DNS Active Directory : meilleure configuration avec deux contrôleurs de domaine (Windows Server)

Deux contrôleurs de domaine et un doute récurrent : à qui doivent-ils poser leurs questions DNS ? Voici un schéma éprouvé, des explications claires et des procédures pas‑à‑pas pour éviter les erreurs 4013/4004/1014 et garantir un démarrage AD sans boucle d’échec.

Vue d’ensemble de la question

Une organisation dispose de deux contrôleurs de domaine :

• DC1 : x.x.x.1
• DC2 : x.x.x.2

Comment paramétrer les adresses DNS sur les DC eux‑mêmes ? Faut‑il que chaque DC se désigne en « DNS préféré » ou bien qu’il pointe d’abord vers l’autre ?

Réponse & solution (en un coup d’œil)

Contrôleur	DNS préféré	DNS auxiliaire
DC1	x.x.x.2 (DC2)	127.0.0.1 ou x.x.x.1
DC2	x.x.x.1 (DC1)	127.0.0.1 ou x.x.x.2

Pourquoi ce schéma fonctionne

1. Résilience au démarrage AD : au boot, les zones DNS intégrées à AD ne sont pleinement disponibles qu’une fois le service AD DS prêt. Si un DC pointe d’abord vers lui‑même alors que sa zone n’est pas encore montée, les recherches des enregistrements SRV (_ldap._tcp, _kerberos, etc.) peuvent échouer et s’inscrire en cache négatif. En pointant d’abord vers l’autre DC, ces requêtes critiques aboutissent immédiatement.
2. Boucle‑back en secours : mettre 127.0.0.1 en auxiliaire permet de conserver une capacité de résolution locale si la liaison réseau vers l’homologue est indisponible, tout en évitant d’empoisonner le cache du client DNS pendant la fenêtre de montée des services.
3. Intégration AD : avec des zones intégrées à Active Directory, les enregistrements se répliquent automatiquement sur tous les DC/DNS de l’étendue choisie (domaine, site, forêt), de sorte que l’homologue possède toujours les SRV essentiels.
4. Contrôles santé simplifiés : ce modèle évite une cascade d’événements système (4013, 4004, 1014) et facilite les diagnostics dcdiag /test:dns.
5. Isolation d’Internet : la résolution externe doit passer par des transferts (forwarders) ou les root hints, pas par des DNS publics directement affectés sur la carte réseau des DC.
6. Conscience des sites : dans un environnement multi‑sites, placer le DNS préféré dans le même site AD réduit la latence et les pics WAN, et l’auxiliaire sur un site différent ajoute une vraie tolérance de panne.

Procédure de configuration recommandée

Paramétrage graphique (IPv4)

1. Sur DC1 : ouvrez ncpa.cpl → clic droit sur l’interface LAN → Propriétés → Protocole Internet version 4 (TCP/IPv4) → Propriétés.
   DNS préféré : x.x.x.2   |   DNS auxiliaire : 127.0.0.1 (ou x.x.x.1).
2. Sur DC2 : appliquez l’inverse.
   DNS préféré : x.x.x.1   |   DNS auxiliaire : 127.0.0.1 (ou x.x.x.2).
3. Assurez‑vous que l’interface interne (LAN) est prioritaire dans ncpa.cpl ▸ Options avancées (ordre des connexions).

Paramétrage en PowerShell

Adaptez l’alias d’interface (Ethernet) et les adresses :

# DC1
$if = "Ethernet"
Set-DnsClientServerAddress -InterfaceAlias $if -ServerAddresses @("x.x.x.2","127.0.0.1")

# DC2

$if = "Ethernet"
Set-DnsClientServerAddress -InterfaceAlias $if -ServerAddresses @("x.x.x.1","127.0.0.1")

# (Optionnel) IPv6 si votre réseau est maîtrisé

# Exemple : préférer le pair puis ::1 en secours

Set-DnsClientServerAddress -InterfaceAlias $if -AddressFamily IPv6 -ServerAddresses @("2001:db8::1","::1") 

Rafraîchissement des enregistrements

ipconfig /flushdns
ipconfig /registerdns
net stop netlogon & net start netlogon
nltest /dsregdns

Vérifications essentielles

dcdiag /test:dns /v
nslookup -type=SRV _ldap._tcp.dc._msdcs.<votre-domaine>
Resolve-DnsName -Type SRV _kerberos._tcp.<votre-domaine> -Server x.x.x.2
Get-DnsServerZone -ComputerName x.x.x.1
Get-DnsServerResourceRecord -ZoneName <votre-domaine> -RRType SRV

Contrôlez les journaux Microsoft‑Windows‑DNS‑Server/Operational et Système pour confirmer l’absence d’erreurs 4013 (zone AD non chargée), 4004 (enregistrements SRV non enregistrés) et 1014 (résolution DNS échouée côté client).

Configuration des zones DNS intégrées à AD

• Type de zone : intégrée à Active Directory (AD‑Integrated).
• Étendue de réplication (replication scope) : à ajuster selon la topologie :
  • Domaine : « To all DNS servers in the domain » (classique).
  • Forêt : « To all DNS servers in the forest » si les noms doivent être visibles partout.
  • Site/partitions personnalisées : utile pour limiter le trafic inter‑site.
• Mises à jour dynamiques : Secure only.
• Transferts de zone : désactivés pour les zones AD‑Int (la réplication AD suffit). Si nécessaire, restreignez aux serveurs autorisés.

Résolution Internet : forwarders plutôt que DNS publics sur la carte

Sur les DC, n’utilisez jamais un DNS public comme préféré/auxiliaire sur l’interface réseau. Pour la résolution externe :

1. Ouvrez dnsmgmt.msc → clic droit sur le serveur → Propriétés → onglet Redirecteurs (Forwarders).
2. Ajoutez des résolveurs sous votre contrôle (pare‑feu DNS, résolveur de l’entreprise, filtrage) ou des résolveurs publics en tant que forwarders.
3. Conservez les root hints en secours si vos forwarders deviennent injoignables.

Add-DnsServerForwarder -IPAddress 1.1.1.1,9.9.9.9 -PassThru
Get-DnsServerForwarder

Prise en compte des sites et sous‑réseaux AD

Caler le DNS préféré sur un homologue du même site AD réduit la latence LDAP/Kerberos et accélère les ouvertures de session. En auxiliaire, placez soit la boucle‑back, soit un DC d’un autre site pour absorber une coupure site‑locale.

Scénario	DNS préféré	DNS auxiliaire	Notes
Un seul site	DC pair	127.0.0.1 ou IP locale	Schéma simple et robuste.
Plusieurs sites (WAN)	DC du même site	DC d’un autre site	Limiter le trafic WAN au quotidien, garder une sortie de secours.
RODC en agence	DC de l’agence (si présent)	DC du datacenter	Adapter les filtres d’attributs et le cache d’identités.

IPv6 : adopter la même logique

Si IPv6 est activé et exploité, appliquez la même stratégie : préférer l’adresse IPv6 de l’homologue, puis ::1 en secours. Sinon, laissez les champs DNS IPv6 vides pour éviter des résolutions aléatoires.

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -AddressFamily IPv6 -ServerAddresses @("2001:db8::2","::1")

Hygiène DNS : aging & scavenging, TTL, cache

• Aging/Scavenging : activez l’assainissement des enregistrements dynamiques (par ex. No‑Refresh 7 j, Refresh 7 j) sur la zone et au niveau serveur pour éviter les hôtes fantômes.
• TTL : conservez un TTL raisonnable (par ex. 1 heure pour les enregistrements SRV et hôtes critiques) afin de favoriser une convergence rapide.
• Cache locking : verrouiller le cache limite certaines attaques par empoisonnement (paramétrable sur Windows DNS).

Sécurité et gouvernance

• Limiter l’accès UDP/TCP 53 aux seuls segments autorisés (pare‑feu Windows et périmétrique).
• Activer les mises à jour dynamiques sécurisées et durcir les ACL sur les zones et enregistrements sensibles.
• Évaluer l’usage de DNSSEC interne pour la signature des zones d’entreprise.
• Désactiver la récursion si le serveur n’est pas destiné aux clients finaux, ou la restreindre à des sous‑réseaux approuvés.
• Journaliser les requêtes/événements (canal Operational) et intégrer la supervision (Zabbix/PRTG/SCOM) sur la disponibilité, la latence et le taux d’échecs.

Clients et DHCP : cohérence de bout en bout

• Distribuez uniquement vos DC/DNS comme serveurs DNS aux postes (DHCP option 006, GPO). Évitez de mélanger des DNS publics et internes sur les clients.
• Donnez au moins deux adresses DNS (DC1 et DC2) aux clients. Les portables hors site peuvent recevoir un profil VPN avec DNS split‑tunnel si nécessaire.
• Nettoyez les suffixes DNS de recherche (DNS Suffix Search List) pour éviter les résolutions erronées.

Dépannage : erreurs fréquentes et remèdes

Symptôme / Événement	Cause probable	Correctif
4013 au démarrage DNS	Zone AD non chargée (AD DS pas encore prêt)	Patronner le DC vers le pair en préféré ; vérifier la santé AD (repadmin /replsummary)
4004 à l’enregistrement SRV	Échec d’enregistrement Netlogon	ipconfig /registerdns, redémarrer Netlogon, vérifier ACL de zone et mises à jour dynamiques
1014 côté client	Résolution DNS indisponible ou lente	Vérifier reachabilité 53/UDP & 53/TCP, forwarders, saturation CPU du service DNS
Résolutions lentes inter‑site	DC préféré hors site	Aligner le DNS préféré sur le même site, revoir Sites & Subnets

Modèles d’architecture et cas particuliers

Deux DC virtuels sur le même hôte

Évitez le SPOF : hébergez les DC sur des hôtes différents et, si possible, sur des baies d’alimentation séparées. Le schéma DNS reste identique.

Filtrage egress (sortie Internet)

Si les DC ne peuvent pas joindre les forwarders, laissez les root hints actifs ou publiez un résolveur interne accessible. Vérifiez les règles pare‑feu (53/UDP, 53/TCP vers l’upstream).

RODC en site distant

Un RODC ne stocke pas l’intégralité de l’annuaire : conservez un DNS préféré local pour les noms du site, et un auxiliaire vers un DC complet du datacenter.

Renumérotation IP

Planifiez un changement coordonné : modifier les adresses sur la carte, mettre à jour le DNS A/PTR du DC, forcer nltest /dsregdns, purger les caches et vérifier _msdcs.

Procédure de mise en conformité en production

1. Inventorier les interfaces réseau des deux DC (Get-NetAdapter).
2. Configurer le DNS préféré vers l’homologue, puis la boucle‑back en auxiliaire.
3. Valider le type de zone (AD‑Integrated) et l’étendue de réplication.
4. Ajouter/valider les forwarders et les root hints.
5. Exécuter : ipconfig /flushdns, ipconfig /registerdns, redémarrer Netlogon.
6. Lancer dcdiag /test:dns /v et corriger toute alerte.
7. Vérifier nslookup -type=SRV _ldap._tcp.dc._msdcs.<domaine> depuis chaque DC et depuis un poste client.
8. Activer aging/scavenging si non fait, et ajuster les TTL.
9. Documenter la configuration et intégrer la supervision (ports 53, files d’attente, latence de réponse).

FAQ express

Faut‑il mettre 127.0.0.1 en préféré ?
Non dans ce schéma. Préférer l’autre DC supprime la fenêtre d’indisponibilité des zones AD au démarrage et évite le cache négatif des SRV. La boucle‑back convient en auxiliaire.

Peut‑on saisir 8.8.8.8 sur la carte réseau d’un DC ?
À proscrire. Les DC doivent toujours interroger un DNS interne. Pour Internet, configurez des forwarders ou utilisez les root hints.

Et s’il y a plus de deux DC ?
Appliquez la logique : préféré = DC du même site (idéalement un pair différent), auxiliaire = boucle‑back ou DC d’un autre site. Vous pouvez ajouter un troisième serveur dans la liste des DNS de l’interface si nécessaire.

IPv6 est activé mais non maîtrisé ?
Laissez les champs DNS IPv6 vides sur les cartes ou désactivez IPv6 uniquement si cela est justifié et documenté. Sinon, répliquez la même logique qu’en IPv4.

Exemples consolidés de commandes

:: Vérification de la santé AD
repadmin /replsummary
repadmin /showrepl

:: Résolution SRV
nslookup -type=SRV _ldap._tcp.dc._msdcs.

:: Nettoyage DNS
ipconfig /flushdns
dnscmd /clearcache

:: Enregistrements SRV (Netlogon)
nltest /dsregdns 

# PowerShell : aperçu des zones et aging/scavenging
Get-DnsServerZone
Set-DnsServerZoneAging -Name "<domaine>" -Aging $true -NoRefreshInterval (New-TimeSpan -Days 7) -RefreshInterval (New-TimeSpan -Days 7)
Set-DnsServerScavenging -ScavengingInterval (New-TimeSpan -Days 7) -ApplyOnAllZones $true

Bonnes pratiques complémentaires

• Conserver une nomenclature d’interfaces (ex. « LAN‑Prod », « LAN‑Mgmt ») pour éviter les erreurs de ciblage dans les scripts PowerShell.
• Éviter les instantanés/retours arrière de VM DC qui cassent l’USN et la réplication ; préférez des sauvegardes compatibles AD.
• Implémenter des alertes proactives (latence de réponse DNS > 50 ms, taux d’échecs, événements critiques).
• Documenter les dépendances (proxy DNS en amont, listes de suffixes, règles de pare‑feu) et les procédures DRP.

Résumé opérationnel

Pour deux contrôleurs de domaine, la configuration la plus sûre et la plus pratique consiste à définir le DNS préféré vers l’homologue et le DNS auxiliaire vers la boucle‑back (ou l’IP locale). Combinez cette disposition avec des zones AD‑Int correctement répliquées, des forwarders encadrés, un aging/scavenging activé, et des contrôles dcdiag/nslookup systématiques. Vous obtenez un démarrage AD fiable, des enregistrements SRV toujours disponibles et une résolution interne/externe proprement séparée.

---

Checklist prête à l’emploi

• DC1 : DNS préféré x.x.x.2  ·  DNS auxiliaire 127.0.0.1
• DC2 : DNS préféré x.x.x.1  ·  DNS auxiliaire 127.0.0.1
• Zones en AD‑Integrated, réplication adéquate (domaine/forêt/site).
• Mises à jour dynamiques Secure only.
• Forwarders configurés ; root hints conservés.
• ipconfig /registerdns + redémarrage Netlogon effectués.
• dcdiag /test:dns sans erreurs 4013/4004/1014.
• Aging/scavenging et TTL ajustés.
• Supervision en place (ports 53, événements DNS Server, latence).