Supprimer les mises à jour manuelles des enregistrements DNS en configurant une mise à jour dynamique et une mise à jour dynamique sécurisée

Vous pouvez utiliser le serveur DHCP pour inscrire et mettre à jour les enregistrements de ressource PTR et A pour le compte des clients DHCP du serveur. Au cours de cette opération, vous devez utiliser une option DHCP supplémentaire, l’option de nom de domaine complet du client (option 81). Cette option permet au client d’envoyer son nom de domaine complet (FQDN) au serveur DHCP dans le paquet DHCPREQUEST. Cela permet au client de renseigner le serveur DHCP sur le niveau de service requis.

L’option de nom de domaine complet inclut les six champs suivants :

1. Code -- spécifie le code de cette option (81).
   
   
2. Len -- spécifie la longueur de cette option. (Elle est au minimum de 4.)
   
   
3. Indicateurs -- spécifie le type de service.
   
   
   • 0 -- le client inscrira l’enregistrement « A » (hôte).
     
     
   • 1 -- le client veut que DHCP inscrive l’enregistrement « A » (hôte).
     
     
   • 3 -- DHCP inscrira l’enregistrement « A » (hôte), quelle que soit la demande du client.
     
     
4. RCODE1 -- spécifie un code de réponse que le serveur envoie au client.
   
   
5. RCODE2 -- spécifie une délinéation supplémentaire de RCODE1.
   
   
6. Nom de domaine -- spécifie le nom de domaine complet du client.
   
   

Si le client demande à inscrire ses enregistrements de ressource avec DNS, le client est chargé de générer la demande UPDATE dynamique, telle que définie dans le document RFC (Request for Comments) 2136. Ensuite, le serveur DHCP inscrit son enregistrement PTR (pointeur).

Considérez que cette option est émise par un client DHCP qualifié, tel qu’un ordinateur DHCP exécutant Windows Vista, Windows 2000 ou Windows XP. Dans ce cas, l’option est traitée et interprétée par les serveurs DHCP sous Windows Server 2008 pour que soit déterminée la manière dont le serveur initie les mises à jour pour le compte du client.

Pour Windows Server 2008, la sécurité des mises à jour DNS est disponible uniquement pour les zones intégrées à Active Directory. Après avoir intégré une zone, vous pouvez utiliser les fonctions d’édition de la liste de contrôle d’accès (ACL) qui sont disponibles dans le composant logiciel enfichable DNS pour ajouter ou supprimer des utilisateurs ou des groupes dans la liste ACL pour une zone ou un enregistrement de ressource spécifique.

Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et les clients DNS sous Windows Server 2008 peut être traitée de la manière suivante :

1. Les clients DNS sous Windows Server 2008 essaient d’utiliser des mises à jour dynamiques non sécurisées en premier lieu. Si la mise à jour non sécurisée est refusée, les clients essaient d’utiliser une mise à jour sécurisée.
   
   En outre, les clients utilisent une stratégie de mise à jour par défaut qui leur permet d’essayer de remplacer un enregistrement de ressource précédemment inscrit, sauf s’ils sont spécifiquement bloqués par la sécurité de mise à jour.
   
   
2. Par défaut, une fois qu’une zone est intégrée à Active Directory, les serveurs DNS sous Windows Server 2008 autorisent uniquement les mises à jour dynamiques sécurisées.
   
   Par défaut, lorsque vous utilisez un stockage de zone standard, le service Serveur DNS n’autorise pas les mises à jour dynamiques sur ses zones. Pour les zones qui sont intégrées à l’annuaire ou qui utilisent un stockage standard dans un fichier, vous pouvez modifier la zone de manière à autoriser toutes les mises à jour dynamiques. Cela permet à toutes les mises à jour d’être acceptées, en transmettant l’utilisation des mises à jour sécurisées.
   
   

Si vous utilisez plusieurs serveurs DHCP sous Windows Server 2008 sur votre réseau et que vous configurez vos zones de manière à autoriser uniquement les mises à jour dynamiques sécurisées, utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour ajouter vos ordinateurs serveurs DHCP dans le groupe DnsUpdateProxy intégré. Lorsque vous procédez ainsi, tous vos serveurs DHCP disposent des droits sécurisés de réaliser des mises à jour proxy pour chacun de vos clients DHCP.

Attention

Les fonctionnalités des mises à jour dynamiques sécurisées peuvent être compromises si les conditions suivantes sont respectées : •Vous exécutez un serveur DHCP sur un contrôleur de domaine Windows Server 2008. •Le serveur DHCP est configuré pour effectuer l’inscription des enregistrements DNS pour le compte de ses clients. Pour éviter ce problème, déployez les serveurs DHCP et les contrôleurs de domaine sur des ordinateurs distincts ou configurez le serveur DHCP pour qu’il utilise un compte d’utilisateur dédié pour les mises à jour dynamiques.

Remarques

Les fonctionnalités de mise à jour dynamique sécurisée sont prises en charge uniquement pour les zones intégrées à Active Directory. Si vous configurez un type de zone différent, modifiez le type de zone, puis intégrez la zone avant de la sécuriser pour les mises à jour DNS. La mise à jour dynamique est une extension compatible aux RFC de la norme DNS. Le processus de mise à jour DNS est défini dans le document RFC 2136, « Dynamic Updates in the Domain Name System (DNS UPDATE) ».

Pour obtenir la liste des rubriques d’aide proposant des informations connexes, voir Tâches recommandées pour le rôle Serveur DHCP.

Pour obtenir des informations détaillées destinées aux professionnels de l’informatique sur DHCP, voir la documentation Windows Server 2008 (éventuellement en anglais) sur le site Web Microsoft TechNet.