web-dev-qa-db-fra.com

Comment le DNS est-il lié à Active Directory et quelles sont les configurations courantes que je devrais connaître?

Veuillez noter que je connais la réponse à cette question et en ai fourni une ci-dessous. Je vois beaucoup d'administrateurs de systèmes plus récents qui ne comprennent pas le contenu de ma réponse, j'espère donc que toutes les questions AD DNS pour débutants seront fermées en double. Si vous avez une amélioration mineure, n'hésitez pas à modifier ma réponse. Si vous pouvez fournir une réponse complète plus complète, n'hésitez pas à en laisser une.

Comment le DNS est-il lié à Active Directory et quelles sont les configurations courantes que je devrais connaître?

24
MDMarra

Active Directory repose sur un environnement correctement configuré et fonctionnel infrastructure DNS . Si vous avez un problème Active Directory, il est probable que vous ayez un problème DNS. La première chose à vérifier est le DNS. La deuxième chose que vous devez vérifier est DNS. La troisième chose que vous devez vérifier est DNS.

Qu'est-ce que le DNS exactement?

Ceci est un site pour les professionnels, donc je suppose que vous avez au moins lu l'excellent article Wikipedia . En bref, DNS permet de trouver des adresses IP en recherchant un appareil par son nom. Il est essentiel pour Internet de fonctionner tel que nous le connaissons et il fonctionne sur tous les réseaux locaux, sauf le plus petit.

Le DNS, au niveau le plus élémentaire, est divisé en trois éléments fondamentaux:

  • Serveurs DNS: ce sont les serveurs qui détiennent enregistrements pour tous les clients dont ils sont responsables. Dans Active Directory, vous exécutez le rôle de serveur DNS sur un ou plusieurs contrôleurs de domaine.

  • Zones: des copies des zones sont détenues par les serveurs. Si vous avez un AD nommé ad.example.com, puis il y a une zone sur vos contrôleurs de domaine sur laquelle DNS installé est nommé ad.example.com. Si vous avez un ordinateur nommé computer et qu'il a été enregistré auprès de ce serveur DNS, il créerait un enregistrement DNS nommé computer dans ad.example.com et vous pourrez accéder à cet ordinateur via le nom de domaine complet (FQDN), qui serait computer.ad.example.com

  • Enregistrements: Comme je l'ai mentionné ci-dessus, les zones détiennent des enregistrements. Un enregistrement mappe un ordinateur ou des ressources à une adresse IP spécifique. Le type d'enregistrement le plus courant est un enregistrement A, qui contient un nom d'hôte et une adresse IP. Les enregistrements les plus courants sont les enregistrements CNAME. Un CNAME contient un nom d'hôte et un autre nom d'hôte. Lorsque vous recherchez hostname1, il effectue une autre recherche et renvoie l'adresse de hostname2. Ceci est utile pour masquer des ressources comme un serveur Web ou un partage de fichiers. Si vous avez un CNAME pour intranet.ad.example.com et le serveur derrière lui change, tout le monde peut continuer à utiliser le nom qu'il connaît et il suffit de mettre à jour l'enregistrement CNAME pour pointer vers le nouveau serveur. Utile hein?

Ok, comment cela se rapporte-t-il à Active Directory?

Lorsque vous installez Active Directory et le rôle serveur DNS sur votre premier contrôleur de domaine dans le domaine, il crée automatiquement deux zones de recherche directe pour votre domaine. Si votre domaine AD est ad.example.com comme dans l'exemple ci-dessus ( notez que vous ne devez pas utiliser uniquement "example.com "comme nom de domaine pour Active Directory ), vous aurez une zone pour ad.example.com et _msdcs.ad.example.com.

Que font ces zones? GRANDE QUESTION! Commençons par le _msdcs zone. Il contient tous les enregistrements dont vos machines clientes ont besoin pour trouver des contrôleurs de domaine. Il comprend des enregistrements pour localiser les sites AD. Il contient des enregistrements pour les différents détenteurs de rôles FSMO. Il contient même des enregistrements pour vos serveurs KMS, si vous exécutez ce service facultatif. Si cette zone n'existait pas, vous ne pourriez pas vous connecter à vos postes de travail ou serveurs.

Que fait le ad.example.com zone hold? Il contient tous les enregistrements de vos ordinateurs clients, serveurs membres et les enregistrements A de vos contrôleurs de domaine. Pourquoi la zone ceci est-elle importante? Pour que vos postes de travail et serveurs puissent communiquer entre eux sur le réseau. Si cette zone n'existait pas, vous pourriez probablement vous connecter, mais vous ne pourriez pas faire grand chose d'autre que de naviguer sur Internet.

Comment obtenir des enregistrements dans ces zones?

Eh bien, heureusement pour vous, c'est facile. Lorsque vous installez et configurez les paramètres du serveur DNS pendant dcpromo, vous devez choisir d'autoriser Secure Updates Only si vous avez le choix. Cela signifie que seuls les PC connus appartenant à un domaine peuvent créer/mettre à jour leurs enregistrements.

Revenons en arrière une seconde. Il existe plusieurs façons dont une zone peut y enregistrer des enregistrements:

  1. Ils sont automatiquement ajoutés par les postes de travail configurés pour utiliser le serveur DNS. C'est le plus courant et doit être utilisé en tandem avec "Mises à jour sécurisées uniquement" dans la plupart des scénarios. Il y a des cas Edge où vous ne voulez pas aller dans ce sens, mais si vous avez besoin des connaissances dans cette réponse, alors c'est la façon dont vous voulez le faire. Par défaut, une station de travail ou un serveur Windows met à jour ses propres enregistrements toutes les 24 heures, ou lorsqu'une carte réseau obtient une adresse IP qui lui est attribuée , soit via DHCP ou statiquement.

  2. Vous créez manuellement l'enregistrement. Cela peut se produire si vous devez créer un CNAME ou un autre type d'enregistrement, ou si vous voulez un enregistrement A qui ne se trouve pas sur un ordinateur AD de confiance, peut-être un serveur Linux ou OS X que vous souhaitez que vos clients puissent résoudre de nom.

  3. Vous laissez DHCP mettre à jour le DNS lors de la remise des baux. Pour ce faire, configurez DHCP pour mettre à jour les enregistrements au nom des clients et ajoutez le serveur DHCP au groupe DNSUpdateProxy AD. Ce n'est pas vraiment une bonne idée, car cela vous ouvre à un empoisonnement de zone. L'empoisonnement de zone (ou empoisonnement DNS) est ce qui se produit lorsqu'un ordinateur client met à jour une zone avec un enregistrement malveillant et tente d'usurper l'identité d'un autre ordinateur de votre réseau. Il existe des moyens de sécuriser cela, et il a ses utilisations, mais vous feriez mieux de le laisser seul si vous ne le savez pas.

Donc, maintenant que nous n'avons plus cela, nous pouvons reprendre le chemin. Vous avez configuré vos serveurs AD DNS pour n'autoriser que les mises à jour sécurisées, votre infrastructure évolue, puis vous vous rendez compte que vous avez une tonne d'enregistrements en double! Que faites-vous à ce sujet?

Nettoyage DNS

Cet article est une lecture obligatoire . Il détaille les meilleures pratiques et les paramètres que vous devrez configurer pour le nettoyage. C'est pour Windows Server 2003, mais c'est toujours applicable. Lis le.

Le nettoyage est la réponse au problème d'enregistrement en double posé ci-dessus. Imaginez que vous avez un ordinateur qui obtient une adresse IP de 192.168.1.100. Il enregistrera un enregistrement A pour cette adresse. Ensuite, imaginez qu'il s'était éteint pendant une longue période. Quand il est de retour, cette adresse est prise par une autre machine, donc elle obtient 192.168.1.120. Il existe maintenant des enregistrements A pour les deux.

Si vous nettoyez vos zones, ce ne sera pas un problème. Les enregistrements périmés seront supprimés après un certain intervalle et tout ira bien. Assurez-vous simplement que vous ne récupérez pas tout par accident, comme en utilisant un intervalle de 1 jour. N'oubliez pas qu'AD s'appuie sur ces enregistrements. Configurez définitivement le nettoyage, mais faites-le de manière responsable, comme indiqué dans l'article ci-dessus.

Ainsi, vous avez maintenant une compréhension de base du DNS et de la façon dont il est intégré à Active Directory. J'ajouterai des morceaux sur la route, mais n'hésitez pas à ajouter votre propre travail également.

32
MDMarra