🌐 Services DNS & DHCP sous Windows Server
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.1 — Administration Windows Server |
| Prérequis | Notions DNS/DHCP (M1.1), Active Directory (C2.1.1) |
🎯 Objectifs
- Configurer le rôle DNS intégré à Active Directory
- Comprendre les zones intégrées AD et les types d'enregistrements
- Installer et configurer le rôle DHCP sous Windows Server
- Mettre en place le basculement DHCP (failover)
- Maîtriser l'interaction entre DNS et DHCP
📖 Rôle DNS intégré à Active Directory
Le service DNS est indispensable au fonctionnement d'Active Directory. Les clients utilisent DNS pour localiser les contrôleurs de domaine via les enregistrements SRV. Sur Windows Server, le rôle DNS s'installe via le Gestionnaire de serveur → Ajouter des rôles → Serveur DNS.
L'intégration du DNS à AD offre plusieurs avantages majeurs :
- Réplication automatique : les données DNS sont répliquées avec la base AD via la réplication multi-maître
- Sécurisation : seuls les clients authentifiés peuvent effectuer des mises à jour dynamiques sécurisées
- Tolérance aux pannes : chaque DC héberge une copie de la zone, éliminant le point de défaillance unique
📖 Zones intégrées à AD vs zones de fichier
| Caractéristique | Zone intégrée AD | Zone de fichier (standard) |
|---|---|---|
| Stockage | Base de données AD (NTDS.dit) | Fichier texte (.dns) |
| Réplication | Multi-maître via réplication AD | Maître unique (transfert de zone) |
| Mise à jour dynamique | Sécurisée (Kerberos) | Non sécurisée ou désactivée |
| Tolérance aux pannes | Tous les DC sont égaux | Dépend du serveur primaire |
| Portée de réplication | Configurable (domaine, forêt, partition) | Serveurs DNS déclarés |
Utilisez systématiquement des zones intégrées à AD dans un environnement Active Directory. Elles offrent une meilleure sécurité, redondance et simplicité de gestion.
📖 Zones de recherche directe et inversée
Le DNS Windows Server gère deux types de zones de recherche :
- Zone de recherche directe : résout un nom de domaine en adresse IP. C'est la zone principale (ex :
iris-formation.local→192.168.1.10) - Zone de recherche inversée : résout une adresse IP en nom de domaine (reverse DNS). Utilise le domaine
in-addr.arpa(ex :10.1.168.192.in-addr.arpa→srv-dc01.iris-formation.local)
La création d'une zone inversée est souvent négligée mais reste fortement recommandée pour le diagnostic réseau et certains services (messagerie, audit).
📖 Types d'enregistrements DNS
| Type | Nom complet | Fonction | Exemple |
|---|---|---|---|
A | Address | Associe un nom à une adresse IPv4 | srv-dc01 → 192.168.1.10 |
AAAA | IPv6 Address | Associe un nom à une adresse IPv6 | srv-dc01 → 2001:db8::10 |
CNAME | Canonical Name | Alias pointant vers un autre nom | mail → srv-exchange.iris.local |
MX | Mail Exchanger | Serveur de messagerie du domaine | iris.local → mail.iris.local (10) |
SRV | Service Locator | Localise un service (Kerberos, LDAP) | _ldap._tcp.iris.local → srv-dc01 |
PTR | Pointer | Résolution inversée (IP → nom) | 10.1.168.192 → srv-dc01.iris.local |
NS | Name Server | Serveur DNS faisant autorité | iris.local → srv-dc01.iris.local |
SOA | Start of Authority | Informations d'autorité de la zone | Numéro de série, TTL, refresh |
📖 DNS dynamique, vieillissement et nettoyage
Le DNS dynamique (DDNS) permet aux clients de mettre à jour automatiquement leurs enregistrements DNS lorsqu'ils obtiennent une adresse IP (via DHCP ou manuellement). Dans un environnement AD, les mises à jour sont sécurisées : seuls les clients authentifiés par Kerberos peuvent modifier les enregistrements.
Vieillissement et nettoyage (Aging & Scavenging)
Sans nettoyage, les enregistrements obsolètes s'accumulent (machines décommissionnées, adresses IP changées). Le mécanisme de vieillissement repose sur deux intervalles :
- Intervalle de non-actualisation (No-Refresh) : période pendant laquelle un enregistrement ne peut pas être rafraîchi (par défaut 7 jours)
- Intervalle d'actualisation (Refresh) : période après laquelle l'enregistrement peut être supprimé s'il n'a pas été rafraîchi (par défaut 7 jours)
Activation via PowerShell :
Set-DnsServerScavenging -ScavengingState $true -ScavengingInterval 7.00:00:00
Le nettoyage doit être activé à la fois sur la zone ET sur le serveur DNS. Si un seul des deux est activé, le nettoyage ne s'effectuera pas.
📖 DHCP sous Windows Server : installation et configuration
Le rôle DHCP s'installe via le Gestionnaire de serveur → Ajouter des rôles → Serveur DHCP. Après installation, le serveur DHCP doit être autorisé dans Active Directory pour fonctionner (mesure de sécurité empêchant les serveurs DHCP non autorisés).
Autorisation via PowerShell :
Add-DhcpServerInDC -DnsName "srv-dhcp.iris-formation.local" -IPAddress 192.168.1.11
📖 Étendues, exclusions et réservations
Étendue (Scope)
Une étendue définit la plage d'adresses IP distribuées par le serveur DHCP. Chaque étendue correspond à un sous-réseau :
Add-DhcpServerv4Scope -Name "Réseau Étudiants" -StartRange 192.168.10.100 -EndRange 192.168.10.200 -SubnetMask 255.255.255.0 -State Active
Exclusions
Les exclusions permettent de réserver des plages au sein de l'étendue pour des équipements configurés en IP statique (serveurs, imprimantes, routeurs) :
Add-DhcpServerv4ExclusionRange -ScopeId 192.168.10.0 -StartRange 192.168.10.1 -EndRange 192.168.10.20
Réservations
Une réservation associe une adresse MAC à une IP fixe distribuée par DHCP, combinant les avantages du DHCP (gestion centralisée) et de l'IP statique (adresse prévisible) :
Add-DhcpServerv4Reservation -ScopeId 192.168.10.0 -IPAddress 192.168.10.50 -ClientId "AA-BB-CC-DD-EE-FF" -Name "Imprimante-RDC"
📖 Options DHCP
Les options DHCP permettent de distribuer automatiquement des paramètres réseau supplémentaires aux clients :
| Option | Code | Description |
|---|---|---|
| Passerelle par défaut | 003 | Adresse du routeur par défaut |
| Serveur DNS | 006 | Adresse(s) du/des serveur(s) DNS |
| Nom de domaine DNS | 015 | Suffixe DNS du domaine |
| Serveur WINS | 044 | Serveur de résolution de noms NetBIOS |
| Durée du bail | 051 | Durée de validité de l'adresse IP |
Configuration via PowerShell :
Set-DhcpServerv4OptionValue -ScopeId 192.168.10.0 -Router 192.168.10.1 -DnsServer 192.168.1.10,192.168.1.11 -DnsDomain "iris-formation.local"
📖 Basculement DHCP (Failover)
Le basculement DHCP garantit la haute disponibilité du service en répartissant la charge entre deux serveurs. Deux modes sont disponibles :
| Mode | Fonctionnement | Usage recommandé |
|---|---|---|
| Équilibrage de charge (Load Balance) | Les deux serveurs distribuent des adresses simultanément (ratio configurable, ex : 50/50) | Serveurs sur le même site |
| Secours (Hot Standby) | Un serveur actif, l'autre en attente. Bascule automatique en cas de panne | Serveurs sur des sites différents |
Configuration du failover :
Add-DhcpServerv4Failover -Name "DHCP-Failover" -PartnerServer "srv-dhcp2.iris-formation.local" -ScopeId 192.168.10.0 -LoadBalancePercent 50 -SharedSecret "MotDePasseSecret" -Force
📖 Interaction DNS/DHCP : mises à jour dynamiques
Lorsqu'un client DHCP obtient une adresse IP, le serveur DHCP peut mettre à jour le DNS en son nom. Ce mécanisme est configurable :
- Client met à jour l'enregistrement A, le serveur DHCP met à jour l'enregistrement PTR (comportement par défaut)
- Le serveur DHCP met à jour A et PTR : utile pour les clients anciens (pré-Windows 2000) ou non-Windows
- Protection des noms : empêche un client de prendre le nom DNS d'un autre (option DHCP Name Protection)
Configuration via PowerShell :
Set-DhcpServerv4DnsSetting -ScopeId 192.168.10.0 -DynamicUpdates "Always" -DeleteDnsRROnLeaseExpiry $true -NameProtection $true
Créez un compte de service dédié pour les mises à jour DNS dynamiques du DHCP. Cela évite que les enregistrements DNS soient possédés par le compte ordinateur du serveur DHCP, ce qui poserait problème en cas de remplacement du serveur.
📝 QCM — Testez vos connaissances
- Quel rôle Windows Server fournit le service DNS ?
- Quelle zone DNS contient les enregistrements du domaine ?
- Que contient une étendue DHCP ?
- Qu'est-ce qu'une réservation DHCP ?
- Pourquoi le DNS est-il obligatoire pour Active Directory ?
- Quelle commande Windows vide le cache DNS local ?
📝 Afficher les corrections
- Rôle DNS Server — Le rôle DNS Server permet de résoudre les noms dans un domaine Active Directory (obligatoire pour AD).
- Zone de recherche directe — La zone directe résout les noms en IP (enregistrements A, CNAME, MX, etc.).
- La plage d'adresses IP à distribuer — L'étendue (scope) définit la plage IP, le masque, la passerelle et les DNS à attribuer aux clients.
- Une attribution IP fixe basée sur l'adresse MAC — La réservation associe une adresse MAC à une IP spécifique, garantissant toujours la même IP au même appareil.
- AD utilise le DNS pour localiser les contrôleurs de domaine — Les enregistrements SRV dans le DNS permettent aux clients de trouver les DC, LDAP et Kerberos.
- ipconfig /flushdns — ipconfig /flushdns purge le cache DNS du client Windows.
Le DNS intégré à AD bénéficie de la réplication multi-maître et des mises à jour sécurisées. Le DHCP Windows Server doit être autorisé dans AD et supporte le basculement pour la haute disponibilité. L'interaction DNS/DHCP via les mises à jour dynamiques assure la cohérence entre adresses IP et noms DNS.