Configuration des zones DNS Windows 2003

Introduction
Windows Server 2003 dispose de plusieurs types de zones. Ces zones sont utilises au sein
dun domaine dans le but damliorer le trafic des requtes DNS. Ces zones seront mises en
place sur un serveur DNS car un serveur DNS est capable d'hberger diffrents types de zones
pour fournir une tolrance de panne et rpartir la rsolution de noms et la charge de travail.
Elles servent enregistrer dans une base de donnes ou un fichier suivant la zone considre
des noms ou des portions de domaine. Windows Server 2003 intgre galement des
enregistrements de ressources pour chaque zone. Bien que le DNS dynamique crer de
nombreux enregistrements de ressources pour la base de donnes DNS, dans certain cas vous
aurez besoin den crer manuellement. Nous allons donc voir tout au long de cet article une
partie sur les diffrentes zones disponibles ainsi quune partie sur la mise en place de ces
zones. Et pour finir une dernire partie sera consacre la description des enregistrements de
ressources ainsi qua leur cration.

1. Interts de chaque zone

1.1. Qu'est ce qu'une zone ?
Tout dabord, petite explication dune zone :
Une zone est une portion contigu de lespace de noms de domaine.
Elle se sert dun serveur DNS afin de rsoudre ses requtes DNS.
Elle va galement servir stocker les noms dun ou plusieurs domaines ou encore une portion
dun domaine.
Une zone est dtermine par :
Un ensemble de mappages de noms dhtes adresse IP.
Des donnes qui seront stockes dans un fichier de zone ou une base de donnes
Active directory.

1.2. Les diffrentes zones

Voici maintenant les diffrents types de zone :

Zone principale standard :

Cette zone doit toujours tre cre en premier. Elle correspond la copie matre de la
base de donnes DNS contenue dans un fichier accessible en lecture / criture et va

___________________________________________________________________________
Page 1/21

rcuprer toutes les modifications de la zone. Elle sadministre localement cest--dire

sur le serveur o elle a t cre, ce qui fait que celui-ci sera considr comme serveur
dautorit DNS pour la zone.

Zone secondaire standard :

Cette zone utilise un fichier de base de donnes qui contient la copie en lecture seule
du fichier de la zone principale standard. Ce qui veut dire que si le fichier de la zone
principale venait tre modifi celui de la zone secondaire le serait galement. Ceci
est fait afin davoir une meilleur rpartition de la charge des rsolution de noms des
serveurs DNS. Un serveur DNS configur avec une zone secondaire aidera le serveur
DNS principal dans la gestion des rsolutions de noms pour le rseau.

Zone de stub :
Cette zone est une copie d'une zone contenant uniquement les enregistrements de
ressources ncessaires pour identifier les serveurs DNS faisant autorit pour cette
zone. Une zone de stub est utilise pour veiller ce qu'un serveur DNS hbergeant une
zone parent sache quels serveurs DNS font autorit sur sa zone enfant et maintenir
ainsi l'efficacit de la rsolution des noms DNS.

1.3. Zones intgres active directory

Il existe un autre type de zone appel " Zone intgre Active directory ".
Donc les zones principales standards et stub peuvent devenir des zones intgres Active
Directory.
Pourquoi intgrer des zones dans Active Directory, cest tout simplement parce que cela
prsente plus davantages comme :

un stockage des donnes de configuration de zone dans Active Directory et non plus
dans un fichier de zone.
lutilisation de la rplication dActive Directory la place des transferts de zone.
une autorisation uniquement des mises jour scurises.

2. Comment crer ces zones ?

2.1. Exemple de mise en place d'une zone
Pour crer ces diffrentes zones il faut que vous ayez le service DNS dinstall sur votre
serveur.
Pour cela allez dans " Grer votre serveur " et cliquez sur "Ajouter ou supprimer un rle"
___________________________________________________________________________
Page 2/21

puis suivant.
Choisissez Serveur DNS puis cliquez sur suivant.

Confirmez les options choisies et cliquez sur suivant.

Une nouvelle fentre saffiche :

Vous avez ici le choix entre plusieurs types de configuration :

___________________________________________________________________________
Page 3/21

Nous choisirons ici une zone de recherche directe.

Cliquez sur suivant pour continuer.

Ici vous pourrez choisir lemplacement de votre serveur.

Une fois votre choix fait cliquez sur suivant.

___________________________________________________________________________
Page 4/21

Dans cet assistant nouvelle zone, choisissez le nom de votre zone puis cliquez sur suivant.

Choisissez ici le niveau de scurit de vos mises jour. Le choix par dfaut et slectionn ici
sera le plus scuris.
Pour avoir ce niveau de scurit, Active Directory doit tre install avant . Cliquez sur suivant
pour continuer.

___________________________________________________________________________
Page 5/21

Ici vous pourrez choisir sur quels serveurs les requtes seront rediriges. Une fois ladresse IP
rentre, cliquez sur suivant.

Vous pouvez voir dans lencadr rouge le nom de la zone qui va tre cre et dans lencadr
orange se trouve le nom du serveur DNS.
Pour finir linstallation du DNS cliquez sur Termin.

2.2. Administration du DNS afin de crer une nouvelle

zone
Une fois linstallation faite, pour administrer votre serveur DNS afin de crer de nouvelles
zones si vous le souhaitez, suivez les tapes indiques ci-dessous :
Cliquez sur dmarrer, Outils d'administrations puis DNS :
___________________________________________________________________________
Page 6/21

La console ci-dessous va souvrir :

Vous pouvez donc voir la zone cre (COMPUTER)

Vous pouvez crer une nouvelle zone de recherche directe ou inverse (une nouvelle zone de
recherche directe sera donc cre ici) :

Aprs avoir cliqu sur "Nouvelle zone", la fentre ci-dessous souvre :

Choisissez la zone que vous souhaitez crer :

___________________________________________________________________________
Page 7/21

Vous avez le choix entre les trois types de zones disponibles. Vous avez galement la
possibilit dintgrer cette zone dans active directory en cochant la checkbox (pour cela
Active directory doit tre install). Cette option est disponible uniquement pour la zone
principale et stub.
Cliquez sur suivant pour continuer.
Entrez le nom que vous souhaitez donner cette nouvelle zone puis cliquez sur suivant.

Donnez un nom votre nouveau fichier de zone et cliquez sur suivant.

___________________________________________________________________________
Page 8/21

Indiquez ici ladresse IP des serveurs matres cest--dire des serveurs faisant autorit sur la
zone.
Vous pouvez entrer plusieurs adresses qui seront donc contactes dans lordre de la liste.
Cliquez sur suivant pour continuer.

___________________________________________________________________________
Page 9/21

Ceci termine linstallation de la nouvelle zone de stub. Vous pourrez retrouver cette zone dans
la console DNS.

3. Les enregistrements de ressources

3.1. Les differents enregistrements
Une base de donnes DNS peut avoir un ou plusieurs fichiers de zones utiliss par le serveur
DNS.
Chaque zone contient des enregistrements de ressources parmi lesquels figurent des
enregistrements de ressources pris en charge par Windows Server 2003.
Voici une petite description de chaque enregistrement de ressources : >
SOA : Start Of Authority. Identifie le nom du serveur dautorit pour les donnes dans
le domaine. Cest le premier enregistrement dans le fichier de base de donnes de
zone.

NS : Serveur de noms (Name Server). Un enregistrement est cr pour chaque serveur

de noms associ au domaine.

A : Hte. Cet enregistrement fournit la correspondance de nom dhte sur une adresse
IP dans une zone de recherche directe.

___________________________________________________________________________
Page 10/21

PTR : Pointeur. Cest linverse de lenregistrement A. Les PTR qui se trouvent dans la
zone de recherche inverse permettent de mettre en correspondance des adresses IP
aux noms dhtes.

SRV : Service. Il indique les services qui tournent sur un ordinateur hte particulier.

MX : Serveur de messagerie (Mail Exchanger). Cet enregistrement identifie les

serveurs de courrier sur le rseau.

CNAME : Nom canonique (Canonical Name) ou Alias. Cet enregistrement est utilis
pour crer un Alias pour un enregistrement existant. Il permet de faire pointer
plusieurs noms diffrents sur la mme adresse IP

HINFO : Information dhte (Host Information). Cet enregistrement fournit des

informations sur le processeur, le systme dexploitation et dautres informations
matrielles et logiciels.

WINS : Il permet DNS dutiliser WINS pour la rsolution de noms dhtes.

Il faut savoir que trois de ces enregistrements sont crs automatiquement (SOA, NS).
Les autres types denregistrements peuvent tre crs manuellement grce la console DNS

3.2. Ajouter un enregistrement la console DNS

Nous allons voir maintenant comment ajouter la console DNS un de ces enregistrements :
Tout dabord allez dans la console DNS :
Une fois que vous tes dans la console DNS vous pourrez observer que deux enregistrements
sont dj crs (SOA, NS).

___________________________________________________________________________
Page 11/21

Pour crer cet enregistrement droulez le nud de zone (Zone de recherche directe par
exemple)
puis slectionnez une zone dans larborescence de la console (ici COMPUTER) et faites un
clique droit dessus.
Un menu contextuel saffiche o figure plusieurs enregistrements (voir ci-dessous) :

Cliquez sur lun ce ces types denregistrement pour dmarrer le processus de cration dun
nouvel enregistrement de ressource.

=======****************==============**************==================

Mthodes de vrification du DNS

1. Introduction
Cette article est venu d'un constat clair, un fort taux d'erreur apparu dans une infrastructure
Active Directory vient d'une mauvaise configuration de votre architecture DNS. En effet,

___________________________________________________________________________
Page 12/21

votre Active Directory ne peux pratiquement pas fonctionner sans une bonne configuration
DNS. Les symptmes les plus souvent remarqus sont:
- Authentification longue voir impossible de vos utilisateurs
- Erreur rcurrentes dans l'observateurs d'vnement des clients et serveurs (scecli, frs, etc...)
- Impossibilit de joindre des machines au domaine ("Domaine machin introuvable")
- Les rsolutions de noms fonctionnent mal voir pas du tout
- Les stratgies de groupes ne fonctionnent pas
- etc.......
Faites un tour sur la section AD du forum du laboratoire pour dcouvrir que le nombre de
cas correspondants (environ une dizaine par semaine) est monnaie courante. C'est pour cette
raison qu'un sujet spcifique a t cr pour permettre de dfinir les actions de base raliser
dans son infrastructure DNS. Avec le temps nous nous sommes rendu compte qu'un grand
nombre d'entreprises confient la gestion de leur Domaine Active Directory, qui en passant est
l'pine dorsale d'une infrastructure d'entreprise, des personnes ayant peu ou pas du tout de
comptences dans ce domaine. Le premier effet est que ces personnes ne comprennent rien
aux notions de bases du DNS comme le "suffixe DNS", la "zone de recherche inverse" ou
encore le redirecteur. C'est pour cette raison que cet article a t cr pour vous montrer les
manipulations les plus basiques de vrification et de configuration d'un serveur DNS dans
l'AD avec plein de captures d'cran partout.
Les chapitres de cet article dfiniront les marches suivre en suivant les diffrents points
nonc dans le sujet sur la configuration DNS sur le forum.

2. Configuration du serveur DNS (3, 4, 5, 6)

2.1 Installation
Mais c'est vrai ca comment on installe un serveur DNS?
Pour vrifier si votre serveur DNS est bien install, rendez vous dans le panneau de
configuration de votre serveur (un serveur DNS Microsoft ne s'installe pas sur un poste de
travail) et slectionn Ajout/suppression de programmes.

___________________________________________________________________________
Page 13/21

Puis slectionnez Ajout/suppression de Composants Windows dans le cartouche gauche de

l'interface

Dans la liste dirigez vous sur "Services Rseaux" et cliquez sur "Dtails"

Si le serveur DNS est bien install la case sera coch en face de celui ci, sinon il faudrait
l'installer!. Pour ce faire il vous suffit de cocher la case et de cliquer sur les diffrents "OK"
successifs.
___________________________________________________________________________
Page 14/21

Si vous tes en IP dynamique, il faudrait fixer une IP sur au moins une carte rseaux!, si
vous ne savez pas comment le faire, il faudrait commencer chercher vous reconvertir...
Et l comme par magie votre service DNS est install, pour accder l'interface
d'administration rendez vous sur Outil d'administration->DNS

2.2 "Je fait pointer le DNS sur celui de mon FAI pour avoir
accs Internet" (3,7)
Vous tes au courant qu'un serveur DNS Microsoft peux aussi rsoudre les requtes sur
Internet?, mme la version NT4 le pouvait. Si vous faites pointer toute votre infrastructure sur
un DNS ne contenant pas vos enregistrement Active Directory comment voulez que votre
domaine fonctionne?. Alors avoir son serveur DNS qui pointe sur autre chose que lui mme
est une vritable aberration.
Donc rendez vous sur les proprits de chacune (c'est dire) de vos connexion rseaux,
double cliquez sur TCP/IP et mettez dans la partie l'adresse DNS de votre serveurs, ne mettez
surtout pas d'autres DNS dans les listes, sauf un DNS secondaire de votre active directory.

Il est fortement dconseill d'indiquer une ip externe pour le DNS (pas 127.0.0.1), certains
Windows n'aime pas trop l'utiliser. En revanche, si la connexion rseau correspondante cette
IP est dconnecte le serveur DNS ne rpondra plus (normal) mme lui mme (un peu
moins).
[Optionnel] Maintenant si vous dsirez que votre serveur DNS rsolve les noms DNS de
l'internet vous avez le choix de:

___________________________________________________________________________
Page 15/21

- Le laisser tel quel! En effet, un DNS Microsoft possde par dfaut les adresses IP des
diffrents serveur DNS Racine de l'internet, mais il faudra vrifier:
- que le port 53 est autoris sortir sur Internet
- qu'il n'y a pas une zone de recherche directe racine (dossier ".") dans votre DNS (cas
sur les premiers serveurs Windows 2000)
- Implmenter les redirecteurs pour rsoudre les noms DNS qui ne sont pas connus par
dfauts par votre DNS par un autre serveur DNS (comme celui de votre FAI par exemple).
L'avantage de cette mthode est souvent que le DNS sur lequel vous faites la redirection a
souvent un cache mieux fourni que le votre et la requte pourrait tre rsolue rapidement.
Dirig vous sur les proprits de votre serveur DNS dans l'interface d'administration DNS
pour aller dans l'onglet redirecteurs:

Indiquez l'adresse IP de votre serveur DNS, pour information c'est aussi dans cet onglet que
l'on configure la redirection conditionnelle (conditionnal Forwarding)

2.3 "J'ai nomm mon domaine ENTREPRISE comme son

nom lorsque j'tais sous NT4" (4)
Un nom de domaine DNS ne contenant pas le caractre du point (comme "ENTREPRISE"
au lieu de "Entreprise.local") pose d'norme problme tant donn que celui ci ne respecte pas
les rgles existantes de nommage DNS (vous avez dj vu une adresse e mail dont la partie
aprs l'@ ne contient pas de point? ). Les premiers effets sont qu'aucune mise jour
automatique ne fonctionnera, pour les nophytes cela veux dire que toute modification
d'architecture AD (Site, ajout de DC etc...) ne sera que partiellement prise en compte car le
DNS ne sera pas mis jour automatique et vous devrez perdre votre temps ajouter
manuellement chacun des enregistrements correspondant (bon courage).
Si vous avez fait cette erreur, l je dit bravo! vous venez de facturer votre client (si vous
avez la "chance" d'tre en prestation) un nombre incalculable d'heure supplmentaire
d'administration de faon rcurrente. Si vous voulez vivre avec Microsoft indique dans cet
article les diffrentes mthodes pour "limiter la casse".
___________________________________________________________________________
Page 16/21

Sinon voici quelques pistes pour rgler dfinitivement le problme:

- Renommez le domaine, Windows 2003 permet le renommage d'un domaine Active
directory via l'utilitaire rendom, cette manipulation est trs dangereuse dans une domaine
ayant "vcu" (surtout si il possde une infrastructure Exchange)
- Utilisez un domaine fils:
- ne gardez que le strict ncessaire dans votre domaine, deux DCs (pour la redondance),
les comptes d'administration
- transfrez le reste dans un nouveau domaine qui sera le fils de votre domaine sans point
(par exemple "ADS.ENTREPRISE"), vous pouvez utiliser l'utilitaire USMT pour cela.

2.4 "J'ai crer ma zone manuellement puis mon domaine,

comment ca se fait que ca marche toujours pas?" (5)
Si il n'y avait qu'a simplement crer votre zone de recherche directe correspondant votre
domaine, il n'y aurait pas de problme avec votre Active Directory. En effet, lors de la
cration de votre domaine Active Directory un grand nombre de paramtrage sont ajout dans
votre zone de recherche directe. Si vous n'avez rien dans vos zones de recherche votre
domaine risque de ne pas fonctionner, voici par exemple le contenu d'une zone cr juste
aprs un dcpromo:

Comme vous pouvez le voir il y a quelques sous rpertoires qui sont intgr votre zone
DNS, nous n'allons pas numrer ici les diffrents enregistrements intgrer, mais il y a des
outils qui permettent de le faire de faon automatique. Pour remplier tout cela vous devez
avec la mise jour dynamique activ (voir partie suivante) et les outils netdiag et Dcdiag
install (voir partie 4) puis lancer les commandes sur vos DCs:
- netdiag /fix
- dcdiag /netfix
- net stop netlogon
- net start netlogon
- ipconfig /registerdns

Aprs un redmarrage, la plupart des enregistrements devraient tre revenus.

___________________________________________________________________________
Page 17/21

2.5 "J'ai un message d'erreur quand je lance nslookup" (6)

Si quand vous faites un nslookup d'un nom DNS vous recevez la bonne rponse mais avec
un message d'erreur, cela peux venir du fait que votre DNS n'arrive pas rsoudre sa propre
IP. Pour rsoudre une IP vers un nom DNS il faut imprativement possder une zone de
recherche inverse correspondant au rseau de votre DNS et pour rsoudre l'IP de votre DNS il
suffit d'ajouter un enregistrement PTR (pointer) vers celui ci dans la zone concerne.

Pour crer une zone inverse, cliquez avec le bouton droit sur le rpertoire de zone invers
puis demandez de crer une nouvelle zone, indiquez dans le network ID les chiffres
correspondants votre rseau (10.2.0 dans le cas de mon serveur).

Quand votre zone est cr dirig vous l'intrieur de votre zone invers (10.2.0.x Subnet
dans notre cas) puis crez votre enregistrement PTR en indiquant l'adresse IP de votre serveur,
utilisez le bouton "Parcourir" pour aller chercher le nom FQDN (Fully Qualified Domain
Name), cela permet de vrifier si votre serveur rponds au moins sur cette partie l.

___________________________________________________________________________
Page 18/21

Ensuite quand vous relancez nslookup vous n'avez plus de messages d'erreur.

2.6 "Quand j'ajoutes un nouveau Contrleur de

Domaine/Site/Sous rseaux/etc..., il n'est pas utilis par
mes postes de travail" (7)
Lorsque vous ajoutez certains lments dans votre architecture Active Directory, il est
ncessaire que ceux ci soient intgr dans votre configuration DNS pour bien fonctionner. La
mthode la plus simple pour autoriser ceux ci est de mettre en place les mise jour
dynamiques sur votre domaine DNS, sinon il faudrait faire chaque fois les ajouts
manuellement (bon courage!).
Pour activer les mises jour dynamiques, cliquez avec le bouton droit sur votre zone DNS
et dirigez vous vers les proprits, dans l'onglet gnral modifi le paramtre de mises jour

___________________________________________________________________________
Page 19/21

dynamiques. Le choix "scuris seulement" n'apparait que si vous serveur DNS appartient
votre domaine, sinon c'est du non scuris.

3. Configuration des postes clients (1, 2)

Comme vu prcdemment, la configuration du serveurs DNS a besoin d'tre vrifi sur de
nombreux points, en revanche pour les clients seuls deux points sont paramtrer. Je vous
rappelle que votre Serveur DNS est aussi un client.

3.1 "J'accde Internet mais pas mon domaine" (1)

L'erreur de base sur les clients est le fait que les clients sont sont configur sans aucun
serveurs DNS, voire pire, ils pointent vers le DNS du Fournisseur d'accs Internet. Les clients
doivent imprativement tre configur avec comme SEUL serveurs DNS, les serveurs DNS
de votre domaine. Aucune autre adresse ne doit apparaitre dans la liste (mme en secondaire).
Pour configurer un poste, il suffit d'utiliser les options DHCP (nous n'aborderons pas sa
configuration ici) ou manuellement (c'est la mme chose qu'en 2.1).

3.2 "J'accde pas mon serveur TOTO" (2)

Quand vous utilisez le nom court d'une machine pour accder celle ci, vous ne la
trouverez pas si elle n'est pas sur le mme segment rseau que vous (sauf si un serveur WINS
a t mis en place). En effet, par dfaut maintenant Windows utilise le serveur DNS pour
rsoudre les chemins rseaux, dans le cas d'un nom court (TOTO par exemple) il ajoute le
suffixe DNS (TOTO + noob.DNS donne TOTO.noob.DNS) pour faire sa demande au serveur
DNS. Donc si vous n'avez pas de suffixe DNS configur, vous n'aurez pas de rsolution de
nom courts. Pour configurer vos suffixes DNS, rendez vous dans les proprits avancs de
votre configuration TCP/IP, puis l'onglet DNS, et remplissez la case "suffixe DNS". Si vous

___________________________________________________________________________
Page 20/21

avez plusieurs domaines DNS ajoutez les dans la liste juste au dessus. Tous ces paramtrages
peuvent tre ralis avec le serveur DHCP.

4. Utilitaires de diagnostiques
Il existe beaucoup d'utilitaires de diagnostiques de la configuration de votre serveur, nous
ne parlerons que deux d'entre eux, netdiag et DCDiag. Les deux outils sont disponibles dans
les support tools sur le CD d'installation d'un serveur Windows.
Le but de netdiag est de vrifier un grand nombre de paramtres sur votre configuration
rseau. Il est toujours intressant de poster le journal d'un Netdiag lorsque vous intervenez sur
un problme rseaux. Bien sur, il est fortement conseill d'avoir lu ce journal au pralable.
L'option /fix de cette commande permet de corriger certains problmes triviaux de votre
connexion.
Comme on peux s'en douter, pour DCDiag c'est la mme chose mais pour votre contrleur
de domaine, il permet d'avoir des information sur votre architecture AD, la commande de
rparation est /netfix cette fois ci. Les mmes consignes (lecture et postage du fichier journal)
s'appliquent aussi.

5. Conclusion
Cette article n'est en aucun cas une liste exhaustive de toutes les actions effectuer pour
configurer son serveur DNS, c'est seulement les paramtres de base vrifier lorsque vous
vous avez un problme li votre domaine Active Directory.
Mais la plus grande chose savoir est que si vous avez envie de monter un domaine Active
Directory, formez vous avant! Je sais que pour certains d'entre vous la lecture d'un livre les
rebute mais sans aucune formation vous vous exposez problmes inextricables qui vous
obligeront terme tout rinstaller ou avoir des cots d'administration astronomiques alors
qu'une simple formation aurait rgl le problme.

___________________________________________________________________________
Page 21/21