Chapitre 5: DNS en Pratique avec Active Directory

🧭 Navigation du Cours

⏮️ Chapitre Précédent: Active Directory DS | 🏠 Retour au Syllabus | ⏭️ Chapitre Suivant: Unités d'Organisation

📊 Votre Progrès

Progrès du cours

• [✅] Chapitre 1-3: Préparation
• [✅] Chapitre 4: Active Directory DS installé
• [🔄] Chapitre 5: DNS Pratique avec AD (En cours)
• [⏸️] Chapitre 6: Unités d'Organisation

---

Vous avez installé Active Directory et maintenant vous avez un domaine maxtec.be fonctionnel !

Dans ce chapitre, nous allons pratiquer DNS avec votre infrastructure réelle. Fini la théorie abstraite, place à la manipulation concrète !

---

💻 Lab 1: Explorer le DNS créé par Active Directory

💡 Prérequis : Vous devez avoir complété la jonction d'un poste au domaine dans le Chapitre 4: Active Directory DS

Objectif

Découvrir et comprendre ce qu'Active Directory a créé automatiquement dans le DNS après la jonction d'un poste au domaine.

🖥️ Étape 1: Ouvrir le Gestionnaire DNS

1. Sur votre serveur (dc1 ou dns1), ouvrir Gestionnaire de serveur
2. Menu Outils → DNS
3. La console Gestionnaire DNS s'ouvre

💡 Astuce rapide: Vous pouvez aussi taper dnsmgmt.msc dans Exécuter (Win+R)

🌐 Étape 2: Explorer la Zone maxtec.be

Dans le volet gauche, déroulez :

DNS
└── DNS1 (ou nom de votre serveur)
    └── Zones de recherche directes
        └── maxtec.be  ← CLIQUEZ ICI

Observez les enregistrements créés automatiquement !

📋 Étape 3: Identifier les Enregistrements Critiques

Dans le volet droit, vous devriez voir plusieurs enregistrements. Complétons ce tableau ensemble :

Nom	Type	Valeur/Données	À quoi ça sert ?
(identique au dossier parent)	SOA	dns1.maxtec.be	🔑 Start of Authority - définit l'autorité sur cette zone
(identique au dossier parent)	NS	dns1.maxtec.be	🌐 Name Server - indique quel serveur DNS est autoritaire
dns1	A	192.168.0.2	💻 Adresse de votre contrôleur de domaine
_msdcs	...	...	📁 Dossier spécial pour les services AD
_sites	...	...	📁 Services AD par site géographique
_tcp	...	...	📁 Services TCP (LDAP, Kerberos)
_udp	...	...	📁 Services UDP

🔎 Étape 4: Explorer les Enregistrements SRV

Les enregistrements SRV (Service) sont CRITIQUES pour Active Directory !

1. Déroulez _tcp dans la zone maxtec.be
2. Cliquez sur _ldap
3. Observez les enregistrements SRV

Exemple d'enregistrement SRV que vous devriez voir:

_ldap._tcp.maxtec.be
Service: LDAP
Protocole: TCP
Port: 389
Hôte cible: dns1.maxtec.be

🔑 Pourquoi c'est important ? Quand un poste veut joindre le domaine, il demande : "Où est le serveur LDAP ?" Le DNS répond grâce à cet enregistrement SRV !

✅ Checkpoint Lab 2

Vérification de compréhension

• Où se trouvent les zones DNS ? (Gestionnaire DNS → Zones de recherche directes)
• Qu'est-ce qu'un enregistrement SOA ? (Start of Authority - autorité sur la zone)
• Pourquoi les enregistrements SRV sont importants ? (Localisation des services AD)
• Combien d'enregistrements A voyez-vous ? (Au moins un pour votre DC)

🎯 Test rapide en PowerShell:

# Vérifier que le DNS résout votre domaine
nslookup maxtec.be

# Vérifier les services LDAP
nslookup -type=SRV _ldap._tcp.maxtec.be

---

🛠️ Lab 2: Créer des Enregistrements Manuellement

Objectif

Apprendre à ajouter des enregistrements DNS pour des ressources spécifiques (serveurs, alias, etc.)

📝 Exercice 2.1: Créer un Enregistrement A (Hôte)

Scénario: Vous avez un serveur de fichiers qui aura l'IP 192.168.10.10

1. Dans Gestionnaire DNS, clic droit sur la zone maxtec.be
2. Nouveau hôte (A ou AAAA)...
3. Remplir:
4. Nom: fileserver
5. Adresse IP: 192.168.10.10
6. ☑️ Créer un enregistrement PTR associé (si zone inverse existe)
7. Cliquer sur "Ajouter un hôte"

✅ Vérification:

# Test 1: Résolution DNS
nslookup fileserver.maxtec.be

# Résultat attendu:
# Nom :    fileserver.maxtec.be
# Address: 192.168.10.10

# Test 2: Ping
ping fileserver.maxtec.be

🔗 Exercice 2.2: Créer un Alias (CNAME)

Scénario: Vous voulez que files.maxtec.be pointe vers fileserver.maxtec.be

1. Dans Gestionnaire DNS, clic droit sur la zone maxtec.be
2. Nouvel alias (CNAME)...
3. Remplir:
4. Nom de l'alias: files
5. Nom de domaine complet (FQDN) de l'hôte cible: fileserver.maxtec.be
6. OK

✅ Vérification:

nslookup files.maxtec.be

# Résultat attendu:
# Nom :    fileserver.maxtec.be  ← Notez l'alias !
# Address: 192.168.10.10

💡 Avantage des CNAME: Si fileserver change d'IP, vous mettez à jour UNE SEULE fois l'enregistrement A, et l'alias files fonctionne toujours !

🌐 Exercice 2.3: Créer un Enregistrement pour un Service Web

Scénario: Vous voulez que www.maxtec.be pointe vers un serveur web

Mission: Créez un enregistrement CNAME www qui pointe vers fileserver (pour simuler)

💡 Cliquez pour voir la solution

1. Clic droit sur zone **maxtec.be** → **Nouvel alias (CNAME)** 2. Nom: `www` 3. FQDN cible: `fileserver.maxtec.be` 4. OK Vérification:

nslookup www.maxtec.be
# Devrait résoudre vers fileserver.maxtec.be → 192.168.10.10

✅ Checkpoint Lab 2

Vérification de compréhension

• Enregistrement A: fileserver.maxtec.be → 192.168.10.10
• Alias CNAME: files.maxtec.be → fileserver.maxtec.be
• Alias CNAME: www.maxtec.be → fileserver.maxtec.be
• Tous se résolvent correctement avec nslookup

---

🔄 Lab 3: Configurer une Zone de Recherche Inverse

Objectif

Permettre la résolution IP → Nom (l'inverse de la résolution normale)

🌐 Pourquoi une Zone Inverse ?

Résolution normale: ws-compta-01.maxtec.be → 192.168.10.128 Résolution inverse: 192.168.10.128 → ws-compta-01.maxtec.be

Utilisations de la résolution inverse

• 🔐 Authentification (vérifier qu'une IP correspond bien à un nom attendu)
• 📧 Anti-spam (serveurs mail vérifient les noms des expéditeurs)
• 🔍 Troubleshooting (logs plus lisibles)

📝 Étape 1: Créer la Zone Inverse

1. Dans Gestionnaire DNS, clic droit sur Zones de recherche inversée
2. Nouvelle zone...
3. Assistant de création:
4. Type: Zone principale ✓ "Stocker la zone dans Active Directory"
5. Portée: Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine
6. Nom de zone inverse: Zone de recherche inversée IPv4
7. ID réseau: 192.168.0 (sans le dernier octet !)
8. Mises à jour dynamiques: Autoriser uniquement les mises à jour dynamiques sécurisées
9. Terminer

🔍 Étape 2: Vérifier la Zone Créée

Vérification de la zone créée

Dans Zones de recherche inversée, vous devriez voir: - 0.168.192.in-addr.arpa

📘 Note: L'ordre des octets est inversé dans les zones inverses (convention DNS)

📋 Étape 3: Observer les Enregistrements PTR

Enregistrements PTR existants

Déroulez la zone 0.168.192.in-addr.arpa: - Vous devriez voir des enregistrements PTR pour votre serveur - Exemple: 2 → dns1.maxtec.be (si votre serveur est 192.168.0.2)

✅ Étape 4: Tester la Résolution Inverse

# Test résolution inverse de votre serveur
nslookup 192.168.0.2

# Résultat attendu:
# Nom :    dns1.maxtec.be
# Address: 192.168.0.2

# Test résolution inverse du poste client
nslookup 192.168.10.128  # (remplacez par l'IP de votre client)

# Si configuré automatiquement:
# Nom :    ws-compta-01.maxtec.be
# Address: 192.168.10.128

🔧 Étape 5: Ajouter un Enregistrement PTR Manuellement

Si un enregistrement PTR n'existe pas pour le poste client:

1. Clic droit sur la zone 0.168.192.in-addr.arpa
2. Nouveau pointeur (PTR)...
3. Adresse IP de l'hôte: 192.168.10.128 (exemple)
4. Nom de domaine complet de l'hôte: ws-compta-01.maxtec.be
5. OK

✅ Checkpoint Lab 3

Vérification de compréhension

• Zone inverse créée: 0.168.192.in-addr.arpa
• Enregistrement PTR pour le serveur existe
• nslookup 192.168.0.2 retourne dns1.maxtec.be
• Vous comprenez la différence entre résolution directe et inverse

---

🔧 Lab 4: Dépannage DNS - Troubleshooting

Objectif

Apprendre à diagnostiquer et résoudre les problèmes DNS courants.

🚨 Scénario 1: "Je ne peux plus rejoindre le domaine"

Symptôme: Un nouveau poste ne peut pas joindre le domaine maxtec.be

Diagnostic étape par étape:

# Sur le poste client, vérifier la configuration réseau
ipconfig /all

# Vérifier:
# 1. L'adresse IP est correcte ?
# 2. Le serveur DNS est 192.168.0.2 ?
# 3. Le suffixe DNS principal est maxtec.be ?

Test DNS:

# Test 1: Peut-on résoudre le domaine ?
nslookup maxtec.be

# Test 2: Peut-on trouver le contrôleur de domaine ?
nslookup dns1.maxtec.be

# Test 3: Les services AD sont-ils visibles ?
nslookup -type=SRV _ldap._tcp.maxtec.be

Solutions courantes: | Problème | Solution | |----------|----------| | DNS serveur incorrect | Configurer DNS = 192.168.0.2 | | Pas de connectivité réseau | Vérifier carte réseau LAN-VM | | Cache DNS corrompu | ipconfig /flushdns |

🔍 Scénario 2: "Un poste ne s'enregistre pas automatiquement dans le DNS"

Diagnostic:

# Sur le poste client
ipconfig /registerdns

# Force le ré-enregistrement DNS

Sur le serveur, vérifier les paramètres de mise à jour dynamique: 1. Gestionnaire DNS → Zone maxtec.be → Propriétés 2. Onglet Général 3. Mises à jour dynamiques: Sécurisées uniquement

🛠️ Commandes de Dépannage Essentielles

Commande	Usage	Exemple
nslookup nom	Résoudre un nom	nslookup www.maxtec.be
nslookup IP	Résolution inverse	nslookup 192.168.0.2
ipconfig /flushdns	Vider cache DNS	Après modification enregistrement
ipconfig /registerdns	Forcer enregistrement	Poste pas dans DNS
nslookup -type=SRV	Vérifier services	nslookup -type=SRV _ldap._tcp.maxtec.be

✅ Checkpoint Lab 4

Vérification de compréhension

• Vous savez vérifier la configuration DNS d'un poste (ipconfig /all)
• Vous savez tester la résolution DNS (nslookup)
• Vous connaissez les commandes de dépannage essentielles
• Vous comprenez les mises à jour dynamiques sécurisées

---

📚 Concepts DNS Clés - Récapitulatif

Maintenant que vous avez pratiqué, récapitulons les concepts importants :

🌐 Types d'Enregistrements DNS

Type	Nom complet	Usage	Exemple vécu dans les labs
A	Address	Nom → IPv4	fileserver.maxtec.be → 192.168.10.10
CNAME	Canonical Name	Alias	www → fileserver
PTR	Pointer	IP → Nom (inverse)	192.168.0.2 → dns1.maxtec.be
SRV	Service	Localisation service	_ldap._tcp pour AD
NS	Name Server	Serveur DNS autoritaire	maxtec.be → dns1.maxtec.be
SOA	Start of Authority	Autorité sur zone	Paramètres de la zone

🔄 Résolution DNS dans Active Directory

Ce qui se passe quand un poste rejoint le domaine:

1. 🖥️ Poste client envoie requête DNS: "Où est le contrôleur de domaine ?"
2. 🌐 DNS répond avec enregistrement SRV: "C'est dns1.maxtec.be:389 (LDAP)"
3. 🔐 Poste se connecte au DC via LDAP
4. ✅ AD authentifie le poste et l'ajoute au domaine
5. 📝 AD demande à DNS de créer enregistrement A pour le poste
6. 🎉 DNS crée automatiquement ws-compta-01.maxtec.be

Vous avez VU tout ce processus dans le Lab 1 !

🏗️ Architecture DNS-AD Intégrée

┌─────────────────────────────────────┐
│   Active Directory (maxtec.be)      │
│                                     │
│   ┌─────────────────────────────┐  │
│   │         DNS Intégré         │  │
│   │                             │  │
│   │  • Zones AD automatiques    │  │
│   │  • Enregistrements SRV      │  │
│   │  • Mises à jour dynamiques  │  │
│   └─────────────────────────────┘  │
│                │                    │
│                ↓                    │
│   ┌──────────────────────────────┐ │
│   │ Postes clients s'enregistrent│ │
│   │    automatiquement           │ │
│   └──────────────────────────────┘ │
└─────────────────────────────────────┘

---

🎯 Exercice Final: Validation Complète

Mission Complète

Vous devez configurer un nouveau serveur web pour maxtec.be. Voici les exigences:

1. Serveur web aura le nom webserver et l'IP 192.168.10.15
2. Les utilisateurs doivent pouvoir accéder via www.maxtec.be
3. Les admins doivent pouvoir accéder via webadmin.maxtec.be
4. La résolution inverse doit fonctionner pour l'IP du serveur

📝 Étapes à Réaliser

💡 Cliquez pour voir la solution complète

!!! example "Étape 1: Créer l'enregistrement A"

Gestionnaire DNS → maxtec.be → Clic droit → Nouveau hôte
- Nom: webserver
- IP: 192.168.10.15
- ☑️ Créer enregistrement PTR associé

!!! example "Étape 2: Créer les alias CNAME"

Alias 1:
- Nom: www
- FQDN cible: webserver.maxtec.be

Alias 2:
- Nom: webadmin
- FQDN cible: webserver.maxtec.be

**Étape 3: Vérifier**

nslookup webserver.maxtec.be  # → 192.168.10.15
nslookup www.maxtec.be         # → webserver.maxtec.be → 192.168.10.15
nslookup webadmin.maxtec.be    # → webserver.maxtec.be → 192.168.10.15
nslookup 192.168.10.15         # → webserver.maxtec.be

**✅ Tous les tests doivent fonctionner !**

✅ Validation Finale

Vérification finale

• Enregistrement A créé pour webserver
• Alias www.maxtec.be fonctionne
• Alias webadmin.maxtec.be fonctionne
• Résolution inverse de 192.168.10.15 fonctionne
• Tous les nslookup réussissent

---

🎯 Vous Maîtrisez DNS avec Active Directory !

🚀 Compétences Acquises

Compétences acquises

Vous savez maintenant: - 🔧 Gérer le DNS dans un environnement Active Directory - 🔍 Diagnostiquer les problèmes de résolution DNS - 📝 Créer et maintenir des enregistrements DNS - 🔄 Comprendre l'intégration DNS-AD

📚 Pour Aller Plus Loin

Pour aller plus loin

Si vous voulez approfondir les concepts théoriques DNS: - 📖 Annexe A - DNS Concepts Avancés (Référence) - Délégation DNS en détail - Architecture multi-sites - Zones secondaires avancées - Enregistrements spécialisés

---

🧭 Navigation

⏮️ Chapitre 4: Active Directory DS | 🏠 Retour au Syllabus | ⏭️ Chapitre 6: Unités d'Organisation

---

📚 Cours Active Directory - Chapitre 5/9 | 💻 Hands-on complet