Partager via

Vérifier la fonctionnalité DNS pour prendre en charge la duplication d’annuaire

Pour vérifier les paramètres DNS susceptibles d’interférer avec la réplication Active Directory, vous pouvez commencer par exécuter le test de base qui garantit que DNS fonctionne correctement pour votre domaine. Après avoir exécuté le test de base, vous pouvez tester d’autres aspects des fonctionnalités DNS, notamment l’inscription d’enregistrements de ressources et la mise à jour dynamique.

Bien que vous puissiez exécuter ce test des fonctionnalités DNS de base sur n’importe quel contrôleur de domaine, vous exécutez généralement ce test sur des contrôleurs de domaine qui, selon vous, peuvent rencontrer des problèmes de réplication, par exemple, les contrôleurs de domaine qui signalent les ID d’événement 1844, 1925, 2087 ou 2088 dans le journal DNS du service d’annuaire observateur d’événements.

Exécution du test DNS de base du contrôleur de domaine

Le test DNS de base vérifie les aspects suivants des fonctionnalités DNS :

  • Connectivité : Le test détermine si les contrôleurs de domaine sont inscrits dans DNS, peuvent être contactés par la commande ping et disposent d’une connectivité LDAP/RPC (Lightweight Directory Access Protocol/Remote Procedure Call). Si le test de connectivité échoue sur un contrôleur de domaine, aucun autre test n’est exécuté sur ce contrôleur de domaine. Le test de connectivité est effectué automatiquement avant l’exécution de tout autre test DNS.
  • Services essentiels : Le test confirme que les services suivants sont en cours d’exécution et disponibles sur le contrôleur de domaine testé : service client DNS, service Net Logon, service KDC (Key Distribution Center) et service de serveur DNS (si DNS est installé sur le contrôleur de domaine).
  • Configuration du client DNS : Le test confirme que les serveurs DNS sur toutes les cartes réseau de l’ordinateur client DNS sont accessibles.
  • Inscriptions d’enregistrements de ressources : Le test confirme que l’enregistrement de ressource hôte (A) de chaque contrôleur de domaine est inscrit sur au moins un des serveurs DNS configurés sur l’ordinateur client.
  • Zone et début de l’autorité (SOA) : Si le contrôleur de domaine exécute le service de serveur DNS, le test confirme que la zone de domaine Active Directory et l’enregistrement de ressource de début d’autorité (SOA) de la zone de domaine Active Directory sont présents.
  • Zone racine : Vérifie si la zone racine (.) est présente.

L’appartenance au groupe Administrateurs de l’entreprise, ou équivalent, est la condition minimale requise pour effectuer ces procédures.

Vous pouvez utiliser la procédure suivante pour vérifier les fonctionnalités DNS de base.

Pour vérifier les fonctionnalités DNS de base :

  1. Sur le contrôleur de domaine que vous souhaitez tester ou sur un ordinateur membre de domaine sur lequel les outils Active Directory Domain Services (AD DS) sont installés, ouvrez une invite de commandes en tant qu’administrateur. Pour ouvrir une invite de commandes en tant qu'administrateur, cliquez sur Démarrer.

  2. Dans Démarrer la recherche, tapez Invite de commandes.

  3. En haut du menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

  4. À l’invite de commandes, tapez la commande suivante, puis appuyez sur ENTRÉE : dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt

    Remplacez le nom unique réel, le nom NetBIOS ou le nom DNS du contrôleur de domaine pour <DCName>. Vous pouvez également tester tous les contrôleurs de domaine de la forêt en tapant /e : au lieu de /s :. Le commutateur /f spécifie un nom de fichier qui, dans la commande précédente, est dcdiagreport.txt. Si vous souhaitez placer le fichier à un emplacement autre que le répertoire de travail actuel, vous pouvez spécifier un chemin d’accès au fichier, comme /f:c:reportsdcdiagreport.txt.

  5. Ouvrez le fichier dcdiagreport.txt dans le Bloc-notes ou un éditeur de texte similaire. Pour ouvrir le fichier dans le Bloc-notes, à l’invite de commandes, tapez notepad dcdiagreport.txt, puis appuyez sur ENTRÉE. Si vous avez placé le fichier dans un autre répertoire de travail, incluez le chemin d’accès au fichier. Par exemple, si vous avez placé le fichier dans c:reports, tapez notepad c:reportsdcdiagreport.txt, puis appuyez sur ENTRÉE.

  6. Faites défiler jusqu’à la table Résumé en bas du fichier.

    Notez les noms de tous les contrôleurs de domaine qui indiquent l’état « Avertissement » ou « Échec » dans la table Résumé. Essayez de déterminer s’il existe un problème de contrôleur de domaine en recherchant la section détaillée en recherchant la chaîne « DC : DCName », où DCName est le nom réel du contrôleur de domaine.

Si vous voyez des modifications de configuration évidentes qui sont requises, effectuez-les. Par exemple, si vous remarquez que l’un de vos contrôleurs de domaine a une adresse IP manifestement incorrecte, vous pouvez la corriger. Réexécutez ensuite le test.

Pour valider les modifications de configuration, réexécutez la commande Dcdiag /test:DNS /v avec le commutateur /e : ou /s : selon le cas. Si l’adresse IP version 6 (IPv6) n’est pas activée sur le contrôleur de domaine, vous devez vous attendre à ce que la partie de validation de l’hôte (AAAA) du test échoue, mais si vous n’utilisez pas IPv6 sur votre réseau, ces enregistrements ne sont pas nécessaires.

Vérification de l’inscription des enregistrements de ressources

Le contrôleur de domaine de destination utilise l’enregistrement de ressource de l’alias DNS (CNAME) pour localiser son partenaire de réplication de contrôleur de domaine source. Bien que les contrôleurs de domaine exécutant Windows Server (à partir de Windows Server 2003 avec Service Pack 1 (SP1)) puissent localiser les partenaires de réplication source à l’aide de noms de domaine complets (FQDN) ou, si cela échoue, utilisent les noms NetBIOS, la présence de l’enregistrement de ressources alias (CNAME) est attendue et doit être vérifiée pour le bon fonctionnement du DNS.

Vous pouvez utiliser la procédure suivante pour vérifier l’inscription des enregistrements de ressources, y compris l’inscription de l’enregistrement de ressource alias (CNAME).

Pour vérifier l’inscription de l’enregistrement de ressource

  1. Ouvrez une invite de commandes en tant qu’administrateur. Pour ouvrir une invite de commandes en tant qu'administrateur, cliquez sur Démarrer. Dans Démarrer la recherche, tapez Invite de commandes.
  2. En haut du menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

    Vous pouvez utiliser l’outil Dcdiag pour vérifier l’inscription de tous les enregistrements de ressources essentiels à l’emplacement du contrôleur de domaine en exécutant la commande dcdiag /test:dns /DnsRecordRegistration.

Cette commande vérifie l’inscription des enregistrements de ressources suivants dans DNS :

  • alias (CNAME) : enregistrement de ressource basé sur l’identificateur global unique (GUID) qui localise un partenaire de réplication
  • hôte (A) : enregistrement de ressource hôte qui contient l’adresse IP du contrôleur de domaine
  • LDAP SRV : les enregistrements de ressources de service (SRV) qui localisent les serveurs LDAP
  • GC SRV : les enregistrements de ressources de service (SRV) qui localisent les serveurs de catalogue global
  • SRV PDC : les enregistrements de ressources de service (SRV) qui localisent les maîtres d’opérations de l’émulateur de contrôleur principal de domaine (PDC)

Vous pouvez utiliser la procédure suivante pour vérifier seulement l’inscription de l’enregistrement de ressource alias (CNAME).

Pour vérifier l’inscription de l’enregistrement de ressource alias (CNAME)

  1. Ouvrez le composant logiciel enfichable DNS. Pour ouvrir DNS, cliquez sur Démarrer. Dans la zone Rechercher, tapez dnsmgmt.msc et appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
  2. Utilisez le composant logiciel enfichable DNS pour localiser n’importe quel contrôleur de domaine qui exécute le service de serveur DNS, où le serveur héberge la zone DNS portant le même nom que le domaine Active Directory du contrôleur de domaine.
  3. Dans l’arborescence de la console, cliquez sur la zone nommée _msdcs.Dns_Domain_Name.
  4. Dans le volet d’informations, vérifiez que les enregistrements de ressources suivants sont présents : un enregistrement de ressource alias (CNAME) nommé Dsa_Guid._msdcs.<Nom_domaine_DNS> et un enregistrement de ressource hôte (A) correspondant pour le nom du serveur DNS.

Si l’enregistrement de ressource alias (CNAME) n’est pas inscrit, vérifiez que la mise à jour dynamique fonctionne correctement. Utilisez le test de la section suivante pour vérifier la mise à jour dynamique.

Vérification de la mise à jour dynamique

Si le test DNS de base montre que les enregistrements de ressources n’existent pas dans DNS, utilisez le test de mise à jour dynamique pour déterminer pourquoi le service Net Logon n’a pas inscrit automatiquement les enregistrements de ressource. Pour vérifier que la zone de domaine Active Directory est configurée pour accepter les mises à jour dynamiques sécurisées et effectuer l’inscription d’un enregistrement de test (_dcdiag_test_record), procédez comme suit. L’enregistrement de test est automatiquement supprimé après le test.

Pour vérifier la mise à jour dynamique

  1. Ouvrez une invite de commandes en tant qu’administrateur. Pour ouvrir une invite de commandes en tant qu'administrateur, cliquez sur Démarrer. Dans Démarrer la recherche, tapez Invite de commandes. En haut du menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
  2. À l’invite de commandes, tapez la commande suivante, puis appuyez sur ENTRÉE : dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate

    Remplacez le nom unique, le nom NetBIOS ou le nom DNS du contrôleur de domaine pour <DCName>. Vous pouvez également tester tous les contrôleurs de domaine de la forêt en tapant /e : au lieu de /s :. Si IPv6 n’est pas activé sur le contrôleur de domaine, vous devez vous attendre à ce que la partie d’enregistrement des ressources de l’hôte (AAAA) du test échoue, ce qui est une condition normale lorsque IPv6 n’est pas activé.

Si les mises à jour dynamiques sécurisées ne sont pas configurées, vous pouvez utiliser la procédure suivante pour les configurer.

Pour activer les mises à jour dynamiques sécurisées

  1. Ouvrez le composant logiciel enfichable DNS. Pour ouvrir DNS, cliquez sur Démarrer.
  2. Dans la zone Rechercher, tapez dnsmgmt.msc et appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Propriétés.
  4. Sous l’onglet Général, vérifiez que le type de zone est Intégré à Active Directory.
  5. Dans Mises à jour dynamiques, cliquez sur Sécurisées uniquement.

Inscription d’enregistrements de ressources DNS

Si les enregistrements de ressources DNS n’apparaissent pas dans DNS pour le contrôleur de domaine source, que vous avez vérifié les mises à jour dynamiques et que vous souhaitez inscrire immédiatement les enregistrements de ressources DNS, vous pouvez forcer l’inscription manuellement à l’aide de la procédure suivante. Le service Net Logon sur un contrôleur de domaine enregistre les enregistrements de ressources DNS requis pour que le contrôleur de domaine se trouve sur le réseau. Le service client DNS enregistre l’enregistrement de ressource hôte (A) vers lequel pointe l’enregistrement d’alias (CNAME).

Pour inscrire manuellement des enregistrements de ressources DNS

  1. Ouvrez une invite de commandes en tant qu’administrateur. Pour ouvrir une invite de commandes en tant qu'administrateur, cliquez sur Démarrer.
  2. Dans Démarrer la recherche, tapez Invite de commandes.
  3. En haut du menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
  4. Pour lancer l’inscription manuelle des enregistrements de ressources du localisateur de contrôleur de domaine sur le contrôleur de domaine source, à l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE : net stop netlogon && net start netlogon
  5. Pour lancer l’inscription manuelle de l’enregistrement de ressource hôte (A), à l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE : ipconfig /flushdns && ipconfig /registerdns
  6. À l’invite de commandes, tapez la commande suivante, puis appuyez sur ENTRÉE : dcdiag /test:dns /v /s:<DCName>

    Remplacez le nom unique, le nom NetBIOS ou le nom DNS du contrôleur de domaine pour <DCName>. Passez en revue la sortie du test pour vous assurer que les tests DNS ont réussi. Si IPv6 n’est pas activé sur le contrôleur de domaine, vous devez vous attendre à ce que la partie d’enregistrement des ressources de l’hôte (AAAA) du test échoue, ce qui est une condition normale lorsque IPv6 n’est pas activé.