Installation de DHCP (Dynamic Host Configuration Protocol) et DNS (Domain Name System) sur un contrôleur de domaine

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Advanced Server

·             Microsoft Windows 2000 Server

Ancien nº de publication de cet article : F255134

Résumé

Lorsque le service Serveur DHCP (Dynamic Host Configuration Protocol) d'un ordinateur Windows 2000 est installé sur un contrôleur de domaine et est configuré pour effectuer la mise à jour DDNS (Dynamic Domain Name System) des enregistrements de la part de ses clients dans les zones DNS configurées uniquement pour une mise à jour dynamique sécurisée, le serveur DHCP peut écraser les enregistrements pour lesquels il ne possède pas d'autorisation en écriture.

Plus d'informations

Le système DDNS peut être sujet au détournement de nom. Pour assurer la protection contre le détournement de nom, vous pouvez configurer les zones DNS hébergées sur les serveurs DNS Windows 2000 pour des mises à jour dynamiques sécurisées. Notez que cette fonctionnalité est disponible uniquement pour les zones intégrées à Active Directory.

Par défaut, le groupe des contrôleurs de domaines dispose du contrôle total de tous les enregistrements et zones DNS. Comme le service Serveur DHCP utilise le compte d'ordinateur du contrôleur de domaine, il dispose d'un contrôle total de tous les enregistrements et zones DNS. C'est pourquoi le service Serveur DHCP a le droit de mettre à jour ou de supprimer tout enregistrement DNS inscrit dans une zone sécurisée intégrée à Active Directory (cela inclut les enregistrements inscrits de manière sécurisée par d'autres ordinateurs Windows 2000, y compris des contrôleurs de domaines).

Pour réduire au maximum les risques de détournement de nom, Microsoft ne recommande pas d'installer le service Serveur DHCP configuré pour effectuer la mise à jour DDNS sur un contrôleur de domaine. Microsoft recommande d'installer le service Serveur DHCP sur un serveur distinct et non pas sur un contrôleur de domaine.

Informations sur le Service Pack 1 de Windows 2000

Windows 2000 Service Pack 1 contient les modifications suivantes, destinées à minimiser le détournement de nom décrit dans cet article :

Vous pouvez configurer le service Serveur DHCP pour qu'il utilise un compte d'emprunt d'identité pour effectuer les enregistrements DNS. L'outil Netsh.exe permet de configurer les informations d'emprunt d'identité. Vous devez créer un compte d'utilisateur dédié dans Active Directory avant d'utiliser l'outil Netsh.exe pour configurer les informations d'emprunt d'identité du service Serveur DHCP pour ce compte lorsque le service Serveur DHCP effectue une mise à jour DNS dynamique sécurisée. Pour obtenir des informations sur la procédure à suivre pour créer un compte d'utilisateur dans Active Directory, consultez la rubrique Ajout de compte d'utilisateur dans Active Directory dans l'aide sur Windows 2000.

Utilisation de l'outil Netsh.exe

REMARQUE : l'outil Netsh.exe affiche le message "Commande terminée" au terme de son exécution.

·             Pour spécifier le compte d'utilisateur qu'utilisera le service Serveur DHCP pour effectuer les enregistrements DNS, utilisez la commande suivante :

netsh dhcp server set dnscredentials nom d'utilisateur nom de domaine mot de passe

Notez que si vous tapez un astérisque (*) à la place de la variable mot de passe , il vous est demandé de taper un mot de passe.

REMARQUE : redémarrez le service Serveur DHCP pour que ces modifications soient prises en compte.

·             Pour supprimer le compte d'utilisateur utilisé par le service Serveur DHCP pour effectuer les enregistrements DNS, utilisez la commande suivante :

netsh dhcp server delete dnscredentials dhcpfullforce

REMARQUE : redémarrez le service Serveur DHCP pour que ces modifications soient prises en compte.

·             Pour afficher le compte d'utilisateur utilisé par le service Serveur DHCP pour effectuer les enregistrements DNS, utilisez la commande suivante :

netsh dhcp server show dnscredentials

REMARQUE : les mots de passe d'utilisateur doivent être mis à jour régulièrement (la fréquence est spécifiée par l'administrateur de domaine Active Directory). Les administrateurs DHCP doivent mettre à jour ce mot de passe et configurer le service Serveur DHCP avec un nouveau mot de passe en utilisant l'outil Netch.exe comme spécifié précédemment.

Configuration du service Serveur DHCP pour utiliser un compte d'emprunt d'identité

·             Un compte d'emprunt d'identité est configuré lors du démarrage du service Serveur DHCP.
Si l'emprunt d'identité s'effectue correctement, le compte d'emprunt d'identité est utilisé pour tous les enregistrements DNS ultérieurs. Dans le cas contraire, le serveur DHCP enregistre l'ID d'événement ci-dessous dans le journal des événements système et n'effectue pas d'enregistrement DNS (ignore l'option 81 DHCP) :

Type de l'événement : Erreur
Source de l'événement : nom de serveur DHCP
Catégorie de l'événement : Aucune
ID de l'événement : 1002
Date : 5/31/2000
Heure : 15:21:47
Utilisateur : N/A
Ordinateur : nom d'ordinateur
Description : Le service DHCP n'a pas pu initialiser tous les paramètres globaux.
L'erreur suivante s'est produite : Echec de connexion : nom d'utilisateur inconnu ou mot de passe incorrect
Données : 0000: 2e 05 00 00

·             Aucun compte d'emprunt d'identité n'est configuré lors du démarrage du service Serveur DHCP.

Si le service Serveur DHCP ne s'exécute pas sur un contrôleur de domaine, il utilise les informations d'identification d'ordinateur local pour effectuer la mise à jour DDNS sécurisée. Si le service Serveur DHCP s'exécute sur un contrôleur de domaine, il enregistre l'ID d'événement ci-dessous dans le journal d'événements système et utilise des informations d'identification d'ordinateur local pour effectuer la mise à jour DDNS sécurisée :

Type de l'événement : Avertissement
Source de l'événement : nom de serveur DHCP
Catégorie de l'événement : Aucune
ID de l'événement : 1002
Date : 5/31/2000
Heure : 15:57:13
Utilisateur : N/A
Ordinateur : nom d'ordinateur
Description : Le service DHCP n'a pas pu initialiser tous les paramètres globaux. L'erreur suivante s'est produite : %%0
Données : 0000: 00 00 00 00

Références

Pour plus d'informations, consultez le livre blanc sur le service DNS de Windows 2000 sur le site Web de Microsoft à l'adresse suivante :

http://www.microsoft.com/windows2000/techinfo/howitworks/communications/nameadrmgmt/w2kdns.asp

 

Dernière modification le : 16/11/2001

 

Mot(s) clé(s) : kbDNS kbinfo w2000dns KB255134

 

 

*********