Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Configuration et dépannage du système DNS
Cours 6741A Module 2 : Configuration et dépannage du système DNS Présentation : 90 minutes Atelier pratique : 60 minutes Configuration et dépannage du système DNS Ce module aide les stagiaires à configurer, gérer et dépanner les propriétés du serveur et des zones DNS (Domain Name System) à utiliser dans un environnement sécurisé. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes : Installer le rôle serveur DNS. Configurer le rôle serveur DNS. Configurer des zones DNS. Configurer des transferts de zone DNS. Gérer et dépanner le système DNS. Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft® Office PowerPoint® 6741A_02.ppt. Important Nous vous recommandons d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint, il se peut que les fonctionnalités des diapositives ne s'affichent pas toutes correctement. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes : lire tous les documents de cours relatifs à ce module ; vous exercer à l'aide des démonstrations et des exercices de l'atelier pratique ; parcourir la section Révision du module et éléments à retenir et déterminer la manière dont vous pouvez l'utiliser pour consolider les connaissances acquises par les stagiaires et inciter ces derniers à les exploiter dans le cadre de leur activité professionnelle. Assurez-vous que les stagiaires sont informés des ressources et des informations supplémentaires concernant le module qui se trouvent sur le CD-ROM qui accompagne le cours.
2
Vue d'ensemble du module
Cours 6741A Vue d'ensemble du module Module 2 : Configuration et dépannage du système DNS Installation du rôle serveur DNS Configuration du rôle serveur DNS Configuration des zones DNS Configuration des transferts de zone DNS Gestion et dépannage du système DNS
3
Leçon 1 : Installation du rôle serveur DNS
Cours 6741A Leçon 1 : Installation du rôle serveur DNS Module 2 : Configuration et dépannage du système DNS Vue d'ensemble du rôle DNS Vue d'ensemble de l'espace de noms DNS Améliorations du système DNS dans Windows Server 2008 Démonstration : Installation du rôle serveur DNS Considérations liées au déploiement du rôle serveur DNS
4
Vue d'ensemble du rôle DNS
Cours 6741A Vue d'ensemble du rôle DNS Module 2 : Configuration et dépannage du système DNS Le système DNS est une base de données distribuée hiérarchique Expliquez le rôle et les avantages du système DNS dans l'infrastructure réseau. Définition et objectif du système DNS L'acronyme DNS (Domain Name System) désigne un service de résolution de noms qui permet de résoudre des noms en nombres. Le service DNS est une base de données distribuée hiérarchique. Cela signifie que la base de données est séparée logiquement, ce qui permet à de nombreux serveurs différents d'héberger la base de données mondiale des noms DNS. Comment le service DNS prend en charge les bases du schéma de noms Internet Le service DNS est un service mondial qui vous permet de taper un nom de domaine, tel que Microsoft.com, afin que l'ordinateur le résolve en adresse IP. L'avantage réside dans le fait que les adresses IPv4 peuvent être longues et difficiles à mémoriser, par exemple, , alors qu'il est plus facile de se souvenir d'un nom de domaine. Avec l'adoption du protocole IPv6, le système DNS devient encore plus critique parce que les adresses IPv6 sont encore plus longues. Exemple : 2001:0:4136:e38c:384f:3764:b59c:3d97. Comment le service DNS prend en charge les bases du schéma de noms de domaine Active Directory® d'une entreprise Il est important que les stagiaires comprennent que le système DNS constitue le principal service de résolution de noms pour les services Active Directory Microsoft Windows®. Les ordinateurs compris dans un domaine Active Directory utilisent le système DNS pour localiser les ressources du réseau. Pour installer Active Directory, vous devez avoir un serveur DNS disponible pour héberger les enregistrements de ressources Active Directory. Références Vue d'ensemble de DNS : Présentation des zones et du transfert de zone : Rubrique d'aide : Présentation de l'intégration des services de domaine Active Directory Le système DNS constitue la base du schéma de noms Internet Le système DNS prend en charge l'accès aux ressources à l'aide de noms alphanumériques InterNIC est chargé de gérer l'espace de noms de domaine Le système DNS a été créé pour prendre en charge le nombre croissant d'hôtes sur Internet
5
Vue d'ensemble de l'espace de noms DNS
Cours 6741A Vue d'ensemble de l'espace de noms DNS Module 2 : Configuration et dépannage du système DNS Domaine racine Domaine de niveau supérieur net com org Expliquez la fonction d'un espace de noms de domaine. En vous appuyant sur la diapositive, expliquez ce que sont un espace de noms de domaine, un domaine, un domaine racine, un domaine de niveau supérieur, un domaine de second niveau, un sous-domaine et un nom de domaine complet. Donnez des exemples d'espace de noms de domaine, de domaine, de domaine racine, de domaine de niveau supérieur, de domaine de second niveau et de sous domaine. Essayez d'utiliser des noms de domaine que les stagiaires connaissent afin de mettre l'exercice en contexte. Espace de noms DNS L'espace de noms DNS est utilisé pour faciliter la manière dont un client DNS localise un ordinateur. Il s'organise de manière hiérarchique ou en couches afin de distribuer des informations via de nombreux serveurs. Domaine racine Le domaine racine est représenté par un point « . ». Il existe 13 serveurs de domaines racines universels. Domaine de niveau supérieur Sur Internet, .com, .net, .org, .biz, .gov et .ca sont des exemples de domaines de niveau supérieur. En outre, il existe un domaine de niveau supérieur pour chaque pays. Par exemple, celui du Canada est .ca et celui du Royaume-Uni est .co.uk. L'organisme qui réglemente ces domaines est l'ICANN (Internet Corporation for Assigned Names and Numbers, Pour consulter la liste la plus récente des domaines de niveau supérieur, reportez-vous à : (en anglais). Domaine de second niveau Le nom de domaine de second niveau correspond à la partie du nom de domaine qui apparaît avant le domaine de niveau supérieur. Par exemple, microsoft dans le domaine correspond au nom de domaine de second niveau. Sous-domaine Le sous-domaine est le domaine répertorié avant les domaines de second niveau et de niveau supérieur. Par exemple, www désigne un sous-domaine dans le domaine Domaine de second niveau nwtraders Sous-domaine west south east sales Nom de domaine complet : SERVER1.sales.south.nwtraders.com Hôte : SERVER1
6
Module 2 : Configuration et dépannage du système DNS
Cours 6741A Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Module 2 : Configuration et dépannage du système DNS Nom de domaine complet Un nom de domaine complet correspond au nom DNS explicite qui inclut le nom de chaque domaine dans l'espace de noms DNS. Exemple : server1.sales.south.nwtraders.com. Conventions d'appellation standard DNS Présentez les conventions d'appellation standard DNS et fournissez des exemples de noms DNS qui s'y conforment. Expliquez aux stagiaires que le système DNS vous permet d'utiliser un nombre limité de caractères dans le nom DNS. Les caractères suivants sont valides dans les noms DNS : Majuscules de A à Z Minuscules de a à z Chiffres de 0 à 9 Trait d'union (-) Remarque : Le trait de soulignement (_) est un caractère réservé. Références MOC 2277C : Module 4
7
Améliorations du système DNS dans Windows Server 2008
Cours 6741A Améliorations du système DNS dans Windows Server 2008 Module 2 : Configuration et dépannage du système DNS Les fonctionnalités nouvelles ou améliorées dans la version Windows Server 2008 du système DNS incluent : Décrivez les nouvelles fonctionnalités fournies dans la version Windows Server 2008 du système DNS. Chargement en arrière-plan des zones Les serveurs DNS qui hébergent de grandes zones DNS que les services de domaine Active Directory (AD DS) stockent sont en mesure de répondre plus rapidement aux requêtes clientes au redémarrage parce que les données des zones se chargent à présent en arrière-plan. Prise en charge de la norme IPv6 (IP version 6) Le service de serveur DNS prend à présent entièrement en charge les adresses plus longues de la spécification IPv6. Prise en charge des contrôleurs de domaine en lecture seule Le rôle serveur DNS dans Windows Server 2008 fournit des zones principales en lecture seule sur des contrôleurs de domaine en lecture seule (RODC, Read-Only Domain Controller). Les stagiaires doivent comprendre qu'il s'agit d'un nouveau rôle qui permet aux contrôleurs de domaine et aux serveurs DNS d'être déployés sur des sites distants qui manquent de sécurité physique. Un contrôleur de domaine en lecture seule ne peut pas écrire d'informations sur des serveurs DNS ni sur des serveurs Active Directory entiers. Noms uniques globaux Le service de serveur DNS dans Windows Server « Longhorn » offre un nouveau type de zone, la zone GlobalNames, que vous pouvez utiliser pour conserver des noms en une partie qui peuvent être uniques dans une forêt entière. Ce type de zone élimine le besoin d'utiliser le service WINS (Windows Internet Name Service) basé sur NetBIOS pour prendre en charge les noms en une partie. Références Nouveautés du système DNS dans Windows Server 2008 : Chargement en arrière-plan des zones Prise en charge d'IP version 6 Prise en charge des contrôleurs de domaine en lecture seule Noms uniques globaux
8
Démonstration : Installation du rôle serveur DNS
Cours 6741A Démonstration : Installation du rôle serveur DNS Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à installer le rôle serveur DNS Ouvrez l'applet Pare-feu dans le Panneau de configuration et affichez la classe dont la liste n'inclut pas le port pour le système DNS. Ouvrez le Gestionnaire de serveur, cliquez sur Rôles, sur Ajouter un rôle et sur DNS, puis parcourez l'Assistant Installation. Après avoir installé le service DNS, ouvrez l'applet Pare-feu dans le Panneau de configuration, cliquez sur Avancé et affichez la classe pour laquelle le Gestionnaire de serveur a créé l'exception nécessaire dans le pare-feu. Supprimez le service DNS, puis redémarrez le serveur. Installez le rôle DNS à partir de l'invite de commandes : Cliquez sur Démarrer, puis sur Invite de commandes. Type : servermanagercmd -install dns -resultPath installResult.xml. Le rôle s'installe. Ouvrez le fichier installResult.xml dans le Bloc-notes. Les informations sur l'installation du rôle s'affichent.
9
Considérations liées au déploiement du rôle serveur DNS
Cours 6741A Considérations liées au déploiement du rôle serveur DNS Module 2 : Configuration et dépannage du système DNS Le compte d'utilisateur doit être membre du groupe d'administrateurs local ou son équivalent ü Les questions suivantes s'avèrent utiles lorsque vous envisagez un déploiement de rôle serveur DNS : Si vous déployez le système DNS afin de prendre en charge les services de domaine Active Directory, est-ce que le serveur DNS est également un contrôleur de domaine ou est-ce qu'il le deviendra ultérieurement ? Si le serveur DNS cesse de répondre, ses clients locaux sont-ils en mesure d'accéder à un autre serveur DNS ? Si le serveur DNS se trouve sur un sous-réseau distant de certains de ses clients, quels autres serveurs DNS ou options de résolution de noms sont disponibles si la connexion routée cesse de répondre ? Mentionnez que pour de nombreux problèmes Active Directory, tels que la réplication, l'authentification peut être provoquée par des serveurs DNS non opérationnels. Références Rubrique d'aide : Planification de serveurs DNS Il est recommandé de configurer manuellement le serveur afin d'utiliser une adresse IP statique ü Il est déconseillé de modifier manuellement les fichiers de serveur et de démarrage ü Utilisez la console DNS ou dnscmd ü Il n'est pas possible d'administrer les zones DNS intégrées à Active Directory à l'aide d'un éditeur de texte ü
10
Leçon 2 : Configuration du rôle serveur DNS
Cours 6741A Leçon 2 : Configuration du rôle serveur DNS Module 2 : Configuration et dépannage du système DNS Quels sont les composants d'une solution DNS ? Enregistrements de ressources DNS Que sont les indications de racine ? Qu'est-ce qu'une requête DNS ? Que sont les requêtes récursives ? Que sont les requêtes itératives ? Qu'est-ce qu'un redirecteur ? Qu'est-ce que la redirection conditionnelle ? Fonctionnement de la mise en cache du serveur DNS Démonstration : Configuration du rôle serveur DNS
11
Quels sont les composants d'une solution DNS ?
Cours 6741A Quels sont les composants d'une solution DNS ? Module 2 : Configuration et dépannage du système DNS Clients DNS Serveurs DNS Serveurs DNS sur Internet Racine « . » Dressez la liste des composants d'une solution DNS. Demandez aux stagiaires d'identifier les éléments qu'ils ont déjà utilisés pour une solution DNS (client DNS). Serveur DNS Le serveur DNS exécute plusieurs opérations, telles que le stockage des enregistrements de ressources dans un fichier texte ou Active Directory et l'exécution de recherches pour les clients. Client DNS Le client DNS génère et envoie des requêtes itératives ou récursives au serveur DNS. Références Microsoft TechNet : Définition de DNS : Microsoft TechNet : Fonctionnalités serveur : Microsoft TechNet : Fonctionnalités clientes : Enregistrement de ressource .com .edu Enregistrement de ressource
12
Enregistrements de ressources DNS
Cours 6741A Enregistrements de ressources DNS Enregistrements de ressources DNS Module 2 : Configuration et dépannage du système DNS Les enregistrements de ressources DNS incluent : SOA : Source de noms Enregistrements de ressources DNS Les enregistrements de ressources DNS stockent des informations sur le serveur DNS qui permettent de relier un nom de domaine à une adresse IP. Les types d'enregistrements sont les suivants : Enregistrement de ressource SOA (Source de noms). Identifie le serveur de noms principal d'une zone DNS. Enregistrement de ressource d'adresse d'hôte (A). Enregistrement principal qui définit un nom d'hôte. Enregistrement de ressource de nom canonique (CNAME). Type d'enregistrement d'alias (par exemple, est un CNAME de l'enregistrement A microsoft.com). Enregistrement de ressource de serveur de messagerie (MX, Mail Exchanger). Utilisé pour spécifier un serveur de messagerie électronique. Enregistrement de ressource pointeur (PTR). Utilisé pour rechercher une adresse IP et la mapper à un nom de domaine. Les adresses sont stockées dans la zone de recherche inversée. Enregistrement de ressource du localisateur de service (SRV). Identifie un service qui est disponible dans le domaine. Active Directory utilise ces enregistrements de manière intensive. Enregistrement de ressource de serveur de noms (NS, Name Server). Identifie tous les serveurs de noms dans un domaine. Enregistrement IPv6 (AAAA). Cet enregistrement de ressource est utilisé pour spécifier un enregistrement DNS qui référence une adresse IPv6. Références Rubrique d'aide : Ajout d'enregistrements de ressources A : Enregistrement d'hôte CNAME : Enregistrement d'alias MX : Enregistrement de serveur de messagerie SRV : Ressources de service NS : Serveurs de noms AAAA : Enregistrement DNS IPv6
13
Que sont les indications de racine ?
Cours 6741A Que sont les indications de racine ? Module 2 : Configuration et dépannage du système DNS Les indications de racine contiennent les adresses IP des serveurs DNS racines Serveurs racines (.) Définissez les indications de racine. Décrivez la fonction d'une indication de racine, sur Internet et au sein de l'organisation, en vous reportant à la diapositive. Les indications de racine correspondent à la liste des 13 serveurs sur Internet gérée par l'IANA (Internet Assigned Numbers Authority) et que le serveur DNS utilise s'il ne parvient pas à résoudre une requête DNS en utilisant un redirecteur DNS ou son propre cache. Les indications de racine correspondent aux serveurs les plus élevés dans la hiérarchie DNS et peuvent fournir les informations nécessaires à un serveur DNS pour qu'il exécute une requête itérative sur la couche inférieure suivante de l'espace de noms DNS. Les stagiaires doivent comprendre que les indications de racine sont relativement fixes. Il est possible de modifier l'adresse IP d'une indication de racine, mais c'est très rare. Si vous supprimez des indications de racine d'un serveur DNS et que vous n'installez pas le transfert, ce serveur DNS ne sera pas en mesure de résoudre des noms DNS situés à l'extérieur de sa propre zone faisant autorité. Il est possible d'ajouter des serveurs d'indications de racine supplémentaires. Cet ajout s'avère utile lorsqu'une organisation possède plusieurs domaines dans la forêt Active Directory. Montrez comment localiser et afficher des indications de racine : Ouvrez la console du rôle DNS Windows 2008. Cliquez avec le bouton droit sur le serveur, puis cliquez sur Propriétés. Montrez les indications de racine. Serveurs DNS Indications de racine com Serveur DNS microsoft Client
14
Qu'est-ce qu'une requête DNS ?
Cours 6741A Qu'est-ce qu'une requête DNS ? Module 2 : Configuration et dépannage du système DNS Une requête est une demande de résolution de noms et s'adresse à un serveur DNS Les requêtes sont récursives ou itératives Expliquez qu'une requête DNS est utilisée pour demander une résolution de nom et que la requête est envoyée à un serveur DNS. Expliquez brièvement qu'il existe deux types de requêtes : récursives et itératives. Les rubriques suivantes de cette leçon décrivent les requêtes récursives et itératives de manière plus approfondie. Les serveurs DNS peuvent également servir de clients DNS et envoyer des requêtes DNS à d'autres serveurs DNS. Expliquez qu'un serveur DNS peut soit faire autorité, soit ne pas faire autorité pour l'espace de noms de la requête. Un serveur DNS fait autorité lorsqu'il héberge une copie principale ou secondaire d'une zone DNS. Décrivez comment un serveur DNS répond s'il fait autorité. Les serveurs DNS faisant autorité : renvoient l'adresse demandée ; renvoient une réponse de type « Non » faisant autorité. Les serveurs DNS ne faisant pas autorité : vérifient leur cache et renvoient une réponse mise en cache ; transmettent la requête qu'ils ne savent pas résoudre à un serveur spécifique appelé redirecteur ; utilisent les adresses connues de plusieurs serveurs racines pour rechercher un serveur DNS faisant autorité afin de résoudre la requête (ce processus est appelé indication de racine). Références Microsoft TechNet : Mode de fonctionnement des requêtes DNS MOC 2277C : Module 4 Les clients DNS et les serveurs DNS initient les requêtes Les serveurs DNS font autorité ou ne font pas autorité pour un espace de noms Un serveur DNS faisant autorité pour l'espace de noms : Renvoie l'adresse IP demandée Renvoie un « Non » faisant autorité Un serveur DNS ne faisant pas autorité pour l'espace de noms : Vérifie son cache Utilise des redirecteurs Utilise des indications de racine
15
Que sont les requêtes récursives ?
Cours 6741A Que sont les requêtes récursives ? Module 2 : Configuration et dépannage du système DNS Une requête récursive est envoyée à un serveur DNS et requiert une réponse complète Expliquez comment fonctionnent les requêtes récursives en vous appuyant sur la diapositive. Une requête récursive peut avoir deux résultats possibles : Elle renvoie l'adresse IP de l'hôte demandé Le serveur DNS ne peut pas résoudre une adresse IP Informez les stagiaires qu'ils doivent envisager de désactiver la récursivité pour des domaines spécifiques. Ainsi, le serveur DNS en question n'essaiera pas de transférer ses demandes DNS à un autre serveur. Cette désactivation peut s'avérer utile lorsque vous ne souhaitez pas qu'un serveur DNS particulier communique à l'extérieur de son propre réseau. La désactivation de la récursivité s'effectue dans la console MMC administrative du système DNS. Cliquez avec le bouton droit sur le nom du serveur DNS, puis cliquez sur Avancé. Références Microsoft TechNet : Mode de fonctionnement des requêtes DNS MOC 2277C : Module 4 mail1.contoso.msft DHCP Client DNS Serveur DNS local
16
Que sont les requêtes itératives ?
Cours 6741A Que sont les requêtes itératives ? Module 2 : Configuration et dépannage du système DNS Pour répondre à une requête itérative adressée à un serveur DNS, une référence à un autre serveur DNS peut être utilisée Indication de racine (.) Requête itérative Serveur DNS local Décrivez la fonction d'une requête itérative. Lorsqu'un serveur DNS reçoit une requête itérative, il peut répondre soit en indiquant l'adresse IP du nom de domaine (s'il la connaît), soit en adressant la demande à d'autres serveurs DNS responsables du domaine sur lequel porte la requête. Exemple : Un client envoie une demande à son serveur DNS, mail1.nwtraders.com, mais le serveur DNS ne connaît pas ce nom. Le serveur DNS interroge alors l'un de ses serveurs racines. Le serveur racine connaît les serveurs sur lesquels .com est hébergé. Les serveurs .com connaissent à leur tour le serveur sur lequel nwtraders est hébergé. Enfin, le serveur DNS qui héberge nwtraders sous la zone .com connaît l'adresse IP associée au nom mail1. Références Microsoft TechNet : Mode de fonctionnement des requêtes DNS MOC 2277C : Module 4 Demande à .com Requête itérative .com Demande à nwtraders.com Requête récursive mail1.nwtraders.com Requête itérative Réponse faisant autorité Nwtraders.com Serveur client
17
Qu'est-ce qu'un redirecteur ?
Cours 6741A Qu'est-ce qu'un redirecteur ? Module 2 : Configuration et dépannage du système DNS Un redirecteur est un serveur DNS conçu pour résoudre des noms de domaine DNS externes ou hors site Requête itérative Définissez les redirecteurs et expliquez leur fonction. Un redirecteur est un serveur DNS sur un réseau qui transfère des requêtes DNS de noms DNS externes aux serveurs DNS situés à l'extérieur de ce réseau. Méthode conseillée Utilisez un serveur DNS de redirection central pour la résolution de noms Internet. Références Microsoft TechNet : Présentation des redirecteurs : Rubrique d'aide : Présentation des redirecteurs Rubrique d'aide : Utilisation de redirecteurs MOC 2277C : Module 4 Redirecteur Indication de racine (.) Demande à .com Requête itérative .com Requête récursive Demande à nwtraders.com Requête itérative Réponse faisant autorité Requête récursive pour mail1.nwtraders.com Nwtraders.com Serveur DNS local Serveur client
18
Qu'est-ce que la redirection conditionnelle ?
Cours 6741A Qu'est-ce que la redirection conditionnelle ? Module 2 : Configuration et dépannage du système DNS La redirection conditionnelle transfère des requêtes sous une condition de nom de domaine Tous les autres domaines DNS Définissez la redirection conditionnelle. Un redirecteur conditionnel est un serveur DNS sur un réseau qui transfère des requêtes DNS en fonction du nom de domaine DNS compris dans la requête. Par exemple, vous pouvez configurer un serveur DNS afin qu'il transfère toutes les requêtes qu'il reçoit concernant des noms se terminant par contoso.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS. Décrivez comment fonctionne la redirection conditionnelle en vous appuyant sur la diapositive. Méthode conseillée : Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes. Ainsi, vous accélérerez la résolution des noms. Références Microsoft TechNet : Présentation des redirecteurs : Rubrique d'aide : Présentation des redirecteurs Rubrique d'aide : Utilisation de redirecteurs MOC 2277C : Module 4 DNS local DNS de l'ISP contoso.msft Requête pour Ordinateur client DNS Contoso.msft
19
Fonctionnement de la mise en cache du serveur DNS
Cours 6741A Fonctionnement de la mise en cache du serveur DNS Module 2 : Configuration et dépannage du système DNS Cache du serveur DNS Nom d'hôte Adresse IP Durée de vie ServeurA.contoso.msft 28 secondes Expliquez l'objectif de la mise en cache du serveur DNS. La mise en cache DNS augmente les performances du système DNS. Décrivez comment fonctionne la mise en cache du serveur DNS en vous appuyant sur la diapositive. Lorsqu'un serveur DNS résout correctement un nom DNS, il ajoute ce nom à son cache. Remarque : Le délai par défaut de mise en cache des données DNS s'élève à une heure. Décrivez les serveurs cache uniquement : Un serveur cache uniquement n'héberge pas des données de zone DNS. Il répond seulement aux recherches de clients DNS. Type idéal de serveur DNS à utiliser en tant que redirecteur. Expliquez la mise en cache côté client DNS. Le cache du client DNS est un cache DNS stocké sur l'ordinateur local. Procédez à une démonstration interactive en demandant aux stagiaires d'exécuter la commande ipconfig/displaydns à l'invite de commandes. Cela leur permet de consulter le cache DNS. Références Rubrique d'aide : Installer un serveur DNS cache uniquement ServeurA est à Où est ServeurA ? ServeurA Client1 ServeurA est à Où est ServeurA ? Client2
20
Démonstration : Configuration du rôle serveur DNS
Cours 6741A Démonstration : Configuration du rôle serveur DNS Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à : Mettre à jour les indications de racine sur le serveur DNS Configurer un serveur DNS afin d'utiliser la redirection conditionnelle Effacer le cache du serveur DNS à l'aide de la console DNS Effacer le cache du serveur DNS à l'aide de la commande DNSCmd Démonstration de la configuration du rôle serveur DNS : Configurez un serveur DNS de sorte à ce qu'il utilise la redirection conditionnelle. Montrez comment effacer le cache du serveur DNS à l'aide de la console DNS et de DNSCmd.
21
Leçon 3 : Configuration des zones DNS
Cours 6741A Leçon 3 : Configuration des zones DNS Module 2 : Configuration et dépannage du système DNS Qu'est-ce qu'une zone DNS ? Quels sont les types de zones DNS ? Que sont les zones de recherche directe et inversée ? Que sont les zones de stub ? Démonstration : Création de zones de recherche directe et inversée Délégation de zone DNS
22
Qu'est-ce qu'une zone DNS ?
Cours 6741A Qu'est-ce qu'une zone DNS ? Module 2 : Configuration et dépannage du système DNS Internet “.” Domaine racine DNS .com Domaine microsoft.com Définissez une zone DNS et expliquez sa fonction. Une zone DNS héberge l'intégralité ou une partie d'un domaine et ses sous-domaines. La diapositive illustre la manière dont les sous-domaines peuvent appartenir à la même zone que leurs parents ou être délégués à une autre zone. Le domaine Microsoft.com (en bleu) est séparé en deux zones. La première zone héberge et ftp.microsoft.com. Le domaine example.microsoft.com est délégué à une nouvelle zone, laquelle héberge example.microsoft.com et ses sous-domaines ftp.example.microsoft.com et Important : La zone qui héberge le domaine racine (Microsoft.com) doit déléguer example.microsoft.com à la deuxième zone. Dans le cas contraire, example.microsoft.com sera traité comme s'il faisait partie de la première zone. Les données de zone peuvent être répliquées sur plusieurs serveurs, ce qui ajoute de la redondance à une zone parce que les informations nécessaires pour rechercher des ressources dans la zone existent alors sur deux serveurs. Le niveau de redondance nécessaire constitue une raison de créer des zones. Si vous avez une zone dans laquelle des serveurs critiques sont définis, il est probable que cette zone possède un niveau de redondance plus élevé qu'une zone dans laquelle des services non critiques sont définis. Décrivez les caractéristiques d'une zone DNS : Un serveur DNS gère les données de zone et les stocke de deux manières : Un fichier de zone plat contenant des listes de mappages Intégration à Active Directory Un serveur DNS fait autorité pour une zone s'il héberge les enregistrements de ressources correspondant aux noms et aux adresses que les clients demandent dans le fichier de zone. Vérifiez que les stagiaires comprennent bien que les données de zone ne sont pas la même chose qu'un domaine. Une zone est une partie de l'espace de noms DNS qui est déléguée au serveur DNS qui héberge cette zone. Références Rubrique d'aide : Planification de zones DNS Microsoft TechNet : Présentation des zones et du transfert de zone : microsoft.com ftp.microsoft.com example.microsoft.com Zone microsoft.com WWW FTP Base de données de zone Délégation example.microsoft.com example.microsoft.com ftp.example.microsoft.com FTP.example Base de données de zone 22
23
Quels sont les types de zones DNS ?
Cours 6741A Quels sont les types de zones DNS ? Module 2 : Configuration et dépannage du système DNS Zones Description Principale Copie en lecture/écriture d'une base de données DNS Secondaire Copie en lecture seule d'une base de données DNS Stub Copie d'une zone contenant uniquement des enregistrements utilisés pour localiser des serveurs de noms Intégrée à Active Directory Données de zone stockées dans Active Directory plutôt que dans des fichiers de zone Expliquez qu'il existe quatre types de zones DNS : principale, secondaire, stub et intégrée à Active Directory. Zone principale Le serveur DNS est la source principale d'informations de zone. Stocke la copie originale des données de zone dans un fichier local ou dans les services de domaine AD. Le fichier est nommé nom_zone.dns par défaut et se trouve dans le dossier %windir%\System32\Dns. Zone secondaire Le serveur DNS est une source secondaire d'informations de zone. Doivent être obtenues d'un autre serveur DNS distant qui héberge également la zone. Stockage impossible dans les services de domaine AD. Zone de stub Windows 2003 a introduit les zones de stub, qui permettent de résoudre plusieurs problèmes liés aux grands espaces de noms DNS et aux forêts multi-arborescentes. Zone intégrée à Active Directory Présentez le concept des zones intégrées à Active Directory, sans donner trop de détails car les sections ultérieures de ce cours couvrent ce sujet. Références Rubrique d'aide : Présentation des types de zones
24
Que sont les zones de recherche directe et inversée ?
Cours 6741A Que sont les zones de recherche directe et inversée ? Module 2 : Configuration et dépannage du système DNS Espace de noms : training.nwtraders.msft Zone directe Training Client DNS 1 Client DNS 2 Client DNS 3 Zone inversée in-addr.arpa Serveur DNS autorisé pour training Expliquez la fonction des zones DNS de recherche directe et inversée. Zone de recherche directe La zone de recherche directe résout des noms d'hôte en adresses IP. Elle héberge les enregistrements de ressources courants suivants : A, CNAME, SRV, MX, SOA et NS. Zone de recherche inversée La zone de recherche inversée résout une adresse IP en nom de domaine. Elle héberge des enregistrements SOA, NS et PTR. Vérifiez que les stagiaires comprennent bien qu'une zone inversée fonctionne de la même manière qu'une zone directe. L'adresse IP correspond au « nom » recherché et le « Nom » aux informations renvoyées. Les zones inversées ne sont pas toujours configurées, mais vous devez les configurer pour réduire le nombre de messages d'avertissement et d'erreur. De nombreux protocoles Internet standard se fient aux données de recherche des zones inversées pour valider les informations des zones directes. Par exemple, si la recherche directe indique que training.nwtraders.com vient de , vous pouvez utiliser une recherche inversée pour confirmer que training.nwtraders.com est associé à Références Rubrique d'aide : Présentation des types de zones Client DNS 2 = ? = ? Client DNS 3 Client DNS 1 Client DNS 2
25
Que sont les zones de stub ?
Cours 6741A Que sont les zones de stub ? Module 2 : Configuration et dépannage du système DNS Sans zones de stub, le serveur ny.na.contoso.com doit interroger plusieurs serveurs pour trouver celui qui héberge la zone na.fabrikam.com Contoso.com (Domaine racine) na.contoso.com sa.contoso.com ny.na.contoso.com rio.sa.contoso.com Serveur DNS fabrikam.com na.fabrikam.com Avec une zone de stub définie, l'emplacement de la zone na.fabrikam.com est déterminé sans interroger plusieurs serveurs DNS Contoso.com (Domaine racine) na.contoso.com sa.contoso.com ny.na.contoso.com rio.sa.contoso.com Serveur DNS fabrikam.com na.fabrikam.com Zone de stub : na.fabrikam.com Zone de stub : rio.sa.contoso.com Lorsqu'une zone hébergée par un serveur DNS est une zone de stub, le serveur DNS est uniquement une source d'informations sur les serveurs de noms faisant autorité pour cette zone. La zone sur ce serveur doit être obtenue à partir d'un autre serveur DNS qui l'héberge. Le serveur DNS doit avoir un accès réseau au serveur DNS distant pour copier les informations de serveurs de noms faisant autorité de la zone. Vérifiez que les stagiaires comprennent bien que la zone de stub est principalement utilisée pour raccourcir les délais pour les grandes organisations qui possèdent de nombreux serveurs DNS. Si une entité de zone doit accéder aux informations d'une zone qui est dans une autre forêt ou arborescence, une zone de stub permet de diriger plus rapidement le client vers le serveur approprié, plutôt que d'interroger chaque serveur DNS de l'arborescence. Lancez une discussion dans la classe en expliquant que les zones de stub et la redirection conditionnelle fournissent des fonctions très semblables. Décrivez les différences entre elles et identifiez les situations dans lesquelles chaque solution est la plus appropriée. Soulignez que les zones de stub sont plus appropriées lorsque vous souhaitez qu'un domaine parent effectue automatiquement le suivi des serveurs faisant autorité pour ses domaines enfants. Sinon, il est nécessaire de mettre à jour manuellement les serveurs faisant autorité sur le serveur parent. Les zones de stub ne mettront pas en cache les informations qu'ils recherchent. Soulignez que la redirection conditionnelle est habituellement utilisée lorsque deux organisations souhaitent échanger des informations DNS sans utiliser d'indications de racine. Chaque serveur de redirection accumule également un cache d'informations sur le domaine auquel il transfère les requêtes, ce qui permet de réduire les recherches globales pour les clients. Soulignez également que la redirection conditionnelle transfère uniquement les requêtes qui se terminent par le nom de domaine spécifié par le redirecteur. Exemple : elle transfère contoso.msft, mais pas dev.contoso.msft. Références Rubrique d'aide : Présentation des types de zones 25
26
Démonstration : Création de zones de recherche directe et inversée
Cours 6741A Démonstration : Création de zones de recherche directe et inversée Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à : Créer une zone de recherche directe Créer une zone de recherche inversée Montrez comment créer des zones de recherche directe et inversée : Créez une zone de recherche directe et décrivez les divers types de zones DNS disponibles. Affichez et décrivez chacun des types de zones suivants : Zone standard Zone secondaire Intégrée à Active Directory Créer une zone de recherche inversée
27
Module 2 : Configuration et dépannage du système DNS
Cours 6741A Délégation de zone DNS Module 2 : Configuration et dépannage du système DNS Expliquez comment utiliser la délégation de zone DNS. Le système DNS offre la possibilité de diviser l'espace de noms en une ou plusieurs zones, que vous pouvez alors stocker, distribuer et répliquer sur d'autres serveurs DNS. Expliquez pourquoi la délégation est utilisée. Lorsque vous déterminez s'il est nécessaire de diviser l'espace de noms DNS pour ajouter des zones supplémentaires, considérez les raisons suivantes d'utiliser des zones supplémentaires : Un besoin de déléguer la gestion d'une partie de l'espace de noms DNS à un autre emplacement ou département au sein de votre organisation. Un besoin de diviser une zone de grande taille en zones plus petites afin de distribuer les charges de trafic entre plusieurs serveurs, ce qui permet d'améliorer les performances de la résolution de noms DNS et/ou de créer un environnement DNS qui tolère mieux les pannes. Un besoin d'étendre l'espace de noms en ajoutant de nombreux sous-domaines simultanément pour prendre en charge l'ouverture d'une nouvelle filiale ou d'un nouveau site. Lorsque vous expliquez pourquoi la délégation est utilisée, mettez l'accent sur la différence entre les zones et les domaines. Envisagez de faire la démonstration du processus de création d'une délégation de zone DNS. Références Microsoft TechNet : Délégation de zone : MOC 2277C : Module 4 Contoso.msft Sales.contoso.msft Training.contoso.msft
28
Leçon 4 : Configuration des transferts de zone DNS
Cours 6741A Leçon 4 : Configuration des transferts de zone DNS Module 2 : Configuration et dépannage du système DNS Qu'est-ce qu'un transfert de zone DNS ? Fonctionnement de DNS Notify Protection des transferts de zone Démonstration : Configuration des transferts de zone DNS
29
Qu'est-ce qu'un transfert de zone DNS ?
Cours 6741A Qu'est-ce qu'un transfert de zone DNS ? Module 2 : Configuration et dépannage du système DNS Un transfert de zone DNS est la synchronisation des données de zone DNS faisant autorité entre des serveurs DNS Définissez ce qu'est un transfert de zone et décrivez l'objectif et le processus des transferts de zone. Décrivez le processus de transfert de zone en vous appuyant sur la diapositive. Un transfert de zone se produit lorsque la zone DNS située sur un serveur est transférée à un autre serveur DNS. Les transferts de zone maintiennent les zones de serveur DNS principales et secondaires synchronisées. C'est ainsi que le système DNS constitue sa résilience sur Internet. Soulignez l'importance du maintien de la mise à jour et de la synchronisation des zones. Présentez brièvement les deux types de transferts de zone DNS : complet et incrémentiel : Un transfert de zone complet se produit lorsque la zone entière est copiée d'un serveur DNS vers un autre. Un transfert de zone incrémentiel se produit lorsqu'une mise à jour du serveur DNS est effectuée et que seuls les enregistrements de ressources modifiés sont répliqués sur l'autre serveur. N'oubliez pas de préciser que les zones intégrées à Active Directory sont répliquées dans le cadre d'Active Directory, tandis que les transferts de zone basés sur des normes sont effectués à l'aide de requêtes de transfert de zone DNS. Références Microsoft TechNet : Présentation des zones et du transfert de zone : MOC 2277C : Module 4 1 Requête SOA de zone 2 Réponse de requête SOA 3 Requête IXFR ou AXFR de zone 4 Réponse de requête IXFR ou AXFR (zone transférée) Serveur secondaire Serveur principal et maître
30
Fonctionnement de DNS Notify
Cours 6741A Fonctionnement de DNS Notify Module 2 : Configuration et dépannage du système DNS Le processus DNS Notify est une mise à jour de la spécification d'origine du protocole DNS qui permet d'informer les serveurs secondaires lorsqu'une zone est modifiée Définissez DNS Notify. Décrivez le processus DNS Notify en vous appuyant sur la diapositive. DNS Notify est une mise à jour de la spécification d'origine du protocole DNS qui permet d'informer les serveurs secondaires lorsqu'une zone est modifiée. Vérifiez que les stagiaires comprennent bien que ce processus peut s'avérer utile s'ils gèrent un environnement où le temps est crucial et où l'exactitude des données est importante. Enregistrement de ressource mis à jour 1 Serveur de destination Serveur source Numéro de série SOA mis à jour 2 3 DNS Notify Transfert de zone 4 Serveur secondaire Serveur principal Serveur maître
31
Protection des transferts de zone
Cours 6741A Protection des transferts de zone Module 2 : Configuration et dépannage du système DNS Restreindre le transfert de zone à des serveurs spécifiés Chiffrer le trafic de transfert de zone Les informations de zone fournissent beaucoup d'informations à propos d'une organisation. Il est préférable de prendre des précautions afin de veiller à ce qu'elles soient protégées contre tout accès malveillant. Il est également préférable de les protéger contre tout remplacement par de mauvaises données (empoisonnement DNS). Vous pouvez sécuriser les transferts de zone afin de protéger votre infrastructure DNS. Expliquez que vous pouvez définir la liste des serveurs approuvés autorisés à transférer la zone. Ces options peuvent également être utilisées pour rejeter le transfert de zone et pour transférer les données à tous les serveurs qui les demandent. Expliquez que vous pouvez utiliser la stratégie de sécurité du protocole Internet (IPsec, Internet Protocol Security) ou des réseaux privés virtuels (VPN, Virtual Private Network) pour sécuriser les transferts de zone. Alors que les options spécifiant les serveurs autorisés à demander des données de zone garantissent leur sécurité en limitant les destinataires de ces données, elles ne sécurisent pas ces données pendant leur transmission. Si les informations de zone sont hautement confidentielles, nous vous recommandons de répliquer les données de zone sur un tunnel de réseau privé virtuel ou d'utiliser une stratégie de sécurité du protocole Internet pour sécuriser la transmission. Ainsi, vous empêchez le reniflage de paquets de résoudre des informations contenues dans la transmission des données. Expliquez que l'utilisation de zones intégrées à Active Directory permet de sécuriser davantage une zone. L'utilisation de zones intégrées à Active Directory permet de répliquer les données de zone dans le cadre de réplications Active Directory normales. Par conséquent, vérifiez que les stagiaires comprennent bien que s'ils ont besoin de sécuriser le trafic de zone DNS dans des zones intégrées à Active Directory, ils doivent également sécuriser les données de réplication Active Directory. Envisager d'utiliser des zones intégrées à Active Directory Zone principale Zone secondaire
32
Démonstration : Configuration des transferts de zone DNS
Cours 6741A Démonstration : Configuration des transferts de zone DNS Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à : Configurer des transferts de zone DNS Configurer une zone secondaire Montrez comment : Créer et configurer des zones DNS. Configurer des transferts de zone DNS.
33
Leçon 5 : Gestion et dépannage du système DNS
Cours 6741A Leçon 5 : Gestion et dépannage du système DNS Module 2 : Configuration et dépannage du système DNS Que sont les fonctionnalités Durée de vie, Vieillissement et Nettoyage ? Démonstration : Gestion des enregistrements DNS Test de la configuration du serveur DNS Outils d'identification des problèmes de serveur DNS Démonstration : Test de la configuration du serveur DNS Analyse du serveur DNS à l'aide du journal des événements DNS et de l'enregistrement de débogage
34
Module 2 : Configuration et dépannage du système DNS
Cours 6741A Que sont les fonctionnalités Durée de vie, Vieillissement et Nettoyage ? Module 2 : Configuration et dépannage du système DNS Fonctionnalité Description Durée de vie (TTL) Indique la durée de validité d'un enregistrement DNS Vieillissement Se produit lorsque les enregistrements insérés dans le serveur DNS atteignent leur date d'expiration et sont supprimés Nettoyage Exécute le nettoyage des anciens enregistrements de ressources de serveurs DNS dans le système DNS Expliquez comment la durée de vie, le vieillissement et le nettoyage facilitent la gestion des enregistrements DNS. Il s'agit d'outils DNS qui permettent de maintenir une base de données DNS propre et exacte. Vérifiez que les stagiaires comprennent bien que la durée de vie correspond à la durée pendant laquelle un enregistrement DNS est considéré comme valide. Décrivez l'objectif du vieillissement et du nettoyage. Si elle n'est pas gérée, la présence d'enregistrements de ressources obsolètes dans les données de zone peut engendrer des problèmes. Exemple : Si un grand nombre d'enregistrements de ressources obsolètes restent dans les zones du serveur, ils peuvent finir par occuper l'espace disque du serveur et provoquer des transferts de zone inutilement longs. Le serveur DNS qui charge les zones avec des enregistrements de ressources obsolètes risque d'utiliser des informations obsolètes pour répondre aux requêtes des clients, ce qui risque d'amener les ordinateurs clients à rencontrer des problèmes de résolution de noms sur le réseau. L'accumulation d'enregistrements de ressources obsolètes sur le serveur DNS risque de dégrader ses performances et sa réactivité. Dans certains cas, si une zone comporte un enregistrement de ressource obsolète, cela peut empêcher un autre ordinateur ou périphérique d'hôte d'utiliser un nom de domaine DNS. Références Microsoft TechNet : Utiliser le vieillissement et le nettoyage
35
Démonstration : Gestion des enregistrements DNS
Cours 6741A Démonstration : Gestion des enregistrements DNS Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à : Configurer la durée de vie Activer le nettoyage Configurer le vieillissement Montrez comment gérer la durée de vie, le vieillissement et le nettoyage pour des enregistrements DNS en : modifiant la durée de vie d'une zone ; modifiant la durée de vie d'un enregistrement ; configurant le vieillissement et le nettoyage.
36
Test de la configuration du serveur DNS
Cours 6741A Test de la configuration du serveur DNS Module 2 : Configuration et dépannage du système DNS Vous pouvez tester la configuration du serveur DNS en utilisant : Décrivez la manière dont vous pouvez utiliser des requêtes simples et récursives pour tester le serveur DNS. Une requête simple afin de vérifier que le service DNS répond Une requête récursive afin de vérifier que le serveur DNS peut communiquer avec le service DNS en amont
37
Outils d'identification des problèmes de serveur DNS
Cours 6741A Outils d'identification des problèmes de serveur DNS Module 2 : Configuration et dépannage du système DNS Outil Utilisé pour : Nslookup Résoudre les problèmes DNS Dnscmd Modifier la configuration DNS Dnslint Diagnostiquer des problèmes DNS courants Expliquez que l'identification des problèmes liés au système DNS peut révéler d'autres problèmes : Enregistrements manquants Enregistrements incomplets Enregistrements mal configurés Décrivez la fonction des outils que vous pouvez utiliser pour dépanner le système DNS : Nslookup. Utilisé pour interroger des informations DNS. Dnscmd. Utilisé pour configurer le serveur DNS. Dnslint. Utilisé pour diagnostiquer des problèmes DNS courants. Références Centre d'aide et de support Microsoft : Description de l'utilitaire DNSLint : Rubrique d'aide : Résolution des problèmes des serveurs DNS Microsoft TechNet : Résolution des problèmes DNS :
38
Démonstration : Test de la configuration du serveur DNS
Cours 6741A Démonstration : Test de la configuration du serveur DNS Module 2 : Configuration et dépannage du système DNS Dans cette démonstration, vous allez apprendre à tester la configuration du serveur DNS en utilisant : Des requêtes simples Des requêtes récursives Nslookup Dnscmd Dnslint Montrez comment : Tester le système DNS à l'aide d'une requête simple et récursive. Vérifier les enregistrements à l'aide de nslookup : Afficher une recherche MX (set query=mx) Afficher une recherche A (set query=a) Afficher un vidage de zone (set query=all) (ls d) Afficher des informations de zone DNS à l'aide de dnscmd. Tester le système DNS à l'aide de dnslint. Références Centre d'aide et de support Microsoft : Description de l'utilitaire DNSLint :
39
Module 2 : Configuration et dépannage du système DNS
Cours 6741A Analyse du serveur DNS à l'aide du journal des événements DNS et de l'enregistrement de débogage Module 2 : Configuration et dépannage du système DNS Analysez les événements DNS figurant dans le journal des événements pour : Analyser les informations de transfert de zone Analyser les événements d'ordinateur Expliquez comment analyser le système DNS à l'aide du journal des événements DNS et de l'enregistrement de débogage. Journal des événements DNS Décrivez les types courants d'événements DNS qui peuvent apparaître dans le journal des événements DNS. Enregistrement de débogage DNS Décrivez et montrez les options d'enregistrement de débogage : Activez l'enregistrement de débogage et générez un fichier. Examinez le contenu du fichier. Activez l'enregistrement de débogage DNS pour consulter des informations granuleuses et commentées sur les activités DNS
40
Atelier pratique : Configuration et vérification d'une solution DNS
Cours 6741A Atelier pratique : Configuration et vérification d'une solution DNS Module 2 : Configuration et dépannage du système DNS Exercice 1 : Configuration d'une infrastructure DNS Exercice 2 : Analyse et dépannage du système DNS Objectifs de l'atelier pratique Configurer une infrastructure DNS afin d'inclure une zone secondaire, une zone de stub et des transferts de zone sécurisés Analyser le système DNS Scénario : Cet atelier pratique comprend deux exercices. Un scénario sera fourni afin d'exposer les besoins spécifiques de l'infrastructure DNS pour la société Contoso Ltd. Les stagiaires implémenteront le scénario, puis effectueront des tâches d'analyse de base. Le scénario fournira également des informations sur une fusion avec Northwind Traders et le besoin de résoudre des noms de domaine en interne au sein de l'organisation. Exercice 1 : Configuration d'une infrastructure DNS Le stagiaire va implémenter une infrastructure DNS qui répond aux besoins suivants : Les clients doivent utiliser deux serveurs DNS pour la résolution de noms. La résolution de noms doit tolérer les pannes en cas de défaillance de l'un des serveurs DNS. Les clients doivent être en mesure de résoudre des noms pour Contoso.msft et Nwtraders.msft en utilisant à la fois des noms de domaine qualifiés et non qualifiés. Un groupe d'administration distinct gérera la résolution de noms pour Nwtraders.msft. Un serveur gérera la zone de recherche directe pour Nwtraders.msft. Des serveurs DNS supplémentaires peuvent être ajoutés ultérieurement. Un processus doit être mis en place sur les serveurs DNS existants afin qu'ils soient informés automatiquement si de nouveaux serveurs de noms sont ajoutés pour Nwtraders.msft. Une fois qu'ils auront configuré un transfert de zone, les stagiaires répondront à la question suivante : Question : Pourquoi avez-vous besoin de configurer les transferts de zone ? Réponse : Vous devez configurer les transferts de zone afin que le serveur DNS secondaire puisse transférer le contenu de zone du serveur principal. Une fois qu'ils auront configuré une zone de stub, les stagiaires répondront à la question suivante : Question : Pourquoi utiliser une zone de stub au lieu de redirecteurs conditionnels ? Réponse : Les zones de stub peuvent effectuer le suivi de tous les serveurs faisant autorité pour nwtraders.com. Les redirecteurs conditionnels transfèrent uniquement en fonction du nom de domaine et n'effectuent aucun suivi des modifications du serveur faisant autorité pour la zone nwtraders.com. Informations d'ouverture de session Ordinateurs virtuels NYC-DC1 et NYC-SVR1 Nom d'utilisateur Administrateur Mot de passe Pa$$w0rd Durée approximative : 60 minutes
41
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Exercice 2 : Analyse et dépannage du système DNS Les stagiaires devront effectuer les tâches suivantes : Tester des requêtes simples et récursives Vérifier les enregistrements SOA en utilisant Nslookup. Utiliser Dnslint pour vérifier les enregistrements de serveurs de noms. Consulter les statistiques sur les performances via la console Performances Vérifier la réplication DNS Entrées : Scénario proposé Ordinateurs virtuels Résultat : Infrastructure DNS configurée avec une zone secondaire, un transfert de zone et une zone de stub pour Nwtraders.msft. (Animez un débat sur les raisons de l'utilisation d'une zone de stub au lieu de la redirection conditionnelle.) 41
42
Révision de l'atelier pratique
Cours 6741A Révision de l'atelier pratique Module 2 : Configuration et dépannage du système DNS Quand vous avez ajouté une zone DNS sur NYC-DC1, pourquoi étiez-vous en mesure de choisir des zones intégrées à Active Directory ? Quel type de transfert de zone DNS aurait lieu entre NYC SRV1 et NYC-DC1 ? Avec NSlookup, quel type d'enregistrement utiliseriez-vous pour rechercher un serveur de messagerie ? Comment configureriez-vous NSlookup pour demander ce type d'enregistrement ? En utilisant Dnslint pour vérifier des enregistrements de serveurs de noms, vous avez exécuté la commande DNSLint pour générer un rapport DNSLint pour le domaine nwtraders.msft et utilisé le commutateur /s. Pourquoi était-il important d'utiliser ce commutateur ? Question : Quand vous avez ajouté une zone DNS sur NYC-DC1, pourquoi étiez-vous en mesure de choisir des zones intégrées à Active Directory ? Réponse : NYC-DC1 est un contrôleur de domaine. Lorsque le rôle DNS est installé sur un contrôleur de domaine, la zone créée sur ce serveur peut être intégrée dans la base de données Active Directory. Question : Quel type de transfert de zone DNS aurait lieu entre NYC-SRV1 et NYC-DC1 ? Réponse : Un transfert de zone incrémentiel ou IXFR. Les deux serveurs relèvent de la technologie Windows 2008 et ils utiliseront la méthode de transfert la plus efficace lors de l'envoi des données de zone au serveur secondaire. Question : Avec NSlookup, quel type d'enregistrement utiliseriez-vous pour rechercher un serveur de messagerie ? Comment configureriez-vous NSlookup pour demander ce type d'enregistrement ? Réponse : Vous rechercheriez le type d'enregistrement MX. MX est l'enregistrement du serveur de messagerie pour un domaine. La commande permettant de configurer NSlookup afin de rechercher le type d'enregistrement MX est set querytype=mx. Question : En utilisant Dnslint pour vérifier des enregistrements de serveurs de noms, vous avez exécuté la commande DNSLint pour générer un rapport DNSLint pour le domaine nwtraders.msft et utilisé le commutateur /s. Pourquoi était-il important d'utiliser ce commutateur ? Réponse : Nwtraders.msft n'est pas un domaine Internet. La spécification du commutateur /s permet de demander au programme DNSLint d'ignorer la vérification des serveurs DNS d'indications de racine pour le domaine nwtraders.msft pendant ses tests. Ce commutateur doit toujours être spécifié dans le cadre d'une utilisation de DNSLint pour vérifier des domaines DNS internes qui n'existent pas dans l'espace de noms Internet.
43
Révision du module et éléments à retenir
Cours 6741A Révision du module et éléments à retenir Module 2 : Configuration et dépannage du système DNS Questions de révision Problèmes courants et conseils de dépannage Problèmes réels et scénarios Méthodes conseillées La console DNS Outils en ligne de commande Outils d'analyse Questions de révision Question : Vous présentez à un client potentiel les avantages de l'utilisation de Windows Server Quelles sont les nouvelles fonctionnalités que vous souligneriez concernant le rôle serveur DNS de Windows Server 2008 ? Réponse : Chargement en arrière-plan des zones, prise en charge du protocole IPv6, prise en charge des contrôleurs de domaine en lecture seule et noms uniques globaux. Question : Vous déployez des serveurs DNS dans un domaine Active Directory et votre client a besoin que l'infrastructure résiste aux points uniques de défaillance. Que devez-vous prendre en compte lors de la planification de la configuration DNS ? Réponse : Vous devez vérifier que plusieurs contrôleurs de domaine DNS sont déployés sur le réseau. Question : Quelle différence existe-t-il entre les requêtes récursives et itératives ? Réponse : Un client envoie une requête récursive à un serveur DNS. Elle peut avoir uniquement deux réponses possibles : 1) l'adresse IP du domaine demandé, ou 2) hôte introuvable. Une requête itérative résout des adresses IP via l'espace de noms DNS hiérarchique. Une requête itérative renvoie une réponse faisant autorité ou l'adresse IP d'un serveur situé au niveau inférieur suivant dans la hiérarchie DNS. Question : Que devez-vous configurer avant de pouvoir transférer une zone DNS vers un serveur DNS secondaire ? Réponse : Vous devez configurer les transferts de zone DNS pour permettre au serveur de la zone secondaire d'effectuer des transferts à partir de la zone principale. Question : Vous êtes l'administrateur d'un environnement DNS Windows Server 2008. Votre société vient d'acquérir une autre société. Vous souhaitez répliquer sa zone DNS principale. La société acquise utilise Bind pour héberger ses zones DNS principales. Vous remarquez une quantité significative de trafic entre le serveur DNS Windows Server 2008 et le serveur Bind. Pourquoi ? Réponse : Bind ne prend pas en charge les transferts de zone incrémentiels (ou IXFR). Chaque fois qu'une modification est apportée à la zone Bind, il est nécessaire de répliquer l'intégralité de la zone sur l'ordinateur qui exécute Windows Server 2008 afin de rester à jour. Question : Vous devez automatiser un processus de configuration de serveur DNS afin de pouvoir automatiser le déploiement de Windows Server 2008. Quel outil DNS pouvez-vous utiliser ? Réponse : Vous pouvez utiliser dnscmd.exe.
44
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Problèmes courants et conseils de dépannage Pour résoudre des problèmes de résolution des enregistrements de ressources DNS : Si la modification apportée à l'enregistrement de ressource est récente, elle risque de ne pas être répliquée sur tous les serveurs DNS. Dans les grandes organisations où le système DNS est intégré à Active Directory, la convergence peut durer plus longtemps. Le client peut parfois mettre en cache des enregistrements DNS non valides. Par conséquent, vous devez effacer le cache DNS local. Les serveurs sur Internet peuvent avoir besoin de plus de temps pour mettre à jour des informations dans leur propre cache et leur propre organisation afin que les modifications que vous avez apportées entrent en vigueur. Pour résoudre les problèmes liés aux transferts de zone DNS : Vérifiez que le serveur qui essaie de transférer la zone est autorisé dans la configuration de la zone principale. Vérifiez que le serveur vers lequel la zone effectue le transfert prend en charge les fonctionnalités de transfert de zone dans Windows Server Il peut être nécessaire de désactiver certaines fonctionnalités. Vérifiez que le port UDP 53 n'est pas bloqué par un pare-feu ou d'autres périphériques de gestion des ports qui résident entre les deux serveurs DNS. Pour résoudre les problèmes liés à la lenteur des réponses aux requêtes par le serveur DNS : Vérifiez que le serveur doté du rôle serveur DNS n'est pas influencé par d'autres programmes. Utilisez Analyseur de performances pour identifier la charge sur le serveur que les demandes DNS génèrent. Il peut être nécessaire de fractionner la charge ou de créer des sous-zones supplémentaires. Vérifiez qu'il n'existe pas un grand nombre d'enregistrements de ressources obsolètes. 44
45
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Problèmes réels et scénarios Zones DNS inversées En général, les administrateurs ne créent pas de zones DNS inversées dans leur infrastructure DNS. Cela ne provoquera pas de problèmes évidents dans un premier temps. Toutefois, de nombreuses applications utilisent le système DNS inversé pour résoudre des informations de noms sur les hôtes sur lesquels elles s'exécutent. Certaines applications requièrent qu'une zone inversée et des enregistrements de ressources pointeur soient définis. De nombreux périphériques de sécurité de messagerie électronique et logiciels recherchent régulièrement l'enregistrement DNS inversé de l'adresse IP qui communique avec eux. Approbations DNS et Active Directory Lors de la création d'approbations entre deux domaines Active Directory, la capacité du domaine A à rechercher des enregistrements dans le domaine B, et vice versa, est liée à la configuration de l'infrastructure DNS. Les domaines Active Directory sont rarement accessibles sur Internet. Par conséquent, des redirecteurs conditionnels, des zones de stub ou des zones secondaires sont nécessaires pour répliquer l'infrastructure DNS sur des domaines et forêts. Zones sécurisées et vidage de zone Par défaut, les transferts de zone sont désactivés dans Windows Server Lors de la configuration des transferts de zone, il est recommandé de spécifier l'adresse IP des serveurs vers lesquels vous souhaitez transférer des données de zone. Nous vous recommandons fortement de ne pas sélectionner l'option Autoriser les transferts de zone vers n'importe quel serveur, surtout si le serveur se trouve sur Internet. Lorsque cette option est activée, il est possible de vider la zone entière, ce qui peut permettre à d'éventuelles personnes malveillantes d'obtenir une quantité d'informations significative sur le réseau. Méthodes conseillées Entrez l'adresse de messagerie correcte de la personne responsable de chaque zone que vous ajoutez à un serveur DNS ou gérez sur un serveur DNS. Les applications utilisent ce champ afin d'avertir les administrateurs DNS pour diverses raisons. Par exemple, ce champ peut être utilisé pour les erreurs de requêtes, les données incorrectes renvoyées dans une requête et les problèmes de sécurité. Alors que la plupart des adresses de messagerie Internet contiennent le (« chez »), ce symbole doit être remplacé par un point (.) lorsque vous entrez une adresse de messagerie dans ce champ. Par exemple, utilisez « administrateur.microsoft.com » au lieu de Pour plus d'informations sur la configuration de la personne responsable d'une zone, consultez la page Modifier l'enregistrement Source de noms (SOA) pour une zone à l'adresse 45
46
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Méthodes conseillées (suite) Respectez les conventions lorsque vous ajoutez des enregistrements d'alias à des zones. Évitez d'utiliser des enregistrements de ressources CNAME lorsqu'ils ne sont pas nécessaires pour définir l'alias d'un nom d'hôte utilisé dans un enregistrement de ressource hôte (A). En outre, vérifiez qu'aucun autre enregistrement de ressource n'utilise des noms d'alias que vous utilisez. Le système DNS permet d'utiliser le nom du propriétaire d'un enregistrement de ressource CNAME en tant que nom de propriétaire pour d'autres types d'enregistrements de ressources, tels que des enregistrements de ressources NS, MX et TXT. Si vous utilisez Active Directory, utilisez un stockage intégré à l'annuaire pour vos zones DNS à des fins de sécurité, de tolérance de panne et de simplification du déploiement et de la gestion. En intégrant des zones, vous pouvez simplifier l'organisation de réseau. Par exemple, les contrôleurs de domaine de chacun de vos domaines Active Directory correspondent dans un mappage univoque direct aux serveurs DNS. Cela peut simplifier la planification et le dépannage du système DNS et les problèmes de réplication Active Directory parce que les mêmes serveurs sont utilisés dans les deux topologies. Si vous utilisez le stockage intégré à l'annuaire pour vos zones, vous pouvez sélectionner l'une des différentes étendues de réplication qui répliquent vos données de zone DNS dans l'annuaire. Si votre infrastructure DNS doit prendre en charge des serveurs DNS Windows 2000, vous utiliserez la méthode de stockage intégrée à l'annuaire qui réplique les données de zone DNS sur tous les contrôleurs d'un domaine. Si votre infrastructure DNS se compose de serveurs DNS qui exécutent Windows Server 2003 uniquement, vous pouvez également sélectionner l'une des étendues de réplication qui répliquent vos données de zone DNS sur tous les serveurs DNS de la forêt Active Directory, tous les serveurs DNS d'un domaine Active Directory spécifié ou tous les contrôleurs de domaine spécifiés dans une étendue de réplication personnalisée. Tout serveur DNS qui héberge une zone intégrée à l'annuaire est un serveur DNS principal pour cette zone. Il active un modèle multimaître selon lequel plusieurs serveurs DNS peuvent mettre à jour les mêmes données de zone. Un modèle multimaître élimine un point unique de défaillance associé à une topologie DNS monomaître conventionnelle, où les mises à jour peuvent être effectuées uniquement sur un serveur DNS unique pour une zone donnée. L'un des importants avantages de l'intégration à l'annuaire est la prise en charge de la mise à jour dynamique et sécurisée des noms au sein d'une zone. Pour plus d'informations, consultez la page Mise à jour dynamique à l'adresse 46
47
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Envisagez d'utiliser des zones secondaires pour faciliter le déchargement du trafic de requête DNS si nécessaire. Vous pouvez utiliser des serveurs secondaires en tant que sauvegardes pour des clients DNS. Cela vous permet d'utiliser des serveurs secondaires en tant que moyen d'équilibrer la charge du trafic de requête DNS sur votre réseau et de réserver vos serveurs principaux activés pour le système DNS aux seuls clients qui ont besoin d'eux pour effectuer l'inscription et la mise à jour dynamiques de leurs enregistrements de ressources A et PTR. Désactivez la récursivité pour les serveurs qui ne répondent pas aux requêtes clientes ou ne communiquent pas à l'aide de redirecteurs. Étant donné que les serveurs DNS communiquent entre eux à l'aide de requêtes itératives, cette désactivation permet de veiller à ce que le serveur réponde uniquement aux requêtes qui lui sont destinées. La console DNS Le principal outil que vous utilisez pour gérer des serveurs DNS est la console DNS, située dans le dossier Outils d'administration du menu Démarrer. Vous pouvez utiliser la console DNS seule ou dans le cadre d'une console de gestion Microsoft (MMC, Microsoft Management Console), afin d'intégrer davantage l'administration DNS dans votre gestion réseau globale. Cette console est également disponible dans le Gestionnaire de serveur sur les ordinateurs sur lesquels le rôle serveur DNS est installé. Outils en ligne de commande Commande Description Nslookup Utilisée pour exécuter un test requête de l'espace de noms du domaine DNS. Dnscmd Interface de ligne de commande permettant de gérer les serveurs DNS. Cet utilitaire permet de créer des scripts dans des fichiers de commandes dans le but d'automatiser des tâches de gestion DNS de routine ou de procéder à un simple travail d'installation et de configuration sans assistance de nouveaux serveurs DNS sur votre réseau. Ipconfig Cette commande est utilisée pour afficher et modifier les détails de la configuration IP utilisés par l'ordinateur. Des options de ligne de commande supplémentaires sont incluses dans cet utilitaire afin de faciliter le dépannage et la prise en charge des clients DNS. DNSlint Vous pouvez télécharger cette commande auprès de Microsoft à l'adresse 47
48
Diapositive annexe de la page Commentaires
Diapositive annexe de la page Commentaires. Ne pas imprimer la diapositive Voir le volet Commentaires Outils d'analyse La famille Windows Server® 2008 inclut les options suivantes pour analyser les serveurs DNS : Enregistrement par défaut des messages d'événements du serveur DNS dans le journal du serveur DNS. Les messages d'événements du serveur DNS sont séparés et conservés dans leur propre journal des événements système (journal du serveur DNS) que vous pouvez consulter à l'aide de la console DNS ou de l'Observateur d'événements. Options de débogage optionnelles pour la journalisation du suivi dans un fichier texte sur le serveur DNS. Vous pouvez également utiliser la console DNS pour activer des options d'enregistrement de débogage supplémentaires de manière sélective pour la journalisation du suivi temporaire de l'activité du serveur DNS dans un fichier texte. Le fichier créé et utilisé pour cette fonctionnalité, Dns.log, est stocké dans le dossier systemroot\System32\Dns. Analyseur de performances de Windows. Vous pouvez analyser en temps réel des compteurs de performances DNS spécifiques pour diagnostiquer des problèmes de DNS et de contention de ressources. 48
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.