Nouvelles stratégies de groupe pour DNS dans Windows Server 2003

Résumé

Windows Server 2003 résout le problème de la gestion centralisée de DNS en introduisant des stratégies de groupe pour configurer les clients DNS. Par exemple, les paramètres suivants sont disponibles dans Windows Server 2003 :
  • Activer ou désactiver l’enregistrement dynamique des enregistrements DNS par un client
  • Configurer la liste de recherche de suffixe DNS des clients
  • Dévolution de suffixe DNS principal d’un processus de résolution de nom
  • Liste de recherche de suffixe DNS
Ces stratégies de groupe peuvent être appliquées aux clients DNS sur les ordinateurs qui exécutent les systèmes d’exploitation Microsoft Windows 2000 ou Windows XP. Pour appliquer des stratégies de groupe à d’autres serveurs qui exécutent Windows Server 2003, vous devez exporter les stratégies de groupe à partir du serveur principal et de les importer sur d’autres serveurs qui exécutent Windows Server 2003.

Pour plus d’informations sur comment exporter et importer des stratégies de groupe à l’aide de la console Gestion de stratégie de groupe dans Windows Server 2008, reportez-vous au livre blanc les opérations de l’objet stratégie de groupe sur le site Web Microsoft TechNet suivant :

Plus d'informations

Ces stratégies de groupe sont à l’emplacement suivant :
Ordinateur Configuration/Administrative modèles/réseau/Client DNS
Stratégie de groupe remplace toujours la configuration locale ainsi que la configuration DHCP. La seule exception à cette règle est que si la valeur REG_DWORD DoNotUseGroupPolicyForDisableDynamicUpdate est activée sous la clé de Registre suivante pour désactiver l’inscription DNS dynamique :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Si cette valeur existe et si elle est définie sur 0 x 1, puis services n’utilisent pas une valeur de stratégie de groupe ; au lieu de cela, ils utilisent les valeurs configurées localement. Si DoNotUseGroupPolicyForDisableDynamicUpdate n’existe pas ou est définie sur 0 x 0, les services doivent utiliser la valeur qui est spécifiée par la stratégie de groupe.

Description de stratégie

Cette section décrit les fonctions des paramètres, la clé de Registre qui est modifiée sur le client et les valeurs valides pour la stratégie et la clé de Registre. Ces valeurs sont stockées sur le client est la clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows NT\DNSClient

Suffixe DNS principal

Ce paramètre spécifie le suffixe DNS principal pour tous les ordinateurs affectés. Le suffixe DNS principal est utilisé dans l’inscription de nom DNS et la résolution de noms DNS. Ce paramètre spécifie un suffixe DNS principal pour un groupe d’ordinateurs et empêche les utilisateurs, y compris les administrateurs, de le modifier.


Si ce paramètre est désactivé ou non configuré, chaque ordinateur utilise son suffixe DNS principal local qui est généralement le nom DNS du domaine Active Directory qui il est joint à. Toutefois, les administrateurs peuvent utiliser l’outil système dans le panneau de configuration pour modifier le suffixe DNS principal d’un ordinateur.

Pour utiliser ce paramètre, tapez le suffixe DNS principal entier que vous souhaitez affecter dans la zone de texte fournie (par exemple, microsoft.com). Ce paramètre ne désactive pas le Suffixe DNS et
Boîte de dialogue Nom d’ordinateur NetBIOS que les administrateurs utilisent pour modifier le suffixe DNS principal d’un ordinateur. Toutefois, si un administrateur saisit un suffixe, ce suffixe est ignoré tant que ce paramètre est activé.


IMPORTANT: pour que les modifications de ce paramètre peut être appliqué, vous devez redémarrer Windows Server sur tous les ordinateurs qui sont affectés par ce paramètre.

Conseil: pour modifier le suffixe DNS principal d’un ordinateur sans recourir à une stratégie, cliquez sur système dans le panneau de configuration, cliquez sur l’onglet Identification réseau , cliquez sur Propriétés, cliquez sur plus, puis entrez un suffixe dans la zone suffixe DNS principal de cet ordinateur .

Mise à jour dynamique

Ce paramètre détermine si la mise à jour dynamique est activée. Les ordinateurs qui sont automatiquement configurés pour la mise à jour dynamique inscrivent et mettre à jour leurs enregistrements de ressources DNS avec un serveur DNS.

Si vous activez ce paramètre, les ordinateurs auxquels ce paramètre est appliqué aux peuvent utiliser l’inscription DNS dynamique sur chacune de leurs connexions réseau, selon la configuration de chaque connexion réseau individuelle. Pour l’enregistrement DNS dynamique être activée sur une connexion réseau spécifique, les configurations spécifiques à l’ordinateur et de spécifique à la connexion doivent autoriser l’inscription DNS dynamique.


Le paramètre de Mise à jour dynamique contrôle la propriété spécifique à l’ordinateur contrôlant l’inscription DNS dynamique. Si vous activez ce paramètre, vous autorisez la mise à jour dynamique d’être définie individuellement pour chacune des connexions réseau. Si vous désactivez ce paramètre, les ordinateurs auxquels ce paramètre est appliqué à ne peuvent pas utiliser l’enregistrement DNS dynamique pour toutes leurs connexions réseau, quelle que soit la configuration des connexions réseau individuelles. Si ce paramètre n’est pas configuré, puis il n’est pas appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.

Cette stratégie peut avoir deux valeurs : 0 x 0 et 0 x 1. Si la stratégie est définie pour Activer (pour permettre la mise à jour dynamique), la valeur est définie sur 0 x 1. Si la stratégie est définie pour la désactiver, la valeur est définie sur 0 x 0.

Liste de recherche de suffixe DNS

Ce paramètre détermine que les suffixes DNS à attacher à un nom simple non qualifié avant de soumettre une requête DNS pour ce nom. Un nom simple non qualifié contient pas de points, par exemple « exemple ». Ce nom est différent à partir d’un nom de domaine pleinement qualifié (FQDN), par exemple « exemple.Microsoft.com ».

Ce paramètre est activé, lorsqu’un utilisateur envoie une requête pour un nom simple, tel que « exemple », un local client DNS attache un suffixe, tel que « microsoft.com ». Par conséquent, la requête est modifiée pour « exemple.Microsoft.com » avant que la requête est envoyée à un serveur DNS.


Si vous activez le paramètre de la Liste de recherche de suffixe DNS , vous pouvez spécifier les suffixes DNS à attacher avant de soumettre la requête pour un nom simple non qualifié. Les valeurs des suffixes DNS dans ce paramètre peuvent être définies à l’aide de chaînes séparées par des virgules, par exemple « microsoft.com,serverua.microsoft.com,office.microsoft.com ». Un suffixe DNS est attaché pour chaque soumission d’une requête. Si une requête n’aboutit pas, un nouveau suffixe DNS est ajouté à la place du suffixe en erreur et cette nouvelle requête est soumise. Les valeurs sont utilisées dans l’ordre qu’ils apparaissent dans la chaîne, en commençant par la valeur de gauche et en continuant vers la droite.

Si vous activez ce paramètre, vous devez spécifier au moins un suffixe. Si vous désactivez ce paramètre, le suffixe DNS principal et les suffixes DNS spécifique à la connexion réseau sont ajoutés aux requêtes non qualifiés. Si ce paramètre n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale. La valeur de cette stratégie peut être définie pour les chaînes séparées par des virgules des suffixes DNS. Si la stratégie est activée il doit y avoir au moins un suffixe DNS spécifié.

La valeur de cette stratégie peut être définie pour les chaînes séparées par des virgules des suffixes DNS. N’utilisez pas d’espaces entre les suffixes DNS séparés par des virgules. Si vous ajoutez des espaces, le premier suffixe DNS s’appliquera.

Dévolution de suffixe DNS principal

Ce paramètre détermine si le client DNS effectue de dévolution de suffixe DNS principale d’un processus de résolution de nom. Lorsqu’un utilisateur envoie une requête pour un nom simple, tel que « exemple », un client DNS local attache un suffixe, tel que « microsoft.com ». Par conséquent, la requête est modifiée pour « exemple.Microsoft.com » avant que la requête est envoyée à un serveur DNS.

Si une liste de recherche de suffixe DNS n’est pas spécifiée, le client DNS attache le suffixe DNS principal pour un nom en une partie, et, si cette requête échoue, le suffixe DNS spécifique à la connexion est attaché pour une nouvelle requête. Si aucune de ces requêtes sont résolues, puis le client incombant le suffixe DNS principal de l’ordinateur (il supprime l’étiquette gauche du suffixe DNS principal), joint ce suffixe DNS principal réduite pour le nom en une partie et soumet ensuite cette requête à un serveur DNS.

Par exemple, si le suffixe DNS principal « ooo.aaa.microsoft.com » est associé à le « exemple »-point non terminés nom simple et la requête DNS pour example.ooo.aaa.reskit.com échoue, le client DNS incombant le suffixe DNS principal (supprime l’étiquette de gauche) et soumet une requête pour example.aaa.microsoft.com. Si cette requête échoue, le suffixe DNS principal est plus réduit et l’envoi de la requête en « exemple.Microsoft.com ». Si cette requête échoue, la dévolution se poursuit et l’envoi de la requête en « exemple.Microsoft.com ». Le suffixe DNS principal n’est pas réduit davantage, car le suffixe DNS possède deux étiquettes, « microsoft.com ». Le suffixe DNS principal ne peut pas être qui sont dévolu à moins de deux étiquettes.

Si ce paramètre est activé, les clients DNS sur les ordinateurs auxquels ce paramètre est appliqué tentent de résoudre les noms qui sont des concaténations du nom court et du suffixe du DNS principal. Si ce paramètre est désactivé, les clients DNS sur les ordinateurs auxquels ce paramètre est appliqué ne tentent pas de résoudre les noms qui sont des concaténations du nom en une partie pour être résolu et le suffixe DNS principal réduite. Si ce paramètre n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale. Cette stratégie peut avoir deux valeurs : 0 x 0 et 0 x 1. Si la stratégie est définie pour l’Activer (le client souhaite activer la dévolution), la valeur est définie sur 0 x 1. Si la stratégie est définie pour la désactiver, la valeur est définie sur 0 x 0.

Enregistrer les enregistrements PTR

Ce paramètre détermine si l’inscription des enregistrements de ressources PTR est activée pour les ordinateurs auxquels cette stratégie est appliquée. Par défaut, les clients DNS qui sont configurés pour effectuer l’inscription DNS dynamique tentent des enregistrements de ressources PTR uniquement s’ils ont enregistrement dans l’enregistrement de ressources « A » correspondant. Les enregistrements de ressources « A » mappent un nom DNS de l’hôte pour l’adresse IP de l’hôte et les enregistrements de ressources PTR mappent l’adresse IP de l’hôte au nom d’hôte DNS.

Pour activer cette stratégie, cliquez sur Activer, puis cliquez sur une des valeurs suivantes :
  • N’inscrivez pas: lorsque vous utilisez cette valeur, les ordinateurs ne tentent jamais d’enregistrer les enregistrements de ressource PTR.
  • Enregistrer: lorsque vous utilisez cette valeur, les ordinateurs tentent d’enregistrer les enregistrements de ressource PTR indépendamment du succès de l’inscription des enregistrements A.
  • Inscrire uniquement si un enregistrement a réussit: lorsque vous utilisez cette valeur, les ordinateurs tentent d’enregistrer les enregistrements de ressource PTR uniquement si ils ont enregistré dans les enregistrements de ressource a correspondant.
Si cette stratégie n’est pas configurée, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale. Cette stratégie peut avoir deux valeurs : 0 x 0 et 0 x 1. Si la stratégie est définie pour l’Activer (le client souhaite activer l’inscription des enregistrements PTR), la valeur est définie sur 0 x 1. Si la stratégie est définie pour la désactiver, la valeur est définie sur 0 x 0.

Intervalle d’actualisation d’enregistrement

Ce paramètre spécifie l’intervalle d’actualisation d’un enregistrement et les enregistrements de ressources PTR pour les ordinateurs auxquels ce paramètre est appliqué. Ce paramètre peut être appliqué aux ordinateurs à l’aide de la mise à jour dynamique uniquement. Les ordinateurs qui exécutent Windows 2000 (et ses versions ultérieures) et qui sont configurés pour effectuer l’inscription DNS dynamique de A et enregistrements PTR, réenregistre de manière périodique leurs enregistrements avec des serveurs DNS, même si leurs données n’a pas changé. Cette procédure de réinscription est requise pour indiquer à des serveurs DNS qui sont configurés pour supprimer automatiquement (nettoyer) enregistrement que ces enregistrements sont en cours et doivent être conservés dans la base de données obsolètes.

Avertissement: si les enregistrements de ressources DNS sont inscrits dans des zones qui ont la fonctionnalité de nettoyage est activée, la valeur de ce paramètre ne doit jamais être supérieure à l’intervalle d’actualisation configuré pour ces zones. Si vous définissez l’intervalle d’actualisation d’enregistrement à une valeur qui est plus longue que l’intervalle d’actualisation des zones DNS, une ressource A et PTR enregistre automatiquement supprimé de mai.

Pour spécifier l’intervalle d’actualisation d’enregistrement, cliquez sur Activer, puis tapez une valeur supérieure à 1800. N’oubliez pas, cette valeur spécifie l’intervalle d’actualisation d’enregistrement en secondes, par exemple, 1800 secondes est de 30 minutes.

Si ce paramètre n’est pas configuré n’est pas appliqué à tous les ordinateurs et les ordinateurs utilisent leur configuration locale. Cette stratégie peut avoir n’importe quelle valeur supérieure ou égale à 1800 secondes.

Remplacer les adresses en conflit

Ce paramètre détermine si un client DNS qui tente d’inscrire son enregistrement de ressources A devrait remplacer existants des enregistrements de ressources A contenant les adresses IP en conflit. Ce paramètre est destiné aux ordinateurs qui inscrivent une ressource enregistrements dans des zones DNS qui ne prennent pas en charge la mise à jour dynamique sécurisée. Mise à jour dynamique sécurisée conserve l’appartenance des enregistrements de ressources et n’autorise pas un client DNS à remplacer des enregistrements qui sont inscrits par d’autres ordinateurs.

Au cours de la mise à jour dynamique d’une zone qui n’utilise pas la mise à jour dynamique sécurisée, un client DNS peut découvrir qu’un enregistrement de ressource A existant associe le nom d’hôte DNS du client avec une adresse IP d’un autre ordinateur. En fonction de la configuration par défaut, le client DNS tente de remplacer un enregistrement de ressource avec un enregistrement de ressource qui associe le nom DNS avec l’adresse IP du client existant.

Si vous activez le paramètre Remplacer les adresses en conflit , les clients DNS tentent de remplacer en conflit d’enregistrements de ressource au cours de la mise à jour dynamique. Si vous désactivez ce paramètre, le client DNS effectue quand même la mise à jour dynamique des enregistrements de ressource, mais si le client DNS tente de mettre à jour une ressource des enregistrements qui contiennent les conflits, cette tentative échoue et un message d’erreur est consigné dans le journal de l’Observateur d’événements. Si ce paramètre n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.

Cette stratégie peut avoir deux valeurs : 0 x 0 et 0 x 1. Si la stratégie est définie pour Activer (par exemple, le client souhaite remplacer les enregistrements A en conflit), la valeur est définie sur 0 x 1. Si la stratégie est définie pour la désactiver, la valeur est définie sur 0 x 0.

Serveurs DNS

Ce paramètre définit les serveurs DNS auquel un ordinateur envoie des requêtes lorsqu’il tente de résoudre les noms.

Avertissement: la liste des serveurs DNS qui sont définies dans ce paramètre remplace les serveurs DNS configurés localement et ceux configurés en utilisant DHCP. La liste de serveurs DNS est appliquée à toutes les connexions réseau d’ordinateurs auxquels ce paramètre est appliqué.


Pour utiliser ce paramètre, cliquez sur Activer, puis tapez une liste délimitée d’adresses IP (en format décimal avec points) dans la zone disponible. Si vous activez ce paramètre, vous devez entrer au moins une adresse IP.

Si ce paramètre n’est pas configuré, puis il n’est pas appliqué à aucun ordinateur et les ordinateurs utilisent leurs paramètres configurés locales ou DHCP. Les valeurs valides sont une liste délimitée des adresses IP décimale séparée par des points. La liste doit contenir au moins une adresse IP.

Suffixe DNS spécifique à la connexion

Ce paramètre spécifie un suffixe DNS spécifique à la connexion. Ce paramètre remplace les suffixes DNS spécifiques aux connexions qui sont définies sur les ordinateurs pour lesquels ce paramètre est appliqué, ceux configurés localement et ceux configurés en utilisant DHCP.

Avertissement: un suffixe DNS spécifique à la connexion spécifié dans ce paramètre est appliqué à toutes les connexions réseau utilisées par les ordinateurs auxquels ce paramètre est appliqué.

Pour utiliser ce paramètre, cliquez sur Activer, puis tapez une valeur de type string qui représente le suffixe DNS dans la zone disponibles. Si ce paramètre n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leurs locaux ou les paramètres de configuration DHCP. Valeurs valides : chaîne de caractères - un suffixe DNS spécifique à la connexion.

Enregistrer les enregistrements DNS avec le suffixe DNS spécifique à la connexion

Ce paramètre détermine si un ordinateur qui exécute l’inscription dynamique peut inscrire les enregistrements de ressource A et PTR avec une concaténation de son nom d’ordinateur et d’un suffixe DNS spécifique à la connexion, en plus de l’enregistrement de ces enregistrements avec une concaténation de son nom d’ordinateur et le suffixe DNS principal.

Avertissement: lorsque vous activez ce paramètre de groupe, il est appliqué à toutes les connexions réseau d’ordinateurs auxquels ce paramètre est appliqué.


Par défaut, un client DNS qui exécute l’inscription DNS dynamique inscrit les enregistrements de ressource A et PTR avec une concaténation de son nom d’ordinateur et le suffixe DNS principal. Une concaténation d’un nom d’ordinateur, par exemple « mycomputer » et le suffixe DNS principal, tel que « microsoft.com », entraîne, par exemple, « monordinateur.Microsoft.com ».

Si vous activez ce paramètre, l’ordinateur enregistre les enregistrements de ressource A et PTR avec son suffixe DNS spécifique à la connexion en plus de l’inscription des enregistrements de ressource A et PTR avec le suffixe DNS principal. Pour l’exemple, une concaténation du nom de l’ordinateur « mycomputer » et le DNS spécifique à la connexion le suffixe « VPNconnection » est utilisée lorsque ressource A et PTR enregistrements sont enregistrés, le nom résultant est « poste de travail. VPNconnection ». Si l’enregistrement DNS dynamique est désactivée sur un ordinateur auquel ce paramètre est appliqué, puis, quels que soient les paramètres de ce paramètre, un ordinateur ne tente pas de l’enregistrement DNS dynamique de A et enregistrements PTR contenant une concaténation de son nom d’ordinateur et d’un suffixe DNS spécifique à la connexion. Si l’enregistrement DNS dynamique est désactivé sur une connexion réseau spécifique d’un ordinateur auquel ce paramètre est appliqué, puis, quels que soient les paramètres de ce paramètre, un ordinateur ne tente pas de l’enregistrement DNS dynamique de A et enregistrements PTR contenant une concaténation de son nom d’ordinateur et un serveur DNS spécifique à la connexion suffixe sur cette connexion réseau.

Si ce paramètre est désactivé, un client DNS n’inscrit pas les enregistrements de ressource A et PTR avec son suffixe DNS spécifique à la connexion. Si ce paramètre n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.

Si la stratégie est définie pour Activer (par exemple, le client souhaite inscrire un nom avec un suffixe DNS spécifique à la connexion), la valeur est définie sur 0 x 1. Si la stratégie est définie sur désactiver, la valeur est définie sur 0 x 0.

Jeu TTL dans les enregistrements PTR et A

Ce paramètre spécifie la valeur pour le champ Time-To-Live (TTL) dans un et les enregistrements de ressources PTR qui sont inscrits par les ordinateurs auxquels ce paramètre est appliqué.

Pour spécifier la durée de vie, cliquez sur Activer, puis tapez une valeur en secondes (par exemple, la valeur 900 est 15 minutes).
  • Valeur minimale : 0
  • Valeur maximale : 4294966296
  • Valeur par défaut : 600
Si ce paramètre n’est pas configuré, il n’est pas appliqué à n’importe quel ordinateur.

Mettre à jour le niveau de sécurité

Ce paramètre spécifie si les ordinateurs auxquels ce paramètre est appliqué utilisent la mise à jour dynamique sécurisée ou la mise à jour dynamique standard pour l’inscription des enregistrements DNS.

Remarque Ce paramètre côté client est indépendant du paramètre sur le serveur DNS faisant autorité. Toutefois, ce paramètre est nécessaire uniquement si les clients inscrivent son enregistrement une zone Active Directory qui est définie pour les mises à jour sécurisées et non sécurisées.

Pour activer ce paramètre, cliquez sur Activer, puis cliquez sur une des valeurs suivantes :
  • Non sécurisé suivi de sécurisé : Si vous choisissez cette option, les ordinateurs envoient des mises à jour dynamiques sécurisées uniquement lorsque des mises à jour dynamiques non sécurisées sont refusées.
  • Non sécurisé uniquement: Si vous choisissez cette option, les ordinateurs envoient uniquement non sécurisé mises à jour dynamiques
  • Sécurisé uniquement: Si vous choisissez cette option, les ordinateurs envoient uniquement des mises à jour dynamiques sécurisées
Si le paramètre de Niveau de sécurité de mise à jour n’est pas configuré, il n’est alors appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.
  • OnlySecure : 256
  • OnlyUnsecure : 16
  • UnsecureFollowedBySecure : 0

Mettre à jour les Zones de domaine du niveau supérieur

Ce paramètre spécifie si les ordinateurs auxquels cette stratégie est appliquée peuvent envoyer des mises à jour dynamiques aux zones nommées avec un nom en une seule partie, également connu sous le nom de zones « domaine de niveau supérieur », par exemple « com ».

Par défaut, un client DNS qui est configuré pour effectuer une mise à jour DNS dynamique envoie des mises à jour dynamiques pour les zones DNS faisant autorités pour ses enregistrements de ressources DNS, sauf si la zone faisant autorité est supérieur au niveau domaine et une zone racine.


Si cette stratégie est activée, les ordinateurs auxquels cette stratégie est appliquée envoient des mises à jour dynamiques à toute zone faisant autorité pour les enregistrements de ressource que l’ordinateur doit mettre à jour, sauf la zone racine.

Si cette stratégie est désactivée, les ordinateurs auxquels cette stratégie est appliquée ne pas envoient les mises à jour dynamiques pour les zones de domaine de niveau racine ou de haut faisant autorité pour les enregistrements de ressource que l’ordinateur doit mettre à jour.

Si cette stratégie n’est pas configurée n’est pas appliqué à tous les ordinateurs et les ordinateurs utilisent leur configuration locale.

Cette stratégie peut avoir deux valeurs : 0 x 0 et 0 x 1. Si la stratégie est définie à Activer, la valeur est définie sur 0 x 1. Si la stratégie est définie pour la désactiver, la valeur est définie sur 0 x 0.
Propriétés

ID d'article : 294785 - Dernière mise à jour : 26 janv. 2017 - Révision : 1

Commentaires