DNS : administration et maintenance
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
3 DNS : administration et maintenance C et atelier va énumérer et expliquer les pratiques les plus courantes d’administration, de maintenance et de résolution de problèmes du service DNS. Son but est de vous donner tous les bons réflexes afin de vous aider en cas de difficultés ou si vous avez des questions. Utilisez-le comme une sorte de mémento, ayez-le toujours sous la main. Les outils d’administration les plus utilisés y sont aussi décrits. 125
3 DNS : administration et maintenance 3.1 Nettoyage des enregistrements Parmi les opérations de maintenance du service DNS, vous serez sûrement amené à purger les enregistrements obsolètes. En effet, les enregistrements de ressources DNS tombent souvent dans l’obsolescence suite au retrait d’ordinateurs ou à la modification d’adresses IP sans notification. À INTERFACE * SCRIPT GRAPHIQUE Le nettoyage permet d’éliminer ces enregistrements. Par défaut, cette fonction est désactivée mais vous pouvez l’activer de cette façon : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d’administration puis sur DNS. 2 Cliquez du bouton droit sur le serveur et sélectionnez Propriétés. 3 Sélectionnez l’onglet Avancé. 4 Cochez l’option Activer le nettoyage automatique des enregistrements obsolètes. 5 Sélectionnez un délai et cliquez sur OK. b Figure 3.1 : Nettoyage des enregistrements Attention, cette fonction permet d’alléger la base de données mais un emploi excessif peut provoquer des pertes de données. 126
3 DNS dans l’observateur d’événements * SCRIPT Par script, cela donne : strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & _ "\root\MicrosoftDNS") Set colItems = objWMIService.ExecQuery _ ("Select * from MicrosoftDNS_Zone Where Name = ’corp.educsoft.net’") For Each objItem in colItems errResult = objItem.AgeAllRecords(,1) Next Copiez le script dans le Bloc-notes Windows, enregistrez-le sous le nom CleanDNS.vbs et lancez-le par la commande wscript CleanDNS.vbs. 3.2 DNS dans l’observateur d’événements Journal des événements DNS C’est devenu un réflexe conditionné pour tout administrateur qui se respecte, la première des choses à faire dans le cadre d’un dépannage consiste à jeter un œil aux journaux de l’observateur d’événements. Windows Server 2003 facilite ce travail car un journal spécial DNS existe. De plus, il est directement consultable depuis le composant logiciel enfichable DNS. Ce journal contient des événements consignés par le service Serveur DNS. Par exemple, lors de l’arrêt ou du démarrage du serveur DNS, un message d’événement correspondant est inscrit dans ce journal. Les événements d’erreur du service DNS y sont également enregistrés, par exemple lorsque le serveur démarre mais que les transferts de zone échouent ou quand les informations de zone nécessaires au démarrage ne sont pas disponibles. Pour consulter le journal des événements DNS via le composant logiciel enfichable DNS, procédez ainsi sur le serveur STLSRCDC01 : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d’administration puis sur DNS. 2 Dans l’arborescence de la console, déroulez le menu Observateur d’événements et cliquez sur Evénements DNS. 127
3 DNS : administration et maintenance m Figure 3.2 : Journal des événements DNS Analyse des erreurs De nombreux moyens sont à votre disposition pour analyser les erreurs rapportées dans le journal des événements, notamment la base de connaissances Microsoft à l’adresse suivante : http://support.microsoft.com. Vous pouvez filtrer le type d’événements qui seront consignés dans le journal d’événements DNS de la façon suivante : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d’administration puis sur DNS. 2 Dans l’arborescence de la console, cliquez du bouton droit sur le serveur DNS puis sur Propriétés. 3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur Enregistrement des événements. 4 Choisissez le niveau de filtre que vous préférez. 128
3 DNS dans l’observateur d’événements m Figure 3.3 : Enregistrement des événements Journal des enregistrements de débogage DNS L’enregistrement de débogage DNS est un journal facultatif pour DNS, qui stocke les informations DNS que vous sélectionnez. Dans la mesure où, d’une manière générale, l’enregistrement dans un journal consomme des ressources du serveur, l’enregistrement de débogage n’est pas activé par défaut. Il est configuré au niveau du serveur DNS et ses paramètres ont donc une incidence sur toutes les zones hébergées sur le serveur DNS. Le journal des enregistrements de débogage DNS permet de collecter des données DNS spécifiques dans le fichier dns.log. Par exemple, si vous voulez connaître les types de requêtes envoyées par un ordinateur au serveur DNS, vous pouvez configurer l’enregistrement de débogage DNS pour qu’il recueille uniquement les informations relatives aux requêtes DNS entrantes utilisant les protocoles UDP ou TCP à partir d’une adresse IP particulière. L’enregistrement de débogage DNS peut utiliser les ressources de manière intense, ce qui risque de pénaliser les performances générales du serveur ainsi que l’espace disque consommé. Par conséquent, son utilisation doit être réservée à des actions temporaires, appliquées uniquement lorsque des informations plus détaillées au sujet des performances du serveur sont requises. L’enregistrement de débogage DNS permet donc de collecter des informations en écrivant dans le journal tout le trafic DNS qui correspond aux critères définis pour l’enregistrement de débogage. Même principe qu’un journal d’événements 129
3 DNS : administration et maintenance classique : l’enregistrement se poursuit jusqu’à ce que la taille de journal spécifiée soit atteinte ou que le lecteur sur lequel se trouve le fichier journal vienne à manquer d’espace disponible. Une fois la limite en terme de taille de fichier atteinte, le processus d’enregistrement commence à écraser les entrées les plus anciennes. Les fichiers journaux peuvent devenir très volumineux, c’est pourquoi il est recommandé de les stocker sur un lecteur distinct. Voici comment activer l’enregistrement de débogage DNS sur STLSRCDC01. 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d’administration puis sur DNS. 2 Dans l’arborescence de la console, cliquez du bouton droit sur le serveur DNS puis cliquez sur Propriétés. 3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur Enregistrement de débogage. 4 Sous cet onglet, activez la case à cocher Enregistrer les paquets dans le journal pour le débogage. 5 Sélectionnez les options de critère de débogage voulues pour définir les informations que vous souhaitez consigner dans le fichier journal. 6 Dans le champ Chemin et nom de fichier, tapez le chemin d’accès au répertoire de stockage du journal de débogage et le nom du fichier journal. Si vous ne spécifiez pas le chemin d’accès et le nom, le chemin par défaut est %systemroot%\System32\Dns et le nom par défaut est dns.log. m Figure 3.4 : Enregistrement de débogage 130
3 DNS dans l’observateur d’événements Après validation, l’enregistrement de débogage commence. Pour consulter le journal, vous devrez ouvrir le fichier journal spécifié à l’aide du Bloc-notes. m Figure 3.5 : Dns.log Le tableau ci-après présente les options de critères de débogage que vous pouvez choisir. Tableau 3.1 : Options de critères de débogage DNS Options Valeurs Description Direction du paquet Sortant Des informations sur les paquets envoyés par le serveur DNS sont consignées dans le fichier journal du serveur DNS. Entrant Des informations sur les paquets reçus par le serveur DNS sont consignées dans le fichier journal. Contenu du paquet Demandes/transferts Enregistre des informations sur les paquets contenant des requêtes standard dans le fichier journal du serveur DNS. Mises à jour Enregistre des informations sur les paquets contenant des requêtes standard dans le fichier journal du serveur DNS. Notifications Enregistre des informations sur les paquets contenant des notifications dans le fichier journal du serveur DNS. Protocole de transport UDP Enregistre des informations sur les paquets envoyés et reçus via UDP dans le fichier journal du serveur DNS. TCP Enregistre des informations sur les paquets envoyés et reçus via TCP dans le fichier journal du serveur DNS. Type de paquet Demande Enregistre des informations sur les paquets de demande dans le fichier journal du serveur DNS. Réponse Enregistre des informations sur les paquets de réponse dans le fichier journal du serveur DNS. 131
3 DNS : administration et maintenance Tableau 3.1 : Options de critères de débogage DNS Options Valeurs Description Autres options Filtrer les paquets par Fournit d’autres options de filtrage des paquets au sujet adresse IP desquels des informations sont consignées dans le fichier journal du serveur DNS. Cette option permet d’enregistrer dans le journal des informations sur les paquets envoyés à partir d’adresses IP spécifiques vers un serveur DNS ou inversement. Chemin et nom de Indique le nom et l’emplacement du fichier journal du fichier serveur DNS. Taille maximale Définit la taille de fichier maximale du fichier journal du (octets) serveur DNS. 3.3 Compteurs de l’analyseur de performances L’analyseur de performances, souvent mésestimé, peut donner des informations détaillées très utiles en cas de problèmes sur le réseau. En ce qui concerne DNS, de nombreux compteurs peuvent être activés pour analyser les requêtes, les transferts de zones, l’utilisation de la mémoire, etc. En tout, 62 compteurs de performance dédiés à DNS sont disponibles de base sous Windows Server 2003 avec SP1. b Figure 3.6 : Ajout des compteurs de performance DNS Voici quelques compteurs pouvant se révéler utiles. j Mises à jour dynamiques refusées. Nombre total de mises à jour dynamiques refusées par le serveur DNS. j Requêtes récursives/seconde. Nombre moyen de requêtes récursives reçues par un serveur DNS chaque seconde. 132
3 Problèmes de résolution côté client j Demandes AXFR envoyées. Nombre total de transferts de zone complets envoyés par le service Serveur DNS lorsqu’il joue le rôle d’un serveur secondaire pour une zone. Pour les entreprises incluant MOM (Microsoft Operations Manager), il existe un Management Pack dédié à la surveillance et à l’analyse des performances de DNS. 3.4 Problèmes de résolution côté client Le cache client Les clients DNS (dont la version de système d’exploitation est supérieure ou égale à Windows 2000) possèdent un cache intégré leur permettant de conserver les informations obtenues de serveurs de noms. Lors d’une requête, le résolveur du client analyse d’abord le cache local avant de contacter le serveur de noms configuré. Les entrées du cache demeurent jusqu’à expiration de leur valeur TTL associée, ou jusqu’à ce que la machine soit redémarrée ou le cache purgé. Au cas où des informations erronées auraient été écrites en cache, vous pouvez purger le cache en tapant ipconfig/flushdns. LIGNES DE COMMANDES Vous pouvez même arrêter la mise en cache DNS de la façon suivante : 1 Ouvrez une invite de commandes. 2 Tapez net stop dnscache. m Figure 3.7 : Arrêt de la mise en cache client Attention, les performances globales de l’ordinateur client baissent et le trafic réseau pour les requêtes DNS augmente si le cache de résolution DNS est désactivé. Plus finement, vous pouvez contrôler le temps de mise en cache côté client grâce à une série de clés de registre que voici : 1 Ouvrez l’Éditeur du Registre en tapant regedit.exe. 133
3 DNS : administration et maintenance 2 Recherchez la clé suivante dans le Registre et cliquez dessus : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache \Parameters. 3 Dans le menu Edition, pointez sur Nouveau, cliquez sur Valeur DWORD puis ajoutez les valeurs de Registre suivantes. Tableau 3.2 : Valeurs de registre de contrôle de temps de mise en cache du client Nom de la valeur Type de données Valeur par défaut Données de la valeur MaxCacheTtl REG_DWORD 86 400 secondes Si vous baissez la valeur de durée de vie (soit 1 jour) maximale dans le cache DNS du client à 1 seconde, vous aurez l’impression que le cache DNS côté client a été désactivé. MaxNegative REG_DWORD 900 secondes (soit Si vous ne voulez pas que les réponses CacheTtl 15 minutes) négatives soient mises en cache, définissez la valeur sur 0. Le résolveur ajoute à son cache les réponses positives ou négatives à une requête, ce qui explique les 2 valeurs de registre. 4 Tapez la valeur à utiliser puis cliquez sur OK. 5 Quittez l’Éditeur du Registre. Le fichier HOSTS du client Par défaut, tous les clients possèdent un fichier HOSTS mettant en correspondance des noms et leurs adresses IP respectives. Il est situé par défaut à l’endroit suivant : %systemroot%\system32\drivers\etc. Voici une vue d’un fichier HOSTS vide, tel qu’il devrait apparaître si vous ne voulez pas faire appel à ce fichier. m Figure 3.8 : Fichier HOSTS 134
3 Nslookup Des problèmes peuvent se produire lorsque des entrées du fichier sont en conflit avec les enregistrements de ressource de la zone DNS. Lors d’un dépannage, il est conseillé de s’assurer qu’il n’y a pas conflit. 3.5 Nslookup Nslookup est un utilitaire de ligne de commandes employé pour diagnostiquer les éventuels problèmes liés à l’infrastructure DNS. Il est peut-être l’un des plus utiles au quotidien. Vous serez amené à l’utiliser régulièrement. Nslookup offre la possibilité d’exécuter le test de requête sur des serveurs DNS et d’obtenir des réponses détaillées. Ces informations sont utiles pour procéder au dépannage de la résolution de noms, vérifier que des enregistrements de ressources ont été correctement ajoutés ou mis à jour dans une zone et effectuer le débogage en cas d’autres problèmes liés au serveur. Nslookup peut être exécuté dans deux modes : j Interactif. Ce mode permet de taper des commandes dans Nslookup et d’afficher les résultats à une invite de commandes. Utilisez-le si vous avez besoin de plusieurs éléments de données. j Non interactif. Ce mode permet d’exécuter une commande Nslookup en une seule étape, c’est-à-dire soit en l’exécutant seul à partir de la ligne de commandes, soit en l’insérant dans un fichier de commandes. Il fournit comme sortie un élément de données unique. Cette sortie peut être enregistrée dans un fichier texte afin d’être consultée ultérieurement. Nslookup Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR doit exister pour le serveur sur lequel vous voulez effectuer une recherche. Au démarrage, Nslookup effectue une recherche inversée sur l’adresse IP du serveur qui exécute le service Serveur DNS et signale une erreur s’il est incapable de résoudre l’adresse en nom. Cette erreur ne nuit pas aux performances normales de Nslookup en ce qui concerne les diagnostics. nslookup Permet de diagnostiquer les problèmes liés à l’infrastructure DNS. Syntaxe : nslookup [-options] # mode interactif utilisant le serveur par défaut Syntaxe : nslookup [-options] - serveur # mode interactif utilisant ’serveur’ 135
3 DNS : administration et maintenance Syntaxe : nslookup [-options] hôte # recherche ’hôte’ en utilisant le serveur par défaut Syntaxe : nslookup [-options] hôte serveur # recherche ’hôte’ en utilisant ’serveur’ serveur Permet de spécifier le serveur à utiliser en tant que serveur DNS. Si vous omettez le serveur, le serveur DNS par défaut actuellement configuré est utilisé. hôte Si vous indiquez l’adresse IP d’un ordinateur, Nslookup renvoie le nom d’hôte correspondant. Si vous indiquez le nom d’hôte d’un ordinateur, Nslookup renvoie l’adresse IP correspondante. Si le nom d’hôte que vous interrogez ne présente pas de point final, le nom de domaine DNS par défaut est ajouté à la fin. Pour rechercher un ordinateur présent hors du domaine DNS en cours, ajoutez un point à la fin du nom. Nslookup comprend des options importantes, notamment la commande set, qui vous permettent d’orienter et d’affiner votre diagnostic. Les options les plus importantes sont les suivantes : set all affiche les options, le serveur actuel et l’hôte. set [no]debug affiche des informations de débogage. .set [no]d2 affiche toutes les informations de débogage. set [no]defname ajoute le nom de domaine à chaque requête. set [no]recurse donne une réponse récursive aux requêtes. set [no]search utilise la liste de recherche du domaine. set [no]vc utilise toujours un circuit virtuel. set domain=NOM donne le nom NOM au serveur de domaine par défaut. set donne au domaine le nom N1 et liste de recherche srchlist=N1[/N2/.../N6] N1,N2, etc. set root=NOM donne au serveur racine le nom NOM. set retry=X effectue X tentatives. set timeout=X fixe la durée d’attente initiale à X secondes. set type=X fixe le type de requête (ex. A,ANY,CNAME,MX,NS,PTR,SRV). set querytype=X identique à type. 136
3 Nslookup set class=X fixe la classe de requête (ex. IN (Internet), ANY). set [no]msxfr utilise le transfert de zone rapide MS. set ixfrver=X version à utiliser dans les requêtes de transfert IXFR. Pour être concret, si vous souhaitez tester la résolution de l’hôte sbdxrcdc01.educsoft.net par exemple : 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup sbdxrcdc01.educsoft.net puis validez. Vous obtiendrez le retour suivant. b Figure 3.9 : Commande nslookup Si vous souhaitez savoir si l’enregistrement de type PTR est présent sur le serveur DNS en question, toujours pour le même hôte, procédez comme suit : 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup puis validez. 4 Tapez set query=PTR (ou set q=PTR ou set type=PTR) puis validez. 5 Tapez 172.50.1.1. Vous obtiendrez le retour suivant. b Figure 3.10 : Commande nslookup 137
3 DNS : administration et maintenance Encore plus intéressant, si vous souhaitez vérifier si les enregistrements DNS de ressources SRV ont été créés pour un contrôleur de domaine. Il est conseillé d’appliquer cette procédure après chaque configuration d’un serveur DNS et d’Active Directory ou si vous suspectez des problèmes DNS, notamment quand les administrateurs ont des difficultés à joindre les stations de travail au domaine. 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup puis validez. 4 Tapez set type=all puis validez. 5 Tapez _ldap._tcp.dc._msdcs.educsoft.net puis validez. Vous obtiendrez le retour suivant. Vous pourrez en déduire si vous êtes en conformité avec vos attentes. m Figure 3.11 : Commande nslookup 3.6 Ipconfig Ipconfig est, lui aussi, un outil très utile lors de la résolution de problèmes DNS. Vous savez que cet outil n’est pas dédié qu’à cette tâche et qu’il sert surtout à du dépannage TCP/IP plus global. C’est pourquoi, ici, seules les commandes en relation avec DNS seront présentées. Ipconfig dispose de certaines fonctions utiles dans le cas d’un diagnostic pour DNS et plus particulièrement en ce qui concerne un diagnostic côté client DNS. 138
3 Tracert j Ipconfig/flushdns. Si vous rencontrez des problèmes liés au cache client, cette commande vous permettra de purger ce cache. Elle supprime toutes les entrées présentes et se révèle particulièrement utile si un serveur a changé d’adresse IP et que des clients aient des difficultés à s’y connecter. j Ipconfig/registerdns. Cette fonction force le client à s’enregistrer dynamiquement dans la zone DNS, si toutefois celle-ci accepte les mises à jour dynamiques. j Ipconfig/displaydns. Cette option renvoie le contenu du cache du client. Elle est utile pour résoudre des problèmes concernant des enregistrements individuels. m Figure 3.12 : Commande Ipconfig 3.7 Tracert Tracert est un outil qui vous donne une idée du chemin que parcourt une requête DNS lorsqu’elle est envoyée sur le réseau. De par son mécanisme de fonctionnement, cette commande est idéale pour les noms d’hôtes situés sur Internet mais peut également se révéler utile sur le réseau local de l’entreprise. En voici deux exemples : Le premier avec un avec un nom d’hôte internet. 139
3 DNS : administration et maintenance m Figure 3.13 : Commande tracert Le second avec un nom d’hôte de l’entreprise. m Figure 3.14 : Commande tracert Dans ce cas, à partir du serveur STLSRCDC01, la requête DNS passe par le routeur dont l’adresse IP est 172.50.0.1 pour atteindre l’hôte sbdxrcdc01.educsoft.net. 3.8 Dnscmd DNSCmd est un outil inclus dans les support tools Windows Server 2003. Support tools Windows Server 2003 Les support tools se trouvent sur le CD-ROM de Windows Server 2003, dans le répertoire Support. DNScmd permet à l’administrateur d’effectuer de nombreuses tâches d’administration du système DNS sur le serveur DNS et ce, à partir d’une invite de 140
3 Dnscmd commandes. Considérez DNScmd comme la version ligne de commandes du composant logiciel enfichable DNS. Avec DNSCmd, vous pouvez contrôler l’inscription dynamique des enregistrements de ressources DNS, y compris la mise à jour DNS sécurisée, en plus de l’annulation de leur inscription. DNSCmd se révèle utile si vous devez réaliser une tâche de configuration DNS sur plusieurs serveurs DNS. Au lieu de faire appel à l’outil d’administration DNS, vous pouvez utiliser la ligne de commandes. DNSCmd est également utile si vous devez modifier à distance des paramètres du serveur DNS. Il est en effet possible de créer un fichier de commandes comprenant la commande DNSCmd et de l’envoyer à un serveur DNS pour l’exécuter à distance. dnscmd Utilitaire d’administration du service DNS Syntaxe : dnscmd [] Nom_Serveur Indique le serveur DNS que l’administrateur veut gérer. Il peut être représenté par le nom d’ordinateur local, l’adresse IP, le nom de domaine pleinement qualifié (FQDN) ou le nom d’hôte. Si vous omettez le nom de serveur, c’est le serveur local qui est utilisé. Parmi les commandes offertes par l’outil DNScmd, en voici quelques-unes des plus intéressantes, utilisées pour configurer DNS. /Info Donne des informations sur le serveur. /Config Initialise la configuration du serveur ou de la zone. /EnumZones Liste les zones. /Statistics Affiche ou réinitialise les statistiques d’un serveur. /ClearCache Réinitialise le cache du serveur DNS. /WriteBackFiles Réécrit le fichier de données de la racine ou d’une zone. /StartScavenging Initialise le balayage de serveur. /ResetListenAddresses Paramètre l’adresse IP du serveur pour servir les requêtes DNS. /ResetForwarders Paramètre les serveurs DNS pour réexpédier les interrogations récursives à. 141
3 DNS : administration et maintenance /ZoneInfo Rend visible les informations de la zone. /ZoneAdd Crée une nouvelle zone sur le serveur DNS. /ZoneDelete Supprime une zone sur le serveur DNS ou Active Directory. /ZonePause Passe une zone en pause. /ZoneResume Réactive une zone. /ZoneReload Recharge une zone à partir de la base de données (fichier ou Active Directory). /ZoneWriteBack Réécrit une zone vers un fichier. /ZoneRefresh Met à jour une zone à partir du maître. /ZoneUpdateFromDs Met à jour une zone intégrée à Active Directory. /ZonePrint Affiche tous les enregistrements d’une zone. /ZoneResetType Change le type de zone. /ZoneResetSecondaries Initialise les informations de notification pour une zone. /ZoneResetScavenge Réinitialise le balayage de serveurs pour une zone. Servers /ZoneResetMasters Réinitialise la zone secondaire des serveurs maîtres. /ZoneExport Exporte une zone vers un fichier. /ZoneChangeDirectory Déplace une zone vers une autre partition d’annuaire. Partition /EnumRecords Énumère les enregistrements. /RecordAdd Ajoute un enregistrement dans une zone. /RecordDelete Supprime un enregistrement d’une zone. /NodeDelete Supprime tous les enregistrements à un nom. /AgeAllRecords Force le vieillissement d’un nœud sur une zone. /EnumDirectoryPartitions Énumère les partitions d’annuaire. /DirectoryPartitionInfo Donne les informations sur une partition d’annuaire. /CreateDirectoryPartition Crée une partition d’annuaire. /DeleteDirectoryPartition Supprime une partition d’annuaire. 142
3 DNSLint /EnlistDirectoryPartition Ajoute un serveur DNS à l’étendue de réplication d’une partition. /UnenlistDirectory Supprime un serveur DNS de l’étendue de réplication Partition d’une partition. /CreateBuiltinDirectory Crée des partitions de type built-in. Partitions DNScmd se révèle pratique, par exemple, pour forcer la réplication de zone. m Figure 3.15 : Exemple DNScmd 3.9 DNSLint DNSLint est un outil inclus dans les support tools Windows Server 2003. Cet utilitaire peut exécuter une série de requêtes, facilitant ainsi le diagnostic des problèmes courants liés à la résolution de noms DNS. Afin de faciliter le diagnostic et la résolution des problèmes qu’entraînent des enregistrements DNS manquants ou incorrects, il est utile de s’assurer de la cohérence d’un ensemble particulier d’enregistrements DNS sur plusieurs serveurs DNS. Par exemple, comme déjà évoqué avec l’utilitaire nslookup, si des clients éprouvent des difficultés à ouvrir une session dans le domaine, vérifiez si les enregistrements SRV, utilisés par les clients pour rechercher les serveurs LDAP et Kerberos, sont disponibles et exacts. Vous déterminerez ainsi plus facilement si les paramètres DNS sont à l’origine du problème. Vous pouvez avoir un autre usage de cet outil, notamment si vous recevez des rapports établissant que certains de vos clients ne parviennent pas à accéder à votre site web sur Internet. Il est alors intéressant de contrôler rapidement avec DNSLint tous les enregistrements DNS impliqués dans la batterie de serveurs web sur 143
3 DNS : administration et maintenance chacun des serveurs DNS censés contenir ces enregistrements. De cette manière, vous saurez instantanément si des enregistrements DNS manquants ou incorrects peuvent être la cause du problème. Il est possible également que des problèmes entravent la remise du courrier électronique. Si vous parvenez à envoyer des messages sans toutefois en recevoir, la résolution de noms peut être à l’origine du problème. Pour établir un diagnostic, vous pouvez, avec DNSLint, vérifier tous les enregistrements DNS sur tous les serveurs DNS employés pour résoudre l’adresse IP du serveur de messagerie. DNSLint possède trois fonctions qui vérifient les enregistrements DNS et génèrent un rapport en HTML : j DNSLINT /d diagnostique les causes possibles de délégations inappropriées et d’autres problèmes DNS apparentés. j DNSLINT /ql vérifie un ensemble défini par l’utilisateur d’enregistrements DNS sur plusieurs serveurs DNS. j DNSLINT /ad vérifie les enregistrements DNS spécifiquement employés pour la réplication Active Directory. Les commutateurs /d, /ql et /ad ne peuvent pas être utilisés en même temps. Ils sont suivis de nombreux autres commutateurs que vous découvrirez en interrogeant l’aide de cet outil. Voici l’exemple qui permet de générer un rapport HTML. m Figure 3.16 : Exemple DNSLint en ligne de commandes 144
3 Questions Réponses b Figure 3.17 : Rapport HTML de DNSLint 3.10 Questions Réponses En guise de conclusion sur la maintenance DNS, voici une série de questions- réponses qui vous aideront à effectuer vos tâches quotidiennes. j Question. Quelles sont les erreurs les plus courantes lorsque les administrateurs configurent le DNS sur un réseau qui ne contient qu’un contrôleur de domaine Windows Server 2003 ? Le contrôleur de domaine ne pointe pas sur lui-même pour la résolution de DNS sur toutes les interfaces réseau. La zone "." (racine) est présente sous les zones de recherche directe dans le DNS. Ou d’autres ordinateurs du réseau local ne pointent pas vers le serveur DNS pour le DNS. j Question. Pourquoi faire pointer mon contrôleur de domaine sur lui-même pour le DNS ? Le service Accès réseau sur le contrôleur de domaine inscrit un certain nombre d’enregistrements dans le DNS, permettant aux autres contrôleurs de 145
3 DNS : administration et maintenance domaine et ordinateurs de rechercher des informations concernant Active Directory. Si le contrôleur de domaine pointe vers le serveur DNS du fournisseur de services Internet, le service Accès réseau n’inscrit pas les enregistrements corrects pour Active Directory et des erreurs sont générées dans l’Observateur d’événements. Dans Windows Server 2003, la configuration DNS recommandée consiste à configurer le client DNS sur tous les serveurs DNS pour qu’ils s’utilisent comme leur propre serveur DNS principal, et pour qu’ils utilisent un contrôleur de domaine différent dans le même domaine que l’autre serveur DNS, de préférence un autre contrôleur de domaine sur le même site. Ce processus contourne également le problème de l’îlot du DNS dans Windows 2000. Vous devez toujours configurer les paramètres clients du DNS sur l’interface réseau de chaque contrôleur de domaine pour utiliser les adresses des autres serveurs DNS en plus de l’adresse de serveur DNS principale. j Question. Quels sont les éléments inscrits par le contrôleur de domaine dans le DNS ? Le service Accès réseau inscrit tous les enregistrements SRV pour ce contrôleur de domaine. Ces enregistrements sont affichés sous la forme de dossiers _msdcs, _sites, _tcp et _udp dans la zone de recherche directe correspondant à votre nom de domaine. D’autres ordinateurs effectuent des recherches dans ces enregistrements pour trouver des informations liées à Active Directory. j Question. Pourquoi ne puis-je pas utiliser WINS pour la résolution de noms comme sous Windows NT 4 ? Un contrôleur de domaine Windows Server 2003 n’inscrit pas les informations concernant Active Directory sur un serveur WINS ; il inscrit uniquement ces informations sur un serveur DNS prenant en charge les mises à jour dynamiques, comme un serveur DNS Windows 2000 ou Windows Server 2003. D’autres ordinateurs Windows 2000 et Windows Server 2003 n’interrogent pas WINS pour rechercher des informations concernant Active Directory. j Question. Si je supprime les paramètres de serveur DNS du fournisseur de services Internet du contrôleur de domaine, comment résout-il les noms tels que Microsoft.com sur Internet ? Tant que la zone "." n’est pas présente sous les zones de recherche directe dans le DNS, le service DNS utilise les serveurs d’indications de racine. Il s’agit de serveurs bien connus sur Internet qui permettent à tous les serveurs DNS de résoudre les interrogations de noms. j Question. Qu’est-ce que la zone "." dans la zone de recherche directe ? Ce paramètre désigne le serveur DNS en tant que serveur d’indications de racine et est généralement supprimé. Si vous ne supprimez pas ce paramètre, 146
3 Questions Réponses vous ne pourrez peut-être pas effectuer une résolution de noms externe sur les serveurs d’indications de racine sur Internet. j Question. Est-il nécessaire de configurer les redirecteurs dans le DNS ? Non. DNS utilise par défaut les serveurs d’indications de racine sur Internet. Vous pouvez toutefois configurer les redirecteurs pour envoyer directement des requêtes DNS au serveur DNS de votre fournisseur d’accès à Internet ou à d’autres serveurs DNS. Dans la majorité des cas, les performances et l’efficacité du DNS augmentent lorsque vous configurez les redirecteurs, mais cette configuration peut également introduire un point faible si des problèmes se présentent au niveau du serveur DNS de transfert. Le serveur d’indications de racine peut fournir un niveau de redondance en échange d’un trafic DNS légèrement plus élevé sur la connexion Internet. j Question. Dois-je faire pointer les autres ordinateurs du réseau local vers les serveurs DNS de mon fournisseur d’accès à Internet ? Non. Si un serveur ou une station de travail ne trouve pas le contrôleur de domaine dans le DNS, vous risquez d’être confronté à des problèmes lorsque l’ordinateur devient membre du domaine ou se connecte à celui-ci. Pour un ordinateur Windows 2000 ou Windows Server 2003, le paramètre DNS préféré doit pointer vers le contrôleur de domaine exécutant DNS. Si vous utilisez le protocole DHCP, veillez à employer l’option d’étendue 015 pour les paramètres de serveur DNS corrects de votre réseau local. j Question. Est-il nécessaire de faire pointer vers le serveur DNS Windows Server 2003, les ordinateurs Windows NT 4 ? Les anciens systèmes d’exploitation continuent d’utiliser NetBIOS pour la résolution de noms afin de rechercher un contrôleur de domaine. Il est cependant recommandé de faire pointer l’ensemble des ordinateurs vers le serveur DNS Windows Server 2003 pour la résolution de noms. j Question. Qu’en est-il si le serveur DNS se trouve derrière un serveur proxy ou un pare-feu ? Si vous pouvez interroger les serveurs DNS du fournisseur d’accès à Internet alors que vous vous trouvez derrière un serveur proxy ou un pare-feu, le serveur DNS peut interroger les serveurs d’indications de racine. Les ports TCP et UDP 53 doivent être ouverts sur le serveur proxy ou le pare-feu. j Question. Que dois-je faire si le contrôleur de domaine pointe vers lui-même pour le DNS, mais que les enregistrements SRV ne s’affichent toujours pas dans la zone ? Recherchez la présence d’un espace de noms disjoint, exécutez les opérations de dépannage de base. En cas de non-résolution, vous pouvez également exécuter la commande Netdiag.exe /fix. 147
3 DNS : administration et maintenance m Figure 3.18 : Commande Netdiag /fix j Question. Comment configurer le DNS pour les autres contrôleurs de domaine du domaine qui exécutent DNS ? Pour chaque contrôleur de domaine supplémentaire qui exécute DNS, le paramètre DNS préféré correspond au serveur DNS parent (premier contrôleur de domaine du domaine) et le paramètre DNS secondaire à l’adresse IP réelle de l’interface réseau. 3.11 Check-list Dans cet atelier vous avez appris à maîtriser : a le nettoyage des enregistrements ; a les journaux d’événements DNS ; a les compteurs de performance ; a le cache client ; a les fichiers Hosts ; a Nslookup ; a Ipconfig ; a Tracert ; a DNScmd ; a DNSLint. 148
Vous pouvez aussi lire