Intégration du DNS Windows 2000 dans un lien existant ou dans un espace de noms DNS Windows NT 4.0

L'une des fonctionnalités du système de noms de domaine (DNS, Domain Name System) de Windows 2000 est la prise en charge des mises à jour d'hôtes dynamiques (documentées dans RFC 2136). Pour tirer profit de ces fonctionnalités, le système DNS Windows 2000 peut être déployé dans des environnements qui ne possèdent pas d'autre serveur DNS, ainsi que dans des environnements dans lesquels sont déjà implémentés des serveurs DNS non dynamiques (serveur DNS Microsoft Windows NT 4.0 et BIND 4.9.7 et version antérieure, etc.). Lorsque vous déployez le système DNS Windows 2000 dans un environnement dans lequel sont déjà implémentés des serveurs DNS Windows NT 4.0 ou BIND, plusieurs options d'intégration s'offrent à vous :

• mise à niveau des serveurs DNS Windows NT 4.0 vers Windows 2000 ;
• migration des zones des serveurs DNS non dynamiques faisant autorité vers des serveurs qui exécutent le système DNS Windows 2000 ;
• délégation des domaines DNS enfants sous un domaine DNS parent. Pour les noms de domaine Active Directory qui n'ont pas le même nom que la racine d'une zone, déléguez le sous-domaine au système DNS Windows 2000. Par exemple, si le nom du domaine Active Directory est dev.reskit.com et que la zone qui contient ce nom est reskit.com, déléguez dev.reskit.com à un serveur Windows 2000 qui exécute DNS ;
• délégation de chacun des sous-domaines utilisés par les enregistrements du pointeur (enregistrements SRV) de contrôleur de domaine à un serveur Windows 2000. Ces sous-domaines sont _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.com et _udp.reskit.com. Cette option est à utiliser lorsque des noms de domaine Active Directory (par exemple, reskit.com) qui sont les mêmes que le nom de la racine d'une zone (par exemple, reskit.com) ne peuvent pas être délégués directement à un serveur Windows 2000 qui exécute DNS. Si vous le souhaitez, les clients peuvent être membres du domaine Active Directory nommé reskit.com mais s'enregistrer dans la zone DNS nommée dynamic.reskit.com.

Cet article documente la quatrième option ci-dessus. Il explique comment intégrer le système DNS Windows 2000 dans une organisation dans laquelle un espace de noms DNS est déjà implémenté et dans laquelle un serveur DNS qui fait autorité pour la zone portant le nom du domaine Active Directory ne prend pas en charge RFC 2136 (mises à jour dynamiques). Cet article présente également un scénario dans lequel les membres du domaine utilisent un suffixe DNS principal différent du nom du domaine Active Directory afin d'autoriser l'enregistrement dynamique des enregistrements DNS par les ordinateurs Windows 2000 lorsque le serveur DNS qui fait autorité pour la zone portant le nom du domaine Active Directory ne prend pas en charge les mises à jour DNS dynamiques.

Pour intégrer le système DNS Windows 2000 dans un espace de noms existant basé sur des serveurs DNS non dynamiques, vous pouvez déléguer les sous-domaines utilisés par les enregistrements du pointeur (enregistrements SRV) de sorte que les mises à jour dynamiques (telles que définies par RFC 2136) puissent être utilisées. Procédez comme suit :

1. Sur le serveur DNS non dynamique qui fait autorité pour la zone portant le nom du domaine Active Directory, déléguez les zones suivantes à un serveur Windows 2000 qui exécute DNS :
   _udp.nom_domaine_DNS
   _tcp.nom_domaine_DNS
   _sites.nom_domaine_DNS
   _msdcs.nom_domaine_DNS
   Par exemple, si la zone racine se nomme reskit.com, déléguez _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com et _msdcs.reskit.com au serveur Windows 2000.
   
   Remarque Pour déléguer un serveur Windows 2003 qui exécute DNS, vous devez déléguer deux sous-domaines supplémentaires :
   ForestDnsZones.nom_DNS_forêt
   DomainDnsZones.nom_domaine_DNS
2. Sur le serveur Windows 2000, créez les zones de recherche directe déléguées à l'étape 1 et activez ces zones pour la mise à jour dynamique.
   
   Pour créer les nouvelles zones :
   1. Démarrez le Gestionnaire DNS sur le serveur Windows 2000.
   2. Développez le serveur DNS approprié dans le Gestionnaire DNS.
   3. Cliquez avec le bouton droit sur le dossier Zones de recherche directes, puis cliquez sur Nouvelle zone.
   4. Au démarrage de l'Assistant Nouvelle zone, cliquez sur Suivant, activez la case à cocher Intégrée à Active Directory (recommandé) ou Zone principale standard (selon l'infrastructure du réseau), puis cliquez sur Suivant.
   5. Dans la zone Nom, tapez le nom de la zone. Par exemple, tapez _msdcs.reskit.com.
   6. Cliquez sur Suivant. Après avoir passé en revue le récapitulatif de l'Assistant, cliquez sur Terminer.
   Pour autoriser la zone à accepter les mises à jour dynamiques :
   
   
   1. À l'aide du Gestionnaire DNS sur le serveur Windows 2000 qui exécute DNS, cliquez avec le bouton droit sur la nouvelle zone, cliquez sur Propriétés, puis sur l'onglet Général.
   2. Dans la zone Autoriser les mises à jour dynamiques, cliquez sur Uniquement les mises à jour sécurisées (recommandé) ou sur Oui. Notez que l'option Uniquement les mises à jour sécurisées n'est disponible qu'une fois que le serveur a été promu contrôleur de domaine.
   Répétez cette procédure jusqu'à ce que les quatre zones décrites à l'étape 1 aient été créées et activées pour les mises à jour dynamiques. Cette procédure permet aux enregistrements du pointeur de contrôleur de domaine d'être enregistrés de manière dynamique et désenregistrés dans DNS.
   
   
3. En outre, vous pouvez créer et configurer une ou plusieurs zones pour permettre aux clients et aux serveurs de s'enregistrer de manière dynamique auprès du serveur Windows 2000. Par exemple, une zone nommée dynamic.reskit.com peut être utilisée pour enregistrer tous les clients et les serveurs sur un réseau au moyen de mises à jour dynamiques. Pour configurer ce type de zone :
   1. Sur le serveur DNS non dynamique qui fait autorité pour la zone parente (par exemple, reskit.com), déléguez une nouvelle zone au serveur Windows 2000 qui exécute DNS. Par exemple, déléguez la zone dynamic.reskit.com au serveur Windows 2000.
   2. Sur le serveur Windows 2000, créez une zone de recherche directe pour la zone déléguée ci-dessus.
   3. Sur le serveur Windows 2000, activez la ou les zones pour les mises à jour dynamiques.
4. Les clients et les serveurs devront être configurés de manière à s'enregistrer dans la bonne zone. Par défaut, les clients s'enregistrent dans la zone DNS avec le même nom que le domaine Windows 2000 dont ils sont membres. Pour configurer un client Windows 2000 pour qu'il s'enregistre dans une zone avec un nom différent de celui du domaine Windows NT ou Windows 2000 dont il est membre, procédez comme suit.
   
   Notez que vous devez redémarrer le client une fois cette modification apportée.
   1. Cliquez avec le bouton droit sur Poste de travail, cliquez sur Propriétés, puis sur l'onglet Identification réseau.
   2. Cliquez sur Propriétés, puis sur Plus.
   3. Désactivez la case à cocher Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées.
   4. Tapez le nom de zone approprié dans la zone Suffixe DNS principal de cet ordinateur. Par exemple, tapez dynamic.reskit.com.
   5. Cliquez sur OK.
   Une fois redémarré, l'ordinateur s'enregistre de manière dynamique dans la nouvelle zone. La configuration du client pour qu'il s'enregistre dans la nouvelle zone peut aussi être accomplie à l'aide de stratégies de groupe. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   240942  (http://support.microsoft.com/kb/240942/ ) La propriété DNSHostName d'Active Directory n'inclut pas de sous-domaine
   Les clients dont la version est plus ancienne peuvent également être configurés pour s'enregistrer dans la zone.
5. Au démarrage des contrôleurs de domaine Windows 2000, le service Netlogon tente d'enregistrer plusieurs enregistrements SRV dans la zone qui fait autorité. Les zones dans lesquelles les enregistrements SRV doivent être enregistrés ayant été déléguées (aux étapes 1 et 2) à un serveur Windows 2000 où elles peuvent être mises à jour de manière dynamique, ces enregistrements réussiront. En outre, un contrôleur de domaine tentera d'enregistrer le ou les enregistrements A listés dans son fichier Netlogon.dns dans la zone racine (par exemple, reskit.com). Dans ce cas, ces mises à jour échoueront car la zone racine se trouve sur un serveur DNS non dynamique. L'événement suivant sera généré dans le journal système sur le contrôleur de domaine :
   Type d'événement : Avertissement
   Source de l'événement : NETLOGON
   Catégorie de l'événement : Aucune
   ID de l'événement : 5773
   Date : 3/29/2000
   Heure : 15:16:14
   Utilisateur : N/A
   Ordinateur : DC
   Description :
   Le serveur DNS pour ce contrôleur de domaine ne prend pas en charge le DNS dynamique. Ajoutez les enregistrements DNS du fichier %SystemRoot%\System32\Config\netlogon.dns au serveur DNS du domaine référencé dans ce fichier.
   Pour résoudre ce problème :
   
   
   1. Il existe un fichier Netlogon.dns dans le dossier %SystemRoot%\System32\Config de chaque contrôleur de domaine Windows 2000. Ce fichier contient une liste d'enregistrements DNS que le contrôleur de domaine essaiera d'enregistrer au démarrage du service Netlogon. Il est souhaitable d'effectuer une copie de ce fichier avant d'apporter les modifications suivantes. Vous disposerez ainsi d'une liste des enregistrements d'origine que le contrôleur de domaine tente d'enregistrer auprès du serveur DNS. Notez que chaque contrôleur de domaine possèdera des enregistrements différents car ceux-ci sont propres à la carte réseau installée dans le contrôleur de domaine. Examinez le fichier Netlogon.dns pour identifier tous les enregistrements A dans le fichier. Vous pouvez les identifier par le type d'enregistrement qui suit le descripteur de classe « IN ». Voici deux exemples d'enregistrements A :
      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10
      Le nombre d'enregistrements A dans le fichier Netlogon.dns dépend du nombre de cartes réseau installées dans le contrôleur de domaine, du nombre d'adresses IP avec lequel a été configurée chaque carte réseau et du rôle du contrôleur de domaine. Les contrôleurs de domaine enregistrent :
      
      
      • un enregistrement A pour chacune de ses adresses IP pour le nom du domaine ;
      • si le contrôleur de domaine est aussi un serveur de catalogue global, il enregistre gc._msdcs.nom_forêt_DNS pour chacune de ses adresses IP.
   2. Étant donné que le serveur DNS non dynamique n'acceptera pas les tentatives du contrôleur de domaine d'enregistrer les enregistrements A de façon dynamique, ceux-ci doivent être configurés manuellement sur le serveur DNS qui fait autorité (dans l'exemple de cet article, le serveur DNS qui fait autorité pour la zone reskit.com). L'ajout de l'enregistrement A correspondant au nom du domaine (par exemple, reskit.com) n'est pas obligatoire pour le déploiement sur Windows 2000 et peut être nécessaire uniquement si des clients LDAP tiers qui ne prennent pas en charge les enregistrements DNS SRV recherchent les contrôleurs de domaine Windows 2000.
      
      Sur le serveur Windows 2000, créez dans la zone appropriée les enregistrements A propres au serveur de catalogue global qui ont été identifiés à l'étape A. Par exemple, créez un enregistrement A pour le serveur de catalogue global dans la zone _msdcs.reskit.com.
      
      Sur le serveur DNS non dynamique qui fait autorité pour la racine de la zone, créez des enregistrements A dans la zone racine (par exemple, reskit.com) pour les enregistrements A propres aux serveurs qui ne sont pas des catalogues globaux identifiés à l'étape A. Par exemple, créez un enregistrement A pour reskit.com dans la zone reskit.com.
   3. La clé de Registre suivante doit être utilisée pour empêcher le contrôleur de domaine de tenter d'enregistrer les enregistrements A vus dans le fichier Netlogon.dns. Définissez la valeur de REG_DWORD RegisterDnsARecords sur 0 (zéro) sous :
      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
6. Pour résoudre ce problème : une fois que votre domaine et votre forêt Active Directory sont en place, vous devez intégrer Active Directory aux domaines DNS dont est responsable le serveur Windows 2000 qui exécute DNS. Vous devez aussi reconfigurer les zones qui ont été configurées pour accepter les mises à jour dynamiques de sorte qu'elles acceptent uniquement les mises à jour sécurisées.