification des noms. Vous pouvez configurer ces paramtres avec le Gestionnaire DNS. Cause : les donnes de zone faisant autorit sont incorrectes. Solution : si un transfert de zone continue dchouer, assurez-vous que la zone ne contient pas de donnes non standard.

314

Si vous modifiez manuellement des fichiers de zones, sachez que les enregistrements doivent tre mis en forme et utiliss conformment des directives dutilisation et de mise en forme denregistrements standard spcifies dans les RFC (Request for Comments) relatives DNS. Dans la plupart des cas, les erreurs de donnes et dentre utilisateur peuvent tre vites si les enregistrements sont ajouts et grs avec le Gestionnaire DNS. Pour dterminer si un chec de transfert de zone peut tre d des donnes de zone incorrectes, vrifiez la prsence de messages dans le journal des vnements du serveur DNS. Vous pouvez galement utiliser la commande nslookup avec loption -ls pour simuler et tester un transfert de zone, tout en observant si les donnes retournes se terminent avant que le transfert complet soit achev.

Jessaie dutiliser une dlgation de zone, mais elle semble tre rompue.
Cause : les dlgations de zone ne sont pas configures correctement. Solution : examinez la faon dont les dlgations de zone sont utilises et rvisez vos configurations de zone le cas chant. Les zones contiennent des informations relatives aux domaines et sous-domaines DNS. Pour chaque nouvelle zone que vous crez, la zone commence initialement comme base de donnes nud unique pour un domaine DNS. Selon les besoins, de nouveaux nuds de sousdomaine peuvent tre ajouts directement sous le domaine dorigine (parent) et stocks en tant que zone unique. Parfois, lorsque de nouveaux sous-domaines demeurent dans la mme zone, on les dnomme sous-zones . Sils sont utiliss comme sous-zones, les nouveaux sous-domaines sont conservs dans le cadre de la zone et rpliqus et mis jour avec la zone en tant quentit unique. Vous pouvez toutefois dlguer les sous-domaines et les grer dans leur propre zone. Pour chaque sousdomaine dlgu sa propre zone, des enregistrements de dlgation doivent tre ajouts la zone parente. Vous pouvez utiliser lAssistant Nouvelle dlgation du Gestionnaire DNS pour simplifier lajout de ces enregistrements. Pour plus dinformations, voir Prsentation de la dlgation de zone et Crer une dlgation de zone.

Jai un problme de zone autre que ceux dcrits ici.


Cause : mon problme nest pas dcrit ci-dessus. Solution: recherchez sur le site Web TechNet (http://go.microsoft.com/fwlink/?LinkId=170) (ventuellement en anglais) les informations techniques les plus rcentes pouvant avoir un rapport avec votre problme. Si ncessaire, vous pouvez obtenir des informations et des instructions lies votre problme. Si vous tes connect Internet, les mises jour de systme dexploitation les plus rcentes sont disponibles sur le site Web Microsoft Update (http://go.microsoft.com/fwlink/? LinkId=284) (ventuellement en anglais). 315

Outils DNS
316

Il existe plusieurs utilitaires pour ladministration, le contrle et le dpannage des serveurs et des clients DNS (Domain Name System), dont les suivants :

Le Gestionnaire DNS (DNS dans le menu Outils dadministration). Des utilitaires en ligne de commande, tels que Nslookup, que vous pouvez utiliser pour rsoudre les problmes lis DNS. Des fonctionnalits de journalisation, telles que le journal de serveur DNS, que vous pouvez afficher laide du Gestionnaire DNS ou de lObservateur dvnements. Vous pouvez galement utiliser momentanment des journaux bass sur fichiers en guise doption de dbogage avance afin denregistrer et de tracer des vnements de service slectionns. Des utilitaires de contrle des performances, tels que des compteurs statistiques permettant de mesurer et danalyser lactivit des serveurs DNS laide du Moniteur systme. Windows Management Instrumentation (WMI), une technologie standard daccs aux informations de gestion dans un environnement dentreprise. Kit de dveloppement Platform SDK.

Gestionnaire DNS
Le principal outil de gestion des serveurs DNS est le Gestionnaire DNS, le composant logiciel enfichable DNS dans la console MMC (Microsoft Management Console), qui apparat sous le nom DNS dans Outils dadministration dans le menu Dmarrer. Vous pouvez utiliser le Gestionnaire DNS avec dautres composants logiciels enfichables dans la console MMC afin dintgrer davantage ladministration DNS dans votre gestion rseau globale. Il est galement disponible dans le Gestionnaire de serveur sur les ordinateurs sur lesquels le rle Serveur DNS est install. Vous pouvez utiliser le Gestionnaire DNS pour effectuer les tches dadministration de serveur de base suivantes :

excution de la configuration initiale dun nouveau serveur DNS ; connexion et gestion dun serveur DNS local sur le mme ordinateur ou de serveurs DNS distants sur dautres ordinateurs ; ajout et suppression de zones de recherche directe et inverse, selon les besoins ; ajout, suppression et mise jour denregistrements de ressources dans des zones ; modification de la manire dont les zones sont stockes et rpliques entre les serveurs ; modification de la manire dont les serveurs traitent les requtes et grent les mises jour dynamiques ; modification de la scurit pour des zones ou des enregistrements de ressources spcifiques.

Vous pouvez galement utiliser le gestionnaire DNS pour effectuer les tches suivantes :

Effectuer des oprations de maintenance sur le serveur. Vous pouvez dmarrer, arrter, suspendre ou reprendre le serveur ou mettre jour des fichiers de donnes de serveur manuellement. 317

Contrler le contenu du cache de serveur et, le cas chant, leffacer. Affiner des options de serveur avances. Configurer et effectuer des oprations dantriorit et de nettoyage des enregistrements de ressources prims stocks par le serveur.

Vous pouvez en outre utiliser le Gestionnaire DNS partir dune station de travail afin dadministrer des serveurs DNS distance. Important Vous pouvez utiliser le Gestionnaire DNS uniquement pour grer des serveurs DNS excutant des systmes dexploitation Windows Server. La console ne peut pas tre utilise pour grer dautres serveurs DNS, tels que des serveurs BIND.

Utilitaires de ligne de commande


Il existe plusieurs utilitaires de ligne de commande permettant de grer et de dpanner les serveurs et les clients DNS. Le tableau suivant dcrit chacun de ces utilitaires, que vous pouvez excuter soit en les tapant une invite de commandes, soit en les entrant dans des fichiers de commandes pour une utilisation dans des scripts.

Commande Nslookup

Description Effectue des tests de requte de lespace de noms de domaine DNS. Interface de ligne de commande pour la gestion des serveurs DNS. Cet utilitaire est idal pour lcriture de fichiers de commandes afin dautomatiser les tches de gestion DNS de routine ou pour effectuer une installation et une configuration simples et sans assistance de nouveaux serveurs DNS sur votre rseau. Affiche et modifie les dtails de configuration IP utiliss par lordinateur. Des options de ligne de commande supplmentaires sont fournies avec cet utilitaire afin daider au dpannage et la prise en charge des clients DNS.

Dnscmd

Ipconfig

Utilitaires danalyse des vnements


La famille Windows Server 2008 inclut deux options danalyse des serveurs DNS :

Enregistrement par dfaut des messages dvnements de serveur DNS dans le journal de serveur DNS. Les messages dvnements de serveur DNS sont spars et conservs dans leur propre journal des vnements systme, le journal de serveur DNS, que vous pouvez afficher laide du Gestionnaire DNS ou de lObservateur dvnements. Le journal de serveur DNS contient les vnements enregistrs par le service Serveur DNS. Par exemple, lorsque le serveur DNS dmarre ou sarrte, un message dvnement correspondant est crit dans ce journal. La plupart des vnements de service Serveur DNS critiques supplmentaires sont galement enregistrs cet 318

endroit, par exemple lorsque le serveur dmarre mais ne peut trouver les donnes dinitialisation et les informations de zone ou damorage stockes dans le Registre ou (dans certains cas) les services de domaine Active Directory (AD DS). Vous pouvez utiliser lObservateur dvnements pour afficher et analyser les vnements DNS lis aux clients. Ces vnements apparaissent dans le journal Systme et sont crits par le service Client DNS sur tout ordinateur excutant Windows (toutes versions).

Options de dbogage facultatives pour lenregistrement des traces dans un fichier texte sur lordinateur serveur DNS. Vous pouvez galement utiliser le Gestionnaire DNS pour activer de manire slective des options de journalisation de dbogage supplmentaires pour lenregistrement de traces temporaire de lactivit de serveur DNS dans un fichier texte. Le fichier cr et utilis pour cette fonctionnalit, Dns.log, est stock dans le dossier %systemroot %\System32\Dns.

Utilitaires danalyse des performances


Vous pouvez analyser les performances des serveurs DNS laide de compteurs supplmentaires spcifiques aux services qui mesurent les performances des serveurs DNS. Ces compteurs sont accessibles par le biais du Moniteur systme, fourni avec le composant logiciel enfichable Performance. Lorsque vous utilisez le Moniteur systme, vous pouvez crer des tableaux et des graphiques des tendances de performances des serveurs au fil du temps pour tout serveur DNS. Ces tableaux et graphiques peuvent tre tudis et analyss afin de dterminer si un rglage supplmentaire des serveurs est ncessaire. Grce la mesure et lexamen des mtriques de serveurs sur une priode spcifique, il est possible de dterminer des points de rfrence de performances et de dcider si des rglages supplmentaires peuvent tre effectus afin doptimiser le systme.

WMI (Windows Management Instrumentation)


WMI est limplmentation Microsoft de WBEM (Web-Based Enterprise Management), une initiative visant dvelopper une technologie standard pour laccs aux informations de gestion dans un environnement dentreprise. WMI utilise la norme industrielle CMI (Common Information Model) pour reprsenter les systmes, applications, rseaux, priphriques et autres composants grs dans un environnement dentreprise. Pour plus dinformations sur WMI, visitez la page, ventuellement en anglais, traitant de Windows Management Instrumentation (WMI) (http://go.microsoft.com/fwlink/?LinkID=80947).

Kit de dveloppement Platform SDK


Les ordinateurs qui excutent un produit de la famille Windows Server 2008 procurent des fonctions permettant aux programmeurs dapplications dutiliser DNS, par exemple deffectuer des requtes DNS, de comparer des enregistrements et de rechercher des noms par programme. 319

Les composants DNS programmables sont conus pour une utilisation par les programmeurs C/C++. Une bonne connaissance de la mise en rseau et de DNS est requise. Les programmeurs doivent connatre la suite de protocoles IP, ainsi que le protocole DNS et les oprations DNS.

Interface utilisateur : Serveur DNS


Feuille de proprits <Nom_Serveur_DNS> Feuille de proprits < Nom_Zone > Bote de dialogue Avanc (WINS) Bote de dialogue Enregistrement de serveur de messagerie (MX) Bote de dialogue Enregistrement de ressource de nouvelle adresse ATM (ATMA) Bote de dialogue Nouvel hte Bote de dialogue Nouvel enregistrement de serveur de noms

320

Bote de dialogue Notifier Bote de dialogue Vieillissement de serveur/Proprits de nettoyage Bote de dialogue Engistrement de ressource demplacement du service (SRV) Bote de dialogue Vieillissement de zone/Proprits de nettoyage

Feuille de proprits <Nom_Serveur_DNS>


lment Interfaces Dtails Utilisez cet onglet pour slectionner les adresses IP que le serveur DNS (Domain Name System) utilisera pour couter les requtes DNS. Utilisez cet onglet pour spcifier les serveurs DNS auxquels ce serveur transfrera les requtes lorsquil sera dans lincapacit de les rsoudre lui-mme. Lutilisation de redirecteurs empche ce serveur dutiliser la rcursivit pour rsoudre les requtes DNS. Utilisez cet onglet pour effectuer les actions suivantes :

Redirecteurs

Avanc

321

afficher le numro de version du serveur ; dfinir des options de serveur avances ; slectionner le type de vrification de nom effectuer pour toutes les zones. Slectionnez lemplacement o le serveur obtient les donnes de zone lors de son dmarrage. Activez et configurez les paramtres de nettoyage par dfaut.

Indications de racine

Utilisez cet onglet pour spcifier les serveurs utiliser pour les indications de racine lorsque aucun redirecteur nest configur ou ne rpond.

Enregistrement de Utilisez cet onglet pour configurer lenregistrement de niveau paquet dbogage des fins de dbogage. Enregistrement des Utilisez cet onglet pour spcifier les types dvnements qui seront vnements enregistrs dans le journal des vnements DNS. Analyse Utilisez cet onglet pour effectuer des tests afin de vrifier si la configuration de serveur est correcte.

Feuille de proprits < Nom_Zone >


Vous pouvez utiliser les contrles de cette feuille de proprits pour administrer les proprits dune zone spcifique. Le tableau suivant rpertorie les onglets qui peuvent figurer dans la feuille de proprits de zone, selon le type de zone.

lment Gnral

Dtails Utilisez cet onglet pour afficher ltat de la zone et pour configurer les proprits de zone suivantes :

322

Proprits dantriorit et de nettoyage par dfaut Mises jour dynamiques Type de zone (y compris le stockage ventuel de la zone dans les services de domaine Active Directory (AD DS) ou dans un fichier) tendue de la rplication (zones intgres Active Directory uniquement) Serveurs matres (zones secondaires et zones de stub uniquement)

Utilisez cet onglet pour configurer lenregistrement SOA de la zone. Lenregistrement SOA spcifie les lments suivants pour la zone :

Serveur principal Adresse de messagerie de ladministrateur de zone Valeurs dexpiration de zone secondaire Valeurs de dure de vie (TTL) minimales par dfaut pour les enregistrements de ressources de zone.

Source de noms (SOA)

Serveurs de noms

Utilisez cet onglet pour grer la liste de noms de serveurs de rfrence pour la zone. Utilisez cet onglet pour activer et grer la rsolution de noms WINS (Windows Internet Name Service) pour la zone. Cet onglet nest pas disponible pour les zones de stub.

WINS

Utilisez cet onglet pour activer la rplication des donnes de zone vers dautres Transferts de serveurs et pour spcifier les serveurs qui peuvent recevoir des donnes de zone zone. Cet onglet nest pas disponible pour les zones de stub. Utilisez cet onglet pour spcifier les comptes dutilisateurs qui peuvent tre utiliss pour accder la zone et le type daccs autoriser pour chaque compte. Cet onglet est disponible uniquement pour les zones intgres Active Directory.

Scurit

Bote de dialogue Avanc (WINS)


lment Dtails

Dlai Permet de taper une valeur de dure de vie (TTL) pouvant tre utilise par dexpiration du dautres serveurs DNS (Domain Name System) et certains clients DNS afin cache de dterminer pendant combien de temps ils sont autoriss mettre en 323

cache les informations dans cet enregistrement de ressource retournes par le biais de lutilisation de lintgration de recherche WINS (Windows Internet Name Service). Le format de la dure doit tre en jours (JJJJJ), heures (HH), minutes (MM) et secondes (SS). Permet de spcifier pendant combien de temps le serveur attend une rponse Dlai de WINS avant de retourner un message derreur Nom introuvable au dexpiration de demandeur. Le format de la dure doit tre en jours (JJJJJ), heures (HH), la recherche minutes (MM) et secondes (SS).

Bote de dialogue Enregistrement de serveur de messagerie (MX)


324

lment

Dtails Nom en une seule partie dun serveur de messagerie dans cette zone. Si vous devez ajouter ici un nom contenant un point (.) afin dindiquer le nom dun niveau de domaine supplmentaire, ajoutez dabord le domaine supplmentaire sparment dans le Gestionnaire DNS, puis ajoutez l un nouvel enregistrement de serveur de messagerie (MX) en tant que nom en une seule partie. Nom de domaine auquel cet enregistrement de ressource sapplique. Le nom de domaine complet (FQDN) identifie de manire unique larborescence hirarchique DNS en spcifiant une liste de noms spars par des points, dans le chemin daccs, du domaine ou hte rfrenc vers la racine.

Hte ou domaine enfant

Nom de domaine pleinement qualifi (FQDN)

Nom de domaine complet dun hte acceptant dassumer la fonction de serveur de messagerie pour le propritaire spcifi dans Hte ou domaine enfant. Il peut sagir de tout nom reconnu par DNS comme Nom de domaine le nom complet et valide dun ordinateur dhte excutant un serveur pleinement qualifi de messagerie. Le nom que vous tapez ici doit tre rsolu en un (FQDN) pour le enregistrement de ressource hte (A) correspondant dans cette zone. serveur de messagerie Si vous avez des doutes concernant le nom de domaine complet utiliser, cliquez sur Parcourir pour rechercher ce nom dans lespace de noms DNS. Chiffre compris entre 0 et 65535 qui indique la priorit du serveur de messagerie par rapport aux autres serveurs de messagerie. Les serveurs rfrencs dans des enregistrements de serveur de messagerie (MX) avec un chiffre faible sont prioritaires par rapport ceux affects dun chiffre lev. La prfrence ou priorit la plus leve pour un serveur de messagerie est accorde lorsquune valeur de zro (0) est utilise. Priorit du serveur de Lorsque plusieurs enregistrements de serveur de messagerie (MX) sont prsents, le service de messagerie tente tout dabord de remettre messagerie le courrier au serveur de messagerie ayant le chiffre de prfrence le plus faible. Si la remise choue, le serveur de messagerie affect du chiffre de prfrence suivant est utilis. Si plusieurs serveurs de messagerie partagent le mme chiffre de prfrence, le service de messagerie en choisit un de manire alatoire.

325

Bote de dialogue Enregistrement de ressource de nouvelle adresse ATM (ATMA)


lment Dtails

Nom en une seule partie dun hte ATM (Asynchronous Transfer Mode) dans cette zone. Si vous devez ajouter ici un nom contenant un point (.) Hte (utilise le afin dindiquer le nom dun niveau de domaine supplmentaire, ajoutez domaine parent si dabord le domaine supplmentaire sparment dans le Gestionnaire ce champ est vide) DNS, puis ajoutez l un nouvel enregistrement dadresse ATM (ATMA) en tant que nom en une seule partie. Nom de domaine auquel cet enregistrement de ressource sapplique. Le Nom de domaine nom de domaine complet (FQDN) identifie de manire unique pleinement qualifi larborescence hirarchique DNS en spcifiant une liste de noms spars (FQDN) par des points, dans le chemin daccs, du domaine ou hte rfrenc vers la racine. E164 spcifie que votre hte ATM utilise le format dadresse E.164 pour les adresses ATM. Mise en forme NSAP spcifie que votre hte ADM utilise des adresses conformes au modle dadresse NSAP (Network Service Access Protocol) pour les adresses ATM. Ladresse ATM (ATMA) de lhte ATM sur votre rseau.

Valeur

326

Bote de dialogue Nouvel hte


lment Dtails Nom en une partie dun hte (ordinateur ou autre priphrique) dans cette zone. Si cette zone est vierge, le nom dhte est identique au nom de domaine parent. Si vous devez ajouter ici un nom contenant un point (.) afin dindiquer le nom dun niveau de domaine supplmentaire, ajoutez dabord le domaine supplmentaire sparment dans le Gestionnaire DNS, puis ajoutez l un nouvel enregistrement hte en tant que nom en une partie. Nom de domaine auquel cet enregistrement de ressource sapplique. Le nom de domaine complet (FQDN) identifie de manire unique larborescence hirarchique DNS en spcifiant une liste de noms spars par des points, dans le chemin daccs, du domaine ou hte rfrenc vers la racine. Vous permet de taper ladresse IP de lhte que vous spcifiez dans Nom. Le serveur DNS ne tente pas de vrifier lexistence de lhte reprsent par cette adresse IP. Si vous spcifiez une adresse IPv4 (Internet Protocol version 4), le serveur DNS cre un enregistrement de ressource hte (A). Si vous spcifiez une adresse IPv6 (Internet Protocol version 6), le serveur DNS cre un enregistrement de ressource hte IPv6 (AAAA).

Nom (utilise le domaine parent si ce champ est vide)

Nom de domaine pleinement qualifi (FQDN)

Adresse IP

Cre un enregistrement de ressource dans la zone de recherche inverse. Un enregistrement de ressource pointeur Crer un pointeur (PTR) mappe un nom de domaine DNS invers sur la base de denregistrement PTR associ ladresse IP dun ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur. Autoriser tout utilisateur identifi mettre jour les enregistrements DNS avec le mme nom de propritaire Lorsque cette option est slectionne, elle autorise la mise jour dynamique de lenregistrement de ressource. Lorsque la mise jour est effectue, lhte qui demande la mise jour obtient lautorisation de modifier lenregistrement de ressource, mais toutes les autres autorisations non administratives sont supprimes de la liste de contrle daccs qui protge lenregistrement de ressource. Ladministrateur peut ainsi crer un enregistrement de 327

ressource scuris pour un hte qui nest pas encore en ligne tout en autorisant la mise jour dynamique de lenregistrement de ressource lorsque lhte obtient son adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol).

Bote de dialogue Nouvel enregistrement de serveur de noms


lment Dtails Rsout le nom de domaine complet de lordinateur serveur spcifi en son adresse IP, vrifie que le serveur est un serveur de noms, puis lajoute la liste dadresses IP. Rpertorie les adresses IP qui seront utilises par le nouveau serveur de noms pour rpondre aux requtes DNS (Domain Name System). Pour ajouter une adresse, cliquez nimporte o dans la liste, puis tapez ladresse. Supprime ladresse IP slectionne de la liste de serveurs de noms. Dplace ladresse IP slectionne vers le haut ou le bas de la liste.

Rsoudre

Adresses IP de cet enregistrement NS

Supprimer Haut Bas

328

Bote de dialogue Notifier


lment Notifier automatiquement Dtails Lorsque cette option est slectionne, elle indique que les serveurs secondaires spcifis doivent tre informs des mises jour de zones.

Les serveurs lists dans Lorsque cette option est slectionne, elle indique que tous les longlet Serveurs de serveurs secondaires doivent tre informs des mises jour de noms zones. Lorsque cette option est slectionne, elle rpertorie les serveurs secondaires qui sont informs des mises jour de zones. Pour ajouter un serveur la liste, cliquez sur la liste, tapez ladresse IP ou le nom DNS (Domain Name System) du serveur, puis cliquez de nouveau sur la liste pour rsoudre et vrifier le serveur.

Les serveurs suivants

329

Bote de dialogue Vieillissement de serveur/Proprits de nettoyage


Lorsque vous configurez les paramtres suivants pour les proprits de serveur, ils sappliquent comme valeur par dfaut pour toutes les zones. Lorsque vous les configurez dans une zone spcifique, ils sappliquent uniquement celle-ci.

lment Nettoyer les enregistrements de ressources obsoltes Intervalle de nonactualisation

Dtails Spcifie si les enregistrements de ressources obsoltes doivent tre supprims de la base de donnes DNS (Domain Name System). Spcifie un intervalle, en jours ou heures. Lorsquun enregistrement est actualis, il nest pas ractualis tant que cet intervalle ne sest pas coul. Spcifie la dure minimale durant laquelle les enregistrements de ressources doivent rester dans la base de donnes DNS aprs lexpiration de lintervalle de non-actualisation. Cet intervalle ne doit pas tre infrieur la priode dactualisation maximale pour tout enregistrement de ressource. Sur la plupart des rseaux, cet intervalle correspond lintervalle de renouvellement de bail DHCP (Dynamic Host Configuration Protocol). Pour les serveurs DHCP excutant Windows Server, lintervalle de renouvellement par dfaut est de quatre jours.

Actualiser

330

Bote de dialogue Engistrement de ressource demplacement du service (SRV)


lment Domaine Dtails Nom de domaine complet du domaine auquel cet enregistrement de ressource sapplique. Nom symbolique universel du service TCP/IP, tel que _telnet ou _smtp , devant tre servi par cet enregistrement. Protocole de transport utilis par ce service. Dans la plupart des cas, cette valeur est Protocole TCP (Transmission Control Protocol) ou Protocole UDP (User Datagram Protocol), bien que dautres protocoles de transport puissent tre utiliss sils sont implments pour votre rseau. Nombre compris entre 0 et 65 535 qui indique la priorit ou le niveau de prfrence accord pour cet enregistrement lhte spcifi dans Hte offrant ce service. Priorit indique la priorit de cet hte par rapport aux autres htes dans ce domaine qui offrent le mme

Service

Protocole

Priorit

331

service et qui sont spcifis par des enregistrements de ressources Emplacement du service (SRV) diffrents. Plus le nombre est bas, plus la priorit est leve. La priorit ou prfrence la plus leve est accorde lhte (offrant le service spcifi dans cet enregistrement) ayant une valeur de priorit nulle (0). Lorsque plusieurs enregistrements de ressources Emplacement du service (SRV) sont prsents pour un service spcifique, lhte ayant le chiffre de prfrence le plus bas est dabord offert aux clients DNS (Domain Name System). Si cet hte choue ou est inaccessible, cest lhte spcifi dans lenregistrement SRV ayant le chiffre de prfrence suivant qui est utilis. Si plusieurs htes rpertoris dans lenregistrement de ressource Emplacement du service (SRV) pour un service spcifi partagent le mme chiffre de prfrence, les clients DNS peuvent tenter dutiliser les htes de prfrence gale dans un ordre alatoire. Nombre compris entre 1 et 65 535 utiliser comme mcanisme dquilibrage de la charge. Lorsque vous effectuez une slection parmi plusieurs htes SRV cibles pour le type de service (spcifi dans Service) qui utilisent le mme nombre Priorit, vous pouvez utiliser ce champ pour affecter une prfrence des htes spcifiques. Lorsque plusieurs htes partagent une mme priorit, les htes spcifis dans lenregistrement SRV ayant une valeur de poids plus leve doivent tre retourns en premier aux clients de rsolution dans les rsultats de requte SRV. Nous vous conseillons dutiliser une valeur de 0 (aucun poids) lorsque lquilibrage de la charge nest pas ncessaire. Cela permet de rduire la dure de traitement des requtes SRV et rend les enregistrements de ressources SRV plus lisibles. Port de serveur TCP/IP sur lhte qui offre le service spcifi dans Service sur lhte cible spcifi dans Hte offrant ce service. Les numros de port sont compris dans la plage 0-65 535. Ce nombre est souvent un numro de port rserv bien connu (mais cela nest pas obligatoire), conformment au document RFC 1700 intitul Assigned Numbers . Selon la valeur spcifie dans Protocole pour cet enregistrement, le numro de port peut reprsenter un port TCP ou UDP.

Poids

Numro de port

332

Hte offrant ce service

Nom de domaine complet de lhte cible qui fournit le type de service TCP/IP dcrit dans Service. Le nom doit correspondre un enregistrement de ressource hte (A) valide dans lespace de noms de domaine DNS. Si vous utilisez cet endroit un nom de domaine complet cible constitu dun seul point ( . ), cela indique aux programmes de rsolution DNS (clients) qui demandent ce type de service que ce service nest pas disponible pour ce domaine.

Lorsque cette option est slectionne, elle autorise la mise jour dynamique de lenregistrement de ressource. Lorsque la mise jour est effectue, lhte qui demande la mise jour obtient lautorisation de Autoriser tout utilisateur identifi modifier lenregistrement de ressource, mais toutes les mettre jour tous les autres autorisations non administratives sont enregistrements DNS avec le mme supprimes de la liste de contrle daccs qui protge nom. Ce paramtre sapplique lenregistrement de ressource. Ladministrateur peut uniquement aux enregistrements ainsi crer un enregistrement de ressource scuris DNS pour un nouveau nom. pour un hte qui nest pas encore en ligne tout en autorisant la mise jour dynamique de lenregistrement de ressource lorsque lhte obtient son adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol).

Bote de dialogue Vieillissement de zone/Proprits de nettoyage


Lorsque vous configurez les paramtres suivants pour les proprits de serveur, ils sappliquent comme valeur par dfaut pour toutes les zones. Lorsque vous les configurez dans une zone spcifique, ils sappliquent uniquement celle-ci.

lment Nettoyer les enregistrements de ressources obsoltes Intervalle de nonactualisation Actualiser

Dtails Spcifie si les enregistrements de ressources obsoltes doivent tre supprims de la base de donnes DNS (Domain Name System). Spcifie un intervalle, en jours ou heures. Lorsquun enregistrement est actualis, il nest pas ractualis tant que cet intervalle ne sest pas coul. Spcifie la dure minimale durant laquelle les enregistrements doivent rester dans la base de donnes DNS aprs lexpiration de lintervalle

333

de non-actualisation. Cet intervalle ne doit pas tre infrieur la priode dactualisation maximale pour tout enregistrement de ressource. Sur la plupart des rseaux, cet intervalle correspond lintervalle de renouvellement de bail DHCP (Dynamic Host Configuration Protocol). Pour les serveurs DHCP excutant Windows Server 2008, lintervalle de renouvellement de bail par dfaut est de quatre jours.

334