En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des
enregistrements directement par les postes clients.
Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les
enregistrements DNS, de nettoyer les zones.
En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les
enregistrements PTR (dans la zone de recherche inversé).
Lorsque ces postes sont supprimés ou lorsqu’ils ne sont présents ponctuellement il est possible que votre zone
DNS contienne des enregistrements obsolètes.
La pollution des zones DNS sera plus importante si vous avez beaucoup d’utilisateurs nomades présents ponctuellement dans vos locaux. A l’inverse si vous avez un domaine séparé pour vos serveurs la zone DNS de
ce domaine restera relativement propre.
Il vous incombe de décider si vous devez activer le vieillissement et le nettoyage automatique des zones DNS.
Si vous activer le nettoyage sur une zone où il y a peu de mouvement, il est possible que certain
enregistrement disparaissent alors qu’ils sont encore d’actualité et inversement si votre zone n’est jamais
nettoyé il est possible que certain poste, qui n’existe plus, soit propriétaire d’enregistrement obsolète
empêchant un nouveau poste de s’enregistrer.
De plus, l’accumulation d’enregistrement obsolète peut créer des erreurs lorsqu’un serveur doit répondre à un
poste client. Des problèmes de performances peuvent également se produire sur des zones possédant un grand
nombre d’enregistrements.
Dans l’image 1 ci-dessous, datant du 15/08, nous constatons des enregistrements statiques qui n’ont pas
d’horodatage et qui n’expirent pas.
Nous constatons également des enregistrements plus anciens comme le premier mars provenant de poste
n’ayant pas mis à jour leur enregistrement. En l’occurrence la machine de test correspondante n’ayant pas été
redémarré depuis ce temps son enregistrement DNS n’a pas été actualisé.
Image 1: Sur les images 2 et 3 nous constatons que les membres du groupe tout le monde (dont les autres machines ou
les utilisateurs) n’ont par défaut que le droit de lecture.
Alors que la machine W2k8-Wsus en tant que propriétaire de l’enregistrement dispose du contrôle total.
Image 2 et 3: Si je réattribue ce nom à une autre machine cette dernière ne serait pas en mesure de remettre à jour
l’enregistrement permettant de résoudre le nom en IP et si jamais elle n’a pas la même IP il y aura une erreur
de résolution de nom.
Le même type de problème peut se produire sur les enregistrements PTR de la zone de recherche inversé.
Dans l’image 4 le propriétaire de l’enregistrement PTR est le serveur W2k8-Wsus, ce serveur étant configuré en
IP Fixe.
Image 4:
Sur l’image 5 l'enregistrement PTR correspondant à l’ip 10.10.10.101 est pc05.test.local alors que le
propriétaire est w2k8-dc1. Ce dernier en plus d’être un contrôleur de domaine a également le rôle de serveur
DHCP.
Image 5: Sur l’image 6 nous constatons que l’étendue correspondante sur le serveur DHCP et configuré pour la mise à
jour des enregistrements PTR.
Image 6 : Nous allons maintenant voir comment purger les enregistrements DNS obsolète. Il faut pour cela définir la
notion de vieillissement et de nettoyage.
Sur l’image 7 ci-dessous nous voyons qu’il existe pour chaque zone DNS des propriétés de vieillissement.
Image 7 : Ces propriétés gèrent 2 valeurs pris en compte dans le vieillissement des enregistrements DNS.
La première est la période de non actualisation. Après qu’un enregistrement a été créé ou actualisé, celui-ci
ne peut être modifié pendant la période de non actualisation. Une fois cette période écoulé commence la
période d’actualisation et le poste client est en mesure de mettre à jour la valeur.
Si celui-ci effectue l’enregistrement se retrouve en période de non actualisation.
Si à la fin de la période d’actualisation l’enregistrement n’a pas été mis à jour il pourra être supprimé par le
processus de nettoyage. Mais par défaut le processus de nettoyage n’est pas activé.
Si vous avez activé l’option de nettoyage automatique est que vos zones DNS sont enregistrés dans l’AD celui-ci
est marqué pour suppression, répliqué sur les autres DC ayant une copie de cette zone et va disparaîtra à la fin
du «tombstonelife» comme tout objet de l’AD.
Nous allons configurer le nettoyage des zones.
Ouvrez la console DNS : Démarrer \ outils d’administrations \ DNS.Ouvrez la zone de recherche directe ou indirecte selon le cas. Puis faire un clic droit dans la zone de recherche et sélectionnez « propriété». Aller sous général et cliquez « vieillissement» (voir image 8 ci-dessus).
Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cocher la case
Nettoyer les enregistrements de ressources obsolètes
Image 8:
Ouvrez la console DNS: «Démarrer \ outils d’administrations \ DNS». Faites un clic droit sur le nom du serveur
et sélectionner «Définir le vieillissement / nettoyage pour toutes les zones».
Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cochez la case «Nettoyer
les enregistrements de ressources obsolètes».
Image 9 : Comment activer le nettoyage de la zone ?
![Comment séduire toutes les femmes [FR]](https://imgv2-2-f.scribdassets.com/img/document/19193997/149x198/5ab5c95078/1612399678?v=1)
