Active Directory repose sur une infrastructure DNS correctement configurée et fonctionnelle . Si vous avez un problème Active Directory, il est probable que vous ayez un problème DNS. La première chose à vérifier est le DNS. La deuxième chose que vous devez vérifier est DNS. La troisième chose que vous devez vérifier est DNS.
Qu'est-ce que le DNS exactement?
Ceci est un site pour les professionnels, donc je suppose que vous avez au moins lu l'excellent article Wikipedia . En bref, DNS permet de trouver des adresses IP en recherchant un appareil par son nom. Il est essentiel pour Internet de fonctionner tel que nous le connaissons et il fonctionne sur tous les réseaux locaux, sauf le plus petit.
Le DNS, au niveau le plus élémentaire, est divisé en trois éléments fondamentaux:
Serveurs DNS: ce sont les serveurs qui détiennent des enregistrements pour tous les clients dont ils sont responsables. Dans Active Directory, vous exécutez le rôle de serveur DNS sur un ou plusieurs contrôleurs de domaine.
Zones: des copies des zones sont détenues par les serveurs. Si vous avez un AD nommé ad.example.com
, alors il y a une zone sur vos contrôleurs de domaine sur laquelle DNS est installé ad.example.com
. Si vous avez un ordinateur nommé computer
et il a été enregistré avec le serveur DNS, il crée un enregistrement DNS nommé computer
dans ad.example.com
et vous seriez en mesure d'atteindre cet ordinateur via le nom de domaine complet (FQDN), qui seraitcomputer.ad.example.com
Enregistrements: Comme je l'ai mentionné ci-dessus, les zones détiennent des enregistrements. Un enregistrement mappe un ordinateur ou des ressources à une adresse IP spécifique. Le type d'enregistrement le plus courant est un enregistrement A, qui contient un nom d'hôte et une adresse IP. Les enregistrements les plus courants sont les enregistrements CNAME. Un CNAME contient un nom d'hôte et un autre nom d'hôte. Lorsque vous recherchez hostname1, il effectue une autre recherche et renvoie l'adresse de hostname2. Ceci est utile pour masquer des ressources comme un serveur Web ou un partage de fichiers. Si vous avez un CNAME pour intranet.ad.example.com
et que le serveur derrière lui change, tout le monde peut continuer à utiliser le nom qu'il connaît et vous n'avez qu'à mettre à jour l'enregistrement CNAME pour pointer vers le nouveau serveur. Utile hein?
Ok, comment cela se rapporte-t-il à Active Directory?
Lorsque vous installez Active Directory et le rôle serveur DNS sur votre premier contrôleur de domaine dans le domaine, il crée automatiquement deux zones de recherche directe pour votre domaine. Si votre domaine AD est ad.example.com
comme dans l'exemple ci-dessus ( notez que vous ne devez pas utiliser uniquement " example.com
" comme nom de domaine pour Active Directory ), vous aurez une zone pour ad.example.com
et _msdcs.ad.example.com
.
Que font ces zones? GRANDE QUESTION! Commençons par la _msdcs
zone. Il contient tous les enregistrements dont vos machines clientes ont besoin pour trouver des contrôleurs de domaine. Il comprend des enregistrements pour localiser les sites AD. Il contient des enregistrements pour les différents détenteurs de rôles FSMO. Il contient même des enregistrements pour vos serveurs KMS, si vous exécutez ce service facultatif. Si cette zone n'existait pas, vous ne pourriez pas vous connecter à vos postes de travail ou serveurs.
Que contient la ad.example.com
zone? Il contient tous les enregistrements de vos ordinateurs clients, serveurs membres et les enregistrements A de vos contrôleurs de domaine. Pourquoi cette zone est- elle importante? Pour que vos postes de travail et serveurs puissent communiquer entre eux sur le réseau. Si cette zone n'existait pas, vous pourriez probablement vous connecter, mais vous ne pourriez pas faire grand-chose d'autre que naviguer sur Internet.
Comment obtenir des enregistrements dans ces zones?
Eh bien, heureusement pour vous, c'est facile. Lorsque vous installez et configurez les paramètres du serveur DNS pendant dcpromo
, vous devez choisir d'autoriser Secure Updates Only
si vous avez le choix. Cela signifie que seuls les PC connus appartenant à un domaine peuvent créer / mettre à jour leurs enregistrements.
Revenons en arrière une seconde. Il existe plusieurs façons dont une zone peut y enregistrer des enregistrements:
Ils sont automatiquement ajoutés par les postes de travail configurés pour utiliser le serveur DNS. C'est le plus courant et doit être utilisé en tandem avec «Mises à jour sécurisées uniquement» dans la plupart des scénarios. Il y a des cas limites où vous ne voulez pas aller dans cette direction, mais si vous avez besoin des connaissances dans cette réponse, alors c'est la façon dont vous voulez le faire. Par défaut, un poste de travail ou un serveur Windows met à jour ses propres enregistrements toutes les 24 heures ou lorsqu'une carte réseau obtient une adresse IP qui lui est attribuée , via DHCP ou de manière statique.
Vous créez manuellement l'enregistrement. Cela peut se produire si vous devez créer un CNAME ou un autre type d'enregistrement, ou si vous voulez un enregistrement A qui ne se trouve pas sur un ordinateur AD de confiance, peut-être un serveur Linux ou OS X que vous souhaitez que vos clients puissent résoudre de nom.
Vous laissez DHCP mettre à jour le DNS lors de la remise des baux. Pour ce faire, configurez DHCP pour mettre à jour les enregistrements au nom des clients et ajoutez le serveur DHCP au groupe DNSUpdateProxy AD. Ce n'est pas vraiment une bonne idée, car cela vous ouvre à un empoisonnement de zone. L'empoisonnement de zone (ou empoisonnement DNS) est ce qui se produit lorsqu'un ordinateur client met à jour une zone avec un enregistrement malveillant et tente d'usurper l'identité d'un autre ordinateur de votre réseau. Il existe des moyens de sécuriser cela, et il a ses utilisations, mais vous feriez mieux de le laisser seul si vous ne le savez pas.
Donc, maintenant que nous n'avons plus cela, nous pouvons reprendre le chemin. Vous avez configuré vos serveurs AD DNS pour n'autoriser que les mises à jour sécurisées, votre infrastructure évolue, puis vous vous rendez compte que vous avez une tonne d'enregistrements en double! Que faites-vous à ce sujet?
Nettoyage DNS
Cet article est à lire . Il détaille les meilleures pratiques et les paramètres que vous devrez configurer pour le nettoyage. C'est pour Windows Server 2003, mais c'est toujours applicable. Lis le.
Le nettoyage est la réponse au problème d'enregistrement en double posé ci-dessus. Imaginez que vous avez un ordinateur qui obtient une adresse IP de 192.168.1.100. Il enregistrera un enregistrement A pour cette adresse. Ensuite, imaginez qu'il s'était éteint pendant une longue période. Lorsqu'elle est réactivée, cette adresse est prise par une autre machine, donc elle est récupérée 192.168.1.120
. Il existe maintenant des enregistrements A pour les deux.
Si vous nettoyez vos zones, ce ne sera pas un problème. Les enregistrements périmés seront supprimés après un certain intervalle et tout ira bien. Assurez-vous simplement que vous ne nettoyez pas tout par accident, comme en utilisant un intervalle de 1 jour. N'oubliez pas qu'AD s'appuie sur ces enregistrements. Configurez définitivement le nettoyage, mais faites-le de manière responsable, comme indiqué dans l'article ci-dessus.
Ainsi, vous avez maintenant une compréhension de base du DNS et de la façon dont il est intégré à Active Directory. J'ajouterai des morceaux sur la route, mais n'hésitez pas à ajouter votre propre travail également.