Le petit câbleurAméliorations du DNS dans Windows Server 2008
Joseph Davies
Cet article se base sur une version préliminaire de Windows Server 2008. Toutes les informations contenues dans cet article sont susceptibles d’être modifiées.
Microsoft inclut un service de serveur DNS (Domain Name System) dans les versions de Windows Server depuis Windows NT 4.0.Le DNS est une base de données hiérarchique distribuée qui contient des mappages de noms de domaine DNS sur divers types de données, telles que les adresses IP.Avec Windows Server 2008, le service de serveur DNS inclut un nouveau
chargement de zone en arrière-plan, des améliorations pour la prise en charge d'IPv6, la prise en charge des contrôleurs de domaine en lecture seule (RODC) et la possibilité d'héberger des noms globaux en une partie.
Chargement de zone en arrière-plan
Le service du serveur DNS de Windows Server® 2008 accélère la récupération de données en implémentant le chargement de zone en arrière-plan.Par le passé, les entreprises avec des zones contenant de grands nombres d'enregistrements dans Active Directory® rencontraient des retards pouvant atteindre une heure ou plus lorsque le service du serveur DNS de Windows Server 2003 essayait de récupérer les données de DNS à partir d'Active Directory au redémarrage.Pendant ces retards, le serveur DNS était indisponible pour desservir les requêtes de client DNS pour ses zones hébergées.
Pour corriger ce problème, le service du serveur DNS de Windows Server 2008 récupère les données de zone d'Active Directory en arrière-plan après son démarrage, de sorte qu'il puisse répondre aux requêtes de données des autres zones.Lorsque le service démarre, il crée un ou plusieurs threads d'exécution pour charger les zones stockées dans Active Directory.Grâce à la présence de threads séparés pour le chargement les zones Active Directory, le service du serveur DNS peut répondre aux requêtes pendant le chargement de zone.Si un client DNS demande des données d'une zone qui a été déjà chargée, le serveur DNS répond en conséquence.Si la requête concerne des données d'une zone qui n'a pas encore été entièrement récupérée, le serveur DNS récupère plutôt les données spécifiques à partir d'Active Directory.
Cette capacité à récupérer des données spécifiques à partir d'Active Directory pendant le chargement de zone offre un avantage supplémentaire sur le stockage des informations de zone dans des fichiers, à savoir que le service du serveur DNS a la possibilité de répondre immédiatement aux requêtes.Lorsque la zone est stockée dans des fichiers, le service doit lire le fichier de façon séquentielle jusqu'à ce qu'il trouve les données.
Prise en charge améliorée pour IPv6
IPv6, dont il a déjà été question dans les éditions précédentes de cette rubrique, est une nouvelle suites de protocoles Internet standard.IPv6 est conçu pour résoudre bon nombre des problèmes de l'actuelle version (IPv4) tels que l'épuisement des adresses, la sécurité, la configuration automatique et le besoin d'extensibilité.
L'une des différences d'IPv6 réside dans le fait que ses adresses font 128 bits, alors que les adresses IPv4 font seulement 32 bits.Les adresses IPv6 sont exprimées par une notation deux points-hexadécimal.Chaque chiffre hexadécimal représente 4 bits de l'adresse IPv6.Une adresse IPv6 entièrement exprimée compte 32 chiffres hexadécimaux séparés en 8 blocs par le signe deux points.Un exemple d'une adresse IPv6 entièrement exprimée est FD91:2ADD:715A:2111:DD48:AB34:D07C:3914.
La résolution de noms normale pour les adresses IPv6 utilise l'enregistrement de DNS d'hôte IPv6, appelé enregistrement AAAA (prononcé quad-a).Pour la résolution de noms inverse, IPv6 utilise le domaine IP6.ARPA et chaque chiffre hexadécimal de l'adresse IPv6 à 32 chiffres devient un niveau séparé dans la hiérarchie de domaine inverse dans l'ordre inversé.Par exemple, le nom de domaine de recherche inversée pour l'adresse FD91:2ADD:715A:2111:DD48:AB34:D07C:3914 est 4.1.9.3.C.7.0.D.4.3.B.A.8.4.D.D.1.1.1.2.A.5.1.7.D.D.A.2.1.9.D.F.IP6.ARPA.
Le service du serveur DNS de Windows Server 2003 prend en charge la résolution de noms normale et inversée pour IPv6 ; cependant, la prise en charge n'est pas entièrement intégrée.Par exemple, pour créer un enregistrement d'adresse IPv6 (l'enregistrement AAAA dont nous venons de parler) dans le composant logiciel enfichable Gestionnaire DNS de Windows Server 2003, vous devez cliquer avec le bouton droit sur la zone, cliquer sur Autres nouveaux enregistrements, puis double-cliquer sur Hôte IPv6 (AAAA) comme type d'enregistrement de ressource.Pour ajouter un enregistrement AAAA dans le composant logiciel enfichable Gestionnaire DNS pour Windows Server 2008, cliquez avec le bouton droit sur le nom de zone, puis cliquez sur Nouvel hôte (A ou AAAA).Dans la boîte de dialogue Nouvel hôte, vous pouvez taper une adresse IPv4 ou IPv6.La figure 1 en offre un exemple.
Figure 1** Boîte de dialogue Nouvel hôte **
Un autre exemple de la prise en charge améliorée d'IPv6 concerne les zones IPv6 inverses.Pour créer une zone de recherche inversée dans le composant logiciel enfichable Gestionnaire DNS pour Windows Server 2003, vous devez taper manuellement le nom de zone inverse dans la page Nom de la zone de recherche inversée de l'Assistant Nouvelle zone.Un exemple de nom de zone DNS inverse est 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa (pour le préfixe de sous-réseau IPv6 2001:db8:0:1::/64, exprimé entièrement sous la forme 2001:0db8:0000:0001::/64).
Les zones IPv6 inverses du composant logiciel enfichable Gestionnaire DNS pour Windows Server 2008 sont maintenant entièrement intégrées dans l'Assistant Nouvelle zone.Une nouvelle page de l'Assistant vous invite à sélectionner une zone de recherche inversée IPv4 ou une zone de recherche inversée IPv6.Pour une zone de recherche inversée IPv6, il vous suffit de taper le préfixe de sous-réseau IPv6 et l'Assistant crée automatiquement la zone pour vous.La figure 2 en offre un exemple.
Figure 2** Nommage d'une zone de recherche inversée IPv6 **(Cliquer sur l'image pour l'agrandir)
Autre amélioration pour les zones inverses réside dans le mode d'affichage du composant logiciel enfichable Gestionnaire DNS pour les enregistrements de pointeur IPv6 (PTR).La figure 3 illustre comment le composant logiciel enfichable Gestionnaire DNS pour Windows Server 2003 affiche un enregistrement PTR.
Figure 3** Enregistrement PTR pour IPv6 dans Windows Server 2003 **(Cliquer sur l'image pour l'agrandir)
Bien que cet affichage reflète précisément la structure de l'espace de noms DNS pour les noms de domaine inverses IPv6, il rend plus difficile la gestion des enregistrements PTR pour les adresses IPv6.La figure 4 illustre comment le composant logiciel enfichable Gestionnaire DNS pour Windows Server 2008 affiche un enregistrement PTR.
Figure 4** Enregistrement PTR pour IPv6 dans Windows Server 2008 **(Cliquer sur l'image pour l'agrandir)
Le service du serveur DNS de Windows Server 2003 prend en charge les opérations via IPv6, mais il doit être activé manuellement avec la commande dnscmd /config /EnableIPv6 1.Windows Server 2008, à l'inverse, prend en charge les opérations via IPv6 par défaut.L'outil de ligne de commande Dnscmd.exe a été mis à jour pour accepter les adresses IPv6 dans les options de ligne de commande.De plus, le service du serveur DNS peut maintenant envoyer des requêtes récursives à des serveurs IPv6 uniquement et la liste de redirecteurs de serveur peut contenir des adresses IPv4 et IPv6.
Pour plus d'informations concernant IPv6 et sa prise en charge dans Windows®, consultez la page microsoft.com/ipv6.
Prise en charge du contrôleur de domaine en lecture seule
Windows Server 2008 introduit également le RODC, un nouveau type de contrôleur de domaine contenant une copie en lecture seule des informations Active Directory et capable d'exécuter les fonctions Active Directory, mais qui ne peut pas être configuré directement.Les RODC sont moins vulnérables aux attaques et peuvent être placés dans des emplacements où la sécurité physique du contrôleur de domaine ne peut pas être garantie ou bien où le réseau contient des hôtes potentiellement malveillants.
Pour les RODC, le service du serveur DNS de Windows Server 2008 prend en charge le nouveau type de zone principale en lecture seule.Lorsqu'un ordinateur devient un RODC, il effectue une copie complète en lecture seule des partitions de tout l'annuaire d'applications utilisé par le DNS, y compris la partition de domaine, ForestDNSZones et DomainDNSZones.Ceci garantit que le service du serveur DNS exécuté sur le RODC possède une copie complète en lecture seule de toutes les zones DNS stockées dans les partitions de répertoires d'un contrôleur de domaine qui n'est pas un RODC.Vous pouvez afficher le contenu d'une zone principale en lecture seule sur un RODC, mais vous ne pouvez pas le modifier.Vous devez modifier le contenu de la zone sur un contrôleur de domaine qui n'est pas un RODC.
Zone GlobalNames
Résolution de noms avec la zone GlobalNames
Une fois que la zone GlobalNames est déployée, lorsqu'un client DNS Windows Vista tente de résoudre un nom en une partie, il ajoute le suffixe de DNS principal au nom en une partie et soumet la requête d'interrogation de nom à son serveur DNS.
Si le nom est introuvable, le client DNS envoie des requêtes d'interrogation de nom supplémentaires pour rechercher la combinaison du nom en une partie avec les suffixes dans sa liste de recherche de suffixe DNS (si configuré).Si aucun de ces noms n'est résolu, le client demande la résolution en utilisant le nom en une partie.
Le serveur DNS cherche le nom en une partie dans la zone GlobalNames.S'il y figure, le serveur DNS renvoie l'adresse IPv4 ou le FQDN résolu au client DNS.Sinon, l'ordinateur DNS client convertit le nom en nom NetBIOS et utilise les techniques de résolution de nom NetBIOS, y compris WINS.Il n'est pas nécessaire de modifier le service client DNS pour activer la résolution de nom en une partie dans la zone GlobalNames.
Windows Server 2008 et Windows Vista® prennent en charge le protocole NetBIOS via TCP/IP (NetBT).NetBT utilise des noms NetBIOS pour identifier les applications NetBIOS de couche session.Bien que la résolution de nom NetBIOS avec WINS ne soit pas nécessaire pour les versions actuelles de Windows utilisant les applications réseau basées sur Windows Sockets et DNS pour la résolution de noms, de nombreux clients de Microsoft déploient WINS dans leurs réseaux pour prendre en charge les anciennes applications NetBT et assurer la résolution des noms en une partie dans leurs organisations.Les noms en une partie font généralement référence à des serveurs importants, connus et largement utilisés pour une organisation, tels que les serveurs de messagerie, les serveurs Web centraux ou les serveurs d'applications métier.
Afin de permettre la résolution de ces noms en une partie dans l'ensemble d'une organisation en utilisant uniquement le DNS, vous devrez peut-être ajouter des enregistrements A aux différents domaines DNS de votre organisation pour qu'un client DNS Windows puisse résoudre le nom quel que soit son suffixe de domaine DNS attribué ou sa liste de recherche de suffixes.
Supposons, par exemple, que l'organisation contoso.com possède un serveur Web central nommé CWEB qui est membre du domaine central. contoso.com.Pour implémenter un nom en une partie pour le serveur CWEB lorsque les clients DNS peuvent recevoir le suffixe de domaine DNS wcoast.contoso.com, central.contoso.com ou ecoast.contoso.com, l'administrateur réseau doit créer deux enregistrements A supplémentaires pour cweb.wcoast.contoso.com et cweb.ecoast.contoso.com. Cependant, n'oubliez pas que les enregistrements A créés manuellement pour les noms en une partie doivent être maintenus pour les modifications dans l'attribution d'adresses IPv4 ou pour les nouveaux noms.
Si contoso.com utilise déjà WINS pour les anciennes applications NetBT, un administrateur réseau peut implémenter la résolution de noms pour le nom en une partie CWEB en ajoutant un enregistrement WINS statique unique à son infrastructure WINS.Si l'adresse IPv4 change, il suffira de modifier l'enregistrement WINS statique unique.Comme ils sont plus faciles à gérer sur WINS, de nombreux réseaux Windows utilisent des enregistrements WINS statiques pour les noms en une partie.
Pour fournir une solution de nom en une partie sur DNS qui soit aussi facile à gérer que les enregistrements WINS statiques, le service du serveur DNS de Windows Server 2008 prend en charge une nouvelle zone appelée GlobalNames pour stocker les noms en une partie.L'étendue de réplication de cette zone est généralement une forêt, ce qui fournit la résolution de nom en une partie à l'ensemble d'une forêt Active Directory.De plus, la zone GlobalNames peut prendre en charge la résolution de nom en une partie dans l'ensemble d'une organisation comptant plusieurs forêts lorsque vous utilisez des enregistrements de ressource SRV (Service Location) pour publier l'emplacement de la zone GlobalNames.
Contrairement à WINS, la zone GlobalNames est conçue pour fournir la résolution de nom en une partie pour un ensemble limité de noms d'hôte, généralement des serveurs centraux et critiques d'une organisation qui sont gérés par son département informatique.La zone GlobalNames n'est pas destinée à stocker les noms des postes de travail ou d'autres serveurs dont les adresses IPv4 peuvent changer, et elle ne prend en aucun cas en charge les mises à jour dynamiques de DNS.Elle est le plus souvent utilisée pour contenir des enregistrements de ressource alias (CNAME) pour mapper un nom en une partie sur un nom de domaine complet (FQDN).Pour les réseaux utilisant actuellement WINS, la zone GlobalNames contient généralement des enregistrements de ressource pour les noms gérés par informatique qui sont déjà configurés statiquement dans WINS.
La zone GlobalNames fournit la résolution de noms en une partie uniquement lorsque tous les serveurs DNS faisant autorité exécutent Windows Server 2008. Toutefois, les autres serveurs DNS qui ne font pas autorité pour la zone peuvent utiliser des versions antérieures de Windows ou d'autres systèmes d'exploitation.La zone GlobalNames doit être unique dans la forêt.
Pour optimiser les performances et l'évolutivité, la zone GlobalNames doit être intégrée à Active Directory et vous devez configurer chaque serveur DNS faisant autorité avec une copie locale de la zone.Ceci est indispensable pour prendre en charge le déploiement de la zone GlobalNames sur plusieurs forêts.
Pour plus d'informations sur la prise en charge de DNS dans Windows et le déploiement de la zone GlobalNames, consultez la page Web de Microsoft relative à DNS à l'adresse microsoft.com/dns.
Joseph Davies est rédacteur technique chez Microsoft. Il enseigne et rédige des articles sur les questions relatives aux réseaux Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et est l'auteur de la chronique en ligne mensuelle Le petit câbleur de TechNet.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.