Windows Server 2012 : Intégrer le rôle DNS aux Services de domaine AD DS


Patrice2012Bonjour tout le monde,

Avant de commencer la présentation de cette installation, voici quelques rappels succincts de ce que sont les services de noms de domaine.

Le système DNS (Domain Name System : Services de Noms de Domaine) est le protocole ouvert de résolution deTCPIP-DNS noms utilisés par les réseaux TCP/IP. C’est un système hiérarchique et distribué géré par une douzaine d’organisations. Plus de 200 serveurs de noms répartis dans quelques pays du monde assurent DNS.

Il est hiérarchique parce qu’organisé en sous-domaines liés entre eux par des délégations vers le niveau inférieur.
Dans la hiérarchie, la racine est le point "."; viennent ensuite, les sous-domaines génériques "com", "net", "biz", "org"… les domaines de premier niveau "Amazon", "Google", "Microsoft"… les pays "fr", "it", "en"…

La résolution du nom se fait du point le plus bas vers la racine "."
DNS répond aux normes de
l’IETF.

Par exemple, rueWindows.net est un sous domaine de .net, les sous-domaines étant liés entre eux par des délégations.

Il est attribué un noms DNS sur les réseaux TCP/IP, comme ceux des entreprise et/ou Internet, afin localiser les ordinateurs au moyen de noms conviviaux. DNS permet donc d’utiliser des noms faciles à retenir plutôt que des séries de chiffres indigestes Clignement d'œil
Par exemple,
http://87.98.160.135/, dans le cas d’une adresse IPv4, sera moins bien retenu que http://rueWindows.net/. Et pour une adresse IPv6, n’en parlons pas…

Lorsqu’un serveur hôte doit résoudre un nom de domaine, il s’adresse à des serveurs récursifs parcourant la hiérarchie du imagesystème de noms afin d’obtenir les bonnes réponses. Généralement au nombre de 2, primaires et secondaires, faisant autorité pour le domaine recherché.

Dans un autre cas, il sera utilisé non pas un nom de domaine mais son équivalent numérique. On parle alors de requête inversée.
Lorsque vous créez une zone de recherche inversée IP à l’aide du composant logiciel enfichable DNS, l’Assistant Nouvelle zone vous demande un ID de réseau, c’est-à-dire la partie de la plage d’adresses IP dont la zone de recherche inversée est responsable. Par exemple, si la zone de recherche inversée couvre seulement les adresses dans le sous-réseau de la plage 192.168.0.0 à 192.168.0.255, entrez 192.168.0. L’assistant crée alors le nom de la zone de recherche inversée en inversant l’ordre des blocs de chiffres et en ajoutant le résultat au nom de domaine « racine ». Par exemple, si vous entrez 192.168.0 dans l’Assistant Nouvelle zone, le nom de la zone de recherche inversée est alors 0.168.192.in-addr.arpa.

La configuration de zones de recherches inversées sont facultatives mais facilitent les vérifications de sécurité. Par exemple, la commande TraceRoute (TRACERT.EXE) utilise la recherche inversée.

Les RFC 1034 (Domain Names — Concepts and Facilities) et 1035 (Domain Names — Implementation and Specification) spécifiées par l’IETF régissent la plupart des protocoles clés de la norme DNS. Ces RFC sont continuellement étudiées et approuvées afin de faire évoluer cette norme en fonction des besoins.
Pour plus d’informations sur ces RFC,
suivez ce lien

Qu’en est-il avec les Services de domaine AD DS

Outre ce qui est écrit plus haut, le Serveur DNS a pour rôle d’assurer une bonne intégration et prise en charge des services de domaine Active Directory:
- Les
zones DNS peuvent être stockées dans des conteneurs de données des services de domaine,
- Le service Serveur DNS assure l’intégration à d’autres services comme WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Ces fonctionnalités des serveurs Windows vont au-delà des préconisations RFC,
- Le composant enfichable DNS de la console MMC apporte plus de facilité et de souplesse de l’administration par son interface graphique,
- Prise en charge du protocole de mises à jour dynamiques sécurisées des enregistrements de ressources pour les zones intégrées aux services de domaine,
- Les transferts de zones sont exécutés de manière incrémentielle afin de préserver la bande passante réseau,
- Le service serveur DNS étend sa configuration standard avec des
redirecteurs conditionnels pour ne transférer que des requêtes en fonction du nom de domaine spécifié dans la requête.

Si vous voulez intégrer le service Serveur DNS aux services de domaine Active Directory, vous pouvez installer le rôle DNS en même temps que celui des services de domaine Active Directory. Vous pouvez également installer le service DNS après l’installation des services de domaine Active Directory.

Plus d’informations sur DNS Server…

Avant de commencer l’installation du rôle DNS, vous devez connaitre certaines informations de base :

  • Adresse IP et nom d’hôte du ou des serveurs devant être résolus : messagerie, FTP, Web…
  • Tous les volumes disques doivent utiliser NTFS,
  • Les propriétés du protocole TCP/IP doivent :
    • utiliser une adresse IP statique,
    • spécifier une adresse de DNS préféré,
    • spécifier une adresse de DNS auxiliaire.

Installation du rôle DNS

Les services de domaine Active Directory nécessitent l’installation d’un Server DNS lors de la promotion en Contrôleur de domaine car ces services utilisent DNS pour localiser les ressources réseau. Lorsque vous installez un Contrôleur de domaine, vous pouvez installer le rôle DNS en même temps (recommandé), lire ce post

Depuis le tableau de bord du Gestionnaire de serveur, cliquez sur le lien Ajouter des rôles et des fonctionnalités ou bien dans la barre de menu, à droite, cliquez sur Gérer puis sur Ajouter des rôles et fonctionnalités. L’Assistant démarre; si vous ne désirez plus afficher cette page, cochez la case “Ignorer cette page par défaut”. Cliquez sur Suivant pour continuer…

DNS_0

Sélectionnez l’option Installation basée sur un rôle ou une fonctionnalité puis, cliquez sur Suivant

DNS_1

Sélectionnez votre server dans la liste (ici, c’est pratique, il n’y en a qu’un Clignement d'œil ) puis, cliquez de nouveau sur Suivant

DNS_2

Sélectionnez le rôle Serveur DNS, dans la liste, puis, cliquez sur Suivant

DNS1

L’Assistant est prêt pour installer le rôle. Cliquez sur Suivant...

DNS2

Après quelques sommaires informations sur DNS, cliquez une dernière fois sur Suivant puis, Installer pour installer le serveur DNS ainsi que ses outils de gestion.

DNS3

Que faire après cette installation ?

Si vous aviez dans l’idée de poursuivre l’installation d’autres rôles et passer à autre chose, il va falloir patienter un peu Clignement d'œil
Effectivement – vous devez vous en douter et l’avoir compris – un serveur DNS possède un rôle névralgique dans un réseau. Dans biens des cas, lorsqu’un réseau comporte des problèmes, généralement tout vient de DNS qui, au départ, a été négligé lors de son installation; mais tout ne vient pas nécessairement d’une mauvaise installation, heureusement.

Il faut donc procéder à plusieurs vérifications afin de contrôler d’une part la bonne intégration de DNS aux services de domaine et d’autre part son fonctionnement sans erreur; pour cela, vous pourrez vous aider, à mesure que vous procédez, de l’observateur d’évènements contenu dans le composant logiciel enfichable DNS (ou avec les outils d’administration Panneau de configuration\Système et sécurité\Outils d’administration) et de quelques outils indispensables.

Quels sont ces outils de vérification ?

  • IPCONFIG permet d’obtenir toutes les caractéristiques des connexions réseaux, de libérer ou de rétablir des connexions réseaux, gérer le  cache de la résolution DNS,
  • NETDOM permet, entre autre, de vérifier  les rôles de maitre d’opérations de votre Contrôleur de domaine,
  • NLTEST permet, entre autre, d’obtenir la liste des DC, connaitre le statut d’approbation et d’en tester les relations et l’état de réplication,
  • DCDIAG génère un rapport détaillé d’un fonctionnement anormal du serveur DNS
  • NSLOOKUP permet de diagnostiquer l’infrastructure du système de nom de domaine.

Exemple de tests

C:\Users\Administrateur.WS12REM84I716G>ipconfig /all

Configuration IP de Windows
   Nom de l’hôte . . . . . . . . . . : WS12REM84I716G
   Suffixe DNS principal . . . . . . : carignan.ruewindows.com
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: carignan.ruewindows.com

Carte Ethernet 1 :
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte D-Link DGE-528T Gigabit Ethernet
   Adresse physique . . . . . . . . . . . : 14-D6-4D-1D-01-58
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.5(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 192.168.0.254
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.5 
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Ethernet 2 :
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Contrôleur Realtek PCIe GBE Family
   Adresse physique . . . . . . . . . . . : 50-E5-49-B1-68-44
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.6(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 192.168.0.254
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.5 
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{0B29D02A-3E72-432F-A441-2B5231EDA54F} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Carte Tunnel Connexion au réseau local* 13 :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Carte Tunnel isatap.{F6FB11B7-63D9-41E8-8CFE-51031A9DB89E} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

C:\Users\Administrateur.WS12REM84I716G>netdom query FSMO
Contrôleur de schéma        WS12REM84I716G.carignan.ruewindows.com
Maître des noms de domaine  WS12REM84I716G.carignan.ruewindows.com
Contrôleur domaine princip. WS12REM84I716G.carignan.ruewindows.com
Gestionnaire du pool RID    WS12REM84I716G.carignan.ruewindows.com
Maître d’infrastructure     WS12REM84I716G.carignan.ruewindows.com
L’opération s’est bien déroulée.

C:\Users\Administrateur.WS12REM84I716G>nltest /server:WS12REM84I716G /dsgetdc:carignan.ruewindows.com
           Contrôleur de domaine : \\WS12REM84I716G.carignan.ruewindows.com
      Adresse :
\\192.168.0.5 
     GUID dom : ca02e2da-f8c8-43a2-b48e-56dbc49f31bb
     Nom dom : carignan.ruewindows.com
  Nom de la forêt : carignan.ruewindows.com
Nom de site du contrôleur de domaine : Default-First-Site-Name
Nom de notre site : Default-First-Site-Name
        Indicateurs : PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8
La commande a été correctement exécutée

Vérification d’une association Nom/Adresse IP interne :

C:\Users\Administrateur> nslookup
Serveur par dÚfaut :   ws12rem84i716g.carignan.ruewindows.com
Address:  192.168.0.5

> set q=srv
> _ldap._tcp.dc._msdcs.carignan.ruewindows.com
Serveur :   ws12rem84i716g.carignan.ruewindows.com
Address:  192.168.0.5

_ldap._tcp.dc._msdcs.carignan.ruewindows.com        SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ws12rem84i716g.carignan.ruewindows.com
ws12pat84i716g.carignan.ruewindows.com      internet address = 192.168.0.5

Vérification d’une association Nom/Adresse IP Web :

C:\Users\Administrateur.ws12rem84i716g> nslookup www.ruewindows.fr
Serveur :   _msdcs.carignan.ruewindows.com
Address:  192.168.0.5

Réponse ne faisant pas autorité :
Nom :    www.ruewindows.fr
Address:  87.98.160.135

Quelques conseils…

Ne pas utiliser une adresse IP de serveur où les services de traduction d’adresses réseau (NAT) et serveur DNS sont installés.
Ceci entraine les erreurs 407 et 408 dans l’observateur d’évènements DNS.
Comment régler ce souci ?
- Si vous êtes derrière un Freebox ou autre box opérateur ne pas utiliser le routeur (192.168.0.254) comme adresse de serveur DNS. Elle représente celle d’une passerelle… Cette situation entrainerait également des erreurs d’enregistrements de ressources (A ou AAAA, CNAME…) découvertes avec l’outil DCDIAG.EXE. Il en découle l’erreur 407 et 408 puisque les enregistrements de ressources ne peuvent pas être inscrits sur cette adresse de serveur.
- Serveur DNS et serveur NAT ne devraient pas être installés sur la même machine.
- Ne pas utiliser l’allocateur DHCP et les fonctionnalités de proxy DNS dans NAT.
- Configurer le serveur DNS pour qu’il n’écoute pas l’adresse (192.168.0.254 dans cet exemple) qui fonctionne pour NAT:

  • Depuis la Console MMC DNS, à l’aide d’un clic droit sur le serveur DNS, sélectionnez Propriétés,
  • Dans l’onglet Interfaces, section Ecouter sur, activez l’option Uniquement les adresses IP suivantes
  • Décochez la ou les cases des adresses IP que vous ne voulez pas que le serveur DNS écoute puis,
  • Cliquer sur OK pour fermer la fenêtre des Propriétés.

    - Eviter de redémarrer tous les serveurs DNS de l’entreprise en même temps.
    - Contrôler que le service Server DNS soit paramétré à "Automatique" et non "Manuel" car les services de domaine n’attendront pas son démarrage pour démarrer à leur tour.
    - Le Contrôleur de domaine démarre et doit pouvoir trouver le Serveur DNS.
    - Ce même contrôleur est en mesure de résoudre les enregistrements de ressources (A ou AAAA, CNAME…) pour chaque zone, qui ne devraient pas être manquantes, en double ou obsolètes.
    - Activer les mises à jour dynamiques sécurisées uniquement,
    - Signer les zones du Contrôleur de domaine avec DNSSEC,

    - Pour éviter un problème de disponibilité de serveur, coupler des unités d’onduleurs à ces serveurs et disposer le matériel dans des zones sécurisées,
    - Ces conseils ne sont pas exhaustifs Clignement d'œil mais c’est un bon début
    .

    Quelques liens bons à savoir :
    Plus d’informations sur les processus et interactions DNS:
    http://technet.microsoft.com/fr-fr/library/dd197552(v=ws.10).aspx
    Network Services Management Support Tools :
    http://technet.microsoft.com/fr-fr/library/cc737782%28v=ws.10%29.aspx
    Liste de vérifications DNS :
    http://technet.microsoft.com/fr-fr/library/cc759768(v=ws.10).aspx
    Utilisation de NSLookup :
    http://technet.microsoft.com/fr-fr/library/cc756097.aspx
    Installer un serveur DNS :
    http://technet.microsoft.com/fr-fr/library/cc782017.aspx

    Après traitement de tout ceci, votre premier serveur DNS intégré aux services de domaine devrait être à l’état correct. Clignement d'œil

    Bonne soirée.
    Patrice.

Comments are closed.

(c) 2014 - Patrice A. BONNEFOY - Microsoft MVP Windows Expert IT-Pro since 2005.