COMMENT FAIRE : Configuration de la mise à jour dynamique du DNS sous Windows 2003

Cet article décrit comment configurer la fonctionnalité de mise à jour dynamique du DNS sous Windows Server 2003. Cette fonctionnalité permet aux ordinateurs clients DNS d'enregistrer et de mettre à jour dynamiquement leurs enregistrements de ressource sur un serveur DNS chaque fois qu'un changement se produit. Elle permet de réduire les besoins d'administration manuelle des enregistrements de zone, en particulier sur les clients qui se déplacent et utilisent fréquemment le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP (Internet Protocol).

Windows Server 2003 assure la prise en charge de la fonction de mise à jour dynamique telle qu'elle est décrite dans les spécifications RFC 2136 (Request for Comments). Dans le cas des serveurs DNS, le service DNS permet d'activer ou de désactiver la fonction de mise à jour dynamique du DNS, zone par zone, sur chaque serveur configuré pour charger une zone principale standard ou une zone intégrée à Active Directory.

Fonctionnalités de mise à jour dynamique du DNS sous Windows Server 2003

Le service DNS permet aux ordinateurs clients de mettre à jour leurs enregistrements de ressource, en mode dynamique, dans DNS. Cette fonctionnalité permet d'optimiser l'administration DNS en réduisant les délais associés à la gestion manuelle des enregistrements de zone. La fonctionnalité de mise à jour dynamique du DNS peut être utilisée avec le protocole DHCP pour mettre à jour les enregistrements de ressources lors de la modification de l'adresse IP d'un ordinateur. Les ordinateurs exécutant Windows Server 2003 peuvent envoyer des mises à jour dynamiques.

Windows Server 2003 offre les fonctionnalités suivantes liées au protocole de mise à jour dynamique du DNS :

• Prise en charge du service d'annuaire Active Directory en tant que service de localisation pour les contrôleurs de domaine.
• Intégration à Active Directory.
  
  Vous pouvez intégrer des zones DNS à Active Directory pour optimiser la tolérance de pannes et la sécurité. Chaque zone intégrée à Active Directory est répliquée sur tous les contrôleurs de domaine du domaine Active Directory. Tous les serveurs DNS exécutés sur ces contrôleurs de domaine peuvent devenir des serveurs principaux pour la zone et accepter les mises à jour dynamiques. Active Directory effectue la réplication propriété par propriété, en propageant uniquement les changements appropriés.
• Prise en charge de l'expiration et du nettoyage des enregistrements.
  
  Le service DNS est en mesure d'analyser et de supprimer les enregistrements devenus inutiles. En activant cette fonctionnalité, vous évitez de conserver les enregistrements obsolètes dans le DNS.
• Prise en charge des mises à jour sécurisées dans les zones intégrées à Active Directory.
  
  Vous pouvez configurer des zones intégrées à Active Directory pour la mise à jour dynamique sécurisée afin de permettre uniquement aux utilisateurs autorisés de modifier une zone ou un enregistrement.
• Administration à partir d'une invite de commandes.
• Résolution optimisée des noms.
• Mise en cache améliorée et mise en cache négative.
• Interopérabilité avec d'autres implémentations de serveurs DNS.
• Intégration à d'autres services réseau.
• Transfert incrémentiel de zone.

Comment les ordinateurs Windows Server 2003 mettent-ils à jour leurs noms DNS ?

Par défaut, les ordinateurs qui exécutent Windows Server 2003 et qui sont statiquement configurés pour TCP/IP tentent d'enregistrer dynamiquement les enregistrements de ressource A (adresse de l'hôte) et PTR (pointeur) des adresses IP configurées et utilisées par leurs connexions réseau. Par défaut, tous les ordinateurs enregistrent des enregistrements reposant sur leur nom complet.

Sur les ordinateurs équipés de Windows Server 2003, le nom principal complet de l'ordinateur (qui constitue le nom de domaine complet ou FQDN) forme le suffixe DNS principal de l'ordinateur ajouté à son nom. Pour déterminer le suffixe DNS principal de l'ordinateur et son nom, cliquez avec le bouton droit sur Poste de travail, cliquez sur Propriétés, puis sur Nom de l'ordinateur.

Des mises à jour dynamiques peuvent être effectuées pour les motifs suivants ou en présence des événements indiqués :

• Ajout, suppression ou modification d'une adresse IP dans la configuration des propriétés TCP/IP pour l'une des connexions réseau installées.
• Modification ou renouvellement d'une connexion réseau installée sur le serveur DHCP par un bail d'adresse IP. Par exemple, lors du démarrage de l'ordinateur ou lorsque vous utilisez la commande ipconfig /renew.
• Utilisation de la commande ipconfig /registerdns pour forcer manuellement l'actualisation d'un enregistrement de nom de client dans DNS.
• Au démarrage, lorsque l'ordinateur est mis sous tension.
• Serveur membre promu au rôle de contrôleur de domaine.

Lorsque l'un de ces événements déclenche une mise à jour dynamique, le service client DHCP (et non pas le service client DNS) transmet les mises à jour. Lorsque le DHCP provoque un changement des informations d'adresse IP, les mises à jour correspondantes sont effectuées dans DNS pour synchroniser les mappages nom-adresse sur l'ordinateur. Le service client DHCP exécute cette fonction pour toutes les connexions réseau sur le système, y compris celles qui ne sont pas configurées pour utiliser DHCP.

Remarques

• Le processus de mise à jour dynamique sur les ordinateurs Windows Server 2003 qui utilisent DHCP pour obtenir leur adresse IP diffère du processus décrit dans cette section. Pour plus d'informations, reportez-vous aux sections Intégration de DHCP au DNS et Clients DHCP Windows et protocole de mise à jour dynamique du DNS, dans cet article.
• Le processus de mise à jour décrit dans cette section suppose que les valeurs d'installation par défaut de Windows Server 2003 sont en vigueur. Les noms et le comportement spécifiques de mise à jour peuvent être adaptés lors de la configuration des propriétés TCP/IP avancées pour utiliser des paramètres DNS différents.
• Outre le nom complet de l'ordinateur (ou nom principal), vous pouvez configurer des noms DNS supplémentaires spécifiques à la connexion et les inscrire ou les mettre à jour en option dans DNS.

Exemple de fonctionnement de la mise à jour dynamique

Sous Windows Server 2003, des mises à jour dynamiques sont généralement requises lors du changement d'un nom DNS ou d'une adresse IP sur l'ordinateur. Par exemple, supposons qu'un client nommé « ancienhôte » soit configuré à l'aide des noms suivants dans les propriétés système : Dans cet exemple, des noms de domaine DNS non spécifiques à la connexion sont configurés pour l'ordinateur. Si vous renommez l'ordinateur « ancienhôte » en « nouvelhôte », le changement de nom suivant se produit : Une fois le changement de nom effectué dans les propriétés système, un message de Windows Server 2003 vous demande de redémarrer l'ordinateur. Après le redémarrage de Windows, le service client DHCP exécute la séquence suivante pour mettre à jour le DNS :

1. Le service client DHCP envoie une requête de type SOA (Start Of Authority) à l'aide du nom de domaine DNS de l'ordinateur.
   
   L'ordinateur client utilise le FQDN actuellement configuré pour l'ordinateur (par exemple « nouvelhôte.exemple.microsoft.com ») comme nom spécifié dans cette requête.
2. Serveur DNS d'autorité pour la zone qui contient la réponse FQDN client à la requête de type SOA.
   
   Pour les zones principales standard, le serveur principal (propriétaire) renvoyé dans la réponse à la requête SOA est fixe et statique. Il correspond systématiquement au nom DNS précis dès lors que ce nom est affiché dans l'enregistrement de ressource SOA enregistré avec la zone. Cependant, si la zone mise à jour est intégrée à Active Directory, tout serveur DNS chargeant la zone peut répondre et insérer dynamiquement son propre nom en tant que serveur principal (propriétaire) de la zone dans la réponse à la requête SOA.
3. Le service client DHCP tente de contacter le serveur principal DNS.
   
   Le client traite la réponse à la requête de nom SOA pour déterminer l'adresse IP du serveur DNS autorisé à devenir le serveur principal pour l'acceptation de son nom. Le client exécute ensuite la procédure suivante (si nécessaire) pour contacter et mettre à jour dynamiquement son serveur principal :
   1. Le client envoie une requête de mise à jour dynamique au serveur principal, déterminé par la réponse à la requête SOA.
      
      Si la mise à jour aboutit, aucune autre action n'est exécutée.
   2. Si la mise à jour échoue, le client envoie ensuite une requête de type NS pour le nom de zone spécifié dans l'enregistrement SOA.
   3. Lorsque le client reçoit une réponse à cette requête, il envoie une requête SOA au premier serveur DNS répertorié dans la réponse.
   4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique au serveur spécifié dans l'enregistrement SOA renvoyé.
      
      Si la mise à jour aboutit, aucune autre action n'est exécutée.
   5. Si la mise à jour échoue, le client répète le processus d'interrogation SOA en envoyant la requête au serveur DNS suivant répertorié dans la réponse.
4. Une fois que le serveur principal en mesure d'exécuter la mise à jour a été contacté, le client envoie la requête de mise à jour qui est alors traitée par le serveur.
   
   La requête de mise à jour contient des instructions pour l'ajout des enregistrements de ressource A (et éventuellement PTR) de « nouvelhôte.exemple.microsoft.com » et la suppression de ces mêmes types d'enregistrements sur « ancienhôte.exemple.microsoft.com  » (nom enregistré précédemment).
   
   Le serveur vérifie également que les mises à jour requises par le client sont autorisées. Dans le cas des zones principales standard, les mises à jour dynamiques ne sont pas sécurisées et toute tentative de mise à jour de client aboutit. En revanche, avec des zones intégrées à Active Directory, les mises à jour sont sécurisées et réalisées à l'aide des paramètres de sécurité d'annuaire.

Les mises à jour dynamiques sont transmises ou actualisées périodiquement. Par défaut, l'actualisation est effectuée tous les 7 jours. Si la mise à jour n'apporte aucune modification aux données de la zone, la zone conserve sa version actuelle et aucune modification n'est enregistrée. Les mises à jour apportant des modifications à la zone ou entraînant une augmentation des transferts de zone ne sont réalisées que si les noms ou adresses changent réellement.

Remarque Les noms ne sont pas supprimés des zones DNS lorsqu'ils deviennent inactifs ou lorsqu'ils ne sont pas mis à jour au cours de l'intervalle d'actualisation (7 jours). DNS n'utilise aucun mécanisme pour libérer ou éliminer les noms, bien que les clients DNS s'efforcent de supprimer ou de mettre à jour les anciens enregistrements de nom lors de l'application d'un nouveau nom ou d'un changement d'adresse.

Lorsque le service client DHCP enregistre des enregistrements de ressource A et PTR pour un ordinateur équipé de Windows Server 2003, le client utilise une durée de vie (TTL) de mise en cache de 15 minutes par défaut pour les enregistrements d'hôte. Cette valeur détermine la durée de mise en cache des enregistrements d'un ordinateur inclus dans une réponse à une requête sur les autres serveurs et clients DNS.

Intégration de DHCP au DNS

Sous Windows Server 2003, un serveur DHCP peut activer des mises à jour dynamiques dans l'espace de noms DNS de tous ses clients qui prennent en charge ces mises à jour. Les clients de l'étendue peuvent utiliser le protocole de mise à jour dynamique DNS pour mettre à jour leurs informations de mappage nom-adresse d'hôte chaque fois que des modifications sont apportées à l'adresse qui leur est attribuée par DHCP. (Ces informations de mappage sont enregistrées dans des zones sur le serveur DNS.) Un serveur DHCP Windows Server 2003 peut réaliser ces mises à jour pour ses clients DHCP sur tout serveur DNS.

Comment l'interaction de mise à jour DHCP/DNS fonctionne-t-elle ?

Vous pouvez utiliser le serveur DHCP afin d'enregistrer et de mettre à jour des enregistrements de ressource PTR et A pour le compte des clients DHCP du serveur. Dans ce cas, vous devez utiliser une option DHCP supplémentaire : le FQDN du client (option 81). Cette option permet au client de fournir au serveur DHCP son FQDN et des instructions sur la manière dont ce serveur doit traiter les mises à jour dynamiques (éventuelles) du DNS.

Lorsqu'elle est envoyée par un client DHCP approprié, comme un ordinateur DHCP exécutant Windows Server 2003, Microsoft Windows 2000 ou Microsoft Windows XP, cette option est traitée et interprétée par les serveurs DHCP Windows Server 2003 pour déterminer la façon dont le serveur initie les mises à jour pour le compte du client.

Vous pouvez par exemple utiliser l'une des configurations suivantes pour traiter les requêtes du client :

• Le serveur DHCP enregistre et met à jour les informations du client en fonction de ses serveurs DNS configurés selon la requête du client.
  
  Il s'agit de la configuration par défaut pour les serveurs DHCP Windows Server 2003 et les clients qui exécutent Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, tous ces clients DHCP Windows peuvent spécifier de quelle façon le serveur DHCP doit mettre à jour ses enregistrements de ressource A et PTR. Dans la mesure du possible, le serveur DHCP exécute la requête du client pour gérer les mises à jour apportées à son nom et ses informations d'adresse IP dans DNS.
  
  Pour configurer le serveur DHCP afin qu'il enregistre les informations du client conformément à la requête du client, ouvrez les propriétés DHCP du serveur ou de l'étendue individuelle, cliquez sur l'onglet DNS, sélectionnez Propriétés puis activez la case à cocher Mettre à jour les enregistrements PTR et A DNS uniquement si des clients DHCP le demandent.
• Le serveur DHCP enregistre et met systématiquement à jour les informations du client en fonction de ses serveurs DNS configurés.
  
  Il s'agit d'une configuration modifiée prise en charge pour les serveurs DHCP Windows Server 2003 et le clients qui exécutent Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, le serveur DHCP exécute systématiquement la mise à jour des informations FQDN et d'adresse IP louée du client (ses enregistrements de ressource A et PTR), que le client ait ou non demandé à réaliser lui-même ses propres mises à jour.
  
  Pour configurer un serveur DHCP afin qu'il enregistre et mette à jour les informations du client en fonction de ses serveurs DNS configurés, ouvrez les propriétés DHCP du serveur, cliquez sur DNS, sur Propriétés, activez la case à cocher Activer les mises à jour automatiques DNS en utilisant les paramètres ci-dessous, puis cliquez sur Toujours mettre à jour dynamiquement les enregistrements A et PTR DNS.
• Le serveur DHCP n'enregistre jamais les informations du client en fonction de ses serveurs DNS configurés et ne les met jamais à jour.
  
  Pour utiliser cette configuration, le serveur DHCP doit être configuré afin de désactiver l'exécution des mises à jour sur proxy DHCP/DNS. Avec cette configuration, aucun enregistrement de ressource A ou PTR de l'hôte client n'est mis à jour dans DNS pour les clients DHCP.
  
  Pour configurer le serveur afin qu'il ne mette jamais à jour les informations du client, ouvrez les propriétés DHCP du serveur DHCP ou de l'une de ses étendues sur le serveur DHCP Windows Server 2003, cliquez sur DNS, sur Propriétés et désactivez la case à cocher Activer les mises à jour automatiques DNS en utilisant les paramètres ci-dessous. Par défaut, les mises à jour sont toujours réalisées pour les serveurs DHCP Windows Server 2003 nouvellement installés et toute nouvelle étendue créée à leur intention.

Clients DHCP Windows et protocole de mise à jour dynamique du DNS

Les interactions DHCP/DNS des clients DHCP qui exécutent Windows Server 2003, Windows 2000, Windows XP ou un système d'exploitation antérieur peuvent varier. Les exemples suivants présentent les différentes variations de ce processus.

Exemple d'interaction de mise à jour DHCP/DNS sur les clients DHCP Windows Server 2003, Windows 2000 et Windows XP

L'interaction des clients DHCP Windows Server 2003, Windows 2000 et Windows XP avec le protocole de mise à jour dynamique du DNS se déroule de la manière suivante :

1. Le client envoie un message de requête DHCP (DHCPREQUEST) au serveur. La requête contient l'option 81.
2. Le serveur renvoie un message de réception DHCP (DHCPACK) au client, qui attribue un bail d'adresse IP avec l'option 81. Si le serveur DHCP est configuré à l'aide des paramètres par défaut, l'option 81 indique au client que le serveur DHCP sauvegardera l'enregistrement PTR DNS et que le client sauvegardera l'enregistrement A DNS.
3. Le client envoie une requête désynchronisée de mise à jour du DNS au serveur DNS pour son propre enregistrement de recherche directe (enregistrement de ressource A d'hôte).
   
4. Le serveur DHCP enregistre l'enregistrement PTR du client.

Exemple d'interaction de mise à jour DHCP/DNS pour les clients DHCP Windows qui utilisent une version de Windows antérieure à Windows Server 2003

Les versions antérieures des clients DHCP Windows ne prennent pas directement en charge le processus de mise à jour dynamique du DNS et ne peuvent pas avoir d'interaction directe avec le serveur DNS. Pour ces clients DHCP, les mises à jour sont généralement traitées de la manière suivante :

1. Le client envoie un message de requête DHCP (DHCPREQUEST) au serveur. Cette requête ne contient pas l'option 81.
2. Le serveur renvoie un message de réception DHCP (DHCPACK) au client, qui attribue un bail d'adresse IP sans l'option 81.
3. Le serveur envoie les mises à jour au serveur DNS pour l'enregistrement de recherche directe du client, un enregistrement de ressource A d'hôte, et envoie une mise à jour pour l'enregistrement de recherche inversée PTR du client.

Mises à jour dynamiques sécurisées

Sous Windows Server 2003, la sécurité des mises à jour du DNS n'est disponible que pour les zones intégrées à Active Directory. Après avoir intégré une zone à Active Directory, vous pouvez utiliser les fonctionnalités d'édition ACL (Access Control List) disponibles dans le composant logiciel enfichable DNS pour ajouter ou supprimer des utilisateurs ou des groupes d'utilisateurs de la liste de contrôle d'accès pour une zone ou pour un enregistrement de ressource spécifique.

Pour plus d'informations, consultez les rubriques To modify security for a resource record (Modification de la sécurité d'un enregistrement de ressource) ou To modify security for a directory integrated zone (Modification de la sécurité d'une zone intégrée à Active Directory) dans l'aide en ligne de Windows Server 2003.

Par défaut, la sécurité des mises à jour dynamiques sur les serveurs et clients DNS Windows Server 2003 est gérée de la manière suivante :

1. Les clients DNS Windows Server 2003 tentent d'abord d'utiliser des mises à jour dynamiques non sécurisées. Si la mise à jour non sécurisée est refusée, les clients tentent une mise à jour sécurisée.
   
   En outre, les clients utilisent une règle de mise à jour par défaut pour tenter de remplacer un enregistrement de ressource enregistré précédemment, à moins d'en être spécifiquement empêché par la sécurité de mise à jour.
2. Une fois qu'une zone a été intégrée à Active Directory, les serveurs DNS Windows Server 2003 n'autorisent par défaut que des mises à jour dynamiques sécurisées.

Lorsque vous utilisez le stockage de zones standard, le service Serveur DNS n'autorise pas la mise à jour dynamique de ses zones par défaut. Pour les zones intégrées à Active Directory ou utilisant le stockage de fichier standard, vous pouvez modifier les zones afin d'autoriser toutes les mises à jour dynamiques. Toutes les mises à jour sont alors acceptées en transmettant l'utilisation de mises à jour sécurisées.

Important Le service Serveur DHCP peut exécuter l'enregistrement sur proxy et la mise à jour des enregistrements DNS pour les clients hérités qui ne prennent pas en charge les mises à jour dynamiques. Pour plus d'informations, consultez la rubrique Using DNS servers with DHCP (Utilisation des serveurs DNS avec DHCP) dans l'aide en ligne de Windows Server 2003.

Si vous utilisez plusieurs serveurs DHCP Windows Server 2003 sur votre réseau et que vous configurez les zones pour permettre des mises à jour dynamiques sécurisées uniquement, ajoutez les ordinateurs serveurs DHCP au groupe DnsUpdateProxy interne à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Dans ce cas, tous les serveurs DHCP bénéficient de droits sécurisés pour réaliser les mises à jour de proxy sur tous vos clients DHCP. Pour plus d'informations, consultez les rubriques Using DNS servers with DHCP (Utilisation des serveurs DNS avec DHCP) ou Manage groups (Gestion des groupes) dans l'aide en ligne de Windows Server 2003.

Attention Sous Windows Server 2003, la fonctionnalité de mise à jour dynamique sécurisée risque d'être compromise si un serveur DHCP est exécuté sur un contrôleur de domaine alors que le serveur DHCP Windows Server 2003 est configuré pour enregistrer les enregistrements DNS au nom de ses clients. Pour éviter ce problème, déployez les serveurs DHCP et les contrôleurs de domaine sur des ordinateurs différents ou configurez DHCP pour utiliser un compte utilisateur dédié aux mises à jour dynamiques. Pour plus d'informations, consultez la rubrique Using DNS servers with DHCP (Utilisation des serveurs DNS avec DHCP) dans l'aide en ligne de Windows Server 2003.

Pour plus d'informations, reportez-vous à la section Considérations de sécurité pour l'utilisation du groupe DnsUpdateProxy dans cet article.

Restriction aux mises à jour dynamiques sécurisées uniquement

1. Cliquez sur Démarrer, pointez sur Outils administratifs, puis cliquez sur DNS.
2. Sous DNS, double-cliquez sur le serveur DNS concerné, sur Zones de recherche directe ou sur Zones de recherche inversée, puis cliquez avec le bouton droit sur la zone appropriée.
3. Cliquez sur Propriétés.
4. Sou l'onglet Général, vérifiez que le type de zone est Intégrée à Active Directory.
5. Dans la zone Mises à jour dynamiques, cliquez sur Sécurisé uniquement.
6. Cliquez sur OK.

Remarque La fonction de mise à jour sécurisée est uniquement prise en charge pour les zones intégrées à Active Directory. Si vous configurez un type de zone différent, vous devez changer de type de zone et intégrer la zone à Active Directory avant de pouvoir la sécuriser pour la mise à jour dynamique du DNS. La mise à jour dynamique est une extension de la norme DNS conforme aux spécifications RFC. Le processus de mise à jour du DNS est défini dans les spécifications RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) » (DNS UPDATE, mises à jour DNS dynamiques).

Utilisation du groupe de sécurité DnsUpdateProxy

Vous pouvez configurer un serveur DHCP Windows Server 2003 pour enregistrer dynamiquement les enregistrements de ressource d'hôte A et PTR au nom des clients DHCP. Si vous utilisez les mises à jour dynamiques dans ce mode de configuration sur les serveurs DNS Windows Server 2003, les enregistrements de ressource risquent d'être périmés.

Prenons l'exemple du scénario suivant :

1. Un serveur DHCP Windows Server 2003 (DHCP1) exécute une mise à jour dynamique sécurisée au nom de l'un de ses clients pour un nom de domaine DNS spécifique.
2. Comme le serveur DHCP a réussi à créer le nom, il en devient le propriétaire.
3. Une fois que le serveur DHCP devient propriétaire du nom du client, lui seul peut mettre le nom à jour.

Cela risque de provoquer des problèmes dans certaines situations. Par exemple, si un second serveur de sauvegarde DHCP est mis en ligne à la suite d'une défaillance du serveur DHCP1, il ne pourra pas mettre à jour le nom du client parce qu'il n'en est pas le propriétaire.

Autre exemple : si le serveur DHCP réalise des mises à jour dynamiques pour les clients hérités et que ceux-ci sont ensuite mis à jour vers Windows Server 2003, Windows 2000 ou Windows XP, les clients mis à jour ne peuvent plus devenir propriétaire de leurs enregistrements DNS ni les mettre à jour.

Pour résoudre ce problème, un groupe de sécurité interne nommé DnsUpdateProxy a été fourni. Lorsque tous les serveurs DHCP sont ajoutés en tant que membres du groupe DnsUpdateProxy, les enregistrements d'un serveur peuvent être mis à jour par un autre serveur en cas de défaillance du premier. En outre, aucun objet créé par les membres du groupe DnsUpdateProxy n'est sécurisé et, de ce fait, le premier utilisateur (qui n'est pas membre du groupe DnsUpdateProxy) à modifier l'ensemble d'enregistrements associé à un nom DNS en devient le propriétaire. Lorsque les clients hérités sont mis à jour, ils peuvent donc devenir propriétaire de leurs enregistrements de nom sur le serveur DNS. En ajoutant tous les serveurs DHCP qui enregistrent des enregistrements de ressource pour les clients hérités au groupe DnsUpdateProxy, vous éliminez les problèmes décrits plus haut dans cet article.

Ajout de membres au groupe DnsUpdateProxy

Utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour configurer le groupe de sécurité DnsUpdateProxy.

Remarque Si vous utilisez plusieurs serveurs DHCP pour fournir une tolérance de pannes et que vous optez pour des mises à jour dynamiques sécurisées, ajoutez tous les serveurs au groupe de sécurité global DnsUpdateProxy.

Considérations de sécurité pour l'utilisation du groupe DnsUpdateProxy

Les noms de domaine DNS enregistrés par le serveur DHCP ne sont pas sécurisés si ce dernier est membre du groupe DnsUpdateProxy. L'enregistrement de ressource d'hôte (A) du serveur DHCP proprement dit en est un exemple. En outre, comme les objets créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés, vous ne pouvez pas utiliser efficacement ce groupe dans une zone intégrée à Active Directory qui autorise uniquement les mises à jour sécurisées, à moins de prendre des mesures supplémentaires pour permettre la sécurisation des enregistrements créés par les membres du groupe.

Pour vous protéger des enregistrements non sécurisés, ou pour permettre aux membres du groupe DnsUpdateProxy d'enregistrer des enregistrements dans les zones qui n'autorisent que les mises à jour dynamiques sécurisées, vous pouvez créer un compte utilisateur dédié et configurer les serveurs DHCP pour réaliser des mises à jour dynamiques du DNS à l'aide des informations d'authentification du compte utilisateur (nom d'utilisateur, mot de passe et domaine). Les informations d'authentification d'un compte utilisateur dédié peuvent être utilisées par plusieurs serveurs DHCP.

Un compte utilisateur dédié est un compte dont le seul but est de fournir aux serveurs DHCP les informations d'authentification nécessaires à l'enregistrement des mises à jour dynamiques du DNS. Lorsque vous configurez les serveurs DHCP à l'aide des informations d'authentification du compte utilisateur dédié que vous avez créé, tous les serveurs DHCP fournissent ces informations lorsqu'ils enregistrent des noms pour le compte des clients DHCP à l'aide des mises à jour dynamiques du DNS. Le compte utilisateur dédié doit être créé dans la forêt où réside le serveur DNS principal de la zone à mettre à jour. Le compte utilisateur dédié peut également être situé dans une autre forêt, si celle-ci dispose d'une approbation entre forêts avec celle qui contient le serveur DNS principal de la zone à mettre à jour.

Lorsque le service Serveur DHCP est installé sur un contrôleur de domaine, vous pouvez configurer le serveur DHCP à l'aide des informations d'authentification du compte utilisateur dédié pour empêcher le serveur d'hériter de la puissance du contrôleur de domaine (et éventuellement d'en abuser). Installé sur un contrôleur de domaine, le serveur DHCP hérite des permissions de sécurité de ce contrôleur et est autorisé à mettre à jour ou supprimer les enregistrements DNS enregistrés dans une zone sécurisée intégrée à Active Directory. (Ces enregistrements comprennent ceux qui ont été enregistrés de manière sécurisée par d'autres ordinateurs exécutant Windows 2000 ou un système d'exploitation Windows Server 2003, contrôleurs de domaine inclus.)

Configuration de la mise à jour dynamique du DNS

La fonctionnalité de mise à jour dynamique disponible sous Windows Server 2003 est conforme aux spécifications RFC 2136. Elle permet aux clients et serveurs d'enregistrer des noms de domaine DNS (enregistrements de ressource PTR) et des mappages d'adresse IP (enregistrements de ressource A) sur un serveur DNS conforme aux spécifications RFC 2136.

Configuration de la mise à jour dynamique du DNS sur les clients DHCP

Par défaut, les clients DHCP Windows Server 2003, Windows 2000 et Windows XP sont configurés pour demander à ce que le client enregistre l'enregistrement de ressource A et le serveur l'enregistrement de ressource PTR. Par défaut, le nom utilisé dans l'enregistrement DNS est une concaténation du nom de l'ordinateur et du suffixe DNS principal. Pour modifier ce nom par défaut, ouvrez les propriétés TCP/IP de votre connexion réseau.

Pour modifier les valeurs par défaut de mise à jour dynamique sur le client de mise à jour dynamique, procédez comme suit :

1. Dans le Panneau de configuration, double-cliquez sur Connexions réseau.
2. Cliquez avec le bouton droit sur la connexion à configurer, puis cliquez sur Propriétés.
3. Cliquez sur Protocole Internet (TCP/IP), sur Propriétés, puis sur Avancé.
4. Cliquez sur DNS.
   
   Par défaut, la case à cocher Enregistrer les adresses de cette connexion dans le système DNS est activée et la case à cocher Utiliser le suffixe DNS de cette connexion pour l'enregistrement DNS ne l'est pas. Avec cette configuration par défaut, le client demande à enregistrer lui-même l'enregistrement de ressource A et le serveur à enregistrer l'enregistrement de ressource PTR.
5. Activez la case à cocher Utiliser le suffixe DNS de cette connexion pour l'enregistrement DNS.
   
   Le client demande alors à ce que le serveur mette à jour l'enregistrement PTR à l'aide du FQDN. Si le serveur DHCP est configuré pour enregistrer les enregistrements DNS en fonction de la requête du client, le client enregistre les enregistrements suivants :
   • Enregistrement PTR.
   • Enregistrement A qui utilise le nom formé par concaténation du nom de l'ordinateur et du suffixe DNS principal.
   • Enregistrement A qui utilise le nom formé par concaténation du nom de l'ordinateur et du suffixe DNS spécifique à la connexion.
6. Pour configurer le client afin de ne formuler aucune requête d'enregistrement DNS, désactivez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS.

Configuration de la mise à jour dynamique du DNS sur les ordinateurs clients à emplacements multiples

Si le client de mise à jour dynamique est à emplacements multiples (s'il comporte plus d'une carte et plus d'une adresse IP associée), il enregistre par défaut toutes les adresses IP dans le DNS. Si vous ne voulez pas que le client enregistre toutes ses adresses IP, vous pouvez le configurer pour ne pas enregistrer une ou plusieurs adresses IP dans les propriétés de la connexion réseau.

Pour empêcher l'ordinateur d'enregistrer toutes ses adresses IP, procédez comme suit :

1. Dans le Panneau de configuration, double-cliquez sur Connexions réseau.
2. Cliquez avec le bouton droit sur la connexion à configurer, puis sur Propriétés.
3. Cliquez sur Protocole Internet (TCP/IP), sur Propriétés, puis sur Avancé.
4. Cliquez sur DNS.
5. Désactivez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS.

Vous pouvez également configurer l'ordinateur pour enregistrer son nom de domaine dans DNS. Par exemple, dans le cas d'un client connecté à deux réseaux différents, vous pouvez le configurer pour avoir un nom de domaine différent sur chacun des réseaux.

Configuration de la mise à jour dynamique du DNS sur un serveur DHCP Windows Server 2003

Pour configurer la mise à jour dynamique du DNS sur un serveur DHCP Windows Server 2003, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Outils administratifs, puis cliquez sur DHCP.
2. Cliquez avec le bouton droit sur le serveur ou sur l'étendue DHCP, puis cliquez sur Propriétés.
3. Cliquez sur DNS.
4. Activez la case à cocher Activer les mises à jour automatiques DNS en utilisant les paramètres ci-dessous pour permettre la mise à jour dynamique du DNS sur les clients qui prennent en charge la mise à jour dynamique.
   
   Remarque Cette case à cocher est activée par défaut.
5. Pour permettre la mise à jour dynamique du DNS sur les clients DHCP qui ne la prennent pas en charge, activez la case à cocher Mettre à jour dynamiquement les enregistrements A et PTR DNS pour les clients DHCP qui ne nécessitent aucune mise à jour (par exemple, des clients exécutant Windows NT 4.0).
6. Cliquez sur OK.

Activation des mises à jour dynamiques du DNS sur un serveur DNS

Sur un serveur DHCP Windows Server 2003, vous pouvez actualiser dynamiquement les enregistrements DNS des clients antérieurs à Windows Server 2003 qui ne peuvent pas le faire eux-mêmes.
Pour activer la mise à jour dynamique des enregistrements DNS de ses clients sur un serveur DHCP, procédez comme suit :

1. Dans la console de gestion DHCP, sélectionnez l'étendue ou le serveur DHCP pour lequel la mise à jour dynamique du DNS doit être autorisée.
2. Dans le menu Action, cliquez sur Propriétés, puis sur DNS.
3. Activez la case à cocher Activer les mises à jour automatiques DNS en utilisant les paramètres ci-dessous.
4. Pour mettre à jour les enregistrements DNS d'un client en fonction du type de requête DHCP que le client effectue et uniquement à sa requête, activez la case à cocher Mettre à jour les enregistrements A et PTR DNS uniquement si des clients DHCP le demandent.
5. Pour mettre systématiquement à jour les enregistrements de recherche directe et de recherche inversée d'un client, activez la case à cocher Toujours mettre à jour dynamiquement les enregistrements A et PTR DNS.
6. Activez la case à cocher Ignorer les enregistrements A et PTR lorsque le bail est supprimé pour obliger le serveur DHCP à supprimer l'enregistrement d'un client lorsque le bail DHCP expire sans être renouvelé.

Désactivation de la mise à jour dynamique du DNS

AVERTISSEMENT : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de provoquer de graves problèmes pouvant nécessiter la réinstallation du système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une utilisation incorrecte de l'Éditeur du Registre peuvent être résolus. Vous assumez le risque de l'utilisation de cet éditeur.

La mise à jour dynamique est configurée par défaut sur les clients Windows Server 2003. Pour désactiver la mise à jour dynamique dans toutes les interfaces réseau, procédez comme suit :

1. Cliquez sur Démarrer, puis sur Exécuter.
2. Dans la zone Ouvrir, tapez regedit.
3. Dans l'Éditeur du Registre, localisez la clé de Registre suivante :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters
4. Dans le menu Edition, pointez sur Nouveau et cliquez sur Valeur DWORD.
5. Tapez DisableDynamicUpdate et appuyez sur ENTRÉE.
6. Appuyez sur ENTRÉE.
7. Dans la boîte de dialogue Édition de la valeur DWORD, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
8. Quittez l'Éditeur du Registre.

Pour désactiver la mise à jour dynamique dans une interface spécifique, procédez comme suit :

1. Cliquez sur Démarrer, puis sur Exécuter.
2. Dans la zone Ouvrir, tapez regedit.
3. Dans l'Éditeur du Registre, localisez la clé de Registre suivante :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces\interface
   où interface est l'ID de périphérique de la carte réseau pour l'interface dans laquelle la mise à jour dynamique doit être désactivée.
4. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
5. Tapez DisableDynamicUpdate et appuyez sur ENTRÉE.
6. Appuyez sur ENTRÉE.
7. Dans la boîte de dialogue Édition de la valeur DWORD, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
8. Quittez l'Éditeur du Registre.