Embed Size (px)
Citation preview
Système d’exploitation Windows 2008 Server
Installer le service DNS sur Windows 2008 Server
Ecrit 20 juillet 2009 par Alexandre du Labo IT et modifié
Nous allons nous intéresser à la résolution de noms de domaines. Nous utiliserons pour cela le service DNS (Domain Name System) dans un environnement Windows2008 Server.
Après un rappel sur le fonctionnement de DNS, les points abordés seront l’installation et l’administration du service. J’expliquerai les différents types de zones, les redirecteurs et la délégation de zone.
Introduction à DNS Avant de commencer toute partie pratique, nous allons revoir le fonctionnement DNS afin de bien comprendre ce que nous allons mettre en place par la suite.
Pourquoi ? Les ordinateurs en réseau ne peuvent communiquer entre eux que par des adresses IP. Une adresse IP est seulement composée de chiffre. De ce fait, il est techniquement impossible, de base, de s’échanger des données en utilisant un nom. Hors il est bien plus facile de retenir un nom plutôt qu’une suite de chiffre.
Au début d’internet, on utilisait un fichier texte sur la machine qui permettait de faire la relation entre un nom et une adresse IP. Il était rempli manuellement sur chaque ordinateur.
Ce fichier existe toujours sur nos nouveaux systèmes d’exploitation. Sous Windows, il se trouve dans %SystemRoot%Windows/System32/drivers/etc/hosts et sous Linux dans le fichier /etc/hosts.
Cependant, avec l’explosion d’internet et la multiplication des noms de domaine, il est devenu indispensable d’avoir un système qui permette de gérer dynamiquement la résolution. Ce fut l’apparition du DNS pour Domain Name System.
Un model hiérarchique De par sa création, le système DNS est basé sur une structure arborescente. Cela signifie que vous pouvez décomposer un nom de domaine en plusieurs parties. Chaque partie est délimitée par un « . ». Par exemple, on peut séparer www.laboit.net en 3 parties.
La décomposition commence par la droite, et plus on va vers la gauche, plus on se rapproche de la machine cible.
Pour chaque partie du nom de domaine, il existe un serveur qui est capable de nous donner l’adresse IP de la machine, ou bien de nous rediriger vers un autre serveur DNS.
De plus, tous les noms de domaine dérivent d’une racine Root symbolisé par le « . ». Ainsi, le véritable nom de Labo IT serait « www.laboit.net. »
La composition On distingue deux types de noms avec le système DNS :
le nom d’hôte qui représente le nom d’une machine, généralement un serveur. le FQDN (Fully Qualified Domain Name) ou nom de domaine pleinement qualifiéLe FQDN est composé de deux parties : le nom d’hôte et le suffixe DNS. Le suffixe DNS défini la relation entre le domaine auquel appartiennent la machine et le domaine racine. Pour un FQDN du type www.microsoft.laboit.net, le nom d’hôte serait www et le suffixe serait microsoft.laboit.net.
Page - 1 -
Système d’exploitation Windows 2008 Server
Voici un schéma pour vous montrer le model hiérarchique :
A chaque niveau de la hiérarchie, il existe un serveur DNS pour chaque membre.
Le processus Pour obtenir une réponse à ses demandes, un client doit au moins avoir un serveur DNS primaire de renseigné. Pour les particuliers, il s’agit généralement de celui du fournisseur d’accès internet (FAI).
Processus lorsqu’un client demande une résolution de nom :
1. Dans un premier temps, le client envoie une requête à son serveur DNS primaire pour savoir l’adresse IP du nom FQDN www.laboit.net
2. Si le serveur DNS a déjà le site dans son cache, il lui renvoie directement l’adresse IP. Sinon il va aller interroger d’autres serveurs.
3. Le serveur A demande au serveur racine (B) qui s’occupe de la partie .net. Ce dernier lui répond qu’il faut demander au serveur C.
4. Le serveur A réitère sa demande au serveur C mais cette fois, il demande l’adresse du serveur qui a autorité pour laboit.net. Le serveur C le redirige vers le serveur D.
5. Le serveur A demande au serveur D de lui donner l’adresse IP de la machine qui a le nom d’hôte www. 6. Une fois l’adresse IP obtenue, le serveur A la renvoie au client.
Page - 2 -
Système d’exploitation Windows 2008 Server
Mise en place du service Nous allons mettre en place un serveur DNS local.
Pré requis Pour le bon fonctionnement de la résolution, les clients doivent savoir où envoyer leurs requêtes. L’information est généralement délivrée par le serveur DHCP, ou bien en dur pour les clients qui sont en IP fixe.
C’est pour cela que notre serveur DNS doit avoir une IP statique dans notre réseau.
Installation Sous Windows Server 2008, le service DNS est un rôle. On utilisera Server Manager pour l’installer.
Une fois le service DNS installé, vous pouvez le configurer grâce à une console dédiée accessible dans les outils d’administration ou bien en tapant la commande dnsmgmt.msc
Configuration
Les serveurs racines Lorsque vous avez installé le service sur votre machine, vous devez vérifier la présence des informations sur les serveurs DNS racine. En effet, si elles sont absentes, vous ne pourrez pas résoudre les noms de domaines extérieurs à votre réseau.
Quand notre serveur reçoit une requête dont il ne connaît pas la réponse, il va contacter les serveurs DNS racine pour l’obtenir.
Pour accéder aux Serveur Racines, clic droit sur le serveur dans la console, puis Propriété.
Page - 3 -
Système d’exploitation Windows 2008 Server
Les redirecteurs On a vu ci dessus que lorsque notre serveur DNS ne peut pas résoudre un nom de domaine, celui-ci va en contacter un autre. Par défaut, il s’agit des serveurs racines.
Un redirecteur permet de modifier ce comportement : en effet, notre serveur ne va plus demander aux racines mais à un serveur qu’on aura précisé.
Cette fonction peut vous être utile lorsque vous avez plusieurs sites ou plusieurs serveurs DNS dans votre entreprise.
Page - 4 -
Système d’exploitation Windows 2008 Server
Utilisation des zones
Introduction Le service est basé sur le principe de zone. Une zone contient les informations pour un et un seul nom de domaine. Pour simplifier, on peut comparer une zone DNS à un dossier. Vous pouvez avoir plusieurs zones par serveur.
Un client peut effectuer deux types de requête, une directe et une indirecte.
La requête directe est une demande de résolution simple, vous voulez connaître l’adresse IP en fonction du nom.
La requête indirecte est le contraire, vous souhaitez connaître le nom de la machine en fonction de son adresse IP.
Le nom de la zone directe est simplement le suffixe DNS tandis que pour la zone inversée il s’agit de l’adresse IP à « l’envers » suivi de « .in-addr.arpa ». Pour résoudre 192.168.1.10, il faudra créer la zone inverse « 1.168.192.in-addr.arpa ».
Les types d’enregistrement Voici une liste des principaux enregistrements DNS :
A qui fait correspondre un nom d’hôte à une adresse IPv4. AAAA qui fait correspondre un nom d’hôte à une adresse IPv6 CNAME qui permet de faire un alias vers un enregistrement A. MX qui définit les serveurs de messagerie. PTR qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit « reverse » puisque il fait exactement le contraire du A record. NS qui définit les serveurs DNS de ce domaine. SOA donne les informations générales de la zone. SRV qui définit un service.
Page - 5 -
Système d’exploitation Windows 2008 Server
Configuration d’une zone Primaire
Zone directe La création de zone directe est simple sous Windows Server 2008. Il suffit de cliquer droit sur le conteneur de « Zone de recherche directe » puis de sélectionner « Nouvelle Zone ».
Une fenêtre s’ouvre alors vous demandant le type de la zone. Sélectionnez pour le moment « Zone Primaire»
Le serveur n’étant pour le moment pas un contrôleur de domaine, nous ne pouvons pas choisir d’intégrer la zone à Active Directory.
Sur la fenêtre suivante, spécifiez le nom de votre zone, dans notre exemple, cela sera laboit.lan
Par la suite, une fenêtre vous demandera si la zone doit accepter les mises à jour dynamiques sécurisées ou non sécurisées. Cette option est utile lorsque vous utilisez un plan d’adressage dynamique tel que DHCP. En effet, les
Page - 6 -
Système d’exploitation Windows 2008 Server
machines changeront régulièrement d’IP et la résolution de nom statique n’a plus aucun intérêt. Les machines sous Windows mettront donc à jour les informations DNS les concernant.
Voici la signification des 3 choix possibles :
N’autoriser que les mises à jour dynamiques sécurisées : seuls les ordinateurs possédant un compte d’ordinateur dans Active Directory peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources. Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées : tous les ordinateurs exécutant Windows 2000/XP/2003 peuvent créer et mettre à jour leurs enregistrements de ressources. Même une machine qui n’est pas membre du domaine. Ne pas autoriser les mises à jour dynamiques : Dans ce cas, la seule façon de mettre à jour les enregistrements de ressources est d’utiliser la commande ipconfig /registerdns sur chaque machine cliente.
Cliquez sur Terminer pour créer la zone primaire.
Lorsque la zone primaire a été crée, vous pouvez ajouter autant d’informations que vous souhaitez. Dans l’exemple si dessous, j’ai crée 3 enregistrements : un de type A et deux autres alias.
Zone indirecte Si vous voulez avoir la possibilité de résoudre une adresse IP en nom, vous devez créer une zone de recherche inverse, ou indirecte.
Le principe de création reste le même que pour la zone principale, sauf qu’on ne vous demandera pas un nom, mais une plage IP. La zone inverse contiendra des enregistrements PTR.
Page - 7 -
Système d’exploitation Windows 2008 Server
Voici le résultat après l’ajout d’un enregistrement de type A dans la zone directe :
Les zones secondaires Lors de la création d’une zone, l’assistant vous demande son type. Il existe la zone secondaire.
Une zone secondaire est utile lorsque vous avez plusieurs serveurs DNS dans votre entreprise: vous pouvez répliquer les zones primaires pour éviter la surcharge.
Pour des questions de sécurité, les zones secondaires sont seulement en lecture seule.
La délégation de zone Voici un autre point important du service DNS, la délégation de zone.
Imaginons que vous ayez deux sous domaine dans votre architecture : microsoft.laboit.net et cisco.laboit.net. Pour une meilleure organisation et gestion de votre réseau, vous avez décidé d’installer un serveur DNS dans chaque zone. Le serveur DNS de laboit.lan doit donc être capable de rediriger les requêtes vers le serveur sous jacent qui a autorité sur la zone.
Page - 8 -
Système d’exploitation Windows 2008 Server
La délégation s’applique sur une zone, cliquez droit sur la zone dont vous voulez déléguer, puis sélectionnez Nouvelle Délégation.
L’assistant vous demande alors le nom du sous domaine puis l’adresse IP du serveur distant.
Votre délégation est désormais effective. Les domaines délégués sont grisés sur l’arborescence et contiennent l’adresse IP du serveur qui a autorité.
Page - 9 -
Système d’exploitation Windows 2008 Server
Dépannage des serveurs DNS
Lors du dépannage des serveurs DNS, l'utilitaire nslookup va devenir votre meilleur ami.
Cet utilitaire est facile à utiliser. C'est un utilitaire ligne de commande qui est inclus dans Windows 2008.
Avec nslookup, vous pouvez effectuer des tests de requêtes de vos serveurs DNS.
Cette information est utile dans le dépannage des problèmes de résolution de nom et le débogage d'autres problèmes liés au serveur. Vous pouvez utiliser nslookup en ligne de commandes ou à l’aide de la console graphique (à droite de la console DNS).
Page - 10 -
