Comment faire pour désactiver l'administration à distance du service Serveur DNS dans Windows Server 2003 et dans Windows 2000 Server

Traductions disponibles Traductions disponibles
Numéro d'article: 936263 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article explique comment désactiver la gestion à distance DNS d'un serveur DNS qui exécute l'un des systèmes d'exploitation suivants.
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Vous pouvez utiliser la méthode décrite dans cet article pour améliorer la sécurité des ordinateurs qui exécutent le service Serveur DNS dans une organisation.

Pour plus d'informations sur un problème qui affecte le service Serveur DNS dans Windows Server 2003 et dans Windows 2000 Server, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-029.mspx

Plus d'informations

Vue d'ensemble

Par défaut, le service Serveur DNS permet la gestion à distance en utilisant plusieurs interfaces. Lorsque le service Serveur DNS démarre, il se connecte à un port dynamique dans la plage de ports éphémère. Ce port est utilisé par le composant logiciel enfichable MMC (Microsoft Management Console) et par le fournisseur WMI (Windows Management Instrumentation) DNS. Vous pouvez utiliser l'entrée de Registre suivante pour contrôler si le service Serveur DNS permet la gestion à distance :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Nom de la valeur : RpcProtocol
Type de la valeur : REG_DWORD
Données de la valeur : 0x4
Les valeurs suivantes sont disponibles pour l'entrée de Registre RpcProtocol.
  • 0x1
    Cette valeur correspond au paramètre DNS_RPC_USE_TCPIP
  • 0x2
    Cette valeur correspond au paramètre DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Cette valeur correspond au paramètre DNS_RPC_USE_LPC
Remarque La valeur 0x4 limite l'interface RPC DNS aux appels de procédure locale. Cela permet uniquement la gestion locale.

Effets de la désactivation de la gestion locale

Lorsque vous affectez 0x4 à l'entrée de Registre RpcProtocol, la gestion à distance du service Serveur DNS est désactivée. Par conséquent, vous ne pouvez pas utiliser RPC ou WMI pour gérer le serveur DNS. Dans ce cas, les outils de gestion du serveur DNS ne fonctionnent plus à partir d'un emplacement distant. Toutefois, vous pouvez continuer à utiliser les outils de gestion locale pour gérer le serveur DNS, et vous pouvez toujours effectuer la gestion à distance du serveur DNS en utilisant une connexion aux services Terminal Server.

L'affectation de 0x4 à RpcProtocol n'affecte pas les requêtes DNS, les mises à jour dynamiques DNS, les transferts de zone DNS, etc.

Remarque L'administration et la configuration locales du service Serveur DNS peuvent ne pas fonctionner si les conditions suivantes sont remplies:
  • Le nom d'hôte du serveur que vous voulez gérer comporte 15 caractères.
  • Vous sélectionnez le serveur en utilisant son nom d'hôte.
Pour résoudre ce problème, spécifiez le nom de domaine pleinement qualifié (FQDN) de l'ordinateur lorsque vous le gérez en utilisant les outils d'administration du serveur DNS.

Pour désactiver la gestion à distance du service Serveur DNS

Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou toute autre méthode. Ces problèmes peuvent vous obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

Pour désactiver la gestion à distance via la fonctionnalité RPC d'un ordinateur qui exécute le service Serveur DNS, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Dans la zone Nouvelle valeur #1, tapez RpcProtocol, puis appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur RpcProtocol, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 4, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre, puis redémarrez le service Serveur DNS. Pour redémarrer le service Serveur DNS, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
    2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :
      net stop dns && net start dns

Pour déployer la valeur de Registre RpcProtocol vers plusieurs ordinateurs

Vous pouvez utiliser un script pour déployer la valeur de Registre RpcProtocol. Cela vous permet de désactiver plus facilement la gestion à distance du service Serveur DNS sur plusieurs ordinateurs. Pour cela, procédez comme suit :
  1. Ouvrez une session sur le domaine en utilisant un compte qui dispose de droits pour modifier les serveurs DNS. Par exemple, ouvrez une session en tant qu'administrateur de domaine.
  2. Créez une liste de tous les serveurs DNS. Pour cela, exécutez la commande suivante à une invite de commandes :
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName ?l > dns_servers.txt
    Si nécessaire, modifiez manuellement le fichier dns_servers.txt qui est créé pour spécifier tous les serveurs DNS. Par exemple, cette commande capture uniquement les contrôleurs de domaine qui sont configurés en tant que serveurs DNS. Par conséquent, vous devez ajouter manuellement les serveurs DNS qui sont configurés en tant que serveurs membres.

    Remarque Vous pouvez utiliser l'onglet Serveurs de noms de la boîte de dialogue Propriétés de zone DNS pour chaque zone du composant logiciel enfichable DNS afin de déterminer les noms des serveurs DNS que vous voulez ajouter à cette liste.
  3. Si nécessaire, utilisez la commande cd à l'invite de commandes pour vous placer dans le répertoire dans lequel vous avez enregistré le fichier dns_servers.txt.
  4. Tapez la commande suivante et appuyez sur la touche ENTRÉE :
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Cette commande ajoute l'entrée de Registre RpcProtocol avec la valeur 0x4.
  5. Arrêtez le service Serveur DNS sur tous les ordinateurs. Pour cela, tapez la commande suivante, puis appuyez sur ENTRÉE :
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Démarrez le service Serveur DNS sur tous les ordinateurs. Pour cela, tapez la commande suivante, puis appuyez sur ENTRÉE :
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Pour vérifier que l'entrée de Registre RpcProtocol est définie sur plusieurs ordinateurs

Pour interroger les serveurs et vérifier que l'entrée de Registre RpcProtocol est définie, procédez comme suit :
  1. Connectez-vous à un serveur DNS pour lequel l'entrée de Registre RpcProtocol est définie.
  2. Copiez le script suivant vers un fichier texte, puis nommez ce fichier Dnsquery.cmd :
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt 
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Remarque Ce script compare la sous-clé de Registre Parameters définie sur les ordinateurs distants avec celle définie sur l'ordinateur sur lequel vous exécutez le script.

    Important Ce script ne doit contenir aucun espace en fin de chaîne.
  3. Double-cliquez sur le fichier Dnsquery.cmd pour l'exécuter.

Pour supprimer la valeur de Registre RpcProtocol de plusieurs ordinateurs

Pour annuler l'opération qui définit la valeur de Registre RpcProtocol, procédez comme suit :
  1. Ouvrez une session sur le domaine en utilisant un compte qui dispose de droits pour modifier les serveurs DNS. Par exemple, ouvrez une session en tant qu'administrateur de domaine.
  2. Démarrez une invite de commandes, puis utilisez la commande cd pour vous placer dans le répertoire dans lequel vous avez enregistré le fichier dns_servers.txt.
  3. Tapez la commande suivante et appuyez sur la touche ENTRÉE :
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Arrêtez le service Serveur DNS sur tous les ordinateurs. Pour cela, tapez la commande suivante, puis appuyez sur ENTRÉE :
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Démarrez le service Serveur DNS sur tous les ordinateurs. Pour cela, tapez la commande suivante, puis appuyez sur ENTRÉE :
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Propriétés

Numéro d'article: 936263 - Dernière mise à jour: lundi 14 mai 2007 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com