locked
Bonne pratique configuration DNS des controleurs de domaine RRS feed

  • Question

  • Bonjour à tous,

    j'aimerais avoir une clarification sur la configuration des serveurs dns des controleurs de domaine.

    Je configure toujours plusieurs controleurs de domaine afin d'avoir une réplication de ma base.
    Généralement, je mets sur chacun un serveur dns pour qu'il héberge la zone de l'ad.

    Ma question est faut-il que chaque contrôleur de domaine pointe sur lui même (127.0.0.1 ou ip dans le réseau local) ou faut-il mieux faire pointer le dc sur les autres contrôleurs et mettre 127.0.0.1 en secondaire.

    Actuellement je mets 127.0.0.1 tout fonctionne très bien mais je constate des lenteurs au redémarrage du dc en particulier sur la partie établissement des connexions réseau et j'ai pu lire un kb microsoft qui dit que cela est lié à la difficulté à contacter le serveur dns ...

    Merci à tous

    Jacques

    lundi 10 septembre 2012 07:39

Réponses

  • La "bonne pratique" est de mettre un ou plusieurs DNS des autres controlleurs de domaine en premier et l'adresse loopback (127.0.0.1 ou ::1) en dernier.

    La raison est qu'au démarrage du DC sa zone DNS n'est pas forcement à jour, hors c'est par des requêtes DNS que s'effectue la découverte des différents composants (DC, GC, Kerberos) de votre domaine.



    • Modifié Bruce JDC lundi 10 septembre 2012 08:07
    • Proposé comme réponse Bruce JDC lundi 10 septembre 2012 08:07
    • Marqué comme réponse jd3550 lundi 10 septembre 2012 14:54
    lundi 10 septembre 2012 08:07
  • +1

    Voici un article qui explique les bonnes pratique pour la confguration de la liste DNS:

    DNS: DNS servers on <adapter name=""></adapter>should include their own IP addresses on their interface lists of DNS servers

    Je vous propose également de consulter ce thread en anglais qui traite le même sujet:

    2K8 - Best practice for setting the DNS server list on a DC/DNS server for an interface


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton


    lundi 10 septembre 2012 14:51
    Auteur de réponse
  • Merci à vous deux pour ces informations.
    Que faites vous dans le cas où un site contient un unique contrôleur de domaine, en supposant que ce site est interconnecté par un WAN au reste du domaine.

    Cordialement


    Même s'il s'agit d'un seul serveur , il sera conseller de mettre l'adresse du serveur et l'adresse d'un autre serveur distant comme DNS premier et secondaire et puis mettre l'adresse loopback comme troisième serveur DNS comme l'explique l'article que je vous ai founie afin d'assurer la disponibilité des service DNS lors du démmarrage du serveur et aussi optimiser la réplication entre les différents DC

    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    • Marqué comme réponse jd3550 lundi 10 septembre 2012 15:07
    lundi 10 septembre 2012 15:05
    Auteur de réponse

Toutes les réponses

  • La "bonne pratique" est de mettre un ou plusieurs DNS des autres controlleurs de domaine en premier et l'adresse loopback (127.0.0.1 ou ::1) en dernier.

    La raison est qu'au démarrage du DC sa zone DNS n'est pas forcement à jour, hors c'est par des requêtes DNS que s'effectue la découverte des différents composants (DC, GC, Kerberos) de votre domaine.



    • Modifié Bruce JDC lundi 10 septembre 2012 08:07
    • Proposé comme réponse Bruce JDC lundi 10 septembre 2012 08:07
    • Marqué comme réponse jd3550 lundi 10 septembre 2012 14:54
    lundi 10 septembre 2012 08:07
  • +1

    Voici un article qui explique les bonnes pratique pour la confguration de la liste DNS:

    DNS: DNS servers on <adapter name=""></adapter>should include their own IP addresses on their interface lists of DNS servers

    Je vous propose également de consulter ce thread en anglais qui traite le même sujet:

    2K8 - Best practice for setting the DNS server list on a DC/DNS server for an interface


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton


    lundi 10 septembre 2012 14:51
    Auteur de réponse
  • Merci à vous deux pour ces informations.
    Que faites vous dans le cas où un site contient un unique contrôleur de domaine, en supposant que ce site est interconnecté par un WAN au reste du domaine.

    Cordialement

    lundi 10 septembre 2012 14:56
  • Merci à vous deux pour ces informations.
    Que faites vous dans le cas où un site contient un unique contrôleur de domaine, en supposant que ce site est interconnecté par un WAN au reste du domaine.

    Cordialement


    Même s'il s'agit d'un seul serveur , il sera conseller de mettre l'adresse du serveur et l'adresse d'un autre serveur distant comme DNS premier et secondaire et puis mettre l'adresse loopback comme troisième serveur DNS comme l'explique l'article que je vous ai founie afin d'assurer la disponibilité des service DNS lors du démmarrage du serveur et aussi optimiser la réplication entre les différents DC

    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    • Marqué comme réponse jd3550 lundi 10 septembre 2012 15:07
    lundi 10 septembre 2012 15:05
    Auteur de réponse
  • Ok merci
    lundi 10 septembre 2012 15:07
  • Bonjour,

    Ce sujet est souvent un débat sans fin.Personnellement j'indique toujours l'adresse IP locale du DC en tant que DNS Primaire sur celui-ci.

    L'argument de Bruce était valable sous Windows 2000 (phénomène "d'island").


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT (www.active-it.fr) -- MVP Windows Server - Directory Services

    lundi 10 septembre 2012 15:57
  • Il est à noter que le best practice analyser du service DNS inclus dans Windows2008R2 te remonte un avertissement comme :

    -l'IP ou le loopback du serveur DNS doit être dans la liste des serveurs DNS mais pas en première position

    La recommandation de mettre un autre DNS en premier reste chez Microsoft, comme le montre le best practice analyser de Windows 2008R2, sur lequel on peut lancer une analyse :

    attention le BPA tient également compte de la configuration dns de l'ipv6

    Il existe également un BPA pour le rôle AD.

    La question que je me posais et au redémarrage du premier DC, il faut DNS pour AD, et en générale la zone DNS est stocké dans l'AD.

    Une alternative qui m'est venu à l'esprit et de mettre un DNS secondaire uniquement en lecture dont la zone n'est pas stocké dans l'AD avec un transfert de zone, afin d'avoir une zone DNS dispo au démarrage du premier DC.

    lundi 10 septembre 2012 20:00
  • Voici un article intéressant sur le sujet qui résume bien certains cas de figure et des bonnes pratiques : http://support.microsoft.com/kb/2001093/en

    Comme l'indique Freddy Elmaleh le phénomene d'island a été résolu, le choix de la configuration des serveurs DNS est un débat continuel, chaque choix entraine des avantages mais aussi des contraintes. Les pratiques courantes sont soit un serveur DNS sur un autre controlleur (du même site de préférence) puis lui même, soit lui-même puis un DNS sur un autre controlleur de domaine. Dans le premier cas on favorise la cohérence en s'assurant lors du boot que le DC interroge un DNS à jour, dans le second cas on favorise les performances dans le cas où le second DNS est injoignable.

    Une alternative qui m'est venu à l'esprit et de mettre un DNS secondaire uniquement en lecture dont la zone n'est pas stocké dans l'AD avec un transfert de zone, afin d'avoir une zone DNS dispo au démarrage du premier DC.

    Le premier DC a besoin d'un DNS qui supporte les champs SRV et le dynamique update, donc ce n'est pas souhaitable.

    mardi 11 septembre 2012 07:53
  • Le premier DC a besoin d'un DNS qui supporte les champs SRV et le dynamique update, donc ce n'est pas souhaitable.

    Je ne parlais pas comme DNS primaire mais dans mettre un an 3 ème position (premier autre dc, 2ème  soi même) , car en cas d'arrêt de l'ensemble des DC au démarrage il faut attendre quelques instants pour que l'AD et les zones DNS dans l'AD soit dispo, mais j'avoue que je n'ai pas testé.

    Pour le reste on ne peut ignorer que le Best Practice Analyser, qui sert à vérifier le respect des recommandations microsoft indique une erreur si le premier DNS est locale.

    La valeur recommandé par Microsoft reste de croisé les DNS, et ce même si la majorité des gens ne le font pas.

    mardi 11 septembre 2012 20:21