Intégration de DNS Windows dans un espace de noms DNS existant
Cet article explique comment intégrer LE DNS Windows dans un organization qui dispose déjà d’un espace de noms DNS implémenté dans lequel le serveur DNS faisant autorité pour la zone portant le nom du domaine Active Directory ne prend pas en charge RFC 2136 (mises à jour dynamiques).
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 255913
Résumé
L’une des fonctionnalités du système DNS (Domain Name System) Windows est sa prise en charge des mises à jour d’hôtes dynamiques (documentées dans RFC 2136). Pour tirer parti de cette fonctionnalité, le DNS Windows peut être déployé dans des environnements qui n’ont pas d’autres serveurs DNS, ainsi que dans des environnements qui ont déjà des serveurs DNS non dynamiques implémentés (tels que BIND 4.9.7 et versions antérieures, etc.). Lorsque vous déployez dns Windows dans un environnement sur lequel des serveurs BIND sont déjà implémentés, vous disposez de plusieurs options d’intégration :
- Migrez des zones de serveurs DNS faisant autorité non dynamiques vers des serveurs exécutant Windows DNS.
- Déléguer des domaines DNS enfants sous un domaine DNS parent. Pour les noms de domaine Active Directory qui n’ont pas le même nom que la racine d’une zone, déléguez le sous-domaine au DNS Windows. Par exemple, si le nom du domaine Active Directory est
dev.reskit.com
et que la zone qui contient ce nom estreskit.com
, déléguezdev.reskit.com
à un serveur Windows exécutant DNS. - Déléguez chacun des sous-domaines utilisés par les enregistrements de localisateur de contrôleur de domaine (enregistrements SRV) à un serveur Windows. Ces sous-domaines sont
_msdcs.reskit.com
,_sites.reskit.com
,_tcp.reskit.com
et_udp.reskit.com
. Cette option est utilisée lorsque les noms de domaine Active Directory (par exemple,reskit.com
) qui sont identiques au nom de la racine d’une zone (par exemple,reskit.com
), ne peuvent pas être délégués directement à un serveur Windows exécutant DNS. Si vous le souhaitez, les clients peuvent être membres du domaine Active Directory appeléreskit.com
, mais peuvent s’inscrire dans la zone DNS appeléedynamic.reskit.com
.
Cet article décrit la quatrième option répertoriée ci-dessus, à savoir comment intégrer Le DNS Windows dans un organization qui dispose déjà d’un espace de noms DNS implémenté dans lequel le serveur DNS faisant autorité pour la zone avec le nom du domaine Active Directory ne prend pas en charge RFC 2136 (mises à jour dynamiques). Cet article décrit également un scénario dans lequel les membres du domaine utilisent un suffixe DNS principal différent du nom du domaine Active Directory pour autoriser l’inscription dynamique des enregistrements DNS par les ordinateurs Windows lorsque le serveur DNS faisant autorité pour la zone avec le nom du domaine Active Directory ne prend pas en charge les mises à jour DNS dynamiques.
Plus d’informations
Pour intégrer le DNS Windows à un espace de noms existant basé sur des serveurs DNS non dynamiques, vous pouvez déléguer les sous-domaines utilisés par les enregistrements de localisateur (enregistrements SRV) afin que les mises à jour dynamiques (conformément à la RFC 2136) puissent être utilisées. Procédez comme suit :
Sur le serveur DNS non dynamique faisant autorité pour la zone portant le nom du domaine Active Directory, déléguez les zones suivantes à un serveur Windows 2000 exécutant DNS :
_Udp. DNSDomainName
_Tcp. DNSDomainName
_Sites. DNSDomainName
_msdcs. DNSDomainNamePar exemple, si la zone racine est appelée
reskit.com
, délèguez_udp.reskit.com
,_tcp.reskit.com
,_sites.reskit.com
et_msdcs.reskit.com
au serveur Windows.Vous devez également déléguer deux sous-domaines supplémentaires :
ForestDnsZones. ForestDNSName
DomainDnsZones. DNSDomainNameSur le serveur Windows, créez les zones de transfert déléguées à l’étape 1 et activez les zones pour la mise à jour dynamique.
Pour créer les nouvelles zones :
Démarrez le Gestionnaire DNS sur le serveur Windows.
Développez le serveur DNS approprié dans le Gestionnaire DNS.
Cliquez avec le bouton droit sur le dossier Zones de recherche directe, puis cliquez sur Nouvelle zone.
Lorsque l’Assistant Nouvelle zone démarre, cliquez sur Suivant, sélectionnez « Zone principale », sélectionnez peut-être Stocker la zone dans active Directory case activée zone, puis cliquez sur Suivant.
Pour les zones intégrées à AD, sélectionnez l’emplacement où les données de zone doivent aller, soit vers tous les serveurs DNS du domaine ou de la forêt, soit vers tous les contrôleurs de domaine du domaine (option uniquement dans Windows 2000).
Tapez le nom de la zone dans la zone nom. Par exemple, tapez _msdcs.reskit.com.
Cliquez sur Suivant. Après avoir consulté le résumé de l’Assistant, cliquez sur Terminer.
Pour permettre à la zone d’accepter les mises à jour dynamiques :
- À l’aide du Gestionnaire DNS sur le serveur Windows exécutant DNS, cliquez avec le bouton droit sur la nouvelle zone, cliquez sur Propriétés, puis cliquez sur l’onglet Général.
- Dans la zone Autoriser les Mises à jour dynamiques, cliquez sur Uniquement Mises à jour sécurisé (recommandé) ou Sur Oui. L’option Seul Mises à jour sécurisé n’est disponible qu’une fois que le serveur a été promu en contrôleur de domaine. Répétez ce processus jusqu’à ce que les quatre zones décrites à l’étape 1 aient été créées et que les mises à jour dynamiques aient été autorisées. Cela permet aux enregistrements de localisateur de contrôleur de domaine d’être inscrits et désinscrits dynamiquement dans DNS.
En outre, une ou plusieurs zones peuvent être créées et configurées pour permettre aux clients et serveurs de s’inscrire dynamiquement auprès du serveur Windows. Par exemple, une zone appelée
dynamic.reskit.com
peut être utilisée pour inscrire tous les clients et serveurs sur un réseau via des mises à jour dynamiques. Pour configurer une telle zone :- Sur le serveur DNS non dynamique faisant autorité pour la zone parente (par exemple,
reskit.com
), déléguez une nouvelle zone au serveur Windows exécutant DNS. Par exemple, déléguez ledynamic.reskit.com
. zone sur le serveur Windows. - Sur le serveur Windows, créez une zone de recherche directe pour la zone déléguée ci-dessus (
dynamic.reskit.com
). - Sur le serveur Windows, activez la ou les zones pour les mises à jour dynamiques.
- Sur le serveur DNS non dynamique faisant autorité pour la zone parente (par exemple,
Lorsque les contrôleurs de domaine Windows démarrent, le service Netlogon tente d’inscrire plusieurs enregistrements SRV dans la zone faisant autorité. Étant donné que les zones dans lesquelles les enregistrements SRV doivent être inscrits ont été déléguées (aux étapes 1 et 2) à un serveur Windows où ils peuvent être mis à jour dynamiquement, ces inscriptions réussissent. En outre, un contrôleur de domaine tente d’inscrire le ou les enregistrements A répertoriés dans son fichier Netlogon.dns dans la zone racine (par exemple
reskit.com
). Dans ce cas, étant donné que la zone racine se trouve sur un serveur DNS non dynamique, ces mises à jour échouent. L’événement suivant est généré dans le journal système sur le contrôleur de domaine :Type d'événement : Avertissement
Source de l’événement : NETLOGON
Catégorie d’événement : Aucun
ID d’événement : 5773
Date : <DateTime>
Heure : <DateTime>
Utilisateur : N/A
Ordinateur : DC
Description :
Le serveur DNS pour ce contrôleur de domaine ne prend pas en charge le DNS dynamique. Ajoutez les enregistrements DNS du fichier %SystemRoot%\System32\Config\netlogon.dns au serveur DNS qui dessert le domaine référencé dans ce fichier.Pour corriger ce comportement :
Chaque contrôleur de domaine Windows a un fichier Netlogon.dns situé dans son dossier %SystemRoot%\System32\Config. Ce fichier contient une liste d’enregistrements DNS que le contrôleur de domaine tente d’inscrire au démarrage du service Netlogon. Il est judicieux d’effectuer une copie de ce fichier avant d’apporter les modifications suivantes afin de disposer d’une liste des enregistrements d’origine que le contrôleur de domaine tente d’inscrire auprès du serveur DNS. Notez que chaque contrôleur de domaine aura des enregistrements différents, car ces enregistrements sont spécifiques à chaque carte réseau sur chaque contrôleur de domaine. Examinez le fichier Netlogon.dns pour identifier tous les enregistrements A dans le fichier. Vous pouvez identifier les enregistrements A par le type d’enregistrement suivant le descripteur de classe « IN ». Par exemple, les deux entrées suivantes sont des enregistrements A :
reskit.com
. 600 IN A 10.10.10.10
gc._msdcs.reskit.com
. 600 IN A 10.10.10.10Le nombre d’enregistrements A dans le fichier Netlogon.dns dépend du nombre d’adaptateurs du contrôleur de domaine, du nombre d’adresses IP avec laquelle chaque carte a été configurée et du rôle du contrôleur de domaine. Inscription des contrôleurs de domaine :
- Un enregistrement A par chacune de ses adresses IP pour le nom du domaine.
- Si le contrôleur de domaine est également un serveur de catalogue global (GC), il inscrit gc._msdcs. DnsForestName pour chacune de ses adresses IP.
Étant donné que le serveur DNS non dynamique n’accepte pas les tentatives du contrôleur de domaine d’inscrire dynamiquement les enregistrements A, les enregistrements A doivent être configurés manuellement sur le serveur DNS faisant autorité (dans l’exemple de cet article, le serveur DNS faisant autorité pour la zone
reskit.com
). L’ajout de l’enregistrement A correspondant au nom du domaine (par exemple,reskit.com
) n’est pas nécessaire pour le déploiement Windows et peut être nécessaire uniquement si les clients LDAP tiers qui ne prennent pas en charge les enregistrements DNS SRV recherchent les contrôleurs de domaine Windows.Sur le serveur Windows, créez les enregistrements A spécifiques au serveur GC qui ont été identifiés à l’étape A, dans la zone appropriée. Par exemple, créez un enregistrement A pour le serveur GC dans la zone _msdcs.reskit.com.
Sur le serveur DNS non dynamique faisant autorité pour la racine de la zone, créez des enregistrements A dans la zone racine (par exemple,
reskit.com
) pour les enregistrements A non spécifiques au serveur GC identifiés à l’étape A. Par exemple, créez un enregistrement A pourreskit.com
dans lareskit.com
zone .La clé de Registre suivante doit être utilisée pour empêcher le contrôleur de domaine de tenter d’inscrire les enregistrements A vus dans le fichier Netlogon.dns. Définissez la valeur REG_DWORD RegisterDnsARecords sur 0 (zéro) sous :
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Pour corriger ce comportement : une fois que vous avez une forêt et un domaine Active Directory en place, vous devez intégrer Active Directory aux domaines DNS dont le serveur Windows exécutant DNS est responsable. En outre, vous devez reconfigurer les zones qui ont été configurées pour accepter les mises à jour dynamiques afin d’accepter uniquement les mises à jour dynamiques sécurisées.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour