DNS : administration et maintenance

La page est créée Jean-Francois Fernandes
 
CONTINUER À LIRE
3
DNS :
administration
et maintenance

C     et atelier va énumérer et expliquer les pratiques les plus courantes
      d’administration, de maintenance et de résolution de problèmes
du service DNS. Son but est de vous donner tous les bons réflexes afin
de vous aider en cas de difficultés ou si vous avez des questions.
Utilisez-le comme une sorte de mémento, ayez-le toujours sous la
main.
Les outils d’administration les plus utilisés y sont aussi décrits.

                                                                             125
3
          DNS : administration et maintenance

      3.1 Nettoyage des enregistrements
              Parmi les opérations de maintenance du service DNS, vous serez sûrement amené
              à purger les enregistrements obsolètes. En effet, les enregistrements de ressources
              DNS tombent souvent dans l’obsolescence suite au retrait d’ordinateurs ou à la
              modification d’adresses IP sans notification.

                À INTERFACE
                *  SCRIPT     GRAPHIQUE
              Le nettoyage permet d’éliminer ces enregistrements. Par défaut, cette fonction est
              désactivée mais vous pouvez l’activer de cette façon :
                1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
                   configuration. Double-cliquez sur Outils d’administration puis sur DNS.
                2 Cliquez du bouton droit sur le serveur et sélectionnez Propriétés.
                3 Sélectionnez l’onglet Avancé.
                4 Cochez l’option Activer le nettoyage automatique des enregistrements
                   obsolètes.
                5 Sélectionnez un délai et cliquez sur OK.

                                                                        b Figure 3.1 : Nettoyage
                                                                        des enregistrements

              Attention, cette fonction permet d’alléger la base de données mais un emploi
              excessif peut provoquer des pertes de données.

    126
3
                                                DNS dans l’observateur d’événements

     * SCRIPT
   Par script, cela donne :
   strComputer = "."
   Set objWMIService = GetObject("winmgmts:" _
       & "{impersonationLevel=impersonate}!\\" & strComputer & _
           "\root\MicrosoftDNS")

   Set colItems = objWMIService.ExecQuery _
       ("Select * from MicrosoftDNS_Zone Where Name = ’corp.educsoft.net’")

   For Each objItem in colItems
        errResult = objItem.AgeAllRecords(,1)
   Next

   Copiez le script dans le Bloc-notes Windows, enregistrez-le sous le nom
   CleanDNS.vbs et lancez-le par la commande wscript CleanDNS.vbs.

3.2 DNS dans l’observateur d’événements
   Journal des événements DNS
   C’est devenu un réflexe conditionné pour tout administrateur qui se respecte, la
   première des choses à faire dans le cadre d’un dépannage consiste à jeter un œil
   aux journaux de l’observateur d’événements. Windows Server 2003 facilite ce
   travail car un journal spécial DNS existe. De plus, il est directement consultable
   depuis le composant logiciel enfichable DNS.
   Ce journal contient des événements consignés par le service Serveur DNS. Par
   exemple, lors de l’arrêt ou du démarrage du serveur DNS, un message d’événement
   correspondant est inscrit dans ce journal. Les événements d’erreur du service DNS
   y sont également enregistrés, par exemple lorsque le serveur démarre mais que les
   transferts de zone échouent ou quand les informations de zone nécessaires au
   démarrage ne sont pas disponibles.
   Pour consulter le journal des événements DNS via le composant logiciel enfichable
   DNS, procédez ainsi sur le serveur STLSRCDC01 :
     1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
       configuration. Double-cliquez sur Outils d’administration puis sur DNS.
     2 Dans l’arborescence de la console, déroulez le menu Observateur
       d’événements et cliquez sur Evénements DNS.

                                                                                        127
3
          DNS : administration et maintenance

                   m Figure 3.2 : Journal des événements DNS

                       Analyse des erreurs
                       De nombreux moyens sont à votre disposition pour analyser les erreurs rapportées
                       dans le journal des événements, notamment la base de connaissances Microsoft à
                       l’adresse suivante : http://support.microsoft.com.

              Vous pouvez filtrer le type d’événements qui seront consignés dans le journal
              d’événements DNS de la façon suivante :
                1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
                  configuration. Double-cliquez sur Outils d’administration puis sur DNS.
                2 Dans l’arborescence de la console, cliquez du bouton droit sur le serveur
                  DNS puis sur Propriétés.
                3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur
                  Enregistrement des événements.
                4 Choisissez le niveau de filtre que vous préférez.

    128
3
                                                    DNS dans l’observateur d’événements

     m Figure 3.3 : Enregistrement des événements

Journal des enregistrements de débogage DNS
L’enregistrement de débogage DNS est un journal facultatif pour DNS, qui stocke
les informations DNS que vous sélectionnez.
Dans la mesure où, d’une manière générale, l’enregistrement dans un journal
consomme des ressources du serveur, l’enregistrement de débogage n’est pas activé
par défaut. Il est configuré au niveau du serveur DNS et ses paramètres ont donc
une incidence sur toutes les zones hébergées sur le serveur DNS.
Le journal des enregistrements de débogage DNS permet de collecter des données
DNS spécifiques dans le fichier dns.log. Par exemple, si vous voulez connaître les
types de requêtes envoyées par un ordinateur au serveur DNS, vous pouvez
configurer l’enregistrement de débogage DNS pour qu’il recueille uniquement les
informations relatives aux requêtes DNS entrantes utilisant les protocoles UDP ou
TCP à partir d’une adresse IP particulière.
L’enregistrement de débogage DNS peut utiliser les ressources de manière intense,
ce qui risque de pénaliser les performances générales du serveur ainsi que l’espace
disque consommé. Par conséquent, son utilisation doit être réservée à des actions
temporaires, appliquées uniquement lorsque des informations plus détaillées au
sujet des performances du serveur sont requises.
L’enregistrement de débogage DNS permet donc de collecter des informations en
écrivant dans le journal tout le trafic DNS qui correspond aux critères définis pour
l’enregistrement de débogage. Même principe qu’un journal d’événements
                                                                                          129
3
          DNS : administration et maintenance

              classique : l’enregistrement se poursuit jusqu’à ce que la taille de journal spécifiée
              soit atteinte ou que le lecteur sur lequel se trouve le fichier journal vienne à
              manquer d’espace disponible. Une fois la limite en terme de taille de fichier
              atteinte, le processus d’enregistrement commence à écraser les entrées les plus
              anciennes. Les fichiers journaux peuvent devenir très volumineux, c’est pourquoi il
              est recommandé de les stocker sur un lecteur distinct.
              Voici comment activer l’enregistrement de débogage DNS sur STLSRCDC01.
                1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de
                    configuration. Double-cliquez sur Outils d’administration puis sur DNS.
                2   Dans l’arborescence de la console, cliquez du bouton droit sur le serveur
                    DNS puis cliquez sur Propriétés.
                3   Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur
                    Enregistrement de débogage.
                4   Sous cet onglet, activez la case à cocher Enregistrer les paquets dans le
                    journal pour le débogage.
                5   Sélectionnez les options de critère de débogage voulues pour définir les
                    informations que vous souhaitez consigner dans le fichier journal.
                6   Dans le champ Chemin et nom de fichier, tapez le chemin d’accès au
                    répertoire de stockage du journal de débogage et le nom du fichier journal. Si
                    vous ne spécifiez pas le chemin d’accès et le nom, le chemin par défaut est
                    %systemroot%\System32\Dns et le nom par défaut est dns.log.

                    m Figure 3.4 : Enregistrement de débogage

    130
3
                                                         DNS dans l’observateur d’événements

Après validation, l’enregistrement de débogage commence. Pour consulter le
journal, vous devrez ouvrir le fichier journal spécifié à l’aide du Bloc-notes.

m Figure 3.5 : Dns.log

Le tableau ci-après présente les options de critères de débogage que vous pouvez
choisir.
Tableau 3.1 : Options de critères de débogage DNS
Options                Valeurs                Description
Direction du paquet    Sortant                Des informations sur les paquets envoyés par le serveur
                                              DNS sont consignées dans le fichier journal du serveur
                                              DNS.
                       Entrant                Des informations sur les paquets reçus par le serveur DNS
                                              sont consignées dans le fichier journal.
Contenu du paquet      Demandes/transferts Enregistre des informations sur les paquets contenant des
                                              requêtes standard dans le fichier journal du serveur DNS.
                       Mises à jour           Enregistre des informations sur les paquets contenant des
                                              requêtes standard dans le fichier journal du serveur DNS.
                       Notifications          Enregistre des informations sur les paquets contenant des
                                              notifications dans le fichier journal du serveur DNS.
Protocole de transport UDP                    Enregistre des informations sur les paquets envoyés et
                                              reçus via UDP dans le fichier journal du serveur DNS.
                       TCP                    Enregistre des informations sur les paquets envoyés et
                                              reçus via TCP dans le fichier journal du serveur DNS.
Type de paquet         Demande                Enregistre des informations sur les paquets de demande
                                              dans le fichier journal du serveur DNS.
                       Réponse                Enregistre des informations sur les paquets de réponse
                                              dans le fichier journal du serveur DNS.

                                                                                                          131
3
          DNS : administration et maintenance

               Tableau 3.1 : Options de critères de débogage DNS
               Options                Valeurs                 Description
               Autres options         Filtrer les paquets par Fournit d’autres options de filtrage des paquets au sujet
                                      adresse IP              desquels des informations sont consignées dans le fichier
                                                              journal du serveur DNS. Cette option permet d’enregistrer
                                                              dans le journal des informations sur les paquets envoyés à
                                                              partir d’adresses IP spécifiques vers un serveur DNS ou
                                                              inversement.
                                      Chemin et nom de        Indique le nom et l’emplacement du fichier journal du
                                      fichier                 serveur DNS.
                                      Taille maximale         Définit la taille de fichier maximale du fichier journal du
                                      (octets)                serveur DNS.

      3.3 Compteurs de l’analyseur de performances
              L’analyseur de performances, souvent mésestimé, peut donner des informations
              détaillées très utiles en cas de problèmes sur le réseau. En ce qui concerne DNS, de
              nombreux compteurs peuvent être activés pour analyser les requêtes, les transferts
              de zones, l’utilisation de la mémoire, etc. En tout, 62 compteurs de performance
              dédiés à DNS sont disponibles de base sous Windows Server 2003 avec SP1.

                                                                           b Figure 3.6 : Ajout des
                                                                           compteurs de performance
                                                                           DNS

              Voici quelques compteurs pouvant se révéler utiles.
                 j   Mises à jour dynamiques refusées. Nombre total de mises à jour dynamiques
                     refusées par le serveur DNS.
                 j   Requêtes récursives/seconde. Nombre moyen de requêtes récursives reçues
                     par un serveur DNS chaque seconde.

    132
3
                                                           Problèmes de résolution côté client

     j   Demandes AXFR envoyées. Nombre total de transferts de zone complets
         envoyés par le service Serveur DNS lorsqu’il joue le rôle d’un serveur
         secondaire pour une zone.
   Pour les entreprises incluant MOM (Microsoft Operations Manager), il existe un
   Management Pack dédié à la surveillance et à l’analyse des performances de DNS.

3.4 Problèmes de résolution côté client
   Le cache client
   Les clients DNS (dont la version de système d’exploitation est supérieure ou égale
   à Windows 2000) possèdent un cache intégré leur permettant de conserver les
   informations obtenues de serveurs de noms.
   Lors d’une requête, le résolveur du client analyse d’abord le cache local avant de
   contacter le serveur de noms configuré. Les entrées du cache demeurent jusqu’à
   expiration de leur valeur TTL associée, ou jusqu’à ce que la machine soit
   redémarrée ou le cache purgé. Au cas où des informations erronées auraient été
   écrites en cache, vous pouvez purger le cache en tapant ipconfig/flushdns.

         LIGNES DE COMMANDES

   Vous pouvez même arrêter la mise en cache DNS de la façon suivante :
     1 Ouvrez une invite de commandes.
     2 Tapez net stop dnscache.

         m Figure 3.7 : Arrêt de la mise en cache client

   Attention, les performances globales de l’ordinateur client baissent et le trafic
   réseau pour les requêtes DNS augmente si le cache de résolution DNS est
   désactivé.
   Plus finement, vous pouvez contrôler le temps de mise en cache côté client grâce à
   une série de clés de registre que voici :
     1 Ouvrez l’Éditeur du Registre en tapant regedit.exe.

                                                                                                 133
3
          DNS : administration et maintenance

                 2 Recherchez    la clé suivante dans le Registre et cliquez dessus :
                   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache
                   \Parameters.
                 3 Dans le menu Edition, pointez sur Nouveau, cliquez sur Valeur DWORD
                   puis ajoutez les valeurs de Registre suivantes.
               Tableau 3.2 : Valeurs de registre de contrôle de temps de mise en cache du client
               Nom de la valeur     Type de données       Valeur par défaut   Données de la valeur
               MaxCacheTtl          REG_DWORD             86 400 secondes     Si vous baissez la valeur de durée de vie
                                                          (soit 1 jour)       maximale dans le cache DNS du client à
                                                                              1 seconde, vous aurez l’impression que le
                                                                              cache DNS côté client a été désactivé.
               MaxNegative          REG_DWORD             900 secondes (soit Si vous ne voulez pas que les réponses
               CacheTtl                                   15 minutes)         négatives soient mises en cache,
                                                                              définissez la valeur sur 0.

              Le résolveur ajoute à son cache les réponses positives ou négatives à une requête,
              ce qui explique les 2 valeurs de registre.
                 4 Tapez la valeur à utiliser puis cliquez sur OK.
                 5 Quittez l’Éditeur du Registre.

              Le fichier HOSTS du client
              Par défaut, tous les clients possèdent un fichier HOSTS mettant en correspondance
              des noms et leurs adresses IP respectives. Il est situé par défaut à l’endroit suivant :
              %systemroot%\system32\drivers\etc.
              Voici une vue d’un fichier HOSTS vide, tel qu’il devrait apparaître si vous ne
              voulez pas faire appel à ce fichier.

              m Figure 3.8 : Fichier HOSTS

    134
3
                                                                                           Nslookup

   Des problèmes peuvent se produire lorsque des entrées du fichier sont en conflit
   avec les enregistrements de ressource de la zone DNS. Lors d’un dépannage, il est
   conseillé de s’assurer qu’il n’y a pas conflit.

3.5 Nslookup
   Nslookup est un utilitaire de ligne de commandes employé pour diagnostiquer les
   éventuels problèmes liés à l’infrastructure DNS. Il est peut-être l’un des plus utiles
   au quotidien. Vous serez amené à l’utiliser régulièrement.
   Nslookup offre la possibilité d’exécuter le test de requête sur des serveurs DNS et
   d’obtenir des réponses détaillées. Ces informations sont utiles pour procéder au
   dépannage de la résolution de noms, vérifier que des enregistrements de ressources
   ont été correctement ajoutés ou mis à jour dans une zone et effectuer le débogage
   en cas d’autres problèmes liés au serveur.
   Nslookup peut être exécuté dans deux modes :
     j   Interactif. Ce mode permet de taper des commandes dans Nslookup et
         d’afficher les résultats à une invite de commandes. Utilisez-le si vous avez
         besoin de plusieurs éléments de données.
     j   Non interactif. Ce mode permet d’exécuter une commande Nslookup en une
         seule étape, c’est-à-dire soit en l’exécutant seul à partir de la ligne de
         commandes, soit en l’insérant dans un fichier de commandes. Il fournit
         comme sortie un élément de données unique. Cette sortie peut être enregistrée
         dans un fichier texte afin d’être consultée ultérieurement.

               Nslookup
               Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR
               doit exister pour le serveur sur lequel vous voulez effectuer une recherche. Au
               démarrage, Nslookup effectue une recherche inversée sur l’adresse IP du serveur qui
               exécute le service Serveur DNS et signale une erreur s’il est incapable de résoudre
               l’adresse en nom. Cette erreur ne nuit pas aux performances normales de Nslookup
               en ce qui concerne les diagnostics.

     nslookup
   Permet de diagnostiquer les problèmes liés à l’infrastructure DNS.
   Syntaxe :                        nslookup [-options] # mode interactif
                                    utilisant le serveur par défaut
   Syntaxe :                        nslookup [-options] - serveur # mode
                                    interactif utilisant ’serveur’

                                                                                                      135
3
          DNS : administration et maintenance

              Syntaxe :                 nslookup [-options] hôte # recherche ’hôte’
                                        en utilisant le serveur par défaut
              Syntaxe :                 nslookup [-options] hôte serveur # recherche
                                        ’hôte’ en utilisant ’serveur’
              serveur                   Permet de spécifier le serveur à utiliser en tant que
                                        serveur DNS. Si vous omettez le serveur, le serveur
                                        DNS par défaut actuellement configuré est utilisé.
              hôte                      Si vous indiquez l’adresse IP d’un ordinateur,
                                        Nslookup renvoie le nom d’hôte correspondant. Si
                                        vous indiquez le nom d’hôte d’un ordinateur,
                                        Nslookup renvoie l’adresse IP correspondante. Si le
                                        nom d’hôte que vous interrogez ne présente pas de
                                        point final, le nom de domaine DNS par défaut est
                                        ajouté à la fin. Pour rechercher un ordinateur présent
                                        hors du domaine DNS en cours, ajoutez un point à la
                                        fin du nom.
              Nslookup comprend des options importantes, notamment la commande set, qui
              vous permettent d’orienter et d’affiner votre diagnostic. Les options les plus
              importantes sont les suivantes :
              set all                   affiche les options, le serveur actuel et l’hôte.
              set [no]debug             affiche des informations de débogage.
              .set [no]d2               affiche toutes les informations de débogage.
              set [no]defname           ajoute le nom de domaine à chaque requête.
              set [no]recurse           donne une réponse récursive aux requêtes.
              set [no]search            utilise la liste de recherche du domaine.
              set [no]vc                utilise toujours un circuit virtuel.
              set domain=NOM            donne le nom NOM au serveur de domaine par défaut.
              set                     donne au domaine le nom N1 et liste de recherche
              srchlist=N1[/N2/.../N6] N1,N2, etc.
              set root=NOM              donne au serveur racine le nom NOM.
              set retry=X               effectue X tentatives.
              set timeout=X             fixe la durée d’attente initiale à X secondes.
              set type=X                fixe le type de requête (ex.
                                        A,ANY,CNAME,MX,NS,PTR,SRV).
              set querytype=X           identique à type.

    136
3
                                                                                   Nslookup

set class=X                 fixe la classe de requête (ex. IN (Internet), ANY).
set [no]msxfr               utilise le transfert de zone rapide MS.
set ixfrver=X               version à utiliser dans les requêtes de transfert IXFR.
Pour être concret, si vous souhaitez            tester    la   résolution   de     l’hôte
sbdxrcdc01.educsoft.net par exemple :
  1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
  2 Dans la zone Ouvrir, tapez cmd.
  3 Tapez nslookup sbdxrcdc01.educsoft.net puis validez.

Vous obtiendrez le retour suivant.

                                                         b Figure 3.9 : Commande
                                                         nslookup

Si vous souhaitez savoir si l’enregistrement de type PTR est présent sur le serveur
DNS en question, toujours pour le même hôte, procédez comme suit :
  1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
  2 Dans la zone Ouvrir, tapez cmd.
  3 Tapez nslookup puis validez.
  4 Tapez set query=PTR (ou set q=PTR ou set type=PTR) puis validez.
  5 Tapez 172.50.1.1.

Vous obtiendrez le retour suivant.

                                                               b Figure 3.10 : Commande
                                                               nslookup

                                                                                              137
3
          DNS : administration et maintenance

              Encore plus intéressant, si vous souhaitez vérifier si les enregistrements DNS de
              ressources SRV ont été créés pour un contrôleur de domaine. Il est conseillé
              d’appliquer cette procédure après chaque configuration d’un serveur DNS et
              d’Active Directory ou si vous suspectez des problèmes DNS, notamment quand les
              administrateurs ont des difficultés à joindre les stations de travail au domaine.
                1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter.
                2 Dans la zone Ouvrir, tapez cmd.
                3 Tapez nslookup puis validez.
                4 Tapez set type=all puis validez.
                5 Tapez _ldap._tcp.dc._msdcs.educsoft.net puis validez.

              Vous obtiendrez le retour suivant. Vous pourrez en déduire si vous êtes en
              conformité avec vos attentes.

              m Figure 3.11 : Commande nslookup

      3.6 Ipconfig
              Ipconfig est, lui aussi, un outil très utile lors de la résolution de problèmes DNS.
              Vous savez que cet outil n’est pas dédié qu’à cette tâche et qu’il sert surtout à du
              dépannage TCP/IP plus global. C’est pourquoi, ici, seules les commandes en
              relation avec DNS seront présentées.
              Ipconfig dispose de certaines fonctions utiles dans le cas d’un diagnostic pour DNS
              et plus particulièrement en ce qui concerne un diagnostic côté client DNS.

    138
3
                                                                                  Tracert

     j   Ipconfig/flushdns. Si vous rencontrez des problèmes liés au cache client,
         cette commande vous permettra de purger ce cache. Elle supprime toutes les
         entrées présentes et se révèle particulièrement utile si un serveur a changé
         d’adresse IP et que des clients aient des difficultés à s’y connecter.
     j   Ipconfig/registerdns. Cette fonction force le client à s’enregistrer
         dynamiquement dans la zone DNS, si toutefois celle-ci accepte les mises à
         jour dynamiques.
     j   Ipconfig/displaydns. Cette option renvoie le contenu du cache du client.
         Elle est utile pour résoudre des problèmes concernant des enregistrements
         individuels.

         m Figure 3.12 : Commande Ipconfig

3.7 Tracert
   Tracert est un outil qui vous donne une idée du chemin que parcourt une requête
   DNS lorsqu’elle est envoyée sur le réseau. De par son mécanisme de
   fonctionnement, cette commande est idéale pour les noms d’hôtes situés sur
   Internet mais peut également se révéler utile sur le réseau local de l’entreprise.
   En voici deux exemples :
   Le premier avec un avec un nom d’hôte internet.

                                                                                            139
3
          DNS : administration et maintenance

              m Figure 3.13 : Commande tracert

              Le second avec un nom d’hôte de l’entreprise.

              m Figure 3.14 : Commande tracert

              Dans ce cas, à partir du serveur STLSRCDC01, la requête DNS passe par le routeur
              dont l’adresse IP est 172.50.0.1 pour atteindre l’hôte sbdxrcdc01.educsoft.net.

      3.8 Dnscmd
              DNSCmd est un outil inclus dans les support tools Windows Server 2003.

                         Support tools Windows Server 2003
                         Les support tools se trouvent sur le CD-ROM de Windows Server 2003, dans le
                         répertoire Support.

              DNScmd permet à l’administrateur d’effectuer de nombreuses tâches
              d’administration du système DNS sur le serveur DNS et ce, à partir d’une invite de

    140
3
                                                                                  Dnscmd

commandes. Considérez DNScmd comme la version ligne de commandes du
composant logiciel enfichable DNS.
Avec DNSCmd, vous pouvez contrôler l’inscription dynamique des enregistrements
de ressources DNS, y compris la mise à jour DNS sécurisée, en plus de
l’annulation de leur inscription.
DNSCmd se révèle utile si vous devez réaliser une tâche de configuration DNS sur
plusieurs serveurs DNS. Au lieu de faire appel à l’outil d’administration DNS, vous
pouvez utiliser la ligne de commandes.
DNSCmd est également utile si vous devez modifier à distance des paramètres du
serveur DNS. Il est en effet possible de créer un fichier de commandes comprenant
la commande DNSCmd et de l’envoyer à un serveur DNS pour l’exécuter à distance.

  dnscmd
Utilitaire d’administration du service DNS
Syntaxe :                   dnscmd  
                            []
Nom_Serveur                 Indique le serveur DNS que l’administrateur veut
                            gérer. Il peut être représenté par le nom d’ordinateur
                            local, l’adresse IP, le nom de domaine pleinement
                            qualifié (FQDN) ou le nom d’hôte. Si vous omettez le
                            nom de serveur, c’est le serveur local qui est utilisé.
Parmi les commandes offertes par l’outil DNScmd, en voici quelques-unes des plus
intéressantes, utilisées pour configurer DNS.
/Info                       Donne des informations sur le serveur.
/Config                     Initialise la configuration du serveur ou de la zone.
/EnumZones                  Liste les zones.
/Statistics                 Affiche ou réinitialise les statistiques d’un serveur.
/ClearCache                 Réinitialise le cache du serveur DNS.
/WriteBackFiles             Réécrit le fichier de données de la racine ou d’une
                            zone.
/StartScavenging            Initialise le balayage de serveur.
/ResetListenAddresses       Paramètre l’adresse IP du serveur pour servir les
                            requêtes DNS.
/ResetForwarders            Paramètre les serveurs DNS pour réexpédier les
                            interrogations récursives à.

                                                                                           141
3
          DNS : administration et maintenance

              /ZoneInfo                  Rend visible les informations de la zone.
              /ZoneAdd                   Crée une nouvelle zone sur le serveur DNS.
              /ZoneDelete                Supprime une zone sur le serveur DNS ou Active
                                         Directory.
              /ZonePause                 Passe une zone en pause.
              /ZoneResume                Réactive une zone.
              /ZoneReload                Recharge une zone à partir de la base de données
                                         (fichier ou Active Directory).
              /ZoneWriteBack             Réécrit une zone vers un fichier.
              /ZoneRefresh               Met à jour une zone à partir du maître.
              /ZoneUpdateFromDs          Met à jour une zone intégrée à Active Directory.
              /ZonePrint                 Affiche tous les enregistrements d’une zone.
              /ZoneResetType             Change le type de zone.
              /ZoneResetSecondaries      Initialise les informations de notification pour une
                                         zone.
              /ZoneResetScavenge         Réinitialise le balayage de serveurs pour une zone.
              Servers
              /ZoneResetMasters          Réinitialise la zone secondaire des serveurs maîtres.
              /ZoneExport                Exporte une zone vers un fichier.
              /ZoneChangeDirectory       Déplace une zone vers une autre partition d’annuaire.
              Partition
              /EnumRecords               Énumère les enregistrements.
              /RecordAdd                 Ajoute un enregistrement dans une zone.
              /RecordDelete              Supprime un enregistrement d’une zone.
              /NodeDelete                Supprime tous les enregistrements à un nom.
              /AgeAllRecords             Force le vieillissement d’un nœud sur une zone.
              /EnumDirectoryPartitions Énumère les partitions d’annuaire.
              /DirectoryPartitionInfo Donne les informations sur une partition d’annuaire.
              /CreateDirectoryPartition Crée une partition d’annuaire.
              /DeleteDirectoryPartition Supprime une partition d’annuaire.

    142
3
                                                                                   DNSLint

   /EnlistDirectoryPartition Ajoute un serveur DNS à l’étendue de réplication
                             d’une partition.
   /UnenlistDirectory           Supprime un serveur DNS de l’étendue de réplication
   Partition                    d’une partition.
   /CreateBuiltinDirectory Crée des partitions de type built-in.
   Partitions
   DNScmd se révèle pratique, par exemple, pour forcer la réplication de zone.

   m Figure 3.15 : Exemple DNScmd

3.9 DNSLint
   DNSLint est un outil inclus dans les support tools Windows Server 2003. Cet
   utilitaire peut exécuter une série de requêtes, facilitant ainsi le diagnostic des
   problèmes courants liés à la résolution de noms DNS.
   Afin de faciliter le diagnostic et la résolution des problèmes qu’entraînent des
   enregistrements DNS manquants ou incorrects, il est utile de s’assurer de la
   cohérence d’un ensemble particulier d’enregistrements DNS sur plusieurs serveurs
   DNS.
   Par exemple, comme déjà évoqué avec l’utilitaire nslookup, si des clients
   éprouvent des difficultés à ouvrir une session dans le domaine, vérifiez si les
   enregistrements SRV, utilisés par les clients pour rechercher les serveurs LDAP et
   Kerberos, sont disponibles et exacts. Vous déterminerez ainsi plus facilement si les
   paramètres DNS sont à l’origine du problème.
   Vous pouvez avoir un autre usage de cet outil, notamment si vous recevez des
   rapports établissant que certains de vos clients ne parviennent pas à accéder à votre
   site web sur Internet. Il est alors intéressant de contrôler rapidement avec DNSLint
   tous les enregistrements DNS impliqués dans la batterie de serveurs web sur
                                                                                             143
3
          DNS : administration et maintenance

              chacun des serveurs DNS censés contenir ces enregistrements. De cette manière,
              vous saurez instantanément si des enregistrements DNS manquants ou incorrects
              peuvent être la cause du problème.
              Il est possible également que des problèmes entravent la remise du courrier
              électronique. Si vous parvenez à envoyer des messages sans toutefois en recevoir,
              la résolution de noms peut être à l’origine du problème. Pour établir un diagnostic,
              vous pouvez, avec DNSLint, vérifier tous les enregistrements DNS sur tous les
              serveurs DNS employés pour résoudre l’adresse IP du serveur de messagerie.
              DNSLint possède trois fonctions qui vérifient les enregistrements DNS et génèrent
              un rapport en HTML :
                j   DNSLINT /d diagnostique les causes possibles de délégations inappropriées et
                    d’autres problèmes DNS apparentés.
                j   DNSLINT /ql vérifie un ensemble défini par l’utilisateur d’enregistrements
                    DNS sur plusieurs serveurs DNS.
                j   DNSLINT /ad vérifie les enregistrements DNS spécifiquement employés pour
                    la réplication Active Directory.
              Les commutateurs /d, /ql et /ad ne peuvent pas être utilisés en même temps. Ils
              sont suivis de nombreux autres commutateurs que vous découvrirez en interrogeant
              l’aide de cet outil.
              Voici l’exemple qui permet de générer un rapport HTML.

              m Figure 3.16 : Exemple DNSLint en ligne de commandes

    144
3
                                                                      Questions Réponses

                                                              b Figure 3.17 : Rapport
                                                              HTML de DNSLint

3.10 Questions Réponses
   En guise de conclusion sur la maintenance DNS, voici une série de questions-
   réponses qui vous aideront à effectuer vos tâches quotidiennes.
     j   Question. Quelles sont les erreurs les plus courantes lorsque les
         administrateurs configurent le DNS sur un réseau qui ne contient qu’un
         contrôleur de domaine Windows Server 2003 ?
         Le contrôleur de domaine ne pointe pas sur lui-même pour la résolution de
         DNS sur toutes les interfaces réseau. La zone "." (racine) est présente sous les
         zones de recherche directe dans le DNS. Ou d’autres ordinateurs du réseau
         local ne pointent pas vers le serveur DNS pour le DNS.
     j   Question. Pourquoi faire pointer mon contrôleur de domaine sur lui-même
         pour le DNS ?
         Le service Accès réseau sur le contrôleur de domaine inscrit un certain
         nombre d’enregistrements dans le DNS, permettant aux autres contrôleurs de

                                                                                            145
3
          DNS : administration et maintenance

                    domaine et ordinateurs de rechercher des informations concernant Active
                    Directory. Si le contrôleur de domaine pointe vers le serveur DNS du
                    fournisseur de services Internet, le service Accès réseau n’inscrit pas les
                    enregistrements corrects pour Active Directory et des erreurs sont générées
                    dans l’Observateur d’événements. Dans Windows Server 2003, la
                    configuration DNS recommandée consiste à configurer le client DNS sur tous
                    les serveurs DNS pour qu’ils s’utilisent comme leur propre serveur DNS
                    principal, et pour qu’ils utilisent un contrôleur de domaine différent dans le
                    même domaine que l’autre serveur DNS, de préférence un autre contrôleur de
                    domaine sur le même site. Ce processus contourne également le problème de
                    l’îlot du DNS dans Windows 2000. Vous devez toujours configurer les
                    paramètres clients du DNS sur l’interface réseau de chaque contrôleur de
                    domaine pour utiliser les adresses des autres serveurs DNS en plus de
                    l’adresse de serveur DNS principale.
                j   Question. Quels sont les éléments inscrits par le contrôleur de domaine dans
                    le DNS ?
                    Le service Accès réseau inscrit tous les enregistrements SRV pour ce
                    contrôleur de domaine. Ces enregistrements sont affichés sous la forme de
                    dossiers _msdcs, _sites, _tcp et _udp dans la zone de recherche directe
                    correspondant à votre nom de domaine. D’autres ordinateurs effectuent des
                    recherches dans ces enregistrements pour trouver des informations liées à
                    Active Directory.
                j   Question. Pourquoi ne puis-je pas utiliser WINS pour la résolution de noms
                    comme sous Windows NT 4 ?
                    Un contrôleur de domaine Windows Server 2003 n’inscrit pas les
                    informations concernant Active Directory sur un serveur WINS ; il inscrit
                    uniquement ces informations sur un serveur DNS prenant en charge les mises
                    à jour dynamiques, comme un serveur DNS Windows 2000 ou Windows
                    Server 2003. D’autres ordinateurs Windows 2000 et Windows Server 2003
                    n’interrogent pas WINS pour rechercher des informations concernant Active
                    Directory.
                j   Question. Si je supprime les paramètres de serveur DNS du fournisseur de
                    services Internet du contrôleur de domaine, comment résout-il les noms tels
                    que Microsoft.com sur Internet ?
                    Tant que la zone "." n’est pas présente sous les zones de recherche directe
                    dans le DNS, le service DNS utilise les serveurs d’indications de racine. Il
                    s’agit de serveurs bien connus sur Internet qui permettent à tous les serveurs
                    DNS de résoudre les interrogations de noms.
                j   Question. Qu’est-ce que la zone "." dans la zone de recherche directe ?
                    Ce paramètre désigne le serveur DNS en tant que serveur d’indications de
                    racine et est généralement supprimé. Si vous ne supprimez pas ce paramètre,

    146
3
                                                                Questions Réponses

    vous ne pourrez peut-être pas effectuer une résolution de noms externe sur les
    serveurs d’indications de racine sur Internet.
j   Question. Est-il nécessaire de configurer les redirecteurs dans le DNS ?
    Non. DNS utilise par défaut les serveurs d’indications de racine sur Internet.
    Vous pouvez toutefois configurer les redirecteurs pour envoyer directement
    des requêtes DNS au serveur DNS de votre fournisseur d’accès à Internet ou
    à d’autres serveurs DNS. Dans la majorité des cas, les performances et
    l’efficacité du DNS augmentent lorsque vous configurez les redirecteurs, mais
    cette configuration peut également introduire un point faible si des problèmes
    se présentent au niveau du serveur DNS de transfert. Le serveur d’indications
    de racine peut fournir un niveau de redondance en échange d’un trafic DNS
    légèrement plus élevé sur la connexion Internet.
j   Question. Dois-je faire pointer les autres ordinateurs du réseau local vers les
    serveurs DNS de mon fournisseur d’accès à Internet ?
    Non. Si un serveur ou une station de travail ne trouve pas le contrôleur de
    domaine dans le DNS, vous risquez d’être confronté à des problèmes lorsque
    l’ordinateur devient membre du domaine ou se connecte à celui-ci. Pour un
    ordinateur Windows 2000 ou Windows Server 2003, le paramètre DNS
    préféré doit pointer vers le contrôleur de domaine exécutant DNS. Si vous
    utilisez le protocole DHCP, veillez à employer l’option d’étendue 015 pour
    les paramètres de serveur DNS corrects de votre réseau local.
j   Question. Est-il nécessaire de faire pointer vers le serveur DNS Windows
    Server 2003, les ordinateurs Windows NT 4 ?
    Les anciens systèmes d’exploitation continuent d’utiliser NetBIOS pour la
    résolution de noms afin de rechercher un contrôleur de domaine. Il est
    cependant recommandé de faire pointer l’ensemble des ordinateurs vers le
    serveur DNS Windows Server 2003 pour la résolution de noms.
j   Question. Qu’en est-il si le serveur DNS se trouve derrière un serveur proxy
    ou un pare-feu ?
    Si vous pouvez interroger les serveurs DNS du fournisseur d’accès à Internet
    alors que vous vous trouvez derrière un serveur proxy ou un pare-feu, le
    serveur DNS peut interroger les serveurs d’indications de racine. Les ports
    TCP et UDP 53 doivent être ouverts sur le serveur proxy ou le pare-feu.
j   Question. Que dois-je faire si le contrôleur de domaine pointe vers lui-même
    pour le DNS, mais que les enregistrements SRV ne s’affichent toujours pas
    dans la zone ?
    Recherchez la présence d’un espace de noms disjoint, exécutez les opérations
    de dépannage de base. En cas de non-résolution, vous pouvez également
    exécuter la commande Netdiag.exe /fix.

                                                                                      147
3
          DNS : administration et maintenance

              m Figure 3.18 : Commande Netdiag /fix

                j   Question. Comment configurer le DNS pour les autres contrôleurs de
                    domaine du domaine qui exécutent DNS ?
                    Pour chaque contrôleur de domaine supplémentaire qui exécute DNS, le
                    paramètre DNS préféré correspond au serveur DNS parent (premier
                    contrôleur de domaine du domaine) et le paramètre DNS secondaire à
                    l’adresse IP réelle de l’interface réseau.

      3.11 Check-list
              Dans cet atelier vous avez appris à maîtriser :
                a le nettoyage des enregistrements ;
                a les journaux d’événements DNS ;
                a les compteurs de performance ;
                a le cache client ;
                a les fichiers Hosts ;
                a Nslookup ;
                a Ipconfig ;
                a Tracert ;
                a DNScmd ;
                a DNSLint.

    148
Vous pouvez aussi lire