DNS : principe du nettoyage de zone

En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des enregistrements directement par les postes clients.

Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les enregistrements DNS, de nettoyer les zones.

En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les enregistrements PTR (dans la zone de recherche inversé).

Lorsque ces postes sont supprimés ou lorsqu’ils ne sont présents ponctuellement il est possible que votre zone DNS contienne des enregistrements obsolètes.

La pollution des zones DNS sera plus importante si vous avez beaucoup d’utilisateurs nomades présents ponctuellement dans vos locaux. A l’inverse si vous avez un domaine séparé pour vos serveurs la zone DNS de ce domaine restera relativement propre.

Il vous incombe de décider si vous devez activer le vieillissement et le nettoyage automatique des zones DNS. Si vous activer le nettoyage sur une zone où il y a peu de mouvement, il est possible que certain enregistrement disparaissent alors qu’ils sont encore d’actualité et inversement si votre zone n’est jamais nettoyé il est possible que certain poste, qui n’existe plus, soit propriétaire d’enregistrement obsolète empêchant un nouveau poste de s’enregistrer.

De plus, l’accumulation d’enregistrement obsolète peut créer des erreurs lorsqu’un serveur doit répondre à un poste client. Des problèmes de performances peuvent également se produire sur des zones possédant un grand nombre d’enregistrements.

Dans l’image 1 ci-dessous, datant du 15/08, nous constatons des enregistrements statiques qui n’ont pas d’horodatage et qui n’expirent pas.

Nous constatons également des enregistrements plus anciens comme le premier mars provenant de poste n’ayant pas mis à jour leur enregistrement. En l’occurrence la machine de test correspondante n’ayant pas été redémarré depuis ce temps son enregistrement DNS n’a pas été actualisé.

Image 1:

 

Sur les images 2 et 3 nous constatons que les membres du groupe tout le monde (dont les autres machines ou les utilisateurs) n’ont par défaut que le droit de lecture.

Alors que la machine W2k8-Wsus en tant que propriétaire de l’enregistrement dispose du contrôle total.

Image 2 et 3:

Si je réattribue ce nom à une autre machine cette dernière ne serait pas en mesure de remettre à jour l’enregistrement permettant de résoudre le nom en IP et si jamais elle n’a pas la même IP il y aura une erreur de résolution de nom.

Le même type de problème peut se produire sur les enregistrements PTR de la zone de recherche inversé.

Dans l’image 4 le propriétaire de l’enregistrement PTR est le serveur W2k8-Wsus, ce serveur étant configuré en IP Fixe.

Image 4:

Sur l’image 5 l'enregistrement PTR correspondant à l’ip 10.10.10.101 est pc05.test.local alors que le propriétaire est w2k8-dc1. Ce dernier en plus d’être un contrôleur de domaine a également le rôle de serveur DHCP.

Image 5:

Sur l’image 6 nous constatons que l’étendue correspondante sur le serveur DHCP et configuré pour la mise à jour des enregistrements PTR.

Image 6 :

Nous allons maintenant voir comment purger les enregistrements DNS obsolète. Il faut pour cela définir la notion de vieillissement et de nettoyage.

Sur l’image 7 ci-dessous nous voyons qu’il existe pour chaque zone DNS des propriétés de vieillissement.

Image 7 :

Ces propriétés gèrent 2 valeurs pris en compte dans le vieillissement des enregistrements DNS.

La première est la période de non actualisation. Après qu’un enregistrement a été créé ou actualisé, celui-ci ne peut être modifié pendant la période de non actualisation. Une fois cette période écoulé commence la période d’actualisation et le poste client est en mesure de mettre à jour la valeur.

Si celui-ci effectue l’enregistrement se retrouve en période de non actualisation.

Si à la fin de la période d’actualisation l’enregistrement n’a pas été mis à jour il pourra être supprimé par le processus de nettoyage. Mais par défaut le processus de nettoyage n’est pas activé.

Si vous avez activé l’option de nettoyage automatique est que vos zones DNS sont enregistrés dans l’AD celui-ci est marqué pour suppression, répliqué sur les autres DC ayant une copie de cette zone et va disparaîtra à la fin du «tombstonelife» comme tout objet de l’AD.

 

Nous allons configurer le nettoyage des zones.

Ouvrez la console DNS : Démarrer \ outils d’administrations \ DNS.Ouvrez la zone de recherche directe ou indirecte selon le cas. Puis faire un clic droit dans la zone de recherche et sélectionnez « propriété».

Aller sous général et cliquez « vieillissement» (voir image 8 ci-dessus).

Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cocher la case

Nettoyer les enregistrements de ressources obsolètes

Image 8:

 

Ouvrez la console DNS: «Démarrer \ outils d’administrations \ DNS». Faites un clic droit sur le nom du serveur et sélectionner «Définir le vieillissement / nettoyage pour toutes les zones».

Définissez la période de non actualisation et d’actualisation (par défaut 7 jours) et cochez la case «Nettoyer les enregistrements de ressources obsolètes».

Image 9 :

Comment activer le nettoyage de la zone ?

Ouvrez la console DNS& : «Démarrer \ outils d’administrations \ DNS».

Faites un clic droit sur le nom du serveur et sélectionner «propriétés».

Sélectionnez l’onglet «avancé», puis en bas cocher la case «activer le nettoyage automatique des enregistrement obsolète».

Image 10:

Comment vérifier les opérations de nettoyages des zones DNS ?

Dans l'observateur d''événement, surveillez les entrées dans le journal de l'id 2501, source DNS-Server-Service.

Il indique le nombre de zone et d''enregistrement nettoyé.

Image 11 :

 

 

Commentaires

Si j'ai 3 DHCP

Bonjour
Si j'ai 3 serveurs DHPC, dois-je activer le nettoyage automatique sur les 3 ou seulement 1?
Merci

Re : Si j'ai 3 DHCP

Je suppose que vous parlez de 3 serveurs DNS. Si vos zones sont intégrées à Active Directory, il vous suffit de le faire sur un seul, la réplication fera le reste.
Si vos zones ne sont pas intégrés AD vous devez le faire sur le serveur qui a la zone primaire, les zones secondaires étant en lecture seule.

Erreur 2502

Bonjour,
Impossible pour moi de faire fonctionner le nettoyage des enregistrements, j'ai à chaque fois l’événement 2502 qui s'affiche.
Technet précise que le message se produit lorsque l'on essai de lancer manuellement le nettoyage, mais j’ai bien coché la case pour que cela se fasse automatique toutes les 1 heures afin d’avoir un retour rapide, mais rien à faire.
La case est bien coché sur toutes mes zones en ce qui concerne le vieillissement des enregistrements.
J'ai une dizaine de domaines différents avec Windows 2008, cela ce produit sur toutes mes infra, je me demande bien ce que j'ai du louper.
Merci d'avance.

RE : Erreur 2502

Effectivement le cycle de nettoyage demande un peu de temps comme vous pouvez le voir dans l'article ci-dessous l'événement 2501 du cycle de nettoyage a eu lieu plusieurs jours après.
Je n'ai pas compris si c'est le délai de nettoyage ou l'intervalle d'actualisation / non actualisation que vous avez configurée ....

https://support.microsoft.com/fr-fr/kb/842463

Erreur 2502

J'ai configuré les deux.
Le délai de nettoyage toutes les 1heures afin d’éviter d’attendre 7jours par défaut, et j'ai défini sur toutes mes zones l’intervalle d'actualisation et non actualisation par défaut (7jours).
Malgrès tout j'ai l'erreur 2502, m'informant qu'aucune zone n'est paramétrée pour le nettoyage, ou que j'ai déjà effectué manuellement le nettoyage, donc d'attendre le prochain cycle "automatique", ce qui n'est pas le cas bien sur.

activer option nettoyage zone inversé

Bonjour, est ce qu'il faut de même activer cet option de nettoyage des enregistrements obsolètes dans la zone inversé? Merci

Re :activer option nettoyage zone inversé

Oui si vous souhaitez nettoyer les anciens enregistrements. Maintenant tout dépend qui mets à jour les enregistrements, si c'est le serveur DHCP il sera en mesure de modifier l'enregistrement si l'adresse est attribué à une autre machine.