Déploiement de serveurs DNS

Examen et nettoyage du cache de serveur DNS .... La résolution de noms est un sujet complexe pouvant paraître difficile à comprendre, mais ...... Dans la boîte de dialogue Active Directory Replication Monitor Options, sélectionnez l'option ...

part of the document

la nécessité de DNS PAGEREF _Toc95084899 \h 160
HYPERLINK \l "_Toc95084900" Détermination de la nécessité de NetBIOS PAGEREF _Toc95084900 \h 160
HYPERLINK \l "_Toc95084901" Désactivation de NetBIOS PAGEREF _Toc95084901 \h 161
HYPERLINK \l "_Toc95084902" Exercice pratique : Capture du trafic de résolution de noms PAGEREF _Toc95084902 \h 162
HYPERLINK \l "_Toc95084903" Exercice 1: Capture du trafic de résolution de noms PAGEREF _Toc95084903 \h 162
HYPERLINK \l "_Toc95084904" Révision de la leçon PAGEREF _Toc95084904 \h 163
HYPERLINK \l "_Toc95084905" Résumé de la leçon PAGEREF _Toc95084905 \h 164
HYPERLINK \l "_Toc95084906" Leçon 2: Compréhension de DNS dans les réseaux Windows Server 2003 PAGEREF _Toc95084906 \h 165
HYPERLINK \l "_Toc95084907" Exploration de DNS PAGEREF _Toc95084907 \h 165
HYPERLINK \l "_Toc95084908" Espace de noms DNS PAGEREF _Toc95084908 \h 165
HYPERLINK \l "_Toc95084909" Noms de domaine PAGEREF _Toc95084909 \h 166
HYPERLINK \l "_Toc95084910" Espace de noms de domaines Internet PAGEREF _Toc95084910 \h 166
HYPERLINK \l "_Toc95084911" Espace de noms de domaines privés PAGEREF _Toc95084911 \h 167
HYPERLINK \l "_Toc95084912" Composants DNS PAGEREF _Toc95084912 \h 167
HYPERLINK \l "_Toc95084913" Serveurs DNS PAGEREF _Toc95084913 \h 167
HYPERLINK \l "_Toc95084914" Zones DNS PAGEREF _Toc95084914 \h 168
HYPERLINK \l "_Toc95084915" Résolution DNS PAGEREF _Toc95084915 \h 168
HYPERLINK \l "_Toc95084916" Enregistrements de ressource PAGEREF _Toc95084916 \h 168
HYPERLINK \l "_Toc95084917" Compréhension du fonctionnement dune requête DNS PAGEREF _Toc95084917 \h 169
HYPERLINK \l "_Toc95084918" Méthodes de résolution DNS PAGEREF _Toc95084918 \h 169
HYPERLINK \l "_Toc95084919" Étapes dune requête DNS PAGEREF _Toc95084919 \h 170
HYPERLINK \l "_Toc95084920" Compréhension de la récursivité PAGEREF _Toc95084920 \h 172
HYPERLINK \l "_Toc95084921" Indications de racine PAGEREF _Toc95084921 \h 172
HYPERLINK \l "_Toc95084922" Exemple de requête PAGEREF _Toc95084922 \h 173
HYPERLINK \l "_Toc95084923" Types de réponses de requête PAGEREF _Toc95084923 \h 175
HYPERLINK \l "_Toc95084924" Compréhension du fonctionnement du cache PAGEREF _Toc95084924 \h 176
HYPERLINK \l "_Toc95084925" Cache du client DNS PAGEREF _Toc95084925 \h 176
HYPERLINK \l "_Toc95084926" Cache du serveur DNS PAGEREF _Toc95084926 \h 176
HYPERLINK \l "_Toc95084927" Révision de la leçon PAGEREF _Toc95084927 \h 177
HYPERLINK \l "_Toc95084928" Résumé de la leçon PAGEREF _Toc95084928 \h 178
HYPERLINK \l "_Toc95084929" Leçon 3: Déploiement de serveurs DNS PAGEREF _Toc95084929 \h 179
HYPERLINK \l "_Toc95084930" Installation du service serveur DNS PAGEREF _Toc95084930 \h 179
HYPERLINK \l "_Toc95084931" Configuration dun serveur DNS PAGEREF _Toc95084931 \h 181
HYPERLINK \l "_Toc95084932" Création de zones PAGEREF _Toc95084932 \h 181
HYPERLINK \l "_Toc95084933" Types de zone PAGEREF _Toc95084933 \h 182
HYPERLINK \l "_Toc95084934" Compréhension des types de serveur PAGEREF _Toc95084934 \h 183
HYPERLINK \l "_Toc95084935" Serveurs principaux PAGEREF _Toc95084935 \h 183
HYPERLINK \l "_Toc95084936" Serveurs secondaires PAGEREF _Toc95084936 \h 183
HYPERLINK \l "_Toc95084937" Serveurs stub PAGEREF _Toc95084937 \h 184
HYPERLINK \l "_Toc95084938" Serveurs en cache seul PAGEREF _Toc95084938 \h 184
HYPERLINK \l "_Toc95084939" Création denregistrements de ressource PAGEREF _Toc95084939 \h 185
HYPERLINK \l "_Toc95084940" Format denregistrement de ressource PAGEREF _Toc95084940 \h 186
HYPERLINK \l "_Toc95084941" Types denregistrement PAGEREF _Toc95084941 \h 187
HYPERLINK \l "_Toc95084942" Examen et nettoyage du cache de serveur DNS PAGEREF _Toc95084942 \h 190
HYPERLINK \l "_Toc95084943" Exercice pratique Installation dun serveur DNS PAGEREF _Toc95084943 \h 192
HYPERLINK \l "_Toc95084944" Exercice 1: Installation du composant Windows DNS PAGEREF _Toc95084944 \h 192
HYPERLINK \l "_Toc95084945" Exercice 2 : Création dune connexion par numérotation PAGEREF _Toc95084945 \h 193
HYPERLINK \l "_Toc95084946" Exercice 3 : Configuration du nouveau serveur DNS PAGEREF _Toc95084946 \h 194
HYPERLINK \l "_Toc95084947" Exercice 4 : Test du serveur DNS PAGEREF _Toc95084947 \h 195
HYPERLINK \l "_Toc95084948" Révision de la leçon PAGEREF _Toc95084948 \h 196
HYPERLINK \l "_Toc95084949" Résumé de la leçon PAGEREF _Toc95084949 \h 197
HYPERLINK \l "_Toc95084950" Leçon 4: Configuration de clients DNS PAGEREF _Toc95084950 \h 198
HYPERLINK \l "_Toc95084951" Configuration des réglages du client PAGEREF _Toc95084951 \h 198
HYPERLINK \l "_Toc95084952" Définition de noms dordinateur PAGEREF _Toc95084952 \h 199
HYPERLINK \l "_Toc95084953" Prise en charge des noms BIOS PAGEREF _Toc95084953 \h 199
HYPERLINK \l "_Toc95084954" Définition dun suffixe DNS principal PAGEREF _Toc95084954 \h 200
HYPERLINK \l "_Toc95084955" Définir un suffixe DNS spécifique à la connexion PAGEREF _Toc95084955 \h 200
HYPERLINK \l "_Toc95084956" Configuration dune liste de serveurs DNS PAGEREF _Toc95084956 \h 203
HYPERLINK \l "_Toc95084957" Liste de suffixes de recherche DNS PAGEREF _Toc95084957 \h 204
HYPERLINK \l "_Toc95084958" Configuration doptions de mise à jour dynamique. PAGEREF _Toc95084958 \h 205
HYPERLINK \l "_Toc95084959" Comportement de mise à jour par défaut du client PAGEREF _Toc95084959 \h 206
HYPERLINK \l "_Toc95084960" Configuration des réglages TCP/IP pour les clients DNS PAGEREF _Toc95084960 \h 207
HYPERLINK \l "_Toc95084961" Examen et nettoyage du cache du solveur DNS PAGEREF _Toc95084961 \h 208
HYPERLINK \l "_Toc95084962" Exercice pratique 1: Configuration dun suffixe DNS principal PAGEREF _Toc95084962 \h 210
HYPERLINK \l "_Toc95084963" Exercice 1 : Ajout de suffixes de noms à des ordinateurs PAGEREF _Toc95084963 \h 210
HYPERLINK \l "_Toc95084964" Exercice 2 : Vérifier les modifications dans DNS PAGEREF _Toc95084964 \h 210
HYPERLINK \l "_Toc95084965" Exercice pratique 2 : Configuration dun serveur DNS en vue de récursivité PAGEREF _Toc95084965 \h 211
HYPERLINK \l "_Toc95084966" Exercice 1. : Activation de ICS PAGEREF _Toc95084966 \h 211
HYPERLINK \l "_Toc95084967" Exercice 2 : Réalisation de requêtes récursives PAGEREF _Toc95084967 \h 212
HYPERLINK \l "_Toc95084968" Révision de la leçon PAGEREF _Toc95084968 \h 214
HYPERLINK \l "_Toc95084969" Résumé de la leçon PAGEREF _Toc95084969 \h 215
HYPERLINK \l "_Toc95084970" Étude de cas PAGEREF _Toc95084970 \h 216
HYPERLINK \l "_Toc95084971" Laboratoire de dépannage PAGEREF _Toc95084971 \h 217
HYPERLINK \l "_Toc95084972" Résumé du chapitre PAGEREF _Toc95084972 \h 218
HYPERLINK \l "_Toc95084973" À propos de lexamen PAGEREF _Toc95084973 \h 220
HYPERLINK \l "_Toc95084974" Points clés PAGEREF _Toc95084974 \h 220
HYPERLINK \l "_Toc95084975" Termes clés PAGEREF _Toc95084975 \h 220
HYPERLINK \l "_Toc95084976" Questions et réponses PAGEREF _Toc95084976 \h 221
HYPERLINK \l "_Toc95084977" Exercice pratique de la leçon 1 PAGEREF _Toc95084977 \h 221
HYPERLINK \l "_Toc95084978" Révision de la leçon 1 PAGEREF _Toc95084978 \h 221
HYPERLINK \l "_Toc95084979" Révision de la leçon 2 PAGEREF _Toc95084979 \h 223
HYPERLINK \l "_Toc95084980" Leçon 4, Exercice pratique1, Exercice 2 PAGEREF _Toc95084980 \h 224
HYPERLINK \l "_Toc95084981" Leçon 4, Exercice pratique2, Exercice 2 PAGEREF _Toc95084981 \h 224
HYPERLINK \l "_Toc95084982" Révision de la leçon PAGEREF _Toc95084982 \h 224
HYPERLINK \l "_Toc95084983" Étude de cas PAGEREF _Toc95084983 \h 225
HYPERLINK \l "_Toc95084984" Laboratoire de dépannage PAGEREF _Toc95084984 \h 226
HYPERLINK \l "_Toc95084985" CHAPITRE 5 Mise en oeuvre dune infrastructure DNS PAGEREF _Toc95084985 \h 227
HYPERLINK \l "_Toc95084986" Objectif de ce chapitre PAGEREF _Toc95084986 \h 227
HYPERLINK \l "_Toc95084987" Importance de ce chapitre PAGEREF _Toc95084987 \h 227
HYPERLINK \l "_Toc95084988" Dans ce chapitre PAGEREF _Toc95084988 \h 227
HYPERLINK \l "_Toc95084989" Avant de commencer PAGEREF _Toc95084989 \h 228
HYPERLINK \l "_Toc95084990" Leçon 1: Configuration des propriétés dun serveur DNS PAGEREF _Toc95084990 \h 229
HYPERLINK \l "_Toc95084991" Exploration des onglets des propriétés dun serveur DNS PAGEREF _Toc95084991 \h 229
HYPERLINK \l "_Toc95084992" Onglet Interfaces PAGEREF _Toc95084992 \h 230
HYPERLINK \l "_Toc95084993" Onglet Redirecteurs PAGEREF _Toc95084993 \h 230
HYPERLINK \l "_Toc95084994" Onglet Avancé PAGEREF _Toc95084994 \h 233
HYPERLINK \l "_Toc95084995" Onglet Indications de racine PAGEREF _Toc95084995 \h 234
HYPERLINK \l "_Toc95084996" Onglet Enregistrement de débogage PAGEREF _Toc95084996 \h 235
HYPERLINK \l "_Toc95084997" Onglet Enregistrement des événements PAGEREF _Toc95084997 \h 235
HYPERLINK \l "_Toc95084998" Onglet Analyse PAGEREF _Toc95084998 \h 236
HYPERLINK \l "_Toc95084999" Onglet Sécurité PAGEREF _Toc95084999 \h 237
HYPERLINK \l "_Toc95085000" Exercice pratique 1: Comparaison du trafic réseau des résolutions de noms NetBIOS et DNS PAGEREF _Toc95085000 \h 238
HYPERLINK \l "_Toc95085001" Exercice : Capture du trafic de résolution de noms PAGEREF _Toc95085001 \h 238
HYPERLINK \l "_Toc95085002" Exercice pratique 2 : Vérification des enregistrements de ressource SRV pour Active Directory dans DNS PAGEREF _Toc95085002 \h 240
HYPERLINK \l "_Toc95085003" Exercice 1: Installation de Active Directory PAGEREF _Toc95085003 \h 240
HYPERLINK \l "_Toc95085004" Exercice 2 : Vérification des enregistrements de ressource SRV dans DNS PAGEREF _Toc95085004 \h 242
HYPERLINK \l "_Toc95085005" Exercice 3: Ajouter un ordinateur au nouveau domaine PAGEREF _Toc95085005 \h 243
HYPERLINK \l "_Toc95085006" Révision de la leçon PAGEREF _Toc95085006 \h 244
HYPERLINK \l "_Toc95085007" Résumé de la leçon PAGEREF _Toc95085007 \h 245
HYPERLINK \l "_Toc95085008" Leçon 2 : Configuration des propriétés et transferts de zone PAGEREF _Toc95085008 \h 246
HYPERLINK \l "_Toc95085009" Exploration des propriétés dune zone DNS PAGEREF _Toc95085009 \h 246
HYPERLINK \l "_Toc95085010" Onglet Général PAGEREF _Toc95085010 \h 247
HYPERLINK \l "_Toc95085011" Onglet Source de noms (SOA) PAGEREF _Toc95085011 \h 255
HYPERLINK \l "_Toc95085012" Onglet Serveurs de noms PAGEREF _Toc95085012 \h 258
HYPERLINK \l "_Toc95085013" Onglet WINS PAGEREF _Toc95085013 \h 259
HYPERLINK \l "_Toc95085014" Onglet Transferts de zone PAGEREF _Toc95085014 \h 259
HYPERLINK \l "_Toc95085015" Exercice pratique: Déploiement dun serveur DNS secondaire PAGEREF _Toc95085015 \h 262
HYPERLINK \l "_Toc95085016" Exercice 1: Configuration dune zone secondaire PAGEREF _Toc95085016 \h 262
HYPERLINK \l "_Toc95085017" Exercice 2 : Contrôle des réglages de notification PAGEREF _Toc95085017 \h 264
HYPERLINK \l "_Toc95085018" Révision de la leçon PAGEREF _Toc95085018 \h 265
HYPERLINK \l "_Toc95085019" Résumé de la leçon PAGEREF _Toc95085019 \h 267
HYPERLINK \l "_Toc95085020" Leçon 3 : Configuration des propriétés avancées du serveur DNS PAGEREF _Toc95085020 \h 268
HYPERLINK \l "_Toc95085021" Ajustement des options avancées du serveur PAGEREF _Toc95085021 \h 268
HYPERLINK \l "_Toc95085022" Désactiver la récursivité PAGEREF _Toc95085022 \h 270
HYPERLINK \l "_Toc95085023" Lier les zones secondaires PAGEREF _Toc95085023 \h 270
HYPERLINK \l "_Toc95085024" Échec de chargement si les données de zone sont erronées PAGEREF _Toc95085024 \h 271
HYPERLINK \l "_Toc95085025" Activer le tri de masques réseau PAGEREF _Toc95085025 \h 271
HYPERLINK \l "_Toc95085026" Activer la fonction Round Robin PAGEREF _Toc95085026 \h 273
HYPERLINK \l "_Toc95085027" Sécuriser le cache contre la pollution PAGEREF _Toc95085027 \h 274
HYPERLINK \l "_Toc95085028" Vérification de nom PAGEREF _Toc95085028 \h 274
HYPERLINK \l "_Toc95085029" Charger les données de zone au démarrage PAGEREF _Toc95085029 \h 276
HYPERLINK \l "_Toc95085030" Activer le nettoyage automatique des enregistrements obsolètes PAGEREF _Toc95085030 \h 276
HYPERLINK \l "_Toc95085031" Révision de la leçon PAGEREF _Toc95085031 \h 277
HYPERLINK \l "_Toc95085032" Résumé de la leçon PAGEREF _Toc95085032 \h 279
HYPERLINK \l "_Toc95085033" Leçon 4: Création de délégations de zone PAGEREF _Toc95085033 \h 280
HYPERLINK \l "_Toc95085034" Déléguer une zone PAGEREF _Toc95085034 \h 280
HYPERLINK \l "_Toc95085035" Quand déléguer une zone PAGEREF _Toc95085035 \h 281
HYPERLINK \l "_Toc95085036" Fonctionnement des délégations PAGEREF _Toc95085036 \h 281
HYPERLINK \l "_Toc95085037" Création dune délégation de zone PAGEREF _Toc95085037 \h 282
HYPERLINK \l "_Toc95085038" Exercice pratique : Création dune délégation de zone PAGEREF _Toc95085038 \h 284
HYPERLINK \l "_Toc95085039" Exercice 1 : Création dune zone à déléguer PAGEREF _Toc95085039 \h 284
HYPERLINK \l "_Toc95085040" Exercice 2 : Ajout denregistrements de ressource hôte (A) à la zone PAGEREF _Toc95085040 \h 284
HYPERLINK \l "_Toc95085041" Exercice 3 : Création dune délégation PAGEREF _Toc95085041 \h 285
HYPERLINK \l "_Toc95085042" Exercice 4 : Test de la configuration PAGEREF _Toc95085042 \h 286
HYPERLINK \l "_Toc95085043" Révision de la leçon PAGEREF _Toc95085043 \h 287
HYPERLINK \l "_Toc95085044" Résumé de la leçon PAGEREF _Toc95085044 \h 289
HYPERLINK \l "_Toc95085045" Leçon 5 : Déploiement de zones de stub PAGEREF _Toc95085045 \h 290
HYPERLINK \l "_Toc95085046" Compréhension des zones de stub PAGEREF _Toc95085046 \h 290
HYPERLINK \l "_Toc95085047" Intérêts des zones de stub PAGEREF _Toc95085047 \h 291
HYPERLINK \l "_Toc95085048" Quand employer des zones de stub PAGEREF _Toc95085048 \h 291
HYPERLINK \l "_Toc95085049" Exemple de zone de stub PAGEREF _Toc95085049 \h 292
HYPERLINK \l "_Toc95085050" Autres emplois des zones de stub PAGEREF _Toc95085050 \h 293
HYPERLINK \l "_Toc95085051" Enregistrements de ressource dune zone de stub PAGEREF _Toc95085051 \h 294
HYPERLINK \l "_Toc95085052" Résolution de zone de stub PAGEREF _Toc95085052 \h 294
HYPERLINK \l "_Toc95085053" Mises à jour de zone de stub PAGEREF _Toc95085053 \h 295
HYPERLINK \l "_Toc95085054" Exercice pratique: Déploiement dune zone de stub PAGEREF _Toc95085054 \h 296
HYPERLINK \l "_Toc95085055" Exercice 1: Création dune zone de stub PAGEREF _Toc95085055 \h 296
HYPERLINK \l "_Toc95085056" Révision de la leçon PAGEREF _Toc95085056 \h 297
HYPERLINK \l "_Toc95085057" Résumé de la leçon PAGEREF _Toc95085057 \h 298
HYPERLINK \l "_Toc95085058" Étude de cas PAGEREF _Toc95085058 \h 299
HYPERLINK \l "_Toc95085059" Laboratoire de dépannage PAGEREF _Toc95085059 \h 301
HYPERLINK \l "_Toc95085060" Résumé du chapitre PAGEREF _Toc95085060 \h 302
HYPERLINK \l "_Toc95085061" À propos de lexamen PAGEREF _Toc95085061 \h 304
HYPERLINK \l "_Toc95085062" Points clés PAGEREF _Toc95085062 \h 304
HYPERLINK \l "_Toc95085063" Termes clés PAGEREF _Toc95085063 \h 304
HYPERLINK \l "_Toc95085064" Questions et réponses PAGEREF _Toc95085064 \h 305
HYPERLINK \l "_Toc95085065" Leçon 1, Exercice pratique 1, Exercice 1 PAGEREF _Toc95085065 \h 305
HYPERLINK \l "_Toc95085066" Leçon 1, Exercice pratique 2, Exercice 1 PAGEREF _Toc95085066 \h 305
HYPERLINK \l "_Toc95085067" Révision de la leçon 1 PAGEREF _Toc95085067 \h 306
HYPERLINK \l "_Toc95085068" Leçon 2, Exercice pratique, Exercice 1 PAGEREF _Toc95085068 \h 307
HYPERLINK \l "_Toc95085069" Leçon 2, Exercice pratique, Exercice 2 PAGEREF _Toc95085069 \h 307
HYPERLINK \l "_Toc95085070" Révision de la leçon 2 PAGEREF _Toc95085070 \h 308
HYPERLINK \l "_Toc95085071" Révision de la leçon 3 PAGEREF _Toc95085071 \h 310
HYPERLINK \l "_Toc95085072" Révision de la leçon 4 PAGEREF _Toc95085072 \h 312
HYPERLINK \l "_Toc95085073" Révision de la leçon 5 PAGEREF _Toc95085073 \h 314
HYPERLINK \l "_Toc95085074" Étude de cas PAGEREF _Toc95085074 \h 315
HYPERLINK \l "_Toc95085076" CHAPITRE 6 PAGEREF _Toc95085076 \h 316
HYPERLINK \l "_Toc95085077" Surveillance et dépannage de DNS PAGEREF _Toc95085077 \h 316
HYPERLINK \l "_Toc95085079" Importance de ce chapitre PAGEREF _Toc95085079 \h 316
HYPERLINK \l "_Toc95085080" Avant de commencer PAGEREF _Toc95085080 \h 316
HYPERLINK \l "_Toc95085081" Leçon 1 : Travail avec les outils de dépannage DNS PAGEREF _Toc95085081 \h 318
HYPERLINK \l "_Toc95085082" Requêtes DNS à laide de Nslookup PAGEREF _Toc95085082 \h 318
HYPERLINK \l "_Toc95085083" Réalisation dune requête simple PAGEREF _Toc95085083 \h 319
HYPERLINK \l "_Toc95085084" Travail en mode interactif PAGEREF _Toc95085084 \h 320
HYPERLINK \l "_Toc95085085" Explorations des options de Nslookup PAGEREF _Toc95085085 \h 320
HYPERLINK \l "_Toc95085086" Recherche de types de données différents PAGEREF _Toc95085086 \h 322
HYPERLINK \l "_Toc95085087" Requête directe vers un autre serveur de noms PAGEREF _Toc95085087 \h 323
HYPERLINK \l "_Toc95085088" Emploi de Nslookup pour examiner des données de zone PAGEREF _Toc95085088 \h 323
HYPERLINK \l "_Toc95085089" Examen du journal des événements DNS PAGEREF _Toc95085089 \h 325
HYPERLINK \l "_Toc95085090" Configuration du journal des événements DNS PAGEREF _Toc95085090 \h 325
HYPERLINK \l "_Toc95085091" Journal de débogage DNS PAGEREF _Toc95085091 \h 327
HYPERLINK \l "_Toc95085092" Exercice pratique : Travail avec les outils de dépannage DNS PAGEREF _Toc95085092 \h 328
HYPERLINK \l "_Toc95085093" Exercice 1 : Travail avec Nslookup en mode non-interactif PAGEREF _Toc95085093 \h 328
HYPERLINK \l "_Toc95085094" Exercice 2 : Travail avec Nslookup en mode interactif PAGEREF _Toc95085094 \h 329
HYPERLINK \l "_Toc95085095" Exercice 3 : Travail de débogage avec le journal DNS PAGEREF _Toc95085095 \h 332
HYPERLINK \l "_Toc95085096" Révision de la leçon PAGEREF _Toc95085096 \h 334
HYPERLINK \l "_Toc95085097" Résumé de la leçon PAGEREF _Toc95085097 \h 335
HYPERLINK \l "_Toc95085098" Leçon 2: travail avec les outils de surveillance DNS PAGEREF _Toc95085098 \h 336
HYPERLINK \l "_Toc95085099" Travail avec le moniteur de réplication PAGEREF _Toc95085099 \h 336
HYPERLINK \l "_Toc95085100" Partitions dannuaire et zones intégrées à Active Directory PAGEREF _Toc95085100 \h 337
HYPERLINK \l "_Toc95085101" Exemple : Commutateurs Dnscmd pour la réplication DNS PAGEREF _Toc95085101 \h 338
HYPERLINK \l "_Toc95085102" Imposer une réplication dune zone intégrée à Active Directory PAGEREF _Toc95085102 \h 338
HYPERLINK \l "_Toc95085103" Recherche derreurs de réplication PAGEREF _Toc95085103 \h 339
HYPERLINK \l "_Toc95085104" Surveiller les performances DNS à laide du Moniteur système PAGEREF _Toc95085104 \h 340
HYPERLINK \l "_Toc95085105" Compteurs de performance du serveur DNS PAGEREF _Toc95085105 \h 340
HYPERLINK \l "_Toc95085106" Révision de la leçon PAGEREF _Toc95085106 \h 344
HYPERLINK \l "_Toc95085107" Résumé de la leçon PAGEREF _Toc95085107 \h 345
HYPERLINK \l "_Toc95085108" Étude de cas PAGEREF _Toc95085108 \h 346
HYPERLINK \l "_Toc95085109" Laboratoire de dépannage PAGEREF _Toc95085109 \h 348
HYPERLINK \l "_Toc95085110" Résumé du chapitre PAGEREF _Toc95085110 \h 350
HYPERLINK \l "_Toc95085111" À propos de lexamen PAGEREF _Toc95085111 \h 351
HYPERLINK \l "_Toc95085112" Points clé PAGEREF _Toc95085112 \h 351
HYPERLINK \l "_Toc95085113" Termes clés PAGEREF _Toc95085113 \h 351
HYPERLINK \l "_Toc95085114" Questions et réponses PAGEREF _Toc95085114 \h 352
HYPERLINK \l "_Toc95085115" Leçon 1, Exercice pratique, Exercice 2 PAGEREF _Toc95085115 \h 352
HYPERLINK \l "_Toc95085116" Leçon 1, Exercice pratique, Partie 3 PAGEREF _Toc95085116 \h 352
HYPERLINK \l "_Toc95085117" Révision de la leçon 1 PAGEREF _Toc95085117 \h 353
HYPERLINK \l "_Toc95085118" Révision de la leçon 2 PAGEREF _Toc95085118 \h 354
HYPERLINK \l "_Toc95085119" Étude de cas PAGEREF _Toc95085119 \h 355
HYPERLINK \l "_Toc95085120" Laboratoire de dépannage PAGEREF _Toc95085120 \h 357

CHAPITRE 4 Configuration de serveurs et de clients DNS

Objectifs dexamen de ce chapitre

Dépannage dadressage TCP/IP
Installation et configuration du service de serveur DNS
Gestion des réglages des enregistrements DNS

Importance de ce chapitre

La résolution de noms est un sujet complexe pouvant paraître difficile à comprendre, mais dont la maîtrise est essentielle pour devenir un expert en matière de réseaux Windows Server 2003. Le service dannuaire Active Directory dépendant de DNS (Domain Name System) pour la plus grande partie de son fonctionnement fondamental, vous serez incapable, sans une connaissance claire du fonctionnement de DNS, de dépanner efficacement des réseaux Microsoft Windows Server 2003.

Ce chapitre présente des concepts fondamentaux liés à la résolution de noms dans les réseaux Windows Server 2003 et particulièrement à DNS. II décrit ensuite le processus de configuration de serveurs et de clients DNS dans un réseau Windows Server 2003. Au cours de cette étude, vous découvrirez des outils de dépannage essentiels comme Nbtstat et Ipconfig /flushdns permettant de résoudre des problèmes de résolution de noms dans un réseau.

Dans ce chapitre

Leçon 1: Compréhension de la résolution de noms avec Windows Server 2003
Leçon 2 : Compréhension de DNS avec les réseaux Windows Server 2003
Leçon 3 : Déploiement de serveurs DNS
Leçon 4 : Configuration de clients DNS
Avant de commencer

Pour travailler avec ce chapitre, vous devez préalablement avoir:

Deux ordinateurs nommés Ordinateur1 et Ordinateur2, exécutant tous deux Windows Server 2003 et physiquement reliés en réseau. Ordinateur1 doit posséder une adresse IP statique de 192.168.0.1/24 et Ordinateur2 une adresse alternative de 192.168.0.2/24, tout en étant configuré pour obtenir automatiquement une adresse IP.

Une ligne téléphonique et un compte par numérotation auprès dun FAI (Fournisseur dAccès Internet). Vous pouvez y substituer une connexion Internet dédiée, mais vous devrez alors modifier en conséquence les exercices des leçons.
Installé le sous-composant Outils du Moniteur réseau du composant Outils de gestion et danalyse sur Ordinateur1.
Installé les outils de support Windows sur Ordinateur1.
Leçon 1 : Compréhension de la résolution de noms avec Windows Server 2003

Pratiquement tout réseau doit disposer dun mécanisme de traduction des noms dordinateur en adresses IP (Internet Protocol). Cette exigence vient de ce que les individus et les applications se connectent généralement à des ordinateurs réseau en spécifiant un nom, alors que les services de niveau inférieur emploient le plus souvent des adresses pour identifier les hôtes. Pour des raisons historiques, deux systèmes de dénomination dordinateur coexistent dans les réseaux Windows Server 2003 : NetBIOS et DNS. Ces deux systèmes nétant pas apparentés, ils font appel à des mécanismes distincts pour résoudre les noms en adresses IP.

À la fin de cette leçon, vous saurez:

Décrire les méthodes de résolution de noms des réseaux Windows Server 2003
Comparer et distinguer noms NetBIOS et noms DNS
Décrire les procédures de résolution de noms de NetBIOS et de DNS
Employer la commande Nbtstat pour examiner et vider le cache de noms NetBIOS
Désactiver NetBIOS sur un réseau

Durée estimée : 30 minutes

Comparaison de DNS et de NetBIOS

DNS est le système de dénomination favori de la famille Windows Server 2003. En comparaison avec NetBIOS, il offre une bien meilleure évolutivité, plus de sécurité et une meilleure compatibilité avec lInternet. Même si DNS nécessite dêtre configuré avant de fonctionner, il reste un élément essentiel des domaines Active Directory et est de ce fait employé dans la plupart des réseaux Windows Server 2003. NetBIOS est toutefois toujours fréquemment employé comme méthode de secours de résolution de noms, essentiellement parce quil procure sans configuration, une résolution de noms pour les ordinateurs situés sur le même segment de réseau. NetBIOS sert en outre au maintien de la compatibilité avec danciens dispositifs Windows, comme le parcours dun réseau Microsoft Windows à laide de Mes favoris réseau ou la connexion à des partages à laide dadresses UNC (Universal Naming Convention) comme HYPERLINK "\\\\ordinateurl\\share1" \\ordinateurl\share1.

Remarque NetBIOS nest pas en réalité un système de dénomination mais une interface de programmation dapplication API (Application Programming Interface), employée dans les anciens réseaux Microsoft et permettant aux ordinateurs de se connecter et de communiquer. La dénomination et la résolution de noms ne sont que deux des nombreux services offerts par NetBIOS.

Dans les réseaux Windows Server 2003, la résolution de noms DNS est prioritaire par rapport à la résolution de noms NetBIOS. Cette priorité est gérée par le service client DNS, responsable de la résolution de noms. Le service client DNS tente dabord une résolution de noms à laide de DNS, puis, en cas déchec, soumet le nom à NetBIOS.

Remarque Le service client DNS porte également le nom de service de résolution DNS et de solveur DNS.
Comparaison des noms dordinateur

Lorsque vous installez Windows Server 2003 sur un ordinateur, vous devez attribuer un nom à ce dernier. Ce nom, modifiable par la boîte de dialogue Propriétés système, sert de base tant pour son nom dhôte DNS que pour son nom NetBIOS. Plus spécifiquement, un nom individuel comme « serveur1 » affecté à lordinateur est connu sous le terme de nom dhôte DNS. Tant quil ne dépasse pas 15 caractères, ce même nom est également employé comme nom NetBIOS.

En dépit de cette similitude, DNS diffère de NetBIOS en ce que lespace de noms DNS est hiérarchique. Chaque nom dhôte DNS nest quune partie dun nom complet connu sous le terme de nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain Name), spécifiant tant le nom dhôte que son domaine. Un exemple de FQDN est HYPERLINK "http://www.lucernepublishing.com" www.lucernepublishing.com. NetBIOS ne possède pas de telle hiérarchie, si bien que chaque nom NetBIOS doit être unique sur le réseau.

Le Tableau 4-1 résume les différents types de noms et composants de noms employés dans les réseaux Windows Server 2003.

Tableau 4-1 Noms et suffixes de noms dordinateur

Type de nomDescriptionNom NetBIOSUn nom NetBIOS sert à identifier de façon unique un service NetBIOS écoutant sur la première adresse IP liée un adaptateur. Ce nom NetBIOS unique est traduit en ladresse IP du serveur à laide dune monodiffusion, de WINS (Windows Internet Name Service) ou du fichier Lmhosts. Les noms dordinateur NetBIOS comprennent 15 caractères, alors que les noms de services NetBIOS comptent 16 caractères. Par défaut, les 15 premiers caractères du nom de service NetBIOS sont identiques au nom dhôte, éventuellement complété par des zéros. Le seizième caractère sert à identifier le service NetBIOS spécifique.Nom dhôteLe terme nom dhôte fait typiquement référence à la première étiquette dun FQDN. Par exemple, la première étiquette du FQDN client1.lucernepublishing. com est client1. Un nom dhôte est souvent dénommé nom dordinateur.Suffixe DNS principalTout ordinateur dun réseau Windows Server 2003 peut se voir affecter un suffixe DNS principal devant servir lors de la résolution et de lenregistrement de noms. Le suffixe DNS principal est spécifié dans longlet Nom de lordinateur de la boîte de dialogue des propriétés de Poste de travail. II est également connu comme nom de domaine principal et nom de domaine. Par exemple, le FQDN client1.lucernepublishing.com possède comme suffixe DNS principal lucernepublishing.comSuffixe DNS spécifique
à la connexionLe suffixe DNS spécifique à la connexion est un suffixe DNS affecté à un adaptateur. II est également connu sous le terme suffixe DNS dadaptateur. Par exemple, un suffixe DNS spécifique à la connexion pourrait être subnet2.lucerne publishing.com.FQDNLe FQDN est un nom DNS identifiant de façon unique lordinateur sur le réseau. Cest en principe la concaténation du nom dhôte, du suffixe DNS principal et dun point. Par exemple, un FQDN pourrait être client1.lucernepublishing.comNom complet de
lordinateur Le nom complet de lordinateur est un type de FQDN. Un même ordinateur peut être identifié par plusieurs FQDN, mais seul le FQDN concaténant le nom dhôte et le suffixe DNS principal représente le nom complet de lordinateur.

Le Tableau 4-2 compare les caractéristiques générales des noms dordinateur NetBIOS et des noms dhôtes DNS.

Tableau 4-2 Comparaison des noms NetBIOS et DNS

Type de nomNom dordinateur NetBIOSNom dordinateur DNS
Type
Plat
HiérarchiqueRestrictions de
caractèresCaractères Unicode, nombres,
espaces vierges, symboles:
! @ # $ % ^ & ) (. - _{ } ~A à Z, a à z, 0 à 9 et le trait dunion (-). Le point (.) possède une signification spéciale réservéeTaille maximale15 caractères63 octets par étiquette, 255 octets pour un FQDNServices de nomsWINS, monodiffusion NetBIOS, fichier LmhostsDNS, fichier Hosts
Comparaison des procédures de résolution de noms

Au sein de chacune des catégories principales de résolution de noms, DNS et NetBIOS, les réseaux Windows Server 2003 procurent un ensemble de méthodes de résolution de noms dordinateur. Pour DNS, ces méthodes résolution de noms comprennent les traits suivants:

Recherche de nom dans le cache client local DNS. Les noms peuvent être mis en cache à laide de requêtes antérieures ou chargés à partir du fichier Hosts situé dans le dossier WINDOWS\System32\Drivers\Etc.
Requête de serveur DNS.

Les méthodes de résolution de noms NetBIOS comprennent les traits suivants:

Recherche de nom dans le cache de noms local NetBIOS
Requête de serveur WINS
Requête sur le réseau local par le biais de monodiffusions NetBIOS
Recherche de nom dans le fichier Lmhosts, situé dans le dossier WINDOWS\System32\Drivers\Etc

Détermination de la nécessité de DNS

Dune façon générale, DNS est obligatoire pour les réseaux répondant aux caractéristiques décrites dans les sections suivantes.

Réseaux employant des domaines Microsoft Windows 2000 ou Windows Server 2003 Lorsque des ordinateurs sont membres dun domaine Windows 2000 ou Windows Server 2003, DNS doit être configuré. Active Directory est étroitement intégré avec DNS, celui-ci servant à Active Directory de service de localisation (un service de localisation aide les clients dun domaine Windows Server 2003 ou Windows 2000 à identifier les hôtes et les services à emplacement inconnu au sein dun domaine donné).

DNS pour un accès Internet ou Intranet Vous devez employer DNS si vous avez besoin de vous connecter à des ordinateurs sur votre réseau ou sur lInternet en spécifiant des noms dhôte DNS.

Détermination de la nécessité de NetBIOS

Les réseaux Windows Server 2003 prennent en charge NetBIOS sur TCP/IP (NetBT) pour une compatibilité descendante avec des versions précédentes de Windows et la compatibilité avec des applications NetBIOS. Les domaines Microsoft Windows NT (ainsi que les groupes de travail employant Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows Millennium Edition (Me) et Windows NT) se servent des noms NetBIOS et du protocole NetBIOS.

La résolution de noms NetBIOS est également nécessaire pour les clients réseau employant des applications ou des services nécessitant une résolution de noms NetBIOS. Un exemple de tel service est le service dExplorateur dordinateur, permettant un parcours à laide de licône Réseau Microsoft Windows de lExplorateur Windows.

Enfin, la résolution de noms NetBIOS est nécessaire pour les réseaux dans lesquels DNS na pas encore été totalement configuré. Un exemple est un groupe de travail encore dépourvu de serveur DNS. Dans ce cas, les diffusions NetBIOS sont indispensables pour résoudre les noms dordinateur.

Dans le monde réel Navigation sans NetBIOS

Même sil nexiste aucune solution autre que NetBIOS pour la résolution de noms par le biais de diffusions, quelques autres solutions fiables existent pour parcourir le réseau. Tout dabord, si vous avez ajouté des partages réseau au catalogue global de Active Directory, les utilisateurs peuvent localiser et se connectera ces partages à laide de 1Explorateur Windows. Vous pouvez également recourir à DFS (Distributed File System) pour construire une structure facile à parcourir de tous les dossiers partagés de votre réseau. Une fois les utilisateurs connectés au partage DFS racine, ils peuvent parcourir les ressources partagées quel que soit le serveur hébergeant le partage. Enfin, noubliez pas que si vous ne pouvez pas parcourir le réseau sans NetBIOS, vous pouvez toujours vous connecter aux ressources réseau à laide des Favoris réseau, tant que vous spécifiez le nom de ces ressources.
Désactivation de NetBIOS

NetBIOS est activé par défaut pour toutes les connexions au réseau local de Windows Server 2003. Si toutefois vous avez mis DNS en oeuvre sur votre réseau et navez plus besoin de fournir une compatibilité avec les versions de Windows antérieures à Windows 2000, vous pouvez désactiver NetBIOS pour une ou plusieurs connexions réseau.

Lintérêt principal de la désactivation de NetBIOS est lamélioration de la sécurité du réseau. NetBIOS est un service stockant des informations sur les ressources réseau qui peuvent être consultées par nimporte quel hôte à laide de requêtes fondées sur des diffusions. Ces informations peuvent éventuellement être exploitées par un intrus malveillant. Un autre intérêt de désactivation de NetBIOS est que cela peut simplifier ladministration en réduisant le nombre dinfrastructures de dénomination à configurer, maintenir et prendre en charge.

Linconvénient le plus évident de la désactivation de NetBIOS est que cela rend impossible le parcours du réseau à laide de licône Réseau Microsoft Windows. Vous accédez à cette icône de lExplorateur Windows en développant Mes favoris réseau et en double-cliquant sur licône Tout le réseau. Le parcours du réseau est rendu possible par la disponibilité de listes de parcours compilées par le service Explorateur dordinateur, fondé sur NetBIOS et le protocole NetBT. Un autre inconvénient de la désactivation de NetBIOS est la diminution de la tolérance de pannes. Si DNS est incorrectement configuré, la résolution de noms échoue. Enfin, certains réseaux ont recours à des applications de tierce partie nécessitant NetBIOS. Avant de désactiver NetBIOS sur votre réseau, prenez la précaution de définir un test réseau pour voir si toutes les applications nécessaires fonctionnent correctement.

Pour désactiver la résolution de nom WINS/NetBIOS, respectez les étapes suivantes:

Ouvrez la fenêtre Connexions réseau.
Effectuez un clic droit sur Connexion au réseau local, puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Connexion au réseau local souvre.
Dans la liste des composants, cliquez sur Protocole Internet (TCP/IP), puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) souvre.
Cliquez sur Avancé. La boîte de dialogue Paramètres TCP/IP avancés souvre.
Cliquez sur longlet WINS.
Cliquez sur loption Désactiver NetBIOS avec TCP/IP.
Cliquez deux fois sur OK, puis cliquez sur Fermer.

Exercice pratique : Capture du trafic de résolution de noms

Dans cet exercice pratique, vous effectuez une capture réseau dune résolution de noms en cours.
Exercice 1: Capture du trafic de résolution de noms

Dans cet exercice, vous videz les deux caches de noms de Ordinateur1. Vous effectuez ensuite un ping vers Ordinateur2 à laide de son nom et examinez une capture Moniteur réseau de ce processus.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Ouvrez une invite de commandes.

À linvite de commandes, tapez ipconfig /flushdns, puis appuyez sur Entrée. Cela vide le cache du service client DNS (également nommé cache de résolution DNS) sur lordinateur local.

À linvite de commandes, tapez nbtstat -R, puis appuyez sur Entrée. Cela vide le cache de noms NetBIOS sur lordinateur local.

Ouvrez le Moniteur réseau.

Dans le menu Capture, sélectionnez Réseaux.

Dans la fenêtre Sélectionner un réseau, configurez le Moniteur réseau pour capturer le trafic sur le réseau local LAN (Local Area Network) et non sur la connexion daccès à distance ou VPN.

Dans le Moniteur réseau, démarrez une nouvelle capture.

Repassez à linvite de commandes, tapez ping ordinateur2, et appuyez sur Entrée.

Après avoir reçu quatre réponses de Ordinateur2, basculez de nouveau vers le Moniteur réseau et cliquez sur le bouton Arrêter et afficher la capture de la barre doutils pour arrêter et examiner la capture. La fenêtre Capture souvre, affichant les trames que vous venez de capturer.

Examinez les protocoles énumérés dans cette nouvelle capture réseau. Dans le Moniteur réseau, NBT représente NetBT et DNS représente le système DNS (Domain Name System). Selon le protocole que vous voyez dans la capture et la description des trames, déterminez si cest la résolution de nom NetBIOS ou DNS qui a servi à résoudre le nom dordinateur Ordinateur2. Pourquoi est-ce cette méthode qui a été employée et non lautre? Écrivez votre réponse dans lespace laissé libre à cet effet.

Enregistrez la capture dans le dossier Mes documents\Mes Captures sous le nom Résolution de noms 1.

Quittez le Moniteur réseau et fermez la fenêtre dinvite de commandes.

Fermez la session sur Ordinateur1.

Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « Questions et réponses » à la fin de ce chapitre.

Le réseau que vous administrez comprend 10 ordinateurs exécutant Windows Server 2003 et 2000 ordinateurs exécutant Microsoft Windows XP Professionnel. Vous avez déployé sur le réseau un serveur DNS nommé DNS1 pour héberger la zone lucernepublishing.com. Vous avez également configuré la zone pour permettre les mises à jour dynamiques. Un serveur DHCP est responsable de la configuration IP de tous ordinateurs exécutant Windows XP Professionnel. Lun dentre eux c1.lucernepublishing.com, ne peut être contacté que par son adresse IP et non par son nom. Parmi les actions suivantes, quallez-vous retenir pour réenregistrer cet ordinateur dans DNS (choisissez tout ce qui e pertinent)?

Exécuter la commande Nbtstat -R.
Exécuter la commande Ipconfig /registerdns.
Fermer et redémarrer c1.lucernepublishing.com.
Exécuter la commande Nbtstat /registerdns.

Parmi les noms suivants, lequel est un nom dordinateur NetBIOS légal?

Host1.microsoft.com
Host1_local
host10_microsoft
host1-microsoft

Quelle commande employez-vous pour vider le cache de noms local NetBIOS?

Résumé de la leçon

Il existe en général deux types de noms dordinateur dans les réseaux Windows Server 2003 : les noms DNS et les noms NetBIOS. Chaque type de nom exige son propre mécanisme pour être traduit en adresse IP.

Les noms NetBIOS et le protocole NetBIOS sont nécessaires pour les domaines Windows NT, pour les groupes de travail antérieurs à Windows 2000 et pour la compatibilité avec certains services réseau comme le service Explorateur dordinateur.

Les noms DNS et le protocole DNS sont nécessaires pour les domaines Active Directory et pour la compatibilité avec lInternet ou les intranets.

Pour résoudre les noms dordinateur, le service client DNS de Windows Server 2003 tente toujours une résolution de noms DNS avant une résolution de noms NetBIOS.

Les noms NetBIOS et les noms DNS sont fondés sur le nom affecté à un ordinateur dans la boîte de dialogue Propriétés système. Si vous affectez à un ordinateur un nom comportant plus de 15 caractères, NetBIOS emploie une version du nom tronquée à 15 caractères.
Leçon 2: Compréhension de DNS dans les réseaux Windows Server 2003

DNS permet de localiser des ordinateurs et dautres ressources daprès leur nom sur un réseau IP. Avant DNS, les noms dhôte des réseaux IP étaient organisés en un espace de noms plat et résolus à laide de fichiers Hosts statiques. En offrant une structure hiérarchique et une méthode automatisée pour la mise en cache et la résolution des noms dhôte, DNS supprime la majorité dès difficultés administratives et structurelles associées à la dénomination des hôtes sur lInternet.

À la fin de cette leçon, vous saurez:

Décrire la structure des espaces de noms DNS
Décrire lorganisation et la gestion de lespace de noms Internet
Décrire les composants des réseaux DNS tels les serveurs DNS, les clients DNS, les services de résolution, de suivi, les zones, les racines et les enregistrements de ressource
Décrire le mode de gestion des requêtes DNS par les clients et les serveurs DNS
Décrire la fonction du fichier dindications de racine (root hints) -

Durée estimée : 50 minutes

Exploration de DNS

DNS permet aux individus et aux programmes de se connecter à des hôtes IP en spécifiant un nom comme ftp.lucernepublishing.com. Ce faisant, DNS procure un standard tant pour la dénomination des hôtes que pour la localisation dhôtes IP spécifiés par nom.

Espace de noms DNS

Le système de dénomination sur lequel est fondé DNS est constitué dune structure arborescente logique et hiérarchique nommée espace de noms DNS. Lespace de noms DNS possède une racine unique pouvant posséder un nombre quelconque de sous-domaines. À son tour, chaque sous-domaine peut posséder dautres sous-domaines. Par exemple, la racine «» (chaîne vide) de lespace de noms Internet possède de nombreux noms de domaine de niveau supérieur, parmi lesquels com. Le domaine .com peut, par exemple, posséder un sous-domaine pour lentreprise Lucerne Publishing, lucernepublishing.com, laquelle peut posséder un autre sous-domaine pour la fabrication, nommé mfg.lucernepublishing.com.

Les organismes peuvent également créer des réseaux privés et employer leurs propres espaces de noms DNS privés invisibles pour linternet.

Noms de domaine

Chaque noeud de larborescence de domaine DNS peut être identifié par un FQDN. Le FQDN est un nom de domaine DNS déclaré sans ambiguïté pour indiquer son emplacement relativement à la racine de larborescence de domaine DNS. Par exemple, le FQDN du serveur de la fabrication du domaine lucernepublishing.com est construit comme mfgserver.lucernepublishing.com., concaténation du nom dhôte (mfgserver), du suffixe DNS principal (lucernepublishing.com) et du point final (.). Ce dernier est un séparateur standard entre létiquette de niveau supérieur et létiquette de chaîne vide correspondant à la racine. Lors dune utilisation quotidienne, ce point final est généralement omis, mais il est ajouté par le service client DNS au cours des requêtes réelles.
Espace de noms de domaines Internet

La racine DNS (le niveau supérieur) de lespace de noms de domaines Internet est géré par ICANN (Internet Corporation for Assigned Names and Numbers). ICANN coordonne laffectation didentifiants qui doivent être mondialement uniques pour que lInternet fonctionne, parmi lesquels les noms de domaine Internet, les numéros dadresses IP et les paramètres et numéros de port des protocoles.

En dessous de la racine des domaines DNS se situent les domaines de niveau supérieur, également gérés par ICANN. Il existe trois types de domaines de niveau supérieur:

Domaines organisationnels Ces domaines sont nommés à laide dun code de trois caractères indiquant la fonction ou lactivité principale des organismes contenus dans le domaine DNS. Certains domaines organisationnels sont employés mondialement, dautres ne servant quà des organismes propres aux États-Unis. La majorité des organismes situés aux États-Unis appartiennent à un de ces domaines organisationnels.

Domaines géographiques Ces domaines sont nommés à laide des codes nationaux et régionaux en deux caractères établis par le standard ISO 3166 (International Standards Organization for Standardization), comme fr (France) ou it (Italie). Ces domaines sont généralement employés par des organismes situés en dehors des États-Unis, mais ne nest pas une règle absolue.

Domaines inverses II existe des domaines spéciaux, nommés in addr.arpa, et employés pour des correspondances adresse IP vers nom (connues comme recherches inverses).

En novembre 2000, ICANN a annoncé laccès à sept nouveaux domaines de niveau supérieur:

.aero
.biz
.coop
.info
.museum
.name
.pro

Important Pour examiner les informations les plus récentes sur ces nouveaux domaines de niveau supérieur, consultez HYPERLINK "http://www.icann.org/tlds" http://www.icann.org/tlds .

En dessous de ces domaines de niveau supérieur, ICANN et dautres autorités de dénomination Internet, comme Network Solutions ou Nominet (au Royaume-Uni), délèguent des domaines à divers organismes tels Microsoft (microsoft.com) ou lUniversité de Carnegie Mellon (cmu.edu). Ces organismes se connectent à lInternet, affectent des noms aux hôtes au sein de leurs domaines et se servent de serveurs DNS pour gérer la correspondance nom- adresse IP dans leur portion despace de noms. Ces organismes peuvent également déléguer des sous-domaines à dautres utilisateurs ou clients. Les FAI, par exemple, reçoivent une délégation de ICANN et peuvent déléguer des sous-domaines à leurs clients.

Espace de noms de domaines privés

Outre les domaines de niveau supérieur dInternet, les organismes peuvent également posséder un espace de noms privé un espace de noms DNS fondé sur un ensemble privé de serveurs racine indépendants de lespace de noms DNS Internet. Dans un espace de noms privé, vous pouvez nommer et créer votre (ou vos) propre serveur racine et tous les sous-domaines nécessaires. Les noms privés ne peuvent être vus ou résolus sur lInternet. Un exemple de nom de domaine privé est masociété.local.

Composants DNS

DNS repose sur la configuration adéquate de serveurs, zones, services de résolution et enregistrements de ressource DNS.

Serveurs DNS

Un serveur DNS est un ordinateur exécutant un programme serveur DNS, comme le service serveur DNS ou BIND (Berkeley Internet Name Domain). Un serveur DNS contient une base de données dinformations DNS concernant une portion de la structure de larborescence de domaines DNS et répond aux requêtes de résolution de noms émises par les clients DNS. À la suite dune requête, les serveurs DNS peuvent procurer linformation demandée, renvoyer un pointeur vers un autre serveur en mesure de répondre à la requête ou répondre que linformation est inexistante ou indisponible.

Un serveur DNS fait autorité pour une zone quil héberge, comme serveur DNS principal ou secondaire. Un serveur fait autorité pour un domaine lorsquil se base sur des enregistrements de ressource configurés localement, par opposition à des informations mises en cache, pour répondre aux requêtes dhôtes appartenant à ce domaine. De tels serveurs définissent leur portion de lespace de noms DNS.

Un serveur peut faire autorité pour un ou plusieurs niveaux de la hiérarchie du domaine. Par exemple, les serveurs DNS racine de lInternet ne font autorité que pour les noms de domaine de niveau supérieur comme .com, mais pas pour les sous-domaines comme lucernepublishing.com. Les serveurs faisant autorité pour .com ne font autorité que pour des noms comme lucernepublishing.com, pas pour des domaines de troisième niveau comme exemple.lucernepublishing.com. Toutefois, dans lespace de noms Lucerne Publishing, le ou les serveurs faisant autorité pour exemple.lucernepublishing.com peut (peuvent) également le faire pour widgets.exemple.lucer nepublishing.com.

Zones DNS

Une zone DNS est une portion contiguë dun espace de noms pour lequel un serveur fait autorité. Un serveur peut faire autorité pour une ou plusieurs zones, une zone pouvant contenir un ou plusieurs domaines contigus. Par exemple, un serveur peut faire autorité à la fois pour les zones microsoft.com et lucernepublishing.com, chacune de ces zones pouvant comprendre deux domaines ou plus.

Des domaines contigus comme .com, lucernepublishing.com et exemple.lucernepublishing.com peuvent devenir des zones distinctes grâce au processus de délégation, par lequel la responsabilité dun sous-domaine de espace de noms DNS est affectée à une entité distincte.

Les fichiers de zone contiennent des enregistrements de ressource pour les zones pour lesquelles un serveur fait autorité. Dans de nombreuses mises en oeuvre de serveurs DNS, les données de zone sont stockées dans des fichiers texte. Les serveurs DNS sexécutant sur des contrôleurs de domaine Windows 2000 ou Windows Server 2003 peuvent toutefois également stocker des informations de zone dans Active Directory.

Résolution DNS

Un solveur DNS est un service employant le protocole DNS pour émettre des requêtes dinformation vers des serveurs DNS. Les services de résolution DNS communiquent avec des serveurs DNS distants ou avec le programme serveur DNS sexécutant sur lordinateur local. Avec Windows Server 2003 la fonction du service de résolution DNS est accomplie par le service client DNS. Outre son action comme solveur DNS, le service client DNS propose la mise en cache des correspondances DNS.

Enregistrements de ressource

Les enregistrements de ressource sont des entrées de base de données DNS servant à répondre à des requêtes de clients DNS. Chaque serveur DNS contient les enregistrements de ressource nécessaires pour répondre aux requêtes concernant sa portion de lespace de noms DNS. Les enregistrements de ressource sont décrits selon des types denregistrements spécifiques, comme adresse hôte (A), alias (CNAME) et serveur de messagerie MX (Mail eXchanger). Reportez-vous à la section « HYPERLINK \l "_Création_denregistrements_de_resso" Création denregistrements de ressource »de la Leçon 3 pour plus dinformations sur les types denregistrement spécifiques.

Compréhension du fonctionnement dune requête DNS

Lorsquun client DNS doit rechercher un nom employé par une application, il émet une requête vers des serveurs DNS pour résoudre le nom. Chaque message de requête envoyé par le client contient les trois éléments dinformation suivants:

Un nom de domaine DNS, déclaré comme FQDN. Le service client DNS ajoute les suffixes nécessaires pour générer un FQDN si le programme client original ne la pas fait.

Un type de requête spécifié, soit un type denregistrement de ressource, soit un type dopération de requête spécialisée.

Une classe spécifiée pour le nom de domaine DNS. Pour le service client DNS, cette classe est toujours spécifiée comme classe Internet (IN).

Par exemple, le nom peut être spécifié comme le FQDN dun ordinateur hôte particulier, comme nomdhote.exemple.microsoft.com., et le type de requête spécifié comme recherche dun enregistrement de ressource A daprès ce nom. Vous pouvez considérer une requête DNS comme un client posant à un serveur une question en deux parties, comme « Possédez-vous un quelconque enregistrement de ressource A pour un ordinateur nommé nomdhote.examples.microsoft.com ? » Lorsque le client reçoit une réponse du serveur, il lit lenregistrement de ressource A reçu et apprend ladresse IP du nom de lordinateur recherché.

Méthodes de résolution DNS

Une requête DNS peut être résolue de plusieurs façons. Dans un scénario fondamental, le client DNS contacte un serveur DNS, lequel se sert de sa propre base de données denregistrements de ressource pour répondre à une requête. Toutefois, en consultant préalablement son cache, un client DNS peut parfois répondre à une requête sans contacter de serveur. Fréquemment, les requêtes DNS sont également résolues par récursivité (reportez vous à la section « Compréhension de la récursivité » plus loin dans cette leçon pour plus dinformation). À laide de ce processus, un serveur DNS peut questionner dautres serveurs DNS pour le compte du client original afin de résoudre le FQDN. Lorsque le serveur DNS reçoit la réponse à la requête, il renvoie alors cette réponse au client. La dernière méthode par laquelle est résolue une requête DNS est celle de litération (également expliquée plus en détail dans la section « HYPERLINK \l "_Compréhension_de_la_récursivité" Compréhension de la récursivité »). Grâce à ce processus, le client tente lui-même de contacter dautres serveurs DNS pour résoudre un nom. Dans un tel cas, il a recours à des requêtes distinctes et complémentaires fondées sur les réponses de références des serveurs DNS.

Étapes dune requête DNS

Le processus dune requête DNS se déroule en principe en deux parties:

Une requête de nom débute sur lordinateur client et est transmise pour résolution au service client DNS.

Lorsque la requête ne peut être résolue localement, des serveurs DNS sont interrogés selon les besoins pour résoudre le nom.

Ces deux processus sont expliqués plus en détail dans les sections suivantes.

Partie 1: Résolution locale La Figure 4-1 présente un aperçu du processus de requête DNS par défaut, dans lequel un client est configuré pour effectuer des requêtes récursives vers un serveur. Dans ce scénario, si le service client DNS ne peut résoudre la requête à partir des informations localement mises en cache, le client neffectue quune requête vers un serveur DNS, alors chargé de répondre à la requête pour le compte du client.

Dans cette figure, les requêtes (questions) et les réponses sont respective ment représentées par des Q et des R. Les requêtes à chiffre élevé ne sont effectuées que si la requête précédente a échoué. Par exemple, Q2 nest effectuée que si Q1 a échoué.

Figure 4-1 Résolution locale

Le processus de requête débute lorsquun nom de domaine DNS est employé dans un programme de lordinateur local. Dans lexemple montré Figure 4-1, un navigateur Web appelle le FQDN www.microsoft.com. La requête est alors transmise au service client DNS (le cache du solveur DNS) pour résoudre le nom à laide des informations localement mises en cache. Si le noom recherché peut être résolu, la requête reçoit une réponse et le processus prend fin.

Le cache du solveur local peut comprendre des informations de noms obtenues depuis deux sources possibles:

Si un fichier Hosts est configuré localement, toutes les correspondances nom dhôte-adresse de ce fichier sont chargées dans le cache lors du démarrage du service client DNS et après la mise à jour du fichier Hosts.

Les enregistrements de ressource obtenus dans les réponses reçues suite à des requêtes DNS antérieures sont ajoutés au cache et conservés un temps donné.

Si la requête ne correspond pas à une entrée du cache, le processus de résolution se poursuit par lenvoi depuis le client dune requête vers un serveur DNS, pour résoudre le nom.

Partie 2: Requête vers un serveur DNS Le service client DNS a recours à une liste de recherche de serveurs classée par préférence. Cette liste comprend tous les serveurs DNS préférés ou auxiliaires configurés pour chaque connexion réseau active du système. Le client envoie dabord une requête vers le serveur DNS spécifié comme serveur DNS préféré dans la boîte de dialogue Propriétés TCP/IP de la connexion. Si aucun serveur DNS préféré nest disponible, il est fait appel aux serveurs DNS auxiliaires. La Figure 4-2 montre un exemple de liste de serveurs DNS préférés et auxiliaires, tels que configurés dans Windows Server 2003.

Figure 4.-2 Serveurs préférés et auxiliaires

Lorsquun serveur DNS reçoit une requête, il vérifie dabord sil peut répondre à celle-ci par autorité : autrement dit, daprès les informations contenues dans une zone configurée localement sur le serveur. Si le nom recherche correspond à un enregistrement de ressource des informations de zone locale, le serveur répond avec autorité en employant cette information pour résoudre le nom recherché.

Sil nexiste aucune information de zone pour le nom recherché, le serveur cherche alors sil peut résoudre le nom à laide dinformations mises en cache localement suite à des requêtes précédentes. Si une correspondance est trouvée ici, le serveur répond avec cette information. Une fois encore, si le serveur préféré peut répondre au client avec une réponse positive provenant des données du cache, la requête est terminée.

Compréhension de la récursivité

Si la requête de nom ne trouve pas de réponse adéquate sur le serveur préféré, depuis son cache ou ses informations de zone, le processus se poursuit dune façon dépendant de la configuration du serveur DNS. Dans la configuration par défaut, le serveur DNS a recours à la récursivité pour résoudre le nom. La récursivité DNS fait référence au processus selon lequel un serveur DNS envoie une requête vers dautres serveurs DNS pour le compte du client de la requête originale. Ce processus transforme effectivement le serveur DNS original en client DNS. Si la récursivité est désactivée sur le serveur DNS, le client effectue des requêtes itératives à laide de références dindications de racine du serveur DNS. Litération fait référence au processus selon lequel un client DNS effectue des requêtes répétées vers différents serveurs DNS.

Astuce dexamen Pour lexamen, vous devez savoir que le terme récursivité signifie simplement quun serveur DNS contacte dautres serveurs lorsquil ne peut répondre lui-même à une requête. Lexamen ne comporte aucune question relative à litération.

Indications de racine

Pour employer correctement la récursivité, le serveur DNS doit dabord savoir où commencer à rechercher des noms dans lespace de noms de domaine DNS. Ces informations sont fournies sous la forme dindications de racine, une liste des enregistrements de ressource préliminaires employés par le service DNS pour localiser les serveurs faisant autorité pour la racine de larborescence de lespace de noms de domaine DNS. Par défaut, les serveurs DNS exécutant Windows Server 2003 se servent dun fichier dindications de racine préconfiguré, Cache.dns, stocké dans le dossier WINDOWS\System32\Dns de lordinateur serveur. Le contenu de ce fichier est préchargé dans la mémoire du serveur au démarrage du service. II renferme des informations de pointeurs vers les serveurs racine de lespace de noms DNS. La Figure 4.3 montre le fichier dindications de racine par défaut.

Figure 4-3 Fichier dindications de racine

Avec Windows Server 2003, le fichier dindications de racine contient déjà les adresses des serveurs racine de lespace de noms DNS Internet. De ce fait, si vous employez le service serveur DNS dans Windows Server 2003 pour résoudre des noms DNS fondés sur Internet, le fichier dindications de racine na besoin daucune configuration manuelle. Si toutefois vous employez le service DNS sur un réseau privé, vous pouvez modifier ou remplacer ce fichier par des enregistrements analogues pointant vers vos propres serveurs racine DNS. Par ailleurs, pour un ordinateur hébergeant un serveur racine DNS, vous devriez ne pas recourir du tout aux indications de racine. Dans un tel scénario, Windows Server 2003 efface automatiquement le fichier Cache.dns servant pour les indications de racine.

Exemple de requête

Lexemple suivant illustre le comportement dune requête DNS par défaut. Ici, le client émet une requête vers son serveur DNS préféré, qui effectue alors une requête récursive vers les serveurs DNS hiérarchiquement supérieurs. Dans cet exemple, le client DNS et tous les serveurs DNS sont supposés posséder des caches vides.
Dans lexemple de la Figure 4-4, un client situé quelque part sur lInternet a besoin de résoudre le nom exemple.lucernepublishing.com en une adresse IP.

Figure 4-4 Illustration dune récursivité

Lorsque le service client DNS de lordinateur client commence le processus de requête, les événements suivants senchaînent:

Le client contacte Serveurdenomsl avec une requête pour exemple.lucernepublishing.com.

Serveurdenomsl vérifie son cache et ses zones sans trouver de réponse. II contacte donc un serveur faisant autorité pour Internet (autrement dit, un serveur racine) avec une requête pour exemple.lucernepublishing.com.

Le serveur racine dInternet ne connaît pas la réponse et répond donc par une référence vers le serveur faisant autorité pour le domaine .com.

Serveurdenomsl contacte un serveur faisant autorité pour le domaine .com avec une requête pour exemple.lucernepublishing.com.

Le serveur faisant autorité pour le domaine .com ne connaît pas la réponse exacte. Il renvoie donc une référence vers un serveur faisant autorité pour le domaine lucernepublishing.com.

Serveurdenomsl contacte le serveur faisant autorité pour le domaine lucernepublishing.com avec une requête pour exemple.lucernepublishing.com.

Le serveur faisant autorité pour le domaine lucernepublishing.com connaît la réponse: il renvoie ladresse IP demandée.

Serveurdenomsl répond à la requête du client avec ladresse IP de exemple.lucernepublishing.com.

Types de réponses de requête

Une requête peut renvoyer différents types de réponse au client, parmi lesquelles les plus fréquentes sont les suivantes:

Une réponse autorité
Une réponse positive
Une réponse référence
Une réponse négative

Une réponse autorité est une réponse positive renvoyée au client, avec le bit autorité (authority) fixé dans le message DNS. Ce bit autorité indique que la réponse a été obtenue dun serveur possédant une autorité directe sur le nom recherché.

Une réponse positive contient lenregistrement de ressource correspondant au nom recherché et au type denregistrement spécifié dans le message de requête original.

Une réponse référence contient dautres enregistrements de ressource non spécifiés par nom ou par type dans la requête. Ce type de réponse est renvoyé au client si le processus de récursivité nest pas pris en charge par le serveur DNS. Ces enregistrements sont censés servir de réponses de références utiles dont peut se servir le client pour poursuivre la requête à laide ditérations. Par exemple, si le nom dhôte recherché est « www » et quil nexiste dans cette zone pour ce nom aucun enregistrement de ressource A mais uniquement un enregistrement de ressource CNAME, le serveur DNS peut inclure cette information CNAME lors de la réponse au client. Si celui-ci est capable deffectuer une itération, il peut émettre dautres requêtes à laide de cette information de référence pour tenter de résoudre complètement lui- même le nom.

Une réponse négative du serveur peut indiquer quun résultat parmi les deux suivants a été obtenu alors que le serveur tentait de traiter et de résoudre complètement par récursivité la requête en faisant autorité:

Un serveur faisant autorité a signalé que le nom demandé nexiste pas dans lespace de noms DNS.

Un serveur faisant autorité a signalé que le nom demandé existe, mais quaucun enregistrement du type spécifié nexiste pour ce nom.

Une fois cette réponse apportée à la requête, le solveur renvoie le résultat de la requête, sous forme de réponse positive ou négative, au programme demandeur et met la réponse en cache.
Compréhension du fonctionnement du cache

Tant le service client DNS que le service serveur DNS disposent dun cache. La mise en cache offre un moyen daméliorer la performance de DNS en diminuant de façon significative le trafic lié aux requêtes DNS sur le réseau.
Cache du client DNS

Le cache du client DNS porte également le nom de cache du solveur DNS. Au démarrage du service client DNS, toutes les correspondances noms dhôtes- adresses IP contenues dans un fichier statique nommé Hosts sont préchargés dans le cache du solveur DNS. Le fichier Hosts se trouve dans le dossier WIN DOWS \System32\Drivers\Etc.

Astuce Lorsque vous ajoutez une entrée au fichier Hosts, celle-ci est automatiquement chargée dans le cache du solveur DNS.

Outre les entrées du fichier Hosts, le cache du solveur DNS contient également les entrées reçues par le client en réponse à une requête vers des serveurs DNS. Le cache du solveur DNS est vidé lors de larrêt du service client DNS.
Cache du serveur DNS

Tandis que les serveurs DNS effectuent des requêtes récursives pour le compte de clients, ils mettent temporairement en cache les enregistrements de ressource. Ces enregistrements mis en cache renferment des informations acquises au cours du processus de réponse aux questions pour le compte de clients. Par la suite, lorsque dautres clients émettent de nouvelles requêtes concernant des informations correspondant à des enregistrements de ressource, le serveur DNS peut employer ces informations mises en cache pour répondre à ces requêtes.

Le cache du serveur DNS est vidé lors de larrêt du service serveur DNS. Vous pouvez en outre vider ce cache manuellement depuis la console DNS (loutil employé pour ladministration DNS) en effectuant un clic droit sur licône du serveur dans larborescence de la console, puis en cliquant sur Effacer la cache. Enfin, si vous avez installé les outils de support Windows (Windoss Support Tools), vous pouvez vider le cache du serveur depuis la ligne commande en entrant la commande Dnscmd /clearcache.

Valeurs de durée de vie Une valeur de durée de vie, ou TTL (Time to Live), sapplique à tous les enregistrements de ressource mis en cache, tant dans le cache du solveur DNS que dans le cache du serveur DNS. Tant que la TTL dun enregistrement de ressource mis en cache na pas expiré, un serveur ou un solveur DNS peut employer cet enregistrement pour répondre à des requêtes. Par défaut, la TTL est de 3600 secondes (1 heure), ce paramètre pouvant être ajusté aux niveaux zone et enregistrement.

Remarque DNS a recours à plusieurs niveaux de mise en cache pour améliorer lefficacité et les performances. Linconvénient est que, lors de la résolution de requêtes au moyen dinformations mises en cache, les clients ne voient pas immédiatement les effets dune modification DNS. Sur lInternet public, il peut être nécessaire dattendre jusquà quatre heures pour que les utilisateurs puissent accéder à la nouvelle information, quelle que soit la configuration de la TTL.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « Questions et réponses » à la fin de ce chapitre.

Sur le réseau que vous administrez, vous possédez un serveur DNS principal faisant autorité pour la zone lucernepublishing.com. Vous avez également déployé deux serveurs en cache seul transmettant toutes les - requêtes vers le serveur principal. Si la majorité des requêtes de noms dirigées vers les serveurs en cache seul concernent des noms du domaine lucernepublishing.com, quel paramètre pouvez-vous modifier sur le serveur DNS principal pour diminuer le trafic de requêtes DNS entre les serveurs en cache seul et le serveur principal?

Quel est le domaine racine dun espace de noms contenant le FQDN first.domain1.local?

Aucun, lespace de noms est dépourvu de domaine racine.
Domain1.
local.
«» (chaîne vide).

Quelle étape le solveur doit-il tout dabord accomplir pour résoudre un nom DNS?

II vérifie son cache local.
II lit le fichier Hosts.
II effectue une monodiffusion sur le sous-réseau local.
II émet une requête vers le serveur DNS local.

Les ordinateurs de votre réseau sont allumés pour la première fois après une interruption dalimentation. Lorsquun client DNS soumet une première requête récursive vers un serveur local DNS pour résoudre un nom Internet pour lequel le serveur nest pas une autorité, quelle étape survient la première?

Le client DNS résout le nom depuis son cache.
Le serveur DNS résout le nom depuis son cache.
Le serveur DNS transmet la requête récursive à un serveur DNS de niveau supérieur.
Le serveur DNS contacte des serveurs racine configurés dans le fichier Cache.dns.

Résumé de la leçon

Lespace de noms DNS est hiérarchique et fondé sur une racine unique pouvant posséder un nombre quelconque de sous-domaines. Un FQDN est le nom dun hôte DNS de cet espace de noms indiquant lemplacement de cet hôte relativement à la racine de larborescence de domaine DNS. Un exemple de FQDN est host1.subdomain.microsoft.com.

Une zone DNS est une portion contiguë dun espace de noms pour laquelle un serveur fait autorité. Un serveur peut faire autorité pour une ou plusieurs zones, une zone pouvant renfermer un ou plusieurs domaines contigus. Un serveur DNS fait autorité pour une zone sil héberge cette zone, comme serveur DNS principal ou secondaire. Chaque zone DNS contient les enregistrements de ressource dont il a besoin pour répondre aux requêtes concernant sa portion despace de noms DNS.

Le service client DNS (ou service de résolution, ou solveur) tente dabord de résoudre les noms dordinateur à laide dinformations localement mises en cache, parmi lesquelles le contenu du fichier Hosts. Si le nom ne peut être trouvé dans le cache, le solveur questionne un serveur DNS. Si celui-ci ne peut résoudre le nom grâce à ses enregistrements dautorité ou à son cache local, il effectue par défaut une requête récursive pour résoudre le nom pour le compte du client.

La récursivité est le processus par lequel un serveur DNS émet une requête vers dautres serveurs pour le compte dun client DNS. Pour que le serveur DNS utilise correctement la récursivité, il doit savoir où commencer à rechercher les noms dans lespace de noms de domaine DNS. Cette information est fournie par le fichier dindications de racine, Cache.dns, stocké sur lordinateur serveur.

Une valeur TTL sapplique à tous les enregistrements de ressource mi en cache. Tant que la TTL dun enregistrement de ressource mis en cache na pas expiré, un serveur DNS peut continuer à employer cet enregistrement pour répondre à des requêtes.
Leçon 3: Déploiement de serveurs DNS

Dans un réseau privé, les serveurs DNS permettent aux clients de résoudre les noms dordinateur définis dans lespace de noms privé. Toutefois lorsque les serveurs DNS sont correctement configurés et reliés à 1Internet, ils peuvent également permettre aux clients de résoudre des noms fondés sur lInternet sans interroger directement des serveurs de noms externes.

À la fin de cette leçon, vous saurez:

Installer et configurer un serveur DNS
Créer des zones DNS et des enregistrements de ressource
Décrire les différences entre serveur principal, secondaire, en cache seul et stub
Créer un serveur en cache seul
Décrire la plupart des types classiques denregistrements de ressource
Examiner et vider le cache du serveur DNS

Durée estimée : 60 minutes

Installation du service serveur DNS

Par défaut, tous les ordinateurs exécutant Windows Server 2003 et Windows XP disposent du service client DNS installé et en cours dexécution. Le service serveur DNS nest en revanche installé par défaut sur aucun système dexploitation Windows. Pour linstaller sur un ordinateur exécutant Windows Server 2003, vous devez dabord ajouter le rôle serveur DNS grâce à la page Gérer votre serveur.

Une fois ce rôle ajouté, la console DNS apparaît dans le groupe de programmes Outils dadministration. La console DNS est loutil principal de configuration et de surveillance de serveurs, de zones, de domaines et denregistrements de ressource DNS.

Remarque Pour ajouter le rôle serveur DNS, vous pouvez aussi installer le service serveur DNS grâce à Ajout/Suppression de programmes dans le Panneau de configuration. Sélectionnez Ajouter ou supprimer un composant Windows, puis servez-vous de lAssistant Composants de Windows pour installer le sous-composant Système DNS (Domain Name System) du composant Services de mise en réseaux.

Pour installer un serveur DNS, respectez les étapes suivantes:

Insérez le CD-ROM dinstallation Windows Server 2003 dans lordinateur sur lequel vous voulez installer un serveur DNS.

Vérifiez que vous avez attribué à lordinateur une adresse statique.

Cliquez sur Démarrer, puis cliquez sur Gérer votre serveur pour ouvrir la page Gérer votre serveur.

Cliquez sur Ajouter ou supprimer un rôle.

Sur la page Étapes préliminaires de lAssistant Configurer votre serveur, suivez les instructions, puis cliquez sur Suivant.

Sur la page Options de configuration, sélectionnez loption Configuration personnalisée et cliquez sur Suivant.

Sur la page Rôle du serveur, sélectionnez Serveur DNS dans la liste Rôle du serveur, puis cliquez sur Suivant.

Dans la page Aperçu des sélections, cliquez sur Suivant. Lorsque le composant serveur DNS a terminé son installation, lAssistant Configurer un serveur DNS apparaît.

Pour configurer le serveur DNS que vous venez dinstaller, suivez les instructions et acceptez tous les réglages par défaut avant de terminer lAssistant Configurer un serveur DNS,

Configuration dun serveur DNS

Pour simplifier la personnalisation des réglages dun serveur DNS et la création de nouvelles zones, vous pouvez exécuter lAssistant Configurer un serveur DNS. Celui-ci est automatiquement invoqué lorsque vous ajoutez le serveur DNS. Après lexécution de lAssistant, vous pouvez affiner la configuration de votre serveur DNS grâce à la console DNS. Vous pouvez accéder celle-ci grâce à Outils dadministration du menu Démarrer. Vous pouvez également totalement configurer votre serveur DNS grâce à la boîte de dialogue des propriétés du serveur sans même exécuter lAssistant Configurer un serveur DNS.

Pour exécuter ou relancer lAssistant Configurer un serveur DNS après linstallation du service serveur DNS, effectuez un clic droit sur le serveur qui vous voulez configurer dans larborescence de la console DNS, puis sélectionnez Configurer un serveur DNS. Ce processus est montré Figure 4-5.

Figure 4-5 Lancement de lAssistant Configurer un serveur DNS Création de zones

Création de zones

Les zones sont créées dans une catégorie parmi deux : recherche directe (forward lookup) et recherche inversée (reverse lookup). Dans les zones de recherche directe, les serveurs DNS font correspondre des FQDN à des adresses IP. Dans les zones de recherche inversée, les serveurs DNS font correspondre des adresses IP à des FQDN. Les zones de recherche directe répondent donc aux requêtes de résolution de FQDN en adresse IP, les zones de recherche inversées répondant aux requêtes de résolution dadresse IP en FQDN.

Remarque Vous pouvez créer un serveur racine dans un espace de noms DNS en nommant une zone à laide dun simple point, «. ». Ce faisant, vous ne pouvez plus configurer le serveur pour quil transmette des requêtes vers un autre serveur de noms.

Pour créer des zones de recherche directe et inversée, vous pouvez recourir à lAssistant Configurer un serveur DNS. Vous pouvez également créer de nouvelles zones à tout moment à laide de la console DNS. Pour ce faire, effectuez un clic droit soit sur le dossier Zones de recherche directes, soit sur le dossier Zones de recherche inversées, puis sélectionnez Nouvelle zone (voir Figure 4-6). Ce processus lance lAssistant Nouvelle zone.

Figure 4-6 Création dune nouvelle zone

Types de zone

LAssistant Nouvelle zone permet de configurer le rôle du serveur dans chacune de ses zones. Parmi ces rôles figurent les suivants :

Principale Dans ce type de zone, les données de zone procurent les données sources originales pour tous les domaines de la zone. Les données de zone peuvent être sauvegardées de cette zone vers une zone secondaire.

Secondaire Ce type de zone est une zone de sauvegarde de la zone principale ou dautres zones secondaires faisant autorité.

Stub Ce serveur héberge une zone de stub, une copie dune zone ne contenant que les enregistrements de ressource nécessaires à lidentification des serveurs DNS faisant autorité pour la zone maîtresse.

Compréhension des types de serveur

Le type de serveur DNS fait référence au type de zone hébergée par le serveur ou, dans le cas dun serveur en cache seul, précise sil héberge une zone. Les sections suivantes montrent certaines des fonctionnalités essentielles des différents types de serveur.
Serveurs principaux

Un serveur principal est créé lors de lajout dune zone principale, par le biais de lAssistant Nouvelle zone, de lAssistant Configurer un serveur DNS ou dun outil de ligne de commande.
Le serveur principal dune zone agit comme le point central de mise à jour de la zone. Une zone nouvellement créée est toujours de ce type. Avec Windows Server 2003, vous pouvez déployer des zones principales de deux façons : comme zone principale standard ou comme zone principale intégrée à Active Directory.

Zones standard principale Dans le cas dune zone principale standard, seul un unique serveur peut héberger et stocker la copie de la zone. Si vous créez une zone et que vous la conservez comme zone principale standard, aucun autre serveur principal nest autorisé pour cette zone. Le modèle principal standard implique un unique point de faiblesse. Par exemple, si le serveur principal dune zone est inaccessible pour le réseau, aucune modification ne peut être apportée à la zone. Remarquez que les requêtes pour les noms de la zone ne sont pas affectées et peuvent se poursuivre sans interruption, tant que des serveurs secondaires pour cette zone peuvent répondre.

Zones intégrées à Active Directory Lorsque vous déployez une zone intégrée à Active Directory, les données de zone sont stockées et répliquées dans Active Directory. Lemploi dune zone intégrée à Active Directory augmente la tolérance aux pannes et (par défaut) transforme chaque contrôleur de domaine du domaine exécutant un serveur DNS en serveur principal. Pour configurer une zone principale en zone intégrée à Active Directory, le serveur DNS original sur lequel la zone est créée doit être un contrôleur de domaine Active Directory. Le processus de déploiement des zones intégrées à Active Directory est abordé dans le Chapitre 5 « Mise en uvre dune infrastructure DNS ».
Serveurs secondaires

Les spécifications de conception DNS recommandent quau moins deux serveurs DNS soient employés pour héberger chaque zone. Dans le cas dune zone principale standard, un serveur secondaire est requis pour permettre à la zone dapparaître aux autres serveurs DNS du réseau. Les serveurs secondaires procurent un moyen dalléger le trafic de requêtes DNS dans les parties dun réseau où une zone est intensivement interrogée et utilisée. En outre, en cas de défaillance dun serveur principal, un serveur secondaire procure la résolution de noms dans la zone jusquà la disponibilité du serveur principal.

Les serveurs à partir desquels les serveurs secondaires obtiennent les informations de zones sont nommés maîtres. Un maître peut être le serveur principal ou un autre serveur secondaire. Vous spécifiez les serveurs maîtres dun serveur secondaire lors de la création de la zone secondaire du serveur, par le biais de lAssistant Nouvelle zone, de lAssistant Configurer un serveur DNS ou dun outil de ligne de commande.

Astuce Mieux vaut placer les serveurs secondaires aussi près que possible des clients possédant les plus forts taux de requêtes de noms dans cette zone. De même, envisagez de placer un serveur secondaire près dun routeur, sur dautres sous-réseaux étendus (WAN). Cette configuration permet une utilisation efficace des serveurs secondaires en tant que sauvegarde au cas où un lien réseau intermédiaire devient le point de rupture entre les serveurs DNS et les clients employant la zone.

Serveurs stub

Les serveurs stub DNS hébergent des zones de stub : des copies résumées dune zone, ne renfermant que la liste des serveurs faisant autorité pour sa zone maîtresse. Un serveur DNS hébergeant une zone de stub tente de résoudre les requêtes pour les noms dordinateur de la zone maîtresse en émettant des requêtes vers les serveurs de noms énumérés. Les zones de stub sont plus fréquemment employées pour permettre à une zone parente de conserver une liste actualisée de serveurs de noms disponibles dans une zone enfant.
Serveurs en cache seul

Les serveurs en cache seul nhébergent aucune zone et ne font autorité pour aucun domaine particulier. Les informations quils contiennent sont limitées à ce qui a été mis en cache lors de la résolution de requêtes.

Pour déterminer quand employer ce type de serveur, remarquez quà son démarrage, il ne contient aucune information mise en cache. Celles-ci sont obtenues au fil du temps, lors du service des requêtes des clients. Si toutefois vous remarquez un lien WAN lent entre des sites, cette option peut être idéale : une fois le cache construit, le trafic sur le lien WAN diminue. Les requêtes DNS sont également résolues plus rapidement, ce qui améliore la performance des applications réseau. Un serveur en cache seul neffectue en outre aucun transfert de zone, une opération qui peut être éprouvante pour le réseau dans des environnements WAN. Enfin, un serveur DNS en cache seul peut être intéressant sur un site où la fonctionnalité DNS est nécessaire localement, alors que ladministration de domaines ou de zones nest pas souhaitable.

Astuce Lorsque vous devez réduire le trafic de résolution de noms via des liens WAN sans augmenter le trafic de transfert de zone, installez un serveur en cache seul.

Par défaut, le service serveur DNS agit comme un serveur en cache seul. Les serveurs en cache seul ne nécessitent que peu ou pas de configuration.

Pour installer un serveur en cache seul, respectez les étapes suivantes

Installez le rôle serveur DNS sur lordinateur serveur.

Ne configurez pas le serveur DNS (comme vous le feriez normalement) pour charger une quelconque zone.

Vérifiez que les indications de racine du serveur sont configurées ou mises à jour correctement.
Création denregistrements de ressource

Une nouvelle zone ne contient que deux enregistrements de ressource : lenregistrement SOA (Start-Of-Authority) correspondant à la zone et un enregistrement nom de serveur NS (Name Server) correspondant au serveur DNS local créé pour cette zone. Après avoir créé une zone, vous devez lui ajouter dautres enregistrements de ressource. Même si certains enregistrements peuvent être ajoutés automatiquement, dautres, comme les enregistrements MX et CNAME, doivent être ajoutés manuellement.

Pour ajouter manuellement un enregistrement de ressource à une zone, effectuez un clic droit sur licône de zone dans la console DNS. Dans le menu contextuel, sé1ectionnez lenregistrement de ressource à créer (voir Figure 4-7).

Figure 4.7 Création denregistrements de ressource

Pour ajouter un enregistrement de ressource à une zone, respectez les étapes suivantes:

Ouvrez la console DNS.

Dans larborescence de la console, effectuez un clic droit sur la zone pertinente et sélectionnez Nouveaux enregistrements. La boîte de dialogue Type denregistrement de ressource apparaît.

Dans la zone de liste Choisissez un type denregistrement de ressource, sélectionnez le type denregistrement de ressource à ajouter.

Dans la boîte de dialogue Nouvel enregistrement de ressource, entrez les informations nécessaires pour compléter lenregistrement de ressource.

Cliquez sur Créer un enregistrement.

Après avoir spécifié toutes les informations nécessaires à lenregistrement de ressource, cliquez sur OK pour ajouter le nouvel enregistre ment à la zone.

Cliquez sur Terminer pour revenir à la console DNS.

Format denregistrement de ressource

Les enregistrements de ressource se présentent en différents formats, selon leur contexte dutilisation. Par exemple, lorsque les recherches et les réponses sont effectuées à laide de DNS, les enregistrements de ressource sont présentés sous forme de paquets binaires. Dans la console DNS, les enregistrements de ressource sont représentés graphiquement pour pouvoir être facilement examinés et modifiés.

À la source toutefois, dans les fichiers de base de données de zone, les enregistrements de ressource sont représentés comme entrées texte. En pratique, en créant des enregistrements de ressource depuis la console DNS, vous ajoutez automatiquement des entrées texte au fichier de base de données de la zone correspondante. Dans ces fichiers de zone, les enregistrements de ressource possèdent la syntaxe suivante :

Propriétaire TTL Classe Type RDATA

Le Tableau 4-3 décrit chacun de ces champs.

Tableau 4-3 Champs typiques dun enregistrement de ressource

NomDescription
Propriétaire
Le nom de lhôte ou du domaine DNS auquel appartient cet enregistrement de ressource.TTL (Durée de vie)Un entier sur 32 bits représentant la durée exprimée en secondes pendant laquelle un serveur ou un client DNS doit mettre en cache cette entrée avant de léliminer. Ce champ est facultatif. Sil nest pas employé, le client se sert de la TTL minimale de lenregistrement SOA.ClasseDéfinit la famille de protocoles employée. Pour des serveurs DNS Windows, lenregistrement de ressource est toujours de classe Internet, abrégé en IN. Ce champ est facultatif et nest pas automatiquement généré.TypeIdentifie le type denregistrement de ressource, comme A ou SRV.RDATALes données de lenregistrement de ressource, Cest un champ à taille variable représentant linformation décrite par 1enregistrement de ressource type. Par exemple, dans un enregistrement de ressource A, il sagit de ladresse IP sur 32 bits représentant lhôte identifié par le propriétaire.

La plupart des enregistrements de ressource sont représentés par une entrée texte dune seule ligne. Si une entrée sétend sur plusieurs lignes, des parenthèses peuvent encapsuler les informations. Dans de nombreuses mises en oeuvre de DNS, seul un enregistrement de ressource SOA peut comporter plusieurs lignes. Pour faciliter la lisibilité, des lignes vierges et des commentaires ignorés par le serveur DNS sont fréquemment insérés dans les fichiers de zone. Un commentaire débute toujours par un point-virgule (;) et se termine par un retour chariot.
Types denregistrement

Les types denregistrements de ressource le plus fréquemment créés sont les suivants :

Hôte (A)
Alias (CNAME)
Serveur de messagerie (MX) « Mail eXcbanger »
Pointeur (PTR)
Emplacement de service (SRV)

Enregistrements de ressource Hôte (A) Les enregistrements de ressource Hôte (A) constituent la majorité des enregistrements de ressource dune base de données de zone. Ces enregistrements servent dans une zone à associer des noms de domaines DNS dordinateurs (ou hôtes) à leurs adresses IP. Ils peuvent être ajoutés à une zone de différentes façons:

Vous pouvez créer manuellement un enregistrement de ressource A pour un ordinateur client TCP/IP statique à laide de la console DNS ou de lutilitaire Dnscmd depuis la ligne de commande.

Les ordinateurs exécutant Windows 2000, Windows XP ou Windows Server 2003 se servent du service client DHCP pour enregistrer et mettre à jour dynamiquement leurs propres enregistrements de ressource A dans DNS lorsque survient une modification de configuration IP.

Les ordinateurs client exécutant des versions antérieures de systèmes dexploitation Microsoft et avant activé DHCP (Dynarnic Host configuration Protocol) peuvent avoir leurs enregistrements de ressource A enregistrés et actualisés par un Proxy sils obtiennent leur bail IP dun serveur DHCP qualifié. Seul le service DHCP fourni avec Windows Server 2003 prend actuellement en charge cette fonctionnalité.

Une fois créé sur la console DNS, un enregistrement de ressource A faisant correspondre le nom dhôte serveur1.lucernepublishing.com à ladresse IP 172.16.48.1 est représenté sous forme texte dans le fichier de zone lucerne.publishingcom.dns comme suit:

serveur1Al72.16.48.1

Astuce Si vous effectuez un ping vers un ordinateur avec son adresse IP et non avec son nom, lordinateur est dépourvu denregistrement de ressource A dans DNS. Vous pouvez tenter de remédier à cette situation en exécutant la commande Ipconfig /registerdns sur cet ordinateur, , toutefois uniquement si cet ordinateur exécute une version de Windows 2000, Windows XP ou Windows Server 2003.

Enregistrements de ressource Alias (CNAME) Les enregistrements de ressource Alias (CNAME) sont parfois dénommés noms canoniques. Ces enregistrements permettent de faire pointer plusieurs noms vers un même hôte. Par exemple, les noms de serveurs archi-connus (ftp, www) sont classique- ment enregistrés à laide denregistrements de ressource CNAME. Ces enregistrements font correspondre le nom dhôte spécifique à un service donné (comme ftp.lucernepublishing.com) au vrai enregistrement de ressource A de lordinateur hébergeant le service (comme serveurboston.lucernepu blishing.com).

Les enregistrements de ressource CNAME sont également à employer dans les scénarios suivants :

Lorsquun hôte spécifié dans un enregistrement de ressource A de la même zone doit être renommé.

Lorsquun nom générique pour un serveur bien connu comme www doit être résolu en groupe dordinateurs individuels (chacun avec un enregistrement de ressource A individuel) procurant le même service (par exemple, un groupe de serveurs Web redondants).

Une fois créé dans la console DNS, un enregistrement de ressource CNAME faisant correspondre lalias ftp.lucernepublishing.com au nom dhôte ftp sera représenté sous forme texte dans le fichier de la zone lucernepublishing.com.dns comme suit:

ftp CNAME ftp1.lucernepublishing.com

Enregistrements de ressource MX Les enregistrements ne ressource de messagerie (MX) sont employés par les applications de messagerie électronique pour localiser un serveur de messagerie dans une zone. Cela permet à un nom de domaine comme lucernepublishing.com, spécifié dans une adresse électronique telle joe@lucernepublishing.com, dêtre mis en correspondance avec lenregistrement de ressource A de lordinateur hébergeant le serveur de messagerie du domaine. Ce type denregistrement permet donc à un serveur DNS de gérer des adresses électroniques dans lesquelles aucun serveur de messagerie particulier nest spécifié.

Il est souvent créé plusieurs enregistrements MX pour offrir une tolérance aux pannes à laide dun serveur de messagerie secondaire lorsque le serveur principal est indisponible. En cas de multiples serveurs, chacun se voit attribuer une valeur de préférence, les valeurs les plus basses correspondant à la priorité la plus élevée. Une fois créés dans la console DNS, de tels enregistrements de ressource MX sont représentés sous forme texte dans un fichier de la zone lucernepublishing.com.dns comme suit :

@ MX 1 mailserver1. lucernepublishing.com
@ MX 10 mailserver2. lucernepublishing.com
@ MX 20 mailserver3. lucernepublishing.com

Remarque Dans cet exernple, le symbole @ représente le nom de domaine local dans une adresse électronique.

Enregistrements de ressource PTR Lenregistrements de ressource pointeur ne sert que dans les zones à recherche inversée pour prendre en charge les recherches inversées, qui effectuent des requêtes pour résoudre des adresses IP en nom dhôtes ou en FQDN. Les recherches inversées sont effectuées dans des zones à racine dans le domaine in-addr.arpa. Un enregistrement de ressource PTR est ajouté à une zone à laide des mêmes méthodes manuelles et automatiques que celles utilisées pour ajouter un enregistrement de ressource A.

Une fois crée depuis la console DNS, un enregistrement de ressource PTR faisant correspondre ladresse IP 172.16.48.1 au nom dhôte serveur1.lucernepublishing.com serait représenté sous forme texte dans un fichier de zone comme suit :

1 PTR serveur1.lucernepublishing.com

Remarque Dans cet exemple, le 1 représente le nom affecté à lhôte dans le domaine 172.16.48.in-addr.arpa. Ce domaine, qui est également le nom de la zone dhébergement, correspond au sous-réseau 172.16.48 0.

Enregistrements de ressource SRV Les enregistrements de ressource SRV servent à spécifier lemplacement de services spécifiques clans un domaine. Les applications client compatibles SRV peuvent recourir à DNS pour récupérer les enregistrements de ressource SRV pour des serveurs dapplication donnés. Windows Server 2003 Active Directory est un exemple dapplication compatible SRV. Le service Netlogon se sert denregistrements SRV pour localiser les contrôleurs de domaine dun domaine en parcourant le domaine à la recherche du service LDAP (Lightweight Directory Access Protocol).

Astuce Tous les enregistrements SRV nécessaires à un contrôleur de domaine Active Directory peuvent être trouvés dans le dossier Netlogon.dns situé dans le dossier WINDOWS\System32\Config. Sil manque des enregistrements SRV dans votre zone DNS, vous pouvez les recharger automatiquement en exécutant la commande Netdiag /fix à invite de commandes. La commande Netdiag est disponible après linstallation des outils de support Windows depuis le CD-ROM dinstallation de Windows Server 2003.

Si un ordinateur doit localiser un contrôleur de domaine dans le domaine lucernepublishing.com, le client DNS envoie une requête SRV pour le nom:

_ldap._tcp.Iucernepublishing.com.

Le serveur DNS répond alors au client en donnant tous les enregistrements correspondant à la requête. Même si la majorité des enregistrements de ressource SRV sont automatiquement créés, vous pourriez avoir besoin den créer depuis la console DNS pour ajouter une tolérance aux pannes ou dépanner des services réseau. Les exemples suivants montrent la représentation texte de deux enregistrements SVR configurés manuellement depuis la console DNS:

_ldap._tcp SRV 0 0 389 dc1.lucernepublisbing.com.
SRV 10 0 389 dc2.lucernepublisbing.com.

Dans cet exemple, un serveur LDAP (contrôleur de domaine) avec une priorité de 0 (la plus haute) correspond au port 389 de lhôte dc1.lucernepublishing.com. Un second contrôleur de domaine avec une priorité inférieure de 10 correspond au port 389 de lhôte dc2.lucernepublishing.com. Les deux entrées possèdent une valeur 0 dans le champ poids (weight), ce qui signifie quaucun équilibrage de la charge na été configuré entre serveurs à priorité équivalente.

Astuce dexamen Au cours de lexamen comme dans la vie réelle, vous pouvez déployer Active Directory avec le minimum defforts administratifs en installant les premiers domaines DNS de votre réseau, ainsi que ses premiers domaines Active Directory, sur des ordinateurs exécutant Windows 2000 Server ou Windows Server 2003. Cette nouvelle est à peine surprenante, puisque ce nest que dans les environnements Windows que les nombreux enregistrements SRV nécessaires à Active Directory sont automatiquement créés. Si vous voulez déployer DNS sur un serveur UNIX et intégrer celui-ci dans une infrastructure Active Directory, configurez le serveur UNIX comme serveur DNS secondaire.

Examen et nettoyage du cache de serveur DNS

Le contenu du cache du serveur DNS ne peut être examiné que depuis la console DNS. Pour examiner le contenu du cache, dans le menu Affichage, sélectionnez Affichage détaillé (voir Figure 4-8).

Figure 4-8 Affichage détaillé la console DNS

Une fois laffichage de la console DNS défini comme détaillé, un nouveau dossier apparaît dans larborescence de la console DND, Recherches mises en cache. Ce dossier affiche le cache du serveur DNS selon un format hiérarchique. La Figure 4-9 montre un exemple de contenu du dossier Recherches mises en cache.

Figure 4-9 Cache du serveur DNS

Pour vider le cache du serveur DNS, vous pouvez effectuer un clic droit sur licône du serveur DNS dans la console DNS et sélectionner Effacer le cache (voir Figure 4-10). Vous pouvez également redémarrer le service serveur DNS ou employer la commande Dnscmd /clearcache.

Figure 4-10 Vidage du cache du serveur DNS

Exercice pratique Installation dun serveur DNS

Dans cet exercice, vous installez et vous configurez un serveur DNS sur Ordinateur1.

Exercice 1: Installation du composant Windows DNS

Pour réaliser cet exercice, vous devez avoir insérer le CD-ROM dinstallation de Windows Server 2003 dans Ordinateur1.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Ouvrez le Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. La fenêtre Ajout/Suppression de programmes apparaît.

Cliquez sur Ajouter ou supprimer un composant Windows. La page Composants Windows de lAssistant Composants de Windows souvre.

Dans la zone Composants, sélectionnez le composant Services de mise en réseau. Prenez garde à ne pas cocher la case Services de mise réseau.

Cliquez sur Détails, La fenêtre Services de mise en réseau souvre.

Dans la zone Sous-composants de Services de mise en réseau, sélectionnez la case à cocher Système DNS (Domain Name System).

Cliquez sur OK. Dans lAssistant Composants de Windows, la case cocher Services de mise en réseau doit désormais être grisée.

Cliquez sur Suivant. La page Configuration des composants apparaît pendant linstallation du nouveau composant. Une fois linstallation accomplie, la page Fin de lAssistant Composants de Windows apparaît.

Cliquez sur Terminer.

Cliquez sur Fermer pour fermer la fenêtre Ajout/Suppression de programmes.

Exercice 2 : Création dune connexion par numérotation

Dans cet exercice, vous créez une connexion par numérotation vers lInternet. Si Ordinateur1 dispose déjà dune connexion Internet disponible par le biais dune ligne dédiée, vous pouvez passer cet exercice. Veillez toutefois à renommer la connexion Internet « MonFAI ».

En ayant ouvert une session sur Ordinateur1 en tant quadministrateur, ouvrez la fenêtre Connexions réseau.

Dans le menu Fichier, sélectionnez Nouvelle connexion. LAssistant Nouvelle connexion souvre.

Cliquez sur Suivant.

Cliquez sur Suivant dans la page Type de connexion réseau pour accepter la sélection par défaut, Connexion à Internet.

Cliquez sur Suivant dans la page Connexion Internet pour accepter la sélection par défaut, Se connecter en utilisant un modem daccès à dis tance.

Dans la page Nom de la connexion, tapez MonFAI dans la zone de texte Nom du fournisseur de service Internet, puis cliquez sur Suivant.

Dans la page Entrez le numéro de téléphone à composer, tapez le numéro de téléphone de votre FAI dans la zone de texte Numéro de téléphone, puis cliquez sur Suivant.

Cliquez sur Suivant dans la page Disponibilité de connexion pour accepter la sélection par défaut,Tous les utilisateurs.

Dans la page Information de compte Internet, tapez les informations de votre compte dans les zones de texte Nom dutilisateur, Mot de passe et Confirmer le mot de passe.

Cliquez sur Suivant. La page Fin de lAssistant Nouvelle connexion apparaît.

Cliquez sur Terminer. La page Connexion MonFAI apparaît.

Cliquez sur le bouton Propriétés. La boîte de dialogue Propriétés de MonFAI apparaît.

Cliquez sur longlet Options.

Décochez la case Demander un nom, un mot de passe, un certificat, etc.

Décochez la case Demander un numéro de téléphone.

Cliquez sur OK.
La boîte de message Connexion à MonFAI apparaît pendant que votre ordinateur effectue la numérotation vers votre FAI via la connexion nouvellement configurée. Une fois connecté, vous recevez un message de confirmation dans la partie système de la barre des tâches. Vous êtes désormais connecté à lInternet.
Exercice 3 : Configuration du nouveau serveur DNS

Dans cet exercice, vous employez lAssistant Configurer un serveur DNS pour créer une installation simple de serveur DNS. Une fois lAssistant terminé, votre serveur sera configuré pour répondre aux requêtes de recherches directes et inversées pour le domaine domaine1.local et pour gérer les requêtes récursives de clients internes. Pour se terminer avec succès, lAssistant Configurer un serveur DNS nécessite une connexion Internet.

Après avoir ouvert une session sur Orclinateur1 en tant q administrateur, vérifiez que vous êtes connecté à lInternet via la connexion MonFAI.

Ouvrez la console DNS en cliquant sur Démarrer, puis en sélectionnant successivement Outils dadministration et DNS. La console DNS souvre.

Développez licône ORDINATEUR1 de larborescence de la console.

Effectuez un clic droit sur ORDINATEUR1 dans larborescence de la con sole et sélectionnez Configurer un serveur DNS clans le menu contextuel. LAssistant Configuration dun serveur DNS se lance.

Cliquez sur Suivant. La page Sélectionnez une action de configuration apparaît.

Sélectionnez loption Créer des zones de recherche directe et inversée, puis cliquez sur Suivant. La page Zone de recherche directe apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Oui. La page Type de zone apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Zone principale. La page Nom de la zone apparaît.

Dans la zone de texte Nom de la zone, tapez domain1.local, puis cliquez sur Suivant. La page Fichier zone apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Créer un nouveau fichier avec ce nom de fichier. La page Mise à niveau dynamique apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Ne pas autoriser les mises à jour dynamiques. La page Zone de recherche inverse apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Oui. La page Type de zone apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Zone principale. La page Zone de recherche inversée apparaît.

Dans la zone de texte ID réseau, tapez 192.168.0. Le nom de la zone à recherche inversée est automatiquement configuré dans la zone de texte Nom de la zone de recherche inversée.

Cliquez sur Suivant. La page Fichier zone apparaît.
Cliquez sur Suivant pour accepter la sélection par défaut, Créer un nouveau fichier avec ce nom de fichier, La page Mise à jour dynamique apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Ne pas autoriser les mises à jour dynamiques. La page Redirecteurs apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Non. La page Fin de lAssistant Configuration dun serveur DNS apparaît.

Cliquez sur Terminer.

Dans la console DNS, développez arborescence de la console dans le volet de gauche pour voir la nouvelle zone domain1.local figurant dans le dossier Zones de recherche directe. Vous pouvez également voir la nouvelle zone 192. l68.0.x figurant dans le dossier Zones de recherche inversée.
Exercice 4 : Test du serveur DNS

Windows Server 2003 permet de vérifier la configuration dun serveur DNS à laide de deux tests sur lordinateur serveur DNS. Ces deux tests figurent sur longlet Analyse de la boite de dialogue des propriétés du serveur, accessible depuis la console DNS.

Après avoir ouvert une session sur Ordinateur1 en tant quadministrateur, vérifiez que vous êtes connecté à lInternet via la connexion MonFAI.

Dans larborescence de la console DNS, effectuez un clic droit sur ORDINATEUR1 et sélectionnez Propriétés. La boîte de dialogue Propriétés de ORDINATEUR1 souvre.

Cliquez sur longlet Analyse.

Sélectionnez les cases à cocher Une requête simple à un serveur DNS et Une requête récursive aux autres serveurs DNS.

Cliquez sur Tester. La zone Résultats des tests montre les résultats positifs des tests que vous venez deffectuer.

Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Ordinateur1.

Fermez la session sur lOrdinateur1.

Astuce dexamen Vous devez connaître à lexamen les tests de serveur DNS. Sachez dabord que le test simple repose sur une recherche inversée de ladresse de boucle interne 127.0.0.1. Si ce test simple échoue, vous devez donc vérifier quun enregistrement nommé 1 existe dans la zone à recherche inversée nommée 0.0.127.in-addr.arpa (visible uniquement dans laffichage Affichage détaillé de la console DNS). Ensuite, le test récursif vérifie que le serveur DNS peut communiquer avec dautres serveurs DNS et que les indications sont correctement configurées.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section «Questions et réponses» à la fin de ce chapitre.

Vous venez dactualiser un enregistrement de ressource hôte. Quel autre enregistrement de ressource associé peut-il demander également une mise à jour?

Votre serveur DNS échoue lors du test récursif. En supposant quil puisse communiquer autrement avec dautres serveurs DNS, citez deux causes possibles pour ce scénario.

Quel enregistrement de ressource sert-il à la résolution de noms de domaines spécifiés dans des adresses électroniques en adresse IP du serveur de messagerie associé à ce domaine?

PTR
MX
A
CNAME

Sur un nouveau serveur DNS, vous créez une zone « », puis vous créez des sous-domaines dans ce domaine racine. Quelle fonction le nouveau serveur sera-t-il capable ou incapable deffectuer?

a. Le serveur sera incapable de mettre en cache des noms.
b. Le serveur ne pourra fonctionner que comme serveur de transmis sion.
c. Le serveur sera incapable de résoudre des noms Internet.
d. Le serveur sera incapable de se connecter à lInternet.

Résumé de la leçon

Les serveurs DNS font autorité pour les zones quils hébergent. Les zones de recherche directe répondent aux requêtes pour des adresses IP alors que les zones de recherche inversée répondent à des requêtes pour des FQDN.

Un serveur DNS hébergeant une zone principale est dit agir comme serveur DNS principal. Un serveur DNS principal stocke les données sources originales des zones. Avec Windows Server 2003, vous pouvez mettre en oeuvre des zones principales de deux façons : comme zone principale standard, dans laquelle les données de la zone sont stockées dans un fichier texte, ou comme zone intégrée à Active Directory, dans laquelle les données de zone sont stockées dans la base de données Active Directory.

Un serveur DNS hébergeant une zone secondaire est dit agir comme serveur DNS secondaire. Un serveur DNS secondaire est un serveur faisant autorité de secours dun serveur principal. Les serveurs à partir desquels les serveurs secondaires récupèrent les informations de zone sont appelés maîtres. Un maître peut être un serveur principal ou un autre serveur secondaire.

Un serveur en cache seul fait suivre toutes les requêtes vers dautres serveurs DNS sans héberger de zone. Un tel serveur met toutefois en cache les réponses reçues des autres serveurs DNS et peut ainsi améliorer la résolution de noms pour un réseau nhébergeant pas de zone.

Une nouvelle zone ne contient que deux enregistrements de ressource: lenregistrement SOA correspondant à la zone et un enregistrement NS correspondant au serveur DNS local créé pour cette zone. Après avoir créé une zone, vous devez lui ajouter dautres enregistrements de ressource. Les enregistrements de ressource les plus fréquents à ajouter sont de type hôte (A), alias (CNAME), MX, SRV et PTR.

Leçon 4: Configuration de clients DNS

La configuration de clients DNS implique généralement la configuration des noms ordinateurs clients, la spécification de suffixes DNS pour ces noms ordinateur, la détermination des serveurs DNS devant être interrogés par les clients DNS et la personnalisation de comportement des requêtes de ces clients DNS. Vous pouvez en outre configurer la façon dont les clients DNS mettent à jour leurs enregistrements dans DNS.

À la fin de cette leçon, vous saurez:

Configurer des noms dordinateur conformes aux standards DNS
Configurer un suffixe DNS principal pour un ordinateur
Configurer un suffixe spécifique à la connexion pour un adaptateur
Configurer une liste de serveurs DNS pour des connexions réseau
Configurer une liste de recherche de suffixes DNS pour des connexions réseau
Configurer un client DNS pour requérir des mises à jour DNS dynamiques
Examiner et vider le cache du client DNS

Durée estimée : 60 minutes

Configuration des réglages du client

Pour configurer des ordinateurs client DNS dans des réseaux Windows Server 2003, vous devez au minimum exécuter les tâches suivantes:

Définir un nom DNS dordinateur ou dhôte pour chaque ordinateur. Par exemple, dans le FQDN client1.exemple.microsoft.com., le nom dordinateur DNS est létiquette la plus à gauche, client1.

Définir un suffixe DNS principal pour lordinateur, Ce suffixe, ajouté au nom dhôte, constitue le nom complet de lordinateur. Dans lexemple précédent, le suffixe DNS principal est exemple.microsoft.com.

Définir une liste de serveurs DNS à employer par le client lors de la résolution de noms DNS. Cette liste comprend un serveur DNS préféré et peut également comprendre des serveurs DNS auxiliaires à employer lorsque le serveur préféré est indisponible.

En outre, selon les besoins des clients DNS à configurer, vous pouvez également avoir à effectuer les tâches suivantes :

Définir la liste de recherche de suffixes DNS ou la méthode de recherche employée par le client lors de requêtes DNS pour des noms du domaine courts et non qualifiés.

Définir un suffixe DNS spécifique à la connexion pour chaque adaptateur dun ordinateur client DNS. Par exemple, si lhôte nommé host1.lucernepublishing.com est connecté à deux sous-réseaux par le biais de deux adaptateurs réseau différents, lordinateur peut être perçu sur le réseau comme host1.subnet1.microsoft.com et sur lautre comme host1.subnet2.microsoft.com.

Modifier le comportement des mises à jour dynamiques DNS.

Les sections suivantes décrivent ces tâches plus en détail.

Définition de noms dordinateur

Lorsque vous définissez des noms pour DNS, pensez au nom dordinateur ou dhôte comme à la portion la plus à gauche d »un FQDN. Par exemple, dans wkstn1.exemple.microsoft.com., wkstn1 est le nom de lordinateur. Vous pouvez modifier ce nom à laide de longlet Nom de lordinateur de la boîte de dialogue Propriétés système.

Remarque Vous pouvez accéder à la boîte de dialogue Propriétés système en effectuant un clic droit sur Poste de travail et en sélectionnant Propriétés, ou en double-cliquant sur Système dans le Panneau de configuration.

Le nom dordinateur affecté doit respecter les restrictions des caractères pris en charge par DNS telles que définies dans la RFC (Request For Comments) 1123. Daprès ces restrictions, le nom affecté ne doit pas dépasser 63 octets et ne peut renfermer que les caractères suivants :

Lettres majuscules A à Z
Lettres minuscules a à z
Chiffres O à 9
Trait dunion (-)

Remarque En pratique, les noms DNS ne sont pas sensibles à la casse.

Prise en charge des noms BIOS

Si votre réseau prend en charge à la fois les espaces de noms NetBIOS et DNS, vous pouvez affecter aux ordinateurs un nom distinct pour chaque espace de noms, mais cela est déconseillé. Les noms affectés à des ordinateurs exécutant Windows 2000,Windows XP et Windows Server 2003 doivent se conformer aux spécifications DNS décrites précédemment, mais vous devez également tenter de prendre en charge NetBIOS lors de cette sélection de nom «hôte. Pour ce faire, naffectez que des noms dun maximum de 15 caractères.
Définition dun suffixe DNS principal

Vous pouvez spécifier ou modifier le suffixe DNS principal dun ordinateur dans la boîte de dialogue Nom dordinateur NetBIOS et suffixe (voir Figure 4-11).

Figure 4-11 Définition dun suffixe DNS principal

Pour accéder à cette boîte de dialogue, dans la boite de dialogue Propriétés système, cliquez sur longlet Nom de lordinateur, puis cliquez sur Modifier pour modifier le nom de lordinateur. Dans la boîte de dialogue Modification du nom de lordinateur, cliquez sur Autres.

Par défaut, le suffixe DNS principal est identique au nom du domaine Active Directory auquel appartient lordinateur. Si celui-ci nappartient pas à un domaine, aucun suffixe DNS principal par défaut nest spécifié.

Définir un suffixe DNS spécifique à la connexion

En cliquant sur le bouton Avancé de la boîte de dialogue Propriétés de Protocole Internet (IP) de la connexion, vous pouvez ouvrir la boîte de dialogue Paramètres TCP/IP avancés. Dans longlet DNS de cette boîte de dialogue (voir Figure 4-12), vous pouvez créer un suffixe DNS à employer spécifiquement par cette connexion. Ce suffixe est nommé suffixe DNS spécifique à la connexion.

Figure 4-12 Configuration dun suffixe spécifique à la connexion
Lorsque le suffixe DNS spécifique à la connexion est ajouté à un nom DNS dordinateur ou dhôte, un FQDN est affecté à un adaptateur spécifique de lordinateur. Par exemple, comme le montre la Figure 4-13, un ordinateur à hôtes multiples nommé host-a peut être nommé conformément à ses noms de domaine DNS principal et spécifique à la connexion.

Figure 4-13 Travail avec un suffixe spécifique à la connexion

Dans cet exemple, lordinateur serveur host-a se lie à deux sous-réseaux différents, Sous-réseau1 et Sous-réseau2, également liés par des points redondants à laide de deux routeurs procurant dautres chemins entre les deux réseaux. Selon cette configuration. host-a procure un accès comme suit via ses connexions LAN à noms différents :

Le nom host-a.public.exemple.microsoft.com procure laccès selon la connexion LAN 1 sur le Sous-réseau 1, un réseau local Ethernet à faible vitesse (10 Mb), pour laccès normal des utilisateurs ayant des besoins classiques de services de fichiers et dimpression.

Le nom host-a.backup.exemple.microsoft.com procure un accès via la connexion LAN 2 sur le Sous-réseau 2, un réseau local Ethernet à vitesse supérieure (100 Mb), pour un accès limité aux applications serveur et aux administrateurs à besoins spéciaux, comme pour le dépannage de problèmes de serveurs réseau, la réalisation de sauvegarde fondées sur le réseau ou la réplication de données de zones entre serveurs.

Vous pouvez également accéder à lordinateur sans spécifier de connexion LAN particulière. Pour ce faire, les clients spécifient le nom complet de lordinateur, host-a.exemple.microsoft.com.

Un client DNS configuré comme dans la Figure 4-13 et exécutant Windows 2000,Windows XP ou Windows Server 2003 peut enregistrer des enregistrements de ressource dans DNS selon ses trois noms et ensembles dadresses IP distincts, comme le montre le Tableau 4-4.

Tableau 4-4 FQDN dun ordinateur à hôtes multiples

Nom DNSAdresses IPDescription
host-a.exemple.microsoft.com
10.1.1.11
Le nom dordinateur complet.10.2.2.22Lordinateur enregistre les
enregistrements de ressource A et
PTR de toutes les adresses IP
configurées sous ce nom dans la
zone exemple.microsoft.com.host-a.public.exemple.microsoft.com10.1.1.11Le nom DNS spécifique à la
connexion de la connexion LAN
1. qui enregistre les
enregistrements de ressource A et
PTR pour ladresse IP 10.1.1,11
dans la zone public.exemple.
microsoft.comhost-a.backup.exemple.microsoft.com10.2.2.11Le nom DNS spécifique à la
connexion de la connexion LAN
2. qui enregistre 1CS
enregistrements de ressource A et
PTR pour ladresse IP 10.2.2.22
dans la zone
backup.exemple.microsoft.com.

Configuration dune liste de serveurs DNS

Après avoir consulté son cache, le service client DNS tente une résolution de noms via sa connexion préférée, à savoir la première connexion énumérée dans sa sortie de la commande Ipconfig. A travers cette connexion, le solveur (le client DNS) émet une requête vers ladresse stipulée comme serveur DNS préféré de la connexion. Même si adaptateur réseau peut être configuré avec une liste unique de serveurs DNS, il est parfaitement licite de configurer chaque adaptateur réseau de façon identique pour rendre plus prévisible la résolution DN .

Pour aider les clients DNS à résoudre les noms en cas déchec de la requête initiale, chaque connexion configurée sur lordinateur client DNS peut contenir une liste des serveurs DNS à contacter. Comme le montre la Figure 4-14, vous pouvez configurer un serveur préféré et un serveur auxiliaire unique pour chaque connexion depuis la boîte de dialogue Propriétés TCP/IP de cette connexion.

Figure 4-14 Définition de serveurs DNS

Pour une connexion donnée, vous pouvez toutefois créer une liste de serveurs DNS de taille quelconque dans la boite de dialogue Paramètres TCP/IP avancés de la connexion. Dans cette liste, la première entrée est traitée comme le serveur préféré, tandis que les autres serveurs auxiliaires sont soumis ensemble aux requêtes.

Lors de la résolution de noms, le service client DNS émet une requête vers les serveurs DNS dans lordre suivant

Le service client DNS envoie la requête au premier serveur de la liste des serveurs préférés de la liste des serveurs DNS et attend une réponse pendant 1 seconde.

Si le service client DNS ne reçoit pas de réponse du premier serveur pendant 1 seconde, il envoie la requête au premier serveur DNS de tous les adaptateurs encore pris en compte et attend une réponse pendant 2 secondes.

Si le service client DNS ne reçoit pas de réponse dun quelconque serveur au bout de 2 secondes, le solveur envoie la requête à tous les serveurs DNS sur tous les adaptateurs encore pris en compte et attend à nouveau une réponse pendant 2 secondes.

Si le service client DNS ne reçoit toujours pas de réponse dun quelconque serveur, il envoie une requête à tous les serveurs DNS de tous les adaptateurs en pris en compte et attend une réponse pendant 4 secondes.

Sil ne reçoit toujours pas de réponse dun quelconque serveur, le solveur envoie la requête à tous les serveurs DNS de tous les adaptateurs en pris en compte et attend une réponse pendant 8 secondes.

Si le service client DNS reçoit une réponse positive, il arrête les requêtes pour ce nom, ajoute la réponse au cache et renvoie la réponse au client. Si le service client DNS na pas reçu de réponse dun quelconque serveur au bout du délai de 8 secondes, le solveur répond par une expiration de délai.

Liste de suffixes de recherche DNS

Le service client DNS attache des suffixes DNS à tout nom saisi dans une requête lorsquune quelconque des conditions suivantes est vraie :

Le nom est un nom non qualifié à étiquette unique.

Le nom est un nom non qualifié à multiples étiquettes et le service client DNS ne la pas résolu comme FQDN.

Suffixe de recherche DNS par défaut Par défaut

Le service client DNS attache dabord le suffixe de domaine principal de lordinateur local au nom non qualifié. Si la requête ne parvient pas à résoudre le nom, le service client DNS ajoute alors tout suffixe spécifique à la connexion affecté à un adaptateur réseau. Enfin, si ces requêtes restent non résolues, le service client DNS ajoute le suffixe parent du suffixe DNS principal. Par exemple, supposez que le nom complet dun ordinateur à hôtes multiples soit Ordinateur1.domain1.microsoft.com. Les adaptateurs réseau de Ordinateur1 se sont vus attribuer respectivement les suffixes spécifiques à la connexion subnet1.domain1.microsoft.com et subnet2.domain1.microsoft.com. Si, sur le même ordinateur, vous tapez ordinateur2 dans la zone dadresse de Internet Explorer et appuyez sur Entrée. le service client DNS local tente dabord de résoudre le nom Ordinateur2 en effectuant une requête pour le nom ordinateur2.domain1.microsoft.com. Si cette requête échoue, le service client DNS émet une requête pour les noms ordinateurs2.subnet1.domain1.microsoft.com et ordinateur2.suhnet2.domain1.microsoft.com. Si cette requête ne parvient pas à résoudre le nom, le service client DNS émet une requête pour le nom ordinateur2.microsoft.com.

Listes de suffixes de recherche DNS personnalisés

Vous pouvez personnaliser les suffixes de recherche en créant une liste de suffixes de recherche DNS dans la boîte de dialogue Paramètres TCP/IP avancés (voir Figure 4-15).

Figure 4-15 Ajout de suffixes à des requêtes DNS

Loption Ajouter ces suffixes DNS permet de spécifier une liste de suffixes DNS à ajouter aux noms non qualifiés. Si vous entrez une liste de suffixes de recherche DNS, le service client DNS ajoute ces suffixes DNS dans lordre sans tester un autre nom de domaine. Par exemple, si les suffixes apparaissant dans la liste de recherche de la Figure 4-15 sont configurés et que vous entrez la requête non qualifiée à étiquette unique « coffee », le service client DNS recherche dabord coffee.lucernepublishing.com puis coffee.eu.lucernepublishing.com.

Configuration doptions de mise à jour dynamique.

Lorsqu ils sont configurés en conséquence, les serveurs DNS sexécutant sous Windows 2000 ou Windows Server 2003 peuvent accepter des mises à jour dynamiques denregistrements de ressource A et PTR. Les mises à jour elles-mêmes peuvent être effectuées soit par un client DNS exécutant Windows 2000, Windows XP ou Windows Server 2003, soit par un serveur DHCP (pour le compte dun client DNS) exécutant Windows 2000 ou Windows Server 2003.

Astuce dexamen Pour lexamen rappelez-vous que les serveurs DNS fondés sur UNIX et exécutant BIND(Berkeley Internet Name Domain) 8.12 ou ultérieur peuvent accepter les mises à jour dynamiques.

Une mise à jour dynamique ne peut se produire que lorsque les clients sont configurés avec un suffixe de domaine correspondant au nom de la zone hébergée par le serveur DNS préféré. En dautres termes, pour que lenregistrement dun ordinateur nommé Client 1 soit mis à jour dynamiquement dans la zone lucernepublishing.com , le FQDN de cet ordinateur doit être client1.lucernepublishing.com et le client doit spécifier comme serveur DNS ladresse IP du serveur DNS hébergeant 1ucernepublishing.com.

Comportement de mise à jour par défaut du client

Par défaut, les clients DNS configurés avec une adresse IP statique et un suffixe de domaine adéquat tentent denregistrer et dactualiser à la fois les enregistrements de ressource A et PTR auprès du serveur DNS préféré. Les clients DNS obtenant toutefois leur adresse dun serveur DHCP tentent denregistrer et dactualiser uniquement leurs enregistrements de ressource A auprès du serveur DNS préféré. Lenregistrement de ressource PTR est alors actualisé par le serveur DHCP lors de laffectation du bail. Les clients Windows incapables deffectuer dactualisation dynamique, comme les clients DNS exécutant Windows Me ou Windows NT 4, peuvent voir leurs enregistrements de ressource A et PTR mis à jour pour leur compte par un serveur DHCP spécialement configuré.

Pour configurer un client DNS pour quil tente des mises à jour dynamique avec DNS, vérifiez que la case à cocher Enregistrer les adresses de cette connexion dans DNS est sélectionnée dans longlet DNS de la boîte de Paramètres TCP/IP avancés (voir Figure 4-5). Elle est sélectionnée par défaut. Le client DNS est ainsi configuré pour tenter denregistrer et de mettre à jour le nom complet de lordinateur (nom de domaine principal). Lorsque vous décochez cette case, le client DNS ne tente plus de mises à jour dynamiques. Si vous configurez un suffixe DNS pour la connexion, vous pouvez également spécifier que le client DNS tente denregistrer et de mettre à jour dynamiquement un FQDN fondé sur le suffixe spécifique à cette connexion. Pour ce faire, cliquez sur la case à cocher Utiliser le suffixe DNS de cette connexion pour lenregistrement DNS. Elle nest pas sélectionnée par défaut. Pour forcer un client DNS à tenter un enregistrement dynamique de ses enregistrements de ressource A et PTR, tapez ipconfig /registerdns linvite de commandes.

Remarque Dans le cas de clients ICS (Internet Connection Sharing), les mises à jour DNS dynamiques sont configurées différemment. Lorsque des clients DNS exécutant Windows 2000, Windows XP ou Windows Server 2003 obtiennent leur configuration IP depuis un ordinateur exécutant ICS, ces clients peuvent mettre à jour leurs enregistrements dans DNS uniquement si loption Utiliser le suffixe DNS de cette connexion pour lenregistrement DNS est sélectionnée, Vous navez pas besoin de spécifier un suffixe spécifique à la connexion : le suffixe DNS principal constitue le FQDN.

Configuration des réglages TCP/IP pour les clients DNS

La procédure suivante résume les étapes nécessaires pour permettre aux clients demployer DNS. Pour configurer les réglages TCP/IP pour les clients DNS, respectez les étapes suivantes:

Ouvrez la fenêtre Connexions réseau.

Effectuez un clic droit sur la connexion réseau à configurer, puis sélectionnez Propriétés. La boîte de dialogue des propriétés de la connexion apparaît.

Sur longlet Genéral (pour une connexion de réseau local) ou longlet Gestion de réseau (toutes les autres connexions), sélectionnez le composant Protocole Internet (TCP/IP), puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) apparaît.

Si vous voulez obtenir les adresses de serveurs DNS dun serveur DHCP sélectionnez Obtenir les adresses des serveurs DNS automatiquement.

Si vous voulez configurer manuellement les adresses de serveurs DNS, sélectionnez Utiliser ladresse de serveur DNS suivante, puis dans les zones de texte Serveur DNS préféré et Serveur DNS auxiliaire, tapez les adresses IP du serveur DNS préféré et du serveur DNS auxiliaire.

Pour configurer les propriétés DNS avancées, cliquez sur Avancé, sélectionnez longlet DNS et effectuez une ou plusieurs des actions suivantes :

Pour configurer une adresse IP de serveur DNS supplémentaire, cliquez sur le bouton Ajouter situé en haut et spécifiez une adresse IP de serveur DNS.

Pour modifier le comportement de résolution pour les noms DNS non qualifiés, procédez comme suit:

Pour configurer le client pour quil résolve un nom non qualifié en en lui ajoutant le suffixe DNS principal et le suffixe DNS de chaque connexion (si configuré), sélectionnez Ajouter des suffixes DNS principaux et spécifiques aux connexions. Si vous voulez aussi rechercher les suffixes parent du suffixe DNS principal jusquau domaine de second niveau, sélectionnez la case à cocher Ajouter des suffixes parents du suffixe DNS principal.

Pour configurer le client pour quil résolve un nom non qualifié en ajoutant les suffixes dune liste de suffixes configurés, sélectionnez Ajouter ces suffixes DNS, puis cliquez sur Ajouter pour ajouter ces suffixes à la liste.

Pour configurer un suffixe DNS spécifique à la connexion, tapez le suffixe DNS dans la zone de texte Suffixe DNS pour cette connexion.

Pour modifier le comportement de mise à jour DNS dynamique, procédez comme suit :

Pour configurer le client pour quil enregistre ladresse IP de la connexion avec le nom complet de lordinateur local dans DNS, sélectionnez la case à cocher Enregistrer les adresses de cette connexion dans DNS, Cette option est activée par défaut. Elle nécessite que le suffixe DNS principal de lordinateur corresponde à un domaine hébergé par le serveur DNS préféré.

Pour configurer le client pour quil enregistre ladresse IP de la connexion avec un FQDN spécifique à la connexion, sélectionnez la case à cocher Utiliser le suffixe DNS de cette connexion pour lenregistrement DNS, Cette option est désactivée par défaut.

Pour désactiver totalement les mises à jour dynamiques DNS pour tous les noms de lordinateur, décochez la case Enregistrer les adresses de cette connexion dans DNS pour toutes le connexions dans Connexions réseau.

Examen et nettoyage du cache du solveur DNS

Le cache du solveur DNS, également connu comme cache du client DNS, est géré indépendamment du cache du serveur DNS. Ce cache du solveur est consulté dabord par les clients DNS avant quils ne tentent démettre une requête vers un serveur DNS. Une nouvelle entrée est ajoutée au cache du solveur chaque fois que le client DNS reçoit une réponse de requête dun serveur DNS.

Pour examiner le cache du client DNS, entrez Ipconfig /displaydns sur une invite de commandes. La sortie de cette commande contient des entrées chargées depuis le fichier Hosts local, ainsi que les enregistrements de ressource récemment obtenus suite à des requêtes de noms résolus par le système.

Pour vider le cache du suiveur DNS, vous pouvez entrer ipconfig /flushdns à linvite de commandes. Vous pouvez également redémarrer le service client DNS à laide de la console Services, un outil administratif accessible depuis le menu Démarrer.

Astuce dexamen À lexamen, il est important de connaître les commandes suivantes, relatives à DNS :

Ipconfig /displaydns. Affiche le contenu du cache client DNS

Ipconfig /flushdns. Vide le contenu du cache client DNS

Ipconfig /registerdns. Rafraîchit tous les baux DHCP et enregistre les noms DNS pour les zones DNS configurées pour accepter les mises à jour dynamiques

Sachez également que la commade Ipconfig /registerdns ne peut être employée que sur les clients exécutant Windows 2000, Windows XP ou Windows Server 2003.

Astuce dexamen À lexamen, rappelez-vous quil est parfois nécessaire dexécuter sur votre ordinateur Ipconfig /flushdns avant de voir lintérêt davoir réglé un problème DNS ailleurs sur le réseau. Par exemple, supposez que vous soyez incapable deffectuer un ping vers un ordinateur UNIX daprès son nom à partir dun client Windows, vous créez manuellement un enregistrement de ressource Hôte (A) pour lordinateur UNIX pour remédier à cette situation. Un ping ultérieur par nom sur ordinateur UNIX produit cependant encore un message derreur, parce que le client Windows a mis en cache une réponse négative lors de la requête antérieure vers ce nom dordinateur UNIX. Pour régler le problème, videz le cache client DNS en exécutant Ipconfig /flushdns sur lordinateur Windows. Cette commande impose au client Windows de tenter de résoudre le nom de lordinateur UNIX plutôt que de répondre simplement au moyen de la réponse négative mise en cache.

Exercice pratique 1: Configuration dun suffixe DNS principal

Dans cet exercice, vous configurez un suffixe DNS principal pour Ordinateur1 et Ordinateur2, puis vous observez les modifications apportées par cette procédure dans la console DNS.
Exercice 1 : Ajout de suffixes de noms à des ordinateurs

Dans cet exercice, vous configurez un suffixe DNS principal pour Ordinateur1 et Ordinateur2.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Dans le Panneau de configuration, ouvrez loutil Système. La boîte de dialogue Propriétés système souvre.

Cliquez sur longlet Nom de lordinateur.

Cliquez sur le bouton Modifier. La boîte de dialogue Modification nom de lordinateur souvre.

Cliquez sur Autres. La boîte de dialogue Nom dordinateur NetBIOS et suffixe DNS souvre.

Dans la zone de texte Suffixe DNS principal de cet ordinateur, tapez domain1.local.

Cliquez sur OK.

Dans la boîte de dialogue Modification du nom de lordinateur, cliquez sur OK. Une boîte de message apparaît, indiquant que vous devez redémarrer lordinateur pour que les modifications soient effectives.

Cliquez sur OK.

Dans la boîte de dialogue Propriétés système, cliquez sur OK. La boîte de dialogue Modification des paramètres système souvre, demandant si vous souhaitez redémarrer votre ordinateur maintenant.

Cliquez sur Oui.

Pendant que Ordinateur1 est en train de redémarrer, répétez cette procédure sur Ordinateur2, en affectant comme suffixe DNS principal domain1.local, puis en choisissant de redémarrer lordinateur.
Exercice 2 : Vérifier les modifications dans DNS

Cet exercice consiste à vérifier les modifications apportées lors de lexercice précédent, «Ajout de suffixes de noms à des ordinateurs ».

Ouvrez une session sur Ordinateur1 en tant quadministrateur.
Ouvrez une invite de commandes et tapez ping ordinateur1.
Répondez a la question suivante dans lespace prodigue a cet effet:
En quoi la modification de suffixe est-elle visible clans la sortie de la commande Ping?

Fermez la session sur Ordinateur1.

Exercice pratique 2 : Configuration dun serveur DNS en vue de récursivité

Dans cet exercice, vous configurez le serveur DNS sur Ordinateur1 pour quil réponde à des requêtes récursives de noms DNS fondés sur Internet remises par Ordinateur2. Vous lancerez ensuite une requête récursive depuis Ordinateur2 et surveillerez les résultats.

Ordinateur2 sétant vu affecter une adresse privée, il ne peut communiquer avec lInternet quau moyen dun service de traduction de noms comme NAT(Network Address Translation) ou ICS (Internet Connection Sharing). La première étape de cet exercice consiste donc à configurer ICS sur Ordinateur1.

Exercice 1. : Activation de ICS

Dans cet exercice, vous activez ICS sur Ordinateur1. Ce dispositif effectue une traduction dadresse pour tous les ordinateurs du segment de réseau et leur permet de communiquer avec des hôtes, ICS procure également des adresses aux clients DHCP du segment local et configure ces clients pour quils emploient lordinateur ICS comme serveur DNS. Une fois ICS activé, le serveur DNS du serveur ICS a recours à la récursivité pour répondre aux requêtes DNS des clients locaux.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Ouvrez la fenêtre Connexions réseau.

Si la connexion MonFAI est active dans la fenêtre Connexions réseau, effectuez un clic droit sur MonFAI et sélectionnez Déconnecter.

Dès que la connexion par numérotation a terminé sa déconnexion, effectuez un clic droit sur MonFAI et sélectionnez Propriétés. La boîte de dialogue Propriétés de MonFAI souvre.

Cliquez sur longlet Avancé.

Dans la zone Partage de connexion Internet, sélectionnez la case à cocher Autoriser dautres utilisateurs du réseau à se connecter via la connexion Internet de cet ordinateur.

Cliquez sur OK. La boîte de dialogue Connexions réseau souvre.

Lisez le texte de la boîte de dialogue puis cliquez sur Oui.
À ce point, lordinateur local se voit affecter une adresse IP de 192.168.0.1. Vous pouvez perdre temporairement la connectivité réseau pendant ces modifications.

Ouvrez une session sur Ordinateur2 en tant qu administrateur.

Redémarrez Ordinateur2.
Exercice 2 : Réalisation de requêtes récursives

Dans cet exercice, vous vous servez du Moniteur réseau pour capturer une requête DNS émanant de Ordinateur2. Après que Ordinateur1 a fait appel à la récursivité pour répondre à la requête, vous explorez la capture et vous vérifiez que les nouvelles entrées correspondant à la requête ont été chargées dans le cache serveur DNS.

Connectez Ordinateur1 à lInternet via la connexion MonFAI.

Ouvrez une session sur Ordinateur2 en tant quadministrateur et ouvrez une invite de commandes.

À linvite de commandes, tapez ipconfig /all, puis appuyez sur Entrée.

ICS avant été activé sur le réseau, Ordinateur2 spécifie maintenant 192.168.0.1, ladresse de Ordinateur1, comme serveur DNS. Ordinateur2 résout donc les requêtes DNS par le biais de Ordinateur1.

À linvite de commandes, tapez ipconfig /flushns, puis appuyez sur Entrée. Le cache du solveur est vidé, ce qui impose à Ordinateur2 de contacter un serveur DNS pour résoudre tous les noms DNS.

Basculez vers Ordinateur1, ouvrez le Moniteur réseau et commencez une capture.

Repassez sur Ordinateur2 et ouvrez Internet Explorer. Si vous voyez une boîte de message stipulant quune configuration de sécurité avancée est actuellement activée, sélectionnez la case à cocher pour empêcher des affichages ultérieurs de ce message, puis cliquez sur OK.

Dans la zone dadresse de Internet Explorer, tapez HYPERLINK "http://www.windowsupdate.com" http://www.windowsupdate.com, puis appuyez sur Entrée. La connexion sétablit.

Repassez sur Ordinateur1 et, dans le Moniteur réseau, cliquez sur le bouton Arrêter et afficher la capture.

Dans la fenêtre Capture: 1 (Résumé), localisez puis double-cliquez sur la première trame DNS de la capture. Remarquez que le FQDN recherché dans la première ligne est HYPERLINK "http://www.windowsupdate.com" www.windowsupdate.com.

La trame DNS étant développée dans le volet Détails (celui du centre), développez la section nommée DNS Flags.

Un ensemble de messages à drapeaux apparaît. Ces messages sont vrais lorsque le drapeau correspondant à la valeur 1.

Répondez à la question suivante : quel drapeau DNS est-il fixé à 1 et non à 0?

Fermez le Moniteur réseau. Nenregistrez pas la capture et ne choisissez pas denregistrer une quelconque des entrées dans la base de données.

Ouvrez la console DNS. Si celle-ci est déjà ouverte, fermez-la et ouvrez-la à nouveau.

Dans larborescence de la console, sélectionnez licône ORDINATEUR1.

Dans le menu Affichage, sélectionnez Affichage détaillé. Un nouveau dossier nommé Recherches mises en cache apparaît dans larborescence de la console.

Développez le dossier Recherches mises en cache, puis développez le dossier racine(.). Dans celui-ci, parcourez les sous-dossiers pour localiser lenregistrement CNAME HYPERLINK "http://www.windowsupdate.com" www.windowsupdate.com. Ordinateur1 a fait appel à la récursivité pour répondre à la requête de Ordinateur2. Le service serveur DNS a ensuite mis en cache les enregistrements renvoyés en réponse à la requête.

Fermez les sessions sur Ordinateur1 et Ordinateur2.

Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « Questions et réponses » à la fin de ce chapitre.

Depuis votre ordinateur client1, vous découvrez quil est impossible deffectuer un ping par nom vers un autre ordinateur nommé client2.lucernepublishing.com, alors que cest possible par son adresse IP. Vous constatez quil nexiste aucun enregistrement de ressource A pour client2.lucernepuhlishing.com dans les fichiers de zone du serveur DNS, si bien que vous en créez un manuellement. Que devez-vous faire avant de pouvoir effectuer avec succès un ping depuis client1 vers client2.lucernepuhlishing.com daprès son nom ?

Comment pouvez-vous configurer un serveur autonome nomme Bing1 pour quil enregistre dynamiquement un enregistrement de ressource A dans une zone humongousinsurance.com sans affecter de suffixe DNS principal à lordinateur ? Il est supposé que la zone humongousinsurance.com est configurée pour accepter les mises à jour dynamiques.

Résumé de la leçon

Le suffixe DNS principal est le suffixe qui, ajouté au nom dhôte du client, forme le nom complet de lordinateur.

Lorsquun suffixe DNS spécifique à la connexion est ajouté à un nom DNS dordinateur ou dhôte, un FQDN est affecté à un adaptateur spécifique de lordinateur. Ce suffixe peut être configuré dans longlet DNS de la boîte de dialogue Paramètres TCP/IP avancés.

Lors dune requête pour un nom non qualifié, le service client DNS ajoute dabord par défaut le suffixe DNS principal au nom non qualifié, puis soumet une requête pour ce nom. Si cette stratégie échoue, le service client DNS ajoute alors au nom un éventuel suffixe spécifique à la connexion et soumet cette nouvelle requête. Si cette stratégie également, le service client DNS ajoute alors au nom le suffixe parent suffixe DNS principal et soumet cette requête finale.

Par défaut, les clients DNS exécutant Windows 2000, Windows XP ou Windows Server 2003 tentent denregistrer et de mettre à jour dynamiquement leurs enregistrements de ressource dans DNS. Les clients possédant une adresse IP statique tentent de mettre à jour leurs enregistrements de ressource A et PTR. Les clients possédant adresse IP affectée via DHCP ne tentent de mettre à jour que leurs enregistrements de ressource A, la mise à jour des enregistrements de ressource PTR étant effectuée par le serveur DHCP. Pour forcer un client DNS à tenter un enregistrement dynamique, servez-vous de la commande Ipconfig /registerdns ou redémarrez lordinateur.

Pour examiner le cache client DNS, entrez Ipconfig /displaydns à linvite de commandes. Pour vider le cache client DNS, entrez Ipconfig /flushdns à linvite de commandes.

Étude de cas

Vous avez été embauché comme consultant par Northwind Traders, dont le siège se trouve à Burlington (Vermont). Northwind Traders a fusionné avec Adventure Works, dont le siège se trouve à Caribou (Maine). Chacun de ces sièges possède un réseau hébergeant une zone intégrée à Active Directry. Les deux réseaux sont connectés par une ligne dédiée 128 Kbps.

La Figure 4-16 présente la portion intéressante de linter-réseau.

Figure 4-16 Réseaux Northwind Traders et Adventure Works

Parmi les serveurs montrés Figure 4-16, lesquels se comportent-ils comme des serveurs DNS et pourquoi?

Les utilisateurs des deux établissements signalent quils ne peuvent résoudre les noms dordinateur de lautre établissement. Quel type de serveur DNS pouvez-vous déployer à chaque emplacement pour remédier à la situation?

Northwind Traders souhaite ouvrir un nouveau bureau à Burlington, toutefois dépourvu de toute zone. Les utilisateurs de ce bureau secondaire devront employer intensivement lInternet dans un but mercatique et de recherche. Que pouvez-vous faire pour améliorer la résolution de noms DNS pour les utilisateurs de ce bureau secondaire?

Laboratoire de dépannage

Dans lexercice suivant, vous dépannez la résolution de noms sur Ordinateur1 et Ordinateur2.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Ouvrez une invite de commandes et entrez la commande nbtstat R.

A linvite de commandes, entrez la commande ping ordinateur2. La tentative de ping réussit.

Servez-vous de la procédure nommée « HYPERLINK \l "_Toc76410936" Désactivation de la résolution de noms WINS/NetBIOS PAGEREF _Toc76410936 \h Erreur ! Signet non défini.» de la Leçon 1 pour désactiver NetBIOS pour la connexion au réseau local sur lOrdinateur1.

Ouvrez une invite de commandes et tapez la commande nbtstat R.

À linvite de commandes, entrez la commande ping ordinateur2.

À linvite de commandes, entrez ping ordinateur2. La tentative de ping échoue.

À linvite de commandes, entrez ping ordinateur2.domain1.local. La tentative de ping échoue.

Répondez à la question suivante sachant que le serveur DNS est configuré sur Ordinateur1. pourquoi êtes-vous incapable «effectuer un ping vers ordinateur2.domain1.local?

Ouvrez une nouvelle invite de commandes en cliquant sur Démarrer, en pointant vers Tous les programmes, en pointant vers Outils de support de Windows, puis en cliquant sur Invite de commandes. À linvite de commandes des outils de support, entrez dnscmd . /Config ..AllZones /AllowUpdate 1.

Cette commande active les mises à jour dynamiques sur toutes les zones hébergées par le serveur DNS local.

Ouvrez une session sur Ordinateur2 en tant quadministrateur

Sur Ordinateur2, dans longlet DNS de la boîte de dialogue Paramètres TCP/IP avancés pour la connexion au réseau local, sélectionnez la case à cocher Utiliser le suffixe DNS de cette connexion pour lenregistrement DNS. Cliquez deux fois sur OK, puis sur Fermer

Ouvrez une nouvelle invite de commandes sur Ordinateur2 et entrez ipconfig /registerdns.

Repassez sur Ordinateur1, ouvrez une nouvelle invite de commandes et entrez ping ordinateur2.

Le ping échoue de nouveau, le service DNS local ayant mis en cache la réponse négative de la requête précédente, vous devez vider le cache avant deffectuer avec succès un ping.

À linvite de commandes, tapez ipconfig /flushdns.

À linvite de commandes sur Ordinateur1, tapez ping ordinateur2. Le ping réussit.

Réactivez NetBIOS pour la connexion au réseau local sur lOrdinateur1.

Fermez les sessions sur Ordinateur1 et Ordinateur2.
Résumé du chapitre

Il existe deux types de systèmes de dénomination dordinateurs dans les réseaux Windows Server 2003 : DNS et NetBIOS. Pour résoudre des noms dordinateur, le service client DNS de Windows Server 2003 tente toujours une résolution de noms DNS avant une résolution de noms NetBIOS.

Les noms DNS et le protocole DNS sont indispensables pour les domaines Active Directory et pour la compatibilité avec lInternet ou les intranets. Les noms dhôtes DNS ne peuvent dépasser 63 octets.

Lespace de noms DNS est hiérarchique et fondé sur une unique racine pouvant comporter un nombre quelconque de sous-domaines. Un FQDN est un nom dhôte DNS de cet espace de noms indiquant lemplacement de lhôte relativement à la racine de larborescence du domaine DNS. Un exemple de FQDN est host1.subdomain.microsoft.com.

Une zone DNS est une portion contiguë dun espace de noms pour lequel un serveur fait autorité. Un serveur peut faire autorité pour une ou plusieurs zones, une zone pouvant renfermer un ou plusieurs domaines contigus. Un serveur DNS fait autorité pour une zone quil héberge, comme serveur DNS principal ou secondaire. Chaque zone DNS contient les enregistrements de ressource dont elle a besoin pour ré&pondre aux requêtes concernant sa portion de lespace de noms DNS.

Le service client DNS (ou solveur, ou service de résolution) tente dabord de résoudre les noms dordinateur à laide des informations mises en cache localement. En cas déchec, le solveur interroge un serveur DNS. Si ce dernier ne peut résoudre le nom à laide de ses enregistrements faisant autorité ou depuis son cache local, il a recours à la récursivité pour résoudre le nom pour le compte du client.

La récursivité est le processus selon lequel un serveur DNS émet une requête vers dautres serveurs pour le compte dun client DNS. Pour quun serveur DNS utilise correctement la récursivité, il doit savoir où commencer à rechercher les noms de lespace de noms du domaine DNS. Ces informations sont fournies par le fichier dindications de racine, Cache.dns, stocké sur lordinateur serveur.

Un serveur en cache seul transmet toutes les requêtes vers dautres serveurs DNS et nhéberge pas de zones. II met toutefois en cache les réponses reçues dautres serveurs DNS et peut de ce fait améliorer la résolution de nom pour un réseau nhébergeant pas de zone.

Une nouvelle zone ne contient que deux enregistrement de ressource: lenregistrement SOA correspondant à la zone et un enregistrement NS correspondant au serveur DNS local créé pour cette zone. Après avoir créer une zone, vous devez lui ajouter dautres enregistrements de ressource. Les enregistrements de ressource à ajouter les plus fréquents sont de type hôte (A), alias (CNAME), MX, SRV et PTR.

Par défaut, les clients DNS exécutant Windows 2000, Windows XP ou Windows Server 2003 tentent denregistrer et de mettre à jour dynamiquement leurs enregistrements de ressource dans DNS. Les clients possédant une adresse IP statique tentent de mettre à jour les enregistrements de ressource A et PTR. Les clients dont ladresse IP a été affectée par DHCP ne tentent de mettre à jour que les enregistrements de ressource A, la mise à jour des enregistrements de ressource PTR étant effectuée par le serveur DHCP. Pour forcer un client DNS à tenter un enregistrement dynamique, servez-vous de la commande Ipconfig /registerdns ou redémarrez lordinateur.

Pour examiner le cache du client DNS, tapez ipconfig /displaydns à linvite de commandes. Pour vider le cache client DNS, tapez ipconfig /flushdns à linvite de commandes.
À propos de lexamen

Avant de vous présenter à lexamen, révisez les termes et points clés présentés ci-dessous pour vous aider à identifier les thèmes essentiels.
Points clés

Connaître la séquence complète des étapes suivies lorsque le service client DNS tente de résoudre un nom. Comprendre comment le cache client DNS, le cache serveur DNS et la récursivité sintègrent dans ce processus.

Comprendre la fonction des enregistrements de ressource A, PTR, CNAME, MX et SRV.

Connaître la différence entre zone principale, secondaire et de stub.

Comprendre la fonction du fichier Cache.dns.

Savoir quand employer Nbtstat c, Nbtstat R. Ipconfig /displaydns, Ipconfig /flushdns et Ipconfig /registerdns.

Comprendre lintérêt des serveurs en cache seul.

Comprendre quels clients DNS peuvent tenter des mises à jour dynamiques dans DNS. Comprendre les différents enregistrements que les clients DHCP et non-DHCP tentent de mettre à jour par défaut. Enfin, savoir quels paramètres de la boîte de dialogue Paramètres TCP/IP avancés affecte le comportement de la mise à jour dynamique.

Termes clés

NetBIOS Une API employé dans les anciens réseaux Microsoft permettant aux ordinateurs de se connecter et de communiquer. La dénomination et la résolution de noms sont deux des nombreux services proposés par NetBIOS.

FQDN Nom de domaine pleinement qualifié. Un nom DNS identifiant de façon unique un ordinateur sur le réseau. Par exemple, un FQDN pourrait être client1.microsoft.com.

Récursivité Le processus selon lequel un serveur DNS émet une requête vers dautres serveurs DNS pour résoudre un nom pour le compte dun client DNS.

Requête récursive Une requête dun client nécessitant que le serveur fasse appel à la récursivité.

Zone de stub Une copie dune zone ne contenant que les enregistrements de ressource nécessaire à lidentification des serveurs DNS faisant autorité pour la zone maîtresse.

Questions et réponses

Exercice pratique de la leçon 1
Page 158

Examinez les protocoles énumérés dans cette nouvelle capture réseau. Dans le Moniteur réseau, NBT représente NetBT et DNS représente le système DNS (Domain Name System). Selon le protocole que vous voyez dans la capture et la description des trames, déterminez si cest la résolution de nom NetBIOS ou DNS qui a servi à résoudre le nom dordinateur Ordinateur2. Pourquoi est-ce cette méthode qui a été employée et non lautre? Écrivez votre réponse dans lespace laissé libre à cet effet.

La résolution de nom NetBIOS a été employée parce que, bien que les réseaux Windows Server 2003 se servent de la résolution de noms DNS lorsque ce service est disponible, aucun serveur DNS na encore été configuré sur ce réseau. Dans un tel cas, les réseaux Windows Server 2003 emploient le protocole NetBT et la résolution de noms NetBIOS pour traduire les noms dordinateurs en adresse IP.
Révision de la leçon 1
Page 158

Le réseau que vous administrez comprend 10 ordinateurs exécutant Windows Server 2003 et 2000 ordinateurs exécutant Microsoft Windows XP Professionnel. Vous avez déployé sur le réseau un serveur DNS nommé DNS1 pour héberger la zone lucernepublishing.com. Vous avez également configuré la zone pour permettre les mises à jour dynamiques. Un serveur DHCP est responsable de la configuration IP de tous ordinateurs exécutant Windows XP Professionnel. Lun dentre eux c1.lucernepublishing.com, ne peut être contacté que par son adresse IP et non par son nom. Parmi les actions suivantes, quallez-vous retenir pour réenregistrer cet ordinateur dans DNS (choisissez tout ce qui e pertinent)?

Exécuter la commande Nbtstat -R.
Exécuter la commande Ipconfig /registerdns.
Fermer et redémarrer c1.lucernepublishing.com.
Exécuter la commande Nbtstat /registerdns.

b,c

Parmi les noms suivants, lequel est un nom dordinateur NetBIOS légal?

Host1.microsoft.com
hosti_local
host10_microsoft
host1-microsoft

b

Quelle commande employez-vous pour vider le cache de noms local NetBIOS?

Nbtstat -R
Révision de la leçon 2

Page 158

Sur le réseau que vous administrez, vous possédez un serveur DNS principal faisant autorité pour la zone lucernepublishing.com. Vous avez également déployé deux serveurs en cache seul transmettant toutes les - requêtes vers le serveur principal. Si la majorité des requêtes de noms dirigées vers les serveurs en cache seul concernent des noms du domaine lucernepublishing.com, quel paramètre pouvez-vous modifier sur le serveur DNS principal pour diminuer le trafic de requêtes DNS entre les serveurs en cache seul et le serveur principal?

Vous pouvez augmenter la valeur TTL des enregistrements de ressources au niveau zone.

Quel est le domaine racine dun espace de noms contenant le FQDN first.domain1.local?

Aucun, lespace de noms est dépourvu de domaine racine.
Domain1.
local.
«» (chaîne vide).

d

Quelle étape le solveur doit-il tout dabord accomplir pour résoudre un nom DNS?

II vérifie son cache local.
II lit le fichier Hosts.
II effectue une monodiffusion sur le sous-réseau local.
II émet une requête vers le serveur DNS local.

a

Les ordinateurs de votre réseau sont allumés pour la première fois après une interruption dalimentation. Lorsquun client DNS soumet une première requête récursive vers un serveur local DNS pour résoudre un nom Internet pour lequel le serveur nest pas une autorité, quelle étape survient la première?

Le client DNS résout le nom depuis son cache.
Le serveur DNS résout le nom depuis son cache.
Le serveur DNS transmet la requête récursive à un serveur DNS de niveau supérieur.
Le serveur DNS contacte des serveurs racine configurés dans le fichier Cache.dns.

d
Leçon 4, Exercice pratique1, Exercice 2
Page 206

En quoi la modification de suffixe est-elle visible clans la sortie de la commande Ping?

Avant la réception des réponses aux demandes décho ICMP(Internet Control Message Protocol), la sortie de Ping indique « Envoi dune requête Ping sur lordinateur1.domain1.local [192.168.0.1] avec 32 octets de données : »
Leçon 4, Exercice pratique2, Exercice 2
Page 208

Répondez à la question suivante : quel drapeau DNS est-il fixé à 1 et non à 0?

Recursive Query Desired. Ce drapeau demande au service DNS deffectuer si nécessaire une requête récursive pour répondre à la requête.

Révision de la leçon

Depuis votre ordinateur client1, vous découvrez quil est impossible deffectuer un ping par nom vers un autre ordinateur nommé client2.lucernepublishing.com, alors que cest possible par son adresse IP. Vous constatez quil nexiste aucun enregistrement de ressource A pour client2.lucernepuhlishing.com dans les fichiers de zone du serveur DNS, si bien que vous en créez un manuellement. Que devez-vous faire avant de pouvoir effectuer avec succès un ping depuis client1 vers client2.lucernepuhlishing.com daprès son nom ?

Exécutez la commande Ipconfig /flushdns sur le client1 pour éliminer la réponse négative du cache.

Comment pouvez-vous configurer un serveur autonome nomme Bing1 pour quil enregistre dynamiquement un enregistrement de ressource A dans une zone humongousinsurance.com sans affecter de suffixe DNS principal à lordinateur ? Il est supposé que la zone humongousinsurance.com est configurée pour accepter les mises à jour dynamiques.

Dans la boîte de dialogue Paramètres TCP/IP avancés, configurez un suffixe DNS spécifique à la connexion de humongousinsurance.com, puis sélectionnez loption permettant demployer ce suffixe de connexion dans lenregistrement DNS. Enfin, spécifiez ladresse IP du serveur DNS principal hébergeant la zone humongousinsurance.com comme serveur DNS préféré de Bing1.

Étude de cas

Vous avez été embauché comme consultant par Northwind Traders, dont le siège se trouve à Burlington (Vermont). Northwind Traders a fusionné avec Adventure Works, dont le siège se trouve à Caribou (Maine). Chacun de ces sièges possède un réseau hébergeant une zone intégrée à Active Directry. Les deux réseaux sont connectés par une ligne dédiée 128 Kbps.

La Figure 4-16 présente la portion intéressante de linter-réseau.

Figure 4-16 Réseaux Northwind Traders et Adventure Works

Parmi les serveurs montrés Figure 4-16, lesquels se comportent-ils comme des serveurs DNS et pourquoi?

DC1 et DC2. Les zones intégrées à Active Directory doivent être hébergées sur des contrôleurs de domaines.

Les utilisateurs des deux établissements signalent quils ne peuvent résoudre les noms dordinateur de lautre établissement. Quel type de serveur DNS pouvez-vous déployer à chaque emplacement pour remédier à la situation?

Vous pouvez déployer un serveur secondaire sur chaque emplacement, renfermant les informations faisant autorité pour la zone distante intégrée à Active Directory.

Northwind Traders souhaite ouvrir un nouveau bureau à Burlington, toutefois dépourvu de toute zone. Les utilisateurs de ce bureau secondaire devront employer intensivement lInternet dans un but mercatique et de recherche. Que pouvez-vous faire pour améliorer la résolution de noms DNS pour les utilisateurs de ce bureau secondaire?

Vous pouvez déployer un serveur en cache seul pour améliorer lefficacité de la résolution de nom DNS.

Laboratoire de dépannage

Répondez à la question suivante sachant que le serveur DNS est configuré sur Ordinateur1. pourquoi êtes-vous incapable «effectuer un ping vers ordinateur2.domain1.local?

Il nexiste aucun enregistrement de ressource A pour Ordinateur2 dans la zone domain1.local.

CHAPITRE 5 Mise en oeuvre dune infrastructure DNS

Objectif de ce chapitre

Configuration dun serveur DNS
Configuration des options de zone DNS
Configuration de la redirection DNS
Gestion des paramètres de zone DNS
Gestion des options du serveur DNS

Importance de ce chapitre

Le système DNS (Domain Name System) est trop vital dans une infrastructure pour être simplement déployé, puis oublié sur un unique serveur. Pour les entreprises de taille moyenne à grande. DNS doit être distribué sur le réseau et régulièrement mis à jour. Les administrateurs réseau sont responsables de la maintenance de cette infrastructure, un travail nécessitant de comprendre toutes les nuances de fonctionnalités comme les transferts de zone, les délégations, les zones de stub, les listes circulaires (round robin) et le tri de masques de réseau. En raison de son importance, ce chapitre est lun des plus intensivement contrôlé au cours de lexamen 70-291.

Ce chapitre présente les principales options de configuration des zones et des serveurs DNS, pour la plupart disponibles dans les boîtes de dialogue des propriétés de serveur et de zone. Il expose en outre comment et pourquoi mettre en oeuvre des délégations et des zones de stub dans les réseaux Windows Server 2003.

Dans ce chapitre

Leçon 1: Configuration des propriétés dun serveur DNS
Leçon 2 : Configuration des propriétés et transferts de zone
Leçon 3 Configuration des propriétés avancées dun serveur DNS
Leçon 4 : Création de délégations de zone
Leçon 5 : Déploiement de zones de stub
Avant de commencer

Pour travailler avec ce chapitre, vous devez préalablement avoir:

Deux ordinateurs physiquement reliés en réseau, nommés Ordinateur1 et Ordinateur2, exécutant Windows Server 2003. Ordinateur1 doit posséder une adresse statique de 192.168.0.1/24, et Ordinateur2 doit être, configuré pour obtenir automatiquement une adresse.

Affecté à Ordinateur2 une configuration alternative dadresse de 192.168.0.2/24. Ordinateur1 et Ordinateur2 doivent être configurés avec un suffixe DNS principal de domain1.local.

Une ligne téléphonique et un compte daccès à distance Internet auprès dun fournisseur daccès Internet (FAI). Si vous choisissez dy substituer une connexion Internet dédiée, vous devez renommer cette connexion « MonFAI ». Il peut également être nécessaire de procéder à quelques ajustements lors des exercices.

Installé le sous-composant Outils du Moniteur de réseau du composant Outils de gestion et danalyse Windows sur Ordinateur1. Un fichier de capture du Moniteur de réseau nommé Résolution de noms1 doit avoir été enregistré dans le dossier Mes captures de Mes Documents sur Ordinateur1. Cette capture, créée avant le déploiement de DNS sur le réseau, montre le trafic échangé sur celui-ci après lexécution de la commande Ping ordinateur2 sur Ordinateur1.

Installé le sous-composant Système DNS (Domain Name System) des Services de mise en réseau. Une fois installé, le serveur DNS doit héberger une zone principale de recherche directe nommée domain1.local une zone principale de recherche inversée correspondant à lespace adresse 192.168.0.0/24. Les deux zones sont configurées pour accepter des mises à jour sécurisées et non sécurisées. Des enregistrements d ressource hôte (A) pour Ordinateur1 et Ordinateur2 doivent exister dans la zone domain1.local.

Installé les Outils de support Windows sur Ordinateur1.

Créé une connexion par numérotation vers lInternet nommée MonFAI sur Ordinateur1, partagée grâce à ICS (Internet Connection Sharing Ordinateur2 doit recevoir une nouvelle configuration IP (Internet Pro col) de Ordinateur1 après lactivation de ICS. Si vous employez une connexion Internet dédiée au lieu dune connexion par numérotation, vous devez appliquer cette exigence à la connexion dédiée.

Sélectionné loption Employer le suffixe DNS de cette connexion pour lenregistrement DNS dans longlet DNS de la boîte de dialogue Paramètres TCP/IP avancés pour la connexion au réseau local de Ordinateur2.,
Leçon 1: Configuration des propriétés dun serveur DNS

Après avoir installé un serveur DNS, il peut être nécessaire de modifier ses paramètres par défaut pour lajuster aux besoins de votre réseau. Dans cette leçon, vous apprendrez les différents réglages quil est possible de configurer grâce à la boîte de dialogue des propriétés du serveur de la console DNS. Les réglages configurés dans cette boîte de dialogue ne sappliquent pas à une zone particulière, mais au serveur en général.

À la fin de cette leçon, vous saurez:

Configurer un serveur DNS pour quil guette les requêtes sur des adaptateurs réseau sélectionnés
Configurer un serveur DNS pour quil redirige tout ou partie des requêtes DNS vers un serveur DNS de niveau supérieur
Déterminer quand il est nécessaire de modifier les indications de racine

Durée estimée : 45 minutes

Exploration des onglets des propriétés dun serveur DNS

La boîte de dialogue des propriétés du serveur DNS permet de configurer des réglages sappliquant au serveur DNS et à toutes les zones quil héberge. Vous pouvez accéder à cette boîte de dialogue depuis larborescence de la console DNS en effectuant un clic droit sur le serveur DNS à configurer et en sélectionnant Propriétés (voir Figure 5-1).

Figure 5.1 Accéder à la boîte de dialogue Propriétés du serveur DNS

La boîte de dialogue Propriétés du serveur DNS contient huit onglets. présen tés dans ce qui suit :
Onglet Interfaces

Longlet Interfaces permet de spécifier la ou les adresses IP de lordinateur local devant guetter les requêtes DNS. Par exemple, si votre serveur possède des hôtes multiples et possède une adresse IP pour le réseau local et une autre adresse IP connectée à lInternet, vous pouvez empêcher le serveur DNS de répondre à des requêtes DNS extérieures au réseau local. Pour ce faire, spécifiez que le serveur DNS nécoute que sur son adresse IP local (voir Figure 5-2).

Par défaut, le réglage de cet onglet spécifie que le serveur DNS écoute sur toutes les adresses IP associées à cet ordinateur local.

Figure 5-2 Onglet Interfaces
Onglet Redirecteurs

Longlet Redirecteurs permet de faire suivre des requêtes DNS reçues par le serveur DNS local vers des serveurs DNS situés en amont, nommés redirecteurs. Dans cet onglet, vous pouvez spécifier les adresses IP des redirecteurs damont et les noms de domaine de requêtes à faire suivre. Par exemple, dans la Figure 5-3, toutes les requêtes reçues pour le domaine lucernepublishing.com sont transmises au serveur DNS 207,46.132.23.

Lorsque, après avoir reçu et transmis une requête dun client interne, le serveur local transmetteur reçoit une réponse de requête depuis 20.46. l32.23, il transmet alors cette réponse de requête au client demandeur original. Le processus de transmission de requêtes ainsi sélectionnées porte le nom de transfert conditionnel.

Figure 5-3 Onglet Redirecteurs

Dans tous les cas, un serveur DNS configuré pour la redirection na recours aux redirecteurs quaprès avoir déterminé quil ne pouvait résoudre la requête à laide de ses données faisant autorité (données de zone principale ou secondaire) ou de ses données mises en cache.

Astuce Pour spécifier le délai maximal dattente du serveur, sur onglet Redi recteurs, entrez une valeur dans la zone de texte Délai dexpiration des requêtes de redirection. La valeur par défaut est 5.

Emploi des redirecteurs Dans certains cas, les administrateurs réseau peuvent préférer que les serveurs DNS ne communiquent pas directement avec des serveurs externes. Par exemple, si votre organisation est connectée à lInternet par le biais dun lien WAN lent, vous pouvez optimiser la performance de la résolution de noms en faisant passer toutes les requêtes DNS par un redirecteur (voir Figure 5-4). Grâce à cette méthode, le cache du serveur DNS redirecteur dispose dun potentiel maximum pour croître et réduire la nécessité de requêtes externes.

Figure 5-4 Emploi de la redirection pour améliorer la mise en cache
Une autre utilisation classique de la redirection est de permettre aux clients et serveurs DNS situés derrière un pare-feu de résoudre en toute sécurité des noms externes. Lorsquun client ou un serveur DNS interne communique avec des serveurs DNS externes parle biais de requêtes itératives, vous devez normalement laisser les ports employés pour les communications DNS avec tous les serveurs externes librement ouverts au monde extérieur à travers le pare-feu. Cependant, en configurant un serveur DNS situé derrière le pare-feu pour quil redirige les requêtes externes vers un unique redirecteurs DNS extérieur au pare-feu, puis en nouvrant les ports que vers ce redirecteur vous pouvez résoudre des noms sans exposer votre réseau aux serveurs extérieurs (voir Figure 5-5).

Figure 5-5 Itération sécurisée à laide de redirecteurs

Désactivation de la récursivité Longlet Redirecteurs permet de désactiver la récursivité sur nimporte quelle requête, spécifiée par domaine, configurée pour être redirigée vers un serveur damont. Lorsque la récursivité nest pas désactivée (le réglage par défaut), le serveur DNS local tente de résoudre un nom de domaine pleinement qualifié (FQDN) en cas déchec du redirecteur. Cela est préférable si vous voulez optimiser les réglages en vue dune tolérance aux pannes en cas de défaillance du redirecteur damont, la résolution de noms peut seffectuer sur le serveur DNS local. Toutefois, lorsque avec ce réglage par défaut le redirecteur reçoit la requête transmise sans pouvoir la résoudre, la récursivité ultérieure sur le serveur DNS locale est généralement redondante et retarde un inévitable message de réponse déchec de la requête. La désactivation de la récursivité sur les requêtes pour lesquelles la redirection est activée optimise de ce fait la vitesse des réponses négatives, aux dépens de la tolérance aux pannes. Lorsque les redirecteurs sont ainsi configuré en combinaison avec la désactivation de la récursivité, le serveur DNS local porte le nom de serveur esclave parce quil est alors totalement dépendant du redirecteur pour les requêtes quil ne peut résoudre localement.

Remarque : Ne confondez pas lemploi du terme serveur esclave avec le terme zone esclave, employée dans certaines mises en oeuvre de DNS. Avec certains serveurs DNS non-Microsoft, comme BIND (Berkeley Internet Name Domain), les zones principales sont appelées zones maîtresses et les zone secondaires zones esclaves.
Onglet Avancé

Longlet Avancé (voir Figure 5-6) permet dactiver, de désactiver et de configurer certaines options et fonctionnalités du serveur DNS telle que la récursivité, les listes circulaires (round robin), le nettoyage automatique et le tri de masques réseau. Pour en savoir plus sur les fonctionnalités configurables dans cet onglet, reportez-vous à la Leçon 3 de ce chapitre. « HYPERLINK \l "_Leçon_3_:" Configuration des propriétés avancées du serveur DNS ».

Remarque Alors que longlet Redirecteurs permet de désactiver la récursivité de requêtes sélectionnées concernant des domaines employés avec des redirecteurs, longlet Avancé permet de désactiver la récursivité pour toutes les requêtes reçues par le serveur DNS local.

Remarque Si vous désactivez la récursivité sur un serveur DNS à laide de longlet Avancé, vous ne pouvez recourir aux redirecteurs sur ce serveur:

- longlet Redirecteurs devient inactif.

Figure 5-6 Onglet Avancé

Onglet Indications de racine

Longlet Indications de racine contient une copie des informations au fichier WINDOWS\System32\Dns\Cache.dns. Pour des serveurs DNS répondant à des requêtes sur des noms Internet, ces informations ne doivent pas être modifiées. Toutefois, lorsque vous configurez un serveur DNS racine (nommé « . ») pour un réseau privé, vous devez supprimer la totalité du fichier Cache.dns. Lorsque votre serveur DNS héberge un serveur racine, longlet Indications de racine devient inaccessible.

En outre, si vous configurez un serveur DNS dans un grand espace de noms privé, vous pouvez vous servir de cet onglet pour supprimer les serveurs racine Internet et spécifier à la place les serveurs racine de votre réseau.

Remarque La liste des serveurs racine Internet est légèrement modifiée au fil des ans. Comme le fichier Cache.dns contient déjà un grand nombre de serveurs racine à contacter, il est superflu de modifier le fichier dindications de racine dès quune modification survient. Vous pouvez toutefois choisir de modifier ce fichier si vous apprenez la disponibilité de nouveaux serveurs racine. Au moment de lécriture de ce livre, la dernière modification de la liste des serveurs racine datait du 5 novembre 2002. Vous pouvez télécharger la dernière version du fichier Cache depuis le site InterNlC à ladresse HYPERLINK "ftp://rs.internic.net/domain/named.cache" ftp://rs.internic.net/domain/named.cache.

La Figure 5-7 présente longlet Indications de racine.

Figure 5-7 Onglet Indications de racine

Onglet Enregistrement de débogage

Longlet Enregistrement de débogage permet de dépanner le serveur DNS en mettant en journal les paquets envoyés et reçus. La mise en journal de tous ces paquets étant gourmande en ressources, cet onglet permet de définir les paquets à mettre en journal, daprès le protocole de transport, ladresse IP source, la direction du paquet, son type et son contenu. Pour plus dinformations sur ce dispositif, reportez-vous à la Leçon 1 du Chapitre 6 « HYPERLINK \l "_Leçon_1_:" Surveillance et dépannage de DNS » La Figure 5-8 présente longlet Enregistrement de débogage.

Figure 5-8 Onglet Enregistrement de débogage

Onglet Enregistrement des événements

Vous pouvez accéder au journal dévénements DNS à laide du noeud Observateur dévénements de la console DNS. Longlet Enregistrement des événements (voir Figure 5-9), permet de restreindre les événements stockés dans le journal dévénements DNS aux seules erreurs ou aux erreurs et aux avertissements. Il permet également de désactiver la mise en journal DNS. En ce qui concerne les dispositifs plus puissants relatifs au filtrage dévénements DNS, servez-vous de longlet Filtrage de la boîte de dialogue Propriétés des événements DNS. Vous pouvez ouvrir cette boîte de dialogue en sélectionnant Observateur dévénements dans le volet de gauche de la console DNS, en effectuant un clic droit sur Événements DNS dans le volet de droite, puis en sélectionnant Propriétés.

F 5-9 Onglet Enregistrement des événements

Onglet Analyse

Longlet Analyse permet de contrôler les fonctionnalités fondamentales de DNS à laide de deux tests simples. Le premier test est une simple requête vers le serveur DNS local. Pour leffectuer avec succès, le serveur doit être capable de répondre à des requêtes directes et inverses ciblées sur lui-même. Le second test est une requête récursive vers les serveurs DNS racine. Pour leffectuer avec succès, 1ordinateur serveur DNS doit être capable de se connecter aux serveurs racine spécifiés sur longlet Indications de racine.

Longlet Analyse (voir Figure 5-10) permet également de programmer ces tests pour une exécution périodique. Leurs résultats, à la suite dune exécution manuelle ou automatique, apparaissent dans la zone Résultats de test de longlet.

Figure 5-10 Onglet Analyse
Onglet Sécurité

Longlet Sécurité (voir Figure 5-11) nest disponible que lorsque le serveur DNS est également un contrôleur de domaine. Cet onglet permet de contrôler la liste des utilisateurs auxquels sont accordés les droits de voir, de configurer et de modifier le serveur DNS et ses zones. En cliquant sur le bouton Paramètres avancés, vous pouvez affiner davantage les réglages relatifs aux permissions du serveur DNS.

Figure 5-11 Onglet Sécurité
Exercice pratique 1: Comparaison du trafic réseau des résolutions de noms NetBIOS et DNS

Dans cet exercice, vous effectuez une capture du trafic de résolution de noms et vous comparez le résultat à la capture similaire effectuée dans la Leçon 1 du Chapitre 4, « HYPERLINK \l "_Exercice_pratique_:" Configuration de clients et de serveurs DNS »

Exercice : Capture du trafic de résolution de noms

Dans cet exercice, vous effectuez une capture Moniteur de réseau du trafic de résolution de noms de Ordinateur2 et vous comparez cette capture à celle déjà enregistrée sur Ordinateur1.

Ouvrez une session sur Ordinateur2 en tant quadministrateur.

Installez le Moniteur de réseau sur Ordinateur2, comme lexplique la Leçon 1 du Chapitre 3, « HYPERLINK "Chap1-3_Reseaux-TCP-IP.doc" \l "Installer_Moniteur_reseau" Surveillance et dépannage de connexions TCP/IP ».

Sur Ordinateur2, ouvrez le Moniteur de réseau.

Si une boîte de message apparaît, demandant que vous spécifiiez un réseau sur lequel capturer les données, cliquez sur OK. La fenêtre Sélectionner un réseau souvre.

Sélectionnez la carte associée à votre réseau local (LAN), puis cliquez sur OK.

Cliquez sur le bouton Démarrer la capture pour commencer un suivi du trafic réseau.

Ouvrez une invite de commandes.

Les deux étapes suivantes imposent à Ordinateur2 de contacter Ordinateur1 pendant le processus de résolution de noms.

Sur linvite, tapez nbtstat R, puis appuyez sur Entrée. Cette étape vide le cache de toute correspondance de nom NetBIOS.

Sur linvite, tapez ipconfig /flushdns, puis appuyez sur Entrée. Cette étape vide le cache de correspondance de nom de lhôte (DNS).

Sur linvite de commande, tapez ping ordinateur1, puis appuyez sur Entrée.

Le ping réussit. Remarquez que, dans cette sortie, domain1.local a été ajouté à «ordinateur1» dans la requête originale.

Une fois la sortie de Ping terminée, rebasculez vers le Moniteur de réseau, puis cliquez sur Arrêter et afficher la capture. La fenêtre de la visionneuse de trames souvre dans le Moniteur de réseau, affichant les trames capturées.

Dans le menu Fichier, sélectionnez Enregistrer sous pour ouvrir la boîte de dialogue Enregistrer sous.

Dans la zone de texte Nom du fichier, tapez Résolution de noms 2.

Sur Ordinateur2, enregistrez le fichier dans le dossier Mes captures.

Comparez le trafic du fichier Résolution de noms 2 à celui du fichier Résolution de noms 1 enregistré dans le dossier Mes captures de Ordinateur1. Répondez ensuite aux questions suivantes, dans les espaces réservés à cet effet.

Quelle est la différence essentielle entre les deux captures?

Quest-ce qui entraîne les différences entre les deux méthodes de résolution de noms?

Fermez toutes les fenêtres ouvertes sur Ordinateur1 et Ordiriateur2. Sil vous est demandé denregistrer un fichier quelconque, cliquez sur Non.

Fermez les sessions sur Ordinateur1 et Ordinateur2.
Exercice pratique 2 : Vérification des enregistrements de ressource SRV pour Active Directory dans DNS

Après la première installation du service Active Directory, vous devez vérifier que linstallation a créé les enregistrements de ressource demplacement de service (SRV) adéquats dans DNS. Dans cet exercice, vous installez un domaine Active Directory en promouvant Ordinateur1 au statut de contrôleur de domaine. Vous examinez alors la console DNS pour vérifier que les enregistrements de ressource SRV nécessaires au nouveau domaine Active Directory domain1.local ont été créés. Enfin, vous ajoutez Ordinateur2 au nouveau domaine.
Exercice 1: Installation de Active Directory

Dans cette première partie, vous installez Active Directory et promouvez Ordinateur1 au statut de contrôleur de domaine dans un nouveau domaine.

Ouvrez une session sur Ordinateur1 en tant quadministrateur.

Vérifiez que Ordinateur1 est déconnecté de lInternet.

Cliquez sur Démarrer, puis cliquez sur Gérer votre serveur. La page Gérer votre serveur apparaît.

Sur la page Gérer votre serveur, cliquez sur loption Ajouter ou supprimer un rôle. La page Étapes préliminaires de lAssistant Configurer votre serveur apparaît.

Lisez le texte figurant sur la page, puis cliquez sur Suivant. La page Rôle du serveur apparaît.

Dans la liste Rôle du serveur, sélectionnez Contrôleur de domaine (Active Directory), puis cliquez sur Suivant. La page Aperçu des sélections apparaît.

Lisez le texte figurant sur la page, puis cliquez sur Suivant.
La page Bienvenue dans lAssistant Installation de Active Directory apparaît.

Cliquez sur Suivant. La page Compatibilité du système dexploitation apparaît.

Lisez le texte figurant sur la page, puis répondez à la question suivante dans lespace réservé à cet effet. Quelle est la restriction sappliquant aux clients exécutant Microsoft Windows 95 et Microsoft Windows NT4 SP3 ou antérieur?

Cliquez sur Suivant. La page Type de contrôleur de domaine apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Contrôleur de domaine pour un nouveau domaine. La page Création dun nouveau domaine apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Domaine dans une nouvelle forêt. La page Nouveau nom de domaine apparaît.

Dans la zone de texte Nom DNS complet pour le nouveau domaine, tapez domain1.local, puis cliquez sur Suivant. La page Nom de domaine NetBIOS apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut DOMAIN1 dans la zone de texte Nom de domaine NetBIOS. La page Dossiers de la base de données et du journal apparaît.

Cliquez sur Suivant pour accepter les sélections par défaut des zones de texte Dossier de la base de données et Dossier du journal. La page Volume système partagé apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut dans la zone de texte Emplacement du dossier. La page Diagnostics des inscriptions DNS apparaît.

Lisez les résultats du diagnostic, puis cliquez sur Suivant. La page Autorisations apparaît.

Cliquez sur Suivant pour accepter la sélection par défaut, Autorisations compatibles uniquement avec les systèmes dexploitation serveurs Windows 2000 ou Windows Server 2003.

Astuce dexamen Si vous voulez continuer à employer RAS de Windows NT 4 sur votre réseau Active Directory, vous devez sélectionner loption Autorisations compatibles avec les systèmes dexploitation serveurs antérieurs à Windows 2000. Sinon, les utilisateurs du domaine se connectant via RAS ne pourront être authentifiés. Pour ajuster ce paramètre après avoir exécuté lAssistant Installation Active Directory, ajoutez le groupe Tout le monde au groupe de sécurité daccès compatible aux versions antérieures à Windows 2000 du domaine local. Ce réglage procure au groupe Tout le monde un accès en lecture sur tous les utilisateurs et groupes du domaine. Pour lexamen, sachez que pour effectuer cela sur une invite de commandes, vous devez taper la commande net localgroup pre-windows 2000 compatible access " everyone /add.

La page Mot de passe administrateur de restauration des services dannuaire apparaît.

Dans les zones de texte Mot de passe du mode Restauration et Confirmez le mot de passe, tapez un mot de passe fort.

Ce réglage spécifie que le mot de passe que vous venez de saisir doit être employé chaque fois que vous ouvrez une session en tant quadministrateur en mode Restauration des services dannuaire.

Cliquez sur Suivant. La page Résumé apparaît.

Lisez le texte figurant sur la page, puis cliquez sur Suivant. La fenêtre Assistant Installation de Active Directory apparaît pendant linstallation de Active Directory. Une fois celle-ci terminée, la page Fin de lAssistant Installation de Active Directory apparaît.

Cliquez sur Terminer.

La boîte de dialogue Assistant Installation Active Directory apparaît, indiquant que Windows doit être redémarré afin que les modifications entrent en action.

Cliquez sur Redémarrer maintenant.
Exercice 2 : Vérification des enregistrements de ressource SRV dans DNS

Dans cette partie, vous vérifiez que les nouveaux enregistrements de ressource SRV ont été ajoutés à la zone domain1.local.

Depuis Ordinateur 1, ouvrez une session sur Domain1 en tant quadministrateur. Servez-vous du mot de passe affecté originellement au compte administrateur de Ordinateur1.

Si vous voyez la page finale de lAssistant Configurez votre serveur, indiquant que le serveur est désormais un contrôleur de domaine, cliquez sur Terminer.

Ouvrez la console DNS. Développez les noeuds ORDINATEUR1, Zones de recherche directe et Domain1.local.

Six sous-domaines figurent désormais dans Domain1.local. Ils ont été créés lors de linstallation de Active Directory.

Dans larborescence de la console DNS, naviguez jusquà découvrir un enregistrement de ressource SRV nommé _ldap._tcp .dc ._msdcs. Domain1.local. Pour ce faire, lisez chaque étiquette du nom dun enregistrement de ressource de la droite vers la gauche, en commençant par le noeud Domain1.local. Par exemple, après avoir ouvert le noeud _msdcs.domain1.local. ouvrez le noeud Dc. puis le noeud tcp. Vous voyez lenregistrement de ressource SRV de lemplacement du service _ldap dans le volet détails après avoir sélectionné le noeud _tcp (voir Figure 5-12).

Figure 5-12 Enregistrements de ressource SRV pour un contrôleur de domaine

Cet enregistrement de ressource sert à localiser les contrôleurs de domaine du domaine domain1.local. Cest lenregistrement le plus important à vérifier après linstallation de Active Directory.

Dans lArborescence de la console DNS, naviguez jusquà localiser un enregistrement de ressource SRV nommé _ldap._tcp.gc.domain1.local. Il sert à localiser les catalogues globaux de Active Directory pour le domaine domain1.local. Les enregistrements ont été créés avec succès.

Fermez la session sur Ordinateur1.
Exercice 3: Ajouter un ordinateur au nouveau domaine

Dans cet exercice, vous ajoutez Ordinateur2 au nouveau domaine.

Ouvrez une session sur Ordinateur2 en tant quadministrateur.

Dans le Panneau de configuration. double-cliquez sur Système. La boîte de dialogue Propriétés Système souvre.

Dans longlet Nom de lordinateur, cliquez sur le bouton Modifier. La boîte de dialogue Modification du nom de lordinateur souvre.

Dans la zone Membre de, sélectionnez Domaine.

Dans la zone de texte Domaine, tapez domain1.local, puis cliquez sur OK. La boîte de dialogue Modification du nom de lordinateur souvre, demandant un non dutilisateur et le mot de passe dun compte disposant du droit dajouter Ordinateur2 à Dornain1.

Dans la zone de texte Nom de lutilisateur, tapez administrateur.

Dans la zone de texte Mot de passe, tapez le mot de passe originellement affecté au compte administrateur de Ordinateur1. Ce mot de passe est désormais le mot de passe du compte administrateur de Domain1.

Cliquez sur OK. La boite de message Modification du nom de lordinateur apparaît, vous souhaitant la bienvenue dans le domaine domain1.local.

Cliquez sur OK. Une boîte de message signale que vous devez redémarrer lordinateur pour que les modifications prennent effet.

Cliquez sur OK, puis cliquez sur OK dans la boîte de dialogue Propriétés système. La boîte de message Modification des paramètres système apparaît, demandant si vous souhaitez redémarrer lordinateur maintenant.

Cliquez sur Oui pour redémarrer lordinateur. Ordinateur2 redémarre.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section «HYPERLINK \l "_Révision_de_la_3"Questions et réponses » à la fin de ce chapitre.

Comment pouvez-vous vous servir de la redirection pour améliorer la sécurité des requêtes DNS?

A laide de la boîte de dialogue Propriétés au serveur DNS, comment pouvez-vous empêcher un serveur DNS à hôtes multiples de répondre à des requêtes DNS reçues via des cartes réseau spécifiques ?

Vous administrez un réseau ne possédant quun domaine. Vous avez configuré sur ce réseau un nouveau serveur DNS nommé DNS 1 pour répondre aux requêtes de noms Internet provenant du domaine local. Bien que DNS1 soit connecté à lInternet, il échoue lors du test récursif de longlet Analyse de la boîte de dialogue Propriétés du serveur. Parmi les propositions suivantes, laquelle peut-elle être la cause potentielle de cet échec?

Vous avez configuré DNS1 avant un pare-feu.
DNS1 héberge une zone nommée
Vos indications de racine sont restées celles par défaut.
Vous navez pas configuré DNS1 pour quil redirige des requêtes vers des serveurs damont.

Lequel des événements suivants peut constituer une raison valable pour modifier (et non supprimer) les indications de racine par défaut sur longlet Indications de racine de la boîte de dialogue des propriétés du serveur DNS (Choisissez toutes les réponses pertinentes)?

Les serveurs racine Internet ont été modifiés.
Le serveur ne sera pas employé comme serveur racine.
Vous avez désactivé la récursivité sur le serveur.
Votre serveur ne sert pas à résoudre des noms Internet.

Résumé de la leçon

Longlet Interfaces de la boîte de dialogue des propriétés du serveur DNS permet de spécifier laquelle des adresses IP de lordinateur local doit être écoutée par le serveur DNS pour des requêtes DNS.

Longlet Redirecteurs de la boîte de dialogue des propriétés du serveur DNS permet de rediriger des requêtes DNS reçues par le serveur DNS local vers des serveurs DNS damont, nommés redirecteurs. Cet onglet permet également de désactiver la récursivité pour des requêtes sélectionnées (spécifiées par domaine),

En configurant un serveur DNS derrière un pare-feu pour rediriger des requêtes externes vers un unique redirecteur DNS extérieur au pare-feu, puis en nouvrant des ports sur le pare-feu que vers ce redirecteur, vous pouvez résoudre des noms DNS sans exposer votre réseau à des serveurs extérieurs.

Longlet Indications de racine fournit un moyen simple de modifier le contenu du fichier Cache.dns. Si votre serveur DNS doit résoudre des noms Internet, vous ne modifiez en principe pas ces entrées. En revanche, si le serveur DNS ne sert quà répondre aux requêtes dhôtes dun espace de noms DNS séparé et privé, vous devriez modifier ces entrées pour quelles pointent vers les serveurs racine de votre réseau. Enfin, si votre serveur DNS est lui-même le serveur racine (nommé « . ») de votre espace de noms privé, vous devriez supprimer le fichier Cache.dns.

Longlet Analyse de la boîte de dialogue des propriétés du serveur DNS permet de contrôler la fonctionnalité DNS fondamentale à laide de deux tests simples : une requête simple vers le serveur DNS local et une requête récursive vers les serveurs DNS racine.
Leçon 2 : Configuration des propriétés et transferts de zone

Vous pouvez effectuer de nombreuses tâches essentielles relatives à ladministration et à la gestion dune infrastructure DNS par le biais des boîtes de dialogue des propriétés des zones hébergées par votre réseau. Parmi ces tâches figurent la configuration et la gestion des transferts de zone, lactivation des mises à jour dynamiques et la modification des types de zone.

À la fin de cette leçon, vous saurez:

Configurer une zone DNS pour des mises à jour dynamiques
Modifier le type dune zone DNS
Stocker des données de zone dans la base de données Active Directory
Ajouter des enregistrements de ressource de serveur de noms (NS) à une zone
Configurer les transferts de zone depuis des zones secondaires
Décrire les événements pouvant déclencher un transfert de zone
Décrire le processus dun transfert de zone

Durée estimée : 70 minutes
Exploration des propriétés dune zone DNS

Le moyen principal de configurer les paramètres dune zone est dutiliser la boîte de dialogue des propriétés de la zone, accessible via la console DNS. La boîte de dialogue des propriétés dune zone standard possède cinq onglets:
Général, Source de noms (SOA), Serveurs de noms, WINS et Transferts de zone. Les boîtes de dialogue Propriétés des zones intégrées à Active Directory possèdent un sixième onglet, Sécurité, permettant de configurer les permissions daccès de cette zone.

Pour ouvrir la boîte de dialogue des propriétés dune zone particulière, effectuez un clic droit sur le noeud de la zone à configurer dans la console DNS, puis sélectionnez Propriétés (voir Figure 5-13).

Figure 5-13 Ouverture de la boite de dialogue des propriétés dune zone

Onglet Général

Longlet Général, présenté à la Figure 5-14, permet de suspendre temporairement la résolution de noms et de configurer quatre fonctionnalités fondamentales: type de zone (y compris lintégration Active Directory), nom de fichier zone, mises à jour dynamiques et vieillissement.

Figure 5-14 Onglet Général

État: le bouton Suspendre permet de suspendre et de reprendre la résolution de noms pour la zone. Remarquez que cette possibilité ne permet pas de suspendre le service serveur DNS.

Type : un clic sur Modifier ouvre la boîte de dialogue Modification du type de zone (voir Figure 5-15).

Figure 5-15 Boîte de dialogue Modification du type de zone

La boîte de dialogue Modification du type de zone permet de reconfigurer la zone comme zone principale, secondaire ou de stub. Une zone principale stocke les enregistrements et réglages les plus récents delà zone. Pour chaque zone standard non-intégrée à Active Directory, un seul serveur DNS principal est autorisé, ce serveur contenant la seule version en lecture/écriture de la base de données de zone. Une zone secondaire est une copie en lecture seule de la zone principale, servant à améliorer la performance et la tolérance aux pannes. Une zone de stub est une copie dune zone ne contenant que les enregistrements de ressource nécessaires à lidentification des serveurs DNS faisant actuellement autorité pour cette zone. Les zones de stub sont étudiées plus en détail dans la Leçon 5 de ce chapitre.
Enregistrer la zone dans Active Directory: sélectionner la case à cocher Enregistrer la zone dans Active Directory de la boîte de dialogue Modification du type de zone permet de stocker les informations de la zone principale dans la base de données Active Directory et non dans le dossier \WINDOWS\System32\Dns. Dans les zones intégrées à Active Directory, les données de zone sont répliquées à laide de Active Directory. Cela élimine dans la plupart des cas le besoin de configurer des transferts de zone vers des serveurs secondaires.

Astuce dexamen Pour faire migrer un serveur standard principal, configurez le serveur secondaire, transférez la zone vers celui-ci, puis promouvez le serveur secondaire en serveur principal. Cela fait, vous pouvez supprimer le serveur principal originel,

Lintégration dune zone DNS dans Active Directory offre plusieurs avantages. Tout dabord, Active Directory effectuant une réplication de zone, il nest pas nécessaire de configurer un dispositif distinct pour les transferts de zone DNS. La tolérance aux pannes, ainsi quune amélioration des performances grâce à la disponibilité de plusieurs serveurs principaux en lecture-écriture, est automatiquement apportée par la présence de réplication multimaître sur le réseau. Ensuite,Active Directory permet la mise à jour et la réplication de propriétés uniques denregistrements de ressource sur des serveurs DNS. Éviter le transfert de nombreux enregistrements de ressource complets diminue la charge sur les ressources du réseau pendant les transferts de zone. Enfin, lintégration Active Directory permet de configurer la sécurité daccès aux enregistrements stockés, pour éviter des mises à jour non-autorisées.

Prévision Si vous pouvez déployer une zone intégrée à Active Directory, faites-le. Cela réduit les migraines administratives, améliore la sécurité et réduit le trafic de transfert de zone. En raison de ces avantages, vous devez prévoir demployer une zone standard principale ou secondaire uniquement lorsque vous voulez déployer un serveur DNS sur un ordinateur qui nest pas un contrôleur de domaine Active Directory.

Réplication de zone Lorsque vous choisissez denregistrer les informations de zone dans une base de données Active Directory. le bouton Modifier associé devient activé (voir Figure 5-16). Ce bouton permet de configurer les paramètres de réplication pour la zone intégrée à Active Directory.

Figure 5-16 Bouton Modifier pour la réplication de zone

Un clic sur le bouton Modifier ouvre la boîte de dialogue Modifier létendue de réplication de la zone (voir Figure 5-17). Cette boîte de dialogue permet de déterminer sur quels serveurs de la forêt Active Directory les données zone doivent être répliquées.

Figure 5-17 Définition de létendue de réplication de zone

Le Tableau 5-1 décrit les quatre options disponibles dans cette boite de dialogue. Lorsque vous décidez du choix de loption de réplication, noubliez pas que plus létendue est large, et plus le trafic réseau généré par la réplication est important. Par exemple, en choisissant de répliquer les données de zone DNS intégrées Active Directory vers tous les serveurs DNS de la forêt, ce réglage provoque un trafic réseau plus important que la réplication des données de zone DNS de tous les serveurs DNS dans un unique domaine Active Directory de cette forêt. Dun autre côté, répliquer les données de zone vers tous les serveurs DNS dune forêt peut améliorer la performance de résolution de noms dans celle-ci et augmenter la tolérance aux pannes.

Tableau 5-1 Options de réplication de zone

OptionsDescription
Vers tous les serveurs DNS de la forêt Active Directory
Réplique les données de zone de tous les serveurs DNS sexécutant sur des contrôleurs de domaine de la forêt Active Directory. Cette option procure en principe létendue de réplication la plus large.Vers tous les serveurs DNS du domaine Active DirectoryRéplique les données de zone vers tous les serveurs DNS sexécutant sur des contrôleurs de domaine du domaine Active Directory.Vers tous les contrôleurs de domaine du domaine Active DirectoryRéplique les données de zone vers tous les contrôleurs de domaine du domaine Active Directory. Si vous voulez que les serveurs DNS Microsoft Windows 2000 chargent une zone Active Directory, vous devez sélectionner ce réglage pour cette zone.Vers tous les contrôleurs de domaine spécifiés dans létendue de la partition dannuaire dapplications suivanteRéplique les données de zone en fonction de létendue de réplication de la partition dannuaire dapplications spécifiée. Pour quune zone soit stockée dans la partition dannuaire dapplications spécifiée, le serveur DNS hébergeant la zone doit être répertorié dans la partition dannuaire dapplications spécifiée.
Partitions dannuaire dapplications et réplication DNS Une partition dannuaire dapplications est une partition dannuaire répliquée sur un sous-ensemble spécifié de contrôleurs de domaine exécutant Windows Server 2003.

Partitions dannuaire dapplications intégrées

Pour DNS, il existe deux partitions dannuaire dapplications intégrées à chaque domaine Active Directory DomainDnsZones et ForestDnsZones. La partition dannuaire dapplications DomainDnsZones est répliquée sur tous les serveurs DNS également contrôleurs de domaine dun domaine Active Directory. La partition dannuaire dapplications ForestDnsZones est répliquée sur tous les serveurs DNS également contrôleurs de domaine dune forêt Active Directory. Chacune de ces partitions dannuaire dapplications est désignée par un sous-domaine DNS et un FQDN. Par exemple, dans un domaine Active Directory nommé bern.lucernepublishing.com dont le domaine racine dans la forêt Active Directory est lucernepublishing.com, les partitions dannuaires dapplications DNS intégrées sont spécifiées par ces FQDN: DomainDnsZones.bern.lucernepublishing.com et ForestDnsZones.lu cernepublishing. Com.

Lorsque vous sélectionnez loption Vers tous les serveurs DNS de la forêt Active Directory dans la boîte de dialogue Modifier létendue de réplication de la zone, vous choisissez en réalité de stocker des données de zone DNS dans la partition dannuaire dapplications ForestDnsZones. Lorsque vous sélectionnez loption Vers tous les serveurs DNS du domaine Active Directory, vous choisissez de stocker les données de zone DNS dans la partition dannuaire dapplications DomainDnsZones.

Remarque Si lune de ces partitions dannuaire dapplications est effacée ou endommagée, vous pouvez la recréer depuis la console DNS en effectuant un clic droit sur le noeud serveur et en sélectionnant Créer les partitions dannuaire dapplications par défaut.

Création de partitions dannuaire dapplications personnalisées

Vous pouvez également créer vos propres partitions dannuaire dapplications personnalisées à employer avec DNS et répertorier des contrôleurs de domaine choisis de votre réseau pour héberger des répliques de ces partitions. Pour accomplir cette tâche, créez dabord la partition en tapant la commande suivante :

dnscmd [nomserveur] /createdirectorypartition FQDN

Répertoriez ensuite dautres serveurs DNS dans la partition en tapant commande suivante :

dnscmd nomserveur /enlistDirectorypartition FQDN

Par exemple, pour créer une partition dannuaire dapplications nommée SpecialDns sur un ordinateur nommé Serveur1 dans le domaine Active Directory contoso.com, tapez la commande suivante :

dnscmd serveur1 /createDirectorypartition SpecialDns.contoso.com

Pour répertorier un ordinateur nommé Serveur2 dans cette partition dannuaire dapplications, tapez la commande suivante:

dnscmd serveur2 /enlistDirectory partition SpecialDns.contoso.com

Vous devez appartenir au groupe Administrateurs de lentreprise pour créer une partition dannuaire dapplications.
Pour stocker des données DNS dans une partition dannuaire dapplications personnalisée, sélectionnez la quatrième option Vers tous les contrôleurs de domaine spécifiés de létendue de la partition dannuaire dapplications suivante (celle du bas) dans la boîte de dialogue Modifier létendue de réplication de la zone, puis spécifiez la partition dannuaire dapplications personnalisée dans la zone de liste déroulante. Cette option, nest disponible que si les partitions dannuaire dapplications personnalisées sont disponibles pour DNS sur votre réseau.

Réplication avec des serveurs Windows 2000

Les partitions dannuaire dapplications nétant pas disponibles sur les contrôleurs de domaine Windows 2000, vous devez sélectionner la troisième option dans la boîte de dialogue Modifier létendue de réplication de la zone si vous voulez que les données de zone soient lues par des serveurs DNS Windows 2000. Avec cette option, Vers tous les contrôleurs de domaine du domaine Active Directory, les données ne sont pas répliquées uniquement sur tous les serveurs DNS contrôleurs de domaine, mais sur tous les contrôleurs de domaine, quils soient ou non également des serveurs DNS.

Astuce dexamen : Attendez-vous à être questionné sur les concepts et commandes des partitions dannuaire dapplications, ainsi que sur les options de la boîte de dialogue Modifier létendue de réplication de la zone.

Nom du fichier zone Pour des zones standards non intégrées à Active Directory, le nom de fichier zone par défaut est créé en ajoutant une extension .dns au nom de la zone. La zone de texte Nom du fichier zone de longlet Général permet de modifier le nom par défaut de ce fichier.

Mises à jour dynamiques Longlet Général permet également de configurer une zone avec mises à jour dynamiques des enregistrements de ressource. Comme le montre la Figure 5-18, trois réglages de mise à jour dynamique sont proposées pour les zones DNS intégrées a Active Directory : Aucun, Non sécurisé et sécurisé, et Sécurisé uniquement. Les zones standards noffrent que deux réglages : Aucun et Non sécurise et sécurise.

Figure 5-18 Réglages de zone pour les mises à jour dynamiques

Lorsque vous sélectionnez le réglage Aucun dans les propriétés dune zone, vous devez effectuer manuellement les enregistrements et les mises à jour des enregistrements de la zone. En revanche, en activant Non sécurisé et sécurisé ou Sécurise uniquement, les ordinateurs clients peuvent automatiquement créer ou mettre à jour leurs propres enregistrements de ressource. Cette fonctionnalité réduit grandement la nécessite dadministration manuelle des enregistrements de zone, surtout pour les clients DHCP et les clients vagabonds. La Figure 5-19 montre un processus typique de mise jour.

Figure 5-19 Processus de mise à jour dynamique

Lorsquun événement déclencheur se produit sur un ordinateur DNS client. le service client DHCP (et non le service client DNS) tente deffectuer une mise à jour dynamique de lenregistrement de ressource A auprès du serveur DNS. Ce processus de mise à jour est conçu afin que, si une modification des informations dadresse IP est provoquée par DHCP, cette mise à jour soit immédiatement envoyée au serveur DNS. Le service client DHCP tente deffectuer cette fonction de mise à jour dynamique pour toutes les connexions réseau employées sur le systèmes, y compris celles qui ne sont pas configurées pour employer DHCP. Que cette tentative de mise à jour dynamique réussisse dépend avant tout du fait que la zone ait été configurée pour accepter les mises à jour dynamiques.

Déclencheurs de mise à jour dynamique

Les événements suivants déclenchent lenvoi par le service client DHCP dune mise à jour dynamique vers le serveur DNS.

Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP (Transmission Control Protocol/Internet Protocol) de nimporte quelle connexion réseau installée sur lordinateur local.

Un bail dadresse IP est modifié ou renouvelé sur le serveur DHCP pour nimporte quelle connexion réseau installée sur lordinateur local par exemple, lors du redémarrage de lordinateur ou de lemploi de la commande Ipconfig /renew,

La commande Ipconfig /registerdns est employée sur un ordinateur client DNS pour imposer un rafraîchissement manuel de lenregistrement du nom du client dans DNS.

Lordinateur client DNS est allumé.

Un serveur membre de la zone est promu contrôleur de domaine.
Mises à jour dynamiques sécurisées

Les mises à jour dynamiques sécurisées ne peuvent être effectuées que sur des zones intégrées à Active Directory. Pour les zones standards, loption Sécurisé uniquement est absente de la zone de liste déroulante Mises à jour dynamiques. Ces mises à jour ont recours au protocole dauthentification Kerberos pour créer un contexte sécurisé et garantir que le client actualisant lenregistrement de ressource est le propriétaire de cet enregistrement,

Remarque Seuls les clients exécutant une version de Windows 2000, Microsoft Windows XP ou Windows Server 2003 peuvent tenter denvoyer des mises à jour dynamiques à un serveur DNS. Les mises à jour dynamiques ne sont pas disponibles pour une quelconque version de Windows NT, Windows 95, Microsoft Windows 98 ou Microsoft Windows Millennium Edition (Me). Un ordinateur client DNS, comme un serveur DHCP, peut toutefois effectuer des mises à jour dynamiques pour le compte dautres clients sil est configuré pour le faire.

Mises à jour dynamiques sécurisées et groupe DnsUpdateProxy

Lorsque seules les mises à jour dynamiques sont autorisées dans une zone, seul le propriétaire dun enregistrement peut mettre celui-ci à jour. Le propriétaire dun enregistrement est lordinateur lavant enregistré à lorigine. Cette restriction peut poser problèmes dans des situations où un serveur DHCP enregistre des enregistrements de ressource hôte (A) pour le compte dautres ordinateurs clients ne pouvant effectuer de mises à jour dynamiques. Dans un tel cas, le serveur DHCP est le propriétaire des enregistrements et non les ordinateurs eux-mêmes. Si lordinateur client de niveau inférieur est par la suite mis à niveau vers Windows 2000 ou un autre système dexploitation capable deffectuer des mises à jour dynamiques, il ne sera pas reconnu comme le propriétaire et ne pourra donc mettre à jour ses propres enregistrements. Un problème similaire peut survenir en cas de défaillance du serveur DHCP ayant effectué ces enregistrements pour le compte de clients de niveau inférieur : aucun des clients ne sera capable de voir ses enregistrements mis à jour par un serveur DHCP de secours.

Pour éviter de tels problèmes, ajoutez le groupe de sécurité DnsUpdateProxy aux serveurs DHCP enregistrant des enregistrements pour le compte dautres ordinateurs. Les membres de ce groupe ne peuvent revendiquer la propriété des enregistrements de ressource quils mettent à jour dans DNS. Ces procédures affaiblissent évidemment la sécurité de ces enregistrements, jusquà ce quils soient revendiqués par leur propriétaire réel.

Astuce dexamen Attendez vous a des questions portant sur DnsUpdateProxy.

Vieillissement

En cliquant sur Vieillissement dans longlet Général, vous pouvez ouvrir la boite de dialogue Vieillissement de zone/Propriétés de nettoyage (voir Figure 5-20), Ces propriétés permettent didentifier et déliminer les enregistrements périmés dune base de données de zone.

Figure 5-20 Boîte de dialogue Vieillissement de zone/Propriétés de nettoyage

Activation du Vieillissement Le vieillissement DNS fait référence au processus consistant à placer un tampon daté sur un enregistrement de ressource enregistré dynamiquement, puis à suivre lâge de cet enregistrement. Le nettoyage fait référence au processus consistant à supprimer les enregistrements de ressource périmés possédant des tampons temporels. Le nettoyage ne peut se produire que lorsque le vieillissement est activé. Vieillissement et nettoyage sont tous deux désactivés par défaut.

Pour activer le vieillissement pour une zone particulière,

Vous devez activer ce dispositif tant au niveau de la zone quau niveau du serveur. Pour activer le vieillissement au niveau de la zone, dans la boîte de dialogue Vieillissement de zone/Propriété de nettoyage, sélectionnez la case à cocher Nettoyer les enregistrements de ressource obsolètes.

Pour activer le vieillissement au niveau du serveur

Ouvrez dabord la boîte de dialogue Vieillissement du serveur/Propriétés de nettoyage en effectuant un clic droit sur licône du serveur dans la console DNS console, puis en cliquant sur Définir le vieillissement/nettoyage pour toutes les zones. Puis, dans la boîte de dialogue Vieillissement du serveur/Propriétés de nettoyage, sélectionnez la case à cocher Nettoyer les enregistrements de ressource périmés.

Une fois le vieillissement activé, un tampon daté fondé sur lheure système du serveur est placé sur tous les enregistrements dynamiquement enregistrés de la zone. Lorsque le service client DHCP ou le serveur DHCP effectue par la suite une mise à jour dynamique de ces enregistrements, une actualisation du tampon est tentée. Les enregistrements de ressource créés manuellement reçoivent un tampon date de 0 : cette valeur indique quils ne sont pas sujet à vieillissement.

Remarque Lorsque le vieillissement et le nettoyage sont activés pour une zone, les fichiers de zone ne peuvent être lus pas des serveurs DNS pré-Windows 2000.

Modification des intervalles de non-actualisation

Lintervalle de non-actualisation est la période après laquelle une zone ou un serveur rejette une demande dactualisation de tampon daté. Ce dispositif évite le traitement par le serveur dactualisations superflues et diminue le trafic de transfert de zone non indispensable. Lintervalle de non-actualisation est par défaut de sept jours.

Modification des intervalles dactualisation

Lintervalle dactualisation est le délai suivant lintervalle de non-actualisation pendant lequel les rafraîchissement de tampon sont acceptés et les enregistrements de ressource non nettoyés. Après lexpiration des intervalles de non-actualisation et dactualisation, les enregistrements peuvent être éliminés de la zone. Lintervalle dactualisation par défaut est de 7 jours. Par conséquent, lorsque le vieillissement est activé, les enregistrements de ressource enregistrés dynamiquement peuvent être nettoyés par défaut après 14 jours.

Astuce Si vous modifiez les intervalles de non-actualisation ou dactualisation, respectez la règle selon laquelle lintervalle dactualisation doit être égal ou supérieur à lintervalle de non-actualisation.

Réalisation du nettoyage

Le nettoyage dune zone est effectué manuellement ou automatiquement. Pour que le nettoyage soit effectué automatiquement, vous devez activer le nettoyage automatique des enregistrements de ressource obsolètes sur longlet Avancé des propriétés DNS du serveur.

Lorsque ce dispositif nest pas activé, vous pouvez effecteur un nettoyage manuel dans une zone en effectuant un clic droit sur licône du serveur dans larborescence de la console DNS puis en sélectionnant Nettoyer les enregistrements de ressource obsolètes dans le menu contextuel.
Onglet Source de noms (SOA)

Longlet Source de noms (SOA) (voir Figure 5-21) permet de configurer lenregistrement de ressource SOA de la zone. Lorsquun serveur DNS charge une zone, il se sert de lenregistrement de ressource SOA pour déterminer les informations fondamentales faisant autorité de la zone. Ces réglages déterminent également à quelle fréquence sont effectués les transferts de zone entre serveurs principaux et secondaire.

Figure 5-21 Onglet Source de noms (SOA)

Numéro de série : la zone de texte Numéro de série de longlet Source de noms (SOA) contient le numéro de révision du fichier de zone. Ce numéro est incrémenté chaque fois quun enregistrement de ressource est modifié dans la zone ou que la valeur est manuellement incrémentée sur cet onglet en cliquant sur Incrémenter.

Lorsque les zones sont configurées pour effectuer des transferts de zone, le serveur maître est régulièrement interrogé à propos du numéro de série de la zone. Cette requête porte le nom de requête SOA. Si, grâce à cette requête SOA, le numéro de série de la zone maîtresse savère être identique au numéro de série local, aucun transfert nest effectué. Sil est supérieur à celui du serveur secondaire demandeur, celui-ci commence un transfert.

Serveur principal : la zone de texte Serveur principal de longlet Source de noms (SOA) contient le nom complet de lordinateur du serveur DNS principal de la zone. Ce nom doit se terminer par un point.

Personne responsable : lorsque cette zone de texte est configurée, elle renferme un enregistrement de ressource de la personne responsable RP (Responsible Person) de ladministration de la zone. Un enregistrement de ressource RP spécifie un nom de boîte aux lettres du domaine pour la personne responsable. Le nom de lenregistrement saisi dans cette zone de texte doit se terminer par un point.

Intervalle dactualisation : la valeur configurée dans le champ Intervalle dactualisation détermine combien de temps un serveur DNS secondaire va attendre avant de demander au serveur maître un renouvellement de zone. Lorsque lintervalle dactualisation expire, le serveur DNS secondaire demande à son serveur maître source une copie de lenregistrement de ressource SOA actuel de la zone. Après avoir reçu une réponse du serveur DNS maître, le serveur DNS secondaire compare le numéro de série de lenregistrement de ressource SOA actuel du serveur source (tel quindiqué dans la réponse du maître) au numéro de série de son enregistrement de ressource SOA local. Sils diffèrent, le serveur DNS secondaire demande un transfert de zone au serveur DNS principal. La valeur par défaut de ce réglage est 15 minutes.

Astuce dexamen Augmenter lintervalle dactualisation diminue le trafic de transfert de zone.

Intervalle avant nouvelle tentative: la valeur configurée dans la zone de texte Intervalle avant nouvelle tentative détermine combien de temps un serveur secondaire attend avant de retenter un transfert de zone raté. Ce délai est normalement inférieur à lintervalle dactualisation. Sa valeur par défaut est de 10 minutes.

Expire après: la valeur configurée dans la zone de texte Expire après détermine pendant combien de temps un serveur secondaire, sans aucun contact avec son serveur maître, continue à répondre à des requêtes de clients DNS. Une fois ce délai écoulé, les données sont considérées comme non fiables. La valeur par défaut est une journée.

Durée de vie minimale (par défaut) : la valeur configurée dans la zone texte Durée de vie minimale (par défaut) détermine la durée de vie TTL (Time to Live) par défaut appliquée à tous les enregistrements de ressource de la zone. La valeur par défaut est 1 heure. Les valeurs TTL ne sont applicables aux enregistrements de ressource quau sein de leurs zones faisant autorité. Le TTL fait sinon référence à la durée de vie dans le cache dun enregistrement de ressource sur les serveurs ne faisant pas autorité. Un serveur DNS ayant mis en cache un enregistrement de ressource suite à une requête antérieure élimine cet enregistrement lorsque son TTL a expiré.

Astuce dexamen Si vous avez déployé des serveurs en cache seul sur votre réseau en complément de serveurs principaux, augmenter le TTL minimum peut diminuer le trafic de résolution de noms entre les serveurs en cache seul et le serveur principal.

Durée de vie pour cet enregistrement: la valeur configurée dans cette zone de texte détermine la durée de vie (TTL) de lenregistrement de ressource SOA actuel. Cette valeur outrepasse le réglage de valeur par défaut du champ précédent. Une fois configuré dans la console DNS, un enregistrement de ressource SOA est représenté sous forme texte dans le fichier de zone, comme le montre cet exemple :

@IN SOA ordinateur1.domain1.local.hostmaster.domain1.local. (
5099 ;serial number
3600 ;refresh (1 hour)
600 ;retry (10 mins)
86400 ;expire (1 day)
60 );minimum TTL (1 min)
Onglet Serveurs de noms

Longlet Serveurs de noms (voir Figure 5-22) permet de configurer les enregistrements de ressource NS dune zone, Ces enregistrements ne peuvent être créés ailleurs depuis la console DNS.

Figure 5-22 Onglet Serveurs de noms

Vous vous servez denregistrements de ressource NS pour spécifier les serveurs de noms faisant autorité pour une zone donnée. Lenregistrement de ressource NS du premier serveur principal dune zone est configuré automatiquement.

Remarque Chaque zone doit contenir au moins un enregistrement de ressource NS dans la zone racine.

La ligne suivante est un exemple denregistrement NS tiré du fichier de base de données de la zone lucernepuhlishing.com:

@NS dns1.lucernepublishing.com.

Dans cet enregistrement, le symbole « @ » représente la zone définie par lenregistrement SOA du même fichier de zone. Lentrée complète fait ensuite correspondre effectivement le domaine lucernepublishing.com à un serveur DNS hébergé sur un ordinateur nommé dns1.lucernepublishing.com.

Astuce dexamen Dans les zones principales, les transferts de zone ne sont autorisés par défaut quaux serveurs spécifiés sur longlet Serveurs de noms. Cette nouvelle restriction est propre à Windows Server 2003.

Onglet WINS

Vous vous servez de longlet WINS (voir Figure 5-23) ou de longlet WINS-R pour des zones de recherche inversée, pour configurer des serveurs WINS (Windows Internet Name Service) pour aider à la résolution de noms pour une zone donnée lorsque les serveurs DNS narrivent pas à résoudre un nom.

Figure 5-23 Onglet WINS

Astuce dexamen Lorsque vous configurez la recherche WINS pour une zone de recherche directe, un enregistrement de ressource WINS pointant vers le serveur WINS spécifié sur longlet WINS est ajouté à la base de données de la zone. Lorsque vous configurez la recherche WINS-R pour une zone de recherche inversée, un enregistrement de ressource WINS-R est ajouté à la base de données de la zone.
Onglet Transferts de zone

Longlet Transferts de zone (voir Figure 5-24) permet de restreindre les transferts de zone depuis le serveur maître local. Pour des zones principales, les transferts de zone vers les serveurs secondaires sont par défaut soit totalement désactivés, soit limités aux serveurs de noms configurés sur longlet Serveurs de noms. La première restriction sapplique si le serveur DNS a été ajouté à laide de la fenêtre Gérer votre serveur, la seconde lorsquil la été à laide de lAssistant Composant Windows. En alternative à ces restrictions par défaut, vous pouvez personnaliser les restrictions applicables aux transferts de zone en sélectionnant loption Uniquement vers les serveurs suivants, puis en spécifiant les adresses IP des serveurs secondaires autorisés dans la liste figurant en dessous de cette option.

Les zones secondaires nautorisent pas par défaut les transferts de zone vers dautres zones secondaires, mais vous pouvez activer ce dispositif en sélectionnant la case à cocher Autoriser les transferts de zone.

Figure 5-24 Onglet Transferts de zone

Confidentiel Avec Windows 2000, le réglage par défaut de longlet Transferts de zone pour des zones principales consistait à autoriser les transferts vers tout serveur, mais cela créait une faille de sécurité superflue, Réfléchissez-y : pour quoi voudriez-vous permettre à quiconque ayant accès à votre serveur DNS de configurer un serveur secondaire et demployer les enregistrements de ressource de votre réseau? Restreindre les transferts de zones par défaut est bien plus malin: cela permet déviter toute copie non-autorisée des données de zone.

Notification Longlet Transferts de zone permet également de configurer la notification vers les serveurs secondaires. Pour ce faire, cliquez sur Notifier dans longlet Transferts de zone une fois les transferts de zone activés. Cette action ouvre la boîte de dialogue Notifier (voir Figure 5-25), dans laquelle vous pouvez préciser les serveurs secondaires à avertir lorsquune mise à jour de zone se produit sur le serveur maître local. Par défaut, lorsque les transferts de zone sont activés, tous les serveurs répertoriés sur longlet Serveurs de noms sont automatiquement avertis des modifications de zone.

Figure 5-25 Boîte de dialogue Notifier

Notification et début dun transfert de zone Les transferts de zone des zones standards peuvent être déclenchées par nimporte lequel des trois événements suivants:

Lorsque lintervalle dactualisation de lenregistrement de ressource SOA de la zone principale expire.

Au démarrage dun serveur secondaire. Dans ces deux premiers cas, le serveur secondaire lance une requête SOA pour savoir sil sest produit une mise à jour dans la zone. Les transferts ne seffectuent que si la base de données de zone a été modifiée.

Lorsquune modification se produit dans la configuration du serveur principal, ce serveur ayant spécifie que des serveurs DNs secondaires particuliers devaient être avertis lors dune mise à jour de zone.

Lors du début dun transfert de zone, le serveur secondaire effectue une requête de transfert de zone incrémentiel (IXFR) ou total (AXFR) vers le serveur maître. Les ordinateurs exécutant Windows 2000 Server et Windows Server 2003 effectuent par défaut des requêtes IXFR. En réponse à une requête IXFR, seules les données nouvellement modifiées sont transféré sur le réseau. Les ordinateurs exécutant Windows NT Server ne prennent pas en charge les requêtes IXFR et ne peuvent effectuer que des requêtes AXFR. En réponse à une requête AXFR, la totalité de la base de données de la zone est transférée vers le serveur secondaire. Les serveurs DNS principaux exécutant Windows Server 2003 prennent en charge les transferts de zone IXFR et AXFR.

La Figure 5-26 illustre le processus de requête de transfert entre serveurs maître et secondaire.

Figure 5-26 Négociation de transfert de zone

Remarque : Vous navez pas besoin de configurer de transferts de zone ou de notification sur les contrôleurs de domaine ou des serveurs DNS de zones intégrées à Active Directory. Les transferts sont automatiquement effectués pour des serveurs dans ces zones.

Exercice pratique: Déploiement dun serveur DNS secondaire

Dans cet exercice, vous créez une zone secondaire, puis vous configurez des transferts de zone entre les deux zones.

Exercice 1: Configuration dune zone secondaire

Dans cet exercice, vous installez un serveur DNS sur Ordinateur2, puis vous configurez le nouveau serveur DNS pour héberger une zone secondaire.

Important Lexercice suivant suppose que vous avez installé le serveur DNS de Ordinateur1 à laide de lAssistant Composants de Windows (comme décrit au HYPERLINK \l "_Exercice_pratique_Installation" Chapitre 4, Leçon 3). ci, les transferts de zone de la zone locale Domain1.local sont activés par défaut, mais limités aux serveurs de noms faisant autorité. Si vous avez installé le serveur DNS sur Ordinateur1 à laide de la fenêtre Gérer votre serveur pour ajouter le rôle de serveur DNS, les transferts de zone sont désactivés par défaut pour toutes les zones hébergées localement. Dans ce cas, avant de commencer cet exercice, veillez à activer les transferts de zone pour la zone Domain1.Iocal et à restreindre les transferts de zone aux serveurs énumérés sur longlet Serveurs de noms.

1. Depuis Ordinateur2, ouvrez une session sur Domain1 en tant quadministrateur. Rappelez-vous de donner le mot de passe que vous avez affecté au compte administrateur sur Ordinateur1.

2. Sur Ordinateur2, installez les outils de support Windows, comme expliqué à la Leçon 2 du Chapitre 3, « HYPERLINK "Chap1-3_Reseaux-TCP-IP.doc" \l "ChapIIIexer2" Surveillance et dépannage de connexions TCP/IP ». Parmi ces outils figure lutilitaire de ligne de commande Dnscmd.

3. Sur Ordinateur2, installez le sous-composant Windows système DNS (Domain Name System) du composant Services Réseau Windows, comme expliqué à la Leçon 3 du Chapitre 4. « HYPERLINK \l "_Exercice_3_:" Configuration de serveurs et de clients DNS ». Dans le cadre de cet exercice, vous pouvez ignorer en toute sécurité tout message ou erreur signalant que Ordinateur2 possède une adresse IP affectée de façon dynamique. Ne modifiez pas la configuration dadressage de Ordinateur2.

4. Une fois linstallation du sous-composant Système DNS accomplie, ouvrez une invite de commandes.

5. À linvite de commandes, entrez la commande suivante

dnscmd ordinateur1/recordadd domain1.local @ ns ordinateur2.domain1.local.

Cette commande ajoute un enregistrement NS dans domain1.local de Ordinateur2, ce qui fait de Ordinateur2 un serveur faisant autorité dans la zone, Par défaut, lorsquun serveur DNS a été installé à laide de lAssistant Composant Windows, les transferts de zone ne sont autorisés que pour les serveurs faisant autorité.

6. Sur Ordinateur2, ouvrez la console DNS.

7. Dans larborescence de la console DNS, effectuez un clic droit sur Zones de recherche directe et sélectionnez Nouvelle zone.

8. Dans lAssistant Nouvelle zone, cliquez sur Suivant.

9. Sur la page Type de zone, sélectionnez loption Zone secondaire, puis cliquez sur Suivant.

10. Sur la page Nom de zone, dans la zone de texte Nom de zone, tapez domain1.local puis cliquez sur Suivant.

11. Dans la page Serveur maître DNS, dans la zone de texte Adresse IP, tapez 192.168.0.1, cliquez sur Ajouter, puis cliquez sur Suivant.

12. Sur la page Fin de lAssistant Nouvelle zone. cliquez sur Terminer,

13. Dans larborescence de la console DNS. développez Zones de recherche directes et sélectionnez le noeud Domain1.local.

14. Effectuez un clic droit sur le noeud Domain1.local, puis sélectionnez Transfert à partir du maître.

15. Si la zone ne se charge pas, attendez 1 minute, puis essayez à nouveau. Continuez jusquau chargement correct de la zone.

16. Lorsquune copie de la zone domain1.local apparaît dans la console DNS de Ordinateur2, prenez quelques instants pour examiner la boîte de dialogue des propriétés de la zone propriétés et les éléments du menu Action (contextuel) de la zone.

17. Effectuez un clic droit sur le noeud DNS dans la console DNS, puis cliquez sur Connexion au serveur DNS. La boîte de dialogue Connexion au serveur DNS souvre.

18. Sélectionnez loption Lordinateur suivant, puis tapez ORDINATEUR1 dans la zone de texte associée.

19. Cliquez sur OK. Le noeud ORDINATEUR1 apparaît maintenant au-dessus du noeud ORDINATELR2 dans la console DNS. Servez-vous des deux noeuds serveurs de la console DNS de Ordinateur2 pour répondre aux questions suivantes dans les espaces fournis à cet effet.

Quelles fonctions du menu Action concernant la zone domain1.local sont-elles disponibles via le noeud ORDINATEUR2, mais pas depuis le noeud ORDINATEUR1?

Pouvez-vous créer ou configurer des enregistrements de ressource pour domain1.local à partir du noeud ORDINATEUR2 de la console DNS?

Exercice 2 : Contrôle des réglages de notification

Dans cet exercice, vous contrôlez la configuration par défaut pour les avertissements de transfert de zone.

1. Depuis Ordinateur2, avec une session ouverte sur Domain1 en tant quadministrateur, développez licône ORDINATEUR1 dans la console DNS, puis ouvrez la boîte de dialogue Propriétés de Domain1.local associée à cette zone principale.

2. Cliquez sur longlet Serveurs de noms. Ordinateur2 a été ajouté comme résultat de lajout dune commande NS dans lExercice 1 « HYPERLINK \l "_Exercice_1:_Configuration" Configuration dune zone secondaire ».

Sur longlet Transferts de zone, cliquez sur Notifier. La boîte de dialogue Notifier souvre. Par défaut, la zone principale avertit automatiquement les serveurs énumérés dans longlet Serveurs de noms des modifications de zone. Ordinateur2 étant désormais configuré sur longlet Serveurs de noms, le serveur secondaire est averti de toute modification de zone. Lorsque Ordinateur2 reçoit un avertissement du serveur principal, ce serveur DNS secondaire émet normalement une requête IXFR pour un transfert de zone incrémentiel.

4. Cliquez sur Annuler.

5. Dans la boîte de dialogue Propriétés de Domain1.local, cliquez sur longlet Source de noms (SOA). À laide des réglages configurés sur onglet, répondez aux questions suivantes dans les espaces fournis à effet.

Selon les réglages de longlet Source de noms (SOA), si Ordinateur2 perd le contact avec Ordinateur1, combien de temps le serveur DNS Ordinateur2 continue-t-il de répondre aux requêtes de clients DNS?

À quelle fréquence Ordinateur2 est-il configuré pour demander à Ordinateur1 de vérifier si une modification a été apportée à la zone?

Si Ordinateur2 découvre quil ne peut contacter Ordinateur1 lors de lémission dune requête SOA, combien de temps attend-il avant dessayer de nouveau?

Si un autre serveur DNS principal nommé dns.domain2.local obtient avec succès auprès de Ordinateur1 ladresse IP de Ordinateur2, combien de temps lenregistrement de ressource A de Ordinateur2 reste-t-il dans le cache de dns.domain2.local?

6. Cliquez sur OK pour fermer la boîte de dialogue Propriétés Domain1.local.

7. Dans la console DNS Console, effectuez un clic droit sur licône de Ordinateur1, puis cliquez sur Supprimer. Une boîte de message DNS apparaît, demandant confirmation de la suppression.

8. Dans la boîte de message DNS, cliquez sur Oui, Ordinateur1 est supprimé de la console DNS de Ordinateur2, les réglages du serveur restant intacts dans la console DNS de Ordinateur1.

9. Fermez la session sur Ordinateur2.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la sections « HYPERLINK \l "_Révision_de_la_1" Questions et réponses » à la fin de ce chapitre.

1. Décrivez le processus par lequel les serveurs secondaires déterminent quun transfert de zone doit commencer.

2. Quelle est la différence entre des requêtes IXFR et AXFR?

3. Votre réseau possède plusieurs serveurs DHCP, dont certains sont configurés pour enregistrer des enregistrements DNS pour le compte de clients pré-Windows 2000. Vous avez configuré DNS pour nautoriser que les mises à jour sécurisées. Vous constatez cependant que certains enregistrements DNS nont pas été mis à jour correctement. Comment pouvez-vous résoudre ce problème?

4. Vous dirigez ladministration dun réseau élargi WAN (Wide Area Network) appartenant à Proseware, une entreprise possédant son siège à Rochester et deux succursales à Buffalo et Syracuse. Ce réseau, composé dun domaine, possède une zone DNS principale sexécutant sur un ordinateur Windows Server 2003 situé au siège et une zone DNS secondaire dans chaque succursale. Les utilisateurs du réseau se plaignent fréquemment de ne pouvoir se connecter aux sites des bureaux distants. Les administrateurs ont déterminé que la bande passante du réseau entre le siège et les succursales est saturée par des transferts de zone et que des transferts de zone étaient lancés avant de pouvoir se terminer. Parmi les étapes suivantes, lesquelles pourraient-elles vous aider à résoudre le problème à moindre effort?

Installer Active Directory sur le réseau et promouvoir les serveurs hébergeant les zones DNS secondaires en contrôleurs de domaine.
Augmenter la bande passante du réseau en établissant une connexion par fibre optique entre les deux sites.
Augmenter lintervalle dactualisation sur le serveur DNS principal.
Augmenter lintervalle dactualisation sur les serveurs DNS secondaires.
5. Vous découvrez quun administrateur a ajusté la valeur TTL par défaut de la zone DNS principale de votre entreprise à 5 minutes. Parmi les éléments suivants, quelle est la conséquence probable de cette modification?

Les enregistrements de ressource mis en cache sur le serveur DNS principal expirent au bout de 5 minutes.
Les clients DNS doivent interroger plus fréquemment le serveur pour résoudre les noms pour lesquels il faut autorité.
Les serveurs secondaires lancent un transfert de zone toutes les 5 minutes.
Les hôtes DNS réenregistrent plus fréquemment leurs enregistrements.

6. Parmi ce qui suit, quest-ce qui nest pas un intérêt du stockage de zones DNS dans une base de données Active Directory?

Transferts moins fréquents
Diminution des besoins administratifs
Saturation plus faible de la bande passante du réseau
Mises à jour dynamiques sécurisées
Résumé de la leçon

Lorsque vous déployez un serveur DNS sur un contrôleur de domaine, vous pouvez choisir de stocker les données de zone dans la base de données Active Directory. Les zones intégrées à Active Directory réduisent le trafic de transfert de zone, améliorent la sécurité, diminuent la charge administrative et renforcent la tolérance de pannes. Les données de zone peuvent être configurées pour être répliquées sur tous les serveurs DNS de la forêt Active Directory, tous les serveurs DNS du domaine Active Directory, tous les contrôleurs de domaine du domaine Active Directory ou tous les serveurs énumérés dans une partition dannuaire dapplications personnalisée.

Lorsquune zone DNS permet des mises à jour dynamiques, certains ordinateurs DNS clients peuvent enregistrer et mettre à jour leurs enregistrements de ressource auprès dun serveur DNS. Lorsque les mises à jour dynamiques sécurisées sont nécessaires dans la zone, seul le propriétaire de lenregistrement peut le mettre à jour. Les mises à jour dynamiques sécurisées ne peuvent être exigées que sur des zones intégrées à Active Directory. Les ordinateurs clients exécutant Windows 2000, Windows XP ou Windows Server 2003 peuvent effecteur des mises à jour dynamiques.

Le groupe DnsUpdateProxy est traditionnellement employé pour des serveurs DHCP effectuant des mises à jour DNS dynamiques pour le compte dautres ordinateurs. Les membres de ce groupe nenregistrent pas de propriété sur les enregistrements de ressource quils enregistrent sur DNS. Cette restriction de comportement évite des problèmes liés aux zones nautorisant que des mises à jour dynamiques sécurisées.

Longlet Source de noms (SOA) permet de configurer les enregistrements de ressource SOA dune zone ainsi que plusieurs paramètres affectant les transferts de zone, comme lIntervalle dactualisation. lintervalle avant nouvelle tentative. Expire après et Durée de vie minimale (par défaut).

Longlet Transferts de zone permet de contrôler les transferts de la zone courante. Par défaut, les transferts de zone sont soit complètement désactivés, soit limités aux serveurs spécifiés sur longlet Serveurs de noms. La nature de cette restriction dépend du type de zone et du mode dinstallation du serveur DNS.
Leçon 3 : Configuration des propriétés avancées du serveur DNS

Les propriétés avancées du serveur DNS font référence aux neuf réglages pouvant être configurés sur longlet Avancées de la boîte de dialogue des propriétés du serveur DNS. Ces propriétés concernent des dispositifs spécifiques au serveur; comme la récursivité, les listes circulaires (round robin) et lordre de masque de réseau.

À la fin de cette leçon, vous saurez:

Décrire la fonction et le but de chaque option de configuration de longlet Avancées de la boîte de dialogue des propriétés du serveur DNS.
Redonner à tous les réglages avancés leur valeur par défaut.

Durée estimée : 50 minutes

Ajustement des options avancées du serveur

Lors de leur initialisation, les serveurs DNS sexécutant sous Windows 2003 Server appliquent les réglages dinstallation trouvés dans le fichier dinformations de démarrage, le Registre ou la base de données Active Directory. Vous pouvez modifier ces réglages depuis longlet Avancé de la boîte de dialogue des propriétés du serveur depuis la console DNS (voir Figure 5-27).

Figure 5-27 Onglet Avancé des propriétés du serveur DNS

Les réglages dinstallation du serveur comprennent six options serveur activées ou désactivées et trois autres dispositifs serveur proposant diverses sélections de configuration. Le Tableau 5-2 présente les réglages par défaut de ces neuf jeux de paramètres.
Tableau 5-2 Réglages dinstallation DNS par défaut

PropriétéRéglage
Désactiver la récursivité
ActivéLier les zones secondairesActivé Échec de chargement si les données zone sont erronéesDésactivéActiver la fonction Round RobinActivéActiver le tri de masques réseauActivéSécuriser le cache contre la pollutionActivéVérification de nomSur plusieurs octets (UTF8)Charger les données de zone au démarrageÀ partir de Active Directory et du Registre Activer le nettoyage automatique des enregistrements obsolètes
Désactivé (nécessite une configuration si activé)

Dans la plupart des cas, les réglages par défaut sont acceptables et nont pas à être modifiés. Vous pouvez toutefois si nécessaire recourir à la console DNS pour ajuster ces paramètres avancés et prendre en compte des besoins et circonstances particulières de déploiement.

Astuce dexamen Ces options font lobjet de nombreuses questions lors de lexamen 70-291. Familiarisez-vous particulièrement avec Désactiver la récursivité, Lier les zones secondaires, Activer la fonction Round Robin et Activer le tri de masques réseau.

Vous pouvez rétablir les réglages par défaut à tout moment depuis longlet Avancé en cliquant sur Restaurer les paramètres par défaut.

Pour rétablir les préférences par défaut du serveur DNS, respectez les étapes suivantes:

1. Ouvrez la console DNS.

2. Dans larborescence de la console, effectuez un clic droit sur le serveur DNS concerné, puis sélectionnez Propriétés.

3. Dans la boîte de dialogue des propriétés du serveur, cliquez sur longlet Avancé.

4. Cliquez sur Restaurer les paramètres par défaut, puis cliquez sur OK.

Les sections suivantes décrivent plus en détail les différentes options dinstallation.
Désactiver la récursivité

Loption serveur Désactiver la récursivité est désactivée par défaut. De ce fait, le serveur DNS utilise la récursivité pour résoudre les requêtes des clients, sauf si une configuration client particulière outrepasse ce comportement par défaut. Grâce à la récursivité, le serveur DNS interroge dautres serveurs pour le compte du client et tente de résoudre complètement un FQDN. Les requêtes se poursuivent par itération jusquà ce que le serveur reçoive une réponse faisant autorité pour le nom recherché. Le serveur fait alors suivre cette réponse vers le client à lorigine de la requête. Lorsque loption Désactiver la récursivité est activée, le service serveur DNS ne répond pas à la requête du client, mais lui fournit à la place des références, des enregistrements de ressource permettant à un client DNS deffectuer des requêtes itératives pour résoudre un FQDN. Cette option peut par exemple être souhaitable lorsque les clients doivent résoudre des noms Internet alors que le serveur DNS local ne contient que des enregistrements de ressource pour lespace de noms privé. La récursivité peut également être désactivée lorsque, en raison de sa configuration ou de sa place au sein dun réseau local, un serveur DNS est incapable de résoudre les noms DNS externes au réseau local.

Attention Si vous désactivez la récursivité sur un serveur DNS à laide de longlet Avancé, vous ne pouvez employer de redirecteurs sur le même serveur et longlet Redirecteurs devient inactif.

Lier les zones secondaires

Loption Lier les zones secondaires est activée par défaut. En conséquence, les serveurs sexécutant sous Windows Server 2003 nemploient pas le format de transfert rapide lors dun transfert de zone vers des serveurs DNS secondaires fondés sur BIND. Cette restriction permet une compatibilité de transfert de zone avec danciennes versions de BIND.

Remarque BIND est une mise en oeuvre DNS classique écrite et portée sur la plupart des versions disponibles du système dexploitation UNIX.

Le format de transfert rapide est un moyen efficace pour transférer des données de zone ayant recours à la compression des données et permettant le transfert de plusieurs enregistrements par un message TCP (Transmission Control Protocol) individuel. Le transfert rapide de zone est toujours employé entre des serveurs DNS fondés sur Windows, si bien que loption Lier les zones secondaires naffecte pas les communications entre serveurs Windows. Seules toutefois les versions BIND 4.9.4 et ultérieures peuvent gérer ces transferts rapides de zone.

Si vous savez que votre serveur DNS va effectuer des transferts de zone avec des serveurs DNS employant BIND version 4.9.4 ou ultérieure, vous devriez désactiver cette option pour autoriser les transferts rapides de zone.

Remarque Au moment de la rédaction de ce livre, la version BIND la plus récente est la 9.2.2.

Pour activer ou désactiver le format de transfert rapide lors de transferts de zone, respectez les étapes suivantes:

1. Ouvrez la console DNS.

2. Dans larborescence de la console, sélectionnez le serveur DNS concerné.

3. Dans le menu Action, sélectionnez Propriétés. La boîte de dialogue des propriétés du serveur s ouvre.

4. Cliquez sur longlet Avancé.

5. Dans la liste des options serveur, sélectionnez ou désélectionnez la case à cocher Lier les zones secondaires, puis cliquez sur OK. Cette option est activée par défaut.

Échec de chargement si les données de zone sont erronées

Par défaut, loption Échec de chargement si les données de zone sont erronées est désactivée. De ce fait, un serveur DNS sexécutant sous Windows Server 2003 charge une zone même sil saperçoit que le fichier de base de données de la zone comporte une erreur. Les erreurs sont mises en journal, mais le chargement de la zone seffectue tout de même. Après le chargement de la zone, le serveur DNS peut tenter de répondre aux requêtes concernant cette zone. En revanche, si vous activez cette option, le serveur DNS ne charge pas une zone sil détermine que le fichier de base de données de la zone comporte une erreur.

Activer le tri de masques réseau

Loption Activer le tri de masques réseau est sélectionnée par défaut. Ce réglage par défaut garantit que, en réponse à une requête de résolution dun unique nom dordinateur correspondant à plusieurs enregistrements de ressource hôte (A), les serveurs DNS sous Windows Server 2003 renvoient dabord au client toute adresse IP appartenant au même sous-réseau que le client.

Remarque Les ordinateurs à hôtes multiples enregistrent généralement plusieurs enregistrements de ressource hôte (A) pour le même nom dhôte. Lorsquun client tente de résoudre le nom dhôte dun ordinateur à hôtes multiples en contactant un serveur DNS, celui-ci répond au client par une liste de réponse contenant tous les enregistrements de ressource correspondants à la requête du client. À la réception de cette liste, un client DNS tente de contacter lhôte cible avec la première adresse IP de la liste de réponse. Si cela échoue, il tente de contacter la seconde adresse IP, et ainsi de suite. Les options Activer le tri de masques réseau et Activer la fonction Round Robin servent toutes deux à modifier lordre des enregistrements de ressource renvoyés dans la liste de réponse.

Exemple simple: Priorité au réseau local Un ordinateur à hôtes multip1es, server1.lucernepublishing.com, possède trois enregistrements de ressource A pour chacune de ses trois adresses IP dans la zone lucernepublishing.com. Ces trois enregistrements apparaissent dans lordre suivant dans la zone, tant dans le fichier de zone que dans Active Directory:

server1 IN A 192.168.1.27
server1 IN A 10.0.0.14
server1 IN A 172.16.20.4

Lorsquun solveur client DNS situé à ladresse IP 10.4.3.2 émet une requête vers le serveur pour les adresses IP de lhôte server1.lucernepublishing.com, le service serveur DNS remarque que ladresse IP réseau de départ (10.0.0.0.) du client correspond à lID de réseau (classe A) de ladresse 10.0.0.14 dans la liste de réponse des enregistrements de ressource. Le service serveur DNS trie alors comme suit les adresses dans la liste de réponse:

server1 IN A 10.0.0.14
server1 IN A 192.168.1.27
server1 IN A 172.16.20.4

Si ladresse IP du client demandeur ne possède pas de correspondance de réseau local avec un quelconque des enregistrements de ressource de la liste de réponse, la liste nest pas triée ainsi.

Exemple complexe: Priorité au sous-réseau local Dans un réseau ayant recours à la mise en sous-réseaux IP (des masques de sous-réseau non par défaut), un serveur DNS renvoie dabord toute adresse IP correspondant à la fois à lID de réseau et à lID de sous-réseau du client avant de renvoyer une adresse IP ne correspondant quà lID de sous-réseau du client.

Par exemple, un ordinateur à hôtes multiples, server1.lucernepublishing.com, possède quatre enregistrements de ressource A correspondants à chacune de ses quatre adresses IP dans la zone lucernepublishing.com. Deux de ces adresses IP concernent des réseau distincts. Les deux autres adresses IP partagent une même adresse IP réseau, mais, en raison de lemploi de masques de réseau personnalisés de 255.255.248.0, les adresses IP sont situées sur des sous-réseaux différents.

Ces enregistrements de ressource exemples apparaissent dans lordre suivant dans la zone, tant dans le fichier de zone que dans Active Directory:

server1 IN A 192.168.1.27
server1 IN A 172.16.22.4
server1 IN A 18.0.0.14
server1 IN A 172.16.31.5

Si ladresse IP du client demandeur est 172.16.22.8, les deux adresses IP correspondant au réseau IP du client (le réseau 172.16.0.0) sont renvoyées en haut de la liste de réponse vers le client. Dans cet exemple toutefois, ladresse 172.16.22.4 précède ladresse 172.16.31.5 parce quelle correspond à ladresse IP du client jusquà ladresse de sous-réseau de 172.16.20.0.
La liste de réponse triée renvoyée par le service DNS est la suivante:

server1 IN A 172.16.22.4
server1 IN A 172.16.31.5
server1 IN A 192.168.1.27
server1 IN A 18.0.0.14

Pour désactiver la priorité de sous-réseau pour les noms à hôtes multiples, respectez les étapes suivantes:

1. Ouvrez la console DNS et sélectionnez le serveur DNS concerné.

2. Dans le menu Action, sélectionnez Propriétés.

3. Dans la boîte de dialogue des propriétés du serveur, cliquez sur longlet Avancées.

4. Dans la liste des options du serveur, décochez la case Activer le tri de masques réseau, puis cliquez sur OK.

Astuce dexamen Le tri de masques réseau est souvent appelé réglage LocalNetPriority lors des examens MCSE. Ce nom provient de loption correspondante LocalNetPriority employée avec lutilitaire de ligne de commande Dnscmd.

Activer la fonction Round Robin

Loption Activer la fonction Round Robin (liste circulaire) est sélectionnée par défaut. Ce réglage fait en sorte quen réponse à une requête de résolution dun nom à hôtes multiples, les serveurs DNS de Windows Server 2003 font permuter de façon circulaire les enregistrements de ressource A correspondants dans la liste de réponse renvoyée aux clients ultérieurs. Ce dispositif permet déquilibrer facilement la charge réseau dun ordinateur à hôtes multiples fréquemment interrogé entre ses différents adaptateurs réseau. Il également souvent employé pour répartir les requêtes entre plusieurs serveurs offrant des services réseau identiques, comme un groupe de serveurs Web fournissant le contenu dun même site Web.

Remarque La priorité de sous-réseau local outrepasse lemploi de listes circulaires (round robin) pour les ordinateurs à hôtes multiples. Lorsquelle est activée, loption liste circulaire est toutefois employée comme méthode secondaire de tri denregistrements multiples renvoyés dans une liste de réponse.

Exemple de liste circulaire Le serveur Web nommé server1.lucernepublishing.com possède trois adaptateurs réseau et trois adresses IP distinctes. Dans la zone stockée, soit dans un fichier de base de données, soit dans Active Directory, les trois enregistrements de ressource A correspondant au nom dhôte de chaque adresse IP apparaissent dans un ordre fixe:

server1 IN A 10.0.0.1
server1 IN A 10.0.0.2
server1 IN A 10.0.0.3

Le premier client DNS (Client1) envoyant une requête vers le serveur pour résoudre ce nom dhôte reçoit la liste dans cet ordre par défaut. Lorsque toutefois un deuxième client (Client2) envoie une autre requête pour résoudre ce nom, la liste subit une permutation circulaire comme suit :

server1 IN A 10.0.0.2
server1 IN A 10.0.0.3
server1 IN A 10.0.0.1

Désactiver la fonction Round Robin Lorsque vous décochez la case Activer la fonction Round Robin, cette fonction est désactivée pour le serveur DNS. Dans ce cas, lorsque des clients interrogent le serveur DNS pour résoudre le nom dhôte dun ordinateur à hôtes multiples, le serveur renvoie toujours les enregistrements de ressource A correspondants dans lordre où ils apparaissent dans la zone.
Sécuriser le cache contre la pollution

Par défaut, loption Sécuriser le cache contre la pollution est activée. Ce réglage permet au serveur DNS de protéger son cache vis-à-vis de références potentiellement polluées ou peu fiables. Lorsque cette option est activée, le serveur ne met en cache que les enregistrements dont le nom correspond au domaine pour lequel est effectuée la requête originale. Toute référence reçue dun autre serveur DNS dans une réponse de requête est tout simplement éliminée.

Par exemple, si une requête est faite à lorigine pour exemple.microsoft.com, alors quune réponse référence fournit un enregistrement pour un nom extérieur à larborescence du nom de domaine microsoft.com (comme msn.com), ce nom est éliminé si loption Sécuriser le cache contre la pollution est activée. Ce réglage aide à empêcher un ordinateur non autorisé de se présenter comme un autre serveur réseau.

En revanche, lorsque cette option est désactivée, le serveur met en cache tous les enregistrements reçus en réponse à des requêtes DNS, même si ces enregistrements ne correspondent pas au nom de domaine recherché.

Vérification de nom

Par défaut, la zone de liste déroulante Vérification de nom de longlet de la boîte de dialogue des propriétés avancées du serveur DNS est fixée à Sur plusieurs octets (UTF8). Ainsi, le service DNS vérifie par défaut que tous les noms de domaine gérés par le service DNS sont conforme à UTF (Unicode Transformation Format). Unicode est un schéma de codage sur deux octets compatible avec le format traditionnel US-ASCII sur un octet et permettant la représentation binaire de la majorité des langues.

La Figure 5-28 montre les quatre méthodes de vérification de noms quil est possible de sélectionner dans la zone de liste déroulante Vérification de nom, chacune étant décrite dans le Tableau 5-3.

Figure 5-28 Méthodes de vérification de noms
Tableau 5-3 Méthodes de vérification de noms

MéthodeDescription
RFC Strict (ANSI)
Emploie une vérification de noms stricte. Ces restrictions, définies dans le RFC (Request For Comments) 1123, comprennent la limitation des noms aux lettres majuscules et minuscules (A-Z, a-z), aux nombres (0-9) et aux tirets (-). Le premier caractère dun nom DNS être un nombre.Non-RFC (ANSI)Autorise des noms non standards ne respectant pas spécification de noms dhôte Internet RFC 1123.Sur plusieurs octets
(UTF8)Permet la reconnaissance de caractères autres que ASCII, dont Unicode, en principe codés sur plus dun octet (8 bits). Avec cette option, les caractères sur plusieurs octets peuvent être transformés et représentés à laide de la prise en charge UTF-8, fournie par Windows Server 2003. Les noms codés au format UTF-8 ne doivent pas dépasser les limites de taille fixées par la RFC 2181, soit un maximum de 63 octets par étiquette et de 255 octets par nom. Le décompte des caractères ne permet pas de déterminer la taille, puisque certains caractères UTF-8 mesurent plus dun octet. Cette option autorise des noms de domaine employant des alphabets non-anglais.Tous les nomsAutorise toutes les conventions de dénomination.

En dépit de la souplesse de la méthode de vérification de noms UTF-8, mieux vaut fixer loption Vérification de nom à RFC strict lorsque vos serveur DNS effectuent des transferts de zone vers des serveurs non-Windows non compatibles UTF-8. Même si une mise en oeuvre DNS de serveur non compatible UTF-8 peut être capable daccepter le transfert dune zone contenant des noms codés en UTF-8, ces serveurs peuvent ne pas pouvoir écrire ces noms dans un fichier de zone ou les recharger depuis un fichier de zone.

Vous ne devez recourir aux deux autres options de Vérification de noms, Non-RFC et Tous les noms, que lorsquune application spécifique lexige.
Charger les données de zone au démarrage

Par défaut, la zone de liste déroulante Charger les données de zone au démarrage est fixée à loption À partir de Active Directory et du Registre. Ainsi, les serveurs DNS de Windows Server 2003 sinitialisent par défaut avec les réglages spécifiés dans la base de données Active Directory et le Registre du serveur.

Ce réglage dispose toutefois de deux autres options,À partir du Registre et À partir dun fichier (voir Figure 5-29).

Figure 5-29 Options dinitialisation du serveur

Lorsque vous sélectionnez loption À partir du Registre du réglage Charger les données de zone au démarrage, le serveur DNS est initialisé à partir des paramètres lus dans le Registre Windows. Si vous sélectionnez loption À partir dun fichier, le serveur DNS est initialisé à partir des paramètres stockés dans un fichier de démarrage, comme ceux employés par les serveurs BIND. Pour employer un tel fichier, vous devez fournir une copie dun fichier de démarrage à partir dun serveur DNS fondé sur BIND. Sur ces serveurs, ce fichier se nomme en principe Named.boot. Son format doit être lancien format BIND 4 et non le format plus récent BIND 8. Lorsque vous employez un fichier de démarrage, les réglages de ce fichier sont appliqués au serveur, outrepassant ceux stockés dans le Registre du serveur DNS. Les réglages par défaut du Registre ou tout réglage stocké sur le serveur sont toutefois employés par le service serveur DNS pour les paramètres ne pouvant être configurés à laide de directives du fichier de démarrage.

Activer le nettoyage automatique des enregistrements obsolètes

Par défaut, loption Activer le nettoyage automatique des enregistrements obsolètes est désactivée. Daprès ce réglage, les serveurs DNS de Windows Server 2003 neffacent pas automatiquement par défaut les enregistrements de ressource obsolètes ou périmés dune zone sur laquelle le vieillissement a été activé.

Lorsque cette option est activée, le nettoyage des enregistrements de ressource obsolètes est effectué automatiquement selon la fréquence configurée dans le Délai de nettoyage.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations présentées dans cette leçon. Si vous ne pouvez répondre à une question reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « HYPERLINK \l "_Révision_de_la_4" Questions et réponses » à la fin de ce chapitre.

1. Vous êtes ladministrateur réseau de Lucerne Publishing. Le réseau Lucerne Publishing ne comporte quun domaine, lucernepublishing.com, protégé de lInternet à laide dun pare-feu. Ce pare-feu sexécute sur un ordinateur nommé NS1 directement connecté à lInternet. NS1 exécute également le service serveur DNS et son pare-feu autorise le passage du trafic DNS entre lInternet et le service serveur DBS de NS1, mais pas entre lInternet et le réseau local. Le service serveur DNS Server de NS1 est configuré pour employer les listes circulaires (round robin). Derrière le pare-feu, deux ordinateurs exécutant Windows Server 2003, NS2 et NS3, sont respectivement un serveur DNS principal et un serveur DNS secondaire pour la zone lucernepnblishing.com. Les utilisateurs du réseau de lentreprise signalent que, bien quils puissent employer des noms dhôtes pour se connecter à des ordinateurs sur le réseau local privé, ils ne peuvent employer des noms dhôtes connecter à des destinations Internet comme www.microsoft.com. Parmi les actions suivantes, quest-ce qui demande le moins defforts administratifs pour permettre aux utilisateurs du réseau de se connecter aux noms dhôtes Internet?

Désactiver la récursivité sur NS2 et NS3.
Activer le tri de masques réseau sur NS1.
Configurer NS2 et NS3 pour quils emploient NS1 comme redirecteur.
Désactiver loption Round robin sur NS1.

2. Vous êtes ladministrateur dun réseau de grande taille comportant 10 domaines. Vous avez configuré une zone standard principale pour le domaine mfg.lucernepublishing.com sur un ordinateur nommé Server1. Vous avez également configuré un serveur UNIX, nommé Server2, pour héberger une zone secondaire pour le même domaine. Le serveur UNIX exécute BIND 8.2.1.Vous remarquez que les transferts de zone entre les serveurs principal et secondaire semblent générer plus de trafic que prévu, pesant sur les ressources réseau. Que pouvez-vous faire pour diminuer la charge réseau liée aux transferts de zone entre les serveurs principal et secondaire?

Décocher la case Lier les zones secondaires sur Server1.
Configurer un fichier de démarrage sur Server1 pour initialiser les réglages compatibles BIND.
Cocher la case Lier les zones secondaires sur Server1.
Configurer un fichier de démarrage sur Server2 pour activer les transferts de zone rapides.

3. Quelle est le but de la fonction Round robin ? Qui est prioritaire, la fonction Round robin ou le tri de masques réseau?

4. Vous êtes ladministrateur en chef du réseau de lentreprise Proseware, possédant quatre succursales. Chacune possède son propre LAN, connecté à lInternet à laide dune ligne Tl. À laide dune connectivité VPN (Virtual Private Network) sur lInternet, un unique intranet est maintenu et répliqué sur dautres serveurs Web dans chaque succursale. Les quatre serveurs Web possèdent des adresses IP uniques mais partagent un même FQDN, intranet.proseware.com (voir Figure 5-30).

Figure 5-30 Serveurs intranet de Proseware

Au sein du réseau de Proseware, un ordinateur client DNS possédant ladresse IP 192.168.33.5 soumet une requête à un serveur DNS pour le nom intranet.proseware.com. En supposant que loption Tri de masques de réseau soit activée sur le serveur DNS, quelle est ladresse IP renvoyée au client DNS ? (Indice : déterminer celui des quatre serveurs Web qui possède le même ID de sous-réseau que lordinateur client demandeur).

Résumé de la leçon

Longlet Avancées de la boîte de dialogue des propriétés du serveur DNS permet de configurer neuf réglages dinstallation.

Loption serveur Désactiver la récursivité est désactivée par défaut, si bien que la récursivité est activée pour le serveur DNS : celui-ci effectue des requêtes pour ses clients à moins quune configuration spéciale client noutrepasse ce comportement.

Loption Lier les zones secondaires est activée par défaut. Ainsi, les serveurs DNS de Windows Server 2003 nont pas recours au format de transfert rapide lors de transfert de zone vers des serveurs fondés sur BIND. Ce dispositif permet une compatibilité de transfert de zone avec des versions anciennes de BIND.

Loption Activer le tri de masques réseau est sélectionnée par défaut. En conséquence, en réponse à une réponse de requête de résolution de noms dun ordinateur à hôtes multiples (un ordinateur possédant plus dune adresse IP), les serveurs DNS de Windows Server 2003 renvoie dabord par défaut au client toute adresse IP située sur le sous-réseau client.

Loption Activer la fonction Round Robin est sélectionnée par défaut. Ainsi, en réponse à une requête de résolution dun nom hébergé sur plusieurs adresses, et lorsque la priorité de sous-réseau ne sapplique pas, les serveurs DNS de Windows Server 2003 permutent de façon circulait par défaut les enregistrements de ressource A correspondants dans la listes de réponse renvoyées aux différents clients.
Leçon 4: Création de délégations de zone

La gestion dun grand espace de noms comme celui de lInternet serait impossible sans la possibilité de déléguer ladministration de domaines. Grâce au processus de délégation, une nouvelle zone est créée lorsque la responsabilité pour un sous-domaine dun espace de noms DNS est affectée à une entité distincte. Celle-ci peut être un organisme anonyme ou une division de votre entreprise.

Vous pouvez créer une délégation de zone depuis la console DNS en exécutant lAssistant Nouvelle délégation.

À la fin de cette leçon, vous saurez:

Créer une zone déléguée dans un espace de noms DNS.
Expliquer les intérêts des délégations de zone.

Durée estimée : 30 minutes

Déléguer une zone

Déléguer une zone signifie affecter lautorité sur des portions de votre espace de noms DNS à des sous-domaines de cet espace de noms. Une délégation de zone se produit lorsque la responsabilité des enregistrements de ressource dun sous-domaine est transmise du propriétaire du domaine parent au propriétaire du sous-domaine. Par exemple, dans la Figure 5-31, la gestion du domaine microsoft.com est déléguée sur deux zones microsoft.com et mydomain.microsoft.com. Dans cet exemple, ladministrateur de la zone mydomain.microsoft.com contrôle les enregistrements de ressource de ce sous-domaine.

Figure 5-31 Exemple de délégations de zone
Quand déléguer une zone

Vous devez envisager de déléguer une zone dans votre réseau lorsque lune des conditions suivantes se présente:

Vous devez déléguer la gestion dun domaine DNS à une division ou à un service de votre entreprise.
Vous devez répartir la charge de la maintenance dune grosse base de données DNS sur plusieurs serveurs de noms pour améliorer les performances de résolution de noms et la tolétrance aux pannes.
Vous devez structurer les hôtes et les noms dhôtes selon une répartition par division ou par service dans votre entreprise. Lors du choix d structure des zones, vous devez employer un plan reflétant la structure de votre entreprise.
Fonctionnement des délégations

Pour mettre en oeuvre une délégation, la zone patente doit contenir à la fois un enregistrement de ressource A et un enregistrement de ressource NS pointant vers le serveur faisant autorité pour le domaine nouvellement délégué. Ces enregistrements sont nécessaires, tant pour transférer lautorité aux nouveaux serveurs de noms que pour offrir des références aux clients effectuant des requêtes itératives. Vous découvrirez dans cette section un exemple de délégation dun sous-domaine vers une nouvelle zone.

Remarque Ces enregistrements sont automatiquement créés par la console DNS lors de la création dune nouvelle délégation.

Dans la Figure 5-3 2, un ordinateur serveur DNS faisant autorité pour le nouveau sous-domaine délégué example.microsoft.com reçoit un nom fondé sur un sous-domaine dérivé inclus dans la nouvelle zone (ns1.us.example.microsoft.com).Afin de faire connaître ce serveur aux autres serveurs extérieurs à la zone nouvellement déléguée, la zone microsoft.com doit posséder deux enregistrements de ressource pour terminer la délégation vers la nouvelle zone. Ces enregistrements sont automatiquement créés lorsque vous exécutez lAssistant Nouvelle délégation depuis la console DNS.

Figure 5-32 Enregistrements de ressource pour une délégation

Voici les enregistrements créés:

Un enregistrement NS (également connu sous le nom denregistrement de délégation) pour créer la délégation. Cet enregistrement sert à prévenir les clients demandeurs que lordinateur nommé ns1.us.example.microsoft.com est un serveur faisant autorité pour le sous-domaine délégué.

Un enregistrement de ressource A (également connu sous le nom denregistrement « glue ») pour résoudre le nom du serveur spécifié dans lenregistrement NS en ses adresses IP. Les enregistrements « glue» sont nécessaires lorsque le serveur de noms faisant autorité pour la zone déléguée est également un membre du domaine délégué. Le processus de résolution du nom dhôte dans cet enregistrement vers le serveur DNS délégué DNS de lenregistrement NS est parfois nommé « chasse au glue » (glue chasing).

Remarque Après avoir créé une délégation via la console DNS, un enregistrement « glue » apparaît automatiquement dans les données de zone. Cet enregistrement est toutefois masqué à affichage dans la console DNS.

Supposez quun serveur DNS externe (agissant comme un client) souhaite résoudre le FQDN box.examplc.microsoft.com. Lorsque cet ordinateur envoie une requête vers un serveur de noms faisant autorité sur le domaine microsoft.com, ce serveur de noms répond par lenregistrement «glue », informant le client que le serveur de noms faisant autorité pour le domaine example.microsoft.com est ns1.us.example.microsoft.com, dont ladresse IP est 192.168.1.5. Lordinateur demandeur effectue alors une autre requête itérative vers le serveur de noms ns1.us.example.microsoft.com. Ce dernier serveur de noms répond finalement à lordinateur demandeur avec ladresse de lhôte box.example.microsoft.com, pour lequel le serveur de noms autorité.

Remarque Les délégations sont prioritaires par rapport à la redirection. Si, dans lexemple précédent, le serveur faisant autorité pour le domaine microsoft.com était configuré pour rediriger toutes les requêtes auxquelles il ne peut répondre, il répondrait toujours à une requête pour le nom box.example.microsoft.com en contactant ns1.us.example.microsoft.com et non en contactant le redirecteur spécifié sur longlet Redirecteurs.

Création dune délégation de zone

Pour créer une délégation de zone, créez dabord le domaine à déléguer sur le serveur devant héberger la zone déléguée. Exécutez ensuite lAssistant Nouvelle délégation sur le serveur hébergeant la zone parente en effectuant un clic droit sur le noeud de la zone parente dans la console DNS et en sélectionnant Nouvelle délégation.

Pour terminer lAssistant Nouvelle délégation, vous devez spécifier le nom du sous-domaine délégué et le nom dau moins un serveur de noms faisant autorité pour la nouvelle zone. Après avoir exécuté lAssistant, un noeud apparaît dans larborescence de la console DNS, représentant le sous-domaine nouvellement délégué. Ce noeud contient lenregistrement de ressource NS de délégation du serveur faisant autorité que vous venez de spécifier. Lenregistrement « glue » apparaît dans les données de zone, mais pas dans la console DNS.

Pour créer une délégation de zone, respectez les étapes suivantes:

1. Ouvrez la console DNS.

2. Dans larborescence de la console, effectuez un clic droit sur le domaine concerné et sélectionnez Nouvelle délégation. LAssistant Nouvelle délégation se lance.

3. Suivez les instructions de lAssistant Nouvelle délégation pour terminer la création du domaine nouvellement délégué.

Exercice pratique : Création dune délégation de zone

Dans cet exercice pratique, vous créez une nouvelle zone sur Ordiniteur2 devant devenir un sous-domaine délégué du domaine domain1.local. Vous créez ensuite une délégation sur Ordinateur1 liée à cette nouvelle zone de Ordinateur2.Vous vérifiez enfin la nouvelle configuration.

Exercice 1 : Création dune zone à déléguer

Dans cet exercice, vous créez une nouvelle zone sur Ordinateur2.

1. Sur Ordinateur2, ouvrez une session sur Domain1 en tant quadministrateur.

2. Ouvrez la console DNS.

3. Dans larborescence de la console DNS, effectuez un clic droit sur le noeud Zones de recherche directe, puis sélectionnez Nouvelle zone. LAssistant Nouvelle zone se lance.

4. Cliquez sur Suivant. La page Type de zone apparaît.

5. Cliquez sur Suivant pour accepter la sélection par défaut, Zone principale. La page Nom de zone apparaît.

6. Dans la zone de texte Nom, tapez sub.domain1.local et cliquez sur Suivant. La page Fichier de zone apparaît.

7. Cliquez sur Suivant pour accepter la sélection par défaut, Créer un nouveau fichier avec ce nom de fichier. La page Mise à jour dynamique apparaît.

8. Sélectionnez Autoriser à la fois les mises à jours dynamiques sécurisées et non sécurisées, puis cliquez sur Suivant. La page Fin de lAssistant Nouvelle zone apparaît.

9. Cliquez sur Terminer.

Exercice 2 : Ajout denregistrements de ressource hôte (A) à la zone

Dans cet exercice, vous ajoutez des enregistrements à la nouvelle zone. Vous vous en servirez par la suite pour vérifier la délégation de zone.

1. Sur Ordinateur2, toujours avec une session ouverte sur Domain1 en tant quadministrateur, ouvrez la console DNS si elle nest pas déjà ouverte.

2. Dans larborescence de la console DNS, sélectionnez le nud Sub.domain1.local. Effectuez ensuite un clic droit sur le nud Sub.domain1.local et sélectionnez Nouvel hôte (A). La boîte de dialogue Nouvel hôte apparaît.

3. Dans la zone de texte Nom, tapez ordinateur1.

4. Dans la zone de texte Adresse IP, tapez 192.168.0.1 (ladresse IP actuellement affectée à Ordinateur1), puis cliquez sur Ajouter un hôte. Une boîte de message indique que lenregistrement hôte a été créé avec succès.

5. Cliquez sur OK. la boîte de dialogue Nouvel hôte reste ouverte, avec les zones de texte Nom et Adresse IP maintenant vides.

6. Dans la zone de texte Nom, tapez ordinateur2.

7. Dans la zone de texte Adresse IP, tapez ladresse IP actuellement affectée à Ordinateur2.

8. Cliquez sur Ajouter un hôte. Une boîte de message indique que lenregistrement hôte a été créé avec succès.

9. Cliquez sur OK, puis cliquez sur Terminer.

10. Fermez la session sur Ordinateur2.

Exercice 3 : Création dune délégation

Dans cet exercice, vous créez une délégation sur Ordinateur1 se connectant à la zone sub.domain1.local sur Ordinateur2.

1. Sur Ordinateur1,ouvrez une session sur Domain1 en tant quadministrateur.

2. Ouvrez la console DNS.

3. Dans larborescence de la console DNS, sélectionnez le noeud Domain1.local. Ensuite, effectuez un clic droit sur le nud Domain1.local et sélectionnez Nouvelle délégation. LAssistant Nouvelle délégation se lance.

4. Cliquez sur Suivant, La page Nom de domaine délégué apparaît.

5. Dans la zone de texte Domaine délégué, tapez sub, puis cliquez sur Suivant. La page Serveurs de noms apparaît.

6. Cliquez sur Ajouter. La boîte de dialogue Nouvel enregistrement de ressource apparaît.

7. Dans la zone de texte Nom de domaine pleinement qualifié du serveur (FQDN), tapez ordinateur2.sub.domain1.local.

8. Dans la zone de texte Adresse IP, tapez ladresse IP actuellement affectée à Ordinateur2.

9. Cliquez sur Ajouter, puis cliquez sur OK.

10. Sur la page Serveurs de noms de lAssistant Nouvelle délégation, cliquez sur Suivant. La page Fin de lAssistant Nouvelle délégation apparaît.

11. Cliquez sur Terminer. Dans larborescence de la console DNS, vous voyez maintenant le noeud Sous-délégation sous la zone domain1.local.

12. Servez-vous de la console DNS pour répondre à la question suivante:
combien denregistrements de ressource hôte (A) lOrdinateurl possède-t-il pour le domaine sub.domain1.local?

Exercice 4 : Test de la configuration

Dans cet exercice, vous effectuez un ping vers les hôtes du domaine nouvellement délégué depuis Ordinateur1 ,qui emploie le serveur DNS local pour la résolution de noms.

1. Si ce nest déjà fait, depuis Ordinateur1 ouvrez une session sur Domain1 en tant quadministrateur.

2. Ouvrez une invite de commande et tapez ping ordinateur1.sub.domain1.local. Appuyez ensuite sur Entrée.

La sortie indique que lhôte ordinateur1.sub.domain1.local répond depuis ladresse IP 192.168.0.1. Si le ping a échoué, tapez à linvite de commande ipconfig /flushdns, attendez 2 minutes, puis appuyez sur Entrée.

3. Une fois la sortie de ping achevée, tapez à linvite de commande ping ordinateur2.sub.domain1.local, puis appuyez sur Entrée. La sortie indique que lordinateur2.sub.domain1.local répond depuis ladresse IP 192.168.0.02. Si le ping a échoué, tapez à linvite de commande ipconfig /flushdns, attendez 2 minutes, puis appuyez sur Entrée.

Les nouveaux noms dordinateur sont résolus en adresses IP bien que lordinateur local, Ordinateur1, effectue la résolution de noms par le biais du serveur DNS local, dépourvu denregistrements hôte pour le domaine sub.domain1.local. Le serveur DNS local redirige correctement les requêtes pour les hôtes du sous-domaine sub.domain1.local vers le serveur de noms faisant autorité pour ce domaine, à savoir Ordinateur2.

4. Fermez la session sur Ordinateur1.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « HYPERLINK \l "_Révision_de_la_5" Questions et réponses » à la fin de ce chapitre.

1. Vous concevez lespace de noms DNS dune entreprise nommée Proseware, possédant le nom de domaine déposé proseware.com. Proeware possède son siège à Rochester et deux succursales à Buffalo et Syracuse. Chaque établissement possède un LAN et un administrateur réseau distinct. Vous voulez configurer un serveur DNS unique sur que emplacement et imposer que le siège héberge le domaine proseware.com. En outre, vous voulez que les administrateurs de Buffalo et de Syracuse conservent la responsabilité des noms et de la résolution de noms DNS au sein de leur réseau. Parmi les étapes suivantes, que devez-vous retenir ?

Configurer un serveur principal standard à Rochester pour héberger la zone proseware.com. Déléguer un sous-domaine dans chaque succursale. Configurer un serveur secondaire à Buffalo et à Syracuse pour héberger chaque sous-domaine délégué.

Configurer un serveur principal standard à Rochester pour héberger la zone proseware.com. Configurer un serveur secondaire à Buffalo et à Syracuse pour améliorer les performances et la tolérance aux pannes sur la zone.

Configurer le serveur DNS de Rochester pour héberger une zone principale standard pour le domaine proseware.com. Configurer les serveurs DNS de Buffalo et Syracuse pour quils hébergent chacun une zone principale standard pour un pour un sous-domaine de proseware.com. Créer une délégation du serveur DNS de Rochester dans chaque sous-domaine.

Configurer le serveur DNS de Rochester pour héberger une zone principale standard pour le domaine proseware.com. Configurer les serveurs DNS de Buffalo et Syracuse pour quils hébergent chacun une zone principale standard pour un sous-domaine de proseware.com. Ajouter des zones secondaires sur chaque serveur DNS pour effectuer des transferts des zones principales hébergées sur les deux autres serveurs DNS.

2. Vous êtes ladministrateur du réseau de votre entreprise, composé dun LAN au siège et de trois LAN de succursales, tous dans des villes différentes. Vous avez décidé de concevoir une nouvelle infrastructure DNS lors du déploiement de Active Directory sur votre réseau. Vos objectifs pour ce réseau sont pour commencer la mise en oeuvre dune unique forêt Active Directory sur lensemble des quatre emplacements, puis de réduire les temps de réponses pour les utilisateurs se connectant aux ressources du réseau. Supposez que toutes les succursales possèdent des contrôleurs de domaine exécutant des serveurs DNS. Parmi les actions suivantes, lesquelles répondent-elles le mieux à vos objectifs?

Configurer un unique domaine Active Directory sur les quatre emplacements et configurer une unique zone intégrée à Active Directory répliquée sur la totalité du domaine.

Configurer un unique domaine Active Directory sur les quatre emplacements et configurer une zone principale standard au siège avec des transferts de zone vers les zones secondaires de chaque succursale.
Configurer un domaine Active Directory et un domaine DNS pour le siège, déléguer un sous-domaine DNS dans chaque succursale et configurer une zone intégrée Active Directory à chaque emplacement, répliquée sur lensemble de la forêt.

Configurer un domaine Active Directory et un domaine DNS pour le siège, déléguer un sous-domaine DNS dans chaque succursale et configurer une zone intégrée Active Directory à chaque emplacement, répliquée sur lensemble du domaine.

3. Quels enregistrements de ressource sont-ils ajoutés à une zone parente pour déléguer un sous-domaine donné ? Quelles sont les fonctions spécifiques de ces enregistrements?

4. Le serveur DNS NS1 héberge la zone lucernepublishing.com et est configuré pour rediriger toutes les requêtes pour lesquelles le serveur ne fait pas autorité. NS1 reçoit une requête pour sub.lucernepublishing.com, un sous-domaine délégué. Où la requête sera-t-elle redirigée?

Résumé de la leçon

Déléguer une zone signifie affecter lautorité sur des portions de votre espace de noms DNS à des sous-domaines de cet espace de noms. Une délégation de zone se produit lorsque la responsabilité des enregistrements de ressource dun sous-domaine est passée du propriétaire du domaine parent au propriétaire du sous-domaine.

Vous devez envisager de déléguer une zone de votre réseau lorsque quil est nécessaire de déléguer la gestion dun domaine DNS à une division ou à un service de votre entreprise, lorsquil faut répartir la charge de la maintenance dune grosse base de données DNS entre plusieurs serveurs de noms pour améliorer la performance de la résolution de noms et la tolérance aux pannes ou lorsque vous devez structurer des hôtes et des noms dhôtes daprès les divisions et services de votre entreprise.

Pour quune délégation soit mise en oeuvre, la zone parente doit contenir à la fois un enregistrement de ressource A et un enregistrement de ressource NS pointant vers le serveur faisant autorité pour le domaine nouvellement délégué. Ces enregistrements sont nécessaires à la fois pour transférer lautorité vers les nouveaux serveurs de noms et procurer des références aux clients effectuant des requêtes itératives. Ces enregistrements sont automatiquement créés par la console lorsque vous créez une nouvelle délégation.

Pour créer une délégation de zone, créez dabord le domaine à déléguer sur le serveur devant héberger la zone déléguée. Exécutez ensuite lAssistant Nouvelle délégation sur le serveur hébergeant la zone parente en effectuant un clic droit sur le noeud de la zone parente de la console DNS et en sélectionnant Nouvelle délégation.
Leçon 5 : Déploiement de zones de stub

Une zone de stub est une copie simplifiée dune zone, régulièrement mise à jour et ne contenant que les enregistrements NS appartenant à une zone maîtresse. Un serveur hébergeant une zone de stub ne doit pas répondre directement à une requête pour la zone, mais la rediriger vers lun des serveurs de noms spécifiés dans les enregistrements de ressource NS de la zone de stub.

À la fin de cette leçon, vous saurez:

Créer une zone de stub.
Décrire les intérêts et les limites des zones de stub.

Durée estimée : 30 minutes

Compréhension des zones de stub

Lorsque vous configurez une nouvelle zone à laide de lAssistant Nouvelle zone, vous pouvez la créer comme zone principale, secondaire ou de stub (voir Figure 5-33). Lorsque vous créez une zone de stub, celle-ci est configurée pour ne contenir que les enregistrements (les enregistrements de ressource NS) nécessaires à la localisation des serveurs de noms de la zone maîtresse spécifiée par le nom de la zone de stub.

Figure 5-33 Création dune zone de stub

Les zones de stub servent à garder actualisés tous les enregistrements de ressource NS dune zone maîtresse. Pour configurer une zone de stub, vous devez spécifier au moins un serveur de noms, le maître, dont ladresse IP reste immuable. Tout nouveau serveur de noms ajouté par la suite à la zone maîtresse est mis à jour automatiquement dans la zone de stub grâce aux transferts de zone.

Il est impossible de modifier les enregistrements de ressource dune zone de stub. Toute modification des enregistrements dune zone de stub doit être effectuée dans la zone principale originale doù est dérivée la zone de stub.

Pour ajouter une zone de stub, respectez les étapes suivantes:

1. Ouvrez la console DNS.

2. Dans larborescence de la console,effectuez un clic droit sur un serveur DNS, puis sélectionnez Nouvelle zone pour ouvrir lAssistant Nouvelle zone.

3. Suivez les instructions pour créer une nouvelle zone de stub.

Intérêts des zones de stub

Les zones de stub offrent les avantages suivants:

Amélioration de la résolution de noms Les zones de stub permettent à un serveur DNS demployer la récursivité grâce à la liste des serveurs de noms de la zone de stub sans interroger le serveur racine.

Conservation à jour des informations de la zone étrangère En mettant régulièrement à jour la zone de stub, le serveur DNS qui lhéberge maintient une liste à jour des serveurs de noms pour une zone différente, comme une zone déléguée sur un autre serveur DNS.

Simplification de ladministration DNS En employant des zones de stub dans votre infrastructure DNS, vous pouvez distribuer les informations de zone sans employer de zones secondaires.

Important Les zones de stub ne remplissent pas le même objectif que les zones secondaires et ne constituent pas une autre solution en matière de tolérance aux pannes, de redondance ou déquilibrage de la charge.

Quand employer des zones de stub

Les zones de stub servent le plus souvent à conserver une trace des serveurs de noms faisant autorité pour les zones délégués. Elles sont le plus fréquemment hébergées sur les serveurs DNS parents de ces zones déléguées.

Un serveur DNS qui a délégué une zone fille vers un autre serveur DNS est normalement informée des nouveaux serveurs DNS faisant autorité et ajoutés à la zone enfant uniquement lorsque les enregistrements de ressource de ces nouveaux serveurs DNS sont ajoutés manuellement à la zone parente.

Avec les zones de stub, un serveur DNS peut héberger une zone de stub pour une de ses zones déléguées (filles) et obtenir des mises à jour des serveurs faisant autorité pour la zone lors de lajout de serveurs de noms supplémentaires à la zone maîtresse. Cette fonctionnalité est expliquée dans lexemple suivant (voir Figure 5-34).

Figure 5-34 Zones de stub et délégations

Astuce dexamen Attendez-vous à être interrogé sur les zones de stub lors de lexamen 70-291. Avant tout, vous devez être capable de reconnaître les scénarios où le déploiement dune zone de stub est approprié.
Exemple de zone de stub

Un serveur DNS faisant autorité pour la zone parente microsoft.com a délégué une zone fille, widgets.microsoft.com, à des serveurs DNS distincts. Lors de la création initiale de la délégation pour la zone fille widgets.microsoft.com, elle ne contenait que deux enregistrements de ressource NS pour les serveurs DNS faisant autorité pour la zone widgets.microsoft.com. Par la suite, les administrateurs de cette zone ont configuré dautres serveurs DNS faisant autorité pour la zone, mais sans avertir les administrateurs de la zone parente, microsoft.com. Par conséquent, le serveur DNS hébergeant la zone parente nest pas informé des nouveaux serveurs DNS faisant autorité pour cette zone enfant, widgets.microsoft.com, et continue à interroger les seuls serveurs DNS faisant autorité qui existent dans la zone déléguée.

Vous pouvez remédier à cette situation en configurant le serveur DNS faisant autorité pour la zone parente, microsoft.com, pour héberger une zone de stub pour sa zone fille, widgets.microsoft.com. Lorsque ladministrateur du serveur DNS faisant autorité pour microsoft.com met à jour les enregistrements de ressource de sa zone de stub, il interroge le serveur maître â propos de widgets.microsoft.com pour obtenir les enregistrements de serveurs D NS faisant autorité pour cette zone. Par conséquent, le serveur DNS faisant autorité pour la zone parente découvre les nouveaux serveurs de noms faisant autorité pour la zone enfant widgets.microsoft.com et peut employer la récursivité vers tous les serveurs DNS faisant autorité pour la zone fille
Autres emplois des zones de stub

Vous pouvez également vous servir de zones de stub pour faciliter la résolution de noms de domaines de façon à éviter de parcourir lespace de noms DNS à la recherche dun serveur parent commun. Les zones de stub peuvent ainsi remplacer des zones secondaires dans des situations où lamélioration de la connectivité DNS entre domaines est importante, mais où la fourniture dune redondance de données pour la zone maîtresse ne lest pas. Remarquez également que les zones de stub améliorent la résolution de noms et éliminent le poids sur les ressources réseau résultant normalement de transferts de zone de grande taille.

La Figure 55 illustre lemploi de zones de stub pour faciliter ainsi la résolution de noms. Dans cet exemple, une requête pour le nom dhôte ns.mgmt.ldn.microsoft.com est soumise à deux serveurs de noms différents. Dans le premier cas, le serveur faisant autorité pour le domaine mfg.wa.microsoft.com accepte la requête. De nombreux autres serveurs de noms doivent alors être contactés avant que le serveur de noms de destination faisant autorité pour le domaine adéquat (mgmt.ldn.microsoft.com) ne reçoive la requête. Dans le second cas, le serveur DNS faisant autorité pour le domaine actg.wa.microsoft.com reçoit une requête pour le même nom, ns.mgmt.ldn.microsoft.com. Ce second serveur hébergeant également une zone de stub pour la destination mgmt.ldn.microsoft.com, il connaît déjà ladresse du serveur faisant autorité pour ns.mgmt.ldn.microsoft.com et envoie une requête récursive directement vers ce serveur.

Figure 5-35 Emploi de zones de stub sur des domaines
Enregistrements de ressource dune zone de stub

Une zone de stub contient des enregistrements de ressource SOA, NS, et A « glue » pour les serveurs DNS faisant autorité pour une zone. Le type SOA identifie le serveur DNS principal de la zone actuelle (serveur maître) et dautres informations de propriétés de zone. Lenregistrement de ressource de type NS contient la liste des serveurs DNS faisant autorité pour une zone (serveurs principal et secondaires). Les enregistrements de ressource A « glue » renferment les adresses IP des serveurs DNS faisant autorité pour la zone.

Remarque Comme avec les délégations, les zones de stub contiennent des enregistrements « glue » dans les données de zone, ces enregistrements nétant pas visibles dans la console DNS.

Résolution de zone de stub

Lorsquun client DNS effectue une opération de requête récursive sur un serveur DNS hébergeant une zone de stub, le serveur DNS emploie les enregistrements de ressource de la zone de stub pour résoudre la requête.

Le serveur DNS interroge ensuite les serveurs faisant autorité spécifiés dans les enregistrements de ressources NS de la zone de stub. Sil ne peut trouver aucun des serveurs faisant autorité répertoriés dans sa zone de stub, il tente une récursivité standard. Le serveur DNS stocke dans son les enregistrements de ressource quil reçoit des serveurs faisant autorité dune zone de stub et non dans la zone de stub elle-même. Seuls sont stockés dans la zone de stub les enregistrements de ressource SOA, NS et A renvoyés en réponse à la requête. Les enregistrements de ressource stockés dans le cache sont conservés selon la valeur de durée de vie (TTL) de chaque en enregistrement de ressource. Les enregistrements de ressource SOA, NS et A, non stockés dans le cache, expirent en respectant lintervalle spécifié dans lenregistrement de ressource SOA de la zone de stub, généré lors de la création de la zone de stub et mis à jour au cours des transferts de la zone principale originale vers la zone de stub.

Lorsquun serveur DNS reçoit une requête pour laquelle la récursivité a été désactivée, le serveur DNS renvoie une référence pointant vers les serveurs spécifiés dans la zone de stub.

Mises à jour de zone de stub

Lorsquun serveur DNS charge une zone de stub, il interroge le serveur maître de la zone à propos de lenregistrement de ressource SOA, des enregistrements de ressource NS de la racine de la zone et des enregistrements de ressource A. Pendants les mises à jour de la zone de stub, le serveur maître est interrogé par le serveur DNS hébergeant la zone de stub pour les mêmes types denregistrements de ressource que ceux requis lors du chargement de la zone de stub. Lintervalle dactualisation de lenregistrement de ressources SOA détermine lorsque le serveur DNS hébergeant la zone de stub tente un transfert de zone (mise à jour). Si la mise à jour échoue, lintervalle avant nouvelle tentative de lenregistrement de ressource SOA détermine quand la mise à jour est tentée à nouveau. Après lexpiration de lintervalle avant nouvelle tentative sans mise à jour réussie, le délai dexpiration tel que spécifié dans le champ Expire après de lenregistrement de ressource SOA détermine quand le serveur DNS arrête demployer les données de la zone de stub.

Vous pouvez vous servir de la console DNS pour effectuer les opération de mise à jour de zone de stub suivantes:

Rechargement Cette opération recharge la zone de stub depuis le stockage local du serveur DNS qui lhéberge.

Transfert à partir du maître Le serveur DNS hébergeant la zone de stub détermine si le numéro de série de lenregistrement de ressource SOA de la zone de stub a expiré, puis effectue un transfert de zone depuis le serveur maître de la zone de stub.

Rechargement à partir du maître Cette opération effectue un transfert de zone depuis le serveur maître de la zone de stub quel que soit le numéro de série de lenregistrement de ressource SOA de la zone de stub.

Astuce dexamen Pour lexamen 70-291, vous devez comprendre les différences entre ces trois opérations, qui peuvent sappliquer aux zones secondaires comme aux zones de stub.

Exercice pratique: Déploiement dune zone de stub

Dans cet exercice pratique, vous créez une zone de stub sur Ordinateur1, tirant des transferts depuis le sous-domaine délégué sub.domain1.local.
Exercice 1: Création dune zone de stub

Dans cet exercice, vous exécutez lAssistant Nouvelle zone sur Ordinateur1 pour créer une zone de stub.

Important Lexercice suivant suppose que vous avez installé le serveur DNS sur Ordinateur2 à laide de lAssistant Composants Windows (comme décrit dans le HYPERLINK \l "_Exercice_1_:"Chapitre 4, Leçon 3). Ici, les transferts de zone de la zone Sub.domain1.local sont activés par défaut mais limités aux serveurs de noms faisant autorité. Si, en revanche, vous avez installé le serveur DNS sur Ordinateur2 en employant la fenêtre Gérer votre serveur pour ajouter le rôle serveur DNS, les transferts de zone pour toutes les zones hébergées localement sont désactivées par défaut. Dans ce cas, avant de commencer lexercice, veillez à activer les transferts de zone pour la zone Sub.domain1.local et à restreindre les transferts de zone aux serveurs énumérés sur longlet Serveurs de noms.

1. Depuis Ordinateur1, ouvrez une session sur Domain1 en tant quadministrateur.

2. À linvite de commande, tapez la commande suivante:
dnscmd ordinateur2/recordadd sub.domain1.local @ ns ordinateur1. domain1.local.
Cette commande ajoute Ordinateur1 à longlet Serveurs de noms de la boîte de dialogue Propriétés de Sub.domain1.local de la console DNS de Ordinateur2.

3. Ouvrez la console DNS, effectuez un clic droit sur le noeud Zones de recherche directe, puis sélectionnez Nouvelle zone. LAssistant Nouvelle zone se lance.

4. Cliquez sur Suivant. La page Type de zone apparaît.

5. Sélectionnez Zone de stub, décochez la case Stocker la zone dans Active Directory puis cliquez sur Suivant. La page Nom de zone apparaît.

6. Dans la zone de texte Nom de la zone, tapez sub.domain1.local, puis cliquez sur Suivant. La page Fichier de zone apparaît.

7. Cliquez sur Suivant pour accepter la sélection par défaut, Créer un nouveau fichier avec ce nom de fichier. La page Serveurs DNS maîtres apparaît.

8. Dans la zone de texte Adresse IP, tapez ladresse IP actuellement affectée à Ordinateur2, cliquez sur Ajouter, puis cliquez sur Suivant. La page Fin de lAssistant Nouvelle zone apparaît.

9. Cliquez sur Terminer. La zone sub.domain1.local apparaît mainte dans larborescence de la console DNS sous le noeud Zones de recherche directe.

10. Effectuez un clic droit sur le noeud Sub.domain1.local dans larborescence de la console (pas dans le volet de détails), puis sélection Transfert à partir du maître.

Astuce Si vous recevez un message derreur, attendez 10 secondes et retentez létape 10.

11. Une fois la zone chargée avec succès, le noeud ne montre que trois enregistrements de ressource : lenregistrement de ressource SOA de la zone et les enregistrements de ressource NS pointant vers Ordinateur2 et Ordinateur1.

12. Fermez la session sur Ordinateur1.
Révision de la leçon

Les questions suivantes ont pour but de renforcer les informations clés présentées dans cette leçon. Si vous ne pouvez répondre à une question, reportez-vous à la leçon et recommencez-la. Les réponses figurent dans la section « HYPERLINK \l "_Révision_de_la_6"Questions et réponses » à la fin de ce chapitre.

1. Quel est lemploi le plus fréquent dune zone de stub?

2. Parmi ce qui suit, quest qui nest pas un des intérêts de lemploi du zone de stub?

Amélioration des performances de résolution de noms
Maintient à jour des informations de zone étrangère
Simplification de ladministration DNS
Augmentation de la tolérance aux pannes pour les serveurs DNS

3. Quand devez-vous choisir de mettre en oeuvre une zone de stub plutôt quune zone secondaire ? Quand devez-vous choisir de mettre en uvre une zone secondaire plutôt quune zone de stub?

Résumé de la leçon

Une zone de stub est une copie simplifiée dune zone, mise à jour régulièrement et ne renfermant que les enregistrements NS et SOA appartenant à sa zone maîtresse. Les zones de stub servent le plus souvent à suivre les serveurs de noms faisant autorité pour des zones déléguées et sont généralement hébergées sur les serveurs DNS parents de ces zones déléguées.

Les zones de stub peuvent servir à faciliter la résolution de noms entre domaines de façon à éviter de parcourir lespace de noms DNS à la recherche dun serveur parent commun.

Pour créer une zone de stub, vous ouvrez lAssistant Nouvelle zone en effectuant un clic droit sur licône du serveur DNS dans la console DNS, puis en sélectionnant Nouvelle zone. Dans lAssistant Nouvelle zone, vous sélectionnez le type de zone de stub, puis vous suivez les instructions de lAssistant.

Pour configurer une zone de stub, vous devez spécifier au moins un serveur de noms, le maître, avec une adresse IP fixe. Tout nouveau serveur de noms ajouté à la zone maîtresse est ensuite mis à jour automatiquement sur la zone de stub par le biais de transferts de zone.

Les zones de stub ne remplissent pas les mêmes objectifs que les zones secondaires et ne constituent pas une autre solution en matière de tolérance aux pannes, de redondance ou déquilibrage de la charge.

Étude de cas

Vous avez été embauché comme consultant par Lucerne Publishing, laquelle redéploie son infrastructure de serveurs DNS sur Windows Server 2003. Le concepteur réseau de Lucerne Publishing, Klaus, vous demande conseil en raison de votre expérience avec Windows Server 2003. Le siège de Publishing se trouve à Lucerne et deux succursales existent à Berne et Genève. Le bureau de Lucerne héberge le domaine parent, lucernepublishing.com. Les succursales de Berne et de Genève hébergent chacun des sous-domaines et possèdent leurs propres contrôleurs de domaine.

La Figure 5-36 présente la portion intéressante du réseau.

Figure 5-36 Réseau de Lucerne Publishing

Klaus souhaite atteindre quatre objectifs sur son réseau:

Minimiser le trafic de résolution de noms sur les liens WAN

Minimiser le trafic de réplication DNS sur les liens WAN

Sécuriser le trafic de réplication DNS sur les liens WAN

Optimiser le trafic de résolution de noms pour les ordinateurs clients

1. Parmi ces objectifs, lesquels sont-ils atteint en déployant une zone intégrée à Active Directory avec létendue de réplication par défaut sur les contrôleurs de domaine des trois établissements du réseau?

2. Si une zone intégrée à Active Directory est déployée pour le domaine lucernepublishing.com, quelle option recommandez-vous de configurer dans la boîte de dialogue Modifier létendue de réplication de la zone montrée Figure 5-37 ? Supposez que lamélioration du temps de réponse de la résolution de noms est plus importante que la réduction du trafic réseau.

Figure 5-37 Réglages de portée de réplication de zone pour le domaine lucernepublishing.com

3. La succursale de Berne compte 200 salariés. Vous voulez déployer DNS de façon à réduire la charge administrative des responsables réseau du siège de Lucerne. Vous voulez toutefois également que les serveurs DNS du siège soient mis à jour sur tout nouveau serveur faisant autorité déployé à Berne. Comment y parvenir?

4. Klaus vous a signalé que ses administrateurs réseau ont tenté sans succès de déployer un serveur DNS secondaire test dans une des succursales. Il dit que les administrateurs ont spécifié ladresse IP correcte dun serveur DNS principal exécutant Windows Server 2003 au siège de Lucerne office, mais que le serveur secondaire est resté incapable de transférer des données depuis la zone principale. Sachant que ce réseau test a été déployé avec succès sous Windows 2000 il y a quelques années, quelle est la cause la plus probable du problème?

Laboratoire de dépannage

Dans lexercice suivant, vous réparez une installation Active Directory défaillante sur Ordinateur1 en recréant automatiquement les enregistrements de ressource SRV manquants à laide de lutilitaire Netdiag. Vous configurez ensuite la zone domain1.local pour nautoriser que les mises à jour dynamiques sécurisées. Cette stratégie peut être utile lors du dépannage dordinateurs réseau fallacieux, sur lesquels des intrus malveillants sapproprient des enregistrements DNS appartenant à des ordinateurs du domaine.

1. Depuis Ordinateur1, ouvrez une session sur Domain1 en tant quadministrateur.

2. Ouvrez la console DNS.

3. Supprimer les deux enregistrements de ressource SRV suivants : _kerberos._tcp.dc._msdcs.domain1.local et _ldap._tcp.dc._msdcs.domain1.local.

4. Fermez la console DNS. Assurez-vous que Ordinateur1 nest pas connecté à lInternet lorsque vous effectuez létape suivante.

5. Sur une invite de commande, tapez netdiag /fix.

6. Lutilitaire sexécute pendant quelque temps. Après sa fin, examinez la sortie. Vous constaterez que quelques tests ont échoué et que des réparations ont été effectuées.

7. Ouvrez la console DNS et naviguez jusquau domaine _tcp.dc._msdcs.domain1.local. Dans le volet Détails, vous pouvez voir que les deux enregistrements supprimés ont été recréés.

8. Fermez la console DNS.

9. Ouvrez une invite de commande et entrez :
dnscmd /zoneresettype domain1.local/dsprimary

Cette commande fait de la zone domain1.local une zone intégrée à Active Directory. Ce type de zone permet dexiger des mises à jour dynamiques sécurisées.

10. À linvite de commande, tapez :
dnscmd . /config domain1.local/allowupdate 2.

Cette commande configure domain1.local à nautoriser que des mises à jour sécurisées. Dans ce cas, seul lordinateur ayant le premier créé un enregistrement de ressource est autorisé à mettre à jour cet enregistrement.

11. Ouvrez la console DNS, puis ouvrez la boîte de dialogue Propriétés de Domain1.local. Sur longlet Général, vous pouvez voir que la zone est désormais décrite comme intégrée à Active Directory et nautorise que les mises à jour dynamiques sécurisées.

12. Fermez la console DNS, puis fermez la session sur Ordinateur1.

Résumé du chapitre

Longlet Redirecteurs de la boîte de dialogue Propriétés du serveur DNS permet de rediriger des requêtes DNS reçues par le serveur DNS local vers des serveurs DNS damont, nommés redirecteurs. Cet onglet permet également de désactiver la récursivité pour des requêtes sélectionnées (spécifiées par domaine).

Longlet Indications de racine fournit un moyen simple pour modifier le contenu du fichier Cache.dns. Si votre serveur DNS doit résoudre des noms Internet, vous ne modifiez en principe pas ces entrées. En revanche, si le serveur DNS ne sert quà répondre aux requêtes dhôtes dun espace de noms DNS séparé et privé, vous devriez modifier ces entrées pour quelles pointent vers les serveurs racine de votre réseau. Enfin, si votre serveur DNS est lui-même le serveur racine (nommé « . ») de votre espace de noms privé, vous devriez supprimer le fichier Cache.dns.

Lorsque vous déployez un serveur DNS sur un contrôleur de domaine, vous pouvez choisir denregistrer les données de zone dans la base de données Active Directory. Les zones intégrées à Active Directory réduisent le trafic de transfert de zone, améliorent la sécurité, diminuent la charge administrative et renforcent la tolérance aux pannes. Les données de zone peuvent être configurées pour être répliquées sur tous les serveurs DNS de la forêt Active Directory, tous les serveurs DNS du domaine Active Directory, tous les contrôleurs de domaine du domaine Active Directory ou tous les serveurs énumérés dans une partition dannuaire dapplications personnalisée.

Un enregistrement de ressource SOA comprend plusieurs paramètres affectant les transferts de zone, comme Intervalle dactualisation, Intervalle avant nouvelle tentative, Expire après et Durée de vie minimale (par défaut).

Lorsque des mises à jour dynamiques non sécurisées sont autorisées sur une zone, nimporte quel ordinateur peut actualiser un enregistrement de ressource dune zone DNS. Lorsque seules les mises à jour dynamiques sécurisées sont autorisées, seul le propriétaire dun enregistrement peut lactualiser. Les mises à jour dynamiques sécurisées ne peuvent être imposées que pour des zones intégrées à Active Directory.

Le groupe DnsUpdateProxy est traditionnellement employé pour des serveurs DHCP effectuant des mises à jour DNS dynamiques pour compte dautres ordinateurs. Les membres de ce groupe nenregistrent pas de propriété sur les enregistrements de ressource quils enregistrent sur DNS. Cette restriction de comportement évite des problèmes aux zone nautorisant que des mises à jour dynamiques sécurisées.

Longlet Transferts de zone permet de contrôler les transferts de la zone courante. Par défaut, les transferts de zone sont soit complètement désactivés, soit limités aux serveurs spécifiés sur longlet Serveurs noms. La nature de cette restriction dépend du type de zone et du mode dinstallation du serveur DNS.

Grâce au tri de masques réseau, une adresse IP dont le sous-réseau correspond à celui du client DNS demandeur est placée en haut de la liste de réponse.

Avec la fonction Round robin, lordre de tous les enregistrements de ressource A correspondants subit une permutation circulaire dans la liste de réponse renvoyée aux clients demandeurs successifs. Ce dispositif offre un moyen simple déquilibrer la charge réseau pour des services réseau fréquemment requis sur tous les serveurs hébergeant ce service.

Déléguer une zone signifie affecter lautorité sur des portions de votre espace de noms DNS à des sous-domaines de cet espace de noms. Une délégation de zone se produit lorsque la responsabilité des enregistrements de ressource dun sous-domaine est passée du propriétaire domaine parent au propriétaire du sous-domaine.

Une zone de stub est une copie simplifiée dune zone, mise à jour régulièrement et ne renfermant que les enregistrements NS et SOA appartenant à sa zone maîtresse. Les zones de stub servent le plus à souvent suivre les serveurs de noms faisant autorité pour des zones déléguées et sont généralement hébergées sur les serveurs DNS parents de ces zones déléguées.

À propos de lexamen

Avant de vous présenter à lexamen, révisez les termes et points clés présentés ci-dessous pour vous aider à identifier les thèmes essentiels.

Points clés

Comprendre les différentes options de portée de réplication de zone applicables à des zones intégrées à Active Directory

Comprendre les scénarios dans lesquels la redirection devrait être employée.

Comprendre les implications de lactivation ou de la désactivation des listes circulaires (round robin), du tri de masques réseau, de la liaison des zones secondaires et de la récursivité.

Comprendre la différence entre mises à jour dynamiques sécurisées et non-sécurisées.

Comprendre la fonction du groupe DnsUpdateProxy.

Comprendre les implications de laugmentation ou de la diminution des paramètres Intervalle dactualisation, Intervalle avant nouvelle tentative, Expire après et Durée de vie minimale (par défaut) dun enregistrement de ressource SOA.

Comprendre les scénarios dans lesquels des zones principales, secondaires, stub et intégrées à Active Directory devraient être déployées.

Comprendre les scénarios dans lesquels des délégations devraient être configurées.

Termes clés

Partition dannuaire dapplications Une partition de données répliquées dans la base de données Active Directory sur un sous-ensemble de contrôleurs de domaine. Les partitions dannuaire dapplications contiennent des informations employées par certaines applications ou service, comme DNS.

Itération (requêtes itératives) Le processus consistant à interroger différents serveurs DNS en succession pour résoudre un nom dordinateur en adresse IP.

Questions et réponses

Leçon 1, Exercice pratique 1, Exercice 1

15. Comparez le trafic dans le fichier Résolution de noms 2 à celui du fichier Résolution de noms 1 enregistré dans le dossier Mes captures de Ordinateur1. Répondez ensuite aux questions suivantes, dans espaces fournis à cet effet.

Quelle est la différence essentielle entre les deux captures?

Dans Résolution de noms 2, les deux premières trames sont une requêtes et une réponse DNS pour le nom ordinateur1.domain1.local. Dans Résolution de noms 1, le protocole NetBT (NetBIOS over TCP/IP) a servi à résoudre le nom Ordinateur2 sur le LAN. Cette différence montre que DNS a remplacé NetBIOS comme méthode de résolution de noms du réseau.

Quest-ce qui entraîne les différences entre les deux méthodes de résolution de noms?

Dans les réseaux Windows Server 2003, la résolution de noms DNS est tentée avant la résolution de noms NetBIOS. La résolution NetBIOS a été effectuée dans le premier exemple parce que DNS nétait pas totalement configuré sur le réseau.

Leçon 1, Exercice pratique 2, Exercice 1

9. Quelle est la restriction sappliquant aux clients exécutant Microsoft Windows 95 et Microsoft Windows NT 4 SP3 ou antérieur?

Par défaut, ces clients ne peuvent ouvrir une session sur un domaine via un contrôleur de domaine exécutant Windows Server 2003.

Révision de la leçon 1

1. Comment pouvez-vous vous servir de la redirection pour améliorer la sécurité des requêtes DNS?

Lorsquun serveur DNS interne effectue des requêtes itératives sur lInternet pour résoudre des noms, cela expose votre réseau interne aux serveur extérieurs. Grâce à la redirection, vous pouvez limiter le trafic DNS sur le pare-feu à seulement deux ordinateurs : le serveur DNS interne transmetteur et le redirecteur DNS situé à lextérieur du pare-feu. Le redirecteur extérieur peut ainsi effectuer des requêtes itératives pour le compte de serveurs internes sans exposer le réseau.

2. À laide de la boîte de dialogue Propriétés du serveur DNS, comment pouvez-vous empêcher un serveur DNS à hôtes multiples de répondre à des requêtes DNS reçues via des cartes réseau spécifiques?

Depuis longlet Interfaces, vous pouvez configurer le serveur pour quil guette les requêtes DNS sur une seule adresse IP.

3. Vous administrez un réseau ne possédant quun domaine. Vous avez configuré sur ce réseau un nouveau serveur DNS nommé DNS 1 pour répondre aux requêtes de noms Internet provenant du domaine local. Bien que DNS1 soit connecté à lInternet, il échoue lors du test récursif de longlet Analyse de la boîte de dialogue Propriétés du serveur. Parmi les propositions suivantes, laquelle peut-elle être la cause potentielle de cet échec?

Vous avez configuré DNS1 avant un pare-feu.
DNS1 héberge une zone nommée
Vos indications de racine sont restées celles par défaut.
Vous navez pas configuré DNS1 pour quil redirige des requêtes vers des serveurs damont.

Bonne réponse : b.

4. Lequel des événements suivants peut constituer une raison valable pour modifier (et non supprimer) les indications de racine par défaut sur longlet Indications de racine de la boîte de dialogue des propriétés du serveur DNS (Choisissez toutes les réponses pertinentes)?

Les serveurs racine Internet ont été modifiés.
Le serveur ne sera pas employé comme serveur racine.
Vous avez désactivé la récursivité sur le serveur.
Votre serveur ne sert pas à résoudre des noms Internet.

Bonnes réponses : a, d.

Leçon 2, Exercice pratique, Exercice 1

19. Cliquez sur OK. Le noeud ORDINATEUR1 apparaît maintenant au-dessus du noeud ORDINATELR2 dans la console DNS. Servez-vous des deux noeuds serveurs de la console DNS de Ordinateur2 pour répondre aux questions suivantes dans les espaces fournis à cet effet.

Quelles fonctions du menu Action concernant la zone domain1.local sont-elles disponibles via le noeud ORDINATEUR2, mais pas depuis le noeud ORDINATEUR1?

Les nouvelles fonctions sont Transfert à partir du maître et Rechargement à partir du maître.

Pouvez-vous créer ou configurer des enregistrements de ressource pour domain1.local à partir du noeud ORDINATEUR2 de la console DNS?

Non, il est impossible de créer ou configurer des enregistrements de ressource pour domain1.local à partir du noeud ORDINATEUR2.

Leçon 2, Exercice pratique, Exercice 2

5. Dans la boîte de dialogue Propriétés de Domain1.local, cliquez sur longlet Source de noms (SOA). À laide des réglages configurés sur onglet, répondez aux questions suivantes dans les espaces fournis à effet.

Selon les réglages de longlet Source de noms (SOA), si Ordinateur2 perd le contact avec Ordinateur1, combien de temps le serveur DNS Ordinateur2 continue-t-il de répondre aux requêtes de clients DNS?

Un jour

À quelle fréquence Ordinateur2 est-il configuré pour demander à Ordinateur1 de vérifier si une modification a été apportée à la zone?

Toutes les 15 minutes

Si Ordinateur2 découvre quil ne peut contacter Ordinateur1 lors de lémission dune requête SOA, combien de temps attend-il avant dessayer de nouveau?

10 minutes

Si un autre serveur DNS principal nommé dns.domain2.local obtient avec succès auprès de Ordinateur1 ladresse IP de Ordinateur2, combien de temps lenregistrement de ressource A de Ordinateur2 reste-t-il dans le cache de dns.domain2.local?

1 heure

Révision de la leçon 2

1. Décrivez le processus par lequel les serveurs secondaires déterminent quun transfert de zone doit commencer.

Le serveur secondaire émet une requête SOA, dans laquelle le numéro de série de lenregistrement de ressource SOA de la zone principale est comparé à la valeur du numéro de série de la version de la base de données de zone du serveur secondaire. Si le serveur secondaire détermine que le numéro de série de la zone maîtresse est plus élevé, un transfert est lancé.

2. Quelle est la différence entre des requêtes IXFR et AXFR?

Une requête IXFR lance un transfert de zone incrémentiel. Dans un tel transfert, seules les informations mises à jour sont transférées sur le réseau. Une requête AXFR lance un transfert de zone complet: la totalité de la base de données de zone est transférée sur le réseau.

3. Votre réseau possède plusieurs serveurs DHCP, dont certains sont configurés pour enregistrer des enregistrements DNS pour le compte de clients pré-Windows 2000. Vous avez configuré DNS pour nautoriser que les mises à jour sécurisées. Vous constatez cependant que certains enregistrements DNS nont pas été mis à jour correctement. Comment pouvez-vous résoudre ce problème?

Ajoutez les serveurs DHCP au groupe de sécurité intégré DnsUpdateProxy.

4. Vous dirigez ladministration dun réseau élargi WAN (Wide Area Network) appartenant à Proseware, une entreprise possédant son siège à Rochester et deux succursales à Buffalo et Syracuse. Ce réseau, composé dun domaine, possède une zone DNS principale sexécutant sur un ordinateur Windows Server 2003 situé au siège et une zone DNS secondaire dans chaque succursale. Les utilisateurs du réseau se plaignent fréquemment de ne pouvoir se connecter aux sites des bureaux distants. Les administrateurs ont déterminé que la bande passante du réseau entre le siège et les succursales est saturée par des transferts de zone et que des transferts de zone étaient lancés avant de pouvoir se terminer. Parmi les étapes suivantes, lesquelles pourraient-elles vous aider à résoudre le problème à moindre effort?

Installer Active Directory sur le réseau et promouvoir les serveurs hébergeant les zones DNS secondaires en contrôleurs de domaine.
Augmenter la bande passante du réseau en établissant une connexion par fibre optique entre les deux sites.
Augmenter lintervalle dactualisation sur le serveur DNS principal.
Augmenter lintervalle dactualisation sur les serveurs DNS secondaires.

Bonnes réponses : c.
5. Vous découvrez quun administrateur a ajusté la valeur TTL par défaut de la zone DNS principale de votre entreprise à 5 minutes. Parmi les éléments suivants, quelle est la conséquence probable de cette modification?

Les enregistrements de ressource mis en cache sur le serveur DNS principal expirent au bout de 5 minutes.
Les clients DNS doivent interroger plus fréquemment le serveur pour résoudre les noms pour lesquels il faut autorité.
Les serveurs secondaires lancent un transfert de zone toutes les 5 minutes.
Les hôtes DNS réenregistrent plus fréquemment leurs enregistrements.

Bonnes réponses : b.

6. Parmi ce qui suit, quest-ce qui nest pas un intérêt du stockage de zones DNS dans une base de données Active Directory?

Transferts moins fréquents
Diminution des besoins administratifs
Saturation plus faible de la bande passante du réseau
Mises à jour dynamiques sécurisées

Bonnes réponses : a.

Révision de la leçon 3

1. Vous êtes ladministrateur réseau de Lucerne Publishing. Le réseau Lucerne Publishing ne comporte quun domaine, lucernepublishing.com, protégé de lInternet à laide dun pare-feu. Ce pare-feu sexécute sur un ordinateur nommé NS1 directement connecté à lInternet. NS1 exécute également le service serveur DNS et son pare-feu autorise le passage du trafic DNS entre lInternet et le service serveur DBS de NS1, mais pas entre lInternet et le réseau local. Le service serveur DNS Server de NS1 est configuré pour employer les listes circulaires (round robin). Derrière le pare-feu, deux ordinateurs exécutant Windows Server 2003, NS2 et NS3, sont respectivement un serveur DNS principal et un serveur DNS secondaire pour la zone lucernepnblishing.com. Les utilisateurs du réseau de lentreprise signalent que, bien quils puissent employer des noms dhôtes pour se connecter à des ordinateurs sur le réseau local privé, ils ne peuvent employer des noms dhôtes connecter à des destinations Internet comme www.microsoft.com. Parmi les actions suivantes, quest-ce qui demande le moins defforts administratifs pour permettre aux utilisateurs du réseau de se connecter aux noms dhôtes Internet?

Désactiver la récursivité sur NS2 et NS3.
Activer le tri de masques réseau sur NS1.
Configurer NS2 et NS3 pour quils emploient NS1 comme redirecteur.
Désactiver loption Round robin sur NS1.

Bonnes réponses : c.

2. Vous êtes ladministrateur dun réseau de grande taille comportant 10 domaines. Vous avez configuré une zone standard principale pour le domaine mfg.lucernepublishing.com sur un ordinateur nommé Server1. Vous avez également configuré un serveur UNIX, nommé Server2, pour héberger une zone secondaire pour le même domaine. Le serveur UNIX exécute BIND 8.2.1.Vous remarquez que les transferts de zone entre les serveurs principal et secondaire semblent générer plus de trafic que prévu, pesant sur les ressources réseau. Que pouvez-vous faire pour diminuer la charge réseau liée aux transferts de zone entre les serveurs principal et secondaire?

Décocher la case Lier les zones secondaires sur Server1.
Configurer un fichier de démarrage sur Server1 pour initialiser les réglages compatibles BIND.
Cocher la case Lier les zones secondaires sur Server1.
Configurer un fichier de démarrage sur Server2 pour activer les transferts de zone rapides.

Bonnes réponses : a.

3. Quelle est le but de la fonction Round robin ? Qui est prioritaire, la fonction Round robin ou le tri de masques réseau?

La fonction Round robin effectue une permutation circulaire des enregistrements de ressource correspondants dans la liste de réponse envoyée aux clients DNS. Chaque client DNS successif émettant une requête pour un nom à hôtes multiples obtient un enregistrement de ressource différent en haut de la liste. La fonction Round robin passe après la priorité de sous-réseau. Lorsque loption Activer le tri de masques réseau est également activée, les listes circulaires servent de méthode secondaire de tri des enregistrements de ressource renvoyés pour des noms à hôtes multiples.
4. Vous êtes ladministrateur en chef du réseau de lentreprise Proseware, possédant quatre succursales. Chacune possède son propre LAN, connecté à lInternet à laide dune ligne Tl. À laide dune connectivité VPN (Virtual Private Network) sur lInternet, un unique intranet est maintenu et répliqué sur dautres serveurs Web dans chaque succursale. Les quatre serveurs Web possèdent des adresses IP uniques mais partagent un même FQDN, intranet.proseware.com (voir Figure 5-30).

Figure 5-38 Serveurs intranet de Proseware

Au sein du réseau de Proseware, un ordinateur client DNS possédant ladresse IP 192.168.33.5 soumet une requête à un serveur DNS pour le nom intranet.proseware.com. En supposant que loption Tri de masques de réseau soit activée sur le serveur DNS, quelle est ladresse IP renvoyée au client DNS ? (Indice : déterminer celui des quatre serveurs Web qui possède le même ID de sous-réseau que lordinateur client demandeur).

192.168.42.40

Révision de la leçon 4

Vous concevez lespace de noms DNS dune entreprise nommée Proseware, possédant le nom de domaine déposé proseware.com. Proeware possède son siège à Rochester et deux succursales à Buffalo et Syracuse. Chaque établissement possède un LAN et un administrateur réseau distinct. Vous voulez configurer un serveur DNS unique sur que emplacement et imposer que le siège héberge le domaine proseware.com. En outre, vous voulez que les administrateurs de Buffalo et de Syracuse conservent la responsabilité des noms et de la résolution de noms DNS au sein de leur réseau. Parmi les étapes suivantes, que devez-vous retenir ?

Configurer un serveur principal standard à Rochester pour héberger la zone proseware.com. Déléguer un sous-domaine dans chaque succursale. Configurer un serveur secondaire à Buffalo et à Syracuse pour héberger chaque sous-domaine délégué.

Configurer un serveur principal standard à Rochester pour héberger la zone proseware.com. Configurer un serveur secondaire à Buffalo et à Syracuse pour améliorer les performances et la tolérance aux pannes sur la zone.

Configurer le serveur DNS de Rochester pour héberger une zone principale standard pour le domaine proseware.com. Configurer les serveurs DNS de Buffalo et Syracuse pour quils hébergent chacun une zone principale standard pour un pour un sous-domaine de proseware.com. Créer une délégation du serveur DNS de Rochester dans chaque sous-domaine.

Configurer le serveur DNS de Rochester pour héberger une zone principale standard pour le domaine proseware.com. Configurer les serveurs DNS de Buffalo et Syracuse pour quils hébergent chacun une zone principale standard pour un sous-domaine de proseware.com. Ajouter des zones secondaires sur chaque serveur DNS pour effectuer des transferts des zones principales hébergées sur les deux autres serveurs DNS.

Bonnes réponses : c.

2. Vous êtes ladministrateur du réseau de votre entreprise, composé dun LAN au siège et de trois LAN de succursales, tous dans des villes différentes. Vous avez décidé de concevoir une nouvelle infrastructure DNS lors du déploiement de Active Directory sur votre réseau. Vos objectifs pour ce réseau sont pour commencer la mise en oeuvre dune unique forêt Active Directory sur lensemble des quatre emplacements, puis de réduire les temps de réponses pour les utilisateurs se connectant aux ressources du réseau. Supposez que toutes les succursales possèdent des contrôleurs de domaine exécutant des serveurs DNS. Parmi les actions suivantes, lesquelles répondent-elles le mieux à vos objectifs?

Configurer un unique domaine Active Directory sur les quatre emplacements et configurer une unique zone intégrée à Active Directory répliquée sur la totalité du domaine.

Configurer un unique domaine Active Directory sur les quatre emplacements et configurer une zone principale standard au siège avec des transferts de zone vers les zones secondaires de chaque succursale.

Configurer un domaine Active Directory et un domaine DNS pour le siège, déléguer un sous-domaine DNS dans chaque succursale et configurer une zone intégrée Active Directory à chaque emplacement, répliquée sur lensemble de la forêt.

Configurer un domaine Active Directory et un domaine DNS pour le siège, déléguer un sous-domaine DNS dans chaque succursale et configurer une zone intégrée Active Directory à chaque emplacement, répliquée sur lensemble du domaine.

Bonnes réponses : a.

3. Quels enregistrements de ressource sont-ils ajoutés à une zone parente pour déléguer un sous-domaine donné ? Quelles sont les fonctions spécifiques de ces enregistrements?

Un enregistrement de ressource NS et un enregistrement de ressource A sont créés dans le sous-domaine délégué de la zone parente. Lenregistrement de ressource NS redirige les requêtes vers le serveur DNS spécifié par son nom faisant autorité pour la zone déléguée. Lenregistrement de ressource A, nommé enregistrement « glue » , permet de faire correspondre le nom dordinateur spécifié dans lenregistrement de ressource NS à une adresse IP.

4. Le serveur DNS NS1 héberge la zone lucernepublishing.com et est configuré pour rediriger toutes les requêtes pour lesquelles le serveur ne fait pas autorité. NS1 reçoit une requête pour sub.lucernepublishing.com, un sous-domaine délégué. Où la requête sera-t-elle redirigée?

La requête sera redirigée vers e serveur faisant autorité pour la zone sub.lucernepublishing.com et non vers le redirecteur configuré.

Révision de la leçon 5

1. Quel est lemploi le plus fréquent dune zone de stub?

Les zones de stub servent le plus souvent à une zone parente pour conserver une liste à jour des enregistrements de ressource NS des sous-domaines délégués

2. Parmi ce qui suit, quest qui nest pas un des intérêts de lemploi du zone de stub?

Amélioration des performances de résolution de noms
Maintient à jour des informations de zone étrangère
Simplification de ladministration DNS
Augmentation de la tolérance aux pannes pour les serveurs DNS

Bonnes réponses : d.

3. Quand devez-vous choisir de mettre en oeuvre une zone de stub plutôt quune zone secondaire ? Quand devez-vous choisir de mettre en uvre une zone secondaire plutôt quune zone de stub?

Une zone de stub est utile lorsque vous avez délégué un sous-domaine et souhaitez garder actualisés vos enregistrements des enregistrements de ressource NS concernant cette délégation. Les zones de stub sont également utiles lorsque vous devez améliorer la résolution de noms en procurant des liens vers des serveurs DNS faisant autorité sur plusieurs domaines. Dans les deux cas, une zone de stub est préférable à un serveur secondaire lorsque vous voulez éviter la demande de stockage dune zone secondaire complète ou la charge en ressources réseau associée aux transferts de zone. Vous devez mettre en oeuvre une zone secondaire plutôt quune zone de stub lorsque vous devez offrir une redondance de données à votre zone maîtresse et lorsque lamélioration du temps réponse aux requêtes est plus important que la diminution de lemploi des ressources réseau.

Étude de cas

1. Parmi ces objectifs, lesquels sont-ils atteint en déployant une zone intégrée à Active Directory avec létendue de réplication par défaut sur les contrôleurs de domaine des trois établissements du réseau?

Cette solution respecte les quatre objectifs.

2. Si une zone intégrée à Active Directory est déployée pour le domaine lucernepublishing.com, quelle option recommandez-vous de configurer dans la boîte de dialogue Modifier létendue de réplication de la zone montrée Figure 5-37 ? Supposez que lamélioration du temps de réponse de la résolution de noms est plus importante que la réduction du trafic réseau.

Figure 5-39 Réglages de portée de réplication de zone pour le domaine lucernepublishing.com

Tous les serveurs DNS de la forêt Active Directory Lucernepublishing.com

3. La succursale de Berne compte 200 salariés. Vous voulez déployer DNS de façon à réduire la charge administrative des responsables réseau du siège de Lucerne. Vous voulez toutefois également que les serveurs DNS du siège soient mis à jour sur tout nouveau serveur faisant autorité déployé à Berne. Comment y parvenir?

Créez une délégation pour le domaine bern.Iucernepublishing.com, puis déployez une zone de stub au siège, transférant les enregistrements NS du serveur principal de bern.lucernepublishing.com.

4. Klaus vous a signalé que ses administrateurs réseau ont tenté sans succès de déployer un serveur DNS secondaire test dans une des succursales. Il dit que les administrateurs ont spécifié ladresse IP correcte dun serveur DNS principal exécutant Windows Server 2003 au siège de Lucerne office, mais que le serveur secondaire est resté incapable de transférer des données depuis la zone principale. Sachant que ce réseau test a été déployé avec succès sous Windows 2000 il y a quelques années, quelle est la cause la plus probable du problème?

Avec Windows Server 2003, les transferts de zone de serveurs principaux sont par défaut soit totalement désactivés, soit limités aux serveurs spécifiés sur onglet Serveurs de noms. La restriction par défaut appliquée dépend du mode dinstallation du serveur DNS. En sélectionnant la case à cocher Autoriser les transferts de zone dans la boîte de dialogue des propriétés de la zone, en sélectionnant Uniquement vers les serveurs énumérés sur longlet Serveurs de noms, puis en spécifiant le serveur secondaire sur longlet Serveurs de noms des propriétés de la zone, vous créez lenregistrement de ressource NS nécessaire et vous autorisez les transferts de zone.

CHAPITRE 6
Surveillance et dépannage de DNS

Objectifs dexamen de ce chapitre

Surveiller DNS

Importance de ce chapitre

DNS (Domain Name System) est le plus important des services des réseaux Microsoft Windows Server 2003. Une défaillance de DNS entraine celle du service Active Directory et la perte de la plus grande partie de la connectivité Internet. En raison de son importance, vous devez être capable de surveiller, de diagnostiquer et de réparer DNS pour assurer son bon fonctionnement sur votre réseau.

chapitre présente les outils et procédures nécessaires à la surveillance et au dépannage de la résolution de noms DNS. Ces outils comprennent lutilitaire Nslookup, le journal des événements DNS, le Moniteur de réplication et le journal DNS.

Dans ce chapitre

Leçon 1 : Travail avec les outils de dépannage DNS
Leçon 2 : Travail avec outils de surveillance DNS

Avant de commencer

Pour travailler avec ce chapitre, vous devez préalablement avoir:

Deux ordinateurs physiquement reliés en réseau, nommés Ordinateur1 et Ordinateur2, exécutant Windows Server 2003. Ordinateur1 doit posséder une adresse statique de 192.168.0.1/24, et Ordinateur2 doit être configuré pour obtenir automatiquement une adresse. Ordinateur2 doit posséder une configuration alternative dadresse de 192.168.0.2/24. Ordinateur1 et Ordinateur2 doivent être tous deux configurés avec un suffixe DNS principal de domain1.local.

Une ligne téléphonique et un compte daccès à distance Internet auprès dun fournisseur daccès Internet (FAI). Si vous choisissez dy substituer une connexion Internet dédiée, vous devez renommer cette connexion « MonFAI ». Il peut également être nécessaire de procéder à quelques ajustements lors des exercices.

Installez le sous-composant Système DNS (Domain Name System) des Services de mise en réseau. Une fois installé, le serveur DNS doit héberger une zone principale de recherche directe nommée domain1.local configurée pour accepter (les mises à jour dynamiques. Des enregistrements de ressource hôte (A) pour Ordinateur1 et Ordinateur2 doivent exister dans la zone domain1.local.

Promouvoir Ordinateur1 en contrôleur (le domaine (DC) dune nouvelle forêt et domaine Active Directory nomme domain1.local. Ordinateur2 doit être membre de ce domaine. Après linstallation de Active Directory, la zone DNS domain1.local doit être configurée comme zone intégrée a Active Directory et configurée pour naccepter que les mises à jour sécurisées.

Crée une connexion par numérotation vers lInternet nommée MonFAI sur Ordinateur1, partagee grâce à ICS (Internet Connection Sharing). Ordinateur2 doit recevoir une nouvelle configuration IP (Internet Protocol) via ICS. Si vous employez une connexion Internet dédiée au lieu dune connexion par numérotation, vous devez appliquer cette exigence à la connexion dédiée.

Installé les Outils de support Windows sur Ordinateur1 et Ordinateur2

Sélectionné loption Employer le suffixe DNS de cette connexion pour lenregistrement DNS dans longlet DNS de la boite de dialogue Paramètres TCP/IP avancés pour la connexion au réseau local de Ordinateur2 (nécessaire pour les mises a jour dynamiques avec ICS).
Leçon 1 : Travail avec les outils de dépannage DNS

Les outils les plus fréquemment employés pour le dépannage DNS comprennent Nslookup. le journal des événements DNS et le journal DNS. Nslookup sert a interroger directement des serveurs DNS et a déterminer le contenu des zones. Le journal des événements DNS est un fichier accessible à partir de lObservateur dévénements dans lequel sont écrits les erreurs et autres événements relatif au service serveur DNS.

Le journal DNS, également nommé journal de débogage DNS ou journal du serveur DNS, est un journal distinct maintenu par le serveur DNS et configuré sur longlet Enregistrement de débogage de la boîte de dialogue des propriétés du serveur DNS, Vous pouvez configurer ce fichier journal pour quil capture tous les messages DNS envoyés ou reçus par le serveur DNS.

À la fin de cette leçon, vous saurez:

Employer lutilitaire Nslookup pour effectuer des requêtes. fixer et afficher des options ou examiner des données de zone
Employer le journal des événements DNS pour examiner les erreurs et événements DNS
Configurer le serveur DNS pour enregistrer tous les paquets vers e fchier Dns.log
Localiser et ouvrir le fichier Dns.log

Durée estimée : 45 minutes

Requêtes DNS à laide de Nslookup

Nslookup est un utilitaire de ligne de commande présent sur la plupart des systèmes dexploitation, dont la famille Windows Server 2003. Il permet deffectuer des requêtes test vers des serveurs DNS et dobtenir des réponses détaillées depuis linvite de commandes. Ces informations peuvent être utiles pour diagnostiquer et résoudre des problèmes de résolution de noms, vérifier que les enregistrements de ressource sont ajoutés ou mis a jour correctement dans une zone, ainsi que pour le débogage dautres problèmes relatifs au serveur.

Nslookup peut être exécuté comme simple commande exécutée une fois (mode non-interactif) ou comme programme acceptant des séries de commandes et de requêtes (mode interactif).

Réalisation dune requête simple

Vous pouvez employer Nslookup en mode non-interactif pour déterminer la ou les adresses IP associées à un unique nom dhôte, Par exemple, la commande suivante exécutée depuis linvite de commandes renvoie les adresses IP associées au nom de domaine pleinement qualifié (FQDN) HYPERLINK "http://www.microsoft.com" www.microsoft.com:

C:\>nslookup HYPERLINK "http://www.microsoft.com" www.microsoft.com

Lexemple de sortie suivante est généré par cette commande:

C:\>nslookup www.microsoft.com
Serveur :localhost
Address :127.0.0.1
Non-authoritative answer:
Nom :www.microsoft.akadns .net
Addresses:207.46.230.220,207.46.197.102.207.46.197.100.207.46.230.218
Alias :www.microsoft.com

Pour résoudre la requête, lutilitaire Nslookup soumet le nom au serveur DNS spécifié pour la connexion principale de lordinateur client local. Ce serveur DNS peut alors répondre à la requête depuis son cache ou par récursivité.

Si vous voulez dépanner un serveur DNS spécifique plutôt que celui spécifié pour la connexion principale de lordinateur client local, vous pouvez préciser le serveur DNS dans la commande Nslookup. Par exemple, la commande suivante exécutée sur linvite de commandes interroge le serveur DNS situé à ladresse 207.46.123.2 pour le nom HYPERLINK "http://www.microsoft.com" www.microsoft.com:

C:\>nslookup www.microsoft.com 207.46.138.20

Vous pouvez également vous servir de Nslookup pour résoudre des adresses IP en noms dhôtes. Par exemple, la commande suivante exécutée depuis linvite de commandes renvoie le FQDN associé à ladresse 207.46.230.220, comme le montre cette sortie

C:\>nslookup 207.46.249.222
Serveur :localhost
Address:127.0.0.1

Nom :www.microsoft.com
Address:207.46.249.222

Remarque Les recherches inversées reposent sur des enregistrements de ressource pointeurs (PTR) configurés dans les domaines à recherche inversée. Ces derniers ne sont pas disponibles pour tous les hôtes Internet.

Travail en mode interactif

Si vous devez résoudre plus quun simple nom dhôte ou une adresse IP ou si vous voulez dépanner DNS en effectuant diverses fonctions, vous pouvez vous servir de Nslookup comme dun programme interactif. Pour passer en mode interactif, tapez simplement nslookup à linvite de commandes et appuyez sur Entrée.

En mode interactif, Nslookup accepte des commandes permettant au programme deffectuer diverses fonctions, comme laffichage du contenu spécifique de messages présents dans des échanges DNS, la simulation dun transfert de zone ou la recherche dun ou de plusieurs enregistrements dun type spécifique sur un serveur donné. La liste de ces commandes peut être obtenue en entrant la commande de demande daide,? (voir Figure 6-1).

Figure 6-1 Commandes de Nslookup

Explorations des options de Nslookup

En mode interactif, vous pouvez également employer la commande Set pour configurer les options de Nslookup qui déterminent le mode de requête du solveur Par exemple. Nslookup peut être fixé à Debug ou Nodebug. Par défaut, loption Nodebug est activée, mais, lorsque vous activez loption Debug à laide de la commande Set Debug. Nslookup entre en mode Debug. Dans ce mode, Nslookup affiche les messages de réponse DNS communiqués nr le serveur DNS.

Important Les commandes saisies en mode interactif de Nslookup sont sensibles à la casse et doivent être frappées en minuscules.

Vous pouvez examiner les options actuellement configurées pour Nslookup en exécutant la commande set ail (voir Figure 6-2).

Figure 6-2 Affichage des options de Nslookup

Le tableau 6-1 décrit les options les plus courantes configurées à laide de la commande Set.

Tableau 6-1 Options de ligne de commande disponibles avec Set

OptionBut
set all
Montre létat de la configuration de toutes les Optionsset [no]debugPlace Nslookup en mode Debug. Lorsque le mode Debug est activé, davantage
Dinformations sont imprimés concernant le paquet envoyé au serveur et sa réponse.set [no]d2Place Nslookup en mode Verbose Debug, permettant dexaminer les paquets de requête et réponse entre solveur et le serveur.Set domain=Indique au solveur le nom de domaine à ajouter aux requêtes non-qualifiées, y compris les noms dépourvus de point final.Set Timeout=Indique au solveur la valeur de dépassement de délai à employer, exprimée en secondes. Cette option est utilise lorsque les requêtes échouent fréquemment par dépassement de délai et que le temps dattente doit être augmenter.Set Type= ou Set querytype= ou Set q= Indique au solveur le type denregistrement de ressource à rechercher (par exemple, A, PTR ou SRV). Si vous voulez que le solveur recherche tous les types denregistrement de ressource, tapez set type=all.

La section suivante décrit la réalisation des tâches classiques avec Nslookup en mode interactif.
Recherche de types de données différents

Par défaut, une recherche de nom Nslookup ne renvoie que les adresses dhôtes des enregistrements de ressource A correspondants. Pour rechercher dautres types de données dans lespace de noms du domaine, servez-vous de la commande set type ou set querytype (Set Q) à linvite de commandes. Par exemple, pour ne rechercher que des enregistrements de ressource de serveur de messagerie (MX) plutôt que des enregistrements de ressource A, tapez set q=mx, comme montré ici:

C:\>nslookup
Serveur par défaut:localhost
Address:

127 .0 .0.1
set q=mx
>microsoft.com
Serveur :localhost
Address:127.0.0.1

Non-authoritative answer:
microsoft.com MX preference =10,mail exchanger =mailc.microsoft.com
microsoft.com MX preference =10,mail exchanger =maila.microsoft.com
microsoft.com MX preference =10,mail exchanger =mailb.microsoft.com

microsoft.com nameserver =dns1.cp.msft.net
microsoft.com nameserver =dns1.tk.msft.net
microsoft.com nameserver =dns3.uk.msft.net
microsoft.com nameserver =dns1.dc.msft.net
microsoft.com nameserver =dns1.sj.msft.net
mailc.microsoft.com Internet address =131.107.3.121
mailc.microsoft.com Internet address =131.107.3.126
maila.microsoft.com Internet address =131.107.3.124
maila.microsoft.com internet address =131.107.3.125
mailb.microsoft.com internet address =131.107.3.122
mailb.niicrosoft.com internet address =131.107.3.123
dns1.cp.msft.net Internet address =207.46.138.20
dns1.tk.msft.net Internet address =207.46.245.230
dns3.uk.msft.net internet address =213.199.144.151
dns1.dc.msft.net internet address =64.4.25.30
dns1.sj.msft.net internet address =65.54.248.222>

Astuce Pour rechercher un enregistrement de type quelconque, exécutez la commande Nslookup set q=any.

Lors de la première requête pour un nom distant, la réponse fait autorité : ce nest pas le cas des requêtes ultérieures. La raison en est la suivante : lors de la première requête pour un hôte distant, le serveur DNS local contacte le serveur DNS faisant autorité pour ce domaine. Il met ensuite en cache cette information,si bien que les requêtes ultérieures reçoivent une réponse faisant pas autorité à partir du cache du serveur.
Requête directe vers un autre serveur de noms

Pour interroger directement un autre serveur de noms, servez-vous des commandes server ou lserver pour basculer vers ce serveur de noms. La commande lserver a recours au serveur local pour obtenir ladresse du serveur vers lequel basculer, alors que la commande server emploie le serveur par défaut pour obtenir ladresse.

Après avoir exécuté lune des ces commandes, toutes les recherches ultérieures lancées pendant la session Nslookup courante sont effectuées sur serveur spécifié jusquà ce que vous en changiez à nouveau. Les lignes suivantes illustrent un exemple de modification de serveur:

C:\>nslookup
Serveur par défaut :nameserver1.lucernepublishing.com
Address:10.0.0.1

server nameserver2

Serveur par défaut :nameserver2.lucernepublishing.com
Address:10.0.0.2

Emploi de Nslookup pour examiner des données de zone

Vous pouvez vous servir de Nslookup pour simuler un transfert de zone à laide de la commande Ls, utile pour voir tous les hôtes dun domaine distant. Voici la syntaxe de la commande Ls.

Is [ -a | d | t type ]domaine [>nomfichier]

Lemploi de ls sans commutateur renvoie la liste de toutes les adresses et données du serveur de noms. Le commutateur - a renvoie les alias et les noms canoniques.
-d renvoie toutes les données.
alors que -t filtre selon le type.
Les lignes suivantes un exemple de sortie de ls lorsque la commande est employée sans Commutateur :

>ls domain1.com
[nameserver1.domain1.com ]
nameserver1.domain1.com. NS server = ns1.domain1.com
nameserver2.domain1.com. NS server = ns2.domain1.com
nameserver1 A 10.0.0.1
nameserver2 A 10.0.0.2

Les transferts de zone peuent être bloques sur le serveur DNS de façon à ce que seuls les réseaux ou adresses autorisés puissent accomplir cette fonction. Le message derreur suivant est renvoyé si la sécurité de transfert de zone a été activée :

***Cant list domain . :Query refused

Astuce dexamen Vous devez vous rappeler lors de lexamen que la mande ls simule un transfert de zone, alors que ceux-ci sont restreints défaut avec Windows Server 2003. Pour interroger un serveur DNS Windows Server 2003 à laide de la commande ls, veillez à autoriser les transferts de zone vers lordinateur sur lequel vous exécutez Nslookup.
Examen du journal des événements DNS

Vous pouvez examiner le journal des événements DNS à laide du noeud Observateur dévénements de la console DNS (voir Figure 6-3). Vous pouvez également lexaminer depuis la console Observateur dévénements, où il porte le nom de journal du serveur DNS.

Figure 6-3 Examen du journal des événements DNS

Le journal des événements DNS enregistre les erreurs du serveur DNS. Si vous rencontrez des problèmes avec DNS,vous pouvez vérifier lObservateur dévénements pour les événements relatifs à DNS.
Configuration du journal des événements DNS

Par défaut, le journal des événements DNS enregistre tous les événements DNS. Vous pouvez toutefois limiter le type dévénement écrit dans le journal, soit à laide de longlet Enregistrement des événements de la boîte de dialogue des propriétés du serveur DNS, soit grâce à la boîte de dialogue Propriétés du journal des événements DNS. Cette dernière procure un contrôle de gestion supérieur ainsi que des dispositifs de filtrage.

Pour ouvrir la boîte de dialogue Propriétés des Événements DNS, effectuez un clic droit sur le journal des événements DNS dans la console DNS, puis sélectionnez Propriétés. La boîte de dialogue Propriétés des événements DNS contient un onglet Général et un onglet Filtrage.

Longlet Général (voir Figure 6-4) permet de configurer le nom du fichier journal, son emplacement, sa taille maximale ainsi que la date dexpiration des événements mis en journal.

Figure 6-4 Onglet Général de la boîte de dialogue Événements DNS

Longlet Filtrer (voir Figure 6-5) permet de limiter les événements écrits dans le journal des événements DNS selon le type dévénement, la source de lévénement, son ID, la date et dautres paramètres.

Figure 6-5 Onglet Filtrer de I enregistrement des événements DNS

Journal de débogage DNS

Outre le journal des événements DNS, le service serveur DNS maintient également un autre journal, servant au débogage. Ce journal de débogage DNS est un fichier nommé Dns.log stocké dans le dossier WINDOWS\System32\Dns\. Ce fichier étant intensivement employé par le service serveur DNS, vous ne pouvez lexaminer quaprès avoir arrêté le service serveur DNS. En outre, comme le fichier Dns.log est au format RTF (Rich Text Format). vous devez recourir à WordPad pour examiner correctement son contenu.

Par défaut, le journal de débogage DNS ne contient que les erreurs DNS. Vous pouvez cependant également vous en servir pour enregistrer tous les paquets DNS envoyés ou reçus par le serveur DNS local. Pour activer lenregistrement des paquets DNS, ouvrez la boîte de dialogue des propriétés du serveur DNS et cliquez sur longlet Enregistrement de débogage. Par défaut, la case à cocher Enregistrer les paquets dans le journal pour le débogage nest pas cochée et le reste de longlet est inaccessible.

Après avoir sélectionné loption Enregistrer les paquets dans le journal pour le débogage (voir Figure 6-6), vous pouvez toutefois configurer les types de paquets DNS à enregistrer dans le journal DNS.

Figure 6-6 Activation des enregistrements de débogage

À laide de longlet Enregistrement de débogage, vous pouvez configurer le fichier journal DNS pour quil enregistre les types dévénements suivants:

Requêtes
Messages davertissement dautres serveurs
Mises à jour dynamiques
Contenu de la section demande de messages de requête DNS
Contenu de la section réponse de messages de requête DNS
Nombre de requêtes envoyées par ce serveur
Nombre de requêtes reçues par ce serveur
Nombre de requêtes DNS reçues sur un port UDP (User Datagram Protocol)
Nombre de requêtes DNS reçues sur un port TCP (Transmission Control Protocol)
Nombre de paquets complets envoyés par le serveur
Nombre de paquets écrits via le serveur et renvoyés à la zone

Attention Ne laissez pas activée loption Enregistrement de débogage DNS pendant le fonctionnement normal, car elle consomme des ressources processeur et disque dur. Vous ne devez lactiver que pour le diagnostic et la résolution de problèmes DNS.
Exercice pratique : Travail avec les outils de dépannage DNS

Dans cet exercice, vous employez Nslookup pour effectuer un dépannage DNS fondamental. Vous configurez ensuite le journal DNS pour enregistrer les paquets et examiner les résultats.

Exercice 1 : Travail avec Nslookup en mode non-interactif

Dans cet exercice, vous employez Nslookup pour effectuer des recherches directes et inversées.

1. Sur Ordinateur1,ouvrez une session sur Domain1 en tant quadministrateur.

2. Connectez Ordinateur1 à lInternet sil nest pas déjà connecté.

3. Ouvrez une invite de commandes et tapez
netsh interface ip set dns "Connexion au réseau local" static 192.168.0.1
Cette commande garantit que le serveur DNS local est interrogé avant un serveur DNS distant.

4. À linvite de commandes, tapez nslookup www.msn.com., puis appuyez sur Entrée.

5. Si vous recevez une réponse de dépassement de délai, tapez à nouveau la commande. Vous devriez recevoir une sortie analogue à celle-ci :

Serveur :ordinateur1.domain1.local
Address:192.168.0.1
Nom :www.msn.com
Addresses :207 .68.171.254,207.68.172. 253 .207. 68.112.254,207.68.173. 253
207.68.173.254,207.68.171 .253

Ces adresses IP sont associées au FQDN HYPERLINK "http://www.msn.com" www.msn.com.

6. À linvite de commandes, tapez nslookup 207.68.173.253, puis appuyez sur Entrée. Si vous recevez une réponse de dépassement de délai, tapez à nouveau la commande. Vous devriez obtenir une sortie analogue à celle-ci :

Serveur :ordinateur1.domain1.local
Address:192.168.0.1
Nom :feeds2.msn.com
Address:207.68.173.253

Exercice 2 : Travail avec Nslookup en mode interactif

Vous employez dans cet exercice Nslookup en mode interactif pour comparer les sorties de recherches dans les modes Nodebug, D2 et Debug. Vous effectuez ensuite des requêtes spécialisées dans la zone par défaut.

1. Si ce nest déjà fait, sur Ordinateur1,ouvrez une session sur Domain1 en tant quadministrateur.

2. À linvite de commandes, tapez dnscmd /zoneresetsecondaries man.com /nonsecure

Cette commande active les transferts de zone vers nimporte quel serveur, ce qui permet dexaminer le contenu total de la zone domain1.local à laide de Nslookup.

3. À linvite de commandes, tapez nslookup, et appuyez sur Entrée.

Une sortie analogue à ce qui suit apparaît. Elle indique que vous êtes entré en mode interactif. Le symbole supérieur à (>) désigne linvite de commandes Nslookup.

Serveur par défaut :ordinateur1.domain1.local
Address:192.168.0.1

4. À linvite de commandes Nslookup, tapez set all, et appuyez sur Entrée.

Une sortie analogue à ce qui suit apparaît, montrant toutes les options actuellement sélectionnées de Nslookup :

Serveur par défaut :ordinateur1.domain1.local
Address: 192.168.0.1

Options Set :
nodebug
defname
search
recurse
nod2
novc
noignoretc
port=53
type=A
class=IN
timeout=2
retry=1
root=A.ROOT-SERVERS.NET.
domain=man.com
MSxfr
IXFRversion=1
srchlist=man.com
>

Remarquez que la première option citée est nodebug. Lorsque cette option est active, la sortie de Nslookup est concise.

5. À linvite Nslookup, tapez www.msnbc.com., et appuyez sur Entrée. Si vous recevez une réponse de dépassement de délai, tapez à nouveau la commande. La sortie affiche le nom dordinateur associé à lalias www.msnbc.com, la ou les adresses IP résolues à partir de ce FQDN et lallas www.msnbc.com.

6. À linvite Nslookup, tapez set d2, et appuyez sur Entrée. Nslookup passe en mode Verbose Debug.

7. À linvite Nslookup, tapez set ail, et appuyez sur Entrée. Utilisez la sortie de cette commande pour répondre à la question suivante dans lespace réservé à cet effet. Quelles sont les deux différences entre la liste des options actuelle et celle obtenue lors de lexécution de la commande set ail à létape 4?

8. À linvite Nslookup, tapez www.msnbc.com.. et appuyez sur Entrée. Veillez à bien inclure le point de fin (.) après le nom.

Vous recevez une réponse détaillée comprenant trois sections une section SendRequest(), une section Got Answer et une section Non-Authritative Answer.

9. Localisez ces trois sections, puis répondez aux questions suivantes dans les espaces réservés à cet effet. Que représentent les deux premières sections?

Pourquoi ces sections apparaissent-elles maintenant dans la sortie de la requête?

Pourquoi la section Answer est-elle considérée comme ne faisant pas autorité?

10. À linvite de commandes, tapez set nod2, et appuyez sur Entrée. Un message indique que le mode D2 est désactivé et que Nslookup est encore en mode Debug.

11. À linvite de commandes, tapez www.msnbc.com., et appuyez sur Entrée. Veillez à inclure le point final (.). Nslookup génère une sortie.

12. Comparez les résultats de la sortie à ceux obtenue par la même requête à létape 7, lorsque Nslookup était en mode D2. Répondez à la question suivante dans lespace réservé à cet effet. Quelle est la différence spécifique entre le mode D2 et le mode actuel Debug?

13. À linvite de commandes, tapez set nodebug, et appuyez sur Entrée. Nslookup nest désormais plus en mode Debug.

14. À linvite de commandes, tapez ls domain1.local, et appuyez sur Entrée. La sortie répertorie tous les enregistrements de ressource A et serveur de noms (NS) configurés dans le domaine domain1.local. Nslookup nétant plus en mode Debug, le contenu complet de ces enregistrements de ressource nest pas montré.

15. À linvite de commandes, tapez set q=srv et appuyez sur Entrée. Cette commande impose aux requêtes ultérieures de ne rapporter que les enregistrements de ressource service (SRV) du domaine.

16. À linvite de commandes, tapez ls t domain1.local, et appuyez sur Entrée. La sortie répertorie tous les enregistrements de ressource SRV configurés dans le domaine domain1.local.

Astuce Si vous voulez simplement examiner la liste de tous les enregistrements de ressource SRV dun domaine sans avoir besoin dexécuter dautres requêtes, vous pouvez effectuer les étapes 15 et 16 en une seule étape en tapant la commande ls -t srv domain1.local à linvite Nslookup.

17. À linvite de commandes, tapez _ldap._tcp, et appuyez sur Entrée. Une sortie analogue à celle présentée ici apparaît, montrant le contenu complet de lenregistrement de ressource SRV nommé _ldap._tcp:

Serveur : ordinateur1.domain1.local
Address: 192.168.0.1

_ldap._tcp.man.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = ordinateur1.domain1.local
presario.man.com internet address = 192.168.0.1

18. À linvite Nslookup, tapez exit, et appuyez sur Entrée. Le programme Nslookup prend fin.

19. À linvite de commandes, tapez dnscmd /zoneresetsecondaries domain1.local /securens

Cette commande rétablit les paramètres de transfert de zone de la zone pour les autoriser uniquement vers les serveurs configurés avec un enregistrement NS dans les données de zone.

20. Fermez la fenêtre dinvite de commandes.
Exercice 3 : Travail de débogage avec le journal DNS

Dans cet exercice, vous activez lEnregistrement de débogage du service serveur DNS. Vous effectuez ensuite des requêtes pour générer des entrées dans le journal, vous arrêtez le service serveur DNS, puis vous examinez les messages DNS enregistrés dans le fichier Dns.log à laide de WordPad.

1. Si ce nest déjà fait, depuis Ordinateur1, ouvrez une session sur Domain1 en tant quadministrateur.

2. Ouvrez la console DNS.

3. Dans larborescence de la console DNS, effectuez un clic droit sur ORDINATEUR1, puis sélectionnez Propriétés. La boîte de dialogue Propriétés de ORDINATEUR1 souvre.

4. Cliquez sur longlet Enregistrement de débogage.

5. Cochez la case Enregistrer les paquets dans le journal pour le débogage. Vous pouvez désormais configurer les options de longlet.

6. Consacrez quelques instants à regarder quels paquets DNS sont configurés pour être mis en journal selon les réglages par défaut, puis cliquez sur OK.

7. Vérifiez que Ordinateur1 est connecté à lInternet, puis ouvrez une invite de commandes.

8. Tapez nslookup www.technet.com.. Appuyez ensuite sur Entrée. Noubliez pas le point final au bout du FQDN.

9. Si vous recevez une erreur de dépassement de délai, recommencez létape 8.

10. Ouvrez la console Services en cliquant sur Démarrer, puis en sélection nant successivement Outils dadministration, puis Services.

11. Dans la console Services, localisez le service, serveur DNS dans la liste des services du volet de détails.

12. Arrêtez ce service en effectuant un clic droit sur lentrée Serveur DNS et en sélectionnant Arrêter.

13. Lancez lExplorateur Windows et ouvrez le dossier WIN DOWS\System32\Dns.

14. Effectuez un clic droit sur le fichier Dns.log, puis sélectionnez Ouvrir avec. La boîte de dialogue Ouvrir avec saffiche.

15. Sélectionnez WordPad dans la liste des programmes, puis cliquez sur OK. Le fichier Dns.log souvre dans WordPad.

16. Dans le journal, localisez la série des messages de requête et de réponse DNS retraçant la résolution du nom www.technet.com. Cet échange ressemble à ce qui suit:

13:49:42 848 PACKET UDP Rcv 192.168.0.1 0003 Q [ 0001 D NOERROR ](3) www(7)technet(3)com(0)

13:49:42 848 PACKET UDP Snd 192.168.0.1 Q [ 0000 NOERROR ](3)www(7)technet(3)com(0)

13:49:42 848 PACKET UDP Rcv 207. 68.112.30 36f6 R Q [0080 NOERROR ](3)www (7)technet(3)com(0)

13:49:42 848 PACKET UDP Snd 207.68.144.151 36f6 Q [ 0000 NOERROR ] (3)www(7)technet(3)com(8)

13:49:43 848 PACKET UDP Rcv 207.68.144.151 36f6 R Q [ 0084 A NOERROR ] (3)www(7)technet(3)com(8)

17. Répondez à la question suivante dans lespace réservé à cet effet. Quel est le premier message faisant référence à www enregistré par le journal et étiqueté UDP? Pourquoi est-il étiqueté Rcv(pour Receive)?

18. Fermez le fichier Dns.log.

19. Dans la console Services, redémarrez le service serveur DNS.

20. Sur longlet Enregistrement de débogage de la boîte de dialogue Propriétés de ORDINATEUR1, éliminez la coche de Enregistrer les paquets dans le journal pour le débogage.

21. Cliquez sur OK pour fermer boîte de dialogue Propriétés de ORDINATEUR1.

22. Fermez la session sur Ordinateur1.
Révision de la leçon

Les questions suivantes visent à renforcer vos compétences par rapport aux informations présentées dans cette leçon. Si vous narrivez pas à répondre à une question donnée, relisez les pages qui précèdent et réessayez. Vous trouverez les réponses dans la section « HYPERLINK \l "_Révision_de_la_3"Question et réponses », à la fin de ce chapitre.

1. Quelle commande devez-vous exécuter à linvite de commandes pour effectuer une recherche inversée pour ladresse W 207.46.230.218?

2. Quelle commande devez-vous exécuter à linvite Nslookup pour examiner tout le contenu de la zone domain1.com?

ls -d domain1.com
ls -t domain1.com
ls -a domain1.com
ls -any domain1.com

3. Quelle commande devez-vous exécuter à linvite Nslookup pour examiner la liste de tous les enregistrements de ressource SRV dun domaine?

set q=srv
set q=srv
ls -t srv
ls -d srv

4. Quelles sont les deux façons permettant dimposer au journal des événements DNS de nenregistrer que les erreurs et les avertissements?

5. Vous activez lenregistrement des paquets depuis la boîte de dialogue des propriétés de votre serveur DNS. Que devez-vous ire pour pouvoir examiner le contenu du journal, correctement mis en forme?

Résumé de la leçon

Nslookup permet deffectuer des requêtes de test vers des serveurs DNS et dobtenir des réponses détaillées depuis linvite commandes.

Le journal des événements DNS enregistre les erreurs du composant service serveur DNS du système dexploitation Windows Server 2003. Si vous rencontrez un problème avec DNS,vous pouvez rechercher depuis lObservateur dévénements les événements relatifs à DNS.

Le service serveur DNS maintient un autre journal employé pour le débogage. Ce journal de débogage DNS est un fichier nommé Dns.log stocké dans le dossier WLNDOWS\System32\Dns\.

Pour activer les enregistrements de paquets DNS dans le fichier Dns.log, cochez la case Enregistrer les paquets dans le journal pour le débogage de longlet Enregistrement de débogage de la boîte de dialogue des propriétés du serveur DNS.
Leçon 2: travail avec les outils de surveillance DNS

Le moniteur de réplication et le Moniteur système peuvent tous les deux servir à surveiller les fonctionnalités DNS. Le moniteur de réplication effectue la fonction capitale de surveillance de la réplication DNS dans les zones intégrées à Active Directory, alors que le Moniteur Système permet de suivre en temps réel quelques-unes des 62 mesures de performance relatives à DNS.

À la fin de cette leçon, vous saurez:

Employer le Moniteur de réplication pour surveiller la réplication ou les données.
Employer les compteurs du Monteur système pour surveiller la performance de DNS.

Durée estimée : 30 minutes

Travail avec le moniteur de réplication

Le moniteur de réplication (Replication Monitor) replmon.exe, est un outil graphique, actuellement encore non localisé, appartenant aux outils de support Windows (Windows Support Tools) qui permet de surveiller et d dépanner la réplication Active Directory. Ce dispositif est essentiel pour la surveillance de transfert de données DNS dans les zones intégrées à Active Directory. Le moniteur de réplication permet deffectuer les fonctions suivantes:

Imposer la réplication de données DNS dans les diverses étendues de réplication.
Savoir lorsquun partenaire de réplication est défaillant.
Afficher la topologie de réplication.
Sonder les partenaires de réplication et générer des historiques individuels des échecs et réussites des événements de réplication.
Afficher les modifications non encore répliquées dun partenaire de réplication donné.
Surveiller létat de réplication de contrôleurs de domaine de plusieurs forêts.

Après avoir installé les outils de support Windows, vous pouvez lancer le moniteur de réplication en tapant replmon à une invite de commandes (ou dans la boîte de dialogue Exécuter), puis en appuyant sur Entrée. Cette procédure ouvre le moniteur de réplication (voir Figure 6-7).

Figure 6-7 Console du moniteur de réplication
Le moniteur de réplication permet de surveiller la réplication Active Directory sur des contrôleurs de domaine de votre réseau. Aucun contrôleur de domaine nest toutefois présent par défaut dans larborescence de la console. Pour ajouter un contrôleur de domaine à larborescence de la console du moniteur de réplication, effectuez un clic droit sur licône Monitored Servers, puis cliquez sur Add Monitored Server. Après avoir ajouté tous les serveurs à surveiller, vous pouvez enregistrer cette configuration de la console sous forme de fichier .ini, puis ouvrir le fichier depuis le moniteur de réplication lors demplois ultérieurs.

Partitions dannuaire et zones intégrées à Active Directory

Pour chaque serveur énuméré dans larborescence de la console, vous pouvez afficher les partitions Active Directory installées sur ce serveur en développant licône de serveur associée. Les contrôleurs de domaine qui sont des serveurs DNS et qui hébergent une unique zone intégrée à Active Directory comprennent par défaut un réplica de cinq partitions de ce type.

La liste suivante décrit ces cinq partitions pour un domaine Active Directory et une zone nommée DNS nommée domain1.com:

DC=domain1,DC=com la partition du domaine, contenant les objets (comme les utilisateurs et les ordinateurs) associés au domaine local. Chaque contrôleur de domaine stocke un réplica complet de la partition de domaine de son domaine local. En outre, les données DNS sont stockées dans cette partition dans un but de compatibilité avec les serveurs DNS Microsoft Windows 2000. Pour stocker des données de zone DNS dans la partition de domaine, fixez létendue de réplication de la zone dans la console DNS à Tous les contrôleurs de domaine du domaine (cest le réglage par défaut).

CN=Configuration,DC=Domain1,DC=com La partition de configuration renferme la topologie de réplication et dautres informations de configuration devant être répliquées dans toute la forêt. Chaque contrôleur de domaine (DC) de la forêt possède un réplica de la même partition de réplication. Cette partition est toutefois de dépourvue de données de zone DNS.

CN=Schema,DC=Domain1,DC=com La partition de schéma contient les objets ClassSchema et attributeSchema qui définissent les types dobjet pouvant exister dans la forêt Directory. Chaque DC de la foêt possède un réplica de la même partition de schéma. Cette partition est toutefois dépourvue de données de zone DNS.

DC=DomainDnsZones,DC=Domain1,DC=com La partition dannuaire dapplications intégrée nommée DomainDnsZones est répliquée sur tous les contrôleurs de domaine Windows Server 2003 qui sont également des serveurs DNS dans un domaine Active Directory particulier. Pour stocker des données de zone DNS dans la partition DomainDnsZones, fixez létendue de réplication de zone dans la console DNS à Tous les serveurs DNS du domaine Active Directory.

DC=ForestDnsZones,DC=Domain1,DC=com La partition dannuaire dapplications nommée ForestDnsZones est répliquée sur tous les contrôleurs de domaine Windows Server 2003 qui sont également des serveurs DNS dune forêt Active Directory. Pour stocker des données de zone DNS dans la partition ForestDnsZones, fixez létendue de réplication de zone dans la console DNS à Tous les serveurs DNS de la forêt Active Directory.

Vous pouvez également créer des partitions dannuaire dapplications personnalisées et demander aux contrôleurs de domaine de votre choix de stocker un réplica de ces partitions. Dans la Figure 6-7, le Moniteur de réplication affiche une telle partition dannuaire dapplications, nommée custom. Pou stocker des données de zone DNS dans une partition dannuaire dapplications personnalisée, fixez létendue de réplication de zone dans la console DNS à Tous les contrôleurs de domaine spécifiés dans létendue de la partition dannuaire dapplications suivante. Sélectionnez ensuite la partition dannuaire dapplications concernée dans la zone de liste déroulante.

Pour savoir quelle partition Active Directory sert à stocker les données dune zone DNS particulière, vous pouvez soit contrôler les propriétés de la zone DNS depuis la console DNS, soit recourir à la commande Dnscmd /zoneinfo.

Exemple : Commutateurs Dnscmd pour la réplication DNS

LUtilitaire Dnscmd peut ne pas être intensivement testé lors de lexamen, mais cet outil de ligne de commande peut vous faciliter la vie. Par exemple, plutôt que de cliquer sans fin dans dinnombrables boîtes de dialogue, vous pouvez recourir à Dnscmd pour déterminer et modifier létendue de réplication de zone. Pour déterminer létendue de réplication de zone dun domaine nommé domain1.local, tapez simplement la commande suivante à une invite de commandes dnscmd /zoneinfo domian1.local. Recherchez ensuite une entrée nommée directory partition dans la sortie. Pour modifier létendue de réplication de zone, servez-vous du commutateur /zonechangedirectorypartition suivi dun des commutateurs suivants, selon le cas /domain (pour tous les serveurs DNS du domaine), /forest (pour tous les serveurs DNS de la forêt) ou /legacy (pour tous les contrôleurs de domaine du domaine). Par exemple, pour définir létendue de réplication dune zone nominée domain1.local à tous les serveurs DNS du domaine, tapez la commande suivante : dnscmd /zonechangediretorypartition domain1.local /domain.

Si vous disposez des autorisations adéquates, vous pouvez même effectuer ces commandes à distance. Spécifiez alors simplement le nom du serveur à la suite de dnscmd.

Imposer une réplication dune zone intégrée à Active Directory

Une fois que vous savez dans quelle partition dannuaire sont stockées les informations dune zone DNS, vous pouvez imposer la réplication de cette zone depuis le moniteur de réplication. Cette procédure peut aider à résoudre des problèmes de résolution de noms provoqués par des données de zone périmées.

Pour imposer une réplication de zone Active Directory, effectuez un clic droit sur la partition adéquate dans larborescence de la console du moniteur de réplication et sélectionnez Synchronize This Partition With All Servers. Cette procédure ouvre la boîte de dialogue montrée Figure 6-8.

Figure 6-8 Imposer la réplication

Lorsque vous imposez une réplication;vous pouvez vous servir de cette boîte de dialogue pour effectuer la réplication uniquement vers les voisins, vers tous les serveurs du site local ou vers tous les serveurs de tous les sites.
Recherche derreurs de réplication

Les erreurs DNS dans des zones intégrées à Active Directory peuvent provenir de réplications de zone erronées. Le moniteur de réplication permet de parcourir le domaine à la recherche de telles erreurs de réplication. Pour ce faire, dans le menu Action, sélectionnez Domain, puis sélectionnez Search Domain Controllers For Replication Errors (voir Figure 6-9).

Figure 6-9 Recherche derreurs de réplication

Vous pouvez également configurer le moniteur de réplication pour envoyer un courrier électronique à un administrateur après un nombre spécifié derreurs de réplication. Pour ce faire, depuis le menu View, sélectionnez Options. Dans la boîte de dialogue Active Directory Replication Monitor Options, sélectionnez loption Notify When Replication Fails AfterThis Number Of Attempts, puis spécifiez le nombre déchecs devant déclencher lenvol dun courriel. Enfin, cochez la case Send Mail To et indiquez une adresse électronique dans la zone de texte associée.

Astuce dexamen Le moniteur de réplication procure un moyen général pour surveiller la réplication Active Directory et déceler les erreurs de réplication. Pour effectuer une analyse détaillée et un dépannage de la réplication Active Directory, servez-vous de lutilitaire de ligne de commande Repadmin, appartenant également aux outils de support Windows.

Surveiller les performances DNS à laide du Moniteur système

Le Moniteur système est un outil situé dans larborescence de la console Performance et permettant de sélectionner nimporte quelle des centaines de mesures relatives au système pour une surveillance en temps réel. Chaque mesure particulière, comme % Temps processeur ou Long. moy. de file dattente du disque, porte le nom de compteur. Les compteurs relatifs à des sous-systèmes réseau analogue sont regroupes en objets performance.

Lorsque, vous sélectionnez et ajoutez des compteurs au Moniteur système, loutil affiche des graphiques affichant les mesures en temps réel requises par ces compteurs (voir Figure 6-10).

Figure 6-10 Graphiques du Moniteur système

Pour accéder au Moniteur système, ouvrez la console Performances en cliquant sur Démarrer, en sélectionnant Outils dadministration, puis en cliquant sur Performances. Vous pouvez également taper perfmon à linvite de commandes ou dans la boîte de dialogue Exécuter, et appuyer sur Entrée.
Dans la console Performances, sélectionnez le noeud Moniteur système dans larborescence de la console.

Voir aussi Pour plus dinformation sur lemploi du Moniteur système et de la console Performances, reportez-vous au Chapitre 12, « HYPERLINK "Chap12_Maintenance.doc" Maintenance dune infrastructure réseau ».

Compteurs de performance du serveur DNS

Lobjet de performance DNS du Moniteur système comprend 62 compteurs. Vous pouvez vous en servir pour mesurer et surveiller différents aspects de lactivité du serveur, dont les suivants:

Statistiques globales de performance du serveur DNS, comme le nombre total de requêtes et de réponses traitées par un serveur DNS.

Compteurs UDP ou TCP, mesurant les requêtes et réponses DNS traitées par lun ou lautre de ces protocoles de transport.

Compteurs de mises à jour dynamiques et de mises à jour dynamiques sécurisées mesurant lactivité de mise à jour et denregistrement générée par des clients dynamiques.

Compteurs dutilisation de la mémoire, mesurant lemploi de la mémoire système et les modèles dallocation de mémoire créés en employant lordinateur serveur comme serveur DNS exécutant Windows Server 2003.

Compteurs de recherche récursive, mesurant les requêtes et les réponses lorsque le service serveur DNS a recours à la récursivité pour i - cher et résoudre totalement des noms DNS pour le compte des ciel demandeurs

Compteurs de recherche WINS (Windows Internet Name Service) mesurant les requêtes et les réponses effectuées vers des serveurs WINS lorsque les dispositifs dintégration de la recherche WINS du service serveur DNS sont employés.

Compteurs de transfert de zone, dont des compteurs spécifiques mesurant ce qui suit transferts de zone complets (AXFR), transferts de zones Incrémentiels (IXFR) et activité de notification de mise à jour de zone DNS.

Confidentiel La majorité des compteurs de performance du Moniteur système sont rarement employés. Malgré cela, une plaisanterie classique parmi les administrateurs réseau stipule que le Moniteur système est le plus indispensable 1 tous les outils dadministration. En effet, lorsque vous le laissez sexécuter avec ses graphiques en temps réel affichés à la vue de tous, votre patron a toujours limpression que vous travaillez intensivement.

Le Tableau 6-2 présente quelques-uns des compteurs de performance DNS les plus utiles. Ces compteurs permettent de déterminer à quelle fréquence un serveur DNS spécifié est interrogé et combien derreurs sont générée.

Tableau 6.2 Compteurs de performance DNS

CompteurDescription
Mémoire cache

La quantité totale de mémoire système employée par le service serveur DNS pour la mise en cache. Surveillez ce compteur pour déterminer si le cache optimise1emploi la mémoire disponible.Mises à jour dynamiques Le nombre total de requêtes de mise à jour dynamique reçues par le serveur DNS. Surveillez ce compteur après avoir activé les mises à jour dynamiques pour déterminer si les clients DNS tentent de mettre à jour leurs adresses DNS Mises à jour dynamiques
refuséesLe nombre total de mises à jour dynamiques rejetées par le serveur DNS. Surveillez ce compteur pour comparer cette valeur aux mises à jour dynamiques reçues et pour déterminer combien de systèmes rencontrent des problèmes de mise à jour dadresse IP
Tableau 6.2 Compteurs de performance DNS (Suite)

CompteurDescription
Mises à jour dynamiques
écrites dans la base de données
Le nombre total de mises à jour dynamiques écrites dans la base de données par le serveur DNS. Surveillez ce compteur pour comparer cette valeur aux mises à jour dynamiques reçues et pour déterminer combien de systèmes mettent à jour avec succès les enregistrements DNS.Mises à jour sécurisées refuséesLe nombre total de refus de mise à jour sécurisée sur le serveur DNS. Surveillez ce compteur pour déterminer si des clients ne peuvent effectuer de mise à jour dynamique sécurisée. Comparez la valeur aux mises à jour sécurisées reçues pour déterminer combien de systèmes ne peuvent effectuer de mise à jour sécurisée DNS.Mises à jour sécurisées reçuesLe nombre total de requêtes de mise à jour sécurisée reçues par le serveur DNS. Surveillez ce compteur pour comparer sa valeur aux échecs de mise à jour sécurisée et pour déterminer combien de systèmes effectuent avec succès des mises à jour sécurisées DNS.Total de requêtes reçuesLe nombre total de requêtes reçues par le serveur DNS. Surveillez ce compteur pour déterminer lemploi du serveur.Total de requêtes reçues/sLe nombre moyen de requêtes reçues chaque seconde par le serveur DNS. Surveillez ce compteur pour évaluer lactivité du serveur sur des réseaux à forte utilisation.Total de réponses envoyéesLe nombre total de réponses envoyées par le serveur DNS. Surveillez ce compteur pour évaluer lactivité du serveur.Total de réponses envoyées/sLe nombre moyen de réponses reçues chaque seconde par le serveur DNS. Surveillez ce compteur pour évaluer lactivité du serveur sur des réseaux à forte utilisation.Échecs de transfert de ZoneLe nombre total déchecs de transfert de zone du serveur DNS maître. Surveillez ce compteur pour dépanner les défaillances de résolution de noms.Demandes de transfert de zone reçuesLe nombre total de requêtes de transfert de zone reçues par le serveur DNS maître. Surveillez ce compteur pour comparer cette valeur aux échecs de transfert de zone et aux transferts de zone corrects.Transferts de zone
correctsLe nombre total de transferts de zone réussis du serveur DNS maître. Surveillez ce compteur pour dépanner les défaillances de résolution de noms.

Alerte de sécurité Servez-vous des groupes de sécurité locaux Utilisateurs de lAnalyseur de performances et Utilisateurs du journal de performance pour garantir que seuls les utilisateurs autorisés peuvent accéder aux données sensibles de performance et les manipuler. Ces groupes de sécurité sont nouveaux dans Windows Server 2003.

Révision de la leçon

Les questions suivantes visent à renforcer vos compétences par rapport aux informations présentées dans cette leçon. Si vous narrivez pas à répondre à une question donnée, relisez les pages qui précèdent et réessayez. Vous trouverez les réponses dans la section « HYPERLINK \l "_Révision_de_la"Question et réponses », à la fin de ce chapitre.

1. Les utilisateurs du siège de votre entreprise signalent quils ne peuvent se connecter de façon fiable aux ressources dune succursale. Les deux établissements appartiennent à un unique domaine Active Directory, domain1.com, comprenant des serveurs DNS Windows Server 2003 et Windows 2000. Vous avez configuré le domaine DNS de domain1.com comme zone intégrée à Active Directory. Comment pouvez-vous imposer la réplication pour garantir que les données DNS les plus récentes soient immédiatement mises à jour sur le lien du réseau étendu (WAN)?

2. Quels compteurs de performance devez-vous surveiller si vous voulez déterminer le pourcentage de requêtes de mise à jour dynamique sécurisée ayant échoué?

3. Les données de zone de adatum.com sont stockées dans la partition dannuaire dapplications DomainDnsZones. Comment pouvez-vous imposer la réplication pour cette zone sur toute la forêt?

Résumé de la leçon

Le moniteur de réplication (replication monitor) est un outil graphique permettant de surveiller et de dépanner la réplication Active Directory. Ce dispositif est essentiel dans lanalyse et le dépannage des transferts de zone DNS pour des zones intégrées à Active Directory.

Le moniteur de réplication affiche les partitions Active Directory installées chaque serveur dans larborescence de la console de loutil. Les contrôleurs de domaine qui sont des serveurs DNS hébergent une unique zone intégrée à Active Directory possèdent par défaut un réplica de cinq partitions.

Pour savoir quelle partition Active Directory sert à stocker les données dune zone DNS particulière, vous pouvez soit vérifier les propriétés de la zone DNS dans la console DNS, soit recourir à la commande Dnscmd /zoneinfo. Une fois que vous savez dans quelle partition dannuaire sont stockées les informations de zone DNS, vous pouvez imposer la réplication pour cette zone depuis le moniteur de réplication. Cette procédure aide à éliminer les problèmes de résolution de noms provoqués par des données de zone périmées.

Les erreurs DNS dans des zones intégrées à Active Directory peuvent être dues à des réplications erronées. Vous pouvez vous servir du moniteur de réplication pour parcourir le domaine à la recherche de telles erreurs de réplication.

Le Moniteur système est un outil situé dans larborescence de la console Performances qui permet de sélectionner nimporte quelle des centaines de mesures relatives au système pour une surveillance en temps réel. Lobjet de performance DNS du Moniteur système comprend 62 compteurs.

Étude de cas

Vous êtes ladministrateur réseau de Trey Research, une entreprise spécialisée dans le développement déoliennes et autres sources dénergie renouvelable. Trey Research est basée à Monterey (Californie) et possède une unique succursale à Syracuse (NewYork). De retour après un week-end prolongé, vous devez faire face à plusieurs problèmes, dont les suivants:

1. Vous découvrez dans votre courrier électronique non lu un message urgent de ladministrateur du bureau de Syracuse. Dans ce courriel, ladministrateur vous signale que les utilisateurs de Syracuse ne peuvent résoudre de façon fiable les noms dordinateur du bureau de Monterey via la connexion VPN (Virtual Private Network). Ladministrateur a joint les informations suivantes, copiées/collées du journal des événements DNS de lordinateur serveur DNS de Syracnse, ns5.tieyresearch.net

Une requête de transfert de zone pour la zone secondaire treyresearch.net a été refusée par le serveur DNS maître situé à 192.168.0.15 pour la zone du serveur maître 192.168.0.15 pour vérifier que les transferts de zone sont activés vers ce serveur. Pour ce faire, servez-vous de la console DNS; puis sélectionnez le serveur maître 192.168.0.15 comme serveur concerné. Ensuite, dans les propriétés de la zone secondaire treyresearch.net, examinez les réglages de longlet Transferts de zone. Selon les paramètres, effectuez tout ajustement nécessaire (ici ou éventuellement dans longlet Serveur de noms) pour quun transfert de zone puisse être effectué vers ce serveur.

Si le serveur DNS de Monterey a été installé à laide de lAssistant Composants de Windows, que devez-vous retenir parmi les actions suivantes pour activer la résolution de noms pour les clients de Syracuse ? Supposez que vous voulez conserver ou rétablir les réglages de sécurité par défaut des transferts de zone.

Configurer ns5.treyresearch.net pour être averti des mises à jour de zone.
Ajouter à la zone treyresearch.net un enregistrement de ressource A pointant vers lordinateur ns5.treyresearch.net.
Configurer la zone treyresearch.net pour autoriser les transferts de zone vers nimporte quel serveur.
Ajouter à la zone treyresearch.net un enregistrement de ressource NS pointant vers lordinateur ns5.treyresearch.net.

2. Quelque temps après avoir réglé ce problème, vous décidez de créer une délégation nommée syr.treyresearch.net au bureau de Syracuse. Vous découvrez toutefois que les utilisateurs du siège de Monterey ne peuvent résoudre les noms dordinateur de la succursale. En employant lutilitaire Nslookup pour dépanner le problème sur un serveur DNS de Monterey, ns1.treyresearch.net, vous obtenez la sortie suivante:

C: \>nslookup
Serveur par défaut :ns1.treyresearch.net
Address : 192. 168.0. 15
ls treyresearch.net
[ns1.treyresearch.net ]
treyresearch.net. A 192.168.0.15
treyresearch.net. NS server =ns1.treyresearch.net
treyresearch.net. NS server =ns5.treyresearch.net
gc._msdcs A 192.168.0.15
ns1 A 192.168.0.15
ns5 A 192.168.1.2
DomainDnsZones A 192.168.0.15
ForestDnsZones A 192.168.0.15
syr NS server ns1.treyresearch
>

Astuce dexamen Les outils de support Windows comprennent un utilitaire de ligne de commande nommé DNSLint, dont le but fondamental est daider à résoudre de tels problèmes de délégation. DNSLink peut également servir à vérifier les enregistrements DNS employés pour la réplication Active Directory et pour rechercher divers types denregistrement sur plusieurs serveurs DNS.

Quelle erreur suscite-t-elle le problème de résolution de noms?

3. Le domaine syr.treyresearch.net est configuré comme zone intégrée à Active Directory dans létablissement de Syracuse. Létendue de réplication de zone a été fixée à Tous les serveurs DNS de la forêt Active Directory. Quelle partition du Moniteur de réplication devriez-vous employer pour imposer la réplication des données de zone pour le domaine syr.treyresearch.net?

DC=treyresearch,DC=net
DC=ForestDnsZones,DC=treyresearch,DC=net
DC=ForestDnsZones,DC=syr,DC=treyresearch,DC=net
DC=DomainDnsZones,DC=syr,DC=treyresearch,DC=net
Laboratoire de dépannage

Dans le laboratoire, vous dépannez un problème de résolution de noms.

1. Sur Ordinateur1 une session sur Domain1 en tant quadministrateur. Vérifiez que la console de gestion DNS na pas été démarrée.
2. Vérifiez que Ordinateur1 est connecté à lInternet via la connexion MonFAI.
3. Sur Ordinateur2, ouvrez une session sur Domain1 en tant quadministrateur.
4. Vérifiez que vous pouvez vous connecter à lInternet depuis Ordinateur2 en naviguant jusquà un site Web externe comme HYPERLINK "http://www.msn.com" http://www.msn.com. Vous pouvez en toute sécurité ignorer tout avertissement signalant que ce site Web est bloqué par la configuration de sécurité avancée dInternet Explorer
5. Sur Ordinateur2, naviguez jusquau dossier où vous avez téléchargé fichiers daccompagnement du livre.
6. Localisez le fichier de traitement par lot suivant : \70-291\labs\Ch6a.bat et double-cliquez sur son nom. Le fichier sexécute.
7. Sur Ordinateur2, tentez à nouveau de vous connecter à lInternet en naviguant vers un autre site Web externe, comme HYPERLINK "http://www.wimdowsupdate.com" http://www.wimdowsupdate.com. La tentative échoue.
8. Sur Ordinateur 2, ouvrez une invite de commandes et tapez dnscmd ordinateur1 /clearcache. Cette commande vide le cache du serveur DNS de Ordinateur1.

Astuce dexamen Vous devez connaître cette commande lors de lexamen.

9. À linvite de commandes, tapez nslookup www.msn.com. La résolution de noms échoue.
10. Servez-vous de lutilitaire Nslookup en mode D2 pour enregistrer les messages de requête et de réponse pour le FDQN externe HYPERLINK "http://www.msn.com" www.msn.com. (noubliez pas le point final). Ce processus est décrit dans la Partie 2 de lExercice pratique de la Leçon 1 de ce chapitre, « HYPERLINK \l "_Exercice_2_:" Travail avec Nslookup en mode interactif».
11. Après avoir obtenu la sortie attendue de Nslookup, comparez les valeurs Rcode des sections SendRequest et Got Answer, puis répondez aux questions suivantes dans les espaces réservés à cet effet. Le problème de résolution de noms actuel provient-il dune erreur sur le client DNS ou sur le serveur DNS ? Comment pouvez-vous le savoir?

12. Tapez exit, et appuyez sur Entrée pour quitter lutilitaire Nslookup.
13. À une nouvelle invite de commandes de Ordinateur2, tapez dnscmd Ordinateur1 /info, et appuyez sur Entrée. La sortie montre un résumé de la configuration du serveur DNS sur Ordinateur1.
14. Dans la sortie, localisez la colonne Configuration Flags. Dans celle-ci, les propriétés fixées à 0 sont désactivées, celles fixées à 1 étant activées. Répondez à la question suivante dans lespace réservé à cet effet. Parmi ces propriétés actuellement activées sur le serveur DNS de Ordinateur1, lesquelles pourraient empêcher les utilisateurs de Ordinateur2 de résoudre des noms Internet?

15. Localisez le fichier suivant des fichiers daccompagnement proposés au téléchargement Chapitre06/Ch6b.bat et double-cliquez sur son nom. le fichier sexécute, rétablissant les réglages DNS corrects. Il ne modifie pas les réglages DNS corrects si ceux-ci sont déjà configurés.
16. A laide de Internet Explorer, vérifiez que vous pouvez toujours vous connecter aux ressources Internet spécifiées par nom DNS.
17. Fermez les sessions sur Ordinateur1 et Ordinateur2.
Résumé du chapitre

Nslookup est un utilitaire de ligne de commande permettant dinterroger et de dépanner les serveurs DNS.

Le journal des événements DNS enregistre les erreurs du composant service serveur DNS du système dexploitation Windows. Server 2003.

Le service serveur DNS maintient un journal employé pour le débogage DNS nommé Dns.log et stocké dans le dossier WINDOWS\System32\Dns\.

Le Moniteur de réplication est un outil graphique permettant de surveiller et de dépanner la réplication Active Directory. Vous pouvez lemployer pour imposer une réplication de zone intégrée à Active Directory et pour rechercher dans le domaine des erreurs de réplication.

Le Moniteur système permet de surveiller des statistiques de performance en temps réel. Lobjet performance DNS du Moniteur système comprend 62 compteurs.
À propos de lexamen

Avant de vous présenter à lexamen, révisez les termes et points clés présentés ci-dessous pour vous aider à identifier les thèmes essentiels.

Points clé

Connaître les commandes et commutateurs principaux employés avec lutilitaire Nslookup.

Sêtre familiarisé avec la lecture des messages du journal des événements DNS.

Savoir imposer une réplication et rechercher des erreurs de réplications dans des zones intégrées à Active Directory.

Connaître les noms des diverses partitions dans lesquelles peuvent être stockées les données de zone intégrée à Active Directory

Termes clés

Réplica Une copie dune partition Active Directory stockée sur un contrôleur de domaine.

Schéma Lensemble des définitions concernant les objets pouvant être stockés dans un annuaire. Le schéma définit pour chaque classe dobjets les attributs que doit posséder une instance de la classe, les attributs supplémentaires quelle peut posséder et quelles autres classes dobjets peuvent être sa classe parente.

classSchema Un objet servant à définir les classes dans le schéma. Un objet classSchema procure le plan de construction dobjets dannuaire de cette classe. Parmi les classSchema figurent User et Server.

attrlbuteSchema Un objet servant à définir les attributs dans le schéma. Un objet attributeSchema détermine le contenu acceptable et la syntaxe dinstances de cet attribut dans lannuaire. Parmi les objets attributeSchema figurent User-Principal-Name et Telex-Number.

Requête récursive Une requête demandant à un serveur DNS de recourir à sa la récursivité.

Questions et réponses

Leçon 1, Exercice pratique, Exercice 2

7. À linvite Nslookup, tapez set all, et appuyez sur Entrée. Utilisez la sortie de cette commande pour répondre à la question suivante dans lespace réservé à cet effet. Quelles sont les deux différences entre la liste des options actuelle et celle obtenue lors de lexécution de la commande set ail à létape 4?

Debug a remplacé nodebug et d2 a remplacé nod2.

9. Localisez ces trois sections, puis répondez aux questions suivantes dans les espaces réservés à cet effet. Que représentent les deux premières sections?

Les deux premières sections correspondent aux messages de requête et de réponse échangés entre le solveur et le serveur.

Pourquoi ces sections apparaissent-elles maintenant dans la sortie de la requête?

Ces sections apparaissent maintenant parce que loption d2 a été activée.

Pourquoi la section Answer est-elle considérée comme ne faisant pas autorité?

La section Answer ne fait pas autorité car la réponse a été mise en cache lors dune requête antérieure par un serveur ne faisant pas autorité. Un serveur ne faisant pas autorité a donc été en mesure de résoudre la requête.

12. Comparez les résultats de la sortie à ceux obtenue par la même requête à létape 7, lorsque Nslookup était en mode D2. Répondez à la question suivante dans lespace réservé à cet effet. Quelle est la différence spécifique entre le mode D2 et le mode actuel Debug?

Le mode D2, ou mode Verbose Debug, montre à la fois les messages de requête et de réponse. Le mode Debug ne montre que les messages de réponse.

Leçon 1, Exercice pratique, Partie 3

17. Répondez à la question suivante dans lespace réservé à cet effet. Quel est le premier message faisant référence à www.technet.com enregistré par le journal et étiqueté UDP? Pourquoi est-il étiqueté Rcv (pour Receive)?

La commande Nslookup www.technet.com était avant tout une requête DNS. Les requêtes DNS sont véhiculées par le protocole de transport UDI tandis que e journal a été configuré pour enregistrer à la fois les requêtes DNS et tout le trafic DNS effectué via UDP Le premier paquet est étiqueté Receive parce que a requête DNS était émise par le solveur DNS, pas par le trafic de journal du serveur. Le serveur DNS a dabord reçu la requête pour www.technet.com du solveur DNS.
Révision de la leçon 1

1. Quelle commande devez-vous exécuter à linvite de commandes pour effectuer une recherche inversée pour ladresse W 207.46.230.218?

nslookup 207.46.230.218

2. Quelle commande devez-vous exécuter à linvite Nslookup pour examiner tout le contenu de la zone domain1.com?

ls -d domain1.com
ls -t domain1.com
ls -a domain1.com
ls -any domain1.com

a

3. Quelle commande devez-vous exécuter à linvite Nslookup pour examiner la liste de tous les enregistrements de ressource SRV dun domaine?

set q=srv
set q=srv
ls -t srv
ls -d srv

c

4. Quelles sont les deux façons permettant dimposer au journal des événements DNS de nenregistrer que les erreurs et les avertissements?

Dans la console DNS, ouvrez la boîte de dialogue des propriétés du serveur DNS et cliquez sur longlet Enregistrement des événements. Sélectionnez ensuite loption Erreurs et avertissements. Alternativement, dans la console DNS, ouvrez la boîte de dialogue Propriétés de Événements DNS et cliquez sur longlet Filtrer. Décochez ensuite les options Information, Audit des succès et Audit des échecs.

5. Vous activez lenregistrement des paquets depuis la boîte de dialogue des propriétés de votre serveur DNS. Que devez-vous ire pour pouvoir examiner le contenu du journal, correctement mis en forme?

Vous devez arrêter le service serveur DNS et ouvrir le fichier WINDOWS\System32\Dns\Dns.log dans un éditeur RTF comme WordPad.
Révision de la leçon 2

3. Les données de zone de adatum.cøm sont stockées dans la partition dannuaire dapplications DomainDnsZones. Comment pouvez-vous imposer la réplication pour cette zone sur toute la forêt?

1. Les utilisateurs du siège de votre entreprise signalent quils ne peuvent se connecter de façon fiable aux ressources dune succursale. Les deux établissements appartiennent à un unique domaine Active Directory, domain1.com, comprenant des serveurs DNS Windows Server 2003 et Windows 2000. Vous avez configuré le domaine DNS de domain1.com comme zone intégrée à Active Directory. Comment pouvez-vous imposer la réplication pour garantir que les données DNS les plus récentes soient immédiatement mises à jour sur le lien du réseau étendu (WAN)?

Dans le moniteur de réplication, imposez la réplication sur la partition du domaine. Sélectionnez loption de synchronisation des frontières entre sites.

2. Quels compteurs de performance devez-vous surveiller si vous voulez déterminer le pourcentage de requêtes de mise à jour dynamique sécurisée ayant échoué?

Mises â jours sécurisées reçues et Mises à jour sécurisées refusées

3. Les données de zone de adatum.com sont stockées dans la partition dannuaire dapplications DomainDnsZones. Comment pouvez-vous imposer la réplication pour cette zone sur toute la forêt?

Modifiez loption détendue de réplication de zone en Tous les serveurs DNS de la forêt Active Directory Adatum.com. Imposez ensuite la réplication de la partition dannuaire dapplications ForestDnsZones depuis le moniteur de réplication.
Étude de cas

1. Si le serveur DNS de Monterey a été installé à laide de lAssistant Composants de Windows, que devez-vous retenir parmi les actions suivantes pour activer la résolution de noms pour les clients de Syracuse ? Supposez que vous voulez conserver ou rétablir les réglages de sécurité par défaut des transferts de zone.

Configurer ns5.treyresearch.net pour être averti des mises à jour de zone.
Ajouter à la zone treyresearch.net un enregistrement de ressource A pointant vers lordinateur ns5.treyresearch.net.
Configurer la zone treyresearch.net pour autoriser les transferts de zone vers nimporte quel serveur.
Ajouter à la zone treyresearch.net un enregistrement de ressource NS pointant vers lordinateur ns5.treyresearch.net.

d

2. Quelque temps après avoir réglé ce problème, vous décidez de créer une délégation nommée syr.treyresearch.net au bureau de Syracuse. Vous découvrez toutefois que les utilisateurs du siège de Monterey ne peuvent résoudre les noms dordinateur de la succursale. En employant lutilitaire Nslookup pour dépanner le problème sur un serveur DNS de Monterey, ns1.treyresearch.net, vous obtenez la sortie suivante:

C: \>nslookup
Serveur par défaut :ns1.treyresearch.net
Address : 192. 168.0. 15
ls treyresearch.net
[ns1.treyresearch.net ]
treyresearch.net. A 192.168.0.15
treyresearch.net. NS server =ns1.treyresearch.net
treyresearch.net. NS server =ns5.treyresearch.net
gc._msdcs A 192.168.0.15
ns1 A 192.168.0.15
ns5 A 192.168.1.2
DomainDnsZones A 192.168.0.15
ForestDnsZones A 192.168.0.15
syr NS server ns1.treyresearch
>

Quelle erreur suscite-t-elle le problème de résolution de noms?

Le domaine syr.treyresearch.net a été délégué de façon incorrecte au serveur ns1.treyresearch.net, le serveur DNS de Monterey. Le serveur spécifié devrait se trouver à Syracuse.

3. Le domaine syr.treyresearch.net est configuré comme zone intégrée à Active Directory dans létablissement de Syracuse. Létendue de réplication de zone a été fixée à Tous les serveurs DNS de la forêt Active Directory. Quelle partition du Moniteur de réplication devriez-vous employer pour imposer la réplication des données de zone pour le domaine syr.treyresearch.net?

DC=treyresearch,DC=net
DC=ForestDnsZones,DC=treyresearch,DC=net
DC=ForestDnsZones,DC=syr,DC=treyresearch,DC=net
DC=DomainDnsZones,DC=syr,DC=treyresearch,DC=net

b

Laboratoire de dépannage

11. Le problème de résolution de noms actuel provient-il dune erreur sur le client DNS ou sur le serveur DNS ? Comment pouvez-vous le savoir?

Le serveur DNS. La section Got Answer révèle une valeur de Rcode de SERVFAIL.

14. Dans la sortie, localisez la colonne Configuration Flags. Dans celle-ci, les propriétés fixées à 0 sont désactivées, celles fixées à 1 étant activées. Répondez à la question suivante dans lespace réservé à cet effet. Parmi ces propriétés actuellement activées sur le serveur DNS de Ordinateur1, lesquelles pourraient empêcher les utilisateurs de Ordinateur2 de résoudre des noms Internet?

NoRecursion

PAGE

PAGE 357

MCSA/ MCSE

Kit de Formation

DNS
Résolution de noms
Mise en oeuvre de DNS
Configuration de DNS
Surveillance

Copyright®man
Elisée-Aristide Biango

Formateur
Administrateur & Architecte Systèmes

EMBED PBrush

EMBED PBrush

Astuce dexamen Pour lexamen, noubliez pas les commandes suivantes relatives à NetBIOS:

Nbtstat -c (énumère les noms du cache de noms local NetBIOS)
Nbtstat -R (vide le cache de noms local NetBIOS)

Confidentiel Même pour des réseaux nen ayant pas besoin, NetBIOS peut être une habitude difficile à oublier. La commodité de la résolution de noms fondée sur la diffusion est difficile à battre, même uniquement comme méthode de secours par rapport à DNS, de même que le parcours de réseau à laide de licône Réseau Microsoft Windows. En fait, même si NetBIOS est souvent décrit comme un protocole « hérité » employé uniquement par les anciens réseaux, la plupart des réseaux modernes sen sert encore, comme roue de secours ou comme nécessité. Vous devez tout de même envisager sérieusement de renoncer à la commodité de NetBIOS au profit dune amélioration de la sécurité : la disponibilité permanente des informations réseau procurée par NetBIOS est après tout exactement ce qui fait de cette API une faille dans la sécurité.

EMBED PBrush

EMBED PBrush

EMBED PBrush

EMBED PBrush

EMBED PBrush

Page 263

Page 234

Page 235

Page 238

Page 261

EMBED PBrush

EMBED PBrush

EMBED PBrush

Page 276

EMBED PBrush

EMBED PBrush

EMBED PBrush

Page 285

Page 296

EMBED PBrush

EMBED PBrush

EMBED PBrush

EMBED PBrush

Page 328

Page 331

Page 332

Page 342

Page 343

Page 346

Other exersises:

WO/PBC/20 - WIPO
CRC - OHCHR
micheline cuenin - Free
Évaluation Des effets proximaux du programme ... - Institut Pacifique
Contrôles internes - DICO SOAD
Intitulé de l'UE - LAGA - Université Paris 13
Analisis wacana kritis - UPT Perpustakaan UM - Universitas Negeri ...
Transmath 2nde - konjaku.cf
Abstracts Abbott, Don (University of California, Davis, CA, USA ...
[16] Stendhal, Rome, Naples et Florence, op. cit., p. 350. - ORBi lu
Hyperbole 1re S - vadrouille.tk
Première partie : Etude de la production d'Eau Chaude Sanitaire