Partager via

Configuration de la partition DNS

  • Article

Cet article explique comment configurer la récupération du système dns (Domain Name System) et donne un exemple de configuration de la récupération sur une zone préexistante.

La suppression des enregistrements obsolètes dans DNS est nettoyée (supprime). Comme la suppression est impliquée, de nombreuses vannes de sécurité sont intégrées à la casse, ce qui prend beaucoup de temps pour permettre la casse.

Note

Cet article se concentre sur le scénario DNS Windows le plus courant : les serveurs DNS Windows Server hébergeant des zones intégrées Active Directory (AD).

Dans Windows Server, le balayage doit être défini à trois emplacements suivants :

  1. Sur l’enregistrement de ressource individuel à délimiter.
  2. Sur une zone à délimiter.
  3. Sur un ou plusieurs serveurs effectuant une partition.

Paramètres de nettoyage sur l’enregistrement de ressource

Dans la console MMC (DNS Microsoft Management Console), sélectionnez Afficher>avancé et vérifiez les propriétés d’un enregistrement de ressource pour afficher les paramètres de récupération. Par exemple :

Capture d’écran de la vérification des propriétés d’un enregistrement de ressource pour afficher les paramètres de capture d’écran.

La correction d’un enregistrement de ressource peut être définie dans trois méthodes :

  • La première consiste à cocher Supprimer cet enregistrement lorsqu’il devient obsolète et en sélectionnant Appliquer. Lorsque vous sélectionnez Appliquer, l’heure actuelle est arrondie à l’heure la plus proche et appliquée comme horodatage sur l’enregistrement. L’horodatage des enregistrements statiques est 0, ce qui indique qu’ils ne sont pas délimités.
  • La deuxième méthode consiste à créer un enregistrement par une machine cliente qui s’inscrit à l’aide du DNS dynamique (DDNS). Les clients Windows mettent à jour dynamiquement DNS toutes les 24 heures. Tous les enregistrements DDNS sont définis pour se venger. Lorsqu’un enregistrement est créé pour la première fois par un client qui n’a pas d’enregistrement existant, il est considéré comme une « mise à jour » et un horodatage est défini. Si le client a un enregistrement hôte existant et modifie l’adresse IP de l’enregistrement hôte, il s’agit également d’une « mise à jour » et d’un horodatage défini. Si le client a un enregistrement hôte existant avec la même adresse IP, il est considéré comme une « Actualisation » et si l’horodatage change dépend des paramètres de zone.
  • La troisième façon de définir la partition sur les enregistrements consiste à utiliser la commande dnscmd /ageallrecords . Si vous exécutez cette commande sur une zone, elle définit l’horodatage et l’horodatage de tous les enregistrements de la zone, y compris les enregistrements statiques que vous ne souhaitez pas délimiter.

Une fois qu’un horodatage est défini sur un enregistrement, il est répliqué sur tous les serveurs qui hébergent la zone.

Note

Si la zone qui héberge l’enregistrement n’active pas la récupération, elle n’est pas en cours, de sorte que l’horodatage n’est pas pertinent. L’horodatage peut être mis à jour sur le serveur sur lequel le client s’inscrit dynamiquement, mais il ne sera pas répliqué sur d’autres serveurs de la zone.

Paramètres de récupération sur la zone

Avant qu’un serveur vérifie un enregistrement pour voir s’il sera délimité, la zone doit être activée. Pour accéder aux paramètres de récupération d’une zone, cliquez avec le bouton droit sur la zone, sélectionnez Propriétés, puis sélectionnez Vieillissement sous l’onglet Général .

Capture d’écran de la Fenêtre Propriétés de vieillissement de la zone.

Note

La capture d’écran est la même sur n’importe quel serveur DNS où cette zone est répliquée.

Lorsque vous définissez pour la première fois la récupération sur une zone, l’horodatage (affiché en bas) est défini sur l’heure actuelle du jour (arrondi à l’heure la plus proche) plus l’intervalle d’actualisation. Ce paramètre est également réinitialisé chaque fois que la zone est chargée ou que les mises à jour dynamiques sont activées sur la zone.

Note

Si vous ne voyez pas la zone peut être débarquée après l’horodatage, rechargez la zone.

La zone peut être échassée après l’horodatage est la première vanne de sécurité. Il donne aux clients le temps de mettre à jour leurs horodatages d’enregistrement. Étant donné que de nouveaux horodatages d’enregistrement ne sont pas répliqués lorsque la récupération de zone est désactivée, cela donne également le temps de réplication de garder les choses dans l’ordre.

Intervalles d’actualisation et sans actualisation

Les vannes de sécurité suivantes sont les intervalles d’actualisation et d’actualisation. Une fois les deux intervalles écoulés, un enregistrement peut être supprimé.

L’intervalle sans actualisation est une période pendant laquelle un enregistrement de ressource ne peut pas être actualisé. Une « actualisation » est une mise à jour dynamique où vous ne modifiez pas l’enregistrement de ressource hôte ; il suffit de toucher l’horodatage. Si un client modifie l’adresse IP d’un enregistrement hôte, il est considéré comme une « mise à jour » et est exempté de l’intervalle d’actualisation non actualisé. L’objectif d’un intervalle d’actualisation non est de réduire le trafic de réplication. Une modification d’un enregistrement signifie que la modification doit être répliquée.

Une fois que l’horodatage d’enregistrement plus l’intervalle d’actualisation n’a pas expiré, vous pouvez entrer un intervalle d’actualisation. L’intervalle d’actualisation est l’heure à laquelle les actualisations de l’horodatage sont autorisées. Le client est autorisé à entrer et à mettre à jour son horodatage. Cet horodatage sera répliqué, et l’intervalle d’actualisation non démarre à nouveau. Si le client ne parvient pas à mettre à jour son enregistrement pendant l’intervalle d’actualisation, il devient éligible à l’enregistrement.

Note

Lorsque vous définissez les intervalles d’actualisation et d’actualisation, laissez suffisamment de temps aux clients pour effectuer plusieurs tentatives d’inscription pendant l’intervalle d’actualisation. Si ce n’est pas le cas, un enregistrement peut devenir éligible à la récupération en raison d’une tentative d’actualisation ayant échoué.

Si vous cliquez avec le bouton droit sur votre serveur et sélectionnez Définir le vieillissement/scavenging pour toutes les zones..., une capture d’écran similaire à celle ci-dessus s’affiche. Cette option définit les paramètres par défaut qui seront utilisés lorsque ce serveur crée une zone. Sauf si vous activez la case à cocher Appliquer ces paramètres aux zones intégrées à Active Directory existantes, le paramètre n’affecte pas les zones existantes.

Paramètres de sauvegarde sur le serveur

Pour définir la casse sur le serveur, cliquez avec le bouton droit sur le serveur dans la console MMC, puis sélectionnez Propriétés. Ensuite, activez la case à cocher Activer la récupération automatique des enregistrements obsolètes sous l’onglet Avancé comme suit :

Capture d’écran des propriétés du serveur avec la case à cocher Activer la récupération automatique des enregistrements obsolètes cochée sous l’onglet Avancé.

La valeur de la période de sauvegarde est la fréquence à laquelle ce serveur scavenges. Lorsqu’un serveur scavenges, il journalise un ID d’événement DNS 2501 pour indiquer le nombre d’enregistrements qui sont épinglé. Si aucun enregistrement n’est enregistré, l’ID d’événement 2502 est enregistré. Un seul serveur est nécessaire pour se venger, car les données de zone sont répliquées sur tous les serveurs hébergeant la zone.

Conseil

En obtenant l’horodatage sur l’ID d’événement le plus récent 2501 ou 2502 et en y ajoutant la période de récupération, vous pouvez indiquer exactement quand un serveur tente de se venger.

Bien que vous puissiez définir chaque serveur hébergeant la zone pour se venger, nous vous recommandons simplement d’avoir un seul ensemble. Si le serveur ne parvient pas à se venger, il n’aura pas d’impact sérieux. Vous aurez un endroit pour rechercher la suspicion et un ensemble de journaux à vérifier. Si vous avez de nombreux serveurs configurés pour se venger, vous avez de nombreux journaux d’activité pour vérifier si la panne échoue.

Pour contrôler le serveur qui se sert d’une zone, vous pouvez utiliser la commande dnscmd pour spécifier exactement quels serveurs peuvent se venger. Par exemple, la dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 commande autorise uniquement les serveurs DNS avec des adresses IP de 192.168.1.1 et 192.168.1.2 à se venger sur la contoso.com zone.

Processus de basculement et vérifications finales

Vous pouvez également lancer manuellement une tentative d’échec en cliquant avec le bouton droit sur le serveur et en sélectionnant Scavenge Stale Resource Records. Notez que les tentatives manuelles ne contournent pas les vannes de sécurité.

Vérifiez les éléments suivants avant de supprimer les enregistrements obsolètes :

  • La récupération est-elle activée sur la zone ?
  • La mise à jour dynamique est-elle activée sur la zone ?
  • Le serveur de récupération est-il répertorié comme l’un des serveurs de récupération pour la zone ?
  • L’horodatage « zone peut-il être dépassé après » sur la zone ?
    Cela permet aux clients et à la réplication AD d’être préparés avant de commencer.
  • A-t-il été plus long que l’intervalle d’actualisation depuis la dernière réplication de cette zone dans Active Directory ?
    Si la sauvegarde est activée sur un serveur qui rencontre des problèmes de réplication, cela peut empêcher la suppression inutile d’enregistrements qui peuvent toujours être valides sur d’autres serveurs.

Si toutes les vérifications ci-dessus sont passées, la zone est prête pour la récupération. À ce stade, le serveur de nettoyage vérifie l’horodatage sur chaque enregistrement de ressource. Si la date et l’heure actuelles sont supérieures à l’horodatage plus les intervalles d’actualisation et d’actualisation, l’enregistrement est supprimé.

Exemple : définition de la récupération sur une zone préexistante

Voici un exemple de configuration de la récupération sur une zone préexistante. Cette procédure est conçue pour une sécurité maximale. Si vous utilisez des paramètres par défaut, ce processus peut prendre quatre à cinq semaines (deux semaines pour la phase de vérification de l’intégrité et deux à trois semaines pour la phase d’activation).

Phase de configuration

  1. Désactivez la casse sur tous les serveurs. Vous pouvez utiliser la commande pour limiter la dnscmd /zoneresetscavengeservers casse à un seul serveur, puis vérifier que ce serveur a été désactivé.
  2. Activez la casse sur les zones que vous souhaitez venger. Définissez les intervalles d’actualisation et d’actualisation comme vous le souhaitez. Pour se venger plus efficacement, nous vous recommandons de réduire l’intervalle d’actualisation sans actualisation et de laisser l’intervalle d’actualisation par défaut.
  3. Ajoutez la date d’aujourd’hui ainsi que les intervalles d’actualisation et d’actualisation. Revenez dans quelques semaines lorsque cette période s’est écoulée.

Phase de vérification de la santé

Recherchez les enregistrements antérieurs à l’intervalle d’actualisation et d’actualisation dans vos enregistrements DNS. Si vous le voyez, il existe un problème avec le processus d’inscription dynamique, qui doit être corrigé avant de continuer. Une vérification approfondie à ce stade est l’étape la plus importante de la configuration.

Éléments à vérifier si vous trouvez d’anciens enregistrements :

  • La ipconfig /registerdns commande fonctionne-t-elle ?
  • Qui est le propriétaire de l’enregistrement (voir l’onglet Sécurité dans les propriétés d’enregistrement) ?
  • L’enregistrement est-il créé de façon statique par un administrateur, puis activé pour la sauvegarde ? Dans ce cas, vous devez supprimer l’enregistrement pour effacer la propriété et exécuter la ipconfig /registerdns commande pour la mettre à jour.
  • La réplication Active Directory du serveur fonctionne-t-elle correctement ?

Ne procédez pas, sauf si vous pouvez expliquer les enregistrements obsolètes. Dans la phase suivante, ils seront supprimés.

Activer la phase

Vous pouvez utiliser la commande pour activer la dnscmd /zoneresetscavengeservers partition sur un seul serveur.

Une fois le balayage activé, créez un enregistrement de test et activez-le pour la partitionner. Ensuite, mappez le point dans le temps où cet enregistrement disparaît. Voici la procédure à suivre :

  1. Commencez par l’horodatage sur l’enregistrement.
  2. Ajoutez l’intervalle d’actualisation.
  3. Ajoutez l’intervalle d’actualisation sans actualisation.
  4. Le résultat sera votre temps « éligible à lavenge ». L’enregistrement ne disparaîtra pas pour l’instant.
  5. Vérifiez les journaux d’événements DNS pour les ID d’événement 2501 et 2502 pour rechercher quand le serveur DNS exécute la casse.
  6. En fonction de votre heure « éligible à lavenge », recherchez l’ID d’événement 2501 ou l’ID d’événement 2502 le plus récent, puis ajoutez la période de décalage du serveur (à partir de l’onglet Avancé des propriétés du serveur) à celle-ci.
  7. Il s’agit du moment où l’enregistrement de test disparaît.

Par exemple :

  • Une zone est définie sur un intervalle d’actualisation de 3 jours et un intervalle d’actualisation de 3 jours.
  • La période de nettoyage du serveur est définie sur trois jours.
  • Le dernier ID d’événement DNS 2501 ou 2502 s’est produit à 6 heures le 1/1/2008.
  • Vous avez un enregistrement avec un horodatage de 1/1/2008 à 12:00 (midi).

Compte tenu de ces hypothèses, vous pouvez prédire que l’enregistrement sera supprimé à environ 6 heures le 10/10/2008. Voici un diagramme de l’exemple.

Diagramme d’une prédiction sur l’enregistrement à supprimer.

Une fois la capture d’événements activée, vous pouvez vérifier régulièrement l’ID d’événement 2501 et 2502 pour voir comment les choses se passent. Vous pouvez également revenir à la date et à l’heure prédites et voir si votre enregistrement de test a disparu.