Vous êtes sur la page 1sur 832

PRODUIT

OFFICIEL

DE

6238B

FORMATION

PRODUIT OFFICIEL DE 6238B FORMATION MICROSOFT Configuration et résolution des problèmes des services de domaine Active

MICROSOFT

Configuration et résolution des problèmes des services de domaine Active Directory ® Windows Server ® 2008

Volume 2

Active Directory ® Windows Server ® 2008 Volume 2 N'oubliez pas d'accéder au contenu de formation

N'oubliez pas d'accéder au contenu de formation supplémentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.

ii

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Les informations contenues dans ce document, y compris les URL et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur en vigueur dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ni introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans l'autorisation écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

Les noms des fabricants, des produits ou des URL sont fournis uniquement à titre indicatif et Microsoft ne fait aucune déclaration et exclut toute garantie légale, expresse ou implicite, concernant ces fabricants ou l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou produit n'implique pas l'approbation par Microsoft de ce fabricant ou de ce produit. Des liens vers des sites Web tiers peuvent être fournis. Ces sites ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable de leur contenu ni des liens qu'ils sont susceptibles de proposer, ni des modifications ou mises à jour de ces sites. Microsoft n'est pas responsable de la diffusion sur le Web ou de toute autre forme de transmission reçue d'un site auquel ces liens renvoient. Microsoft fournit ces liens dans un souci pratique et l'insertion de tout lien n'implique pas l'approbation par Microsoft du site en question ou des produits qu'il contient.

© 2010 Microsoft Corporation. Tous droits réservés.

Microsoft, Access, Active Directory, ActiveX, Excel, Forefront, Hyper-V, Internet Explorer, MS, MSDN, Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visual Studio, Windows, Windows Live, Windows Mobile, Windows NT, Windows Server et Windows Vista sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis et/ou dans d’autres pays.

Toutes les autres marques sont la propriété de leurs détenteurs respectifs.

Référence : 6238B

Réf. n° : X16-99428

Publié le : 09/2010

TERMES DU CONTRAT DE LICENCE MICROSOFT PRODUITS OFFICIELS DE FORMATION MICROSOFT – ÉDITION INSTRUCTEUR – Versions précommerciales et finales

Les présents termes ont valeur de contrat entre Microsoft Corporation et vous. Lisez-les attentivement. Ils portent sur le Contenu sous licence visé ci-dessus, y compris le support sur lequel vous l’avez reçu, le cas échéant. Ce contrat porte également sur les produits Microsoft suivants :

les mises à jour,

les suppléments,

les services Internet et

les services d’assistance

de ce Contenu sous licence à moins que d’autres termes n’accompagnent ces produits, auquel cas ces derniers prévalent.

En utilisant le Contenu sous licence, vous acceptez ces termes. Si vous êtes en désaccord avec ces termes, n’utilisez pas le Contenu sous licence.

Si vous vous conformez aux présents termes du contrat de licence, vous disposez des droits stipulés ci-dessous.

1. DÉFINITIONS.

a. La « Documentation de formation » signifie la documentation imprimée ou sous forme électronique, comme les manuels, cahiers d’exercice, livres blancs, communiqués de presse, feuilles de données et forums aux questions, qui peut être incluse dans le Contenu sous licence.

b. Un « Centre de formation agréé » signifie un centre partenaire Microsoft Certified Partner approuvé MLSC (Microsoft Learning Solutions Competency), un centre IT Academy, ou toute autre entité désignée occasionnellement par Microsoft.

c. Une « Session de formation agréée » signifie une session de formation agréée par Microsoft et organisée dans ou par un Centre d’apprentissage agréé, dirigée par un formateur qui dispense une formation à des Stagiaires exclusivement sur les Produits officiels de formation Microsoft (« Official Microsoft Learning Products », anciennement appelés cours officiels Microsoft ou MOC, « Microsoft Official Curriculum ») et les produits Microsoft Dynamics (anciennement appelés cours Microsoft Business Solutions). Chaque Session de formation agréée dispensera une formation sur l’objet d’un (1) Cours.

d. Un « Cours » signifie l’un des cours utilisant un Contenu sous licence proposés par un Centre de formation agréé dans le cadre d’une Session de formation agréée, chacune dispensant une formation sur un domaine particulier lié à une technologie Microsoft.

e. Un « Dispositif » signifie un ordinateur, un périphérique, une station de travail, un terminal ou tout autre dispositif électronique numérique ou analogique.

f. Le « Contenu sous licence » signifie les supports qui accompagnent les présents termes du contrat de licence. Le Contenu sous licence peut inclure, notamment, les éléments suivants : (i) Le Contenu du formateur, (ii) le Contenu du stagiaire, (iii) le guide d’installation de la classe et (iv) le Logiciel. Les composants du Contenu sous licence sont différents et distincts pour chaque Cours.

g. Le « Logiciel » signifie les Machines virtuelles et les Disques durs virtuels ou toute autre application logicielle pouvant être incluse dans le Contenu sous licence.

h. Un « Stagiaire » signifie un stagiaire dûment inscrit à une Session de formation agréée dans votre centre.

i. Le « Contenu du stagiaire » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Stagiaires et les Formateurs durant une Session de formation agréée. Le Contenu du stagiaire peut inclure des ateliers, des simulations et des fichiers spécifiques à chaque Cours.

j. Un « Formateur » signifie a) une personne dûment certifiée par Microsoft en tant que formateur MCT (Microsoft Certified Trainer) et b) toute autre personne autorisée officiellement par Microsoft et qui a été chargée par un Centre d’apprentissage agréé de dispenser une Session de formation agréée à des Stagiaires pour son compte.

k. Le « Contenu du formateur » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Formateurs et les Stagiaires, selon le cas, uniquement durant une Session de formation agréée. Le Contenu du formateur peut inclure les Machines virtuelles, les Disques durs virtuels, les fichiers Microsoft PowerPoint, les notes de l’instructeur ainsi que les guides de démonstration et les fichiers script requis pour chaque Cours.

l. Les « Disques durs virtuels » signifient le Logiciel Microsoft constitué des disques durs virtuels (comme un disque dur virtuel de base ou des disques différents) pour une Machine virtuelle qui peut être chargé sur un seul ordinateur ou tout autre dispositif afin de permettre aux utilisateurs finals d’exécuter plusieurs systèmes d’exploitation simultanément. Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

m. La « Machine virtuelle » signifie une expérience informatique virtuelle, obtenue à l’aide du logiciel Microsoft® Virtual PC ou Microsoft® Virtual Server qui se compose d’un environnement matériel virtuel, d’un ou de plusieurs disques durs virtuels ainsi que d’un fichier de configuration définissant les paramètres de l’environnement matériel virtuel (par exemple, la RAM). Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

n. Le terme « vous » signifie le Centre de formation agréé ou le Formateur, selon le cas, qui a accepté les présents termes du contrat de licence.

2. PRÉSENTATION.

Contenu sous licence. Le Contenu sous licence inclut le Logiciel, la Documentation de formation (en ligne et sous forme électronique), le Contenu du formateur, le Contenu du stagiaire, le guide d’installation de la classe et les supports associés.

Modèle de licence. Le Contenu sous licence est concédé sous licence en vertu d’une licence par Centre de formation agréé ou par Formateur.

3. INSTALLATION ET DROITS D’UTILISATION.

a. Centres de formation agréés et Formateurs : Pour chaque Session de formation agréée, vous êtes autorisé à :

i.

soit installer, sur les Dispositifs de la classe, des copies individuelles du Contenu sous licence correspondant qui seront utilisées uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de copies utilisées ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation ; SOIT

ii. installer une copie du Contenu sous licence correspondant sur un serveur réseau qui sera accessible uniquement par les Dispositifs de la classe et qui sera utilisée uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de Dispositifs qui accèdent au Contenu sous licence sur le serveur ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation.

iii. autoriser les Stagiaires dûment inscrits à la Session de formation agréée et le Formateur dispensant cette formation à utiliser le Contenu sous licence que vous installez selon (i) ou (ii) ci-dessus durant une Session de formation agréée, conformément aux présents termes du contrat de licence.

iv. Dissociation de composants. Les composants du Contenu sous licence sont concédés sous licence en tant qu’unité unique. Vous n’êtes pas autorisé à dissocier les composants et à les installer sur différents Dispositifs.

v. Programmes de tiers. Le Contenu sous licence peut également contenir des programmes tiers. L’utilisation de ces programmes tiers sera régie par les présents termes du contrat de licence, à moins que d’autres termes n’accompagnent ces programmes.

b. Formateurs :

i. Les Formateurs sont autorisés à utiliser le Contenu sous licence que vous installez ou qui est installé par un Centre de formation agréé sur un Dispositif de la classe dans le cadre d’une Session de formation agréée.

ii. Les Formateurs sont également autorisés à utiliser une copie du Contenu sous licence, comme indiqué ci-après :

A. Dispositif concédé sous licence. Le Dispositif concédé sous licence est celui sur lequel vous utilisez le Contenu sous licence. Vous êtes autorisé à installer et à utiliser une copie du Contenu sous licence sur le Dispositif sous licence uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

B. Dispositif portable. Vous êtes autorisé à installer une autre copie du Contenu sous licence sur un dispositif portable uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

4. VERSIONS PRÉCOMMERCIALES. Si le Contenu sous licence est une version précommerciale (« version bêta »), les présents termes s’appliquent en plus des termes de ce contrat :

a. Contenu sous licence en version précommerciale. Ce Contenu sous licence est une version précommerciale. Il peut ne pas contenir les mêmes informations et/ou ne pas fonctionner comme une version finale du Contenu sous licence. Nous sommes autorisés à le changer pour la version commerciale finale. Nous sommes également autorisés à ne pas éditer de version commerciale. Vous devez informer clairement et de façon visible les Stagiaires qui participent à chaque Session de formation agréée de ce qui précède ; et vous ou Microsoft n’avez aucune obligation de leur fournir un contenu supplémentaire, notamment, de manière non limitative, la version finale du Contenu sous licence du Cours.

b. Commentaires. Si vous acceptez de faire part à Microsoft de vos commentaires concernant le Contenu sous licence, vous concédez à Microsoft, gratuitement, le droit d’utiliser, de partager et de commercialiser vos commentaires de quelque manière et à quelque fin que ce soit. Vous concédez également à des tiers, gratuitement, les droits de brevet nécessaires pour que leurs produits, technologies et services puissent être utilisés ou servir d’interface avec toute partie spécifique d’un logiciel, Contenu sous licence ou service Microsoft qui inclut ces commentaires. Vous ne fournirez pas de commentaires faisant l’objet d’une licence qui impose à Microsoft de concéder sous licence son logiciel ou sa documentation à des tiers parce que nous y incluons vos commentaires. Ces droits survivent au présent contrat.

c. Informations confidentielles. Le Contenu sous licence, y compris la visionneuse, l’interface utilisateur, les fonctionnalités et la documentation pouvant être incluses dans le Contenu sous licence, est confidentiel et la propriété de Microsoft et de ses fournisseurs.

i. Utilisation. Pendant cinq ans après l’installation du Contenu sous licence ou de sa commercialisation, selon la date la plus proche, vous n’êtes pas autorisé à divulguer des informations confidentielles à des tiers. Vous êtes autorisé à divulguer des informations confidentielles uniquement à vos employés et consultants qui en ont besoin. Vous devez avoir conclu avec eux des accords écrits qui protègent les informations confidentielles au moins autant que le présent contrat.

ii. Maintien en vigueur de certaines clauses. Votre obligation de protection des informations confidentielles survit au présent contrat.

iii. Exclusions. Vous êtes autorisé à divulguer des informations confidentielles conformément à une ordonnance judiciaire ou gouvernementale. Vous devez en informer par avance Microsoft afin de lui permettre de demander une ordonnance protectrice ou de trouver un autre moyen de protéger ces informations. Les informations confidentielles n’incluent pas les informations

qui ont été portées à la connaissance du public sans qu’il y ait eu violation de l’obligation de confidentialité ;

que vous avez reçues d’un tiers qui n’a pas violé ses obligations de confidentialité à l’égard de Microsoft ou de ses fournisseurs ; ou

que vous avez développées en toute indépendance.

d. Durée. Le présent contrat pour les versions précommerciales est applicable jusqu’à (i) la date d’expiration qui vous est communiquée par Microsoft pour l’utilisation de la version bêta, ou (ii) la commercialisation du Contenu sous licence, selon la date la plus proche (la « durée de la bêta »).

e. Utilisation. Dès l’expiration ou la résiliation de la durée de la bêta, vous devrez cesser d’utiliser les copies de la version bêta et détruire toutes les copies en votre possession ou sous votre contrôle et/ou en possession ou sous le contrôle d’un Instructeur qui a reçu des copies de la version précommerciale.

f. Copies. Microsoft informera les Centres de formation agréés s’ils sont autorisés à effectuer des copies de la version bêta (version imprimée et/ou sur CD) et à les distribuer aux Stagiaires et/ou Instructeurs. Si Microsoft autorise cette distribution, vous devrez vous conformer aux termes supplémentaires fournis par Microsoft concernant lesdites copies et distribution.

5.

CONDITIONS DE LICENCE ET/OU DROITS D’UTILISATION SUPPLÉMENTAIRES.

a. Centres de formation agréés et Formateurs :

i. Logiciel.

Disques durs virtuels. Le Contenu sous licence peut inclure des versions de Microsoft XP, Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 et Windows 2000 Advanced Server et/ou d’autres produits Microsoft qui sont fournis dans les Disques durs virtuels.

A. Si les Disques durs virtuels et les ateliers sont lancés avec le lanceur d’ateliers Microsoft Learning Lab Launcher, ces termes s’appliquent :

Logiciel temporaire. Si le Logiciel n’est pas réinitialisé, il cessera de fonctionner à l’issue de la durée indiquée lors de l’installation de Machines virtuelles (entre trente et cinq cents jours après son installation). Vous ne recevrez pas de notification avant l’arrêt du logiciel. Une fois que le logiciel ne fonctionnera plus, vous risquez de ne plus pouvoir accéder aux données utilisées ou aux informations enregistrées avec les Machines virtuelles et de devoir rétablir l’état d’origine de ces Machines virtuelles. Vous devez supprimer le Logiciel des Dispositifs à la fin de chaque Session de formation agréée, et le réinstaller et le lancer avant le début de chaque nouvelle Session de formation agréée.

B. Si les Disques durs virtuels nécessitent une clé de produit pour être lancés, ces termes s’appliquent :

Microsoft désactivera le système d’exploitation associé à chaque Disque dur virtuel. Pour installer un Disque dur virtuel sur des Dispositifs de la classe dans le cadre d’une Session de formation agréée, vous devrez au préalable activer le système d’exploitation du Disque dur virtuel en utilisant la clé de produit correspondante fournie par Microsoft.

C. Ces termes s’appliquent à l’ensemble des Machines virtuelles et des Disques durs virtuels :

Vous êtes autorisé à utiliser les Machines virtuelles et les Disques durs virtuels uniquement si vous vous conformez aux termes et conditions du présent contrat de licence ainsi qu’aux conditions de sécurité suivantes :

o

Vous ne pouvez pas installer des Machines virtuelles et des Disques durs virtuels sur des Dispositifs portables ou des Dispositifs qui sont accessibles via d’autres réseaux.

o

Vous devez supprimer les Machines virtuelles et les Disques durs virtuels des Dispositifs de la classe à la fin de chacune des Sessions de formation agréées, à l’exception de celles dispensées dans les centres Microsoft Certified Partner approuvés MLSC.

o

Vous devez supprimer les différentes portions de disque des Disques durs virtuels de tous les Dispositifs de la classe à la fin de chaque Session de formation agréée dispensée dans les centres Microsoft Certified Partner approuvés MLSC.

o

Vous devez vous assurer que les Machines virtuelles et les Disques durs virtuels ne sont pas copiés ou téléchargés à partir de Dispositifs sur lesquels ils ont été installés.

o

Vous devez respecter strictement toutes les instructions Microsoft relatives à l’installation, à l’utilisation, à l’activation et la désactivation, et à la sécurité des Machines virtuelles et des Disques durs virtuels.

o

Vous n’êtes pas autorisé à modifier les Machines virtuelles et les Disques durs virtuels ou le contenu y figurant.

o

Vous n’êtes pas autorisé à reproduire ou à redistribuer les Machines virtuelles ou les Disques durs virtuels.

ii. Guide d’installation de la classe. Vous devez vous assurer que le Contenu sous licence qui sera utilisé durant une Session de formation agréée est installé conformément au guide d’installation de la classe associé au Cours.

iii. Éléments multimédias et modèles. Vous pouvez autoriser les Formateurs et les Stagiaires à utiliser des photographies, images clip art, animations, sons, musiques, formes, clips vidéo et modèles inclus avec le Contenu sous licence uniquement dans le cadre d’une Session de formation agréée. Les Formateurs qui possèdent leur propre copie du Contenu sous licence sont autorisés à se servir des éléments multimédias aux seules fins de leur formation personnelle.

iv. Logiciel d’évaluation. Tout Logiciel inclus dans le Contenu du stagiaire et désigné comme « Logiciel d’évaluation » peut être utilisé par les Stagiaires uniquement pour les besoins de leur formation personnelle en dehors de la Session de formation agréée.

b. Formateurs uniquement :

i. Utilisation des modèles de diapositives PowerPoint. Le Contenu du formateur peut comprendre des diapositives Microsoft PowerPoint. Le Formateur est autorisé à utiliser, copier et modifier les diapositives PowerPoint dans le seul but de dispenser une Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que la modification des diapositives ne constitue pas la création d’œuvres obscènes ou diffamatoires, telles qu’elles sont définies par la législation fédérale au moment de leur création ; et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

ii. Utilisation des Composants de formation inclus dans le Contenu du formateur. Pour chaque Session de formation agréée, les Formateurs sont autorisés à personnaliser et à reproduire, conformément aux termes du contrat MCT, les composants du Contenu sous licence qui sont associés logiquement à la Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que les personnalisations ou les reproductions ne soient utilisées qu’aux seules fins de dispenser une Session de formation agréée et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

iii. Documentation de formation. Si le Contenu sous licence inclut une Documentation de formation, vous êtes autorisé à copier et à utiliser cette Documentation. Vous n’êtes pas autorisé à modifier la Documentation de formation ni à imprimer un ouvrage (version électronique ou imprimée) dans son intégralité. Si vous reproduisez une Documentation de formation, vous acceptez ces termes :

Vous pouvez utiliser la Documentation de formation aux seules fins de votre utilisation ou formation personnelle.

Vous ne pouvez pas rééditer ni publier la Documentation de formation sur un ordinateur du réseau, ni la diffuser sur un support.

Vous devez ajouter la mention de droits d’auteur d’origine de la Documentation de formation ou celle de Microsoft sous la forme ci-dessous :

Forme de mention :

© 200X [Note to MS Learning: Insert correct date] Réimprimé avec

l’autorisation de Microsoft Corporation pour usage personnel uniquement. Tous droits réservés.

Microsoft, Windows et Windows Server sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États- Unis d’Amérique et/ou dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans les présentes sont des marques de leurs propriétaires respectifs.

6. SERVICES INTERNET. Microsoft peut fournir des services Internet avec le Contenu sous licence. Ils peuvent être modifiés ou interrompus à tout moment. Vous n’êtes pas autorisé à utiliser ces services de quelque manière que ce soit qui pourrait leur porter atteinte ou perturber leur utilisation par un autre utilisateur. Vous n’êtes pas autorisé à tenter d’accéder de façon non autorisée aux services, données, comptes ou réseaux de toute autre manière.

7. PORTEE DE LA LICENCE. Le Contenu sous licence n’est pas vendu, mais concédé sous licence. Le présent contrat vous confère certains droits d’utilisation du Contenu sous licence. Microsoft se réserve tous les autres droits. Sauf si la loi en vigueur vous confère d’autres droits, nonobstant la présente limitation, vous n’êtes autorisé à utiliser le Contenu sous licence qu’en conformité avec les termes du présent contrat. À cette fin, vous devez vous conformer aux restrictions techniques contenues dans le Contenu sous licence qui vous permettent de l’utiliser d’une certaine façon. Vous n’êtes pas autorisé à :

installer, sur des Dispositifs de la classe, plus de copies du Contenu sous licence que le nombre de Stagiaires plus le Formateur présents dans la Session de formation agréée ;

permettre l’accès au Contenu sous licence sur le serveur réseau, le cas échéant, par davantage de Dispositifs de la classe que le nombre de Stagiaires dûment inscrits à la Session de formation agréée plus le Formateur dispensant cette formation.

copier ou reproduire le Contenu sous licence sur un autre serveur ou site en vue d’une nouvelle reproduction ou redistribution ;

révéler à des tiers les résultats des tests d’évaluation du Contenu sous licence sans l’accord écrit préalable de Microsoft ;

contourner les restrictions techniques figurant dans le Contenu sous licence ;

reconstituer la logique du Contenu sous licence, le décompiler ou le désassembler, sauf dans la mesure où ces opérations seraient expressément permises par la réglementation applicable nonobstant la présente limitation ;

effectuer plus de copies du Contenu sous licence que ce qui n’est autorisé dans le présent contrat ou par la réglementation applicable, nonobstant la présente limitation ;

publier le Contenu sous licence en vue d’une reproduction par autrui ;

transférer le Contenu sous licence, en totalité ou en partie, à un tiers ;

accéder ou utiliser un Contenu sous licence pour lequel vous (i) ne dispensez pas de Cours et/ou (ii) n’avez pas obtenu l’autorisation de Microsoft ;

louer ou prêter le Contenu sous licence ; ou

utiliser le Contenu sous licence pour des services d’hébergement commercial ou pour des besoins d’ordre général.

Les droits d’accès au logiciel serveur pouvant être inclus avec le Contenu sous licence, y compris les Disques durs virtuels, ne vous autorisent pas à exploiter des brevets appartenant à Microsoft ou tous autres droits de propriété intellectuelle de Microsoft sur le logiciel ou tous dispositifs qui peuvent accéder au serveur.

8. RESTRICTIONS À L’EXPORTATION. Le Contenu sous licence est soumis à la réglementation américaine en matière d’exportation. Vous devez vous conformer à toutes les réglementations nationales et internationales en matière d’exportation concernant le logiciel. Ces réglementations comprennent des restrictions sur les pays destinataires, les utilisateurs finaux et les utilisations finales. Des informations supplémentaires sont disponibles sur le site Internet www.microsoft.com/exporting.

9. LOGICIEL/CONTENU SOUS LICENCE EN REVENTE INTERDITE (« NOT FOR RESALE » OU « NFR »). Vous n’êtes pas autorisé à vendre un logiciel ou un Contenu sous licence portant la mention de revente interdite (« Not for Resale » ou « NFR »).

10. VERSION ÉDUCATION. Pour utiliser un Contenu sous licence portant la mention de Version Éducation (« Academic Edition » ou « AE »), vous devez avoir la qualité d’« Utilisateur Éducation Autorisé » (Qualified Educational User). Pour savoir si vous avez cette qualité, rendez-vous sur le site http://www.microsoft.com/france/licences/education ou contactez l’affilié Microsoft qui dessert votre pays.

11. RÉSILIATION. Sans préjudice de tous autres droits, Microsoft pourra résilier le présent contrat de licence si vous n’en respectez pas les termes et conditions. Si votre statut de Centre de formation agréé ou de Formateur a) expire, b) est volontairement résilié par vous-même et/ou c) est résilié par Microsoft, ce contrat expirera automatiquement. Après résiliation du présent contrat, vous devrez détruire tous les exemplaires du Contenu sous licence et tous ses composants.

12. INTÉGRALITÉ DES ACCORDS. Le présent contrat ainsi que les termes concernant les suppléments, les mises à jour, les services Internet et d’assistance technique que vous utilisez constituent l’intégralité des accords en ce qui concerne le Contenu sous licence et les services d’assistance technique.

13. DROIT APPLICABLE.

a. États-Unis. Si vous avez acquis le Contenu sous licence aux États-Unis, les lois de l’État de Washington, États-Unis d’Amérique, régissent l’interprétation de ce contrat et s’appliquent en cas de réclamation pour rupture dudit contrat, sans donner d’effet aux dispositions régissant les conflits de lois. Les lois du pays dans lequel vous vivez régissent toutes les autres réclamations, notamment les réclamations fondées sur les lois fédérales en matière de protection des consommateurs, de concurrence déloyale et de délits.

b. En dehors des États-Unis. Si vous avez acquis le Contenu sous licence dans un autre pays, les lois de ce pays s’appliquent.

14. EFFET JURIDIQUE. Le présent contrat décrit certains droits légaux. Vous pouvez bénéficier d’autres droits prévus par les lois de votre État ou pays. Vous pouvez également bénéficier de certains droits à l’égard de la partie auprès de laquelle vous avez acquis le Contrat sous licence. Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre État ou pays si celles-ci ne le permettent pas.

15. EXCLUSIONS DE GARANTIE. Le Contenu sous licence est concédé sous licence « en l’état ». Vous assumez tous les risques liés à son utilisation. Microsoft n’accorde aucune garantie ou condition expresse. Vous pouvez bénéficier de droits des consommateurs supplémentaires dans le cadre du droit local, que ce contrat ne peut modifier. Lorsque cela est autorisé par le droit local, Microsoft exclut les garanties implicites de qualité, d’adéquation à un usage particulier et d’absence de contrefaçon.

16. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE MICROSOFT ET DE SES FOURNISSEURS UNE INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITÉE À 5,00 $ U.S. VOUS NE POUVEZ PRÉTENDRE À AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES, Y COMPRIS LES DOMMAGES INDIRECTS, DE PERTES DE BÉNÉFICES, SPÉCIAUX OU ACCESSOIRES.

Cette limitation concerne :

toute affaire liée au Contenu sous licence, au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et

les réclamations pour rupture de contrat ou violation de garantie, les réclamations en cas de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la loi en vigueur.

Elle s’applique également même si Microsoft connaissait l'éventualité d'un tel dommage. La limitation ou exclusion ci-dessus peut également ne pas vous être applicable, car votre pays n’autorise pas l’exclusion ou la limitation de responsabilité pour les dommages indirects, accessoires ou de quelque nature que ce soit.

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

xiii

Remerciements

Microsoft ® Learning tient à remercier les personnes ci-dessous pour leur participation au développement de ce cours. La qualité de cette formation tient essentiellement à leur travail à chaque stade du développement.

Dan Holme – Expert technique

Diplômé de l'Université de Yale et de Thunderbird, Dan a été conseiller et formateur pendant 15 ans, en fournissant des solutions à des dizaines de milliers de professionnels de l'informatique des plus grandes entreprises et organisations du monde entier. La société de Dan, Intelliem, est un cabinet de conseil et de formation renommé dont les clients figurent dans le classement Fortune, ayant une expertise approfondie et une expérience étendue de Windows ® , Active Directory ® et Microsoft Office SharePoint ® . Basé dans la charmante ville de Maui, Dan voyage dans le monde entier pour assister ses clients et les former aux technologies Microsoft. Dan est également rédacteur en chef de la revue Windows IT Pro, MVP Microsoft (Windows Server ® Directory Services, 2007 et Office SharePoint Server, 2008-2009) et le responsable de la communauté SharePointProConnections.com. L'année dernière, Dan a publié deux ouvrages chez Microsoft Press : le Windows Administration Resource Kit et le kit de formation pour l'examen 70-640 MCTS, deux des meilleurs bestsellers des ouvrages Windows. Il élabore actuellement des solutions SharePoint pour la diffusion des Jeux Olympiques d'hiver 2010 de Vancouver en tant que consultant Microsoft Technologies pour NBC Olympics, une fonction qu'il a occupée l'année dernière à Pékin et auparavant à Turin.

Claudia Woods – Réviseur technique

Claudia est administratrice LAN et formatrice Systems Engineer and Technology depuis plus de 10 ans. Dans le cadre de ses fonctions, elle a conçu, implémenté et documenté des solutions technologiques pour divers clients. Claudia a également rédigé, édité et présenté des cours personnalisés sur les technologies pour diverses entités aux Etats-Unis. Elle participe régulièrement aux salons de l'informatique, tels que TechEd, MCT Summit et FOSE.

Originaire du sud-est des Etats-Unis, elle réside actuellement au Royaume-Uni. Elle est formatrice du personnel dans une entreprise internationale de formation aux technologies. Ses spécialisations Microsoft couvrent Windows Server, Active Directory et Exchange Messaging.

xiv

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Ryan Boswell – Réviseur technique

Ryan travaille comme ingénieur système, conseiller informatique et formateur technologique depuis plus de 10 ans. Il possède diverses certifications Microsoft, notamment plusieurs niveaux MCSE, MCTS, MCITP et MCT. Ses spécialisations incluent les technologies Windows Server, Active Directory, System Center Configuration Manager, System Center Operations Manager et Microsoft Hyper-V. Ryan réside à Denver dans le Colorado.

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

xv

Table des matières

Module 10 : Configuration du système DNS

Leçon 1 : Concepts, composants et processus DNS

10-4

Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS

10-26

Atelier pratique A : Installation du service DNS

10-39

Leçon 3 : AD DS, DNS et Windows

10-44

Leçon 4 : Configuration et administration avancées du système DNS

10-69

Atelier pratique B : Configuration avancée du système DNS

10-83

Module 11 : Administration des contrôleurs de domaine des services de domaine Active Directory® (AD DS)

Leçon 1 : Options d'installation des contrôleurs de domaine

11-4

Atelier pratique A : Installation des contrôleurs de domaine

11-33

Leçon 2 : Installation d'un contrôleur de domaine Server Core

11-41

Atelier pratique B : Installation d'un contrôleur de domaine Server Core

11-50

Leçon 3 : Gestion des maîtres d'opérations

11-55

Atelier pratique C : Transfert des rôles Maîtres d’opérations

11-74

Leçon 4 : Configuration de la réplication FS-R de SYSVOL

11-79

Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL

11-87

Module 12 : Gestion des sites et de la réplication Active Directory

Leçon 1 : Configuration des sites et des sous-réseaux

12-4

Atelier pratique A : Configuration des sites et des sous-réseaux

12-23

Leçon 2 : Configuration des partitions d'application et du catalogue global

12-27

Atelier pratique B : Configuration des partitions d'application et du catalogue global

12-42

Leçon 3 : Configuration de la réplication

12-48

Atelier pratique C : Configuration de la réplication

12-75

xvi

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 13 : Continuité du service d'annuaire

Leçon 1 : Surveillance d'Active Directory

13-4

Atelier pratique A : Surveillance des événements et des performances d'Active Directory

13-29

Leçon 2 : Gestion de la base de données Active Directory

13-48

Atelier pratique B : Gestion de la base de données Active Directory

13-66

Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine

13-74

Atelier pratique C : Sauvegarde et restauration d'Active Directory

13-89

Module 14 : Gestion de plusieurs domaines et forêts

Leçon 1 : Configuration des niveaux fonctionnels des domaines et des forêts

14-4

Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts

14-16

Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation

14-23

Atelier pratique B : Administration d'une relation d'approbation

14-70

Corrigés des ateliers pratiques

Atelier pratique du module 1 : Installation d'un contrôleur de domaine AD DS pour créer une seule forêt de domaines

L1-1

Atelier pratique A du module 2 : Création et exécution d'une console d'administration personnalisée

L2-11

Atelier pratique B du module 2 : Recherche d'objets dans Active Directory

L2-22

Atelier pratique C du module 2 : Utilisation des commandes des services de domaine pour administrer Active Directory

L2-31

Atelier pratique A du module 3 : Création et administration des comptes d'utilisateur

L3-37

Atelier pratique B du module 3 : Définition des attributs des objets utilisateur

L3-44

Atelier pratique C du module 3 : Automatisation de la création des comptes d'utilisateur

L3-54

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

xvii

Atelier pratique A du module 4 : Administration des groupes

L4-59

Atelier pratique B du module 4 : Meilleures pratiques de gestion des groupes

L4-68

Atelier pratique A du module 5 : Création d'ordinateurs et ajout au domaine

L5-73

Atelier pratique B du module 5 : Administration des objets et des comptes d'ordinateur

L5-86

Atelier pratique A du module 6 : Implémentation d'une stratégie de groupe

L6-93

Atelier pratique B du module 6 : Gestion des paramètres et des objets GPO

L6-98

Atelier pratique C du module 6 : Gestion de l'étendue d'une stratégie de groupe

L6-108

Atelier pratique D du module 6 : Résolution des problèmes d'application de stratégie

L6-118

Atelier pratique A du module 7 : Délégation du support technique des ordinateurs

L7-127

Atelier pratique B du module 7 : Gestion des paramètres de sécurité

L7-134

Atelier pratique C du module 7 : Gestion de logiciels avec GPSI

L7-150

Atelier pratique D du module 7 : Audit de l'accès aux systèmes de fichiers

L7-162

Atelier pratique A du module 8 : Délégation de l'administration

L8-171

Atelier pratique B du module 8 : Audit des modifications Active Directory

L8-184

Atelier pratique A du module 9 : Définition de stratégies de mots de passe et de verrouillage de comptes

L9-191

Atelier pratique B du module 9 : Audit de l'authentification

L9-200

Atelier pratique C du module 9 : Configuration des contrôleurs de domaine en lecture seule

L9-207

Atelier pratique A du module 10 : Installation du service DNS

L10-219

Atelier pratique B du module 10 : Configuration avancée du système DNS

L10-227

xviii

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Atelier pratique A du module 11 : Installation des contrôleurs de domaine

L11-237

Atelier pratique B du module 11 : Installation d'un contrôleur de domaine Server Core

L11-249

Atelier pratique C du module 11 : Transfert des rôles Maîtres d’opérations

L11-253

Atelier pratique D du module 11 : Configuration de la réplication FS-R de SYSVOL

L11-260

Atelier pratique A du module 12 : Configuration des sites et des sous-réseaux

L12-271

Atelier pratique B du module 12 : Configuration du catalogue global et des partitions d'application

L12-279

Atelier pratique C du module 12 : Configuration de la réplication

L12-285

Atelier pratique A du module 13 : Surveillance des événements et des performances d'Active Directory

L13-295

Atelier pratique B du module 13 : Gestion de la base de données Active Directory

L13-323

Atelier pratique C du module 13 : Sauvegarde et restauration d'Active Directory

L13-333

Atelier pratique A du module 14 : Augmenter les niveaux fonctionnels des domaines et des forêts

L14-343

Atelier pratique B du module 14 : Administration d'une relation d'approbation

L14-352

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-1

Module 10

Configuration du système DNS

Table des matières :

Leçon 1 : Concepts, composants et processus DNS

Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS

Atelier pratique A : Installation du service DNS

Leçon 3 : AD DS, DNS et Windows

Leçon 4 : Configuration et administration avancées du système DNS

Atelier pratique B : Configuration avancée du système DNS

10-4

10-26

10-39

10-44

10-69

10-83

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-2

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vue d'ensemble du module

Windows Server® 2008 Vue d'ensemble du module Windows® et les services Active Direct ory® dépendent

Windows® et les services Active Directory® dépendent fortement du système DNS (Domain Name System, ou Système de nom de domaine). Vous êtes très certainement familiarisé avec le système DNS car vous l'utilisez déjà en tant qu'informaticien qui assiste les utilisateurs, les applications, les services et les systèmes qui en dépendent. Dans ce module, vous allez découvrir comment implémenter DNS pour prendre en charge la résolution des noms au sein de votre domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de votre réseau intranet.

Objectifs

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

comprendre la structure, les rôles et le fonctionnement du système DNS ;

décrire les processus de résolution des noms de client et de serveur ;

installer le service DNS ;

gérer les enregistrements DNS ;

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-3

configurer les paramètres du serveur DNS ;

comprendre l'intégration entre AD DS et DNS ;

choisir un domaine DNS pour un domaine Active Directory ;

créer une délégation de zone pour un nouveau domaine Active Directory ;

configurer la réplication pour des zones intégrées à Active Directory ;

décrire l'objectif des enregistrements Service Locator (SRV) dans le processus de localisation des contrôleurs de domaine ;

comprendre le fonctionnement des serveurs DNS en lecture seule ;

comprendre et configurer la résolution des noms en une partie ;

configurer les paramètres avancés du serveur DNS ;

auditer, gérer et dépanner le rôle de serveur DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-4

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Leçon 1

Concepts, composants et processus DNS

Server® 2008 Leçon 1 Concepts, composants et processus DNS Le système DNS est un composant indispensable

Le système DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leçon, vous allez revoir le rôle, la structure et le fonctionnement du système DNS. Vous allez également examiner de manière approfondie les processus utilisés pour résoudre les requêtes DNS. Bien que la plupart de ces informations puissent vous sembler familières, cette leçon permettra de s'assurer que vous connaissez parfaitement les concepts et la terminologie du système DNS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

comprendre la structure, les rôles et le fonctionnement du système DNS ;

décrire les processus de résolution des noms de client et de serveur ;

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-5

Pourquoi utiliser le système DNS ?

du système DNS 10-5 Pourquoi utiliser le système DNS ? Points clés DNS sert à répondre

Points clés

DNS sert à répondre aux requêtes des clients qui demandent des informations sur les services et les systèmes distants. La plupart du temps, DNS sert à répondre à un client qui demande l'adresse d'un certain nom DNS.

Les utilisateurs, et donc les applications, ont tendance à préférer employer des noms pour faire référence à des systèmes. Les ordinateurs, pour leur part, se localisent mutuellement par leurs adresses IP. Le système DNS sert à convertir ou « résoudre » les noms en adresses. Par exemple, si un utilisateur affiche http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit

être converti pour obtenir l'adresse IP du serveur Web concerné. Le client interroge son serveur DNS et, suite à une série de processus qui seront expliqués tout au long de cette leçon, le serveur DNS renvoie l'adresse IP du serveur Web :

207.46.16.252.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-6

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Hiérarchie du système DNS

Windows Server® 2008 Hiérarchie du système DNS Points clés Les noms utilisés dans le système DNS

Points clés

Les noms utilisés dans le système DNS créent une hiérarchie, depuis une racine et en passant à travers une série d'espaces de noms appelés domaines pour atteindre un enregistrement individuel conduisant à un service ou un système (hôte). Pour les êtres humains, un nom tel que technet.microsoft.com se lit de gauche à droite, de sa partie la plus spécifique (le nom de l'hôte individuel), technet, jusqu'à sa partie la plus générique, com. Le nom peut être résolu en partant de la racine de l'espace de noms DNS jusqu'à la partie générique, le domaine du niveau supérieur (com), jusqu'au domaine plus générique (microsoft) pour arriver au nom d'hôte le plus spécifique (technet).

Les domaines du niveau supérieur (Top-level domains ou TLD) tels que .com sont réglementés de manière très stricte par les autorités qui régissent le réseau Internet. Il existe un nombre limité de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque pays possède également son propre TLD respectant sur les normes ISO, par exemple .us, .ca, .uk, .fr et .za.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-7

Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui est représentée par un point (« . »). Le point représentant la racine est généralement ignoré dans les noms DNS. Cependant, il est intéressant de savoir que le nom technet.microsoft.com pourrait être représenté plus précisément par technet.microsoft.com., avec son point final.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-8

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Zones

es de domaine Active Directory® Windows Server® 2008 Zones Points clés Pour qu'un serveur DNS puisse

Points clés

Pour qu'un serveur DNS puisse résoudre les requêtes des clients, par exemple en renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit posséder une base de données. Cette base de données est appelée zone. Une zone est une base de données qui prend en charge la résolution d'une certaine partie de l'espace de noms DNS, en commençant par un domaine spécifique tel que contoso.com.

Un serveur qui héberge une zone pour un domaine est qualifié de serveur faisant autorité pour ce domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-9

Enregistrements de ressource

du système DNS 10-9 Enregistrements de ressource Points clés Au sein d'une zone (la base de

Points clés

Au sein d'une zone (la base de données DNS) se trouvent des enregistrements appelés Enregistrements de ressource ou RR (Resource Records).

Il existe plusieurs types d'enregistrements de ressource, notamment :

Enregistrements d'adresse (A ou AAAA) (également appelés Hôte) : ces enregistrements résolvent un nom en adresse IP. Ils sont utilisés dans la requête DNS standard que vous associez au système DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6.

Les enregistrements à nom canonique (CNAME) (également appelés Alias) :

ces enregistrements font correspondre un alias avec un autre nom complet. Les enregistrements d'alias vous permettent d'associer plusieurs noms à un seul serveur. Ils vous évitent de devoir mettre à jour manuellement chaque enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant référence au serveur par son nom et non son adresse) continueront de fonctionner.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-10

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Enregistrements de serveur de messagerie (MX) : l'enregistrement MX contient le nom du serveur de messagerie d'un domaine. Vous pouvez considérer l'enregistrement MX comme un type d'alias, mais l'alias est toujours appelé MX. Ainsi, quelle que soit la langue ou la convention d'appellation utilisée par un domaine, son serveur de messagerie peut toujours être localisé par une requête de MX.domain.

Enregistrements du Service de nom (NS) : ces enregistrements pointent vers les serveurs DNS faisant autorité pour un domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-11

Gestion des enregistrements de ressource

système DNS 10-11 Gestion des enregistrements de ressource Points clés Les enregistrements des ressources d'une

Points clés

Les enregistrements des ressources d'une zone peuvent être créés et gérés manuellement par un administrateur.

Sinon, des mises à jour dynamiques peuvent être activées, au travers des systèmes capables d'inscrire leurs propres enregistrements DNS.

Si une zone est configurée pour les mises à jour dynamiques, il existe un risque de création d'enregistrements non autorisés. Par exemple, un individu peut créer un enregistrement appelé www et pointant vers un serveur autre que le serveur Web approprié pour un domaine. Il est alors question d'usurpation.

Pour réduire les risques d'usurpation, le système DNS de Windows Server prend en charge les mises à jour dynamiques sécurisées. Pour pouvoir actualiser la zone DNS, les clients doivent s'authentifier auprès du domaine et ne peuvent mettre à jour que leurs propres enregistrements DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-12

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Réplication d'une zone

Windows Server® 2008 Réplication d'une zone Points clés La base de données DNS, ou zone, est

Points clés

La base de données DNS, ou zone, est un composant important de toute infrastructure réseau. Comme tous les autres services sensibles, chaque organisation doit s'efforcer de posséder deux serveurs DNS disponibles pour ses clients afin de bénéficier de la redondance.

La base de données DNS peut être stockée et répliquée dans plusieurs serveurs DNS de l'une des deux manières suivantes :

Comme les autres implémentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut écrire dans la zone : celui qui héberge la zone principale. Les autres serveurs DNS copient la zone et en créent une copie en lecture seule appelée zone secondaire. Le processus de copie de la zone est appelé transfert de zone. Tout serveur DNS hébergeant une zone secondaire a besoin d'autorisations pour accéder au serveur à partir duquel il copie la zone.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-13

Lorsque des zones DNS sont hébergées par des contrôleurs de domaine, vous avez la possibilité de stocker leur contenu dans Active Directory lui-même, ce qui crée une zone intégrée à Active Directory. Les données de zone sont répliquées avec la même méthode multiples maîtres que les autres données Active Directory. Ceci s'avère particulièrement important lorsque les mises à jour dynamiques sont activées. En effet, les clients inscriront leurs enregistrements avec leur principal serveur DNS, qui est interne à leur site. Toute zone peut également être répliquée de manière incrémentielle : seuls les enregistrements qui ont été modifiés sont répliqués. Cette méthode est nettement plus efficace que le transfert de zone traditionnel de la totalité du fichier.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-14

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Sous-domaines

Active Directory® Windows Server® 2008 Sous-domaines Points clés Comme nous l'avons mentionné

Points clés

Comme nous l'avons mentionné précédemment, toute zone prend en charge la résolution d'une partie spécifique de l'espace de noms DNS, commençant par un domaine tel que contoso.com. Vous pouvez créer des sous-domaines dans une partie de l'espace de noms DNS pour laquelle vous faites autorité. Par exemple, si vous gérez l'espace de noms contoso.com, vous pouvez créer un sous-domaine appelé europe.contoso.com.

Il existe trois options pour créer un sous-domaine tel que europe.contoso.com :

Sous-domaine : une zone démarre au niveau d'un domaine et peut contenir un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle comprend tous les enregistrements nécessaires pour la résolution de ce sous-domaine, et le serveur DNS fait autorité pour ce sous-domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-15

Délégation : une délégation est un « lien » vers un sous-domaine, créé par un ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de noms faisant autorité pour ce sous-domaine. Tout enregistrement NS pointe vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si l'enregistrement NS pointe vers un nom, il doit également y avoir un enregistrement hôte (A) pour le serveur du domaine parent. Les enregistrements NS sont générés lorsque vous créez la délégation. Cependant, si vous devez changer les adresses IP ou les noms des serveurs de l'espace de noms, vous devez mettre les enregistrements NS à jour manuellement.

Zone de stub : une zone de stub est très similaire à une délégation. Cependant, les enregistrements NS qui pointent vers le serveur de noms sont mis à jour automatiquement dans la zone parente. Cela semble idéal pour gérer les sous-domaines hébergés dans des serveurs DNS distincts, et les zones de stub conviennent parfaitement dans de nombreux environnements. Toutefois, la mise à jour automatique des enregistrements NS exige que le port TCP 53 soit ouvert entre les serveurs de noms hôtes (parents) et tous les serveurs de noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous devez la remplacer par une délégation standard.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-16

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Placement des serveurs et des zones DNS

Server® 2008 Placement des serveurs et des zones DNS Points clés Dans tout environnement contenant plusie

Points clés

Dans tout environnement contenant plusieurs domaines, vous pouvez décider de placer des zones et des serveurs DNS de manière à optimiser la résolution des noms pour les clients, le trafic de réplication et la surcharge administrative.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-17

MCT UNIQUEMENT Configuration du système DNS 10-17 À gauche de l'illustration, il est possible de voir

À gauche de l'illustration, il est possible de voir que la zone parente possède une

délégation ou un domaine de stub qui pointe vers les serveurs de noms du domaine enfant. Les demandes d'enregistrements du domaine enfant sont résolues par le serveur DNS qui fait autorité pour ce domaine enfant. Les serveurs de noms peuvent se trouver en Europe afin de prendre en charge les requêtes des clients pour les serveurs et les services basés en Europe.

À droite de l'illustration, il est possible de voir que les serveurs DNS hébergent une

seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure augmente le trafic de réplication entre les deux serveurs DNS. Cependant, quel que soit leur emplacement, les clients sont capables de résoudre les noms de tous les domaines à partir du serveur DNS qui fait autorité pour leur emplacement géographique.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-18

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Client DNS (Solveur)

Directory® Windows Server® 2008 Client DNS (Solveur) Points clés Maintenant que vous savez comment l'espace

Points clés

Maintenant que vous savez comment l'espace des noms DNS est hébergé dans les zones des serveurs DNS et comment les domaines enfants sont pris en charge grâce à des délégations, des sous-domaines ou des zones de stub, vous êtes prêt à examiner en détail la manière dont un nom est résolu ou converti en adresse IP.

Lorsqu'une application cliente, telle que Microsoft® Internet Explorer®, doit se connecter à un hôte comme technet.microsoft.com, elle appelle l'API GetAddrInfo(), qui transmet le nom de l'hôte au service Client DNS.

Le service Client DNS commence par vérifier le cache de résolution DNS (base de données locale et gérée dynamiquement au niveau du client) pour savoir si ce nom a déjà été résolu précédemment. Le cache de résolution DNS est préchargé avec le contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque le cache est initialisé durant le démarrage du Client DNS et lorsque le fichier HOSTS est modifié. Dès qu'un nom est résolu avec succès, il est ajouté au cache de résolution DNS. Ainsi, la capacité du client DNS à résoudre les noms localement augmente avec le temps.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-19

Chaque enregistrement de ressource (RR) contient une valeur de durée de vie (TTL, time-to-live) qui détermine pendant combien de temps l'enregistrement va demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est retiré du cache.

Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu du cache de résolution DNS local, et la commande ipconfig /flushdns pour vider le cache et le recharger avec le contenu du fichier HOSTS.

Il est important de savoir que, si un client interroge un serveur DNS pour obtenir un enregistrement de l'hôte et que le serveur DNS renvoie une réponse négative, qui indique que l'enregistrement est introuvable, cette réponse négative est également mise en cache. Si vous créez un enregistrement hôte au niveau du serveur DNS et que vous réitérez la requête, le client échouera car il continue à récupérer cette réponse négative dans son cache jusqu'à ce qu'elle en soit supprimée. Dans ce cas, la commande ipconfig /flushdns peut servir à forcer le client à réinterroger le serveur DNS.

Vous pouvez utiliser la commande nslookup.exe pour interroger directement un serveur DNS, en contournant le cache de résolution DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-20

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Requête envoyée à un serveur DNS

Windows Server® 2008 Requête envoyée à un serveur DNS Points clés Si le service client DNS

Points clés

Si le service client DNS ne parvient pas à résoudre la requête à l'aide du cache de résolution DNS, il interroge le serveur DNS principal. La requête spécifie le type de l'enregistrement demandé (par exemple, une adresse, un hôte ou un enregistrement A) et le nom de l'enregistrement demandé (par exemple, technet.microsoft.com).

La requête envoyée au serveur DNS spécifie également si le client présente une requête itérative ou récursive. Les requêtes récursives sont les plus courantes. Elles sont envoyées par un client Windows à son serveur DNS. Les requêtes récursives demandent au serveur DNS de renvoyer une réponse définitive. Lorsqu'un serveur DNS reçoit une requête récursive, il interroge à son tour d'autres serveurs DNS à l'aide d'un processus qui sera décrit dans la prochaine section, jusqu'à ce qu'il soit en mesure de résoudre la requête de son client. Si le serveur DNS est incapable de résoudre la requête de son client, il renvoie une réponse négative, indiquant que le système de noms de domaine n'a aucun enregistrement correspondant à cette requête.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-21

Si le serveur DNS principal renvoie une réponse négative, indiquant que ce nom ne peut pas être résolu, le client DNS n'interroge pas le serveur DNS secondaire. Les autres serveurs DNS ne sont interrogés que si le serveur DNS principal n'est pas disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit en mesure de résoudre toutes les requêtes de tous les clients qui lui envoient des requêtes.

Les clients ont la possibilité d'envoyer une requête itérative. Le serveur DNS tente alors de résoudre la requête localement, à l'aide des processus qui seront décrits dans la prochaine section, et renvoie une résolution (le cas échéant) ou renvoie les informations les plus utiles dont il dispose.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-22

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Résolution par le serveur DNS

Windows Server® 2008 Résolution par le serveur DNS Points clés Dès qu'il reçoit une requête d'un

Points clés

Dès qu'il reçoit une requête d'un client, le serveur DNS commence par vérifier les zones hébergées localement. S'il y trouve une résolution, il la renvoie au client sous forme de réponse faisant autorité.

S'il n'y trouve aucune réponse, il vérifie alors ses Recherches mises en cache. À l'instar du client DNS, le serveur DNS construit un cache contenant les enregistrements des ressources déjà résolues. Ce cache est initialisé au démarrage du serveur et est alimenté par les enregistrements de ressource (RR) au fur et à mesure de leur résolution par les autres serveurs DNS. Chaque enregistrement est purgé dès que sa durée TTL est atteinte.

Si une résolution est découverte dans le cache, elle est renvoyée sous forme de réponse positive.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-23

Si aucune résolution n'est détectée et que le client a envoyé une requête itérative, le serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont il dispose. Par exemple, le serveur DNS n'a peut-être pas d'enregistrement RR mis en cache pour l'hôte demandé par le client, mais il peut en avoir un pour le serveur de noms du domaine parent de cet hôte. Dans le pire des cas, le serveur DNS peut indiquer au client de se référer à la liste des serveurs de noms de la racine : c'est-à- dire les serveurs DNS qui hébergent la racine (".") de l'espace de noms DNS. Le client accepte toute information renvoyée par le serveur DNS dans le cadre d'une requête itérative et exploite ces informations pour continuer à s'efforcer de résoudre le nom demandé.

Si le client a demandé une requête récursive, le serveur DNS poursuit son travail avec les processus décrits dans la prochaine section.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-24

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Récursivité

Active Directory® Windows Server® 2008 Récursivité Points clés Si le client a demandé une requête

Points clés

Si le client a demandé une requête récursive, le serveur DNS poursuit son traitement de la requête pour tenter de la résoudre. En réalité, le serveur DNS transmet la requête par proxy de la part du client. Il est alors question de récursivité.

Dans l'exemple de récursivité le plus extrême, le serveur DNS vient de démarrer et son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les serveurs de noms microsoft.com ou même .com.

Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la racine. Le serveur DNS possède la liste de ces serveurs de racine dans ses « indications de racine ». Il envoie alors au serveur DNS racine une requête itérative pour demander technet.microsoft.com.

Les serveurs DNS de la racine ne peuvent pas résoudre technet.microsoft.com. Cependant, ils possèdent dans leur zone les enregistrements NS des serveurs de noms du domaine .com. Ils renvoient alors ces informations en tant que référence. Voici un bon exemple de requête itérative : le serveur DNS racine renvoie sa meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-25

Ensuite, le serveur DNS envoie une autre requête itérative au serveur de noms du domaine .com. Là encore, le serveur ne parvient pas à résoudre technet.microsoft.com, mais il peut fournir des enregistrements NS pour microsoft.com comme référence.

Grâce à cette référence, le serveur DNS interroge le serveur de noms du domaine microsoft.com. Ce serveur DNS fait autorité (il héberge une zone) ou microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour l'enregistrement de l'hôte technet.microsoft.com.

Le serveur DNS met cette résolution en cache et la renvoie au client sous forme de réponse positive.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-26

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Leçon 2

Installation et configuration d'un système DNS dans un domaine AD DS

configuration d'un système DNS dans un domaine AD DS Maintenant que vous avez révisé les concep

Maintenant que vous avez révisé les concepts, la terminologie et les processus du système DNS et de la résolution des noms, vous êtes prêt à installer et configurer le rôle de serveur DNS dans un domaine AD DS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

installer le service DNS ;

ajouter des zones DNS ;

gérer les enregistrements DNS ;

configurer les paramètres du serveur DNS ;

configurer les paramètres du client DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-27

Installation et gestion du rôle de serveur DNS

DNS 10-27 Installation et gestion du rôle de serveur DNS Points clés Le rôle de serveur

Points clés

Le rôle de serveur DNS n'est pas installé par défaut dans Windows Server 2008. Comme d'autres fonctionnalités, il est ajouté lorsqu'un serveur est configuré pour tenir ce rôle.

Vous pouvez installer le rôle de serveur DNS à l'aide du lien Ajouter un rôle qui apparaît dans le Gestionnaire de serveur.

Le rôle de serveur DNS peut également être ajouté automatiquement par l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrôleur de domaine vous permet d'ajouter le rôle de serveur DNS.

Lorsque le rôle de serveur DNS sera installé, vous disposerez du composant logiciel enfichable DNS Manager pour l'ajouter à vos consoles administratives. Ce composant logiciel enfichable est également ajouté automatiquement aux consoles Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS distant, ajoutez les outils Remote Server Administrative à votre station de travail administrative fonctionnant sous Windows Vista® SP1 ou une version plus récente.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-28

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

L'outil administratif de ligne de commande dnscmd.exe est également ajouté. DNSCmd peut servir à créer des scripts et à automatiser la configuration du système DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? à l'invite de commande.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-29

Création d'une zone

Configuration du système DNS 10-29 Création d'une zone Points clés Après l'installation d'un serveur DNS,

Points clés

Après l'installation d'un serveur DNS, vous pouvez commencer à lui ajouter des zones.

Pour créer une zone, cliquez du bouton droit sur le nœud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle zone vous guide tout au long de la procédure de création d'une zone.

Vous pourrez choisir parmi les trois types de zones :

Zone principale : le serveur DNS pourra écrire dans cette zone.

Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une zone hébergée par un autre serveur DNS. La zone secondaire est en lecture seule.

Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs de noms d'un autre domaine. Les zones de stub sont traités en détail plus loin dans ce module.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-30

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vous pouvez également choisir de stocker les données de la zone dans Active Directory si le serveur DNS est un contrôleur de domaine. Cela crée une zone intégrée à Active Directory, sujet qui sera traité ultérieurement dans ce module. Si vous désactivez cette option, les données de la zone seront stockées dans un fichier et non dans Active Directory.

Après avoir choisi le type de votre zone, vous êtes invité à saisir son nom ou nom complet du domaine de la zone.

S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises à jour, comme décrit à la prochaine section.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-31

Création d'une zone avec mise à jour dynamique

10-31 Création d'une zone avec mise à jour dynamique Points clés Lorsque vous créez une zone,

Points clés

Lorsque vous créez une zone, vous êtes invité à spécifier si les mises à jour dynamiques sont prises en charge. Les mises à jour dynamiques réduisent la charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et mettre à jour leurs propres enregistrements de ressource.

Les mises à jour dynamiques laissent la porte ouverte aux risques d'usurpation des enregistrements de ressource. Par exemple, un ordinateur peut inscrire un enregistrement appelé www et rediriger efficacement le trafic de votre serveur Web vers une adresse incorrecte.

Pour éliminer les risques d'usurpation, le service de serveur DNS de Windows Server 2008 prend en charge les mises à jour dynamiques sécurisées. Tout client doit s'authentifier avant de mettre ses enregistrements de ressource à jour. Ainsi, le serveur DNS sait si le client est un ordinateur autorisé à modifier les enregistrements de ressource.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-32

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Création d'enregistrements de ressource

Server® 2008 Création d'enregistrements de ressource Points clés Dans la plupart des environnements, le besoin

Points clés

Dans la plupart des environnements, le besoin d'ajouter des enregistrements de ressource à une zone se présentera souvent, même si les mises à jour dynamiques sont activées.

Pour créer un enregistrement de ressource, cliquez du bouton droit sur la zone concernée et choisissez le type d'enregistrement à créer. La boîte de dialogue qui apparaît contient les contrôles de saisie appropriés au type d'enregistrement que vous ajoutez.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-33

Configuration de serveurs DNS redondants

système DNS 10-33 Configuration de serveurs DNS redondants Points clés Toute entreprise doit s'efforcer

Points clés

Toute entreprise doit s'efforcer d'obtenir une zone qui puisse être résolue de manière faisant autorité par au moins deux serveurs DNS.

Si votre zone est intégrée à Active Directory, il vous suffit d'ajouter le rôle de serveur DNS à un autre contrôleur de domaine du même domaine comme premier serveur DNS. Les zones intégrées à Active Directory et la réplication de la zone DNS par AD DS sont décrites dans la prochaine leçon.

Si votre zone n'est pas intégrée à Active Directory, vous devez ajouter un autre serveur DNS et le configurer pour qu'il héberge une zone secondaire. N'oubliez pas qu'une zone secondaire est une copie en lecture seule de la zone principale.

La première étape de ce processus consiste à configurer la zone elle-même de sorte qu'elle fasse référence aux serveurs secondaires en tant que serveurs de noms de votre zone. Ajoutez les enregistrements NS des serveurs secondaires à la zone parente.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-34

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Un serveur secondaire va copier la zone à partir d'un autre serveur DNS, appelé le serveur maître. Le serveur maître n'a pas besoin d'être le serveur principal. Cependant, utiliser la zone principale comme serveur maître présente des avantages évidents. En effet, cela réduit la latence de réplication des mises à jour des enregistrements dans les serveurs secondaires.

Le serveur maître doit autoriser les serveurs secondaires à se connecter et à déclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de zone des propriétés de la zone au niveau du serveur maître, comme suit :

de la zone au niveau du serveur maître, comme suit : Vous pouvez ajouter la zone

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur secondaire. Le serveur secondaire est configuré pour répliquer la zone à partir du serveur maître.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-35

Configuration des redirecteurs

du système DNS 10-35 Configuration des redirecteurs Points clés Dans la leçon 1, vous avez appris

Points clés

Dans la leçon 1, vous avez appris qu'un serveur DNS tente de résoudre la requête d'un client à l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que la requête envoyée est récursive, le serveur DNS exécute alors la requête de la part du client.

La première méthode pour configurer un serveur DNS de sorte qu'il exécute efficacement une requête récursive consiste à lui ajouter des redirecteurs. Les redirecteurs sont des pointeurs vers d'autres serveurs DNS. En général, ces serveurs sont hébergés par votre opérateur Internet (ISP) ou il s'agit de serveurs DNS placés en amont dans l'infrastructure DNS de votre entreprise. Par exemple, votre domaine Active Directory peut utiliser le service Windows DNS Server pour résoudre les noms au sein de ce domaine, puis transmettre les requêtes à vos serveurs DNS, qui hébergent les zones des autres domaines de l'entreprise.

Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les propriétés IP d'une connexion réseau. Cette liste de serveurs DNS est utilisée par le service Client DNS. Elle n'est pas communiquée au service Serveur DNS. Les redirecteurs ont le même objectif que le service Serveur DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-36

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Si aucun redirecteur n'est configuré, le serveur tente d'interroger un serveur de noms pour obtenir la racine de l'espace de noms DNS (« . »). Ces serveurs racine sont gérés en tant qu'indications de racine. Bien que les serveurs de noms DNS de la racine ne changent pas fréquemment, cela peut arriver parfois. Windows Update comprendra les mises à jour des indications de racine.

Il existe plusieurs mécanismes pour améliorer l'efficacité des requêtes récursives, notamment les redirecteurs conditionnels et les zones de stub. Ces options seront abordées dans la leçon 4.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-37

Configuration des clients

du système DNS 10-37 Configuration des clients Points clés Pour qu'un serveur DNS soit utile, des

Points clés

Pour qu'un serveur DNS soit utile, des clients doivent être configurés pour l'interroger. Le client DNS est différent de tous les composants Active Directory du système d'exploitation Windows. Ainsi, un client ne suppose pas que son contrôleur de domaine est un serveur DNS et un client doit avoir au moins deux serveurs DNS configurés.

La configuration peut être établie dans la configuration IP du client, comme dans l'image d'écran suivante :

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-38

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

es de domaine Active Directory® Windows Server® 2008 La commande netsh.exe peut également servir à configurer

La commande netsh.exe peut également servir à configurer le premier serveur DNS et les suivants pour une connexion réseau, comme dans l'exemple ci- dessous :

netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

Une autre méthode consiste à transmettre les serveurs DNS aux clients par le protocole DHCP (Dynamic Host Configuration Protocol) à l'aide de l'option DHCP scope option 6: DNS server.

N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas interrogés si le serveur DNS principal renvoie une réponse négative. Les autres serveurs DNS ne sont interrogés que si le serveur principal ne répond pas ou est déconnecté.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-39

Atelier pratique A : Installation du service DNS

DNS 10-39 Atelier pratique A : Installation du service DNS Scénario Vous êtes administrateur chez Contoso,

Scénario

Vous êtes administrateur chez Contoso, Ltd. Vous avez récemment ajouté un second contrôleur de domaine à votre entreprise et vous souhaitez ajouter une redondance au serveur DNS qui héberge la zone du domaine. Actuellement, le seul serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accéder aux sites Web sur Internet. De plus, il vous a été demandé de configurer un sous- domaine pour prendre en charge la résolution des noms requise pour que l'équipe de développeurs puisse tester une application.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-40

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Exercice 1 : Ajout du rôle de serveur DNS

Dans cet exercice, vous allez ajouter le rôle de serveur DNS à l'ordinateur HQDC02, examiner la zone du domaine qui est automatiquement renseignée au niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-même comme son propre serveur DNS principal.

Les tâches principales de cet exercice sont les suivantes :

1. Préparer l'atelier pratique.

2. Ajout du rôle de serveur DNS

3. Changement de la configuration serveur DNS du client DNS

4. Examen de la zone de recherche directe du domaine

5. Configuration de redirecteurs pour la résolution des noms Internet

Tâche 1 : Préparation de l'atelier pratique

1. Démarrez 6238B-HQDC01-B.

2. Attendez la fin du démarrage.

3. Démarrez 6238B-HQDC02-B.

4. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tâche 2 : Ajout du rôle de serveur DNS

1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Ajoutez le rôle de serveur DNS à HQDC02.

3. Fermez le Gestionnaire de serveur.

4. Redémarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd.

Cette opération n'est pas nécessaire dans un environnement de production, mais cela accélère le redémarrage des services et la réplication des enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-41

Tâche 3 : Changement de la configuration serveur DNS du client DNS

1. Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static 10.0.0.12 primary, puis appuyez sur Entrée.

3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection" 10.0.0.11, puis appuyez sur Entrée.

Tâche 4 : Examen de la zone de recherche directe du domaine

1. Exécutez le Gestionnaire DNS en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe du domaine contoso.com.

Tâche 5 : Configuration de redirecteurs pour la résolution des noms Internet

Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et

192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine

complet du serveur affichera soit <Tentative de résolution

impossible>. Dans un environnement de production, vous configureriez les redirecteurs sur les serveurs DNS en amont au niveau d'Internet, généralement ceux fournis par votre opérateur Internet (ISP).

>, soit <Résolution

Résultats : À la fin de cet exercice, vous aurez ajouté le rôle de serveur DNS à l'ordinateur HQDC02 et simulé la configuration de redirecteurs pour résoudre les noms DNS Internet.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-42

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Exercice 2 : Configuration de zones de recherche directe et d'enregistrements de ressource

Dans cet exercice, vous allez ajouter une zone de recherche directe pour le domaine de développement de Contoso. Vous allez ensuite ajouter un hôte et un enregistrement CNAME à cette zone et vérifier le fonctionnement de la résolution des noms dans la nouvelle zone.

Les tâches principales de cet exercice sont les suivantes :

1. Créer une zone de recherche directe.

2. Créer l'hôte et les enregistrements CNAME.

3. Vérifier la résolution des noms.

Tâche 1 : Création d'une zone de recherche directe

Créez une nouvelle zone de recherche directe appelée development.contoso.com. Il doit s'agir d'une zone principale, stockée dans Active Directory et répliquée dans tous les contrôleurs du domaine contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises à jour dynamiques.

n'autorise pas les mises à jour dynamiques. Remarque : dans un environnement de production, vous vous

Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.

Tâche 2 : Création de l'hôte et des enregistrements CNAME

1. Dans la zone development.contoso.com, créez un enregistrement hôte (A) pour APPDEV01 avec l'adresse IP 10.0.0.24.

2. Créez un enregistrement CNAME, www.development.contoso.com, qui se résout en appdev01.development.contoso.com.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-43

Tâche 3 : Test de la résolution des noms

À l'invite de commande, tapez nslookup www.development.contoso.com, puis appuyez sur Entrée.

Examinez le résultat de la commande. Que vous indique-t-il ?

Résultats : à la fin de cet exercice, vous aurez créé une nouvelle zone de recherche directe, development.contoso.com, avec un hôte et des enregistrements CNAME, et vérifié que les noms de cette zone sont bien résolus.

et vérifié que les noms de cette zone sont bien résolus. Remarque : ne fermez pas

Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez terminé cet atelier pratique car les paramètres configurés ici serviront dans le prochain atelier.

Questions de contrôle des acquis

Question : Si vous n'aviez pas configuré des redirecteurs dans HQDC02, quelles auraient été les conséquences pour les clients qui utilisent HQDC02 comme leur serveur DNS principal ?

Question : Les clients auraient-ils été capables de résoudre les noms du domaine development.contoso.com si vous aviez choisi une zone DNS autonome plutôt qu'une zone intégrée à Active Directory ? Pourquoi cela se produirait-il ? Que devriez-vous faire pour résoudre ce problème ?

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-44

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Leçon 3

AD DS, DNS et Windows

Windows Server® 2008 Leçon 3 AD DS, DNS et Windows Vous avez appris à configurer DNS

Vous avez appris à configurer DNS dans un environnement simple, à l'aide des nombreux paramètres par défaut qui prennent en charge les domaines Active Directory prêts à l'emploi. Dans cette leçon, vous allez en apprendre davantage sur les composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

comprendre l'intégration entre AD DS et DNS ;

choisir un domaine DNS pour un domaine Active Directory ;

créer une délégation de zone pour un nouveau domaine Active Directory ;

configurer la réplication pour des zones intégrées à Active Directory ;

décrire la fonction des enregistrements SRV dans le processus d'emplacement des contrôleurs d'un domaine ;

comprendre le fonctionnement des serveurs DNS en lecture seule.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-45

AD DS, DNS et Windows

Configuration du système DNS 10-45 AD DS, DNS et Windows Points clés Les Services de domaine

Points clés

Les Services de domaine Active Directory, DNS et le système d'exploitation Windows sont intégrés et interdépendants de nombreuses manières. Dans cette leçon, vous allez examiner dans le détail chacune de ces interactions.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-46

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Intégration entre AD DS et l'espace de noms DNS

2008 Intégration entre AD DS et l'espace de noms DNS Points clés Active Directory a besoin

Points clés

Active Directory a besoin du système DNS, et tout domaine AD DS doit avoir un nom de domaine DNS. Le système DNS étant également utilisé en tant qu'espace de noms standardisé et disponible au niveau international, vous devez réfléchir soigneusement à l'emplacement dans lequel vous allez définir votre domaine AD DS au sein de l'espace de noms.

Supposons que vous êtes administrateur chez Contoso, Ltd., qui possède le nom de domaine enregistré contoso.com et un site Web à l'adresse www.contoso.com. Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir l'un des éléments suivants :

Le même nom de domaine que votre nom de domaine DNS externe :

contoso.com. Si vous choisissez le même espace de noms, vous devez implémenter le DNS « split-brain », qui est décrit dans la prochaine section.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-47

Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si vous utilisez un sous-domaine d'un nom de domaine enregistré, l'opération est facile car vous êtes le propriétaire de cette portion de l'espace de noms DNS. Toutefois, soyez prudent et ne vous aventurez pas trop profondément dans l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms de domaine complets bien plus fréquemment que vous ne l'imaginez, et un suffixe de domaine trop long rend laborieuse la saisie de chaque nom de domaine complet. De plus, les URL et les UNC ont des longueurs limites à ne pas dépasser et qui sont vite atteintes avec des suffixes DNS à rallonge.

Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de domaine distinct pour votre domaine Active Directory, il est recommandé d'enregistrer le domaine de sorte qu'il ne puisse pas être usurpé par une autre entreprise. Vous devez vous assurer de conserver la propriété de cette portion de l'espace de noms DNS.

Dans notre monde moderne de plus en plus connecté, les frontières entre réseau, intranet, extranet et Internet sont brouillées, voire pratiquement invisibles. Il devient de moins en moins possible de maintenir une distinction dans l'espace de noms, et cela pose des problèmes de valorisation. C'est pourquoi de nombreuses organisations choisissent le nom de domaine le plus familier, celui le plus étroitement associé à l'organisation et le plus facile à saisir : le nom de domaine public. Comme nous venons d'en parler et comme se sera mentionné dans la prochaine rubrique, vous devez suivre des étapes pour prendre cette configuration en charge. Cependant, le coût de cette procédure est généralement bien moindre par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez gérer la résolution des noms, la protection du périmètre et la sécurité. Vous devez donc produire un niveau d'effort administratif équivalent quel que soit votre choix d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie des utilisateurs de votre espace de noms.

Au tout début de l'existence d'Active Directory, il était courant de suggérer ou même de conseiller l'utilisation d'un domaine de niveau supérieur personnalisé, tel que .msft ou même le TLD .local. Suite à l'évolution de notre monde en réseau, dont l'arrivée du protocole IP version 6 (IPv6) et l'hyper connectivité qui en a résulté, ces options doivent être envisagées uniquement après une étude approfondie de leur capacité à prendre en charge les besoins de votre entreprise, de leurs avantages et de leur coût en termes d'administration et d'assistance des utilisateurs.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-48

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

DNS Split-Brain

Active Directory® Windows Server® 2008 DNS Split-Brain Points clés Chaque fois que vous utilisez un nom

Points clés

Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS également utilisé pour les connexions à votre réseau depuis le monde extérieur, vous devez vous assurer qu'il existe une séparation entre les zones DNS qui fournissent différentes informations au public et aux clients internes. Il est alors question de DNS split-brain.

La zone DNS interne doit prendre fidèlement en charge le domaine AD DS, avec tous les enregistrements de ressource pour les serveurs, les clients et les services du domaine. Idéalement, elle autorisera les mises à jour dynamiques sécurisées et stockera ses données dans Active Directory lui-même.

La zone DNS accessible de l'extérieur ne doit fournir aux clients externes que les enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette zone sera généralement beaucoup plus petite que celle qui assure la prise en charge du domaine en interne. La zone externe sera généralement mise à jour manuellement, et non dynamiquement. Le serveur DNS qui héberge la zone externe sera souvent placé derrière le pare-feu externe, avec uniquement le port 53 ouvert pour lui.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-49

Vous aurez peut-être besoin d'enregistrements en double dans les deux zones. Si vos utilisateurs internes ont besoin d'accéder au site Web public, tel que www.contoso.com, cet enregistrement de ressource doit être présent dans la zone interne interrogée par les clients. N'oubliez pas que, le serveur DNS interne étant considéré comme faisant autorité pour la zone (comme le serveur externe), il renverra soit une résolution, soit une réponse négative, indiquant que l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde requête ou de requête itérative dans la zone externe. Vous devrez donc créer des enregistrements qui sont nécessaires en interne et en externe, tels que www, dans les deux zones.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-50

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Création d'une délégation pour un domaine Active Directory

d'une délégation pour un domaine Active Directory Points clés Dans le Module 1, vous avez créé

Points clés

Dans le Module 1, vous avez créé un nouveau domaine et une forêt Windows Server 2008 AD DS. Lorsque vous avez promu le contrôleur du domaine, vous avez reçu un message indiquant qu'il n'y avait aucune délégation pour le domaine contoso.com. Vous avez ignoré ce message et poursuivi l'établissement du domaine, avec le système DNS au niveau du contrôleur du domaine. Les clients configurés avec l'adresse IP du contrôleur de domaine (DC) pour leur serveur DNS interrogeront le DC et seront capables de résoudre les noms du domaine contoso.com. Toutefois, aucun client externe ne pourra résoudre les noms du domaine contoso.com car il n'y a pas de délégation : aucun enregistrement NS dans le domaine .com qui pointe vers votre serveur DNS faisant autorité.

Ceci ne pose pas de problème pour notre cours car votre domaine est isolé comme une île : il est séparé du reste d'Internet et vous n'avez pas besoin de délégation.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-51

Toutefois, au sein d'une forêt, il est important qu'il y ait des délégations entre un domaine parent et un domaine enfant si la zone du domaine enfant est hébergée dans des serveurs DNS distincts. Si le domaine enfant est appelé à être un sous-domaine de la zone existante, aucune délégation n'est nécessaire.

Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, à l'arborescence des domaines, les clients de contoso.com doivent pouvoir résoudre les serveurs, les services et les autres enregistrements de europe.contoso.com afin de prendre en charge la réplication et l'authentification dans la forêt.

Avant d'ajouter un domain enfant à l'arborescence ou une nouvelle arborescence à une forêt, vous devez créer une délégation dans le domaine parent ou dans le domaine racine de la forêt.

Pour créer une délégation, cliquez du bouton droit sur la zone du domaine parent, puis choisissez Nouvelle délégation. Vous serez invité à saisir le nom des serveurs du nouveau domaine. Faites alors référence au serveur qui est ou sera le serveur DNS du domaine enfant.

Pour créer une délégation pour une nouvelle arborescence de domaines ou pour le domaine racine de la forêt, créez d'abord une nouvelle zone dans la zone DNS racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite un enregistrement NS pour le nouveau domaine qui fait référence au nom DNS complet du contrôleur du domaine.

Après avoir créé la délégation, vous êtes prêt à configurer le serveur qui sera le premier contrôleur du domaine enfant. Commencez par configurer son serveur DNS pour qu'il pointe vers le serveur DNS dans lequel vous créez la délégation.

Installez le rôle DNS à l'aide du Gestionnaire de serveur, puis créez la zone principale du domaine enfant. Vous pouvez également utiliser l'Assistant Installation des services de domaine Active Directory (dcpromo.exe), qui peut installer DNS dans le cadre de l'installation d'AD DS.

Après la création du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il s'utilise lui-même en tant que serveur DNS principal. En général, vous ajouterez le serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de stub pour le serveur DNS enfant. D'une manière ou d'une autre, vous devez faire en sorte que les systèmes du domaine enfant puissent résoudre les noms du domaine parent. Pour finir, dans la plupart des scénarios, il est conseillé d'utiliser une zone intégrée à Active Directory et qui prenne en charge les mises à jour dynamiques sécurisées pour le domaine enfant.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-52

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Zones intégrées à Active Directory

Windows Server® 2008 Zones intégrées à Active Directory Points clés Dans la leçon 1, vous avez

Points clés

Dans la leçon 1, vous avez appris qu'un serveur DNS Windows est capable de stocker les données des zones dans la base de données AD DS lorsque le serveur DNS est un contrôleur de domaine AD DS. Ceci crée une Zone intégrée à Active Directory. Les avantages des zones intégrées à Active Directory sont importants :

Mises à jour multimaître : à la différence des zones principales habituelles, qui ne peuvent être modifiées que par un seul serveur principal, tout contrôleur de domaine peut écrire dans les zones intégrées à Active Directory si elles y sont répliquées. Ceci retire un point de défaillance unique de l'infrastructure DNS. Il est particulièrement important dans les environnements géographiquement distribués qui utilisent des zones à mises à jour dynamiques. En effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir à se connecter à un serveur principal potentiellement éloigné.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-53

Réplication des données d'une zone DNS par réplication AD DS : dans le Module 12, vous allez étudier les mécanismes de réplication efficaces et générateurs de topologie de la réplication AD DS. L'une des caractéristiques de la réplication d'Active Directory est la réplication au niveau des attributs, dans laquelle seuls les attributs modifiés son répliqués. Une zone intégrée à Active Directory peut tirer parti de ces avantages de la réplication Active Directory, au lieu de répliquer la totalité du fichier de la zone comme dans les modèles traditionnels du transfert de zones DNS.

Mises à jour dynamiques sécurisées : une zone intégrée à Active Directory peut imposer des mises à jour dynamiques sécurisées.

Sécurité granulaire : comme avec d'autres objets Active Directory, une zone intégrée à Active Directory vous permet de déléguer l'administration des zones, des domaines et des enregistrements de ressource en modifiant la Liste de contrôle d'accès (ACL) de l'objet.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-54

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Partitions d'application pour les zones DNS

2008 Partitions d'application pour les zones DNS Points clés Toute zone intégrée à Active Directory

Points clés

Toute zone intégrée à Active Directory stocke ses enregistrements dans la base de données AD DS. Ces enregistrements peuvent être stockés dans l'une des partitions suivantes :

Partition DomainDNSZone : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de ce domaine.

Partition ForestDNSZones : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de la forêt.

Ces partitions par défaut sont créées lors de l'installation du système DNS et configurées durant l'installation d'AD DS. Vous pouvez utiliser l'outil de gestion du système DNS ou la commande dnscmd.exe pour créer des partitions après l'installation d'AD DS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-55

Domaine : le Domaine, qui contient également des enregistrements pour les objets, notamment les utilisateurs et les ordinateurs, est répliqué dans tous les contrôleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS étaient stockées dans le Domaine NC. Si vous avez des contrôleurs de domaine Windows 2000 qui sont également des serveurs DNS, vous devez utiliser cette option de réplication pour prendre ces systèmes en charge.

Le choix de vos partitions dépend principalement de la topologie de réplication que vous allez sélectionner pour vos zones DNS. Bien sûr, la zone doit être répliquée dans un serveur DNS pour que ce dernier fasse autorité pour cette zone. Si un serveur DNS n'a pas de réplica de cette zone, il doit avoir un redirecteur ou une zone de stub pour exécuter les requêtes récursives demandant la résolution des noms de cette zone.

Partition d'application personnalisée : si les partitions d'application par défaut n'offrent pas le modèle de réplication dont vous avez besoin pour prendre en charge votre infrastructure DNS, vous pouvez créer une partition d'application personnalisée, pour laquelle vous désignez les serveurs qui vont la répliquer.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-56

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Partitions d'application DNS

Windows Server® 2008 Partitions d'application DNS Points clés Pour créer une partition d'application,

Points clés

Pour créer une partition d'application, utilisez la commande dnscmd.exe, comme dans l'exemple suivant :

dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-57

Vous pouvez modifier l'étendue de réplication d'une zone dans ses propriétés. Cliquez sur le bouton Changer accolé à Réplication, comme dans la figure suivante :

zone dans ses propriétés. Cliquez sur le bouton Changer accolé à Réplication, comme dans la figure

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-58

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Mises à jour dynamiques

Directory® Windows Server® 2008 Mises à jour dynamiques Points clés Par défaut, les systèmes Windows tentent

Points clés

Par défaut, les systèmes Windows tentent d'inscrire leurs enregistrements avec leur serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via la Stratégie de groupe.

Le service Client DHCP est celui qui exécute l'inscription, que l'adresse IP du client soit obtenue auprès d'un serveur DHCP ou quelle soit fixe. L'inscription se produit :

Lorsque le client démarre et que le service Client DHCP est déjà démarré

Lorsqu'une adresse IP est configurée, ajoutée ou modifiée dans toute connexion réseau

Lorsqu'un administrateur exécute la commande ipconfig /registerdns

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-59

Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est pas intégrée à Active Directory, cette opération peut exiger plusieurs itérations dans lesquelles le client identifie un serveur de noms, envoie une mise à jour et est rejeté car ce serveur de noms n'héberge qu'une zone secondaire. Ensuite, si la zone prend en charge les mises à jour dynamiques, le client atteint un serveur DNS autorisé à écrire dans cette zone. Il s'agit du serveur principal pour une zone standard, à base de fichier, ou de tout contrôleur de domaine qui est serveur de noms pour une zone intégrée à Active Directory.

Si la zone est configurée pour les mises à jour dynamiques sécurisées, le serveur DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise à jour.

Dans certaines configurations, vous préférerez probablement que les clients ne mettent pas leurs enregistrements à jour, même dans une zone à mises à jour dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les enregistrements de la part des clients. Par défaut, un client inscrit son enregistrement A (hôte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inversée). Les enregistrements PTR sont traités dans la leçon 4.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-60

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Chargement de zones en arrière-plan

Windows Server® 2008 Chargement de zone s en arrière-plan Points clés Il se peut qu'une zone

Points clés

Il se peut qu'une zone qui prend en charge un domaine AD DS devienne volumineuse, particulièrement si les enregistrements A des clients sont conservés dans un vaste domaine. Dans les précédentes versions de Windows, le service Serveur DNS prenait beaucoup de temps pour démarrer lorsqu'il devait charger une zone volumineuse.

Windows Server 2008 charge les zones en arrière-plan. Cela permet au serveur DNS de commencer à répondre très rapidement aux requêtes. S'il reçoit une requête pour une zone qui n'est pas encore chargée, il s'efforce de la charger rapidement.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-61

Enregistrements SRV

Configuration du système DNS 10-61 Enregistrements SRV Points clés Les enregistrements de ressource SRV (Service

Points clés

Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur) résolvent les requêtes d'un service réseau. Cela permet aux clients de localiser un hôte qui fournit un service spécifique.

Les enregistrements SRV sont utiles dans de nombreux scénarios :

Lorsqu'un contrôleur de domaine doit répliquer des changements en provenance de ses partenaires

Lorsqu'un ordinateur client doit s'authentifier dans AD DS

Lorsqu'un utilisateur change son mot de passe

Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire

Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-62

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Tout enregistrement SRV adopte la syntaxe suivante :

protocole.service.nom TTL classe type priorité poids port cible

Voici un exemple d'enregistrement SRV :

_ldap

tcp.contoso.com

600 IN SRV

0

100

389 hqdc01.contoso.com

Les composants de l'enregistrement sont les suivants :

Nom de service du protocole, tel que LDAP, offert par un contrôleur de domaine

Valeur de la durée TTL, en secondes

Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou INternet)

Type : SRV

Priorité et poids (aident les clients à choisir l'hôte à privilégier)

Port sur lequel le service est offert par le serveur. Le port 389 est le port standard pour LDAP dans un contrôleur de domaine Windows.

Cible, ou hôte du service (dans ce cas, il s'agit du contrôleur de domaine nommé hqdc01.contoso.com)

Lorsqu'un processus client recherche un contrôleur de domaine, il peut interroger le système DNS pour obtenir un service LDAP. Cette requête renvoie les deux enregistrements (SRV et A) du ou des serveurs qui fournissent le service demandé.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-63

Démonstration : Enregistrements de ressource SRV inscrits par des contrôleurs de domaine AD DS

SRV inscrits par des contrôleurs de domaine AD DS Points clés Dans cette démonstration, votre instructeur

Points clés

Dans cette démonstration, votre instructeur va vous montrer les enregistrements SRV inscrits par un contrôleur de domaine dans la forêt contoso.com. Vous allez effectuer les tâches suivantes :

Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits

_tcp.contoso.com, qui dresse la liste de tous les contrôleurs du domaine

_tcp.siteName

domaine qui couvrent un site spécifique

sites.contoso.com,

qui dresse la liste des contrôleurs de

_msdcs.contoso.com, qui suit la trace des contrôleurs de domaine d'une forêt et que ceux-ci utilisent pour se localiser mutuellement

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-64

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Simuler une requête de client qui demande un contrôleur de domaine

nslookup set type=srv _ldap tcp.contoso.com

Découvrir comment les contrôleurs de domaine inscrivent leurs enregistrements de ressource dans une zone à mises à jour dynamiques. Supprimez un enregistrement SRV, puis arrêtez et redémarrez le service NetLogon. Le service NetLogon inscrit les enregistrements DC au démarrage.

Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient les enregistrements qui doivent être inscrits manuellement si la zone ne prend pas en charge les mises à jour dynamiques

Étapes de la démonstration

1. Exécutez Gestion du service DNS avec des droits administratifs à l'aide du compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

2. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

3. Exécutez une invite de commande avec le compte administratif utilisé précédemment.

4. Tapez nslookup, puis appuyez sur Entrée.

5. Tapez set type=SRV, puis appuyez sur Entrée.

6.

7. Basculez dans le Gestionnaire DNS.

8. Développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp.

9. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com, puis cliquez sur Supprimer.

10. Revenez à l'invite de commande.

11. Tapez net stop netlogon, puis appuyez sur Entrée.

Tapez _ldap

tcp.contoso.com,

puis appuyez sur Entrée.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-65

12. Tapez net start netlogon, puis appuyez sur Entrée.

13. Basculez dans le Gestionnaire DNS.

14. Dans l'arborescence de la console, cliquez du bouton droit sur le nœud _tcp, puis choisissez Actualiser. Examinez l'enregistrement SRV de

hqdc01.contoso.com.

15. Ouvrez notepad.exe.

16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config \netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entrée.

17. Examinez les enregistrements SRV par défaut.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-66

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Emplacement des contrôleurs de domaine

Server® 2008 Emplacement des contrôleurs de domaine Points clés Lorsqu'un client s'authentifie, il

Points clés

Lorsqu'un client s'authentifie, il tente de localiser un contrôleur de domaine dans son site. Si ce client ne s'est pas authentifié auparavant, il interroge DNS pour

obtenir _ldap

ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier contrôleur qui répond est sélectionné pour la prochaine étape. Remarquez que, à ce stade, il est possible qu'un contrôleur d'un autre site réponde en premier.

Le client tente alors de s'authentifier auprès de ce contrôleur de domaine. Le contrôleur examine l'adresse IP du client et la compare aux informations qu'il possède à propos des sites et des sous-réseaux. Si ce contrôleur ne fait pas partie du site du client, il indique au client quel site est le sien.

Le client interroge alors DNS pour obtenir _ldap

renvoie la liste des contrôleurs de domaine qui couvrent ce site. De nouveau, le client tente une liaison LDAP avec chacun de ces contrôleurs, et le premier qui répond est sélectionné. Le client s'authentifie alors auprès de ce contrôleur de domaine.

tcp.NomDomaine,

puis il récupère la liste de tous les contrôleurs de

tcp.NomSite.

nomDomaine, ce qui

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-67

Le client stocke son appartenance à son site dans le Registre, et une affinité s'établit avec le contrôleur de domaine auprès duquel il s'est authentifié. La prochaine fois que ce client doit contacter un contrôleur, il commence par celui avec lequel une affinité s'est créée. Si ce contrôleur nst pas disponible, le client récupère les informations sur son site dans le Registre et interroge DNS pour obtenir _ldap

Ce processus est résumé dans la diapositive suivante :

Ce processus est résumé dans la diapositive suivante : L'emplacement des contrôleurs de domaine sera abordé

L'emplacement des contrôleurs de domaine sera abordé de nouveau dans le Module 12, où vous étudierez comment les enregistrements SRV et le processus de localisation des contrôleurs sert à vérifier l'authentification à un contrôleur efficace.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-68

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Zones DNS en lecture seule

Directory® Windows Server® 2008 Zones DNS en lecture seule Points clés Tout serveur DNS placé dans

Points clés

Tout serveur DNS placé dans un Contrôleur de domaine en lecture seule (Read- Only Domain Controller, ou RODC) peut faire autorité pour des zones qui sont répliquées dans le RODC, et il peut résoudre les requêtes des clients qui utilisent ce RODC en tant que serveur DNS.

Bien sûr, la caractéristique principale d'un RODC est qu'il ne peut effectuer aucune modification dans Active Directory. Ainsi, les enregistrements de ressource ne peuvent pas être ajoutés manuellement à la zone d'un RODC et les mises à jour dynamiques proposées par les clients ne sont pas acceptées.

Les mises à jour dynamiques sont gérées en orientant les clients vers un DC inscriptible lorsqu'ils tentent d'envoyer une mise à jour à un RODC. Pour le RODC, il est utile d'inclure dès que possible dans la zone l'enregistrement de ressource mis à jour par le client. Ainsi, le RODC conserve la trace du client qui a tenté une mise à jour et la trace du DC inscriptible auquel ce client s'est référé. Après une courte attente, le RODC effectue une opération RSO (Réplication d'un objet unique), dans laquelle il récupère l'enregistrement DNS mis à jour pour le client auprès du DC inscriptible, en contournant les mécanismes de réplication habituels.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-69

Leçon 4

Configuration et administration avancées du système DNS

4 Configuration et administration avancées du système DNS Vous avez appris à configurer une implémentation DNS

Vous avez appris à configurer une implémentation DNS simple et vous avez découvert comment DNS prend en charge AD DS. Dans ce module, vous allez explorer certaines rubriques avancées de configuration et d'administration du système DNS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

comprendre et configurer la résolution des noms en une partie ;

configurer les paramètres avancés du serveur DNS ;

auditer, gérer et dépanner le rôle de serveur DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-70

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Résolution des noms en une partie

Windows Server® 2008 Résolution des noms en une partie Points clés En temps normal, tout utilisateur

Points clés

En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir besoin de faire référence à un hôte par un nom en une seule partie. Par exemple, un utilisateur peut ouvrir Internet Explorer et accéder à l'adresse http://legalapp.

Il est important que vous compreniez comment le service Client DNS fonctionne pour résoudre un nom en une partie.

Tout d'abord, le client tente de résoudre le nom en une partie comme un nom complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajouté est choisi à l'aide de l'une des options suivantes : le premier qui est configuré dans les Paramètres TCP/IP avancés d'une connexion, et le second à l'aide de la Stratégie de groupe.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-71

Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de sa connexion DNS, tel que ad.contoso.com. En utilisant le suffixe basé sur la connexion, vous pouvez éventuellement configurer un client pour qu'il utilise la dévolution des noms de domaine, qui signifie que, si le suffixe de connexion échoue, le client recommence avec le nom du domaine parent, qui serait contoso.com dans cet exemple. La dévolution s'interrompt à ce stade ; elle n'interroge pas DNS avec un nom de domaine du niveau supérieur (TLD).

pas DNS avec un nom de domaine du niveau supérieur (TLD). • Ordre de recherche des

Ordre de recherche des suffixes DNS : vous pouvez spécifier les suffixes DNS qu'un client doit tenter. Il s'agit là de la méthode la plus simple avec la Stratégie de groupe. Si l'ordre de recherche des suffixes DNS est utilisé, il n'y a pas de dévolution. Vous devez désigner précisément les noms de domaine que le client doit tenter.

Si le suffixe DNS n'offre pas de résolution, le client DNS abandonne et interroge DNS avec un nom en une partie. Si cela ne fonctionne pas, le système tente une résolution de nom NetBIOS, qui commence par envoyer une requête à un serveur Windows Internet Name Service (WINS). Si celle-ci échoue également, il a recours à une diffusion NetBIOS dans le segment local.

Le client DNS n'a pas beaucoup de temps pour résoudre un nom. En réalité, après 12 secondes, la résolution échoue. À ce stade, il revient à l'application cliente de décider de la conduite à tenir. Cela signifie qu'il est possible que le client arrive à expiration avant que toutes les combinaisons de noms aient été tentées.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-72

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre en charge la résolution des noms en une partie : la zone GlobalNames. Il s'agit d'une zone spécialisée que vous créez dans vos serveurs DNS. En général, vous souhaiterez la répliquer dans la partition ForestDNSZones afin que tous les serveurs DNS de la forêt puissent y accéder. Cette zone contient des enregistrements CNAME avec des noms en une partie et leur résolution en noms complets.

Lorsqu'un client envoie une requête en une partie, le serveur DNS peut la résoudre en récupérant l'enregistrement CNAME dans la zone GlobalNames, puis en recherchant l'enregistrement A approprié du nom complet.

Pour utiliser GlobalNames, vous devez créer la zone GlobalNames, puis activer son usage dans les résolutions à l'aide de la commande dnscmd.exe. Pour plus d'informations, consultez l'article mentionné dans la section Lectures complémentaires.

Lectures complémentaires

Résolution des noms DNS en une partie

http://go.microsoft.com/fwlink/?LinkId=168531

Déploiement de la zone GlobalNames

http://go.microsoft.com/fwlink/?LinkId=168532

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-73

Résolution des noms extérieurs à votre domaine

DNS 10-73 Résolution des noms ext érieurs à votre domaine Points clés Il existe plusieurs moyens

Points clés

Il existe plusieurs moyens pour fournir la résolution des enregistrements DNS extérieurs à votre domaine, ceux pour lesquels vos serveurs DNS ne font pas autorité.

Zone secondaire : la première option consiste à faire en sorte que les serveurs fassent autorité en hébergeant une zone secondaire du domaine externe. Ceci exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms vers la zone. Donc, cette option ne convient généralement pas pour les domaines externes de votre entreprise.

Redirecteurs : les redirecteurs, traités à la leçon 2, sont des pointeurs vers des serveurs DNS en amont, des serveurs DNS fournis par votre opérateur ISP ou des serveurs DNS Internet. Votre serveur DNS peut envoyer des requêtes aux serveurs redirecteurs.

Si vous choisissez de pointer vers un serveur DNS autre que celui qui est géré par vous ou votre opérateur ISP, il convient d'en demander l'autorisation avant d'envoyer des requêtes récursives à un serveur DNS tiers.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-74

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Indications de racine : les indications de racine pointent vers des serveurs de noms de la racine de l'espace de noms DNS (« . »). Tout serveur DNS possède la liste des serveurs racine. Cette liste est mise à jour par Windows Update, mais elle ne change pas souvent.

Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les serveurs de noms qui doivent recevoir les requêtes de noms de domaine spécifiques. Tout redirecteur conditionnel crée un « raccourci direct » vers un serveur pour demander un domaine, et il n'a pas besoin d'envoyer des requêtes récursives à un redirecteur (non conditionnel), ni d'aller jusqu'à la racine de l'espace de noms DNS avec une indication de racine.

Zone de stub : vous avez étudié les domaines de stub précédemment dans ce module, car ils peuvent être utilisés sous forme de délégation pour un domaine enfant. Les domaines de stub peuvent s'avérer très utiles pour résoudre les noms extérieurs à votre entreprise. N'oubliez pas que le principal avantage d'un domaine de stub est que le serveur DNS gère dynamiquement la liste des serveurs de noms de ce domaine. Vous pouvez considérer les zones de stub comme des redirecteurs conditionnels dynamiques. Le prix à payer est que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-75

Zone de recherche inversée

du système DNS 10-75 Zone de recherche inversée Points clés Alors qu'une requête DNS typique demande

Points clés

Alors qu'une requête DNS typique demande l'adresse IP d'un nom d'hôte, une recherche inversée demande le nom d'hôte d'une adresse IP donnée.

Tout nom complet est traité de droite à gauche, de la partie la plus générique (telle que .com) à la plus spécifique (telle que technet). Cependant, une adresse IP est plus générique à gauche : le premier octet est le plus générique et le dernier est le plus spécifique. Ainsi, pour envoyer une requête DNS avec une adresse IP, le client inverse l'ordre des octets et ajoute un nom de domaine réservé, in-addr.arpa.

Donc, si un client veut connaître le nom d'hôte de l'ordinateur dont l'adresse IP est 10.0.1.34, il demande 34.1.0.10.in-addr.arpa.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-76

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Si vous vous rappelez de la hiérarchie du système de noms de domaine, vous savez que la racine est indiquée par un point (« . »), et en dessous se trouvent les domaines les plus génériques (domaines de niveau supérieur ou TLD). Au fur et à mesure que vous descendez dans la hiérarchie, les noms deviennent plus spécifiques. Le domaine in-addr.arpa est le TLD réservé aux recherches inversées. En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci suggère que DNS ne prend en charge que les masques de sous-réseau standard, où