メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Pratiques d’excellence pour la configuration DNS dans un domaine Active Directory

概要: Pratiques d’excellence recommandées pour configurer un DNS dans Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Résumé de l’article : cet article présente les pratiques d’excellence recommandées pour la configuration DNS dans un domaine Active Directory.


 

Pour qu’Active Directory fonctionne comme prévu, il est essentiel que la configuration DNS soit correcte. Un DNS mal configuré peut provoquer divers problèmes, notamment des échecs d’ouverture de session, des problèmes de traitement des stratégies de groupe et des problèmes de réplication. La liste suivante des pratiques d’excellence n’est pas exhaustive, mais elle permet d’assurer une résolution de noms appropriée dans un domaine Active Directory.

  • Dans un petit environnement, au moins un contrôleur de domaine (DC) doit servir de serveur DNS. Il est possible d’installer un DNS sur des serveurs qui ne sont pas des DC, y compris des serveurs non Windows, mais l’installation d’un DNS sur un DC permet d’utiliser des zones de recherche intégrées à AD (voir ci-dessous), qui améliorent la sécurité et simplifient la réplication de zone.
     
  • Dans un environnement plus important, au moins deux contrôleurs de domaine sur chaque site physique doivent servir de serveurs DNS. Cela permet de bénéficier de la redondance dans le cas où un DC est déconnecté de façon inattendue. Notez que les machines jointes au domaine doivent être configurées pour utiliser plusieurs serveurs DNS afin de pouvoir tirer parti de cette option.

     
  • Si plusieurs DC sont configurés en tant que serveurs DNS, ils doivent être configurés pour s’utiliser d’abord les uns les autres pour la résolution, puis s’utiliser eux-mêmes. Chaque liste de serveurs DNS d’un DC doit inclure sa propre adresse, mais elle ne doit pas figurer comme premier serveur dans la liste. Si un DC n’utilise que lui-même pour la résolution, il peut cesser les réplications avec d’autres DC. Ce n’est évidemment pas un problème dans un domaine avec un seul DC.

     
  • Tous les ordinateurs joints au domaine doivent utiliser uniquement des serveurs DNS internes. Si un ordinateur joint au domaine est configuré pour utiliser un serveur externe comme serveur DNS alternatif, en cas d’absence temporaire de connectivité à un serveur DNS interne, l’ordinateur utilise le serveur externe pour la résolution. Ce serveur externe ne sera pas en mesure de résoudre les requêtes internes au domaine AD, et l’ordinateur client ne basculera pas automatiquement vers le serveur DNS interne lorsque la connectivité sera restaurée. Généralement, cela se traduit par une incapacité à accéder aux ressources du domaine à partir de la machine concernée. Gardez à l’esprit que si vous utilisez un routeur de petit bureau/bureau à domicile (SOHO) pour affecter des adresses DHCP à des ordinateurs clients, il affectera probablement également des serveurs DNS externes à ces clients, sauf s’il a été configuré manuellement pour faire autrement.

     
  • Dans un environnement multisite, les membres du domaine doivent être configurés pour utiliser les serveurs DNS du site local avant d’utiliser ceux d’un autre site. Cela réduit le trafic DNS passant par des liaisons de réseau WAN plus lentes.

     
  • Utilisez les zones DNS intégrées à Active Directory pour améliorer la sécurité et simplifier la réplication DNS. Les zones DNS intégrées à AD sont stockées dans des partitions d’annuaire, dans Active Directory. Ces partitions d’annuaire se répliquent avec le reste d’AD. Par conséquent, aucune configuration supplémentaire (configuration de transfert de zone) n’est requise pour la réplication DNS. De plus, les zones intégrées à AD permettent d’utiliser des mises à jour dynamiques sécurisées. Cela empêche d’appliquer des mises à jour provenant de machines qui ne peuvent pas s’authentifier avec le domaine sur des enregistrements DNS.

     
  • À moins qu’il y ait une raison impérieuse de faire autrement, les zones DNS ne devraient autoriser que les mises à jour dynamiques sécurisées. L’autorisation de mises à jour dynamiques non sécurisées peut permettre aux ordinateurs qui ne font pas partie du domaine de modifier des enregistrements sur les serveurs DNS du domaine, ce qui constitue un risque pour la sécurité. D’autre part, la désactivation des mises à jour dynamiques sécurise les enregistrements DNS, mais rend la gestion du domaine plus difficile.

     
  • Configurez des transitaires ou des indications de racine pour la résolution de noms externe dans un environnement connecté à Internet. Les transitaires peuvent fournir une réponse plus rapide aux requêtes externes, mais ils sont moins redondants que les 374 serveurs DNS racine largement distribués qui existent à partir de cette écriture. Les indications de racine sont présentes par défaut sur les serveurs Windows, mais les transitaires doivent être configurés manuellement. 

     
  • Les serveurs DNS d’un domaine ne doivent pas s’utiliser les uns les autres en tant que transitaires. Les transitaires sont des serveurs vers lesquels un serveur DNS envoie des requêtes auxquelles il ne peut pas répondre (c’est-à-dire des requêtes pour des enregistrements dans des zones qu’il n’héberge pas). Les serveurs DNS d’un domaine hébergent généralement les mêmes zones, donc, si l’un d’eux est incapable de répondre à une requête donnée, ils seront tous dans l’incapacité de le faire, et la transmission de cette requête d’un serveur à un autre entraînera des retards.

     
  • Configurez le classement chronologique et le nettoyage pour éviter les enregistrements DNS périmés. La configuration correcte du classement chronologique et du nettoyage garantit que les enregistrements périmés (ceux de plus d’un certain âge qui sont configurables) seront purgés automatiquement du DNS. 

     
  • Utilisez DNS Best Practice Analyzer. Le logiciel DNS BPA vérifie plus d’éléments que ceux qui sont répertoriés ici et donne des conseils pour résoudre tous les problèmes qu’il détecte.  Pour obtenir plus d’informations sur le DNS BPA, consultez l’article Pratiques d’excellence relatives à l’Analyzer pour le système de noms de domaine.
 

 

SLN155801_fr__1icon Remarque : pour plus d’informations sur les pratiques d’excellence DNS, reportez-vous à la documentation officielle de Microsoft relative à votre version/édition du système d’exploitation.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution