Vous êtes sur la page 1sur 12

ESAT/DGF/DMSI

ECOLE SUPERIEURE

ET D’APPLICATION

DES TRANSMISSIONS

division management

et systèmes d’information

WINDOWS 2000

Chapitre 2: DNS 2000

COURS SYSTEME
DNS 2000

1. Généralités sur le DNS........................................................................................................2


1.1. Noms de domaines DNS..............................................................................................2
1.2. Présentation de l'espace de noms de domaines DNS..................................................2
1.3. Fonctionnement de requête DNS..................................................................................3
1.3.1. Le serveur local......................................................................................................3
1.3.2. Interrogation d'un serveur DNS..............................................................................4
1.3.3. Recherche indirecte...............................................................................................4
1.4. Présentation de la différence entre les zones et les domaines.....................................5
1.5. Pourquoi la réplication de zone et les transferts de zones sont-ils nécessaires ?.........6
1.6. Notification DNS...........................................................................................................6
2. Mise à jour dynamique........................................................................................................7
2.1. Prise en charge du protocole de mise à jour dynamique conforme aux RFC ...............7
2.2. Prise en charge des transferts de zone incrémentiels entre serveurs ..........................8
2.3. Exemple: transfert de zone...........................................................................................8
3. Procédure utilisée par les ordinateurs Windows 2000 pour mettre à jour leurs noms DNS. 9
4. Sécuriser la mise à jour dynamique..................................................................................10

23243577.doc Page 1 sur 11


DNS 2000

1. Généralités sur le DNS

1.1. Noms de domaines DNS


Le système de nom de domaine (DNS, Domain Name System) a été initialement défini dans
les RFC (Request for Comments, demandes de commentaires) 1034 et 1035. Ces
documents spécifient les éléments communs à toutes les implémentations des logiciels
DNS, qui comprennent entre autres:
• Un espace de noms de domaines DNS, qui définit une structure hiérarchique des
domaines permettant d'organiser les noms.
• Des enregistrements de ressources, qui mappent les noms de domaines DNS sur un
type spécifique d'informations de ressources et sont utilisés lorsque le nom est inscrit
ou résolu dans l'espace de noms.
• Des serveurs DNS, qui stockent les requêtes de noms portant sur des
enregistrements de ressources et y répondent.
• Des clients DNS, également appelés solveurs, qui demandent aux serveurs de
rechercher et de convertir les noms en un type d'enregistrement de ressource
spécifié dans la requête.

1.2. Présentation de l'espace de noms de domaines DNS


L'espace de noms de domaines DNS, illustré dans la figure ci-dessous, repose sur le
concept d'arborescence des domaines nommés. Chaque niveau de l'arborescence
représente une branche ou une feuille de cet arbre. Une branche est un niveau dans lequel
plusieurs noms sont utilisés pour identifier un ensemble de ressources nommées. Une feuille
représente un nom unique utilisé une seule fois à ce niveau pour identifier une ressource
spécifique.

23243577.doc Page 2 sur 11


1.3. Fonctionnement de requête DNS
Lorsqu'un client DNS a besoin de rechercher un nom utilisé dans un programme, il interroge
les serveurs DNS pour résoudre ce nom. Chaque message de requête envoyé par le client
contient trois informations, qui définissent une question à laquelle le serveur doit répondre.
• Un nom de domaine DNS spécifié, indiqué sous la forme d'un nom de domaine
complet (FQDN, Fully Qualified Domain Name).
• Un type de requête spécifié, qui peut être un enregistrement de ressource par type
ou un type spécial d'opération de requête.
• Une classe spécifiée pour le nom de domaine DNS.

D'une manière générale, la requête DNS est un processus en deux parties:


• Une requête de nom est formulée au niveau d'un ordinateur client et transmise à un
solveur, le service Client DNS, en vue d'être résolue.
• Lorsque la requête ne peut pas être résolue localement, les serveurs DNS
nécessaires pour résoudre le nom peuvent être interrogés.

1.3.1. Le serveur local


La requête est transmise au service Client DNS afin d'être résolue à l'aide des informations
mises localement en cache. Si la requête de nom peut être résolue, une réponse est donnée
à la requête et le processus se termine.

23243577.doc Page 3 sur 11


Si la requête ne correspondant à aucune entrée du cache, le processus de résolution se
poursuit et le client interroge un serveur DNS pour résoudre le nom.

1.3.2. Interrogation d'un serveur DNS


Si aucune réponse à la requête de nom n'est trouvée sur le serveur par défaut - dans son
cache ou ses informations de zone - le processus de requête se poursuit et la récursivité est
utilisée pour résoudre complètement le nom.
Ce processus implique l'assistance d'autres serveurs DNS. Par défaut, le service Client DNS
demande au serveur d'utiliser un processus de récursivité pour résoudre complètement les
noms pour le compte du client avant de renvoyer une réponse.
Dans la plupart des cas, le serveur DNS est configuré par défaut pour prendre en charge le
processus de récursivité comme indiqué dans le graphique qui suit.

1.3.3. Recherche indirecte


Les recherches DNS généralement réalisées par les clients sont des recherches directes,
c'est-à-dire des recherches utilisant le nom DNS d'un autre d'ordinateur tel qu'il est stocké
dans un enregistrement de ressource hôte (A). Les données de ressources attendues en
réponse à ce type de recherche sont une adresse IP.

23243577.doc Page 4 sur 11


DNS propose également un processus de recherche indirecte permettant aux clients
d'utiliser une adresse IP connue dans une requête de nom et de rechercher un nom
d'ordinateur à partir de son adresse. Une recherche indirecte prend la forme d'une question
de type « Pouvezvous me dire le nom DNS de l'ordinateur qui utilise l'adresse IP
192.168.1.20 ? ».
Pour pallier ce problème, un domaine spécial, le domaine in-addr.arpa, a été défini dans les
normes DNS et réservé dans l'espace de noms DNS Internet. Ce domaine offre un moyen
pratique et fiable d'effectuer des recherches indirectes. Pour créer l'espace de noms indirect,
des sous domaines sont formés dans le domaine in-addr.arpa en utilisant l'ordre inverse des
numéros indiqués dans la notation décimale pointée des adresses IP.
Il est nécessaire d'inverser l'ordre de chaque valeur d'octet des domaines car, lues de
gauche à droite, les adresses IP sont interprétées à l'opposé des noms DNS. Une adresse
IP lue de gauche à droite présente les informations des plus générales (une adresse de
réseau IP) dans la première partie de l'adresse, aux plus spécifiques (une adresse d'hôte IP)
dans les derniers octets.
C'est pourquoi l'ordre des octets des adresses IP doit être inversé lors de la création de
l'arborescence du domaine in-addr.arpa. De cette manière, l'administration des branches
inférieures de l'arborescence du domaine in-addr.arpa peut être confiée aux entreprises
lorsqu'un ensemble spécifique ou limité d'adresses IP parmi les classes d'adresses Internet
leur est attribué.
Enfin, un type d'enregistrement de ressource (RR) supplémentaire - l'enregistrement de
ressource pointeur (PTR) - doit être défini pour l'arborescence du domaine in-addr.arpa créé
dans DNS. Cet enregistrement est utilisé pour créer un mappage dans la zone de recherche
indirecte. Ce mappage correspond généralement à un enregistrement de ressource hôte (A)
nommé pour le nom d'ordinateur DNS d'un hôte dans sa zone de recherche directe.

Exemple: recherche indirecte (sur les réseaux IPv4)

Le système de nom de domaine (DNS, Domain Name System) permet de diviser un espace
de noms DNS en zones. Ces zones stockent des informations de nom relatives à un ou
plusieurs domaines DNS. Pour chaque nom de domaine DNS inclus dans une zone, la zone
devient la source de référence d'informations sur ce domaine.

1.4. Présentation de la différence entre les zones et les domaines


Initialement, une zone est une base de données de stockage pour un seul nom de domaine
DNS. Si d'autres domaines sont ajoutés en dessous du domaine utilisé pour créer la zone, ils
peuvent faire partie de cette même zone ou appartenir à une autre zone. Un sous-domaine
ajouté à une zone peut être:
- géré et inclus dans les enregistrements de la zone d'origine, ou
- délégué à une autre zone créée pour prendre en charge ce sous-domaine.

23243577.doc Page 5 sur 11


Dans cet exemple, le domaine microsoft.com contient sous-domaine, le domaine
exemple.microsoft.com, délégué en dehors de la zone microsoft.com et géré dans sa propre
zone.
La zone microsoft.com doit néanmoins contenir quelques enregistrements de ressources afin
de fournir les informations de délégation indiquant les serveurs DNS qui font autorité pour le
sous-domaine exemple.microsoft.com délégué.

1.5. Pourquoi la réplication de zone et les transferts de zones sont-


ils nécessaires ?
En raison de leur rôle essentiel dans DNS, les zones sont supposées être disponibles sur
plusieurs serveurs DNS du réseau afin de garantir la disponibilité et la tolérance de pannes
lors de la résolution de requêtes de noms. Dans le cas contraire, si un seul serveur est utilisé
et que ce serveur ne répond pas, les requêtes de noms réalisées dans la zone risquent
d'échouer. Pour que d'autres serveurs puissent héberger une zone, il est nécessaire de
transférer la zone de manière à répliquer et à synchroniser toutes les copies de la zone
utilisées sur chaque serveur configuré pour l'héberger.
Lorsqu'un nouveau serveur DNS est ajouté au réseau et est configuré en tant que nouveau
serveur secondaire d'une zone existante, il effectue un transfert initial complet de la zone de
manière à obtenir et à répliquer une copie complète des enregistrements de ressources de
cette zone. Pour les implémentations de serveurs DNS plus anciennes, cette méthode de
transfert complet d'une zone est également utilisée lorsque la zone change et doit être mise
à jour.
Dans Windows 2000 Server, le service DNS prend en charge le transfert de zone
incrémentiel, un processus de transfert de zone DNS qui s'intéresse aux changements
intermédiaires.

1.6. Notification DNS


Les serveurs DNS Windows prennent en charge la notification DNS (DNS Notify), une mise
à jour de la spécification originale du protocole DNS qui permet d'avertir les serveurs
secondaires lorsque des changements interviennent sur une zone (RFC 1996). La

23243577.doc Page 6 sur 11


notification DNS met en oeuvre un mécanisme de diffusion permettant d'avertir un ensemble
spécifique de serveurs secondaires pour une zone lorsque cette dernière est mise à jour.

Les serveurs qui sont avertis peuvent alors lancer un transfert de zone comme décrit
précédemment pour extraire du serveur maître les changements intervenus sur une zone et
mettre à jour leurs réplicas locaux de la zone.

2. Mise à jour dynamique


2.1. Prise en charge du protocole de mise à jour dynamique
conforme aux RFC
Le service DNS permet aux clients de mettre à jour dynamiquement les enregistrements de
ressources conformément au protocole de mise à jour dynamique DNS (RFC 2136). Cette
fonctionnalité améliore l'administration DNS en réduisant le temps nécessaire à la gestion
manuelle de ces enregistrements. Les ordinateurs qui exécutent Windows 2000 peuvent
enregistrer dynamiquement leurs noms DNS et leurs adresses IP.

L'administration manuelle des enregistrements de zone est ainsi réduite, tout


particulièrement pour les clients qui se déplacent ou changent fréquemment d'emplacement
et utilisent DHCP pour obtenir une adresse IP.
Pour les serveurs DNS, le service DNS permet d'activer ou de désactiver la mise à jour
dynamique zone par zone au niveau de chaque serveur configuré pour charger une zone
principale standard ou une zone intégrée à l'annuaire.

 Protocole de mise à jour dynamique DNS


 Permet aux clients de mettre à jour les serveurs DNS
automatiquement
 Peut être utilisé en combinaison avec DHCP

1
Demande
Demanded'adresse
d'adresseIP
IP
Serveur
2 DHCP
Attribution
Attributionde
del'adresse
l'adresse
IP
IP192.168.120.133
192.168.120.133 DHCP
DHCPmetmetààjour
jour
Le
Leclient
clientWindows
Windows l'enregistrement
l'enregistrement
2000
2000metmetààjour
jour de
deressource
ressource
l'enregistrement
l'enregistrementde de indirect
indirectpour
pourles
lesclients
clients
ressource
ressourcedirect
direct Windows
Windows2000,2000,et
etles
les
sur
surleleserveur
serveurDNS
DNS deux
deuxenregistrements
enregistrements
de
deressources
ressourcespour
pourlesles
Ordinateur1
Ordinateur1 autres
192.168.120.133 autresclients
clients
192.168.120.133

Serveur DNS Base de données


de zone

Par défaut, les ordinateurs clients exécutant toute version de Windows 2000 mettent à jour
de façon dynamique leurs enregistrements de ressources hôtes (A) dans DNS lorsqu'ils sont
configurés pour TCP/IP.

23243577.doc Page 7 sur 11


2.2. Prise en charge des transferts de zone incrémentiels entre
serveurs
Des transferts de zone sont effectués entre serveurs DNS pour répliquer les informations
relatives à une portion de l'espace de noms DNS. Les transferts de zone incrémentiels
permettent de répliquer uniquement les portions d'une zone qui ont été modifiées, ce qui
ménage la bande passante

Les transferts de zones incrémentiels sont décrits dans la RFC 1995.

Dans les implémentations DNS plus anciennes, toute requête de mise à jour des données
d'une zone nécessitait le transfert complet de l'ensemble de la base de données de la zone à
l'aide d'une requête AXFR.

Avec le transfert incrémentiel, un type de requête différent (IXFR) peut être utilisé. Celui-ci
permet au serveur secondaire de recevoir uniquement les changements intervenus sur
une zone dont il a besoin pour synchroniser sa copie de la zone avec la source de la zone
(une copie principale ou secondaire de la zone gérée par un autre serveur DNS).
Avec les transferts de zones IXFR, les différences entre la version source et les versions
répliquées de la zone sont tout d'abord déterminées. S'il s'avère que les versions sont
identiques - cette indication est fournie par le champ de numéro de série dans
l'enregistrement de ressource SOA (start of authority) de chaque zone - aucun transfert n'est
effectué.
Si le numéro de série de la zone est plus élevé sur le serveur source que sur le serveur
secondaire effectuant la requête, un transfert est réalisé, mais seuls les changements des
enregistrements de ressources (RR) pour chaque version incrémentielle de la zone sont
transférés.

Pour qu'une requête IXFR réussisse et que les changements soient envoyés, le serveur
DNS source de la zone doit conserver un historique des changements incrémentiels
intervenus sur la zone et l'utiliser pour répondre à ces requêtes. Le processus de transfert
incrémentiel engendre un trafic beaucoup moins élevé sur le réseau et les transferts de
zones sont réalisés beaucoup plus rapidement.

2.3. Exemple: transfert de zone


Un transfert de zone peut se produire dans chacune des situations suivantes:
• lorsque l'intervalle d'actualisation de la zone arrive à expiration;
• lorsqu'un serveur secondaire est averti par son serveur maître que la zone a changé;
• lorsque le service Serveur DNS est démarré sur un serveur secondaire de la zone;

23243577.doc Page 8 sur 11


• lorsque la console DNS est utilisée sur un serveur secondaire de la zone pour lancer
manuellement un transfert à partir de son serveur maître.

Les transferts de zones sont toujours lancés sur le serveur secondaire d'une zone et
envoyés aux serveurs maîtres configurés qui jouent le rôle de source pour la zone. Les
serveurs maîtres peuvent être tout autre serveur DNS qui charge la zone, tel que le serveur
principal de la zone ou un autre serveur secondaire. Lorsque le serveur maître reçoit la
requête relative à la zone, il peut répondre par un transfert partiel ou complet de la zone vers
le serveur secondaire.
Comme le montre le graphique qui suit, les transferts de zones entre les serveurs sont
réalisés selon un processus bien précis. Ce processus peut varier selon qu'une zone a été
antérieurement répliquée ou qu'une réplication initiale d'une nouvelle zone est effectuée.

3. Procédure utilisée par les ordinateurs Windows 2000


pour mettre à jour leurs noms DNS
Par défaut, les ordinateurs exécutant Windows 2000 configurés de façon statique pour
TCP/IP tentent d'inscrire de façon dynamique leurs enregistrements de ressources (RR) hôte
(A) et pointeur (PTR) pour les adresses IP configurées et utilisées par leurs connexions
réseau installées. Par défaut, tous les ordinateurs inscrivent les enregistrements en utilisant
leur nom complet d'ordinateur.
Pour les ordinateurs Windows 2000, le nom complet d'ordinateur principal, un nom de
domaine complet (FQDN, Fully qualified domain name), repose sur les paramètres système
suivants:
Le suffixe DNS principal de cet ordinateur est ajouté au nom d'ordinateur.
Ces deux paramètres sont affichés et configurés à partir de l'onglet Identification réseau
des Propriétés du système.

Les mises à jour dynamiques peuvent être envoyées pour chacun des motifs ou des
événements suivants:
• Une adresse IP est ajoutée, supprimée ou modifiée dans la configuration des
propriétés TCP/IP pour toute connexion réseau installée.
• Un bail d'adresse IP est modifié ou renouvelé avec le serveur DHCP pour toute
connexion réseau installée. Par exemple, lorsque l'ordinateur est démarré ou si la
commande ipconfig /renew est utilisée.
• La commande ipconfig /registerdns est utilisée pour forcer manuellement
l'actualisation de l'inscription du nom de client dans DNS.
• Au démarrage, lorsque l'ordinateur est allumé.

23243577.doc Page 9 sur 11


Lorsque l'un des événements cités ci-dessus déclenche une mise à jour dynamique, le
service Client DHCP (non le service Client DNS) envoie des mises à jour. Si des
informations d'adresse IP sont modifiées du fait de DHCP, les mises à jour correspondantes
sont réalisées dans DNS afin de synchroniser les mappages nomadresse pour l'ordinateur.
Le service Client DHCP utilise cette fonction sur toutes les connexions réseau utilisées sur le
système, y compris les connexions non configurées pour utiliser DHCP.

Les mises à jour dynamiques sont envoyées et actualisées périodiquement. Par défaut,
Windows 2000 envoie une actualisation toutes les 24 heures.
La zone est modifiée et le transfert de zone est augmenté à l'issue de la mise à jour
uniquement si des noms et des adresses sont modifiés.

4. Sécuriser la mise à jour dynamique


Pour Windows 2000, la sécurité des mises à jour DNS est disponible uniquement pour les
zones intégrées à Active Directory. Une fois que vous intégrez une zone dans l'annuaire,
les fonctions d'édition de la liste de contrôle d'accès (ACL, Access Control List) sont
disponibles dans la console DNS de sorte que vous pouvez ajouter ou supprimer des
utilisateurs ou des groupes de la liste ACL pour une zone ou un enregistrement de ressource
spécifique.

Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et les clients DNS
Windows 2000 peut être traitée de la manière suivante:
• Les clients DNS Windows 2000 DNS tentent tout d'abord d'utiliser la mise à jour
dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les clients
essaient d'utiliser une mise à jour sécurisée.

23243577.doc Page 10 sur 11


Une fois qu'une zone est intégrée à Active Directory, les serveurs DNS Windows 2000
autorisent par défaut uniquement les mises à jour dynamiques sécurisées.
Si un stockage de zone standard est utilisé, par défaut, le service Serveur DNS n'autorise
pas les mises à jour dynamiques sur ces zones. Pour les zones qui sont intégrées à
l'annuaire ou qui utilisent un stockage standard dans un fichier, vous pouvez modifier la zone
de manière à autoriser toutes les mises à jour dynamiques, grâce à quoi toutes les mises à
jour sont acceptées, en transmettant l'utilisation des mises à jour sécurisées.

Remarques:
• La mise à jour dynamique est une toute récente spécification ajoutée à la norme
DNS, définie dans la RFC 2136.
• Des informations supplémentaires sur les mises à jour dynamiques DNS et les mises
à jour sécurisées pour les serveurs et les clients DNS Windows 2000 sont
disponibles dans le Kit de Ressources Techniques Windows 2000

23243577.doc Page 11 sur 11