Autorité et réplication
Une exigence évidente, mais importante pour un serveur DNS responsable d’une zone concerne le fait qu’il est conscient de faire autorité. La détection de problèmes tels que la « délégation boiteuse » (ou « lame delegation » en anglais) est cruciale pour garantir le bon fonctionnement
DNS intégré à Active Directory / Autorité et réplication
d’un domaine. La délégation boiteuse se produit lorsqu’un serveur est répertorié à tort comme l’autorité pour une zone.
Les requêtes transmises à ce serveur échouent. Une mauvaise configuration de l’autorité peut affecter non seulement la résolution, mais aussi la réplication et, enfin, l’intégrité de la zone tout entière. Microsoft fournit des outils tels que DNSLint pour vous aider à détecter les problèmes du type délégation boiteuse. DNSLint comporte plusieurs commandes spécifiques aux environnements de messagerie et fournit également des commutateurs pour tester la connectivité vers SMTP, POP et IMAP. Pour plus d’informations sur DNSLint ou pour télécharger cet utilitaire, consultez l’article Microsoft « Description of the DNSLint utility » (http://support.microsoft.com/kb/321045 ).
La réplication des zones DNS dépend directement du type de zone et de l’étendue configurée. Les zones intégrées à AD présentent un avantage unique car elles sont multimaîtres. Autrement dit, chaque serveur conserve une copie en écriture de la zone. L’approche primaire/secondaire standard, plus traditionnelle signifie qu’un seul serveur est accessible en écriture et que tous les autres sont secondaires. Les zones intégrées à Active Directory peuvent, si nécessaire, être répliquées vers tous les contrôleurs de domaine de la forêt ou du domaine.
Lors de l’exécution de zones intégrées à AD, l’élément le plus important à garantir est le fait qu’elles soient définies pour être amorcées à partir d’Active Directory dans le Registre. Même si cette configuration est celle par défaut, il s’agit d’un bon point de départ lors du dépannage des problèmes de réplication. Pour vérifier ce paramètre, servez-vous de l’outil d’administration de DNS (dnsmgmt.msc) et examinez les propriétés de votre serveur DNS. Dans l’onglet Avancé (Advanced), définissez À partir de Active Directory et du Registre (From Active Directory and registry) pour l’option Charger les données de zone au démarrage (Load zone data on startup).
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
