Gestion Dns

Table des matières
Vue d’ensemble 1
Présentation multimédia : Concepts
de base du système DNS 2
Présentation du processus de requête
DNS 4
Création de zones 6
Configuration des zones 15
Atelier A : Installation et configuration
du service DNS 25
Configuration des mises à jour du
système DNS 35
Résolution des noms DNS dans
Active Directory 44
Atelier B : Configuration de DNS pour
l’intégration dans Active Directory et
les mises à jour dynamiques 54
Maintenance et dépannage des
serveurs DNS 62
Conseils pratiques 75
Atelier C : Contrôle et désactivation
du service DNS 77
Contrôle des acquis 85
Module 5 : Gestion de
DNS
Module 5 : Gestion de DNS 1
Vue d’ensemble
! Présentation du processus de requête DNS
! Création de zones
! Configuration des zones
! Configuration des mises à jour du système DNS
! Résolution des noms DNS dans Active Directory
! Maintenance et dépannage des serveurs DNS
! Conseils pratiques
********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR****************
****
Le système DNS fait partie intégrante de la communication client/serveur au
sein des réseaux IP. Il est constitué d’une base de données distribuée qui est
utilisée pour la conversion ou la résolution des noms d’ordinateurs en adresses
IP. Microsoft® Windows® 2000 utilise le système DNS en tant que méthode
principale pour la résolution de noms.
Les clients Windows 2000 et Microsoft Windows XP Professionnel utilisent le
service Serveur DNS pour résoudre les noms et rechercher des services,
notamment les contrôleurs de domaine qui assurent l’authentification des
utilisateurs.
À la fin de ce module, vous serez à même d’effectuer les tâches suivantes :
! décrire le processus de requête DNS ;
! créer des zones ;
! configurer des zones ;
! configurer les mises à jour du système DNS ;
! décrire le processus de résolution de noms DNS dans le service d’annuaire
Active Directory® ;
! entretenir et dépanner un serveur DNS.
Objectif de la section
Donner une vue d’ensemble
des sujets et des objectifs
de ce module.
Introduction
Dans ce module, vous allez
apprendre à installer,
configurer et tester le
service Serveur DNS dans
Windows 2000.
4 Module 5 : Gestion de DNS
Présentation du processus de requête DNS
Types de requêtes
Requête
itérative
Le serveur DNS renvoie la meilleure réponse
qu’il peut fournir sans interroger les autres
serveurs DNS
Requête
récursive
Le serveur DNS renvoie une réponse complète
et non pas un pointeur vers un autre serveur
uniquement
Types de recherches
Recherche
directe Nécessite la résolution des noms en adresses
Recherche
inversée Nécessite la résolution des adresses en noms
****
Le système DNS utilise un modèle client/serveur dans lequel le serveur DNS
contient des informations sur une partie de l’espace de noms DNS et les fournit
aux clients. Un client DNS interroge un serveur DNS pour obtenir des
informations sur l’espace de noms DNS. Ce serveur peut à son tour interroger
d’autres serveurs DNS pour fournir une réponse à la requête du client.
Lorsqu’un serveur DNS reçoit une requête DNS, il tente de rechercher les
informations requises dans sa propre base de données. Si la requête échoue, des
communications supplémentaires avec d’autres serveurs DNS sont alors
nécessaires.
Types de requêtes
Il est possible d’effectuer les deux types de requêtes suivantes dans DNS :
! Itératif. Requête émise par un client vers un serveur DNS dans laquelle le
serveur renvoie la meilleure réponse dont il dispose en se basant sur son
cache ou sur les données d’une zone. Si le serveur interrogé ne trouve
aucune réponse qui corresponde exactement à la requête, il fournit un
pointeur vers un serveur habilité, situé à un autre niveau de l’espace de noms
du domaine.
Le client interroge ensuite le serveur qui fait autorité, vers lequel il a été
redirigé. Le client poursuit ce processus jusqu’à ce qu’il trouve un serveur
qui fait autorité pour le nom demandé, ou qu’une erreur ou une condition de
dépassement de délai se produise.
! Récursif. Requête d’un client vers un serveur DNS, dans laquelle le serveur
assure toute la charge de travail et assume l’entière responsabilité de la
réponse complète à fournir à la requête. Le serveur effectue alors des
requêtes itératives distinctes vers d’autres serveurs (pour le compte du
client) susceptibles de fournir une réponse à la requête récursive.
Dresser la liste des types de
requêtes et de recherches
et les décrire.
Introduction
Deux types de requêtes
peuvent être effectués dans
DNS. Chaque type de
requête est associé à un ou
deux types de recherches.
Conseil pédagogique
Expliquez que dans une
requête itérative le serveur
renvoie la meilleure réponse
qu’il peut fournir sans
aucune aide des autres
serveurs. Si le serveur
dispose de l’enregistrement
demandé, il le transmet au
client. Dans le cas contraire,
il renvoie des pointeurs vers
les serveurs susceptibles de
pouvoir fournir la réponse.
Dans une requête récursive,
le serveur retourne une
réponse complète et non
pas uniquement un pointeur
vers un autre serveur.
Processus de requête
En général, l’ordinateur client envoie des requêtes récursives aux serveurs DNS.
Les serveurs DNS utilisent ensuite des requêtes itératives pour fournir une
réponse au client. Par exemple, lorsqu’un ordinateur client émet une requête
vers un serveur DNS pour résoudre l’adresse www.microsoft.com, le processus
suivant se déroule :
1. L’ordinateur client génère une requête concernant l’adresse IP de
www.microsoft.com en envoyant une requête récursive au serveur DNS,
configuré pour cette fonction.
2. Le serveur DNS qui a reçu la requête récursive ne peut pas localiser une
entrée correspondant à www.microsoft.com dans sa base de données. Ainsi,
il envoie une requête itérative à un serveur DNS qui fait autorité pour le
domaine racine.
3. Le serveur DNS qui fait autorité pour le domaine racine n’est pas en mesure
de localiser une entrée pour www.microsoft.com dans sa base de données, et
il envoie une réponse au serveur DNS d’interrogation avec les adresses IP
des serveurs DNS qui font autorité pour le domaine com.
4. Le serveur DNS qui a reçu la requête récursive envoie une requête itérative
à un serveur qui fait autorité pour le domaine com.
5. Le serveur DNS qui fait autorité pour le domaine com n’est pas en mesure
de localiser une entrée pour www.microsoft.com dans sa base de données, et
il envoie une réponse au serveur DNS d’interrogation avec les adresses IP
des serveurs DNS qui font autorité pour le domaine microsoft.com.
6. Le serveur DNS qui a reçu la requête récursive envoie une requête itérative
à un serveur qui fait autorité pour le domaine microsoft.com.
7. Le serveur DNS qui fait autorité pour le domaine microsoft.com recherche
une entrée pour www.microsoft.com dans sa base de données et envoie une
réponse au serveur DNS d’interrogation avec les adresses IP de
www.microsoft.com.
8. Le serveur DNS qui a reçu la requête récursive envoie une réponse à
l’ordinateur client avec l’adresse IP de www.microsoft.com.
Types de recherches
Le type de recherche de zone détermine les tâches effectuées par un serveur
DNS. Lorsque vous créez une zone, vous indiquez si la zone sera utilisée pour
résoudre les requêtes de recherche directes ou inversées en spécifiant le type d
e
zone. Les requêtes itératives et récursives peuvent être associées à l’un des ty
pes
de recherches de zone suivants :
! Recherche directe. Requête de mappage d’un nom en une adresse IP. Il s’agit
du type de recherche le plus courant, utilisé pour localiser l’adresse IP d’un
serveur, afin qu’une connexion puisse être établie avec ce dernier. Ce type
de requête nécessite une procédure de résolution d’un nom en une adresse.
! Recherche inversée. Requête de mappage d’une adresse IP en un nom. Ce
type de recherche est le plus souvent utilisé lorsque vous connaissez une
adresse IP, mais souhaitez connaître le nom du domaine associé à l’adresse
IP. Par exemple, si vous contrôlez les connexions IP établies sur un serveur,
vous pouvez utiliser la recherche inversée pour localiser le nom du domaine
associé à l’adresse IP de l’ordinateur qui se connecte. Ce type de requête
nécessite une procédure de résolution d’une adresse en un nom.
Utilisez le tableau blanc
pour illustrer le processus
de requête qui se produit
lorsqu’un ordinateur client
génère une requête
concernant l’adresse IP de
www.microsoft.com.
Décrivez la différence entre
la recherche directe et la
recherche inversée.
" Création de zones
! Identification des types de zones
! Examen du fichier de zone
! Création d’une zone de recherche standard
****
Une zone est une partie contiguë de l’espace de noms d’un domaine sur lequel
un serveur DNS dispose des capacités nécessaires pour résoudre les requêtes
DNS. Vous pouvez diviser l’espace de noms DNS en zones qui stockent des
informations sur les noms d’un ou de plusieurs domaines DNS ou portions d’un
domaine DNS. Pour chaque nom de domaine DNS inclus dans une zone, cette
dernière devient la source de référence des informations concernant ce domaine.
Avant de créer une zone, vous devez comprendre les concepts suivants :
! Types de zones. Les serveurs DNS peuvent héberger plusieurs types de
zones. Pour limiter le nombre de serveurs DNS installés sur votre réseau,
vous pouvez configurer un seul serveur DNS pour la prise en charge ou
l’hébergement de plusieurs zones. Vous pouvez également configurer
plusieurs serveurs pour héberger une ou plusieurs zones afin de fournir une
tolérance de panne et de distribuer les charges de travail liées à la résolution
des noms et aux tâches administratives.
! Fichier de zone. Les enregistrements de ressources qui sont stockés dans un
fichier de zone définissent une zone. Le fichier de zone contient les
informations qui permettent de convertir les noms d’hôte en adresses IP et
les adresses IP en noms d’hôtes.
Pour créer des zones et administrer un serveur DNS qui n’est pas
exécuté sur un contrôleur de domaine, vous devez être membre du groupe
Administrateurs sur cet ordinateur. Pour configurer un serveur DNS qui est
exécuté sur un contrôleur de domaine, vous devez appartenir au groupe
DNSAdmins, au groupe Admins du domaine ou au groupe Administrateurs de
l’entreprise.
Présenter les sections
relatives à la création de
zones.
Introduction
Vous pouvez diviser
l’espace de noms DNS en
zones qui stockent des
informations sur les noms
d’un ou de plusieurs
domaines DNS. Utilisez
l’Assistant Nouvelle zone
pour créer une zone.
Point clés
Un serveur DNS peut
héberger plusieurs zones et
différents types de zones.
Le fichier de zone contient
les enregistrements des
ressources utilisées pour la
résolution de noms.
Utilisez l’Assistant Nouvelle
zone pour créer une zone.
Important
Identification des types de zones
Zones standard
Zone principale
MMooddiiffiiccaattiioonn
Zone secondaire
Transfert de zone
Zones intégrées à Active Directory
MMooddiiffiiccaattiioonn MMooddiiffiiccaattiioonn MMooddiiffiiccaattiioonn
Transfert de zone
****
Le tableau suivant décrit les trois types de zones que vous pouvez configurer,
ainsi que les fichiers de zone associés.
Type de zone Description
Principale standard Contient une version en lecture/écriture du fichier de
zone stocké sous la forme d’un fichier texte standard.
Toutes les modifications apportées à la zone sont
enregistrées dans ce fichier.
Secondaire standard Contient une version en lecture seule du fichier de zone
stocké sous la forme d’un fichier texte standard. Toutes
les modifications apportées à la zone sont enregistrées
dans le fichier de zone principal et répliquées dans le
fichier de zone secondaire. Créez une zone secondaire
standard pour créer une copie d’une zone existante et de
son fichier de zone. Ceci permet de distribuer la charge
de travail liée à la résolution de noms sur plusieurs
serveurs DNS.
Intégrée à Active Directory Enregistre les informations de zone dans
Active Directory et non pas dans un fichier texte. Les
mises à jour dans la zone se produisent
automatiquement pendant la réplication
d’Active Directory. Créez une zone intégrée à
Active Directory pour simplifier la planification et la
configuration d’un espace de noms DNS. Vous n’avez
pas besoin de configurer les serveurs DNS pour
spécifier les modalités et les périodes des mises à jour,
car Active Directory tient à jour les informations sur les
zones.
Montrer la différence entre
les zones standard et les
zones intégrées à
Active Directory.
Introduction
Vous pouvez configurer trois
types de zones dans DNS :
zone principale standard,
zone secondaire standard et
Active Directory.
Zones principales standard
Le serveur principal d’une zone agit comme le point de mise à jour de la zone.
Les zones que vous venez de créer sont toujours des zones principales standard.
Avec Windows 2000 Server, vous pouvez utiliser les zones principales en tant
que zones principales standard ou zones principales intégrées à
Active Directory.
Pour les zones principales standard, un seul serveur peut héberger et charger la
copie principale de la zone. Si vous créez une zone et la conservez comme zone
principale standard, aucun serveur principal supplémentaire n’est autorisé pour
cette zone. Un seul serveur peut accepter les mises à jour dynamiques et traiter
les modifications des zones.
Le modèle principal standard implique un seul point d’erreur. Par exemple, si
pour une raison ou une autre le serveur principal d’une zone n’est pas disponibl
e
pour le réseau, aucune mise à jour dynamique de la zone ne peut être effectuée.
Les requêtes de noms dans la zone ne sont pas affectées et peuvent continuer
sans interruption, tant que les serveurs secondaires de la zone sont en mesure d
e
leur répondre.
L’ajout d’une zone principale à un serveur existant peut être effectué chaque fo
is
que des domaines ou sous-domaines supplémentaires sont requis dans votre
espace de noms de domaine DNS. Par exemple, vous pouvez créer une zone
pour un domaine de niveau secondaire comme microsoft.com et ajouter une
zone principale pour le nouveau sous-domaine : example.nwtraders.msft.
Dans cet exemple, vous pouvez créer la nouvelle zone du sous-domaine à l’aide
du complément logiciel enfichable DNS, en exécutant l’Assistant Nouvelle
zone. Une fois cette opération effectuée, vous devez créer une délégation dans
la zone parent du nouveau sous-domaine (par exemple, la zone microsoft.com)
pour terminer l’ajout de ce sous-domaine et de sa zone principale.
Pour les zones principales standard, il est parfois nécessaire de changer le
serveur principal désigné d’une zone. Par exemple, supposons que le serveur
principal actuel d’une zone principale standard est le Serveur A et que le
nouveau serveur principal de cette zone est le Serveur B.
Pour refléter les modifications d’état du Serveur A vers le Serveur B, effectuez
les modifications suivantes dans la zone :
1. Ajoutez un nouvel enregistrement de ressource (RR) hôte (A) pour le
serveur B.
2. Mettez à jour l’enregistrement de ressource du serveur de noms (NS) dans la
zone afin de supprimer le serveur A et d’inclure le serveur B en tant que
serveur d’autorité configuré qui pointe vers le nouvel enregistrement de
ressource (RR) hôte (A) ajouté à l’étape 1.
3. Remplacez le nom du serveur A par le nom du serveur B dans le champ qui
spécifie le propriétaire de l’enregistrement de ressources (RR) de la source
de noms (SOA) relatif à la zone.
4. Supprimez l’ancien enregistrement de ressources hôte pour le serveur A.
5. Vérifiez la zone parent pour vous assurer que les enregistrements de
délégation utilisés (serveur de noms ou enregistrements de ressources hôte)
sont mis à jour et font référence au serveur B.
Zones secondaires standard
Les spécifications de conception DNS vous recommandent d’utiliser au moins
deux serveurs DNS pour héberger chaque zone. Pour les zones principales
standard, un second serveur est nécessaire pour ajouter et configurer la zone qu
i
est visible aux autres serveurs DNS sur le réseau.
Les serveurs secondaires permettent d’alléger le trafic de requêtes DNS dans
une zone du réseau consultée et utilisée excessivement. En outre, si un serveur
principal est en panne, un serveur secondaire peut assurer la résolution de noms
dans la zone jusqu’à ce que le serveur principal soit disponible.
Si vous ajoutez un serveur secondaire, essayez de choisir un serveur situé à
proximité des clients qui effectuent de nombreuses requêtes de noms utilisés
dans la zone. Envisagez également d’installer des serveurs secondaires sur un
routeur, soit sur d’autres sous-réseaux, (si vous utilisez un réseau local routé
),
soit sur les liens d’un réseau étendu. Cette solution permet d’utiliser un serve
ur
secondaire en tant que système de sauvegarde local pour les cas où un lien de
réseau intermédiaire devient le point de défaillance entre les serveurs DNS et
les clients qui utilisent la zone.
Un serveur principal conserve toujours la copie principale des mises à jour et
des modifications effectuées dans la zone, tandis qu’un serveur secondaire
dépend des mécanismes de transfert de zone DNS pour obtenir ses informations
et les actualiser. Le choix de la méthode de transfert de zone (complète ou
incrémentielle) s’applique plus particulièrement à l’utilisation des serveurs
secondaires.
Lorsque vous analysez l’impact des transferts de zone générés par les serveurs
secondaires, profitez de l’avantage qu’offrent ces derniers en tant que source d
e
sauvegarde d’informations et comparez cette solution au coût ajouté qu’ils
imposent à l’infrastructure de votre réseau. Tenez compte de la règle simple
suivante : pour chaque serveur secondaire que vous ajoutez, vous augmentez le
trafic sur le réseau (en raison du surcroît de trafic de réplication de zone), a
insi
que le délai de synchronisation de la zone sur tous les serveurs secondaires.
Zones intégrées à Active Directory
Dans Windows 2000 Server, vous pouvez ajouter d’autres serveurs principaux à
une zone en utilisant les fonctionnalités de stockage et de réplication du servi
ce
DNS, intégrées dans l’annuaire. Pour cela, vous devez modifier une zone
l’intégrer dans Active Directory.
Vous pouvez intégrer une zone existante dans Active Directory en changeant le
type d’une zone sur le serveur principal où la zone a été créée. Après avoir
modifié le type de zone, de l’état principal standard à l’état intégré dans
Active Directory, vous pouvez ajouter la zone aux autres serveurs DNS en
configurant ces derniers de sorte qu’ils utilisent l’option Démarrage à partir d
e
DS pour initialiser le service DNS.
Lorsque l’option Démarrage à partir de DS est sélectionnée, les autres
serveurs DNS qui fonctionnent en tant que contrôleurs du domaine
Active Directory peuvent consulter l’annuaire et charger automatiquement
toutes les zones intégrées dans l’annuaire qui sont stockées dans la base de
données de l’annuaire. Aucune autre étape n’est nécessaire. Tout serveur DNS
qui fonctionne comme partie intégrante d’Active Directory est également par
défaut un serveur principal pour les zones intégrées à l’annuaire.
Pour les zones principales intégrées dans l’annuaire, les serveurs secondaires
sont pris en charge mais ne sont pas requis pour la tolérance de panne. Par
exemple, deux serveurs DNS qui fonctionnent comme contrôleurs de domaine
Windows 2000 peuvent être des serveurs principaux redondants pour une zone
et offrir les fonctionnalités d’un serveur secondaire supplémentaire tout en
incluant d’autres avantages.
Étant donné que le fichier de zone est stocké dans le contexte de dénomination
de domaine Active Directory, les contrôleurs de domaine doivent être situés
dans le même domaine pour agir comme serveurs principaux redondants d’une
zone. Lorsque les informations de cette zone doivent être partagées entre
plusieurs domaines, un serveur de zone secondaire standard doit être créé.
Examen du fichier de zone
Les enregistrements de ressources d’un fichier de
zone peuvent contenir les informations de l’ordinateur
suivantes :
# Nom FQDN
# Adresse IP
# Alias
Zone
Serveur
DNS Fichier de
base de
données
de zone
@ NS casablanca.africa1.nwtraders.msft.
casablanca A 192.168.11.1
marrakech CNAME casablanca.africa1.nwtraders.msft.
@ NS casablanca.africa1.nwtraders.msft.
casablanca A 192.168.11.1
marrakech CNAME casablanca.africa1.nwtraders.msft.
EEnnrreeggiissttrreemmeennttssddee rreessssoouurrcceess
****
Les fichiers de zone contiennent des informations qui permettent au serveur
DNS d’effectuer deux tâches différentes : la conversion des noms d’hôte en
adresses IP et celle des adresses IP en noms d’hôte. Ces informations sont
stockées sous la forme d’enregistrements de ressources qui complètent le fichier
de zone.
Un fichier de zone contient les données de résolution de noms relatives à une
zone, notamment les enregistrements de ressources qui contiennent les
informations de réponse aux requêtes DNS. Les enregistrements de ressources
représentent des entrées dans la base de données qui contiennent différents
attributs d’un ordinateur, notamment le nom de l’hôte ou le nom de domaine
complet (FQDN), l’adresse IP ou l’alias.
Les serveurs DNS peuvent contenir les types d’enregistrements de ressources
répertoriés ci-dessous.
Type d’enregistrement de ressource Fonction
A (hôte) Contient les informations de mappage d’un nom en une adresse IP
permettant de mapper un nom de domaine DNS en une adresse IP hôte du
réseau. Un enregistrement de ressource A est également appelé un
enregistrement hôte.
NS (serveur de noms) Désigne les noms de domaine DNS des serveurs qui font autor
ité pour une
certaine zone ou qui contiennent le fichier de zone de ce domaine.
CNAME (nom canonique) Permet de fournir des noms supplémentaires à un serveur qu
i dispose déjà
d’un nom dans un enregistrement de ressource hôte (A). Par exemple, si le
serveur appelé webserver1.nwtraders.msft héberge le site Web de
nwtraders.msft, il doit avoir le nom commun de www.nwtraders.msft. Un
enregistrement de ressource CNAME est également appelé un
enregistrement d’alias.
Mettre en évidence certains
des attributs inclus dans un
enregistrement de
ressource qui est contenu
dans un fichier de zone.
Introduction
Les serveurs DNS utilisent
des fichiers de zone pour
rechercher les informations
dont ils ont besoin pour la
(suite)
Type d’enregistrement de ressource Fonction
MX (serveur de messagerie) Indique le serveur vers lequel les applications de me
ssagerie électronique
peuvent envoyer les messages. Par exemple, si votre serveur de messagerie
fonctionne sur l’ordinateur mail1.nwtraders.msft et si vous souhaitez que
tous les messages destinés à nom_d’utilisateur@nwtraders.msft soit livrés
à ce dernier, l’enregistrement de ressource MX doit exister dans la zone de
nwtraders.msft et pointer sur le serveur de messagerie de ce domaine.
SOA (source de noms) Indique le point de départ ou le point d’origine de la sour
ce des
informations stockées dans une zone. L’enregistrement de ressource SOA
est le premier enregistrement de ressource créé lorsque vous ajoutez une
nouvelle zone. Il contient également plusieurs paramètres exploités par les
autres ordinateurs qui utilisent le système DNS pour déterminer la durée
d’utilisation des informations relatives à la zone et la fréquence des mises à
jour nécessaires.
PTR (pointeur) Utilisé dans une zone de recherche inversée créée dans le domaine
in-addr.arpa pour désigner un mappage inversé d’une adresse IP hôte vers
un nom de domaine DNS hôte.
SRV (service) Enregistré par les services pour permettre aux clients de localise
r un
service à l’aide de DNS. Les enregistrements SRV, également appelés
enregistrements de recherche de service, permettent d’identifier les
services dans Active Directory.
Création d’une zone de recherche standard
Recherche directe
Serveur DNS
AAddrreesssseeIIPP ddee nnwwttrraaddeerrss..mmssfftt??
AAddrreesssseeIIPP == 119922.1.116688.1.11..5500
Recherche inversée
Serveur DNS
NNoomm ddee 119922.1.116688..11..5500 ??
NNoomm == nnwwttrraaddeerrss..mmssfftt
****
Dans la plupart des recherches DNS, les clients effectuent en général une
recherche directe qui représente une requête de mappage d’un nom d’ordinateur
en une adresse IP. DNS inclut également un processus de recherche inversée
qui permet aux clients de rechercher un nom d’ordinateur à partir de son adresse
IP.
Les informations contenues dans cette section concernent
uniquement les zones standard.
Création d’une zone de recherche directe
Pour créer une zone de recherche directe, cliquez sur Recherche directe dans la
page Sélectionnez le type de recherche de zone de l’Assistant Nouvelle zone.
L’Assistant vous guide tout au long du processus de dénomination de la zone et
du fichier de zone. L’Assistant crée automatiquement la zone, le fichier de zone
et les enregistrements de ressources nécessaires pour le serveur DNS sur lequel
vous créez la zone.
Création d’une zone de recherche inversée
Pour créer une zone de recherche inversée, cliquez sur Recherche inversée
dans la page Sélectionnez le type de recherche de zone de l’Assistant
Nouvelle zone. L’Assistant vous guide tout au long du processus de
spécification de l’identification du réseau ou du nom de zone, et du processus d
e
vérification du nom du fichier de zone basé sur les informations d’identificatio
n
du réseau. L’Assistant crée automatiquement la zone, le fichier de zone et les
enregistrements de ressources nécessaires pour le serveur DNS sur lequel vous
créez la zone.
Le domaine in-addr.arpa est un domaine DNS supérieur spécial, réservé au
mappage inversé des adresses IP en noms d’hôtes DNS. Pour créer l’espace de
noms inversé, définissez des sous-domaines dans le domaine in-addr.arpa en
inversant l’ordre des chiffres dans la notation décimale pointée des adresses IP
.
Montrer les processus de
recherche directe et
inversée.
Introduction
Vous pouvez autoriser les
clients à effectuer une
recherche directe ou
inversée en créant une zone
de recherche
correspondante.
La diapositive de cette
section comprend une
animation. Cliquez sur
ESPACE ou appuyez sur la
barre d’espace pour passer
à la séquence suivante de
l’animation.
Remarque
Conformément aux normes RFC, le nom de la zone de recherche inversée
requiert le suffixe de domaine in-addr.arpa. Lorsque vous créez une zone de
recherche inversée, le suffixe in-addr.arpa est automatiquement ajouté à la fin
de l’identification du réseau. Par exemple, si le réseau utilise l’identifiant r
éseau
de classe B 172.16.0.0, le nom de la zone de recherche inversée sera
16.172.in-addr.arpa.
Pour plus d’informations sur le suffixe de domaine in-addr.arpa,
consultez le document RFC 2317, Classless IN-ADDR.ARPA delegation, situé
sous Lectures complémentaires (en anglais) sur la page Web du CD-ROM du
stagiaire.
Expliquez que l’Assistant
Nouvelle zone ajoute
automatiquement le suffixe
in-addr.arpa au nom de la
zone de recherche inversée.
Remarque
" Configuration des zones
! Configuration d’une zone standard
! Processus de transfert de zone
! Configuration d’un transfert de zone
! Création d’un sous-domaine
! Configuration des zones intégrées à
Active Directory
****
Une zone est définie par les informations qui sont stockées dans le fichier de
zone sur le serveur DNS. Dans le cas des zones intégrées à Active Directory, les
fichiers de zones sont stockés sous la forme d’objets dans Active Directory. Les
serveurs DNS font référence à ces informations pour effectuer la résolution de
noms.
Vous devez configurer une zone pour permettre au serveur d’autorité DNS
d’assurer la résolution de noms pour les clients DNS et les autres serveurs DNS.
Lorsque vous configurez une zone, vous déterminez le type du fichier de zone
stocké sur un serveur DNS, ainsi que les procédures de mise à jour du fichier de
zone.
Présenter les concepts et
les options de configuration
liés à la configuration d’une
zone.
Introduction
Les informations sur les
zones sont stockées dans
un fichier de zone et vous
pouvez configurer une zone
de différentes manières.
Configuration d’une zone standard
! Vous pouvez configurer un serveur DNS pour héberger des
zones principales standard, des zones secondaires standard
ou toute combinaison de zones
! Vous pouvez désigner un serveur principal ou un serveur
secondaire en tant que serveur maître d’une zone secondaire
standard
Serveur DNS A
Serveur DNS B
Zone secondaire
(Serveur DNS maître =
Serveur DNS A)
Serveur DNS C
Zone secondaire
(Serveur DNS maître =
Serveur DNS A)
Zone principale
Informations
de zone
A
B C
****
Pour chaque zone, le serveur qui tient à jour les fichiers des zones principales
standard est appelé le serveur principal, tandis que les serveurs qui hébergent
les fichiers des zones secondaires standard sont appelés serveurs secondaires.
Un serveur DNS peut héberger le fichier de zone principale standard (en tant
que serveur principal) spécifique à une zone, ainsi que le fichier de la zone
secondaire standard (en tant que serveur secondaire) spécifique à une autre
zone.
Vous pouvez configurer un ou plusieurs serveurs DNS pour héberger les
éléments suivants :
! une ou plusieurs zones principales standard ;
! une ou plusieurs zones secondaires standard ;
! une combinaison de zones principales et secondaires standard.
Vous devez créer une zone principale standard avant de créer une
zone secondaire standard.
Montrer les zones
principales et secondaires et
indiquer que ces deux types
de zones peuvent être
désignés en tant que
serveurs maîtres.
Introduction
Vous pouvez configurer les
zones standard en tant que
zones principales ou
secondaires. Une zone
principale standard contient
la copie principale d’un
fichier de zone, tandis
qu’une zone secondaire
standard représente un
réplica d’un fichier de zone
existant.
Point clé
Vous devez créer une zone
principale standard avant de
créer une zone secondaire
standard.
Remarque
Spécification d’un serveur DNS maître pour une zone
secondaire
Lorsque vous ajoutez une zone secondaire standard, vous devez désigner un ou
plusieurs serveurs DNS à partir desquels vous pouvez obtenir les informations
relatives aux zones. Le(s) serveur(s) désigné(s) sont appelés serveur DNS
maître. Le serveur DNS maître transfère au serveur DNS secondaire les
informations relatives aux zones. Vous pouvez désigner un serveur principal ou
un autre serveur secondaire en tant que serveur DNS maître d’une zone
secondaire standard.
Spécification d’un serveur DNS maître
Pour spécifier un serveur DNS maître, accédez à la page Serveurs maîtres de
l’Assistant Nouvelle zone, tapez l’adresse IP du serveur maître dans la zone
Adresse IP, puis cliquez sur Ajouter.
Spécification de plusieurs serveurs DNS maîtres
Pour spécifier plusieurs serveurs DNS maîtres, utilisez la même procédure pour
ajouter d’autres adresses IP de serveurs DNS maîtres dans la liste. Ces serveurs
sont contactés dans l’ordre affiché par l’Assistant. Vous pouvez trier la liste
afin
de changer l’ordre selon lequel les serveurs DNS maîtres sont contactés. Pour
cela, utilisez la feuille de propriétés des zones secondaires incluse dans le
composant logiciel enfichable MMC (Microsoft Management Console) de
DNS. Pour trier la liste, cliquez sur une adresse IP, puis cliquez sur Vers le
haut ou sur Vers le bas.
Point clés
Le serveur qui contient la
zone secondaire standard
reçoit les fichiers de zone
mis à jour à partir d’un
serveur DNS maître.
Le serveur DNS maître est
configuré pour informer les
serveurs secondaires des
modifications apportées au
fichier de zone.
Processus de transfert de zone
Un transfert de zone est initialisé si :
# un serveur DNS maître envoie une notification de
modification de zone au(x) serveur(s) secondaire(s)
# le serveur secondaire interroge un serveur DNS
maître pour connaître les modifications apportées
au fichier de zone
Serveur
DNS
(maître)
nwtraders
support formation
Fichier de base de
données de la zone
principale
Fichier de base de
données de la zone
secondaire
Serveur
DNS
Zone 1
****
Pour fournir la disponibilité et la tolérance de panne nécessaire à la résolutio
n
de noms, les données des zones doivent être disponibles à partir de plusieurs
serveurs DNS sur le réseau. Par exemple, si un serveur DNS est utilisé et que le
serveur ne répond pas, les requêtes de noms échouent. Lorsque plusieurs
serveurs sont configurés pour héberger une zone, les transferts de zone sont
nécessaires pour répliquer et synchroniser les données des zones sur tous les
serveurs qui sont configurés pour héberger la zone.
Transfert de zone
Le transfert de zone est le processus de réplication d’un fichier de zone vers u
n
autre serveur DNS. Les transferts de zone se produisent lorsque le mappage des
noms et adresses IP change dans votre domaine. Lorsque ceci se produit, les
fichiers de zone modifiés sont copiés d’un serveur maître vers les serveurs
secondaires qui lui sont associés.
Transfert de zone incrémentiel
Dans Windows 2000, les informations sur les zones sont mises à jour par un
transfert de zone incrémentiel (IXFR) qui réplique uniquement les
modifications dans le fichier de zone, au lieu de répliquer le fichier de zone
entier. Les serveurs DNS qui ne prennent pas en charge le transfert IXFR
requièrent le contenu entier d’un fichier de zone lorsqu’ils initialisent un
transfert de zone. Ils effectuent dans ce cas un transfert de zone complet
(également appelé AXFR).
Pour plus d’informations sur le transfert IXFR, consultez le
document RFC 1995, Incremental Zone Transfer in DNS, situé sous Lectures
complémentaires (en anglais) sur la page Web du CD-ROM du stagiaire.
Montrer le processus de
transfert de zone.
Introduction
Le processus de transfert de
zone représente l’interaction
des serveurs DNS pour
mettre à jour et synchroniser
les fichiers de zone.
Point clés
Pour fournir la tolérance de
panne, stockez les données
des zones sur plusieurs
serveurs DNS.
Le processus de transfert de
zone vérifie que les
données des zones sont à
jour sur tous les serveurs
DNS configurés pour
héberger la zone.
Remarque
Le processus de transfert de zone commence lorsque l’un des événements
suivants se produit :
! Un serveur maître envoie une notification de changement dans la zone vers
un ou plusieurs serveurs secondaires. Lorsque le serveur secondaire reçoit la
notification, il interroge le serveur maître afin de connaître les
modifications.
! Chaque serveur secondaire interroge périodiquement un serveur maître pour
connaître les modifications effectuées dans le fichier de zone, même si les
serveurs secondaires n’ont pas été informés de ces modifications. Ceci se
produit lorsque le service Serveur DNS démarre sur le serveur secondaire,
ou lorsque l’intervalle d’actualisation expire sur le serveur secondaire.
Configuration d’un transfert de zone
****
Vous pouvez contrôler la fréquence et la période d’un transfert de zone en
modifiant l’enregistrement de ressource SOA (source de noms).
L’enregistrement de ressource SOA spécifie les domaines pour lesquels la zone
fait autorité et les paramètres des procédures de transfert de zone. Il contient
également des informations administratives concernant la zone.
Modification de l’enregistrement de ressource SOA
Pour modifier l’enregistrement de ressource SOA, changez la valeur de l’un des
paramètres suivants sous l’onglet Source de noms (SOA) de la boîte de
dialogue Propriétés associée à la zone :
! Numéro de série. Enregistre les mises à jour effectuées dans le fichier de
zone. Chaque fois que la base de données de la zone est modifiée, le numéro
de série est incrémenté. Lorsqu’un serveur secondaire interroge son serveur
principal au sujet des mises à jour, il utilise le numéro de série pour
déterminer si les modifications ont été effectuées dans une zone. Si le
numéro a changé, un transfert de zone se produit pour mettre à jour les
enregistrements sur le serveur secondaire.
! Serveur principal. Spécifie le nom de domaine complet (FQDN) du
serveur principal.
Montrer l’interface utilisateur
de configuration des
transferts de zone.
Introduction
Vous pouvez modifier
l’enregistrement de
ressource SOA pour
configurer la fréquence des
transferts de zone. Vous
pouvez également modifier
les propriétés des zones
pour activer les transferts de
zone et spécifier les
serveurs qui doivent être
notifiés lors de la mise à jour
d’un fichier de zone.
Il n’est pas nécessaire
d’expliquer en détail
chacune des propriétés de
transfert de zone.
Décrivez-les brièvement et
suggérez aux stagiaires
qu’ils revoient ces
informations en profondeur
en dehors du cours.
! Personne responsable. Indique l’adresse électronique SMTP (Simple Mail
Transfer Protocol) de la personne responsable du serveur. Cette valeur doit
contenir l’adresse électronique de la personne chargée de vérifier les
messages électroniques régulièrement.
Lorsque les transferts de zone ne fonctionnent pas correctement, les
utilisateurs peuvent utiliser l’utilitaire Nslookup pour localiser l’adresse
électronique du responsable et lui envoyer une description du problème par
message électronique. L’utilitaire de ligne de commande Nslookup vous
permet d’effectuer des requêtes DNS de vérification et de dépannage de
votre installation DNS. Exemple :
1. Ouvrez une invite de commande.
2. Tapez Nslookup puis appuyez sur ENTRÉE.
3. Tapez ls t soa nom_de_domaine (où nom_de_domaine représente le
nom du fichier de zone du domaine), puis appuyez sur ENTRÉE.
Dans la réponse de Nslookup, remplacez le symbole @ par un
point en tapant l’adresse électronique de la personne responsable.
! Intervalle d’actualisation. Contrôle la fréquence d’interrogation d’un
serveur secondaire vers son serveur maître pour connaître les nouvelles
données. Lorsque les données DNS changent constamment, diminuez cette
valeur pour vous assurer que les données DNS sont mises à jour à temps.
Toutefois, la diminution de cette valeur peut augmenter le volume du trafic
réseau.
! Intervalle avant nouvelle tentative. Contrôle la fréquence à laquelle un
serveur secondaire va essayer de mettre à jour son fichier de zone.
Lorsqu’un serveur secondaire ne peut pas contacter son serveur maître,
l’intervalle entre deux tentatives détermine la durée d’attente du serveur
secondaire avant sa nouvelle tentative de contact du serveur maître.
! Expire après. Contrôle la durée pendant laquelle un serveur secondaire
utilise les données de sa zone actuelle pour répondre aux requêtes lorsqu’il
ne peut pas interroger son serveur maître en raison de problèmes réseau. À
l’expiration de l’intervalle, si le serveur secondaire ne peut pas contacter son
serveur maître, il cesse d’assurer la résolution de noms pour cette zone.
Augmentez cette valeur si vos serveurs secondaires ne parviennent pas à
contacter un serveur maître pendant une longue période de temps.
! Durée de vie (TTL) minimale. Spécifie la durée de vie (TTL,
Time-to-Live), c’est-à-dire la durée minimum pendant laquelle un serveur
peut mettre en cache les informations relatives à une zone. Augmentez cette
valeur si les noms de votre réseau ne changent pas fréquemment.
! Durée de vie pour cet enregistrement. Spécifie la durée de vie de
l’enregistrement de ressource SOA.
Remarque
Configuration de la sécurité du transfert des zones
Vous pouvez spécifier les serveurs qui sont autorisés à recevoir des transferts
de
zone pour la zone en question, en configurant l’une des options suivantes dans
l’onglet Transferts de zone de la boîte de dialogue Propriétés de la zone :
! Vers n’importe quel serveur. Permet de répliquer les informations
relatives aux zones vers un serveur.
! Uniquement vers les serveurs listés dans l’onglet Serveurs de noms.
Permet de répliquer les informations relatives aux zones uniquement vers
les serveurs affichés sous l’onglet Serveurs de noms de la boîte de dialogue
Propriétés de la zone. L’onglet Serveurs de noms contient la liste des
serveurs situés dans le même domaine que la zone.
! Uniquement vers les serveurs suivants. Cette option indique si vous
souhaitez autoriser les transferts de zone uniquement vers les serveurs
répertoriés sous la section Adresse IP de l’onglet Transferts de zone dans
la boîte de dialogue Propriétés de la zone.
L’option Vers n’importe quel serveur pourrait laisser votre fichier
DNS ouvert et accessible à la commande nslookup ls -d nomdezone, où les
transferts de zone peuvent être initialisés par une personne non autorisée.
Utilisez l’onglet Uniquement vers les serveurs listés dans l’onglet Serveurs
de noms ou les paramètres Uniquement vers les serveurs suivants pour
empêcher que ce type de risque ne se produise.
Configuration des notifications
Vous pouvez également configurer un serveur DNS maître pour inclure la liste
des serveurs secondaires qui doivent être notifiés de la mise à jour d’un fichie
r
de zone. Lorsqu’un serveur secondaire reçoit une notification de son serveur
DNS maître l’informant que des modifications ont été effectuées dans le fichier
de zone, il initialise un transfert de zone pour mettre à jour ses enregistremen
ts.
Vous pouvez utiliser la Notification DNS pour configurer un serveur maître afin
qu’il prévienne les serveurs secondaires des modifications apportées à la zone.
Le serveur secondaire envoie alors une requête au serveur DNS maître afin
d’obtenir les informations mises à jour. Lorsqu’une modification est effectuée
dans la zone principale, le système DNS met à jour le numéro de série du
fichier de zone. Dans ce cas, un serveur DNS maître informe les serveurs
secondaires qui figurent dans la liste de notifications, puis les serveurs
secondaires qui reçoivent la notification extraient les informations mises à jou
r.
Pour plus d’informations sur la notification DNS, consultez le
document RFC 1996, A Mechanism for Prompt DNS Notification of Zone
Changes, situé sous Lectures complémentaires (en anglais) sur la page Web
du CD-ROM du stagiaire.
Pour configurer la liste des notifications, ouvrez la boîte de dialogue Propriét
és
de la zone, cliquez sur l’onglet Transferts de zone, puis sur le bouton Avertir.
Spécifiez ensuite le(s) serveur(s) secondaire(s) que le serveur maître doit
automatiquement informer des mises à jour effectuées dans la zone.
Remarque
Décrivez le processus de
notification.
Remarque
Expliquez comment
configurer la liste des
notifications.
Création d’un sous-domaine
oorrgg ccoom eedduu aauu
..
microsoft
formation
SSoouuss--ddoommaaiinnee DDoommaaiinnee sseeccoonnddaaiirree DDoomaaiinnee ssuup
pérriieeuurr RRaacciinnee
! Créez un sous-domaine pour organiser votre espace
de noms
! Déléguez l’autorité d un sous-domaine pour
# déléguer la gestion de certaines parties de l espace de
noms
# déléguer les tâches administratives de mise à jour d’une
base de données DNS volumineuse
formation.microsoft.com
****
Un sous-domaine, également appelé domaine enfant, est un domaine DNS situé
directement sous un autre domaine dans la structure hiérarchique du système
DNS. Le domaine situé immédiatement au-dessus du sous-domaine est appelé
domaine parent. Par exemple, training.microsoft.com est un sous-domaine de
microsoft.com.
Création d’un sous-domaine dans une zone existante
Vous pouvez créer des sous-domaines pour organiser une zone et fournir une
structure à votre espace de noms. La division de votre espace de noms en
sous-domaines peut être comparée à la création de dossiers et de sous-dossiers
sur un disque dur. Les sous-domaines reposent généralement sur des divisions
départementales ou géographiques au sein d’une organisation.
Pour créer un sous-domaine, ouvrez DNS, puis, dans l’arborescence de la
console, cliquez sur Zones de recherche directes ou Zones de recherche
inversée. Cliquez sur le nom de la zone dans laquelle vous souhaitez créer un
sous-domaine, cliquez avec le bouton droit sur son nom, puis cliquez sur
Nouveau domaine. Tapez le nom du sous-domaine dans la boîte de dialogue
Nouveau domaine, puis cliquez sur OK.
Création d’un sous-domaine dans une nouvelle zone
Vous pouvez déléguer l’autorité d’un sous-domaine à un serveur DNS afin qu’il
gère cette partie de votre espace de noms DNS. La délégation de l’autorité vous
permet d’effectuer les tâches suivantes :
! déléguer la gestion d’un domaine DNS à un certain nombre de départements
(sous-domaines) au sein d’une organisation ;
! déléguer les tâches administratives de mise à jour d’une base de données
DNS volumineuse et désigner différents administrateurs pour gérer les
serveurs DNS dans le sous-domaine.
Montrer les différents
niveaux de l’espace de
noms du domaine.
Introduction
Un sous-domaine (ou
domaine enfant) est un
domaine DNS situé
directement sous un autre
domaine (ou domaine
parent) dans l’arborescence
de l’espace de noms.
Expliquez la création d’un
sous-domaine.
Pour déléguer l’autorité d’un sous-domaine, ouvrez DNS, puis, dans
l’arborescence de la console, cliquez sur Zones de recherche directes ou
Zones de recherche inversée. Cliquez sur le nom du domaine pour lequel vous
souhaitez déléguer l’autorité. Cliquez avec le bouton droit sur le nom du
domaine puis cliquez sur Nouvelle délégation.
L’Assistant Nouvelle délégation vous guide tout au long du processus de
spécification du nom du domaine auquel vous déléguez l’autorité. L’Assistant
vous guide également tout au long du processus d’ajout des noms et adresses IP
des serveurs d’hébergement du domaine délégué.
Après avoir exécuté l’Assistant Nouvelle délégation, le serveur auquel vous
déléguez l’autorité doit disposer d’un fichier de zone créé pour le sous-domaine
délégué. L’Assistant Nouvelle zone vous guide tout au long de ce processus.
Expliquez la procédure de
délégation de l’autorité d’un
sous-domaine.
Atelier A : Installation et configuration du service DNS
****
Objectifs
À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :
! installer le service Serveur DNS ;
! déléguer l’autorité pour un domaine ;
! créer des zones de recherche directe et inversée.
Conditions préalables
Avant de poursuivre, vous devez vous familiariser avec les concepts et le
fonctionnement du système DNS.
Scénario
Votre société, Northwind Traders, effectue une migration vers Windows 2000,
et une partie de cette opération implique la configuration des domaines DNS à
utiliser au sein de l’organisation. Le nom de domaine de votre société est
nwtraders.msft, et les différentes régions géographiques de votre société ont ét
é
associées à des sous-domaines.
Durée approximative de cet atelier : 15 minutes
Dans un autre environnement que celui de la classe, il est vivement
conseillé d’installer les dernières mises à jour logicielles nécessaires. Comme
il
s’agit ici d’un environnement purement pédagogique, il est possible que les
logiciels utilisés ne comprennent pas les mises à jour les plus récentes.
Présenter l’atelier.
Introduction
Dans cet atelier, vous allez
installer et configurer le
service Serveur DNS.
L’atelier ne reflète pas un
environnement réel. Il est
recommandé de toujours
définir des mots de passe
complexes pour tous les
comptes d’administrateur et
de ne jamais créer de
comptes sans mot de
passe.
Dans un autre
environnement que celui la
classe, il est vivement
conseillé d’installer les
dernières mises à jour
logicielles nécessaires.
Comme il s’agit ici d’un
environnement purement
pédagogique, il est possible
que les logiciels utilisés ne
comprennent pas les mises
à jour les plus récentes.
Important
Mise en place de l’atelier
Tâche Procédure détaillée
• Ouvrez une session sur le
domaine en tant
qu’Administrateur avec le
mot de passe password.
a. Appuyez sur CTRL+ALT+SUPPR pour ouvrir la page d’ouverture de
session.
b. Dans la zone Utilisateur, tapez Administrateur
c. Dans la zone Mot de passe, tapez password
d. Dans la zone Domaine, vérifiez que votre domaine est répertorié.
e. Cliquez sur OK.
Cet atelier ne reflète pas un environnement réel. Il est recommandé
de toujours définir des mots de passe complexes pour tous les comptes
d’administrateur et d’utilisateur et de ne jamais créer de comptes sans mot de
passe.
Adresse IP et nom de domaine complet (FQDN) de
l’ordinateur d’un stagiaire
Le tableau ci-dessous fournit l’adresse IP et le nom FQDN de l’ordinateur de
chaque stagiaire au sein du domaine fictif nwtraders.msft. Recherchez le
numéro de stagiaire qui vous a été attribué par l’instructeur et notez l’adresse
IP
(où x représente le numéro affecté à la classe) et le nom FQDN associé au
numéro du stagiaire.
Ordinateur de
l’instructeur
Adresse IP
Nom FQDN
London 192.168.222.200 london.nwtraders.msft
Glasgow 192.168.x.201 glasgow.nwtraders.msft
Numéro de
stagiaire
Adresse IP
Nom FQDN
1 192.168.x.1 vancouver.vancouverdom.nwtraders.msft
2 192.168.x.2 denver.denverdom.nwtraders.msft
3 192.168.x.3 perth.perthdom.nwtraders.msft
4 192.168.x.4 brisbane.brisbanedom.nwtraders.msft
5 192.168.x.5 lisbon.lisbondom.nwtraders.msft
6 192.168.x.6 bonn.bonndom.nwtraders.msft
7 192.168.x.7 lima.limadom.nwtraders.msft
8 192.168.x.8 santiago.santiagodom.nwtraders.msft
9 192.168.x.9 bangalore.bangaloredom.nwtraders.msft
10 192.168.x.10 singapore.singaporedom.nwtraders.msft
11 192.168.x.11 casablanca.casablancadom.nwtraders.msft
12 192.168.x.12 tunis.tunisdom.nwtraders.msft
13 192.168.x.13 acapulco.acapulcodom.nwtraders.msft
Important
(suite)
Numéro de
stagiaire
Adresse IP
Nom FQDN
14 192.168.x.14 miami.miamidom.nwtraders.msft
15 192.168.x.15 auckland.aucklanddom.nwtraders.msft
16 192.168.x.16 suva.suvadom.nwtraders.msft
17 192.168.x.17 stockholm.stockholmdom.nwtraders.msft
18 192.168.x.18 moscow.moscowdom.nwtraders.msft
19 192.168.x.19 caracas.caracasdom.nwtraders.msft
20 192.168.x.20 montevideo.montevideodom.nwtraders.msft
21 192.168.x.21 manila.maniladom.nwtraders.msft
22 192.168.x.22 tokyo.tokyodom.nwtraders.msft
23 192.168.x.23 khartoum.khartoumdom.nwtraders.msft
24 192.168.x.24 nairobi.nairobidom.nwtraders.msft
Exercice 1
Installation du service Serveur DNS
Dans cet exercice, vous allez configurer le nom de domaine de votre ordinateur e
t installer le
Scénario
Votre organisation dispose actuellement de serveurs DNS installés pour gérer les
zones de
nwtraders.msft et celles de votre sous-domaine. Vous êtes responsable de l’insta
llation et de la
configuration des serveurs DNS pour votre sous-domaine. Ces serveurs doivent héb
erger votre
sous-domaine régional.
1. Installez le service Serveur
DNS
a. Dans le Panneau de configuration, double-cliquez sur l’icône
Ajout/Suppression de programmes, puis cliquez sur
Ajouter/Supprimer des composants Windows.
Important : Dans la procédure détaillée ci-dessous, cliquez sur le texte Service
s de mise en réseau au
lieu d’activer la case à cocher pour éviter de sélectionner toutes les options s
ituées sous Services de
mise en réseau.
1. (suite) b. Dans l’Assistant Composants de Windows, sur la page Composants de
Windows, sous la section Composants, cliquez sur Services de mise
en réseau, puis cliquez sur Détails.
c. Dans la boîte de dialogue Services de mise en réseau, activez la case à
cocher Système de nom de domaine (DNS), puis cliquez sur OK.
d. Dans l’Assistant Composants de Windows, cliquez sur Suivant.
e. Lorsque la boîte de dialogue Fichiers nécessaires apparaît, tapez
\\London\Winsrc\Winntsrc puis cliquez sur OK.
f. Lorsque le processus de configuration est terminé, cliquez sur
Terminer, puis fermez toutes les fenêtres.
Exercice 2
Délégation de l’autorité pour un domaine
Dans cet exercice, vous allez déléguer l’autorité du serveur DNS de l’instructeu
r au serveur DNS du
stagiaire qui va héberger la zone principale du nouveau sous-domaine.
Scénario
Vous allez créer un nouveau sous-domaine pour votre région qui sera hébergé sur
votre serveur.
Pour permettre à la hiérarchie DNS de localiser votre domaine, vous devez délégu
er l’autorité du
domaine parent (nwtraders.msft) à votre domaine.
1. Ajoutez le serveur DNS de
l’instructeur à votre console
DNS.
a. Cliquez sur Démarrer, pointez sur Programmes, sur Outils
d’administration, cliquez avec le bouton droit sur DNS, puis cliquez
sur Exécuter en tant que.
b. Dans la boîte de dialogue Exécuter en tant qu’utilisateur différent,
dans la zone Nom d’utilisateur, tapez Administrateur Dans la zone
Mot de passe, tapez password et dans la zone Domaine, tapez
nwtraders puis cliquez sur OK.
c. Dans l’arborescence de la console, cliquez avec le bouton droit sur
DNS, puis cliquez sur Connecter à l ordinateur.
d. Dans la boîte de dialogue Sélection de l’ordinateur de destination,
cliquez sur L’ordinateur suivant, tapez London dans la zone de texte,
puis cliquez sur OK.
Pourquoi avez-vous utilisé le compte de l’administrateur du domaine nwtraders da
ns la commande Exécuter
en tant que ?
Seul le compte de l’administrateur sur le domaine et les membres du groupe local
du domaine
DNSadmins sont habilités à configurer DNS sur le contrôleur du domaine.
2. Déléguez l’autorité de
domaine.nwtraders.msft à
votre serveur DNS.
a. Dans l’arborescence de la console, développez London, Zones de
recherche directes, puis nwtraders.msft.
b. Dans l’arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Nouvelle délégation.
c. Dans la page Bienvenue, cliquez sur Suivant.
d. Dans la page Nom du domaine délégué, tapez nom_du_serveur (où
nom_du_serveur représente le nom de votre serveur) dans la zone
Domaine délégué, puis cliquez sur Suivant.
e. Dans la page Serveurs de noms, cliquez sur Ajouter.
f. Dans la boîte de dialogue Nouvel enregistrement de ressource, tapez
le nom FQDN de votre ordinateur dans la zone Nom du serveur,
cliquez sur Résoudre, puis sur OK.
g. Dans la page Serveurs de noms, cliquez sur Suivant.
h. Dans la page L’Assistant Nouvelle délégation est terminé, cliquez sur
Terminer.
Après la délégation, sur quel serveur serait créée une entrée DNS pour Denver.De
nverdom.nwtraders.msft ?
Denver, car le serveur Denver est configuré comme l’autorité déléguée pour la zo
ne DNS
Denverdom.nwtraders.msft.
Exercice 3
Création de zones de recherche directe et inversée
Dans cet exercice, vous allez créer des zones de recherche directe et inversée.
Scénario
Après avoir délégué l’autorité de votre sous-domaine à votre serveur, vous devez
créer les zones de
recherche pour héberger les enregistrements DNS de votre sous-domaine.
1. Ajouter une zone de
recherche principale directe
pour
domain.nwtraders.msft.
a. Dans l’arborescence de la console, cliquez sur serveur (où serveur
représente le nom de votre ordinateur), puis cliquez avec le bouton
droit sur serveur et cliquez sur Configurer le serveur.
b. Dans la page Bienvenue, cliquez sur Suivant.
c. Dans la page Zone de recherche directe, vérifiez que l’option Oui,
créer une zone de recherche directe est sélectionnée, puis cliquez sur
Suivant.
d. Dans la page Type de zone, vérifiez que l’option Zone principale
standard est sélectionnée, puis cliquez sur Suivant.
e. Dans la page Nom de la zone, dans la zone Nom, entrez
domaine.nwtraders.msft (où domaine représente le nom de votre
domaine), puis cliquez sur Suivant.
f. Dans la page Fichier de zone, vérifiez que l’option Créer un nouveau
fichier avec ce nom de fichier est sélectionnée, puis cliquez sur
Suivant.
2. Ajout d’une zone de
recherche inversée
secondaire standard pour
votre sous-réseau.
a. Dans la page Zone de recherche inversée, vérifiez que l’option Oui,
créer une zone de recherche inversée est sélectionnée, puis cliquez
sur Suivant.
b. Dans la page Type de zone, cliquez sur Zone secondaire standard,
puis sur Suivant.
c. Dans la page Zone de recherche inversée, dans la zone ID réseau,
tapez les trois premiers octets de l’adresse IP de votre serveur (par
exemple, si votre adresse IP est 192.168.1.1, tapez 192.168.1), puis
cliquez sur Suivant.
d. Sur page Serveurs DNS maîtres, dans la zone Adresse IP, tapez
192.168.222.200 (adresse IP de l’ordinateur de l’instructeur), cliquez
sur Ajouter, puis sur Suivant.
e. Dans la page Fin de l’Assistant Configuration de serveur DNS,
cliquez sur Terminer.
f. Fermez toutes les fenêtres, puis la session.
Quelle est la différence entre une requête de recherche directe et une requête d
e recherche inversée ? Quel est
le type de requête le plus utilisé sur Internet ?
Les requêtes de recherche directe utilisent un nom DNS pour localiser l’adresse
IP correspondante.
Les requêtes de recherche inversée utilisent une adresse IP pour localiser un no
m d’hôte.
Les requêtes directes sont les plus utilisées sur Internet.
Configuration des zones intégrées à Active Directory
Les données des zones intégrées à Active Directory sont
# stockées sous la forme d’un objet Active Directory
# répliquées dans le cadre de la réplication de domaine
Zone
intégrée à
Active
Directory
nwtraders.msft
Serveur
Active DNS
Directory
****
Dans les zones intégrées à Active Directory, les données sont stockées sous la
forme d’un objet Active Directory et sont répliquées dans le cadre de la
réplication du domaine. Les zones intégrées à Active Directory offrent les
avantages suivants :
! Mises à jour principales multiples. Grâce aux zones intégrées à
Active Directory, les modifications effectuées à l’aide du protocole de mise
à jour dynamique peuvent être effectuées sur n’importe quel serveur qui
héberge la zone intégrée à Active Directory, plutôt que sur un seul serveur.
! Tolérance de panne. Toutes les zones intégrées à Active Directory sont
principales. Ainsi, chaque contrôleur de domaine qui héberge une zone
intégrée à Active Directory conserve les informations relatives aux zones.
Seuls les contrôleurs de domaine résidant dans le domaine Active Directory
qui contient les données de zone peuvent héberger la zone.
! Topologie de réplication unique. Les transferts de zone s’effectuent
automatiquement dans le cadre de la réplication d’Active Directory, ce qui
supprime la nécessité de configurer la réplication de DNS et
d’Active Directory séparément.
! Mises à jour dynamiques sécurisées. Avec les zones intégrées à
Active Directory, vous pouvez définir des autorisations sur les zones et les
enregistrements dans ces zones. Par ailleurs, les mises à jour qui utilisent le
protocole de mise à jour dynamique ne peuvent provenir que d’ordinateurs
autorisés.
Vous pouvez créer des zones intégrées à Active Directory
uniquement sur les serveurs qui sont configurés en tant que contrôleurs de
domaine et qui disposent du service Serveur DNS. Les fichiers de zones des
zones intégrées à Active Directory ne sont pas stockés dans le dossier
systemroot\System32\Dns, car ils sont situés dans des zones standard. Ils sont
stockés sous la forme d’objets Active Directory dans le contexte de
dénomination de domaine.
Montrer le concept de zone
intégrée à Active Directory.
Introduction
Vous pouvez intégrer des
zones DNS dans
Active Directory pour fournir
une tolérance de panne et
renforcer la sécurité.
Si vous placez la même
zone intégrée
d’Active Directory sur
plusieurs serveurs DNS,
chacun de ces serveurs
DNS peut agir comme
serveur principal pour la
zone.
Remarque
Création d’une zone intégrée à Active Directory
Pour créer une zone intégrée à Active Directory, utilisez la procédure de
création d’une zone standard, mais cliquez sur Intégrée à Active Directory sur
la page Type de zone de l’Assistant Nouvelle zone.
Conversion des zones existantes
Avant de convertir une zone existante en une zone intégrée à Active Directory,
vous devez tenir compte des informations suivantes :
! Le serveur qui exécute le service Serveur DNS doit être configuré en tant
que contrôleur de domaine.
! Les zones intégrées à Active Directory sont stockées dans Active Directory.
Lorsque vous stockez une zone dans Active Directory, le fichier de zone est
copié dans Active Directory et supprimé sur le serveur principal de la zone.
Vous pouvez uniquement convertir une zone principale standard en une zone
intégrée à Active Directory. Pour cela, ouvrez la boîte de dialogue Propriétés
de la zone que vous souhaitez convertir. Cliquez sur l’onglet Général, puis sur
Modifier. Dans la boîte de dialogue Modification du type de zone, cliquez sur
Intégrée à Active Directory, puis sur OK.
L’option Intégrée à Active Directory n’est pas disponible dans la
boîte de dialogue Modification du type de zone tant que Active Directory n’est
pas mis en oeuvre.
conversion d’une zone
existante en une zone
intégrée à Active Directory.
Remarque
" Configuration des mises à jour du système DNS
! Présentation des mises à jour dynamiques
! Configuration des mises à jour dynamiques
! Sécurité des mises à jour dynamiques
****
Par défaut, les clients Windows 2000 ou toute version ultérieure peuvent mettre
à jour DNS avec leurs informations de mappage de nom en adresse IP chaque
fois qu’un serveur DHCP (Dynamic Host Configuration Protocol) leur attribue
une adresse IP. Toutefois, les ordinateurs qui exécutent des versions antérieure
s
de Windows, notamment Microsoft Windows NT® et Microsoft Windows 98
n’offrent pas cette fonctionnalité. Pour résoudre ce problème, vous pouvez
configurer un serveur DHCP qui met à jour la base de données du serveur DNS
avec les informations de mappage des noms en adresses IP des ordinateurs
clients. Le serveur DHCP utilise le protocole de mise à jour dynamique pour
mettre à jour le serveur DNS pour le compte des clients situés à un niveau
inférieur.
relatives à l’intégration DNS
et DHCP.
Introduction
Vous pouvez intégrer DNS
et DHCP pour permettre aux
serveurs et aux clients
DHCP de mettre à jour la
base de données du serveur
DNS.
Présentation des mises à jour dynamiques
Ordinateur1
Serveur
DHCP
Serveur DNS Base de
données de
la zone
Ordinateur1
192.168.120.133
Mise à jour
dynamique
Mise à jour
dynamique
DDeemmaannddeedd’’aaddrreesssseeIIPP
Adresse IP attribuAdresse IP attribuée :
192.168.120.133
1
2
! Le protocole de mise à jour dynamique de DNS
permet aux clients de mettre à jour
automatiquement les serveurs DNS
Enregistrement
de nom A
Enregistrement
PTR
****
Vous pouvez configurer un serveur DHCP afin qu’il affecte automatiquement
une adresse IP à un ordinateur client. Lorsqu’un client reçoit une nouvelle
adresse IP d’un serveur DHCP, les informations de mappage des noms en
adresses IP qui sont stockées sur un serveur DNS doivent être mises à jour.
Dans Windows 2000, les serveurs et les clients DHCP peuvent enregistrer et
mettre à jour dynamiquement les informations de mappage des noms en
adresses IP relatives aux serveurs DNS configurés pour prendre en charge les
mises à jour dynamiques.
Les serveurs DNS statiques ne peuvent pas agir dynamiquement
avec DHCP lorsque les configurations des clients changent. Ainsi, il est
recommandé de mettre à niveau tous les serveurs DNS vers une version qui
prend en charge les mises à jour dynamiques.
Protocole de mise à jour dynamique
Le protocole de mise à jour dynamique permet aux ordinateurs clients de mettre
à jour automatiquement leurs enregistrements de ressources sur un serveur DNS
sans aucune intervention de l’administrateur. Par défaut, les ordinateurs
Windows 2000 sont configurés pour effectuer des mises à jour dynamiques
lorsqu’ils sont configurés avec une adresse IP statique.
Pour plus d’informations sur le protocole de mise à jour dynamique
DNS, consultez le document RFC 3007, Secure Domain Name System (DNS)
Dynamic Update, ou le livre blanc, Windows 2000 DNS, situés sous Lectures
complémentaires (en anglais) sur la page Web du CD-ROM du stagiaire.
Montrer le processus de
mise à jour dynamique.
Introduction
Les mises à jour
dynamiques peuvent être
utilisées conjointement avec
DHCP pour mettre à jour les
enregistrements de
ressources de manière
dynamique lorsque
l’adresse DHCP d’un
ordinateur est libérée et
renouvelée.
Important
Décrivez le protocole de
mise à jour dynamique et
conseillez aux stagiaires de
consulter le document RFC
3007 ou le livre blanc
Windows 2000 DNS pour
obtenir plus d’informations.
Remarque
Processus de mise à jour dynamique
Lorsqu’un serveur DHCP affecte une adresse IP à un client Windows 2000
DHCP, le processus suivant se produit :
1. Le client initialise un message de requête DHCP au serveur DHCP pour
demander une adresse IP. Ce message contient le nom FQDN.
2. Le serveur DHCP renvoie un accusé de réception DHCP au client, en lui
accordant un bail pour une adresse IP.
3. Le client envoie une demande de mise à jour DNS au serveur DNS pour son
propre enregistrement de recherche directe, l’enregistrement de ressource A
(adresse).
Au lieu de suivre cette étape, vous pouvez configurer le client
DHCP et le serveur DHCP pour permettre au serveur DHCP d’envoyer des
mises à jour pour le compte du client.
4. Le serveur DHCP envoie des mises à jour pour l’enregistrement de
recherche inversée du client DHCP, l’enregistrement de ressource PTR
(pointeur). Pour effectuer cette opération, le serveur DHCP utilise le nom
FQDN qu’il a obtenu dans la première étape.
Mises à jour dynamiques des clients qui exécutent des
versions précédentes de Windows
Les ordinateurs clients qui exécutent des versions précédentes de Windows ne
prennent pas en charge les mises à jour dynamiques. Vous devez configurer le
serveur DHCP afin qu’il mette à jour en permanence les enregistrements de
ressource A et PTR pour ces clients. Le processus suivant se produit alors :
1. Le client initialise un message de requête DHCP au serveur pour demander
une adresse IP. Contrairement aux messages de requêtes DHCP des clients
DHCP Windows 2000, la requête n’inclut pas un nom FQDN.
2. Le serveur renvoie un accusé de réception DHCP au client, en lui accordant
un bail pour une adresse IP.
3. Le serveur DHCP envoie des mises à jour au serveur DNS pour les
enregistrements de ressources A et PTR du client.
mise à jour dynamique des
clients Windows 2000.
Remarque
Conseils pédagogiques
mise à jour dynamique des
clients qui exécutent des
versions antérieures de
Windows.
Insistez sur le fait que le
serveur DHCP doit être
configuré pour toujours
mettre à jour la base de
données DNS pour le
compte des clients.
Utilisation du groupe de sécurité DnsUpdateProxy
Un groupe intégré, appelé DnsUpdateProxy, est fourni avec Active Directory.
Si vous utilisez plusieurs serveurs DHCP pour la tolérance de panne et
souhaitez sécuriser les mises à jour dynamiques, l’ajout de chacun des serveurs
DHCP de Windows 2000 comme membres du groupe de sécurité
DnsUpdateProxy supprime les problèmes relatifs à la propriété des
enregistrements DNS. Ces problèmes ne surviennent que si un serveur DHCP a
inscrit les enregistrements DNS et qu’il est ensuite remplacé par un nouveau
serveur DHCP. Le nouveau serveur DHCP n’est pas le propriétaire de
l’enregistrement et ne peut donc pas le mettre à jour. Un objet créé par les
membres de ce groupe ne comporte pas de propriétaire, ce qui résout le
problème.
Tout enregistrement hôte inscrit par un serveur DHCP qui appartient
au groupe DNSUpdateProxy ne dispose pas de la sécurité inhérente fournie par
un propriétaire, y compris l’enregistrement DNS pour le serveur DHCP
lui-même. Ce point est important lorsque le serveur DHCP est également un
contrôleur de domaine. Pour protéger l’enregistrement contre toute tentative de
manipulation non autorisée, vous devez manuellement indiquer le propriétaire
des enregistrements DNS associés au serveur DHCP.
Attention
Configuration des mises à jour dynamiques
Pour configurer les mises à jour dynamiques, vous devez :
Configurer le serveur DNS pour activer les mises à
jour dynamiques
Configurer le serveur DHCP pour les mises à jour
dynamiques
Configurer les clients Windows 2000 et Windows XP
pour les mises à jour dynamiques
****
Pour activer les mises à jour dynamiques, vous devez configurer le serveur
DNS à cet effet. Vous devez également configurer le serveur DHCP et les
ordinateurs clients afin qu’ils mettent à jour la base de données DNS.
Configuration du serveur DNS pour activer les mises à
jour dynamiques
Pour configurer un serveur DNS pour les mises à jour dynamiques, ouvrez la
boîte de dialogue Propriétés de la zone du serveur DNS que vous souhaitez
configurer. Sous l’onglet Général, cliquez sur Oui dans la zone de liste
Autoriser les mises à jour dynamiques. Le tableau suivant décrit les options
disponibles pour les mises à jour dynamiques.
Option Description
Non Désactive les mises à jour dynamiques pour cette zone.
Oui Active les mises à jour dynamiques pour cette zone.
Uniquement les mises
à jour sécurisées
Active les mises à jour dynamiques sécurisées, des
ordinateurs clients autorisés vers une zone intégrée à
Active Directory.
relatives à la configuration
des mises à jour
dynamiques.
Introduction
Pour configurer une mise à
jour dynamique, vous devez
configurer le serveur DNS,
le serveur DHCP et les
clients Windows 2000.
Décrivez les options qui
permettent de configurer un
serveur DNS en vue d’une
mise à jour dynamique.
L’option Uniquement les
mises à jour sécurisées
est décrite en détail dans la
section suivante.
Configuration du serveur DHCP pour les mises à jour
dynamiques
Pour configurer le serveur DHCP afin qu’il mette à jour la base de données
DNS :
1. Dans DHCP, ouvrez la boîte de dialogue Propriétés du serveur que vous
configurez, puis cliquez sur l’onglet DNS.
2. Activez la case à cocher Mettre à jour automatiquement les informations
de client DHCP dans DNS, puis cliquez sur l’une des options suivantes
pour spécifier l’interaction entre le serveur DHCP et le serveur DNS :
• Mettre à jour DNS uniquement si un client DHCP le demande.
Indique au serveur DHCP de mettre à jour la base de données DNS en
fonction des paramètres du client. Par défaut, les clients qui exécutent
Windows 2000 et Windows XP inscrivent leurs enregistrements de
ressources A et demandent que le serveur DHCP mette à jour
l’enregistrement de ressource PTR. Cette option est sélectionnée par
défaut pour le serveur DHCP.
• Toujours mettre à jour DNS. Indique au serveur DHCP de mettre à
jour les enregistrements de ressources A et PTR du client dans la base de
données DNS, quels que soient les paramètres du client.
3. Pour spécifier le fonctionnement du serveur DHCP à l’expiration du bail
d’un client, effectuez l’une des étapes suivantes :
• Vérifiez que la case à cocher Ignorer les résultats de recherche directe
(noms/adresses) lorsque le bail expire est activée si vous souhaitez que
le serveur DHCP envoie des mises à jour à la base de données DNS afin
que l’enregistrement de ressource A du client soit ignoré lorsque le bail
expire. Cette option est sélectionnée par défaut pour le serveur DHCP.
• Désactivez l’option Ignorer les résultats de recherche directe
(noms/adresses) lorsque le bail expire pour empêcher le serveur DHCP
d’envoyer des mises à jour à la base de données DNS afin que
l’enregistrement de ressource A du client soit ignoré lorsque le bail
expire.
4. Pour permettre au serveur DHCP de mettre à jour la base de données DNS
en y intégrant les enregistrements de ressources A et PTR des clients qui
exécutent des versions antérieures de Windows, activez la case à cocher
Activer les mises à jour pour les clients DNS qui ne prennent pas en
charge la mise à jour dynamique.
5. Après avoir configuré le serveur DHCP, cliquez sur OK.
Si vous ne souhaitez pas que le serveur DHCP enregistre et
mette à jour les informations des clients dans la base de données DNS,
désactivez l’option Mettre à jour automatiquement les informations de
client DHCP dans DNS.
Présentez la procédure de
configuration du serveur
DHCP pour les mises à jour
dynamiques.
Remarque
Configuration des clients Windows 2000 et Windows XP
pour les mises à jour dynamiques
Pour configurer les clients Windows 2000 et Windows XP afin qu’ils mettent à
jour leurs enregistrements de ressources A dans la base de données DNS :
1. Dans Connexions réseau et accès à distance, cliquez avec le bouton droit sur
la connexion à configurer, puis cliquez sur Propriétés.
2. Dans la boîte de dialogue Propriétés de la connexion, cliquez sur Protocole
Internet (TCP/IP), puis sur Propriétés.
3. Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP),
cliquez sur Avancé.
4. Dans la boîte de dialogue Paramètres TCP/IP avancés, sous l’onglet DNS,
activez les cases à cocher appropriées :
• Enregistrer les adresses de cette connexion dans DNS. Permet au
client d’inscrire des enregistrements de ressources dans DNS en utilisant
le nom complet de l’ordinateur et l’adresse IP de la connexion réseau.
• Utiliser le suffixe DNS de cette connexion pour l’enregistrement
DNS. Permet au client d’inscrire les enregistrements de ressources dans
DNS en utilisant la première étiquette du nom de l’ordinateur, outre le
suffixe DNS de la connexion. Utilisez cette option uniquement si le
suffixe DNS diffère du nom du domaine.
5. Cliquez sur OK trois fois de suite.
Lorsque vous utilisez l’option Utiliser le suffixe DNS de cette
connexion pour l’enregistrement DNS, l’ordinateur client inscrit un
enregistrement de ressource de nom A et un enregistrement de ressource PTR
pour le nom de domaine des ordinateurs, en plus du suffixe DNS.
Expliquez la procédure de
configuration des clients
Windows 2000 et
Windows XP pour les mises
à jour dynamiques.
Remarque
Sécurité des mises à jour dynamiques
Mises à jour
dynamiques
sécurisées
Mises à jour
dynamiques
sécurisées
Zone
intégrée à
Active
Directory
Zone
intégrée à
Active
Directory
****
Vous pouvez configurer le serveur DNS afin qu’il effectue des mises à jour
dynamiques sécurisées pour les zones intégrées à Active Directory. Avec les
mises à jour dynamiques sécurisées, le serveur d’autorité DNS accepte les
nouveaux enregistrements uniquement à partir des ordinateurs qui disposent
d’un compte dans Active Directory, et il accepte les mises à jour émanant
uniquement de l’ordinateur qui a initialement inscrit l’enregistrement. Le serve
ur
DNS rejette les mises à jour tant que le serveur DHCP n’a pas déterminé la
validité du compte.
Avantages des mises à jour dynamiques sécurisées
Les mises à jour dynamiques sécurisées offrent les avantages suivants :
! Protection des zones et des enregistrements de ressources contre toute
tentative de modification par un utilisateur non autorisé.
! Spécification des utilisateurs et des groupes habilités à modifier les zones e
t
les enregistrements de ressources.
Présenter l’interface
utilisateur de protection des
mises à jour dynamiques.
Introduction
Vous pouvez configurer le
serveur DNS afin que les
mises à jour dynamiques
soient sécurisées.
Point clé
Seules les zones intégrées
à Active Directory peuvent
être configurées pour les
mises à jour dynamiques
sécurisées.
Configuration des mises à jour dynamiques sécurisées
Pour configurer des mises à jour dynamiques sécurisées sur le serveur DNS :
1. Dans DNS, ouvrez la boîte de dialogue Propriétés de la zone intégrée
Active Directory sur le serveur DNS que vous souhaitez configurer.
2. Sur l’onglet Général, dans la liste Autoriser les mises à jour dynamiques,
cliquez sur Uniquement les mises à jour sécurisées, puis cliquez sur OK.
Cette option apparaît dans la liste uniquement si le type de zone est intégré
dans Active Directory.
Pour plus d’informations sur les mises à jour dynamiques
sécurisées, consultez le document RFC 3007, Secure Domain Name System
(DNS) Dynamic Update, situé sous Lectures complémentaires (en anglais)
sur la page Web du CD-ROM du stagiaire.
Présentez la procédure de
configuration des mises à
jour dynamiques sécurisées.
Remarque
" Résolution des noms DNS dans Active Directory
! Présentation des enregistrements de ressources
SRV
! Format d’un enregistrement de ressource SRV
! Enregistrements de ressources SRV inscrits par
les contrôleurs de domaine
! Utilisation de DNS par les ordinateurs pour
localiser les contrôleurs de domaine
****
Dans DNS, les contrôleurs de domaine sont identifiés par un nom FQDN et par
un nom d’ordinateur complet Windows 2000, ainsi que par les services
spécifiques qu’ils proposent. Windows 2000 utilise DNS pour localiser les
contrôleurs de domaine en résolvant un nom de domaine ou d’ordinateur en une
adresse IP. Cette opération est réalisée par les enregistrements de ressources
SRV qui mappent un service particulier au contrôleur de domaine offrant ce
service. Le format d’un enregistrement de ressource SRV contient ces
informations ainsi que les informations spécifiques au protocole TCP/IP
(Transmission Control Protocol/Internet Protocol).
Lorsqu’un contrôleur de domaine démarre, le service Ouverture de session
réseau exécuté sur le contrôleur de domaine utilise la fonction de mise à jour
dynamique de DNS pour enregistrer dans la base de données DNS les
enregistrements de ressources SRV de tous les services fournis par le contrôleur
de domaine et associés à Active Directory. Ainsi, un ordinateur qui exécute
Windows 2000 peut interroger un serveur DNS lorsqu’il doit contacter un
contrôleur de domaine.
Pour plus d’informations sur la résolution des noms DNS dans
Active Directory, consultez le chapitre 3, « Résolution de noms dans
Active Directory », du volume Systèmes distribués inclus dans le Kit de
Ressources Techniques de Microsoft Windows 2000 Server.
Présenter les rubriques
associées à la résolution
des noms DNS dans
Active Directory.
Introduction
Après avoir compris la
relation entre les espaces
de noms DNS et
Active Directory, vous allez
apprendre comment DNS
permet de localiser un
contrôleur de domaine
Windows 2000.
Remarque
Présentation des enregistrements de ressources SRV
! Les enregistrements de ressources SRV permettent aux
ordinateurs clients de rechercher les contrôleurs de
domaine
! Les informations qu’ils contiennent mappent les noms
d’ordinateurs DNS au service
! Windows 2000 utilise les enregistrements de ressources
SRV pour localiser les éléments suivants :
# un contrôleur de domaine situé dans un domaine ou une
forêt spécifique
# un contrôleur de domaine situé dans le même site que
celui d’un ordinateur client
# un contrôleur de domaine configuré en tant que serveur de
catalogue global
# un ordinateur configuré en tant que serveur Kerberos KDC
! Les serveurs DNS utilisent les informations des
enregistrements de ressources SRV et A pour localiser les
contrôleurs de domaine
****
Pour que Active Directory puisse fonctionner correctement, les serveurs DNS
doivent prendre en charge les enregistrements de ressources SRV. Ces
enregistrements permettent aux ordinateurs clients de rechercher des serveurs
qui fournissent des services spécifiques, notamment l’authentification des
demandes d’ouverture de session et la recherche d’informations dans
Active Directory. Windows 2000 utilise les enregistrements de ressources SRV
pour identifier un ordinateur en tant que contrôleur de domaine. Les
enregistrements de ressources SRV lient le nom d’un service au nom de
l’ordinateur DNS du contrôleur de domaine qui fournit ce service.
Les enregistrements de ressources SRV contiennent également des informations
qui permettent à un serveur DNS de rechercher les éléments suivants :
! un contrôleur de domaine situé dans un domaine ou une forêt
Windows 2000 spécifique ;
! un contrôleur de domaine situé dans le même site que celui d’un ordinateur
client ;
! un contrôleur de domaine configuré en tant que serveur de catalogue
global ;
! un contrôleur de domaine configuré en tant qu’émulateur PDC ;
! un ordinateur qui exécute le service Kerberos KDC (Key Distribution
Center).
Expliquer que
Windows 2000 utilise les
enregistrements de
ressources SRV de DNS
pour localiser les
contrôleurs de domaine.
Introduction
Dans Windows 2000, les
enregistrements de
ressources SRV permettent
de rechercher un ordinateur
qui fournit un service
spécifique.
Point clés
Les enregistrements de
ressources SRV permettent
aux ordinateurs clients de
rechercher les serveurs qui
fournissent des services
Active Directory spécifiques.
ressources SRV lient le nom
d’un service à celui de
l’ordinateur DNS du
contrôleur de domaine qui
fournit ce service.
Enregistrements de ressources SRV et A
Lorsqu’un contrôleur de domaine démarre, il inscrit les enregistrements de
ressources SRV qui contiennent des informations sur les services qu’il fournit.
Il
inscrit également un enregistrement de ressource A qui contient le nom de
l’ordinateur DNS et l’adresse IP correspondante. Un serveur DNS utilise ensuite
ces informations combinées pour résoudre les requêtes DNS et retourner
l’adresse IP d’un contrôleur de domaine afin que l’ordinateur client puisse
localiser ce dernier.
Dans Windows 2000, les contrôleurs de domaine sont également
appelés « serveurs LDA » (Lightweight Directory Access Protocol) car ils
exécutent le service LDAP qui répond aux requêtes de recherche ou de
modification des objets dans Active Directory.
Ouvrez la console DNS et
décrivez brièvement les
enregistrements de
ressources SRV situés dans
le sous-domaine _msdcs.
Remarque
Format d’un enregistrement de ressource SRV
_ldap._tcp.nwtraders.msft 600 IN SRV 0 100 389 london.nwtraders.msft.
Service Spécifie le nom du service
Protocole Spécifie le type de protocole de transport
Nom Spécifie le nom du domaine référencé par l’enregistrement de
ressource
Ttl Specifie la valeur TTL de l enregistrement de ressource DNS
standard
Classe Spécifie la valeur de la classe d’un enregistrement de
ressource DNS standard
Priorité Spécifie la priorité de l hôte
Poids Spécifie le mécanisme d’équilibrage de charge
Port Spécifie le port du service sur cet hôte
Destination Spécifie le nom FQDN de l hôte qui prend en charge le service
Champ Description
****
Le format d’un enregistrement de ressource SRV est standard. Il comprend des
champs qui contiennent les informations nécessaires au mappage d’un service
spécifique sur l’ordinateur qui assure ce service. Les enregistrements de
ressources SRV utilisent le format suivant :
_service_.protocole.nom ttl classe SRV priorité poids port destination
Le tableau suivant décrit chacun des champs inclus dans un enregistrement de
ressource SRV.
Champ Description
Service Spécifie le nom du service, par exemple LDAP ou Kerberos, fourni par
le serveur qui inscrit cet enregistrement de ressource SRV.
Protocole Spécifie le type de protocole de transport, par exemple, TCP ou UDP
(User Datagram Protocol).
Nom Spécifie le nom du domaine référencé par l’enregistrement de ressource.
Ttl Spécifie la valeur TTL (en secondes) qui représente un champ standard
dans une ressource DNS.
Classe Spécifie la valeur de la classe d’un enregistrement de ressource DNS
standard, qui est presque toujours égale à IN pour le système Internet.
Priorité Spécifie la priorité du serveur. Les clients essaient de contacter l’hô
te
qui comporte la priorité la plus faible.
Poids Indique le mécanisme d’équilibrage de charge utilisé par les clients
lorsqu’ils sélectionnent un hôte cible. Lorsque le champ de priorité est
identique pour deux ou plusieurs enregistrements de ressources dans le
même domaine, les clients choisissent de manière aléatoire les
enregistrements de ressources SRV qui comportent un poids élevé.
Port Spécifie le port sur lequel le serveur est à l’écoute de ce service.
Destination Spécifie le nom FQDN ou le nom complet de l’ordinateur qui fournit c
e
service.
Décrire le format d’un
enregistrement de
ressource SRV.
Introduction
Analysez le format d’un
enregistrement de
ressource SRV qui contient
les informations nécessaires
pour localiser des
contrôleurs de domaine.
Point clé
Le format d’un
enregistrement de
ressource SRV comprend
des champs qui contiennent
les informations nécessaires
au mappage d’un service
spécifique sur l’ordinateur
qui assure ce service.
Tout en expliquant les
informations de la
diapositive, ouvrez la
console DNS et affichez
l’enregistrement référencé
au bas de la diapositive.
Par exemple, l’enregistrement de ressource SRV suivant :
_ldap._tcp.nwtraders.msft 600 IN SRV 0 100 389 london.nwtraders.msft.
serait enregistré par un ordinateur qui :
! fournit le service LDAP ;
! fournit le service LDAP en utilisant le protocole de transport TCP ;
! inscrit l’enregistrement de ressource SRV dans le domaine contoso.msft de
DNS ;
! dispose d’un nom de domaine complet pour london.nwtraders.msft.
Enregistrements de ressources SRV inscrits par les contrôleurs de
domaine
! Les contrôleurs de domaine qui exécutent Windows 2000 inscrivent
des enregistrements de ressources SRV supplémentaires dans le
sous-domaine _msdcs en suivant la syntaxe :
_Service._Protocole.DcType._msdcs.NomdeDomaineDNS
ldap._tcp.NomdeDomaineDNS. Permet à un ordinateur de retrouver un serveur
LDAP dans le domaine
_ldap._tcp.NomduSite._sites.dc.
_msdcs.NomdeDomaineDNS.
Permet à un ordinateur de retrouver un
contrôleur de domaine dans le même site
_gc._tcp.NomdeForêtDNS. Permet à un ordinateur de retrouver un serveur
de catalogue global dans la forêt
_gc._tcp.NomduSite._sites.
NomdeForêt.
Permet à un ordinateur de retrouver un serveur
de catalogue global dans le même site
_kerberos._tcp.
NomdeDomaineDNS.
KDC dans le domaine
_kerberos._tcp.NomduSite.
_sites.NomdeDomaineDNS.
KDC dans le même site
Enregistrement de
ressource SRV Critères de recherche
****
Lorsqu’un contrôleur de domaine démarre, le service Ouverture de session
réseau exécuté sur ce dernier utilise les mises à jour dynamiques pour inscrire
les enregistrements de ressources SRV dans la base de données DNS. Les
enregistrements de ressources SRV mappent le nom du service fourni par le
contrôleur de domaine au nom de l’ordinateur DNS associé à ce denier. Le
tableau suivant décrit certains enregistrements de ressources SRV inscrits par
les contrôleurs de domaine et définit les critères de recherche pris en charge p
ar
chaque enregistrement de ressource.
Enregistrement de ressource SRV Critère de recherche
_ldap._tcp.nomdedomaineDns. Permet à un ordinateur de retrouver un
serveur LDAP dans le domaine désigné
par la variable nomdedomaineDns.
Tous les contrôleurs de domaine
inscrivent cet enregistrement de ressource.
_ldap._tcp.nomdusite._sites.dc._msdcs.
nomdedomaineDns.
contrôleur de domaine dans le domaine
désigné par la variable nomdedomaineDns
et dans le site spécifié dans nomdusite.
Indiquez aux stagiaires que la variable
nomdusite représente le nom relatif
distingué de l’objet de site stocké dans
Active Directory.
Tous les contrôleurs de domaine
Identifier les
enregistrements de
ressources SRV inscrits par
les contrôleurs de domaine
pendant la phase de
démarrage.
Introduction
Après avoir compris les
informations contenues
dans un enregistrement de
ressource SRV, observons
les enregistrements de
ressources SRV spécifiques
inscrits par les contrôleurs
de domaine.
Utilisez le composant
logiciel enfichable de DNS
pour montrer aux stagiaires
les enregistrements de
ressources SRV et le
sous-domaine _msdcs.
Expliquez que les serveurs
LDAP et les serveurs de
catalogue globaux ne sont
pas toujours des contrôleurs
de domaine Windows 2000.
Soulignez que les deux
enregistrements SRV _gc
sont enregistrés dans le
domaine racine de la forêt,
quel que soit le domaine où
réside le catalogue global.
Indiquez aux stagiaires que
la variable Nom du site
représente le nom relatif
distingué de l’objet de site
stocké dans
Active Directory.
Conseillez aux stagiaires de
se reporter au Kit de
Ressources Techniques de
Microsoft Windows 2000
Server pour obtenir la liste
complète des
enregistrements de
ressources SRV inscrits par
les contrôleurs de domaine.
(suite)
_gc._tcp.nomdeforêt Dns. Permet à un ordinateur de retrouver un
serveur de catalogue global dans la forêt
nomdeforêtDns. nomdeforêtDns
représente le nom du domaine racine de la
forêt.
Seuls les contrôleurs de domaine
configurés comme serveurs de catalogue
globaux inscrivent cet enregistrement de
ressource.
Parallèlement aux contrôleurs de domaine Windows 2000, un
réseau peut inclure des ordinateurs configurés en tant que serveurs LDAP et
serveurs de catalogues globaux qui n’exécutent pas Windows 2000. Ainsi, tout
ordinateur qui fournit les services appropriés inscrit les enregistrements de
ressource s SRV énumérés dans le tableau précédent.
Enregistrements de ressources SRV inscrits uniquement
par les contrôleurs de domaine Windows 2000
Pour permettre à un ordinateur de localiser les contrôleurs de domaine
fonctionnant sous Windows 2000, le service Ouverture de session réseau inscrit
les enregistrements de ressources SRV qui identifient les contrôleurs de
domaine offrant des services spécifiques à Windows 2000 dans le domaine ou
la forêt. Ainsi, outre les enregistrements de ressources SRV répertoriés
ci-dessus, les contrôleurs de domaine qui exécutent Windows 2000 inscrivent
également les enregistrements de ressources SRV dans le format ci-dessous :
_Service._Protocole.DcType._msdcs.nomdedomaineDns ou nomdeforêtDns
Enregistrement de ressource SRV Critère de recherche
_gc._tcp.nomdusite._sites.
nomdeforêtDns.
serveur de catalogue global dans la forêt
désignée par la variable nomdeforêtDns et
dans le site spécifié dans nomdusite.
Seuls les contrôleurs de domaine
configurés comme serveurs de catalogue
globaux inscrivent cet enregistrement de
ressource.
_kerberos._tcp.nomdedomaineDns.
serveur KDC dans le domaine désigné par
la variable nomdedomaineDns.
Tous les contrôleurs de domaine qui
exécutent le service Kerberos version 5
_kerberos._tcp.nomdusite._sites.
nomdedomaineDns.
serveur KDC pour le domaine désigné par
la variable nomdedomaineDns et dans le
site spécifié dans nomdusite.
Tous les contrôleurs de domaine qui
exécutent le service Kerberos version 5
Remarque
Le composant _msdcs dans ces enregistrements de ressources SRV spécifie un
sous-domaine dans l’espace de noms DNS spécifique à Microsoft. Ce
sous-domaine permet aux ordinateurs de localiser les contrôleurs de domaine
qui disposent de fonctions propres à Windows 2000 dans le domaine ou la forêt.
Les valeurs possibles du composant TypeDC, qui représente le préfixe du
sous-domaine _msdcs, spécifient les types suivants de rôles serveur :
! dc pour un contrôleur de domaine
! gc pour un serveur de catalogue global
La présence du sous-domaine _msdcs signifie que les contrôleurs de domaine
fonctionnant sous Windows 2000 inscrivent également les enregistrements de
ressources SRV suivants :
_ldap._tcp.dc._msdcs.nomdedomaineDns.
_ldap._tcp.nomdusite._sites.dc._msdcs.nomdedomaineDns.
_ldap._tcp.gc._msdcs.nomdeforêtDns.
_ldap._tcp.nomdusite._sites.gc._msdcs.nomdeforêtDns.
_kerberos._tcp.dc._msdcs.nomdedomaineDns.
_kerberos._tcp.nomdusite._sites.dc._msdcs.nomdedomaineDns.
Pour plus d’informations sur les enregistrements de ressources
SRV, consultez le document RFC 2782, A DNS RR for Specifying the Location
of Services (DNS SRV), situé sous Lectures complémentaires (en anglais) sur
la page Web du CD-ROM du stagiaire.
Remarque
Utilisation de DNS par les ordinateurs pour localiser les contrôleurs
de domaine
Client
Ouverture de session 1 Ouverture de session o ouurereecchheercrcchheeAAcctitvive
e D Diriereecctotoryryy
2 LL’o’ouuvveertruturereddee s seessssioionn r érésseeaauurarasssseemmbblelelele
ss i ninfoformrmaatitoionnsscclileienntsts
Serveur DNS
Envoi d’une requête DNS avec les
informations clients
Envoi d’une requête DNS avec les
3 informations clients
RReennvvooieielala l ilsisteteddeess a addreresssseessIPIP 5
LLeess c coonntrtôrôleleuursrsddee d doommaainineeréréppoonnddeenntt 7
Service LDAP exécuté
sur un contrôleur de
domaine
8
Le client
envoie la requête
à un contrôleur
de domaine
6 LLee cclliieenntt iinntteerrrrooggee lleess ccoonnttrrôôlleeuurrssddee ddoomma
aiinnee
Base de données
de la zone
Enregistrements
de ressources
SRV
Enregistrements
de ressources
SRV DNS interroge les enregistrements de
ressources SRV 4
****
Pour ouvrir une session sur un domaine Windows 2000 ou pour effectuer une
recherche dans Active Directory, un ordinateur client doit contacter un
contrôleur de domaine. Tous les contrôleurs de domaine inscrivent à la fois les
enregistrements de ressources A et SRV. L’enregistrement de ressource A
contient le nom FQDN et l’adresse IP du contrôleur de domaine.
L’enregistrement de ressource SRV contient le nom FQDN du contrôleur de
domaine et les noms des services que ce dernier fournit au domaine. Ainsi,
l’ordinateur client peut interroger le système DNS pour localiser un contrôleur
de domaine.
Les paragraphes suivants décrivent comment un ordinateur localise un
contrôleur de domaine :
1. Un utilisateur ouvre une session sur le domaine, initialise une recherche
dans Active Directory ou effectue d’autres tâches qui nécessitent un
contrôleur de domaine. Le service Ouverture de session réseau sur
l’ordinateur client (qui recherche le contrôleur de domaine) démarre
l’interface de programmation d’application (API) DsGetDcName.
Expliquer comment un
ordinateur localise un
contrôleur de domaine
Windows 2000.
Introduction
Les ordinateurs interrogent
le système DNS pour
localiser les contrôleurs de
domaine Windows 2000.
2. Le service Ouverture de session réseau rassemble les informations sur le
client et le service spécifique requis. Ces informations seront incluses dans
la requête DNS. Elles sont spécifiées par les paramètres DsGetDcName
suivants :
• Nomdel’ordinateur. Nom de l’ordinateur client.
• Nomdedomaine. Nom du domaine DNS consulté.
• Nomdusite. Nom du site dans lequel le contrôleur de domaine est situé.
Lorsque le site n’est pas précisé, cette procédure recherche le contrôleur
de domaine qui se trouve dans le site le plus proche de celui de
l’ordinateur client.
Le client spécifie également que le contrôleur de domaine doit être un
serveur LDAP dans le domaine désigné par la variable Nomdedomaine, ou
un serveur de catalogue global ou un serveur KDC de la forêt dans laquelle
se trouve le Nomdedomaine.
3. Le service Ouverture de session réseau envoie une requête DNS vers un
serveur DNS. Cette requête DNS contient les informations collectées à
partir du client et spécifie le service requis.
4. Le serveur DNS interroge la base de données de la zone DNS pour trouver
les enregistrements de ressources SRV qui correspondent au service requis
par le client dans le domaine spécifié dans Nomdedomaine.
5. Le serveur DNS retourne une liste d’adresses IP de contrôleurs de domaine
qui fournissent le service requis dans le domaine spécifié par le client.
6. Le service Ouverture de session réseau envoie un datagramme (message
UDP LDAP) à un ou plusieurs contrôleurs de domaine localisés afin de
savoir s’ils fonctionnent actuellement et s’ils prennent en charge le domaine
spécifié.
7. Chaque contrôleur de domaine disponible envoie une réponse au
datagramme pour indiquer qu’il est opérationnel, puis il renvoie ces
informations à DsGetDcName. Le service Ouverture de session réseau
renvoie ces informations au client à partir du contrôleur de domaine qui
répond le premier.
8. L’ordinateur client choisit le premier contrôleur de domaine qui répond et
qui correspond aux critères spécifiés, puis il lui transmet la requête.
Le service Ouverture de session réseau met en cache les informations du
contrôleur de domaine, pour éviter à l’ordinateur client de répéter ce processus
dans les requêtes ultérieures. Le mise en cache des informations favorise
également l’utilisation cohérente du même contrôleur de domaine.
Atelier B : Configuration de DNS pour l’intégration dans
Active Directory et les mises à jour dynamiques
****
Objectifs
À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :
! activer les mises à jour dynamiques ;
! convertir une zone principale standard en une zone intégrée à
Active Directory ;
! localiser et identifier un enregistrement de ressource SRV.
Conditions préalables
Avant de poursuivre, vous devez vous familiariser avec les concepts et le
fonctionnement du système DNS. Vous devez également avoir réalisé
l’atelier A, « Installation et configuration du service DNS ».
Durée approximative de cet atelier : 30 minutes
Dans un autre environnement que celui de la classe, il est vivement
conseillé d’installer les dernières mises à jour logicielles nécessaires. Comme
il
s’agit ici d’un environnement purement pédagogique, il est possible que les
logiciels utilisés ne comprennent pas les mises à jour les plus récentes.
Présenter l’atelier.
Introduction
Dans cet atelier, vous allez
configurer les mises à jour
dynamiques, les zones
intégrées à Active Directory
et examiner les
enregistrements de
ressource de services.
Point clés
L’atelier ne reflète pas un
environnement réel. Il est
recommandé de toujours
définir des mots de passe
complexes pour les comptes
d’administrateur et de ne
jamais créer de comptes
sans mot de passe.
Dans un autre
environnement que celui de
la classe, il est vivement
conseillé d’installer les
dernières mises à jour
logicielles nécessaires.
Comme il s’agit ici d’un
environnement purement
pédagogique, il est possible
que les logiciels utilisés ne
comprennent pas les mises
à jour les plus récentes.
Important
Mise en place de l’atelier
• Ouvrez une session sur
votre domaine en tant
qu’Administrateur avec le
mot de passe password.
a. Appuyez sur CTRL+ALT+SUPPR pour ouvrir la page d’ouverture de
session.
b. Dans la zone Utilisateur, tapez Administrateur
c. Dans la zone Mot de passe, tapez password
d. Dans la zone Domaine, vérifiez que votre domaine est répertorié.
e. Cliquez sur OK.
Cet atelier ne reflète pas un environnement réel. Il est recommandé
de toujours définir des mots de passe complexes pour tous les comptes
d’administrateur et d’utilisateur et de ne jamais créer de comptes sans mot de
passe.
Important
Exercice 1
Conversion des zones DNS principales standard en zones
intégrées à Active Directory
Dans cet exercice, vous allez convertir vos zones de recherche directe et invers
ée, de zones
principales standard en zones intégrées à Active Directory.
Scénario
Dans le cadre du déploiement d’Active Directory, vous avez décidé d’utiliser les
Active Directory pour bénéficier des avantages qu’offre ce service en matière de
stockage et de
réplication des enregistrements de ressources DNS.
1. Vérifiez que le fichier qui
contient votre zone de
recherche directe standard
est à jour.
a. À partir du menu Outils d’administration, ouvrez DNS.
b. Dans l’arborescence de la console, développez nom_du_serveur (où
nom_du_serveur représente le nom d’ordinateur qui vous a été
attribué), Zones de recherche directe, puis cliquez sur
domaine.nwtraders.msft (où domaine représente le nom de domaine
qui vous a été attribué).
c. Cliquez avec le bouton droit sur domaine.nwtraders.msft, puis cliquez
sur Propriétés.
d. Sous l’onglet Source de noms (SOA), enregistrez le numéro de série,
puis cliquez sur OK.
e. Fermez DNS.
f. Dans l’Explorateur Windows, naviguez jusqu’au dossier
C:\Winnt\System32\Dns.
g. Cliquez avec le bouton droit sur nom_de_domaine.nwtraders.msft.dns
(où nom_de_domaine représente le nom de votre domaine), puis
cliquez sur Ouvrir avec.
h. Dans la boîte de dialogue Ouvrir avec, cliquez sur Bloc-notes, puis
sur OK.
i. Dans la fenêtre du Bloc-notes, vérifiez que le numéro de série de
l’enregistrement SOA correspond à celui indiqué à l’étape d.
j. Fermez toutes les fenêtres.
2. Convertissez la zone de
recherche directe de votre
domaine, d’une zone
principale standard en une
zone intégrée à
Active Directory.
sur Propriétés.
d. Dans la boîte de dialogue Propriétés de domaine.nwtraders.msft,
cliquez sur Modifier sous l’onglet Général.
e. Dans la boîte de dialogue Modification du type de zone, cliquez sur
f. Dans la boîte de dialogue DNS, cliquez sur OK pour confirmer la
modification, puis sur OK pour fermer la boîte Propriétés de
domaine.nwtraders.msft.
3. Convertissez la zone de
recherche inversée de votre
sous-réseau, d’une zone
secondaire standard en une
zone intégrée à
Active Directory.
a. Dans l’arborescence de la console, développez Zones de recherche
inversée, puis cliquez sur 192.168.x.X Subnet (où x représente le
numéro de votre salle de cours).
b. Cliquez avec le bouton droit sur 192.168.x.X Subnet, puis cliquez sur
Propriétés.
c. Dans la boîte de dialogue Propriétés de 192.168.x.X Subnet, sous
l’onglet Général, cliquez sur Modifier.
d. Dans la boîte de dialogue Modification du type de zone, cliquez sur
e. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de
192.168.x.X Subnet (où x représente le numéro de votre salle de
cours).
f. Fermez DNS.
4. Vérifiez que le fichier qui
contenait les informations
sur votre zone standard a été
supprimé.
a. Dans l’Explorateur Windows, naviguez jusqu’au dossier
C:\Winnt\System32\Dns.
b. Vérifiez que domaine.nwtraders.msft.dns (où domaine représente
votre domaine) n’apparaît plus dans la liste.
c. Fermez l’Explorateur Windows.
Pourquoi le fichier a-t-il été supprimé lors de la conversion de la zone en zone
intégrée à Active Directory ?
Les informations de zone ne sont plus stockées dans un fichier sur le serveur DN
S. Elles sont ajoutées
dans Active Directory.
Exercice 2
Activation des mises à jour dynamiques
Dans cet exercice, vous allez activer des mises à jour dynamiques sur le serveur
DNS et inscrire les
enregistrements de ressources de vos serveurs dans votre serveur DNS.
Scénario
Vous souhaitez que les ordinateurs DHCP et clients mettent automatiquement à jou
r les
enregistrements DNS afin de réduire la charge de travail de l’administrateur.
1. Activez les mises à jour
dynamiques dans les zones
de recherche directe et
inversée de votre domaine.
sur Propriétés.
d. Dans la boîte de dialogue Propriétés de domaine.nwtraders.msft,
vérifiez que la valeur Oui est sélectionnée pour l’option Autoriser les
mises à jour dynamiques, puis cliquez sur OK.
e. Dans l’arborescence de la console, développez Zones de recherche
inversée, puis cliquez sur 192.168.x.X Subnet (où x représente le
numéro de votre salle de classe).
f. Cliquez avec le bouton droit sur 192.168.x.X Subnet (où x représente
le numéro de votre salle de classe), puis cliquez sur Propriétés.
g. Dans la boîte de dialogue Propriétés de 192.168.x.X Subnet, vérifiez
que la valeur Oui est sélectionnée pour l’option Autoriser les mises à
jour dynamiques, puis cliquez sur Appliquer.
h. Sous l’onglet Transferts de zone, vérifiez que la case à cocher
Autoriser les transferts de zone est activée, puis cliquez sur OK.
i. Réduisez la fenêtre de la console DNS.
Quelle est la fonction activée par l’option Autoriser les mises à jour dynamique
s ?
Lorsque cette option est activée (valeur Oui), les ordinateurs qui utilisent le
système DNS peuvent
s’inscrire automatiquement dans DNS. Cela signifie qu’il n’est pas nécessaire d’
entrer chaque client
manuellement dans DNS.
2. Configurez les propriétés
TCP/IP de l’adaptateur, afin
que votre ordinateur
devienne un client du
a. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur
Propriétés.
b. Ouvrez la boîte de dialogue Propriétés de Connexion au réseau local.
c. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
d. Dans la boîte de dialogue Propriétés de Protocole Internet (TCP/IP),
vérifiez que l’option Utiliser l’adresse de serveur DNS suivante est
activée. Dans la zone Serveur DNS préféré, tapez votre adresse IP
(indiquée dans la zone Adresse IP de cette page de propriétés), puis
cliquez sur OK.
e. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de
Connexion au réseau local.
f. Fermez la boîte de dialogue Connexions réseau et accès à distance.
3. Utilisez la commande
ipconfig pour réinscrire les
enregistrements DNS de
votre ordinateur
a. Ouvrez une invite de commande.
b. À l’invite, tapez ipconfig /registerdns puis appuyez sur ENTRÉE.
c. Fermez l’invite.
4. Actualisez DNS pour
afficher les enregistrements
de ressources à partir de
votre serveur.
a. Activez la fenêtre DNS.
c. Sélectionnez le menu Action, puis cliquez sur Actualiser.
L’affichage des enregistrements de ressources dans la zone
domaine.nwtraders.msft peut prendre 5 à 10 minutes.
d. Fermez toutes les fenêtres.
Exercice 3
Affichage des enregistrements de ressources SRV
Dans cet exercice, vous allez identifier l’adresse IP d’un serveur de catalogue
global et afficher les
enregistrements de ressources.
Scénario
Vous avez déterminé qu’un serveur de catalogue global est contacté lors du proce
ssus de démarrage
du client et vous souhaitez identifier le serveur qui joue ce rôle sur votre rés
eau.
1. Vérifiez que votre serveur
est un contrôleur de
domaine et non pas un
serveur de catalogue global,
et que le serveur London
assure ce rôle.
a. Cliquez sur Démarrer, pointez sur Programmes, sur Outils
d’administration, cliquez avec le bouton droit sur DNS, puis cliquez
sur Exécuter en tant que.
b. Dans la boîte de dialogue Exécuter en tant qu’utilisateur différent,
tapez Administrateur dans la zone Nom d’utilisateur. Tapez
password dans la zone correspondante, entrez le nom de domaine
nwtraders puis cliquez sur OK.
c. Dans l’arborescence de la console, développez London, Zones de
recherche directe, nwtraders.msft, puis _msdcs.
d. Dans l’arborescence de la console, développez nom_du_serveur (où
attribué), Zones de recherche directe, domaine.nwtraders.msft (où
domaine représente le nom de domaine qui vous a été attribué),
puis_msdcs.
e. Vérifiez que le dossier _msdcs du serveur London contient les
sous-dossiers Dc et Gc.
f. Vérifiez que le dossier _msdcs de votre serveur contient le sous-dossier
Dc mais aucun sous-dossier Gc.
La zone Nwtrader.msft sur le serveur London contient le dossier Gc, tandis la zo
ne sur votre serveur ne le
contient pas. Qu’est-ce que cela signifie ?
Le serveur London est un serveur DNS situé dans le domaine racine, tandis que vo
tre serveur ne l’est
pas. Les enregistrements de ressources des catalogues globaux existent uniquemen
t dans le domaine
racine.
1. (suite) g. Développez le dossier Dc sous domaine.nwtraders.msft (où domaine
représente le nom de votre domaine), puis développez _tcp.
h. Cliquez avec le bouton droit sur l’enregistrement SRV _kerberos, puis
cliquez sur Propriétés.
Quels sont les trois champs modifiables d’un enregistrement SRV et quelles sont
leurs fonctions ?
Les champs Priorité, Poids et Numéro du port sont modifiables. La priorité et le
poids permettent
d’équilibrer la charge, tandis que le numéro du port permet de spécifier le port
TCP sur lequel ce
service est disponible.
1. (suite) i. Fermez la boîte de dialogue, DNS, puis la session.
" Maintenance et dépannage des serveurs DNS
! Configuration d’une zone racine sur un serveur
DNS
! Réduction du trafic réseau à l’aide des serveurs
de mise en cache
! Maintenance des zones DNS
! Contrôle des serveurs DNS
! Vérification des enregistrements de ressources à
l’aide de Nslookup
! Dépannage de la résolution de noms
****
Les serveurs DNS occupent une fonction essentielle sur un réseau. Vous devez
les tester et les dépanner pour vous assurer qu’ils fonctionnent correctement et
optimiser les performances du réseau. Par exemple, pour améliorer les
performances de DNS, vous pouvez configurer un serveur de mise en cache
pour réduire le trafic réseau lié à DNS. Vous pouvez également mettre à jour les
enregistrements de ressources afin de vous assurer que la résolution de noms
sur un serveur DNS est actualisée.
Windows 2000 contient plusieurs utilitaires de contrôle et de dépannage des
serveurs DNS. Il s’agit des utilitaires suivants :
! DNS MMC vous permet de tester les serveurs DNS et de contrôler leur
capacité de traitement et de résolution des requêtes.
! Différents utilitaires de ligne de commande, notamment Nslookup, vous
permettent de vérifier les enregistrements de ressources et de résoudre les
problèmes liés au système DNS.
! Fonctionnalités de consignation, telles que le journal du serveur DNS, que
vous pouvez afficher à l’aide de l’Observateur d’événements.
relatives à la maintenance
et au dépannage des
serveurs DNS.
Introduction
Le service Serveur DNS
contient plusieurs utilitaires
qui vous permettent de
tester la configuration DNS,
vérifier le fonctionnement
des transferts de zone et
identifier les erreurs
potentielles.
Configuration d’une zone racine sur un serveur DNS
! Configurez une zone racine sur un serveur DNS si :
# votre intranet n’est pas connecté à Internet
# vous vous connectez à Internet par le biais d’un
serveur proxy
Si votre entreprise n est pas sur Internet,
ou y est connectée par le biais d un
serveur proxy, créez une zone racine
Serveur
proxy
Réseau privé
ccoomm..
mmiiccrroossoofftt..ccoomm..
..
Domaine racine
Enregistrements
de
microsoft.com
Enregistrements
de
microsoft.com
com.
delegate
microsoft.com
com.
delegate
microsoft.com
Si votre entreprise est sur Internet,
utilisez les indicat.
de racine
..
Domaine racine
Internet
oorrgg..
Réseau privé
ccoomm..
mmiiccrroossoofftt..ccoomm..
...
delegate
microsoft.com
...
...
delegate
microsoft.com
...
com.
edu.
au.
com.
edu.
au.
****
Le domaine racine d’Internet contient des informations sur les différents
attributs des serveurs DNS supérieurs (par exemple, les serveurs du domaine
com). Les serveurs DNS supérieurs contiennent des informations sur les
serveurs DNS secondaires (par exemple, les serveurs dans le domaine
microsoft.com).
Résolution de noms à partir de la zone racine d’Internet
Pour résoudre un nom d’hôte sur Internet, un serveur DNS commence par
effectuer une recherche dans sa propre base de données. Si cette recherche
n’aboutit pas, il commence à la racine d’Internet, puis poursuit la recherche en
se basant sur les informations fournies par les serveurs racine.
Pour permettre à votre serveur DNS d’effectuer des recherches de noms sur
Internet, vérifiez que vous n’avez pas configuré une zone racine sur le serveur
et
que l’onglet Indications de racine dans la boîte de dialogue Propriétés du
serveur contient la liste des serveurs d’autorité pour la zone racine d’Internet
.
Insister sur les points clés
de la configuration d’une
zone racine sur un serveur
DNS.
Introduction
En général, la zone racine
fait référence à la racine
d’Internet et est externe à
une entreprise. Ainsi,
évaluez avec soin la
nécessité de configurer une
zone racine sur votre
intranet.
Point clés
Insistez sur l’intérêt des
indications de racine lorsque
vous utilisez la zone racine
d’Internet et une zone racine
interne.
Utilisation d’une zone racine interne
Il existe deux situations pour lesquelles il est nécessaire de configurer une zo
ne
racine sur un serveur DNS de votre intranet afin que la résolution de noms
commence dans le domaine racine interne et non pas dans le domaine racine
d’Internet. Vous devez configurer une zone racine dans les cas suivants :
! votre intranet n’est pas connecté à Internet ;
! votre entreprise est connectée à Internet par le biais d’un serveur proxy.
Pour configurer une zone racine sur un serveur DNS, utilisez l’Assistant
Nouvelle zone pour créer une zone représentée par un point (.).
Pour permettre aux autres serveurs DNS internes d’effectuer des recherches de
noms à partir de votre zone racine intranet, vérifiez que l’onglet Indications d
e
racine dans la boîte de dialogue Propriétés de ces serveurs contient l’adresse
du serveur DNS d’autorité pour la zone racine de votre intranet.
Réduction du trafic réseau à l’aide des serveurs de mise en cache
Les serveurs de mise en cache :
# effectuent la résolution de noms pour les clients, puis
mettent en cache ou stockent les résultats
# réduisent le trafic DNS dans un réseau étendu
Serveur DNS de
mise en cache
Client
Client
Client
Bureau
distant
Serveur DNS
Siège social
Liaison de
réseau
étendu lente
****
Les serveurs de mise en cache effectuent la résolution de noms pour les clients,
puis mettent en cache ou stockent les résultats. Ils ne sont pas configurés en t
ant
que serveurs d’autorité pour une zone et ne peuvent donc pas stocker de zones
principales ou secondaires standard. Le cache contient les noms les plus
souvent demandés dans les requêtes. Ces noms et leurs adresses IP
correspondantes sont accessibles à partir du cache et permettent de répondre
aux requêtes suivantes des clients.
Lorsqu’un bureau distant dispose d’une largeur de bande limitée pour la
connexion au siège social de l’entreprise, il est nécessaire de configurer un
serveur de mise en cache au niveau de ce bureau distant pour permettre l’envoi
de requêtes récursives vers un serveur DNS situé au siège social. Lorsqu’une
requête est récursive, le serveur DNS assure la charge de travail totale et
l’entière responsabilité de la délivrance d’une réponse complète. Le serveur
DNS situé au siège social de l’entreprise assure un meilleur traitement des
requêtes récursives, car il dispose d’une plus grande largeur de bande pour la
connexion à Internet ou vers un intranet.
Un serveur de mise en cache permet de réduire le trafic d’un réseau étendu de
plusieurs manières :
! Il essaie de localiser les informations contenues dans son cache pour
résoudre les requêtes des clients. Si les informations requises ne sont pas
stockées dans le cache, le serveur de mise en cache initialise une requête sur
le réseau étendu afin de les localiser, puis il met à jour le cache. Plus le
cache contient d’informations et moins le serveur de mise en cache a besoin
d’initialiser une requête, ce qui réduit le trafic sur le réseau étendu.
! Un serveur de mise en cache ne met pas à jour les fichiers de zone, comme
le fait un serveur DNS principal, et il ne conserve aucune copie d’un fichier
de zone, contrairement à un serveur DNS secondaire. Ainsi, les serveurs de
mise en cache ne génèrent aucun trafic de transfert de zone.
Montrer le concept d’un
serveur de mise en cache.
Introduction
Les serveurs qui effectuent
uniquement la mise en
cache assurent le traitement
des requêtes, la mise en
cache des réponses et la
génération des résultats.
Ces serveurs ne font
autorité dans aucun
domaine et contiennent
uniquement les informations
mises en cache lors de la
résolution des requêtes.
À l’aide de l’exemple
suivant, expliquez comment
un serveur de mise en
cache peut aider à réduire le
trafic dans un réseau
étendu.
Les bureaux distants
disposent souvent d’une
largeur de bande limitée
pour la connexion à Internet
ou au siège social par
l’intermédiaire d’un réseau
étendu. Un serveur de mise
en cache permet de réduire
le trafic généré par les
processus de résolution de
noms ou de transferts de
zone.
Configuration d’un serveur de mise en cache
Pour configurer un serveur de mise en cache, installez le service Serveur DNS
sur un ordinateur qui exécute Windows 2000 Server, et ne configurez aucune
zone de recherche directe ou inversée.
Configuration des redirecteurs
Vous devez configurer un serveur de mise en cache pour effectuer des requêtes
récursives, plutôt que des requêtes itératives, à l’aide de redirecteurs. Un
redirecteur est un serveur DNS désigné par les autres serveurs DNS pour
acheminer les requêtes de résolution de noms de domaines externes. Cela
permet de réduire le trafic généré par le processus de résolution de noms dans
un réseau étendu.
Pour rediriger les requêtes vers un autre serveur, effectuez la procédure
suivante :
1. À partir du menu Outils d’administration, ouvrez DNS.
2. Cliquez avec le bouton droit sur le serveur sur lequel vous souhaitez
configurer la redirection, puis cliquez sur Propriétés.
3. Dans l’onglet Redirecteurs, activez la case à cocher Activer les
redirecteurs.
4. Tapez l’adresse IP du serveur vers lequel vous souhaitez effectuer la
redirection, cliquez sur Ajouter, puis sur OK.
Vous pouvez également configurer des redirecteurs sur un serveur
qui héberge des zones. Dans ce cas, le serveur DNS traite toutes les requêtes
qu’il peut résoudre à partir de ses fichiers de zone et il redirige toutes les a
utres
requêtes.
Remarque
Maintenance des zones DNS
****
Les enregistrements de ressources contiennent les données de configuration
d’un serveur DNS ou les informations utilisées par les serveurs DNS pour
résoudre les requêtes initialisés par les systèmes hôtes et les autres serveurs.
Différents types d’enregistrements de ressources peuvent être définis pour une
zone. Chaque type d’enregistrement de ressource contient différents types de
données.
Création d’un enregistrement de ressource
Vous pouvez créer un enregistrement de ressource manuellement pour les
clients qui ne peuvent pas le créer dynamiquement. Par exemple, si votre
serveur Windows NT 4.0 utilise une adresse IP statique, vous devrez créer
manuellement un enregistrement de ressource A.
Pour créer un nouvel enregistrement de ressource, ouvrez DNS. Cliquez avec le
bouton droit sur le nom de la zone à laquelle vous souhaitez ajouter le nouvel
enregistrement de ressource, puis cliquez sur le type que vous souhaitez créer,
ou cliquez sur Nouveaux enregistrements pour afficher la liste complète des
enregistrements de ressources.
Suppression d’un enregistrement de ressource
Les informations des zones sont automatiquement actualisées pour les clients
qui mettent à jour dynamiquement les informations de mappage des noms en
adresses IP relatives aux serveurs DNS.
Dans certains cas, toutefois, les enregistrements de ressources ne sont pas
automatiquement supprimés. Par exemple, si un ordinateur inscrit son
enregistrement de ressource A, puis se déconnecte du réseau de manière
incorrecte, l’enregistrement de ressource risque de ne pas être supprimé et de
devenir périmé. Ceci réduit les performances de DNS, car les enregistrements
de ressources périmés occupent de l’espace sur le serveur et risquent d’être
utilisés pour répondre à une requête.
Présenter l’interface
utilisateur de création d’un
enregistrement de
ressource.
Introduction
ressources sont stockés
dans une zone DNS et
fournissent les informations
utilisées par les serveurs
DNS pour effectuer la
Dans Windows 2000, vous pouvez configurer les serveurs DNS afin qu’ils
recherchent les enregistrements périmés et les suppriment de la base de
données. Cette opération est appelée le nettoyage.
Pour activer le nettoyage automatique des enregistrements de ressources
périmés :
1. Dans DNS, cliquez sur le nom du serveur DNS que vous souhaitez
configurer, cliquez sur Action, puis sur Propriétés.
2. Cliquez sur l’onglet Avancé, puis activez la case à cocher Activer le
nettoyage automatique des enregistrements obsolètes.
3. Pour régler l’option Période de nettoyage, sélectionnez un intervalle en
heures ou jours dans la liste, puis tapez le nombre correspondant dans la
zone de texte.
4. Cliquez sur OK une fois cette zone complétée.
Contrôle des serveurs DNS
1
****
Après avoir installé DNS, testez la configuration avant de l’activer sur le rése
au
afin d’éviter les problèmes de résolution de noms. Le service Serveur DNS de
Windows 2000 offre les fonctionnalités nécessaires pour tester et contrôler
DNS à l’aide de l’outil d’administration de DNS.
Test du service Serveur DNS
Vous pouvez configurer le service Serveur DNS afin qu’il initialise des requêtes
immédiates ou selon un calendrier défini. Vous pouvez ainsi vérifier que ce
service fonctionne correctement. Dans DNS, ouvrez la boîte de dialogue
Propriétés du serveur que vous souhaitez contrôler, puis cliquez sur l’onglet
Analyse. Vous pouvez tester un serveur DNS en effectuant deux types de
requêtes :
! Requête simple. Ce type de requête effectue un test local en utilisant le
client DNS pour interroger un serveur DNS.
! Requête récursive. Ce type de requête teste un serveur DNS en redirigeant
une requête récursive vers un autre serveur DNS.
Dans la section Sélectionnez un type de test, activez la case à cocher Une
requête simple à un serveur DNS ou Une requête récursive aux autres
serveurs DNS, ou les deux, puis cliquez sur Tester. Les résultats des tests
apparaissent dans la zone Résultats des tests.
Pour effectuer des tests selon un calendrier défini, activez la case à cocher
Effectuer un test automatique avec l’intervalle suivant, puis sélectionnez un
intervalle.
Certains résultats peuvent être incorrects si vous testez un serveur
DNS immédiatement après avoir ajouté ou supprimé des zones. Dans ce cas,
cliquez avec le bouton droit sur le serveur DNS dans l’arborescence de la
console, puis cliquez sur Actualiser, ou fermez et rouvrez DNS.
Mettre en évidence les
différentes méthodes de test
du service Serveur DNS.
Introduction
Vous pouvez utiliser l’outil
d’administration de DNS
pour tester le service
Serveur DNS.
Conseil
Contrôle du service Serveur DNS à l’aide de
l’Observateur d’événements
Vous pouvez utiliser l’Observateur d’événements pour visualiser le journal
d’événements du serveur DNS. Ces informations sont particulièrement utiles
pour connaître en détail les performances d’un serveur.
Activation des options du journal de débogage du
serveur DNS
Pour effectuer un dépannage avancé, vous pouvez configurer un serveur DNS
afin qu’il enregistre des informations détaillées sur toutes les opérations
effectuées. Pour activer la consignation, sous l’onglet Enregistrement de la
boîte de dialogue Propriétés du serveur DNS, activez les cases à cocher
correspondant aux événements que vous souhaitez enregistrer. Par défaut, le
serveur DNS enregistre ces informations dans le fichier journal
systemroot\System32\Dns\Dns.log.
La journalisation doit être activée uniquement pour les opérations de
dépannage. Cette opération peut exploiter les ressources de manière intensive,
affecter les performances générales des serveurs et occuper un espace disque
important.
Important
Vérification des enregistrements de ressources à l’aide de
Nslookup
! Utilisez Nslookup pour vérifier l’exactitude des
informations stockées dans les enregistrements
de ressources
****
Après avoir ajouté des enregistrements de ressources, utilisez l’utilitaire de l
igne
de commande Nslookup pour en vérifier l’exactitude. Nslookup fonctionne dans
deux modes :
! Interactif. Utilisez le mode interactif lorsque vous recherchez plusieurs
éléments d’informations. Pour exécuter ce mode, tapez nslookup à l’invite
de commande.
Pour quitter le mode interactif, tapez exit
! Non interactif. Utilisez le mode non interactif lorsque vous recherchez un
seul élément d’informations, ou pour inclure une commande Nslookup dans
un fichier de commandes ou dans un fichier batch. Utilisez la syntaxe de
Nslookup à l’invite de commande pour renvoyer les données.
Montrer les données
renvoyées par la commande
Nslookup.
Introduction
Utilisez l’utilitaire Nslookup
pour vérifier que les
enregistrements de
ressources ont été ajoutés
ou mis à jour correctement
dans une zone.
Exécutez Nslookup en
mode non interactif et
interactif. Montrez
également comment afficher
l’aide de Nslookup en tapant
un point d’interrogation (?)
en mode interactif.
Le tableau suivant explique la syntaxe de Nslookup.
nslookup [ option ...] [ordinateur_à_rechercher | [serveur]]
Syntaxe Description
-option Spécifie une ou plusieurs commandes Nslookup. Tapez un
point d’interrogation (?) pour afficher la liste des
commandes disponibles.
ordinateur_à_rechercher Si vous entrez l’adresse IP d’un ordinateur, Nslookup
renvoie le nom de l’hôte. Si vous entrez le nom d’hôte d’un
ordinateur, Nslookup renvoie l’adresse IP. Si l’ordinateur
recherché est un nom d’hôte qui n’est pas suivi d’un point
final, le nom de domaine DNS par défaut est ajouté au nom.
Pour accéder à un ordinateur situé en dehors du domaine
DNS actuel, tapez un point à la suite du nom.
-serveur Indique le serveur à utiliser comme serveur DNS. Si vous
ne spécifiez pas le serveur, le serveur DNS actuel par
défaut est utilisé.
Pour le fonctionnement correct de l’utilitaire Nslookup, un
enregistrement de ressource PTR doit exister pour le serveur objet de la
recherche. Au démarrage, Nslookup effectue une recherche inversée sur
l’adresse IP du serveur qui exécute le service Serveur DNS, puis il signale une
erreur si aucun nom ne correspond à cette adresse.
Remarque
Dépannage de la résolution de noms
Solution aux problèmes de résolution de noms suivants :
Dépannage de la résolution de noms sur les
ordinateurs clients
Erreur
Erreur Inscription des ordinateurs clients
Erreur Dépannage du transfert de zone
****
Des problèmes liés à la résolution de noms peuvent se produire lorsqu’un
ordinateur client n’effectue pas cette opération correctement, ou qu’il n’est pa
s
inscrit sur les serveurs DNS de votre réseau. D’autres problèmes de résolution
de noms peuvent également apparaître lorsque le processus de transfert de zone
ne fonctionne pas correctement.
Dépannage de la résolution de noms sur les ordinateurs
clients
Les clients DNS mettent en cache les réponses des serveurs DNS aux requêtes,
et ils utilisent ces informations pour répondre aux requêtes suivantes locales.
Lorsqu’une requête ne peut pas être résolue localement, le client interroge les
serveurs DNS pour résoudre un nom. Si vous estimez que l’ordinateur client ne
résout pas correctement les noms, utilisez l’utilitaire Ipconfig pour vider et
réinitialiser le cache sur ce dernier. À l’invite de commande, tapez
ipconfig /flushdns pour vider le cache. Tapez ipconfig /displaydns pour
afficher le cache actuel.
Inscription des ordinateurs clients
Les ordinateurs clients utilisent le protocole de mise à jour dynamique pour
inscrire leurs noms sur les serveurs DNS. Lorsque les enregistrements relatifs
au nom d’un client n’existent pas sur les serveurs, utilisez Ipconfig pour
actualiser tous les baux DHCP et inscrire les noms DNS associés. À l’invite de
commande, tapez ipconfig /registerdns pour contraindre le client à renouveler
son inscription.
Dépannage du transfert de zone
Un serveur secondaire interroge son serveur principal pour savoir si des mises à
jour ont été apportées à un fichier de zone et il utilise à cet effet le numéro
de
série inscrit dans l’enregistrement de ressource SOA. Si le numéro de série a
changé, un transfert de zone se produit pour mettre à jour les enregistrements
sur le serveur secondaire.
Dresser la liste des
principaux problèmes liés à
la résolution de noms et
leurs solutions.
Introduction
Windows 2000 contient
plusieurs utilitaires
permettant de résoudre les
problèmes liés à la
Expliquez le fonctionnement
de l’utilitaire Ipconfig pour
vider et réinitialiser le cache
sur un ordinateur client.
de l’utilitaire Ipconfig pour
obliger un client à
renouveler son inscription.
Lorsqu’un serveur secondaire ne reçoit aucune mise à jour de son serveur
principal, utilisez Nslookup pour comparer les numéros de série dans
l’enregistrement de ressource SOA de chaque serveur.
Pour comparer des numéros de série à l’aide de l’utilitaire Nslookup :
1. À l’invite de commande, tapez nslookup
2. Entrez le nom du serveur principal.
3. Tapez set type=SOA
4. Entrez le nom du domaine qui héberge le serveur principal.
5. Notez le numéro de série qui apparaît dans l’enregistrement de ressource
SOA.
6. Entrez le nom du serveur secondaire.
7. Répétez les étapes 3 à 5, puis tapez exit
Vous pouvez augmenter le numéro de série sur le serveur principal afin
d’initialiser un transfert de zone et forcer une mise à jour entre un serveur
principal et un serveur secondaire.
Pour forcer un transfert de zone :
1. À partir du menu Outils d’administration, ouvrez DNS sur le serveur qui
héberge le fichier de zone principal.
2. Ouvrez la boîte de dialogue Propriétés de la zone, puis cliquez sur l’onglet
Source de noms (SOA).
3. Cliquez sur Incrémenter pour augmenter le numéro de série, puis sur OK.
Pour plus d’informations sur les procédures de dépannage avancées
de DNS, consultez l’Aide de Windows 2000 et le Kit de Ressources Techniques
de Microsoft Windows 2000 Server.
de l’utilitaire Nslookup pour
comparer les numéros de
série dans les
enregistrements de
ressources SOA.
Expliquez comment modifier
le numéro de série sur un
serveur principal pour forcer
un transfert de zone.
Remarque
Conseils pratiques
SSuuiivveezz lleess iinnssttrruuccttiioonnss ssttaannddaarrdd
HHéébbeerrggeezz cchhaaqquuee zzoonnee ssuurr ddeeuuxx sseerrvveeuurrss aauu mmi
inniimmuumm
Utilisez les zones intégrées à Active Directory lorsque
cela est possible
Utilisez les zones intégrées à Active Directory lorsque
cela est possible
CCoonnffiigguurreezz lleess cclliieennttss ccoorrrreecctteemmeenntt
Utilisez des serveurs secondaires ou de mise en cache
pour réduire le trafic des requêtes DNS
Utilisez des serveurs secondaires ou de mise en cache
pour réduire le trafic des requêtes DNS
****
Le suivi des recommandations ci-dessous vous permettra d’éviter certaines
erreurs de configuration courantes.
Conseils pratiques en matière de configuration et
d’administration de DNS
! Suivez les instructions standard.
Lorsque vous concevez votre réseau DNS, suivez les instructions standard
et, dans la mesure du possible, les conseils pratiques en matière de gestion
de votre infrastructure DNS.
Le groupe IETF (Internet Engineering Task Force) a publié plusieurs
demandes de commentaires (RFC, Requests for Comment) qui contiennent
des conseils pratiques relatifs à DNS, recommandés par les architectes et les
planificateurs du système DNS pour Internet. Ces documents vous seront
particulièrement utiles dans le cadre de la mise en place d’une conception
DNS étendue :
• RFC 1912, Common DNS Operational and Configuration Errors
• RFC 2182, Selection and Operation of Secondary DNS Servers
• RFC 2219, Use of DNS Aliases for Network Services
! Hébergez chaque zone sur deux serveurs au minimum.
Vérifiez que vous disposez de deux serveurs au minimum pour héberger
chaque zone. Ceux-ci peuvent héberger des copies principales et
secondaires de la zone, ou deux copies de chaque zone intégrées à
Active Directory.
Dresser la liste des conseils
pratiques en matière de
gestion de DNS.
Introduction
Les quelques conseils
pratiques suivants doivent
être pris en compte lors de
la gestion de DNS.
! Utilisez les zones intégrées à Active Directory lorsque cela est possible.
Dans une zone intégrée, les contrôleurs de domaine de chaque domaine
Active Directory sont mappés directement vers leurs correspondants sur les
serveurs DNS. Pour résoudre les problèmes liés de réplication dans DNS et
dans Active Directory, les mêmes serveurs sont utilisés dans les deux
topologies, ce qui simplifie la planification, le déploiement et le dépannage.
Par ailleurs, l’utilisation de données stockées, intégrées dans un annuaire
simplifie les mises à jour dynamiques des clients DNS qui exécutent
Windows 2000. Lorsque vous configurez une liste de serveurs DNS préférés
et optionnels pour chaque client, vous pouvez spécifier les serveurs qui
correspondent aux contrôleurs de domaine situés à proximité de chaque
client. Si un client ne réussit pas à effectuer une mise à jour sur son serveur
préféré en raison de l’indisponibilité de ce dernier, il peut choisir un autre
serveur. Lorsque le serveur préféré redevient disponible, le client charge la
zone mise à jour (intégrée dans l’annuaire) qui inclut les modifications
effectuées.
Les zones intégrées à Active Directory permettent également d’effectuer des
mises à jour dynamiques sécurisées qui protègent les données de la zone
contre toute tentative de modification illicite.
! Configurez les clients correctement.
Si vous n’utilisez pas l’intégration dans Active Directory, il est
particulièrement important de configurer correctement vos clients et de
comprendre qu’une zone principale standard devient le point de défaillance
unique pour les mises à jour dynamiques et la réplication de zone.
Les zones principales standard sont nécessaires pour créer et gérer les zones
de votre espace de noms DNS si vous n’utilisez pas Active Directory. Dans
ce cas, un seul modèle de mise à jour principal peut être appliqué, dans
lequel un serveur DNS est désigné comme étant le serveur principal d’une
zone. Seul le serveur principal, tel que défini dans les propriétés de
l’enregistrement de ressource SOA spécifique à cette zone, peut traiter une
mise à jour de la zone.
Ainsi, il est important de s’assurer de la fiabilité et de la disponibilité de c
e
serveur DNS. Si tel n’est pas le cas, les clients ne pourront pas mettre à jour
leurs enregistrements de ressources A ou PTR.
! Utilisez des serveurs secondaires ou de mise en cache pour réduire le trafic
des requêtes DNS.
Vous pouvez utiliser les serveurs secondaires en tant que serveurs de
sauvegarde pour les clients DNS, mais également en tant que serveurs DNS
préférés pour les clients DNS internes. Dans les environnements en mode
mixe, cette configuration vous permet d’équilibrer la charge du trafic des
requêtes DNS sur le réseau et donc de réserver vos serveurs primaires DNS
aux clients Windows 2000 qui nécessitent des serveurs principaux pour
effectuer l’inscription et les mises à jour dynamiques de leurs
enregistrements de ressources A et PTR.

Gestion Dns

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestion Dns

Uploaded by

Copyright:

Available Formats

Table des matières

You might also like