Active Directory repose sur une infrastructure DNS correctement configurée et fonctionnelle. Si vous avez un problème Active Directory, il y a de fortes chances que vous ayez un problème DNS. La première chose à vérifier est le DNS. La deuxième chose à vérifier est le DNS. La troisième chose à vérifier est le DNS.
Qu’est-ce que le DNS exactement ?
Il s’agit d’un site pour professionnels, je suppose donc que vous avez au moins lu l’excellent article Wikipédia. En bref, le DNS permet de trouver des adresses IP en recherchant un appareil par son nom. Il est essentiel au fonctionnement d’Internet tel que nous le connaissons et fonctionne sur tous les réseaux locaux sauf les plus petits.
Le DNS, au niveau le plus basique, se décompose en trois éléments fondamentaux :
Les serveurs DNS : ce sont les serveurs qui détiennent les enregistrements pour tous les clients dont ils sont responsables. Dans Active Directory, vous exécutez le rôle de serveur DNS sur un ou plusieurs contrôleurs de domaine.
Les zones : les copies de zones sont hébergées par les serveurs. Si vous avez un AD nommé ad.example.com, alors il y a une zone sur vos contrôleurs de domaine ayant DNS installé nommée ad.example.com. Si vous avez un ordinateur nommé ordinateur et qu’il est enregistré auprès de ce serveur DNS, cela créera un enregistrement DNS nommé ordinateur dans ad.example.com et vous pourrez atteindre cet ordinateur via le nom de domaine pleinement qualifié (FQDN), qui serait ordinateur.ad.example.com.
Les enregistrements : comme je l’ai mentionné ci-dessus, les zones contiennent des enregistrements. Un enregistrement associe un ordinateur ou une ressource à une adresse IP spécifique. Le type d’enregistrement le plus courant est un enregistrement A, qui contient un nom d’hôte et une adresse IP. Le deuxième plus courant sont les enregistrements CNAME. Un CNAME contient un nom d’hôte et un autre nom d’hôte. Lorsque vous recherchez hostname1, il effectue une autre recherche et retourne l’adresse de hostname2. C’est utile pour masquer des ressources comme un serveur web ou un partage de fichiers. Si vous avez un CNAME pour intranet.ad.example.com et que le serveur derrière change, tout le monde peut continuer à utiliser le nom qu’il connaît et vous n’avez qu’à mettre à jour l’enregistrement CNAME pour pointer vers le nouveau serveur. Pratique, non ?
D’accord, quel est le rapport avec Active Directory ?
Lorsque vous installez Active Directory et le rôle de serveur DNS sur votre premier contrôleur de domaine dans le domaine, il crée automatiquement deux zones de recherche directe pour votre domaine. Si votre domaine AD est ad.example.com comme dans l’exemple ci-dessus (notez que vous ne devriez pas utiliser simplement « example.com » comme nom de domaine pour Active Directory), vous aurez une zone pour ad.example.com et _msdcs.ad.example.com.
À quoi servent ces zones ? EXCELLENTE QUESTION ! Commençons par la zone _msdcs. Elle contient tous les enregistrements dont vos machines clientes ont besoin pour trouver les contrôleurs de domaine. Elle inclut des enregistrements pour localiser les sites AD. Elle a des enregistrements pour les différents détenteurs de rôles FSMO. Elle contient même des enregistrements pour vos serveurs KMS, si vous exécutez ce service optionnel. Si cette zone n’existait pas, vous ne pourriez pas vous connecter à vos postes de travail ou serveurs.
Que contient la zone ad.example.com ? Elle contient tous les enregistrements pour vos ordinateurs clients, serveurs membres et les enregistrements A de vos contrôleurs de domaine. Pourquoi cette zone est-elle importante ? Pour que vos postes de travail et serveurs puissent communiquer entre eux sur le réseau. Si cette zone n’existait pas, vous pourriez probablement vous connecter, mais vous ne pourriez pas faire grand-chose d’autre que naviguer sur Internet.
Comment les enregistrements arrivent-ils dans ces zones ?
Eh bien, heureusement pour vous, c’est facile. Lorsque vous installez et configurez les paramètres du serveur DNS pendant dcpromo, vous devriez choisir d’autoriser les mises à jour sécurisées uniquement si le choix vous est proposé. Cela signifie que seuls les PC joints au domaine connus peuvent créer/mettre à jour leurs enregistrements.
Revenons un peu en arrière. Il y a plusieurs façons pour qu’une zone obtienne des enregistrements :
Ils sont automatiquement ajoutés par les postes de travail configurés pour utiliser le serveur DNS. C’est la méthode la plus courante et devrait être utilisée conjointement avec « Mises à jour sécurisées uniquement » dans la plupart des scénarios. Il y a quelques cas particuliers où vous ne voulez pas procéder ainsi, mais si vous avez besoin des connaissances de cette réponse, c’est la voie à suivre. Par défaut, un poste de travail ou serveur Windows mettra à jour ses propres enregistrements toutes les 24 heures, ou lorsqu’une carte réseau se voit attribuer une adresse IP, que ce soit via DHCP ou de manière statique.
Vous créez manuellement l’enregistrement. Cela peut arriver si vous devez créer un CNAME ou un autre type d’enregistrement, ou si vous voulez un enregistrement A qui n’est pas sur un ordinateur AD approuvé, peut-être un serveur Linux ou OS X que vous voulez que vos clients puissent résoudre par nom.
Vous laissez DHCP mettre à jour le DNS lorsque les baux sont distribués. Vous faites cela en configurant DHCP pour mettre à jour les enregistrements au nom des clients et en ajoutant le serveur DHCP au groupe AD DNSUpdateProxy. Ce n’est pas vraiment une bonne idée, car cela vous expose à l’empoisonnement de zone. L’empoisonnement de zone (ou empoisonnement DNS) est ce qui se produit lorsqu’un ordinateur client met à jour une zone avec un enregistrement malveillant et tente d’usurper l’identité d’un autre ordinateur sur votre réseau. Il existe des moyens de sécuriser cela, et cela a ses utilisations, mais vous feriez mieux de laisser cela tranquille si vous ne savez pas ce que vous faites.
Donc, maintenant que nous avons réglé cela, nous pouvons reprendre le fil. Vous avez configuré vos serveurs DNS AD pour n’autoriser que les mises à jour sécurisées, votre infrastructure tourne bien, puis vous réalisez que vous avez une tonne d’enregistrements en double ! Que faites-vous ?
Nettoyage DNS
Cet article est une lecture obligatoire. Il détaille les bonnes pratiques et les paramètres que vous devrez configurer pour le nettoyage. C’est pour Windows Server 2003, mais c’est toujours applicable. Lisez-le.
Le nettoyage est la réponse au problème des enregistrements en double posé ci-dessus. Imaginez que vous avez un ordinateur qui obtient l’IP 192.168.1.100. Il enregistrera un enregistrement A pour cette adresse. Ensuite, imaginez qu’il soit éteint pendant une période prolongée. Quand il est rallumé, cette adresse est prise par une autre machine, il obtient donc 192.168.1.120. Maintenant il y a des enregistrements A pour les deux.
Si vous nettoyez vos zones, ce ne sera pas un problème. Les enregistrements obsolètes seront supprimés après un certain intervalle et tout ira bien. Assurez-vous simplement de ne pas nettoyer tout par accident, comme en utilisant un intervalle d’un jour. N’oubliez pas, AD repose sur ces enregistrements. Configurez définitivement le nettoyage, mais faites-le de manière responsable, comme indiqué dans l’article ci-dessus.
Donc, vous avez maintenant une compréhension de base du DNS et de son intégration avec Active Directory. J’ajouterai des éléments au fil du temps, mais n’hésitez pas à ajouter vos propres contributions également.