Vous êtes sur la page 1sur 45

Installation de serveurs

DNS redondants
(v2.2)

Tutorial conu et rdig par Michel de CREVOISIER

SOURCES
DHCP in Windows Server 2008 :

http://technet.microsoft.com/en-us/network/bb643151.aspx

Mode de fonctionnement des requtes DNS :


http://technet.microsoft.com/fr-fr/library/cc775637%28WS.10%29.aspx
DNS racines et de premier niveau
http://fr.wikipedia.org/wiki/Domaine_de_premier_niveau
http://fr.wikipedia.org/wiki/Serveur_racine_du_DNS
Serveur de cache
http://technet.microsoft.com/fr-fr/library/cc740129%28WS.10%29.aspx
Performances DNS :
http://www.tech-faq.com/monitoring-and-troubleshooting-dns.html
http://technet.microsoft.com/en-us/library/cc778608%28WS.10%29.aspx

INDEX
SOURCES.................................................................................................................................................. 1
INDEX....................................................................................................................................................... 2
Prambule ............................................................................................................................................... 4
PARTIE 1 .................................................................................................................................................. 5
1.

Installation de SRV-DNS-1 .............................................................................................................. 5

2.

Configuration gnrale de SRV-DNS-1 ........................................................................................... 6

3.

2.1

Console DNS ............................................................................................................................ 6

2.2

Modification des interfaces en coute .................................................................................... 6

2.3

Ajout de redirecteurs / forwarders ......................................................................................... 7

2.4

Options avances .................................................................................................................... 9

2.5

Journaux dvnements ........................................................................................................ 10

2.6

Monitoring ............................................................................................................................. 11

2.7

Root hints / Serveurs racine .................................................................................................. 12

Configuration des zones sur SRV-DNS-1 ...................................................................................... 14


3.1

Cration dune zone principale ............................................................................................. 14

3.2

Cration dune zone de recherche inverse ........................................................................... 17

3.3

Modification du type dune zone .......................................................................................... 20

3.4

Options de zone..................................................................................................................... 21

4.

Installation de SRV-DNS-2 ............................................................................................................ 24

5.

Configuration gnrale de SRV-DNS-2 ......................................................................................... 25

6.

Configuration des zones sur SRV-DNS-2 ...................................................................................... 26

7.

8.

6.1

Cration dune zone principale secondaire ........................................................................... 26

6.2

Cration dune zone de recherche inverse secondaire ......................................................... 28

Transfert de zone entre SRV-DNS-1 et SRV-DNS-2 ...................................................................... 31


7.1

Ajout dun serveur DNS supplmentaire ............................................................................... 31

7.2

Autorisation du transfert de zone ......................................................................................... 33

7.3

Vrification du bon fonctionnement de la rplication de zone ............................................ 35

Dlgation de zone ....................................................................................................................... 36

PARTIE 2 ................................................................................................................................................ 39
1.

Les zones DNS ............................................................................................................................... 39


1.1

Types de zones ...................................................................................................................... 39


2

1.2
2.

3.

4.

Transfert de zone (AXFR) ....................................................................................................... 40

Redirecteurs / Forwarders............................................................................................................ 40
2.1

Fonctionnement .................................................................................................................... 40

2.2

Redirecteurs conditionnels.................................................................................................... 41

2.3

Choisir entre un redirecteur conditionnel ou une zone de stub ........................................... 41

Fonctionnement dune requte DNS ........................................................................................... 42


3.1

Solveur local .......................................................................................................................... 42

3.2

Rsolution DNS ...................................................................................................................... 42

3.3

Serveur injoignable ................................................................................................................ 43

Nouveauts du DNS sous Server 2008 R2 .................................................................................... 44


4.1

DNSSEC .................................................................................................................................. 44

4.2

DNS devolution ...................................................................................................................... 44

4.3

DNS cache locking ................................................................................................................. 44

4.4

DDNS socket pool .................................................................................................................. 44

Conclusion ............................................................................................................................................. 45

Prambule
Active Directory et DNS sont les rles vitaux dans une infrastructure Windows. Etant donn
quActive Directory ncessite le rle DNS pour fonctionner, il est essentiel de mettre en
place une structure redondante afin de parer toute panne du DNS. En effet, si ce dernier
venait tomber en panne, non seulement vos utilisateurs ne pourraient plus se connecter
au domaine, mais ils ne pourraient plus se connecter internet.
Lobjectif de ce tuto est de mettre en place deux serveurs DNS redondants (un primaire,
un secondaire) afin de faire face une possible dfaillance systme ou matrielle. De cette
faon, si lun des serveurs venait sarrter, vos systmes clients continueraient
fonctionner normalement.
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et
DHCP) pour comprendre ce tutorial. Si vous ne disposez pas dune version de Windows
Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis
le site officiel de Microsoft. Vous pouvez mme la tlcharger en VHD si vous utilisez HyperV ou Virtual PC. Attention, mes serveurs sont installs en anglais, donc je vous recommande
dopter pour cette langue lors de votre tlchargement ou bien de tlcharger le pack
multilingue en anglais ici pour ne pas perdre le fil
Ce document est divis en deux parties : la premire vous expliquant comment installer vos
serveurs DNS et la seconde vous expliquant le fonctionnement du DNS sous Windows. Si ce
protocole vous tait jusqu maintenant inconnu, je vous recommande de commencer par
lire cette seconde partie.
Pour ce tuto, jutiliserai deux serveurs :
SRV-DNS-1: serveur Active Directory et DNS
SRV-DNS-2 : serveur DNS secondaire
Notez toutefois que ce tuto prsente la mise en place dune architecture DNS redondante
manuelle. En effet, lors de la promotion dun serveur en contrle de domaine secondaire, la
rplication DNS est effectue de faon transparente et automatique. Ce tuto convient vous
permettra donc de mieux connaitre le fonctionnement interne du DNS.

PARTIE 1
1. Installation de SRV-DNS-1
Sur ce serveur, seuls les rles Active Directory DNS seront installs. Avant de commencer,
modifiez les paramtres TCP/IP de la faon suivante :
IP address : IP fixe
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2
Ensuite excutez la commande dcpromo pour installer le rle Contrleur de domaine.
Cette partie nest pas dtaille ici.

2. Configuration gnrale de SRV-DNS-1


Cette partie vous permet de modifier les paramtres gnraux du DNS. Elle est valable aussi
bien pour le serveur primaire SRV-DN1 que pour le serveur secondaire SRV-DNS-2.

2.1 Console DNS

Pour accder la console, cliquez sur Dmarrer > Administrative tools > DNS

Accdez ensuite aux proprits du serveur : clic droit sur [nom_serveur] > Properties

2.2 Modification des interfaces en coute


De la mme faon que pour le DHCP, il est possible de dfinir sur quelles interfaces le
serveur DNS va couter . Pour cela :
Clic droit sur [nom_serveur] > Properties > Interfaces
6

Choisissez ensuite les IP activer

2.3 Ajout de redirecteurs / forwarders


Si vous souhaitez plus dinformations sur les redirecteurs, consultez le point
2.

2 de la Partie

Pour ajouter/modifier un redirecteur :


Clic droit sur [nom_serveur] > Properties > Forwarders

Cliquez ensuite sur Edit pour les modifier

Note : le temps dattente avant lexpiration de la demande est de 3 secondes. Aprs quoi, le
serveur interrogera le forwarders suivant

2.4 Options avances


Cet apart vous permet de configurer certaines options avances du serveur DNS. Pour les
modifier :
Clic droit sur [nom_serveur] > Properties > Advanced

2.4.1 Server options

Disable recursion : active/dsactive lenvoi de mises jour rcursives depuis le


serveur. Si ce dernier nest pas programm pour envoyer ce type de requte, cochez
la case afin dviter que des pirates lancent sur ce serveur une attaque de type
Deny of Service
BIND secondaries : cette option permet dacclrer le transfert de zone entre un
serveur DNS Windows et un serveur DNS Bind. Concrtement, cette mthode active
la compression de donnes en incluant plusieurs enregistrements RR dans un seul
message. Si vous nutilisez pas une version de Bind infrieure ou gale la version
4.9.4, il est recommand de dcocher cette case (option par dfaut)
Fail on load if bad zone data : en cochant cette case, vous empchez le chargement
dun fichier de zone corrompu
Enable round robin : le round robin est un mcanisme permettant dalterner
diffrentes IP pour un mme nom. Cela permet de rpartir la charge sur diffrents
serveurs DNS. En cochant cette option, vous activez ce mcanisme
9

Enable mask ordering : dans le cas o plusieurs entres DNS existent pour une hte,
il est possible de privilgier les adresses du mme rseau que le client. En dautres
termes, cela dirige le client vers la machine la plus proche. En cochant cette case,
vous activez ce mcanisme
Secure cache against pollution : cette option permet dviter quun attaquant pollue
le cache DNS avec des enregistrements non demands par le serveur. En activant
cette case, vous protgez votre serveur contre ce type dattaque

Redmarrez le service DNS pour prendre en compte les modifications

2.4.2 Name checking


Strict RFC (ANSI) :
This method strictly enforces Request for Comments (RFC)compliant naming rules for all
Domain Name System (DNS) names that the server processes. Names that are not RFC
compliant are treated as erred data by the DNS server
Non RFC (ANSI) : This method allows names that are not RFC compliant, such as names that
use American Standard Code for Information Interchange (ASCII) characters but are not
compliant with RFC host naming requirements, to be used with the DNS server
Multibyte (UTF8) : This method allows names that use the Unicode 8-bit translation
encoding scheme, which is a proposed RFC draft, to be used with the DNS server

2.4.3 Chargement des zones


Par dfaut le serveur DNS utilise les informations stockes dans le registre pour sinitialiser
et charger ses zones.
Mais il est tout fait possible de dfinir partir de quelle source le serveur DNS chargera ses
informations. Vous avez donc la possibilit dinitialiser le DNS depuis :
Un fichier
Le registre
Active Directory et registre (option par dfaut)

2.4.4 Nettoyage automatique / Automatic scavenging


Le nettoyage des entres supprime les enregistrements prims, permettant ainsi
doptimiser les performances du DNS. Un nettoyage chaque semaine est idal.

2.5 Journaux dvnements


Vous pouvez ici dterminer les informations que votre serveur va sauvegarder dans les
journaux dvnements.

10

Vous pouvez ensuite consulter les logs via la console Event viewer
. A partir de celle-ci
il vous sera possible de visualiser tout vnement en relation avec le DNS grce au filtre
prdfinit.

2.6 Monitoring
Vous pouvez ici tester diffrents type de requtes afin de vrifier le bon fonctionnement de
votre serveur. Pour lancer un test, choisissez le type de requte et cliquez sur Test now
11

2.7 Root hints / Serveurs racine


Les serveurs racines sont interrogs uniquement lorsquaucun forwarder/redirecteur ne
rpond ou na t paramtr sur votre serveur.
Pour information, ils en existent 13 dans le monde (10 aux USA, 1 Amsterdam, 1
Stockholm et 1 un Tokyo) numrots de A M. Il ne peut pas en avoir plus tant donn la
limitation de 512 octets lie au protocole DNS bas sur UDP. Par ailleurs, si une rponse DNS
dpasse cette limite, elle doit tre implante au sein dune trame TCP. Hors la grande
majorit des pare-feu bloquent les trames DNS over TCP pour des raisons de scurit.
Ci-dessous un extrait de la liste des serveurs racines. Vous pouvez tout moment lditer ou
limporter depuis un serveur.

12

13

3. Configuration des zones sur SRV-DNS-1


Avant de configurer vos zones, je vous conseille de lire le
prendre connaissance des diffrents types de zones.

3.1

point 1 de la Partie 2 afin de

Cration dune zone principale

Avant tout, sachez que si vous installez le rle de contrleur de domaine sur votre serveur, le
rle DNS sera implicitement ajout et une zone principale sera automatiquement cre.
Dans tous les cas, voici comment crer ce type de zone :

Clic droit sur Forward Lookup Zones > New zone


Lassistant suivant se lance :

Choisissez ensuite Primary zone

14

Choisissez ensuite le type de rplication souhait

Saisissez ensuite le nom de zone souhait (il sagit du nom de votre domaine)

15

On autorise uniquement les mises jour scurises

La cration de votre zone principale est termine. Vous pouvez la consulter en


droulant les icnes [nom_serveur] > Forward lookup zones > [nom_zone]

16

3.2 Cration dune zone de recherche inverse


Pour crer une zone de recherche inverse, suivez ensuite les instructions ci-dessous :

Clic droit sur Reverse Lookup Zones > New zone


Lassistant suivant se lance :

17

Choisissez ensuite Primary zone

Choisissez ensuite le type de rplication souhait

18

Choisissez loption IPv4

Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectue

19

La cration de votre zone de recherche inverse est termine. Vous pouvez la


consulter en droulant les icnes [nom_serveur] > Reverse lookup zones >
[nom_zone]

3.3 Modification du type dune zone


Si vous souhaitez modifier le type dune zone existante, suivez comme suit :
Clic droit sur [nom_zone] > Properties > General > Type => Change

La fentre suivante souvre :

20

Choisissez le type de zone souhait, validez puis redmarrez le service DNS

3.4 Options de zone


Si vous souhaitez modifier certains paramtres propres une zone, suivez comme suit :
Clic droit sur [nom_zone] > Properties > Start of Authority (SOA)

21

3.4.1 Serial number


Ce numro indique la version la zone en question. Il est incrment lors dune mise jour
dynamique (Refresh interval) ou par action de ladministrateur (bouton Increment).

3.4.2 Primary server


Il indique le serveur primaire pour la zone en question. Ce serveur est appel serveur
SOA car il fait autorit sur toute la zone.

3.4.3 Responsible person


Indiquez ici le mail du responsable pour le rle DNS. Attention le point aprs hostmaster
correspondant au sigle @ . Lisez donc : hostmaster@votre-zone.com .

3.4.4 Dure de zone

Refresh interval : temps dattente que le serveur secondaire attend avant de


renouveler sa zone. Lors de la mise jour, ce dernier compare les numros de
version de zone et constate sil est ncessaire ou non dactualiser sa zone
Retry interval : temps dattente aprs un chec avant que le serveur secondaire ne
retente une mise jour
22

Expires after : temps aprs lequel le serveur secondaire arrte de rpondre aux
requtes, du fait quil nest pas pu actualiser sa zone
Minimum TTL : dure de vie dune zone

23

4. Installation de SRV-DNS-2
Sur ce serveur, seul le rle DNS sera install. Avant de commencer, modifiez les paramtres
TCP/IP de la faon suivante :
IP address : IP fixe situe dans le mme rseau que SRV-DNS-1
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2
Ensuite, joignez ce serveur au domaine cr par SRV-DNS-1 et suivez comme suit :

Pour ajouter le rle DNS, cliquez sur le Gestionnaire de serveur


Add roles ( droite)

Cochez la case DNS Server puis Next

24

Voil, votre serveur DNS secondaire est install, il ne reste plus qu le configurer

5. Configuration gnrale de SRV-DNS-2


En ce qui concerne la configuration gnrale de SRV-DNS-2, elle identique celle de SRVDNS-1. Reprenez donc le point

2 de la Partie 1 pour plus dinformations.

25

6. Configuration des zones sur SRV-DNS-2


6.1 Cration dune zone principale secondaire

Clic droit sur Forward Lookup Zones > New zone


Lassistant suivant se lance :

Choisissez ensuite Secondary zone

26

Indiquez ensuite le nom de votre zone :

Renseignez ensuite lIP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorit). Cela est tout fait normal
27

Voil, votre zone secondaire est prte

6.2 Cration dune zone de recherche inverse secondaire


Pour crer une zone de recherche inverse secondaire, suivez ensuite les instructions cidessous :

Clic droit sur Reverse Lookup Zones > New zone


Lassistant suivant se lance :

28

Choisissez ensuite Secondary zone

Choisissez loption IPv4

29

Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectue

Renseignez ensuite lIP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorit). Cela est tout fait normal

30

La cration de votre zone de recherche inverse est termine. Vous pouvez la


consulter en droulant les icnes [nom_serveur] > Reverse lookup zones >
[nom_zone]

7. Transfert de zone entre SRV-DNS-1 et SRV-DNS-2


Maintenant que vos deux serveurs sont prts, nous allons les configurer pour que SRV-DNS-1
copie les informations de ses zones vers SRV-DNS-2. Vous pouvez obtenir un complment
dinformation sur le transfert de zone au point 1.2 de la Partie 2.

7.1 Ajout dun serveur DNS supplmentaire


Pour commencer, vous devez ajouter le serveur SRV-DNS-2 parmi les serveurs DNS autoriss
dans le domaine :
ZONE PRIMAIRE sur SRV-DNS-1
Clic droit sur Forward Lookup Zone > [nom_zone] > Properties > Name Servers
La fentre ci-dessous apparat. Cliquez alors sur Add

31

Saisissez le FQDN de votre serveur DNS secondaire SRV-DNS-2 puis Resolve

32

Si la rsolution fonctionne, une icne verte apparait gauche. Cliquez alors sur Ok

ZONE SECONDAIRE sur SRV-DNS-1


Clic droit sur Reverse Lookup Zone > [nom_zone] > Properties > Name Servers
Procdez de la mme faon que ltape prcdente

7.2 Autorisation du transfert de zone


Avant ltape qui suit, voici la configuration que vous devriez avoir sur vos serveurs DNS :
Serveur DNS principal : SRV-DNS-1 :
o Rle Active Directory
o Rle DNS :
Zone principale
Zone de recherche inverse
Serveur DNS secondaire : SRV-DNS-2 :
o Rle DNS :
Zone secondaire
Zone de recherche inverse
Vous devez maintenant autoriser votre serveur principal copier ses zones vers le serveur
DNS secondaire :
Transfert de la ZONE PRIMAIRE vers SRV-DNS-2
Depuis SRV-DNS-1, clic droit sur Forward Lookup Zone > [nom_zone] > Properties >
Zone transfers
La fentre ci-dessous apparat. Cochez la case Allow zone transferts

33

Cliquez ensuite sur Notify (plus de dtails concernant cette option au point 1.2 de la
Partie 2)
La fentre ci-dessous apparat. Cochez la case et choisissez loption Servers listed on
the Name Servers tab

34

Transfert de la ZONE SECONDAIRE vers SRV-DNS-2


Depuis SRV-DNS-1, clic droit sur Reverse Lookup Zone > [nom_zone] > Properties >
Zone transfers
Procdez de la mme faon que ltape prcdente
Dornavant les mises jours sont envoyes vers tous les serveurs DNS inscrits dans
longlet Name server de la zone en question

7.3 Vrification du bon fonctionnement de la rplication de zone


Depuis votre serveur DNS secondaire, vous devriez voir apparatre au bout de quelques
minutes lensemble des enregistrements de votre serveur principal.
Pour vrifier que votre transfert est effectif, consultez la prsence de lvnement ci-dessous
dans vos logs DNS :

35

8. Dlgation de zone
La dlgation de zone permet de diviser lespace de nom afin de :
Dlguer la gestion dune partie de votre espace DNS
Rpartir le trafic sur diffrentes zones
Etendre un domaine afin, par exemple, dincorporer une nouvelle entit
Supposons que vous disposez dun domaine nomm exemple.com et que vous souhaitez
sparer cet espace afin den dlguer la gestion vos deux filiales. Vous devrez donc crer
deux sous-domaines nomms :
filiale1.exemple.com
filiale2.exemple.com
Pour cela :
Clic droit sur [nom_zone] > New delegation
Lassistant suivant se lance :

36

Saisissez ensuite le nom de la zone dlguer, en loccurrence filiale1.exemple.com

Indiquez ensuite le FQDN du serveur DNS auquel vous souhaitez dlguer la gestion

37

La dlgation de zone est maintenant acheve

38

PARTIE 2
1. Les zones DNS
1.1 Types de zones
1.1.1 Zone principale
Une zone principale enregistre toutes les informations de zone dans un fichier sur le serveur
local. Elle permet de rsoudre un nom dhte en IP partir des enregistrements de type A,
CNAME, Avec ou sans domaine, une zone principale est indispensable.
Astuce : Pour vrifier que votre zone fonctionne correctement, excutez la commande Ping
[nom_hte]. Si votre DNS est correctement configur, la commande vous retourne lIP de
lhte en question.

1.1.2 Zone secondaire


Une zone secondaire est une copie en lecture seule de la zone principale. Le serveur
hbergeant cette zone ne peut mettre jour aucun enregistrement.

1.1.3 Zone de stub


Une zone de stub est quasiment identique une zone secondaire, sauf quelle ne copie que
les enregistrements suivants :
SOA
NS pour les serveurs de nom faisant autorit sur la zone
A pour les serveurs de nom faisant autorit sur la zone
Une zone de stub permet de rduire le trafic lors des mises jour entre les diffrents
serveurs DNS dun domaine.

1.1.4 Zone intgre Active Directory


Par dfaut, les enregistrements des zones DNS sont enregistrs dans des fichiers (mme
principe que sous Linux). Cela dit, il est avantageux de stocker vos zones DNS dans votre
annuaire Active Directory pour les raisons suivantes :
Vos zones sont dupliques sur tous vos contrleurs de domaines
Mme en cas de dfaillance dun de vos serveurs, la rsolution DNS continue de
fonctionner
Les transactions DNS entre serveurs sont scurises grce au mcanisme de
rplication Active Directory
Seuls les postes membres de votre domaine peuvent mettre jour les
enregistrements A et PTR

39

Pour intgrer une zone dans Active Directory :


Clic droit sur [nom_zone] > Properties > General > Type : change
Cochez ensuite la case ci-dessous :

1.1.5 Zone de recherche inverse


Une zone de recherche inverse permet, contrairement une zone principale, dobtenir le
nom dhte partir dune IP. Elle nest pas indispensable dans un rseau mais sa mise en
place est plus que recommande.
Astuce : Pour vrifier que votre zone fonctionne correctement, excutez la commande Ping
a [IP_hte]. Si votre DNS est correctement configur, la commande vous retourne le nom
de lhte en question.

1.2 Transfert de zone (AXFR)


1.2.1 Fonctionnement
Comme vous avez pu le constater au point 7.2 de la Partie 1, le transfert de zone permet
de copier une zone vers un autre serveur. Un transfert de zone se droule de la faon
suivante :
1. Le serveur esclave vrifie si son numro de srie est identique celui du serveur
matre (SOA)
2. Si le numro de version est plus rcent, une demande de mise jour est ralise
3. Le transfert commence avec une requte DNS over TCP ou UDP
4. Le serveur matre rpond ensuite avec plusieurs messages contenant des
enregistrements de type RRdata
Il existe deux types de mthode de transfert :
AXFR : transfert de zone complet
IXFR : transfert de zone incrmental
Plus de dtails sur Wikipdia ici.

1.2.2 Notifications
Originairement, le transfert de zone est linitiative du serveur esclave. Cependant, vous
pouvez forcer le serveur principal envoyer une notification ses serveurs afin de
dclencher priodiquement le transfert.

2. Redirecteurs / Forwarders
2.1 Fonctionnement

40

Dans le cas o une requte ne peut tre rsolue par un serveur DNS, ce dernier va la
transfrer vers un de ses redirecteurs. Un redirecteur est un serveur du rseau qui relaie les
requtes non rsolues pour une rsolution extrieure. En rgle gnrale, il convient de
renseigner les redirecteurs avec les DNS de votre FAI (Fournisseur dAccs Internet).

2.2 Redirecteurs conditionnels


Un redirecteur conditionnel est redirecteur pour un domaine en particulier. Il permet
dacclrer la rsolution de nom sans passer par la hirarchie DNS existante. Plus de dtails
ici.
Pour rajouter un redirecteur conditionnel :
Depuis la console DNS, allez dans [nom_serveur] > Conditional Forwarders
Clic droit > New Conditional Forwarders
La fentre suivante apparat :

Saisissez alors le serveur DNS vers lequel vous souhaitez rediriger directement (et
donc plus rapidement) les requtes DND

2.3 Choisir entre un redirecteur conditionnel ou une zone de stub


Si vous hsitez entre la mise en place dun redirecteur conditionnel ou une zone de stub, je
vous invite lire cet article trs dtaill, qui jespre pourra vous guider dans votre choix.

41

3. Fonctionnement dune requte DNS


Une requte DNS issue dun client est divise en deux tapes : une traite localement et une
autre envoye au serveur.

3.1 Solveur local


Pour commencer, le client va transmettre une requte au solveur local. Ce dernier va
rechercher dans son cache sil nexiste pas un mappage IP / nom issue dune rsolution
prcdente. Le solveur local effectue galement une recherche dans le fichier hosts situ
dans C:\system32\drivers\etc. Cela dit, le contenu de ce fichier est pr-charg dans le cache
DNS. Il ny a donc pas daccs direct en lecture vers ce fichier lors dune recherche locale,
si ce nest au lancement du service Client DNS .
Notez quil existe 2 types de cache :
Cache systme : contient les enregistrements issus des rponses des serveurs DNS
Cache ngatif : contient les enregistrements des ressources nexistant plus
Pour afficher le cache DNS, ouvrez une fentre CMD et tapez : ipconfig /displaydns. Cidessous un extrait du cache aprs un ping sur google.fr (extrait).

Pour vider le cache DNS, ouvrez une fentre CMD et tapez : ipconfig /flushdns

3.2 Rsolution DNS


3.2.1 Type de requte
Il existe deux types de requtes DNS :
Rcursive : interroge dautres serveurs DNS car le serveur ne peut pas rsoudre la
requte
Itrative : rponse uniquement partir du cache local

3.2.2 Rsolution ct serveur


Si le solveur local ne peut pas rsoudre la requte, le client va alors interroger le serveur
DNS. Ce dernier va tout dabord vrifier sil peut rpondre en faisant autorit partir des

42

informations de son cache ou des informations de zone. Si une correspondance est trouve,
les informations sont envoyes et la requte prend fin.
Si la requte ne peut tre rsolue par le serveur, un processus de rcursivit est lanc visant
interroger dautres serveurs appels communment serveurs racines. Ces derniers
peuvent alors retourner diffrentes rponses :
Rponse faisant autorit : rponse positive indiquant que la rponse a t obtenue
auprs d'un serveur membre du domaine de recherche auquel le client est connect
Rponse positive : rponse ne pouvant pas comprendre l'enregistrement de
ressource interrog ou une liste d'enregistrements de ressources (RRset)
Rponse de rfrence : contient des enregistrements de ressources
supplmentaires. Ce type de rponse est renvoy au client si le processus de
rcursivit n'est pas pris en charge, afin que ces enregistrements puissent tre
utiliss par le client pour poursuivre sa requte
Rponse ngative : envoye par le serveur pour signaler que :
o Lobjet de la requte nexiste plus
o Le nom demand existe, mais aucun enregistrement ny est associ

3.3 Serveur injoignable


Dans le cas o le serveur principal ne rpond pas, le client va contacter le second serveur
DNS. Si ce dernier ne rpond pas, il va considrer quil ne sagit pas dun nom dhte sinon
dun nom NetBIOS. Cela se traduit par de nouvelles tapes :
o Vrification de la prsence de lIP dans le cache NetBIOS
o Envoie dune requte au serveur WINS
o Recherche du client sur tout le rseau via une trame de diffusion (broadcast)
o Recherche dune entre dans le fichier C:\system32\drivers\etc\lmhosts

43

4. Nouveauts du DNS sous Server 2008 R2


4.1 DNSSEC
DNSSEC est une extension disponible depuis Server 2008 R2 et Windows Seven permettant
daccrotre la scurit du protocole DNS sous Windows. Concrtement, DNSSEC permet de
signer toutes les zones via un tunnel IPsec cr entre chaque serveur DNS. De cette faon
lorsquun serveur reoit une requte, il va authentifier la source via un systme de clefs
publiques et prives.
Pour fonctionner, DNSSEC utilise ces nouveaux types denregistrements :
DNSKEY
RRSIG
NSEC
DS
ZSK : Zone Signing Key
KSK : Key Signing Key
Ci-dessous, un schma rsumant le fonctionnement de lextension DNSSEC :

4.2 DNS devolution


http://technet.microsoft.com/en-us/library/ee683928%28WS.10%29.aspx

4.3 DNS cache locking


http://technet.microsoft.com/en-us/library/ee683892%28WS.10%29.aspx

4.4 DDNS socket pool


http://technet.microsoft.com/en-us/library/ee683907%28WS.10%29.aspx

44

Conclusion
A partir de ce tuto, il vous est dornavant possible de mettre en place une structure DNS
redondante. Toutefois sachez que le serveur secondaire ne peut modifier ces zones, do
limportance du serveur primaire. Pensez galement ajouter les deux adresses de vos
serveurs DNS dans les paramtres distribus par votre serveur DHCP.
Par ailleurs, je vous invite lire mon article Serveur DHCP scuris que vous trouverez
galement sur Scribd.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :


michel_de A-R-0-B-A-5 hotmail . com

Soyez-en dores et dj remerci

45