L'article met l’accent sur l’importance de l’intégrité du serveur DNS, notamment sur l’intégrité de zone, DNS intégré à Active Directory (AD) et la résolution de noms. Avant de pouvoir dépanner DNS, n’oubliez pas qu’il vous faut valider la connectivité à votre service DNS.
Contenu complémentaire :
Deuxième partie de l'article : Dépannage des problèmes DNS dans un environnement Exchange
Première partie de l'article : Dépannage des problèmes DNS dans un environnement Exchange
Séparer les serveurs |
La plus ou moins bonne prise en charge de votre environnement Exchange par DNS dépend, pour l’essentiel, directement de la présence et de la validité des composants AD dans la zone. Exchange requiert Active Directory, et tous les deux nécessitent une fonctionnalité DNS capable de gérer leurs besoins.
Par conséquent, seules des versions spécifiques de DNS sont considérées comme compatibles avec les déploiements AD. Sans les composants intégrés à AD essentiels disponibles dans un environnement DNS configuré cor recte ment, Exchange ne peut pas fonctionnement de manière appropriée. Les enregistrements liés à AD aident Exchange à localiser les ressources essentielles à son fonctionnement.
Exigences
Quelques exigences de base doivent absolument être respectées pour qu’une zone DNS prenne en charge Active Directory. Les enregistrements SRV dans DNS aident les serveurs (notamment Exchange) à localiser d’autres serveurs fournissant des services spécifiques. Un enregistrement SRV est propre à un service fourni. Il existe plusieurs types d’enregistrements SRV.
Parmi les enregistrements SRV courants, citons ceux liés à AD (PDC, GC, etc.) ; toutefois, certains services, tels que la messagerie instantanée, utilisent leurs propres enregistrements SRV dans DNS (par ex., _sip._tls. domain.com), par exemple afin de signaler le serveur à employer pour une messagerie instantanée sécurisée. Les exigences les plus élémentaires sont les suivantes :
• Il ne doit exister qu’un seul enregistrement SRV PDC (Primary Domain Controller) par domaine.
• Au moins un enregistrement SRV GC (Global Catalog) doit être présent par forêt.
• Il doit y avoir au minimum un enregistrement GCIPAddress par forêt.
• Au moins un enregistrement SRV KDC (Key Distribution Center) doit être présent par domaine.
L’exigence d’un enregistrement SRV PDC unique dans un domaine est liée au rôle d’émulateur de contrôleur principal de domaine. Cette exigence permet aux serveurs de localiser le serveur détenant le rôle d’émulateur de contrôleur principal de domaine, qui est crucial pour les fonctions du domaine telles que la synchronisation des temps. Il s’agit d’une fonction critique pour tous les membres du domaine et elle ne peut être présente que sur un seul serveur par domaine. L’exigence d’au moins un enregistrement SRV GC par domaine est directement liée à Exchange. Ce dernier s’appuie sur les serveurs de catalogue global (GC) pour les informations d’annuaire.
Le catalogue global est un sousensemble des attributs du domaine les plus pertinents pour Exchange. En tant que tel, il contient des informations pour tous les domaines de la forêt et fournit à Exchange une vue complète de l’organisation. L’enregistrement GCIPAddress aide Exchange à localiser le catalogue global. Cet enregistrement et un enregistrement SRV GC doivent exister pour chaque serveur GC. L’enregistrement SRV KDC est essentiel afin que les serveurs puissent localiser un serveur proposant Kerberos pour la sécurité. La disponibilité de Kerberos est également importante pour le bon fonctionnement d’Exchange. Plusieurs autres enregistrements sont aussi essentiels pour Exchange. En effet, comme ce dernier dépend des contrôleurs de domaine (DC), il est impératif qu’il puisse les localiser. Exchange utilise DNS à cet effet et certains de ces serveurs sont des serveurs GC ou proposent Kerberos.
D’autre part, Exchange fait appel à DNS afin de déterminer si les enregistrements existent pour les services LDAP proposés par ces serveurs. Il doit y avoir un enregistrement SRV LDAP pour le serveur, le site et le GUID. Différents services utilisent ces enregistrements SRV LDAP pour localiser les serveurs qui proposent le service Kerberos ou sont des serveurs GC. DNS est essentiel pour Exchange, mais aussi pour votre environnement dans son intégralité. Par exemple, comme les ordinateurs de bureau utilisent également Kerberos, une « connexion lente » peut être la résultante d’un ordinateur client sur lequel DNS n’est pas configuré correctement avec les enregistrements nécessaires à son utilisation de Kerberos pour la connexion, d’où une expiration de délai liée à la recherche des services.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.