Partager via

Mise à jour dynamique

La mise à jour dynamique permet aux ordinateurs clients DNS d’enregistrer et de mettre à jour leurs enregistrements de ressources auprès d’un serveur DNS à chaque fois que des modifications sont apportées. Cette fonctionnalité réduit la nécessité d’administration manuelle des enregistrements de zone, en particulier pour les clients qui se déplacent régulièrement ou changent fréquemment d’emplacement et utilisent DHCP pour obtenir une adresse IP.

Les services client et serveur DNS prennent en charge la mise à jour dynamique, comme décrit dans RFC 2136. Le service DNS Server peut activer ou désactiver les mises à jour dynamiques par zone. Par défaut, le service client DNS Windows Server met à jour dynamiquement les enregistrements de ressources d’hôte (A) dans DNS lorsqu’il est configuré pour TCP/IP. Par défaut, le service DNS Server est configuré pour autoriser uniquement les mises à jour dynamiques sécurisées.

Vue d’ensemble du protocole

La RFC 2136 introduit le format de message UPDATE, qui permet d’ajouter et de supprimer des enregistrements de ressources dans une zone spécifiée tout en vérifiant les conditions préalables. La mise à jour est atomique, ce qui signifie que toutes les conditions doivent être remplies pour qu'elle se produise.

La mise à jour de la zone doit être validée sur un serveur DNS principal pour cette zone. Le serveur DNS secondaire transmet une mise à jour à l’aide de la topologie de réplication jusqu’à atteindre le serveur DNS principal. Lorsque vous utilisez une zone intégrée à Active Directory, la mise à jour d’un enregistrement de ressource dans une zone peut être envoyée à n’importe quel serveur DNS s’exécutant sur un contrôleur de domaine Active Directory dont le magasin de données contient la zone.

Lorsqu’un processus de transfert de zone démarre, il verrouille la zone. Ce verrouillage garantit qu’un serveur DNS secondaire reçoit une vue cohérente de la zone lors du transfert des données. Pendant cette période, la zone ne peut pas accepter les mises à jour dynamiques. Si la zone est vaste et fréquemment verrouillée pour les transferts, cela peut priver les clients de la mise à jour dynamique et provoquer une instabilité du système. Pour éviter ce problème, le service DNS Server Windows Server met en file d’attente les demandes de mise à jour qui arrivent pendant le transfert de la zone et les traite une fois le transfert terminé.

Comment les ordinateurs mettent à jour leurs noms DNS

Par défaut, les ordinateurs configurés statiquement pour TCP/IP tentent d’enregistrer dynamiquement les enregistrements de ressources d’hôte (A) et de pointeur (PTR) pour les adresses IP configurées et utilisées par leurs connexions réseau installées. Tous les ordinateurs inscrivent les enregistrements en fonction de leur nom de domaine complet (FQDN).

Les clients DNS ne tentent pas la mise à jour dynamique des éléments suivants :

  • Via un accès à distance ou une connexion VPN (Virtual Private Network). Pour changer cette configuration, vous pouvez modifier les paramètres TCP/IP avancés de la connexion réseau concernée ou modifier le registre.

  • Zones de domaine de premier niveau (TLD). Toute zone nommée avec un nom en une partie est considérée comme une zone TLD, par exemple, com, edu, blank, my-company.

De même, toujours par défaut, la partie suffixe du DNS principal du nom de domaine complet d’un ordinateur est identique au nom du domaine Active Directory auquel l’ordinateur est joint. Pour autoriser différents suffixes DNS principaux, un administrateur de domaine peut créer une liste restreinte de suffixes autorisés en modifiant l’attribut msDS-AllowedDNSSuffixes dans le conteneur d’objets de domaine. Un administrateur de domaine peut gérer l’attribut à l’aide des interfaces ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol). Les mises à jour dynamiques peuvent être envoyées pour l’une des raisons ou l'un des événements suivants :

  • Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l’une des connexions réseau installées.
  • Au démarrage, lorsque l’ordinateur est allumé.
  • Un serveur membre est promu en contrôleur de domaine.
  • Un bail d’adresse IP est modifié ou renouvelé par le serveur DHCP pour l’une des connexions réseau installées, par exemple, au démarrage de l’ordinateur ou si la commande ipconfig /renew est utilisée.
  • La commande ipconfig /registerdns permet de forcer manuellement l’actualisation de l’inscription du nom du client dans DNS.

Important

Si vous utilisez ipconfig /registerdns, le service client DNS tente d’inscrire directement son enregistrement DNS, en contournant le serveur DHCP. Cette inscription se produit même si le serveur DHCP est configuré pour mettre à jour toujours mettre à jour dynamiquement les enregistrements DNS A et PTR. Si le client n’est pas autorisé à mettre à jour son enregistrement de ressource, l’inscription échoue en mode silencieux. Si le client DNS dispose de cette autorisation, l’enregistrement de ressource est mis à jour. Les autorisations peuvent être réinitialisées de sorte que le serveur DHCP ne soit plus en mesure d’effectuer de mises à jour sur l’enregistrement de ressource.
La méthode recommandée pour mettre à jour l'inscription DNS pour les clients DHCP exécutant Windows consiste à utiliser ipconfig /renew. N’utilisez ipconfig /registerdnspas .

Lorsque l’un des événements précédents déclenche une mise à jour dynamique, le service client DNS envoie des mises à jour. Ce déclencheur est conçu de sorte que si une modification est apportée aux informations d’adresse IP, les mises à jour correspondantes dans DNS sont effectuées pour synchroniser les mappages nom-adresse pour l’ordinateur. Le service client DNS exécute cette fonction pour toutes les connexions réseau utilisées sur le système, y compris les connexions non configurées pour utiliser DHCP.

Ce processus de mise à jour part du principe que les paramètres d’installation par défaut sont appliqués pour les serveurs exécutant Windows Server. Les noms et le comportement de mise à jour sont ajustables lorsque les propriétés TCP/IP avancées sont configurées pour utiliser des paramètres DNS autres que ceux par défaut.

En plus du nom complet (ou nom principal) de l’ordinateur, les noms DNS spécifiques à la connexion peuvent être configurés et éventuellement enregistrés ou mis à jour dans DNS.

Fonctionnement de la mise à jour dynamique

Les mises à jour dynamiques sont généralement demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, supposons qu’un client nommé oldhost soit d’abord configuré avec les noms suivants :

  • Nom de l’ordinateur : oldhost
  • Nom de domaine DNS: example.contoso.com
  • Noms d’ordinateur complet: oldhost.example.contoso.com

Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. L’ordinateur est ensuite renommé de oldhost en newhost, ce qui entraîne les modifications de nom suivantes sur le système :

  • Nom de l’ordinateur : newhost
  • Nom de domaine DNS: example.contoso.com
  • Noms d’ordinateur complet: newhost.example.contoso.com

Une fois le changement de nom appliqué dans les propriétés système, vous êtes invité à redémarrer l’ordinateur. Lorsque l’ordinateur redémarre Windows, le service client DNS effectue la séquence suivante pour mettre à jour DNS :

  1. Le service client DNS envoie une requête de type SOA à l’aide du nom de domaine DNS de l’ordinateur.

    L’ordinateur client utilise le nom de domaine complet actuellement configuré de l’ordinateur (par exemple, newhost.example.contoso.com) comme le nom spécifié dans cette requête.

  2. Le serveur DNS faisant autorité pour la zone contenant le nom de domaine complet du client répond à la requête de type SOA.

    Pour les zones principales standard, le serveur principal (propriétaire) retourné dans la réponse à la requête SOA est fixe et statique. Il correspond toujours au nom DNS exact tel qu’il apparaît dans l’enregistrement de ressource SOA stocké avec la zone. Si la zone mise à jour est intégrée à l’annuaire, tout serveur DNS s’exécutant sur un contrôleur de domaine pour le domaine Active Directory dans le nom de domaine complet peut répondre. Il peut insérer dynamiquement son propre nom en tant que serveur principal (propriétaire) de la zone dans la réponse à la requête SOA.

  3. Le service client DNS tente ensuite de contacter le serveur DNS principal.

    Le client traite la réponse à la requête SOA pour son nom afin de déterminer l’adresse IP du serveur DNS autorisé en tant que serveur principal pour accepter son nom. Il procède ensuite à l’exécution de la séquence d’étapes suivante, le cas échéant, pour contacter et mettre à jour dynamiquement son serveur principal :

    • Il envoie une requête de mise à jour dynamique au serveur principal déterminé dans la réponse à la requête SOA.
    • Si la mise à jour aboutit, aucune autre action n’est effectuée.
    • En cas d’échec de cette mise à jour, le client envoie ensuite une requête de type NS pour le nom de zone spécifié dans l’enregistrement SOA.
    • Lorsqu’il reçoit une réponse à cette requête, il envoie une requête SOA au premier serveur DNS répertorié dans la réponse.

    Une fois la requête SOA résolue, le client envoie une mise à jour dynamique au serveur spécifié dans l’enregistrement SOA retourné.

    • Si la mise à jour aboutit, aucune autre action n’est effectuée.
    • En cas d'échec de la mise à jour, le client répète le processus de requête SOA en envoyant une requête au serveur DNS suivant répertorié dans la réponse.

  4. Une fois que le serveur DNS principal qui peut effectuer la mise à jour est contacté, le client envoie la requête de mise à jour et le serveur DNS la traite.

    Le contenu de la requête de mise à jour comprend des instructions permettant d’ajouter des enregistrements de ressources A (et éventuellement PTR) pour newhost.example.contoso.com et de supprimer ces mêmes types d’enregistrements pour oldhost.example.contoso.com, le nom précédemment inscrit.

    Le serveur DNS vérifie également que les mises à jour sont autorisées pour la requête du client. Pour les zones principales standard, les mises à jour dynamiques ne sont pas sécurisées, de sorte que toutes les tentatives de mise à jour du client aboutissent. Pour les zones intégrées à Active Directory, les mises à jour sont sécurisées et effectuées à l’aide des paramètres de sécurité basés sur l’annuaire. Pour plus d’informations, consultez la section Mise à jour dynamique sécurisée plus loin dans cet article.

Les mises à jour dynamiques sont envoyées ou actualisées régulièrement. Par défaut, les ordinateurs envoient une actualisation tous les sept jours. Si la mise à jour n’entraîne aucune modification des données de la zone, celle-ci reste dans sa version actuelle et aucune modification n’est écrite. Les mises à jour n’entraînent des modifications de la zone ou une augmentation des transferts de zone que lorsque les noms ou les adresses changent.

Les noms ne sont pas supprimés des zones DNS s’ils deviennent inactifs ou ne sont pas mis à jour dans l’intervalle d’actualisation (sept jours). DNS ne dispose pas d’un mécanisme pour libérer ou désactiver les noms. Cependant, les clients DNS tentent de supprimer les anciens enregistrements de nom lorsqu’un nouveau nom est appliqué. Les clients DNS tentent également de mettre à jour les enregistrements de noms lorsqu’un changement d’adresse se produit.

Lorsque le service Client DNS inscrit des enregistrements de ressources A et PTR pour un ordinateur, il utilise une durée de vie de mise en cache par défaut de 15 minutes pour les enregistrements hôtes. Cette durée de vie détermine la durée de mise en cache des enregistrements d’un ordinateur par d’autres serveurs et clients DNS lorsqu’ils sont inclus dans une réponse à une requête.

Durée de vie

Chaque fois qu’un client de mise à jour dynamique s’inscrit dans DNS, les enregistrements de ressources A et PTR associés incluent la durée de vie. Par défaut, la durée de vie est de 10 minutes pour les enregistrements inscrits par le service Netlogon. Pour les enregistrements inscrits par le service client DHCP, la durée de vie est de 15 minutes. Si le service DNS Server inscrit dynamiquement des enregistrements pour ses propres zones, la durée de vie par défaut est de 20 minutes. Vous pouvez modifier ce paramètre par défaut dans le registre. Une valeur faible entraîne l’expiration plus rapide des entrées mises en cache, ce qui augmente le trafic DNS mais réduit le risque que les enregistrements mis en cache deviennent obsolètes. Faire expirer rapidement les entrées est utile pour les ordinateurs qui renouvellent fréquemment leurs baux DHCP. Les durées de conservation longues sont utiles pour les ordinateurs qui renouvellent peu souvent leurs baux DHCP.

Résolution de conflits de noms

Lorsque le service client DNS tente d’inscrire un enregistrement A, il vérifie si la zone du DNS faisant autorité contient déjà un enregistrement A pour le même nom, mais avec une adresse IP différente. Par défaut, le service client DNS tente de remplacer le ou les enregistrement(s) A existant(s) par le nouvel enregistrement A contenant l’adresse IP du client DNS. Par conséquent, n’importe quel ordinateur du réseau peut modifier l’enregistrement A existant, sauf en cas d'utilisation de la mise à jour dynamique sécurisée. Les zones configurées pour une mise à jour dynamique sécurisée permettent uniquement aux utilisateurs autorisés de modifier l'enregistrement de ressource.

Vous pouvez modifier le paramètre par défaut de telle sorte que le service client DNS mette fin au processus d’inscription et consigne l’erreur dans l’Observateur d’événements, au lieu de remplacer l’enregistrement A existant. Pour plus d’informations, consultez la section Mise à jour dynamique sécurisée plus loin dans cet article.

DNS et DHCP

Les clients DNS Windows prennent en charge les mises à jour dynamiques et peuvent lancer le processus de mise à jour dynamique. Un client DNS négocie le processus de mise à jour dynamique avec le serveur DHCP lorsque le client loue une adresse IP ou renouvelle le bail. Cette négociation permet de déterminer quel ordinateur met à jour les enregistrements de ressources A et PTR du client. Le client DNS et le serveur DHCP négocient qui met à jour les enregistrements. Le client et le serveur envoient des requêtes de mise à jour dynamique aux serveurs DNS principaux qui font autorité pour les noms à mettre à jour.

Le service serveur DHCP Windows Server peut mettre à jour les enregistrements DNS des clients qui ne prennent pas en charge l’option FQDN du service client DHCP. Cette fonctionnalité peut être activée sous l’onglet DNS des propriétés du serveur pour la console DHCP. Le serveur DHCP obtient d’abord le nom des clients hérités à partir du paquet DHCP REQUEST. Il ajoute ensuite le nom de domaine attribué pour cette étendue et inscrit les enregistrements de ressources A et PTR.

Dans certains cas, des enregistrements de ressources PTR ou A obsolètes peuvent apparaître sur les serveurs DNS à l’expiration du bail d’un client DHCP. Par exemple, lorsqu’un client DNS tente de négocier une procédure de mise à jour dynamique avec un serveur DHCP, le client DNS doit inscrire lui-même les enregistrements de ressources A et PTR. Par la suite, si le client est supprimé de manière incorrecte du réseau, il ne peut pas annuler l'inscription de ses enregistrements de ressources A et PTR, qui deviennent alors obsolètes.

Si un enregistrement de ressource A obsolète apparaît dans une zone où seules les mises à jour dynamiques sécurisées sont autorisées, aucun ordinateur ne pourra enregistrer un autre enregistrement de ressource sous le nom associé à cet enregistrement A. Pour éviter les problèmes liés aux enregistrements de ressources PTR et A obsolètes, vous pouvez activer les fonctionnalités de vieillissement et de nettoyage. Pour en savoir plus sur la fonctionnalité de nettoyage et et de vieillissement, consultez Nettoyage et vieillissement DNS.

Pour assurer une tolérance aux pannes lors des mises à jour dynamiques, envisagez d’intégrer à Active Directory les zones qui acceptent les mises à jour dynamiques des clients Windows. Pour accélérer la découverte des serveurs DNS faisant autorité, vous pouvez configurer chaque client avec une liste de serveurs DNS par défaut et auxiliaires, qui sont principaux pour cette zone intégrée à l’annuaire. Si un client ne parvient pas à mettre à jour la zone via son serveur DNS préféré parce que celui-ci est indisponible, il peut tenter la mise à jour auprès d’un serveur auxiliaire. Lorsque le serveur DNS préféré redevient disponible, il charge la zone intégrée à l’annuaire mise à jour avec les informations du client.

Processus de mise à jour dynamique

Dans cette section, nous décrivons le processus de mise à jour dynamique pour les clients DHCP, les clients configurés de manière statique, les clients d’accès à distance et les clients multirésidents.

Processus client DHCP

Pour lancer le processus de mise à jour dynamique, le client DHCP envoie son nom de domaine complet au serveur DHCP dans le paquet DHCPREQUEST à l'aide de l'option de nom de domaine complet du service client DHCP. Le serveur DHCP répond ensuite au client DHCP en envoyant un message d’accusé de réception DHCP (DHCPACK) qui inclut l’option de nom de domaine complet (code d’option 81).

Le tableau suivant répertorie les champs de l’option de nom de domaine complet du paquet DHCPREQUEST.

Field Explanation
Code Spécifie le code de cette option (81).
Len Spécifie la longueur, en octets, de cette option (minimum 4).
Flags Peut avoir l’une des valeurs suivantes :

0. Le client souhaite inscrire l’enregistrement de ressource A et demande au serveur de mettre à jour l’enregistrement de ressource PTR.

1. Le client souhaite que le serveur inscrive les enregistrements de ressources A et PTR.

3. Le serveur DHCP inscrit les enregistrements de ressources A et PTR, quelle que soit la requête du client.
RCODE1 et RCODE2 Le serveur DHCP utilise ces champs pour spécifier le code de réponse des enregistrements de ressources A et PTR effectués pour le compte du client et pour indiquer s’il a tenté la mise à jour avant l’envoi de DHCPACK.
Nom de domaine Spécifie le nom de domaine complet du client.

Les conditions dans lesquelles les clients DHCP envoient l’option de nom de domaine complet dépendent du système d’exploitation exécuté par le client et de la configuration de celui-ci. Les actions entreprises par les serveurs DHCP dépendent également du système d’exploitation exécuté par le serveur et de la configuration de celui-ci.

Par défaut, le service client DHCP Windows utilise le processus suivant.

  1. Le service client DHCP Windows envoie l’option de nom de domaine complet avec le champ Indicateurs défini sur 0. Cet indicateur demande au client de mettre à jour l’enregistrement de ressource A et au service serveur DHCP de mettre à jour l’enregistrement de ressource PTR.

  2. Le client attend une réponse du serveur DHCP. À moins que le serveur DHCP ne définisse le champ Indicateurs sur 3, le client DNS lance alors une mise à jour pour l’enregistrement de la ressource A.

  3. Si le serveur DHCP ne prend pas en charge ou n’est pas configuré pour l’inscription de l’enregistrement DNS, aucun nom de domaine complet n’est inclus dans la réponse. Dans ce cas, le client DNS tente d’inscrire les enregistrements de ressources A et PTR.

En fonction de la requête du client DHCP, le serveur DHCP peut effectuer différentes actions.

Si le client DHCP envoie un message DHCPREQUEST sans l’option de nom de domaine complet, le comportement dépend du type de serveur DHCP et de sa configuration. Le serveur DHCP met à jour les deux enregistrements si vous le configurez pour mettre à jour les enregistrements au nom des clients DHCP qui ne prennent pas en charge l’option de nom de domaine complet.

Dans les cas suivants, le serveur DHCP n’effectue aucune action :

  • Le serveur DHCP ne prend pas en charge la mise à jour dynamique.

  • Le serveur DHCP est configuré pour ne pas effectuer de mises à jour dynamiques pour les clients qui ne prennent pas en charge l’option de nom de domaine complet.

  • Le serveur DHCP est configuré pour ne pas inscrire les enregistrements de ressources DNS.

Si le client DHCP Windows demande au serveur de mettre à jour l’enregistrement de ressource PTR, mais pas l’enregistrement de ressource A, le comportement dépend du type de serveur DHCP et de sa configuration.

Le serveur peut effectuer l’une des actions suivantes :

  • Si le serveur DHCP Windows est configuré pour ne pas effectuer de mises à jour dynamiques, il n’inclut pas l’option de nom de domaine complet dans sa réponse. Il ne met pas non plus à jour les enregistrements de ressources. Dans ce cas, s'il en est en mesure, le client DNS tente de mettre à jour les enregistrements de ressources A et PTR.

  • Si le serveur DHCP Windows est configuré pour effectuer une mise à jour en fonction de la requête du client DHCP, le serveur tente de mettre à jour l’enregistrement de ressource PTR. Le serveur DHCP envoie un message DHCPACK au client DHCP. Ce message contient l’option de nom de domaine complet avec le champ Indicateurs défini sur 0. Le message DHCPACK confirme que le serveur DHCP met à jour l’enregistrement PTR. S'il en est en mesure, le client DNS tente ensuite de mettre à jour l’enregistrement de ressource A.

  • Si le serveur DHCP est configuré pour toujours mettre à jour les enregistrements A et PTR, il tente de mettre à jour ces deux enregistrements de ressources. Le message DHCPACK envoyé par le serveur DHCP au client DHCP contient l’option de nom de domaine complet avec le champ Indicateurs défini sur 3, informant le client DHCP que le serveur DHCP met à jour les enregistrements A et PTR. Dans ce cas, le client DNS ne tente pas de mettre à jour ces enregistrements de ressources.

Processus de clients configurés statiquement et d’accès à distance

Les clients configurés de manière statique et les clients d’accès à distance ne dépendent pas du serveur DHCP pour l’inscription DNS. Les clients configurés de manière statique mettent à jour dynamiquement leurs enregistrements de ressources A et PTR à chaque démarrage. Les clients effectuent également une mise à jour toutes les 24 heures afin d'actualiser les enregistrements dans la base de données DNS.

Les clients d’accès à distance peuvent mettre à jour dynamiquement les enregistrements de ressources A et PTR lorsqu’une connexion d’accès à distance est établie. Ils peuvent également tenter de retirer ou de désinscrire les enregistrements de ressources A et PTR lorsque l’utilisateur ferme explicitement la connexion. Les ordinateurs exécutant Windows Server avec une connexion réseau d’accès à distance tentent d’inscrire dynamiquement les enregistrements A et PTR pour l’adresse IP de cette connexion. Par défaut, le service client DNS sur le client Windows ne tente pas de mise à jour dynamique via un accès à distance ou une connexion VPN. Pour changer cette configuration, vous pouvez modifier les paramètres TCP/IP avancés de la connexion réseau concernée ou modifier le registre.

Dans tous les systèmes d'exploitation, si un client d'accès à distance ne reçoit pas de réponse positive à sa tentative de désinscription d'un enregistrement de ressource DNS, ou échoue pour toute autre raison à désinscrire un enregistrement de ressource dans un délai de quatre secondes, le client DNS ferme la connexion. Dans ce cas, la base de données DNS peut contenir un enregistrement obsolète.

Si le client d’accès à distance ne parvient pas à désinscrire un enregistrement de ressource DNS, il ajoute un message au journal des événements, que vous pouvez consulter à l’aide de l’Observateur d’événements. Le client d’accès à distance ne supprime jamais les enregistrements obsolètes, mais le serveur d’accès à distance tente de désinscrire l’enregistrement de ressource PTR lorsque le client est déconnecté.

Par défaut, le service client DNS Windows ne tente pas de mettre à jour automatiquement les enregistrements A et PTR pour les connexions d’accès à distance.

Processus client multirésident

Si un client de mise à jour dynamique est multirésident, c’est-à-dire qu’il dispose de plusieurs connexions réseau et d’une adresse IP associée, il inscrit toutes les adresses IP pour chaque connexion réseau. Si vous ne souhaitez pas que ces adresses IP soient inscrites, vous pouvez configurer la connexion réseau de telle sorte qu’elle n’inscrive pas les adresses IP.

Le client de mise à jour dynamique n’inscrit pas toutes les adresses IP auprès des serveurs DNS dans tous les espaces de noms auxquels l’ordinateur est connecté. Par exemple, un ordinateur multirésident, client1.example.contoso.com, est connecté à la fois à Internet et à l’intranet de l’entreprise. Le client est connecté à l’intranet par l’adaptateur A, un adaptateur DHCP dont l’adresse IP est 172.16.8.7. Le client est également connecté à Internet par l’adaptateur B, un adaptateur d’accès à distance dont l’adresse IP est 10.3.3.9. Le client résout les noms intranet à l’aide d’un serveur de noms sur l’intranet et résout les noms Internet à l’aide d’un serveur de noms sur Internet.

Mise à jour dynamique sécurisée

La sécurité des mises à jour DNS n’est disponible que pour les zones intégrées à Active Directory. Lorsque vous intégrez une zone dans Active Directory, des listes de contrôle d’accès sont disponibles dans la console DNS pour vous permettre d’ajouter ou de supprimer des utilisateurs et des groupes de la liste de contrôle d'accès pour un enregistrement de zone ou de ressource spécifié. Les listes de contrôle d’accès sont uniquement destinées au contrôle d’accès d’administration DNS et n'ont aucune incidence sur la résolution des requêtes DNS.

Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et les clients DNS est gérée comme suit :

  • Les clients DNS tentent d’utiliser la mise à jour dynamique non sécurisée en premier. Si une mise à jour non sécurisée est refusée, les clients tentent d’utiliser la mise à jour sécurisée.

    La stratégie de mise à jour par défaut permet aux clients de tenter d’écraser un enregistrement de ressource précédemment inscrit, sauf s’il est bloqué.

  • Une fois qu’une zone est intégrée à Active Directory, par défaut, les serveurs DNS exécutant Windows Server autorisent uniquement les mises à jour dynamiques sécurisées.

    Lorsque vous utilisez le stockage de zone basé sur des fichiers, le service DNS Server est configuré par défaut pour ne pas autoriser les mises à jour dynamiques sur ses zones. Pour les zones qui sont intégrées à l’annuaire ou qui utilisent un stockage standard basé sur des fichiers, vous pouvez modifier la zone afin d'autoriser toutes les mises à jour dynamiques. Ce paramètre permet d’accepter toutes les mises à jour.

La mise à jour dynamique est un ajout à la spécification standard DNS définie dans RFC 2136.

L’inscription dynamique des enregistrements de ressources DNS peut être limitée à l’aide d’entrées de registre.

Fonctionnement de la mise à jour dynamique sécurisée

Le processus de mise à jour dynamique sécurisée est décrit comme suit :

  1. Pour lancer une mise à jour dynamique sécurisée, le client DNS lance d’abord le processus de négociation du contexte de sécurité, au cours duquel les jetons sont transmis entre le client et le serveur à l’aide d’enregistrements de ressources TKEY. À la fin du processus de négociation, le contexte de sécurité est établi.

  2. Le client DNS envoie la requête de mise à jour dynamique au serveur DNS. Cette requête contient des enregistrements de ressources pour l’ajout, la suppression ou la modification de données.

    1. La requête est signée à l’aide du contexte de sécurité précédemment établi.

    2. La signature est transmise dans l’enregistrement de ressource TSIG, qui est inclus dans le paquet de mise à jour dynamique.

  3. Le serveur tente de mettre à jour Active Directory à l’aide des informations d’identification du client et envoie le résultat de la mise à jour au client. Ces résultats sont également signés à l’aide du contexte de sécurité et de la signature transmise dans l’enregistrement de ressource TSIG inclus dans la réponse.

Processus de mise à jour dynamique sécurisée

Le processus de mise à jour dynamique sécurisée est décrit comme suit :

  1. Le client DNS interroge le serveur DNS préféré afin de déterminer quel serveur DNS fait autorité pour le nom de domaine qu’il tente de mettre à jour. Le serveur DNS préféré répond avec le nom de la zone et le serveur DNS principal qui fait autorité pour la zone.

  2. Le client DNS tente une mise à jour dynamique standard, et si la zone est configurée pour autoriser uniquement les mises à jour dynamiques sécurisées (configuration par défaut pour les zones intégrées à Active Directory), le serveur DNS refuse la mise à jour non sécurisée. Si la zone est configurée pour la mise à jour dynamique standard plutôt que pour la mise à jour dynamique sécurisée, le serveur DNS accepte la tentative du client DNS d’ajouter, de supprimer ou de modifier des enregistrements de ressources dans cette zone.

  3. Le client DNS et le serveur DNS commencent la négociation TKEY.

    1. Le client DNS et le serveur DNS négocient un mécanisme de sécurité sous-jacent. Les clients de mise à jour dynamique Windows et les serveurs DNS peuvent uniquement utiliser le protocole Kerberos.

    2. À l’aide du mécanisme de sécurité, le client DNS et le serveur DNS vérifient leurs identités respectives et établissent le contexte de sécurité.

  4. Le client DNS envoie la requête de mise à jour dynamique au serveur DNS, signée à l’aide du contexte de sécurité établi. La signature est incluse dans le champ de signature de l’enregistrement de ressource TSIG inclus dans le paquet de requête de mise à jour dynamique. Le serveur DNS vérifie l’origine du paquet de mise à jour dynamique à l’aide du contexte de sécurité et de la signature TSIG.

  5. Le serveur DNS tente d’ajouter, de supprimer ou de modifier des enregistrements de ressources dans Active Directory. La mise à jour dépend de si le client DNS dispose des autorisations appropriées et les conditions préalables sont remplies.

  6. Le serveur DNS envoie une réponse au client DNS indiquant s’il a été en mesure d’effectuer la mise à jour, signée à l’aide du contexte de sécurité établi. La signature est incluse dans le champ de signature de l’enregistrement de ressource TSIG inclus dans le paquet de réponse de mise à jour dynamique. Si le client DNS reçoit une réponse falsifiée, il l’ignore et attend une réponse signée.

Sécurité pour les clients DHCP qui ne prennent pas en charge l’option de nom de domaine complet

Les clients DHCP Windows qui ne prennent pas en charge l’option de nom de domaine complet (option 81) ne sont pas en mesure d’effectuer des mises à jour dynamiques. Si vous souhaitez que les enregistrements de ressources A et PTR de ces clients soient inscrits dynamiquement dans DNS, vous devez configurer le serveur DHCP pour effectuer des mises à jour dynamiques en leur nom.

Pour que le serveur DHCP effectue des mises à jour dynamiques sécurisées pour le compte des clients DHCP qui ne prennent pas en charge l’option de nom de domaine complet, une configuration supplémentaire est nécessaire afin d'éviter un problème d’autorisation. Lorsqu’un serveur DHCP effectue une mise à jour dynamique sécurisée sur un nom, il devient le propriétaire de ce nom. Seul ce serveur DHCP peut mettre à jour un enregistrement pour ce nom.

Supposons, par exemple, que le serveur DHCP DHCP1 a créé un objet pour le nom host1.example.com, puis a cessé de répondre, et que plus tard le serveur DHCP de sauvegarde, DHCP2, a essayé de mettre à jour un enregistrement portant le même nom, host1.example.com. Dans ce cas, DHCP2 n’est pas en mesure de mettre à jour le nom, car il n’en est pas le propriétaire.

Pour éviter ce problème, utilisez le groupe de sécurité intégré appelé DnsUpdateProxy. Si vous ajoutez tous les serveurs DHCP en tant que membres du groupe DnsUpdateProxy, un autre serveur peut mettre à jour les enregistrements d’un serveur en cas de défaillance du premier serveur. De plus, étant donné que tous les objets créés par les membres du groupe DnsUpdateProxy ne sont pas sécurisés, le premier utilisateur à modifier l'ensemble d'enregistrements associé à un nom DNS en devient le propriétaire. Lorsque les clients hérités sont mis à niveau, ils peuvent prendre possession de leurs enregistrements de noms sur le serveur DNS. Si tous les serveurs DHCP inscrivant des enregistrements de ressources pour les anciens clients sont membres du groupe DnsUpdateProxy, les problèmes évoqués précédemment ne se produisent pas.

Sécurisation des enregistrements à l’aide du groupe DnsUpdateProxy

Lorsque le serveur DHCP est membre du groupe DnsUpdateProxy, il ne sécurise pas les noms de domaine DNS qu’il inscrit. Par conséquent, n’utilisez pas ce groupe dans une zone intégrée à Active Directory qui autorise uniquement les mises à jour dynamiques sécurisées sans prendre de mesures supplémentaires pour sécuriser les enregistrements créés par les membres du groupe.

Pour vous protéger contre les enregistrements non sécurisés ou pour permettre aux membres du groupe DnsUpdateProxy d’inscrire des enregistrements dans des zones qui autorisent uniquement les mises à jour dynamiques sécurisées, créez un compte d’utilisateur dédié. À l’aide des informations d’identification de ce compte utilisateur, configurez les serveurs DHCP pour qu'ils effectuent des mises à jour dynamiques DNS. Plusieurs serveurs DHCP peuvent utiliser les informations d’identification d’un même compte d’utilisateur dédié.

Le compte d’utilisateur dédié est un compte d’utilisateur standard utilisé uniquement pour fournir aux serveurs DHCP des informations d’identification pour l’inscription des mises à jour dynamiques DNS. Chaque serveur DHCP fournit ces informations d’identification lors de l’inscription de noms pour le compte de clients DHCP à l’aide de la mise à jour dynamique DNS. Le compte d’utilisateur dédié est créé dans la même forêt que celle où réside le serveur DNS principal de la zone à mettre à jour. Le compte d’utilisateur dédié peut également se trouver dans une autre forêt à condition que la forêt dans laquelle il réside ait une approbation de forêt établie avec la forêt contenant le serveur DNS principal pour la zone à mettre à jour.

Lorsqu’il est installé sur un contrôleur de domaine, le service serveur DHCP hérite des autorisations de sécurité du contrôleur de domaine. Cela signifie qu’il dispose du pouvoir de mettre à jour ou de supprimer tout enregistrement DNS inscrit dans une zone sécurisée intégrée à Active Directory. Les autres ordinateurs exécutant Windows Server, tels que les contrôleurs de domaine, inscrivent ces enregistrements de manière sécurisée. Lorsqu’il est installé sur un contrôleur de domaine, configurez le serveur DHCP avec les informations d’identification du compte d’utilisateur dédié afin d’empêcher le serveur d’hériter, et éventuellement d’utiliser à mauvais escient, les privilèges du contrôleur de domaine.

Configurez un compte d’utilisateur dédié ainsi que le service serveur DHCP avec les informations d’identification du compte dans les circonstances suivantes :

  • Un contrôleur de domaine est configuré pour fonctionner comme un serveur DHCP.
  • Le serveur DHCP est configuré pour effectuer des mises à jour dynamiques DNS pour le compte des clients DHCP.
  • Le serveur DHCP met à jour les zones DNS qui sont configurées pour autoriser uniquement les mises à jour dynamiques sécurisées.

Après avoir créé un compte d’utilisateur dédié, vous pouvez configurer des serveurs DHCP avec les informations d’identification du compte d’utilisateur à l’aide de la console DHCP ou de la commande netsh dhcp server set dnscredentials.

Note

  • Si les informations d’identification fournies appartiennent à un objet qui est membre du groupe de sécurité DnsUpdateProxy, le prochain objet à inscrire le même enregistrement de nom dans DNS deviendra le propriétaire de l’enregistrement.

  • Si vous spécifiez des informations d’identification pour le serveur DHCP à utiliser lors de l’inscription des ordinateurs clients DHCP dans DNS, ces informations d’identification ne sont pas sauvegardées. Après la restauration d'une base de données DHCP, de nouvelles informations d'identification doivent être configurées.

  • Last updated on