Meilleures pratiques pour les paramètres du client DNS dans Windows Server
Cet article décrit les meilleures pratiques pour la configuration des paramètres du client DNS (Domain Name System). Les recommandations de cet article concernent l’installation des environnements Windows Server pris en charge, où il n’existe aucune infrastructure DNS précédemment définie.
Numéro de base de connaissances d’origine : 825036
Contrôleur de domaine avec DNS installé
Sur un contrôleur de domaine qui joue également le rôle de serveur DNS, Microsoft vous recommande de configurer les paramètres du client DNS du contrôleur de domaine en fonction de ces spécifications :
Si le serveur est le premier contrôleur de domaine que vous installez dans le domaine et que le serveur exécute DNS, configurez les paramètres du client DNS pour qu’il pointe vers l’adresse IP de ce premier serveur. Par exemple, vous devez configurer les paramètres du client DNS pour qu’ils pointent vers lui-même. Ne répertoriez pas d’autres serveurs DNS tant que vous n’avez pas un autre contrôleur de domaine hébergeant dns dans ce domaine.
Pendant le processus DCPromo, vous devez configurer des contrôleurs de domaine supplémentaires pour qu’ils pointent vers un autre contrôleur de domaine exécutant DNS dans leur domaine et leur site, et qui héberge l’espace de noms du domaine dans lequel le nouveau contrôleur de domaine est installé. ou si vous utilisez un DNS tiers vers un serveur DNS qui héberge la zone pour le domaine Active Directory de ce contrôleur de domaine. Ne configurez pas le contrôleur de domaine pour utiliser son propre service DNS pour la résolution de noms tant que vous n’avez pas vérifié que la réplication Active Directory entrante et sortante fonctionne et à jour. L’échec de cette opération peut entraîner le DNS « Islands ».
Pour plus d’informations sur une rubrique associée, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :275278 serveur DNS devient une île lorsqu’un contrôleur de domaine pointe vers lui-même pour le
_msdcs.ForestDnsName
domaineUne fois que vous avez vérifié que la réplication s’est terminée correctement, LE DNS peut être configuré sur chaque contrôleur de domaine de deux façons, en fonction des exigences de l’environnement. Les options de configuration sont les suivantes :
- Configurez le serveur DNS préféré dans les propriétés TCP/IP de chaque contrôleur de domaine pour qu’il s’utilise comme serveur DNS principal.
- Avantages : garantit que les requêtes DNS provenant du contrôleur de domaine seront résolues localement si possible. Réduit l’impact des requêtes DNS du contrôleur de domaine sur le réseau.
- Inconvénients : dépend de la réplication Active Directory pour vous assurer que la zone DNS est à jour. Des échecs de réplication longs peuvent entraîner un ensemble incomplet d’entrées dans la zone.
- Configurez tous les contrôleurs de domaine pour utiliser un serveur DNS centralisé comme serveur DNS préféré.
- Avantages :
- Réduit la dépendance à la réplication Active Directory pour les mises à jour de zone DNS des enregistrements de localisateur de contrôleur de domaine. Il inclut une découverte plus rapide des enregistrements de localisateur de contrôleurs de domaine nouveaux ou mis à jour, car le délai de retard de réplication n’est pas un problème.
- Fournit un seul serveur DNS faisant autorité, qui peut être utile lors de la résolution des problèmes de réplication Active Directory
- Inconvénients :
- Utilisera plus considérablement le réseau pour résoudre les requêtes DNS provenant du contrôleur de domaine
- La résolution de noms DNS peut dépendre de la stabilité du réseau. La perte de connectivité au serveur DNS préféré entraîne l’échec de résolution des requêtes DNS à partir du contrôleur de domaine. Cela peut entraîner une perte apparente de connectivité, même à des emplacements qui ne se trouvent pas sur le segment réseau perdu.
- Avantages :
- Configurez le serveur DNS préféré dans les propriétés TCP/IP de chaque contrôleur de domaine pour qu’il s’utilise comme serveur DNS principal.
Une combinaison des deux stratégies est possible, avec le serveur DNS distant défini comme serveur DNS préféré et le contrôleur de domaine local défini en tant qu’autre (ou vice versa). Bien que cette stratégie présente de nombreux avantages, il existe des facteurs qui doivent être pris en compte avant d’apporter cette modification de configuration :
- Le client DNS n’utilise pas chacun des serveurs DNS répertoriés dans la configuration TCP/IP pour chaque requête. Par défaut, au démarrage, le client DNS tente d’utiliser le serveur dans l’entrée de serveur DNS préférée. Si ce serveur ne répond pas pour une raison quelconque, le client DNS bascule vers le serveur répertorié dans l’autre entrée du serveur DNS. Le client DNS continuera à utiliser ce autre serveur DNS jusqu’à ce que :
- Elle ne répond pas à une requête DNS ou :
- La valeur ServerPriorityTimeLimit est atteinte (15 minutes par défaut).
- Le client DNS n’utilise pas chacun des serveurs DNS répertoriés dans la configuration TCP/IP pour chaque requête. Par défaut, au démarrage, le client DNS tente d’utiliser le serveur dans l’entrée de serveur DNS préférée. Si ce serveur ne répond pas pour une raison quelconque, le client DNS bascule vers le serveur répertorié dans l’autre entrée du serveur DNS. Le client DNS continuera à utiliser ce autre serveur DNS jusqu’à ce que :
Note
Seul un échec de réponse entraîne le basculement du client DNS par défaut ; la réception d’une réponse faisant autorité mais incorrecte n’entraîne pas l’essai d’un autre serveur par le client DNS. Par conséquent, la configuration d’un contrôleur de domaine avec lui-même et d’un autre serveur DNS en tant que serveurs préférés et autres serveurs permet de s’assurer qu’une réponse est reçue, mais elle ne garantit pas la précision de cette réponse. Les échecs de mise à jour des enregistrements DNS sur l’un des serveurs peuvent entraîner une expérience de résolution de noms incohérente.
- Ne configurez pas les paramètres du client DNS sur les contrôleurs de domaine pour qu’ils pointent vers des serveurs DNS de votre fournisseur de services Internet (ISP). Si vous configurez les paramètres du client DNS pour qu’ils pointent vers les serveurs DNS de votre fournisseur d’accès internet, le service Netlogon sur les contrôleurs de domaine n’inscrit pas les enregistrements appropriés pour le service d’annuaire Active Directory. Avec ces enregistrements, d’autres contrôleurs de domaine et ordinateurs peuvent trouver des informations relatives à Active Directory. Le contrôleur de domaine doit inscrire ses enregistrements auprès de son propre serveur DNS.
Pour transférer des requêtes DNS externes, ajoutez les serveurs DNS de l’ISP en tant que redirecteurs DNS dans le console de gestion DNS. Si vous ne configurez pas de redirecteurs, utilisez les serveurs d’indicateurs racine par défaut. Dans les deux cas, si vous souhaitez que le serveur DNS interne soit transféré à un serveur DNS Internet, vous devez également supprimer la racine « ». (également appelé « point ») zone dans la console de gestion DNS dans le dossier Zones de recherche directe.
- Si le contrôleur de domaine qui héberge DNS a plusieurs cartes réseau installées, vous devez désactiver une carte pour l’inscription de noms DNS.
Pour plus d’informations sur la configuration correcte du DNS dans ce cas, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
292822 problèmes de résolution de noms et de connectivité sur un serveur de routage et d’accès à distance qui exécute également DNS ou WINS
Pour vérifier les paramètres du client DNS de votre contrôleur de domaine, tapez la commande suivante à l’invite de commandes pour afficher les détails de la configuration de votre protocole Internet (IP) : ipconfig /all
Pour modifier la configuration du client DNS du contrôleur de domaine, procédez comme suit :
Cliquez avec le bouton droit sur Mes emplacements réseau, puis sélectionnez Propriétés.
Cliquez avec le bouton droit sur Connexion à la zone locale, puis sélectionnez Propriétés.
Sélectionnez Protocole Internet (TCP/IP), puis sélectionnez Propriétés.
Sélectionnez Avancé, puis sélectionnez l’onglet DNS . Pour configurer les informations DNS, procédez comme suit :
- Dans les adresses du serveur DNS, dans l’ordre d’utilisation , ajoutez les adresses de serveur DNS recommandées.
- Si la résolution de noms non qualifiés est définie sur Ajout de ces suffixes DNS (dans l’ordre), Microsoft vous recommande de répertorier le nom de domaine DNS Active Directory en premier (en haut).
- Vérifiez que le suffixe DNS pour ce paramètre de connexion est identique au nom de domaine Active Directory.
- Vérifiez que la case à cocher Inscrire cette connexion dans DNS est cochée.
- Cliquez sur OK à trois reprises.
Si vous modifiez les paramètres du client DNS, vous devez effacer le cache du programme de résolution DNS et inscrire les enregistrements de ressources DNS. Pour effacer le cache du programme de résolution DNS, tapez la commande suivante à l’invite de commandes :
ipconfig /flushdns
Pour inscrire les enregistrements de ressources DNS, tapez la commande suivante à l’invite de commandes :ipconfig /registerdns
Pour vérifier que les enregistrements DNS sont corrects dans la base de données DNS, démarrez le console de gestion DNS. Il doit y avoir un enregistrement hôte pour le nom de l’ordinateur. (Cet enregistrement hôte est un enregistrement « A » en mode Avancé.) Il doit également y avoir un enregistrement SOA (Start of Authority) et un enregistrement de serveur de noms (NS) qui pointe vers le contrôleur de domaine.
Contrôleur de domaine sans DNS installé
Si vous n’utilisez pas le DNS intégré à Active Directory et que vous avez des contrôleurs de domaine qui n’ont pas dns installés, Microsoft vous recommande de configurer les paramètres du client DNS en fonction de ces spécifications :
- Configurez les paramètres du client DNS sur le contrôleur de domaine pour qu’il pointe vers un serveur DNS faisant autorité pour la zone qui correspond au domaine où l’ordinateur est membre. Un serveur DNS principal et secondaire local est préféré en raison des considérations relatives au trafic réseau étendu (WAN).
- S’il n’existe aucun serveur DNS local disponible, pointez sur un serveur DNS accessible par une liaison WAN fiable. Le temps de mise à jour et la bande passante déterminent la fiabilité.
- Ne configurez pas les paramètres du client DNS sur les contrôleurs de domaine pour qu’ils pointent vers les serveurs DNS de votre fournisseur de services Internet. Au lieu de cela, le serveur DNS interne doit être transféré aux serveurs DNS du fournisseur de services Internet pour résoudre les noms externes.
Serveurs membres Windows Server
Sur les serveurs membres Windows Server, Microsoft vous recommande de configurer les paramètres du client DNS en fonction de ces spécifications :
- Configurez les paramètres du client DNS principal et secondaire pour qu’ils pointent vers des serveurs DNS principaux et secondaires locaux (si des serveurs DNS locaux sont disponibles) qui hébergent la zone DNS pour le domaine Active Directory de l’ordinateur.
- S’il n’existe aucun serveur DNS local disponible, pointez vers un serveur DNS pour le domaine Active Directory de cet ordinateur qui peut être atteint via une liaison WAN fiable. Le temps de mise à jour et la bande passante déterminent la fiabilité.
- Ne configurez pas les paramètres DNS du client pour qu’ils pointent vers les serveurs DNS de votre fournisseur d’accès internet. Si vous le faites, vous pouvez rencontrer des problèmes lorsque vous essayez de joindre le serveur Windows Server au domaine, ou lorsque vous essayez de vous connecter au domaine à partir de cet ordinateur. Au lieu de cela, le serveur DNS interne doit configurer le transfert vers les serveurs DNS du fournisseur de services Internet pour résoudre les noms externes.
Serveurs non membres Windows Server
- Si vous avez des serveurs qui ne sont pas configurés pour faire partie du domaine, vous pouvez toujours les configurer pour utiliser des serveurs DNS intégrés à Active Directory comme serveurs DNS principaux et secondaires. Si vous avez des serveurs non membres dans votre environnement qui utilisent le DNS intégré à Active Directory, ils n’inscrivent pas dynamiquement leurs enregistrements DNS dans une zone configurée pour accepter uniquement les mises à jour sécurisées.
- Si vous n’utilisez pas le DNS intégré à Active Directory et que vous souhaitez configurer les serveurs non membres pour la résolution DNS interne et externe, configurez les paramètres du client DNS pour qu’ils pointent vers un serveur DNS interne qui transfère vers Internet.
- Si seule la résolution de noms DNS Internet est requise, vous pouvez configurer les paramètres du client DNS sur les serveurs non membres pour qu’ils pointent vers les serveurs DNS du fournisseur de services Internet.