Comment configurer les mises à jour dynamiques DNS dans Windows Server 2003

S’applique à : Windows Servers

Pour obtenir la version de cet article destinée à Microsoft Windows 2000, voir 317590.

Résumé


Cet article décrit comment configurer la fonctionnalité de mise à jour DNS dans Microsoft Windows Server 2003. La mise à jour DNS permet aux ordinateurs client DNS d'enregistrer et de mettre à jour de manière dynamique leurs enregistrements de ressources avec un serveur DNS dès lors que des modifications sont apportées. Si vous utilisez cette fonctionnalité, cela permet de réduire les besoins en administration manuelle pour les enregistrements de zone, surtout pour les clients qui se déplacent et utilisent DHCP pour obtenir une adresse IP.

Windows Server 2003 fournit la prise en charge de la fonctionnalité de mise à jour dynamique telle que décrite dans les documents RFC 2136. Pour les serveurs DNS, le service DNS vous permet d'activer ou de désactiver la fonctionnalité de mise à jour DNS sur une base par zone à chaque serveur configuré pour charger soit une zone primaire standard ou intégrée à l'annuaire.

Retour au début

Historique des mises à jour de Windows Server 2003 DNS

Le service DNS permet aux ordinateurs clients de mettre à jour dynamiquement leurs dossiers de ressources dans DNS. Lorsque vous utilisez cette fonctionnalité, vous améliorez l'administration DNS en réduisant le temps nécessaire pour gérer manuellement les enregistrements de zone. Vous pouvez utiliser la fonctionnalité de mise à jour DNS avec DHCP pour mettre à jour les enregistrements de ressources lorsque l'adresse IP d'un ordinateur est modifiée. Les ordinateurs qui exécutent Windows Server 2003 peuvent envoyer des mises à jour dynamiques.

Windows Server 2003 fournit les fonctionnalités suivantes qui sont liées au protocole de mise à jour dynamique DNS :
  • Utilisation du service Active Directory comme service de localisation pour les contrôleurs de domaine.
  • Intégration avec Active Directory.

    Vous pouvez intégrer les zones DNS dans l'Active Directory pour fournir une tolérance et une sécurité accrues des défauts. Chaque zone active intégrée au répertoire est reproduite parmi tous les contrôleurs de domaine du domaine Active Directory. Tous les serveurs DNS qui s'exécutent sur ces contrôleurs de domaine peuvent agir comme serveurs principaux pour la zone et accepter des mises à jour dynamiques. Active Directory se reproduit par propriété et ne propage que des modifications pertinentes.
  • Vieillissement et nettoyage des dossiers.

    Le service DNS Server peut scanner et supprimer les enregistrements qui ne sont plus nécessaires. Lorsque vous activez cette fonctionnalité, vous pouvez empêcher les enregistrements obsolètes de rester dans DNS.
  • Sécuriser les mises à jour dynamiques dans les zones intégrées à l'Active Directory.

    Vous pouvez configurer des zones intégrées à l'Active Directory pour des mises à jour dynamiques sécurisées afin que seuls les utilisateurs autorisés puissent apporter des modifications à une zone ou à un enregistrement.
  • Administration à partir d'une invite de commandes
  • Résolution de nom étendu :
  • Mise en cache améliorée et mise en cache négative.
  • Intéropérabilité avec d'autres implémentations de serveurs DNS.
  • Intégration avec d'autres services réseau.
  • Transfert de zone incrémentiel
Retour au début

Comment les ordinateurs Windows Server 2003 mettent à jour leurs noms DNS

Par défaut, les ordinateurs qui exécutent Windows Server 2003 et qui sont configurés statiquement pour TCP/IP tentent d'enregistrer dynamiquement les enregistrements de ressources d'adresse hôte (A) et de pointeur (PTR) pour les adresses IP configurées et utilisées par leurs connexions réseau installées. Par défaut, tous les enregistrements informatiques sont basés sur le nom complet de l'ordinateur.

Pour les ordinateurs Windows Server 2003, le nom principal de l'ordinateur complet est un nom de domaine entièrement qualifié (FQDN). En outre, le nom principal de l'ordinateur complet est le suffixe DNS primaire de l'ordinateur qui est annexé au nom de l'ordinateur. Pour déterminer le suffixe DNS principal de l'ordinateur et le nom de l'ordinateur, cliquez avec le bouton droit sur Mon ordinateur, cliquez sur
Propriétés, puis cliquez sur Nom de l'ordinateur.

Ce problème peut se produire pour l'une des raisons ou évènements suivants :
  • Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l'une ou l'autre des connexions réseau installées.
  • Un bail d'adresse IP modifie ou renouvelle l'une des connexions réseau installées avec le serveur DHCP. Par exemple, cette mise à jour se produit lorsque l'ordinateur est démarré ou lorsque vous utilisez la commande ipconfig/renew.
  • Vous utilisez la commande ipconfig/registerdns pour forcer manuellement une mise à jour de l'enregistrement du nom du client dans DNS.
  • L'ordinateur est allumé.
  • Un serveur membre est promu à un contrôleur de domaine.
Lorsque l'un de ces événements déclenche une mise à jour DNS, le service client DHCP, et non le service Client DNS, envoie des mises à jour. Si une modification de l'information d'adresse IP se produit en raison du DHCP, les mises à jour correspondantes dans DNS sont effectuées afin de synchroniser les mappages nom à adresse pour l'ordinateur. Le service client DHCP remplit cette fonction pour toutes les connexions réseau du système. Cela inclut les connexions qui ne sont pas configurées pour utiliser DHCP.

Remarque
  • Le processus de mise à jour pour les ordinateurs basés sur Windows Server 2003 qui utilisent DHCP pour obtenir leur adresse IP est différent du processus qui est décrit dans cette section. Pour plus d'informations, consultez la section « Intégration du DHCP avec DNS » et la section « Clients Windows DHCP et protocole de mise à jour dynamique DNS ».
  • Le processus de mise à jour décrit dans cette section suppose que les défauts d'installation de Windows Server 2003 sont en vigueur. Les noms spécifiques et le comportement de mise à jour sont réglables lorsque les propriétés TCP/IP avancées sont configurées pour utiliser des paramètres DNS non par défaut.
  • Outre le nom complet de l'ordinateur, ou le nom principal de l'ordinateur, vous pouvez configurer des noms DNS spécifiques à une connexion supplémentaire et les enregistrer ou les mettre à jour dans DNS.
Par défaut, Windows XP et Windows Server 2003 réenregistrent leurs enregistrements de ressources A et PTR toutes les 24 heures, quel que soit le rôle de l'ordinateur. Pour contourner ce problème vous-même, ajoutez l'entrée de RegistreDefaultRegistrationRefreshInterval à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters
L’intervalle est réglé en secondes.


Retour au début

Un exemple du fonctionnement des mises à jour DNS

Pour Windows Server 2003, les mises à jour dynamiques sont généralement demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, un client nommé « oldhost » est d’abord configuré dans les propriétés du système avec les noms suivants :
Nom de l’ordinateur : oldhost
Nom de domaine DNS de l’ordinateur : example.microsoft.com
Nom complet de l’ordinateur : oldhost.example.microsoft.com
Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. Si vous renommez l’ordinateur « oldhost » en « newhost », les changements de nom suivants se produisent :
Nom de l’ordinateur : newhost
Nom de domaine DNS de l’ordinateur : example.microsoft.com
Nom complet de l’ordinateur : newhost.example.microsoft.com
Une fois le changement de nom appliqué dans Propriétés système, Windows Server 2003 vous invite à redémarrer l’ordinateur. Une fois que l’ordinateur a redémarré Windows, le service client DHCP exécute la séquence suivante pour mettre à jour le serveur DNS :
  1. Le service client DHCP envoie une requête de type SOA (Start of Authority) en utilisant le nom de domaine DNS de l’ordinateur.

    L’ordinateur client utilise le nom de domaine complet de l’ordinateur actuellement configuré, tel que « newhost.example.microsoft.com », en tant que nom spécifié dans cette requête.
  2. Le serveur DNS faisant autorité pour la zone contenant le nom de domaine complet du client répond à la requête de type SOA.

    Pour les zones principales standard, le serveur principal ou le propriétaire renvoyé dans la réponse à la requête SOA est fixe et statique. Le nom du serveur principal correspond toujours au nom DNS exact car ce nom est affiché dans l’enregistrement de ressource SOA stocké avec la zone. Toutefois, si la zone mise à jour est intégrée à l’annuaire, tout serveur DNS qui la charge peut répondre et insérer dynamiquement son propre nom en tant que serveur principal de la zone dans la réponse à la requête SOA.
  3. Le service client DHCP tente de contacter le serveur DNS principal.

    Le client traite la réponse à la requête SOA pour son nom afin de déterminer l’adresse IP du serveur DNS autorisé en tant que serveur principal pour accepter son nom. Si nécessaire, le client effectue les étapes suivantes pour contacter et mettre à jour dynamiquement son serveur principal :
    1. Le client envoie une demande de mise à jour dynamique au serveur principal qui est déterminée dans la réponse à la requête SOA.

      Si la mise à jour réussit, aucune action supplémentaire n’est entreprise.
    2. Si cette mise à jour échoue, le client envoie ensuite une requête de type NS pour le nom de zone spécifié dans l’enregistrement SOA.
    3. Lorsque le client reçoit une réponse à cette requête, il envoie une requête SOA au premier serveur DNS répertorié dans la réponse.
    4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique au serveur spécifié dans l’enregistrement SOA renvoyé.

      Si la mise à jour réussit, aucune mesure supplémentaire n'est prise.
    5. Si cette mise à jour échoue, le client répète le processus de requête SOA en envoyant au serveur DNS suivant qui est répertorié dans la réponse.
  4. Une fois que le serveur principal qui peut effectuer la mise à jour est contacté, le client envoie la demande de mise à jour et le serveur la traite.


    Le contenu de la demande de mise à jour comprend des instructions pour ajouter les enregistrements de ressources A, et peut-être PTR, pour « newhost.example.microsoft.com » et supprimer ces mêmes types d'enregistrements pour "oldhost.example.microsoft.com". (« oldhost.example.microsoft.com » est le nom qui était précédemment enregistré.)

    Le serveur vérifie également pour s'assurer que les mises à jour sont autorisées pour la demande du client. Pour les zones primaires standard, les mises à jour dynamiques ne sont pas sécurisées. Toute tentative de mise à jour de la part du client réussit. Pour les zones intégrées à l'Active Directory, les mises à jour sont sécurisées et exécutées à l'aide des paramètres de sécurité basés sur le répertoire.
Les mises à jour dynamiques sont envoyées ou actualisées périodiquement. Par défaut, les ordinateurs envoient une mise à jour toutes les vingt-quatre heures. Si la mise à jour n’entraîne aucune modification des données de zone, la zone reste dans sa version actuelle et aucune modification n’est écrite. Les mises à jour qui entraînent des changements de zone réels ou des transferts de zone accrus ne se produisent que si les noms ou les adresses changent réellement.

Remarque : les noms ne sont pas supprimés des zones DNS s’ils deviennent inactifs ou s’ils ne sont pas mis à jour dans l’intervalle de mise à jour de vingt-quatre heures. DNS n’utilise pas de mécanisme pour libérer ou désactiver les noms, bien que les clients DNS essaient de supprimer ou de mettre à jour d’anciens enregistrements de noms lorsqu’un nouveau nom ou une nouvelle adresse sont modifiés.

Lorsque le service client DHCP enregistre les enregistrements de ressources A et PTR pour un ordinateur Windows Server 2003, le client utilise une valeur de durée de mise en cache par défaut de 15 minutes pour les enregistrements d’hôte. Cette valeur détermine la durée pendant laquelle d’autres serveurs et clients DNS mettent en cache les enregistrements d’un ordinateur lorsqu’ils sont inclus dans une réponse à une requête.

Retour au début

Intégration du DHCP avec DNS

Avec Windows Server 2003, un serveur DHCP peut activer des mises à jour dynamiques dans l’espace de noms DNS pour n’importe lequel de ses clients prenant en charge ces mises à jour. Les clients Scope peuvent utiliser le protocole de mise à jour dynamique DNS pour mettre à jour leurs informations de mappage de nom d’hôte à adresse chaque fois que l’adresse attribuée à DHCP est modifiée. (Ces informations de mappage sont stockées dans des zones sur le serveur DNS.) Un serveur DHCP basé sur Windows Server 2003 peut effectuer des mises à jour pour le compte de ses clients DHCP sur n’importe quel serveur DNS.

Retour au début

Comment fonctionne l’interaction de mise à jour DHCP/DNS

Vous pouvez utiliser le serveur DHCP pour enregistrer et mettre à jour les enregistrements de ressources PTR et A pour le compte des clients compatibles DHCP du serveur. Dans ce cas, vous devez utiliser une option DHCP supplémentaire, l’option FQDN du client (option 81). Cette option permet au client d’envoyer son FQDN au serveur DHCP dans le paquet DHCPREQUEST. Cela permet au client d’informer le serveur DHCP du niveau de service requis.

L’option FQDN comprend les six champs suivants :
  • Code
    Spécifie le code de cette option (81).
  • Lon
    Spécifie la longueur de cette option. (Cela doit être un minimum de 4.)
  • Flags
    Spécifie le type de service.
  • 0
    Le client enregistrera l’enregistrement « A » (Hôte).
  • 1
    Le client souhaite que DHCP enregistre l’enregistrement « A » (Host).
  • 3
    DHCP enregistrera le dossier « A » (Host) quelle que soit la demande du client.
  • RCODE1
    Spécifie un code de réponse que le serveur envoie au client.
  • RCODE2
    Spécifie une délimitation supplémentaire de RCODE1.
  • Nom de domaine
    Spécifie la FQDN du client.
Si le client demande à enregistrer ses enregistrements de ressources avec DNS, il est responsable de la génération de la demande UPDATE dynamique selon la RFC (Request for Comments) 2136. Ensuite, le serveur DHCP enregistre son enregistrement PTR (pointeur).

Supposons que cette option soit émise par un client DHCP qualifié, tel qu’un ordinateur compatible DHCP qui exécute Windows Server 2003, Microsoft Windows 2000 ou Microsoft Windows XP. Dans ce cas, l’option est traitée et interprétée par les serveurs DHCP basés sur Windows Server 2003 pour déterminer comment le serveur initie les mises à jour pour le compte du client.

Par exemple, vous pouvez utiliser l’une des configurations suivantes pour traiter les demandes des clients :
  • Le serveur DHCP enregistre et met à jour les informations du client avec ses serveurs DNS configurés en fonction de la demande du client.

    Il s’agit de la configuration par défaut pour les serveurs DHCP basés sur Windows Server 2003 et les clients exécutant Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, n’importe lequel de ces clients DHCP Windows peut spécifier la manière dont le serveur DHCP met à jour ses enregistrements de ressources hôte A et PTR. Si cela est possible, le serveur DHCP gère la demande du client pour gérer les mises à jour de son nom et de ses informations d’adresse IP dans DNS.

    Pour configurer le serveur DHCP pour enregistrer les informations clients en fonction de la demande du client, suivez les étapes suivantes :
    1. Ouvrez les propriétés DHCP pour le serveur ou la portée individuelle.
    2. Cliquez sur l’onglet DNS, cliquez sur
      Propriétés, puis activez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR uniquement si cela est demandé par les clients DHCP.
  • Le serveur DHCP enregistre et met toujours à jour les informations du client avec ses serveurs DNS configurés.

    Il s’agit d’une configuration modifiée prise en charge pour les serveurs DHCP basés sur Windows Server 2003 et les clients exécutant Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, le serveur DHCP effectue toujours des mises à jour du nom de domaine complet et des informations d’adresse IP louées du client, que le client ait ou non demandé à effectuer ses propres mises à jour.

    Pour configurer un serveur DHCP afin qu’il enregistre et mette à jour les informations du client avec ses serveurs DNS configurés, procédez comme suit :
    1. Ouvrez les propriétés DHCP du serveur
    2. Cliquez sur DNS, puis sur Propriétés, cochez la case Activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous, puis cliquez sur
      Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR.
  • Le serveur DHCP n’enregistre et ne met jamais à jour les informations du client avec ses serveurs DNS configurés.

    Pour utiliser cette configuration, le serveur DHCP doit être configuré pour désactiver les performances des mises à jour par proxy DHCP / DNS. Lorsque vous utilisez cette configuration, aucun enregistrement de ressource d’hôte A ou PTR client n’est mis à jour dans DNS pour les clients DHCP.

    Pour configurer le serveur de manière à ne jamais mettre à jour les informations client, procédez comme suit :
    1. Ouvrez les propriétés DHCP du serveur DHCP ou l’une de ses étendues sur le serveur DHCP basé sur Windows Server 2003.
    2. Cliquez sur
      DNS, cliquez sur Propriétés, puis effacer le
      la case à cocher Activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous.
    Par défaut, les mises à jour sont toujours effectuées pour les serveurs DHCP Windows Server 2003 nouvellement installés et pour toutes les nouvelles étendues que vous créez pour eux.
Retour au début

Clients DHCP Windows et protocole de mise à jour dynamique DNS

Les clients DHCP exécutant Windows Server 2003, Windows 2000, Windows XP ou des systèmes d’exploitation antérieurs peuvent interagir différemment lorsqu’ils effectuent les interactions DHCP/DNS. Les exemples suivants montrent comment ce processus varie selon les cas.

Retour au début

Exemple d'interaction de mise à jour DHCP/DNS pour les clients DHCP basés sur Windows Server 2003, Windows 2000 et Windows XP.

Les clients qui exécutent un serveur DHCP Windows Server 2003, Windows 2000 ou Windows XP interagissent avec le protocole de mise à jour dynamique DNS de la manière suivante :
  1. Le client lance un message de demande DHCP (DHCPREQUEST) au serveur. La demande comprend l’option 81.
  2. Le serveur renvoie un message de reconnaissance DHCP (DHCPACK) au client. Le client accorde un bail d’adresse IP et inclut l’option 81. Si le serveur DHCP est configuré avec les paramètres par défaut, l’option 81 indique au client que le serveur DHCP enregistrera l’enregistrement DNS PTR et que le client enregistrera l’enregistrement DNS A.
  3. De manière asynchrone, le client envoie une demande de mise à jour DNS au serveur DNS pour son propre enregistrement de recherche directe, un enregistrement de ressource hôte A.
  4. Le serveur DHCP enregistre l’enregistrement PTR du client.
Retour au début

Un exemple d'interaction de mise à jour DHCP/DNS pour les clients DHCP basés sur Windows qui utilisent une version de Windows qui est antérieure à Windows Server 2003

Les versions antérieures des clients DHCP Windows ne prennent pas directement en charge le processus de mise à jour dynamique DNS et ne peuvent pas interagir directement avec le serveur DNS. Pour ces clients DHCP, les mises à jour sont généralement gérées de la manière suivante :
  1. Le client lance un message de demande DHCP (DHCPREQUEST) au serveur. Cette demande n’inclut pas l’option 81.
  2. Le serveur renvoie un message de reconnaissance DHCP (DHCPACK) au client. Le client accorde un bail d’adresse IP, sans option 81.
  3. Le serveur envoie des mises à jour au serveur DNS pour l’enregistrement de recherche directe du client, l’enregistrement de ressource de l'hôte A, et envoie une mise à jour pour l’enregistrement de recherche inversée PTR du client.
Retour au début

Sécuriser les mises à jour dynamiques

Pour Windows Server 2003, la sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées à Active Directory. Une fois que vous avez intégré une zone, vous pouvez utiliser les fonctionnalités d’édition de la liste de contrôle d’accès disponibles dans le composant logiciel enfichable DNS pour ajouter ou supprimer des utilisateurs ou des groupes de la liste de contrôle d’accès pour une zone spécifique ou pour un enregistrement de ressource.

Pour plus d’informations, recherchez la rubrique « Pour modifier la sécurité d’un enregistrement de ressource » ou la rubrique « Pour modifier la sécurité d’une zone intégrée d'annuaire » dans l’aide de Windows Server 2003.

Par défaut, la sécurité de mise à jour dynamique pour les clients et serveurs DNS Windows Server 2003 est gérée de la manière suivante :

  1. Les clients DNS basés sur Windows Server 2003 essaient d’abord d’utiliser des mises à jour dynamiques non sécurisées. Si la mise à jour non sécurisée est refusée, les clients tentent d’utiliser une mise à jour sécurisée.

    De plus, les clients utilisent une stratégie de mise à jour par défaut leur permettant d’essayer de remplacer un enregistrement de ressource précédemment enregistré, à moins qu’ils ne soient spécifiquement bloqués par la sécurité de la mise à jour.
  2. Par défaut, lorsqu’une zone devient intégrée à Active Directory, les serveurs DNS Windows Server 2003 n’activent que les mises à jour dynamiques sécurisées.
Par défaut, lorsque vous utilisez le stockage de zone standard, le service Serveur DNS n’active pas les mises à jour dynamiques sur ses zones. Pour les zones intégrées à un répertoire ou utilisant un stockage standard basé sur fichier, vous pouvez modifier la zone pour activer toutes les mises à jour dynamiques. Cela permet d’accepter toutes les mises à jour en passant l’utilisation de mises à jour sécurisées.

Important : le service Serveur DHCP peut effectuer un enregistrement de proxy et mettre à jour des enregistrements DNS pour les clients hérités ne prenant pas en charge les mises à jour dynamiques. Pour plus d’informations, voir la rubrique « Utilisation de serveurs DNS avec DHCP » dans l’aide de Windows Server 2003.

Si vous utilisez plusieurs serveurs DHCP basés sur Windows Server 2003 sur votre réseau et si vous configurez vos zones pour n’activer que les mises à jour dynamiques sécurisées, utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour ajouter vos ordinateurs serveur DHCP au groupe intégré DnsUpdateProxy. Lorsque vous procédez ainsi, tous vos serveurs DHCP disposent des droits sécurisés pour effectuer des mises à jour de proxy pour l’un de vos clients DHCP. Pour plus d’informations, consultez la rubrique « Utilisation de serveurs DNS avec DHCP » ou la rubrique « Gérer les groupes » dans l’aide de Windows Server 2003.

Attention : la fonctionnalité de mises à jour dynamiques sécurisées peut être compromise si les conditions suivantes sont remplies :
  • Vous exécutez un serveur DHCP sur un contrôleur de domaine basé sur Windows Server 2003
  • Le serveur DHCP est configuré pour effectuer l’enregistrement des enregistrements DNS pour le compte de ses clients.
Pour éviter ce problème, déployez les serveurs DHCP et les contrôleurs de domaine sur des ordinateurs distincts ou configurez le serveur DHCP pour qu’il utilise un compte d’utilisateur dédié pour les mises à jour dynamiques. Pour plus d’informations, voir la rubrique « Utilisation de serveurs DNS avec DHCP » dans l’aide de Windows Server 2003.

Pour plus d’informations, consultez la section « Considérations de sécurité lorsque vous utilisez le groupe DnsUpdateProxy ».

Retour au début

Activez uniquement les mises à jour dynamiques sécurisées

  1. Cliquez sur Démarrer, pointez sur
    Outils d’administration, puis cliquez sur
    DNS.
  2. Sous DNS, double-cliquez sur le serveur DNS applicable, double-cliquez sur Zones de recherche directe ou
    Inverser les zones de recherche, puis cliquez avec le bouton droit sur la zone applicable.
  3. Cliquez sur Propriétés.
  4. Dans l’onglet Général, vérifiez que le type de zone est Intégré à Active Directory.
  5. Dans la zone Mises à jour dynamiques, cliquez sur
    Sécurisé seulement.
  6. Cliquez sur OK.
Remarque : la fonctionnalité de mise à jour dynamique sécurisée est prise en charge uniquement pour les zones intégrées à Active Directory. Si vous configurez un type de zone différent, modifiez-le, puis intégrez-la avant de la sécuriser pour les mises à jour DNS. La mise à jour dynamique est une extension RFC conforme à la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Mises à jour dynamiques dans le système de noms de domaine (DNS UPDATE) ».

Retour au début

Utilisez le groupe de sécurité DnsUpdateProxy

Vous pouvez configurer un serveur DHCP basé sur Windows Server 2003 pour qu’il enregistre de façon dynamique les enregistrements de ressources de l’hôte A et du PTR pour le compte de clients DHCP. Si vous utilisez des mises à jour dynamiques sécurisées dans cette configuration avec des serveurs DNS basés sur Windows Server 2003, les enregistrements de ressources peuvent devenir obsolètes.

Prenons l'exemple du scénario suivant :
  1. Un serveur DHCP Windows Server 2003 (DHCP1) effectue une mise à jour dynamique sécurisée pour le compte d’un de ses clients pour un nom de domaine DNS spécifique.
  2. Parce que le serveur DHCP a créé le nom avec succès, il devient le propriétaire du nom.
  3. Après que le serveur DHCP devient le propriétaire du nom du client, seul ce serveur DHCP peut mettre à jour le nom.
Dans certaines circonstances, ce scénario peut causer des problèmes. Par exemple, si DHCP1 échoue et qu’un deuxième serveur DHCP de sauvegarde est mis en ligne, le serveur de sauvegarde ne peut pas mettre à jour le nom du client parce que le serveur n’est pas le propriétaire du nom.

Dans un autre exemple, supposons que le serveur DHCP effectue des mises à jour dynamiques pour les clients hérités. Si vous mettez à niveau ces clients vers Windows Server 2003, Windows 2000 ou Windows XP, le client mis à niveau ne peut pas s’approprier ou mettre à jour ses enregistrements DNS.

Pour résoudre ce problème, un groupe de sécurité intégré nommé DnsUpdateProxy est fourni. Si tous les serveurs DHCP sont ajoutés au groupe DnsUpdateProxy, les enregistrements d’un serveur peuvent être mis à jour par un autre serveur si le premier serveur échoue. En outre, tous les objets qui sont créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés. Par conséquent, le premier utilisateur qui n’est pas membre du groupe DnsUpdateProxy et qui modifie l’ensemble d’enregistrements qui est associé à un nom DNS devient son propriétaire. Lorsque les clients hérités sont mis à niveau, ils peuvent prendre possession de leurs enregistrements de noms sur le serveur DNS. Si chaque serveur DHCP qui enregistre les enregistrements de ressources pour les clients hérités est membre du groupe DnsUpdateProxy, de nombreux problèmes sont éliminés.

Retour au début

Ajoutez des membres au groupe DnsUpdateProxy

Utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour configurer le groupe de sécurité DnsUpdateProxy.

Remarque Si vous utilisez plusieurs serveurs DHCP pour la tolérance erreur et des mises à jour dynamiques sécurisées, ajoutez chaque serveur au groupe de sécurité mondial DnsUpdateProxy.

Retour au début

Considérations de sécurité lorsque vous utilisez le groupe DnsUpdateProxy

Les noms de domaine DNS enregistrés par le serveur DHCP ne sont pas sécurisés si le serveur DHCP est membre du groupe DnsUpdateProxy. L'enregistrement des ressources de l'hôte (A) pour ce serveur DHCP est un exemple d'un tel enregistrement. En outre, les objets créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés. Par conséquent, vous ne pouvez pas utiliser ce groupe efficacement dans une zone intégrée à l'Active Directory qui permet uniquement de sécuriser les mises à jour dynamiques à moins que vous ne preniez des mesures supplémentaires pour garantir des enregistrements créés par les membres du groupe.

Pour aider à vous protéger contre les enregistrements non sécurisés ou pour permettre aux membres du groupe DnsUpdateProxy de sauvegarder des enregistrements dans des zones qui ne permettent que des mises à jour dynamiques sécurisées, suivez les étapes suivantes :
  1. Créez un compte d'utilisateur dédié.
  2. Configurez les serveurs DHCP pour effectuer des mises à jour dynamiques DNS avec les informations d’identification du compte utilisateur. (Ces informations d’identification sont le nom d’utilisateur, le mot de passe et le domaine.)
Les informations d’identification d’un compte utilisateur dédié peuvent être utilisées par plusieurs serveurs DHCP.

Un compte d’utilisateur dédié est un compte d’utilisateur dont le seul but est de fournir aux serveurs DHCP les informations d’identification pour les enregistrements de mise à jour dynamique DNS. Supposons que vous avez créé un compte utilisateur dédié et configuré les serveurs DHCP avec les informations d’identification du compte. Chaque serveur DHCP fournira ces informations d’identification lorsqu’il enregistrera des noms pour le compte de clients DHCP utilisant la mise à jour dynamique DNS. Le compte d’utilisateur dédié doit être créé dans la forêt où réside le serveur DNS principal de la zone à mettre à jour. Le compte utilisateur dédié peut également être situé dans une autre forêt. Toutefois, la forêt dans laquelle réside le compte doit avoir une fiducie forestière établie avec la forêt qui contient le serveur DNS principal pour la zone à mettre à jour.

Lorsque le service Serveur DHCP est installé sur un contrôleur de domaine, vous pouvez configurer le serveur DHCP en utilisant les informations d’identification du compte d’utilisateur dédié pour empêcher le serveur d’hériter, voire d’utiliser de manière abusive, la puissance du contrôleur de domaine. Lorsque le service DHCP Server est installé sur un contrôleur de domaine, il hérite des autorisations de sécurité du contrôleur de domaine. Le service a également le pouvoir de mettre à jour ou de supprimer tout enregistrement DNS enregistré dans une zone intégrée sécurisée à Active Directory. (Cela inclut les enregistrements qui ont été enregistrés de manière sécurisée par d’autres ordinateurs Windows 2000 ou Windows Server 2003 et par des contrôleurs de domaine.)

Retour au début

Configurer les mises à jour dynamiques DNS

La fonctionnalité de mise à jour dynamique incluse dans Windows Server 2003 est conforme à RFC 2136. La mise à jour dynamique permet aux clients et aux serveurs d’enregistrer des noms de domaine DNS (enregistrements de ressources PTR) et des mappages d’adresses IP (enregistrements de ressources A) sur un serveur DNS compatible RFC 2136.

Retour au début

Configuration des mises à jour dynamiques DNS pour les clients DHCP

Par défaut, les clients DHCP basés sur Windows Server 2003, Windows 2000 et Windows XP sont configurés pour demander au client d’enregistrer l’enregistrement de ressource A et au serveur d’enregistrer l’enregistrement de ressource PTR. Par défaut, le nom utilisé dans l’enregistrement DNS est une concaténation du nom de l’ordinateur et du suffixe DNS principal. Pour modifier ce nom par défaut, ouvrez les propriétés TCP/IP de votre connexion réseau.

Pour modifier les valeurs par défaut de la mise à jour dynamique sur le client de mise à jour dynamique, procédez comme suit :
  1. Dans Panneau de configuration, double-cliquez sur
    Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion que vous voulez configurer, puis cliquez sur Propriétés.
  3. Cliquez sur Protocole Internet (TCP/IP), cliquez sur
    Propriétés, puis cliquez sur
    Avancé.
  4. Cliquez sur DNS.

    Par défaut,
    Enregistrer l’adresse de cette connexion dans le DNS est sélectionné et
    Le suffixe DNS de cette connexion dans l’enregistrement DNS n’est pas sélectionné. Cette configuration par défaut amène le client à lui demander d’enregistrer l’enregistrement de ressource A et le serveur à enregistrer l’enregistrement de ressource PTR.
  5. Activez la case à cocher Utiliser le suffixe DNS de cette connexion dans l’enregistrement DNS.

    Le client demande ensuite au serveur de mettre à jour l’enregistrement PTR à l’aide du nom de domaine complet. Si le serveur DHCP est configuré pour enregistrer les enregistrements DNS en fonction de la demande du client, le client enregistre les enregistrements suivants :
    • L’enregistrement PTR.
    • L’enregistrement A qui utilise le nom qui est une concaténation du nom de l’ordinateur et du suffixe DNS principal.
    • L’enregistrement A qui utilise le nom concaténant le nom de l’ordinateur et le suffixe DNS spécifique à la connexion.
  6. Pour que le client ne fasse aucune demande d’enregistrement DNS, désactivez la case à cocher Enregistrer l’adresse de cette connexion dans DNS.
Retour au début

Configuration des mises à jour dynamiques DNS sur des ordinateurs clients multi-hôtes

Si un client de mise à jour dynamique est multi-hôte, il enregistre toutes ses adresses IP auprès de DNS par défaut. (Un client est multi-hôte s’il possède plusieurs adaptateurs et une adresse IP associée.) Si vous ne souhaitez pas que le client enregistre toutes ses adresses IP, vous pouvez le configurer pour ne pas enregistrer une ou plusieurs adresses IP dans les propriétés de la connexion réseau.

Pour empêcher l’ordinateur d’enregistrer toutes ses adresses IP, procédez comme suit :
  1. Dans Panneau de configuration, double-cliquez sur
    Connexions réseau.
  2. Cliquez avec le bouton droit de la souris sur la connexion à configurer, puis cliquez sur Propriétés.
  3. Cliquez sur Protocole Internet (TCP/IP), cliquez sur
    Propriétés, puis cliquez sur
    Avancé.
  4. Cliquez sur DNS.
  5. Vérifiez que la case à cocher Enregistrer les adresses de cette connexion dans le système DNS soit activée.
Vous pouvez également configurer l’ordinateur pour enregistrer son nom de domaine dans DNS. Par exemple, si vous avez un client connecté à deux réseaux différents, vous pouvez configurer le client pour avoir un nom de domaine différent sur chaque réseau.

Retour au début

Configuration des mises à jour dynamiques DNS sur un serveur DHCP basé sur Windows Server 2003

Pour configurer la mise à jour dynamique DNS pour un serveur DHCP basé sur Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Outils d’administration, puis cliquez sur
    DHCP.
  2. Cliquez avec le bouton droit sur le serveur ou l’étendue DHCP approprié, puis cliquez sur Propriétés.
  3. Cliquez sur DNS.
  4. Cochez la case Activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous pour activer la mise à jour dynamique DNS pour les clients prenant en charge la mise à jour dynamique.

    Remarque : cette case à cocher est activée par défaut.
  5. Pour activer la mise à jour dynamique DNS pour les clients DHCP qui ne la prennent pas en charge, sélectionnez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR pour les clients DHCP ne demandant pas de mise à jour (par exemple, les clients Windows NT 4.0).
  6. Cliquez sur OK.
Retour au début

Activation des mises à jour dynamiques DNS sur un serveur DNS

Sur un serveur DHCP basé sur Windows Server 2003, vous pouvez mettre à jour dynamiquement les enregistrements DNS pour les clients pré-Windows Server 2003 qui ne peuvent pas le faire pour eux-mêmes.

Pour permettre à un serveur DHCP de mettre à jour dynamiquement les enregistrements DNS de ses clients, suivez les étapes suivantes :
  1. Dans la console de gestion DHCP, sélectionnez l'étendue ou le serveur DHCP pour lequel vous souhaitez activer les mises à jour DNS.
  2. Dans le menu Action, cliquez sur
    Propriétés, puis cliquez sur DNS.
  3. Cliquez pour sélectionner les cases à cocher Mises à jour dynamiques DNS actives en fonction des paramètres ci-dessous.
  4. Pour mettre à jour les enregistrements DNS d'un client en fonction du type de demande DHCP qu'il choisit, cliquez pour sélectionner
    Mise à jour dynamique des enregistrements DNS A et PTR uniquement si les clients du DHCP le demandent. (Cette mise à jour ne se produira que lorsque le client fait une demande.)
  5. Pour constamment mettre à jour les enregistrements de recherche avant et arrière d'un client, cliquez pour sélectionner toujours mettre à jour dynamiquement des enregistrements DNS A et PTR.
  6. Activez la case à cocher Supprimer les enregistrements A et PTR lors de la suppression du bail pour que le serveur DHCP supprime l’enregistrement d’un client lorsque son bail DHCP expire et n’est pas renouvelé.

Retour au début

Désactivation des mises à jour dynamiques DNS

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows


Par défaut, les mises à jour dynamiques sont configurées sur des clients Windows Server 2003. Pour désactiver les mises à jour dynamiques pour toutes les interfaces réseau, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur
    Exécuter, tapez
    regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Dans le menu Modifier, pointez sur
    Nouveau, puis cliquez sur la Valeur DWORD.
  4. Tapez DisableDynamicUpdate, puis appuyez deux fois sur Entrée.
  5. Dans Modifier la valeur DWORD, tapez
    1 dans la zone Données de la valeur, puis cliquez sur
    OK.
  6. Quittez l’Éditeur du Registre.
Pour désactiver les mises à jour dynamiques pour une interface spécifique, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur
    Exécuter, tapez
    regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    Remarque : interface est l’ID de périphérique de la carte réseau de l’interface pour laquelle vous souhaitez désactiver la mise à jour dynamique.
  3. Dans le menu Modifier, pointez sur
    Nouveau, puis cliquez sur la Valeur DWORD.
  4. Tapez DisableDynamicUpdate, puis appuyez sur ENTRÉE à deux reprises.
  5. Dans Modifier la valeur DWORD, tapez
    1 dans la zone Données de la valeur, puis cliquez sur
    OK.
  6. Quittez l’Éditeur du Registre.
Retour au début