Embed Size (px)
Citation preview
1
Installation de serveurs
DNS redondants (v2.2)
Tutorial conçu et rédigé par Michel de CREVOISIER
SOURCES
DHCP in Windows Server 2008 :
http://technet.microsoft.com/en-us/network/bb643151.aspx
Mode de fonctionnement des requêtes DNS :
http://technet.microsoft.com/fr-fr/library/cc775637%28WS.10%29.aspx DNS racines et de premier niveau
http://fr.wikipedia.org/wiki/Domaine_de_premier_niveau
http://fr.wikipedia.org/wiki/Serveur_racine_du_DNS Serveur de cache
http://technet.microsoft.com/fr-fr/library/cc740129%28WS.10%29.aspx Performances DNS :
http://www.tech-faq.com/monitoring-and-troubleshooting-dns.html
http://technet.microsoft.com/en-us/library/cc778608%28WS.10%29.aspx
2
INDEX
SOURCES.................................................................................................................................................. 1
INDEX....................................................................................................................................................... 2
Préambule ............................................................................................................................................... 4
PARTIE 1 .................................................................................................................................................. 5
1. Installation de SRV-DNS-1 .............................................................................................................. 5
2. Configuration générale de SRV-DNS-1 ........................................................................................... 6
2.1 Console DNS ............................................................................................................................ 6
2.2 Modification des interfaces en écoute .................................................................................... 6
2.3 Ajout de redirecteurs / forwarders ......................................................................................... 7
2.4 Options avancées .................................................................................................................... 9
2.5 Journaux d’évènements ........................................................................................................ 10
2.6 Monitoring ............................................................................................................................. 11
2.7 Root hints / Serveurs racine .................................................................................................. 12
3. Configuration des zones sur SRV-DNS-1 ...................................................................................... 14
3.1 Création d’une zone principale ............................................................................................. 14
3.2 Création d’une zone de recherche inverse ........................................................................... 17
3.3 Modification du type d’une zone .......................................................................................... 20
3.4 Options de zone..................................................................................................................... 21
4. Installation de SRV-DNS-2 ............................................................................................................ 24
5. Configuration générale de SRV-DNS-2 ......................................................................................... 25
6. Configuration des zones sur SRV-DNS-2 ...................................................................................... 26
6.1 Création d’une zone principale secondaire ........................................................................... 26
6.2 Création d’une zone de recherche inverse secondaire ......................................................... 28
7. Transfert de zone entre SRV-DNS-1 et SRV-DNS-2 ...................................................................... 31
7.1 Ajout d’un serveur DNS supplémentaire ............................................................................... 31
7.2 Autorisation du transfert de zone ......................................................................................... 33
7.3 Vérification du bon fonctionnement de la réplication de zone ............................................ 35
8. Délégation de zone ....................................................................................................................... 36
PARTIE 2 ................................................................................................................................................ 39
1. Les zones DNS ............................................................................................................................... 39
1.1 Types de zones ...................................................................................................................... 39
3
1.2 Transfert de zone (AXFR) ....................................................................................................... 40
2. Redirecteurs / Forwarders............................................................................................................ 40
2.1 Fonctionnement .................................................................................................................... 40
2.2 Redirecteurs conditionnels .................................................................................................... 41
2.3 Choisir entre un redirecteur conditionnel ou une zone de stub ........................................... 41
3. Fonctionnement d’une requête DNS ........................................................................................... 42
3.1 Solveur local .......................................................................................................................... 42
3.2 Résolution DNS ...................................................................................................................... 42
3.3 Serveur injoignable ................................................................................................................ 43
4. Nouveautés du DNS sous Server 2008 R2 .................................................................................... 44
4.1 DNSSEC .................................................................................................................................. 44
4.2 DNS devolution ...................................................................................................................... 44
4.3 DNS cache locking ................................................................................................................. 44
4.4 DDNS socket pool .................................................................................................................. 44
Conclusion ............................................................................................................................................. 45
4
Préambule Active Directory et DNS sont les rôles vitaux dans une infrastructure Windows. Etant donné qu’Active Directory nécessite le rôle DNS pour fonctionner, il est essentiel de mettre en place une structure redondante afin de parer à toute panne du DNS. En effet, si ce dernier venait à tomber en panne, non seulement vos utilisateurs ne pourraient plus se connecter au domaine, mais ils ne pourraient plus se connecter internet. L’objectif de ce « tuto » est de mettre en place deux serveurs DNS redondants (un primaire, un secondaire) afin de faire face à une possible défaillance système ou matérielle. De cette façon, si l’un des serveurs venait à s’arrêter, vos systèmes clients continueraient à fonctionner normalement.
En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et DHCP) pour comprendre ce tutorial. Si vous ne disposez pas d’une version de Windows Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez télécharger une démo ici depuis le site officiel de Microsoft. Vous pouvez même la télécharger en VHD si vous utilisez Hyper-V ou Virtual PC. Attention, mes serveurs sont installés en anglais, donc je vous recommande d’opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil… Ce document est divisé en deux parties : la première vous expliquant comment installer vos serveurs DNS et la seconde vous expliquant le fonctionnement du DNS sous Windows. Si ce protocole vous était jusqu’à maintenant inconnu, je vous recommande de commencer par lire cette seconde partie. Pour ce tuto, j’utiliserai deux serveurs :
SRV-DNS-1: serveur Active Directory et DNS
SRV-DNS-2 : serveur DNS secondaire Notez toutefois que ce tuto présente la mise en place d’une architecture DNS redondante manuelle. En effet, lors de la promotion d’un serveur en contrôle de domaine secondaire, la réplication DNS est effectuée de façon transparente et automatique. Ce tuto convient vous permettra donc de mieux connaitre le fonctionnement interne du DNS.
5
PARTIE 1
1. Installation de SRV-DNS-1 Sur ce serveur, seuls les rôles Active Directory DNS seront installés. Avant de commencer, modifiez les paramètres TCP/IP de la façon suivante :
IP address : IP fixe
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2
Ensuite exécutez la commande « dcpromo » pour installer le rôle Contrôleur de domaine. Cette partie n’est pas détaillée ici.
6
2. Configuration générale de SRV-DNS-1 Cette partie vous permet de modifier les paramètres généraux du DNS. Elle est valable aussi bien pour le serveur primaire SRV-DN1 que pour le serveur secondaire SRV-DNS-2.
2.1 Console DNS
Pour accéder à la console, cliquez sur Démarrer > Administrative tools > DNS
Accédez ensuite aux propriétés du serveur : clic droit sur [nom_serveur] > Properties
2.2 Modification des interfaces en écoute
De la même façon que pour le DHCP, il est possible de définir sur quelles interfaces le serveur DNS va « écouter ». Pour cela :
Clic droit sur [nom_serveur] > Properties > Interfaces
7
Choisissez ensuite les IP à activer
2.3 Ajout de redirecteurs / forwarders
Si vous souhaitez plus d’informations sur les redirecteurs, consultez le point 2 de la Partie
2. Pour ajouter/modifier un redirecteur :
Clic droit sur [nom_serveur] > Properties > Forwarders
8
Cliquez ensuite sur Edit pour les modifier
9
Note : le temps d’attente avant l’expiration de la demande est de 3 secondes. Après quoi, le serveur interrogera le « forwarders » suivant
2.4 Options avancées Cet aparté vous permet de configurer certaines options avancées du serveur DNS. Pour les modifier :
Clic droit sur [nom_serveur] > Properties > Advanced
2.4.1 Server options
Disable recursion : active/désactive l’envoi de mises à jour récursives depuis le serveur. Si ce dernier n’est pas programmé pour envoyer ce type de requête, cochez la case afin d’éviter que des pirates lancent sur ce serveur une attaque de type « Deny of Service »
BIND secondaries : cette option permet d’accélérer le transfert de zone entre un serveur DNS Windows et un serveur DNS Bind. Concrètement, cette méthode active la compression de données en incluant plusieurs enregistrements RR dans un seul message. Si vous n’utilisez pas une version de Bind inférieure ou égale à la version 4.9.4, il est recommandé de décocher cette case (option par défaut)
Fail on load if bad zone data : en cochant cette case, vous empêchez le chargement d’un fichier de zone corrompu
Enable round robin : le round robin est un mécanisme permettant d’alterner différentes IP pour un même nom. Cela permet de répartir la charge sur différents serveurs DNS. En cochant cette option, vous activez ce mécanisme
10
Enable mask ordering : dans le cas où plusieurs entrées DNS existent pour une hôte, il est possible de privilégier les adresses du même réseau que le client. En d’autres termes, cela dirige le client vers la machine la plus proche. En cochant cette case, vous activez ce mécanisme
Secure cache against pollution : cette option permet d’éviter qu’un attaquant pollue le cache DNS avec des enregistrements non demandés par le serveur. En activant cette case, vous protégez votre serveur contre ce type d’attaque
Redémarrez le service DNS pour prendre en compte les modifications
2.4.2 Name checking Strict RFC (ANSI) : This method strictly enforces Request for Comments (RFC)–compliant naming rules for all Domain Name System (DNS) names that the server processes. Names that are not RFC compliant are treated as erred data by the DNS server Non RFC (ANSI) : This method allows names that are not RFC compliant, such as names that use American Standard Code for Information Interchange (ASCII) characters but are not compliant with RFC host naming requirements, to be used with the DNS server Multibyte (UTF8) : This method allows names that use the Unicode 8-bit translation encoding scheme, which is a proposed RFC draft, to be used with the DNS server
2.4.3 Chargement des zones Par défaut le serveur DNS utilise les informations stockées dans le registre pour s’initialiser et charger ses zones. Mais il est tout à fait possible de définir à partir de quelle source le serveur DNS chargera ses informations. Vous avez donc la possibilité d’initialiser le DNS depuis :
Un fichier
Le registre
Active Directory et registre (option par défaut)
2.4.4 Nettoyage automatique / Automatic scavenging Le nettoyage des entrées supprime les enregistrements périmés, permettant ainsi d’optimiser les performances du DNS. Un nettoyage chaque semaine est idéal.
2.5 Journaux d’évènements Vous pouvez ici déterminer les informations que votre serveur va sauvegarder dans les journaux d’évènements.
11
Vous pouvez ensuite consulter les logs via la console Event viewer . A partir de celle-ci il vous sera possible de visualiser tout évènement en relation avec le DNS grâce au filtre prédéfinit.
2.6 Monitoring
Vous pouvez ici tester différents type de requêtes afin de vérifier le bon fonctionnement de votre serveur. Pour lancer un test, choisissez le type de requête et cliquez sur Test now
12
2.7 Root hints / Serveurs racine
Les serveurs racines sont interrogés uniquement lorsqu’aucun forwarder/redirecteur ne répond ou n’a été paramétré sur votre serveur. Pour information, ils en existent 13 dans le monde (10 aux USA, 1 à Amsterdam, 1 à Stockholm et 1 un Tokyo) numérotés de A à M. Il ne peut pas en avoir plus étant donné la limitation de 512 octets liée au protocole DNS basé sur UDP. Par ailleurs, si une réponse DNS dépasse cette limite, elle doit être implantée au sein d’une trame TCP. Hors la grande majorité des pare-feu bloquent les trames « DNS over TCP » pour des raisons de sécurité. Ci-dessous un extrait de la liste des serveurs racines. Vous pouvez à tout moment l’éditer ou l’importer depuis un serveur.
13
14
3. Configuration des zones sur SRV-DNS-1
Avant de configurer vos zones, je vous conseille de lire le point 1 de la Partie 2 afin de
prendre connaissance des différents types de zones.
3.1 Création d’une zone principale Avant tout, sachez que si vous installez le rôle de contrôleur de domaine sur votre serveur, le rôle DNS sera implicitement ajouté et une zone principale sera automatiquement créée. Dans tous les cas, voici comment créer ce type de zone :
Clic droit sur Forward Lookup Zones > New zone
L’assistant suivant se lance :
Choisissez ensuite Primary zone
15
Choisissez ensuite le type de réplication souhaité
Saisissez ensuite le nom de zone souhaité (il s’agit du nom de votre domaine)
16
On autorise uniquement les mises à jour sécurisées
La création de votre zone principale est terminée. Vous pouvez la consulter en
déroulant les icônes [nom_serveur] > Forward lookup zones > [nom_zone]
17
3.2 Création d’une zone de recherche inverse
Pour créer une zone de recherche inverse, suivez ensuite les instructions ci-dessous :
Clic droit sur Reverse Lookup Zones > New zone
L’assistant suivant se lance :
18
Choisissez ensuite Primary zone
Choisissez ensuite le type de réplication souhaité
19
Choisissez l’option IPv4
Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectuée
20
La création de votre zone de recherche inverse est terminée. Vous pouvez la
consulter en déroulant les icônes [nom_serveur] > Reverse lookup zones > [nom_zone]
3.3 Modification du type d’une zone Si vous souhaitez modifier le type d’une zone existante, suivez comme suit :
Clic droit sur [nom_zone] > Properties > General > Type => Change
La fenêtre suivante s’ouvre :
21
Choisissez le type de zone souhaité, validez puis redémarrez le service DNS
3.4 Options de zone Si vous souhaitez modifier certains paramètres propres à une zone, suivez comme suit :
Clic droit sur [nom_zone] > Properties > Start of Authority (SOA)
22
3.4.1 Serial number
Ce numéro indique la version la zone en question. Il est incrémenté lors d’une mise à jour dynamique (Refresh interval) ou par action de l’administrateur (bouton Increment).
3.4.2 Primary server Il indique le serveur primaire pour la zone en question. Ce serveur est appelé « serveur SOA » car il fait autorité sur toute la zone.
3.4.3 Responsible person Indiquez ici le mail du responsable pour le rôle DNS. Attention le point après hostmaster correspondant au sigle « @ ». Lisez donc : « [email protected] ».
3.4.4 Durée de zone
Refresh interval : temps d’attente que le serveur secondaire attend avant de renouveler sa zone. Lors de la mise à jour, ce dernier compare les numéros de version de zone et constate s’il est nécessaire ou non d’actualiser sa zone
Retry interval : temps d’attente après un échec avant que le serveur secondaire ne retente une mise à jour
23
Expires after : temps après lequel le serveur secondaire arrête de répondre aux requêtes, du fait qu’il n’est pas pu actualiser sa zone
Minimum TTL : durée de vie d’une zone
24
4. Installation de SRV-DNS-2 Sur ce serveur, seul le rôle DNS sera installé. Avant de commencer, modifiez les paramètres TCP/IP de la façon suivante :
IP address : IP fixe située dans le même réseau que SRV-DNS-1
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2 Ensuite, joignez ce serveur au domaine créé par SRV-DNS-1 et suivez comme suit :
Pour ajouter le rôle DNS, cliquez sur le « Gestionnaire de serveur »
Add roles (à droite)
Cochez la case DNS Server puis Next
25
Voilà, votre serveur DNS secondaire est installé, il ne reste plus qu’à le configurer
5. Configuration générale de SRV-DNS-2 En ce qui concerne la configuration générale de SRV-DNS-2, elle identique à celle de SRV-
DNS-1. Reprenez donc le point 2 de la Partie 1 pour plus d’informations.
26
6. Configuration des zones sur SRV-DNS-2
6.1 Création d’une zone principale secondaire
Clic droit sur Forward Lookup Zones > New zone
L’assistant suivant se lance :
Choisissez ensuite Secondary zone
27
Indiquez ensuite le nom de votre zone :
Renseignez ensuite l’IP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorité…). Cela est tout à fait normal
28
Voilà, votre zone secondaire est prête
6.2 Création d’une zone de recherche inverse secondaire Pour créer une zone de recherche inverse secondaire, suivez ensuite les instructions ci-dessous :
Clic droit sur Reverse Lookup Zones > New zone
L’assistant suivant se lance :
29
Choisissez ensuite Secondary zone
Choisissez l’option IPv4
30
Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectuée
Renseignez ensuite l’IP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorité…). Cela est tout à fait normal
31
La création de votre zone de recherche inverse est terminée. Vous pouvez la
consulter en déroulant les icônes [nom_serveur] > Reverse lookup zones > [nom_zone]
7. Transfert de zone entre SRV-DNS-1 et SRV-DNS-2 Maintenant que vos deux serveurs sont prêts, nous allons les configurer pour que SRV-DNS-1 copie les informations de ses zones vers SRV-DNS-2. Vous pouvez obtenir un complément
d’information sur le transfert de zone au point 1.2 de la Partie 2.
7.1 Ajout d’un serveur DNS supplémentaire Pour commencer, vous devez ajouter le serveur SRV-DNS-2 parmi les serveurs DNS autorisés dans le domaine : ZONE PRIMAIRE sur SRV-DNS-1
Clic droit sur Forward Lookup Zone > [nom_zone] > Properties > Name Servers
La fenêtre ci-dessous apparaît. Cliquez alors sur Add
32
Saisissez le FQDN de votre serveur DNS secondaire SRV-DNS-2 puis Resolve
33
Si la résolution fonctionne, une icône verte apparait à gauche. Cliquez alors sur Ok ZONE SECONDAIRE sur SRV-DNS-1
Clic droit sur Reverse Lookup Zone > [nom_zone] > Properties > Name Servers
Procédez de la même façon que l’étape précédente
7.2 Autorisation du transfert de zone Avant l’étape qui suit, voici la configuration que vous devriez avoir sur vos serveurs DNS :
Serveur DNS principal : SRV-DNS-1 : o Rôle Active Directory o Rôle DNS :
Zone principale Zone de recherche inverse
Serveur DNS secondaire : SRV-DNS-2 : o Rôle DNS :
Zone secondaire Zone de recherche inverse
Vous devez maintenant autoriser votre serveur principal à copier ses zones vers le serveur DNS secondaire : Transfert de la ZONE PRIMAIRE vers SRV-DNS-2
Depuis SRV-DNS-1, clic droit sur Forward Lookup Zone > [nom_zone] > Properties > Zone transfers
La fenêtre ci-dessous apparaît. Cochez la case Allow zone transferts
34
Cliquez ensuite sur Notify (plus de détails concernant cette option au point 1.2 de la
Partie 2)
La fenêtre ci-dessous apparaît. Cochez la case et choisissez l’option Servers listed on the Name Servers tab
35
Transfert de la ZONE SECONDAIRE vers SRV-DNS-2
Depuis SRV-DNS-1, clic droit sur Reverse Lookup Zone > [nom_zone] > Properties > Zone transfers
Procédez de la même façon que l’étape précédente Dorénavant les mises à jours sont envoyées vers tous les serveurs DNS inscrits dans l’onglet « Name server » de la zone en question
7.3 Vérification du bon fonctionnement de la réplication de zone Depuis votre serveur DNS secondaire, vous devriez voir apparaître au bout de quelques minutes l’ensemble des enregistrements de votre serveur principal. Pour vérifier que votre transfert est effectif, consultez la présence de l’évènement ci-dessous dans vos logs DNS :
36
8. Délégation de zone La délégation de zone permet de diviser l’espace de nom afin de :
Déléguer la gestion d’une partie de votre espace DNS
Répartir le trafic sur différentes zones
Etendre un domaine afin, par exemple, d’incorporer une nouvelle entité Supposons que vous disposez d’un domaine nommé exemple.com et que vous souhaitez séparer cet espace afin d’en déléguer la gestion à vos deux filiales. Vous devrez donc créer deux « sous-domaines » nommés :
filiale1.exemple.com
filiale2.exemple.com Pour cela :
Clic droit sur [nom_zone] > New delegation
L’assistant suivant se lance :
37
Saisissez ensuite le nom de la zone à déléguer, en l’occurrence filiale1.exemple.com
Indiquez ensuite le FQDN du serveur DNS auquel vous souhaitez déléguer la gestion
38
La délégation de zone est maintenant achevée
39
PARTIE 2
1. Les zones DNS
1.1 Types de zones
1.1.1 Zone principale Une zone principale enregistre toutes les informations de zone dans un fichier sur le serveur local. Elle permet de résoudre un nom d’hôte en IP à partir des enregistrements de type A, CNAME, … Avec ou sans domaine, une zone principale est indispensable. Astuce : Pour vérifier que votre zone fonctionne correctement, exécutez la commande Ping [nom_hôte]. Si votre DNS est correctement configuré, la commande vous retourne l’IP de l’hôte en question.
1.1.2 Zone secondaire Une zone secondaire est une copie en lecture seule de la zone principale. Le serveur hébergeant cette zone ne peut mettre à jour aucun enregistrement.
1.1.3 Zone de stub Une zone de stub est quasiment identique à une zone secondaire, sauf qu’elle ne copie que les enregistrements suivants :
SOA
NS pour les serveurs de nom faisant autorité sur la zone
A pour les serveurs de nom faisant autorité sur la zone Une zone de stub permet de réduire le trafic lors des mises à jour entre les différents serveurs DNS d’un domaine.
1.1.4 Zone intégrée à Active Directory Par défaut, les enregistrements des zones DNS sont enregistrés dans des fichiers (même principe que sous Linux). Cela dit, il est avantageux de stocker vos zones DNS dans votre annuaire Active Directory pour les raisons suivantes :
Vos zones sont dupliquées sur tous vos contrôleurs de domaines
Même en cas de défaillance d’un de vos serveurs, la résolution DNS continue de fonctionner
Les transactions DNS entre serveurs sont sécurisées grâce au mécanisme de réplication Active Directory
Seuls les postes membres de votre domaine peuvent mettre à jour les enregistrements A et PTR
40
Pour intégrer une zone dans Active Directory :
Clic droit sur [nom_zone] > Properties > General > Type : change
Cochez ensuite la case ci-dessous :
1.1.5 Zone de recherche inverse
Une zone de recherche inverse permet, contrairement à une zone principale, d’obtenir le nom d’hôte à partir d’une IP. Elle n’est pas indispensable dans un réseau mais sa mise en place est plus que recommandée. Astuce : Pour vérifier que votre zone fonctionne correctement, exécutez la commande Ping –a [IP_hôte]. Si votre DNS est correctement configuré, la commande vous retourne le nom de l’hôte en question.
1.2 Transfert de zone (AXFR)
1.2.1 Fonctionnement
Comme vous avez pu le constater au point 7.2 de la Partie 1, le transfert de zone permet
de copier une zone vers un autre serveur. Un transfert de zone se déroule de la façon suivante :
1. Le serveur esclave vérifie si son numéro de série est identique à celui du serveur maître (SOA)
2. Si le numéro de version est plus récent, une demande de mise à jour est réalisée 3. Le transfert commence avec une requête DNS over TCP ou UDP 4. Le serveur maître répond ensuite avec plusieurs messages contenant des
enregistrements de type RRdata Il existe deux types de méthode de transfert :
AXFR : transfert de zone complet
IXFR : transfert de zone incrémental Plus de détails sur Wikipédia ici.
1.2.2 Notifications Originairement, le transfert de zone est à l’initiative du serveur esclave. Cependant, vous pouvez « forcer » le serveur principal à envoyer une notification à ses serveurs afin de déclencher périodiquement le transfert.
2. Redirecteurs / Forwarders
2.1 Fonctionnement
41
Dans le cas où une requête ne peut être résolue par un serveur DNS, ce dernier va la transférer vers un de ses redirecteurs. Un redirecteur est un serveur du réseau qui relaie les requêtes non résolues pour une résolution extérieure. En règle générale, il convient de renseigner les redirecteurs avec les DNS de votre FAI (Fournisseur d’Accès à Internet).
2.2 Redirecteurs conditionnels Un redirecteur conditionnel est redirecteur pour un domaine en particulier. Il permet d’accélérer la résolution de nom sans passer par la hiérarchie DNS existante. Plus de détails ici. Pour rajouter un redirecteur conditionnel :
Depuis la console DNS, allez dans [nom_serveur] > Conditional Forwarders
Clic droit > New Conditional Forwarders
La fenêtre suivante apparaît :
Saisissez alors le serveur DNS vers lequel vous souhaitez rediriger directement (et
donc plus rapidement) les requêtes DND
2.3 Choisir entre un redirecteur conditionnel ou une zone de stub Si vous hésitez entre la mise en place d’un redirecteur conditionnel ou une zone de stub, je vous invite à lire cet article très détaillé, qui j’espère pourra vous guider dans votre choix.
42
3. Fonctionnement d’une requête DNS Une requête DNS issue d’un client est divisée en deux étapes : une traitée localement et une autre envoyée au serveur.
3.1 Solveur local Pour commencer, le client va transmettre une requête au solveur local. Ce dernier va rechercher dans son cache s’il n’existe pas un mappage IP / nom issue d’une résolution précédente. Le solveur local effectue également une recherche dans le fichier hosts situé dans C:\system32\drivers\etc. Cela dit, le contenu de ce fichier est pré-chargé dans le cache DNS. Il n’y a donc pas d’accès « direct » en lecture vers ce fichier lors d’une recherche locale, si ce n’est au lancement du service « Client DNS ». Notez qu’il existe 2 types de cache :
Cache système : contient les enregistrements issus des réponses des serveurs DNS
Cache négatif : contient les enregistrements des ressources n’existant plus Pour afficher le cache DNS, ouvrez une fenêtre CMD et tapez : ipconfig /displaydns. Ci-dessous un extrait du cache après un ping sur google.fr (extrait).
Pour vider le cache DNS, ouvrez une fenêtre CMD et tapez : ipconfig /flushdns
3.2 Résolution DNS
3.2.1 Type de requête Il existe deux types de requêtes DNS :
Récursive : interroge d’autres serveurs DNS car le serveur ne peut pas résoudre la requête
Itérative : réponse uniquement à partir du cache local
3.2.2 Résolution côté serveur Si le solveur local ne peut pas résoudre la requête, le client va alors interroger le serveur DNS. Ce dernier va tout d’abord vérifier s’il peut répondre en faisant autorité à partir des
43
informations de son cache ou des informations de zone. Si une correspondance est trouvée, les informations sont envoyées et la requête prend fin. Si la requête ne peut être résolue par le serveur, un processus de récursivité est lancé visant à interroger d’autres serveurs appelés communément serveurs racines. Ces derniers peuvent alors retourner différentes réponses :
Réponse faisant autorité : réponse positive indiquant que la réponse a été obtenue auprès d'un serveur membre du domaine de recherche auquel le client est connecté
Réponse positive : réponse ne pouvant pas comprendre l'enregistrement de ressource interrogé ou une liste d'enregistrements de ressources (RRset)
Réponse de référence : contient des enregistrements de ressources supplémentaires. Ce type de réponse est renvoyé au client si le processus de récursivité n'est pas pris en charge, afin que ces enregistrements puissent être utilisés par le client pour poursuivre sa requête
Réponse négative : envoyée par le serveur pour signaler que : o L’objet de la requête n’existe plus o Le nom demandé existe, mais aucun enregistrement n’y est associé
3.3 Serveur injoignable Dans le cas où le serveur principal ne répond pas, le client va contacter le second serveur DNS. Si ce dernier ne répond pas, il va considérer qu’il ne s’agit pas d’un nom d’hôte sinon d’un nom NetBIOS. Cela se traduit par de nouvelles étapes :
o Vérification de la présence de l’IP dans le cache NetBIOS o Envoie d’une requête au serveur WINS o Recherche du client sur tout le réseau via une trame de diffusion (broadcast) o Recherche d’une entrée dans le fichier C:\system32\drivers\etc\lmhosts
44
4. Nouveautés du DNS sous Server 2008 R2
4.1 DNSSEC
DNSSEC est une extension disponible depuis Server 2008 R2 et Windows Seven permettant d’accroître la sécurité du protocole DNS sous Windows. Concrètement, DNSSEC permet de signer toutes les zones via un tunnel IPsec créé entre chaque serveur DNS. De cette façon lorsqu’un serveur reçoit une requête, il va authentifier la source via un système de clefs publiques et privées. Pour fonctionner, DNSSEC utilise ces nouveaux types d’enregistrements :
DNSKEY
RRSIG
NSEC
DS
ZSK : Zone Signing Key
KSK : Key Signing Key Ci-dessous, un schéma résumant le fonctionnement de l’extension DNSSEC :
4.2 DNS devolution
http://technet.microsoft.com/en-us/library/ee683928%28WS.10%29.aspx
4.3 DNS cache locking http://technet.microsoft.com/en-us/library/ee683892%28WS.10%29.aspx
4.4 DDNS socket pool http://technet.microsoft.com/en-us/library/ee683907%28WS.10%29.aspx
45
Conclusion A partir de ce tuto, il vous est dorénavant possible de mettre en place une structure DNS redondante. Toutefois sachez que le serveur secondaire ne peut modifier ces zones, d’où l’importance du serveur primaire. Pensez également à ajouter les deux adresses de vos serveurs DNS dans les paramètres distribués par votre serveur DHCP. Par ailleurs, je vous invite à lire mon article « Serveur DHCP sécurisé » que vous trouverez également sur Scribd.
N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : michel_de A-R-0-B-A-5 hotmail . com
Soyez-en d’ores et déjà remercié
