Les zones DNS d’Active Directory

Par défaut dans une forêt Active Directory de 'n' domaines il y a au moins 'n+1' zones DNS. D'abord chaque domaine dispose de sa zone DNS correspondant au nom complet du domaine (donc n zones). Cette zone n’est pas, par défaut, répliqué entre l'ensemble des contrôleurs de domaine du domaine concerné.

Il existe également une zone lié à dont le nom commence par _msdcs. Cette zone est unique dans la forêt et elle est répliquée à l’ensemble des contrôleurs de domaine de la forêt. Elle permettra entre autre de retrouver les catalogues globaux.

Les images ci-dessous viennent du serveur « test1dc1.test1.local » (Windows 2012) qui est le contrôleur de domaine du domaine racine de la forêt.

 

Notons sur l’image ci-dessous que la zone DNS est intégrée à Active Directory et elle est répliquée à l’ensemble des contrôleurs de domaine du domaine.

En ce qui concerne la zone de la forêt AD elle est répliquée sur l’ensemble des  contrôleurs de domaine de la forêt.

Nous retrouvons le même principe sur le serveur « test2dc1.test2.test1.local » qui est le contrôleur de domaine du domaine enfant de la forêt. La zone « _msdcs.test1.local » qui est la même que zone que sur « test1dc1.test1.local » (zone de la forêt) et la zone « test2.test1.local » qui est la zone du domaine enfant.

 

Au niveau des enregistrements nous ne détaillerons pas tous les enregistrements disponibles mais nous verrons les plus importants.

Commençons par l’enregistrement A du contrôleur de domaine permettant de résoudre son FQDN en adresse IP :

Et sur le serveur « test2dc1 »

Ensuite remarquons la délégation de zone qui a été créé dans « test1.local » pour le sous domaine « test2 » contenant l’enregistrement NS 

 

Sur l’image ci-dessous nous remarquons des enregistrements de services permettant de retrouver les services liés à Active Directory.

 

Parmi ces services nous noterons :

_gc : le rôle de catalogue global qui écoute sur le port 3268

_ldap : l’annuaire Active Directory qui utilise le port 389

_kerberos : l’authentification Kerberos qui utilise le port 88.

En complément un article Technet sur la vérification des enregistrements NS.

http://technet.microsoft.com/fr-fr/library/cc738991(v=ws.10).aspx

 

 

Theme: