Meilleures pratiques pour les paramètres du client DNS dans Windows Server
Cet article décrit les meilleures pratiques pour la configuration des paramètres du client DNS (Domain Name System). Les recommandations de cet article concernent l’installation d’environnements Windows Server pris en charge pour lesquels aucune infrastructure DNS n’est définie précédemment.
Numéro de la base de connaissances d’origine : 825036
Contrôleur de domaine avec DNS installé
Sur un contrôleur de domaine qui joue également le rôle de serveur DNS, Microsoft vous recommande de configurer les paramètres du client DNS du contrôleur de domaine conformément aux spécifications suivantes :
Si le serveur est le premier et le seul contrôleur de domaine que vous installez dans le domaine et que le serveur exécute DNS, configurez les paramètres du client DNS pour qu’ils pointent vers l’adresse IP du premier serveur. Par exemple, vous devez configurer les paramètres du client DNS pour qu’ils pointent vers eux-mêmes. Ne répertoriez pas d’autres serveurs DNS tant que vous n’avez pas un autre contrôleur de domaine hébergeant dns dans ce domaine.
Pendant le processus DCPromo, vous devez configurer des contrôleurs de domaine supplémentaires pour qu’ils pointent vers un autre contrôleur de domaine qui exécute DNS dans leur domaine et leur site, et qui héberge l’espace de noms du domaine dans lequel le nouveau contrôleur de domaine est installé. ou si vous utilisez un DNS tiers sur un serveur DNS qui héberge la zone pour le domaine Active Directory de ce contrôleur de domaine. Ne configurez pas le contrôleur de domaine pour utiliser son propre service DNS pour la résolution de noms tant que vous n’avez pas vérifié que la réplication Active Directory entrante et sortante fonctionne et est à jour. Si vous ne le faites pas, vous risquez d’obtenir dns « Islands ».
Pour plus d’informations sur une rubrique connexe, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :275278 serveur DNS devient un îlot lorsqu’un contrôleur de domaine pointe vers lui-même pour le
_msdcs.ForestDnsNamedomaineUne fois que vous avez vérifié que la réplication s’est terminée avec succès, le DNS peut être configuré sur chaque contrôleur de domaine de deux manières, en fonction des exigences de l’environnement. Les options de configuration sont les suivantes :
- Configurez le serveur DNS préféré dans les propriétés TCP/IP sur chaque contrôleur de domaine pour l’utiliser comme serveur DNS principal.
- Avantages : Garantit que les requêtes DNS provenant du contrôleur de domaine seront résolues localement si possible. Réduit l’impact des requêtes DNS du contrôleur de domaine sur le réseau.
- Inconvénients : dépend de la réplication Active Directory pour vous assurer que la zone DNS est à jour. Les échecs de réplication longs peuvent entraîner un ensemble incomplet d’entrées dans la zone.
- Configurez tous les contrôleurs de domaine pour qu’ils utilisent un serveur DNS centralisé comme serveur DNS préféré.
- Avantages:
- Réduit la dépendance à la réplication Active Directory pour les mises à jour de zone DNS des enregistrements de localisateur de contrôleur de domaine. Il inclut une détection plus rapide des enregistrements de localisateur de contrôleur de domaine nouveaux ou mis à jour, car le délai de réplication n’est pas un problème.
- Fournit un seul serveur DNS faisant autorité, ce qui peut être utile lors de la résolution des problèmes de réplication Active Directory
- Inconvénients:
- Utilisera davantage le réseau pour résoudre les requêtes DNS provenant du contrôleur de domaine
- La résolution de noms DNS peut dépendre de la stabilité du réseau. La perte de connectivité au serveur DNS préféré entraîne l’échec de la résolution des requêtes DNS à partir du contrôleur de domaine. Cela peut entraîner une perte apparente de connectivité, même pour des emplacements qui ne se trouvent pas sur le segment réseau perdu.
- Avantages:
- Configurez le serveur DNS préféré dans les propriétés TCP/IP sur chaque contrôleur de domaine pour l’utiliser comme serveur DNS principal.
Une combinaison des deux stratégies est possible, avec le serveur DNS distant défini comme serveur DNS préféré et le contrôleur de domaine local défini comme autre (ou vice versa). Bien que cette stratégie présente de nombreux avantages, il existe des facteurs qui doivent être pris en compte avant d’apporter cette modification de configuration :
- Le client DNS n’utilise pas chacun des serveurs DNS répertoriés dans la configuration TCP/IP pour chaque requête. Par défaut, au démarrage, le client DNS tente d’utiliser le serveur dans l’entrée Serveur DNS préféré. Si ce serveur ne répond pas pour une raison quelconque, le client DNS bascule vers le serveur répertorié dans l’entrée serveur DNS de remplacement. Le client DNS continuera à utiliser ce serveur DNS secondaire jusqu’à ce que :
- Il ne parvient pas à répondre à une requête DNS, ou :
- La valeur ServerPriorityTimeLimit est atteinte (15 minutes par défaut).
- Le client DNS n’utilise pas chacun des serveurs DNS répertoriés dans la configuration TCP/IP pour chaque requête. Par défaut, au démarrage, le client DNS tente d’utiliser le serveur dans l’entrée Serveur DNS préféré. Si ce serveur ne répond pas pour une raison quelconque, le client DNS bascule vers le serveur répertorié dans l’entrée serveur DNS de remplacement. Le client DNS continuera à utiliser ce serveur DNS secondaire jusqu’à ce que :
Remarque
Seul un échec de réponse entraîne le basculement des serveurs DNS préférés par le client DNS . La réception d’une réponse faisant autorité mais incorrecte n’entraîne pas l’essai d’un autre serveur par le client DNS. Par conséquent, la configuration d’un contrôleur de domaine avec lui-même et un autre serveur DNS comme serveurs préférés et alternatifs permet de garantir la réception d’une réponse, mais cela ne garantit pas l’exactitude de cette réponse. Les échecs de mise à jour des enregistrements DNS sur l’un des serveurs peuvent entraîner une expérience de résolution de noms incohérente.
- Ne configurez pas les paramètres du client DNS sur les contrôleurs de domaine pour qu’ils pointent vers les serveurs DNS de votre fournisseur de services Internet (ISP). Si vous configurez les paramètres du client DNS pour qu’ils pointent vers les serveurs DNS de votre fournisseur de services Internet, le service Netlogon sur les contrôleurs de domaine n’inscrit pas les enregistrements appropriés pour le service d’annuaire Active Directory. Avec ces enregistrements, d’autres contrôleurs de domaine et ordinateurs peuvent trouver des informations relatives à Active Directory. Le contrôleur de domaine doit inscrire ses enregistrements auprès de son propre serveur DNS.
Pour transférer des requêtes DNS externes, ajoutez les serveurs DNS du fournisseur de services Internet en tant que redirecteurs DNS dans le console de gestion DNS. Si vous ne configurez pas les redirecteurs, utilisez les serveurs d’indicateurs racine par défaut. Dans les deux cas, si vous souhaitez que le serveur DNS interne soit transféré vers un serveur DNS Internet, vous devez également supprimer la racine « ». Zone (également appelée « point ») dans le console de gestion DNS dans le dossier Zones de recherche directe.
- Si plusieurs cartes réseau sont installées sur le contrôleur de domaine qui héberge le DNS, vous devez désactiver une carte pour l’inscription du nom DNS.
Pour plus d’informations sur la configuration correcte du DNS dans ce cas, cliquez sur le numéro ci-dessous pour afficher l’article dans la Base de connaissances Microsoft :
292822 problèmes de résolution de noms et de connectivité sur un serveur de routage et d’accès à distance qui exécute également DNS ou WINS
Pour vérifier les paramètres du client DNS de votre contrôleur de domaine, tapez la commande suivante à l’invite de commandes pour afficher les détails de votre configuration IP (Internet Protocol) : ipconfig /all
Pour modifier la configuration du client DNS du contrôleur de domaine, procédez comme suit :
Cliquez avec le bouton droit sur Mon réseau Places, puis sélectionnez Propriétés.
Cliquez avec le bouton droit sur Connexion à la zone locale, puis sélectionnez Propriétés.
Sélectionnez Protocole Internet (TCP/IP), puis Propriétés.
Sélectionnez Avancé, puis sélectionnez l’onglet DNS . Pour configurer les informations DNS, procédez comme suit :
- Dans la zone Adresses du serveur DNS, dans l’ordre d’utilisation , ajoutez les adresses de serveur DNS recommandées.
- Si le paramètre Pour la résolution des noms non qualifiés est défini sur Ajouter ces suffixes DNS (dans l’ordre), Microsoft vous recommande de répertorier le nom de domaine DNS Active Directory en premier (en haut).
- Vérifiez que le suffixe DNS pour ce paramètre de connexion est identique au nom de domaine Active Directory.
- Vérifiez que la zone Inscrire les adresses de cette connexion dans dns case activée est cochée.
- Cliquez sur OK à trois reprises.
Si vous modifiez les paramètres du client DNS, vous devez effacer le cache du programme de résolution DNS et inscrire les enregistrements de ressources DNS. Pour effacer le cache du programme de résolution DNS, tapez la commande suivante à l’invite de commandes :
ipconfig /flushdns
Pour inscrire les enregistrements de ressources DNS, tapez la commande suivante à l’invite de commandes :ipconfig /registerdnsPour vérifier que les enregistrements DNS sont corrects dans la base de données DNS, démarrez le console de gestion DNS. Il doit y avoir un enregistrement d’hôte pour le nom de l’ordinateur. (Cet enregistrement hôte est un enregistrement « A » en mode Avancé.) Il doit également y avoir un enregistrement SOA (Start of Authority) et un enregistrement de serveur de noms (NS) qui pointe vers le contrôleur de domaine.
Contrôleur de domaine sans DNS installé
Si vous n’utilisez pas le DNS intégré à Active Directory et que vous avez des contrôleurs de domaine sur lesquels dns n’est pas installé, Microsoft vous recommande de configurer les paramètres du client DNS conformément aux spécifications suivantes :
- Configurez les paramètres du client DNS sur le contrôleur de domaine pour qu’ils pointent vers un serveur DNS faisant autorité pour la zone qui correspond au domaine où l’ordinateur est membre. Un serveur DNS principal et secondaire local est préférable en raison de considérations relatives au trafic wan (Wide Area Network).
- Si aucun serveur DNS local n’est disponible, pointez sur un serveur DNS accessible par une liaison WAN fiable. Le temps de disponibilité et la bande passante déterminent la fiabilité.
- Ne configurez pas les paramètres du client DNS sur les contrôleurs de domaine pour qu’ils pointent vers les serveurs DNS de votre fournisseur de services Internet. Au lieu de cela, le serveur DNS interne doit transférer vers les serveurs DNS du fournisseur de services Internet pour résoudre les noms externes.
Serveurs membres Windows Server
Sur les serveurs membres Windows Server, Microsoft vous recommande de configurer les paramètres du client DNS en fonction des spécifications suivantes :
- Configurez les paramètres client DNS principal et secondaire pour qu’ils pointent vers les serveurs DNS locaux et secondaires (si des serveurs DNS locaux sont disponibles) qui hébergent la zone DNS pour le domaine Active Directory de l’ordinateur.
- Si aucun serveur DNS local n’est disponible, pointez sur un serveur DNS pour le domaine Active Directory de cet ordinateur, accessible via une liaison WAN fiable. Le temps de disponibilité et la bande passante déterminent la fiabilité.
- Ne configurez pas les paramètres DNS du client pour qu’ils pointent vers les serveurs DNS de votre fournisseur de services Internet. Dans ce cas, vous pouvez rencontrer des problèmes lorsque vous essayez de joindre le serveur Windows Server au domaine ou lorsque vous essayez de vous connecter au domaine à partir de cet ordinateur. Au lieu de cela, le serveur DNS interne doit configurer le transfert vers les serveurs DNS du fournisseur de services Internet pour résoudre les noms externes.
Serveurs non membres Windows Server
- Si vous avez des serveurs qui ne sont pas configurés pour faire partie du domaine, vous pouvez toujours les configurer pour utiliser des serveurs DNS intégrés à Active Directory comme serveurs DNS principaux et secondaires. Si vous avez des serveurs non membres dans votre environnement qui utilisent le DNS intégré à Active Directory, ils n’inscrivent pas dynamiquement leurs enregistrements DNS dans une zone configurée pour accepter uniquement les mises à jour sécurisées.
- Si vous n’utilisez pas le DNS intégré à Active Directory et que vous souhaitez configurer les serveurs non membres pour la résolution DNS interne et externe, configurez les paramètres du client DNS pour qu’ils pointent vers un serveur DNS interne qui transfère vers Internet.
- Si seule la résolution de noms DNS Internet est requise, vous pouvez configurer les paramètres du client DNS sur les serveurs non membres pour qu’ils pointent vers les serveurs DNS du fournisseur de services Internet.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour