Comment configurer les mises à jour dynamiques DNS dans Windows Server 2003

Cet article explique comment configurer la fonctionnalité de mise à jour DNS dans Microsoft Windows Server 2003.

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la ko d’origine :   816592

Résumé

La fonctionnalité de mise à jour DNS permet aux ordinateurs clients DNS de s’inscrire et de mettre à jour dynamiquement leurs enregistrements de ressources avec un serveur DNS chaque fois que des modifications sont apportées. Si vous utilisez cette fonctionnalité, vous pouvez réduire la nécessité d’une administration manuelle des enregistrements de zone, en particulier pour les clients qui déplacent fréquemment et utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Windows Server 2003 fournit la prise en charge de la fonctionnalité de mise à jour dynamique, comme décrit dans la demande de commentaires (RFC) 2136. Pour les serveurs DNS, le service DNS vous permet d’activer ou de désactiver la fonctionnalité de mise à jour DNS par zone sur chaque serveur configuré pour charger une zone principale standard ou intégrée à l’annuaire.

Fonctionnalités de mise à jour DNS Windows Server 2003

Le service DNS permet aux ordinateurs clients de mettre à jour dynamiquement leurs enregistrements de ressources dans DNS. Lorsque vous utilisez cette fonctionnalité, vous améliorez l’administration DNS en réduisant le temps nécessaire pour gérer manuellement les enregistrements de zone. Vous pouvez utiliser la fonctionnalité de mise à jour DNS avec DHCP pour mettre à jour les enregistrements de ressource lorsque l’adresse IP d’un ordinateur est modifiée. Les ordinateurs exécutant Windows Server 2003 peuvent envoyer des mises à jour dynamiques.

Windows Server 2003 fournit les fonctionnalités suivantes liées au protocole de mise à jour dynamique DNS :

  • Utilisation du service d’annuaire Active Directory comme service de localisation pour les contrôleurs de domaine.

  • Intégration à Active Directory.

    Vous pouvez intégrer des zones DNS dans Active Directory pour offrir une tolérance de panne et une sécurité accrues. Chaque zone intégrée à Active Directory est répliquée parmi tous les contrôleurs de domaine dans le domaine Active Directory. Tous les serveurs DNS qui s’exécutent sur ces contrôleurs de domaine peuvent agir en tant que serveurs principaux pour la zone et accepter les mises à jour dynamiques. Active Directory réplique par propriété et propage uniquement les modifications pertinentes.

  • L’âge et le nettoyage des enregistrements.

    Le service DNS Server peut analyser et supprimer des enregistrements qui ne sont plus requis. Lorsque vous activez cette fonctionnalité, vous pouvez empêcher les enregistrements obsolètes de rester dans le DNS.

  • Sécuriser les mises à jour dynamiques dans les zones intégrées à Active Directory.

    Vous pouvez configurer des zones intégrées à Active Directory pour sécuriser les mises à jour dynamiques afin que seuls les utilisateurs autorisés peuvent apporter des modifications à une zone ou à un enregistrement.

  • Administration à partir d’une invite de commandes.

  • Résolution de nom améliorée.

  • Mise en cache améliorée et mise en cache négative.

  • Interopérabilité avec d’autres implémentations de serveur DNS.

  • Intégration à d’autres services réseau.

  • Transfert de zone incrémentielle.

Mise à jour des noms DNS des ordinateurs basés sur Windows Server 2003

Par défaut, les ordinateurs qui exécutent Windows Server 2003 et qui sont configurés statiquement pour TCP/IP tentent d’enregistrer dynamiquement les enregistrements de ressources d’adresse hôte (A) et de pointeur (PTR) pour les adresses IP configurées et utilisées par leurs connexions réseau installées. Par défaut, tous les enregistrements d’enregistrement d’ordinateur sont basés sur le nom complet de l’ordinateur.

Pour les ordinateurs basés sur Windows Server 2003, le nom de l’ordinateur principal complet est un nom de domaine complet (FQDN). En outre, le nom de l’ordinateur complet principal est le suffixe DNS principal de l’ordinateur qui est ajouter au nom de l’ordinateur. Pour déterminer le suffixe DNS principal de l’ordinateur et le nom de l’ordinateur, cliquez avec le bouton droit sur Mon ordinateur, cliquez sur Propriétés, puis sur Nom de l’ordinateur.

Les mises à jour DNS peuvent être envoyées pour l’une des raisons ou événements suivants :

  • Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l’une des connexions réseau installées.
  • Un bail d’adresse IP change ou renouvelle l’une des connexions réseau installées avec le serveur DHCP. Par exemple, cette mise à jour se produit lorsque l’ordinateur est démarré ou lorsque vous utilisez la ipconfig /renew commande.
  • Vous utilisez la commande pour forcer manuellement une mise à jour de l’inscription du nom ipconfig /registerdns du client dans DNS.
  • L’ordinateur est allumé.
  • Un serveur membre est promu en contrôleur de domaine.

Lorsqu’un de ces événements déclenche une mise à jour DNS, le service client DHCP, et non le service client DNS, envoie des mises à jour. Si une modification des informations d’adresse IP se produit en raison de DHCP, les mises à jour correspondantes dans DNS sont effectuées pour synchroniser les mappages nom-adresse pour l’ordinateur. Le service client DHCP effectue cette fonction pour toutes les connexions réseau sur le système. Cela inclut les connexions qui ne sont pas configurées pour utiliser le protocole DHCP.

Notes

  • Le processus de mise à jour pour les ordinateurs Windows Server 2003 qui utilisent DHCP pour obtenir leur adresse IP est différent du processus décrit dans cette section. Pour plus d’informations, voir la section « Intégration de DHCP avec DNS » et la section « Clients DHCP Windows et protocole de mise à jour dynamique DNS ».
  • Le processus de mise à jour décrit dans cette section suppose que les valeurs par défaut de l’installation de Windows Server 2003 sont en vigueur. Les noms spécifiques et le comportement de mise à jour sont tunables lorsque les propriétés TCP/IP avancées sont configurées pour utiliser des paramètres DNS non par défaut.
  • Outre le nom complet de l’ordinateur ou le nom principal de l’ordinateur, vous pouvez configurer d’autres noms DNS spécifiques à la connexion et éventuellement les enregistrer ou les mettre à jour dans DNS.

Par défaut, Windows XP et Windows Server 2003 réinsistent leurs enregistrements de ressources A et PTR toutes les 24 heures, quel que soit le rôle de l’ordinateur. Pour modifier cette heure, ajoutez l’entrée de Registre DefaultRegistrationRefreshInterval sous la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

L’intervalle est fixé en secondes.

Exemple de fonctionnement des mises à jour DNS

Pour Windows Server 2003, les mises à jour dynamiques sont généralement demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, un client nommé « oldhost » est d’abord configuré dans les propriétés système pour avoir les noms suivants :
Nom de l’ordinateur : oldhost
Nom de domaine DNS de l’ordinateur : example.microsoft.com
Nom complet de l’ordinateur : oldhost.example.microsoft.com

Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. Si vous renommez l’ordinateur « oldhost » en « newhost », les modifications de nom suivantes se produisent :
Nom de l’ordinateur : newhost
Nom de domaine DNS de l’ordinateur : example.microsoft.com
Nom complet de l’ordinateur : newhost.example.microsoft.com

Une fois le changement de nom appliqué dans les propriétés système, Windows Server 2003 vous invite à redémarrer l’ordinateur. Une fois que l’ordinateur a redémarré Windows, le service client DHCP effectue la séquence suivante pour mettre à jour le DNS :

  1. Le service client DHCP envoie une requête de type début d’autorité (SOA) à l’aide du nom de domaine DNS de l’ordinateur.

    L’ordinateur client utilise le nom de domaine complet actuellement configuré de l’ordinateur, tel que « », comme le nom spécifié newhost.example.microsoft.com dans cette requête.

  2. Le serveur DNS faisant autorité pour la zone qui contient le nom deqdn client répond à la requête de type SOA.

    Pour les zones principales standard, le serveur principal ou le propriétaire, qui est renvoyé dans la réponse de requête SOA est fixe et statique. Le nom du serveur principal correspond toujours au nom DNS exact, car ce nom est affiché dans l’enregistrement de ressource SOA stocké avec la zone. Toutefois, si la zone en cours de mise à jour est intégrée au répertoire, tout serveur DNS qui charge la zone peut répondre et insérer dynamiquement son propre nom en tant que serveur principal de la zone dans la réponse de requête SOA.

  3. Le service client DHCP tente de contacter le serveur DNS principal.

    Le client traite la réponse de requête SOA pour obtenir son nom afin de déterminer l’adresse IP du serveur DNS autorisé en tant que serveur principal à accepter son nom. Si nécessaire, le client effectue les étapes suivantes pour contacter et mettre à jour dynamiquement son serveur principal :

    1. Le client envoie une demande de mise à jour dynamique au serveur principal qui est déterminée dans la réponse de requête SOA.

      Si la mise à jour réussit, aucune action supplémentaire n’est prise.

    2. Si cette mise à jour échoue, le client envoie ensuite une requête de type NS pour le nom de zone spécifié dans l’enregistrement SOA.

    3. Lorsque le client reçoit une réponse à cette requête, il envoie une requête SOA au premier serveur DNS répertorié dans la réponse.

    4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique au serveur spécifiée dans l’enregistrement SOA renvoyé.

      Si la mise à jour réussit, aucune action supplémentaire n’est prise.

    5. Si cette mise à jour échoue, le client répète le processus de requête SOA en envoyant le message au serveur DNS suivant répertorié dans la réponse.

  4. Une fois que le serveur principal qui peut effectuer la mise à jour est contacté, le client envoie la demande de mise à jour et le serveur la traite.

    Le contenu de la demande de mise à jour inclut des instructions pour ajouter A, et éventuellement PTR, des enregistrements de ressource pour « et pour supprimer ces mêmes types d’enregistrements pour newhost.example.microsoft.com « oldhost.example.microsoft.com ». ( » oldhost.example.microsoft.com " est le nom qui a été précédemment inscrit.)

    Le serveur vérifie également que les mises à jour sont autorisées pour la demande du client. Pour les zones principales standard, les mises à jour dynamiques ne sont pas sécurisées. Toute tentative de mise à jour du client réussit. Pour les zones intégrées à Active Directory, les mises à jour sont sécurisées et effectuées à l’aide des paramètres de sécurité basés sur l’annuaire.

Les mises à jour dynamiques sont envoyées ou actualisées régulièrement. Par défaut, les ordinateurs envoient une mise à jour toutes les 24 heures. Si la mise à jour ne modifie pas les données de zone, la zone reste à sa version actuelle et aucune modification n’est écrite. Les mises à jour qui entraînent des changements de zone réels ou des transferts de zone accrus se produisent uniquement si les noms ou les adresses changent réellement.

Notes

Les noms ne sont pas supprimés des zones DNS s’ils deviennent inactifs ou s’ils ne sont pas mis à jour dans l’intervalle de mise à jour de 24 heures. DNS n’utilise pas de mécanisme permettant de libérer ou de supprimer des noms, bien que les clients DNS tentent de supprimer ou de mettre à jour des enregistrements d’ancien nom lorsqu’un nouveau nom ou une modification d’adresse est appliqué.

Lorsque le service client DHCP inscrit les enregistrements de ressources A et PTR pour un ordinateur basé sur Windows Server 2003, le client utilise une valeur de durée de vie (TTL) de mise en cache par défaut de 15 minutes pour les enregistrements hôtes. Cette valeur détermine la durée de mise en cache des enregistrements d’un ordinateur par d’autres serveurs et clients DNS lorsqu’ils sont inclus dans une réponse de requête.

Intégration de DHCP avec DNS

Avec Windows Server 2003, un serveur DHCP peut activer les mises à jour dynamiques dans l’espace de noms DNS pour l’un de ses clients qui les prendre en charge. Les clients d’étendue peuvent utiliser le protocole de mise à jour dynamique DNS pour mettre à jour leurs informations de mappage nom d’hôte à adresse chaque fois que des modifications sont apportées à leur adresse DHCP. Ces informations de mappage sont stockées dans des zones sur le serveur DNS. Un serveur DHCP basé sur Windows Server 2003 peut effectuer des mises à jour pour le compte de ses clients DHCP sur n’importe quel serveur DNS.

Fonctionnement de l’interaction de mise à jour DHCP/DNS

Vous pouvez utiliser le serveur DHCP pour enregistrer et mettre à jour les enregistrements PTR et A de la part des clients DHCP du serveur. Dans ce cas, vous devez utiliser une option DHCP supplémentaire, l’option FQDN client (option 81). Cette option permet au client d’envoyer son nom deqdn au serveur DHCP dans le paquet DHCPREQUEST. Cela permet au client d’informer le serveur DHCP du niveau de service dont il a besoin.

L’option FQDN inclut les six champs suivants :

  • Code
    Spécifie le code de cette option (81).
  • NbCar
    Spécifie la longueur de cette option. (Il doit s’agit d’un minimum de 4.)
  • Flags
    Spécifie le type de service.
  • 0
    Le client enregistre l’enregistrement « A » (hôte).
  • 1
    Le client souhaite que DHCP enregistre l’enregistrement « A » (hôte).
  • 3
    DHCP enregistre l’enregistrement « A » (hôte) quelle que soit la demande du client.
  • RCODE1
    Spécifie un code de réponse que le serveur envoie au client.
  • RCODE2
    Spécifie une ligne supplémentaire de RCODE1.
  • Nom de domaine
    Spécifie le FQDN du client.

Si le client demande à enregistrer ses enregistrements de ressources auprès du DNS, le client est responsable de la génération de la demande DE MISE À JOUR dynamique par demande de commentaires (RFC) 2136. Ensuite, le serveur DHCP inscrit son enregistrement PTR (pointeur).

Supposons que cette option soit émise par un client DHCP qualifié, tel qu’un ordinateur activé pour DHCP qui exécute Windows Server 2003, Microsoft Windows 2000 ou Microsoft Windows XP. Dans ce cas, l’option est traitée et interprétée par les serveurs DHCP basés sur Windows Server 2003 pour déterminer comment le serveur initie les mises à jour pour le compte du client.

Par exemple, vous pouvez utiliser l’une des configurations suivantes pour traiter les demandes des clients :

  • Le serveur DHCP enregistre et met à jour les informations client avec ses serveurs DNS configurés en fonction de la demande du client.

    Il s’agit de la configuration par défaut pour les serveurs et clients DHCP windows Server 2003 qui exécutent Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, l’un de ces clients DHCP Windows peut spécifier la façon dont le serveur DHCP met à jour ses enregistrements de ressources A et PTR d’hôte. Si possible, le serveur DHCP gère la demande du client pour la gestion des mises à jour de son nom et de ses informations d’adresse IP dans DNS.

    Pour configurer le serveur DHCP afin d’enregistrer les informations client en fonction de la demande du client, suivez les étapes suivantes :

    1. Ouvrez les propriétés DHCP du serveur ou de l’étendue individuelle.
    2. Cliquez sur l’onglet DNS, cliquez sur Propriétés, puis sélectionnez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR uniquement si les clients DHCP le demandent.
  • Le serveur DHCP enregistre et met toujours à jour les informations client avec ses serveurs DNS configurés.

    Il s’agit d’une configuration modifiée prise en charge pour les serveurs et clients DHCP basés sur Windows Server 2003 qui exécutent Windows Server 2003, Windows 2000 ou Windows XP. Dans ce mode, le serveur DHCP effectue toujours des mises à jour du nom deqdn du client et des informations d’adresse IP en bail, que le client ait demandé ou non à effectuer ses propres mises à jour.

    Pour configurer un serveur DHCP pour enregistrer et mettre à jour les informations client avec ses serveurs DNS configurés, suivez les étapes suivantes :

    1. Ouvrir les propriétés DHCP du serveur
    2. Cliquez sur DNS, sur Propriétés, cliquez pour sélectionner Activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous, puis cliquez sur Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR.
  • Le serveur DHCP n’enregistre et ne met jamais à jour les informations client avec ses serveurs DNS configurés.

    Pour utiliser cette configuration, le serveur DHCP doit être configuré pour désactiver les performances des mises à jour par proxy DHCP/DNS. Lorsque vous utilisez cette configuration, aucun enregistrement de ressource d’hôte client A ou PTR n’est mis à jour dans DNS pour les clients DHCP.

    Pour configurer le serveur de manière à ne jamais mettre à jour les informations client, suivez les étapes suivantes :

    1. Ouvrez les propriétés DHCP du serveur DHCP ou l’une de ses étendues sur le serveur DHCP basé sur Windows Server 2003.
    2. Cliquez sur DNS, sur Propriétés, puis sur Activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous.

    Par défaut, les mises à jour sont toujours effectuées pour les serveurs DHCP windows Server 2003 nouvellement installés et les nouvelles étendues que vous créez pour eux.

Clients DHCP Windows et protocole de mise à jour dynamique DNS

Les clients DHCP qui exécutent des systèmes d’exploitation Windows Server 2003, Windows 2000, Windows XP ou des systèmes d’exploitation antérieures peuvent interagir différemment lorsqu’ils effectuent les interactions DHCP/DNS. Les exemples suivants montrent comment ce processus varie dans différents cas.

Exemple d’interaction de mise à jour DHCP/DNS pour les clients DHCP Windows Server 2003, Windows 2000 et Windows XP

Les clients qui exécutent Windows Server 2003, Windows 2000 ou Windows XP DHCP interagissent avec le protocole de mise à jour dynamique DNS de la manière suivante :

  1. Le client envoie un message de demande DHCP (DHCPREQUEST) au serveur. La demande inclut l’option 81.
  2. Le serveur renvoie un message d’accusé de réception DHCP (DHCPACK) au client. Le client accorde un bail d’adresse IP et inclut l’option 81. Si le serveur DHCP est configuré avec les paramètres par défaut, l’option 81 indique au client que le serveur DHCP enregistre l’enregistrement PTR DNS et que le client enregistre l’enregistrement DNS A.
  3. De manière asynchrone, le client envoie une demande de mise à jour DNS au serveur DNS pour son propre enregistrement de recherche avant, un enregistrement de ressource A d’hôte.
  4. Le serveur DHCP enregistre l’enregistrement PTR du client.

Exemple d’interaction de mise à jour DHCP/DNS pour les clients DHCP basés sur Windows qui utilisent une version de Windows antérieure à Windows Server 2003

Les versions antérieures des clients DHCP Windows ne peuvent pas directement la prise en charge du processus de mise à jour dynamique DNS et ne peuvent pas interagir directement avec le serveur DNS. Pour ces clients DHCP, les mises à jour sont généralement gérées de la manière suivante :

  1. Le client envoie un message de demande DHCP (DHCPREQUEST) au serveur. Cette demande n’inclut pas l’option 81.
  2. Le serveur renvoie un message d’accusé de réception DHCP (DHCPACK) au client. Le client accorde un bail d’adresse IP, sans l’option 81.
  3. Le serveur envoie des mises à jour au serveur DNS pour l’enregistrement de recherche avant du client, l’enregistrement de ressource A hôte, et envoie une mise à jour pour l’enregistrement de recherche inverse PTR du client.

Sécuriser les mises à jour dynamiques

Pour Windows Server 2003, la sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées à Active Directory. Après avoir intégré une zone, vous pouvez utiliser les fonctionnalités de modification de la liste de contrôle d’accès (ACL) disponibles dans le logiciel en ligne DNS pour ajouter ou supprimer des utilisateurs ou des groupes de la liste de contrôle d’accès pour une zone spécifique ou pour un enregistrement de ressource.

Pour plus d’informations, recherchez la rubrique « Pour modifier la sécurité d’un enregistrement de ressource » ou la rubrique « Pour modifier la sécurité pour une zone intégrée d’annuaire » dans l’aide de Windows Server 2003.

Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et clients DNS Windows Server 2003 est gérée de la manière suivante :

  1. Les clients DNS basés sur Windows Server 2003 tentent d’abord d’utiliser des mises à jour dynamiques non sécurisés. Si la mise à jour non sécurisée est refusée, les clients tentent d’utiliser une mise à jour sécurisée.

    En outre, les clients utilisent une stratégie de mise à jour par défaut qui leur permet d’essayer de bloquer un enregistrement de ressource précédemment enregistré, sauf s’ils sont spécifiquement bloqués par la sécurité de mise à jour.

  2. Par défaut, une fois qu’une zone est intégrée à Active Directory, les serveurs DNS basés sur Windows Server 2003 activent uniquement les mises à jour dynamiques sécurisées.

Par défaut, lorsque vous utilisez le stockage de zone standard, le service DNS Server n’active pas les mises à jour dynamiques sur ses zones. Pour les zones intégrées à l’annuaire ou qui utilisent un stockage standard basé sur des fichiers, vous pouvez modifier la zone pour activer toutes les mises à jour dynamiques. Cela permet d’accepter toutes les mises à jour en passant l’utilisation de mises à jour sécurisées.

Important

Le service DHCP Server peut effectuer l’inscription proxy et la mise à jour des enregistrements DNS pour les clients hérités qui ne peuvent pas prendre en charge les mises à jour dynamiques. Pour plus d’informations, voir la rubrique « Utilisation de serveurs DNS avec DHCP » dans l’aide de Windows Server 2003.

Si vous utilisez plusieurs serveurs DHCP Windows Server 2003 sur votre réseau et si vous configurez vos zones pour activer uniquement les mises à jour dynamiques sécurisées, utilisez le logiciel enfichable Utilisateurs et ordinateurs Active Directory pour ajouter vos ordinateurs serveurs DHCP au groupe DnsUpdateProxy intégré. Dans ce cas, tous vos serveurs DHCP ont les droits sécurisés pour effectuer des mises à jour de proxy pour l’un de vos clients DHCP. Pour plus d’informations, voir la rubrique « Utilisation de serveurs DNS avec DHCP » ou la rubrique « Gérer les groupes » dans l’aide de Windows Server 2003.

Attention

La fonctionnalité de mises à jour dynamiques sécurisées peut être compromise si les conditions suivantes sont vraies :

  • Vous exécutez un serveur DHCP sur un contrôleur de domaine Windows Server 2003
  • Le serveur DHCP est configuré pour enregistrer les enregistrements DNS au nom de ses clients. Pour éviter ce problème, déployez des serveurs DHCP et des contrôleurs de domaine sur des ordinateurs distincts ou configurez le serveur DHCP pour utiliser un compte d’utilisateur dédié pour les mises à jour dynamiques. Pour plus d’informations, voir la rubrique « Utilisation de serveurs DNS avec DHCP » dans l’aide de Windows Server 2003.

Pour plus d’informations, voir la section « Considérations de sécurité lorsque vous utilisez le groupe DnsUpdateProxy ».

Activer uniquement les mises à jour dynamiques sécurisées

  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur DNS.
  2. Sous DNS, double-cliquez sur le serveur DNS applicable, double-cliquez sur Zones de recherche avant ou zones de recherche inversée, puis cliquez avec le bouton droit sur la zone applicable.
  3. Cliquez sur Propriétés.
  4. Sous l’onglet Général, vérifiez que le type de zone est intégré à Active Directory.
  5. Dans la zone Mises à jour dynamiques, cliquez sur Sécurisé uniquement.
  6. Cliquez sur OK.

Notes

La fonctionnalité de mise à jour dynamique sécurisée est prise en charge uniquement pour les zones intégrées à Active Directory. Si vous configurez un autre type de zone, modifiez-le, puis intégrez la zone avant de la sécuriser pour les mises à jour DNS. La mise à jour dynamique est une extension conforme RFC à la norme DNS. Le processus de mise à jour DNS est défini dans la RFC 2136, « Mises à jour dynamiques dans le système de noms de domaine (DNS UPDATE) ».

Utiliser le groupe de sécurité DnsUpdateProxy

Vous pouvez configurer un serveur DHCP basé sur Windows Server 2003 afin qu’il enregistre dynamiquement les enregistrements de ressources A et PTR d’hôte pour le compte des clients DHCP. Si vous utilisez des mises à jour dynamiques sécurisées dans cette configuration avec des serveurs DNS basés sur Windows Server 2003, les enregistrements de ressources peuvent devenir obsolètes.

Par exemple, prenons le scénario suivant :

  1. Un serveur DHCP Windows Server 2003 (DHCP1) effectue une mise à jour dynamique sécurisée pour l’un de ses clients pour un nom de domaine DNS spécifique.
  2. Étant donné que le serveur DHCP a créé le nom avec succès, il devient le propriétaire du nom.
  3. Une fois que le serveur DHCP devient le propriétaire du nom du client, seul ce serveur DHCP peut mettre à jour le nom.

Dans certains cas, ce scénario peut entraîner des problèmes. Par exemple, si DHCP1 échoue et qu’un second serveur DHCP de sauvegarde est en ligne, le serveur de sauvegarde ne peut pas mettre à jour le nom du client, car le serveur n’est pas le propriétaire du nom.

Dans un autre exemple, supposons que le serveur DHCP effectue des mises à jour dynamiques pour les clients hérités. Si vous mettez à niveau ces clients vers Windows Server 2003, Windows 2000 ou Windows XP, le client mis à niveau ne peut pas prendre possession ou mettre à jour ses enregistrements DNS.

Pour résoudre ce problème, un groupe de sécurité intégré nommé DnsUpdateProxy est fourni. Si tous les serveurs DHCP sont ajoutés au groupe DnsUpdateProxy, les enregistrements d’un serveur peuvent être mis à jour par un autre serveur en cas de panne du premier serveur. En outre, tous les objets créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés. Par conséquent, le premier utilisateur qui n’est pas membre du groupe DnsUpdateProxy et qui modifie le jeu d’enregistrements associé à un nom DNS devient son propriétaire. Lorsque les clients hérités sont mis à niveau, ils peuvent prendre possession de leurs enregistrements de nom sur le serveur DNS. Si chaque serveur DHCP qui enregistre des enregistrements de ressources pour les clients hérités est membre du groupe DnsUpdateProxy, de nombreux problèmes sont éliminés.

Ajouter des membres au groupe DnsUpdateProxy

Utilisez le logiciel enfichable Utilisateurs et ordinateurs Active Directory pour configurer le groupe de sécurité DnsUpdateProxy.

Notes

Si vous utilisez plusieurs serveurs DHCP pour la tolérance de panne et sécuriser les mises à jour dynamiques, ajoutez chaque serveur au groupe de sécurité global DnsUpdateProxy.

Considérations de sécurité lorsque vous utilisez le groupe DnsUpdateProxy

Les noms de domaine DNS enregistrés par le serveur DHCP ne sont pas sécurisés si le serveur DHCP est membre du groupe DnsUpdateProxy. L’enregistrement de ressource hôte (A) pour le serveur DHCP lui-même est un exemple d’enregistrement de ce type. En outre, les objets créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés. Par conséquent, vous ne pouvez pas utiliser ce groupe efficacement dans une zone intégrée à Active Directory qui active uniquement les mises à jour dynamiques sécurisées, sauf si vous prenez des mesures supplémentaires pour activer la sécurisation des enregistrements créés par les membres du groupe.

Pour vous protéger contre les enregistrements non sécurisés ou pour permettre aux membres du groupe DnsUpdateProxy d’inscrire des enregistrements dans des zones qui activent uniquement les mises à jour dynamiques sécurisées, suivez les étapes suivantes :

  1. Créez un compte d’utilisateur dédié.
  2. Configurez les serveurs DHCP pour effectuer des mises à jour dynamiques DNS avec les informations d’identification du compte d’utilisateur. (Ces informations d’identification sont le nom d’utilisateur, le mot de passe et le domaine.)

Les informations d’identification d’un compte d’utilisateur dédié peuvent être utilisées par plusieurs serveurs DHCP.

Un compte d’utilisateur dédié est un compte d’utilisateur dont l’unique objectif est de fournir des informations d’identification aux serveurs DHCP pour les inscriptions de mises à jour dynamiques DNS. Supposons que vous avez créé un compte d’utilisateur dédié et configuré des serveurs DHCP avec les informations d’identification du compte. Chaque serveur DHCP fournit ces informations d’identification lorsqu’il enregistre des noms pour le compte de clients DHCP qui utilisent la mise à jour dynamique DNS. Le compte d’utilisateur dédié doit être créé dans la forêt où réside le serveur DNS principal de la zone à mettre à jour. Le compte d’utilisateur dédié peut également se trouver dans une autre forêt. Toutefois, la forêt dans qui réside le compte doit avoir une confiance de forêt établie avec la forêt qui contient le serveur DNS principal pour la zone à mettre à jour.

Lorsque le service DHCP Server est installé sur un contrôleur de domaine, vous pouvez configurer le serveur DHCP à l’aide des informations d’identification du compte d’utilisateur dédié pour empêcher le serveur d’hériter, voire d’utiliser de manière inutilisable, la puissance du contrôleur de domaine. Lorsque le service DHCP Server est installé sur un contrôleur de domaine, il hérite des autorisations de sécurité du contrôleur de domaine. Le service a également l’autorité de mettre à jour ou de supprimer tout enregistrement DNS enregistré dans une zone sécurisée intégrée à Active Directory. (Cela inclut les enregistrements qui ont été enregistrés en toute sécurité par d’autres ordinateurs Basés sur Windows 2000 ou Windows Server 2003 et par des contrôleurs de domaine.)

Configurer les mises à jour dynamiques DNS

La fonctionnalité de mise à jour dynamique incluse dans Windows Server 2003 suit la RFC 2136. La mise à jour dynamique permet aux clients et aux serveurs d’inscrire des noms de domaine DNS (enregistrements de ressources PTR) et des mappages d’adresses IP (enregistrements de ressource A) sur un serveur DNS conforme À la norme RFC 2136.

Configurer les mises à jour dynamiques DNS pour les clients DHCP

Par défaut, les clients DHCP Windows Server 2003, Windows 2000 et Windows XP sont configurés pour demander au client d’inscrire l’enregistrement de ressource A et que le serveur enregistre l’enregistrement de ressource PTR. Par défaut, le nom utilisé dans l’inscription DNS est une concatenation du nom de l’ordinateur et du suffixe DNS principal. Pour modifier ce nom par défaut, ouvrez les propriétés TCP/IP de votre connexion réseau.

Pour modifier les valeurs par défaut de la mise à jour dynamique sur le client de mise à jour dynamique, suivez les étapes suivantes :

  1. Dans le Panneau de contrôle, double-cliquez sur Connexions réseau.

  2. Cliquez avec le bouton droit sur la connexion que vous souhaitez configurer, puis cliquez sur Propriétés.

  3. Cliquez sur Protocole Internet (TCP/IP), sur Propriétés, puis sur Avancé.

  4. Cliquez sur DNS.

    Par défaut, l’enregistrement de l’adresse de cette connexion dans DNS est sélectionné et l’option Utiliser le suffixe DNS de cette connexion dans l’inscription DNS n’est pas sélectionnée. Cette configuration par défaut demande au client d’inscrire l’enregistrement de ressource A et au serveur d’enregistrer l’enregistrement de ressource PTR.

  5. Cliquez pour cocher la case Utiliser le suffixe DNS de cette connexion dans la case d’inscription DNS.

    Le client demande ensuite au serveur de mettre à jour l’enregistrement PTR à l’aide du FQDN. Si le serveur DHCP est configuré pour enregistrer les enregistrements DNS en fonction de la demande du client, le client enregistre les enregistrements suivants :

    • Enregistrement PTR.
    • Enregistrement A qui utilise le nom qui est une concatenation du nom de l’ordinateur et du suffixe DNS principal.
    • Enregistrement A qui utilise le nom qui est une concatenation du nom de l’ordinateur et du suffixe DNS propre à la connexion.
  6. Pour configurer le client afin qu’il n’enregistre aucune demande d’inscription DNS, cochez la case Enregistrer l’adresse de cette connexion dans le DNS.

Configurer les mises à jour dynamiques DNS sur les ordinateurs clients multi-clients

Si un client de mise à jour dynamique est multi-accueil, il inscrit toutes ses adresses IP avec DNS par défaut. Un client est multi-accueil s’il possède plusieurs adaptateurs et une adresse IP associée. Si vous ne souhaitez pas que le client enregistre toutes ses adresses IP, vous pouvez le configurer pour qu’il n’enregistre pas une ou plusieurs adresses IP dans les propriétés de connexion réseau.

Pour empêcher l’ordinateur d’inscrire toutes ses adresses IP, suivez les étapes suivantes :

  1. Dans le Panneau de contrôle, double-cliquez sur Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion que vous souhaitez configurer, puis cliquez sur Propriétés.
  3. Cliquez sur Protocole Internet (TCP/IP), sur Propriétés, puis sur Avancé.
  4. Cliquez sur DNS.
  5. Cliquez pour effacer la case à cocher Enregistrer l’adresse de cette connexion dans le DNS.

Vous pouvez également configurer l’ordinateur pour enregistrer son nom de domaine dans DNS. Par exemple, si vous avez un client connecté à deux réseaux différents, vous pouvez configurer le client pour qu’il a un nom de domaine différent sur chaque réseau.

Configurer les mises à jour dynamiques DNS sur un serveur DHCP basé sur Windows Server 2003

Pour configurer la mise à jour dynamique DNS pour un serveur DHCP basé sur Windows Server 2003, suivez les étapes suivantes :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur DHCP.

  2. Cliquez avec le bouton droit sur le serveur ou l’étendue DHCP approprié, puis cliquez sur Propriétés.

  3. Cliquez sur DNS.

  4. Cliquez pour activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous afin d’activer la mise à jour dynamique DNS pour les clients qui la prise en charge de la mise à jour dynamique.

    Notes

    Cette case est cochée par défaut.

  5. Pour activer la mise à jour dynamique DNS pour les clients DHCP qui ne la prisent pas en charge, activez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR pour les clients DHCP qui ne demandent pas de mises à jour (par exemple, les clients exécutant Windows NT 4.0).

  6. Cliquez sur OK.

Activer les mises à jour dynamiques DNS sur un serveur DNS

Sur un serveur DHCP basé sur Windows Server 2003, vous pouvez mettre à jour dynamiquement les enregistrements DNS pour les clients pré-Windows Server 2003 qui ne peuvent pas le faire eux-mêmes.

Pour permettre à un serveur DHCP de mettre à jour dynamiquement les enregistrements DNS de ses clients, suivez les étapes suivantes :

  1. Dans la console de gestion DHCP, sélectionnez l’étendue ou le serveur DHCP pour qui vous souhaitez activer les mises à jour DNS.
  2. Dans le menu Action, cliquez sur Propriétés, puis sur DNS.
  3. Cliquez pour activer les mises à jour dynamiques DNS en fonction des paramètres ci-dessous.
  4. Pour mettre à jour les enregistrements DNS d’un client en fonction du type de demande DHCP que le client effectue, cliquez pour sélectionner Mettre à jour dynamiquement les enregistrements DNS A et PTR uniquement si les clients DHCP le demandent. (Cette mise à jour se produit uniquement lorsque le client effectue une demande.)
  5. Pour toujours mettre à jour les enregistrements de recherche avant et inverse d’un client, cliquez pour sélectionner Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR.
  6. Cliquez pour sélectionner la case à cocher Ignorer les enregistrements A et PTR lorsque le bail est supprimé pour que le serveur DHCP supprime l’enregistrement d’un client lorsque son bail DHCP expire et n’est pas renouvelé.

Désactiver les mises à jour dynamiques DNS

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la façon de la back up et de la restauration du Registre, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Par défaut, les mises à jour dynamiques sont configurées sur les clients basés sur Windows Server 2003. Pour désactiver les mises à jour dynamiques pour toutes les interfaces réseau, suivez les étapes suivantes :

  1. Cliquez sur Démarrer et sur Exécuter, tapez regedit, puis cliquez sur OK.

  2. Recherchez, puis cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur valeur DWORD.

  4. Tapez DisableDynamicUpdate, puis appuyez deux fois sur Entrée.

  5. Dans Modifier la valeur DWORD, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre.

Pour désactiver les mises à jour dynamiques pour une interface spécifique, suivez les étapes suivantes :

  1. Cliquez sur Démarrer et sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez, puis cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    Notes

    est l’ID de périphérique de l’adaptateur réseau pour l’interface pour qui vous souhaitez désactiver la mise à jour dynamique.

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur valeur DWORD.
  4. Tapez DisableDynamicUpdate, puis appuyez deux fois sur Entrée.
  5. Dans Modifier la valeur DWORD, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
  6. Quittez l’Éditeur du Registre.