You are on page 1of 447
PRODUIT OFFICIEL DE FORMATION MICROSOFT 6238B Configuration et résolution des problèmes des services de domaine Active

PRODUIT

OFFICIEL

DE

FORMATION

MICROSOFT

6238B

Configuration et résolution des problèmes des services de domaine Active Directory ® Windows Server ® 2008

Volume 2

PRODUIT OFFICIEL DE FORMATION MICROSOFT 6238B Configuration et résolution des problèmes des services de domaine Active

N'oubliez pas d'accéder au contenu de formation supplémentaire du

CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

xv

Table des matières

Module 10 : Configuration du système DNS

Leçon 1 : Concepts, composants et processus DNS

10-4

Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS

10-26

Atelier pratique A : Installation du service DNS

10-39

Leçon 3 : AD DS, DNS et Windows

10-44

Leçon 4 : Configuration et administration avancées du système DNS

10-69

Atelier pratique B : Configuration avancée du système DNS

10-83

Module 11 : Administration des contrôleurs de domaine des services de domaine Active Directory® (AD DS)

Leçon 1 : Options d'installation des contrôleurs de domaine

11-4

Atelier pratique A : Installation des contrôleurs de domaine

11-33

Leçon 2 : Installation d'un contrôleur de domaine Server Core

11-41

Atelier pratique B : Installation d'un contrôleur de domaine Server Core

11-50

Leçon 3 : Gestion des maîtres d'opérations

11-55

Atelier pratique C : Transfert des rôles Maîtres d’opérations

11-74

Leçon 4 : Configuration de la réplication FS-R de SYSVOL

11-79

Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL

11-87

Module 12 : Gestion des sites et de la réplication Active Directory

Leçon 1 : Configuration des sites et des sous-réseaux

12-4

Atelier pratique A : Configuration des sites et des sous-réseaux

12-23

Leçon 2 : Configuration des partitions d'application et du catalogue global

12-27

Atelier pratique B : Configuration des partitions d'application et du catalogue global

12-42

Leçon 3 : Configuration de la réplication

12-48

Atelier pratique C : Configuration de la réplication

12-75

xvi

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 13 : Continuité du service d'annuaire

Leçon 1 : Surveillance d'Active Directory

13-4

Atelier pratique A : Surveillance des événements et des performances d'Active Directory

13-29

Leçon 2 : Gestion de la base de données Active Directory

13-48

Atelier pratique B : Gestion de la base de données Active Directory

13-66

Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine

13-74

Atelier pratique C : Sauvegarde et restauration d'Active Directory

13-89

Module 14 : Gestion de plusieurs domaines et forêts

Leçon 1 : Configuration des niveaux fonctionnels des domaines et des forêts

14-4

Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts

14-16

Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation

14-23

Atelier pratique B : Administration d'une relation d'approbation

14-70

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-1

Module 10

Configuration du système DNS

Table des matières :

Leçon 1 : Concepts, composants et processus DNS

Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS

Atelier pratique A : Installation du service DNS Leçon 3 : AD DS, DNS et Windows Leçon 4 : Configuration et administration avancées du système DNS Atelier pratique B : Configuration avancée du système DNS

10-4

10-26

10-39

10-44

10-69

10-83

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-2

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vue d'ensemble du module

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-2 Configuration et résolution des problèmes des servic es de

Windows® et les services Active Directory® dépendent fortement du système DNS (Domain Name System, ou Système de nom de domaine). Vous êtes très certainement familiarisé avec le système DNS car vous l'utilisez déjà en tant qu'informaticien qui assiste les utilisateurs, les applications, les services et les systèmes qui en dépendent. Dans ce module, vous allez découvrir comment implémenter DNS pour prendre en charge la résolution des noms au sein de votre domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de votre réseau intranet.

Objectifs

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

comprendre la structure, les rôles et le fonctionnement du système DNS ;

décrire les processus de résolution des noms de client et de serveur ;

installer le service DNS ;

gérer les enregistrements DNS ;

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-3

configurer les paramètres du serveur DNS ;

comprendre l'intégration entre AD DS et DNS ;

choisir un domaine DNS pour un domaine Active Directory ;

créer une délégation de zone pour un nouveau domaine Active Directory ;

configurer la réplication pour des zones intégrées à Active Directory ;

décrire l'objectif des enregistrements Service Locator (SRV) dans le processus

de localisation des contrôleurs de domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule ;

comprendre et configurer la résolution des noms en une partie ;

configurer les paramètres avancés du serveur DNS ;

auditer, gérer et dépanner le rôle de serveur DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-4

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Leçon 1

Concepts, composants et processus DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-4 Configuration et résolution des problèmes des servic es de

Le système DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leçon, vous allez revoir le rôle, la structure et le fonctionnement du système DNS. Vous allez également examiner de manière approfondie les processus utilisés pour résoudre les requêtes DNS. Bien que la plupart de ces informations puissent vous sembler familières, cette leçon permettra de s'assurer que vous connaissez parfaitement les concepts et la terminologie du système DNS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

comprendre la structure, les rôles et le fonctionnement du système DNS ;

décrire les processus de résolution des noms de client et de serveur ;

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-5

Pourquoi utiliser le système DNS ?

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-5 Pourquoi utiliser le système DNS

Points clés

DNS sert à répondre aux requêtes des clients qui demandent des informations sur les services et les systèmes distants. La plupart du temps, DNS sert à répondre à un client qui demande l'adresse d'un certain nom DNS.

Les utilisateurs, et donc les applications, ont tendance à préférer employer des noms pour faire référence à des systèmes. Les ordinateurs, pour leur part, se localisent mutuellement par leurs adresses IP. Le système DNS sert à convertir ou « résoudre » les noms en adresses. Par exemple, si un utilisateur affiche http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit

être converti pour obtenir l'adresse IP du serveur Web concerné. Le client interroge son serveur DNS et, suite à une série de processus qui seront expliqués tout au long de cette leçon, le serveur DNS renvoie l'adresse IP du serveur Web :

207.46.16.252.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-6

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Hiérarchie du système DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-6 Configuration et résolution des problèmes des servic es de

Points clés

Les noms utilisés dans le système DNS créent une hiérarchie, depuis une racine et en passant à travers une série d'espaces de noms appelés domaines pour atteindre un enregistrement individuel conduisant à un service ou un système (hôte). Pour les êtres humains, un nom tel que technet.microsoft.com se lit de gauche à droite, de sa partie la plus spécifique (le nom de l'hôte individuel), technet, jusqu'à sa partie la plus générique, com. Le nom peut être résolu en partant de la racine de l'espace de noms DNS jusqu'à la partie générique, le domaine du niveau supérieur (com), jusqu'au domaine plus générique (microsoft) pour arriver au nom d'hôte le plus spécifique (technet).

Les domaines du niveau supérieur (Top-level domains ou TLD) tels que .com sont réglementés de manière très stricte par les autorités qui régissent le réseau Internet. Il existe un nombre limité de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque pays possède également son propre TLD respectant sur les normes ISO, par exemple .us, .ca, .uk, .fr et .za.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-7

Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui est représentée par un point (« . »). Le point représentant la racine est généralement ignoré dans les noms DNS. Cependant, il est intéressant de savoir que le nom technet.microsoft.com pourrait être représenté plus précisément par technet.microsoft.com., avec son point final.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-8

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Zones

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-8 Configuration et résolution des problèmes des servic es de

Points clés

Pour qu'un serveur DNS puisse résoudre les requêtes des clients, par exemple en renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit posséder une base de données. Cette base de données est appelée zone. Une zone est une base de données qui prend en charge la résolution d'une certaine partie de l'espace de noms DNS, en commençant par un domaine spécifique tel que contoso.com.

Un serveur qui héberge une zone pour un domaine est qualifié de serveur faisant autorité pour ce domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-9

Enregistrements de ressource

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-9 Enregistrements de ressource Points clés

Points clés

Au sein d'une zone (la base de données DNS) se trouvent des enregistrements appelés Enregistrements de ressource ou RR (Resource Records).

Il existe plusieurs types d'enregistrements de ressource, notamment :

Enregistrements d'adresse (A ou AAAA) (également appelés Hôte) : ces enregistrements résolvent un nom en adresse IP. Ils sont utilisés dans la requête DNS standard que vous associez au système DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6.

Les enregistrements à nom canonique (CNAME) (également appelés Alias) :

ces enregistrements font correspondre un alias avec un autre nom complet. Les enregistrements d'alias vous permettent d'associer plusieurs noms à un seul serveur. Ils vous évitent de devoir mettre à jour manuellement chaque enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant référence au serveur par son nom et non son adresse) continueront de fonctionner.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-10

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Enregistrements de serveur de messagerie (MX) : l'enregistrement MX contient le nom du serveur de messagerie d'un domaine. Vous pouvez considérer l'enregistrement MX comme un type d'alias, mais l'alias est toujours appelé MX. Ainsi, quelle que soit la langue ou la convention d'appellation utilisée par un domaine, son serveur de messagerie peut toujours être localisé par une requête de MX.domain.

Enregistrements du Service de nom (NS) : ces enregistrements pointent vers les serveurs DNS faisant autorité pour un domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-11

Gestion des enregistrements de ressource

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-11 Gestion des enregistrements de ressource

Points clés

Les enregistrements des ressources d'une zone peuvent être créés et gérés manuellement par un administrateur.

Sinon, des mises à jour dynamiques peuvent être activées, au travers des systèmes capables d'inscrire leurs propres enregistrements DNS.

Si une zone est configurée pour les mises à jour dynamiques, il existe un risque de création d'enregistrements non autorisés. Par exemple, un individu peut créer un enregistrement appelé www et pointant vers un serveur autre que le serveur Web approprié pour un domaine. Il est alors question d'usurpation.

Pour réduire les risques d'usurpation, le système DNS de Windows Server prend en charge les mises à jour dynamiques sécurisées. Pour pouvoir actualiser la zone DNS, les clients doivent s'authentifier auprès du domaine et ne peuvent mettre à jour que leurs propres enregistrements DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-12

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Réplication d'une zone

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-12 Configuration et résolution des problèmes des servic es de

Points clés

La base de données DNS, ou zone, est un composant important de toute infrastructure réseau. Comme tous les autres services sensibles, chaque organisation doit s'efforcer de posséder deux serveurs DNS disponibles pour ses clients afin de bénéficier de la redondance.

La base de données DNS peut être stockée et répliquée dans plusieurs serveurs DNS de l'une des deux manières suivantes :

Comme les autres implémentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut écrire dans la zone : celui qui héberge la zone principale. Les autres serveurs DNS copient la zone et en créent une copie en lecture seule appelée zone secondaire. Le processus de copie de la zone est appelé transfert de zone. Tout serveur DNS hébergeant une zone secondaire a besoin d'autorisations pour accéder au serveur à partir duquel il copie la zone.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-13

Lorsque des zones DNS sont hébergées par des contrôleurs de domaine, vous avez la possibilité de stocker leur contenu dans Active Directory lui-même, ce qui crée une zone intégrée à Active Directory. Les données de zone sont répliquées avec la même méthode multiples maîtres que les autres données Active Directory. Ceci s'avère particulièrement important lorsque les mises à jour dynamiques sont activées. En effet, les clients inscriront leurs enregistrements avec leur principal serveur DNS, qui est interne à leur site. Toute zone peut également être répliquée de manière incrémentielle : seuls les enregistrements qui ont été modifiés sont répliqués. Cette méthode est nettement plus efficace que le transfert de zone traditionnel de la totalité du fichier.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-14

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Sous-domaines

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-14 Configuration et résolution des problèmes des servic es de

Points clés

Comme nous l'avons mentionné précédemment, toute zone prend en charge la résolution d'une partie spécifique de l'espace de noms DNS, commençant par un domaine tel que contoso.com. Vous pouvez créer des sous-domaines dans une partie de l'espace de noms DNS pour laquelle vous faites autorité. Par exemple, si vous gérez l'espace de noms contoso.com, vous pouvez créer un sous-domaine appelé europe.contoso.com.

Il existe trois options pour créer un sous-domaine tel que europe.contoso.com :

Sous-domaine : une zone démarre au niveau d'un domaine et peut contenir un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle comprend tous les enregistrements nécessaires pour la résolution de ce sous-domaine, et le serveur DNS fait autorité pour ce sous-domaine.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-15

Délégation : une délégation est un « lien » vers un sous-domaine, créé par un ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de noms faisant autorité pour ce sous-domaine. Tout enregistrement NS pointe vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si l'enregistrement NS pointe vers un nom, il doit également y avoir un enregistrement hôte (A) pour le serveur du domaine parent. Les enregistrements NS sont générés lorsque vous créez la délégation. Cependant, si vous devez changer les adresses IP ou les noms des serveurs de l'espace de noms, vous devez mettre les enregistrements NS à jour manuellement.

Zone de stub : une zone de stub est très similaire à une délégation. Cependant, les enregistrements NS qui pointent vers le serveur de noms sont mis à jour automatiquement dans la zone parente. Cela semble idéal pour gérer les sous-domaines hébergés dans des serveurs DNS distincts, et les zones de stub conviennent parfaitement dans de nombreux environnements. Toutefois, la mise à jour automatique des enregistrements NS exige que le port TCP 53 soit ouvert entre les serveurs de noms hôtes (parents) et tous les serveurs de noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous devez la remplacer par une délégation standard.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-16

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Placement des serveurs et des zones DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-16 Configuration et résolution des problèmes des servic es de

Points clés

Dans tout environnement contenant plusieurs domaines, vous pouvez décider de placer des zones et des serveurs DNS de manière à optimiser la résolution des noms pour les clients, le trafic de réplication et la surcharge administrative.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-17

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-17 À gauche de l'illustration, il

À gauche de l'illustration, il est possible de voir que la zone parente possède une délégation ou un domaine de stub qui pointe vers les serveurs de noms du domaine enfant. Les demandes d'enregistrements du domaine enfant sont résolues par le serveur DNS qui fait autorité pour ce domaine enfant. Les serveurs de noms peuvent se trouver en Europe afin de prendre en charge les requêtes des clients pour les serveurs et les services basés en Europe.

À droite de l'illustration, il est possible de voir que les serveurs DNS hébergent une seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure augmente le trafic de réplication entre les deux serveurs DNS. Cependant, quel que soit leur emplacement, les clients sont capables de résoudre les noms de tous les domaines à partir du serveur DNS qui fait autorité pour leur emplacement géographique.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-18

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Client DNS (Solveur)

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-18 Configuration et résolution des problèmes des servic es de

Points clés

Maintenant que vous savez comment l'espace des noms DNS est hébergé dans les zones des serveurs DNS et comment les domaines enfants sont pris en charge grâce à des délégations, des sous-domaines ou des zones de stub, vous êtes prêt à examiner en détail la manière dont un nom est résolu ou converti en adresse IP.

Lorsqu'une application cliente, telle que Microsoft® Internet Explorer®, doit se connecter à un hôte comme technet.microsoft.com, elle appelle l'API GetAddrInfo(), qui transmet le nom de l'hôte au service Client DNS.

Le service Client DNS commence par vérifier le cache de résolution DNS (base de données locale et gérée dynamiquement au niveau du client) pour savoir si ce nom a déjà été résolu précédemment. Le cache de résolution DNS est préchargé avec le contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque le cache est initialisé durant le démarrage du Client DNS et lorsque le fichier HOSTS est modifié. Dès qu'un nom est résolu avec succès, il est ajouté au cache de résolution DNS. Ainsi, la capacité du client DNS à résoudre les noms localement augmente avec le temps.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-19

Chaque enregistrement de ressource (RR) contient une valeur de durée de vie (TTL, time-to-live) qui détermine pendant combien de temps l'enregistrement va demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est retiré du cache.

Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu du cache de résolution DNS local, et la commande ipconfig /flushdns pour vider le cache et le recharger avec le contenu du fichier HOSTS.

Il est important de savoir que, si un client interroge un serveur DNS pour obtenir un enregistrement de l'hôte et que le serveur DNS renvoie une réponse négative, qui indique que l'enregistrement est introuvable, cette réponse négative est également mise en cache. Si vous créez un enregistrement hôte au niveau du serveur DNS et que vous réitérez la requête, le client échouera car il continue à récupérer cette réponse négative dans son cache jusqu'à ce qu'elle en soit supprimée. Dans ce cas, la commande ipconfig /flushdns peut servir à forcer le client à réinterroger le serveur DNS.

Vous pouvez utiliser la commande nslookup.exe pour interroger directement un serveur DNS, en contournant le cache de résolution DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-20

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Requête envoyée à un serveur DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-20 Configuration et résolution des problèmes des servic es de

Points clés

Si le service client DNS ne parvient pas à résoudre la requête à l'aide du cache de résolution DNS, il interroge le serveur DNS principal. La requête spécifie le type de l'enregistrement demandé (par exemple, une adresse, un hôte ou un enregistrement A) et le nom de l'enregistrement demandé (par exemple, technet.microsoft.com).

La requête envoyée au serveur DNS spécifie également si le client présente une requête itérative ou récursive. Les requêtes récursives sont les plus courantes. Elles sont envoyées par un client Windows à son serveur DNS. Les requêtes récursives demandent au serveur DNS de renvoyer une réponse définitive. Lorsqu'un serveur DNS reçoit une requête récursive, il interroge à son tour d'autres serveurs DNS à l'aide d'un processus qui sera décrit dans la prochaine section, jusqu'à ce qu'il soit en mesure de résoudre la requête de son client. Si le serveur DNS est incapable de résoudre la requête de son client, il renvoie une réponse négative, indiquant que le système de noms de domaine n'a aucun enregistrement correspondant à cette requête.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-21

Si le serveur DNS principal renvoie une réponse négative, indiquant que ce nom ne peut pas être résolu, le client DNS n'interroge pas le serveur DNS secondaire. Les autres serveurs DNS ne sont interrogés que si le serveur DNS principal n'est pas disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit en mesure de résoudre toutes les requêtes de tous les clients qui lui envoient des requêtes.

Les clients ont la possibilité d'envoyer une requête itérative. Le serveur DNS tente alors de résoudre la requête localement, à l'aide des processus qui seront décrits dans la prochaine section, et renvoie une résolution (le cas échéant) ou renvoie les informations les plus utiles dont il dispose.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-22

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Résolution par le serveur DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-22 Configuration et résolution des problèmes des servic es de

Points clés

Dès qu'il reçoit une requête d'un client, le serveur DNS commence par vérifier les zones hébergées localement. S'il y trouve une résolution, il la renvoie au client sous forme de réponse faisant autorité.

S'il n'y trouve aucune réponse, il vérifie alors ses Recherches mises en cache. À l'instar du client DNS, le serveur DNS construit un cache contenant les enregistrements des ressources déjà résolues. Ce cache est initialisé au démarrage du serveur et est alimenté par les enregistrements de ressource (RR) au fur et à mesure de leur résolution par les autres serveurs DNS. Chaque enregistrement est purgé dès que sa durée TTL est atteinte.

Si une résolution est découverte dans le cache, elle est renvoyée sous forme de réponse positive.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-23

Si aucune résolution n'est détectée et que le client a envoyé une requête itérative, le serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont il dispose. Par exemple, le serveur DNS n'a peut-être pas d'enregistrement RR mis en cache pour l'hôte demandé par le client, mais il peut en avoir un pour le serveur de noms du domaine parent de cet hôte. Dans le pire des cas, le serveur DNS peut indiquer au client de se référer à la liste des serveurs de noms de la racine : c'est-à- dire les serveurs DNS qui hébergent la racine (".") de l'espace de noms DNS. Le client accepte toute information renvoyée par le serveur DNS dans le cadre d'une requête itérative et exploite ces informations pour continuer à s'efforcer de résoudre le nom demandé.

Si le client a demandé une requête récursive, le serveur DNS poursuit son travail avec les processus décrits dans la prochaine section.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-24

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Récursivité

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-24 Configuration et résolution des problèmes des servic es de

Points clés

Si le client a demandé une requête récursive, le serveur DNS poursuit son traitement de la requête pour tenter de la résoudre. En réalité, le serveur DNS transmet la requête par proxy de la part du client. Il est alors question de récursivité.

Dans l'exemple de récursivité le plus extrême, le serveur DNS vient de démarrer et son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les serveurs de noms microsoft.com ou même .com.

Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la racine. Le serveur DNS possède la liste de ces serveurs de racine dans ses « indications de racine ». Il envoie alors au serveur DNS racine une requête itérative pour demander technet.microsoft.com.

Les serveurs DNS de la racine ne peuvent pas résoudre technet.microsoft.com. Cependant, ils possèdent dans leur zone les enregistrements NS des serveurs de noms du domaine .com. Ils renvoient alors ces informations en tant que référence. Voici un bon exemple de requête itérative : le serveur DNS racine renvoie sa meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-25

Ensuite, le serveur DNS envoie une autre requête itérative au serveur de noms du domaine .com. Là encore, le serveur ne parvient pas à résoudre technet.microsoft.com, mais il peut fournir des enregistrements NS pour microsoft.com comme référence.

Grâce à cette référence, le serveur DNS interroge le serveur de noms du domaine microsoft.com. Ce serveur DNS fait autorité (il héberge une zone) ou microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour l'enregistrement de l'hôte technet.microsoft.com.

Le serveur DNS met cette résolution en cache et la renvoie au client sous forme de réponse positive.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-26

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Leçon 2

Installation et configuration d'un système DNS dans un domaine AD DS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-26 Configuration et résolution des problèmes des servic es de

Maintenant que vous avez révisé les concepts, la terminologie et les processus du système DNS et de la résolution des noms, vous êtes prêt à installer et configurer le rôle de serveur DNS dans un domaine AD DS.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

installer le service DNS ;

ajouter des zones DNS ;

gérer les enregistrements DNS ;

configurer les paramètres du serveur DNS ;

configurer les paramètres du client DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-27

Installation et gestion du rôle de serveur DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-27 Installation et gestion du rôle

Points clés

Le rôle de serveur DNS n'est pas installé par défaut dans Windows Server 2008. Comme d'autres fonctionnalités, il est ajouté lorsqu'un serveur est configuré pour tenir ce rôle.

Vous pouvez installer le rôle de serveur DNS à l'aide du lien Ajouter un rôle qui apparaît dans le Gestionnaire de serveur.

Le rôle de serveur DNS peut également être ajouté automatiquement par l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrôleur de domaine vous permet d'ajouter le rôle de serveur DNS.

Lorsque le rôle de serveur DNS sera installé, vous disposerez du composant logiciel enfichable DNS Manager pour l'ajouter à vos consoles administratives. Ce composant logiciel enfichable est également ajouté automatiquement aux consoles Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS distant, ajoutez les outils Remote Server Administrative à votre station de travail administrative fonctionnant sous Windows Vista® SP1 ou une version plus récente.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-28

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

L'outil administratif de ligne de commande dnscmd.exe est également ajouté. DNSCmd peut servir à créer des scripts et à automatiser la configuration du système DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? à l'invite de commande.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-29

Création d'une zone

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-29 Création d'une zone Points clés

Points clés

Après l'installation d'un serveur DNS, vous pouvez commencer à lui ajouter des zones.

Pour créer une zone, cliquez du bouton droit sur le nœud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle zone vous guide tout au long de la procédure de création d'une zone.

Vous pourrez choisir parmi les trois types de zones :

Zone principale : le serveur DNS pourra écrire dans cette zone.

Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une zone hébergée par un autre serveur DNS. La zone secondaire est en lecture seule.

Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs de noms d'un autre domaine. Les zones de stub sont traités en détail plus loin dans ce module.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-30

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vous pouvez également choisir de stocker les données de la zone dans Active Directory si le serveur DNS est un contrôleur de domaine. Cela crée une zone intégrée à Active Directory, sujet qui sera traité ultérieurement dans ce module. Si vous désactivez cette option, les données de la zone seront stockées dans un fichier et non dans Active Directory.

Après avoir choisi le type de votre zone, vous êtes invité à saisir son nom ou nom complet du domaine de la zone.

S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises à jour, comme décrit à la prochaine section.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-31

Création d'une zone avec mise à jour dynamique

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-31 Création d'une zone avec mise

Points clés

Lorsque vous créez une zone, vous êtes invité à spécifier si les mises à jour dynamiques sont prises en charge. Les mises à jour dynamiques réduisent la charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et mettre à jour leurs propres enregistrements de ressource.

Les mises à jour dynamiques laissent la porte ouverte aux risques d'usurpation des enregistrements de ressource. Par exemple, un ordinateur peut inscrire un enregistrement appelé www et rediriger efficacement le trafic de votre serveur Web vers une adresse incorrecte.

Pour éliminer les risques d'usurpation, le service de serveur DNS de Windows Server 2008 prend en charge les mises à jour dynamiques sécurisées. Tout client doit s'authentifier avant de mettre ses enregistrements de ressource à jour. Ainsi, le serveur DNS sait si le client est un ordinateur autorisé à modifier les enregistrements de ressource.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-32

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Création d'enregistrements de ressource

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-32 Configuration et résolution des problèmes des servic es de

Points clés

Dans la plupart des environnements, le besoin d'ajouter des enregistrements de ressource à une zone se présentera souvent, même si les mises à jour dynamiques sont activées.

Pour créer un enregistrement de ressource, cliquez du bouton droit sur la zone concernée et choisissez le type d'enregistrement à créer. La boîte de dialogue qui apparaît contient les contrôles de saisie appropriés au type d'enregistrement que vous ajoutez.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-33

Configuration de serveurs DNS redondants

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-33 Configuration de serveurs DNS redondants

Points clés

Toute entreprise doit s'efforcer d'obtenir une zone qui puisse être résolue de manière faisant autorité par au moins deux serveurs DNS.

Si votre zone est intégrée à Active Directory, il vous suffit d'ajouter le rôle de serveur DNS à un autre contrôleur de domaine du même domaine comme premier serveur DNS. Les zones intégrées à Active Directory et la réplication de la zone DNS par AD DS sont décrites dans la prochaine leçon.

Si votre zone n'est pas intégrée à Active Directory, vous devez ajouter un autre serveur DNS et le configurer pour qu'il héberge une zone secondaire. N'oubliez pas qu'une zone secondaire est une copie en lecture seule de la zone principale.

La première étape de ce processus consiste à configurer la zone elle-même de sorte qu'elle fasse référence aux serveurs secondaires en tant que serveurs de noms de votre zone. Ajoutez les enregistrements NS des serveurs secondaires à la zone parente.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-34

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Un serveur secondaire va copier la zone à partir d'un autre serveur DNS, appelé le serveur maître. Le serveur maître n'a pas besoin d'être le serveur principal. Cependant, utiliser la zone principale comme serveur maître présente des avantages évidents. En effet, cela réduit la latence de réplication des mises à jour des enregistrements dans les serveurs secondaires.

Le serveur maître doit autoriser les serveurs secondaires à se connecter et à déclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de zone des propriétés de la zone au niveau du serveur maître, comme suit :

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-34 Configuration et résolution des problèmes des servic es de

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur secondaire. Le serveur secondaire est configuré pour répliquer la zone à partir du serveur maître.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-35

Configuration des redirecteurs

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-35 Configuration des redirecteurs Points clés

Points clés

Dans la leçon 1, vous avez appris qu'un serveur DNS tente de résoudre la requête d'un client à l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que la requête envoyée est récursive, le serveur DNS exécute alors la requête de la part du client.

La première méthode pour configurer un serveur DNS de sorte qu'il exécute efficacement une requête récursive consiste à lui ajouter des redirecteurs. Les redirecteurs sont des pointeurs vers d'autres serveurs DNS. En général, ces serveurs sont hébergés par votre opérateur Internet (ISP) ou il s'agit de serveurs DNS placés en amont dans l'infrastructure DNS de votre entreprise. Par exemple, votre domaine Active Directory peut utiliser le service Windows DNS Server pour résoudre les noms au sein de ce domaine, puis transmettre les requêtes à vos serveurs DNS, qui hébergent les zones des autres domaines de l'entreprise.

Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les propriétés IP d'une connexion réseau. Cette liste de serveurs DNS est utilisée par le service Client DNS. Elle n'est pas communiquée au service Serveur DNS. Les redirecteurs ont le même objectif que le service Serveur DNS.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-36

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Si aucun redirecteur n'est configuré, le serveur tente d'interroger un serveur de noms pour obtenir la racine de l'espace de noms DNS (« . »). Ces serveurs racine sont gérés en tant qu'indications de racine. Bien que les serveurs de noms DNS de la racine ne changent pas fréquemment, cela peut arriver parfois. Windows Update comprendra les mises à jour des indications de racine.

Il existe plusieurs mécanismes pour améliorer l'efficacité des requêtes récursives, notamment les redirecteurs conditionnels et les zones de stub. Ces options seront abordées dans la leçon 4.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-37

Configuration des clients

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-37 Configuration des clients Points clés

Points clés

Pour qu'un serveur DNS soit utile, des clients doivent être configurés pour l'interroger. Le client DNS est différent de tous les composants Active Directory du système d'exploitation Windows. Ainsi, un client ne suppose pas que son contrôleur de domaine est un serveur DNS et un client doit avoir au moins deux serveurs DNS configurés.

La configuration peut être établie dans la configuration IP du client, comme dans l'image d'écran suivante :

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-38

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-38 Configuration et résolution des problèmes des servic es de

La commande netsh.exe peut également servir à configurer le premier serveur DNS et les suivants pour une connexion réseau, comme dans l'exemple ci- dessous :

netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

Une autre méthode consiste à transmettre les serveurs DNS aux clients par le protocole DHCP (Dynamic Host Configuration Protocol) à l'aide de l'option DHCP scope option 6: DNS server.

N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas interrogés si le serveur DNS principal renvoie une réponse négative. Les autres serveurs DNS ne sont interrogés que si le serveur principal ne répond pas ou est déconnecté.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du système DNS

10-39

Atelier pratique A : Installation du service DNS

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-39 Atelier pratique A : Installation

Scénario

Vous êtes administrateur chez Contoso, Ltd. Vous avez récemment ajouté un second contrôleur de domaine à votre entreprise et vous souhaitez ajouter une redondance au serveur DNS qui héberge la zone du domaine. Actuellement, le seul serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accéder aux sites Web sur Internet. De plus, il vous a été demandé de configurer un sous- domaine pour prendre en charge la résolution des noms requise pour que l'équipe de développeurs puisse tester une application.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

10-40

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Exercice 1 : Ajout du rôle de serveur DNS

Dans cet exercice, vous allez ajouter le rôle de serveur DNS à l'ordinateur HQDC02, examiner la zone du domaine qui est automatiquement renseignée au niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-même comme son propre serveur DNS principal.

Les tâches principales de cet exercice sont les suivantes :

  • 1. Préparer l'atelier pratique.

  • 2. Ajout du rôle de serveur DNS

  • 3. Changement de la configuration serveur DNS du client DNS

  • 4. Examen de la zone de recherche directe du domaine

  • 5. Configuration de redirecteurs pour la résolution des noms Internet

  • Tâche 1 : Préparation de l'atelier pratique

    • 1. Démarrez 6238B-HQDC01-B.

    • 2. Attendez la fin du démarrage.

    • 3. Démarrez 6238B-HQDC02-B.

    • 4. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

  • Tâche 2 : Ajout du rôle de serveur DNS

    • 1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

    • 2. Ajoutez le rôle de serveur DNS à HQDC02.

    • 3. Fermez le Gestionnaire de serveur.

    • 4. Redémarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd. Cette opération n'est pas nécessaire dans un environnement de production, mais cela accélère le redémarrage des services et la réplication des enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

  • UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-41

    • Tâche 3 : Changement de la configuration serveur DNS du client DNS

      • 1. Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

      • 2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static 10.0.0.12 primary, puis appuyez sur Entrée.

      • 3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection" 10.0.0.11, puis appuyez sur Entrée.

  • Tâche 4 : Examen de la zone de recherche directe du domaine

    • 1. Exécutez le Gestionnaire DNS en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

    • 2. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe du domaine contoso.com.

  • Tâche 5 : Configuration de redirecteurs pour la résolution des noms Internet

  • Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et

    192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine

    complet du serveur affichera soit <Tentative de résolution

    ...

    >,

    soit <Résolution

    impossible>. Dans un environnement de production, vous configureriez les redirecteurs sur les serveurs DNS en amont au niveau d'Internet, généralement ceux fournis par votre opérateur Internet (ISP).

    Résultats : À la fin de cet exercice, vous aurez ajouté le rôle de serveur DNS à l'ordinateur HQDC02 et simulé la configuration de redirecteurs pour résoudre les noms DNS Internet.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-42

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Exercice 2 : Configuration de zones de recherche directe et d'enregistrements de ressource

    Dans cet exercice, vous allez ajouter une zone de recherche directe pour le domaine de développement de Contoso. Vous allez ensuite ajouter un hôte et un enregistrement CNAME à cette zone et vérifier le fonctionnement de la résolution des noms dans la nouvelle zone.

    Les tâches principales de cet exercice sont les suivantes :

    • 1. Créer une zone de recherche directe.

    • 2. Créer l'hôte et les enregistrements CNAME.

    • 3. Vérifier la résolution des noms.

    • Tâche 1 : Création d'une zone de recherche directe

    Créez une nouvelle zone de recherche directe appelée development.contoso.com. Il doit s'agir d'une zone principale, stockée dans Active Directory et répliquée dans tous les contrôleurs du domaine contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises à jour dynamiques.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-42 Configuration et résolution des problèmes des servic es de

    Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.

    • Tâche 2 : Création de l'hôte et des enregistrements CNAME

      • 1. Dans la zone development.contoso.com, créez un enregistrement hôte (A) pour APPDEV01 avec l'adresse IP 10.0.0.24.

      • 2. Créez un enregistrement CNAME, www.development.contoso.com, qui se résout en appdev01.development.contoso.com.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-43

    • Tâche 3 : Test de la résolution des noms

    À l'invite de commande, tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Examinez le résultat de la commande. Que vous indique-t-il ?

    Résultats : à la fin de cet exercice, vous aurez créé une nouvelle zone de recherche directe, development.contoso.com, avec un hôte et des enregistrements CNAME, et vérifié que les noms de cette zone sont bien résolus.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-43  Tâche 3 : Test

    Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez terminé cet atelier pratique car les paramètres configurés ici serviront dans le prochain atelier.

    Questions de contrôle des acquis

    Question : Si vous n'aviez pas configuré des redirecteurs dans HQDC02, quelles auraient été les conséquences pour les clients qui utilisent HQDC02 comme leur serveur DNS principal ?

    Question : Les clients auraient-ils été capables de résoudre les noms du domaine development.contoso.com si vous aviez choisi une zone DNS autonome plutôt qu'une zone intégrée à Active Directory ? Pourquoi cela se produirait-il ? Que devriez-vous faire pour résoudre ce problème ?

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-44

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Leçon 3

    AD DS, DNS et Windows

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-44 Configuration et résolution des problèmes des servic es de

    Vous avez appris à configurer DNS dans un environnement simple, à l'aide des nombreux paramètres par défaut qui prennent en charge les domaines Active Directory prêts à l'emploi. Dans cette leçon, vous allez en apprendre davantage sur les composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.

    Objectifs

    À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

    comprendre l'intégration entre AD DS et DNS ;

    choisir un domaine DNS pour un domaine Active Directory ;

    créer une délégation de zone pour un nouveau domaine Active Directory ;

    configurer la réplication pour des zones intégrées à Active Directory ;

    décrire la fonction des enregistrements SRV dans le processus d'emplacement

    des contrôleurs d'un domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-45

    AD DS, DNS et Windows

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-45 AD DS, DNS et Windows

    Points clés

    Les Services de domaine Active Directory, DNS et le système d'exploitation Windows sont intégrés et interdépendants de nombreuses manières. Dans cette leçon, vous allez examiner dans le détail chacune de ces interactions.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-46

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Intégration entre AD DS et l'espace de noms DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-46 Configuration et résolution des problèmes des servic es de

    Points clés

    Active Directory a besoin du système DNS, et tout domaine AD DS doit avoir un nom de domaine DNS. Le système DNS étant également utilisé en tant qu'espace de noms standardisé et disponible au niveau international, vous devez réfléchir soigneusement à l'emplacement dans lequel vous allez définir votre domaine AD DS au sein de l'espace de noms.

    Supposons que vous êtes administrateur chez Contoso, Ltd., qui possède le nom de domaine enregistré contoso.com et un site Web à l'adresse www.contoso.com. Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir l'un des éléments suivants :

    Le même nom de domaine que votre nom de domaine DNS externe :

    contoso.com. Si vous choisissez le même espace de noms, vous devez implémenter le DNS « split-brain », qui est décrit dans la prochaine section.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-47

    Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si vous utilisez un sous-domaine d'un nom de domaine enregistré, l'opération est facile car vous êtes le propriétaire de cette portion de l'espace de noms DNS. Toutefois, soyez prudent et ne vous aventurez pas trop profondément dans l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms de domaine complets bien plus fréquemment que vous ne l'imaginez, et un suffixe de domaine trop long rend laborieuse la saisie de chaque nom de domaine complet. De plus, les URL et les UNC ont des longueurs limites à ne pas dépasser et qui sont vite atteintes avec des suffixes DNS à rallonge.

    Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de domaine distinct pour votre domaine Active Directory, il est recommandé d'enregistrer le domaine de sorte qu'il ne puisse pas être usurpé par une autre entreprise. Vous devez vous assurer de conserver la propriété de cette portion de l'espace de noms DNS.

    Dans notre monde moderne de plus en plus connecté, les frontières entre réseau, intranet, extranet et Internet sont brouillées, voire pratiquement invisibles. Il devient de moins en moins possible de maintenir une distinction dans l'espace de noms, et cela pose des problèmes de valorisation. C'est pourquoi de nombreuses organisations choisissent le nom de domaine le plus familier, celui le plus étroitement associé à l'organisation et le plus facile à saisir : le nom de domaine public. Comme nous venons d'en parler et comme se sera mentionné dans la prochaine rubrique, vous devez suivre des étapes pour prendre cette configuration en charge. Cependant, le coût de cette procédure est généralement bien moindre par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez gérer la résolution des noms, la protection du périmètre et la sécurité. Vous devez donc produire un niveau d'effort administratif équivalent quel que soit votre choix d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie des utilisateurs de votre espace de noms.

    Au tout début de l'existence d'Active Directory, il était courant de suggérer ou même de conseiller l'utilisation d'un domaine de niveau supérieur personnalisé, tel que .msft ou même le TLD .local. Suite à l'évolution de notre monde en réseau, dont l'arrivée du protocole IP version 6 (IPv6) et l'hyper connectivité qui en a résulté, ces options doivent être envisagées uniquement après une étude approfondie de leur capacité à prendre en charge les besoins de votre entreprise, de leurs avantages et de leur coût en termes d'administration et d'assistance des utilisateurs.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-48

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    DNS Split-Brain

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-48 Configuration et résolution des problèmes des servic es de

    Points clés

    Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS également utilisé pour les connexions à votre réseau depuis le monde extérieur, vous devez vous assurer qu'il existe une séparation entre les zones DNS qui fournissent différentes informations au public et aux clients internes. Il est alors question de DNS split-brain.

    La zone DNS interne doit prendre fidèlement en charge le domaine AD DS, avec tous les enregistrements de ressource pour les serveurs, les clients et les services du domaine. Idéalement, elle autorisera les mises à jour dynamiques sécurisées et stockera ses données dans Active Directory lui-même.

    La zone DNS accessible de l'extérieur ne doit fournir aux clients externes que les enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette zone sera généralement beaucoup plus petite que celle qui assure la prise en charge du domaine en interne. La zone externe sera généralement mise à jour manuellement, et non dynamiquement. Le serveur DNS qui héberge la zone externe sera souvent placé derrière le pare-feu externe, avec uniquement le port 53 ouvert pour lui.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-49

    Vous aurez peut-être besoin d'enregistrements en double dans les deux zones. Si vos utilisateurs internes ont besoin d'accéder au site Web public, tel que www.contoso.com, cet enregistrement de ressource doit être présent dans la zone interne interrogée par les clients. N'oubliez pas que, le serveur DNS interne étant considéré comme faisant autorité pour la zone (comme le serveur externe), il renverra soit une résolution, soit une réponse négative, indiquant que l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde requête ou de requête itérative dans la zone externe. Vous devrez donc créer des enregistrements qui sont nécessaires en interne et en externe, tels que www, dans les deux zones.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-50

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Création d'une délégation pour un domaine Active Directory

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-50 Configuration et résolution des problèmes des servic es de

    Points clés

    Dans le Module 1, vous avez créé un nouveau domaine et une forêt Windows Server 2008 AD DS. Lorsque vous avez promu le contrôleur du domaine, vous avez reçu un message indiquant qu'il n'y avait aucune délégation pour le domaine contoso.com. Vous avez ignoré ce message et poursuivi l'établissement du domaine, avec le système DNS au niveau du contrôleur du domaine. Les clients configurés avec l'adresse IP du contrôleur de domaine (DC) pour leur serveur DNS interrogeront le DC et seront capables de résoudre les noms du domaine contoso.com. Toutefois, aucun client externe ne pourra résoudre les noms du domaine contoso.com car il n'y a pas de délégation : aucun enregistrement NS dans le domaine .com qui pointe vers votre serveur DNS faisant autorité.

    Ceci ne pose pas de problème pour notre cours car votre domaine est isolé comme une île : il est séparé du reste d'Internet et vous n'avez pas besoin de délégation.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-51

    Toutefois, au sein d'une forêt, il est important qu'il y ait des délégations entre un domaine parent et un domaine enfant si la zone du domaine enfant est hébergée dans des serveurs DNS distincts. Si le domaine enfant est appelé à être un sous-domaine de la zone existante, aucune délégation n'est nécessaire.

    Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, à l'arborescence des domaines, les clients de contoso.com doivent pouvoir résoudre les serveurs, les services et les autres enregistrements de europe.contoso.com afin de prendre en charge la réplication et l'authentification dans la forêt.

    Avant d'ajouter un domain enfant à l'arborescence ou une nouvelle arborescence à une forêt, vous devez créer une délégation dans le domaine parent ou dans le domaine racine de la forêt.

    Pour créer une délégation, cliquez du bouton droit sur la zone du domaine parent, puis choisissez Nouvelle délégation. Vous serez invité à saisir le nom des serveurs du nouveau domaine. Faites alors référence au serveur qui est ou sera le serveur DNS du domaine enfant.

    Pour créer une délégation pour une nouvelle arborescence de domaines ou pour le domaine racine de la forêt, créez d'abord une nouvelle zone dans la zone DNS racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite un enregistrement NS pour le nouveau domaine qui fait référence au nom DNS complet du contrôleur du domaine.

    Après avoir créé la délégation, vous êtes prêt à configurer le serveur qui sera le premier contrôleur du domaine enfant. Commencez par configurer son serveur DNS pour qu'il pointe vers le serveur DNS dans lequel vous créez la délégation.

    Installez le rôle DNS à l'aide du Gestionnaire de serveur, puis créez la zone principale du domaine enfant. Vous pouvez également utiliser l'Assistant Installation des services de domaine Active Directory (dcpromo.exe), qui peut installer DNS dans le cadre de l'installation d'AD DS.

    Après la création du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il s'utilise lui-même en tant que serveur DNS principal. En général, vous ajouterez le serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de stub pour le serveur DNS enfant. D'une manière ou d'une autre, vous devez faire en sorte que les systèmes du domaine enfant puissent résoudre les noms du domaine parent. Pour finir, dans la plupart des scénarios, il est conseillé d'utiliser une zone intégrée à Active Directory et qui prenne en charge les mises à jour dynamiques sécurisées pour le domaine enfant.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-52

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Zones intégrées à Active Directory

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-52 Configuration et résolution des problèmes des servic es de

    Points clés

    Dans la leçon 1, vous avez appris qu'un serveur DNS Windows est capable de stocker les données des zones dans la base de données AD DS lorsque le serveur DNS est un contrôleur de domaine AD DS. Ceci crée une Zone intégrée à Active Directory. Les avantages des zones intégrées à Active Directory sont importants :

    Mises à jour multimaître : à la différence des zones principales habituelles, qui ne peuvent être modifiées que par un seul serveur principal, tout contrôleur de domaine peut écrire dans les zones intégrées à Active Directory si elles y sont répliquées. Ceci retire un point de défaillance unique de l'infrastructure DNS. Il est particulièrement important dans les environnements géographiquement distribués qui utilisent des zones à mises à jour dynamiques. En effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir à se connecter à un serveur principal potentiellement éloigné.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-53

    Réplication des données d'une zone DNS par réplication AD DS : dans le Module 12, vous allez étudier les mécanismes de réplication efficaces et générateurs de topologie de la réplication AD DS. L'une des caractéristiques de la réplication d'Active Directory est la réplication au niveau des attributs, dans laquelle seuls les attributs modifiés son répliqués. Une zone intégrée à Active Directory peut tirer parti de ces avantages de la réplication Active Directory, au lieu de répliquer la totalité du fichier de la zone comme dans les modèles traditionnels du transfert de zones DNS.

    Mises à jour dynamiques sécurisées : une zone intégrée à Active Directory peut imposer des mises à jour dynamiques sécurisées.

    Sécurité granulaire : comme avec d'autres objets Active Directory, une zone intégrée à Active Directory vous permet de déléguer l'administration des zones, des domaines et des enregistrements de ressource en modifiant la Liste de contrôle d'accès (ACL) de l'objet.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-54

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Partitions d'application pour les zones DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-54 Configuration et résolution des problèmes des servic es de

    Points clés

    Toute zone intégrée à Active Directory stocke ses enregistrements dans la base de données AD DS. Ces enregistrements peuvent être stockés dans l'une des partitions suivantes :

    Partition DomainDNSZone : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de ce domaine.

    Partition ForestDNSZones : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de la forêt.

    Ces partitions par défaut sont créées lors de l'installation du système DNS et configurées durant l'installation d'AD DS. Vous pouvez utiliser l'outil de gestion du système DNS ou la commande dnscmd.exe pour créer des partitions après l'installation d'AD DS.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-55

    Domaine : le Domaine, qui contient également des enregistrements pour les objets, notamment les utilisateurs et les ordinateurs, est répliqué dans tous les contrôleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS étaient stockées dans le Domaine NC. Si vous avez des contrôleurs de domaine Windows 2000 qui sont également des serveurs DNS, vous devez utiliser cette option de réplication pour prendre ces systèmes en charge.

    Le choix de vos partitions dépend principalement de la topologie de réplication que vous allez sélectionner pour vos zones DNS. Bien sûr, la zone doit être répliquée dans un serveur DNS pour que ce dernier fasse autorité pour cette zone. Si un serveur DNS n'a pas de réplica de cette zone, il doit avoir un redirecteur ou une zone de stub pour exécuter les requêtes récursives demandant la résolution des noms de cette zone.

    Partition d'application personnalisée : si les partitions d'application par défaut n'offrent pas le modèle de réplication dont vous avez besoin pour prendre en charge votre infrastructure DNS, vous pouvez créer une partition d'application personnalisée, pour laquelle vous désignez les serveurs qui vont la répliquer.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-56

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Partitions d'application DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-56 Configuration et résolution des problèmes des servic es de

    Points clés

    Pour créer une partition d'application, utilisez la commande dnscmd.exe, comme dans l'exemple suivant :

    dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-57

    Vous pouvez modifier l'étendue de réplication d'une zone dans ses propriétés. Cliquez sur le bouton Changer accolé à Réplication, comme dans la figure suivante :

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-57 Vous pouvez modifier l'étendue de

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-58

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Mises à jour dynamiques

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-58 Configuration et résolution des problèmes des servic es de

    Points clés

    Par défaut, les systèmes Windows tentent d'inscrire leurs enregistrements avec leur serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via la Stratégie de groupe.

    Le service Client DHCP est celui qui exécute l'inscription, que l'adresse IP du client soit obtenue auprès d'un serveur DHCP ou quelle soit fixe. L'inscription se produit :

    Lorsque le client démarre et que le service Client DHCP est déjà démarré

    Lorsqu'une adresse IP est configurée, ajoutée ou modifiée dans toute

    connexion réseau Lorsqu'un administrateur exécute la commande ipconfig /registerdns

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-59

    Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est pas intégrée à Active Directory, cette opération peut exiger plusieurs itérations dans lesquelles le client identifie un serveur de noms, envoie une mise à jour et est rejeté car ce serveur de noms n'héberge qu'une zone secondaire. Ensuite, si la zone prend en charge les mises à jour dynamiques, le client atteint un serveur DNS autorisé à écrire dans cette zone. Il s'agit du serveur principal pour une zone standard, à base de fichier, ou de tout contrôleur de domaine qui est serveur de noms pour une zone intégrée à Active Directory.

    Si la zone est configurée pour les mises à jour dynamiques sécurisées, le serveur DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise à jour.

    Dans certaines configurations, vous préférerez probablement que les clients ne mettent pas leurs enregistrements à jour, même dans une zone à mises à jour dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les enregistrements de la part des clients. Par défaut, un client inscrit son enregistrement A (hôte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inversée). Les enregistrements PTR sont traités dans la leçon 4.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-60

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Chargement de zones en arrière-plan

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-60 Configuration et résolution des problèmes des servic es de

    Points clés

    Il se peut qu'une zone qui prend en charge un domaine AD DS devienne volumineuse, particulièrement si les enregistrements A des clients sont conservés dans un vaste domaine. Dans les précédentes versions de Windows, le service Serveur DNS prenait beaucoup de temps pour démarrer lorsqu'il devait charger une zone volumineuse.

    Windows Server 2008 charge les zones en arrière-plan. Cela permet au serveur DNS de commencer à répondre très rapidement aux requêtes. S'il reçoit une requête pour une zone qui n'est pas encore chargée, il s'efforce de la charger rapidement.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-61

    Enregistrements SRV

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-61 Enregistrements SRV Points clés Les

    Points clés

    Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur) résolvent les requêtes d'un service réseau. Cela permet aux clients de localiser un hôte qui fournit un service spécifique.

    Les enregistrements SRV sont utiles dans de nombreux scénarios :

    Lorsqu'un contrôleur de domaine doit répliquer des changements en

    provenance de ses partenaires Lorsqu'un ordinateur client doit s'authentifier dans AD DS

    Lorsqu'un utilisateur change son mot de passe

    Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire

    Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-62

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Tout enregistrement SRV adopte la syntaxe suivante :

    protocole.service.nom TTL classe type priorité poids port cible

    Voici un exemple d'enregistrement SRV :

    _ldap ._ tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
    _ldap
    ._
    tcp.contoso.com
    600 IN SRV
    0
    100
    389 hqdc01.contoso.com

    Les composants de l'enregistrement sont les suivants :

    Nom de service du protocole, tel que LDAP, offert par un contrôleur de domaine

    Valeur de la durée TTL, en secondes

    Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou

    INternet) Type : SRV

    Priorité et poids (aident les clients à choisir l'hôte à privilégier)

    Port sur lequel le service est offert par le serveur. Le port 389 est le port standard pour LDAP dans un contrôleur de domaine Windows.

    Cible, ou hôte du service (dans ce cas, il s'agit du contrôleur de domaine nommé hqdc01.contoso.com)

    Lorsqu'un processus client recherche un contrôleur de domaine, il peut interroger le système DNS pour obtenir un service LDAP. Cette requête renvoie les deux enregistrements (SRV et A) du ou des serv eurs qui fournissent le service demandé.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-63

    Démonstration : Enregistrements de ressource SRV inscrits par des contrôleurs de domaine AD DS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-63 Démonstration : Enregistrements de ressource

    Points clés

    Dans cette démonstration, votre instructeur va vous montrer les enregistrements SRV inscrits par un contrôleur de domaine dans la forêt contoso.com. Vous allez effectuer les tâches suivantes :

    Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits

    _tcp.contoso.com, qui dresse la liste de tous les contrôleurs du domaine

    _tcp.siteName

    sites.contoso.com,

    qui dresse la liste des contrôleurs de

    _msdcs.contoso.com, qui suit la trace des contrôleurs de domaine d'une forêt et que ceux-ci utilisent pour se localiser mutuellement

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-64

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Simuler une requête de client qui demande un contrôleur de domaine

    nslookup set type=srv _ldap tcp.contoso.com ._

    Découvrir comment les contrôleurs de domaine inscrivent leurs enregistrements de ressource dans une zone à mises à jour dynamiques. Supprimez un enregistrement SRV, puis arrêtez et redémarrez le service NetLogon. Le service NetLogon inscrit les enregistrements DC au démarrage.

    Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient les enregistrements qui doivent être inscrits manuellement si la zone ne prend pas en charge les mises à jour dynamiques

    Étapes de la démonstration

    • 1. Exécutez Gestion du service DNS avec des droits administratifs à l'aide du compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

    • 2. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

    • 3. Exécutez une invite de commande avec le compte administratif utilisé précédemment.

    • 4. Tapez nslookup, puis appuyez sur Entrée.

    • 5. Tapez set type=SRV, puis appuyez sur Entrée.

    6.

    Tapez _ldap

    ._

    tcp.contoso.com,

    puis appuyez sur Entrée.

    • 7. Basculez dans le Gestionnaire DNS.

    • 8. Développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp.

    • 9. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com, puis cliquez sur Supprimer.

      • 10. Revenez à l'invite de commande.

      • 11. Tapez net stop netlogon, puis appuyez sur Entrée.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-65

    • 12. Tapez net start netlogon, puis appuyez sur Entrée.

    • 13. Basculez dans le Gestionnaire DNS.

    • 14. Dans l'arborescence de la console, cliquez du bouton droit sur le nœud _tcp, puis choisissez Actualiser. Examinez l'enregistrement SRV de hqdc01.contoso.com.

    • 15. Ouvrez notepad.exe.

    • 16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config \netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entrée.

    • 17. Examinez les enregistrements SRV par défaut.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-66

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Emplacement des contrôleurs de domaine

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-66 Configuration et résolution des problèmes des servic es de

    Points clés

    Lorsqu'un client s'authentifie, il tente de localiser un contrôleur de domaine dans

    son site. Si ce client ne s'est pas authentifié auparavant, il interroge DNS pour

    obtenir _ldap

    tcp.NomDomaine,

    puis il récupère la liste de tous les contrôleurs de

    ._ ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier contrôleur qui répond est sélectionné pour la prochaine étape. Remarquez que, à ce stade, il est possible qu'un contrôleur d'un autre site réponde en premier.

    Le client tente alors de s'authentifier auprès de ce contrôleur de domaine. Le contrôleur examine l'adresse IP du client et la compare aux informations qu'il possède à propos des sites et des sous-réseaux. Si ce contrôleur ne fait pas partie du site du client, il indique au client quel site est le sien.

    Le client interroge alors DNS pour obtenir _ldap

    ._

    tcp.NomSite.

    nomDomaine, ce qui

    renvoie la liste des contrôleurs de domaine qui couvrent ce site. De nouveau, le client tente une liaison LDAP avec chacun de ces contrôleurs, et le premier qui répond est sélectionné. Le client s'authentifie alors auprès de ce contrôleur de domaine.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-67

    Le client stocke son appartenance à son site dans le Registre, et une affinité s'établit avec le contrôleur de domaine auprès duquel il s'est authentifié. La prochaine fois que ce client doit contacter un contrôleur, il commence par celui avec lequel une affinité s'est créée. Si ce contrôleur nst pas disponible, le client récupère les informations sur son site dans le Registre et interroge DNS pour obtenir

    _ldap

    tcp.nomSite.nomDomaine.

    ._ Ce processus est résumé dans la diapositive suivante :

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-67 Le client stocke son appartenance

    L'emplacement des contrôleurs de domaine sera abordé de nouveau dans le Module 12, où vous étudierez comment les enregistrements SRV et le processus de localisation des contrôleurs sert à vérifier l'authentification à un contrôleur efficace.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-68

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Zones DNS en lecture seule

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-68 Configuration et résolution des problèmes des servic es de

    Points clés

    Tout serveur DNS placé dans un Contrôleur de domaine en lecture seule (Read- Only Domain Controller, ou RODC) peut faire autorité pour des zones qui sont répliquées dans le RODC, et il peut résoudre les requêtes des clients qui utilisent ce RODC en tant que serveur DNS.

    Bien sûr, la caractéristique principale d'un RODC est qu'il ne peut effectuer aucune modification dans Active Directory. Ainsi, les enregistrements de ressource ne peuvent pas être ajoutés manuellement à la zone d'un RODC et les mises à jour dynamiques proposées par les clients ne sont pas acceptées.

    Les mises à jour dynamiques sont gérées en orientant les clients vers un DC inscriptible lorsqu'ils tentent d'envoyer une mise à jour à un RODC. Pour le RODC, il est utile d'inclure dès que possible dans la zone l'enregistrement de ressource mis à jour par le client. Ainsi, le RODC conserve la trace du client qui a tenté une mise à jour et la trace du DC inscriptible auquel ce client s'est référé. Après une courte attente, le RODC effectue une opération RSO (Réplication d'un objet unique), dans laquelle il récupère l'enregistrement DNS mis à jour pour le client auprès du DC inscriptible, en contournant les mécanismes de réplication habituels.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-69

    Leçon 4

    Configuration et administration avancées du système DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-69 Leçon 4 Configuration et administration

    Vous avez appris à configurer une implémentation DNS simple et vous avez découvert comment DNS prend en charge AD DS. Dans ce module, vous allez explorer certaines rubriques avancées de configuration et d'administration du système DNS.

    Objectifs

    À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

    comprendre et configurer la résolution des noms en une partie ;

    configurer les paramètres avancés du serveur DNS ;

    auditer, gérer et dépanner le rôle de serveur DNS.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-70

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Résolution des noms en une partie

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-70 Configuration et résolution des problèmes des servic es de

    Points clés

    En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir besoin de faire référence à un hôte par un nom en une seule partie. Par exemple, un utilisateur peut ouvrir Internet Explorer et accéder à l'adresse http://legalapp.

    Il est important que vous compreniez comment le service Client DNS fonctionne pour résoudre un nom en une partie.

    Tout d'abord, le client tente de résoudre le nom en une partie comme un nom complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajouté est choisi à l'aide de l'une des options suivantes : le premier qui est configuré dans les Paramètres TCP/IP avancés d'une connexion, et le second à l'aide de la Stratégie de groupe.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-71

    Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de sa connexion DNS, tel que ad.contoso.com. En utilisant le suffixe basé sur la connexion, vous pouvez éventuellement configurer un client pour qu'il utilise la dévolution des noms de domaine, qui signifie que, si le suffixe de connexion échoue, le client recommence avec le nom du domaine parent, qui serait contoso.com dans cet exemple. La dévolution s'interrompt à ce stade ; elle n'interroge pas DNS avec un nom de domaine du niveau supérieur (TLD).

    • Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de

    Ordre de recherche des suffixes DNS : vous pouvez spécifier les suffixes DNS qu'un client doit tenter. Il s'agit là de la méthode la plus simple avec la Stratégie de groupe. Si l'ordre de recherche des suffixes DNS est utilisé, il n'y a pas de dévolution. Vous devez désigner précisément les noms de domaine que le client doit tenter.

    Si le suffixe DNS n'offre pas de résolution, le client DNS abandonne et interroge DNS avec un nom en une partie. Si cela ne fonctionne pas, le système tente une résolution de nom NetBIOS, qui commence par envoyer une requête à un serveur Windows Internet Name Service (WINS). Si celle-ci échoue également, il a recours à une diffusion NetBIOS dans le segment local.

    Le client DNS n'a pas beaucoup de temps pour résoudre un nom. En réalité, après 12 secondes, la résolution échoue. À ce stade, il revient à l'application cliente de décider de la conduite à tenir. Cela signifie qu'il est possible que le client arrive à expiration avant que toutes les combinaisons de noms aient été tentées.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-72

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre en charge la résolution des noms en une partie : la zone GlobalNames. Il s'agit d'une zone spécialisée que vous créez dans vos serveurs DNS. En général, vous souhaiterez la répliquer dans la partition ForestDNSZones afin que tous les serveurs DNS de la forêt puissent y accéder. Cette zone contient des enregistrements CNAME avec des noms en une partie et leur résolution en noms complets.

    Lorsqu'un client envoie une requête en une partie, le serveur DNS peut la résoudre en récupérant l'enregistrement CNAME dans la zone GlobalNames, puis en recherchant l'enregistrement A approprié du nom complet.

    Pour utiliser GlobalNames, vous devez créer la zone GlobalNames, puis activer son usage dans les résolutions à l'aide de la commande dnscmd.exe. Pour plus d'informations, consultez l'article mentionné dans la section Lectures complémentaires.

    Lectures complémentaires

    Résolution des noms DNS en une partie

    http://go.microsoft.com/fwlink/?LinkId=168531

    Déploiement de la zone GlobalNames

    http://go.microsoft.com/fwlink/?LinkId=168532

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-73

    Résolution des noms extérieurs à votre domaine

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-73 Résolution des noms ext érieurs

    Points clés

    Il existe plusieurs moyens pour fournir la résolution des enregistrements DNS extérieurs à votre domaine, ceux pour lesquels vos serveurs DNS ne font pas autorité.

    Zone secondaire : la première option consiste à faire en sorte que les serveurs fassent autorité en hébergeant une zone secondaire du domaine externe. Ceci exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms vers la zone. Donc, cette option ne convient généralement pas pour les domaines externes de votre entreprise.

    Redirecteurs : les redirecteurs, traités à la leçon 2, sont des pointeurs vers des serveurs DNS en amont, des serveurs DNS fournis par votre opérateur ISP ou des serveurs DNS Internet. Votre serveur DNS peut envoyer des requêtes aux serveurs redirecteurs.

    Si vous choisissez de pointer vers un serveur DNS autre que celui qui est géré par vous ou votre opérateur ISP, il convient d'en demander l'autorisation avant d'envoyer des requêtes récursives à un serveur DNS tiers.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-74

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Indications de racine : les indications de racine pointent vers des serveurs de noms de la racine de l'espace de noms DNS (« . »). Tout serveur DNS possède la liste des serveurs racine. Cette liste est mise à jour par Windows Update, mais elle ne change pas souvent.

    Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les serveurs de noms qui doivent recevoir les requêtes de noms de domaine spécifiques. Tout redirecteur conditionnel crée un « raccourci direct » vers un serveur pour demander un domaine, et il n'a pas besoin d'envoyer des requêtes récursives à un redirecteur (non conditionnel), ni d'aller jusqu'à la racine de l'espace de noms DNS avec une indication de racine.

    Zone de stub : vous avez étudié les domaines de stub précédemment dans ce module, car ils peuvent être utilisés sous forme de délégation pour un domaine enfant. Les domaines de stub peuvent s'avérer très utiles pour résoudre les noms extérieurs à votre entreprise. N'oubliez pas que le principal avantage d'un domaine de stub est que le serveur DNS gère dynamiquement la liste des serveurs de noms de ce domaine. Vous pouvez considérer les zones de stub comme des redirecteurs conditionnels dynamiques. Le prix à payer est que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du domaine.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-75

    Zone de recherche inversée

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-75 Zone de recherche inversée Points

    Points clés

    Alors qu'une requête DNS typique demande l'adresse IP d'un nom d'hôte, une recherche inversée demande le nom d'hôte d'une adresse IP donnée.

    Tout nom complet est traité de droite à gauche, de la partie la plus générique (telle que .com) à la plus spécifique (telle que technet). Cependant, une adresse IP est plus générique à gauche : le premier octet est le plus générique et le dernier est le plus spécifique. Ainsi, pour envoyer une requête DNS avec une adresse IP, le client inverse l'ordre des octets et ajoute un nom de domaine réservé, in-addr.arpa.

    Donc, si un client veut connaître le nom d'hôte de l'ordinateur dont l'adresse IP est 10.0.1.34, il demande 34.1.0.10.in-addr.arpa.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-76

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Si vous vous rappelez de la hiérarchie du système de noms de domaine, vous savez que la racine est indiquée par un point (« . »), et en dessous se trouvent les domaines les plus génériques (domaines de niveau supérieur ou TLD). Au fur et à mesure que vous descendez dans la hiérarchie, les noms deviennent plus spécifiques. Le domaine in-addr.arpa est le TLD réservé aux recherches inversées. En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci suggère que DNS ne prend en charge que les masques de sous-réseau standard, où le masque de sous-réseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dans la totalité du réseau Internet, le serveur DNS Windows Server 2008 vous permet de créer des zones de recherche inversée en sous-réseau si vous en avez besoin.

    Comme les zones de recherche directe, les zones de recherche inversée ont des enregistrements de ressource (RR). L'enregistrement le plus générique dans une zone de recherche inversée est le Pointeur (PTR), dont le nom est défini sur la valeur du dernier octet de l'adresse IP d'un hôte et les données de l'enregistrement définies sur le nom complet de cet hôte.

    Comme les zones de recherche directe, les zones de recherche inversée prennent en charge les mises à jour dynamiques. Par défaut, lorsque le serveur DHCP Windows affecte une adresse IP à un client, il inscrit également l'enregistrement PTR de ce client.

    Les zones de recherche inversée ne sont pas obligatoires, mais sont recommandées. Certaines applications et certains services utilisent les recherches inversées en tant que vérification de sécurité, pour valider l'identité d'un requête provenant d'un client. L'application peut utiliser l'adresse IP du client pour rechercher son enregistrement PTR. Ensuite, elle peut valider la correspondance entre l'enregistrement A et l'hôte. En supposant que les mises à jour sécurisées sont en place, cela garantit que la requête provient bien d'un client autorisé.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-77

    Maintenance des zones et des serveurs DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-77 Maintenance des zones et des

    Points clés

    La gestion du rôle de serveur DNS est pratiquement automatique. Cependant, une fonctionnalité est importante pour le configurer dans une zone qui prenne en charge les mises à jour dynamiques : le nettoyage. Le nettoyage est le processus qui consiste à supprimer les enregistrements périmés. Il est important non seulement pour les enregistrements A des clients et des serveurs, mais également, et encore plus, pour les enregistrements SRV inscrits par des contrôleurs de domaine. Dans certains scénarios, il est possible d'avoir des enregistrements SRV qui font référence à des contrôleurs de domaine incorrects, déplacés ou supprimés. Le nettoyage assure leur suppression définitive.

    Pour les zones intégrées à Active Directory, vous pouvez implémenter le nettoyage au niveau des zones ou des serveurs. La boîte de dialogue des propriétés du serveur vous permet de définir ses paramètres de nettoyage et de péremption, qui sont des paramètres par défaut pour les zones intégrées à Active Directory héritant des propriétés du serveur. Vous pouvez remplacer les paramètres par défaut du serveur zone par zone à l'aide de la boîte de dialogue des propriétés d'une zone.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-78

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Pour les zones principales standard, vous devez définir le nettoyage au niveau des zones.

    Après avoir défini les limites temporelles après lesquelles le nettoyage des enregistrements est autorisé, vous devez effectuer le nettoyage réel. Pour faciliter cette opération de gestion, configurez le serveur pour un nettoyage automatique dans l'onglet Avancé de la boîte de dialogue Propriétés du serveur. Vous pouvez également déclencher le nettoyage manuellement en cliquant du bouton droit sur le serveur dans le composant logiciel enfichable Gestionnaire DNS.

    Parmi les autres tâches de maintenance parfois nécessaires pour le serveur se trouvent l'affichage et la purge du cache. Cela devient utile lorsque vous découvrez que les clients obtiennent des résolutions incorrectes d'un serveur pour des zones pour lesquelles il ne fait pas autorité. Vous pouvez afficher les Recherches mises en cache d'un serveur en cliquant sur le menu Affichage du composant logiciel enfichable Gestionnaire DNS et en sélectionnant Fonctionnalités avancées. Vous pouvez alors vider le cache du serveur, si nécessaire, en cliquant du bouton droit sur le nœud de ce serveur ou sur le nœud Recherches mises en cache dans l'arborescence de la console.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-79

    Test et dépannage des serveurs DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-79 Test et dépannage des serveurs

    Points clés

    Les événements DNS sont consignés dans le journal DNS, qui s'affiche dans le Gestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des événements. Comme pour les autres journaux d'événements de Windows Server 2008, vous pouvez centraliser la collecte des événements à l'aide d'abonnements, traités dans le Module 13. Il s'agit d'une pratique recommandée, car elle vous permet de surveiller depuis un emplacement central tout signe de dysfonctionnement dans votre infrastructure DNS.

    Parfois, il peut être utile d'effectuer la journalisation du débogage, qui consigne les détails des transactions DNS. Vous pouvez activer la journalisation du débogage dans la boîte de dialogue Propriétés du serveur.

    Dans cette même boîte de dialogue Propriétés du serveur, vous pouvez également exécuter des requêtes récursives et itératives à des fins de test. Ainsi, vous pouvez vérifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et les indications de racine fonctionnent comme prévu.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-80

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    L'intégration entre DNS et AD DS a été détaillée dans la leçon 3. La commande dcdiag.exe /test:DNS exécute une série de tests exhaustifs pour s'assurer que cette intégration est opérationnelle. Si vous suspectez un problème spécifique, vous pouvez effectuer des tests plus granulaires. Pour plus de détails, tapez dcdiag.exe /?.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-81

    Test et dépannage des clients DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-81 Test et dépannage des clients

    Points clés

    En fin de compte, DNS et le rôle de serveur DNS concernent la résolution des requêtes des clients. Parfois, vous devez résoudre les problèmes de satisfaction des clients et des composants de DNS.

    Pour dépanner le côté client du système DNS, vous pouvez utiliser les commandes suivantes.

    ipconfig /all : cette commande affiche la configuration IP du client, y compris ses serveurs DNS. Vérifiez que le client utilise les serveurs corrects, et que ces derniers sont accessibles.

    NSLookup : cette commande exécute directement des requêtes DNS. En général, un test avec NSLookup comprend les éléments suivants :

    set server=adresse IP

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-82

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Cette commande désigne le serveur DNS à interroger. Par défaut, il s'agit du serveur DNS principal du client. À la réception d'une réponse, NSLookup identifie le serveur qui a répondu. Si aucune zone de recherche inversée n'est disponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS, le nom du serveur DNS apparaît comme Inconnu, mais son adresse IP est identifiée. La prochaine ligne est la suivante :

    set type=type d'enregistrement

    Cette ligne définit le type d'enregistrements à interroger, par exemple SRV. Le paramètre par défaut est A (adresse/hôte). La dernière ligne est la suivante :

    enregistrement
    enregistrement

    Cela désigne l'enregistrement à interroger, généralement un nom de domaine complet lorsque la résolution d'un enregistrement A est testée.

    Ipconfig/displaydns : cette commande affiche le contenu du cache de résolution DNS dans le client.

    ipconfig /flushdns : cette commande purge le cache de résolution DNS du client.

    ipconfig /registerdns : cette command déclenche une mise à jour dynamique dans laquelle le client inscrit ses enregistrements A.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-83

    Atelier pratique B : Configuration avancée du système DNS

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Configuration du système DNS 10-83 Atelier pratique B : Configuration

    Scénario

    Vous êtes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez améliorer le fonctionnement et l'efficacité de votre infrastructure DNS en activant le nettoyage et en créant une zone de recherche inversée pour le domaine. Vous souhaitez également examiner les enregistrements qui permettent aux clients de localiser les contrôleurs de domaine. Pour finir, vous êtes chargé de configurer la résolution des noms entre contoso.com et le domaine d'une société partenaire, tailspintoys.com.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-84

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Exercice 1 : Activation du nettoyage des zones DNS

    Dans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimer les enregistrements de ressource périmés.

    Les tâches principales de cet exercice sont les suivantes :

    • 1. Préparer l'atelier pratique.

    • 2. Activer le nettoyage d'une zone DNS.

    • 3. Configurer les paramètres par défaut du nettoyage.

    • Tâche 1 : Préparation de l'atelier pratique Certains des ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelier pratique A. Toutefois, s'ils ont été arrêtés, terminez les Exercices 1 et 2 de l'Atelier pratique A avant de continuer car il existe des dépendances entre les Ateliers pratiques A et B.

      • 1. Démarrez 6238B-HQDC01-B.

      • 2. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.

      • 3. Ouvrez D:\Labfiles\Lab10b.

      • 4. Exécutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.

      • 5. Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.

      • 6. Fermez la fenêtre de l'Explorateur Windows, Lab10b.

      • 7. Démarrez 6238B-HQDC02-B.

      • 8. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

      • 9. Démarrez 6238B-TSTDC01-A.

        • 10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passe Pa$$w0rd.

        • 11. Démarrez 6238B-BRANCHDC01-B.

        • 12. Patientez jusqu'à la fin du démarrage de BRANCHDC01 avant de poursuivre.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-85

    • Tâche 2 : Activation du nettoyage d'une zone DNS

      • 1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

      • 2. Activez le nettoyage pour la zone contoso.com. Acceptez les paramètres par défaut pour les intervalles de nettoyage.

  • Tâche 3 : Configuration des paramètres par défaut du nettoyage

  • Configurez HQDC02 de sorte que, par défaut, le nettoyage soit activé pour toutes les zones. Acceptez les paramètres par défaut pour les intervalles de nettoyage.

    Résultats : à la fin de cet exercice, vous aurez configuré le nettoyage du domaine contoso.com et activé le nettoyage par défaut de toutes les zones.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-86

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Exercice 2 : Création de zones de recherche inversée

    Dans cet exercice, vous allez créé une zone de recherche inversée pour le domaine contoso.com.

    Les tâches principales de cet exercice sont les suivantes :

    • 1. Créer une zone de recherche inversée.

    • 2. Vérifier le fonctionnement d'une zone de recherche inversée.

    • Tâche 1 : Création d'une zone de recherche inversée

    Créez une zone de recherche inversée pour le réseau IPv4 10. Autorisez uniquement les mises à jour dynamiques sécurisées, et répliquez la zone dans tous les contrôleurs du domaine contoso.com.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-86 Configuration et résolution des problèmes des servic es de

    Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.

    • Tâche 2 : Vérification du fonctionnement d'une zone de recherche inversée

      • 1. Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

      • 2. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Notez que la première section du résultat de la commande, qui désigne le serveur DNS interrogé, indique l'adresse IP du serveur mais, à côté de Serveur, elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe ne peut pas résoudre l'adresse IP en nom.

      • 3. Basculez dans le Gestionnaire DNS.

      • 4. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous Zones de recherche inversée.

      • 5. Examinez les enregistrements de cette zone.

      • 6. Revenez à l'invite de commandes.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-87

    • 7. Tapez ipconfig /egisterdns, puis appuyez sur Entrée.

    • 8. Basculez dans le Gestionnaire DNS.

    • 9. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.

      • 10. Examinez les enregistrements de ressource qui sont apparus.

      • 11. Revenez à l'invite de commandes.

      • 12. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Notez que le serveur DNS interrogé à l'adresse 10.0.0.12 est désormais résolu par son nom.

    Résultats : à la fin de cet exercice, vous aurez créé une zone de recherche inversée et testé son fonctionnement.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-88

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Exercice 3 : Exploration de l'emplacement des contrôleurs de domaine

    Dans cet exercice, vous allez examiner les enregistrements de ressource qui permettent aux clients de localiser des contrôleurs de domaine.

    Les tâches principales de cet exercice sont les suivantes :

    • 1. Explorer le domaine _tcp.

    • 2. Explorer le domaine _tcp.brancha

    ._

    sites.contoso.com.

    • Tâche 1 : Exploration du domaine _tcp

    Examinez les enregistrements du domaine _tcp.contoso.com. Que représentent-ils ?

    • Tâche 2 : Exploration du domaine _tcp.brancha sites.contoso.com

    ._

    Examinez les enregistrements du domaine _tcp.brancha Que représentent-ils ?

    ._

    sites.contoso.com.

    Résultats : à la fin de cet exercice, vous aurez examiné les enregistrements SRV du domaine contoso.com.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Configuration du système DNS

    10-89

    Exercice 4 : Configuration de la résolution des noms pour des domaines externes

    Dans cet exercice, vous allez configurer la résolution des noms entre deux domaines entièrement distincts.

    Les tâches principales de cet exercice sont les suivantes :

    • 1. Configurer une zone de stub.

    • 2. Configurer un redirecteur conditionnel.

    • 3. Valider la résolution des noms pour des domaines externes.

    • Tâche 1 : Configuration d'une zone de stub

    Dans HQDC02, créez une zone de stub pour tailspintoys.com qui renvoie à l'adresse IPv4 10.0.0.31 pour le serveur maître.

    • Tâche 2 : Configuration d'un redirecteur conditionnel

      • 1. Dans TSTDC01, exécutez le Gestionnaire DNS en tant qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.

      • 2. Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie à l'adresse IPv4 10.0.0.11.

  • Tâche 3 : Validation de la résolution des noms pour des domaines externes

    • 1. Dans TSTDC01, ouvrez une invite de commande et tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.24.

    • 2. Basculez dans le Gestionnaire DNS et créez un enregistrement d'hôte (A) pour www.tailspintoys.com qui renvoie 10.0.0.143.

    • 3. Dans HQDC02, ouvrez une invite de commande et tapez nslookup www.tailspintoys.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.143.

  • Résultats : à la fin de cet exercice, vous aurez configuré la résolution des noms DNS entre les domaines contoso.com et tailspintoys.com.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    10-90

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 10-90 Configuration et résolution des problèmes des servic es de

    Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

    Questions de contrôle des acquis

    Question : Dans cet atelier, vous avez utilisé une zone de stub et un redirecteur conditionnel pour fournir la résolution des noms entre deux domaines distincts. Quelles autres options auriez-vous pu choisir ?

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-1

    Module 11

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    Table des matières :

    Leçon 1 : Options d'installation des contrôleurs de domaine

    11-4

    Atelier pratique A : Installation des contrôleurs de domaine

    11-33

    Leçon 2 : Installation d'un contrôleur de domaine Server Core

    11-41

    Atelier pratique B : Installation d'un contrôleur de domaine Server Core

    11-50

    Leçon 3 : Gestion des maîtres d'opérations

    11-55

    Atelier pratique C : Transfert des rôles de maître d'opérations

    11-74

    Leçon 4 : Configuration de la réplication DFSR du dossier SYSVOL

    11-79

    Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL

    11-87

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-2

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Vue d'ensemble du module

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-2 Configuration et résolution des problèmes des servic es de

    Les contrôleurs de domaine hébergent le service d'annuaire et exécutent les services qui assurent la gestion des identités et des accès dans une entreprise Windows®. À ce stade du cours, vous avez appris à prendre en charge les composants logiques et de gestion d'une infrastructure de service d'annuaire Active Directory® : utilisateurs, groupes, ordinateurs et Stratégie de groupe. Chacun de ces composants est stocké dans la base de données de l'annuaire et dans le volume SYSVOL des contrôleurs de domaine. Dans ce module, vous allez commencer à étudier les composants de niveau de service d'Active Directory, en commençant par les contrôleurs de domaine eux-mêmes. Vous apprendrez à ajouter des contrôleurs de domaine Windows Server® 2008 à une forêt ou un domaine, à préparer une forêt ou un domaine Windows Server 2003 pour son premier contrôleur de domaine Windows Server 2008, à gérer les rôles exécutés par les contrôleurs de domaine et à migrer la réplication du volume SYSVOL du Service de réplication de fichiers (FRS) utilisé dans les versions précédentes de Windows vers le mécanisme de Réplication du système de fichiers distribués (DFS) assurant une réplication plus robuste et plus facile à gérer.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-3

    Objectifs

    À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

    installer un contrôleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ;

    ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes d'interface graphique utilisateur ou de ligne de commande ;

    configurer un contrôleur de domaine sur Server Core ;

    comprendre et identifier les rôles de maître d'opérations ;

    gérer l'emplacement, le transfert et la cessation des rôles de maître d'opérations ;

    migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-4

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Leçon 1

    Options d'installation des contrôleurs de domaine

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-4 Configuration et résolution des problèmes des servic es de

    Au Module 1, « Présentation des Services de domaine Active Directory », vous avez utilisé l'Assistant Ajout de rôles du Gestionnaire de serveur pour installer les Services de domaine Active Directory (AD DS). Vous avez ensuite utilisé l'Assistant Installation des services de domaine Active Directory pour créer le premier contrôleur de domaine de la forêt contoso.com. Les contrôleurs de domaine étant essentiels pour l'authentification, il est fortement recommandé d'en utiliser au moins deux dans chaque domaine de votre forêt afin d'assurer un niveau suffisant de tolérance de panne en cas de défaillance de l'un d'entre eux. Vous serez peut- être également amené à ajouter des contrôleurs de domaine à des sites distants ou à créer de nouveaux domaines ou de nouvelles arborescences dans votre forêt Active Directory. Dans cette leçon, vous allez apprendre à utiliser trois méthodes (interface utilisateur, ligne de commande et sans assistance) pour installer des contrôleurs de domaine dans divers scénarios.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-5

    Objectifs

    À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

    installer un contrôleur de domaine à l'aide de l'interface Windows, des paramètres de ligne de commande de la commande dcpromo.exe ou d'un fichier de réponses pour une installation sans assistance ;

    ajouter des contrôleurs de domaine Windows Server 2008 dans un domaine ou une forêt doté(e) de contrôleurs de domaine Windows Server 2003 et Windows 2000 Server ;

    créer de nouveaux domaines et de nouvelles arborescences ;

    exécuter l'installation intermédiaire d'un contrôleur de domaine en lecture seule ;

    installer un contrôleur de domaine à partir d'un support d'installation afin de réduire la réplication réseau ;

    supprimer un contrôleur de domaine.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-6

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Installation d'un contrôleur de domaine avec l'interface Windows

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-6 Configuration et résolution des problèmes des servic es de

    Points clés

    L'installation d'un contrôle de domaine avec l'interface Windows comprend deux étapes majeures. D'abord, vous devez installer le rôle AD DS qui, comme vous l'avez étudié au Module 1 « Présentation des Services de domaine Active Directory », peut être effectué via l'Assistant Ajout de rôles du Gestionnaire de serveur. Lorsque l'installation du rôle AD DS a copié les fichiers binaires nécessaires au rôle sur le serveur, vous devez installer et configurer AD DS en lançant l'Assistant Installation des services de domaine Active Directory, à l'aide de l'une des méthodes suivantes :

    Cliquez sur Démarrer et tapez dcpromo dans le champ Rechercher. Cliquez ensuite sur OK. Une fois l'Assistant Ajout de rôles terminé, cliquez sur le lien Assistant Installation des services de domaine Active Directory.

    Lorsque le rôle AD DS a été ajouté, des liens s'affichent dans le Gestionnaire de serveur pour vous rappeler d'exécuter l'Assistant Installation des services de domaine Active Directory. Cliquez sur l'un de ces liens.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-7

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Administration des contrôleurs de domaine des Services de domaine Active

    Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server 2008 met en évidence le modèle à base de rôles et vous recommande d'ajouter le rôle AD DS, puis d'exécuter la commande Dcpromo.exe (l'Assistant Installation des services de domaine Active Directory). Vous pouvez cependant vous contenter d'exécuter Dcpromo.exe et, au cours de la première étape, l'Assistant s'apercevra que les fichiers binaires AD DS ne sont pas installés et ajoutera automatiquement le rôle AD DS.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-8

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Fichier de réponses et options d'installation sans assistance

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-8 Configuration et résolution des problèmes des servic es de

    Points clés

    Vous pouvez également ajouter ou supprimer un contrôleur de domaine au niveau de la ligne de commande, via l'installation sans assistance prise en charge par la version Windows Server 2008 de la commande dcpromo.exe. Les options de l'installation sans assistance fournissent les valeurs nécessaires à l'Assistant Installation des services de domaine Active Directory. Par exemple, l'option NewDomainDNSName spécifie le nom de domaine complet (FQFN) d'un nouveau domaine.

    Ces options peuvent être fournies à la ligne de commande en tapant dcpromo /OptionSansAssistance:valeur, par exemple, dcpromo /newdomaindnsname:contoso.com. Vous pouvez également fournir ces options dans un fichier de réponses d'installation sans assistance. Le fichier de réponses est un fichier texte qui contient un titre de section, [DCINSTALL], suivi des options et de leurs valeurs au format option=valeur. Le fichier suivant, par exemple, fournit l'option NewDomainDNSName :

    [DCINSTALL]

    NewDomainDNSName=contoso.com

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-9

    Le fichier de réponses est appelé en ajoutant son chemin d'accès dans le paramètre unattend, par exemple :

    dcpromo /unattend:"chemin d'accès du fichier de réponses"

    Les options du fichier de réponses peuvent être remplacées par des paramètres sur la ligne de commande. Par exemple, si l'option NewDomainDNSName est spécifiée dans le fichier de réponses et que le paramètre /NewDomainDNSName est utilisé sur la ligne de commande, la valeur de ce paramètre est prioritaire. Lorsque l'une des valeurs requises n'est définie ni dans le fichier de réponses, ni sur la ligne de commande, l'Assistant Installation des services de domaine Active Directory vous invite à définir les réponses. Vous pouvez donc utiliser le fichier de réponses pour automatiser partiellement l'installation, en fournissant un sous-ensemble de valeurs de configuration à utiliser pendant l'installation interactive.

    L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est exécutée depuis la ligne de commande de Server Core. Dans ce cas, la commande dcpromo.exe renvoie un code d'erreur.

    Pour obtenir la liste complète des paramètres que vous pouvez spécifier dans le cadre d'une installation sans assistance de AD DS, ouvrez une invite de commande élevée et tapez la commande suivante :

    dcpromo /?[:opération]

    opération correspond à l'un des éléments suivants :

    Promotion renvoie tous les paramètres utilisables lors de la création d'un contrôleur de domaine.

    CreateDCAccount renvoie tous les paramètres utilisables lors de la création d'un compte prédéfini pour un Contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller).

    UseExistingAccount renvoie tous les paramètres utilisables pour relier un nouveau contrôleur de domaine à un compte RODC prédéfini.

    Demotion renvoie tous les paramètres utilisables pour supprimer un contrôleur de domaine.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-10

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-10 Configuration et résolution des problèmes des servic es de

    Remarque : générez un fichier de réponses. Lorsque vous utilisez l'interface Windows pour créer un contrôleur de domaine, la page Résumé de l'Assistant Installation des services de domaine Active Directory vous permet d'exporter vos paramètres dans un fichier de réponses. Si vous devez créer un fichier de réponses à utiliser depuis la ligne de commande (par exemple, sur une installation Server Core), ce raccourci vous permet de créer un fichier de réponses contenant les options et les valeurs appropriées.

    Lectures complémentaires

    Les références complètes des paramètres de la commande dcpromo et des options d'installation sans assistance sont disponibles à l'adresse :

    http://go.microsoft.com/fwlink/?LinkId=168475

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-11

    Installation d'une nouvelle forêt Windows Server 2008

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Administration des contrôleurs de domaine des Services de domaine Active

    Points clés

    Le Module 1, « Présentation des Services de domaine Active Directory » présentait l'installation du premier contrôleur de domaine Windows Server 2008 dans une nouvelle forêt, via l'interface Windows. Dans ce module, vous avez étudié la procédure détaillée permettant d'ajouter le rôle AD DS à un serveur à l'aide du Gestionnaire de serveur, puis d'exécuter la commande Dcpromo.exe pour promouvoir le serveur en contrôleur de domaine. Lorsque vous créez un nouveau domaine racine dans une forêt, vous devez spécifier le nom DNS de ce domaine, son nom NetBIOS et les niveaux fonctionnels du domaine et de la forêt. Le premier contrôleur de domaine ne peut pas être en lecture seule et doit être un serveur de Catalogue global (GC). Si l'Assistant Installation des services de domaine Active Directory s'aperçoit qu'il est nécessaire d'installer et de configurer le système DNS, il le fait automatiquement.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-12

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Vous pouvez également utiliser un fichier de réponses en tapant dcpromo /unattend:"chemin d'accès du fichier de réponses" (celui contenant les options et les valeurs de l'installation sans assistance). L'exemple suivant contient les paramètres minimaux pour l'installation sans assistance d'un nouveau contrôleur de domaine Windows Server 2008 dans une nouvelle forêt :

    [DCINSTALL] ReplicaOrNewDomain=domain NewDomain=forest NewDomainDNSName=nom DNS complet DomainNetBiosName=nom NetBIOS du domaine ForestLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} DomainLevel={0=Windows Server 2000 Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} InstallDNS=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

    Vous pouvez également spécifier un ou plusieurs paramètres et valeurs d'installation sans assistance sur la ligne de commande. Par exemple, si vous ne voulez pas du mot de passe du Mode de restauration des services d'annuaire dans le fichier de réponses, ne renseignez pas l'entrée et spécifiez le paramètre /SafeModeAdminPassword:mot de passe lorsque vous exécutez la commande dcpromo.exe.

    Vous pouvez également inclure toutes les options sur la ligne de commande elle- même. L'exemple suivant crée le premier contrôleur de domaine d'une nouvelle forêt dans laquelle vous n'envisagez pas d'installer de contrôleurs de domaine Windows Server 2003 :

    dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:contoso.com /DomainNetbiosName:contoso /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-13

    Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Administration des contrôleurs de domaine des Services de domaine Active

    Points clés

    Si vous avez une forêt existante dotée de contrôleurs de domaine exécutant Windows Server 2003 ou Windows 2000 Server, vous devez les préparer avant de créer votre premier contrôleur de domaine Windows Server 2008.

    La commande ADPrep permet de préparer Active Directory à un contrôleur de domaine exécutant une version de Windows Server plus récente que celle exécutée par les contrôleurs de domaine existants dans la forêt ou le domaine. Adprep.exe est un outil de ligne de commande inclus dans le disque d'installation de chaque version de Windows Server. Adprep.exe exécute les opérations à effectuer dans un environnement Active Directory existant avant de pouvoir ajouter un contrôleur de domaine fonctionnant sous cette version de Windows Server.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-14

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Les paramètres de la commande Adprep.exe exécutent diverses opérations qui préparent l'environnement Active Directory existant à un contrôleur de domaine exécutant une version plus récente de Windows Server. Toutes les versions de la commande Adprep.exe n'exécutent pas les mêmes opérations, mais les différents types d'opérations incluent généralement les suivants :

    mise à jour du schéma Active Directory ;

    mise à jour des descripteurs de sécurité ;

    modification des listes de contrôle d'accès (ACL) des objets Active Directory et des fichiers du dossier partagé SYSVOL ;

    création de nouveaux objets, selon les besoins ;

    création de nouveaux conteneurs, selon les besoins.

    Pour préparer la forêt au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit :

    • 1. Ouvrez une session sur le contrôleur de schéma en tant que membre des groupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine. La leçon 3 présente les maîtres d'opérations et la procédure qui permet d'identifier le contrôleur de domaine correspondant au contrôleur de schéma.

    • 2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du contrôleur de schéma.

    • 3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.

    • 4. Tapez adprep /forestprep et appuyez sur ENTRÉE.

    Patientez jusqu'à la fin de l'opération. Dès que les modifications sont répliquées dans toute la forêt, vous pouvez continuer à préparer les domaines pour Windows Server 2008.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-15

    Pour préparer un domaine au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit :

    • 1. Ouvrez une session sur le maître d'opérations de l'infrastructure du domaine en tant que membre du groupe Administrateurs du domaine. La leçon 3 décrit la procédure qui permet d'identifier le contrôleur de domaine correspondant au maître d'opérations de l'infrastructure.

    • 2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du maître d'infrastructure.

    • 3. Ouvrez une invite de commande et placez-vous dans le dossier adprep.

    • 4. Tapez adprep /domainprep /gpprep et appuyez sur ENTRÉE.

    Sous Windows Server 2003, un message peut vous signaler que les mises à jour étaient inutiles. Vous pouvez ignorer ce message.

    Autorisez la réplication de la modification dans toute la forêt avant d'installer un contrôleur de domaine exécutant Windows Server 2008.

    Pour préparer AD DS au premier contrôleur de domaine en lecture seule (RODC), procédez comme suit :

    • 1. Ouvrez une session sur un ordinateur quelconque en tant que membre du groupe Administrateurs de l'entreprise.

    • 2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier de l'ordinateur.

    • 3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.

    • 4. Tapez adprep /rodcprep et appuyez sur ENTRÉE.

    RODCPREP, à tout moment. Vous pouvez également exécuter la commande adprep /rodcprep à tout moment dans une forêt Windows 2000 Server ou Windows Server 2003. Cette commande ne doit pas obligatoirement être exécutée avec /forestprep. Vous devez toutefois l'exécuter et autoriser la réplication de ses modifications dans toute la forêt avant d'installer le premier contrôleur de domaine en lecture seule.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-16

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Lectures complémentaires

    Exécution de la commande Adprep.exe :

    http://go.microsoft.com/fwlink/?LinkId=168477

    Commande ADPrep :

    http://go.microsoft.com/fwlink/?LinkId=168478

    Windows Server 2008 : Annexe des modifications apportées à la commande Adprep.exe pour la prise en charge de AD DS :

    http://go.microsoft.com/fwlink/?LinkId=168479

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-17

    Installation d'un contrôleur de domaine supplémentaire dans un domaine

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT Administration des contrôleurs de domaine des Services de domaine Active

    Points clés

    Il est possible d'ajouter d'autres contrôleurs de domaine en installant AD DS et en lançant l'Assistant Installation des services de domaine Active Directory. Vous êtes dans ce cas invité à choisir la configuration du déploiement, à saisir des informations d'identification réseau, à sélectionner un domaine et un site pour le nouveau contrôleur de domaine et à configurer le contrôleur de domaine avec d'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrôleur de domaine en lecture seule (RODC). Les étapes restantes sont les mêmes que pour le premier contrôleur de domaine : configuration des emplacements de fichiers et du mot de passe administrateur de restauration des services d'annuaire.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-18

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Lorsqu'un domaine comprend un contrôleur de domaine et que vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil de l'Assistant Installation des services de domaine Active Directory, vous pouvez configurer les options avancées, notamment :

    Installation à partir du support : par défaut, un nouveau contrôleur de domaine réplique toutes les données de toutes les partitions de l'annuaire qu'il hébergera à partir d'autres contrôleurs de domaine pendant l'exécution de l'Assistant Installation des services de domaine Active Directory. Pour améliorer les performances de l'installation, en particulier dans le cas de liaisons lentes, vous pouvez utiliser le support d'installation créé par les contrôleurs de domaine existants. Ce support d'installation est une forme de sauvegarde. Le nouveau contrôleur de domaine est capable de lire les données directement à partir du support d'installation, puis il ne réplique que les mises à jour issues d'autres contrôleurs de domaine. L'Installation à partir du support (IFM) est détaillée à la section « Installation des services de domaine Active Directory à partir du support ».

    Contrôleur de domaine source : si vous voulez désigner le contrôleur de domaine à partir duquel le nouveau contrôleur de domaine réplique ses données, cliquez sur Utiliser ce contrôleur de domaine spécifique.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-18 Configuration et résolution des problèmes des servic es de

    Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous Windows Server 2003, la commande dcpromo /adv permettait de définir des options d'installation avancées. Le paramètre adv est toujours pris en charge. Il présélectionne l'option Utiliser l'installation en mode avancé de la page d'accueil.

    Pour utiliser la commande Dcpromo.exe avec des paramètres de ligne de commande pour spécifier des options d'installation sans assistance, vous pouvez utiliser les paramètres minimaux illustrés dans l'exemple suivant :

    dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-19

    Si vous n'êtes pas connecté au serveur avec des informations d'identification de domaine, spécifiez également les paramètres domaineUtilisateur et nomUtilisateur. Voici un fichier de réponses minimal pour ajouter un contrôleur de domaine supplémentaire dans un domaine existant :

    [DCINSTALL] ReplicaOrNewDomain=replica ReplicaDomainDNSName=nom complet du domaine à joindre UserDomain=nom complet du domaine du compte utilisateur UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spécifié par UserName (* pour l'invite) InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-20

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Installation d'un nouveau domaine enfant Windows Server

    2008

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 11-20 Configuration et résolution des problèmes des servic es de

    Points clés

    Si vous avez déjà un domaine existant, vous pouvez créer un nouveau domaine enfant en créant un contrôleur de domaine Windows Server 2008. Avant d'effectuer cette opération, toutefois, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008 ».

    Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine Active Directory, puis cliquez sur Forêt existante et Créer un nouveau domaine dans une forêt existante dans la page Choisissez une configuration de déploiement. Vous êtes alors invité à sélectionner le niveau fonctionnel du domaine. Comme il s'agit du premier contrôleur du domaine, il ne peut pas être en lecture seule et ne peut pas être installé à partir du support. Si vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil, l'Assistant présente la page Contrôleur de domaine source qui vous permet de définir le contrôleur de domaine à partir duquel s'effectuera la réplication de la configuration et des partitions du schéma.

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

    11-21

    La commande dcpromo.exe permet de créer un domaine enfant avec les options minimales illustrées dans la commande suivante :

    dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:child /ParentDomainDNSName:contoso.com /newDomainDnsName:subsidiary.contoso.com /childName:subsidiary /DomainNetbiosName:subsidiary /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

    Ces mêmes paramètres minimaux se reflètent dans le fichier de réponses suivant :

    [DCINSTALL] ReplicaOrNewDomain=domain NewDomain=child ParentDomainDNSName=nom complet du domaine parent UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine enfant) Password=mot de passe de l'utilisateur spécifié par UserName ou * pour l'invite ChildName=préfixe en une partie du domaine (le nom complet du domaine enfant sera NomEnfant.NomCompletDomaineParent) DomainNetBiosName=nom NetBIOS du domaine DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau actuel de la forêt) InstallDNS=yes CreateDNSDelegation=yes DNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de créer

    une délégation DNS, si différent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

    UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT

    11-22

    Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

    Installation d'une nouvelle arborescence de domaine dans une forêt