Les ordinateurs clients DNS (Domain Name System) peuvent utiliser la mise à jour dynamique pour inscrire et mettre à jour de manière dynamique leurs enregistrements de ressources auprès d’un serveur DNS lorsque des modifications ont lieu. Cela permet de réduire les tâches d’administration manuelle des enregistrements de zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui utilisent le protocole DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Le service Client DNS et le service Serveur DNS prennent en charge l’utilisation des mises à jour dynamiques, comme décrit dans la RFC (Request for Comments) 2136, intitulée « Dynamic Updates in the Domain Name System ». Le service Serveur DNS autorise l’activation ou la désactivation de la mise à jour dynamique sur la base de chaque zone sur chaque serveur configuré pour charger une zone principale standard ou une zone intégrée à l’annuaire. Par défaut, le service Client DNS met à jour de manière dynamique les enregistrements de ressources hôte (A) dans DNS lorsque le service est configuré pour le protocole TCP/IP.

Processus de mise à jour de leurs noms DNS par les ordinateurs clients et serveurs

Par défaut, les ordinateurs configurés de manière statique pour le protocole TCP/IP tentent d’inscrire de manière dynamique les enregistrements de ressources hôte (A) et pointeur (PTR) pour les adresses IP qui sont configurées et utilisées par leurs connexions réseau installées. Par défaut, tous les ordinateurs inscrivent les enregistrements sur la base de leur nom de domaine complet.

Le nom d’ordinateur complet principal, un nom de domaine complet, est basé sur le suffixe DNS principal d’un ordinateur, ajouté à son nom d’ordinateur.

Considérations supplémentaires :

  • Par défaut, le client DNS ne tente pas d’effectuer de mise à jour dynamique des zones de domaine du niveau supérieur. Toute zone nommée avec un nom en une partie est considérée comme une zone de domaine du niveau supérieur, par exemple com, edu, vierge, ma-société. Pour configurer un client DNS de façon à autoriser la mise à jour dynamique des zones de domaine du niveau supérieur, vous pouvez utiliser le paramètre de stratégie Mettre à jour les zones de domaine du niveau supérieur ou modifier le Registre.

  • Par défaut, la partie suffixe DNS principal du nom de domaine complet d’un ordinateur est identique au nom du domaine AD DS auquel l’ordinateur est joint. Pour autoriser l’utilisation de suffixes DNS principaux différents, un administrateur de domaine peut créer une liste restreinte de suffixes autorisés en modifiant l’attribut msDS-AllowedDNSSuffixes dans le conteneur d’objet de domaine. L’attribut est géré par l’administrateur de domaine à l’aide de l’interface ADSI (Active Directory Service Interfaces) ou du protocole LDAP (Lightweight Directory Access Protocol).

Les mises à jour dynamiques peuvent être envoyées pour les événements ou raisons suivants :

  • Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des propriétés TCP/IP pour l’une des connexions réseau installées.

  • Un bail d’adresse IP est modifié ou renouvelé auprès du serveur DHCP pour l’une des connexions réseau installées. Par exemple, lorsque l’ordinateur est démarré ou si la commande ipconfig /renew est utilisée.

  • La commande ipconfig /registerdns est utilisée pour forcer manuellement une actualisation de l’inscription du nom de client dans DNS.

  • Au moment du démarrage, lorsque l’ordinateur est allumé.

  • Un serveur membre est promu contrôleur de domaine.

Lorsque l’un des événements précédents déclenche une mise à jour dynamique, le service Client DHCP (et non le service Client DNS) envoie les mises à jour. Ce mécanisme est conçu de telle sorte que si une modification est apportée aux informations d’adresse IP à cause du protocole DHCP, les mises à jour correspondantes dans DNS sont effectuées afin de synchroniser les mappages noms-à-adresses pour l’ordinateur. Le service Client DHCP effectue cette fonction pour toutes les connexions réseau sur le système, y compris les connexions qui ne sont pas configurées pour utiliser le protocole DHCP.

Exemple : fonctionnement de la mise à jour dynamique

En général, des mises à jour dynamiques sont demandées lorsqu’un nom DNS ou une adresse IP change sur l’ordinateur. Par exemple, supposez qu’un client nommé oldhost est d’abord configuré dans Propriétés système avec les noms suivants.

Nom de l’ordinateur

oldhost

Nom de domaine DNS de l’ordinateur

tailspintoys.com

Nom complet de l’ordinateur

oldhost.tailspintoys.com 

Dans cet exemple, aucun nom de domaine DNS spécifique à la connexion n’est configuré pour l’ordinateur. Ultérieurement, l’ordinateur est renommé de oldhost en newhost, ce qui provoque les changements de nom suivants sur le système.

Nom de l’ordinateur

newhost

Nom de domaine DNS de l’ordinateur

tailspintoys.com

Nom complet de l’ordinateur

newhost.tailspintoys.com 

Après avoir appliqué le changement de nom dans Propriétés système, vous êtes invité à redémarrer l’ordinateur. Lorsque l’ordinateur redémarre Windows, le service Client DHCP effectue la séquence suivante pour mettre à jour DNS :

  1. Le service Client DHCP envoie une requête de type Source de noms (SOA) en utilisant le nom de domaine DNS de l’ordinateur.

    L’ordinateur client utilise le nom de domaine complet de l’ordinateur configuré actuellement (tel que newhost.tailspintoys.com) comme nom spécifié dans cette requête.

  2. Le serveur DNS de référence pour la zone qui contient le nom de domaine complet du client répond à la requête de type SOA.

    Pour les zones principales standard, le serveur principal (propriétaire) retourné dans la réponse à la requête SOA est fixe et statique. Il correspond toujours au nom DNS exact apparaissant dans l’enregistrement de source de noms (SOA) stocké avec la zone. Si, toutefois, la zone mise à jour est intégrée à l’annuaire, tout serveur DNS qui charge la zone peut répondre et insérer de manière dynamique son propre nom en tant que serveur principal (propriétaire) de la zone dans la réponse à la requête SOA.

  3. Le service Client DHCP tente ensuite de contacter le serveur DNS principal.

    Le client traite la réponse à la requête SOA afin de déterminer l’adresse IP du serveur DNS autorisé comme serveur principal pour accepter son nom. Il effectue ensuite la séquence d’étapes suivante, le cas échéant, afin de contacter et de mettre à jour de manière dynamique son serveur principal :

    1. Il envoie une demande de mise à jour dynamique au serveur principal déterminé dans la réponse à la requête SOA.

      Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.

    2. Si la mise à jour échoue, le client envoie alors une requête de type Serveur de noms (NS) pour le nom de zone spécifié dans l’enregistrement SOA.

    3. Lorsqu’il reçoit une réponse à cette requête, il envoie une requête SOA au premier serveur DNS répertorié dans la réponse.

    4. Une fois la requête SOA résolue, le client envoie une mise à jour dynamique au serveur spécifié dans l’enregistrement SOA retourné.

      Si la mise à jour réussit, aucune action supplémentaire n’est effectuée.

    5. Si cette mise à jour échoue, le client répète le processus de requête SOA en envoyant une mise à jour au serveur DNS suivant répertorié dans la réponse.

  4. Une fois que le serveur principal capable d’effectuer la mise à jour a été contacté, le client envoie la demande de mise à jour et le serveur la traite.

    La demande de mise à jour inclut des instructions visant à ajouter des enregistrements de ressources hôte (A) (et éventuellement des enregistrements de ressources pointeur (PTR)) pour newhost.tailspintoys.com et à supprimer ces mêmes types d’enregistrements pour oldhost.tailspintoys.com, le nom qui était inscrit auparavant.

    Le serveur vérifie également que les mises à jour sont autorisées pour la demande du client. Pour les zones principales standard, les mises à jour dynamiques ne sont pas sécurisées ; par conséquent, toute tentative de mise à jour par un client réussit. Pour les zones intégrées aux services de domaine Active Directory (AD DS), les mises à jour sont sécurisées et effectuées à l’aide de paramètres de sécurité basés sur l’annuaire.

Les mises à jour dynamiques sont envoyées ou actualisées de façon périodique. Par défaut, les ordinateurs envoient une actualisation une fois tous les sept jours. Si la mise à jour n’entraîne aucune modification des données de zone, la zone demeure à sa version actuelle et aucune modification n’est écrite. Les mises à jour provoquent des modifications de zone ou une augmentation des transferts de zone uniquement si les noms ou adresses changent.

Lorsque le service Client DHCP inscrit les enregistrements de ressources hôte (A) et pointeur (PTR) pour un ordinateur, il utilise une durée de vie (TTL) de mise en cache par défaut de 15 minutes pour les enregistrements hôte. Cela détermine pendant combien de temps les autres serveurs et clients DNS mettent en cache les enregistrements d’un ordinateur lorsque ceux-ci sont inclus dans une réponse à une requête.

Mise à jour dynamique sécurisée

La sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées aux services de domaine Active Directory. Lorsque vous intégrez une zone à l’annuaire, les fonctionnalités de modification de liste de contrôle d’accès (ACL, Access Control List) sont disponibles dans le Gestionnaire DNS, ce qui vous permet d’ajouter ou de supprimer des utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource spécifié.

Par défaut, la sécurité des mises à jour dynamiques pour les clients et serveurs DNS peut être gérée comme suit :

  • Les clients DNS tentent d’abord d’utiliser la mise à jour dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les clients tentent d’utiliser la mise à jour sécurisée.

    En outre, les clients utilisent une stratégie de mise à jour par défaut qui leur permet de tenter de remplacer un enregistrement de ressource précédemment inscrit, à moins qu’ils ne soient spécifiquement bloqués par la sécurité de mise à jour.

  • Une fois qu’une zone a été intégrée aux services de domaine Active Directory, les serveurs DNS exécutant Windows Server® 2008 autorisent par défaut uniquement les mises à jour dynamiques sécurisées.

    Lorsque vous utilisez le stockage de zone standard, le comportement par défaut du service Serveur DNS consiste à ne pas autoriser les mises à jour dynamiques sur ses zones. Pour les zones qui sont intégrées aux services de domaine Active Directory ou qui utilisent le stockage standard basé sur fichiers, vous pouvez modifier la zone de façon à autoriser toutes les mises à jour dynamiques, ce qui permet à toutes les mises à jour d’être acceptées.

Table des matières