Cas particulier d’un serveur DNS UNIX actuel devant être conservé pour héberger Active Directory.
Dans le cas d’une utilisation de l’infrastructure actuelle hébergée par un DNS UNIX, nous nous devons de vous rappeler certaines informations diffusées par Microsoft :
Questions relatives à l'interopérabilité
Le service DNS prend en charge et implémente certaines spécifications de documents RFC (Request for Comment) qui définissent l'utilisation de DNS pour Internet. En règle générale, le service DNS prend également en charge la conception en s'appuyant sur la plupart des RFC approuvées (en d'autres termes, considérés comme « obligatoires »), qui constituent la norme actuelle ou en préparation du protocole DNS. Cette fonctionnalité de conception offre des avantages importants pour l'exploitation des serveurs DNS Windows dans les environnements mixtes ou hétérogènes.
Les principaux avantages de l'interfonctionnement dans ces types d'environnements sont les suivants :
- Interfonctionnement complet avec les autres serveurs DNS qui implémentent le respect de la RFC en matière de service de nom DNS.
- Utilisation de serveurs DNS Windows offrant un service DNS sur Internet.
Pour éprouver l'interfonctionnement, l'équipe de développement de Windows 2000 avait testé le service Serveur DNS de Windows 2000 avec les versions suivantes de BIND (Berkeley Internet Name Domain) pour les serveurs DNS :
- BIND 4,90,7
- BIND 8.1.2
- BIND 8.2
Considérations relatives à DNS pour Active Directory
DNS est obligatoire pour Active Directory. Par conséquent, vous pouvez choisir de configurer des serveurs DNS au moment d'installer Active Directory et de promouvoir l'ordinateur serveur au rôle de contrôleur de domaine.
Lorsqu'un serveur Windows Server est promu contrôleur de domaine, vous avez la possibilité d'installer un serveur DNS et d'ajouter de nouvelles zones automatiquement durant l'installation de Active Directory. L'installation séparée d'un serveur DNS sur l'ordinateur serveur n'est nécessaire que si celui-ci n'est pas encore un contrôleur de domaine ou s'il est destiné à le devenir.
Lorsque vous choisissez d'installer et de configurer un serveur DNS lors de l'exécution de l'Assistant Installation de Active Directory, des zones sont créées en fonction du nom DNS que vous avez spécifié durant le processus de promotion du serveur au rang de contrôleur de domaine. D'autres tâches deviennent également nécessaires lorsque le premier serveur du domaine est promu contrôleur de domaine, par exemple, la modification du type de zone de Zone principale standard en Intégrée à Active Directory, ainsi que la modification de la stratégie de mise à jour de la zone en Autoriser uniquement les mises à jours sécurisées.
Si vous déployez DNS pour prendre en charge Active Directory, l'exécution d'un serveur DNS sur chaque contrôleur de domaine est une méthode simple de planification de redondance et de tolérance aux pannes. Pour chaque site, il est conseillé de posséder deux ordinateurs Windows Server configurés en tant que contrôleurs de domaine, qui s'exécutent également en tant que serveurs DNS chargeant et stockant uniquement les zones intégrées à Active Directory.
En respectant ces instructions pour une configuration simplifiée de DNS et de Active Directory, vous permettez à vos serveurs DNS de bénéficier pleinement des avantages liés à l'utilisation de Active Directory et des serveurs DNS Windows, par exemple, le stockage intégré, la réplication fusionnée des données Active Directory et DNS, ainsi que l'authentification sécurisée lors des mises à jour dynamiques.
Transfert de zone avec BIND et d'autres implémentations de serveur DNS
Lors d'un transfert de zone entre deux serveurs DNS Windows, le service Serveur DNS utilise toujours une méthode de transfert rapide basée sur la compression. Cette méthode inclut plusieurs enregistrements de ressources (RR) dans chaque message envoyé, pour achever le transfert de la zone entre les serveurs. Pour les serveurs DNS Windows Server, il s'agit de la méthode par défaut utilisée lors d'un transfert vers d'autres implémentations de serveur DNS.
Si nécessaire, les serveurs DNS Windows peuvent être configurés pour transférer une zone à l'aide du format de transfert non compressé le plus lent. Cela permet de garantir la réussite d'un transfert de zone effectué avec des serveurs DNS qui ne prennent pas en charge la méthode de transfert rapide, tels que les serveurs BIND antérieurs à la version 4.9.4.
Lorsque l'option Lier les zones secondaires est activée dans les propriétés avancées du serveur, aucun transfert de zone ne peut avoir lieu. Par défaut, cette case à cocher est désactivée pour permettre les transferts rapides.
Prise en charge de Active Directory avec d'autres implémentations de serveur DNS
Dans de nombreuses organisations de grande taille, DNS est déjà implémenté à l'aide d'autres solutions, par exemple, les serveurs DNS UNIX qui exécutent des versions héritées de programmes BIND. Dans certains cas, ces serveurs DNS ne sont pas équipés pour prendre en charge les exigences DNS du déploiement de Active Directory. Ce problème peut être résolu de deux façons :
- Mettez à niveau les serveurs DNS BIND à la version 8.1.2 ou ultérieure du logiciel BIND, pour répondre aux exigences DNS liées à la prise en charge de Active Directory.
- Utilisez le service DNS fourni avec Windows Server pour faire migrer, si possible, toutes vos zones DNS actuelles vers les serveurs DNS Windows.
Bien que le service DNS soit recommandé pour prendre en charge Active Directory, vous pouvez utiliser d'autres implémentations de serveur DNS à cet effet. Cependant, ces autres types d'implémentation doivent prendre en charge les spécifications normalisées suivantes :
- L'enregistrement de ressource SRV (emplacement du service), tel qu'il est décrit dans le document d'assistance en ligne (en anglais), « A DNS RR for specifying the location of services (DNS SRV) ».
- Les mises à jour dynamiques dans DNS, telles qu'elles sont décrites dans la RFC 2136.
La prise en charge des mises à jour dynamiques est recommandée mais n'est pas essentielle. La prise en charge de l'enregistrement de ressource SRV est obligatoire car elle permet d'offrir une prise en charge DNS de base pour Active Directory. Par exemple, un serveur DNS qui ne prend pas en charge les mises à jour dynamiques, comme celui qui était fourni avec Windows NT Server 4.0 (mis à jour au Service Pack 4 ou ultérieur) pouvait prendre en charge les exigences DNS liées à Active Directory, grâce à la prise en charge des enregistrements de ressources SRV ajoutée au Service Pack 4.
Une administration manuelle supplémentaire des enregistrements de ressources SRV est nécessaire pour que la prise en charge de Active Directory par la configuration DNS fonctionne convenablement sur un serveur DNS ne prenant pas en charge les mises à jour dynamiques.
Interfonctionnement des DNS Windows avec d'autres implémentations de serveur DNS
Si vous décidez d'utiliser le service DNS Windows et de le gérer avec une configuration DNS mixte dans laquelle :
- Les serveurs DNS existants des zones racine ne sont pas mis à niveau ni migrés vers d'autres solutions DNS.
- Le service DNS et le serveur Windows doivent être déployés et offrir une gestion des noms de domaine DNS nécessaires pour effectuer les enregistrements, les mises à jour et les prises en charge à l'aide de Active Directory.
Vous pouvez modifier vos projets de conception de l'espace de noms DNS de plusieurs manières :
1˚) Créez un nouveau sous-domaine unique dans votre espace de noms de domaine DNS actuel pour établir la racine de votre premier domaine Active Directory.
Par exemple, si votre organisation a enregistré et utilise un nom de domaine de second niveau, tel que « microsoft.com », vous pouvez créer un sous-domaine unique tel que exemple.microsoft.com et utiliser ce domaine pour définir la racine de l'espace de noms de domaine DNS utilisé par Active Directory. Le service DNS est automatiquement configuré pour prendre en charge Active Directory lorsque vous installez le premier contrôleur de domaine.
Avant de créer une zone pour le nouveau sous-domaine sur un ordinateur exécutant le service Serveur DNS, vous pouvez déléguer ces sous-domaines à la zone principale de votre domaine de second niveau, tel que « microsoft.com. » Dans certains cas, il vous suffit de demander à l'administrateur système DNS ou UNIX de votre organisation d'effectuer la délégation à votre place.
2˚) Créez plusieurs sous-domaines basés sur le domaine DNS de second niveau pour prendre en charge l'enregistrement de Active Directory dans DNS.
Par exemple, si votre organisation dispose d'un nom de domaine DNS enregistré de second niveau, qui est déjà utilisé (par exemple, « microsoft.com »), vous pouvez créer des sous-domaines supplémentaires délégués aux serveurs DNS Windows et utilisés uniquement pour l'enregistrement de noms DNS liés à Active Directory.
Cette méthode est plus complexe à implémenter, mais elle limite les modifications apportées à l'infrastructure DNS actuellement déployée, et qui n'est pas basée sur Windows. Grâce à cette conception de l'espace de noms, vous ne créez que les sous-domaines supplémentaires et les zones appropriées nécessaires à la prise en charge de votre déploiement Active Directory. Par exemple, dans cette configuration, le nom de domaine « microsoft.com » correspond à la fois au nom de domaine DNS racine et au nom de domaine Active Directory racine de votre organisation.
Dans cette configuration, vous devez d'abord créer des zones pour les sous-domaines suivants et utiliser le composant logiciel enfichable pour DNS sur un ordinateur exécutant le service DNS et Windows Server :
ˍmsdcs.microsoft.com
ˍldap.ˍtcp.microsoft.com
Avant que les zones ne soient créées, vous pouvez déléguer ces sous-domaines à la zone principale de votre nom de domaine parent ou de second niveau, ou demander à un autre administrateur DNS gérant ces zones de l'organisation, de le faire à votre place.
Planification de l'interfonctionnement : Configuration des services associés
Windows Server offre plusieurs options d'interfonctionnement lors de l'utilisation du service DNS avec les autres services TCP/IP. Bien souvent, vous pouvez utiliser ces fonctionnalités pour réduire le temps passé à l'administration de votre espace de noms DNS et fournir un service amélioré de création de nom pour votre réseau.
Ces options incluent en règle générale l'utilisation des améliorations suivantes :
- Recherches directe et indirecte WINS.
Dans Windows NT Server 4.0, Windows 2000 ou les versions ultérieures, le service DNS permet l'utilisation de la recherche WINS. Cette fonctionnalité permet aux zones DNS configurées d'adresser les requêtes restées sans réponse dans la zone en cours, à un serveur WINS pour être résolues. Grâce à cette recherche supplémentaire dans l'espace de noms WINS, DNS et WINS permettent de compléter la recherche de noms enregistrés pour obtenir une réponse correspondante.
La recherche WINS est prise en charge pour les zones de recherche directe et indirecte, et peut être activée ou configurée selon les zones. Cette fonctionnalité doit également être configurée pour empêcher la réplication ou le transfert de zone d'enregistrements de ressources WINS vers les serveurs dotés d'autres implémentations DNS, qui ne reconnaissent pas les enregistrements de ressources WINS.
- Intégration dynamique aux serveurs DHCP.
Dans Windows Server, le service DHCP offre une prise en charge par défaut de l'enregistrement et de la mise à jour des informations pour les clients DHCP hérités dans les zones DNS. Les clients hérités incluent généralement d'autres ordinateurs client Microsoft TCP/IP antérieurs à Windows 2000. L'intégration entre DNS et DHCP fournie par Windows Server permet au client DHCP incapable de mettre à jour dynamiquement des enregistrements de ressources DNS, de disposer de ces informations mises à jour dans les zones de recherche directe et indirecte DNS via le serveur DHCP.
|
