3 DNS : administration et maintenance

DNS : administration et maintenance Cet atelier va énumérer et expliquer les pratiques les plus courantes d administration, de maintenance et de résolution de problèmes du service DNS. Son but est de vous donner tous les bons réflexes afin de vous aider en cas de difficultés ou si vous avez des questions. Utilisez-le comme une sorte de mémento, ayez-le touours sous la main. Les outils d administration les plus utilisés y sont aussi décrits. 125

DNS : administration et maintenance 3.1 Nettoyage des enregistrements Parmi les opérations de maintenance du service DNS, vous serez sûrement amené à purger les enregistrements obsolètes. En effet, les enregistrements de ressources DNS tombent souvent dans l obsolescence suite au retrait d ordinateurs ou à la modification d adresses IP sans notification. SCRIPT INTERFACE GRAPHIQUE Le nettoyage permet d éliminer ces enregistrements. Par défaut, cette fonction est désactivée mais vous pouvez l activer de cette façon : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d administration puis sur DNS. 2 Cliquez du bouton droit sur le serveur et sélectionnez Propriétés. 3 Sélectionnez l onglet Avancé. 4 Cochez l option Activer le nettoyage automatique des enregistrements obsolètes. 5 Sélectionnez un délai et cliquez sur OK. b Figure 3.1 : Nettoyage des enregistrements Attention, cette fonction permet d alléger la base de données mais un emploi excessif peut provoquer des pertes de données. 126

DNS dans l observateur d événements 3 SCRIPT Par script, cela donne : strcomputer = "." Set obwmiservice = GetObect("winmgmts:" _ & "{impersonationlevel=impersonate}!\\" & strcomputer & _ "\root\microsoftdns") Set colitems = obwmiservice.execquery _ ("Select * from MicrosoftDNS_Zone Where Name = corp.educsoft.net ") For Each obitem in colitems errresult = obitem.ageallrecords(,1) Next Copiez le script dans le Bloc-notes Windows, enregistrez-le sous le nom CleanDNS.vbs et lancez-le par la commande wscript CleanDNS.vbs. 3.2 DNS dans l observateur d événements Journal des événements DNS C est devenu un réflexe conditionné pour tout administrateur qui se respecte, la première des choses à faire dans le cadre d un dépannage consiste à eter un œil aux ournaux de l observateur d événements. Windows Server 2003 facilite ce travail car un ournal spécial DNS existe. De plus, il est directement consultable depuis le composant logiciel enfichable DNS. Ce ournal contient des événements consignés par le service Serveur DNS. Par exemple, lors de l arrêt ou du démarrage du serveur DNS, un message d événement correspondant est inscrit dans ce ournal. Les événements d erreur du service DNS y sont également enregistrés, par exemple lorsque le serveur démarre mais que les transferts de zone échouent ou quand les informations de zone nécessaires au démarrage ne sont pas disponibles. Pour consulter le ournal des événements DNS via le composant logiciel enfichable DNS, procédez ainsi sur le serveur STLSRCDC01 : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d administration puis sur DNS. 2 Dans l arborescence de la console, déroulez le menu Observateur d événements et cliquez sur Evénements DNS. 127

DNS : administration et maintenance m Figure 3.2 : Journal des événements DNS Analyse des erreurs De nombreux moyens sont à votre disposition pour analyser les erreurs rapportées dans le ournal des événements, notamment la base de connaissances Microsoft à l adresse suivante : http://support.microsoft.com. Vous pouvez filtrer le type d événements qui seront consignés dans le ournal d événements DNS de la façon suivante : 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d administration puis sur DNS. 2 Dans l arborescence de la console, cliquez du bouton droit sur le serveur DNS puis sur Propriétés. 3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur Enregistrement des événements. 4 Choisissez le niveau de filtre que vous préférez. 128

DNS dans l observateur d événements 3 m Figure 3.3 : Enregistrement des événements Journal des enregistrements de débogage DNS L enregistrement de débogage DNS est un ournal facultatif pour DNS, qui stocke les informations DNS que vous sélectionnez. Dans la mesure où, d une manière générale, l enregistrement dans un ournal consomme des ressources du serveur, l enregistrement de débogage n est pas activé par défaut. Il est configuré au niveau du serveur DNS et ses paramètres ont donc une incidence sur toutes les zones hébergées sur le serveur DNS. Le ournal des enregistrements de débogage DNS permet de collecter des données DNS spécifiques dans le fichier dns.log. Par exemple, si vous voulez connaître les types de requêtes envoyées par un ordinateur au serveur DNS, vous pouvez configurer l enregistrement de débogage DNS pour qu il recueille uniquement les informations relatives aux requêtes DNS entrantes utilisant les protocoles UDP ou TCP à partir d une adresse IP particulière. L enregistrement de débogage DNS peut utiliser les ressources de manière intense, ce qui risque de pénaliser les performances générales du serveur ainsi que l espace disque consommé. Par conséquent, son utilisation doit être réservée à des actions temporaires, appliquées uniquement lorsque des informations plus détaillées au suet des performances du serveur sont requises. L enregistrement de débogage DNS permet donc de collecter des informations en écrivant dans le ournal tout le trafic DNS qui correspond aux critères définis pour l enregistrement de débogage. Même principe qu un ournal d événements 129

DNS : administration et maintenance classique : l enregistrement se poursuit usqu à ce que la taille de ournal spécifiée soit atteinte ou que le lecteur sur lequel se trouve le fichier ournal vienne à manquer d espace disponible. Une fois la limite en terme de taille de fichier atteinte, le processus d enregistrement commence à écraser les entrées les plus anciennes. Les fichiers ournaux peuvent devenir très volumineux, c est pourquoi il est recommandé de les stocker sur un lecteur distinct. Voici comment activer l enregistrement de débogage DNS sur STLSRCDC01. 1 Ouvrez DNS. Pour cela, cliquez sur Démarrer puis sur Panneau de configuration. Double-cliquez sur Outils d administration puis sur DNS. 2 Dans l arborescence de la console, cliquez du bouton droit sur le serveur DNS puis cliquez sur Propriétés. 3 Dans la boîte de dialogue Propriétés de STLSRCDC01, cliquez sur Enregistrement de débogage. 4 Sous cet onglet, activez la case à cocher Enregistrer les paquets dans le ournal pour le débogage. 5 Sélectionnez les options de critère de débogage voulues pour définir les informations que vous souhaitez consigner dans le fichier ournal. 6 Dans le champ Chemin et nom de fichier, tapez le chemin d accès au répertoire de stockage du ournal de débogage et le nom du fichier ournal. Si vous ne spécifiez pas le chemin d accès et le nom, le chemin par défaut est %systemroot%\system32\dns et le nom par défaut est dns.log. m Figure 3.4 : Enregistrement de débogage 130

DNS dans l observateur d événements 3 Après validation, l enregistrement de débogage commence. Pour consulter le ournal, vous devrez ouvrir le fichier ournal spécifié à l aide du Bloc-notes. m Figure 3.5 : Dns.log Le tableau ci-après présente les options de critères de débogage que vous pouvez choisir. Tableau 3.1 : Options de critères de débogage DNS Options Valeurs Description Direction du paquet Sortant Des informations sur les paquets envoyés par le serveur DNS sont consignées dans le fichier ournal du serveur DNS. Entrant Des informations sur les paquets reçus par le serveur DNS sont consignées dans le fichier ournal. Contenu du paquet Demandes/transferts Enregistre des informations sur les paquets contenant des requêtes standard dans le fichier ournal du serveur DNS. Mises à our Enregistre des informations sur les paquets contenant des requêtes standard dans le fichier ournal du serveur DNS. Notifications Enregistre des informations sur les paquets contenant des notifications dans le fichier ournal du serveur DNS. Protocole de transport UDP Enregistre des informations sur les paquets envoyés et reçus via UDP dans le fichier ournal du serveur DNS. TCP Enregistre des informations sur les paquets envoyés et reçus via TCP dans le fichier ournal du serveur DNS. Type de paquet Demande Enregistre des informations sur les paquets de demande dans le fichier ournal du serveur DNS. Réponse Enregistre des informations sur les paquets de réponse dans le fichier ournal du serveur DNS. 131

DNS : administration et maintenance Tableau 3.1 : Options de critères de débogage DNS Options Valeurs Description Autres options Filtrer les paquets par adresse IP Fournit d autres options de filtrage des paquets au suet desquels des informations sont consignées dans le fichier ournal du serveur DNS. Cette option permet d enregistrer dans le ournal des informations sur les paquets envoyés à partir d adresses IP spécifiques vers un serveur DNS ou inversement. Chemin et nom de fichier Indique le nom et l emplacement du fichier ournal du serveur DNS. Taille maximale (octets) Définit la taille de fichier maximale du fichier ournal du serveur DNS. 3.3 Compteurs de l analyseur de performances L analyseur de performances, souvent mésestimé, peut donner des informations détaillées très utiles en cas de problèmes sur le réseau. En ce qui concerne DNS, de nombreux compteurs peuvent être activés pour analyser les requêtes, les transferts de zones, l utilisation de la mémoire, etc. En tout, 62 compteurs de performance dédiés à DNS sont disponibles de base sous Windows Server 2003 avec SP1. Voici quelques compteurs pouvant se révéler utiles. b Figure 3.6 : Aout des compteurs de performance DNS Mises à our dynamiques refusées. Nombre total de mises à our dynamiques refusées par le serveur DNS. Requêtes récursives/seconde. Nombre moyen de requêtes récursives reçues par un serveur DNS chaque seconde. 132

Problèmes de résolution côté client 3 Demandes AXFR envoyées. Nombre total de transferts de zone complets envoyés par le service Serveur DNS lorsqu il oue le rôle d un serveur secondaire pour une zone. Pour les entreprises incluant MOM (Microsoft Operations Manager), il existe un Management Pack dédié à la surveillance et à l analyse des performances de DNS. 3.4 Problèmes de résolution côté client Le cache client Les clients DNS (dont la version de système d exploitation est supérieure ou égale à Windows 2000) possèdent un cache intégré leur permettant de conserver les informations obtenues de serveurs de noms. Lors d une requête, le résolveur du client analyse d abord le cache local avant de contacter le serveur de noms configuré. Les entrées du cache demeurent usqu à expiration de leur valeur TTL associée, ou usqu à ce que la machine soit redémarrée ou le cache purgé. Au cas où des informations erronées auraient été écrites en cache, vous pouvez purger le cache en tapant ipconfig/flushdns. LIGNES DE COMMANDES Vous pouvez même arrêter la mise en cache DNS de la façon suivante : 1 Ouvrez une invite de commandes. 2 Tapez net stop dnscache. m Figure 3.7 : Arrêt de la mise en cache client Attention, les performances globales de l ordinateur client baissent et le trafic réseau pour les requêtes DNS augmente si le cache de résolution DNS est désactivé. Plus finement, vous pouvez contrôler le temps de mise en cache côté client grâce à une série de clés de registre que voici : 1 Ouvrez l Éditeur du Registre en tapant regedit.exe. 133

DNS : administration et maintenance 2 Recherchez la clé suivante dans le Registre et cliquez dessus : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache \Parameters. 3 Dans le menu Edition, pointez sur Nouveau, cliquez sur Valeur DWORD puis aoutez les valeurs de Registre suivantes. Tableau 3.2 : Valeurs de registre de contrôle de temps de mise en cache du client Nom de la valeur Type de données Valeur par défaut Données de la valeur MaxCacheTtl REG_DWORD 86 400 secondes (soit 1 our) Si vous baissez la valeur de durée de vie maximale dans le cache DNS du client à 1 seconde, vous aurez l impression que le cache DNS côté client a été désactivé. MaxNegative CacheTtl REG_DWORD 900 secondes (soit 15 minutes) Si vous ne voulez pas que les réponses négatives soient mises en cache, définissez la valeur sur 0. Le résolveur aoute à son cache les réponses positives ou négatives à une requête, ce qui explique les 2 valeurs de registre. 4 Tapez la valeur à utiliser puis cliquez sur OK. 5 Quittez l Éditeur du Registre. Le fichier HOSTS du client Par défaut, tous les clients possèdent un fichier HOSTS mettant en correspondance des noms et leurs adresses IP respectives. Il est situé par défaut à l endroit suivant : %systemroot%\system32\drivers\etc. Voici une vue d un fichier HOSTS vide, tel qu il devrait apparaître si vous ne voulez pas faire appel à ce fichier. m Figure 3.8 : Fichier HOSTS 134

Nslookup 3 Des problèmes peuvent se produire lorsque des entrées du fichier sont en conflit avec les enregistrements de ressource de la zone DNS. Lors d un dépannage, il est conseillé de s assurer qu il n y a pas conflit. 3.5 Nslookup Nslookup est un utilitaire de ligne de commandes employé pour diagnostiquer les éventuels problèmes liés à l infrastructure DNS. Il est peut-être l un des plus utiles au quotidien. Vous serez amené à l utiliser régulièrement. Nslookup offre la possibilité d exécuter le test de requête sur des serveurs DNS et d obtenir des réponses détaillées. Ces informations sont utiles pour procéder au dépannage de la résolution de noms, vérifier que des enregistrements de ressources ont été correctement aoutés ou mis à our dans une zone et effectuer le débogage en cas d autres problèmes liés au serveur. Nslookup peut être exécuté dans deux modes : Interactif. Ce mode permet de taper des commandes dans Nslookup et d afficher les résultats à une invite de commandes. Utilisez-le si vous avez besoin de plusieurs éléments de données. Non interactif. Ce mode permet d exécuter une commande Nslookup en une seule étape, c est-à-dire soit en l exécutant seul à partir de la ligne de commandes, soit en l insérant dans un fichier de commandes. Il fournit comme sortie un élément de données unique. Cette sortie peut être enregistrée dans un fichier texte afin d être consultée ultérieurement. Nslookup Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR doit exister pour le serveur sur lequel vous voulez effectuer une recherche. Au démarrage, Nslookup effectue une recherche inversée sur l adresse IP du serveur qui exécute le service Serveur DNS et signale une erreur s il est incapable de résoudre l adresse en nom. Cette erreur ne nuit pas aux performances normales de Nslookup en ce qui concerne les diagnostics. nslookup Permet de diagnostiquer les problèmes liés à l infrastructure DNS. Syntaxe : Syntaxe : nslookup [-options] # mode interactif utilisant le serveur par défaut nslookup [-options] - serveur # mode interactif utilisant serveur 135

DNS : administration et maintenance Syntaxe : Syntaxe : serveur nslookup [-options] hôte # recherche hôte en utilisant le serveur par défaut nslookup [-options] hôte serveur # recherche hôte en utilisant serveur Permet de spécifier le serveur à utiliser en tant que serveur DNS. Si vous omettez le serveur, le serveur DNS par défaut actuellement configuré est utilisé. hôte Si vous indiquez l adresse IP d un ordinateur, Nslookup renvoie le nom d hôte correspondant. Si vous indiquez le nom d hôte d un ordinateur, Nslookup renvoie l adresse IP correspondante. Si le nom d hôte que vous interrogez ne présente pas de point final, le nom de domaine DNS par défaut est aouté à la fin. Pour rechercher un ordinateur présent hors du domaine DNS en cours, aoutez un point à la fin du nom. Nslookup comprend des options importantes, notamment la commande set, qui vous permettent d orienter et d affiner votre diagnostic. Les options les plus importantes sont les suivantes : set all affiche les options, le serveur actuel et l hôte. set [no]debug.set [no]d2 set [no]defname set [no]recurse set [no]search set [no]vc set domain=nom set srchlist=n1[/n2/.../n6] set root=nom set retry=x set timeout=x set type=x set querytype=x affiche des informations de débogage. affiche toutes les informations de débogage. aoute le nom de domaine à chaque requête. donne une réponse récursive aux requêtes. utilise la liste de recherche du domaine. utilise touours un circuit virtuel. donne le nom NOM au serveur de domaine par défaut. donne au domaine le nom N1 et liste de recherche N1,N2, etc. donne au serveur racine le nom NOM. effectue X tentatives. fixe la durée d attente initiale à X secondes. fixe le type de requête (ex. A,ANY,CNAME,MX,NS,PTR,SRV). identique à type. 136

Nslookup 3 set class=x set [no]msxfr fixe la classe de requête (ex. IN (Internet), ANY). utilise le transfert de zone rapide MS. set ixfrver=x version à utiliser dans les requêtes de transfert IXFR. Pour être concret, si vous souhaitez tester la résolution de l hôte sbdxrcdc01.educsoft.net par exemple : 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup sbdxrcdc01.educsoft.net puis validez. Vous obtiendrez le retour suivant. Si vous souhaitez savoir si l enregistrement de type PTR est présent sur le serveur DNS en question, touours pour le même hôte, procédez comme suit : 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup puis validez. 4 Tapez set query=ptr (ou set q=ptr ou set type=ptr) puis validez. 5 Tapez 172.50.1.1. Vous obtiendrez le retour suivant. b Figure 3.9 : Commande nslookup b Figure 3.10 : Commande nslookup 137

DNS : administration et maintenance Encore plus intéressant, si vous souhaitez vérifier si les enregistrements DNS de ressources SRV ont été créés pour un contrôleur de domaine. Il est conseillé d appliquer cette procédure après chaque configuration d un serveur DNS et d Active Directory ou si vous suspectez des problèmes DNS, notamment quand les administrateurs ont des difficultés à oindre les stations de travail au domaine. 1 Sur votre serveur, cliquez sur Démarrer puis sur Exécuter. 2 Dans la zone Ouvrir, tapez cmd. 3 Tapez nslookup puis validez. 4 Tapez set type=all puis validez. 5 Tapez _ldap._tcp.dc._msdcs.educsoft.net puis validez. Vous obtiendrez le retour suivant. Vous pourrez en déduire si vous êtes en conformité avec vos attentes. m Figure 3.11 : Commande nslookup 3.6 Ipconfig Ipconfig est, lui aussi, un outil très utile lors de la résolution de problèmes DNS. Vous savez que cet outil n est pas dédié qu à cette tâche et qu il sert surtout à du dépannage TCP/IP plus global. C est pourquoi, ici, seules les commandes en relation avec DNS seront présentées. Ipconfig dispose de certaines fonctions utiles dans le cas d un diagnostic pour DNS et plus particulièrement en ce qui concerne un diagnostic côté client DNS. 138

Tracert 3 Ipconfig/flushdns. Si vous rencontrez des problèmes liés au cache client, cette commande vous permettra de purger ce cache. Elle supprime toutes les entrées présentes et se révèle particulièrement utile si un serveur a changé d adresse IP et que des clients aient des difficultés à s y connecter. Ipconfig/registerdns. Cette fonction force le client à s enregistrer dynamiquement dans la zone DNS, si toutefois celle-ci accepte les mises à our dynamiques. Ipconfig/displaydns. Cette option renvoie le contenu du cache du client. Elle est utile pour résoudre des problèmes concernant des enregistrements individuels. m Figure 3.12 : Commande Ipconfig 3.7 Tracert Tracert est un outil qui vous donne une idée du chemin que parcourt une requête DNS lorsqu elle est envoyée sur le réseau. De par son mécanisme de fonctionnement, cette commande est idéale pour les noms d hôtes situés sur Internet mais peut également se révéler utile sur le réseau local de l entreprise. En voici deux exemples : Le premier avec un avec un nom d hôte internet. 139

DNS : administration et maintenance m Figure 3.13 : Commande tracert Le second avec un nom d hôte de l entreprise. m Figure 3.14 : Commande tracert Dans ce cas, à partir du serveur STLSRCDC01, la requête DNS passe par le routeur dont l adresse IP est 172.50.0.1 pour atteindre l hôte sbdxrcdc01.educsoft.net. 3.8 Dnscmd DNSCmd est un outil inclus dans les support tools Windows Server 2003. Support tools Windows Server 2003 Les support tools se trouvent sur le CD-ROM de Windows Server 2003, dans le répertoire Support. DNScmd permet à l administrateur d effectuer de nombreuses tâches d administration du système DNS sur le serveur DNS et ce, à partir d une invite de 140

Dnscmd 3 commandes. Considérez DNScmd comme la version ligne de commandes du composant logiciel enfichable DNS. Avec DNSCmd, vous pouvez contrôler l inscription dynamique des enregistrements de ressources DNS, y compris la mise à our DNS sécurisée, en plus de l annulation de leur inscription. DNSCmd se révèle utile si vous devez réaliser une tâche de configuration DNS sur plusieurs serveurs DNS. Au lieu de faire appel à l outil d administration DNS, vous pouvez utiliser la ligne de commandes. DNSCmd est également utile si vous devez modifier à distance des paramètres du serveur DNS. Il est en effet possible de créer un fichier de commandes comprenant la commande DNSCmd et de l envoyer à un serveur DNS pour l exécuter à distance. dnscmd Utilitaire d administration du service DNS Syntaxe : dnscmd <Nom_Serveur> <Commande> [<Paramètres_Commande>] Nom_Serveur Indique le serveur DNS que l administrateur veut gérer. Il peut être représenté par le nom d ordinateur local, l adresse IP, le nom de domaine pleinement qualifié (FQDN) ou le nom d hôte. Si vous omettez le nom de serveur, c est le serveur local qui est utilisé. Parmi les commandes offertes par l outil DNScmd, en voici quelques-unes des plus intéressantes, utilisées pour configurer DNS. /Info Donne des informations sur le serveur. /Config /EnumZones /Statistics /ClearCache /WriteBackFiles /StartScavenging /ResetListenAddresses /ResetForwarders Initialise la configuration du serveur ou de la zone. Liste les zones. Affiche ou réinitialise les statistiques d un serveur. Réinitialise le cache du serveur DNS. Réécrit le fichier de données de la racine ou d une zone. Initialise le balayage de serveur. Paramètre l adresse IP du serveur pour servir les requêtes DNS. Paramètre les serveurs DNS pour réexpédier les interrogations récursives à. 141

DNS : administration et maintenance /ZoneInfo /ZoneAdd /ZoneDelete /ZonePause /ZoneResume /ZoneReload /ZoneWriteBack /ZoneRefresh /ZoneUpdateFromDs /ZonePrint /ZoneResetType /ZoneResetSecondaries /ZoneResetScavenge Servers /ZoneResetMasters /ZoneExport /ZoneChangeDirectory Partition /EnumRecords /RecordAdd /RecordDelete /NodeDelete /AgeAllRecords Rend visible les informations de la zone. Crée une nouvelle zone sur le serveur DNS. Supprime une zone sur le serveur DNS ou Active Directory. Passe une zone en pause. Réactive une zone. Recharge une zone à partir de la base de données (fichier ou Active Directory). Réécrit une zone vers un fichier. Met à our une zone à partir du maître. Met à our une zone intégrée à Active Directory. Affiche tous les enregistrements d une zone. Change le type de zone. Initialise les informations de notification pour une zone. Réinitialise le balayage de serveurs pour une zone. Réinitialise la zone secondaire des serveurs maîtres. Exporte une zone vers un fichier. Déplace une zone vers une autre partition d annuaire. Énumère les enregistrements. Aoute un enregistrement dans une zone. Supprime un enregistrement d une zone. Supprime tous les enregistrements à un nom. Force le vieillissement d un nœud sur une zone. /EnumDirectoryPartitions Énumère les partitions d annuaire. /DirectoryPartitionInfo Donne les informations sur une partition d annuaire. /CreateDirectoryPartition Crée une partition d annuaire. /DeleteDirectoryPartition Supprime une partition d annuaire. 142

DNSLint 3 /EnlistDirectoryPartition Aoute un serveur DNS à l étendue de réplication d une partition. /UnenlistDirectory Partition Supprime un serveur DNS de l étendue de réplication d une partition. /CreateBuiltinDirectory Crée des partitions de type built-in. Partitions DNScmd se révèle pratique, par exemple, pour forcer la réplication de zone. m Figure 3.15 : Exemple DNScmd 3.9 DNSLint DNSLint est un outil inclus dans les support tools Windows Server 2003. Cet utilitaire peut exécuter une série de requêtes, facilitant ainsi le diagnostic des problèmes courants liés à la résolution de noms DNS. Afin de faciliter le diagnostic et la résolution des problèmes qu entraînent des enregistrements DNS manquants ou incorrects, il est utile de s assurer de la cohérence d un ensemble particulier d enregistrements DNS sur plusieurs serveurs DNS. Par exemple, comme déà évoqué avec l utilitaire nslookup, si des clients éprouvent des difficultés à ouvrir une session dans le domaine, vérifiez si les enregistrements SRV, utilisés par les clients pour rechercher les serveurs LDAP et Kerberos, sont disponibles et exacts. Vous déterminerez ainsi plus facilement si les paramètres DNS sont à l origine du problème. Vous pouvez avoir un autre usage de cet outil, notamment si vous recevez des rapports établissant que certains de vos clients ne parviennent pas à accéder à votre site web sur Internet. Il est alors intéressant de contrôler rapidement avec DNSLint tous les enregistrements DNS impliqués dans la batterie de serveurs web sur 143

DNS : administration et maintenance chacun des serveurs DNS censés contenir ces enregistrements. De cette manière, vous saurez instantanément si des enregistrements DNS manquants ou incorrects peuvent être la cause du problème. Il est possible également que des problèmes entravent la remise du courrier électronique. Si vous parvenez à envoyer des messages sans toutefois en recevoir, la résolution de noms peut être à l origine du problème. Pour établir un diagnostic, vous pouvez, avec DNSLint, vérifier tous les enregistrements DNS sur tous les serveurs DNS employés pour résoudre l adresse IP du serveur de messagerie. DNSLint possède trois fonctions qui vérifient les enregistrements DNS et génèrent un rapport en HTML : DNSLINT /d diagnostique les causes possibles de délégations inappropriées et d autres problèmes DNS apparentés. DNSLINT /ql vérifie un ensemble défini par l utilisateur d enregistrements DNS sur plusieurs serveurs DNS. DNSLINT /ad vérifie les enregistrements DNS spécifiquement employés pour la réplication Active Directory. Les commutateurs /d, /ql et /ad ne peuvent pas être utilisés en même temps. Ils sont suivis de nombreux autres commutateurs que vous découvrirez en interrogeant l aide de cet outil. Voici l exemple qui permet de générer un rapport HTML. m Figure 3.16 : Exemple DNSLint en ligne de commandes 144

Questions Réponses 3 b Figure 3.17 : Rapport HTML de DNSLint 3.10 Questions Réponses En guise de conclusion sur la maintenance DNS, voici une série de questionsréponses qui vous aideront à effectuer vos tâches quotidiennes. Question. Quelles sont les erreurs les plus courantes lorsque les administrateurs configurent le DNS sur un réseau qui ne contient qu un contrôleur de domaine Windows Server 2003? Le contrôleur de domaine ne pointe pas sur lui-même pour la résolution de DNS sur toutes les interfaces réseau. La zone "." (racine) est présente sous les zones de recherche directe dans le DNS. Ou d autres ordinateurs du réseau local ne pointent pas vers le serveur DNS pour le DNS. Question. Pourquoi faire pointer mon contrôleur de domaine sur lui-même pour le DNS? Le service Accès réseau sur le contrôleur de domaine inscrit un certain nombre d enregistrements dans le DNS, permettant aux autres contrôleurs de 145

DNS : administration et maintenance domaine et ordinateurs de rechercher des informations concernant Active Directory. Si le contrôleur de domaine pointe vers le serveur DNS du fournisseur de services Internet, le service Accès réseau n inscrit pas les enregistrements corrects pour Active Directory et des erreurs sont générées dans l Observateur d événements. Dans Windows Server 2003, la configuration DNS recommandée consiste à configurer le client DNS sur tous les serveurs DNS pour qu ils s utilisent comme leur propre serveur DNS principal, et pour qu ils utilisent un contrôleur de domaine différent dans le même domaine que l autre serveur DNS, de préférence un autre contrôleur de domaine sur le même site. Ce processus contourne également le problème de l îlot du DNS dans Windows 2000. Vous devez touours configurer les paramètres clients du DNS sur l interface réseau de chaque contrôleur de domaine pour utiliser les adresses des autres serveurs DNS en plus de l adresse de serveur DNS principale. Question. Quels sont les éléments inscrits par le contrôleur de domaine dans le DNS? Le service Accès réseau inscrit tous les enregistrements SRV pour ce contrôleur de domaine. Ces enregistrements sont affichés sous la forme de dossiers _msdcs, _sites, _tcp et _udp dans la zone de recherche directe correspondant à votre nom de domaine. D autres ordinateurs effectuent des recherches dans ces enregistrements pour trouver des informations liées à Active Directory. Question. Pourquoi ne puis-e pas utiliser WINS pour la résolution de noms comme sous Windows NT 4? Un contrôleur de domaine Windows Server 2003 n inscrit pas les informations concernant Active Directory sur un serveur WINS ; il inscrit uniquement ces informations sur un serveur DNS prenant en charge les mises à our dynamiques, comme un serveur DNS Windows 2000 ou Windows Server 2003. D autres ordinateurs Windows 2000 et Windows Server 2003 n interrogent pas WINS pour rechercher des informations concernant Active Directory. Question. Si e supprime les paramètres de serveur DNS du fournisseur de services Internet du contrôleur de domaine, comment résout-il les noms tels que Microsoft.com sur Internet? Tant que la zone "." n est pas présente sous les zones de recherche directe dans le DNS, le service DNS utilise les serveurs d indications de racine. Il s agit de serveurs bien connus sur Internet qui permettent à tous les serveurs DNS de résoudre les interrogations de noms. Question. Qu est-ce que la zone "." dans la zone de recherche directe? Ce paramètre désigne le serveur DNS en tant que serveur d indications de racine et est généralement supprimé. Si vous ne supprimez pas ce paramètre, 146

Questions Réponses 3 vous ne pourrez peut-être pas effectuer une résolution de noms externe sur les serveurs d indications de racine sur Internet. Question. Est-il nécessaire de configurer les redirecteurs dans le DNS? Non. DNS utilise par défaut les serveurs d indications de racine sur Internet. Vous pouvez toutefois configurer les redirecteurs pour envoyer directement des requêtes DNS au serveur DNS de votre fournisseur d accès à Internet ou à d autres serveurs DNS. Dans la maorité des cas, les performances et l efficacité du DNS augmentent lorsque vous configurez les redirecteurs, mais cette configuration peut également introduire un point faible si des problèmes se présentent au niveau du serveur DNS de transfert. Le serveur d indications de racine peut fournir un niveau de redondance en échange d un trafic DNS légèrement plus élevé sur la connexion Internet. Question. Dois-e faire pointer les autres ordinateurs du réseau local vers les serveurs DNS de mon fournisseur d accès à Internet? Non. Si un serveur ou une station de travail ne trouve pas le contrôleur de domaine dans le DNS, vous risquez d être confronté à des problèmes lorsque l ordinateur devient membre du domaine ou se connecte à celui-ci. Pour un ordinateur Windows 2000 ou Windows Server 2003, le paramètre DNS préféré doit pointer vers le contrôleur de domaine exécutant DNS. Si vous utilisez le protocole DHCP, veillez à employer l option d étendue 015 pour les paramètres de serveur DNS corrects de votre réseau local. Question. Est-il nécessaire de faire pointer vers le serveur DNS Windows Server 2003, les ordinateurs Windows NT 4? Les anciens systèmes d exploitation continuent d utiliser NetBIOS pour la résolution de noms afin de rechercher un contrôleur de domaine. Il est cependant recommandé de faire pointer l ensemble des ordinateurs vers le serveur DNS Windows Server 2003 pour la résolution de noms. Question. Qu en est-il si le serveur DNS se trouve derrière un serveur proxy ou un pare-feu? Si vous pouvez interroger les serveurs DNS du fournisseur d accès à Internet alors que vous vous trouvez derrière un serveur proxy ou un pare-feu, le serveur DNS peut interroger les serveurs d indications de racine. Les ports TCP et UDP 53 doivent être ouverts sur le serveur proxy ou le pare-feu. Question. Que dois-e faire si le contrôleur de domaine pointe vers lui-même pour le DNS, mais que les enregistrements SRV ne s affichent touours pas dans la zone? Recherchez la présence d un espace de noms disoint, exécutez les opérations de dépannage de base. En cas de non-résolution, vous pouvez également exécuter la commande Netdiag.exe /fix. 147

DNS : administration et maintenance m Figure 3.18 : Commande Netdiag /fix Question. Comment configurer le DNS pour les autres contrôleurs de domaine du domaine qui exécutent DNS? Pour chaque contrôleur de domaine supplémentaire qui exécute DNS, le paramètre DNS préféré correspond au serveur DNS parent (premier contrôleur de domaine du domaine) et le paramètre DNS secondaire à l adresse IP réelle de l interface réseau. 3.11 Check-list Dans cet atelier vous avez appris à maîtriser : a le nettoyage des enregistrements ; a les ournaux d événements DNS ; a les compteurs de performance ; a le cache client ; a les fichiers Hosts ; a Nslookup ; a Ipconfig ; a Tracert ; a DNScmd ; a DNSLint. 148