Vous êtes sur la page 1sur 11

DNS principe du nettoyage de zone

Soumis par philippe le jeu, 08/14/2014 - 22:16

En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des

enregistrements directement par les postes clients.

Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les

enregistrements DNS, de nettoyer les zones.

En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les

enregistrements PTR (dans la zone de recherche inversé).

Lorsque ces postes sont supprimés ou lorsqu’ils ne sont présents ponctuellement il est possible que votre zone

DNS contienne des enregistrements obsolètes.

La pollution des zones DNS sera plus importante si vous avez beaucoup d’utilisateurs nomades présents
ponctuellement dans vos locaux. A l’inverse si vous avez un domaine séparé pour vos serveurs la zone DNS de

ce domaine restera relativement propre.

Il vous incombe de décider si vous devez activer le vieillissement et le nettoyage automatique des zones DNS.

Si vous activer le nettoyage sur une zone où il y a peu de mouvement, il est possible que certain

enregistrement disparaissent alors qu’ils sont encore d’actualité et inversement si votre zone n’est jamais

nettoyé il est possible que certain poste, qui n’existe plus, soit propriétaire d’enregistrement obsolète

empêchant un nouveau poste de s’enregistrer.

De plus, l’accumulation d’enregistrement obsolète peut créer des erreurs lorsqu’un serveur doit répondre à un

poste client. Des problèmes de performances peuvent également se produire sur des zones possédant un grand

nombre d’enregistrements.

Dans l’image 1 ci-dessous, datant du 15/08, nous constatons des enregistrements statiques qui n’ont pas

d’horodatage et qui n’expirent pas.

Nous constatons également des enregistrements plus anciens comme le premier mars provenant de poste

n’ayant pas mis à jour leur enregistrement. En l’occurrence la machine de test correspondante n’ayant pas été

redémarré depuis ce temps son enregistrement DNS n’a pas été actualisé.

Image 1:
Sur les images 2 et 3 nous constatons que les membres du groupe tout le monde (dont les autres machines ou

les utilisateurs) n’ont par défaut que le droit de lecture.

Alors que la machine W2k8-Wsus en tant que propriétaire de l’enregistrement dispose du contrôle total.

Image 2 et 3:
Si je réattribue ce nom à une autre machine cette dernière ne serait pas en mesure de remettre à jour

l’enregistrement permettant de résoudre le nom en IP et si jamais elle n’a pas la même IP il y aura une erreur

de résolution de nom.

Le même type de problème peut se produire sur les enregistrements PTR de la zone de recherche inversé.

Dans l’image 4 le propriétaire de l’enregistrement PTR est le serveur W2k8-Wsus, ce serveur étant configuré en

IP Fixe.

Image 4:

Sur l’image 5 l'enregistrement PTR correspondant à l’ip 10.10.10.101 est pc05.test.local alors que le

propriétaire est w2k8-dc1. Ce dernier en plus d’être un contrôleur de domaine a également le rôle de serveur

DHCP.

Image 5:
Sur l’image 6 nous constatons que l’étendue correspondante sur le serveur DHCP et configuré pour la mise à

jour des enregistrements PTR.

Image 6 :
Nous allons maintenant voir comment purger les enregistrements DNS obsolète. Il faut pour cela définir la

notion de vieillissement et de nettoyage.

Sur l’image 7 ci-dessous nous voyons qu’il existe pour chaque zone DNS des propriétés de vieillissement.

Image 7 :
Ces propriétés gèrent 2 valeurs pris en compte dans le vieillissement des enregistrements DNS.

La première est la période de non actualisation. Après qu’un enregistrement a été créé ou actualisé, celui-ci

ne peut être modifié pendant la période de non actualisation. Une fois cette période écoulé commence la

période d’actualisation et le poste client est en mesure de mettre à jour la valeur.

Si celui-ci effectue l’enregistrement se retrouve en période de non actualisation.

Si à la fin de la période d’actualisation l’enregistrement n’a pas été mis à jour il pourra être supprimé par le

processus de nettoyage. Mais par défaut le processus de nettoyage n’est pas activé.

Si vous avez activé l’option de nettoyage automatique est que vos zones DNS sont enregistrés dans l’AD celui-ci

est marqué pour suppression, répliqué sur les autres DC ayant une copie de cette zone et va disparaîtra à la fin

du «tombstonelife» comme tout objet de l’AD.

Nous allons configurer le nettoyage des zones.

Ouvrez la console DNS : Démarrer \ outils d’administrations \ DNS.Ouvrez la zone de recherche directe ou
indirecte selon le cas. Puis faire un clic droit dans la zone de recherche et sélectionnez « propriété».
Aller sous général et cliquez « vieillissement» (voir image 8 ci-dessus).

Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cocher la case

Nettoyer les enregistrements de ressources obsolètes

Image 8:

Ouvrez la console DNS: «Démarrer \ outils d’administrations \ DNS». Faites un clic droit sur le nom du serveur

et sélectionner «Définir le vieillissement / nettoyage pour toutes les zones».

Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cochez la case «Nettoyer

les enregistrements de ressources obsolètes».

Image 9 :
Comment activer le nettoyage de la zone ?

Ouvrez la console DNS& : «Démarrer \ outils d’administrations \ DNS».

Faites un clic droit sur le nom du serveur et sélectionner «propriétés».

Sélectionnez l’onglet «avancé», puis en bas cocher la case «activer le nettoyage automatique des

enregistrement obsolète».

Image 10:
Comment vérifier les opérations de nettoyages des zones DNS ?

Dans l'observateur d''événement, surveillez les entrées dans le journal de l'id 2501, source DNS-Server-Service.

Il indique le nombre de zone et d''enregistrement nettoyé.

Image 11 :