|
Il n'existe pas un seul outil de ligne de commande qui réponde directement et définitivement si un contrôleur de domaine a été *entièrement* enregistré dans DNS. L'inscription implique plusieurs enregistrements DNS (SRV, A, CNAME, éventuellement d'autres selon la configuration). Vous devez vérifier la présence de ces enregistrements individuellement.
Cependant, vous pouvez utiliser des outils comme « nslookup » ou « dig » pour vérifier la présence d'enregistrements cruciaux. Plus précisément, vous souhaiteriez rechercher :
* Enregistrements SRV : Ces éléments sont essentiels. Ils dirigent les clients vers les contrôleurs de domaine pour divers services (LDAP, Kerberos, etc.). La requête ressemblerait à ceci (en remplaçant « _ldap._tcp.example.com » par le service et le domaine appropriés) :
```bash
nslookup -type=srv _ldap._tcp.example.com
creuser _ldap._tcp.example.com srv
```
Si le contrôleur de domaine est enregistré correctement, vous verrez des enregistrements répertoriant les adresses IP et les ports du contrôleur de domaine.
* A enregistre : Ceux-ci mappent le nom NetBIOS du contrôleur de domaine (par exemple, « DC1 ») et éventuellement son nom de domaine complet (FQDN, par exemple « dc1.example.com ») à son adresse IP.
```bash
nslookup dc1.example.com
creuser dc1.example.com A
```
Si l'enregistrement A existe, vous verrez l'adresse IP.
* Enregistrements CNAME : Ceux-ci peuvent être utilisés pour les noms d’alias.
Considérations importantes :
* Transfert de zone : Pour une vérification complète (bien que généralement déconseillée pour des raisons de sécurité, sauf si vous y êtes autorisé), vous pouvez tenter un transfert de zone depuis le serveur DNS. Cela téléchargera l'intégralité du fichier de zone, vous permettant d'inspecter tous les enregistrements. Cependant, cela est généralement limité pour des raisons de sécurité.
* Réplication : Le DNS est répliqué. La vérification d'un serveur DNS ne garantit pas que l'enregistrement est complet sur tous les serveurs de l'infrastructure DNS.
* Mises à jour dynamiques : Les contrôleurs de domaine s'enregistrent généralement de manière dynamique. Un problème de réseau temporaire ou un problème de configuration peut empêcher l'inscription au moment de votre vérification.
Par conséquent, l'approche la plus précise consiste à utiliser « nslookup » ou « dig » pour vérifier la présence des enregistrements SRV et A critiques. Un enregistrement manquant indique un problème avec l'enregistrement DNS du contrôleur de domaine. L'absence de plusieurs enregistrements indique un problème plus grave. Vous devrez approfondir vos recherches à l'aide d'outils tels que « dcdiag » (un outil de ligne de commande Windows qui fournit une vérification de l'état plus complète du contrôleur de domaine).
|
