Configuration de BIND (Berkeley Internet Name Domain) pour la prise charge d'Active Directory

Sur cette page

Configuration de BIND (Berkeley Internet Name Domain) pour la prise charge d'Active Directory
Introduction
Autres lectures
Utilisation du système DNS par Windows 2000
Résolution du nom d'hôte
Localisation de services
Enregistrements du localisateur de services (enregistrements SRV)
Exemples d'enregistrements SRV
Active Directory et DNS
Exigences de DNS pour la prise en charge d'Active Directory
Versions BIND satisfaisant aux conditions requises par Active Directory
Fonction des données DNS Active Directory
Configuration de BIND pour la prise en charge d'Active Directory
Connaissances requises
Problèmes d'interopérabilité entre Active Directory et BIND 8
BIND 9
Identification de la version BIND
Configuration de BIND pour la prise en charge d'Active Directory
Configuration de NAMED.CONF
Résumé d'entrée de zone dans BIND 8
Exemple d'entrée de zone dans BIND 8
Exemple BIND 9
Fin de la configuration BIND
Configuration des contrôleurs de domaine pour l'utilisation des serveurs DNS BIND
Imposition des enregistrements DNS
Test et vérification
Validation des données dans le fichier de base de données de zone
Résumé

Configuration de BIND (Berkeley Internet Name Domain) pour la prise charge d'Active Directory

Système d'exploitation

De Bob Carver
3 Leaf Solutions LLC

Résumé

Ce document décrit l'utilisation du système DNS (Domain Name System) par le système d'exploitation Microsoft® Windows® 2000 et Active Directory™, et indique les conditions requises pour prendre en charge Active Directory. Active Directory permet de centraliser les tâches de comptabilité, de sécurité et d'administration. Ce service permet de centraliser l'administration d'ordinateurs, de serveurs et de services (tels que les services de serveur Web). La gestion d'Active Directory peut être complètement automatisée par le biais de scripts. En outre, elle facilite les mouvements ou la redistribution des données sur les serveurs ou les fermes de serveurs, offre des stratégies de sécurité pouvant être utilisées pour renforcer automatiquement les ordinateurs et accélère le déploiement des modifications de configuration sur les ordinateurs. Active Directory propose ces avantages aux organisations de toute taille, permettant ainsi aux administrateurs système de réduire les frais généraux administratifs.

Microsoft recommande l'utilisation du serveur DNS fourni avec Windows 2000 pour la prise en charge d'Active Directory et pour bénéficier de toutes les autres fonctionnalités DNS. De nombreux environnements peuvent avoir des implémentations DNS non-Microsoft, et souhaiteront peut-être implémenter Active Directory avant d'effectuer la migration vers le serveur DNS de Microsoft. Ce document examine les exigences DNS pour la prise en charge d'Active Directory, les enregistrements du localisateur de services, les enregistrements Active Directory stockés dans DNS et les problèmes d'interopérabilité qui découlent de l'utilisation des serveurs DNS BIND pour la prise en charge d'Active Directory. En outre, il fournit des exemples d'implémentations BIND et décrit les procédures servant à configurer BIND pour la prise en charge d'Active Directory et à vérifier que les enregistrements DNS sont correctement ajoutés à la base de données de zone sur un serveur BIND. Ce livre blanc n'aborde pas les caractéristiques essentielles de DNS ou la conception de l'infrastructure DNS.

Introduction

Le serveur DNS fourni avec Windows 2000 Server est un serveur DNS basé sur la norme IETF prenant en charge Active Directory et proposant une interopérabilité totale avec d'autres implémentations du serveur DNS basées sur des normes. De plus, il offre d'excellentes performances ainsi que des options d'administration graphiques et par scripts, et permet une installation et une configuration rapides. Pour toutes ces raisons, le serveur DNS Windows 2000 est recommandé pour la prise en charge des réseaux Windows 2000 et d'Active Directory. De nombreux environnements peuvent avoir des implémentations DNS non-Microsoft, et souhaiteront peut-être implémenter Active Directory avant d'effectuer la migration vers le serveur DNS de Microsoft. Ce livre blanc aborde les conditions requises pour la configuration de serveurs DNS BIND en vue de la prise en charge d'Active Directory afin de faciliter cette migration, avant la migration vers le serveur DNS de Microsoft.

Active Directory propose de nombreuses fonctionnalités qui réduisent les frais généraux administratifs et qui renforcent la sécurité. Il est probable que les administrateurs système souhaitent implémenter Active Directory pour tirer profit de ces fonctionnalités. L'objet de ce document est donc d'assister les administrateurs souhaitant utiliser les serveurs BIND existants pour la prise en charge d'Active Directory. Il aborde les questions d'interopérabilité entre Active Directory et BIND, de configuration BIND et de test et de vérification de la prise en charge BIND d'Active Directory.

Ce document s'adresse aux personnes ayant une bonne connaissance du système DNS. Il fournit une vue d'ensemble sur la façon dont Windows 2000 et Active Directory utilisent DNS, sur les enregistrements stockés par Active Directory dans DNS et sur les conditions DNS minimum requises pour prendre en charge Active Directory. Il n'aborde pas les caractéristiques essentielles du système DNS ; consultez la section Autres lectures pour accéder à la liste des ressources sur ce sujet et d'autres rubriques connexes.

Autres lectures

• Livre blanc sur le système DNS de Windows 2000

• Chapitre Designing the Active Directory Structure du guide Deployment Planning Guide

• Livres blancs Active Directory

• “ DNS and BIND ” (Cricket Liu) publié par O'Reilly and Associates, 3e édition ISBN : 1-56592-512-2

Utilisation du système DNS par Windows 2000

Résolution du nom d'hôte

Tout comme tout autre hôte utilisant le protocole IP (Internet Protocol), Windows 2000 utilise le système DNS principalement pour résoudre les noms Internet en adresses IP (résolution de nom d'hôte) et les adresses IP en noms de domaine complets (recherche inversée).

Localisation de services

Le système DNS est la principale méthode de résolution de noms utilisée par les ordinateurs Windows 2000 pour localiser des services sur le réseau, y compris la localisation de contrôleurs de domaine pour la connexion. Le système DNS dans Windows 2000 remplace les fonctions de localisation fournies par le service WINS. WINS est l'implémentation Microsoft du service de noms NetBIOS, qui était utilisée dans les versions antérieures de Windows NT® pour localiser les contrôleurs de domaine et autres services de réseau. (Les clients de bas niveau tels que Windows NT 3.5 et 3.51, Windows NT 4.0, Windows 95 et Windows 98 requièrent toujours les serveurs WINS pour localiser les services de réseau.) Les services de réseau et les contrôleurs de domaine sont publiés dans DNS à l'aide des enregistrements SRV.

Enregistrements du localisateur de services (enregistrements SRV)

Les enregistrements de ressource SRV (définis dans le document RFC 2782) permettent à plusieurs serveurs fournissant un service TCP/IP similaire d'être localisés par le biais d'une simple opération de requête DNS. Ces enregistrements vous permettent de conserver une liste de serveurs pour un port de serveur et un type de protocole de transport connus, classée par préférence pour un nom de domaine DNS. Par exemple : les enregistrements SRV offrent la possibilité aux clients Windows 2000 de localiser les contrôleurs de domaine qui utilisent le service LDAP (Lightweight Directory Access Protocol) sur le port TCP 389.

L'objet de chacun des champs spécialisés utilisés dans un enregistrement de ressource SRV est défini ci-dessous :

• service Un nom symbolique pour le service souhaité. Pour les services connus, un nom symbolique universel réservé tel que “ _telnet ” ou “ _smtp ” est défini dans le document RFC 1700. Si ce n'est pas le cas, un nom local ou retenu par l'utilisateur peut être utilisé. Certains services TCP/IP largement utilisés, notamment le protocole POP (Post Office Protocol), n'ont pas de nom symbolique universel unique. Si le document RFC 1700 attribue un nom à un service indiqué dans ce champ, le nom défini est le seul nom légal utilisable. Seuls les services définis localement peuvent être nommés localement.

• protocole Indique le type de protocole de transport. Par défaut, il s'agit du protocole TCP ou UDP, même si tout protocole de transport nommé dans le document RFC 1700 peut être utilisé.

• nom Le nom de domaine DNS auquel l'enregistrement de ressource fait référence. L'enregistrement de ressource SRV est unique parmi les autres types d'enregistrements DNS car il n'est pas utilisé pour effectuer une recherche ou une requête.

• priorité Définit les préférences pour un hôte spécifié dans le champ cible. Les clients DNS qui lancent une recherche d'enregistrements de ressource SRV essaient de contacter le premier hôte accessible de la préférence numérotée la plus basse de cette liste. Bien que les hôtes cibles aient la même valeur de préférence fixée, la tentative de contact peut s'effectuer de manière aléatoire. La plage de valeurs de préférence s'étend de 0 à 65 535.

• poids Peut être utilisé en plus de la préférence pour fournir un mécanisme d'équilibrage de charge dans lequel plusieurs serveurs sont spécifiés dans le champ cible et sont définis au même niveau de préférence. Lors de la sélection d'un hôte serveur cible parmi ceux de préférence égale, cette valeur peut être utilisée pour définir un niveau de préférence ajouté pouvant servir à déterminer l'ordre ou l'équilibre exact de la sélection des hôtes cibles utilisés dans une requête SRV satisfaite. Lorsqu'une valeur autre que zéro est utilisée, les serveurs de préférence égale sont essayés proportionnellement au poids de cette valeur. La plage de valeurs s'étend de 1 à 65 535. Si l'équilibrage de charge n'est pas nécessaire, utilisez une valeur 0 dans ce champ pour que l'enregistrement soit plus facile à lire.

• port Il s'agit du port du serveur sur l'hôte cible qui fournit le service indiqué dans le champ service. La plage de numéros de ports s'étend de 0 à 65 535, bien que le numéro corresponde souvent à un numéro de port de service affecté connu, tel qu'il est spécifié dans le document RFC 1700. Les ports non affectés peuvent être utilisés suivant les besoins.

• cible Spécifie le nom de domaine DNS de l'hôte qui fournit le type de service demandé. Pour chaque nom d'hôte utilisé, un enregistrement de ressource d'adresse hôte (A) correspondante dans l'espace de noms DNS est requis. Un seul point (.) peut être utilisé dans ce champ pour indiquer de façon autoritaire que le service demandé spécifié dans cet enregistrement de ressource SRV n'est pas disponible dans ce nom de domaine DNS.

Exemples d'enregistrements SRV

Syntaxe : service.protocole.nom ttl classe SRV préférence poids port cible Exemple : _ldap._tcp.ms-dcs SRV 0 0 389 dc1.exemple.microsoft.com SRV 10 0 389 dc2.exemple.microsoft.com

Active Directory et DNS

Exigences de DNS pour la prise en charge d'Active Directory

Pour qu'un serveur DNS puisse prendre en charge Active Directory, il doit prendre en charge les enregistrements SRV afin de pouvoir localiser les contrôleurs de domaine dans le cadre d'authentifications et de requêtes.

Un domaine Windows 2000 est représenté par un nom de domaine DNS (par exemple, nt.microsoft.com.). Chaque contrôleur de domaine enregistre son adresse dans DNS en utilisant la mise à jour dynamique DNS standard (ces enregistrements peuvent être ajoutés manuellement si le serveur DNS ne prend pas en charge les mises à jour dynamiques). Chaque contrôleur de domaine enregistre un enregistrement hôte (enregistrement A) et plusieurs enregistrements SRV.

Par exemple, un contrôleur de domaine nommé dcl dans le domaine ad.mydom.com. avec une adresse IP 4.2.2.3 enregistrerait les enregistrements suivants dans DNS :

dc1.ad.mydom.com. A 4.2.2.3 _ldap._tcp.ad.mydom.com. SRV 0 0 389 dc1.ad.mydom.com. _kerberos._tcp.ad.mydom.com. SRV 0 0 88 dc1.ad.mydom.com. _ldap._tcp.dc._msdcs.ad.mydom.com. SRV 0 0 389 dc1.ad.mydom.com. _kerberos._tcp.dc._msdcs.ad.mydom.com. SRV 0 0 88 dc1.ad.mydom.com.

D'autres contrôleurs de domaine dans le même domaine effectueront des enregistrements similaires dans DNS.

Microsoft recommande que les serveurs DNS prenant en charge Active Directory prennent également en charge les mises à jour dynamiques, comme il est décrit dans le document RFC 2136. La prise en charge des mises à jour dynamiques n'est pas essentielle au fonctionnement d'Active Directory. Les enregistrements associés à Active Directory peuvent être ajoutés manuellement aux données de zone prenant en charge un domaine Active Directory. Toutefois, cette opération peut prendre beaucoup de temps compte tenu du nombre d'enregistrements effectués par chaque contrôleur de domaine. Lorsqu'un contrôleur de domaine est promu, un fichier nommé NETLOGON.DNS est créé dans le répertoire %racinesystème%\system32\config. Ce fichier contient toutes les entrées DNS qui seraient enregistrées par le contrôleur de domaine. Il peut être utile lors de l'entrée statique des enregistrements DNS Active Directory.

Versions BIND satisfaisant aux conditions requises par Active Directory

La version 8.2.2 correctif 7 ou ultérieure offre une prise en charge totale des enregistrements SRV (document RFC 2782) et du système DNS dynamique (document RFC 2136).

Les versions citées ici fournissent une version de base répondant aux critères de prise en charge d'Active Directory. Cette recommandation ne prend pas en compte les mises à jour ou les correctifs devant être appliqués à une version BIND quelconque en raison de problèmes de performance ou de sécurité. Pour obtenir des informations sur les versions, les correctifs BIND et les problèmes liés à l'exécution de BIND, consultez le site Internet Software Consortium  .

Fonction des données DNS Active Directory

Les différents enregistrements effectués par les contrôleurs de domaine publient les différents services proposés, y compris :

• les services d'authentification (centres de distribution de clés Kerberos (KDC, Kerberos Key Distribution Centers)) ;

• les services LDAP et de catalogue global, qui permettent aux clients d'interroger les contrôleurs de domaine pour obtenir des informations concernant les objets dans Active Directory ;

• FONT class=ListPara1>les informations de site Active Directory, qui permettent aux clients de rechercher des contrôleurs de domaine locaux auxquels ils peuvent soumettre des requêtes ou des demandes d'authentification.

Par exemple, l'objet des exemples d'enregistrements est défini ci-dessous :

dc1.ad.mydom.com. A 4.2.2.3

Enregistrement hôte pour le contrôleur de domaine.

_ldap._tcp.ad.mydom.com. SRV 0 0 389 dc1.ad.mydom.com.

Permet à un client de rechercher un serveur LDAP dans le domaine ad.mydom.com auquel il peut soumettre des requêtes pour rechercher des objets dans Active Directory. Tous les contrôleurs de domaine Windows NT du domaine ad.mydom.com enregistrent ce nom.

_kerberos._tcp.ad.mydom.com. SRV 0 0 88 dc1.ad.mydom.com.

Permet à un client de localiser un KDC Kerberos pour le domaine. Tous les contrôleurs de domaine des centres de distribution fournissant le service Kerberos (utilisé pour l'authentification et l'accès aux ressources) enregistrent ce nom. Tous les contrôleurs de domaine exécutant le service KDC Kerberos dans le domaine ad.mydom.com enregistrent ce nom.

_ldap._tcp.dc._msdcs.ad.mydom.com. SRV 0 0 389 dc1.ad.mydom.com.

Permet à un client de rechercher un contrôleur de domaine dans le domaine ad.mydom.com. Tous les contrôleurs de domaine Windows NT du domaine ad.mydom.com enregistrent ce nom.

_kerberos._tcp.dc._msdcs.ad.mydom.com. SRV 0 0 88 dc1.ad.mydom.com.

Permet à un client de rechercher un contrôleur de domaine exécutant un KDC Kerberos pour le domaine nommé ad.mydom.com. Tous les contrôleurs de domaine Windows NT exécutant le service Kerberos dans le domaine ad.mydom.com enregistrent ce nom.

gc._msdcs.ad.mydom.com SRV 0 0 3268 dc1.ad.mydom.com.

Permet à un client de rechercher un serveur de catalogue global dans la forêt Active Directory par le biais d'une recherche d'enregistrement A normale. Les catalogues globaux de la forêt enregistrent cette entrée.

Les contrôleurs de domaine effectuent d'autres enregistrements dans DNS. Pour obtenir la liste complète des enregistrements effectués par les contrôleurs de domaine Active Directory, et leur utilisation, consultez le livre blanc sur le système DNS de Windows 2000

Configuration de BIND pour la prise en charge d'Active Directory

Connaissances requises

Cette section s'adresse aux personnes ayant une bonne connaissance des systèmes d'exploitation UNIX et Linux, des techniques de navigation du système de fichiers, de la configuration de base du démon, des procédures de redémarrage du démon et de l'utilisation des éditeurs de texte.

Problèmes d'interopérabilité entre Active Directory et BIND 8

Comme indiqué précédemment, les enregistrements Active Directory contiennent des traits de soulignement. L'utilisation du trait de soulignement dans les noms d'hôtes (documents RFC 952 et 1123) et les domaines de messagerie (document RFC 821) est interdite, mais elle ne l'est pas dans les noms de domaine. Les traits de soulignement étant autorisés dans les noms de domaine (et compte tenu du nombre et de la complexité des enregistrements requis par Active Directory), Microsoft a choisi d'utiliser des traits de soulignement dans la partie nom de domaine des enregistrements pour réduire les risques de conflit entre les données Active Directory et les données DNS existantes.

Par défaut, BIND 8 considère comme non valide tout enregistrement contenant un trait de soulignement. BIND 8.x utilise la directive de vérification des noms pour restreindre le jeu de caractères des noms de domaine dans les fichiers maîtres et/ou dans les réponses DNS reçues du réseau. Vous devez donc désactiver l'option de vérification des noms pour permettre à BIND 8.x de prendre en charge Active Directory.

BIND 9

BIND 9x ne restreint pas le jeu de caractères des noms de domaine et n'implémente pas l'option de vérification des noms.

Identification de la version BIND

Vous pouvez utiliser l'utilitaire NSLookup pour déterminer la version de BIND exécutée sur un serveur DNS BIND. Pour cela, utilisez la commande suivante :

nslookup –q=txt –class=CHAOS version.bind.0

Configuration de BIND pour la prise en charge d'Active Directory

Pour configurer BIND afin qu'il prenne en charge Active Directory, vous devez configurer le fichier (de configuration) named.conf avec des informations spécifiques à l'annuaire Active Directory pris en charge, créer un fichier de zone pour le domaine pris en charge, puis redémarrer le démon nommé.

Configuration de NAMED.CONF

Le fichier named.conf, généralement situé dans le répertoire /etc, contient les paramètres de configuration du démon BIND et les informations de configuration concernant toutes les zones DNS qui seront prises en charge et desservies par BIND.

Ce livre blanc présente plusieurs directives BIND qui sont importantes pour la prise en charge d'Active Directory, à savoir :

• Options spécifie les options de serveur globales et définit les options par défaut pour d'autres instructions.

• Directory spécifie le répertoire de travail du serveur. Tout nom de chemin non absolu dans le fichier de configuration (les noms des fichiers de base de données de zone, par exemple) sera considéré comme lié à ce répertoire. Ce répertoire est l'emplacement par défaut pour la plupart des fichiers de sortie du serveur (ex : named.run). Si aucun répertoire n'est spécifié, le répertoire par défaut est “ . ”, répertoire à partir duquel le serveur a été démarré. Le chemin du répertoire spécifié doit être absolu.

• Zone spécifie le nom de la zone, et IN indique les types d'adresses Internet.

• Type indique s'il s'agit d'un serveur DNS principal ou secondaire pour la zone.

• File spécifie le nom du fichier de zone (dans lequel les données de zone seront stockées) dans le dossier spécifié par la directive du répertoire.

• Allow-update spécifie les hôtes autorisés à enregistrer de façon dynamique les enregistrements de cette zone. Les options de cette directive incluent le listage des hôtes par adresse IP ou nom d'hôte, ou le listage de sous-réseaux entiers. Les entrées doivent être séparées par un point-virgule (;). Tous les contrôleurs de domaine doivent être autorisés à mettre à jour la zone pour que les enregistrements hôte ou SRV requis pour prendre en charge Active Directory soient enregistrés. Vous souhaiterez peut-être autoriser d'autres clients et serveurs à effectuer des enregistrements automatiquement. Si cette directive n'est pas spécifiée, l'option allow-update est définie par défaut sur deny. Cette directive peut être placée dans la section Options et s'appliquer par défaut à toutes les zones, ou être définie zone par zone.

• Check-names désactive la fonctionnalité de vérification des noms dans BIND 8 et permet au serveur DNS BIND d'accepter les noms de domaine contenant les traits de soulignement (_) utilisés par Active Directory. Cette directive comprend trois paramètres : warn, fail et ignore. Si la directive check-names n'est pas spécifiée, la valeur par défaut est warn. Si la directive est définie sur warn ou fail, les mises à jour et les requêtes contenant des traits de soulignement sont rejetées. Cette directive doit être définie sur ignore dans BIND 8 pour la prise en charge d'Active Directory.

Il existe de nombreuses autres directives pouvant être utilisées pour configurer BIND, mais elles ne sont pas traitées dans ce livre blanc. Pour obtenir une documentation complète concernant le produit BIND, rendez-vous sur le site ISC BIND .

Résumé d'entrée de zone dans BIND 8

L'exemple suivant montre une entrée de zone dans le fichier named.conf

Options { directory "<nom du répertoire de travail>"; }; Zone "<Nom DNS du domaine Active Directory>" IN { type master; file "<fichier pour cette zone>"; allow-update { <address_match_list>; }; check-names ignore; };

Exemple d'entrée de zone dans BIND 8

L'exemple suivant est une entrée de zone prenant en charge un domaine Active Directory avec le nom “ ad.mydom.com ”. Le type de zone est principal (master) ; le fichier dans lequel les données de zone sont stockées se nomme “ db.ad.mydom.com ”, situé dans le répertoire “ /etc/namedb ”. L'ordinateur avec l'adresse IP 4.2.2.3 et l'ordinateur avec le nom d'hôte “ dc2 ” sont autorisés à soumettre des mises à jour dans la zone. La directive check-names est définie sur ignore (cela permet au serveur de traiter les demandes et les données contenant les traits de soulignement).

Remarque Les entrées précédées de “ // ” sont des commentaires et ne correspondent pas à des directives traitées par le serveur.

Options { directory "/etc/namedb"; //Répertoire de travail }; //Entrée de zone pour le domaine Active Directory ad.mydom.com. Zone "ad.mydom.com" IN { type master; file "db.ad.mydom.com"; allow-update { 4.2.2.3; dc2.; }; check-names ignore; };

Exemple BIND 9

Ce fichier est identique à celui de l'exemple BIND 8. Cependant, la directive de vérification des noms a été supprimée. BIND 9 ne restreint pas le jeu de caractères des noms de domaine et n'implémente pas l'option de vérification des noms.

Options { directory "/etc/namedb"; //Répertoire de travail }; //Entrée de zone pour le domaine Active Directory ad.mydom.com. Zone "ad.mydom.com" IN { type master; file "db.ad.mydom.com"; allow-update { 4.2.2.3; dc2.; }; };

Fin de la configuration BIND

Vous devez créer un fichier de zone pour prendre en charge la zone Active Directory dans le répertoire spécifié par la directive, puis redémarrer le démon nommé. À ce stade, les serveurs BIND doivent être prêts à recevoir des mises à jour de la zone Active Directory™. Vous pouvez maintenant configurer vos contrôleurs de domaine pour utiliser le serveur BIND comme serveur DNS principal.

Configuration des contrôleurs de domaine pour l'utilisation des serveurs DNS BIND

Pour configurer un contrôleur de domaine, ou un client Windows 2000 ou version ultérieure, afin d'utiliser un serveur BIND, vous devez simplement spécifier l'adresse IP du serveur BIND comme serveur DNS préféré dans les propriétés TCP/IP de la connexion réseau active.

Pour cela :

1. Cliquez avec le bouton droit sur Favoris réseau, puis sélectionnez Propriétés.

2. Cliquez avec le bouton droit sur la connexion réseau active, puis sélectionnez Propriétés.

3. Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur Propriétés

   

4. Tapez l'adresse IP du serveur BIND dans la zone Serveur DNS préféré. (Le graphique ci-dessous suppose que l'adresse IP du serveur BIND est 4.2.2.15).

   

Imposition des enregistrements DNS

Une fois le serveur DNS préféré configuré, vous pouvez forcer le réenregistrement de tous les enregistrements DNS avec le nouveau serveur DNS préféré. Vous pouvez agir de deux façons :

1. Redémarrez le service NETLOGON. Cette action peut être réalisée à partir du Panneau de configuration/Outils d'administration/Services. Cette opération ne déconnectera pas les utilisateurs en cours, mais aucun nouvel utilisateur ne pourra se connecter pendant l'arrêt du service. Le redémarrage du service NETLOGON dure en général moins d'une minute et met immédiatement à jour la base de données de zone DNS.

2. Exécutez IPCONFIG /REGISTERNDS à partir d'une invite. Cette action va obliger l'ordinateur à réenregistrer tous les enregistrements DNS auprès du serveur DNS préféré. IPCONFIG /REGISTERDNS n'enregistre pas les enregistrements immédiatement. Les enregistrements peuvent s'afficher dans la base de données de zone DNS au bout de 15 minutes maximum.

Test et vérification

Grâce à l'utilitaire NSLookup, vous pouvez vérifier que le serveur BIND est correctement configuré, accepte les mises à jour et répond aux requêtes pour le domaine Active Directory. Pour réaliser un test à l'aide de NSLookup, procédez comme suit :

1. Sur votre serveur DNS, démarrez l'utilitaire NSLookup en mode interactif.

2. Tapez set type=all, puis appuyez sur la touche Entrée (ceci spécifie que tous les types d'enregistrement doivent être retournés).

3. Tapez _ldap._tcp.dc._msdcs.domainname (domainname étant le nom de votre domaine ; n'oubliez pas d'inclure les traits de soulignement du début), puis appuyez sur la touche Entrée.

NSLookup retourne un ou plusieurs enregistrements SRV sous la forme suivante :

hostname.domainname internet address = ipaddress

hostname étant le nom d'hôte d'un contrôleur de domaine, domainname le domaine auquel le contrôleur de domaine appartient et ipaddress l'adresse IP du contrôleur de domaine.

Validation des données dans le fichier de base de données de zone

Vous pouvez également modifier les fichiers de base de données de zone sur le serveur BIND pour voir si les données de zone ont été ajoutées. Tous les fichiers de données liés à la zone se trouvent dans le répertoire de travail spécifié par la directive du répertoire. À noter que les mises à jour soumises à travers le système DNS dynamique peuvent ne pas apparaître immédiatement dans le fichier de zone. Les serveurs BIND stockent temporairement les mises à jour dynamiques dans un fichier IXFR (Transfert de zone incrémentiel). Les mises à jour sont ensuite ajoutées au fichier de base de données de zone en quelques minutes.

Par exemple :

Si la directive du répertoire spécifie un répertoire de travail “ /etc/namedb ” et l'entrée de zone spécifie un fichier “ db.ad.mydom.com ”, le fichier de base de données de zone se trouvera dans “ /etc/namedb/db.ad.mydom.com ”. Lors de la réception des mises à jour, un fichier IXFR est créé dans le répertoire de travail. Ce fichier a le même nom que le fichier de base de données de zone, mais il a l'extension “ .ixfr ”. Pour finir, un fichier IXFR pour le domaine ad.mydom.com se trouve dans “ /etc/namedb/db.ad.mydom.com.ixfr ”.

Résumé

Microsoft recommande l'utilisation du serveur DNS fourni avec Windows 2000 pour la prise en charge d'Active Directory et des réseaux Windows 2000. Le serveur DNS fourni avec Windows 2000 Server est un serveur DNS basé sur la norme IETF qui offre une prise en charge totale d'Active Directory et une interopérabilité avec d'autres implémentations du serveur DNS basées sur des normes. Toutefois, si les administrateurs souhaitent utiliser les serveurs DNS BIND existants pour prendre en charge Active Directory, ils peuvent le faire.

Tout serveur DNS prenant en charge Active Directory doit prendre en charge les enregistrements SRV (définis dans le document RFC 2782). En outre, il est vivement recommandé que le serveur DNS prenne également en charge le système DNS dynamique (défini dans le document RFC 2136).

Pour déployer correctement BIND en vue de la prise en charge d'Active Directory, vous devez utiliser BIND version 8.2.2 correctif 7 ou ultérieure. Vous devez configurer le fichier named.conf pour inclure une instruction de zone définissant le nom DNS du domaine Active Directory et spécifier l'emplacement du fichier de base de données de la zone. Vous devez définir la directive de vérification des noms check-names sur ignore (BIND 8 uniquement) et configurer la directive allow-update de façon à permettre aux contrôleurs de domaine d'enregistrer leurs données DNS à travers le système DNS dynamique.

Une fois le serveur BIND correctement configuré et le démon nommé redémarré, les propriétés TCP/IP des contrôleurs de domaine Windows 2000, des serveurs et des clients doivent être configurées avec l'adresse IP du serveur DNS BIND désigné comme serveur DNS préféré. Il est possible de redémarrer le service Netlogon sur un client Windows 2000 quelconque pour imposer l'enregistrement immédiat des enregistrements DNS auprès du serveur DNS BIND.

Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points soulevés au moment de la publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication.
Ce livre blanc est fourni pour information uniquement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de consultation ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent être couverts par des brevets, des dépôts de brevets en cours, des marques, des droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf indication expresse figurant dans un contrat de licence écrit émanant de Microsoft, la fourniture de ce document ne vous concède aucune licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.
Microsoft, Active Directory, Windows et Windows NT sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Les autres noms de produits ou de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis

Dernière mise à jour le lundi 22 octobre 2001

Pour en savoir plus

• Le site Microsoft Windows 2000

• Conception de la structure Active Directory

• Active Directory et DNS Windows 2000