Intégration de DNS Windows dans un espace de noms DNS existant

  • Article

Cet article explique comment intégrer LE DNS Windows dans un organization qui dispose déjà d’un espace de noms DNS implémenté dans lequel le serveur DNS faisant autorité pour la zone portant le nom du domaine Active Directory ne prend pas en charge RFC 2136 (mises à jour dynamiques).

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 255913

Résumé

L’une des fonctionnalités du système DNS (Domain Name System) Windows est sa prise en charge des mises à jour d’hôtes dynamiques (documentées dans RFC 2136). Pour tirer parti de cette fonctionnalité, le DNS Windows peut être déployé dans des environnements qui n’ont pas d’autres serveurs DNS, ainsi que dans des environnements qui ont déjà des serveurs DNS non dynamiques implémentés (tels que BIND 4.9.7 et versions antérieures, etc.). Lorsque vous déployez dns Windows dans un environnement sur lequel des serveurs BIND sont déjà implémentés, vous disposez de plusieurs options d’intégration :

  • Migrez des zones de serveurs DNS faisant autorité non dynamiques vers des serveurs exécutant Windows DNS.
  • Déléguer des domaines DNS enfants sous un domaine DNS parent. Pour les noms de domaine Active Directory qui n’ont pas le même nom que la racine d’une zone, déléguez le sous-domaine au DNS Windows. Par exemple, si le nom du domaine Active Directory est dev.reskit.com et que la zone qui contient ce nom est reskit.com, déléguez dev.reskit.com à un serveur Windows exécutant DNS.
  • Déléguez chacun des sous-domaines utilisés par les enregistrements de localisateur de contrôleur de domaine (enregistrements SRV) à un serveur Windows. Ces sous-domaines sont _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comet _udp.reskit.com. Cette option est utilisée lorsque les noms de domaine Active Directory (par exemple, reskit.com) qui sont identiques au nom de la racine d’une zone (par exemple, reskit.com), ne peuvent pas être délégués directement à un serveur Windows exécutant DNS. Si vous le souhaitez, les clients peuvent être membres du domaine Active Directory appelé reskit.com, mais peuvent s’inscrire dans la zone DNS appelée dynamic.reskit.com.

Cet article décrit la quatrième option répertoriée ci-dessus, à savoir comment intégrer Le DNS Windows dans un organization qui dispose déjà d’un espace de noms DNS implémenté dans lequel le serveur DNS faisant autorité pour la zone avec le nom du domaine Active Directory ne prend pas en charge RFC 2136 (mises à jour dynamiques). Cet article décrit également un scénario dans lequel les membres du domaine utilisent un suffixe DNS principal différent du nom du domaine Active Directory pour autoriser l’inscription dynamique des enregistrements DNS par les ordinateurs Windows lorsque le serveur DNS faisant autorité pour la zone avec le nom du domaine Active Directory ne prend pas en charge les mises à jour DNS dynamiques.

Plus d’informations

Pour intégrer le DNS Windows à un espace de noms existant basé sur des serveurs DNS non dynamiques, vous pouvez déléguer les sous-domaines utilisés par les enregistrements de localisateur (enregistrements SRV) afin que les mises à jour dynamiques (conformément à la RFC 2136) puissent être utilisées. Procédez comme suit :

  1. Sur le serveur DNS non dynamique faisant autorité pour la zone portant le nom du domaine Active Directory, déléguez les zones suivantes à un serveur Windows 2000 exécutant DNS :

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _Sites. DNSDomainName
    _msdcs. DNSDomainName

    Par exemple, si la zone racine est appelée reskit.com, délèguez _udp.reskit.com, _tcp.reskit.com, _sites.reskit.comet _msdcs.reskit.com au serveur Windows.

    Vous devez également déléguer deux sous-domaines supplémentaires :

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. Sur le serveur Windows, créez les zones de transfert déléguées à l’étape 1 et activez les zones pour la mise à jour dynamique.

    Pour créer les nouvelles zones :

    1. Démarrez le Gestionnaire DNS sur le serveur Windows.

    2. Développez le serveur DNS approprié dans le Gestionnaire DNS.

    3. Cliquez avec le bouton droit sur le dossier Zones de recherche directe, puis cliquez sur Nouvelle zone.

    4. Lorsque l’Assistant Nouvelle zone démarre, cliquez sur Suivant, sélectionnez « Zone principale », sélectionnez peut-être Stocker la zone dans active Directory case activée zone, puis cliquez sur Suivant.

    5. Pour les zones intégrées à AD, sélectionnez l’emplacement où les données de zone doivent aller, soit vers tous les serveurs DNS du domaine ou de la forêt, soit vers tous les contrôleurs de domaine du domaine (option uniquement dans Windows 2000).

    6. Tapez le nom de la zone dans la zone nom. Par exemple, tapez _msdcs.reskit.com.

    7. Cliquez sur Suivant. Après avoir consulté le résumé de l’Assistant, cliquez sur Terminer.

    Pour permettre à la zone d’accepter les mises à jour dynamiques :

    1. À l’aide du Gestionnaire DNS sur le serveur Windows exécutant DNS, cliquez avec le bouton droit sur la nouvelle zone, cliquez sur Propriétés, puis cliquez sur l’onglet Général.
    2. Dans la zone Autoriser les Mises à jour dynamiques, cliquez sur Uniquement Mises à jour sécurisé (recommandé) ou Sur Oui. L’option Seul Mises à jour sécurisé n’est disponible qu’une fois que le serveur a été promu en contrôleur de domaine. Répétez ce processus jusqu’à ce que les quatre zones décrites à l’étape 1 aient été créées et que les mises à jour dynamiques aient été autorisées. Cela permet aux enregistrements de localisateur de contrôleur de domaine d’être inscrits et désinscrits dynamiquement dans DNS.

  3. En outre, une ou plusieurs zones peuvent être créées et configurées pour permettre aux clients et serveurs de s’inscrire dynamiquement auprès du serveur Windows. Par exemple, une zone appelée dynamic.reskit.com peut être utilisée pour inscrire tous les clients et serveurs sur un réseau via des mises à jour dynamiques. Pour configurer une telle zone :

    1. Sur le serveur DNS non dynamique faisant autorité pour la zone parente (par exemple, reskit.com), déléguez une nouvelle zone au serveur Windows exécutant DNS. Par exemple, déléguez le dynamic.reskit.com. zone sur le serveur Windows.
    2. Sur le serveur Windows, créez une zone de recherche directe pour la zone déléguée ci-dessus (dynamic.reskit.com).
    3. Sur le serveur Windows, activez la ou les zones pour les mises à jour dynamiques.

  4. Lorsque les contrôleurs de domaine Windows démarrent, le service Netlogon tente d’inscrire plusieurs enregistrements SRV dans la zone faisant autorité. Étant donné que les zones dans lesquelles les enregistrements SRV doivent être inscrits ont été déléguées (aux étapes 1 et 2) à un serveur Windows où ils peuvent être mis à jour dynamiquement, ces inscriptions réussissent. En outre, un contrôleur de domaine tente d’inscrire le ou les enregistrements A répertoriés dans son fichier Netlogon.dns dans la zone racine (par exemple reskit.com). Dans ce cas, étant donné que la zone racine se trouve sur un serveur DNS non dynamique, ces mises à jour échouent. L’événement suivant est généré dans le journal système sur le contrôleur de domaine :

    Type d'événement : Avertissement
    Source de l’événement : NETLOGON
    Catégorie d’événement : Aucun
    ID d’événement : 5773
    Date : <DateTime>
    Heure : <DateTime>
    Utilisateur : N/A
    Ordinateur : DC
    Description :
    Le serveur DNS pour ce contrôleur de domaine ne prend pas en charge le DNS dynamique. Ajoutez les enregistrements DNS du fichier %SystemRoot%\System32\Config\netlogon.dns au serveur DNS qui dessert le domaine référencé dans ce fichier.

    Pour corriger ce comportement :

    1. Chaque contrôleur de domaine Windows a un fichier Netlogon.dns situé dans son dossier %SystemRoot%\System32\Config. Ce fichier contient une liste d’enregistrements DNS que le contrôleur de domaine tente d’inscrire au démarrage du service Netlogon. Il est judicieux d’effectuer une copie de ce fichier avant d’apporter les modifications suivantes afin de disposer d’une liste des enregistrements d’origine que le contrôleur de domaine tente d’inscrire auprès du serveur DNS. Notez que chaque contrôleur de domaine aura des enregistrements différents, car ces enregistrements sont spécifiques à chaque carte réseau sur chaque contrôleur de domaine. Examinez le fichier Netlogon.dns pour identifier tous les enregistrements A dans le fichier. Vous pouvez identifier les enregistrements A par le type d’enregistrement suivant le descripteur de classe « IN ». Par exemple, les deux entrées suivantes sont des enregistrements A :

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Le nombre d’enregistrements A dans le fichier Netlogon.dns dépend du nombre d’adaptateurs du contrôleur de domaine, du nombre d’adresses IP avec laquelle chaque carte a été configurée et du rôle du contrôleur de domaine. Inscription des contrôleurs de domaine :

      • Un enregistrement A par chacune de ses adresses IP pour le nom du domaine.
      • Si le contrôleur de domaine est également un serveur de catalogue global (GC), il inscrit gc._msdcs. DnsForestName pour chacune de ses adresses IP.

    2. Étant donné que le serveur DNS non dynamique n’accepte pas les tentatives du contrôleur de domaine d’inscrire dynamiquement les enregistrements A, les enregistrements A doivent être configurés manuellement sur le serveur DNS faisant autorité (dans l’exemple de cet article, le serveur DNS faisant autorité pour la zone reskit.com). L’ajout de l’enregistrement A correspondant au nom du domaine (par exemple, reskit.com) n’est pas nécessaire pour le déploiement Windows et peut être nécessaire uniquement si les clients LDAP tiers qui ne prennent pas en charge les enregistrements DNS SRV recherchent les contrôleurs de domaine Windows.

      Sur le serveur Windows, créez les enregistrements A spécifiques au serveur GC qui ont été identifiés à l’étape A, dans la zone appropriée. Par exemple, créez un enregistrement A pour le serveur GC dans la zone _msdcs.reskit.com.

      Sur le serveur DNS non dynamique faisant autorité pour la racine de la zone, créez des enregistrements A dans la zone racine (par exemple, reskit.com) pour les enregistrements A non spécifiques au serveur GC identifiés à l’étape A. Par exemple, créez un enregistrement A pour reskit.com dans la reskit.com zone .

    3. La clé de Registre suivante doit être utilisée pour empêcher le contrôleur de domaine de tenter d’inscrire les enregistrements A vus dans le fichier Netlogon.dns. Définissez la valeur REG_DWORD RegisterDnsARecords sur 0 (zéro) sous :

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Pour corriger ce comportement : une fois que vous avez une forêt et un domaine Active Directory en place, vous devez intégrer Active Directory aux domaines DNS dont le serveur Windows exécutant DNS est responsable. En outre, vous devez reconfigurer les zones qui ont été configurées pour accepter les mises à jour dynamiques afin d’accepter uniquement les mises à jour dynamiques sécurisées.