DNS : administration et maintenance
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
3
DNS :
administration
et maintenance
C et atelier va énumérer et expliquer les pratiques les plus courantes
d’administration, de maintenance et de résolution de problèmes
du service DNS. Son but est de vous donner tous les bons réflexes afin
de vous aider en cas de difficultés ou si vous avez des questions.
Utilisez-le comme une sorte de mémento, ayez-le toujours sous la
main.
Les outils d’administration les plus utilisés y sont aussi décrits.
1253
DNS : administration et maintenance
3.1 Nettoyage des enregistrements
Parmi les opérations de maintenance du service DNS, vous serez sûrement amené
à purger les enregistrements obsolètes. En effet, les enregistrements de ressources
DNS tombent souvent dans l’obsolescence suite au retrait d’ordinateurs ou à la
modification d’adresses IP sans notification.
À INTERFACE
* SCRIPT GRAPHIQUE
Le nettoyage permet d’éliminer ces enregistrements. Par défaut, cette fonction est
désactivée mais vous pouvez l’activer de cette façon :
1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
configuration. Double-cliquez sur Outils d’administration puis sur DNS.
2 Cliquez du bouton droit sur le serveur et sélectionnez Propriétés.
3 Sélectionnez l’onglet Avancé.
4 Cochez l’option Activer le nettoyage automatique des enregistrements
obsolètes.
5 Sélectionnez un délai et cliquez sur OK.
b Figure 3.1 : Nettoyage
des enregistrements
Attention, cette fonction permet d’alléger la base de données mais un emploi
excessif peut provoquer des pertes de données.
1263
DNS dans l’observateur d’événements
* SCRIPT
Par script, cela donne :
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & _
"\root\MicrosoftDNS")
Set colItems = objWMIService.ExecQuery _
("Select * from MicrosoftDNS_Zone Where Name = ’corp.educsoft.net’")
For Each objItem in colItems
errResult = objItem.AgeAllRecords(,1)
Next
Copiez le script dans le Bloc-notes Windows, enregistrez-le sous le nom
CleanDNS.vbs et lancez-le par la commande wscript CleanDNS.vbs.
3.2 DNS dans l’observateur d’événements
Journal des événements DNS
C’est devenu un réflexe conditionné pour tout administrateur qui se respecte, la
première des choses à faire dans le cadre d’un dépannage consiste à jeter un œil
aux journaux de l’observateur d’événements. Windows Server 2003 facilite ce
travail car un journal spécial DNS existe. De plus, il est directement consultable
depuis le composant logiciel enfichable DNS.
Ce journal contient des événements consignés par le service Serveur DNS. Par
exemple, lors de l’arrêt ou du démarrage du serveur DNS, un message d’événement
correspondant est inscrit dans ce journal. Les événements d’erreur du service DNS
y sont également enregistrés, par exemple lorsque le serveur démarre mais que les
transferts de zone échouent ou quand les informations de zone nécessaires au
démarrage ne sont pas disponibles.
Pour consulter le journal des événements DNS via le composant logiciel enfichable
DNS, procédez ainsi sur le serveur STLSRCDC01 :
1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
configuration. Double-cliquez sur Outils d’administration puis sur DNS.
2 Dans l’arborescence de la console, déroulez le menu Observateur
d’événements et cliquez sur Evénements DNS.
1273
DNS : administration et maintenance
m Figure 3.2 : Journal des événements DNS
Analyse des erreurs
De nombreux moyens sont à votre disposition pour analyser les erreurs rapportées
dans le journal des événements, notamment la base de connaissances Microsoft à
l’adresse suivante : http://support.microsoft.com.
Vous pouvez filtrer le type d’événements qui seront consignés dans le journal
d’événements DNS de la façon suivante :
1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
configuration. Double-cliquez sur Outils d’administration puis sur DNS.
2 Dans l’arborescence de la console, cliquez du bouton droit sur le serveur
DNS puis sur Propriétés.
3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur
Enregistrement des événements.
4 Choisissez le niveau de filtre que vous préférez.
1283
DNS dans l’observateur d’événements
m Figure 3.3 : Enregistrement des événements
Journal des enregistrements de débogage DNS
L’enregistrement de débogage DNS est un journal facultatif pour DNS, qui stocke
les informations DNS que vous sélectionnez.
Dans la mesure où, d’une manière générale, l’enregistrement dans un journal
consomme des ressources du serveur, l’enregistrement de débogage n’est pas activé
par défaut. Il est configuré au niveau du serveur DNS et ses paramètres ont donc
une incidence sur toutes les zones hébergées sur le serveur DNS.
Le journal des enregistrements de débogage DNS permet de collecter des données
DNS spécifiques dans le fichier dns.log. Par exemple, si vous voulez connaître les
types de requêtes envoyées par un ordinateur au serveur DNS, vous pouvez
configurer l’enregistrement de débogage DNS pour qu’il recueille uniquement les
informations relatives aux requêtes DNS entrantes utilisant les protocoles UDP ou
TCP à partir d’une adresse IP particulière.
L’enregistrement de débogage DNS peut utiliser les ressources de manière intense,
ce qui risque de pénaliser les performances générales du serveur ainsi que l’espace
disque consommé. Par conséquent, son utilisation doit être réservée à des actions
temporaires, appliquées uniquement lorsque des informations plus détaillées au
sujet des performances du serveur sont requises.
L’enregistrement de débogage DNS permet donc de collecter des informations en
écrivant dans le journal tout le trafic DNS qui correspond aux critères définis pour
l’enregistrement de débogage. Même principe qu’un journal d’événements
1293
DNS : administration et maintenance
classique : l’enregistrement se poursuit jusqu’à ce que la taille de journal spécifiée
soit atteinte ou que le lecteur sur lequel se trouve le fichier journal vienne à
manquer d’espace disponible. Une fois la limite en terme de taille de fichier
atteinte, le processus d’enregistrement commence à écraser les entrées les plus
anciennes. Les fichiers journaux peuvent devenir très volumineux, c’est pourquoi il
est recommandé de les stocker sur un lecteur distinct.
Voici comment activer l’enregistrement de débogage DNS sur STLSRCDC01.
1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
configuration. Double-cliquez sur Outils d’administration puis sur DNS.
2 Dans l’arborescence de la console, cliquez du bouton droit sur le serveur
DNS puis cliquez sur Propriétés.
3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur
Enregistrement de débogage.
4 Sous cet onglet, activez la case à cocher Enregistrer les paquets dans le
journal pour le débogage.
5 Sélectionnez les options de critère de débogage voulues pour définir les
informations que vous souhaitez consigner dans le fichier journal.
6 Dans le champ Chemin et nom de fichier, tapez le chemin d’accès au
répertoire de stockage du journal de débogage et le nom du fichier journal. Si
vous ne spécifiez pas le chemin d’accès et le nom, le chemin par défaut est
%systemroot%\System32\Dns et le nom par défaut est dns.log.
m Figure 3.4 : Enregistrement de débogage
1303
DNS dans l’observateur d’événements
Après validation, l’enregistrement de débogage commence. Pour consulter le
journal, vous devrez ouvrir le fichier journal spécifié à l’aide du Bloc-notes.
m Figure 3.5 : Dns.log
Le tableau ci-après présente les options de critères de débogage que vous pouvez
choisir.
Tableau 3.1 : Options de critères de débogage DNS
Options Valeurs Description
Direction du paquet Sortant Des informations sur les paquets envoyés par le serveur
DNS sont consignées dans le fichier journal du serveur
DNS.
Entrant Des informations sur les paquets reçus par le serveur DNS
sont consignées dans le fichier journal.
Contenu du paquet Demandes/transferts Enregistre des informations sur les paquets contenant des
requêtes standard dans le fichier journal du serveur DNS.
Mises à jour Enregistre des informations sur les paquets contenant des
requêtes standard dans le fichier journal du serveur DNS.
Notifications Enregistre des informations sur les paquets contenant des
notifications dans le fichier journal du serveur DNS.
Protocole de transport UDP Enregistre des informations sur les paquets envoyés et
reçus via UDP dans le fichier journal du serveur DNS.
TCP Enregistre des informations sur les paquets envoyés et
reçus via TCP dans le fichier journal du serveur DNS.
Type de paquet Demande Enregistre des informations sur les paquets de demande
dans le fichier journal du serveur DNS.
Réponse Enregistre des informations sur les paquets de réponse
dans le fichier journal du serveur DNS.
1313
DNS : administration et maintenance
Tableau 3.1 : Options de critères de débogage DNS
Options Valeurs Description
Autres options Filtrer les paquets par Fournit d’autres options de filtrage des paquets au sujet
adresse IP desquels des informations sont consignées dans le fichier
journal du serveur DNS. Cette option permet d’enregistrer
dans le journal des informations sur les paquets envoyés à
partir d’adresses IP spécifiques vers un serveur DNS ou
inversement.
Chemin et nom de Indique le nom et l’emplacement du fichier journal du
fichier serveur DNS.
Taille maximale Définit la taille de fichier maximale du fichier journal du
(octets) serveur DNS.
3.3 Compteurs de l’analyseur de performances
L’analyseur de performances, souvent mésestimé, peut donner des informations
détaillées très utiles en cas de problèmes sur le réseau. En ce qui concerne DNS, de
nombreux compteurs peuvent être activés pour analyser les requêtes, les transferts
de zones, l’utilisation de la mémoire, etc. En tout, 62 compteurs de performance
dédiés à DNS sont disponibles de base sous Windows Server 2003 avec SP1.
b Figure 3.6 : Ajout des
compteurs de performance
DNS
Voici quelques compteurs pouvant se révéler utiles.
j Mises à jour dynamiques refusées. Nombre total de mises à jour dynamiques
refusées par le serveur DNS.
j Requêtes récursives/seconde. Nombre moyen de requêtes récursives reçues
par un serveur DNS chaque seconde.
1323
Problèmes de résolution côté client
j Demandes AXFR envoyées. Nombre total de transferts de zone complets
envoyés par le service Serveur DNS lorsqu’il joue le rôle d’un serveur
secondaire pour une zone.
Pour les entreprises incluant MOM (Microsoft Operations Manager), il existe un
Management Pack dédié à la surveillance et à l’analyse des performances de DNS.
3.4 Problèmes de résolution côté client
Le cache client
Les clients DNS (dont la version de système d’exploitation est supérieure ou égale
à Windows 2000) possèdent un cache intégré leur permettant de conserver les
informations obtenues de serveurs de noms.
Lors d’une requête, le résolveur du client analyse d’abord le cache local avant de
contacter le serveur de noms configuré. Les entrées du cache demeurent jusqu’à
expiration de leur valeur TTL associée, ou jusqu’à ce que la machine soit
redémarrée ou le cache purgé. Au cas où des informations erronées auraient été
écrites en cache, vous pouvez purger le cache en tapant ipconfig/flushdns.
LIGNES DE COMMANDES
Vous pouvez même arrêter la mise en cache DNS de la façon suivante :
1 Ouvrez une invite de commandes.
2 Tapez net stop dnscache.
m Figure 3.7 : Arrêt de la mise en cache client
Attention, les performances globales de l’ordinateur client baissent et le trafic
réseau pour les requêtes DNS augmente si le cache de résolution DNS est
désactivé.
Plus finement, vous pouvez contrôler le temps de mise en cache côté client grâce à
une série de clés de registre que voici :
1 Ouvrez l’Éditeur du Registre en tapant regedit.exe.
1333
DNS : administration et maintenance
2 Recherchez la clé suivante dans le Registre et cliquez dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache
\Parameters.
3 Dans le menu Edition, pointez sur Nouveau, cliquez sur Valeur DWORD
puis ajoutez les valeurs de Registre suivantes.
Tableau 3.2 : Valeurs de registre de contrôle de temps de mise en cache du client
Nom de la valeur Type de données Valeur par défaut Données de la valeur
MaxCacheTtl REG_DWORD 86 400 secondes Si vous baissez la valeur de durée de vie
(soit 1 jour) maximale dans le cache DNS du client à
1 seconde, vous aurez l’impression que le
cache DNS côté client a été désactivé.
MaxNegative REG_DWORD 900 secondes (soit Si vous ne voulez pas que les réponses
CacheTtl 15 minutes) négatives soient mises en cache,
définissez la valeur sur 0.
Le résolveur ajoute à son cache les réponses positives ou négatives à une requête,
ce qui explique les 2 valeurs de registre.
4 Tapez la valeur à utiliser puis cliquez sur OK.
5 Quittez l’Éditeur du Registre.
Le fichier HOSTS du client
Par défaut, tous les clients possèdent un fichier HOSTS mettant en correspondance
des noms et leurs adresses IP respectives. Il est situé par défaut à l’endroit suivant :
%systemroot%\system32\drivers\etc.
Voici une vue d’un fichier HOSTS vide, tel qu’il devrait apparaître si vous ne
voulez pas faire appel à ce fichier.
m Figure 3.8 : Fichier HOSTS
1343
Nslookup
Des problèmes peuvent se produire lorsque des entrées du fichier sont en conflit
avec les enregistrements de ressource de la zone DNS. Lors d’un dépannage, il est
conseillé de s’assurer qu’il n’y a pas conflit.
3.5 Nslookup
Nslookup est un utilitaire de ligne de commandes employé pour diagnostiquer les
éventuels problèmes liés à l’infrastructure DNS. Il est peut-être l’un des plus utiles
au quotidien. Vous serez amené à l’utiliser régulièrement.
Nslookup offre la possibilité d’exécuter le test de requête sur des serveurs DNS et
d’obtenir des réponses détaillées. Ces informations sont utiles pour procéder au
dépannage de la résolution de noms, vérifier que des enregistrements de ressources
ont été correctement ajoutés ou mis à jour dans une zone et effectuer le débogage
en cas d’autres problèmes liés au serveur.
Nslookup peut être exécuté dans deux modes :
j Interactif. Ce mode permet de taper des commandes dans Nslookup et
d’afficher les résultats à une invite de commandes. Utilisez-le si vous avez
besoin de plusieurs éléments de données.
j Non interactif. Ce mode permet d’exécuter une commande Nslookup en une
seule étape, c’est-à-dire soit en l’exécutant seul à partir de la ligne de
commandes, soit en l’insérant dans un fichier de commandes. Il fournit
comme sortie un élément de données unique. Cette sortie peut être enregistrée
dans un fichier texte afin d’être consultée ultérieurement.
Nslookup
Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR
doit exister pour le serveur sur lequel vous voulez effectuer une recherche. Au
démarrage, Nslookup effectue une recherche inversée sur l’adresse IP du serveur qui
exécute le service Serveur DNS et signale une erreur s’il est incapable de résoudre
l’adresse en nom. Cette erreur ne nuit pas aux performances normales de Nslookup
en ce qui concerne les diagnostics.
nslookup
Permet de diagnostiquer les problèmes liés à l’infrastructure DNS.
Syntaxe : nslookup [-options] # mode interactif
utilisant le serveur par défaut
Syntaxe : nslookup [-options] - serveur # mode
interactif utilisant ’serveur’
1353
DNS : administration et maintenance
Syntaxe : nslookup [-options] hôte # recherche ’hôte’
en utilisant le serveur par défaut
Syntaxe : nslookup [-options] hôte serveur # recherche
’hôte’ en utilisant ’serveur’
serveur Permet de spécifier le serveur à utiliser en tant que
serveur DNS. Si vous omettez le serveur, le serveur
DNS par défaut actuellement configuré est utilisé.
hôte Si vous indiquez l’adresse IP d’un ordinateur,
Nslookup renvoie le nom d’hôte correspondant. Si
vous indiquez le nom d’hôte d’un ordinateur,
Nslookup renvoie l’adresse IP correspondante. Si le
nom d’hôte que vous interrogez ne présente pas de
point final, le nom de domaine DNS par défaut est
ajouté à la fin. Pour rechercher un ordinateur présent
hors du domaine DNS en cours, ajoutez un point à la
fin du nom.
Nslookup comprend des options importantes, notamment la commande set, qui
vous permettent d’orienter et d’affiner votre diagnostic. Les options les plus
importantes sont les suivantes :
set all affiche les options, le serveur actuel et l’hôte.
set [no]debug affiche des informations de débogage.
.set [no]d2 affiche toutes les informations de débogage.
set [no]defname ajoute le nom de domaine à chaque requête.
set [no]recurse donne une réponse récursive aux requêtes.
set [no]search utilise la liste de recherche du domaine.
set [no]vc utilise toujours un circuit virtuel.
set domain=NOM donne le nom NOM au serveur de domaine par défaut.
set donne au domaine le nom N1 et liste de recherche
srchlist=N1[/N2/.../N6] N1,N2, etc.
set root=NOM donne au serveur racine le nom NOM.
set retry=X effectue X tentatives.
set timeout=X fixe la durée d’attente initiale à X secondes.
set type=X fixe le type de requête (ex.
A,ANY,CNAME,MX,NS,PTR,SRV).
set querytype=X identique à type.
1363
Nslookup
set class=X fixe la classe de requête (ex. IN (Internet), ANY).
set [no]msxfr utilise le transfert de zone rapide MS.
set ixfrver=X version à utiliser dans les requêtes de transfert IXFR.
Pour être concret, si vous souhaitez tester la résolution de l’hôte
sbdxrcdc01.educsoft.net par exemple :
1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
2 Dans la zone Ouvrir, tapez cmd.
3 Tapez nslookup sbdxrcdc01.educsoft.net puis validez.
Vous obtiendrez le retour suivant.
b Figure 3.9 : Commande
nslookup
Si vous souhaitez savoir si l’enregistrement de type PTR est présent sur le serveur
DNS en question, toujours pour le même hôte, procédez comme suit :
1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
2 Dans la zone Ouvrir, tapez cmd.
3 Tapez nslookup puis validez.
4 Tapez set query=PTR (ou set q=PTR ou set type=PTR) puis validez.
5 Tapez 172.50.1.1.
Vous obtiendrez le retour suivant.
b Figure 3.10 : Commande
nslookup
1373
DNS : administration et maintenance
Encore plus intéressant, si vous souhaitez vérifier si les enregistrements DNS de
ressources SRV ont été créés pour un contrôleur de domaine. Il est conseillé
d’appliquer cette procédure après chaque configuration d’un serveur DNS et
d’Active Directory ou si vous suspectez des problèmes DNS, notamment quand les
administrateurs ont des difficultés à joindre les stations de travail au domaine.
1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
2 Dans la zone Ouvrir, tapez cmd.
3 Tapez nslookup puis validez.
4 Tapez set type=all puis validez.
5 Tapez _ldap._tcp.dc._msdcs.educsoft.net puis validez.
Vous obtiendrez le retour suivant. Vous pourrez en déduire si vous êtes en
conformité avec vos attentes.
m Figure 3.11 : Commande nslookup
3.6 Ipconfig
Ipconfig est, lui aussi, un outil très utile lors de la résolution de problèmes DNS.
Vous savez que cet outil n’est pas dédié qu’à cette tâche et qu’il sert surtout à du
dépannage TCP/IP plus global. C’est pourquoi, ici, seules les commandes en
relation avec DNS seront présentées.
Ipconfig dispose de certaines fonctions utiles dans le cas d’un diagnostic pour DNS
et plus particulièrement en ce qui concerne un diagnostic côté client DNS.
1383
Tracert
j Ipconfig/flushdns. Si vous rencontrez des problèmes liés au cache client,
cette commande vous permettra de purger ce cache. Elle supprime toutes les
entrées présentes et se révèle particulièrement utile si un serveur a changé
d’adresse IP et que des clients aient des difficultés à s’y connecter.
j Ipconfig/registerdns. Cette fonction force le client à s’enregistrer
dynamiquement dans la zone DNS, si toutefois celle-ci accepte les mises à
jour dynamiques.
j Ipconfig/displaydns. Cette option renvoie le contenu du cache du client.
Elle est utile pour résoudre des problèmes concernant des enregistrements
individuels.
m Figure 3.12 : Commande Ipconfig
3.7 Tracert
Tracert est un outil qui vous donne une idée du chemin que parcourt une requête
DNS lorsqu’elle est envoyée sur le réseau. De par son mécanisme de
fonctionnement, cette commande est idéale pour les noms d’hôtes situés sur
Internet mais peut également se révéler utile sur le réseau local de l’entreprise.
En voici deux exemples :
Le premier avec un avec un nom d’hôte internet.
1393
DNS : administration et maintenance
m Figure 3.13 : Commande tracert
Le second avec un nom d’hôte de l’entreprise.
m Figure 3.14 : Commande tracert
Dans ce cas, à partir du serveur STLSRCDC01, la requête DNS passe par le routeur
dont l’adresse IP est 172.50.0.1 pour atteindre l’hôte sbdxrcdc01.educsoft.net.
3.8 Dnscmd
DNSCmd est un outil inclus dans les support tools Windows Server 2003.
Support tools Windows Server 2003
Les support tools se trouvent sur le CD-ROM de Windows Server 2003, dans le
répertoire Support.
DNScmd permet à l’administrateur d’effectuer de nombreuses tâches
d’administration du système DNS sur le serveur DNS et ce, à partir d’une invite de
1403
Dnscmd
commandes. Considérez DNScmd comme la version ligne de commandes du
composant logiciel enfichable DNS.
Avec DNSCmd, vous pouvez contrôler l’inscription dynamique des enregistrements
de ressources DNS, y compris la mise à jour DNS sécurisée, en plus de
l’annulation de leur inscription.
DNSCmd se révèle utile si vous devez réaliser une tâche de configuration DNS sur
plusieurs serveurs DNS. Au lieu de faire appel à l’outil d’administration DNS, vous
pouvez utiliser la ligne de commandes.
DNSCmd est également utile si vous devez modifier à distance des paramètres du
serveur DNS. Il est en effet possible de créer un fichier de commandes comprenant
la commande DNSCmd et de l’envoyer à un serveur DNS pour l’exécuter à distance.
dnscmd
Utilitaire d’administration du service DNS
Syntaxe : dnscmd
[]
Nom_Serveur Indique le serveur DNS que l’administrateur veut
gérer. Il peut être représenté par le nom d’ordinateur
local, l’adresse IP, le nom de domaine pleinement
qualifié (FQDN) ou le nom d’hôte. Si vous omettez le
nom de serveur, c’est le serveur local qui est utilisé.
Parmi les commandes offertes par l’outil DNScmd, en voici quelques-unes des plus
intéressantes, utilisées pour configurer DNS.
/Info Donne des informations sur le serveur.
/Config Initialise la configuration du serveur ou de la zone.
/EnumZones Liste les zones.
/Statistics Affiche ou réinitialise les statistiques d’un serveur.
/ClearCache Réinitialise le cache du serveur DNS.
/WriteBackFiles Réécrit le fichier de données de la racine ou d’une
zone.
/StartScavenging Initialise le balayage de serveur.
/ResetListenAddresses Paramètre l’adresse IP du serveur pour servir les
requêtes DNS.
/ResetForwarders Paramètre les serveurs DNS pour réexpédier les
interrogations récursives à.
1413
DNS : administration et maintenance
/ZoneInfo Rend visible les informations de la zone.
/ZoneAdd Crée une nouvelle zone sur le serveur DNS.
/ZoneDelete Supprime une zone sur le serveur DNS ou Active
Directory.
/ZonePause Passe une zone en pause.
/ZoneResume Réactive une zone.
/ZoneReload Recharge une zone à partir de la base de données
(fichier ou Active Directory).
/ZoneWriteBack Réécrit une zone vers un fichier.
/ZoneRefresh Met à jour une zone à partir du maître.
/ZoneUpdateFromDs Met à jour une zone intégrée à Active Directory.
/ZonePrint Affiche tous les enregistrements d’une zone.
/ZoneResetType Change le type de zone.
/ZoneResetSecondaries Initialise les informations de notification pour une
zone.
/ZoneResetScavenge Réinitialise le balayage de serveurs pour une zone.
Servers
/ZoneResetMasters Réinitialise la zone secondaire des serveurs maîtres.
/ZoneExport Exporte une zone vers un fichier.
/ZoneChangeDirectory Déplace une zone vers une autre partition d’annuaire.
Partition
/EnumRecords Énumère les enregistrements.
/RecordAdd Ajoute un enregistrement dans une zone.
/RecordDelete Supprime un enregistrement d’une zone.
/NodeDelete Supprime tous les enregistrements à un nom.
/AgeAllRecords Force le vieillissement d’un nœud sur une zone.
/EnumDirectoryPartitions Énumère les partitions d’annuaire.
/DirectoryPartitionInfo Donne les informations sur une partition d’annuaire.
/CreateDirectoryPartition Crée une partition d’annuaire.
/DeleteDirectoryPartition Supprime une partition d’annuaire.
1423
DNSLint
/EnlistDirectoryPartition Ajoute un serveur DNS à l’étendue de réplication
d’une partition.
/UnenlistDirectory Supprime un serveur DNS de l’étendue de réplication
Partition d’une partition.
/CreateBuiltinDirectory Crée des partitions de type built-in.
Partitions
DNScmd se révèle pratique, par exemple, pour forcer la réplication de zone.
m Figure 3.15 : Exemple DNScmd
3.9 DNSLint
DNSLint est un outil inclus dans les support tools Windows Server 2003. Cet
utilitaire peut exécuter une série de requêtes, facilitant ainsi le diagnostic des
problèmes courants liés à la résolution de noms DNS.
Afin de faciliter le diagnostic et la résolution des problèmes qu’entraînent des
enregistrements DNS manquants ou incorrects, il est utile de s’assurer de la
cohérence d’un ensemble particulier d’enregistrements DNS sur plusieurs serveurs
DNS.
Par exemple, comme déjà évoqué avec l’utilitaire nslookup, si des clients
éprouvent des difficultés à ouvrir une session dans le domaine, vérifiez si les
enregistrements SRV, utilisés par les clients pour rechercher les serveurs LDAP et
Kerberos, sont disponibles et exacts. Vous déterminerez ainsi plus facilement si les
paramètres DNS sont à l’origine du problème.
Vous pouvez avoir un autre usage de cet outil, notamment si vous recevez des
rapports établissant que certains de vos clients ne parviennent pas à accéder à votre
site web sur Internet. Il est alors intéressant de contrôler rapidement avec DNSLint
tous les enregistrements DNS impliqués dans la batterie de serveurs web sur
1433
DNS : administration et maintenance
chacun des serveurs DNS censés contenir ces enregistrements. De cette manière,
vous saurez instantanément si des enregistrements DNS manquants ou incorrects
peuvent être la cause du problème.
Il est possible également que des problèmes entravent la remise du courrier
électronique. Si vous parvenez à envoyer des messages sans toutefois en recevoir,
la résolution de noms peut être à l’origine du problème. Pour établir un diagnostic,
vous pouvez, avec DNSLint, vérifier tous les enregistrements DNS sur tous les
serveurs DNS employés pour résoudre l’adresse IP du serveur de messagerie.
DNSLint possède trois fonctions qui vérifient les enregistrements DNS et génèrent
un rapport en HTML :
j DNSLINT /d diagnostique les causes possibles de délégations inappropriées et
d’autres problèmes DNS apparentés.
j DNSLINT /ql vérifie un ensemble défini par l’utilisateur d’enregistrements
DNS sur plusieurs serveurs DNS.
j DNSLINT /ad vérifie les enregistrements DNS spécifiquement employés pour
la réplication Active Directory.
Les commutateurs /d, /ql et /ad ne peuvent pas être utilisés en même temps. Ils
sont suivis de nombreux autres commutateurs que vous découvrirez en interrogeant
l’aide de cet outil.
Voici l’exemple qui permet de générer un rapport HTML.
m Figure 3.16 : Exemple DNSLint en ligne de commandes
1443
Questions Réponses
b Figure 3.17 : Rapport
HTML de DNSLint
3.10 Questions Réponses
En guise de conclusion sur la maintenance DNS, voici une série de questions-
réponses qui vous aideront à effectuer vos tâches quotidiennes.
j Question. Quelles sont les erreurs les plus courantes lorsque les
administrateurs configurent le DNS sur un réseau qui ne contient qu’un
contrôleur de domaine Windows Server 2003 ?
Le contrôleur de domaine ne pointe pas sur lui-même pour la résolution de
DNS sur toutes les interfaces réseau. La zone "." (racine) est présente sous les
zones de recherche directe dans le DNS. Ou d’autres ordinateurs du réseau
local ne pointent pas vers le serveur DNS pour le DNS.
j Question. Pourquoi faire pointer mon contrôleur de domaine sur lui-même
pour le DNS ?
Le service Accès réseau sur le contrôleur de domaine inscrit un certain
nombre d’enregistrements dans le DNS, permettant aux autres contrôleurs de
1453
DNS : administration et maintenance
domaine et ordinateurs de rechercher des informations concernant Active
Directory. Si le contrôleur de domaine pointe vers le serveur DNS du
fournisseur de services Internet, le service Accès réseau n’inscrit pas les
enregistrements corrects pour Active Directory et des erreurs sont générées
dans l’Observateur d’événements. Dans Windows Server 2003, la
configuration DNS recommandée consiste à configurer le client DNS sur tous
les serveurs DNS pour qu’ils s’utilisent comme leur propre serveur DNS
principal, et pour qu’ils utilisent un contrôleur de domaine différent dans le
même domaine que l’autre serveur DNS, de préférence un autre contrôleur de
domaine sur le même site. Ce processus contourne également le problème de
l’îlot du DNS dans Windows 2000. Vous devez toujours configurer les
paramètres clients du DNS sur l’interface réseau de chaque contrôleur de
domaine pour utiliser les adresses des autres serveurs DNS en plus de
l’adresse de serveur DNS principale.
j Question. Quels sont les éléments inscrits par le contrôleur de domaine dans
le DNS ?
Le service Accès réseau inscrit tous les enregistrements SRV pour ce
contrôleur de domaine. Ces enregistrements sont affichés sous la forme de
dossiers _msdcs, _sites, _tcp et _udp dans la zone de recherche directe
correspondant à votre nom de domaine. D’autres ordinateurs effectuent des
recherches dans ces enregistrements pour trouver des informations liées à
Active Directory.
j Question. Pourquoi ne puis-je pas utiliser WINS pour la résolution de noms
comme sous Windows NT 4 ?
Un contrôleur de domaine Windows Server 2003 n’inscrit pas les
informations concernant Active Directory sur un serveur WINS ; il inscrit
uniquement ces informations sur un serveur DNS prenant en charge les mises
à jour dynamiques, comme un serveur DNS Windows 2000 ou Windows
Server 2003. D’autres ordinateurs Windows 2000 et Windows Server 2003
n’interrogent pas WINS pour rechercher des informations concernant Active
Directory.
j Question. Si je supprime les paramètres de serveur DNS du fournisseur de
services Internet du contrôleur de domaine, comment résout-il les noms tels
que Microsoft.com sur Internet ?
Tant que la zone "." n’est pas présente sous les zones de recherche directe
dans le DNS, le service DNS utilise les serveurs d’indications de racine. Il
s’agit de serveurs bien connus sur Internet qui permettent à tous les serveurs
DNS de résoudre les interrogations de noms.
j Question. Qu’est-ce que la zone "." dans la zone de recherche directe ?
Ce paramètre désigne le serveur DNS en tant que serveur d’indications de
racine et est généralement supprimé. Si vous ne supprimez pas ce paramètre,
1463
Questions Réponses
vous ne pourrez peut-être pas effectuer une résolution de noms externe sur les
serveurs d’indications de racine sur Internet.
j Question. Est-il nécessaire de configurer les redirecteurs dans le DNS ?
Non. DNS utilise par défaut les serveurs d’indications de racine sur Internet.
Vous pouvez toutefois configurer les redirecteurs pour envoyer directement
des requêtes DNS au serveur DNS de votre fournisseur d’accès à Internet ou
à d’autres serveurs DNS. Dans la majorité des cas, les performances et
l’efficacité du DNS augmentent lorsque vous configurez les redirecteurs, mais
cette configuration peut également introduire un point faible si des problèmes
se présentent au niveau du serveur DNS de transfert. Le serveur d’indications
de racine peut fournir un niveau de redondance en échange d’un trafic DNS
légèrement plus élevé sur la connexion Internet.
j Question. Dois-je faire pointer les autres ordinateurs du réseau local vers les
serveurs DNS de mon fournisseur d’accès à Internet ?
Non. Si un serveur ou une station de travail ne trouve pas le contrôleur de
domaine dans le DNS, vous risquez d’être confronté à des problèmes lorsque
l’ordinateur devient membre du domaine ou se connecte à celui-ci. Pour un
ordinateur Windows 2000 ou Windows Server 2003, le paramètre DNS
préféré doit pointer vers le contrôleur de domaine exécutant DNS. Si vous
utilisez le protocole DHCP, veillez à employer l’option d’étendue 015 pour
les paramètres de serveur DNS corrects de votre réseau local.
j Question. Est-il nécessaire de faire pointer vers le serveur DNS Windows
Server 2003, les ordinateurs Windows NT 4 ?
Les anciens systèmes d’exploitation continuent d’utiliser NetBIOS pour la
résolution de noms afin de rechercher un contrôleur de domaine. Il est
cependant recommandé de faire pointer l’ensemble des ordinateurs vers le
serveur DNS Windows Server 2003 pour la résolution de noms.
j Question. Qu’en est-il si le serveur DNS se trouve derrière un serveur proxy
ou un pare-feu ?
Si vous pouvez interroger les serveurs DNS du fournisseur d’accès à Internet
alors que vous vous trouvez derrière un serveur proxy ou un pare-feu, le
serveur DNS peut interroger les serveurs d’indications de racine. Les ports
TCP et UDP 53 doivent être ouverts sur le serveur proxy ou le pare-feu.
j Question. Que dois-je faire si le contrôleur de domaine pointe vers lui-même
pour le DNS, mais que les enregistrements SRV ne s’affichent toujours pas
dans la zone ?
Recherchez la présence d’un espace de noms disjoint, exécutez les opérations
de dépannage de base. En cas de non-résolution, vous pouvez également
exécuter la commande Netdiag.exe /fix.
1473
DNS : administration et maintenance
m Figure 3.18 : Commande Netdiag /fix
j Question. Comment configurer le DNS pour les autres contrôleurs de
domaine du domaine qui exécutent DNS ?
Pour chaque contrôleur de domaine supplémentaire qui exécute DNS, le
paramètre DNS préféré correspond au serveur DNS parent (premier
contrôleur de domaine du domaine) et le paramètre DNS secondaire à
l’adresse IP réelle de l’interface réseau.
3.11 Check-list
Dans cet atelier vous avez appris à maîtriser :
a le nettoyage des enregistrements ;
a les journaux d’événements DNS ;
a les compteurs de performance ;
a le cache client ;
a les fichiers Hosts ;
a Nslookup ;
a Ipconfig ;
a Tracert ;
a DNScmd ;
a DNSLint.
148Vous pouvez aussi lire
