Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Le cache DNS

Explication du problème
Exemple
Solutions

Explication du problème : Windows 2000 intègre un cache DNS (très utile pour les domaines 2000 avec l'active directory). mais il introduit quelques surprises dans un environnement de Domaine NT 4.0.

Ce dernier met en "cache" les réponses positives et négatives du solver DNS de 2000. Il cache les réponses positives pendant 86 400 secondes (une journée) et les réponses négatives pendant 300 secondes, ces 2 temps sont réglables.

Ce temps de cache est trop long et fini par vous faire tourner en bourrique, si vous changez l'adresse IP d'une machine dont vous avez déjà établi une communication avant le changement... un exemple s'impose : 

Exemple : Quand vous changez l'adresse IP d'un serveur Web par exemple et que le matin une station Windows 2000 avait établi une connexion sur ce serveur. A la suite de ce changement d'adresse, cette station  ne pourra plus connecter votre serveur. Alors vous ferez un "ping" pour vérifier et effectivement le "ping" échouera. Vous prendrez un poste Windows 95 et lui pourra connecter votre serveur !!! Pourquoi tant de haine !!!

Votre Serveur www.toto.com est en 123.123.123.2 vous lui changez son adresse IP en 123.123.123.6

Le poste Windows 9x qui avait connecté le serveur WEB en local avant le changement, avait dans son cache arp 

Interface : 123.123.123.83 on Interface 0x2
Adresse Internet      Adresse physique           Type
123.123.123.1        00-00-a2-03-37-0d      dynamique
123.123.123.2        00-60-97-17-10-37      dynamique  (l'adresse MAC sur serveur www.toto.com)
123.123.123.75      00-a0-c9-ec-e4-39       dynamique

Après le changement d'adresse, le "ping www.toto.com" sera réussi et  le poste aura dans son cache 

Interface : 123.123.123.83 on Interface 0x2
Adresse Internet      Adresse physique           Type
123.123.123.1        00-00-a2-03-37-0d      dynamique
123.123.123.6        00-60-97-17-10-37      dynamique (la nouvelle adresse MAC du serveur www.toto.com)
123.123.123.75      00-a0-c9-ec-e4-39       dynamique

Par contre le cache arp d'une  stations Windows 2000 n'est pas mise à jour. Il reste avec l'ancienne adresse de votre serveur et le "ping" échoue et les connections aussi...

C'est la faute du Cache DNS de Windows 2000. Windows 2000 ne refait plus de demande au DNS pour vérifier les résolutions de nom et vous faite toujours l'appel à l'ancienne adresse IP que le cache DNS a gardé.

Sur le poste Windows 2000 vous trouverez dans son cache DNS  l'ancienne valeur d'IP de votre serveur !

>ipconfig /displaydns

www.toto.com

 
------------------------------------------------------

   Nom Enregistrement  . : www.toto.com
   Type Enregistrement . : 1
   Durée de vie  . . . . : 86393
   Longueur Données  . . : 4
   Section . . . . . . . : Answer
   Enregistr. A (Hôte) . :
                     123.123.123.2 (Toujours l'ancienne adresse du serveur www.toto.com)

Solutions : 

Dévalider le cache DNS de Windows 2000

[Démarrer][Paramètres][Panneau de Configuration] choisissez Outils d'administration puis Services vous y êtes presque encore un petit effort.

Sélectionnez Client DNS, dans ses propriétés passez le démarrage en manuel

Réduire le temps de rafraîchissement du cache

Avec Regedit accédez à HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters

MaxCacheEntryTtlLimit pour le cache positif 
NegativeCacheTime pour le cache négatif (si on y place 0 il n'y a plus de cache négatif)

Ce système est monté automatiquement au démarrage pour optimiser le réseau, et prévoir des priorités de réponses ou une sécurité de non-réponse pour les serveurs non interrogés (sécurité non mise en route par défaut).

 

Rafraîchir manuellement le cache de la station

Grâce à la commande ipconfig, vous pouvez vider le cache DNS de votre station
>ipconfig /flushdns

Laquelle est la meilleure ?

Le plus important est d'avoir à l'esprit que ce cache existe par rapport à NT 4.0 et qu'il peut entraîner quelques surprises quand on change les adresse IP des machines. Ce problème survient surtout quand le DNS n'est pas dans le domaine ce qui est souvent le cas dans des domaines NT 4.0 et qui le sera moins dans des domaines Windows 2000. L'autre fait à prendre en compte est que l'on ne change pas tous les jours les adresses IP de chaque machine !

Xavier et moi, nous avons décidé d'arrêter le service "CLIENT DNS" sur nos stations d'administrateur et de le laisser sur les autres stations du laboratoire pour économiser de la bande passante et surtout réduire le temps de d'attente.

Page Up Updated 24 septembre, 2003 Hervé Chaudret, Xavier laure  
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.