administration de service dns sous windows 2003
DESCRIPTION
Si vous aimez nos Tutoriel n'hésitez pas de visitez blog : http://www.clubtutoinformatique.blogspot.com/ facebook : https://www.facebook.com/ClubTutorialInformatiqueTRANSCRIPT
IT NISRO
CLUB TUTORIEL INFORMATIQUE
Administration de Service DNS
sous Windows 2003
2 Club Tutoriel Informatique
I. Introduction ................................................................................................................................4
II. Système DNS .............................................................................................................................4
1. Historique de DNS ................................................................................................................... 4
2. Définition de DNS .................................................................................................................... 4
3. Fonction de DNS ..................................................................................................................... 4
III. Espace de noms de domaines......................................................................................................5
1. Noms de domaines DNS.........................................................................................................6
2. Présentation de l'espace de noms de domaines DNS ............................................................... 6
3. Mode d'organisation de l'espace de noms de domaines DNS .................................................. 7
4. Serveurs racine......................................................................................................................... 8
5. Interprétation d'un nom de domaine DNS ............................................................................... 9
IV. Installer et configurer des serveurs...........................................................................................10
1. Installer un serveur DNS...........................................................................................................10
2. Configurer un serveur DNS pour une utilisation avec Active Directory..................................10
3. Configurer un nouveau serveur DNS........................................................................................10
4. Ajouter un serveur secondaire pour une zone existante............................................................10
5. Installer un serveur DNS cache uniquement.............................................................................10
6. Configurer un serveur DNS pour qu'il utilise des redirecteurs.................................................11
7. Créer les partitions de l'annuaire d'applications DNS par défaut..............................................11
V. Configuration des propriétés du service Serveur DNS ............................................................. 12
1. Qu’est-ce qu’une requête DNS ................................................................................................ 12
2. Requête récursive ..................................................................................................................... 12
3. Fonctionnement d’une requête récursive ................................................................................... 13
4. Requêtes itératives ................................................................................................................... 13
5. Fonctionnement d’une requête itérative .................................................................................. 14
6. Les indications de racine ....................................................................................................... 15
7. Fonction d’une indication de racine ...................................................................................... 15
8. Les redirecteurs ...................................................................................................................... 16
9. La mise en cache du serveur DNS ......................................................................................... 18
10. Fonctionnement du cache des serveurs DNS......................................................................... 19
VI. Configuration des zones DNS ................................................................................................... 19
1. Enregistrements de ressources ............................................................................................... 19
2. Zones DNS............................................................................................................................. 22
3. Sécurisation d’une zone DNS ................................................................................................ 23
4. Zones intégrées à Active Directory .................................................................................... 23
5. Types de zones DNS .............................................................................................................. 24
a. Zone principale .................................................................................................................. 25
Sommaire
3 Club Tutoriel Informatique
b. Zone secondaire ................................................................................................................. 25
c. Zone de stub ....................................................................................................................... 25
i. Utilisation de zones de stub ....................................................................................................... 26
ii. Différence entre les zones de stub et les redirecteurs conditionnels ......................................... 26
d. Zones de recherche directe et inversée .............................................................................. 27
6. Transferts de zone DNS ......................................................................................................... 29
a. Processus de transfert de zone ........................................................................................... 29
7. Notification DNS (DNS Notify) ............................................................................................ 30
a. Fonctionnement de DNS Notify ........................................................................................ 30
8. Mise à jour dynamique .......................................................................................................... 32
a. Comment les clients DNS inscrivent et mettent à jour de manière dynamique leurs
enregistrements de ressources .............................................................................................................. 32
b. Comment un serveur DHCP inscrit et met à jour de manière dynamique les
enregistrements de ressources .............................................................................................................. 34
c. Procédure de configuration d’un serveur DNS pour les mises à jour dynamiques............ 34
1. Serveurs DNS préférés et auxiliaires ..................................................................................... 35
VIII. Délégation d’une zone DNS ...................................................................................................... 37
IX. Gestion DNS.............................................................................................................................. 39
1. Durée de vie ........................................................................................................................... 39
2. Round Robin =Tourniquet .....................................................................................................40
3. Le tri de masques de réseau....................................................................................................41
X. Surveillance du service DNS ..................................................................................................... 42
1. Test de la configuration du serveur DNS .............................................................................. 42
2. Vérification de la présence d’un enregistrement de ressource à l’aide de Nslookup, de
DNSCmd et de DNSLint ...................................................................................................................... 43
XI. Analyse des performances du serveur DNS .............................................................................. 44
1. Analyse des performances du serveur DNS à l’aide de la console de performances ............ 44
2. Journal des événements DNS ................................................................................................ 45
XII. Simulations des serveurs DNS de l’internet.............................................................................45
XII. Résolution des problèmes.........................................................................................................46
4 Club Tutoriel Informatique
I. Introduction La technologie de base (TCP/IP) permet l’accès aux machines par leur adresse IP, Il est
pratiquement devenu impossible aux humains de connaître les adresses (IP) des machines auxquelles
ils veulent accéder. Le système DNS permet d’identifier une machine par un (des) nom(s) représentatif(s) de la
machine et du (des) réseau(x) sur le(les)quel(s) elle se trouve ; exemple :
www.lip6.fr identifie la machine www sur le réseau lip6.fr
Le système est mis en œuvre par une base de données distribuée au niveau mondial
Les noms sont gérés par un organisme mondial : l’interNIC et les organismes délégués : RIPE, NIC
France, NIC Angleterre, etc.
II. Système DNS
1. Historique de DNS
L’histoire du système DNS commence au tout début d’Internet qui n’était alors qu’un petit réseau
créé par le Département de la Défense des États-Unis à des fins de recherche. Les noms d’hôtes des
ordinateurs de ce réseau étaient gérés à l’aide d’un unique fichier Hosts qui se trouvait sur un serveur
central. Les sites qui avaient besoin de résoudre des noms d’hôtes sur le réseau téléchargeaient ce
fichier.
Avec la multiplication des hôtes sur Internet, le trafic généré par le processus de mise à jour a
augmenté, ainsi que la taille du fichier Hosts. Il était de plus en plus nécessaire d’instaurer un
nouveau système qui se caractériserait par son évolutivité, une administration décentralisée et la prise
en charge de divers types de données.
Instauré en 1984, DNS est devenu ce nouveau système.
2. Définition de DNS
DNS (Domain Name System, système de noms de domaine) est une base de données distribuée
hiérarchisée qui contient les mappages de noms d’hôtes DNS à des adresses IP. Le système DNS est
utilisé dans les réseaux TCP/IP tels qu'Internet pour localiser des ordinateurs et des services à l'aide
de noms conviviaux. Lorsqu'un utilisateur entre un nom DNS dans une application, les services DNS
peuvent résoudre ce nom en une autre information qui lui est associée, par exemple une adresse IP.
DNS permet également de découvrir des services réseau comme des serveurs de messagerie et des
contrôleurs de domaine dans le service d’annuaire Active Directory.
3. Fonction de DNS
DNS est à la base du système de noms Internet, mais aussi du système de noms de domaine
Active Directory d’une organisation. Il prend en charge l’accès aux ressources à l’aide de noms
alphanumériques. Sans DNS, vous devriez trouver les adresses IP des ressources pour accéder à ces
ressources. Comme les adresses IP des ressources peuvent changer, il serait difficile d’en tenir à jour
5 Club Tutoriel Informatique
une liste exacte. Au lieu de cela, DNS permet aux utilisateurs de faire appel à des noms
alphanumériques, lesquels restent assez stables dans une organisation.
Avec DNS, les noms d’hôtes résident dans une base de données qui peut être distribuée entre
plusieurs serveurs, ce qui diminue la charge de chaque serveur et permet d’administrer le système de
noms par partitions. DNS prend en charge des noms hiérarchiques et permet d’inscrire divers types
de données en plus du mappage de noms d’hôtes à adresse IP qui est utilisé dans les fichiers Hosts.
Comme la base de données DNS est distribuée, sa taille est illimitée et l’ajout de serveurs ne dégrade
guère ses performances.
L'illustration suivante représente une utilisation élémentaire de DNS qui consiste à
trouver l'adresse IP d'un ordinateur à partir de son nom.
Dans cet exemple, un ordinateur client interroge un serveur DNS pour lui demander
l'adresse IP d'un troisième ordinateur configuré pour utiliser le nom de domaine DNS
hote.nassircompaq.nassir.ra. Le serveur DNS étant en mesure de répondre à cette
requête en interrogeant sa base de données locale, il renvoie une réponse qui fournit
l'information demandée, c'est-à-dire un enregistrement de ressource A (adresse d'hôte)
contenant l'adresse IP correspondant à hote.nassircompaq.nassir.ra.
Cet exemple illustre une requête DNS simple entre un client unique et un serveur DNS.
En pratique, les requêtes DNS sont souvent plus complexes que celle-ci et comprennent
des étapes supplémentaires.
III. Espace de noms de domaines 1. Noms de domaines DNS
Le système de nom de domaine (DNS, Domain Name System) a été initialement défini dans les RFC
(Request for Comments) 1034 et 1035. Ces documents spécifient les éléments communs à toutes les
implémentations des logiciels DNS, qui comprennent entre autres :
6 Club Tutoriel Informatique
Un espace de noms de domaines DNS, qui définit une structure hiérarchique des domaines permettant d'organiser les noms.
Des enregistrements de ressources, qui mappent les noms de domaines DNS sur un type spécifique d'informations de ressources et sont utilisés lorsque le nom est inscrit ou résolu dans l'espace de noms.
Des serveurs DNS, qui stockent les requêtes de noms portant sur des enregistrements de ressources et y répondent.
Des clients DNS, également appelés solveurs, qui demandent aux serveurs de rechercher et de convertir les noms en un type d'enregistrement de ressource spécifié dans la requête.
2. Présentation de l'espace de noms de domaines DNS
L'espace de noms de domaines DNS, illustré dans la figure ci-dessous, repose sur le concept
d'arborescence des domaines nommés. Chaque niveau de l'arborescence représente une branche ou
une feuille de cet arbre. Une branche est un niveau dans lequel plusieurs noms sont utilisés pour
identifier un ensemble de ressources nommées. Une feuille représente un nom unique utilisé une
seule fois à ce niveau pour identifier une ressource spécifique.
7 Club Tutoriel Informatique
La figure précédente montre de quelle manière les serveurs racine Internet confèrent à Microsoft
l'autorité sur sa propre partie de l'arborescence des espaces de noms de domaines sur Internet. Les
clients et les serveurs DNS utilisent des requêtes pour convertir les noms de l'arborescence en types
spécifiques d'informations de ressources. Ces informations sont fournies par les serveurs DNS dans
les réponses aux requêtes des clients DNS, qui extraient ensuite ces informations et les transmettent à
un programme demandeur pour résoudre le nom faisant l'objet de la requête.
Dans le processus de résolution d'un nom, n'oubliez pas que les serveurs DNS fonctionnent souvent
comme des clients DNS qui interrogent d'autres serveurs afin de résoudre complètement une requête
de nom.
3. Mode d'organisation de l'espace de noms de domaines DNS
Tout nom de domaine DNS utilisé dans l'arborescence est du point de vue technique un domaine.
Cependant, les noms sont généralement identifiés de cinq manières, selon leur niveau et leur mode
d'utilisation courant. Par exemple, le nom de domaine DNS inscrit au nom de Microsoft
(microsoft.com) est appelé un domaine de second niveau. En effet, ce nom est formé de deux parties
(appelées étiquettes) qui indiquent que le domaine est situé deux niveaux en dessous de la racine ou
du premier niveau de l'arborescence. La plupart des noms de domaines DNS comporte deux
étiquettes ou plus, chacune indiquant un niveau de l'arborescence. Les points sont utilisés pour
séparer les étiquettes.
Outre les domaines de second niveau, d'autres termes utilisés pour décrire les noms de domaines
DNS par leur fonction dans l'espace de noms sont décrits dans le tableau qui suit :
Type de nom Description Exemple La racine du domaine
Il s'agit de la cime de l'arborescence, représentant un niveau non nommé. Elle est parfois affichée sous la forme de deux guillemets vides (""), indiquant une valeur nulle. Lorsqu'elle est utilisée dans un nom de domaine DNS, elle est indiquée par un point à droite (.) pour indiquer que le nom est situé à la racine ou niveau supérieur de la hiérarchie du domaine. Le nom de domaine DNS est alors considéré comme complet et désigne un emplacement exact de l'arborescence des noms. Les noms exprimés de cette manière sont appelés des noms de domaines complets (FQDN, Fully Qualified Domain Names).
Un point (.) utilisé seul ou à la fin d'un nom, tel que dans « nassir.nassircompaq.ra. ».
Domaine de premier niveau
Nom de deux ou trois lettres utilisé pour indiquer un pays/une région ou le type d'organisation utilisant un nom.
« .ra », qui indique un nom inscrit au nom d'une entreprise pour une utilisation commerciale sur Internet.
Domaine de second niveau
Noms de longueur variable inscrits au nom d'un individu ou d'une organisation pour une utilisation sur Internet. Ces noms sont toujours associés à un domaine de premier niveau approprié, selon le type d'organisation ou l'emplacement géographique dans lequel un nom est utilisé.
« nassircmpaq.com. », qui est le nom de domaine de second niveau inscrit au nom de Microsoft par le Registre des noms de domaines DNS d'Internet.
8 Club Tutoriel Informatique
Sous-domaine Noms supplémentaires pouvant être créés par une organisation et associés au nom de domaine de second niveau inscrit. Ils comprennent les noms ajoutés pour développer l'arborescence DNS des noms dans une organisation et la diviser en services ou en emplacements géographiques.
« nassir.nassircompaq.ra. », qui est un sous-domaine fictif défini par Microsoft pour être utilisé dans les exemples de noms de la documentation.
Nom d'hôte ou de ressource
Noms qui représentent une feuille de l'arborescence DNS des noms et identifient une ressource spécifique. Généralement, l'étiquette la plus à gauche d'un nom de domaine DNS identifie un ordinateur spécifique du réseau. Par exemple, si un nom situé à ce niveau est utilisé dans un enregistrement de ressource (RR) hôte (A), il doit être utilisé pour rechercher l'adresse IP de l'ordinateur en fonction de son nom d'hôte.
« hote.nassir.nassircompaq.ra. », où la première étiquette (« hote») est le nom d'hôte DNS d'un ordinateur spécifique du réseau.
4. Serveurs racine
Les serveurs racine connaissent les serveurs de nom ayant autorité sur tous les domaines
racine .les serveurs racine connaissent au moins les serveurs de noms pouvant résoudre le premier
niveau (.com, .edu, .fr, etc.) actuellement jusqu’à 14 éparpillés sur la planète .
9 Club Tutoriel Informatique
5. Interprétation d'un nom de domaine DNS
DNS utilise une méthode de notation et d'interprétation du chemin complet d'un nom de
domaine DNS, identique à la manière dont les chemins complets des fichiers ou des répertoires sont
exprimés ou affichés à une invite de commandes.
Ainsi, un chemin d'arborescence de répertoires permet de désigner l'emplacement exact d'un fichier
stocké sur votre ordinateur. Pour les ordinateurs Windows, la barre oblique inverse (\) indique chaque
nouveau répertoire conduisant à l'emplacement exact d'un fichier. Avec DNS, l'équivalent est un
point (.) et indique chaque nouveau niveau de domaine utilisé dans un nom.
Par exemple, pour un fichier appelé Services, le chemin complet de ce fichier affiché à une invite de commandes Windows serait :
C:\Windows\System32\Drivers\Etc\Services
Pour interpréter le chemin complet de ce fichier, le nom est lu de gauche à droite, des informations
les plus générales (lecteur C, lecteur sur lequel est stocké le fichier) aux plus spécifiques (le nom du
fichier « Services »). Dans cet exemple, cinq niveaux hiérarchiques distincts conduisent à
l'emplacement du fichier Services sur le lecteur C :
1. Le dossier racine du lecteur C (C:\). 2. Le dossier système racine d'installation de Windows (Windows). 3. Un dossier système stockant les composants du système (System32). 4. Un sous-dossier stockant les pilotes de périphériques système (Drivers). 5. Un sous-dossier stockant les fichiers divers utilisés par les pilotes de périphériques système et réseau
(Etc).
Pour DNS, un nom de domaine complet composé de plusieurs niveaux se présente de la manière suivante :
hote.nassir.nassircompaq.ra.
À la différence de l'exemple de nom de fichier, un nom de domaine complet DNS lu de gauche à
droite présente les informations des plus spécifiques (le nom DNS d'un ordinateur appelé « hote »)
aux plus générales (le point à droite (.) qui indique la racine de l'arborescence des noms DNS). Dans
cet exemple, les quatre niveaux de domaine DNS vous éloignent de l'emplacement de l'hôte
spécifique « hote » :
1. Le domaine « nassir», qui correspond à un sous-domaine dans lequel le nom d'ordinateur « hote» est inscrit.
2. Le domaine « nassircompaq», qui correspond au domaine parent constituant la racine du sous-domaine « nassir ».
3. Le domaine « ra.», qui correspond au domaine de premier niveau destiné aux organisations commerciales ou autres et constitue la racine du domaine « nassircompaq ».
4. Le point à droite (.), qui est un caractère standard de séparation utilisé pour qualifier le nom de domaine DNS complet sur le niveau racine de l'arborescence des espaces de noms DNS.
IV. Installer et configurer des serveurs
1. Installer un serveur DNS
10 Club Tutoriel Informatique
1. Ouvrez l'Assistant Composants de Windows.
Pour ouvrir l'Assistant Composants de Windows, cliquez sur Démarrer, puis sur Panneau de
configuration, double-cliquez sur Ajout/Suppression de programmes, puis cliquez sur
Ajouter/supprimer des composants Windows
2. Dans Composants, activez la case à cocher Services de mise en réseau, puis cliquez sur
Détails.
3. Dans Sous-composants de Services de mise en réseau, activez la case à cocher Service
(WINS) Windows Internet Name Service, cliquez sur OK, puis sur Suivant.
4. SI le système vous le demande, entrez dans Copier les fichiers à partir de le chemin d'accès
complet des fichiers de distribution, puis cliquez sur OK.
2. Configurer un serveur DNS pour une utilisation avec Active Directory
Si Active Directory est installé à l'aide de l'Assistant Installation de Active Directory, vous
bénéficiez de l'option d'installation et de configuration automatiques d'un serveur DNS local.
Pour installer Active Directory sur cet ordinateur, utilisez l'Assistant Installation de Active
Directory.
Remarque :
Cette procédure concerne uniquement les ordinateurs serveurs utilisés comme contrôleurs de
domaine. Si des serveurs membres sont utilisés comme serveurs DNS, ils ne sont pas intégrés
à Active Directory.
Si vous sélectionnez l'option Assistant d'installation de Active Directory pour installer et
configurer automatiquement un serveur DNS local, le serveur DNS est installé sur l'ordinateur
sur lequel s'exécute l'Assistant et le paramètre du serveur DNS préféré de l'ordinateur est
configuré pour utiliser le nouveau serveur DNS local. Il se peut également que vous souhaitez
configurer d'autres ordinateurs qui se joindront à ce domaine de manière à ce qu'ils utilisent
cette adresse IP de serveur DNS comme serveur DNS préféré
3. Configurer un nouveau serveur DNS
1. Ouvrez DNS.
2. Si nécessaire, ajoutez le serveur applicable à la console et connectez-vous à ce serveur.
3. Dans l'arborescence de la console, cliquez sur le serveur DNS applicable.
4. Dans le menu Action, cliquez sur Configurer un serveur DNS.
5. Suivez les instructions qui s'affichent dans l'Assistant Configuration d'un serveur DNS.
4. Ajouter un serveur secondaire pour une zone existante
1. Ouvrez DNS. 2. Dans l'arborescence de la console, cliquez sur le serveur DNS applicable. 3. Dans le menu Action, cliquez sur Nouvelle zone. 4. Suivez les instructions qui s'affichent dans l'Assistant Nouvelle zone.
Lorsque vous ajoutez la zone, sélectionnez le type de zone Zone secondaire.
11 Club Tutoriel Informatique
5. Installer un serveur DNS cache uniquement
1. Pour installer un serveur DNS cache uniquement, installez un serveur DNS sur l'ordinateur
serveur.
2. Ne configurez pas le serveur DNS pour qu'il charge des zones (comme vous en avez peut-être
l'habitude).
3. Vérifiez que les indications racine sont correctement configurées ou mises à jour sur le
serveur.
Remarque :
Les serveurs DNS cache uniquement n'abritent aucune zone et ne font pas autorité pour un domaine particulier. Ces serveurs DNS gèrent une mémoire cache locale des noms acquis tout en exécutant des requêtes récursives pour le compte de leurs clients. Les informations en mémoire cache peuvent être utilisées pour répondre aux requêtes ultérieures.
Un serveur DNS cache uniquement peut être utile sur un site où la fonctionnalité DNS est nécessaire localement mais n'est pas souhaitable d'un point de vue administratif pour créer un domaine ou une zone distinct(e) à cet endroit.
6. Configurer un serveur DNS pour qu'il utilise des redirecteurs
1. Ouvrez DNS. 2. Dans l'arborescence de la console, cliquez sur le serveur DNS applicable. 3. Dans le menu Action, cliquez sur Propriétés. 4. Sous l'onglet Redirecteurs, cliquez sur un nom de domaine dans Domaine DNS. 5. Dans Liste d'adresses IP du transmetteur de domaine sélectionné, entrez l'adresse IP d'un
redirecteur, puis cliquez sur Ajouter.
Remarque :
Pour créer un nouveau domaine, cliquez sur Nouveau, puis sous Domaine DNS, entrez le nom du domaine.
Lorsque vous spécifiez un redirecteur conditionnel, sélectionnez un nom de domaine DNS avant d'entrer une adresse IP.
Par défaut, le serveur DNS attendra 5 secondes la réponse d'une adresse IP du transmetteur avant d'essayer une autre adresse IP du transmetteur. Dans Délai d'expiration des requêtes de redirection (en secondes), vous pouvez modifier la durée en secondes pendant laquelle le serveur DNS attendra. Lorsque le serveur a épuisé tous les redirecteurs, il essaie la récursivité standard.
Si vous souhaitez que ce serveur DNS utilise uniquement des redirecteurs et ne tente pas d'autre récursivité si les redirecteurs échouent, activez la case à cocher Ne pas utiliser la récursivité.
Vous pouvez désactiver la récursivité sur le serveur DNS afin qu'il n'effectue pas de
récursivité sur les requêtes. Si vous désactivez la récursivité sur le serveur DNS, vous ne
pourrez pas utiliser de redirecteurs sur le même serveur. Pour plus d'informations sur la
désactivation de la récursivité sur le serveur DNS, consultez Rubriques connexes.
7. Créer les partitions de l'annuaire d'applications DNS par défaut
1. Ouvrez DNS. 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable.
12 Club Tutoriel Informatique
3. Cliquez sur Créer des partitions de l'annuaire d'applications par défaut. 4. Suivez les instructions pour créer les partitions de l'annuaire d'applications DNS.
Remarque :
Par défaut, seuls les membres du groupe Administrateurs de l'entreprise peuvent créer une partition de l'annuaire d'applications DNS.
Pour ouvrir DNS, cliquez sur Démarrer, sur Panneau de configuration, double-cliquez sur Outils d'administration, puis sur DNS.
Par défaut, le service Serveur DNS tente de trouver et de créer les partitions de l'annuaire d'applications DNS dans Active Directory. S'il n'y parvient pas, l'administrateur peut manuellement créer les partitions de l'annuaire d'applications à l'aide de cette procédure.
Si les partitions de l'annuaire d'applications DNS par défaut sont actuellement disponibles dans Active Directory, l'option permettant de créer les partitions de l'annuaire d'applications par défaut dans la console DNS est inaccessible.
Le tableau suivant décrit les options disponibles lors de la création de partitions de l'annuaire d'applications DNS par défaut.
Option Nom de partition Description Crée une partition de l'annuaire d'applications unique où sont stockées les données de zone DNS et qui réplique ces données vers tous les serveurs DNS du domaine
DomainDnsZones.NomDomaineDns Partition de l'annuaire d'applications DNS pour chaque domaine de la forêt. Les zones DNS stockées dans cette partition de l'annuaire d'applications sont répliquées vers tous les serveurs DNS exécutés sur les contrôleurs du domaine.
Crée une partition de l'annuaire d'applications unique où sont stockées les données de zone DNS et qui réplique ces données vers tous les serveurs DNS du domaine
ForestDnsZones.NomForêtDns Partition de l'annuaire d'applications DNS pour l'ensemble de la forêt. Elle contient tous les serveurs DNS exécutés sur les contrôleurs de domaine de la forêt. Les zones DNS stockées dans cette partition de l'annuaire d'applications sont répliquées vers tous les serveurs DNS exécutés sur les contrôleurs de domaine de la forêt.
V. Configuration des propriétés du service Serveur DNS
1. Qu’est-ce qu’une requête DNS
Une requête est une demande de résolution de noms envoyée à un serveur DNS. Il existe deux
types de requêtes : requêtes récursives et requêtes itératives.
2. Requête récursive
Une requête récursive est une requête envoyée à un serveur DNS dans laquelle le client DNS
demande au serveur de fournir une réponse complète. En retour, le serveur peut uniquement renvoyer
une réponse complète ou indiquer qu’il ne sait pas résoudre le nom. Une requête récursive ne peut
pas être redirigée vers un autre serveur DNS.
13 Club Tutoriel Informatique
Les requêtes récursives sont lancées par un client DNS ou par un serveur DNS configuré pour utiliser
des redirecteurs. Une requête récursive place toute la responsabilité de la réponse finale sur le serveur
interrogé.
La réponse à une requête récursive peut être positive ou négative. Dans une requête récursive, le
serveur DNS interrogé est sommé de renvoyer l’une des trois réponses suivantes :
Les données demandées.
Un message d’erreur indiquant que les données du type demandé n’existent pas.
Un message indiquant que le nom de domaine spécifié n’existe pas.
3. Fonctionnement d’une requête récursive
Le fonctionnement d’une requête récursive envoyée par un client à son serveur DNS
configuré comprend les étapes suivantes :
1. Le client envoie une requête récursive au serveur DNS local.
2. Le serveur DNS local essaie de trouver une réponse dans la zone de recherche directe et dans le
cache.
3. S’il trouve la réponse à la requête, le serveur DNS la renvoie au client.
4. S’il ne trouve pas de réponse, le serveur DNS utilise l’adresse d’un redirecteur ou des indications
de racine pour chercher plus haut dans l’arborescence.
4. Requêtes itératives
Une requête itérative est une requête envoyée à un serveur DNS dans laquelle le client DNS
demande la meilleure réponse que peut fournir le serveur DNS sans faire appel à d’autres serveurs
DNS. Les requêtes itératives sont parfois appelées requêtes non récursives. Le résultat d’une requête
itérative est souvent une référence à un autre serveur DNS situé plus bas dans l’arborescence DNS.
Dans le cas d’une requête récursive, une référence n’est pas une réponse acceptable.
Une requête itérative vise à ce que le serveur DNS, désormais en mesure d’utiliser la requête
récursive du client, soit chargé de trouver une réponse à la question de ce dernier. Le serveur DNS
interroge alors sa propre base de données ou s’adresse à d’autres serveurs DNS, situés à différents
14 Club Tutoriel Informatique
niveaux de l’espace de noms de domaines, afin de trouver le serveur DNS qui fait autorité pour la
requête d’origine.
En règle générale, un serveur DNS envoie une requête itérative à d’autres serveurs DNS après
avoir reçu d’un client une requête récursive. Dans une requête itérative, le serveur de noms interrogé
renvoie au demandeur la meilleure réponse qu’il possède. La réponse à une requête itérative peut
être :
une réponse positive ;
une réponse négative ;
une référence à un autre serveur.
5. Fonctionnement d’une requête itérative
15 Club Tutoriel Informatique
Dans l’illustration, le serveur DNS local n’a pas réussi à résoudre le nom demandé en utilisant sa
mémoire cache et il ne fait pas autorité pour le domaine.
Il commence donc à rechercher le serveur DNS qui fait autorité en interrogeant d’autres serveurs
DNS. Pour trouver le serveur DNS qui fait autorité pour le domaine, le serveur DNS résout le nom de
domaine pleinement qualifié, de la racine jusqu’à l’hôte, en utilisant des requêtes itératives. Le
traitement de cet exemple se déroule comme suit :
1. Le serveur DNS local reçoit une requête récursive d’un client DNS. Par exemple : Le serveur DNS
local reçoit une requête récursive de compaqnassir concernant www.cisco.com.
2. Le serveur DNS local envoie une requête itérative au serveur racine pour obtenir un serveur de
noms faisant autorité.
3. Le serveur Racine répond par une référence à un serveur DNS plus proche du nom de domaine
demandé.
Par exemple : Le serveur racine répond par une référence au serveur DNS associé au domaine .com.
4. Le serveur DNS local envoie ensuite une requête itérative au serveur DNS plus proche du nom de
domaine demandé.
Par exemple : Le serveur DNS local envoie une requête itérative au serveur DNS de .com.
5. Le processus continue jusqu’à ce que le serveur DNS local reçoive une réponse faisant autorité.
Par exemple : Le serveur DNS de .com répond par une référence au serveur DNS de cisco.com.
Ensuite, le serveur DNS local envoie une requête itérative au serveur DNS de cisco.com pour obtenir
un nom faisant autorité du serveur de noms faisant autorité. Le serveur DNS local reçoit une réponse
faisant autorité du serveur DNS de cisco.com.
6. Cette réponse est alors envoyée au client DNS.
Par exemple : Le serveur DNS local envoie la réponse faisant autorité à
compaqnassir qui peut alors se connecter à www.cisco.com en utilisant l’adresse IP correcte.
6. Les indications de racine
Les indications de racine sont des enregistrements de ressources DNS stockés sur un serveur DNS
qui répertorient les adresses IP des serveurs racines du système DNS.
7. Fonction d’une indication de racine
Lorsque le serveur DNS reçoit une requête DNS, il consulte sa mémoire cache. Il essaie ensuite
de trouver le serveur DNS qui fait autorité pour le domaine demandé. S’il n’a pas l’adresse IP du
serveur DNS faisant autorité pour ce domaine et qu’il est configuré avec les adresses IP des
16 Club Tutoriel Informatique
indications de racine, le serveur DNS interroge un serveur racine sur le domaine situé à gauche du
domaine racine de la requête.
Le serveur racine DNS renvoie alors l’adresse IP du domaine à gauche du domaine racine et le
serveur DNS continue de parcourir le nom de domaine pleinement qualifié jusqu’à ce qu’il trouve le
domaine qui fait autorité.
Les indications de racine sont stockées dans le fichier Cache.dns qui se trouve dans le dossier
%Systemroot%\System32\Dns.
8. Les redirecteurs
Un redirecteur est un serveur DNS que d’autres serveurs DNS internes désignent comme
responsable du transfert des requêtes pour la résolution de noms de domaines externes ou hors site.
Lorsqu’un serveur de noms DNS reçoit une requête, il tente de trouver l’information demandée dans
ses propres fichiers de zone. Si cette méthode échoue (parce que le serveur ne fait pas autorité pour le
domaine demandé ou parce qu’il n’a pas mis l’enregistrement en mémoire cache lors d’une recherche
précédente), le serveur doit communiquer avec d’autres serveurs de noms pour résoudre la requête.
Dans un réseau mondial comme Internet, les requêtes
DNS hors d’une zone locale exigent parfois une interaction avec des serveurs de noms DNS via des
liaisons de réseau étendu (WAN), à l’extérieur de l’organisation. La création de redirecteurs DNS
permet de désigner des serveurs de noms particuliers pour le trafic DNS qui emprunte des liaisons
WAN.
Vous pouvez sélectionner comme redirecteurs des serveurs de noms DNS spécifiques qui résoudront
des requêtes DNS pour le compte d’autres serveurs DNS.
17 Club Tutoriel Informatique
Dans l’illustration, le serveur DNS local n’a pas réussi à résoudre le nom demandé en utilisant sa
mémoire cache et ses fichiers de zone. Il transmet donc la demande au redirecteur. Le redirecteur
commence alors à interroger d’autres serveurs de noms à l’aide de requêtes itératives. Les
redirecteurs DNS procèdent comme suit :
1. Le serveur DNS local reçoit une requête récursive d’un client DNS.
Par exemple : Le serveur DNS local reçoit une requête récursive de
compaqnassir.
2. Le serveur DNS local transmet la demande au redirecteur.
3. Le redirecteur envoie une requête itérative au serveur racine pour obtenir une réponse d’un serveur
de noms faisant autorité.
4. Le serveur racine répond par une référence à un serveur DNS plus proche du nom de domaine
demandé.
Par exemple : Le serveur racine répond par une référence au serveur DNS associé au domaine .com.
5. Le redirecteur envoie ensuite une requête itérative au serveur DNS plus proche du nom de domaine
demandé.
Par exemple : Le redirecteur envoie une requête itérative au serveur DNS de .com.
6. Le processus continue jusqu’à ce que le redirecteur reçoive une réponse faisant autorité.
Par exemple : Le serveur DNS de .com répond par une référence au serveur DNS de cisco.com.
Ensuite, le redirecteur envoie une requête itérative au serveur DNS de cisco.com pour obtenir un
18 Club Tutoriel Informatique
serveur de noms faisant autorité. Le redirecteur reçoit alors une réponse faisant autorité du serveur
DNS de cisco.com.
7. Le redirecteur envoie la réponse au serveur DNS local qui la transmet au client DNS.
Par exemple : Le redirecteur envoie la réponse au serveur DNS local qui la transmet à compaqnassir.
9. La mise en cache du serveur DNS
Les serveurs DNS cache uniquement n'abritent aucune zone et ne font pas autorité pour un domaine
particulier. Ces serveurs DNS gèrent une mémoire cache locale des noms acquis tout en exécutant des
requêtes récursives pour le compte de leurs clients. Les informations en mémoire cache peuvent être
utilisées pour répondre aux requêtes ultérieures.
Un serveur DNS cache uniquement peut être utile sur un site où la fonctionnalité DNS est nécessaire
localement mais n'est pas souhaitable d'un point de vue administratif pour créer un domaine ou une zone
distinct(e) à cet endroit.
La mise en cache est le processus qui consiste à stocker temporairement dans un sous-système de
mémoire spécial des informations ayant fait l’objet d’un accès récent pour y accéder plus
rapidement ensuite.
La mise en cache permet de répondre plus rapidement aux requêtes et réduit le trafic DNS sur le
réseau. En plaçant en mémoire cache les réponses fournies par le système DNS, le serveur DNS
peut ensuite résoudre certaines requêtes déjà traitées à partir de sa seule mémoire cache. Cela
réduit considérablement le temps de réponse et élimine le trafic réseau associé à l’envoi de la
requête à un autre serveur DNS.
19 Club Tutoriel Informatique
10. Fonctionnement du cache des serveurs DNS
Pendant qu’il traite une requête récursive, un serveur peut être amené à envoyer plusieurs
requêtes pour obtenir la réponse définitive. Dans un scénario du pire cas, le serveur de noms local
commence en haut de l’arborescence DNS par l’un des serveurs de noms racines, puis descend
progressivement dans l’arborescence jusqu’à ce qu’il obtienne les données demandées.
Le serveur place en mémoire cache toutes les informations reçues au cours de ce processus, pendant
une durée spécifiée dans les données qu’il reçoit. Cette durée de conservation, appelée durée de vie
(TTL, time to live), est exprimée en secondes. Elle est déterminée par l’administrateur de serveur
associé à la zone principale qui contient les données. Une durée de vie courte permet de garantir une
meilleure cohérence des informations concernant le domaine à travers le réseau dans l’éventualité où
ces données changent souvent. D’un autre côté, cela alourdit la charge des serveurs qui contiennent
ces données et augmente le trafic Internet. À partir du moment où les données sont placées en
mémoire cache, les modifications affectant les enregistrements de ressources risquent de ne pas être
disponibles immédiatement sur Internet tout entier.
Une fois que les données sont placées en mémoire cache, leur durée de vie commence à décrémenter,
de sorte que le serveur DNS sait quand il doit les supprimer du cache. Quand le serveur DNS répond
à une requête grâce à sa mémoire cache, il fournit également la durée de vie restante des données. Le
programme de résolution met ensuite les données dans son propre cache et utilise la durée de vie
communiquée par le serveur
VI. Configuration des zones DNS
1. Enregistrements de ressources
Un enregistrement de ressource est une structure de base de données DNS standard qui contient
des informations utilisées pour traiter les requêtes DNS.
Après avoir installé le service Serveur DNS et configuré les propriétés du service DNS, il ne vous
reste plus qu’à achever le service en ajoutant des mappages de nom d’hôte à adresse IP. Ces
mappages sont appelés enregistrements de ressources dans le système DNS. Il existe différents
types d’enregistrements de ressources. Les types d’enregistrements de ressources que vous créez
dans le système DNS dépendent de vos besoins en matière de résolution de noms.
Enregistrements de ressources A :
Description Enregistrement de ressource A (adresse d'hôte). Mappe un nom de domaine DNS vers
une adresse IP (Internet Protocol) version 4 de 32 bits.
Syntaxe propriétaire classe ttl A adresse_IP_v4
Exemple hote.nassir.compaq.nassir.ra. IN A 10.10.15.1
Enregistrements de ressources PTR :
Description Enregistrement de ressource PTR (pointeur). Pointe à partir du nom contenu dans
propriétaire vers un autre emplacement de l'espace de noms DNS comme indiqué
20 Club Tutoriel Informatique
dans nom_domaine_cible. Généralement utilisé dans les domaines spéciaux tels que
l'arborescence de domaine in-addr.arpa pour effectuer des recherches indirectes de
correspondances adresse-nom. Le plus souvent, chaque enregistrement contient des
informations qui pointent vers un autre emplacement de nom de domaine DNS, tel
qu'un enregistrement de ressource A (adresse d'hôte) correspondant dans une zone de
recherche directe.
Syntaxe propriétaire ttl classe PTR nom_domaine_cible
Exemple 1.15.10.10.in-addr.arpa. PTR hote.nassir.compaqnassir.
Enregistrements de ressources SOA :
Description Enregistrement de ressource de source de noms (SOA; Start of Authority). Indique le nom d'origine de la zone et contient le nom du serveur qui est la principale source d'information sur la zone. Il indique également d'autres propriétés de base de la zone. L'enregistrement de ressource SOA est toujours le premier enregistrement dans une zone standard. Il indique le serveur DNS qui l'a créé en premier ou qui est actuellement le serveur principal de la zone. Il est également utilisé pour stocker d'autres propriétés telles que les informations de version et les délais qui affectent le renouvellement ou l'expiration de la zone. Ces propriétés affectent la fréquence des transferts entre les serveurs de référence de la zone.
Syntaxe propriétaire classe SOA serveur_noms personne_responsable (numéro_série intervalle_actualisation intervalle_avant_nouvelle_tentative expiration durée_de_vie_minimale)
Exemple @ IN SOA nameserver.example.microsoft.com.
postmaster.example.microsoft.com. ( 1 ; serial number
3600 ; refresh [1h]
600 ; retry [10m]
86400 ; expire [1d]
3600 ) ; min TTL [1h]
Enregistrements de ressources NS :
Description Utilisé pour mapper un nom de domaine DNS, comme spécifié dans propriétaire, sur
le nom des hôtes qui exécutent des serveurs DNS spécifiés dans le champ
nom_domaine_serveur_noms.
Syntaxe propriétaire ttl IN NS nom_domaine_serveur_noms
Exemple example.microsoft.com. IN NS nameserver1.nassir.compaqnassir.ra
Enregistrements de ressources SRV
Description Enregistrement de ressource du localiseur de service (SRV). Permet à plusieurs
serveurs offrant un service TCP/IP similaire d'être localisés à l'aide d'une seule requête
DNS. Cet enregistrement vous permet de gérer une liste de serveurs pour un port de
serveur et un type de protocole de transport spécifiques, classés par ordre de
préférence pour un nom de domaine DNS. Par exemple, dans DNS
Windows Server 2003, cet enregistrement permet de localiser des contrôleurs de
domaine.
21 Club Tutoriel Informatique
Les finalités de chacun des champs spécialisés utilisés dans un enregistrement de
ressource SRV sont les suivantes :
service : Spécifie le nom du service, (LDAP [Lightweight Directory Access Protocol] ou Kerberos, par exemple) fourni par le serveur qui enregistre cet enregistrement SRV.
protocole : Spécifie le type de protocole de transport, tel que TCP ou UDP (User Datagram Protocol).
nom : Spécifie le nom de domaine auquel fait référence l’enregistrement de ressources
priorité : Spécifie la priorité du serveur. Les clients tentent de contacter l’hôte dont la
priorité est la plus faible.
poids : Indique un mécanisme d’équilibre de charge que les clients utilisent lors de la sélection d’un hôte cible. Lorsque le champ de priorité est identique pour deux ou trois enregistrements d’un même domaine, les clients choisissent de manière aléatoire des enregistrements SRV dont le poids est supérieur.
port : Spécifie le port sur lequel le serveur écoute ce service.
cible : Spécifie le nom FQDN, également appelé nom de domaine complet, de l’ordinateur qui fournit le service.
Syntaxe service.protocole.nom ttl classe SRV préférence poids port cible
Exemple _ldap._tcp._msdcs SRV 0 0 389 dc1.example.microsoft.com
_kerberos._tcp.isgim._sites.dc.msdcs 600 SRV 0 100 88
dc.form.isgim.com
Enregistrements de ressources MX :
Description Enregistrement de ressource MX (serveur de messagerie). Indique le routage d'un
message à un hôte de serveur de messagerie, comme indiqué dans
hote_serveur_messagerie, pour les messages envoyés à un nom de domaine spécifié
dans le champ propriétaire. Valeur de préférence à 2 chiffres qui indique l'ordre
choisi au cas où plusieurs hôtes de serveurs seraient spécifiés. Chaque hôte de serveur
doit posséder un enregistrement de ressource A (adresse d'hôte) correspondant dans
une zone valide. Pour plus d'informations, consultez la RFC 1035.
Syntaxe propriétaire ttl classe MX préférence hote_serveur_messagerie
Exemple Nassir.compaqnassir.ra. MX 10 mailserver1.nassir.compaqnassir.ra
Enregistrements de ressources CNAME :
Description Enregistrement de ressource CNAME (nom canonique). Mappe un nom de domaine
DNS disposant d'un alias, ou secondaire, dans le champ propriétaire vers un nom de
domaine DNS canonique ou principal, spécifié dans le champ nom_canonique. Le
nom de domaine DNS canonique ou principal utilisé dans les données est obligatoire
et doit être convertible en un nom de domaine DNS valide dans l'espace de noms.
Syntaxe propriétaire ttl classe CNAME nom_canonique
Exemple Hote.nassir.comqaqnassir.ra CNAME www.compaqnassir.ra
22 Club Tutoriel Informatique
2. Zones DNS
Avant d’ajouter des enregistrements de ressources, vous devez créer dans le système DNS la
structure qui va les accueillir. Dans DNS, ces conteneurs logiques sont appelés des zones. Lorsque
vous créez une zone, vous créez un fichier de zone pour stocker les propriétés et les enregistrements
de ressources de la zone. Il existe plusieurs configurations de zone possibles dans DNS. Les zones
que vous allez créer seront déterminées par les besoins en matière de résolution de noms dans votre
environnement.
Une fois que les zones DNS sont créées et remplies avec des enregistrements de ressources, le service
DNS est en mesure de prendre en charge la résolution de noms d’hôtes.
Une zone est également la représentation physique d’un ou plusieurs domaines DNS. Par exemple, si
vous avez un espace de noms de domaines DNS google.ma., vous pouvez créer sur un serveur DNS
une zone google.ma qui contient tous les enregistrements de ressources situés dans le domaine
Nassir.
23 Club Tutoriel Informatique
Le système DNS permet de diviser un espace de noms DNS en zones. Pour chaque nom de domaine
DNS inclus dans une zone, la zone devient la source qui fait autorité pour les informations
concernant ce domaine.
Les fichiers de zone sont gérés sur des serveurs DNS. Vous pouvez configurer un serveur DNS
unique pour héberger zéro, une ou plusieurs zones. Chaque zone peut faire autorité pour un ou
plusieurs domaines DNS, à condition que ces domaines soient contigus dans l’arborescence DNS.
Les zones peuvent être stockées dans des fichiers texte plats ou dans la base de données Active
Directory.
Les caractéristiques d’une zone sont les suivantes :
Une zone est un ensemble de mappages de nom d’hôte à adresse IP pour des hôtes situés dans
une portion contiguë de l’espace de noms DNS.
Les données d’une zone sont gérées sur un serveur DNS et peuvent être stockées de deux
manières :
• En tant que fichier de zone plat contenant des listes de mappages ;
• Dans une base de données Active Directory.
Un serveur DNS fait autorité pour une zone s’il héberge les enregistrements de ressources
correspondant aux noms et aux adresses que les clients demandent dans le fichier de zone.
Une zone DNS est :
soit une zone principale, secondaire ou de stub.
soit une zone de recherche directe ou inversée.
3. Sécurisation d’une zone DNS
Pour plus de sécurité, vous pouvez contrôler les personnes autorisées à administrer les zones DNS
en modifiant la liste de contrôle d’accès discrétionnaire (DACL, discretionary access control list) sur
les zones DNS qui sont stockées dans Active Directory. La liste DACL permet de contrôler les
autorisations accordées aux utilisateurs et aux groupes Active Directory qui peuvent contrôler les
zones DNS.
4. Zones intégrées à Active Directory
L’intégration DNS et Active Directory offre la possibilité d’intégrer des zones DNS dans une
base de données Active Directory. Une zone est une partie de l’espace de noms de domaine
possédant un groupement logique d’enregistrements de ressources, qui permet de transférer des zones
de ces enregistrements pour fonctionner en tant qu’unité unique.
Les serveurs DNS Microsoft stockent des informations utilisées pour résoudre des noms d’hôte en
adresses IP, et inversement, dans un fichier de base de données suivi de l’extension .dns pour chaque
zone.
Les zones intégrées à Active Directory sont des zones DNS principales et de stub stockées en tant
qu’objets dans la base de données Active Directory.
Vous pouvez stocker des objets de zone dans une partition d’application Active
24 Club Tutoriel Informatique
Directory ou dans une partition de domaine Active Directory. Si les objets de zone sont stockés dans
une partition d’application Active Directory, seuls les contrôleurs de domaine qui souscrivent à la
partition d’application participent à sa réplication. Toutefois, si les objets de zone sont stockés dans
une partition de domaine Active Directory, ils sont répliqués sur tous les contrôleurs de domaine du
domaine.
Les zones intégrées à Active Directory offrent les avantages suivants :
Réplication multimaître. Lorsque vous configurez les zones intégrées à Ative Directory, des mises à
jour dynamiques du système sur le système DNS sont menées en fonction d’un modèle de mise à
jour multimaître. Dans ce modèle, les serveurs DNS qui font autorité (un contrôleur de domaine
exécutant un serveur DNS, par exemple) sont conçus en tant que source principale pour la zone.
Etant donné que la copie principale de la zone est gérée dans la base de données Active Directory,
qui est intégralement répliquée sur tous les contrôleurs de domaine, la zone peut être mise à jour
par les serveurs DNS fonctionnant sur un contrôleur de domaine pour le domaine. Dans le modèle de
mise à jour multimaître d’Active Directory, tout serveur principal de la zone intégrée d’annuaire peut
traiter des requêtes émises par les clients DNS pour mettre à jour la zone, aussi longtemps qu’un
contrôleur de domaine est disponible sur le réseau.
Mises à jour dynamiques sécurisées. Etant donné que les zones DNS sont des objets Active Directory
des zones intégrées à Active Directory, vous pouvez définir des autorisations d’accès aux
enregistrements au sein de ces ones afin de contrôler les ordinateurs qui peuvent mettre à jour leurs
enregistrements. De cette manière, les mises à jour qui utilisent le protocole e mise à jour
dynamique ne peuvent provenir que des ordinateurs autorisés.
Transferts de zone standard vers d’autres serveurs DNS. Effectue des transferts de zone standard vers
des serveurs DNS qui ne sont pas configurés en tant que contrôleur de domaine. Cela permet
également ’effectuer des transferts de zone standard vers des serveurs DNS qui se trouvent dans
d’autres domaines. Il s’agit de la méthode requise pour répliquer des zones vers des serveurs DNS
dans d’autres domaines.
5. Types de zones DNS
Lorsque vous configurez un serveur DNS, vous pouvez définir plusieurs types de zones ou aucun,
selon le type de rôle du serveur DNS dans le réseau.
Il existe de nombreuses options pour obtenir une configuration optimale du serveur DNS en fonction
des décisions que vous prenez concernant notamment la topologie du réseau et la taille de l’espace de
noms. Le fonctionnement normal des serveurs DNS fait intervenir trois zones :
zone principale.
zone secondaire.
zone de stub.
25 Club Tutoriel Informatique
a. Zone principale
Une zone principale est l’exemplaire faisant autorité de la zone DNS. Les enregistrements de
ressources y sont créés et gérés.
Lorsque vous configurez des serveurs DNS pour héberger les zones d’un domaine, le serveur
principal est normalement situé à un emplacement où il est accessible pour administrer le fichier de
zone.
b. Zone secondaire
Une zone secondaire est une copie en lecture seule de la zone DNS. Les enregistrements
contenus dans la zone secondaire ne peuvent pas être modifiés ; les administrateurs peuvent modifier
uniquement les enregistrements de la zone DNS principale.
Normalement, un serveur secondaire au moins est configuré pour la tolérance de panne. Toutefois, il
est possible de configurer plusieurs serveurs secondaires à d’autres emplacements, de telle sorte que
les enregistrements de la zone puissent être résolus sans que la requête ne franchisse des liaisons
WAN.
c. Zone de stub
Les zones de stub sont des copies d’une zone qui contiennent uniquement les enregistrements
de ressources nécessaires à l’identification du serveur DNS faisant autorité pour la zone en question.
Une zone de stub contient un sousensemble des données de la zone qui se compose d’un
enregistrement SOA, NS et A, également appelé enregistrement de résolution par requêtes
successives.
Une zone de stub est en quelque sorte un signet qui pointe simplement vers le serveur DNS qui fait
autorité pour la zone DNS concernée.
Vous pouvez utiliser des zones de stub lorsque les indications de racine pointent vers un serveur DNS
interne et non vers les serveurs racines situés sur Internet.
À des fins de sécurité, le serveur DNS est conçu pour résoudre certaines zones seulement.
26 Club Tutoriel Informatique
i. Utilisation de zones de stub
Utilisez des zones de stub pour :
Maintenir à jour les informations de zones déléguées. En mettant à jour régulièrement une zone de stub pour une de ses zones enfants, le serveur DNS hébergeant à la fois la zone parente et la zone de stub conserve une liste actualisée des serveurs DNS faisant autorité pour la zone enfant.
Améliorer la résolution de nom. Les zones de stub permettent à un serveur DNS d'appliquer la récursivité à l'aide de la liste des serveurs de noms de la zone de stub sans être obligé d'interroger le serveur Internet ou le serveur racine interne pour l'espace de noms DNS.
Simplifier l'administration DNS. En utilisant des zones de stub au sein de votre infrastructure DNS, vous pouvez distribuer la liste des serveurs DNS faisant autorité sans employer de zones secondaires. Cependant, les zones de stub n'ont pas le même objectif que les zones secondaires et ne constituent pas une solution de remplacement en raison de la redondance et du partage de la charge.
Il existe deux listes de serveurs DNS impliqués dans le chargement et la maintenance d'une zone de
stub :
La liste des serveurs maîtres à partir desquels le serveur DNS charge et met à jour une zone de stub. Un serveur maître peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il possède une liste complète des serveurs DNS de la zone.
La liste des serveurs DNS faisant autorité pour une zone. Cette liste est présente dans la zone de stub grâce aux enregistrements de ressources de nom serveur de noms (NS, Name Server).
ii. Différence entre les zones de stub et les redirecteurs conditionnels
La décision d'utiliser des redirecteurs conditionnels plutôt que des zones de stub n'est pas toujours
facile à prendre. En effet, ces deux fonctionnalités DNS permettent à un serveur DNS de répondre à
une requête par une référence ou un renvoi à un autre serveur DNS ; les applications sont pourtant
très différentes. Leurs objectifs peuvent se résumer comme suit :
Un redirecteur conditionnel configure le serveur DNS pour qu'il redirige les requêtes qu'il
reçoit vers un serveur DNS déterminé par le nom DNS mentionné dans la requête.
Une zone de stub tient le serveur DNS hébergeant une zone parent informé de tous les
serveurs DNS qui font autorité pour une zone enfant.
iii. Pour modifier un type de zone DNS
1. Ouvrez la console DNS.
2. Dans la console DNS, sélectionnez la zone à modifier.
3. Dans le menu Action, cliquez sur Propriétés.
4. Sous l’onglet Général, cliquez sur Modifier.
5. Dans la boîte de dialogue Modification du type de zone, sélectionnez l’une des options suivantes,
puis cliquez sur OK.
• Zone principale si cette zone doit contenir une copie de la zone acceptant les mises à jour directes.
• Zone secondaire si cette zone doit contenir une copie d’une zone existante.
•Zone de stub si cette zone doit contenir une copie d’une zone contenant uniquement des
enregistrements NS (serveur de noms), des enregistrements SOA (source de noms) et éventuellement
des enregistrements de résolution par requêtes successives.
6. Dans la boîte de dialogue Propriétés de la zone, cliquez sur OK.
27 Club Tutoriel Informatique
d. Zones de recherche directe et inversée
Après avoir décidé si une zone est une zone principale, une zone secondaire ou une zone de
stub, vous devez déterminer dans quel type de zone de recherche les enregistrements de ressources
seront stockés, à savoir une zone de recherche directe ou une zone de recherche inversée.
i. Zone de recherche directe
Dans le système DNS, une recherche directe est un processus d’interrogation qui recherche le
nom affiché du domaine DNS d’un ordinateur hôte pour trouver son adresse IP.
Dans le Gestionnaire DNS, les zones de recherche directe s’appuient sur des noms de domaines DNS
et contiennent généralement des enregistrements de ressources de type A (hôte).
ii. Zone de recherche inversée
Dans le système DNS, une recherche inversée est un processus d’interrogation qui recherche
l’adresse IP d’un ordinateur hôte pour trouver son nom affiché dans le domaine DNS.
Dans le Gestionnaire DNS, les zones de recherche inversée s’appuient sur le nom de domaine in-
addr.arpa et contiennent généralement des enregistrements de ressources de type PTR (pointeur).
28 Club Tutoriel Informatique
iii. Pour configurer une zone de recherche directe sur une zone principale :
1. Ouvrez la console DNS.
2. Dans la console DNS, cliquez avec le bouton droit sur le serveur DNS, puis cliquez sur Nouvelle
zone.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Dans la page Type de zone, vérifiez que l’option Zone principale est sélectionnée, puis cliquez
sur Suivant.
5. Dans la page Zone de recherche directe ou inversée, vérifiez que l’option
Zone de recherche directe est sélectionnée, puis cliquez sur Suivant.
6. Dans la page Nom de la zone, entrez le nom DNS de la zone pour laquelle le serveur DNS
considéré fera autorité, puis cliquez sur Suivant.
7. Dans la page Fichier zone, cliquez sur Suivant pour accepter les valeurs par défaut.
8. Dans la page Mise à niveau dynamique, sélectionnez l’une des options suivantes, puis cliquez sur
Suivant.
a. N’autoriser que les mises à jour dynamiques sécurisées (recommandé pour Active Directory).
Cette option n’est disponible que pour les zones intégrées à Active Directory.
b. Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées. Cette option n’est
pas recommandée car elle accepte les mises à jour provenant de sources non approuvées.
c. Ne pas autoriser les mises à jour dynamiques. Cette option vous oblige à mettre à jour les
enregistrements manuellement.
9. Dans la page Fin de l’Assistant Nouvelle zone, cliquez sur Terminer.
10. Fermez la console DNS.
iv. Pour configurer une zone de recherche inversée sur une zone principale :
1. Ouvrez la console DNS.
2. Dans la console DNS, cliquez avec le bouton droit sur le serveur DNS, puis cliquez sur Nouvelle
zone.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Dans la page Type de zone, vérifiez que l’option Zone principale est sélectionnée, puis cliquez
sur Suivant.
5. Dans la page Zone de recherche directe ou inversée, sélectionnez l’option
Zone de recherche inversée, puis cliquez sur Suivant.
6. Dans la page Nom de la zone de recherche inversée, dans le champ ID réseau, tapez la partie de
l’adresse IP de la zone qui représente l’ID réseau, puis cliquez sur Suivant.
7. Dans la page Fichier zone, cliquez sur Suivant pour accepter les valeurs par défaut.
8. Dans la page Mise à niveau dynamique, sélectionnez l’une des options suivantes, puis cliquez sur
Suivant.
a. N’autoriser que les mises à jour dynamiques sécurisées (recommandé pour Active Directory)
b. Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées
c. Ne pas autoriser les mises à jour dynamiques
9. Dans la page Fin de l’Assistant Nouvelle zone, cliquez sur Terminer.
29 Club Tutoriel Informatique
10. Fermez la console DNS.
6. Transferts de zone DNS
Un transfert de zone est le transfert total ou partiel des données d’une zone à partir du serveur
DNS principal qui héberge la zone vers un serveur DNS secondaire qui héberge une copie de cette
zone. Lorsque des modifications sont apportées à la zone sur un serveur DNS principal, ce dernier
informe les serveurs DNS secondaires que ces modifications ont eu lieu et qu’elles sont répliquées
vers tous les serveurs DNS secondaires de la zone concernée par le biais de transferts de zone.
Il existe deux types de transferts de zone DNS :
Transfert de zone complet est le type de requête standard pris en charge par tous les serveurs DNS
pour mettre à jour et synchroniser les données d’une zone lorsque celle-ci a subi des modifications.
Lorsqu’une requête DNS est effectuée avec le type de requête AXFR, la réponse est un transfert de
l’intégralité de la zone. Une requête AXFR est une demande de transfert de zone complet.
Transfert de zone incrémentiel est un autre type de requête utilisé par certains serveurs DNS pour
mettre à jour et synchroniser les données d’une zone lorsque celle-ci a subi des modifications
depuis la dernière mise à jour. Lorsque deux serveurs DNS prennent en charge le transfert de zone
incrémentiel, ils peuvent effectuer un suivi et transférer uniquement les modifications
incrémentielles des enregistrements de ressources entre deux versions de la zone. Une requête
IXFR est une demande de transfert de zone incrémentiel.
Le but d’un transfert de zone est de garantir que les deux serveurs DNS hébergeant la même zone
détiennent les mêmes informations concernant cette zone. Sans transfert de zone, les données
seraient à jour sur le serveur principal, mais pas sur le serveur secondaire ; par conséquent, le
serveur DNS secondaire ne pourrait pas prendre en charge la résolution de noms pour la zone
considérée.
a. Processus de transfert de zone
La procédure suivante résume les étapes d’un transfert de zone, qu’il soit complet ou incrémentiel.
30 Club Tutoriel Informatique
1. Le serveur secondaire de la zone attend un certain temps (spécifié par l’intervalle d’actualisation
dans l’enregistrement de ressource SOA obtenu du serveur maître). Le serveur secondaire demande
alors son SOA au serveur maître.
2. Le serveur maître de la zone répond en renvoyant l’enregistrement de ressource SOA.
3. Le serveur secondaire de la zone compare le numéro de série renvoyé à son propre numéro de
série. Si le numéro de série envoyé par le serveur maître pour la zone est supérieur au numéro de
série stocké sur le serveur secondaire, cela signifie que la base de données du serveur secondaire
n’est pas à jour. Le serveur maître envoie alors une requête AXFR pour demander un transfert de
zone complet. Si le serveur DNS prend en charge les transferts de zone incrémentiels (comme dans
Windows Server 2003 et Windows 2000), il envoie une requête IXFR pour demander un transfert de
zone incrémentiel afin de récupérer les enregistrements de ressources qui ont été modifiés depuis le
transfert précédent.
4. Dans le cas d’un transfert de zone complet, le serveur maître envoie la base de données de la zone
au serveur secondaire ; dans le cas d’un transfert de zone incrémentiel, le serveur maître envoie
uniquement les données de la zone qui ont changé.
7. Notification DNS (DNS Notify)
DNS Notify est une mise à jour de la spécification d’origine du protocole DNS qui permet
d’informer les serveurs secondaires lorsqu’une zone est modifiée.
Une liste de notification répertorie les autres serveurs DNS d’une zone qui doivent être informés des
modifications de cette zone. La liste de notification que le serveur maître tient à jour est constituée
des adresses IP des serveurs DNS configurés comme serveurs secondaires pour la zone considérée.
Lorsque les serveurs figurant dans cette liste reçoivent une notification de modification, ils
initialisent un transfert de zone avec un autre serveur DNS et mettent à jour la zone.
a. Fonctionnement de DNS Notify
Conformément à l’illustration, le processus DNS Notify se déroule de la manière suivante :
31 Club Tutoriel Informatique
1. La zone locale hébergée sur un serveur DNS principal est mise à jour.
2. Dans l’enregistrement de ressource SOA, le champ Numéro de série est mis à jour pour indiquer
qu’une nouvelle version de la zone a été écrite sur un disque.
3. Le serveur principal envoie un message de notification à tous les serveurs qui figurent dans sa liste
de notification.
4. Tous les serveurs secondaires de la zone qui reçoivent le message de notification réagissent en
renvoyant une requête de type SOA au serveur principal expéditeur de la notification. Cette requête
lance le processus de transfert de zone DNS.
b. Pour configurer un transfert de zone DNS et DNS Notify :
1. Ouvrez la console DNS.
2. Développez le serveur approprié, puis développez soit Zones de recherche directe, soit Zones de
recherche inversée.
3. Sélectionnez la zone DNS appropriée.
4. Dans le menu Action, cliquez sur Propriétés.
5. Dans la boîte de dialogue Propriétés de la zone DNS, sélectionnez l’onglet
Transferts de zone et vérifiez que l’option Autoriser les transferts de zone est activée.
6. Sélectionnez la case d’option Uniquement vers les serveurs suivants.
7. Dans le champ Adresse IP, tapez l’adresse IP du serveur DNS vers lequel les données de la zone
seront transférées, puis cliquez sur Ajouter.
8. Sous l’onglet Transferts de zone de la boîte de dialogue Propriétés de la zone DNS, cliquez sur
Notifier.
9. Dans la boîte de dialogue Notifier, cliquez sur l’option Les serveurs suivants.
10. Dans le champ Adresse IP, tapez l’adresse IP du serveur DNS qui recevra la notification
automatique, puis cliquez sur OK.
11. Dans la boîte de dialogue Propriétés de la zone, cliquez sur OK.
12. Fermez la console DNS.
32 Club Tutoriel Informatique
8. Mise à jour dynamique
Une mise à jour dynamique est le processus par lequel un client DNS crée, inscrit ou met à jour
de façon dynamique ses enregistrements dans des zones maintenues par des serveurs DNS qui
peuvent accepter et traiter des messages pour des mises à jour dynamiques.
Le processus de mise à jour manuelle des enregistrements de ressources clients est mal adapté dans le
cas d’une grande organisation qui modifie en permanence les enregistrements de ressources DNS.
Une organisation de grande taille avec des modifications dynamiques doit avoir recours à la méthode
dynamique de mise à jour des enregistrements de ressources DNS.
L’inscription et la mise à jour dynamiques permettent à des ordinateurs clients DNS de communiquer
automatiquement avec le serveur DNS pour inscrire et ettre à jour leurs propres enregistrements de
ressources. Dans une implémentation de DNS qui utilise un serveur DNS exécutant Microsoft
Windows NT® 4.0 et les versions antérieures de BIND (Berkeley Internet Name Domain),
l’administrateur doit modifier manuellement le fichier de zone approprié si les informations de
référence d’un enregistrement de ressource doivent être modifiées. À mesure que le nombre
d’enregistrements DNS augmente dans une zone, au point qu’il devient impossible de les gérer
manuellement, le passage à la mise à jour dynamique devient indispensable.
a. Comment les clients DNS inscrivent et mettent à jour de manière
dynamique leurs enregistrements de ressources
33 Club Tutoriel Informatique
Les clients DNS exécutant Windows Server 2003, Windows 2000 et Windows XP sont configurés
par défaut pour inscrire et mettre à jour dynamiquement leurs noms d’hôtes et leurs adresses IP dans
DNS.
Qu’un client DNS se voit affecter son adresse IP par DHCP ou de façon statique, il peut inscrire et
mettre à jour dynamiquement son nom d’hôte et son adresse IP dans DNS.
Le composant qui inscrit l’enregistrement de ressource DNS pour un client DNS est le service Client
DHCP. Même sur les clients qui sont configurés avec des données pour une adresse IP statique, le
service Client DHCP doit être exécuté pour que le client statique inscrive ses enregistrements de
ressources dans DNS.
La procédure ci-dessous résume les étapes à suivre pour mettre à jour dynamiquement des clients
DNS :
1. Le client DNS envoie une requête SOA au serveur DNS qui fait autorité pour l’enregistrement de
ressource avec lequel le client DNS souhaite s’inscrire.
2. Le serveur DNS renvoie le nom de zone et l’adresse IP du serveur DNS faisant autorité pour la
zone que le client DNS souhaite inscrire sur le serveur DNS.
3. Le client DNS envoie ensuite au serveur DNS faisant autorité pour la zone une mise à jour
d’assertion qui vérifie l’absence d’inscription antérieure dans la zone.
4. Le serveur DNS répond au client DNS.
5. Si aucune inscription n’existe dans la zone DNS, le client DNS envoie un package de mise à jour
dynamique pour inscrire l’enregistrement de ressource.
34 Club Tutoriel Informatique
b. Comment un serveur DHCP inscrit et met à jour de manière dynamique
les enregistrements de ressources
Dans l’illustration, le serveur DHCP qui exécute Windows Server 2003 effectue des mises à jour
dynamiques pour un client de bas niveau :
1. Le client DHCP effectue une demande de bail IP.
2. Le serveur DHCP accorde un bail IP.
3. Le serveur DHCP génère automatiquement le nom de domaine pleinement qualifié (FQDN) du
client en ajoutant au nom du client le nom de domaine défini pour l’étendue DHCP. Le nom du client
est fourni dans le message DHCPREQUEST envoyé par le client.
4. En utilisant le protocole de mise à jour dynamique, le serveur DHCP met à jour:
a. le nom DNS du client pour la recherche directe (A) ;
b. le nom DNS du client pour la recherche inversée (PTR).
La possibilité d’inscrire les deux types d’enregistrements A et PTR permet à un serveur DHCP
exécutant Windows Server 2003 de jouer le rôle de proxy pour les clients de bas niveau dans le cadre
de l’inscription DNS.
c. Procédure de configuration d’un serveur DNS pour les mises à jour
dynamiques
Pour configurer un serveur DNS exécutant Windows Server 2003 afin qu’il accepte les mises
à jour dynamiques des enregistrements de ressources DNS :
1. Ouvrez la console DNS.
35 Club Tutoriel Informatique
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone concernée, puis cliquez
sur Propriétés.
3. Cliquez sur l’onglet Général puis, dans la liste déroulante Mises à jour dynamiques, cliquez sur
Non sécurisé et sécurisé.
4. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la zone DNS, puis fermez la
console DNS.
VII. Configuration des clients DNS Vous avez installé le serveur DNS et configuré ses propriétés ; vous avez également créé sur le
serveur les zones DNS appropriées. Vous devez à présent faire en sorte que les clients puissent s’inscrire ou créer leurs enregistrements de ressources dans DNS et utiliser le système DNS pour résoudre des requêtes.
1. Serveurs DNS préférés et auxiliaires
Un serveur DNS préféré est un serveur qui reçoit les requêtes DNS envoyées par le client
DNS. C’est également le serveur sur lequel le client DNS met à jour ses enregistrements de
ressources.
Un serveur DNS auxiliaire est un serveur qui est utilisé lorsque le serveur DNS préféré est
inaccessible ou ne peut pas résoudre les requêtes DNS en provenance d’un client DNS particulier
parce que le service DNS est en panne.
Le serveur auxiliaire n’est pas interrogé dans le cas d’une réponse négative à la requête de résolution
de noms.
S’il n’a pas de serveur DNS préféré, le client DNS ne peut pas interroger un serveur DNS.
36 Club Tutoriel Informatique
Sans serveur DNS auxiliaire, aucune requête DNS n’est résolue si le serveur
DNS préféré est hors service. Vous pouvez avoir plusieurs serveurs DNS auxiliaires.
2. Pour configurer DNS pour des clients statiques
Pour configurer DNS pour des clients présentant des adresses IP configurées de manière statique, vous devrez probablement configurer les éléments suivants :
a. Le nom d'hôte DNS de l'ordinateur client. b. Les serveurs DNS principal et auxiliaires utilisés par le client pour résoudre les noms de
domaine DNS. c. Liste des suffixes DNS à ajouter afin de compléter les noms DNS non qualifiés qui sont utilisés
dans la recherche et la soumission de requêtes DNS au client pour résolution. d. Le comportement de mise à jour et d'enregistrement dynamique propre à la connexion,
notamment si des cartes réseaux spéciales installées sur le client enregistrent dynamiquement leurs adresses IP configurées auprès d'un serveur DNS.
3. Pour activer DNS pour les clients prenant en charge DHCP
Lorsque vous voulez configurer DNS pour des clients avec des adresses IP configurées dynamiquement fournies par un serveur DHCP, vous devez généralement configurer les éléments suivants sur le serveur DHCP ou sur les clients concernés :
a. Le nom d'hôte DNS de l'ordinateur client.
Dans le cas de clients DHCP, ce nom doit être défini sur l'ordinateur client ou affecté
pendant une installation sans assistance.
b. Les serveurs DNS principal et auxiliaires utilisés par le client pour résoudre les noms de domaine DNS.
Pour les clients DHCP, vous pouvez affecter l'option de service Serveur DNS
(option 6) et fournir une liste configurée d'adresses IP ordonnées pour les serveurs
DNS que le client peut utiliser.
c. Une liste de suffixes DNS à ajouter aux noms DNS simples utilisés pour les recherches et la soumission des requêtes DNS à résoudre sur le client.
Pour les clients DHCP, vous pouvez affecter l'option de nom de domaine DNS et
fournir un suffixe DNS unique que le client ajoutera et utilisera pour les recherches.
Pour configurer des suffixes DNS supplémentaires, configurez TCP/IP manuellement
pour une configuration DNS.
d. Le comportement de mise à jour et d'enregistrement dynamique propre à la connexion, notamment si des cartes réseaux spéciales installées sur le client enregistrent dynamiquement leurs adresses IP configurées auprès d'un serveur DNS.
Pour les clients DHCP, les connexions clientes enregistrent par défaut leurs adresses
IP configurées sur un serveur DNS. Pour modifier ce comportement sur le client,
configurez TCP/IP manuellement pour une configuration DNS.
4. Pour configurer le suffixe DNS principal pour un ordinateur client
37 Club Tutoriel Informatique
1. Dans le Panneau de configuration, ouvrez le composant Système. 2. Cliquez sur l'onglet Nom de l'ordinateur.
Cet onglet affiche le nom de l'ordinateur, le groupe de travail ou le domaine auquel il
appartient et une brève description de l'ordinateur.
3. Cliquez sur Modifier, puis sur Autres. 4. Dans Nom d'ordinateur NetBIOS et suffixe DNS, effectuez les actions suivantes :
Comme Suffixe DNS primaire de cet ordinateur, spécifiez le suffixe DNS à ajouter au nom
de l'ordinateur pour former son nom de domaine complet (FDQN, Fully Qualified Domain
Name).
5. Après avoir appliqué ces modifications, redémarrez l'ordinateur pour qu'il s'initialise avec son nouveau nom de domaine DNS.
6. Si l'ordinateur a été précédemment installé et configuré comme serveur DNS, vérifiez que les enregistrements d'autorité de zone sont mis à jour.
Il s'agit des enregistrements de ressources SOA (start of authority) et NS (name server) qui
remplacent le nom d'étiquette simple utilisé précédemment par le nouveau nom de domaine
complet (FQDN). Pour plus d'informations, consultez Rubriques connexes.
5. Pour précharger du cache de résolution du client
1. Sur l'ordinateur client, ouvrez une fenêtre invite de commandes. 2. À l'invite de commandes, entrez l'instruction suivante :
notepad %systemroot%\system32\drivers\etc\hosts
3. À l'aide de l'entrée par défaut dans le fichier (un mappage de l'hôte local sur l'adresse IP de bouclage, 127.0.0.1), ajoutez d'autres mappages noms d'hôte-adresses sur des lignes individuelles à précharger dans le cache de résolution du client. Par exemple, vous pouvez ajouter :
10.10.15.1 hote.nassir.nassircompaq.ra.
4. Dans le menu Fichier, cliquez sur Enregistrer, puis sur Quitter. 5. Vous pouvez également vérifier que vos modifications ont été répercutées dans le cache de
résolution en affichant le contenu de ce dernier.
VIII. Délégation d’une zone DNS En termes techniques, la délégation est le processus qui affecte l’autorité sur les domaines enfants
de votre espace de noms DNS à une autre entité en ajoutant des enregistrements dans la base de
données DNS.
Pour Active Directory, attribution de la responsabilité autorisant les utilisateurs, qui ne disposent
pas des informations d'identification administratives, à exécuter des tâches d'administration
spécifiques ou à gérer des objets d'annuaire déterminés. La responsabilité est attribuée sur base de
38 Club Tutoriel Informatique
l'appartenance à un groupe de sécurité, de l'Assistant Délégation de contrôle ou de paramètres de
Stratégie de groupe.
Pour DNS, attribution de la responsabilité pour une zone DNS. La délégation se produit lorsqu'un
enregistrement de ressource de serveur de noms (NS, Name Server) situé dans une zone parente
indique le serveur DNS qui fait autorité pour une zone enfant.
1. Déléguer le contrôle d’une zone se découpe en 3 parties : 1. Indiquer au domaine de niveau supérieur qu’il aura un domaine de niveau inférieur sous le
contrôle d’un autre système.
39 Club Tutoriel Informatique
Choix du domaine DNS à réserver
2. Indiquer au server DNS du domaine de niveau supérieur ou trouver les serveurs DNS pour le
nouveau domaine de niveau inférieur.
Noms et @IP d’au moins deux serveurs DNS
3. Installer les serveurs DNS du domaine de niveau inférieur.
Création de la zone dans le serveur DNS.
2. Pour déléguer un sous-domaine à une zone DNS 1. Ouvrez la console DNS.
2. Développez le serveur DNS approprié, développez Zones de recherche directe ou Zones de
recherche inversée, puis sélectionnez la zone à déléguer.
3. Dans le menu Action, cliquez sur Nouvelle délégation.
4. Dans la page Bienvenue, cliquez sur Suivant.
5. Dans la page Nom du domaine délégué, dans le champ Domaine délégué, entrez le nom du
domaine délégué et cliquez sur Suivant.
6. Dans la page Serveurs de noms, cliquez sur Ajouter.
7. Dans la boîte de dialogue Nouvel enregistrement de ressource, dans le champ Nom de domaine
pleinement qualifié du serveur (FQDN), entrez le nom de domaine pleinement qualifié du serveur
DNS auquel déléguer le domaine, puis cliquez sur Résoudre.
8. Dans la boîte de dialogue Nouvel enregistrement de ressource, dans le champ Adresse IP,
vérifiez que l’adresse IP du serveur résolu est correcte, puis cliquez sur OK.
9. Dans la page Serveurs de noms, cliquez sur Suivant.
10. Dans la page L’Assistant Nouvelle délégation est terminé, cliquez sur Terminer.
11. Fermez la console DNS.
IX. Gestion DNS
1. Durée de vie
Dans le cadre de la gestion du système DNS, vous pouvez configurer la valeur de durée de vie
(TTL, Time-to-Live), utilisée dans les enregistrements de ressources d’une zone pour déterminer la
durée de mise en cache des enregistrements par les clients ayant effectué une demande.
La valeur de durée de vie est un délai exprimé en secondes qui figure dans les enregistrements DNS
retournés par une requête DNS. Ce délai indique aux destinataires combien de temps ils peuvent
conserver ou utiliser l’enregistrement de ressource ou les données qu’il contient avant que ces
données n’arrivent à expiration et ne soient supprimées.
La valeur de durée de vie d’une zone est appliquée à tous les enregistrements créés dans cette zone.
La valeur de durée de vie d’un enregistrement est appliquée à l’enregistrement en question.
Le processus de durée de vie opère comme suit :
1. Les enregistrements de la zone sont envoyés à d’autres serveurs et clients
40 Club Tutoriel Informatique
DNS sous la forme de réponses aux requêtes.
2. Les serveurs et clients DNS qui stockent un enregistrement dans leur cache conservent cet
enregistrement pendant la période de durée de vie indiquée dans celui-ci.
3. À l’expiration de la durée de vie, l’enregistrement est supprimé du cache à la fois sur le serveur
DNS et sur le client DNS.
Si la valeur de durée de vie prescrite est trop faible, le trafic lié aux requêtes
DNS augmente dans la mesure où les clients DNS demandent ces informations chaque fois qu’elles
sont supprimées de leur cache.
En revanche, si la valeur de durée de vie d’un enregistrement est trop élevée, des enregistrements
obsolètes peuvent perdurer dans le cache des clients DNS.
2. Round Robin =Tourniquet : Détermine si le serveur DNS utilise la répétition alternée pour alterner et réorganiser une liste
d'enregistrements de ressources en présence de plusieurs enregistrements de ressources du même type
pour une réponse à une requête.
Résolution s’effectue selon un cycle de tour à tour des adresses IP.
Dans la zone isgim.ma stockée, les RR apparaissent dans cet ordre fixe :
41 Club Tutoriel Informatique
Serv-web IN A 20.10.10.10
serv-web IN A 20.10.10.11
serv-web IN A 20.10.10.12
serv-web IN A 20.10.10.13
Le premier client DNS qui interroge le serveur pour résoudre le nom de cet hôte reçoit la liste dans
l'ordre par défaut. Lorsqu'un second client envoie la requête suivante pour résoudre ce nom, la liste
est alternée comme suit :
Serv-web IN A 20.10.10.11
serv-web IN A 20.10.10.12
serv-web IN A 20.10.10.13
serv-web IN A 20.10.10.10
3. Le tri de masques de réseau Détermine si le serveur DNS réorganise des enregistrements de ressources A dans le même jeu
d'enregistrements de ressources en réponse à une requête basée sur l'adresse IP de la source de cette
requête.
Garantit à ce que les clients soient dirigés vers le serveur le plus proche qui correspond à leur
segment
Un ordinateur multi-hôte, serv-web.isgim.ma, possède quatre enregistrements de ressources A
pour chacune de ses quatre adresses IP d'hôte dans la zone isgim.ma. Un enregistrement de ressource
42 Club Tutoriel Informatique
A séparé est utilisé pour chacune des adresses de l'hôte, qui s'affichent dans la zone dans l'ordre
suivant :
Serv-web IN A 10.0.0.10
serv-web IN A 20.0.0.11
serv-web IN A 30.0.0.12
serv-web IN A 40.0.0.13
Si un programme de résolution de client DNS situé à l'adresse IP 20.0.0.11 interroge le serveur pour
connaître les adresses IP de l'hôte serv-web.isgim.ma, le service Serveur DNS remarque que l'adresse
réseau IP d'origine (20.0.0.0) du client correspond à la portion de réseau (classe A) de l'adresse
20.0.0.11 dans la liste de réponses des enregistrements de ressources. Le service Serveur DNS
réorganise alors les adresses dans la réponse de la façon suivante :
Serv-web IN A 20.0.0.11
serv-web IN A 30.0.0.12
serv-web IN A 40.0.0.13
serv-web IN A 10.0.0.10
Si l'adresse IP du client à l'origine de la demande n'a pas de correspondance réseau locale avec l'un
des enregistrements de ressources de la liste de réponses, la liste n'est pas classée par ordre de
priorité.
X. Surveillance du service DNS
1. Test de la configuration du serveur DNS
Dès que des modifications sont apportées à la configuration du serveur DNS, il est important de tester
ce dernier pour s’assurer que la nouvelle configuration fonctionne correctement.
En utilisant des fonctions de requête de test sur le serveur DNS, vous pouvez vous assurer du bon
fonctionnement des requêtes DNS. Cette mesure est utile si vous devez résoudre des problèmes liés
aux requêtes DNS. Tester la configuration du serveur DNS vous permet d’isoler plus facilement la
cause des problèmes.
Une requête simple est une requête qui exécute un test local en utilisant le client DNS pour interroger
le serveur DNS.
Ce type de test spécifie que le serveur DNS exécute une requête simple ou itérative. Il s’agit d’une
requête localisée qui se sert de la résolution de client DNS sur le serveur DNS pour interroger le
service DNS local, qui se trouve sur le même serveur DNS.
Une requête récursive est une requête qui teste un serveur DNS en transmettant une requête récursive
à un autre serveur DNS.
Ce type de test spécifie que le serveur DNS exécute une requête récursive. Il est similaire au test par
requête simple en termes de traitement initial de la requête dans la mesure où il utilise la résolution
de client DNS local pour interroger le serveur DNS local, hébergé sur le même ordinateur.
Cependant, ce test implique que le client demande au serveur d’utiliser la récursivité pour résoudre
une requête de type serveur de noms (NS) pour la racine de l’espace de noms de domaine DNS,
formulée sous la forme d’un point unique (« . »). Ce type de requête nécessite généralement un
43 Club Tutoriel Informatique
traitement récursif supplémentaire et peut se révéler utile pour vérifier que des indications de racine
du serveur ou des délégations de zone ont été configurés correctement.
2. Vérification de la présence d’un enregistrement de ressource à l’aide de Nslookup, de DNSCmd et de DNSLint
La vérification de la présence d’un enregistrement de ressource est une fonction de base de l’analyse
et du dépannage du système DNS.
Si le serveur DNS comporte des mappages nom d’hôte-adresse IP qui sont périmés, obsolètes ou
incorrects, les clients ne sont pas en mesure de se connecter aux services réseau. Étant donné le
volume considérable de modifications dynamiques effectuées au niveau du service DNS, il est
important de pouvoir vérifier que les enregistrements de ressources DNS sont à la fois corrects et
parfaitement à jour.
Pour identifier les problèmes potentiels d’une solution DNS, il est possible de contrôler les points
suivants :
Enregistrements manquants
Enregistrements incomplets
Enregistrements mal configurés
Les trois utilitaires suivants sont à votre disposition pour analyser, gérer et dépanner le système
DNS :
Nslookup
DNSCmd
DNSLint
Dans le cadre de cette leçon, nous allons nous concentrer sur la vérification de l’existence d’un
enregistrement de ressource, qui constitue seulement l’une des nombreuses tâches pouvant être
accomplies à l’aide de ces trois outils.
Nslookup Nslookup est un utilitaire de ligne de commande employé pour diagnostiquer les éventuels problèmes
liés à l’infrastructure DNS.
Nslookup offre la possibilité d’exécuter le test de requête sur des serveurs DNS et d’obtenir, en guise
de sortie de la commande, des réponses détaillées. Ces informations sont utiles pour procéder au
dépannage de la résolution de noms, pour vérifier que des enregistrements de ressources ont été
correctement ajoutés ou mis à jour dans une zone et pour effectuer le débogage en cas d’autres
problèmes liés au serveur.
Nslookup peut être exécuté dans deux modes :
Interactif. Ce mode permet de taper des commandes dans Nslookup et d’afficher les résultats
à une invite de commandes. Utilisez-le si vous avez besoin de plusieurs éléments de données.
Non interactif. Ce mode permet d’exécuter une commande Nslookup en une seule étape,
c’est-à-dire soit en l’exécutant seul à partir de la ligne de commande, soit en l’insérant dans
un fichier de commandes. Il fournit comme sortie un élément de données unique. Cette sortie
peut être enregistrée dans un fichier texte afin d’être consultée ultérieurement.
44 Club Tutoriel Informatique
Ce mode est utile si vous devez configurer une alerte de performance en vue de l’exécution
d’un fichier de commandes.
XI. Analyse des performances du serveur DNS
1. Analyse des performances du serveur DNS à l’aide de la console de performances
Les serveurs DNS revêtent une importance capitale dans la plupart des environnements, c’est
pourquoi l’analyse de leurs performances procure des avantages tels que ceux-ci :
Elle fournit des lignes de base utiles pour prévoir, estimer et optimiser les performances du
serveur DNS.
Elle facilite le dépannage des serveurs DNS victimes d’une baisse de performances que ce
soit dans le temps ou pendant les périodes d’activité intense.
Pour commencer l’analyse du serveur DNS, vous pouvez passer en revue l’échantillon de
résultats des tests des serveurs DNS exécutant Windows Server 2003 collectés durant le
développement et les tests du produit. Ces informations peuvent vous servir de référence
initiale pour débuter l’analyse des serveurs DNS en vue de l’évaluation des performances.
Windows Server 2003 propose en outre un ensemble de compteurs de performance pour le serveur
DNS qui peuvent être utilisés avec le Moniteur système pour mesurer et analyser divers aspects de
l’activité du serveur.
45 Club Tutoriel Informatique
2. Journal des événements DNS
Un journal des événements DNS est un journal système configuré pour n’enregistrer que les
événements DNS.
Vous pouvez avoir recours à l’Observateur d’événements pour consulter et analyser les événements
DNS liés aux clients. Ceux-ci s’affichent dans le journal système et sont écrits par le service Client
DNS sur tous les ordinateurs Windows (toutes les versions).
Dans Windows Server 2003, les messages d’événements de serveur DNS sont conservés séparément
dans un journal qui leur est propre (le journal du serveur DNS). Ce journal peut être consulté à l’aide
de la console DNS ou de l’Observateur d’événements.
Son fichier journal contient des événements consignés par le service Serveur DNS. Par exemple, lors
de l’arrêt ou du démarrage du serveur DNS, un message d’événement correspondant est inscrit dans
ce journal. Les événements d’erreur du service DNS y sont également enregistrés, par exemple
lorsque le serveur démarre mais que les transferts de zone échouent ou quand les informations de
zone nécessaires au démarrage ne sont pas disponibles.
XII. Simulations des serveurs DNS de l’internet
46 Club Tutoriel Informatique
XIII. Résolution des problèmes
1. Résolution des problèmes des clients DNS
Le client DNS a reçu le message d'erreur « Impossible de trouver le nom ».
Cause : La configuration IP de l'ordinateur client DNS pour le réseau n'est pas valide.
Solution: Vérifiez que les paramètres de la configuration TCP/IP de l'ordinateur client sont corrects,
en particulier ceux qui sont utilisés pour la résolution des noms DNS.
Pour vérifier la configuration IP d'un client, utilisez la commande ipconfig. Dans la sortie de la
commande, vérifiez que l'adresse IP, le masque de sous-réseau et la passerelle par défaut du client
sont corrects pour le réseau auquel il est connecté et sur lequel il est utilisé.
Si la configuration TCP/IP du client n'est pas valide, vous pouvez effectuer l'une des actions
suivantes :
a. Pour les clients configurés de façon dynamique, utilisez la commande ipconfig /renew pour
forcer manuellement le client à renouveler sa configuration d'adresse IP avec le serveur
DHCP.
47 Club Tutoriel Informatique
b. Pour les clients configurés de façon statique, modifiez les propriétés TCP/IP du client pour
utiliser des paramètres de configuration valides ou compléter sa configuration DNS pour le
réseau.
Cause : Le client n'a pas pu contacter un serveur DNS en raison d'une défaillance matérielle ou du
réseau.
Solution : Vérifiez que l’ordinateur client dispose d’une connexion réseau qui fonctionne
correctement. Vérifiez tout d’abord, à l’aide des procédures de base de résolution des problèmes du
matériel et du réseau, si les composants matériels du client (câbles et cartes réseau) fonctionnent
correctement.
Si l'équipement matériel du client est correctement préparé et fonctionne bien, vérifiez que le client
peut envoyer une commande Ping aux autres ordinateurs connectés au même réseau.
Cause: Le client DNS ne peut pas contacter ses serveurs DNS configurés.
Solution: Si le client DNS dispose d'une connectivité de base au réseau, vérifiez qu'il peut contacter
un serveur DNS préféré (ou auxiliaire).
Pour vérifier si un client dispose d'un accès TCP/IP de base au serveur DNS, essayez d'abord
d'envoyer la commande Ping au serveur DNS préféré à l'aide de son adresse IP.
Par exemple, si le client utilise un serveur DNS préféré présentant l'adresse 10.0.0.1, tapez ping
10.0.0.1 à l'invite de commandes sur l'ordinateur client. En cas de doute au sujet de l'adresse IP du
serveur DNS préféré, utilisez la commande ipconfig afin de vous assurer de celle-ci.
Par exemple, sur l'ordinateur client, tapez ipconfig /all|more afin de suspendre l'affichage pour lire et
noter les adresses IP figurant dans la liste des serveurs DNS pour la sortie de commande.
Si aucun serveur DNS configuré ne répond à une commande Ping directe de son adresse IP, cela
indique que la source du problème réside probablement dans la connectivité réseau entre le client et
les serveurs DNS. Dans ce cas, suivez les étapes de résolution des problèmes de réseau TCP/IP.
Cause : Le serveur DNS n'est pas en cours d'exécution ou ne répond pas aux requêtes.
Solution : Si le client DNS peut exécuter la commande Ping sur l'ordinateur serveur DNS, vérifiez
que ce dernier est démarré et en mesure d'écouter les requêtes des clients et d'y répondre. Utilisez la
commande nslookup pour tester si le serveur peut répondre aux clients DNS.
Cause : Le serveur DNS utilisé par le client ne sert pas de référence pour le nom qui a échoué et ne
peut pas trouver le serveur de référence pour ce nom.
Solution : Confirmez que le nom de domaine DNS que le client essaie de résoudre fait partie de ceux
pour lesquels ses serveurs DNS configurés servent de référence.
Par exemple, si le client essaie de résoudre le nom hôte.exemple.microsoft.com, vérifiez que le
serveur DNS préféré (ou un serveur auxiliaire, le cas échéant) interrogé par le client charge la zone
de référence dans laquelle existe un enregistrement de ressource hôte (A) pour le nom qui a échoué.
48 Club Tutoriel Informatique
Si le serveur préféré sert de référence pour le nom qui a échoué et charge la zone applicable,
déterminez si celle-ci ne contient pas l'enregistrement de ressource approprié. Si nécessaire, ajoutez
les enregistrements de ressources dans la zone.
Si le serveur préféré ne sert pas de référence pour le nom qui a échoué, il indique que des erreurs de
configuration du serveur DNS sont probablement à l'origine du problème. Procédez à la résolution
des autres problèmes éventuels sur le serveur DNS.
Le client DNS semble avoir reçu une réponse contenant des informations périmées ou
incorrectes.
Cause : Le serveur DNS utilisé par le client ne sert pas de référence pour le nom qui a échoué et
utilise des informations périmées provenant de sa base de données DNS locale.
Solution : Déterminez si le serveur DNS sert de référence pour le nom et poursuivez en conséquence.
Par exemple, si le client essaie de résoudre le nom hôte.exemple.microsoft.com, vérifiez que le
serveur DNS préféré (ou un serveur auxiliaire, le cas échéant) interrogé par le client charge la zone
de référence dans laquelle existe un enregistrement de ressource hôte (A) pour le nom qui a échoué.
Si le serveur préféré sert de référence pour le nom et a répondu par des données incorrectes, il
indique que la zone applicable contient peut-être des informations périmées dans les données de
l'enregistrement de ressource applicable. Dans ce cas, vous pouvez ajouter et supprimer les
enregistrements de ressources appropriés dans la zone.
Une autre option qui implique l'activation des mises à jour dynamiques consiste à forcer
l'enregistrement et la mise à jour sur l'ordinateur cible de la requête. Vous pouvez forcer cet
ordinateur à mettre à jour l'enregistrement de ses enregistrements de ressources en entrant ipconfig
/registerdns à l'invite de commandes.
Si le serveur préféré ne sert pas de référence directe pour le nom demandé, il a probablement répondu
à la requête sur la base d'informations obtenues et mises en cache au cours d'une recherche récursive
antérieure. Dans ce cas, vous pouvez envisager d'effacer le contenu du cache des noms de serveur.
Ceci pousse le serveur à utiliser de nouvelles requêtes récursives pour ces données d'enregistrements
de ressources et à restaurer le contenu de son cache sur la base des informations en cours.
Cause : Le serveur DNS préféré est un serveur secondaire pour la zone contenant le nom cible et
comporte des informations périmées.
Solution : Si le serveur qui a répondu au client est un serveur secondaire pour la zone, la version de
la zone utilisée sur le serveur peut être périmée et doit être mise à jour plus régulièrement.
Dans l'immédiat, vous pouvez lancer un transfert de zone du serveur secondaire vers le serveur
maître pour mettre à jour la zone. Vous pouvez également envisager l'une des options suivantes afin
de mieux actualiser les données de la zone secondaire à l'avenir :
1. Spécifier des serveurs maîtres supplémentaires pour le serveur secondaire à utiliser lors de
l'actualisation de la zone.
2. Régler l'intervalle d'actualisation de la zone afin de réduire le délai que tous les serveurs de
référence de la zone peuvent utiliser avant l'actualisation.
3. Configurer une liste de notification sur un serveur maître qui agit comme la source de la zone
sur le serveur secondaire et activer celle-ci pour avertir ce serveur lorsque la zone est
modifiée.
49 Club Tutoriel Informatique
Cause : Le nom demandé a été spécifié par erreur, soit via une entrée de l'utilisateur, soit dans une
configuration du client stockée.
Solution : Vérifiez que le nom a été correctement spécifié dans l'application dans laquelle la requête
a été créée.
Dans la plupart des cas, des données incorrectes dans une réponse à une requête positive indiquent
trois cas possibles :
Un utilisateur a entré un nom DNS incorrect en tant que client.
Un nom court non qualifié a été utilisé sur le client et complété par le solveur local à l'aide
d'un suffixe DNS inattendu.
Les enregistrements de ressources spécifiés dans la requête n'ont pas été correctement mis à
jour sur le serveur DNS.
Confirmez que le nom n'a pas été entré par erreur par l'utilisateur. Vérifiez le jeu exact de caractères
entré par l'utilisateur lorsque la requête DNS d'origine a été effectuée ou vérifiez les paramètres des
applications, comme les configurations de la messagerie Internet ou du navigateur Web effectuées.
Si le nom utilisé dans la requête initiale n'était pas qualifié, contrairement au nom de domaine
complet (FQDN), essayez plutôt d'utiliser ce dernier dans l'application cliente et répétez la requête.
Dans ce cas, veillez à inclure le point final (.) à la fin du nom pour indiquer que le nom entré est un
nom de domaine complet (FQDN) exact.
Si cette requête aboutit et renvoie des données correctes en réponse, la cause du problème réside
certainement dans une mauvaise configuration de la liste de recherche des suffixes de domaine DNS
utilisés dans les paramètres du solveur client.
Si vous utilisez DNS dans un environnement qui ne prend pas en charge les mises à jour dynamiques
ou qui, en règle générale, gère manuellement les données de zone, vous chercherez également à
vérifier les enregistrements de ressources impliqués dans la réponse aux requêtes incorrectes.
Affichez ces enregistrements afin de vous assurer que les données stockées dans la zone sont
correctes ou de les modifier en conséquence.
Cause : La zone principale contient peut-être des données manquantes ou erronées.
Solution : Vérifiez que le serveur principal de la zone contient des données correctes et complètes.
La cause de ce problème la plus probable réside dans l'échec d'une requête de mise à jour. Il est
possible que la prise en charge des mises à jour dynamiques n'ait pas été complètement implémentée
ou configurée. Pour résoudre ce problème, révisez le protocole de mise à jour dynamique DNS (RFC
2136) et toutes les exigences qu'il implique pour les serveurs et les clients DNS qui l'utilisent.
Pour les zones intégrées d'annuaire, il est également possible que les enregistrements affectés pour la
requête erronée aient été mis à jour dans Active Directory mais non répliqués sur tous les serveurs
DNS chargeant la zone. Par défaut, tous les serveurs DNS chargeant la zone à partir d'Active
Directory regroupent celle-ci à un intervalle défini (généralement toutes les 15 minutes) et y
répercutent toute modification incrémentielle. Dans la plupart des cas, il faut plus de 20 minutes pour
répliquer une mise à jour DNS sur tous les serveurs utilisés dans un domaine Active Directory à
l'aide des paramètres de réplication par défaut et de liaisons grande vitesse fiables.
Si vous avez configuré vos zones de manière spécifique pour désactiver la mise à jour dynamique,
n'oubliez pas que la plupart des types d'enregistrements de ressources utilisés dans une zone doivent
50 Club Tutoriel Informatique
être ajoutés et mis à jour manuellement. Dans ce cas, utilisez la console DNS pour afficher et mettre
à jour les enregistrements affectés.
Les données erronées peuvent également résulter de l'activation et de l'utilisation de l'intégration de la
recherche WINS avec la zone. Si vous utilisez la recherche WINS avec vos zones, vérifiez que WINS
n'est pas la source des données erronées.
2. Résolution des problèmes de serveurs DNS
Le serveur DNS ne répond pas aux clients.
Cause : Le serveur DNS est affecté par une défaillance réseau.
Solution : Vérifiez que la connexion réseau de l'ordinateur serveur fonctionne correctement.
Vérifiez tout d’abord, à l’aide des procédures de base de résolution des problèmes du matériel et du
réseau, si les composants matériels du client (câbles et cartes réseau) fonctionnent correctement.
S'il s'avère que le matériel du serveur est préparé et fonctionne correctement, vérifiez qu'il utilise la
connectivité réseau en exécutant la commande ping sur les autres ordinateurs et routeurs (tels que sa
passerelle par défaut) qui sont utilisés et disponibles sur le même réseau que les serveurs DNS
affectés.
Cause : Le serveur DNS est accessible par la procédure standard de test du réseau mais ne répond
pas aux requêtes DNS des clients.
Solution : Si le client DNS peut exécuter la commande ping sur l'ordinateur serveur DNS, vérifiez
que ce dernier est démarré et en mesure d'écouter les requêtes des clients et d'y répondre. Utilisez la
commande nslookup pour tester si le serveur peut répondre aux clients DNS.
Cause : Le serveur DNS a été configuré de telle sorte que la fourniture d'un service soit limitée à
une liste spécifique d'adresses IP configurées. L'adresse IP utilisée à l'origine dans le test de réactivité
du serveur n'est pas incluse dans cette liste.
Solution : Si le serveur a été préalablement configuré de manière à limiter les adresses IP pour
lesquelles il répond aux requêtes, il est possible que l'adresse IP utilisée par les clients pour le
contacter ne figure pas dans la liste limitée d'adresses IP pour lesquelles un service est fourni aux
clients.
Testez de nouveau la réactivité du serveur en spécifiant une adresse IP qui figure dans la liste limitée
d'interfaces configurée pour le serveur. Si le serveur DNS répond pour cette adresse, ajoutez l'adresse
IP manquante à la liste.
Cause : Le serveur DNS a été configuré de telle sorte que l'utilisation de ses zones de recherche
indirectes par défaut créées automatiquement soit désactivée.
Solution : Vérifiez que les zones de recherche indirectes ont été créées automatiquement pour le
serveur ou qu'aucune modification n'a pas été apportée à la configuration avancée du serveur .
Par défaut, les serveurs DNS créent automatiquement les trois zones de recherche indirectes
suivantes, conformément aux recommandations des RFC (Request for Comments).
51 Club Tutoriel Informatique
Ces zones sont créées avec les adresses IP communes couvertes par ces zones qui ne sont pas utiles
dans une recherche indirecte (0.0.0.0, 127.0.0.1 et 255.255.255.255). Du fait que le service DNS sert
de référence pour les zones correspondant à ces adresses, toute récursivité inutile sur les serveurs
racine est écartée lors des recherches indirectes sur ces types d'adresses IP.
Il est possible, quoique peu probable, que ces zones automatiques ne soient pas créées. En effet, la
désactivation de la création de ces zones exige l'intervention d'un utilisateur qui configure
manuellement les options avancées du Registre du serveur.
Pour vérifier que ces zones ont été créées, procédez de la manière suivante :
1. Ouvrez la console DNS.
2. Dans le menu Affichage, cliquez sur Avancé.
3. Dans l'arborescence de la console, cliquez sur Zones de recherche indirectes.
Où ?
o DNS
o serveur DNS applicable
o Zones de recherche indirectes
4. Dans le volet d'informations, vérifiez la présence des zones de recherche indirectes suivantes :
o 0.in-addr.arpa
o 127.in-addr.arpa
o 255.in-addr.arpa
Cause : Le serveur DNS est configuré de manière à utiliser un port de service non standard, comme
dans une configuration de sécurité avancée ou de pare-feu.
Solution : Vérifiez que le serveur DNS n'utilise pas une configuration non standard.
Cette cause est possible mais rare. Par défaut, la commande nslookup envoie des requêtes à des
serveurs DNS ciblés via le port UDP (User Datagram Protocol) 53. Si le serveur DNS est placé sur
un autre réseau accessible uniquement via un hôte intermédiaire (tel qu'un routeur ou un serveur
proxy de filtrage de paquets), le serveur DNS peut utiliser un port non standard pour écouter et
recevoir les requêtes des clients.
Dans une telle situation, déterminez si une configuration de pare-feu ou de serveur proxy
intermédiaire est utilisée intentionnellement pour bloquer le trafic sur les ports de services connus
utilisés pour DNS. Sinon, vous pouvez peut-être ajouter un filtre de paquets à ces configurations afin
d'autoriser le trafic sur les ports DNS standard.
De même, consultez le journal des événements du serveur DNS afin de savoir si un événement 414
ou tout autre événement critique relatif au service s'est produit, ce qui pourrait expliquer pourquoi le
serveur DNS ne répond pas.
Le serveur DNS ne résout pas correctement les noms.
Cause : Le serveur DNS fournit des données erronées pour les requêtes auxquelles il répond avec
succès.
Solution : Déterminez pour quelles raisons le serveur DNS fournit des données erronées.
52 Club Tutoriel Informatique
Voici quelques-unes des causes les plus probables :
Les enregistrements de ressources (RR) n'ont pas été mis à jour de façon dynamique dans une
zone.
Une erreur s'est produite lors de l'ajout ou de la modification manuelle des enregistrements de
ressources statiques dans la zone.
La base de données du serveur DNS contient des enregistrements de ressource périmés qui ne
sont pas pris en compte dans les recherches cache ou des enregistrements de zone qui ne sont
pas mis à jour avec les informations actuelles ou sont supprimés dès lors qu'ils ne sont plus
nécessaires.
Pour éviter les problèmes les plus courants, étudiez les méthodes conseillées et les suggestions
relatives au déploiement et à la gestion de vos serveurs DNS. De même, utilisez les aide-mémoire
appropriés pour installer et configurer les serveurs et les clients DNS en fonction du déploiement
nécessaire.
Si vous déployez DNS pour Active Directory, notez les nouvelles fonctionnalités d'intégration à
l'annuaire. Ces fonctionnalités peuvent modifier les valeurs par défaut du serveur DNS lorsque la
base de données DNS est intégrée à l'annuaire, par rapport aux valeurs par défaut utilisées dans un
stockage traditionnel sur fichier.
Bon nombre des problèmes des serveurs DNS débutent par l'échec des requêtes au niveau d'un client,
c'est pourquoi il est souvent conseillé de commencer par résoudre les problèmes du client DNS.
Cause : Le serveur DNS ne résout pas les noms pour les ordinateurs ou les services extérieurs à
votre réseau immédiat, tels que ceux situés sur des réseaux externes ou sur Internet.
Solution : Le problème du serveur se situe au niveau de sa capacité à réaliser correctement la
récursivité. La récursivité est utilisée dans la plupart des configurations DNS pour résoudre les noms
qui ne sont pas situés au sein du nom de domaine DNS configuré utilisé par les serveurs et les clients
DNS.
Si un serveur DNS ne parvient pas à résoudre un nom pour lequel il ne sert pas de référence, l'échec
d'une requête récursive en est souvent la cause. Les requêtes récursives sont fréquemment utilisées
par les serveurs DNS pour résoudre les noms distants délégués à d'autres zones et serveurs DNS.
Pour un fonctionnement correct de la récursivité, tous les serveurs DNS utilisés dans le chemin d'une
requête récursive doivent être capables de répondre à des données correctes et de les transmettre.
Dans le cas contraire, une requête récursive peut échouer pour l'une des raisons suivantes :
Le délai de réponse de la requête récursive est dépassé avant qu'elle ne soit terminée.
Un serveur DNS distant ne répond pas.
Un serveur DNS distant fournit des données erronées.
Si un serveur ne répond pas à une requête récursive relative à un nom distant, consultez les causes
possibles indiquées ci-dessous pour résoudre le problème. Si vous ne comprenez pas le concept de
récursivité ou le processus de requête DNS, consultez les rubriques conceptuelles de l'Aide.
Cause : Le serveur DNS n'est pas configuré pour utiliser d'autres serveurs DNS pour l'assister dans
la résolution de requêtes.
Solution : Vérifiez si le serveur DNS peut utiliser à la fois des redirecteurs et la récursivité.
53 Club Tutoriel Informatique
Par défaut, tous les serveurs DNS peuvent utiliser la récursivité. Vous pouvez néanmoins désactiver
l'utilisation de la récursivité en modifiant les options avancées du serveur dans la console DNS. La
récursivité peut également être désactivée si le serveur est configuré pour utiliser des redirecteurs et
que la récursivité a été spécifiquement désactivée pour cette configuration.
Remarque
Si vous désactivez la récursivité sur le serveur DNS, vous ne pourrez pas utiliser de
redirecteurs sur le même serveur.
Cause : Les indications racine actuelles du serveur DNS sont incorrectes.
Solution : Vérifiez si les indications racine du serveur sont correctes.
Lorsqu'elles sont correctement configurées et utilisées, les indications racine doivent toujours pointer
sur les serveurs DNS qui servent de référence pour la zone contenant la racine du domaine et les
domaines de premier niveau.
Par défaut, les serveurs DNS sont configurés pour utiliser les indications racine adaptées à votre
déploiement. Lors de la configuration du serveur à l'aide de la console DNS, vous avez le choix entre
les options suivantes :
a. Si le serveur DNS est installé en tant que le serveur DNS principal de votre réseau, il est
configuré en tant que serveur racine.
Dans cette configuration, les indications racine sont désactivées sur le serveur dans la mesure
où il sert de référence pour la zone racine.
b. Si le serveur installé est un serveur DNS supplémentaire sur votre réseau, vous pouvez
demander à l'Assistant Configuration de serveur DNS de mettre à jour ses indications racine à
partir d'un serveur DNS existant sur le réseau.
c. Si votre réseau ne comporte pas d'autres serveurs DNS mais que vous devez encore résoudre
des noms DNS Internet, vous pouvez utiliser le fichier des indications racine par défaut qui
inclut une liste des serveurs racine Internet qui servent de référence pour l'espace de noms
DNS Internet.
Cause : Le serveur DNS ne dispose pas de la connectivité réseau aux serveurs racine.
Solution : Testez la connectivité aux serveurs racine.
S'il s'avère que les indications racine sont correctement configurées, vérifiez que le serveur DNS
utilisé dans une requête ayant échoué peut exécuter une commande ping sur ses serveurs racine par
adresse IP.
L'échec d'une tentative de commande ping sur un serveur racine indique parfois qu'une adresse IP
pour le serveur racine a été modifiée. Néanmoins, la reconfiguration des serveurs racine est très rare.
L'une des causes plus probables est la perte totale de la connectivité réseau ou, dans certains cas, des
performances réseau faibles sur les liaisons réseau intermédiaires entre le serveur DNS et ses
serveurs racine configurés. Suivez la procédure standard de résolution des problèmes de réseau
TCP/IP pour diagnostiquer les connexions et déterminer s'il s'agit bien du problème.
54 Club Tutoriel Informatique
Par défaut, le service DNS utilise un délai de récursivité de 15 seconde avant l'échec d'une requête
récursive. Dans des conditions réseau normales, il n'est pas nécessaire de modifier ce délai. Si les
performances le permettent, vous pouvez augmenter cette valeur.
Pour consulter d'autres informations relatives aux performances des requête DNS, vous pouvez
activer et utiliser le fichier journal de débogage du serveur DNS, Dns.log, qui fournit des
informations complémentaires sur certains types d'événements relatifs au service.
Cause : Il existe d'autres problèmes de mise à jour des données du serveur DNS, tels qu'un problème
relatif aux zones et aux mises à jour dynamiques.
Solution : Déterminez si le problème est lié aux zones. Si nécessaire, résolvez tout problème, tel que
l'échec éventuel du transfert de zone.
3. Résolution des problèmes de mises à jour dynamiques
Le client DNS n'effectue pas les mises à jour dynamiques.
Cause : Le client (ou son serveur DHCP) ne prend pas en charge le protocole de mise à jour
dynamique DNS.
Solution : Vérifiez que vos clients ou serveurs prennent en charge le protocole DNS de mise à jour
dynamique.
Pour que les ordinateurs clients soient inscrits sur un serveur DNS et mis à jour de façon dynamique
avec ce serveur, vous avez le choix entre :
a. installer ou mettre à niveau les ordinateurs clients vers Windows XP ou Windows
Server 2003.
b. Installer un serveur DHCP sur votre réseau et l'utiliser pour louer des ordinateurs clients.
Par défaut, les ordinateurs essaient de s'inscrire sur un serveur DNS et d'effectuer une mise à jour
dynamique de leurs noms DNS et de leurs adresses IP avec ce serveur.
Pour les autres types d'ordinateurs, vous pouvez déployer des serveurs DHCP Windows Server 2003
qui effectuent les inscriptions et les mises à jour en utilisant un serveur proxy nécessaires pour les
clients non dynamiques.
Remarques
Par défaut, le client DNS sur Windows XP ne tente pas de mise à jour dynamique via une
connexion RAS (Remote Access Service) ou réseau privé virtuel. Pour changer cette
configuration, vous pouvez modifier les paramètres TCP/IP avancés de la connexion réseau
donnée ou modifier le registre. Pour plus d'informations, consultez Pour configurer TCP/IP
pour utiliser DNS et le site Web des Kits de ressources techniques Microsoft Windows.
(http://www.microsoft.com)
Par défaut, le client DNS ne tente pas de mise à jour dynamique des zones de domaines de
premier niveau. Toute zone portant un nom à étiquette simple est considérée comme une zone
de domaine de premier niveau, par exemple, com, edu, null, ma-société. Pour configurer le
55 Club Tutoriel Informatique
client DNS afin d'autoriser la mise à jour dynamique des zones de domaines de premier
niveau, vous pouvez utiliser le paramètre de stratégie Mettre à jour les zones de domaine
du niveau supérieur ou modifier le registre.
Cause : Le client n'a pas pu s'inscrire sur le serveur DNS en raison de problèmes ponctuels avec le
serveur DNS ou le réseau.
Solution : Sur l'ordinateur client, utilisez la commande ipconfig afin de faire une nouvelle tentative
d'inscription ou de renouvellement et de mettre à jour les informations relatives au client avec le
serveur DNS.
Vous pouvez utiliser l'option de commande ipconfig /regsiterdns pour forcer manuellement une
nouvelle tentative d'inscription dynamique.
Pour les ordinateurs exécutant des versions antérieures de Windows, vous pouvez utiliser les options
de la commande ipconfig pour vérifier, afficher ou renouveler les détails de la configuration TCP/IP
du client.
Par exemple, si l'ordinateur client obtient son bail d'adresse IP auprès d'un serveur DHCP, vous
pouvez utiliser la commande ipconfig /renew pour le forcer à renouveler son bail avec le serveur
DHCP. Le serveur DHCP confie alors, au nom du client, une demande de mise à jour à son serveur
DNS configuré.
Si le serveur DHCP réussit à effectuer la mise à jour en utilisant un serveur proxy avec le serveur
DNS, la base de données DNS contient alors les informations mises à jour de nom d'hôte DNS et
d'adresse IP pour l'ordinateur client.
Cause : Le client n'a pas pu s'inscrire sur le serveur DNS et effectuer une mise à jour avec ce serveur
en raison d'une configuration DNS incorrecte ou incomplète.
Solution : Vérifiez que la configuration DNS du client est complète et correcte et mettez-la à jour si
nécessaire.
L'une des causes les plus probables expliquant l'échec de la mise à jour avec le serveur DNS est
qu'aucun suffixe DNS (un suffixe principal ou un suffixe spécifique à la connexion) n'est configuré
pour ce serveur. En conséquence, le client risque de tenter d'inscrire un nom de domaine DNS
incorrect ou indésirable.
Par exemple, le client peut tenter d'inscrire son nom court ou non qualifié d'hôte ou d'ordinateur en
tant que nom de domaine de premier niveau dans la zone racine. En effet, sans suffixe DNS configuré
pour l'ordinateur client, il considère le nom court configuré d'un ordinateur (tel que hote-a) comme
son nom de domaine complet (FQDN, Fully Qualified Domain Name). Ainsi, le nom d'ordinateur ne
comporte pas de suffixe DNS permettant de qualifier le nom de l'ordinateur lors de son inscription
pour le client dans DNS.
Pour mettre à jour la configuration DNS d'un client, vous avez le choix entre :
a. configurer un suffixe DNS principal au niveau de l'ordinateur client pour les clients TCP/IP
statiques ;
b. configurer un suffixe DNS spécifique à la connexion et l'utiliser sur l'une des connexions
réseau installées au niveau de l'ordinateur client.
Cause : Le client DNS a tenté de mettre à jour ses informations avec le serveur DNS mais a échoué
en raison d'un problème lié au serveur.
56 Club Tutoriel Informatique
Solution : Si un client parvient à atteindre les serveurs DNS par défaut ou auxiliaires configurés, la
cause de l'échec des mises à jour se situe probablement ailleurs.
Sur les ordinateurs clients Windows vous pouvez utiliser l'Observateur d'événements pour rechercher
dans le journal système tout message d'événement expliquant les causes de l'échec des tentatives du
client pour mettre à jour de façon dynamique ses enregistrements de ressource hôte (A) ou pointeur
(PTR).
Lors de la consultation des messages du fichier système, filtrez ou triez les messages de manière à
afficher ceux dont la source est DnsApi. Ces messages sont généralement liés aux performances des
activités DNS, telles que les requêtes DNS ou les mises à jour dynamiques.
L'une des causes les plus probables expliquant l'éventuel échec des mises à jour pour un client mobile
est que le serveur DNS requis pour accepter et effectuer la mise à jour ne répond pas lorsque le client
est démarré depuis un emplacement distant du réseau. Ceci peut être dû à des problèmes de
performances du réseau ou indiquer un problème dans la conception-même de votre réseau. Si ces
problèmes persistent, vous devez revoir votre déploiement DNS et le modifier en conséquence.
Le serveur DNS n'effectue pas les mises à jour dynamiques.
Cause : Le serveur DNS ne prend pas en charge les mises à jour dynamiques.
Solution : Vérifiez que le serveur DNS utilisé par le client peut prendre en charge le protocole de
mise à jour dynamique DNS, comme décrit dans le RFC 2136.
Seuls Windows 2000 et le service Serveur DNS Windows Server 2003 prennent en charge les mises
à jour dynamiques. Le serveur DNS fourni avec Windows NT Server 4.0 ne les prend pas en charge.
Si vous utilisez d'autres serveurs DNS sur votre réseau, vérifiez que l'implémentation de serveur DNS
qu'ils utilisent prend en charge les mises à jour dynamiques.
Cause : Le serveur DNS prend en charge les mises à jour dynamiques mais n'est pas configuré pour
les accepter.
Solution : Vérifiez que la zone principale pour laquelle les clients requièrent des mises à jour est
configurée pour autoriser les mises à jour dynamiques.
Par défaut, les nouvelles zones principales n'acceptent pas les mises à jour dynamiques. Ainsi, sur le
serveur DNS qui charge la zone principale concernée, vous devez modifier les propriétés de zone de
manière à autoriser les mises à jour.
Cause: La base de données de la zone n'est pas disponible.
Solution : Vérifiez que la zone est disponible pour la mise à jour.
Tout d'abord, vérifiez si nécessaire que la zone existe. Pour une zone principale standard, vérifiez que
le fichier de zone existe sur le serveur et que la zone n'est pas suspendue. Si vous utilisez les zones
intégrées à Active Directory, vérifiez que le serveur DNS est exécuté en tant que contrôleur de
domaine et qu'il a accès à la base de données Active Directory dans laquelle sont stockées les
données de zone.
Les zones secondaires ne prennent pas en charge les mises à jour dynamiques. Si vous essayez de
déterminer quel est le serveur principal d'une zone standard, consultez les enregistrements d'autorité
57 Club Tutoriel Informatique
de zone de manière à identifier le serveur qui est référencé à la fois dans l'enregistrement de ressource
d'autorité principale (SOA) et dans l'enregistrement de ressource de serveur de noms (NS) pour cette
zone. Il s'agit du serveur principal de la zone qui peut accepter les mises à jour dynamiques.
Si nécessaire, vous pouvez utiliser la console DNS pour modifier une zone secondaire en zone
principale afin qu'elle puisse prendre en charge les mises à jour dynamiques. Néanmoins, dans la
mesure où les zones principales standard utilisent un modèle de mise à jour maître unique, un seul
serveur peut être configuré de manière à accepter les mises à jour dynamiques pour la zone.
Si vous modifiez le type de zone au niveau d'un serveur secondaire afin qu'il devienne le serveur
principal pour cette zone, vous devez soit supprimer la zone, soit la convertir en un autre type de
zone (en zone secondaire par exemple) au niveau du serveur principal d'origine. Dans le cas
contraire, les données de zone ne seront plus cohérentes, ce qui entraînera des problèmes
supplémentaires.
Si vous souhaitez que plusieurs serveurs DNS puissent mettre à jour une zone, il est recommandé de
changer le type de zone de sorte qu'elle devienne une zone intégrée à Active Directory. Pour pouvoir
utiliser ce type de zone, Active Directory doit être installé et l'ordinateur serveur doit être promu au
titre de contrôleur de domaine.
Une fois que la zone est stockée dans l'annuaire, les autres contrôleurs de domaine peuvent charger la
zone automatiquement et être autorisés à la mettre à jour lorsqu'ils exécutent le service Serveur DNS.
En effet, Active Directory prend en charge un modèle de mise à jour maître multiple (ou flottant)
dans lequel plus d'un ordinateur peut traiter les mises à jour dans la base de données de l'annuaire.
Cause : Le serveur DNS est configuré de manière à autoriser uniquement les mises à jour
dynamiques sécurisées et présente un problème de sécurité.
Solution : Vérifiez que la sécurité d'enregistrement de ressource ou de zone n'est pas susceptible de
bloquer ou d'empêcher les mises à jour dynamiques au niveau du serveur.
La mise à jour sécurisée peut être activée pour les zones intégrées d'annuaire et leurs enregistrements
de ressources. Si la mise à jour dynamique sécurisée est activée pour une zone intégrée à l'annuaire,
seuls les utilisateurs, groupes ou ordinateurs disposant d'autorisations d'écriture peuvent ajouter de
nouveaux enregistrements de ressources à la zone. Si la mise à jour dynamique sécurisée est activée
pour les enregistrements de ressources, seuls les utilisateurs, groupes ou ordinateurs disposant
d'autorisations d'écriture peuvent mettre à jour ces enregistrements de ressources. Par conséquent, la
sécurité peut bloquer ou empêcher un client DNS (ou son serveur DHCP) d'effectuer une mise à jour
de ses enregistrements de ressource hôte (A) ou pointeur (PTR).
En règle générale, la mise à jour dynamique sécurisée n'empêche pas la création d'enregistrements ou
leur ajout à une zone, mais elle restreint les personnes auxquelles les autorisations par défaut de mise
à jour et de modification des enregistrements sont accordées. Le cas échéant, vous pouvez utiliser les
fonctions d'édition de la liste de contrôle d'accès (LCA) disponibles pour les zones intégrées
d'annuaire afin de modifier les autorisations de sécurité sur une zone ou ses enregistrements de
ressource et d'activer la mise à jour par un autre utilisateur, groupe ou ordinateur.
Ceci n'est généralement nécessaire que si l'ordinateur demandant une mise à jour est différent de
l'ordinateur qui détient les enregistrements clients et les a créés à l'origine.
Cause : Le serveur DNS requis pour effectuer les mises à jour n'est pas disponible sur le réseau.
Solution : Vérifiez que le serveur DNS est disponible sur le réseau ou résolvez tout autre problème.
58 Club Tutoriel Informatique
4. Résolution de problèmes de zones
Je rencontre un problème avec les transferts de zone.
Cause : Le service Serveur DNS est arrêté ou la zone est suspendue.
Solution : Vérifiez que le serveur DNS principal (source) et le serveur DNS secondaire (destination)
utilisés dans le transfert de la zone sont tous deux démarrés et que la zone n'est pas suspendue sur
aucun des deux serveurs.
Cause : Les serveurs DNS utilisés au cours d'un transfert ne disposent pas de la connectivité réseau
entre eux.
Solution : Vérifiez qu'il ne s'agit pas d'un problème de base de connectivité réseau entre ces deux
serveurs.
Exécutez la commande ping sur chaque serveur DNS par son adresse IP à partir de son équivalent
distant.
Par exemple, au niveau du serveur source, utilisez la commande ping pour tester la connectivité IP
avec le serveur de destination. Sur le serveur de destination, répétez le test ping en remplaçant
l'adresse IP pour le serveur source.
Les deux tests ping doivent réussir. Si ce n'est pas le cas, recherchez et résolvez les problèmes
intermédiaires de connectivité réseau.
Cause : Le numéro de série est identique sur le serveur source et le serveur de destination. Pour cette
raison, aucun transfert de zone ne peut être réalisé entre ces serveurs.
Solution : À l'aide de la console DNS, effectuez les tâches suivantes :
1. Augmentez la valeur du numéro de série de la zone au niveau du serveur principal (source)
afin qu'elle soit supérieure à la valeur utilisée au niveau du serveur secondaire (destination).
2. Ensuite, lancez le transfert de zone sur le serveur secondaire.
L'utilisation de la console DNS permet d'afficher le numéro de série de la zone sous l'onglet Autorité
principale (SOA) des propriétés de la zone concernée. Pour augmenter le numéro de série de la
zone, cliquez sur Incrémenter.
Cause : Le serveur principal (source) et son serveur secondaire (destination) ciblé présentent des
problèmes d'interfonctionnement.
Solution : Recherchez les causes possibles de tout problème d'interfonctionnement se présentant
entre les serveurs DNS Windows Server 2003 et d'autres serveurs DNS exécutant des
implémentations différentes, telles qu'une version plus ancienne de la distribution BIND (Berkeley
Internet Name Domain).
Les anciens serveurs BIND utilisent un format de transfert de zone non compressé. Par défaut, les
serveurs exécutant Windows Server 2003 (ou les serveurs BIND plus récents) utilisent un format
compressé plus rapide au cours des transferts de zones. Pour permettre le transfert de zone à l'aide de
serveurs BIND plus anciens, vous devez modifier les options avancées de serveur sur vos serveurs
DNS exécutant Windows Server 2003.
59 Club Tutoriel Informatique
Un autre problème d'interfonctionnement peut se présenter et concerne l'utilisation et l'inclusion des
enregistrements de ressources de recherche directe WINS dans une zone, ou leur équivalent,
l'enregistrement de ressource de recherche indirecte WINS utilisé pour les zones de recherche
indirecte. Les serveurs BINDS ne reconnaissent pas ces enregistrements lorsqu'ils sont inclus dans les
données de zone transférées et peuvent indiquer que ces données sont erronées, ce qui risque de faire
échouer le transfert.
Pour éviter que ces enregistrements ne soient utilisés ou inclus dans les transferts de zones vers des
serveurs BIND et d'autres serveurs qui ne les reconnaissent pas, sélectionnez Ne pas répliquer cet
enregistrement lors de la configuration des propriétés WINS de la zone concernée.
Cause : La zone contient des enregistrements de ressources ou d'autres données qui ne peuvent pas
être interprétés par le serveur DNS.
Solution : Vérifiez que la zone ne contient pas de données incompatibles, telles que des types
d'enregistrements de ressources non pris en charge ou des erreurs de données.
En règle générale, le service Serveur DNS prend en charge tous les types d'enregistrements de
ressources qui sont approuvés et requis pour l'utilisation standard DNS Internet.
De même, vérifiez que le serveur n'a pas été préalablement configuré pour empêcher le chargement
d'une zone lorsque des données erronées sont trouvées et identifiez la méthode de vérification de nom
qu'il utilise. Ces paramètres peuvent être configurés à l'aide de la console DNS.
Cause : Les données de la zone d'autorité sont erronées.
Solution : Si l'échec d'un transfert de zone persiste, assurez-vous que cette zone ne contient pas des
données non standard.
Si vous modifiez manuellement des fichiers de zone, rappelez-vous que les enregistrements doivent
être mis en forme et utilisés conformément aux principes standard de mise en forme et d'utilisation
des enregistrements définis dans les RFC relatifs à DNS. En règle générale, les erreurs de données et
d'entrées utilisateur peuvent être évitées si les enregistrements sont ajoutés et gérés à l'aide de la
console DNS.
Pour déterminer si les données de zone erronées constituent une source probable d'un échec de
transfert de zone, recherchez des messages dans le journal des événements du serveur DNS. Vous
pouvez également utiliser la commande nslookup et l'option -ls pour simuler et tester un transfert de
zone, tout en observant les données renvoyées dans une terminaison avant le transfert total de la
zone.
J'essaie d'utiliser une délégation de zone, mais elle semble être rompue..
Problème : Les délégations de zones ne sont pas configurées correctement.
Solution : Etudiez la manière dont les délégations de zones sont utilisées et apportez les
modifications nécessaires aux configurations de zone.
Les zones contiennent des informations sur les domaines et les sous-domaines DNS. Au départ,
chaque zone que vous créez est une base de données constituée d'un seul nœud pour un domaine
DNS unique. Vous pouvez ajouter des nœuds de sous-domaine directement en dessous du domaine
d'origine (parent) et les stocker dans une zone distincte. Les nouveaux sous-domaines conservés dans
la même zone sont parfois appelés sous-zones.
60 Club Tutoriel Informatique
S'ils sont utilisés comme sous-zones, les nouveaux sous-domaines font partie intégrante de la zone et
sont répliqués et mis à jour en même temps que cette zone, en tant qu'entité unique. Cependant, vous
pouvez déléguer des sous-domaines et les gérer dans leurs propres zones. Pour chaque sous-domaine
délégué à sa propre zone, des enregistrements de délégation doivent être ajoutés à la zone parent.