Академический Документы
Профессиональный Документы
Культура Документы
Le rle serveur DNS est un composant essentiel d'une infrastructure de domaine Windows Server 2008. Cette leon fournit des informations sur le rle DNS et sur la manire dont l'espace de noms DNS fonctionne. Elle fournit galement des dtails sur les modifications apportes au rle DNS pour Windows Server 2008 et identifie les lments prendre en compte quant son dploiement.
L'acronyme DNS (Domain Name System) dsigne un service de rsolution de noms qui permet de rsoudre des noms en nombres. Le service DNS est une base de donnes distribue hirarchique. Cela signifie que la base de donnes est spare logiquement, ce
qui permet de nombreux serveurs diffrents d'hberger la base de donnes mondiale des noms DNS.
Comment le service DNS prend en charge les bases du schma de noms Internet
Le service DNS est un service international qui vous permet de taper un nom de domaine (par exemple, Microsoft.com), que l'ordinateur rsout en adresse IP. L'avantage rside dans le fait que les adresses IPv4 peuvent tre longues et difficiles mmoriser (par exemple, 207.46.197.32), alors qu'il est en gnral plus facile de se souvenir d'un nom de domaine. l'origine, un seul fichier sur Internet contenait la liste de tous les noms de domaine et leurs adresses IP correspondantes. Cette liste est rapidement devenue trop longue grer et distribuer. Le service DNS a alors t dvelopp pour rsoudre les problmes lis l'utilisation d'un fichier unique. Avec l'adoption de la norme IPv6, le service DNS deviendra encore plus crucial parce que les adresses IPv6 (par exemple, 2001:0:4136:e38c:384f:3764:b59c:3d97 ) sont plus complexes que les adresses IPv4.
Comment le service DNS prend en charge les bases du schma de noms de domaine Active Directory d'une entreprise
Le service DNS est charg de rsoudre les ressources dans un domaine de service d'annuaire Active Directory. Vous devez installer le rle DNS afin d'installer Active Directory. Le service DNS fournit des informations aux clients de station de travail pour leur permettre de se connecter au rseau. Il rsout les ressources du domaine telles que les serveurs, les stations de travail, les imprimantes et les dossiers partags. Un serveur DNS configur incorrectement peut tre la source de nombreux problmes Active Directory.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Vue d'ensemble de DNS Prsentation des zones et du transfert de zone
L'espace de noms DNS facilite la manire dont un client DNS localise un ordinateur. Il s'organise de manire hirarchique ou en couches afin de distribuer des informations via de nombreux serveurs.
Domaine racine
Le domaine racine est reprsent par un point (.) que vous ne tapez gnralement pas dans un navigateur Web parce qu'il est implicite. La prochaine fois que vous taperez une adresse sur un ordinateur, vous pourrez essayer d'ajouter le point la fin (par exemple, www.microsoft.com.). Il existe 13 serveurs de domaines racines universels.
d'enregistrement Internet. De nombreux domaines de second niveau sont rgis par des rgles spciales qui stipulent quelles personnes, qu'elles soient physiques ou morales, peuvent enregistrer un nom de domaine. Par exemple, les associations but non lucratif peuvent utiliser .org.
Sous-domaine
Le sous-domaine est rpertori avant les domaines de second niveau et de niveau suprieur. Par exemple, www dsigne un sous-domaine dans le domaine www.microsoft.com. Les sous-domaines sont dfinis dans le serveur DNS de l'organisation qui dtient le serveur DNS de second niveau.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Planification de l'espace de nom DNS Designing a DNS Namespace (en anglais)
La fonction du service WINS (Windows Internet Name Service) dans une infrastructure rseau est de rsoudre les noms NetBIOS en adresses IP pour garantir l'efficacit des communications entre des systmes et des applications qui continuent utiliser des noms uniques. Les anciennes versions des systmes d'exploitation Microsoft (et certaines autres applications) continuent utiliser ce type de rsolution, comme le font les employs d'une organisation pour se rattacher des ressources, telles que des serveurs Web internes. Le service WINS reste donc disponible, mais il sera supprim dans les prochaines versions de Windows Server. Aprs le retrait du service WINS, un nouveau type de zone DNS (Domain Name System) sera disponible et pourra tre rpliqu entre des serveurs DNS Windows Server 2008 pour rsoudre les noms d'espace de noms uniques. Vous vous rendrez compte de quelques-uns des avantages de l'utilisation de Windows Server 2008 au travers des nouvelles fonctionnalits incluses pour le rle serveur DNS. Ces fonctionnalits comprennent le chargement en arrire-plan des zones, la prise en charge de la norme IPv6 et des contrleurs de domaine en lecture seule, ainsi que les noms uniques globaux.
Controller). Les stagiaires doivent comprendre qu'il s'agit d'un nouveau rle qui permet aux contrleurs de domaine et aux serveurs DNS d'tre dploys sur des sites distants qui manquent de scurit physique. Un contrleur de domaine en lecture seule ne peut pas crire d'informations sur des serveurs DNS ni sur des serveurs Active Directory entiers. Remarque : Lorsqu'un contrleur de domaine est dploy en tant que contrleur de domaine en lecture seule, une copie en lecture seule de la zone DNS de domaine et de la zone DNS d'entreprise y est rplique. Il n'est pas possible de modifier une zone DNS sur un contrleur de domaine en lecture seule.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Nouveauts du systme DNS dans Windows Server 2008 Services de domaine Active Directory : Contrleurs de domaine en lecture seule DNS Server Role (en anglais)
Le rle serveur DNS est crucial dans la configuration d'Active Directory et de l'infrastructure rseau Windows. Lorsque vous envisagez de dployer un serveur DNS, plusieurs lments sont prendre en compte :
Disponibilit du service
Le rle DNS est crucial. Par consquent, lorsque vous planifiez l'infrastructure rseau, vous devez attribuer le rle DNS plusieurs serveurs pour maintenir la haute disponibilit du service. Pour que les informations DNS se rpliquent via Active Directory, le deuxime serveur DNS doit galement tre un contrleur de domaine. Vous devez configurer un serveur DNS avec une adresse IP statique. Ce procd est galement appel configuration manuelle de l'adresse IP d'un ordinateur. Les serveurs DNS dpendent de leur capacit rechercher d'autres serveurs DNS l'aide d'attributions d'adresses IP fiables. Les stations de travail sont configures avec les adresses IP des serveurs DNS. Si ces adresses IP changent, des problmes de recherche DNS et de rsolutions de noms DNS peuvent se produire. Le rle DNS de Windows Server 2008 peut stocker la base de donnes DNS de deux manires diffrentes :
Mthode de stockage
Fichier texte
Description
Le rle serveur DNS stocke les entres DNS dans un fichier texte, que vous pouvez modifier l'aide d'un diteur de texte. Il est recommand de toujours modifier ce fichier via les consoles de gestion Microsoft (MMC, Microsoft Management Console) du rle DNS Windows. Le rle serveur DNS stocke les entres DNS dans la base de donnes Active Directory. Cette base de donnes peut tre rplique sur d'autres contrleurs de domaine, mme s'ils n'excutent pas le rle DNS de Windows Server 2008. La rplication se produit de faon transparente en arrire-plan. Vous ne pouvez pas utiliser un diteur de texte pour modifier les donnes DNS que stocke Active Directory.
Active Directory
L'utilitaire de ligne de commande permettant de configurer un serveur DNS est dnscmd.exe. Vous pouvez l'utiliser comme alternative la configuration du rle DNS l'aide de l'interface graphique utilisateur.
Documentation supplmentaire
Pour plus d'informations sur la planification des serveurs DNS, consultez la rubrique d'aide : Planification de serveurs DNS.
Leon 2 :
L'infrastructure DNS constitue la base de la rsolution de noms sur Internet et dans les domaines Active Directory de Windows Server 2008. Cette leon fournit des conseils et des informations sur la configuration requise du rle serveur DNS, puis elle explique les fonctions de base d'un serveur DNS.
Les composants d'une solution de DNS incluent des serveurs DNS, des serveurs DNS sur Internet et des clients DNS.
Serveurs DNS
Un serveur DNS rpond aux requtes DNS rcursives et itratives. Les serveurs DNS peuvent galement hberger une ou plusieurs zones d'un domaine particulier. Les zones contiennent diffrents enregistrements de ressource. Les serveurs DNS peuvent galement mettre en cache des recherches afin de gagner du temps pour les requtes communes.
Client DNS
Le client DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS. Un client DNS peut tre tout ordinateur excutant une recherche DNS qui requiert une interaction avec le serveur DNS. Les serveurs DNS peuvent galement publier des demandes de clients DNS sur d'autres serveurs DNS.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Dfinition de DNS Fonctionnalits serveur Fonctionnalits clientes DNS Server Role (en anglais)
Le fichier de zone DNS stocke les enregistrements de ressources. La prochaine leon examine les fichiers de zone de manire plus approfondie. Les enregistrements de ressources spcifient un type de ressource et l'adresse IP permettant de localiser la
ressource. L'enregistrement de ressource le plus courant est un enregistrement de ressource A. Il s'agit d'un enregistrement simple qui fait correspondre un nom d'hte une adresse IP. L'hte peut tre une station de travail, un serveur ou un autre priphrique rseau, tel qu'un routeur. Les enregistrements de ressources facilitent galement la recherche de ressources pour un domaine particulier. Par exemple, lorsqu'un serveur Exchange a besoin de rechercher le serveur responsable de la remise du courrier d'un autre domaine, il demande l'enregistrement du serveur de messagerie (MX, Mail Exchanger) de ce domaine. Cet enregistrement pointe vers l'enregistrement A de l'hte qui excute le service de messagerie SMTP (Simple Mail Transfer Protocol). Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les enregistrements MX, par exemple, comportent un attribut de prfrence, qui s'avre utile si une organisation possde plusieurs serveurs de messagerie. En effet, cet attribut indiquera au serveur d'envoi quel serveur de messagerie l'organisation rceptrice prfre. Les enregistrements SRV contiennent galement des informations sur le port que le service coute et le protocole que vous devez suivre pour communiquer avec le service. Le tableau suivant dcrit les enregistrements de ressources les plus courants :
MX
PTR
SRV
NS AAAA
10
Documentation supplmentaire
Pour plus d'informations sur les enregistrements de rfrence qui prennent en charge les services serveur DNS, consultez Rfrence des enregistrements de ressources.
Les indications de racine correspondent la liste des 13 serveurs sur Internet gre par l'IANA (Internet Assigned Numbers Authority) et que le serveur DNS utilise s'il ne parvient pas rsoudre une requte DNS en utilisant un redirecteur DNS ou son propre cache. Les indications de racine correspondent aux serveurs les plus levs dans la hirarchie DNS et peuvent fournir les informations ncessaires un serveur DNS pour qu'il excute une requte itrative sur la couche infrieure suivante de l'espace de noms DNS. Les serveurs racines sont installs lorsque vous installez le rle DNS. Ils sont copis partir du fichier cache.dns inclus dans les fichiers d'installation du rle DNS. Vous pouvez galement ajouter des indications de racine un serveur DNS pour prendre en charge des recherches de domaines non contigus dans une fort. Lorsqu'un serveur DNS communique avec un serveur d'indications de racine, il utilise uniquement une requte itrative. Si vous slectionnez l'option Ne pas utiliser la rcursivit pour ce domaine, le serveur ne sera pas en mesure d'excuter des requtes sur les indications de racine. Si vous configurez le serveur l'aide d'un redirecteur, il essaiera d'envoyer une requte rcursive son serveur de redirection. Si le serveur de redirection ne rpond pas cette requte, le serveur rpondra que l'hte est introuvable. Il est important de comprendre que la rcursivit sur un serveur DNS et une requte rcursive ne sont pas la mme chose. La rcursivit sur un serveur signifie que le serveur utilisera ses indications de racine pour essayer de rsoudre une requte DNS. Les rubriques suivantes dcrivent les requtes itratives et rcursives de manire plus approfondie.
11
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Mettre jour les indications racine sur le serveur DNS Dsactiver la rcursivit sur le serveur DNS
Une requte DNS correspond la mthode que vous utilisez pour demander une rsolution de nom dans le cadre de laquelle une requte est envoye un serveur DNS. Il existe deux types de requtes DNS : faisant autorit et ne faisant pas autorit. Il est important de noter que les serveurs DNS peuvent galement servir de clients DNS et envoyer des requtes DNS d'autres serveurs DNS. Un serveur DNS peut soit faire autorit, soit ne pas faire autorit pour l'espace de noms de la requte. Un serveur DNS fait autorit lorsqu'il hberge une copie principale ou secondaire d'une zone DNS. Les deux types de requtes sont les suivants : Une requte faisant autorit est une requte pour laquelle le serveur peut renvoyer une rponse qu'il sait correcte parce que la demande est adresse au serveur faisant autorit qui gre le domaine. Un serveur DNS qui contient dans son cache le domaine demand rpond une requte ne faisant pas autorit en utilisant des redirecteurs ou des indications de racine. Toutefois, la rponse fournie risque de ne pas tre exacte parce que seul le serveur DNS faisant autorit pour le domaine donn peut publier cette information.
Si le serveur DNS fait autorit pour l'espace de noms de la requte, il vrifie la zone, puis ragit de l'une des manires suivantes : Il renvoie l'adresse demande. Il renvoie une rponse de type Non, ce nom n'existe pas faisant autorit.
12
Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur faisant autorit directe pour le nom demand. S'il ne fait pas autorit pour l'espace de noms de la requte, le serveur DNS local ragit de l'une des manires suivantes : Il vrifie son cache et renvoie une rponse mise en cache. Il transmet la requte qu'il ne sait pas rsoudre un serveur spcifique appel redirecteur. Il utilise les adresses connues de plusieurs serveurs racines pour rechercher un serveur DNS faisant autorit afin de rsoudre la requte. Ce processus est appel indication de racine.
Une requte rcursive peut avoir deux rsultats possibles : Elle renvoie l'adresse IP de l'hte demand. Le serveur DNS ne peut pas rsoudre une adresse IP.
Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur DNS. Ainsi, le serveur DNS en question n'essaiera pas de transfrer ses demandes DNS un autre serveur. Cette dsactivation peut s'avrer utile lorsque vous ne souhaitez pas qu'un serveur DNS particulier communique l'extrieur de son rseau local.
13
Les requtes itratives fournissent un mcanisme d'accs aux informations de noms de domaine qui se trouvent dans tout le systme DNS et permettent aux serveurs de rsoudre rapidement et efficacement des noms sur de nombreux serveurs. Lorsqu'un serveur DNS reoit une demande laquelle il ne peut pas rpondre en utilisant ses informations locales ou ses recherches mises en cache, il fait la mme demande un autre serveur DNS en utilisant une requte itrative. Lorsqu'un serveur DNS reoit une requte itrative, il peut rpondre soit en indiquant l'adresse IP du nom de domaine (s'il la connat), soit en adressant la demande aux serveurs DNS responsables du domaine sur lequel porte la requte.
Exemple
Un client envoie une demande son serveur DNS, mail1.nwtraders.com, mais le serveur DNS ne connat pas ce nom. Le serveur DNS interroge alors l'un de ses serveurs racine. Le serveur racine connat les serveurs sur lesquels .com est hberg. Les serveurs .com connaissent leur tour le serveur sur lequel nwtraders est hberg. Enfin, le serveur DNS qui hberge nwtraders sous la zone .com connat l'adresse IP associe au nom mail1.
Documentation supplmentaire
Pour plus d'informations sur le fonctionnement des requtes DNS, consultez Mode de fonctionnement des requtes DNS.
14
Un redirecteur est un serveur DNS de rseau qui transfre des requtes DNS de noms DNS externes aux serveurs DNS situs l'extrieur de ce rseau. Vous pouvez galement utiliser des redirecteurs conditionnels pour transfrer des requtes en fonction de noms de domaine spcifiques. Un serveur DNS de rseau est appel redirecteur lorsque d'autres serveurs DNS de ce rseau lui transfrent les demandes qu'ils ne savent pas rsoudre localement. En utilisant un redirecteur, vous pouvez grer la rsolution des noms situs l'extrieur de votre rseau, tels que des noms sur Internet, et amliorer l'efficacit de la rsolution de noms pour les ordinateurs de votre rseau. Le serveur qui transfre les demandes sur le rseau doit tre capable de communiquer avec le serveur DNS situ sur Internet. Cela signifie que soit vous le configurez afin de transfrer les demandes un autre serveur DNS, soit il utilise des indications de racine pour communiquer.
Mthode conseille
Utilisez un serveur DNS de redirection central pour la rsolution de noms Internet. Il permet d'amliorer les performances, de simplifier la rsolution des problmes et constitue une mthode conseille pour assurer la scurit. (Vous pouvez isoler le serveur DNS de redirection dans un rseau de primtre, lequel garantit qu'aucun serveur au sein du rseau ne communique directement avec Internet.)
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Microsoft TechNet : Prsentation des redirecteurs Rubrique d'aide : Prsentation des redirecteurs Rubrique d'aide : Utilisation de redirecteurs
15
Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction du nom de domaine DNS de la requte. Par exemple, vous pouvez configurer un serveur DNS afin qu'il transfre toutes les requtes qu'il reoit concernant des noms se terminant par corp.contoso.com l'adresse IP d'un serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS. Ce transfert peut s'avrer utile lorsque vous avez plusieurs espaces de noms DNS dans une fort.
Mthode conseille
Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes. Ainsi, la rsolution de noms est plus rapide.
16
La mise en cache DNS augmente les performances du systme DNS de l'organisation en acclrant les recherches DNS. Lorsqu'un serveur DNS rsout correctement un nom DNS, il ajoute ce nom son cache. Au fur et mesure, il gnre un cache des noms de domaine et de leurs adresses IP associes pour les domaines les plus courants que l'organisation utilise ou auxquels elle accde. Remarque : Le dlai par dfaut de mise en cache des donnes DNS s'lve une heure. Un serveur cache uniquement n'hberge pas des donnes de zone DNS. Il rpond seulement aux recherches de clients DNS. Il s'agit du type idal de serveur DNS utiliser en tant que redirecteur. Un serveur cache uniquement n'hberge pas des donnes de zone DNS. Il rpond seulement aux recherches de clients DNS. Il s'agit du type idal de serveur DNS utiliser en tant que redirecteur. Le cache client DNS est un cache DNS que les clients DNS enregistrent sur l'ordinateur local. Pour illustrer la mise en cache ct client, excutez la commande ipconfig/displaydns l'invite de commandes. Cette commande permet d'afficher le cache DNS local. Si vous avez besoin d'effacer le cache local, vous pouvez utiliser ipconfig/flushdns.
Documentation supplmentaire
Pour plus d'informations sur l'installation d'un serveur DNS cache uniquement, consultez la rubrique d'aide : Installer un serveur DNS cache uniquement.
17
Leon 3 :
Les zones DNS constituent un important concept dans l'infrastructure DNS, car elles permettent aux domaines DNS d'tre spars et grs de manire logique. Cette leon fournit des informations de base permettant de comprendre les relations entre les zones et les domaines DNS ainsi que des informations sur les diffrents types de zones DNS disponibles dans le rle DNS de Windows Server 2008.
Une zone DNS hberge l'intgralit ou une partie d'un domaine et ses sous-domaines. La diapositive illustre la manire dont les sous-domaines peuvent appartenir la mme zone que leurs parents ou tre dlgus une autre zone. Le domaine Microsoft.com est spar en deux zones. La premire zone hberge www.microsoft.com et
18
ftp.microsoft.com. Le domaine example.microsoft.com est dlgu une nouvelle zone, laquelle hberge example.microsoft.com et ses sous-domaines ftp.example.microsoft.com et www.example.microsoft.com. Important : La zone qui hberge le domaine racine (Microsoft.com) doit dlguer example.microsoft.com la deuxime zone. Dans le cas contraire, example.microsoft.com sera trait comme s'il faisait partie de la premire zone. Les donnes de zone peuvent tre rpliques sur plusieurs serveurs. Cette rplication ajoute de la redondance une zone parce que les informations ncessaires pour rechercher des ressources dans la zone existent alors sur deux serveurs. Le niveau de redondance ncessaire constitue une raison de crer des zones. Si vous avez une zone qui hberge des enregistrements de ressources de serveurs critiques, il est probable que cette zone possde un niveau de redondance plus lev qu'une zone dans laquelle des priphriques non critiques sont dfinis. De nombreuses entreprises crent une zone DNS distincte pour les stations de travail et une autre pour les serveurs. Les administrateurs peuvent alors choisir des stratgies diffrentes lors de la dfinition du mode de rplication des zones.
Documentation supplmentaire
Pour plus d'informations sur les zones et le transfert de zone, consultez Prsentation des zones et du transfert de zone.
19
Il existe quatre types de zones DNS : Principale Secondaire Stub Intgre Active Directory
Zone principale
Lorsqu'une zone hberge par un serveur DNS est une zone principale, le serveur DNS est la source principale d'informations sur cette zone et il stocke la copie originale des donnes de la zone dans un fichier local ou dans les services de domaine Active Directory (AD DS). Lorsque le serveur DNS stocke la zone dans un fichier, le fichier de la zone principale est nomm nom_zone.dns par dfaut et se trouve dans le dossier %windir%\System32\Dns du serveur. Lorsque la zone n'est pas stocke dans Active Directory, il s'agit du seul serveur DNS qui dispose d'une copie accessible en criture de la base de donnes.
Zone secondaire
Lorsqu'une zone hberge par un serveur DNS est une zone secondaire, le serveur DNS est une source secondaire pour les informations de cette zone. La zone au niveau de ce serveur doit tre obtenue partir d'un autre serveur DNS distant qui l'hberge galement. Ce serveur DNS doit avoir un accs rseau au serveur DNS distant pour recevoir les informations mises jour de la zone. tant donn qu'une zone secondaire est une copie d'une zone principale qu'un autre serveur hberge, elle ne peut pas tre stocke dans AD DS. Les zones secondaires peuvent s'avrer utiles si vous rpliquez des donnes provenant de zones DNS non-Windows.
Zone de stub
Windows Server 2003 a introduit les zones de stub, qui permettent de rsoudre plusieurs problmes lis aux grands espaces de noms DNS et aux forts multi-arborescentes. Une fort multi-arborescente est une fort Active Directory qui contient deux noms de domaine diffrents.
Documentation supplmentaire
Pour plus d'informations sur les types de zones, consultez la rubrique d'aide : Prsentation des types de zones.
20
Documentation supplmentaire
Pour plus d'informations sur les types de zones, consultez la rubrique d'aide : Prsentation des types de zones.
21
Une zone de stub est une copie d'une zone qui contient uniquement les enregistrements de ressources ncessaires l'identification des serveurs DNS faisant autorit pour la zone en question. Une zone de stub rsout les noms entre des espaces de noms DNS distincts, lesquels peuvent s'avrer ncessaires lorsqu'une fusion d'entreprises a besoin que les serveurs DNS de deux espaces de noms DNS distincts rsolvent les noms des clients dans les deux espaces de noms. Une zone de stub comprend les lments suivants : l'enregistrement de ressource Source de nom (SOA, Start Of Authority), les enregistrements de ressources Serveur de noms (NS, Name Server) et les enregistrements de ressources de type A de la zone dlgue ; l'adresse IP d'un ou plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone de stub.
Les serveurs matres d'une zone de stub correspondent un ou plusieurs serveurs DNS faisant autorit pour la zone enfant, gnralement le serveur DNS hbergeant la zone principale pour le nom de domaine dlgu.
22
conformment la dure de vie (TTL, Time-to-Live) indique dans chaque enregistrement de ressource. Les enregistrements de ressources SOA, NS et A, qui ne sont pas crits dans le cache, expirent conformment l'intervalle d'expiration que l'enregistrement SOA de la zone de stub spcifie. Pendant la cration de la zone de stub, l'enregistrement SOA est cr. Les mises jour des enregistrements SOA se produisent pendant les transferts de la zone principale d'origine la zone de stub. Si la requte est itrative, le serveur DNS renvoie une rfrence contenant les serveurs spcifis par la zone de stub.
Communication entre des serveurs DNS qui hbergent des zones parents et enfants
Un serveur DNS qui dlgue un domaine une zone enfant sur un serveur DNS diffrent est inform des nouveaux serveurs DNS faisant autorit pour la zone enfant uniquement lorsque les enregistrements de ressources qui les concernent sont ajouts la zone parent que le serveur DNS hberge. Il s'agit d'un processus manuel qui requiert que les administrateurs des diffrents serveurs DNS communiquent souvent. Avec des zones de stub, un serveur DNS qui hberge une zone de stub pour l'un de ses domaines dlgus peut obtenir des mises jour des serveurs DNS faisant autorit pour la zone enfant lorsque la zone de stub est mise jour. La mise jour est effectue depuis le serveur DNS qui hberge la zone de stub et l'administrateur du serveur DNS qui hberge la zone enfant n'a pas besoin d'tre contact.
Redirecteurs conditionnels
Si vous souhaitez que les clients DNS de rseaux distincts rsolvent leurs noms respectifs sans avoir interroger les serveurs DNS sur Internet, notamment dans le cas d'une fusion d'entreprises, vous devez configurer les serveurs DNS de chaque rseau pour qu'ils redirigent les requtes de noms de l'autre rseau. Les serveurs DNS d'un rseau redirigent les noms des clients de l'autre rseau vers un serveur DNS spcifique qui cre un cache volumineux contenant les informations relatives l'autre rseau. Une telle redirection vous permet de crer un point de contact direct entre les serveurs DNS des deux rseaux, ce qui rduit le besoin de rcursivit. Les zones de stub n'apportent pas le mme avantage de serveur serveur car un serveur DNS hbergeant une zone de stub dans un rseau rpond aux requtes de noms de l'autre rseau par la liste de tous les serveurs DNS qui font autorit sur la zone contenant ce nom, plutt que les serveurs DNS spcifiques que vous avez dsigns pour traiter ce trafic. Cette configuration complique tous les paramtres de scurit que vous voulez tablir entre les serveurs DNS spcifiques qui s'excutent dans chacun des rseaux.
23
Zones de stub
Utilisez des zones de stub lorsque vous voulez qu'un serveur DNS hbergeant une zone parent reste inform des serveurs DNS faisant autorit sur l'une de ses zones enfants. Si le mme serveur DNS hberge la zone parent et la zone de stub d'une zone enfant, il reoit la liste de tous les nouveaux serveurs DNS faisant autorit sur la zone enfant lorsqu'il demande une mise jour au serveur matre de la zone de stub. Cette mthode de mise jour du serveur DNS hbergeant la zone parent conserve la liste actuelle des serveurs DNS faisant autorit sur la zone enfant. Un redirecteur conditionnel ne constitue pas une mthode efficace pour maintenir un serveur DNS hbergeant une zone parente inform des serveurs DNS faisant autorit sur une zone enfant. En effet, chaque fois que les serveurs DNS faisant autorit sur la zone enfant changent, vous devez configurer manuellement le paramtre du redirecteur conditionnel sur le serveur DNS hbergeant la zone parente l'aide de l'adresse IP de chaque nouveau serveur DNS faisant autorit sur la zone enfant.
Documentation supplmentaire
Pour plus d'informations sur les types de zones, consultez la rubrique d'aide : Prsentation des types de zones.
Le systme DNS est hirarchique et la dlgation de zone relie les couches DNS entre elles. Une dlgation de zone pointe vers le niveau hirarchique infrieur suivant et identifie les serveurs de noms responsables du domaine de niveau infrieur. Lorsque vous dterminez s'il est ncessaire de diviser l'espace de noms DNS pour ajouter des zones supplmentaires, considrez les raisons suivantes d'utiliser des zones supplmentaires : Vous avez besoin de dlguer la gestion d'une partie de l'espace de noms DNS un autre emplacement ou dpartement de votre organisation. Vous avez besoin de diviser une zone de grande taille en zones plus petites afin de pouvoir distribuer le trafic entre plusieurs serveurs, ce qui permet d'amliorer
24
les performances de la rsolution de noms DNS et de crer un environnement DNS qui tolre mieux les pannes. Vous avez besoin d'tendre l'espace de noms en ajoutant de nombreux sousdomaines simultanment pour prendre en charge l'ouverture d'une nouvelle filiale ou d'un nouveau site.
Documentation supplmentaire
Pour plus d'informations sur la dlgation des zones, consultez Dlgation de zone. Leon 4 :
Les transferts de zone DNS correspondent la manire dont l'infrastructure DNS dplace les informations de zone DNS d'un serveur vers un autre. Cette leon dcrit les diffrentes mthodes que le rle serveur DNS utilise lors du transfert de zones.
25
Un transfert de zone se produit lorsque vous transfrez la zone DNS situe sur un serveur un autre serveur DNS. Les transferts de zone synchronisent les zones de serveur DNS principales et secondaires. C'est ainsi que le systme DNS constitue sa rsilience sur Internet. Il est important que les zones DNS restent jour sur les serveurs principaux et secondaires. Les divergences dans les zones principales et secondaires peuvent provoquer des dfaillances du service et une rsolution incorrecte des noms d'hte. Un transfert de zone complet se produit lorsque vous copiez la zone entire d'un serveur DNS vers un autre. Un transfert de zone complet est appel AXFR (All Zone Transfer). Un transfert de zone incrmentiel se produit lorsqu'une mise jour du serveur DNS est effectue et que seuls les enregistrements de ressources modifis sont rpliqus sur l'autre serveur. Il s'agit d'un transfert de zone incrmentiel (IXFR, Incremental Zone Transfer). Les serveurs Windows effectuent galement des transferts rapides , qui correspondent un type de transfert de zone qui utilise la compression et envoie plusieurs enregistrements de ressources dans chaque transmission. Toutes les implmentations de serveurs DNS ne prennent pas en charge les transferts de zone incrmentiels et rapides. Lors de l'intgration d'un serveur DNS Windows 2008 avec un serveur DNS BIND (Berkeley Internet Name Domain), vous devez vrifier que les fonctionnalits dont vous avez besoin sont prises en charge par la version BIND installe. Le tableau suivant rpertorie les fonctionnalits que les diffrents serveurs DNS prennent en charge :
Serveur DNS
Version BIND antrieure 4.9.4 BIND version 4.9.4 8.1 BIND 8.2 Windows 2000 SP3 Windows 2003 (R2) Windows 2008
Transfert rapide
Non pris en charge Pris en charge Pris en charge Pris en charge Pris en charge Pris en charge
Les zones intgres Active Directory se rpliquent via une rplication multimatre. Cela signifie que tout contrleur de domaine standard qui dtient galement le rle DNS peut mettre jour les informations de zone DNS, qui se rpliquent ensuite sur tous les serveurs DNS qui hbergent la zone DNS.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Prsentation des zones et du transfert de zone
26
Initier un transfert de zone sur un serveur secondaire Recharger ou transfrer une zone de stub Rgler l'intervalle d'actualisation pour une zone Rgler l'intervalle avant nouvelle tentative pour une zone
DNS Notify est une mise jour de la spcification d'origine du protocole DNS qui permet d'informer les serveurs secondaires lorsqu'une zone est modifie. Cette mise jour s'avre utile dans un environnement o le temps est crucial et o l'exactitude des donnes est importante.
Les informations de zone fournissent des donnes d'entreprise, vous devez donc prendre des prcautions pour vrifier qu'elles sont protges contre tout accs malintentionn et qu'il n'est pas possible de les remplacer par des donnes errones (empoisonnement
27
DNS). Un moyen de protger l'infrastructure DNS consiste scuriser les transferts de zone et utiliser des mises jour dynamiques scurises. Sous l'onglet Transferts de zone de la bote de dialogue Proprits de zone, vous pouvez spcifier la liste des serveurs DNS autoriss. Vous pouvez galement utiliser ces options pour rejeter le transfert de zone. Par dfaut, les transferts de zone sont dsactivs. Quand bien mme l'option qui spcifie les serveurs autoriss demander des donnes de zone garantit la scurit en limitant les destinataires de donnes, elle ne scurise pas ces donnes pendant leur transmission. Si les informations de zone sont hautement confidentielles, nous vous recommandons de rpliquer les donnes de zone sur un tunnel de rseau priv virtuel (VPN, Virtual Private Network) ou d'utiliser une stratgie de scurit du protocole Internet (IPsec, Internet Protocol Security) pour scuriser la transmission. Ainsi, vous empchez le reniflage de paquets de rsoudre des informations contenues dans la transmission des donnes. L'utilisation de zones intgres Active Directory permet de rpliquer les donnes de zone dans le cadre de rplications Active Directory normales. Par consquent, si le trafic de zone DNS dans les zones intgres Active Directory doit tre scuris, il est galement ncessaire de scuriser les donnes de rplication Active Directory.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Rubrique d'aide : Liste de vrification : Scuriser votre serveur DNS Rubrique d'aide : Modifier des paramtres de transfert de zone
28
Leon 5 :
Le service DNS est crucial dans l'infrastructure Active Directory. Lorsque le service DNS rencontre des problmes, il est important de savoir comment les rsoudre et de savoir identifier les problmes courants pouvant se produire dans une infrastructure DNS. Cette leon dcrit les problmes courants qui se produisent dans le service DNS, les sources d'informations DNS courantes et les outils que vous pouvez utiliser pour rsoudre les problmes.
La dure de vie (TTL, Time to Live), le vieillissement et le nettoyage facilitent la gestion des enregistrements de ressources DNS dans les fichiers de zone. Les fichiers de zone peuvent changer au fil du temps ; par consquent, il doit exister un moyen de grer les enregistrements DNS mis jour ou non valides parce que les htes qu'ils reprsentent ne se trouvent plus sur le rseau.
29
Le tableau suivant dcrit les outils DNS qui permettent de grer une base de donnes DNS :
Outil
Dure de vie (TTL)
Description
Indique la dure de validit d'un enregistrement DNS. La dure de vie peut varier en fonction du type d'enregistrement de ressource DNS. Par exemple, un enregistrement MX a une dure de vie beaucoup plus longue qu'un enregistrement d'hte d'un ordinateur portable. Se produit lorsque les enregistrements insrs dans le serveur DNS atteignent leur date d'expiration et sont supprims. Le vieillissement permet de maintenir l'exactitude de la base de donnes de zone. Dans le cadre d'un fonctionnement normal, le vieillissement doit grer les enregistrements de ressources DNS obsoltes. Excute le nettoyage des anciens enregistrements de ressources de serveurs DNS dans le systme DNS. Si des enregistrements de ressources n'ont pas subi de vieillissement, un administrateur peut dbarrasser la base de donnes de zone des enregistrements obsoltes qu'elle contient en forant le nettoyage de la base de donnes.
Vieillissement
Nettoyage
Si elle n'est pas gre, la prsence d'enregistrements de ressources obsoltes dans les donnes de zone peut engendrer des problmes. Exemple : Si un grand nombre d'enregistrements de ressources obsoltes restent dans les zones du serveur, ils peuvent finir par occuper l'espace disque du serveur et provoquer des transferts de zone inutilement longs. Le serveur DNS qui charge les zones avec des enregistrements de ressources obsoltes risque d'utiliser des informations obsoltes pour rpondre aux requtes des clients, ce qui risque d'amener les ordinateurs clients rencontrer des problmes de rsolution de noms sur le rseau. L'accumulation d'enregistrements de ressources obsoltes sur le serveur DNS risque de dgrader ses performances et sa ractivit. Dans certains cas, la prsence d'un enregistrement de ressource obsolte dans une zone peut empcher un autre ordinateur ou priphrique d'hte d'utiliser un nom de domaine DNS.
Pour rsoudre ces problmes, le service de serveur DNS comporte les fonctionnalits suivantes : Horodatage, selon la date et l'heure du jour dfinies sur le serveur, pour tous les enregistrements de ressources ajouts dynamiquement aux zones de type principal. En outre, les horodatages sont enregistrs dans les zones principales standard pour lesquelles vous activez le vieillissement et le nettoyage.
Pour les enregistrements de ressources que vous ajoutez manuellement, vous utilisez une valeur d'horodatage gale zro pour indiquer que le processus de vieillissement n'affecte pas ces enregistrements et qu'ils peuvent rester dfinitivement dans les donnes de zone, sauf si vous modifiez leur horodatage ou si vous les supprimez. Vieillissement des enregistrements de ressources dans les donnes locales, en fonction d'une priode d'actualisation spcifie, pour toutes zones ligibles.
30
Seules les zones de type principal que le service de serveur DNS charge peuvent participer ce processus. Nettoyage de tous les enregistrements de ressources conservs au-del de la priode d'actualisation spcifie.
Lorsqu'un serveur DNS excute une opration de nettoyage, il peut dterminer que les enregistrements de ressources ont vieilli au point de d'tre devenus obsoltes et les supprimer des donnes de zone. Vous pouvez configurer des serveurs afin qu'ils excutent automatiquement des oprations de nettoyage rcurrentes, ou vous pouvez initialiser une opration de nettoyage immdiate au niveau du serveur. Attention : Par dfaut, le mcanisme de vieillissement et de nettoyage du service de serveur DNS est dsactiv. Vous devez l'activer uniquement lorsque vous comprenez entirement tous les paramtres. Sinon, vous risquez de configurer le serveur afin qu'il supprime accidentellement des enregistrements qui ne devraient pas tre supprims. Si un enregistrement est supprim accidentellement, non seulement les utilisateurs ne pourront pas rsoudre les requtes le concernant, mais ils pourront crer cet enregistrement et en devenir propritaire, mme sur les zones que vous configurez des fins de mise jour dynamique scurise. Le serveur utilise le contenu de chaque horodatage propre aux enregistrements de ressources, ainsi que d'autres proprits de vieillissement et de nettoyage que vous pouvez ajuster ou configurer, pour dterminer le moment auquel il nettoie les enregistrements.
Par dfaut, le vieillissement et le nettoyage des enregistrements de ressources est dsactiv. Vous devez ajouter des enregistrements de ressources dynamiquement ou les modifier manuellement afin de les utiliser dans des oprations de vieillissement et de nettoyage.
En gnral, seuls les enregistrements de ressources que vous ajoutez dynamiquement l'aide du protocole de mise jour dynamique DNS peuvent faire l'objet d'un vieillissement et d'un nettoyage. Pour les enregistrements que vous ajoutez aux zones en chargeant un fichier de zone de type texte depuis un autre serveur DNS ou en les ajoutant manuellement une zone, un horodatage gal zro est dfini. Cet horodatage rend ces enregistrements inligibles une utilisation dans des oprations de vieillissement et de nettoyage. Pour modifier cette valeur par dfaut, vous pouvez administrer individuellement ces enregistrements, les rinitialiser et les autoriser utiliser une valeur d'horodatage
31
actuelle (diffrente de zro). Celle-ci permet ces enregistrements de vieillir et d'tre nettoys.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Activer le nettoyage automatique des enregistrements de ressources prims Dmarrer le nettoyage immdiat des enregistrements de ressources obsoltes Utiliser le vieillissement et le nettoyage Rubrique d'aide : Utiliser le vieillissement et le nettoyage
32
Sous l'onglet Analyse du serveur DNS, vous pouvez configurer un test qui permet au serveur DNS de dterminer s'il peut rsoudre des requtes locales simples et excuter une requte rcursive dans le but de vrifier que le serveur peut communiquer avec des serveurs en amont. Vous pouvez galement planifier ces tests pour qu'ils s'excutent de manire rgulire. Ce sont des tests de base, mais ils constituent un bon point de dpart pour dpanner le service DNS. Les causes possibles de l'chec d'un test incluent les suivantes : Le service de serveur DNS a chou. Le serveur en amont n'est pas disponible sur le rseau.
Des problmes peuvent se produire lorsque vous ne configurez pas le serveur DNS, ainsi que ses zones et ses enregistrements de ressources, correctement. Lorsque des enregistrements de ressources provoquent des problmes, il peut s'avrer parfois plus difficile d'identifier le vrai problme parce que les problmes de configuration ne sont pas toujours vidents. Le tableau suivant rpertorie les problmes de configuration susceptibles de provoquer des problmes de serveur DNS :
Problme
Enregistrements manquants
Rsultat
Les enregistrements pour un hte ne se trouvent pas sur le serveur DNS. Ils ont peut-tre tre nettoys prmaturment. Cette absence peut empcher des stations de travail de se trouver. Les enregistrements auxquels il manque des informations requises pour localiser la ressource qu'ils reprsentent peuvent amener des clients qui demandent la ressource renvoyer des informations non valides. Un
Enregistrements incomplets
33
enregistrement de service qui ne contient pas d'adresse de port est un exemple d'enregistrement incomplet. Enregistrements mal configurs Les enregistrements qui pointent vers une adresse IP non valide ou qui comportent des informations non valides dans leur configuration provoquent galement des problmes lorsque des clients DNS essaient de rechercher des ressources.
Les outils utiliss pour rsoudre ces problmes et d'autres problmes de configuration sont les suivants : Nslookup. Utilisez cet outil pour interroger des informations DNS. Il s'agit d'un outil trs flexible capable de fournir beaucoup d'informations prcieuses propos de l'tat du serveur DNS. Vous pouvez galement l'utiliser pour rechercher des enregistrements de ressources et valider leur configuration. Vous pouvez galement tester des transferts de zone, des options de scurit et la rsolution des enregistrements MX. Dnscmd. Grez le service DNS l'aide de cette interface de ligne de commande. Cet utilitaire permet de crer des scripts dans des fichiers de commandes dans le but d'automatiser des tches de gestion DNS de routine ou de procder un simple travail d'installation et de configuration sans assistance de nouveaux serveurs DNS sur votre rseau. IPconfig. Utilisez cette commande pour afficher et modifier les dtails de la configuration IP que l'ordinateur utilise. Cet utilitaire inclut des options de ligne de commande supplmentaires que vous pouvez utiliser pour dpanner et prendre en charge des clients DNS. Vous pouvez consulter le cache DNS local d'un client l'aide de la commande ipconfig/displaydns et vous pouvez effacer le cache local l'aide de la commande ipconfig/flushdns. Dnslint. Utilisez cet outil pour diagnostiquer des problmes DNS courants. Cet utilitaire de ligne de commande diagnostique rapidement les problmes de configuration du service DNS et peut galement gnrer un rapport au format HTML sur l'tat du domaine que vous testez.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Description de l'utilitaire DNSLint Rubrique d'aide : Rsolution des problmes des serveurs DNS Rsolution des problmes DNS
34
Analyse du serveur DNS l'aide du journal des vnements DNS et de l'enregistrement de dbogage
Le serveur DNS possde sa propre catgorie dans le journal des vnements. Comme avec tout journal des vnements de l'Observateur d'vnements Windows, vous devez consulter rgulirement le journal des vnements.
ID de l'vnemen t
Description
Le serveur DNS a dmarr.
Ce message apparat gnralement au dmarrage lorsque vous dmarrez soit le serveur, soit le service de serveur DNS. 3 408 Le serveur DNS a t arrt. Ce message apparat gnralement lorsque le serveur est arrt ou lorsque vous arrtez le service de serveur DNS manuellement. Le serveur DNS n'a pas pu ouvrir le socket pour l'adresse [AdresseIP]. Vrifiez qu'il s'agit d'une adresse IP valide pour le serveur. Pour corriger le problme, vous pouvez effectuer les oprations suivantes : 1. Si l'adresse IP spcifie n'est pas valide, supprimez-la de la liste des interfaces restreintes du serveur et redmarrez le serveur. 2. Si l'adresse IP spcifie n'est plus valide et qu'elle tait la seule adresse active que le serveur DNS pouvait utiliser, le serveur risque de ne pas avoir dmarr en raison de cette erreur de configuration. Pour corriger ce problme, supprimez la valeur suivante du Registre et redmarrez le serveur DNS : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\ListenAd
35
dress 3. Si l'adresse IP du serveur est valide, vrifiez qu'aucune autre application susceptible d'utiliser le mme port de serveur DNS (telle qu'une autre application de serveur DNS) ne s'excute. Par dfaut, le serveur DNS utilise le port TCP 53. 413 Le serveur DNS envoie des demandes d'autres serveurs DNS sur un port autre que son port par dfaut (port TCP 53). Ce serveur DNS est multirsident et a t configur afin de restreindre le service de serveur DNS quelques-unes de ses adresses IP configures uniquement. C'est pourquoi il n'existe aucune garantie que les requtes DNS soumises par ce serveur d'autres serveurs DNS distants seront envoyes l'aide de l'une des adresses IP actives pour le serveur DNS. Cela risque d'empcher les rponses aux requtes renvoyes par ces serveurs d'tre reues sur le port DNS que le serveur est configur pour utiliser. Pour viter ce problme, le serveur DNS envoie des requtes d'autres serveurs DNS l'aide d'un port non-DNS arbitraire, puis la rponse est reue indpendamment de l'adresse IP utilise. Si vous souhaitez que le serveur DNS utilise uniquement son port DNS configur pour envoyer des requtes d'autres serveurs DNS, utilisez la console DNS pour effectuer l'une des modifications suivantes dans la configuration des proprits du serveur sous l'onglet Interfaces : 1. Slectionnez Toutes les adresses IP pour permettre au serveur DNS d'couter sur toutes les adresses IP du serveur configures. 2. Ou, slectionnez Uniquement les adresses IP suivantes pour limiter la liste des adresses IP une seule adresse IP du serveur. 414 Le serveur ne possde actuellement aucun suffixe DNS principal configur. Son nom DNS est actuellement un nom d'hte en une partie. Par exemple, son nom configur est host plutt que host.example.microsoft.com ou un autre nom complet. Alors que le serveur DNS possde un nom en une partie, les enregistrements de ressources par dfaut crs pour ses zones configures utilisent uniquement ce nom en une partie pour faire correspondre le nom d'hte de ce serveur DNS. Cela peut gnrer des rfrences incorrectes et errones lorsque les clients et d'autres serveurs DNS utilisent ces enregistrements pour localiser ce serveur par son nom. En gnral, vous devez reconfigurer le serveur DNS avec un nom d'ordinateur DNS complet appropri pour son domaine ou groupe de travail sur votre rseau. 708 3150 Le serveur DNS n'a pas dtect de zones de type principal ou secondaire. Il s'excutera en tant que serveur cache uniquement mais ne fera autorit sur aucune zone. Le serveur DNS a crit une nouvelle version de la zone [nomzone] dans le fichier [nomdefichier]. Vous pouvez consulter le nouveau numro de version en cliquant sur l'onglet Donnes d'enregistrement. Cet vnement doit apparatre uniquement si vous configurez le serveur DNS en tant que serveur racine. La zone [nomzone] a expir avant la fin du transfert de zone ou de la mise jour partir d'un serveur matre agissant comme source pour la zone. La zone a t ferme. Cet ID d'vnement peut apparatre lorsque vous configurez le serveur DNS afin d'hberger une copie secondaire de la zone partir d'un autre serveur DNS qui lui sert de source ou de serveur matre. Vrifiez que ce serveur possde une connectivit rseau son serveur matre configur. Si le problme persiste, considrez une ou plusieurs des options suivantes : 1. Supprimez la zone et recrez-la, en spcifiant soit un serveur matre diffrent, soit une
6527
36
adresse IP mise jour et corrige du mme serveur matre. 2. Si l'expiration de zone continue, envisagez d'ajuster l'intervalle d'expiration.
TCP. Indique que des paquets envoys et reus via le protocole TCP sont enregistrs dans le fichier journal du serveur DNS. Type de paquet o Requte. Indique que des paquets de requte sont enregistrs dans le fichier journal du serveur DNS (un paquet de requte se caractrise par un bit QR dfini sur 0 dans l'en-tte du message DNS). o
Remarque : Un bit QR est un champ un bit qui spcifie si ce message est une requte (0) ou une rponse (1). o Rponse. Indique que des paquets de rponse sont enregistrs dans le fichier journal du serveur DNS (un paquet de rponse se caractrise par un bit QR dfini sur 1 dans l'en-tte du message DNS). L'activation du filtrage en fonction de l'adresse IP fournit d'autres options de filtrage des paquets enregistrs dans le fichier journal du serveur DNS. Cette option permet d'enregistrer des paquets envoys partir d'adresses IP spcifiques vers un serveur DNS ou inversement. Taille maximale (octets). Vous permet de dfinir la taille de fichier maximale du fichier journal du serveur DNS. Lorsque le fichier journal du serveur DNS atteint sa taille maximale spcifie, le serveur DNS remplace les informations des paquets les plus anciens par les nouvelles informations.
37
Remarque : Si vous ne spcifiez pas de taille de fichier journal maximale, le fichier journal du serveur DNS peut occuper une grande quantit d'espace disque. Par dfaut, toutes les options d'enregistrement de dbogage sont dsactives. Lorsque vous les activez de manire slective, le service de serveur DNS peut excuter un enregistrement supplmentaire au niveau du suivi des types slectionns d'vnements ou de messages pour le dpannage gnral et le dbogage du serveur. L'enregistrement de dbogage DNS peut utiliser les ressources de manire intense, ce qui risque de nuire aux performances gnrales du serveur et consomme de l'espace disque. Par consquent, vous devez l'utiliser uniquement de manire temporaire, lorsque vous avez besoin d'informations plus dtailles sur les performances du serveur. Remarque : Dns.log contient l'activit d'enregistrement de dbogage. Par dfaut, ce fichier se trouve dans le dossier windir\System32\Dns.
Objectifs :
Configurer une infrastructure DNS afin d'inclure une zone secondaire, une zone de stub et des transferts de zone scuriss Analyser le systme DNS
38
galement d'un groupe d'administrateurs chargs de l'administration des enregistrements de ressources de la zone. Contoso est une socit que Woodgrove Bank vient d'acqurir. Pour commencer le test d'intgration, vous devez dfinir un domaine DNS appel contoso.msft et tester diffrentes configurations de zone. Vous devez galement tester la zone afin de vrifier sa rsilience l'chec.
39
2. Crez une zone de recherche directe principale intgre Active Directory nomme nwtraders.msft. 3. Utilisez les options par dfaut dans l'Assistant Nouvelle zone.
2. Sur NYC-SVR1, configurez Contoso.msft de sorte autoriser les transferts de zone vers NYC-DC1 : L'adresse IP de NYC-DC1 est 10.10.0.10.
3. Rpondez la question suivante : Question : Pourquoi avez-vous besoin de configurer des transferts de zone ?
Rponse : Vous devez configurer les transferts de zone afin que le serveur DNS secondaire puisse transfrer le contenu de zone du serveur principal.
2. Sur NYC-SVR1, utilisez la console DNS pour configurer une zone directe secondaire pour nwtraders.msft : L'adresse du serveur de la zone principale pour nwtraders.msft est 10.10.0.10.
2. Cliquez sur WoodgroveBank.com et notez les enregistrements rpertoris. 3. Sur NYC-DC1, dans la console DNS, cliquez sur WoodgroveBank.com et vrifiez qu'il existe des enregistrements supplmentaires qui ne sont pas inclus dans une zone de stub. 4. Rpondez la question suivante : Question : Pourquoi utiliser une zone de stub au lieu de redirecteurs conditionnels ?
40
Rponse : Les zones de stub permettent d'effectuer le suivi de tous les serveurs faisant autorit pour nwtraders.com. Les redirecteurs conditionnels transfrent uniquement en fonction du nom de domaine et n'effectuent aucun suivi des modifications du serveur faisant autorit pour la zone nwtraders.com.
Exercice 1 : Corrig (procdures dtailles) Exercice 1 : Configuration d'une infrastructure DNS Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, pointez sur Formation Microsoft, puis cliquez sur 6741A. Le Lanceur d'ateliers pratiques dmarre. 2. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-DC1, cliquez sur Excuter. 3. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-SVR1, cliquez sur Excuter. 4. Ouvrez une session sur les deux ordinateurs virtuels en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. 5. Rduisez la fentre du Lanceur d'ateliers pratiques.
41
42
4. Slectionnez Zone secondaire, puis cliquez sur Suivant. 5. Tapez Contoso.msft dans la zone de texte, puis cliquez sur Suivant. 6. Tapez 10.10.0.24, l'adresse du serveur de la zone principale pour contoso.msft, appuyez sur ENTRE, puis cliquez sur Suivant. 7. Dans la dernire page de l'Assistant Nouvelle zone, cliquez sur Terminer. 8. Cliquez sur Contoso.msft et vrifiez que les enregistrements apparaissent dans le volet d'informations. Remarquez que NYC-SVR1 est dsign en tant que Source de nom. 9. Sur NYC-SVR1, dans la console DNS, cliquez sur Zones de recherche directes. 10. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone. 11. Dans l'Assistant Nouvelle zone, cliquez sur Suivant. 12. Slectionnez Zone secondaire, puis cliquez sur Suivant. 13. Tapez nwtraders.msft dans la zone de texte, puis cliquez sur Suivant. 14. Tapez 10.10.0.10, l'adresse du serveur de la zone principale pour nwtraders.msft, appuyez sur ENTRE, puis cliquez sur Suivant. 15. Dans la dernire page de l'Assistant Nouvelle zone, cliquez sur Terminer. 16. Cliquez sur nwtraders.msft et vrifiez que les enregistrements apparaissent dans le volet d'informations. Remarquez que NYC-DC1 est dsign en tant que Source de nom.
43
2. Gnrez un fichier html de rapport dnslint : Le commutateur /s spcifie que DNSlint ne se rfrera pas Internet pour le domaine spcifi. Le commutateur /d spcifie le domaine rechercher.
Tche 4 : Consulter les statistiques sur les performances via la console Performances
1. Sur NYC-DC1, utilisez la console Gestion de l'ordinateur pour ouvrir Analyseur de performances. 2. Ajoutez les compteurs DNS Une requte simple sur un serveur DNS et Une requte rcursive aux autres serveurs DNS. 3. Utilisez la fonctionnalit Analyse dans les proprits du serveur DNS pour gnrer des demandes au serveur DNS. 4. Examinez les donnes que les demandes gnrent dans Analyseur de performances. Alternez entre l'affichage Graphique et l'affichage Rapport.
44
Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
Remarque : N'teignez pas les ordinateurs virtuels tant que vous n'avez pas rpondu aux questions de rvision de l'atelier pratique. 1. Pour chaque ordinateur virtuel en cours d'excution, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone Fermer, slectionnez Arrter la machine et annuler les modifications. Cliquez sur OK. 3. Fermez le Lanceur d'ateliers pratiques 6741A.
Exercice 2 : Corrig (procdures dtailles) Exercice 2 : Analyse et dpannage du systme DNS Tche 1 : Tester des requtes simples et rcursives
1. Sur NYC-DC1, cliquez sur Dmarrer, puis sur Outils d'administration et sur DNS. 2. Dans le volet de liste, cliquez avec le bouton droit sur NYC-DC1, puis cliquez sur Proprits. 3. Cliquez sur l'onglet Analyse. 4. Sous l'onglet Analyse, slectionnez Une requte simple sur un serveur DNS, puis cliquez sur Tester. 5. Sous l'onglet Analyse, slectionnez Une requte rcursive aux autres serveurs DNS, puis cliquez sur Tester. Notez que le test Rcursive choue pour NYC-DC1, ce qui est normal tant donn qu'il n'existe aucun redirecteur configur utilisable par ce serveur DNS. 6. Cliquez sur Dmarrer, sur Excuter, puis tapez : sc stop dns et cliquez sur OK. 7. Sous l'onglet Analyse, cliquez sur Tester. prsent, les tests Simple et Rcursive chouent. 8. Cliquez sur Dmarrer, sur Excuter, puis tapez : sc start dns et cliquez sur OK. 9. Sous l'onglet Analyse, cliquez sur Tester. Le test Simple s'effectue correctement. 10. Fermez la bote de dialogue Proprits de NYC-DC1.
45
5. Dans la fentre de commandes, l'invite nslookup, tapez contoso.msft et appuyez sur ENTRE. 6. Fermez l'invite.
Tche 4 : Consulter les statistiques sur les performances via la console Performances
1. Sur NYC-DC1, cliquez sur Dmarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez Grer. 2. Dans le volet de liste de la fentre Gestionnaire de serveur, dveloppez Diagnostic, dveloppez Fiabilit et performances, dveloppez Outils d'analyse, puis cliquez sur Analyseur de performances. 3. Dans le volet central, cliquez sur l'icne plus verte. 4. Dans la liste Compteurs disponibles, double-cliquez sur DNS. 5. Slectionnez Total des requtes reues, puis cliquez sur Ajouter. 6. Slectionnez Total de requtes reues/s, cliquez sur Ajouter, puis sur OK. 7. Cliquez sur Dmarrer, cliquez sur Outils d'administration, puis cliquez sur DNS. 8. Dans le volet de liste, cliquez avec le bouton droit sur NYC-DC1, puis cliquez sur Proprits. 9. Cliquez sur l'onglet Analyse. 10. Sous l'onglet Analyse, slectionnez Une requte simple sur un serveur DNS et Une requte rcursive aux autres serveurs DNS, puis cliquez sur Tester plusieurs reprises. 11. Dsactivez les cases cocher des tests Simple et Rcursive, puis cliquez sur OK. Fermez l'outil de gestion DNS. 12. Revenez la console Gestionnaire de serveur. Le graphique reprsente les requtes sur le serveur. 13. Dans la console Gestionnaire de serveur, tapez CTRL-G, puis tapez de nouveau CTRL-G. Ce rapport rpertorie le nombre total de requtes que le serveur a reues. 14. Fermez la console Gestionnaire de serveur.
46
5. Sur NYC-SVR1, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. 6. Dans le volet gauche, dveloppez NYC-SVR1, puis dveloppez Zones de recherche directes. 7. Cliquez sur la zone secondaire nwtraders.msft. Vrifiez que le nouvel enregistrement A a t rpliqu. 8. Si l'enregistrement n'apparat pas, cliquez avec le bouton droit sur nwtraders.msft, puis cliquez sur Actualiser. 9. Si l'enregistrement n'apparat toujours pas, cliquez avec le bouton droit sur nwtraders.msft, cliquez sur Transfert partir du matre, puis cliquez de nouveau sur Actualiser.
Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
1. Pour chaque ordinateur virtuel en cours d'excution, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone Fermer, slectionnez Arrter la machine et annuler les modifications, puis cliquez sur OK. 3. Fermez le Lanceur d'ateliers pratiques 6741A.
47
Leon 4 : Migration de WINS vers DNS Atelier pratique : Configuration d'une infrastructure WINS
La fonction du service WINS (Windows Internet Name Service) dans une infrastructure rseau est de rsoudre les noms NetBIOS en adresses IP pour garantir l'efficacit des communications entre des systmes et des applications qui continuent utiliser des noms uniques. Les versions antrieures des systmes d'exploitation Microsoft et certaines applications antrieures continuent utiliser ce type de rsolution, comme le font les employs d'une organisation pour se rattacher des ressources, telles que des serveurs Web internes. Le service WINS reste donc disponible, mais il sera supprim dans les prochaines versions de Windows Server. Aprs le retrait du service WINS, un nouveau type de zone DNS (Domain Name System) sera disponible et pourra tre rplique entre des serveurs DNS Windows Server 2008 pour rsoudre les noms d'espace de noms uniques.
48
Le service WINS rsout les noms NetBIOS en adresses IP, ce qui rduit le trafic de diffusion NetBIOS et permet aux clients de rsoudre les noms NetBIOS des ordinateurs situs sur des segments de rseau diffrents (sous-rseaux). Le service WINS reste ncessaire sur la plupart des rseaux pour plusieurs raisons. La principale tient au fait que de nombreuses applications utilisent encore NetBIOS pour fournir certaines fonctionnalits aux utilisateurs. Le service WINS est obligatoire pour les raisons suivantes : Les anciennes versions des systmes d'exploitation Microsoft confient la rsolution de noms au service WINS. Certaines applications, gnralement les plus anciennes, utilisent des noms NetBIOS. Vous pourriez devoir utiliser l'inscription dynamique de noms en une partie. Les utilisateurs peuvent avoir besoin des fonctionnalits du navigateur rseau Voisinage rseau et Favoris rseau. Vous n'utilisez peut-tre pas Windows Server 2008 en tant qu'infrastructure DNS.
Un ordinateur excutant Windows Server 2008 ne peut pas devenir un serveur WINS tant que vous n'installez pas le service WINS. Vous pouvez installer le service WINS l'aide du Gestionnaire de serveur dans le menu Outils d'administration ou en utilisant la console Tches de configuration initiales lorsque vous ouvrez une session en tant qu'administrateur. Nous vous recommandons de configurer un serveur WINS avec une adresse IP statique car les ordinateurs clients contactent le serveur WINS en utilisant une adresse IP. Remarque : WINS est un service IPv4 exclusif qui, par consquent, ne fonctionne pas dans un environnement IPv6. Pour la plupart des administrateurs, la question de savoir s'il est ncessaire ou non d'utiliser le service WINS coule de source et ne requiert pas une liste exhaustive d'applications utilisant NetBIOS. Voisinage rseau et Favoris rseau sont deux des applications les plus connues qui sont fournies avec diffrents systmes d'exploitation
49
Windows depuis des annes. Les administrateurs et les utilisateurs finaux qu'ils prennent en charge font un usage intensif de ces applications. Si vous vous servez de ces applications, vous pouvez utiliser WINS pour remplir les listes de ressources rseau que ces applications prsentent l'utilisateur. Le mcanisme d'exploration NetBIOS intgr au systme d'exploitation Windows gnre et gre ces listes. Si vous excutez des applications qui permettent aux utilisateurs d'ouvrir et d'enregistrer des donnes sur le rseau local, ou si vous slectionnez un ordinateur auquel vous souhaitez vous connecter, tel qu'un serveur ou une station de travail dans une liste de ressources rseau, il est alors probable que ces applications utilisent le mcanisme d'exploration NetBIOS pour remplir ces listes. L'utilisation de l'exploration NetBIOS implique aussi gnralement celle du service WINS. Le service WINS facilite la distribution des listes d'exploration de ressources rseau tous les systmes Windows d'un rseau. Certaines applications utilisent dsormais d'autres mcanismes que NetBIOS pour remplir ces types de listes, mais de nombreuses autres applications se servent encore du mcanisme d'exploration NetBIOS et du service WINS.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, cliquez sur les liens correspondants. Windows 2000 Server Windows Internet Naming Service (WINS) Overview (en anglais) Why you still run Windows Internet Naming Service (WINS) (en anglais)
Pour installer et configurer correctement un serveur WINS, les administrateurs systme doivent avoir une connaissance approfondie des composants WINS et de la manire dont ils fonctionnent ensemble dans un environnement rseau. Le systme WINS complet de Windows Server 2008 comprend les composants suivants :
50
Serveur WINS. Cet ordinateur traite les demandes d'inscription de nom provenant de clients WINS, inscrit les noms et les adresses IP des clients, puis rpond aux requtes de noms NetBIOS soumises par les clients. Le serveur WINS renvoie ensuite l'adresse IP d'un nom demand, si ce dernier figure dans la base de donnes du serveur. Base de donnes WINS. Cette base de donnes stocke et rplique les mappages des noms NetBIOS vers les adresses IP d'un rseau. Clients WINS. Ces ordinateurs sont configurs pour interroger un serveur WINS directement. Les clients WINS inscrivent dynamiquement leurs noms NetBIOS auprs d'un serveur WINS. Agent proxy WINS. Cet ordinateur surveille les diffusions de requtes de noms sur un sous-rseau et transfre directement ces requtes un serveur WINS. Un agent proxy WINS active des ordinateurs NetBIOS qui ne peuvent pas communiquer directement avec un serveur WINS pour rsoudre les noms NetBIOS d'ordinateurs distants.
Remarque : Windows Server 2008 vous permet de migrer du service WINS une solution DNS complte lorsque votre infrastructure prend en charge les composants requis prsents plus loin dans le module. Cette migration est rendue possible grce l'utilisation d'une zone de noms en une partie, appele GlobalNames, dans le systme DNS Windows Server 2008.
Documentation supplmentaire
Pour plus d'informations sur les composants WINS, consultez Composants WINS.
L'inscription de nom est le processus au cours duquel un client WINS demande et bnficie de l'utilisation d'un nom NetBIOS pour les services qu'il met disposition sur le rseau. La demande peut concerner un nom unique (exclusif) ou un nom de groupe (partag). La libration de nom est le processus au cours duquel un client WINS demande une dsinscription des noms NetBIOS de la base de donnes WINS.
51
Renouvellement de nom
Les inscriptions de noms WINS sont temporaires. Les clients doivent donc les renouveler rgulirement. Lorsqu'un ordinateur client s'inscrit pour la premire fois auprs d'un serveur WINS, ce dernier renvoie un message avec une valeur de dure de vie (TTL, Time-To-Live) indiquant la date d'expiration ou de renouvellement de son inscription. Si le renouvellement n'est pas effectu dans les dlais, l'inscription de nom expire sur le serveur WINS et l'entre du nom est supprime de la base de donnes WINS. Les entres statiques de noms WINS n'expirent pas. Par consquent, il n'est pas ncessaire de les renouveler dans la base de donnes du serveur WINS.
52
Documentation supplmentaire
Pour plus d'informations sur la vrification de l'inscription WINS de noms NetBIOS clients, consultez Vrifier l'inscription WINS des noms NetBIOS clients.
53
Le traitement en rafale permet un serveur WINS de grer un nombre lev de demandes d'inscription de nom simultanes. Sans traitement en rafale, il est possible qu'un nombre lev de demandes d'inscription de nom simultanes empche le serveur WINS de rpondre en temps voulu. Les clients peuvent alors considrer que le serveur WINS n'est pas disponible. Le traitement en rafale permet au serveur WINS de rpondre positivement et immdiatement aux clients WINS sans accepter rellement la demande d'inscription de nom. Le processus de traitement en rafale est le suivant : 1. Un serveur WINS lance le traitement en rafale ds que le nombre de demandes d'inscription de client WINS dans la file d'attente dpasse la taille limite de la file d'attente dfinie pour le traitement en rafale sur le serveur WINS. 2. Une fois que ce seuil est dpass, le serveur WINS envoie immdiatement une rponse positive aux demandes supplmentaires des clients. Cette rponse comprend galement un intervalle de renouvellement trs bref (cinq minutes par dfaut), ce qui permet de rguler la charge d'inscription de client et de rpartir le traitement des demandes dans le temps. La frquence d'actualisation et de tentative est ralentie pour les nouveaux clients WINS et le trafic des clients WINS est rgul. Les clients qui inscrivent leur nom lorsque le mode rafale est invoqu doivent renouveler l'inscription de leur nom aprs un dlai trs court, au bout duquel le serveur WINS peut tre en mesure de grer correctement la demande et d'entrer les informations dans sa base de donnes. Le seuil de traitement en rafale est un paramtre configurable. Il peut tre dfini sur Faible (300), Moyen (500) ou lev (1 000), ou encore une valeur personnalise (de 50 5 000). Remarque : chaque client WINS peut inscrire plusieurs noms NetBIOS uniques (service Affichage des messages, station de travail et serveur). Par consquent, si 400 clients WINS s'inscrivent simultanment aprs une panne de courant, 1 200 demandes d'inscription de nom NetBIOS peuvent potentiellement parvenir un serveur WINS en une seule rafale. Il est donc important d'adapter la configuration du traitement en rafale votre environnement rseau.
Documentation supplmentaire
Pour plus d'informations sur le traitement en rafale, consultez Traitement en rafale.
54
Pour que des clients puissent utiliser un serveur WINS pour la rsolution de noms, vous devez d'abord les configurer avec l'adresse IP du serveur WINS. Vous pouvez le faire manuellement l'aide du paramtre local TCP/IP (Transmission Control Protocol/Internet Protocol) du client ou dynamiquement avec le protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez configurer des clients WINS avec une liste de plusieurs serveurs WINS. Le client WINS tente de n'utiliser que le serveur WINS figurant en premier dans sa liste de configurations TCP/IP. Si le premier serveur WINS ne rpond pas, les clients WINS contactent les autres serveurs WINS jusqu' ce qu'ils reoivent une rponse ou qu'ils puisent la liste des serveurs WINS utilisables. Pour la famille Windows Server 2008, la famille Windows Server 2003, Windows Vista, Windows XP et Windows 2000, les clients WINS utilisent le processus suivant pour rsoudre un nom une fois la demande NetBIOS effectue : 1. Le client vrifie son cache de noms NetBIOS local. 2. Le client WINS contacte le premier serveur WINS trois reprises pour rsoudre le nom. 3. Si le premier serveur WINS ne rpond pas, le client contacte les autres serveurs WINS disponibles jusqu' ce qu'il obtienne une rponse. 4. Si un serveur WINS rsout le nom NetBIOS, l'adresse IP est renvoye au client. Aprs avoir reu la rponse, le client utilise cette adresse pour se connecter la ressource souhaite. Si aucun serveur WINS ne peut rsoudre le nom NetBIOS, le processus de rsolution se poursuit en dehors du service WINS. Le client avec nud H tente une diffusion. Si la diffusion choue, le client vrifie le fichier Lmhosts.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, cliquez sur les liens correspondants. Rsolution de noms NetBIOS sur TCP/IP et fonctionnement de WINS Ordre de rsolution des noms d'htes Microsoft TCP/IP
55
Un type de nud NetBIOS est un paramtre configurable qui dtermine la mthode utilise par un ordinateur pour rsoudre un nom NetBIOS en adresse IP. Le type de nud NetBIOS permet un administrateur de contrler les mthodes de rsolution de noms NetBIOS que les clients implmentent et l'ordre dans lequel ils utilisent ces mthodes. Vous devez comprendre le fonctionnement des diffrents types de nuds pour pouvoir configurer correctement votre solution WINS. Windows Server 2008 prend en charge les types de nuds suivants : Nud-B (diffusion). Les clients utilisent des diffusions NetBIOS pour l'inscription et la rsolution de noms.
Remarque : dans un grand rseau, les diffusions peuvent accrotre la charge rseau. En outre, les routeurs ne transmettent pas par dfaut les diffusions. Par consquent, seuls les ordinateurs sur le rseau local peuvent rpondre. Nud-P (point point). Les clients utilisent un serveur WINS pour rsoudre des noms NetBIOS. Le nud-P vous oblige configurer tous les ordinateurs avec l'adresse IP d'un serveur WINS. Les ordinateurs peuvent ainsi rsoudre des noms NetBIOS via des routeurs. Si le serveur de noms NetBIOS ne fonctionne pas, les ordinateurs ne peuvent pas rsoudre les noms NetBIOS. Le nud-P rduit le trafic de diffusion sur un rseau. Nud-M (mixte). Ce type de nud combine le nud-B et le nud-P. Les clients tentent d'abord de rsoudre des noms NetBIOS l'aide de diffusions NetBIOS. Si la diffusion ne parvient pas rsoudre le nom, le client tente de le faire en contactant un serveur WINS. Vous pouvez appliquer cette configuration un scnario dans lequel une succursale ne possde pas de serveur WINS. En utilisant le type de nud-M, les clients tentent d'abord de recourir une diffusion pour rsoudre des noms d'ordinateurs locaux et utilisent le serveur WINS pour rsoudre des noms d'ordinateurs distants uniquement. Nud-H (hybride). Ce type de nud combine le nud-P et le nud-B. Les clients tentent d'abord de rsoudre les noms NetBIOS l'aide d'un serveur WINS. Si le serveur WINS ne rsout pas le nom, le client tente de le faire en utilisant une
56
diffusion NetBIOS. Windows Server 2008, Windows Server 2003, Microsoft Vista et Microsoft Windows XP sont configurs pour utiliser le nud-B par dfaut. Si un ordinateur qui excute Windows Vista, Windows XP, Windows Server 2008, Windows Server 2003 ou Microsoft Windows 2000 est configur avec l'adresse IP d'un serveur WINS pour la rsolution de noms, il utilise le nud-H par dfaut. Vous pouvez utiliser les options du protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer le type de nud aux clients. Vous pouvez galement dfinir manuellement le type de nud en ajoutant la valeur reg_dword nomme nodetype dans le Registre sous la cl HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters. Les paramtres valides sont 1 pour le nud-B, 2 pour le nud-P, 4 pour le nud-M et 8 pour le nud-H. Remarque : Pour afficher le type de nud d'un ordinateur, tapez ipconfig /all l'invite de commandes.
Documentation supplmentaire
Pour plus d'informations sur la rsolution de noms NetBIOS sur TCP/IP et le service WINS, consultez Rsolution de noms NetBIOS sur TCP/IP et fonctionnement de WINS. Leon 2 :
Pour que le serveur WINS fonctionne efficacement dans un environnement Microsoft, les noms des clients et des serveurs doivent tre inscrits auprs du service WINS. Il peut arriver que des entres incorrectes dans la base de donnes du serveur WINS crent des problmes pour la rsolution de noms NetBIOS. Bien que WINS soit un serveur dynamique et que les oprations de cration et suppression d'enregistrements soient automatiques, des problmes peuvent parfois survenir avec les enregistrements. Un administrateur doit alors accder manuellement
57
la base de donnes pour les corriger. Les administrateurs peuvent utiliser les consoles MMC (Microsoft Management Console) WINS pour consulter les enregistrements inscrits dans la base de donnes. Ils peuvent ainsi identifier les entres incorrectes et supprimer ou crer des enregistrements le cas chant. Vous devez sauvegarder rgulirement le serveur WINS pour faciliter la rcupration d'urgence en cas d'endommagement de la base de donnes. Cette sauvegarde est automatique et s'excute toutes les 24 heures sur le serveur WINS. Toutefois, l'administrateur doit spcifier l'emplacement dans lequel stocker la sauvegarde de la base de donnes WINS. Avec le temps, la base de donnes peut perdre en efficacit en raison de l'utilisation inefficiente de l'espace. Par consquent, il est ncessaire de compacter la base de donnes WINS rgulirement, selon le nombre de clients et de l'utilisation.
La base de donnes WINS est compose d'enregistrements clients. Un enregistrement client contient des informations dtailles pour chaque service dpendant de NetBIOS qui s'excute sur un client WINS. Le service WINS affiche tous les enregistrements de la base de donnes et organise les informations de ces enregistrements dans les colonnes suivantes : Nom d'enregistrement. Nom NetBIOS inscrit, pouvant tre un nom unique ou reprsenter un groupe, un groupe Internet ou un ordinateur multirsident. Type. Service qui a inscrit l'entre, y compris l'identificateur de type hexadcimal. Adresse IP. Adresse IP correspondant au nom NetBIOS inscrit qui hberge le service NetBIOS. tat. tat de l'entre de la base de donnes ; il peut tre actif, libr ou dsactiv. Une entre dsactive est une entre inactive, marque pour tre supprime de la base de donnes. Statique. Indique si le mappage est statique. Propritaire. Serveur WINS d'o provient l'entre. Du fait de la rplication, il ne s'agit pas ncessairement du mme serveur que celui sur lequel vous visualisez la base de donnes.
58
Version. Nombre hexadcimal unique affect par le serveur WINS lors de l'inscription de nom. Au cours de la rplication, le partenaire rcepteur du serveur utilise l'ID de version pour trouver de nouveaux enregistrements. Expiration. Indique quand l'entre expire. Une date d'expiration est dfinie lorsqu'un rplica est enregistr dans la base de donnes. La date d'expiration est calcule partir de l'heure actuelle (indique par le serveur WINS rcepteur) laquelle on ajoute l'intervalle de renouvellement dfini sur le client.
Documentation supplmentaire
Pour plus d'informations sur l'affichage des enregistrements WINS, consultez Affiche les enregistrements WINS.
Le nettoyage est le processus qui consiste supprimer de la base de donnes WINS des entres qui ont expir. Le nettoyage supprime galement les entres qui ont t rpliques partir d'un serveur WINS distant et qui n'ont pas t supprimes de la base de donnes WINS locale. Le nettoyage permet de maintenir les informations dans un tat correct dans la base de donnes en examinant chaque enregistrement appartenant au serveur WINS, en comparant l'horodatage de l'enregistrement avec l'heure actuelle, puis en modifiant l'tat des enregistrements dont l'tat a expir. Par exemple, le nettoyage modifie l'tat d'un enregistrement de actif libr . Le processus de nettoyage intervient automatiquement des intervalles dfinis par la relation entre les configurations d'intervalle de renouvellement et d'extinction. Vous pouvez dfinir cette relation en configurant les proprits dcrites dans le tableau suivant :
Intervalle
Description
Renouvellement Frquence laquelle un client WINS renouvelle son inscription de nom auprs du serveur WINS. La valeur par dfaut est de six jours. Extinction Intervalle entre l'heure laquelle une entre est marque comme libre (plus
59
inscrite) et l'heure laquelle elle est marque comme teinte. La valeur par dfaut est de quatre jours. Dlai d'extinction Intervalle entre l'heure laquelle une entre est marque comme teinte et l'heure laquelle elle est effectivement supprime de la base de donnes WINS. La valeur par dfaut est la mme que celle de l'intervalle de renouvellement et ne peut pas tre infrieure 24 heures. Intervalle aprs lequel le serveur WINS vrifie que les noms dont il n'est pas propritaire (les noms dupliqus partir d'autres serveurs WINS) sont encore actifs. La valeur minimale est de 24 jours.
Vrification
Remarque : le service WINS ne doit pas tre arrt ni redmarr avant que la moiti de l'intervalle de renouvellement ne se soit coule. Dans le cas contraire, le nettoyage ne pourra pas se produire.
Documentation supplmentaire
Pour plus d'informations sur la maintenance de la base de donnes WINS, consultez Maintenance de la base de donnes WINS.
Vous pouvez rcuprer de l'espace dans la base de donnes WINS en supprimant les enregistrements obsoltes. La console de gestion WINS offre une gestion de base de donnes amliore, grce la prise en charge des oprations de suppression suivantes : la suppression simple d'enregistrements de base de donnes WINS stocks sur une base de donnes de serveur unique ; la dsactivation, c'est--dire la suppression d'enregistrements marqus pour tre supprims (dsactivs) de la base de donnes WINS ; la suppression intervient seulement lorsque les enregistrements ont t rpliqus dans des bases de donnes d'autres serveurs WINS ; la possibilit de slectionner plusieurs groupes d'enregistrements de base de donnes affichs au cours de la suppression simple ou de la dsactivation.
60
Documentation supplmentaire
Pour plus d'informations sur la suppression et la dsactivation d'enregistrements, consultez Suppression et dsactivation d'enregistrements.
Si vous ne pouvez pas rparer les dommages causs la base de donnes suite une dfaillance du systme, une attaque de virus, une panne d'lectricit ou tout autre incident, vous pouvez restaurer la base de donnes partir d'une sauvegarde. La console de gestion WINS fournit des outils de sauvegarde pour la base de donnes WINS. Une fois que vous avez spcifi un rpertoire de sauvegarde pour la base de donnes, le service WINS effectue des sauvegardes compltes de la base de donnes toutes les 24 heures, par dfaut. La console de gestion WINS fournit galement une option de sauvegarde que vous pouvez utiliser pour restaurer une base de donnes de serveur en cas d'altration. Procdez comme suit pour restaurer une base de donnes WINS endommage : 1. Arrtez le service WINS. tant donn qu'un serveur peut ncessiter plusieurs minutes de traitement avant d'arrter le service WINS, assurez-vous que le service est compltement arrt avant de procder la restauration. 2. Supprimez la base de donnes WINS existante en supprimant tous les fichiers du dossier %system root%\System32\Wins sur le serveur WINS. 3. Utilisez la console de gestion WINS pour restaurer la base de donnes WINS. Remarque : vous pouvez galement effectuer une rplication partir d'un serveur WINS secondaire, si vous disposiez de deux serveurs disponibles.
61
Documentation supplmentaire
Pour plus d'informations sur la maintenance de la base de donnes WINS, consultez Maintenance de la base de donnes WINS.
La rcupration de l'espace non utilis d'une base de donnes WINS contribue maintenir un niveau de performances lev. mesure que vous supprimez les clients WINS devenus obsoltes, la taille de la base de donnes WINS occupe un espace de plus en plus important par rapport celui qu'elle utilise rellement. Le serveur ne rcupre pas automatiquement l'espace utilis pour stocker des enregistrements obsoltes. Le compactage de la base de donnes WINS vous permet de rcuprer l'espace inutilis. Dans Windows Server 2008, le service WINS effectue un compactage Jet dynamique de la base de donnes WINS pendant que le serveur est en ligne. Le compactage dynamique s'excute en arrire-plan durant la priode d'inactivit correspondant la mise jour de la base de donnes. Cette mthode limite le besoin d'excuter un compactage hors connexion. Remarque : le service WINS utilise le format de base de donnes Jet pour stocker ses donnes. Jet cre le fichier J.log ainsi que d'autres fichiers dans le dossier %systemroot%\System32\Wins. Mme si le compactage dynamique rduit considrablement la ncessit de recourir au compactage hors connexion, ce dernier permet une meilleure rcupration de l'espace et doit tre ralis priodiquement. La frquence de compactage manuel de la base de donnes WINS dpend de votre rseau. Sur les rseaux occups et de grande envergure, comptant plus de 1000 clients WINS, vous devez effectuer un compactage hors connexion tous les mois. La frquence de compactage manuel peut tre moins leve pour des rseaux de taille limite.
62
L'outil en ligne de commande Jetpack vous permet d'excuter un compactage hors connexion de la base de donnes WINS. Pour effectuer un compactage hors connexion, procdez comme suit : 1. Arrtez le service WINS. 2. l'invite de commandes, accdez au dossier %systemroot%\System32\Wins, puis tapez jetpack.exe wins.mdb temp.mdb. 3. Dmarrez le service WINS. Remarque : la vrification de la taille du fichier Wins.mdb avant et aprs le compactage vous permet de mesurer la croissance et la rduction de la base de donnes. Cette information vous aide valuer les avantages de l'utilisation du compactage hors connexion. Vous pouvez ainsi valuer la frquence de compactage hors connexion ncessaire pour obtenir des rsultats satisfaisants. Vous pouvez contrler tous les changements de taille du fichier de base de donnes du serveur Wins.mdb, situ dans le dossier %systemroot%\System32\Wins.
Documentation supplmentaire
Pour plus d'informations sur l'utilisation de jetpack.exe pour compacter une base de donnes WINS ou DHCP, consultez Comment faire pour utiliser Jetpack.exe pour compacter une base de donnes WINS ou DHCP. Leon 3 :
Par dfaut, un serveur WINS contient uniquement des informations sur ses propres clients. Pour garantir l'efficacit de la rsolution de noms NetBIOS dans un environnement contenant plusieurs serveurs WINS, chaque serveur WINS doit reconnatre tous les clients, indpendamment du serveur WINS qui les a inscrits.
63
La rplication WINS se produit entre deux serveurs WINS pour conserver une cohrence des donnes entre plusieurs serveurs WINS. La rplication des donnes WINS garantit qu'un nom inscrit auprs d'un serveur WINS est rpliqu sur tous les autres serveurs WINS du rseau. Par consquent, un client WINS peut rsoudre n'importe quel nom NetBIOS du rseau, quel que soit le serveur WINS sur lequel il a t inscrit. Lorsqu'un rseau utilise plusieurs serveurs WINS, vous pouvez configurer les serveurs WINS en tant que partenaire metteur, partenaire collecteur ou partenaire metteur/Collecte d'un ou plusieurs serveurs WINS. La configuration par dfaut des partenaires de rplication WINS est du type rplication par mission/rception. Cependant, vous pouvez modifier cette configuration en fonction des exigences de votre environnement rseau. Remarque : au lieu de rpliquer l'intgralit de leurs bases de donnes, les serveurs WINS rpliquent uniquement les modifications qui y sont apportes.
La rplication par mission correspond au processus de copie de donnes WINS mises jour partir d'un serveur WINS vers d'autres serveurs WINS chaque fois qu'un seuil spcifi de modifications est atteint. Vous devez configurer un partenaire de rplication en tant que partenaire metteur si les serveurs sont relis par des liaisons rapides. De cette faon, les bases de donnes WINS maintiennent un haut niveau de synchronisation, bien qu'en principe le trafic de rplication augmente bien entendu en consquence. La rplication par mission se produit chaque fois que le seuil est atteint, indpendamment de l'activit actuelle du rseau. Cela peut provoquer du trafic rseau tendu (WAN) non dsir pendant les heures d'activit maximale du rseau.
Documentation supplmentaire
Pour plus d'informations sur les partenaires metteurs, consultez Partenaires metteurs.
64
La rplication par rception est un processus qui consiste copier les donnes WINS mises jour partir d'un serveur WINS vers un autre serveur WINS des intervalles configurables spcifiques. Vous devez configurer un partenaire de rplication en tant que partenaire rcepteur si les serveurs WINS sont relis par des liaisons lentes. Cette configuration limite la frquence du trafic de rplication sur la liaison. Vous pouvez, par exemple, planifier la rplication de sorte qu'elle intervienne aux heures creuses, pour viter qu'elle ne se produise au cours des priodes de trafic lev. Si vous optez pour la rplication par rception, vous devez savoir qu'une frquence de rplication plus faible contribue rduire la synchronisation des bases de donnes WINS. Lorsqu'un serveur WINS possde des donnes incompltes, certaines tentatives de rsolution de noms peuvent chouer.
Documentation supplmentaire
Pour plus d'informations sur les partenaires collecteurs, consultez Partenaires collecteurs.
65
Lors de la rplication par mission/rception, le serveur WINS met jour ses enregistrements avec les nouvelles entres de bases de donnes provenant de ses partenaires de rplication. Ce processus est bas sur un seuil de rplication et un intervalle de rplication. Vous devez configurer un partenaire de rplication en tant que partenaire metteur/Collecte si vous souhaitez spcifier un seuil et un intervalle de rplication pour le partenaire. Vous vous assurez ainsi que la base de donnes WINS demeure synchronise, quel que soit le nombre de modifications apportes. En fait, la rplication se produit lorsque le seuil des modifications a t atteint ou lorsque l'intervalle entre les notifications de rplication a t dpass. La rplication par rception se produit toujours intervalle prdfini. Le seuil de la rplication par mission peut ne jamais tre atteint, car chaque rplication par rception remet zro le nombre de modifications non rpliques. Les partenaires de rplication WINS sont configurs en tant que partenaires metteurs/Collectes par dfaut. Cette configuration constitue la mthode la plus simple et la plus efficace pour s'assurer que les bases de donnes sur ces serveurs sont toujours pratiquement identiques.
Documentation supplmentaire
Pour plus d'informations sur la rplication WINS, consultez Vue d'ensemble de la rplication WINS.
66
La vrification de la cohrence de la base de donnes WINS permet de maintenir son intgrit entre les diffrents serveurs WINS d'un rseau de grande envergure. Lorsque vous initiez la vrification de la cohrence partir la console de gestion WINS, les enregistrements sont vrifis sur chacun des propritaires rpertoris dans la base de donnes du serveur en cours, y compris les autres serveurs WINS partenaires de rplication indirects (qui ne sont pas configurs directement). Le serveur WINS compare toutes ses entres avec celles des autres serveurs WINS pour vrifier que sa base de donnes contient les entres correctes. Tous les enregistrements extraits des bases de donnes distantes sont compars ceux de la base de donnes locale. La cohrence est vrifie comme suit : Si l'enregistrement de la base de donnes locale est identique celui de la base de donnes propritaire, son horodatage est mis jour par rapport celui de la base de donnes propritaire. Si l'enregistrement de la base de donnes locale possde un ID de version infrieur celui de l'enregistrement de la base de donnes propritaire, ce dernier est ajout la base de donnes locale et l'enregistrement local d'origine est marqu pour suppression.
Remarque : vous pouvez configurer le serveur WINS afin qu'il vrifie automatiquement la cohrence de la base de donnes une heure prdfinie, ou vous pouvez invoquer le processus manuellement.
Documentation supplmentaire
Pour plus d'informations sur la vrification manuelle de la cohrence de la base de donnes, consultez Vrifier manuellement la cohrence de la base de donnes. Leon 4 :
Aujourd'hui, de nombreux clients Microsoft dploient la technologie et des serveurs WINS dans leur environnement. Le service WINS est un protocole de rsolution de noms pouvant tre utilis la place du systme DNS. Il s'agit d'un service plus ancien qui utilise NetBIOS sur TCP/IP (NetBT). WINS et NetBT ne prennent pas en charge les protocoles IPv6 et passent en mode hrit sous Windows Server 2008. Pour aider les clients migrer vers le systme DNS pour tout type de rsolution de noms, le rle de serveur DNS dans Windows Server 2008 prend en charge une fonctionnalit spciale appele GNZ (GlobalNames Zone). Certains clients requirent la capacit de disposer des enregistrements globaux statiques portant des noms en une partie que le service WINS fournit actuellement. Ces noms en une partie font gnralement rfrence des enregistrements pour des serveurs importants, connus et largement utiliss pour la socit, ainsi que pour des serveurs affects d'adresses IP statiques et actuellement grs par des administrateurs informatiques l'aide du service WINS. La zone GNZ est conue pour activer la rsolution de ces noms globaux, statiques et en une partie pour les serveurs l'aide du systme DNS. Elle est destine faciliter le retrait du service WINS sans toutefois le remplacer. Elle n'a pas pour fonction de prendre en charge la rsolution des noms en une partie des enregistrements inscrits dynamiquement auprs du service WINS et de ceux qui ne sont pas habituellement grs par des administrateurs informatiques. La pris en charge de ces enregistrements inscrits dynamiquement n'est pas volutive, notamment pour les clients de grande taille dots de plusieurs domaines et/ou forts.
68
Par dfaut, les clients DNS ajoutent des suffixes qu'ils obtiennent de plusieurs sources pour rsoudre un nom en une partie. Pour les ordinateurs excutant Windows XP ou Windows Vista, l'ordre des suffixes DNS est le suivant : 1. Le suffixe DNS principal, qui correspond au domaine auquel l'ordinateur client est joint. Remarque : si vous utilisez la stratgie de groupe, le suffixe DNS principal n'est pas employ. 2. La liste de recherche de suffixes DNS configure par la stratgie de groupe. Tout autre traitement utilisant des suffixes DNS s'arrte ce stade. 3. S'il n'existe pas de stratgie de groupe : a. Le suffixe DNS spcifique la connexion pour chaque adaptateur utilis. b. Pour les adaptateurs IPv6 Vista utilisant des serveurs DHCPv6, s'il existe une liste de recherche de suffixes spcifiques la connexion configure via des serveurs DHCPv6 pour un adaptateur, les suffixes de la liste sont ajouts dans l'ordre. 4. Si le nom ne peut pas tre rsolu avec le systme DNS en utilisant diffrents suffixes, la requte bascule vers le service WINS. Remarque : La nature hirarchique du systme DNS ne permet pas de garantir qu'un nom sera unique sur plusieurs domaines et/ou forts, bien qu'il le soit dans un domaine donn. Le dlai d'expiration des requtes est limit 12 secondes. Quel que soit le nombre de suffixes configurs pour un client DNS, la requte expire et retourne la rsolution WINS, si elle est disponible, au bout de 12 secondes.
69
Documentation supplmentaire
Pour plus d'informations sur le document sur le dploiement de la zone GlobalNames du serveur DNS, consultez Dploiement de la zone GlobalNames du serveur DNS.
La zone GlobalNames n'est pas un nouveau type de zone, mais son nom rserv la distingue. Le nom GlobalNames indique au service Serveur DNS en cours d'excution dans Windows Server 2008 que la zone doit tre utilise pour la rsolution de noms en une partie. Il est recommand de dployer la zone GNZ l'aide d'une zone intgre aux services de domaine Active Directory (AD DS), appele GlobalNames, et distribue globalement. Par exemple, la zone GNZ peut contenir des enregistrements DNS pour mapper un nom en une partie vers un nom de domaine complet (FQDN) l'aide d'un enregistrement de ressource de nom canonique (CNAME). Le nom de domaine complet permet ensuite de rsoudre le nom en adresse IP en utilisant la logique DNS existante.
Documentation supplmentaire
Pour plus d'informations sur le document sur le dploiement de la zone GlobalNames du serveur DNS, consultez Dploiement de la zone GlobalNames du serveur DNS.
70
Le processus de rsolution des noms de la zone GlobalNames s'effectue comme suit : 1. Un utilisateur tape http://mycontoso dans la barre d'adresses du navigateur sur un ordinateur joint au domaine engineering.corp.contoso.com. 2. Le navigateur appelle la fonction GetAddrInfo() pour rsoudre le nom mycontoso. 3. GetAddrInfo() appelle le client DNS pour rsoudre le nom. 4. Le client DNS envoie les requtes qualifies suivantes (selon la liste de recherche de suffixes) : a. mycontoso.engineering.corp.contoso.com > Erreur de nom b. mycontoso.accounting.corp.contoso.com > Erreur de nom c. mycontoso.itgroup.corp.contoso.com > Erreur de nom 5. Si les requtes qualifies chouent, le serveur DNS recherche la zone GlobalNames (si elle est configure) et tente de rsoudre le nom en une partie de cette zone. Remarque : il s'agit du processus de rsolution par dfaut que le client excute. Vous pouvez modifier ce comportement en procdant comme suit : Par dfaut, un serveur DNS faisant autorit utilise d'abord les donnes de la zone locale pour rpondre une requte, avant de recourir la zone GNZ pour dterminer si le nom existe. Si la zone GNZ ne contient pas de donnes pertinentes et que la rsolution l'aide de suffixes choue, la rsolution bascule vers le service WINS. L'interrogation pralable des donnes de la zone locale permet d'optimiser les performances. Il est possible de modifier ce comportement l'aide de l'interface de ligne de commande DNS : DnsCmd <Server> /Config /GlobalNamesQueryOrder <order>. Pour l'ordre, 0 spcifie que la zone GNZ est interroge en premier, alors que 1 spcifie que c'est la zone locale. Remarque : tous les serveurs DNS qui hbergent une zone GNZ doivent excuter
71
Documentation supplmentaire
Pour plus d'informations sur le document sur le dploiement de la zone GlobalNames du serveur DNS, consultez Dploiement de la zone GlobalNames du serveur DNS.
Il existe plusieurs mthodes pour implmenter la zone GlobalNames : dployer plusieurs forts ; dployer tous les domaines et tous les ordinateurs clients dans toutes les forts ; utiliser un jeu slectionn de serveurs DNS pour hberger la zone GNZ.
72
Dploiement de tous les domaines et de tous les ordinateurs clients dans toutes les forts
Cette mthode est recommande pour les grandes entreprises possdant un grand nombre de forts et de domaines. Elle assure la rsolution des noms en une partie configurs dans la zone GNZ pour tous les ordinateurs clients joints un domaine dans les forts. Comme la zone GNZ est relativement statique, elle ne devrait pas provoquer de trafic rseau excessif entre les serveurs DNS contrleurs de domaine qui l'hbergent : 1. Vrifiez que tous les serveurs DNS faisant autorit dans la fort sont des serveurs DNS contrleurs de domaine qui excutent Windows Server 2008 (version bta 3 ou ultrieure). 2. Vrifiez que la fonctionnalit GNZ a t active sur chaque serveur DNS de la fort, tel qu'indiqu dans la section ci-dessus Activer la fonctionnalit GNZ . 3. Sur un serveur DNS contrleur de domaine de la fort, crez une zone GNZ intgre aux services de domaine Active Directory, tel que dcrit dans la section Crer la zone GlobalNames . 4. Rpliquez la zone GNZ sur tous les contrleurs de domaine de la fort qui sont des serveurs DNS. Autrement dit, ajoutez la zone GNZ la partition d'application DNS au niveau de la fort. 5. Ajoutez un enregistrement CNAME pour un nom en une partie pointant vers le nom de domaine complet du serveur Web. Exemple : dnscmd /RecordAdd GlobalNames cweb CNAME cweb.itgroup.corp.contoso.com 6. Dans chacune des autres forts, ajoutez la zone __msdcs l'chelle de la fort, qui doit tre rplique sur tous les serveurs DNS de la fort, des enregistrements de ressource SRV pointant sur chaque serveur DNS contrleur de domaine distant qui hberge une copie locale de la zone GNZ : Champ Nom : "_globalnames._msdcs.Nom_de_domaine_complet_de_la_fort(n)" Champ Donnes : "[Priorit][Poids][Port]Nom_de_domaine_complet_du_serveur_DNS_distant_hbergeant _la_zone_GNZ" Les paramtres Priorit et Poids peuvent tre slectionns selon les rgles SRV standard dfinies dans le document RFC 2782, ou ils peuvent tre affects de la mme valeur (exemple : priorit=10, poids=10) pour que le systme DNS alterne entre les serveurs GNZ disponibles. Exemple : Champ Nom : "_globalnames._msdcs.acct.corp.contoso.com" Champ Donnes : "10 10 53 LH-SRV01.eng.corp.contoso.com"
73
configurs dans la zone GNZ pour tous les ordinateurs clients joints un domaine dans les forts. Il est recommand d'utiliser un ensemble slectionn de contrleurs de domaine et de serveurs DNS pour hberger la zone GNZ s'il est essentiel de limiter le trafic de rplication DNS entre les serveurs qui hbergent la zone GNZ. Pour cela, procdez comme suit : 1. En commenant au niveau d'une fort, vrifiez que tous les serveurs DNS faisant autorit dans la fort sont des serveurs DNS contrleurs de domaine qui excutent Windows Server 2008. 2. Vrifiez que la fonctionnalit GNZ a t active sur chaque serveur DNS de la fort, tel qu'indiqu dans la section ci-dessus Activer la fonctionnalit GNZ . 3. Crez une partition d'application DNS personnalise (A). 4. Sur un serveur DNS contrleur de domaine de la fort, crez une zone GNZ intgre aux services de domaine Active Directory, tel que dcrit dans la section Crer la zone GlobalNames . Rpliquez la zone GNZ sur tous les contrleurs de domaine dans l'tendue de la partition d'application personnalise (A). 5. Inscrivez les autres serveurs DNS contrleurs de domaine de la fort qui ont t slectionns pour hberger la zone GNZ dans la partition d'application personnalise (A). 6. Ajoutez un enregistrement CNAME pour un nom en une partie pointant vers le nom de domaine complet du serveur Web. Exemple : dnscmd /RecordAdd GlobalNames cweb CNAME cweb.itgroup.corp.contoso.com 7. Dans chacune des autres forts, ajouter la partition d'application DNS l'chelle de la fort par dfaut, des enregistrements de ressource SRV pointant sur chaque serveur DNS contrleur de domaine distant qui hberge une copie locale de la zone GNZ : Champ Nom : "_globalnames._msdcs.Nom_de_domaine_complet_de_la_fort(n)" Champ Donnes : "[Priorit][Poids][Port]Nom_de_domaine_complet_du_serveur_DNS_distant_hbergeant _la_zone_GNZ" Exemple : Champ Nom : "_globalnames._msdcs.acct.corp.contoso.com" Champ Donnes : "[Priorit][Poids][Port]LH-SRV01.eng.corp.contoso.com"
Conditions pralables
Pour obtenir la fonctionnalit GNZ pour un domaine ou une fort en particulier, tous les serveurs DNS faisant autorit doivent excuter Windows Server 2008 (version bta 3 ou ultrieure). Notez qu'il n'est pas ncessaire que tous les contrleurs de domaine excutent Windows Server 2008. Les contrleurs de domaine qui ne sont pas galement des serveurs DNS faisant autorit peuvent excuter d'autres versions de Windows lors du dploiement de la zone GNZ. Vrifiez qu'il n'existe pas dj de zone nomme GlobalNames. Si c'est le cas, vous devez renommer la zone existante. Pour une zone GNZ plusieurs forts, vrifiez que les serveurs qui n'hbergent pas la zone GNZ sont intgrs aux services de domaine Active Directory et qu'ils
74
hbergent la zone _msdcs pour leur fort. La zone GNZ elle-mme peut tre stock dans un fichier. Remarque : dans chacune des autres forts, ajoutez la zone __msdcs l'chelle de la fort, qui doit tre rplique sur tous les serveurs DNS de la fort, des enregistrements de ressource SRV pointant sur chaque serveur DNS contrleur de domaine distant qui hberge une copie locale de la zone GNZ. Champ Nom : "_globalnames._msdcs.Nom_de_domaine_complet_de_la_fort(n)" Champ Donnes : "[Priorit][Poids][Port]Nom_de_domaine_complet_du_serveur_DNS_distant_hbergeant _la_zone_GNZ" Les paramtres Priorit et Poids peuvent tre slectionns selon les rgles SRV standard dfinies dans le document RFC 2782, ou ils peuvent tre affects de la mme valeur (exemple : priorit=10, poids=10) pour que le systme DNS alterne entre les serveurs GNZ disponibles. Pour obtenir la fonctionnalit GNZ pour un domaine ou une fort en particulier, tous les serveurs DNS excutant Windows Server 2008 qui font autorit pour une zone et qui traitent les demandes de requtes clientes doivent tre configurs avec une copie locale de la zone GNZ ou pouvoir contacter des serveurs DNS distants hbergeant la zone GNZ. Pour simplifier la configuration et la gestion, il est recommand de configurer des serveurs DNS faisant autorit avec la copie de la zone GNZ stocke par le service Active Directory local. Vrifiez que le paramtre de Registre GlobalNames Zone est activ sur tous les serveurs DNS, y compris ceux qui n'hbergent pas la zone GNZ localement, en utilisant la commande dnscmd de la manire suivante :
dnscmd <nom_serveur>/config /enableglobalnamessupport 1 Les administrateurs doivent configurer des noms dans la zone GNZ de manire statistique. Tous les noms grs par informatique et dj configurs statistiquement dans le service WINS constituent un jeu appropri d'enregistrements que vous pouvez ajouter la zone GNZ. Si les noms grs par informatique sont disponibles par le biais de la zone GNZ et si aucun autre nom en une partie ne doit tre rsolu globalement dans la fort ou plusieurs forts, les clients ne reviennent pas aux serveurs WINS : Les mises jour dynamiques dans la zone GNZ ne sont pas prises en charge actuellement. Comme la zone GNZ est relativement statique, lorsque qu'elle est intgre aux services de domaine Active Directory, elle ne devrait pas produire de trafic rseau excessif entre les serveurs DNS contrleurs de domaine qui l'hbergent.
75
N'essayez pas d'activer des mises jour dynamiques pour tous les enregistrements (y compris ceux qui ne sont pas grs par informatique) dans la zone GNZ. Cette mthode n'est pas volutive en raison des donnes DNS dupliques et de l'augmentation du trafic rseau et de rplication.
Documentation supplmentaire
Pour plus d'informations sur le document sur le dploiement de la zone GlobalNames du serveur DNS, consultez Dploiement de la zone GlobalNames du serveur DNS.
Objectifs :
Installer le service WINS Configurer le traitement en rafale WINS Configurer la rplication WINS Migrer de WINS vers DNS
Scnario
Vous tes charg d'installer un deuxime serveur WINS pour le domaine Woodgrovebank en vue d'augmenter la tolrance de panne et d'utiliser un programme de rsolution de serveur WINS secondaire pour les clients du domaine. La cohrence et la vitesse de convergence de la base de donnes sont des facteurs primordiaux. La rplication doit tre configure de manire assurer la rplication des enregistrements selon un vecteur de changement ou un vecteur de temps, l'intervalle de rplication le plus court tant pris en compte. Aprs l'implmentation russie du serveur WINS secondaire, la direction souhaite que vous testiez l'utilisation de nouvelle zone GlobalNames dans le systme DNS Windows Server 2008 pour faciliter le retrait des serveurs WINS utiliss par le domaine
76
Woodgrovebank. Le personnel informatique juge difficile la tche de maintenance de la liste de recherche de suffixes de noms de domaine. De plus, les domaines Woodgrovebank continuent utiliser des noms en une partie pour les serveurs Web internes. Aprs l'installation, vrifiez que cette nouvelle option dans le systme DNS facilitera la dsaffectation des serveurs WINS existants.
77
Exercice 1 : Corrig (procdures dtailles) Exercice 1 : Installation du service WINS Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, pointez sur Formation Microsoft, puis cliquez sur 6741A. Le lanceur d'ateliers pratiques dmarre. 2. Dans le lanceur d'ateliers pratiques, ct de 6741A-NYC-DC1, cliquez sur Excuter. 3. Dans le lanceur d'ateliers pratiques, ct de 6741A-NYC-SVR1, cliquez sur Excuter. 4. Ouvrez une session sur les deux ordinateurs virtuels en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. 5. Rduisez la fentre du lanceur d'ateliers pratiques.
78
1. 2. 3. 4. 5.
Configurer le serveur WINS pour le traitement en rafale Crer une entre statique dans la base de donnes WINS Configurer le nettoyage sur le serveur WINS Configurer NYC-DC1 pour qu'il utilise le serveur WINS pour la rsolution NetBIOS Tester la rsolution de noms NetBIOS
2. Utilisez des inscriptions actives pour vrifier la prsence de la nouvelle entre statique. Remarque : Ne fermez pas la console WINS.
Tche 3 : Configurer le nettoyage sur le serveur WINS pour qu'il s'excute tous les sept jours
Dans la bote de dialogue Proprits WINS pour NYC-SVR1, utilisez l'onglet Intervalles pour attribuer au paramtre Dlai d'extinction la valeur 7 jours.
Tche 4 : Configurer 6741A-NYC-DC1 pour qu'il utilise le serveur WINS pour la rsolution NetBIOS
1. Sur NYC-DC1, ouvrez Connexions rseau, puis les proprits de Connexion au rseau local. 2. Dans la bote de dialogue Proprits de Connexion au rseau local, sous Cette connexion utilise les lments suivants, ouvrez les proprits de TCP/IPv4. 3. Cliquez sur Avanc et configurez l'ordinateur pour qu'il utilise le serveur WINS (dont l'adresse IP est 10.10.0.24).
79
Exercice 2 : Corrig (procdures dtailles) Exercice 2 : Configuration du traitement en rafale WINS Tche 1 : Configurer le serveur WINS sur 6741A-NYC-SVR1 pour le traitement en rafale
1. Sur NYC-SVR1, cliquez sur Dmarrer, puis pointez sur Outils d'administration. 2. Dans le menu Outils d'administration, cliquez sur WINS. La console WINS s'ouvre. 3. Dans le volet de liste, slectionnez puis cliquez avec le bouton droit sur NYCSVR1 [10.10.0.24]. Cliquez sur Proprits. 4. Dans la bote de dialogue Proprits de NYC-SVR1 [10.10.0.24], cliquez sur l'onglet Avanc. 5. Dans la section Activer la prise en charge du traitement en rafale, slectionnez l'option Faible, puis cliquez sur OK.
Tche 3 : Configurer le nettoyage sur le serveur WINS pour qu'il s'excute tous les sept jours
1. Dans le volet de liste de la console WINS, cliquez avec le bouton droit sur NYCSVR1 [10.10.0.24], puis cliquez sur Proprits. 2. Dans la bote de dialogue Proprits, cliquez sur l'onglet Intervalles. 3. Attribuez au paramtre Dlai d'extinction la valeur 7 jours, puis cliquez sur OK.
Tche 4 : Configurer NYC-DC1 pour qu'il utilise le serveur WINS pour la rsolution NetBIOS
1. Sur NYC-DC1, cliquez sur Dmarrer, cliquez avec le bouton droit sur Rseau, puis cliquez sur Proprits. 2. Dans la fentre Centre Rseau et partage, cliquez sur Grer les connexions rseau dans la liste Tches. 3. Cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits. 4. Dans la bote de dialogue Proprits de Connexion au rseau local, sous Cette connexion utilise les lments suivants, cliquez sur Protocole Internet Version 4 (TCP/IPv4), puis cliquez sur Proprits.
80
5. Dans la bote de dialogue Proprits de Protocole Internet version 4, cliquez sur Avanc. 6. Dans la bote de dialogue Paramtres TCP/IP avancs, cliquez sur l'onglet WINS et, dans la section Adresses WINS, dans l'ordre d'utilisation, cliquez sur Ajouter. 7. Spcifiez l'adresse du serveur WINS (adresse IP 10.10.0.24), puis cliquez sur Ajouter. 8. Dans la bote de dialogue Paramtres TCP/IP avancs, cliquez sur OK. 9. Dans la bote de dialogue Proprits de Protocole Internet version 4, cliquez sur OK, puis fermez la bote de dialogue Proprits de Connexion au rseau local. 10. Fermez la fentre Connexions rseau. 11. Fermez la fentre Centre rseau et partage.
81
2. Dans la fentre Outils d'administration du service WINS, utilisez Partenaires de rplication pour slectionner un nouveau partenaire de rplication avec l'adresse IP 10.10.0.10. Le volet d'informations Partenaires de rplication rpertorie NYC-DC1 en tant que partenaire metteur/Collecte.
Exercice 3 : Corrig (procdures dtailles) Exercice 3 : Configuration de la rplication WINS Tche 1 : Configurer la rplication par mission et par rception sur NYC-DC1
1. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur WINS. 2. Dans le volet de liste de la console WINS, dveloppez NYC-DC1 [10.10.0.10]. 3. Cliquez avec le bouton droit sur Partenaires de rplication, puis cliquez sur Nouveau partenaire de rplication. 4. Dans la bote de dialogue Nouveau partenaire de rplication, spcifiez l'adresse IP de NYC-SVR1 (10.10.0.24), puis cliquez sur OK. Le volet d'informations Partenaires de rplication rpertorie NYC-SVR1 en tant que partenaire metteur/Collecte.
82
4. Sur NYC-DC1, dans la console WINS, cliquez avec le bouton droit sur Partenaires de rplication, puis cliquez sur Rpliquer maintenant. Cliquez sur Oui pour dmarrer la rplication immdiatement, puis cliquez sur OK. 5. Cliquez avec le bouton droit sur Inscriptions actives, puis cliquez sur Affiche les enregistrements. 6. Dans la bote de dialogue Affiche les enregistrements, cliquez sur Rechercher. 7. Cliquez sur le nud Inscriptions actives. Notez que les enregistrements provenant de 10.10.0.10 et 10.10.0.24 sont rpertoris en tant que propritaires. 8. Fermez la console WINS sur NYC-DC1 et NYC-SVR1.
83
Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
1. Pour chaque ordinateur virtuel qui s'excute, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone Fermer, slectionnez Arrter la machine et annuler les modifications, puis cliquez sur OK. 3. Fermez le lanceur d'ateliers pratiques 6741A.
Exercice 4 : Corrig (procdures dtailles) Exercice 4 : Migration de WINS vers DNS Tche 1 : Crer la zone GlobalNames dans le systme DNS (Domain Name System)
1. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DNS. 2. Dans le volet de liste, cliquez avec le bouton droit sur NYC-DC1, puis cliquez sur Nouvelle zone dans le menu contextuel. 3. Dans la page Bienvenue !, cliquez sur Suivant. 4. Dans la page Type de zone, acceptez les options par dfaut, puis cliquez sur Suivant. 5. Dans la page tendue de la zone de rplication de Active Directory, slectionnez Vers tous les serveurs DNS de cette fort, puis cliquez sur Suivant. 6. Dans la page Zone de recherche directe ou inverse, acceptez les valeurs par dfaut, puis cliquez sur Suivant. 7. Dans la zone de texte Nom de la zone, tapez GlobalNames et cliquez sur Suivant. 8. Dans la page Mise niveau dynamique, slectionnez Ne pas autoriser les mises jour dynamiques, puis cliquez sur Suivant. 9. Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer. 10. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. 11. Tapez Dnscmd NYC-DC1 /config /Enableglobalnamessupport 1 et appuyez sur Entre. 12. Fermez l'invite.
84
3. Dans la bote de dialogue Nouvel enregistrement de ressource, spcifiez HRWEB comme nom d'alias et NYC-DC1.Woodgrovebank.com comme nom de domaine complet pour l'hte cible, puis cliquez sur OK. 4. Fermez la console du Gestionnaire DNS.
Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
1. Pour chaque ordinateur virtuel qui s'excute, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone Fermer, slectionnez Arrter la machine et annuler les modifications, puis cliquez sur OK. 3. Fermez le lanceur d'ateliers pratiques 6741A.
85
86
Leon 1 :
Le protocole DHCP joue un rle important dans l'infrastructure Windows Server 2008. Non seulement il s'agit du principal moyen employ pour distribuer les informations rseau importantes aux clients rseau, mais il intgre galement certains lments importants communs de nombreux autres outils rseau, notamment les services de dploiement Windows (WDS) et la protection d'accs rseau (NAP). l'issue de cette leon, vous serez en mesure d'identifier les avantages du protocole DHCP et de dcrire la faon dont il fonctionne et comment il est contrl dans un rseau de service d'annuaire Active Directory Windows Server 2008.
87
Le protocole DHCP simplifie la configuration des clients IP dans un environnement rseau. Avant que l'utilisation de DHCP ne se gnralise, chaque fois qu'un client tait ajout un rseau, il tait ncessaire de le configurer en reprenant les informations du rseau sur lequel il tait install, notamment l'adresse IP, le masque de sous-rseau du rseau et la passerelle par dfaut permettant l'accs d'autres rseaux. Grer les nombreux ordinateurs qui constituent un rseau devient une tche trs fastidieuse lorsqu'elle est effectue manuellement. Il n'est pas rare que des socits aient des milliers de priphriques informatiques grer : appareils de poche, ordinateurs de bureau, ordinateurs portables, etc. Il est tout simplement impossible de grer manuellement des rseaux de cette taille. Le rle Serveur DHCP offre la garantie que tous les clients disposent des mmes informations de configuration, ce qui limine toute possibilit d'erreur humaine pendant la configuration. Lorsque d'importantes informations de configuration changent dans le rseau, il est possible de les mettre jour travers le rle Serveur DHCP sans qu'il soit ncessaire d'intervenir directement sur chaque ordinateur. De mme, DHCP est un service cl pour les utilisateurs itinrants qui changent souvent de rseau. DHCP permet aux administrateurs rseau de fournir des informations de configuration rseau complexes aux utilisateurs non techniciens, sans que ceux-ci n'aient se proccuper des dtails de configuration de leur rseau. Remarque : Windows Server 2008 assure une prise en charge d'IPv6. Si cette version du protocole IP peut fonctionner sans serveur DHCP, un serveur DHCP peut tout aussi bien tre intgr IPv6. La leon 5, Configuration et dpannage du protocole TCP/IP IPv6 , fournit des dtails sur l'intgration d'IPv6 au rle Serveur DHCP.
88
Le rle DHCP de Microsoft Windows Server 2008 prend en charge plusieurs fonctionnalits nouvelles : La configuration avec tat et sans tat de DHCPv6 est prise en charge pour la configuration de clients dans un environnement IPv6. La configuration avec tat intervient lorsque le serveur DHCPv6 attribue l'adresse IP au client, en mme temps que d'autres donnes DHCP. La configuration sans tat intervient lorsque l'adresse IP DHCPv6 est attribue automatiquement par le client et que le serveur DHCPv6 n'attribue que les donnes DHCP. La protection d'accs rseau (NAP) couple DHCP contribue isoler les ordinateurs du rseau d'entreprise susceptibles d'tre infects par un programme malveillant. La protection d'accs rseau fait partie d'un nouvel ensemble d'outils charg de contrler l'accs aux ressources rseau. La protection d'accs rseau par DHCP permet aux administrateurs de s'assurer que les clients DHCP sont en conformit avec les stratgies de scurit internes. Par exemple, tous les clients rseau doivent tre jour et quips d'un antivirus jour. Vous pouvez installer DHCP en tant que rle sur une installation minimale de Windows Server 2008. Une installation minimale permet de crer un serveur avec une exposition rduite aux attaques. Pour grer DHCP partir du serveur principal, vous devez installer et configurer le rle partir de l'interface de ligne de commande. Vous pouvez galement grer le rle DHCP de base partir d'une console base sur une interface graphique utilisateur quand le rle DHCP est dj install.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Serveur DHCP Le protocole DHCPv6
89
Le protocole DHCP alloue les adresses IP dynamiquement selon le principe du bail. Vous pouvez attribuer au bail une valeur illimite. Toutefois, cette valeur se limite gnralement quelques heures ou jours. La dure du bail par dfaut est de huit heures. DHCP utilise des diffusions IP pour tablir des communications. Par consquent, les serveurs DHCP sont limits aux communications l'intrieur de leur sous-rseau IP. Cela signifie que dans bon nombre de rseaux, il existe un serveur DHCP pour chaque sousrseau IP. Or, si les sous-rseaux sont nombreux, le dploiement de serveurs pour chaque sous-rseau peut s'avrer fort onreux. Un mme serveur DHCP peut desservir des groupes de sous-rseaux plus petits. Pour pouvoir rpondre aux demandes des clients DHCP, le serveur DHCP doit tre en mesure de les recevoir. Vous pouvez activer cette fonctionnalit en configurant un agent DHCP. L'agent de relais DHCP permet de relayer les paquets de diffusion DHCP dans un autre sous-rseau IP via un routeur. Il convient donc de configurer l'agent dans le sous-rseau qui a besoin d'adresses IP. De plus, l'agent doit tre configur avec l'adresse IP du serveur DHCP. Cela permet l'agent de capturer les diffusions clientes et de les transfrer au serveur DHCP d'un autre sous-rseau. Vous pouvez galement relayer des paquets DHCP dans d'autres sous-rseaux l'aide d'un routeur compatible avec la RFC 1531.
Documentation supplmentaire
Pour plus d'informations sur le fonctionnement du protocole DHCP, consultez Fonctionnement du protocole DHCP.
90
Le processus de cration d'un bail DHCP, qui se compose de quatre tapes, permet un client d'obtenir une adresse IP. Le fait de comprendre comment fonctionne chaque tape vous aidera rsoudre les problmes lorsque les clients ne parviennent pas obtenir une adresse IP : 1. Le client DHCP diffuse un paquet DHCPDISCOVER. Il s'agit d'un message qui est diffus chaque ordinateur du sous-rseau. Le seul ordinateur rpondre est celui qui a le rle de serveur DHCP ou, si l'ordinateur fonctionne, l'agent du serveur DHCP. Dans ce dernier cas, l'agent transfre le message au serveur DHCP avec lequel il est configur. 2. Tout serveur DHCP prsent dans le sous-rseau rpond en diffusant un paquet DHCPOFFER. Ce paquet fournit au client une adresse potentielle. 3. Le client reoit le paquet DHCPOFFER. Il peut recevoir des paquets de plusieurs serveurs. Si le client reoit des offres de plusieurs serveurs, il choisit gnralement le serveur qui a rpondu le plus rapidement son message DHCPDISCOVER. Il s'agit habituellement du serveur DHCP le plus proche du client. Le client diffuse ensuite un paquet DHCPREQUEST. Ce paquet contient un identificateur de serveur. Les serveurs DHCP qui reoivent la diffusion savent ainsi quel est le serveur dont le message DHCPOFFER a t accept par le client. 4. Les serveurs DHCP reoivent le message DHCPREQUEST. Les serveurs non accepts par le message DHCPREQUEST utilisent ce dernier comme notification que le client a refus leur offre. Le serveur choisi stocke l'adresse IP du client dans la base de donnes DHCP et rpond par un message DHCPACK. Si, pour une raison ou une autre, le serveur DHCP ne peut pas fournir l'adresse contenue dans le message DHCPOFFER initial, le serveur DHCP envoie un message DHCPNAK.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Request for Comments : 1531 - Dynamic Host Configuration Protocol (en anglais) TCP/IP Fundamentals for Microsoft Windows: Chapitre 6 - Protocole DHCP (en anglais)
91
Lorsque le bail DHCP a atteint 50 % de sa dure totale, le client essaie de le renouveler. Il s'agit d'un processus automatique qui se produit en arrire-plan. Les ordinateurs peuvent avoir la mme adresse IP sur une longue priode s'ils fonctionnent de faon continue sur un rseau sans tre arrts. Pour renouveler le bail de l'adresse IP, le client diffuse un message DHCPREQUEST. Le serveur qui a initialement lou l'adresse IP renvoie au client un message DHCPACK qui contient tous les nouveaux paramtres qui n'existaient pas lors de la cration du bail.
Documentation supplmentaire
Pour plus d'informations sur le protocole DHCP, consultez la Request for Comments : 1531 - Dynamic Host Configuration Protocol (en anglais).
92
Le protocole DHCP permet un ordinateur client d'acqurir des informations de configuration sur le rseau dans lequel il est dmarr. La communication DHCP intervient avant toute authentification de l'utilisateur ou de l'ordinateur. Par ailleurs, comme le protocole DHCP est bas sur des diffusions IP, un serveur DHCP mal configur au sein d'un rseau peut fournir des informations incorrectes aux clients. Pour viter cela, le serveur doit tre autoris.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Ressources DHCP Networking Collection (en anglais)
Leon 2 :
93
Les administrateurs doivent configurer les tendues DHCP une fois que le rle DHCP a t install sur un serveur. L'tendue DHCP est la mthode privilgie pour configurer les options d'un groupe d'adresses IP. Elle est base sur un sousrseau IP et certains de ses paramtres peuvent tre spcifiques au matriel ou des groupes de clients personnaliss. Dans cette leon, vous allez dcouvrir les super-tendues, les options d'tendue et la faon de grer les tendues.
Une tendue DHCP est une plage d'adresses IP disponibles pour un bail. En rgle gnrale, une tendue se confine aux adresses IP d'un sous-rseau donn. Par exemple, prenons le cas du rseau 192.168.1.0/24, dont le masque de sous-rseau est 255.255.255.0. Si toutes les adresses IP possibles sont alloues, son tendue occupera une plage d'adresses comprise entre 192.168.1.2 et 192.168.1.254. Lorsqu'un ordinateur ou priphrique du sous-rseau 192.168.1.0/24 demandera une adresse IP,
94
l'tendue qui a dfini la plage de cet exemple allouera une adresse comprise entre 192.168.1.2 et 192.168.1.254.
Proprits d'tendue
Vous pouvez configurer les donnes d'une tendue dans ses proprits. Le tableau cidessous rpertorie les proprits d'tendue que vous pouvez configurer :
Option
Configurez la plage IP de l'tendue. Si vous avez besoin d'adresses IP supplmentaires dans l'tendue et que certaines adresses ne sont pas utilises dans la plage voulue, vous pouvez mettre jour la plage ici. Configurez la dure du bail. En fonction des besoins de l'tendue, vous pouvez augmenter ou diminuer la dure du bail. Si l'tendue s'adresse des utilisateurs itinrants qui font souvent des allers et venues, une tendue plus courte pourra s'avrer plus efficace. Vous serez ainsi assur que le pool d'adresses IP restera complet. Entrez une description de l'tendue. Il est recommand de fournir autant d'informations que possible sur les objets de votre environnement. De mme, il est conseill d'entrer une description qui explique l'objectif de l'tendue.
DNS
Mettez jour un serveur DNS (Domain Name System) avec le nom d'hte et les adresses IP des clients qui louent des adresses IP du serveur DHCP. Les clients seront ainsi accessibles sur le rseau partir de leur nom d'hte. Vous pouvez configurer le serveur DHCP de sorte que ces informations soient mises jour et ignores mme si le client ne prend pas en charge cette action. Configurez les paramtres NAP. Configurez le type des demandes IP dynamiques que l'tendue prendra en charge. Dans la plupart des cas, il s'agira du type DHCP. Vous serez peut-tre amen rpondre des demandes BOOTP. Si tel est le cas, vous pouvez activer cette fonctionnalit partir de cet onglet.
Vous pouvez configurer les options d'tendue IPv6, en tant qu'tendue distincte, dans le nud IPv6 de la console DHCP. Il existe plusieurs options diffrentes et un mcanisme de bail amlior. Le module 5, Configuration et dpannage du protocole TCP/IP IPv6 , dcrit en dtail les options de configuration DHCP IPv6.
95
Une super-tendue est une collection d'tendues qui sont regroupes dans un ensemble administratif. Les clients peuvent ainsi recevoir une adresse IP de plusieurs sous-rseaux logiques, mme s'ils rsident sur le mme sous-rseau physique.
tendues de multidiffusion
Une tendue de multidiffusion est une collection d'adresses de multidiffusion issues de la plage d'adresses IP de classe D allant de 224.0.0.0 239.255.255.255. Ces adresses sont utilises lorsque les applications doivent communiquer de manire efficace et simultane avec de nombreux clients. Pour atteindre cet objectif, plusieurs htes sont l'coute du trafic pour une mme adresse IP. Une tendue de multidiffusion est gnralement dsigne sous le nom d'tendue MADCAP (Multicast Address Client Allocation Protocol). Les applications qui demandent des adresses de ces tendues doivent prendre en charge l'interface de programmation d'applications (API) MADCAP.
96
Les serveurs DHCP peuvent configurer bien plus qu'une simple adresse IP. Ils fournissent galement des informations sur les ressources rseau, telles que les serveurs DNS et la passerelle par dfaut. Vous pouvez appliquer les options DHCP aux niveaux du serveur, de l'tendue, de l'utilisateur et du fournisseur. Les options DHCP sont identifies par un code d'option. La plupart de ces codes d'option sont tirs de la documentation RFC que vous pouvez consulter sur le site Web de l'IETF (Internet Engineering Task Force).
97
59 31 33 43 249
Dure de reliaison (T2) Rechercher les routeurs Option d'itinraire statique Informations spcifiques au fournisseur Itinraires statiques sans classe
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. DHCP Tools and Settings (en anglais) Request for Comments : 2132 - DHCP Options and BOOTP Vendor Extensions (en anglais)
Les options DHCP peuvent tre appliques diffrents niveaux, notamment aux niveaux du serveur et de l'tendue. Vous pouvez tre amen appliquer des options d'tendue des types d'ordinateurs personnaliss ou des groupes d'utilisateurs spcifiques. Vous spcifiez les options au niveau de la classe lorsque vous avez besoin de configurer de manire spcifique un priphrique qui appartient une classe particulire. Une classe est un groupe dfini logiquement en fonction des attributs du priphrique IP. Elle peut tre base sur des donnes propres au fournisseur, comme elle peut tre dfinie par l'utilisateur. Les options au niveau de la classe sont les suivantes : Classe de fournisseur. Le rle Serveur DHCP de Microsoft offre des options spciales bases sur la classe de fournisseur. DHCP peut notamment tre utilis avec une classe de fournisseur dans le but de dsactiver NetBIOS sur TCP/IP pour les clients associs une classe de fournisseur correspondant Windows 2000 ou
98
Windows XP. Une autre utilisation possible est celle qui est faite dans le cadre de la configuration d'options spcifiques pour une certaine marque d'ordinateurs. Classe d'utilisateur. Vous pouvez spcifier des options de classe utilisateur si vous souhaitez dfinir des options pour une certaine catgorie d'utilisateurs, par exemple, les utilisateurs d'un emplacement physique dtermin. Les classes d'utilisateur sont dfinies sur la station de travail du client l'aide de la commande IPconfig /setclassid.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Ressources DHCP Utilisation des classes d'options
Il y a rservation DHCP lorsqu'une adresse IP au sein d'une tendue est mise de ct pour tre utilise par un client DHCP spcifique. Il est gnralement recommand de fournir aux serveurs et aux imprimantes une adresse IP fixe. Ainsi, les adresses IP contenues dans une tendue prdfinie ne seront pas affectes par inadvertance un autre priphrique. De plus, les priphriques ayant fait l'objet de rservations disposeront coup sr d'une adresse IP si une tendue vient tre court d'adresses. Le fait de configurer des rservations vous permet de centraliser la gestion des adresses IP fixes.
99
interface rseau en utilisant la commande ipconfig/all. L'adresse MAC des imprimantes rseau et des autres priphriques rseau est gnralement appose sur le priphrique proprement dit. Sur la plupart des ordinateurs portables, cette information figure galement la base du chssis.
Lorsque vous configurez des tendues DHCP et des options d'tendue, vous devez tenir compte du nombre d'adresses IP assigner et de la faon dont vous implmenterez la tolrance de panne. Il est recommand d'avoir plusieurs serveurs DHCP dans le rseau. Ainsi, en cas de panne d'un serveur, vous disposerez d'un serveur de secours pour louer les adresses IP.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Configuration des tendues DHCP Mthodes conseilles
100
Si vous avez configur des options DHCP plusieurs niveaux (serveur, tendue, classe et rservation), DHCP applique les options aux ordinateurs clients dans l'ordre suivant : 1. 2. 3. 4. Au Au Au Au niveau niveau niveau niveau du de de du serveur l'tendue la classe client rserv
Documentation supplmentaire
Pour plus d'informations sur les ressources DHCP, consultez Ressources DHCP. Leon 3 :
101
La base de donnes DHCP stocke des informations sur les baux d'adresses IP. Il est important de savoir comment sauvegarder la base de donnes et comment rsoudre les problmes de base de donnes ventuels. Dans cette leon, vous apprendrez grer la base de donnes et les donnes qu'elle contient.
La base de donnes du serveur DHCP contient des donnes de configuration sur le serveur DHCP et sur les baux d'adresses IP des clients. Si ces informations viennent s'endommager ou perdre en cohrence, des erreurs de configuration rseau risquent de se produire sur les ordinateurs clients. Il peut aussi arriver qu'une mme adresse IP soit offerte plusieurs clients. Plusieurs scnarios de gestion peuvent s'envisager, savoir :
102
Gestion de la croissance de la base de donnes DHCP. La base de donnes DHCP repose sur une base de donnes Microsoft Jet. Les bases de donnes Jet doivent tre compresses de faon rgulire. Sauvegarde et restauration. Il est important de grer les informations contenues dans la base de donnes DHCP. Si la base de donnes du serveur DHCP vient s'endommager ou se perdre, des problmes de configuration IP importants risquent de survenir. Cohrence de la base de donnes DHCP. La base de donnes se doit d'tre prcise. Si les donnes de bail contenues dans la base de donnes DHCP ne correspondent pas aux informations de bail du client, des problmes peuvent survenir sur le rseau avec, notamment, des adresses IP en double. Dplacement de la base de donnes DHCP. Si la base de donnes est trs volumineuse, vous serez peut-tre contraint de la dplacer vers une partition plus grande ou un volume plus performant. Ajout de clients. Ajout de nouveaux serveurs de services rseau. Ajout de nouveaux sous-rseaux. L'ajout de clients, de serveurs et de sousrseaux peut entraner des changements dans la faon dont la base de donnes DHCP est utilise. Il convient dans ce cas de surveiller la base de donnes et, le cas chant, d'effectuer de nouvelles oprations de maintenance.
La base de donnes DHCP est le fichier de donnes o sont stockes les informations de configuration DHCP et les donnes de bail pour les clients qui ont lou une adresse IP du serveur DHCP. Par dfaut, les fichiers de base de donnes DHCP sont stocks dans le dossier %systemroot%\System32\Dhcp.
Fichier
Dhcp.mdb
Description
Fichier de base de donnes du serveur DHCP.
103
Dhcp.tmp
Fichier temporaire que la base de donnes DHCP utilise comme fichier d'change lors des oprations de maintenance d'index de la base de donnes. Ce fichier reste parfois dans le rpertoire Systemroot\System32\Dhcp aprs une dfaillance du systme.
J50.log et Journal de toutes les transactions de base de donnes. La base de donnes DHCP J50#####.log utilise ce fichier pour rcuprer les donnes, si ncessaire. J50.chk Fichier de point de contrle.
Important : vous ne devez pas supprimer ou modifier les fichiers suivants : J50.log, J50 #####.log, Dhcp.mdb et Dhcp.tmp. La base de donnes du serveur DHCP est dynamique et mise jour mesure que les clients DHCP sont attribus ou mesure qu'ils librent leurs paramtres de configuration TCP/IP. La base de donnes DHCP n'tant pas une base de donnes distribue comme la base de donnes du serveur WINS (Windows Internet Naming Service), la maintenance de la base de donnes du serveur DHCP est moins complexe. La base de donnes DHCP et les entres associes du Registre sont sauvegardes automatiquement intervalle rgulier (60 minutes pour une installation par dfaut). Vous pouvez modifier cette valeur d'installation par dfaut en modifiant la valeur de BackupInterval dans la cl de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters Attention : Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant toute modification du Registre, vous devez sauvegarder toutes les donnes importantes de l'ordinateur.
Vous pouvez sauvegarder une base de donnes DHCP manuellement ou la configurer de sorte qu'elle soit sauvegarde automatiquement. Une sauvegarde automatique porte le
104
nom de sauvegarde synchrone. Une sauvegarde manuelle porte le nom de sauvegarde asynchrone .
Processus de restauration
Si vous devez restaurer la base de donnes, utilisez la fonction Restore de la console du serveur DHCP. Vous serez invit spcifier l'emplacement de la sauvegarde. Une fois que vous aurez slectionn l'emplacement, le service DHCP s'arrtera et la base de donnes sera restaure. Pour restaurer la base de donnes, l'utilisateur doit disposer d'autorisations de niveau administrateur ou tre membre du groupe Administrateurs DHCP.
105
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Sauvegarde de la base de donnes DHCP Restauration des donnes du serveur
Le rapprochement des tendues permet de rsoudre certaines incohrences (p.ex., informations incorrectes ou manquantes) au niveau des adresses IP clientes contenues dans les informations sur les baux d'tendue. Le service Serveur DHCP stocke les informations de bail d'adresses IP d'tendue sous les deux formes suivantes : informations dtailles sur les baux d'adresses IP, stockes dans la base de donnes DHCP ; informations rsumes sur les baux d'adresses IP, stockes dans le Registre du serveur.
Lors du rapprochement d'tendues, les entres dtailles et rsumes sont compares pour dceler les incohrences. Pour corriger et rparer ces incohrences, vous devez rapprocher toutes les incohrences d'tendues. Aprs avoir slectionn et rapproch les incohrences d'tendues, le service DHCP restitue ces adresses IP au propritaire d'origine ou cre une rservation temporaire pour ces adresses. Ces rservations sont valides pendant la dure du bail
106
assigne l'tendue. Lorsque le bail arrive expiration, les adresses sont rcupres pour une utilisation ultrieure.
Si vous tes amen dplacer le rle Serveur DHCP vers un autre serveur, il est recommand de dplacer galement la base de donnes vers le nouveau serveur. Vous serez ainsi assur que les baux clients seront conservs et vous rduirez les chances de rencontrer des problmes de configuration au niveau des clients. Dans un premier temps, vous devez dplacer la base de donnes en la sauvegardant sur l'ancien serveur DHCP. Vous arrtez ensuite le service DHCP sur l'ancien serveur DHCP. La base de donnes DHCP est alors copie sur le nouveau serveur, o vous pouvez la restaurer en suivant la procdure normale de restauration de base de donns. Vous pouvez galement sauvegarder la base de donnes en utilisant la commande DHCP NETSH. Cette mthode s'avre utile pour sauvegarder la base de donnes un emplacement distant au moyen d'un fichier de script. Voici un exemple de script que vous pouvez utiliser pour exporter le fichier : l'invite de NETSH DHCP, tapez : export "c:\My Folder\Dhcp Configuration" all Cette commande sauvegarde les donnes DHCP de toutes les tendues. Pour restaurer la base de donnes DHCP, utilisez la commande suivante : import "c:\My Folder\Dhcp Configuration" all
Documentation supplmentaire
Pour plus d'informations sur les commandes Netsh pour DHCP, consultez Commandes Netsh pour DHCP.
107
Les options de configuration du serveur DHCP permettent de dfinir les comportements l'chelle du serveur. Certaines configurations affectent galement les tendues hberges sur le serveur.
Options gnrales
Ces options permettent l'administrateur de dfinir des statistiques de dbogage et de dpannage DHCP.
Options DNS
Il est important de configurer les options DNS si certains priphriques ou systmes d'exploitation ne mettent pas jour automatiquement leurs informations DNS. Vous pouvez configurer le serveur DHCP de faon mettre jour le serveur DNS si le client n'est pas en mesure de le faire.
Options avances
Ces options permettent l'administrateur de contraindre le serveur DHCP rechercher les conflits IP ventuels lorsqu'un client DHCP demande une adresse IP particulire. Cela profite aux clients plus anciens qui n'effectuent pas leurs propres vrifications. Toutefois, ce processus entrane galement une surcharge. Il est donc recommand de dsactiver ce paramtre.
108
La liaison IP permet l'administrateur de spcifier l'adresse IP que le serveur DHCP doit couter pour les demandes. Leon 4 :
DHCP est un service essentiel dans les environnements rseau modernes. Si le service DHCP ne fonctionne pas correctement ou si un problme de serveur DHCP se produit du fait d'une situation particulire, il est important d'en avoir conscience et de savoir comment le localiser. Dans cette leon, vous allez examiner les problmes DHCP courants et apprendre les diagnostiquer et les rsoudre.
109
DHCP est un protocole dynamique. Les changements qui interviennent dans l'environnement rseau appellent gnralement des changements au niveau du serveur DHCP de faon s'adapter au nouvel environnement. Ces modifications peuvent tre le fait de plusieurs clients du rseau, ce qui peut entraner un accroissement du trafic sur le serveur DHCP, ou elles peuvent rsulter de l'puisement du pool d'adresses du serveur DHCP. En surveillant ces oprations, vous pouvez rpondre aux nouveaux besoins par anticipation mesure qu'ils se dclarent. En outre, cela limite au maximum les interruptions de services et rduit les temps morts. Vous pouvez utiliser trois sources d'informations DHCP pour assurer cette surveillance : Les statistiques DHCP Les vnements DHCP dans l'observateur d'vnements Les donnes de performance DHCP
Le tableau suivant dcrit les problmes DHCP courants et en fournit des exemples :
Problme
Conflits d'adresses
Description
La mme adresse IP est offerte deux clients diffrents.
Exemple
Un administrateur supprime un bail. Toutefois, le client qui bnficiait du bail croit toujours que le bail est valide. Si le serveur DHCP ne vrifie pas l'adresse IP, il risque de la diffuser un autre ordinateur, ce qui va entraner un conflit d'adresse. Cela peut galement se produire si deux serveurs DHCP ont des tendues qui se chevauchent.
chec d'obtention Au lieu de recevoir une Si la carte rseau d'un client est mal configure, cela d'adresse DHCP adresse DHCP, le client reoit peut entraner un chec d'obtention d'adresse DHCP. une adresse APIPA (Automatic Private IP Addressing) auto-assigne. Obtention Le client obtient une adresse Cela est souvent d au fait que le client n'est pas
110
d'adresse auprs d'une tendue incorrecte Altration ou perte de donnes dans la base de donnes DHCP
IP auprs de l'tendue connect au rseau adquat. incorrecte, ce qui lui vaut des problmes de communication. La base de donnes DHCP Une dfaillance matrielle peut entraner l'altration devient illisible ou est perdue de la base de donnes. en raison d'une dfaillance matrielle. Toutes les adresses IP assignes une tendue sont loues.
puisement du Les tendues IP du serveur pool d'adresses du DHCP sont puises. Tout serveur DHCP nouveau client qui demandera une demande IP essuiera un refus.
Les statistiques DHCP fournissent des informations sur l'activit et l'utilisation du service DHCP. Vous pouvez utiliser cette console pour dterminer rapidement s'il existe un problme au niveau du service DHCP ou des clients DHCP du rseau. Les statistiques peuvent s'avrer utiles notamment si l'administrateur note un nombre excessif de paquets d'accus de rception ngatif (NACK), ce qui peut indiquer que le serveur ne fournit pas les donnes correctes aux clients. Vous pouvez configurer la frquence d'actualisation des statistiques sous l'onglet Gnral des proprits du serveur.
111
Le journal d'audit fournit un journal traable de l'activit du serveur DHCP. Vous pouvez utiliser ce journal pour suivre les demandes, les octrois et les refus de bail, des informations qui vous permettront de rsoudre les problmes lis aux performances du serveur DHCP. Par dfaut, les fichiers journaux sont stocks dans le dossier systemroot\system32\dhcp. Vous pouvez configurer le fichier journal dans la bote de dialogue Proprits du serveur. Le nom du fichier est constitu du jour de la semaine o il a t cr. Par exemple, si l'enregistrement d'audit est activ un lundi, le fichier s'intitule DhcpSrvLog-Mon.log.
File
ID Date Heure
Description
Code d'identification d'vnement du serveur DHCP Date laquelle cette entre a t crite dans le journal du serveur DHCP Heure laquelle cette entre a t crite dans le journal du serveur DHCP
112
Adresse IP
Nom d'hte Nom d'hte du client DHCP Adresse MAC Adresse MAC utilise par la carte rseau du client
Documentation supplmentaire
Pour plus d'informations sur l'enregistrement d'audit, consultez Enregistrement d'audit.
Les compteurs de performance DHCP deviennent disponibles ds lors que vous installez le rle Serveur DHCP. Vous pouvez alors utiliser l'Analyseur de performances pour charger les compteurs de performance. En rgle gnrale, un serveur DHCP ne doit pas subir une charge rseau trop lourde. Toutefois, si vous remarquez que les longueurs de la file d'attente enregistrent rgulirement des valeurs leves, vous devez vrifier s'il n'existe pas des goulots d'tranglement sur le serveur qui pourraient ralentir le service DHCP. Le tableau suivant dresse la liste des compteurs de performance communs et fournit des recommandations quant aux points surveiller une fois que vous avez tabli une ligne de base :
113
Compteurs de performance
Paquets reus/seconde
Recommandation
Surveillez les augmentations ou les diminutions soudaines qui pourraient indiquer des problmes rseau.
Paquets expirs/seconde Surveillez les augmentations soudaines. Un nombre important indique soit que le serveur met trop de temps traiter certains paquets pendant que d'autres sont mis en file d'attente et deviennent obsoltes, soit que le trafic sur le rseau est trop lev pour le serveur. Nombre de requtes/seconde Surveillez les augmentations ou les diminutions soudaines qui pourraient indiquer des problmes rseau.
Millisecondes par paquet Surveillez les augmentations soudaines. Une augmentation soudaine ou inhabituelle peut indiquer un problme li au ralentissement du soussystme d'entres/sorties (E/S) ou au dlai de traitement intrinsque de l'ordinateur serveur. Longueur de la file d'attente active Doublons ignors/seconde Surveillez les augmentations soudaines ou graduelles, qui pourraient indiquer un accroissement de la charge ou une baisse de la capacit de traitement du serveur. Surveillez toute activit pouvant indiquer que plusieurs demandes sont transmises au serveur au nom de certains clients.
Documentation supplmentaire
Pour plus d'informations sur l'analyseur de performances DHCP, consultez Rfrence d'analyse des performances DHCP. Leon 5 :
114
Le protocole DHCP n'intgre aucune mthode d'authentification des utilisateurs. Cela signifie que si vous ne prenez pas de prcautions, les baux IP risquent d'tre octroys des priphriques et des utilisateurs malintentionns. Dans cette leon, vous allez dcouvrir comment empcher les utilisateurs non autoriss d'obtenir un bail, comment grer les serveurs DHCP non autoriss et comment configurer les serveurs DHCP pour permettre un groupe spcifique de les grer.
La scurisation du protocole DHCP peut rpondre aux objectifs suivants : empcher un utilisateur non autoris d'obtenir un bail ; empcher des serveurs DHCP non autoriss et non-Microsoft de louer des adresses IP ; imposer des conditions en matire d'administration DHCP.
115
En soi, le protocole DHCP peut s'avrer difficile scuriser. En effet, le protocole a t conu pour fonctionner avant que les informations ncessaires l'authentification d'un ordinateur client via un contrleur de domaine soient disponibles. Les prcautions prendre pour limiter l'accs non autoris sont les suivantes : Veillez limiter l'accs physique. Si des utilisateurs peuvent accder une connexion rseau active dans le rseau, ils seront probablement en mesure d'obtenir une adresse IP. Si un port rseau n'est pas utilis, vous devez le dconnecter physiquement de l'infrastructure de commutation. Activez l'enregistrement d'audit sur tous les serveurs DHCP. Vous obtiendrez un historique de l'activit et vous pourrez dterminer quel moment un utilisateur potentiellement malveillant a obtenu une adresse IP dans le rseau. Veillez prvoir du temps pour examiner intervalles rguliers les journaux d'audit. Authentifiez les utilisateurs. La plupart des commutateurs d'entreprise prennent dsormais en charge l'authentification IEEE (Institute of Electrical and Electronics Engineers, Inc.) et 802.1X. Cela permet une authentification utilisateur au niveau du port. Implmentez la protection NAP. NAP permet aux administrateurs de s'assurer qu'un ordinateur client excute toutes les dernires mises jour Windows. Elle vrifie galement que le client excute un client antivirus jour. Si un utilisateur qui ne satisfait pas aux exigences de scurit tente d'accder au rseau, il sera autoris accder un rseau de mise jour o il pourra recevoir les mises jour ncessaires. L'administrateur peut galement limiter l'accs au rseau en autorisant les utilisateurs authentifis accder uniquement au rseau local (LAN) interne.
Documentation supplmentaire
Pour plus d'informations sur les lments suivants, consultez les liens. Network Access Protection (en anglais) Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab (en anglais)
Procdure pour empcher des serveurs DHCP non autoriss et non-Microsoft de louer des adresses IP
116
Nombreux sont les priphriques et les systmes d'exploitation rseau qui intgrent des implmentations de serveur DHCP. Sachant que par nature, les rseaux ne sont pratiquement jamais homognes, il est possible qu' un moment donn, un serveur DHCP qui ne vrifie pas les serveurs authentifis par Active Directory soit activ sur le rseau. Dans ce cas, les clients risquent d'obtenir des donnes de configuration incorrectes. Pour liminer un serveur DHCP non autoris, vous devez le localiser et l'empcher de communiquer sur le rseau soit physiquement, soit en dsactivant le service DHCP. Si les utilisateurs se plaignent de ne pas disposer de connexion au rseau, vrifiez l'adresse IP de leur serveur DHCP. Utilisez la commande ipconfig/all pour vrifier l'adresse IP du serveur DHCP. Si l'adresse IP n'est pas celle d'un serveur DHCP autoris, le rseau compte probablement en son sein un serveur non autoris. Vous pouvez utiliser l'utilitaire DHCP Server Locator (Dhcploc.exe) pour localiser les serveurs DHCP actifs dans un sous-rseau.
Documentation supplmentaire
Pour plus d'informations sur la gestion de l'accs au serveur, consultez Grer l'accs au serveur.
Le groupe Administrateurs DHCP compte parmi les groupes prdfinis sur les contrleurs de domaine ou sur les serveurs locaux, car le groupe local Administrateurs DHCP est utilis pour limiter et accorder l'accs l'administration des serveurs DHCP.
117
Administrateurs DHCP
Tout utilisateur du groupe Administrateurs DHCP peut grer le service DHCP du serveur.
Utilisateurs DHCP
Tout utilisateur du groupe Utilisateurs DHCP peut bnficier d'un accs en lecture seule la console.
Documentation supplmentaire
Pour plus d'informations sur la gestion de l'accs au serveur, consultez Grer l'accs au serveur.
Objectifs :
Implmenter et autoriser le rle Serveur DHCP Configurer une tendue DHCP, les options d'tendue et tester l'tendue avec un client Identifier les problmes DHCP courants et les dpanner
118
Tche 1 : Dmarrer les ordinateurs virtuels 6741A-NYC-DC1 et 6741A-NYC-CL1 et ouvrir une session en tant qu'Administrateur
1. Sur la machine hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Formation Microsoft, puis cliquez sur 6741A. Le Lanceur d'ateliers pratiques dmarre. 2. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-DC1, cliquez sur Excuter. 3. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-CL1, cliquez sur Excuter. 4. Ouvrez une session sur les deux ordinateurs virtuels en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. 5. Rduisez la fentre du Lanceur d'ateliers pratiques.
Exercice 1 : Corrig (procdures dtailles) Exercice 1 : Installation et autorisation du rle Serveur DHCP Tche 1 : Dmarrer les ordinateurs virtuels 6741A-NYC-DC1 et 6741A-NYC-CL1 et ouvrir une session en tant qu'Administrateur
1. Sur la machine hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Formation Microsoft, puis cliquez sur 6741A. Le Lanceur d'ateliers pratiques dmarre. 2. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-DC1, cliquez sur Excuter.
119
3. Dans le Lanceur d'ateliers pratiques, en regard de 6741A-NYC-CL1, cliquez sur Excuter. 4. Ouvrez une session sur les deux ordinateurs virtuels en tant que strong>Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. 5. Rduisez la fentre du Lanceur d'ateliers pratiques.
120
2. Sur NYC-CL1, dfinissez les proprits de connexion au rseau local pour la configuration DHCP dans les proprits IPv4 pour l'adresse IP et la rsolution DNS. Redmarrez NYC-CL1 et ouvrez une session en tant qu'Administrateur avec le mot de passe de Pa$$w0rd.. 3. Assurez-vous que l'ordinateur client peut obtenir une adresse IP. Vrifiez que le client est configur avec une passerelle par dfaut.
Question : Pourquoi la connexion au rseau local avec DHCP n'a-t-elle pas de passerelle par dfaut ?
Remarque : veillez configurer les options d'tendue mais pas les options de serveur.
121
Exercice 2 : Corrig (procdures dtailles) Exercice 2 : Configuration d'une tendue DHCP Tche 1 : Configurer une tendue DHCP
1. Sur NYC-DC1, la console de gestion DHCP doit encore tre ouverte. Si ce n'est pas le cas, cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur DHCP. 2. Dans le volet gauche, dveloppez strong>NYC-DC1.woodgrovebank.com. 3. Cliquez avec le bouton droit sur l'icne du serveur IPv4, puis cliquez sur Nouvelle tendue. 4. Dans l'Assistant Nouvelle tendue, dans la page Bienvenue, cliquez sur Suivant. 5. Dans la bote de dialogue Nom de l'tendue, tapez un nom et une description pour l'tendue. Par exemple, Nom : tendue du rseau du sige social et Description : tendue des salaris de WoodGrove Bank. Cliquez sur Suivant. 6. Dans la bote de dialogue Plage d'adresses IP, tapez 10.10.0.1 pour l'adresse IP de dbut et 10.10.0.254 pour l'adresse IP de fin. Tapez 16 dans la zone de texte Longueur. La zone de texte Masque de sous-rseau indique alors 255.255.0.0. 7. Cliquez sur Suivant. 8. Dans la bote de dialogue Ajout dexclusions, tapez 10.10.0.1 pour l'adresse IP de dbut et 10.10.0.30 pour l'adresse IP de fin, cliquez sur Ajouter, puis sur Suivant. 9. Dans la zone de texte Dure du bail, faites passer la valeur 1 heure, puis cliquez sur Suivant. 10. Dans la bote de dialogue Configuration des paramtres DHCP, slectionnez Non, je configurerai ces options ultrieurement, puis cliquez sur Suivant. 11. Cliquez sur Terminer. 12. Une nouvelle tendue apparat sous IPv4. L'tendue apparat avec une flche rouge oriente vers le bas. Slectionnez [10.10.0.0] tendue du rseau du sige social, cliquez dessus avec le bouton droit, puis cliquez sur Activer. 13. Fermez la console DHCP. 14. Sur NYC-CL1, cliquez sur Dmarrer, cliquez avec le bouton droit sur Rseau, puis cliquez sur Proprits. La fentre Centre Rseau et partage s'affiche. 15. Sous Tches, cliquez sur Grer les connexions rseau. La fentre Connexions rseau s'affiche. 16. Cliquez avec le bouton droit sur Connexion au rseau local, puis choisissez Proprits dans le menu contextuel. 17. Dans la bote de dialogue Proprits de Connexion au rseau local, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Proprits. 18. Dans la bote de dialogueProtocole Internet version 4 (TCP/IPv4) , slectionnez Obtenir une adresse IP automatiquement et Obtenir les adresses des serveurs DNS automatiquement, puis cliquez sur OK. 19. Dans la bote de dialogue Proprits de Connexion au rseau local, cliquez sur Fermer. 20. Fermez successivement les fentres Connexions rseau et Centre Rseau et partage. 21. Redmarrez NYC-CL1. Aprs avoir redmarr l'ordinateur, ouvrez une session en tant qu'WoodgroveBank\Administrateur avec le mot de passe Pa$$w0rd. 22. Sur NYC-CL1, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. 23. l'invite, tapez strong>ipconfig et appuyez sur ENTRE. 24. l'invite de commandes, tapez ipconfig/release et appuyez sur ENTRE. 25. l'invite de commandes, tapez ipconfig/renew et appuyez sur ENTRE.
122
26. l'invite de commandes, tapez ipconfig/all et appuyez sur ENTRE. Notez que l'adresse IP du serveur DHCP figure aux cts des autres informations. 27. Sous Carte Ethernet Connexion au rseau local, notez que la connexion n'a pas de passerelle par dfaut. Question : Pourquoi la connexion au rseau local avec DHCP n'a-t-elle pas de passerelle par dfaut ? Rponse : Parce que l'option DHCP de la passerelle par dfaut n'a pas t configure. 28. Fermez l'invite.
123
3. Vrifier la capacit du client louer une adresse IP 4. Dterminer pourquoi le serveur DHCP n'alloue pas d'adresses IP 5. Identifier les informations qui ont t modifies 6. Configurer le serveur DHCP avec les informations de routeur appropries 7. Configurer le serveur DHCP avec les informations de serveur DNS appropries 8. Configurer le serveur DHCP avec la dure de bail adquate 9. Vrifier les informations alloues au client 10. Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
Tche 2 : Modifier la configuration du serveur DHCP l'aide de scripts afin de simuler des problmes de configuration
l'invite de commandes, excutez le script D:\Labfiles\Module4\DHCP.vbs.
Tche 7 : Configurer le serveur DHCP avec les informations de serveur DNS appropries
Sur NYC-DC1, vrifiez les informations de serveur DNS configures dans les options d'tendue.
124
Tche 10 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
1. Pour chaque ordinateur virtuel qui s'excute, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone Close, slectionnez Arrter la machine et annuler les modifications, puis cliquez sur OK. 3. Fermez le Lanceur d'ateliers pratiques 6741A.
Exercice 3 : Corrig (procdures dtailles) Exercice 3 : Dpannage des problmes DHCP courants Tche 1 : Vrifier les informations sur les baux DHCP
1. Si ncessaire, sur NYC-CL1, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. 2. l'invite de commandes, tapez ipconfig/all et appuyez sur ENTRE. 3. Notez les lments suivants : Adresse IPv4 Masque de sous-rseau Passerelle par dfaut Dure du bail
Tche 2 : Modifier la configuration du serveur DHCP l'aide de scripts afin de simuler des problmes de configuration
1. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant qu'administrateur. 2. l'invite de commandes, tapez D:\Labfiles\Module4\DHCP.vbs et appuyez sur ENTRE. 3. Fermez la fentre d'invite de commandes.
125
2. 3. 4. 5.
l'invite de commandes, tapez ipconfig/release et appuyez sur ENTRE. l'invite de commandes, tapez ipconfig/renew et appuyez sur ENTRE. l'invite de commandes, tapez ipconfig/all et appuyez sur ENTRE. Notez les lments suivants : Adresse IPv4 Masque de sous-rseau Passerelle par dfaut Dure du bail
Tche 7 : Configurer le serveur DHCP avec les informations de serveur DNS appropries
1. Sur NYC-DC1, vrifiez les informations DNS configures dans les options d'tendue. 2. Dveloppez le nud nyc-dc1.woodgrovebank.com, le nud IPv4 , l'tendue de nud 10.10.0.0 , cliquez avec le bouton droit sur Options d'tendue, puis cliquez sur Configurer les options. 3. Dans la fentre Options disponibles, slectionnez 006 DNS Servers. 4. Dans la bote de dialogue Options d'tendue, cliquez dans la zone de texte Adresse IP, tapez 10.10.0.10, puis cliquez sur Ajouter. De nouveau, dans la zone de texte Adresse IP, tapez 10.10.0.21, cliquez sur Ajouter, puis cliquez sur OK.
126
Tche 10 : Fermer tous les ordinateurs virtuels et ignorer les disques d'annulations
1. Pour chaque ordinateur virtuel qui s'excute, fermez la fentre Virtual Machine Remote Control (VMRC). 2. Dans la zone strong>Fermer, slectionnez Arrter la machine et annuler les modifications, puis cliquez sur OK. 3. Fermez le Lanceur d'ateliers pratiques 6741A.
127