Mcsa-Mcse Module 05

Module 5 : Planification
d'une stratégie DNS
Table des matières
Vue d'ensemble 1
Leçon : Planification des serveurs DNS 2
Présentation multimédia : Résolution
des noms par les clients DNS 3
Présentation multimédia : Résolution
des noms avec un serveur DNS 8
Leçon : Planification d'un espace
de noms 18
Présentation multimédia : Planification
d'une stratégie d'espace de noms DNS 19
Leçon : Planification des zones 31
Leçon : Planification de la réplication
et de la délégation de zone 42
Leçon : Intégration de DNS et WINS 53
Présentation multimédia : Intégration
de DNS et WINS 54
Atelier A : Planification d'une
stratégie DNS 62
Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer
la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite
de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets
en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle
de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft,
la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
 2003 Microsoft Corporation. Tous droits réservés.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint,
Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques
déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.
Module 5 : Planification d'une stratégie DNS iii
Notes du formateur
Présentation : Ce module présente aux stagiaires les informations nécessaires à la planification
2 heures 30 minutes de l'implémentation d'un système DNS (Domain Name System) dans une
organisation.
Atelier :
60 minutes À la fin de ce module, les stagiaires seront à même d'effectuer les tâches
suivantes :
! planifier l'implémentation d'un serveur DNS ;
! planifier une stratégie d'espace de noms ;
! planifier des zones ;
! planifier la réplication et la délégation des zones ;
! intégrer DNS et WINS (Windows Internet Naming Service).
Matériel requis Pour animer ce module, vous devez disposer des éléments suivants :
! fichier Microsoft® PowerPoint® 2189A_05.ppt ;
! fichiers multimédias :
• Résolution des noms par les clients DNS
• Résolution des noms avec un serveur DNS
• Planification d'une stratégie d'espace de noms DNS
• Intégration de DNS et WINS
Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

ultérieure pour afficher les diapositives de ce cours. Si vous utilisez
la visionneuse PowerPoint ou une version antérieure de PowerPoint, il est
possible que certains éléments des diapositives ne s'affichent pas correctement.
Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :
! lire tous les supports de cours de ce module ;
! vous exercer à effectuer les applications pratiques et l'atelier et lire la clé de
réponse de l'atelier ;
! visualiser les présentations multimédias ;
! passer en revue les cours et modules de connaissances préalables.
iv Module 5 : Planification d'une stratégie DNS
Comment animer ce module

Cette section contient des informations qui ont pour but de vous aider à animer
ce module.
Pages de procédures, instructions, applications pratiques et

ateliers
Expliquez aux stagiaires la relation entre les pages de procédures, les
applications pratiques ainsi que les ateliers et ce cours. Un module contient
au minimum deux leçons. La plupart des leçons comprennent des pages
de procédures et une application pratique. À la fin de toutes les leçons,
le module se termine par un atelier.
Pages de procédures Les pages de procédures permettent au formateur de montrer comment réaliser
une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page
de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue
à la fin de chaque leçon.
Pages d'instructions Les pages d'instructions présentent les points de décision clés relatifs au sujet
de la leçon. Vous utiliserez ces instructions pour renforcer les acquis de la leçon
et les objectifs.
Applications pratiques Une fois que vous avez couvert le contenu de la section et montré les
procédures de la leçon, expliquez aux stagiaires qu'une application pratique
portant sur toutes les tâches abordées est prévue à l'issue de la leçon.
Ateliers À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
les tâches traitées et appliquées tout au long du module.
À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit
aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes.
La colonne de gauche indique la tâche (par exemple : Créer un groupe).
La colonne de droite contient des instructions spécifiques dont les stagiaires
auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs
et ordinateurs Active Directory®, double-cliquez sur le nœud de domaine).
Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires
trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par
étape pour terminer l'atelier. Ils peuvent également consulter les applications
pratiques et les pages de procédures du module.
Leçon : Planification des serveurs DNS

Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Vue d'ensemble En présentant cette leçon, soulignez que les décisions de planification des
serveurs DNS prises par les stagiaires dépendent de l'utilisation ou non
du service d'annuaire Active Directory.
Détermination de Lorsque vous abordez cette section, soulignez que plusieurs facteurs influencent
l'emplacement des l'emplacement des serveurs DNS. Ils incluent la prise en compte des clients,
serveurs DNS la structure physique du réseau et le nombre de serveurs DNS du réseau qui
jouent plusieurs rôles.
Module 5 : Planification d'une stratégie DNS v
Rôles des serveurs DNS Lorsque vous abordez les rôles des serveurs DNS, précisez aux stagiaires qu'ils
peuvent utiliser des serveurs dans un ou plusieurs de ces rôles dans un
environnement pour fournir une solution DNS.
Niveaux de sécurisation Lorsque vous exposez cette section, soulignez qu'il est peu probable que les
des serveurs DNS stagiaires choisissent d'implémenter un niveau de sécurité bas sur un serveur
Microsoft DNS. Précisez également que ces niveaux de sécurité ne représentent pas des
choix discrets ou des étiquettes de paramètres. Il s'agit plutôt de catégories
générales de mesures de sécurité que les stagiaires mettent en œuvre avec
plusieurs paramètres.
Leçon : Planification d'un espace de noms

leçon.
Options d'espace de Lorsque vous expliquez les options d'espace de noms DNS, précisez que .local
noms DNS n'est pas un suffixe de domaine valide sur Internet ; il est seulement valide
en interne. Si les stagiaires choisissent un espace de noms interne valide sur
Internet, ils doivent l'enregistrer.
Leçon : Planification de zones

leçon.
Sélection des types de Lorsque vous expliquez les types de zones, indiquez aux stagiaires que dans
zones Microsoft Windows Server™ 2003, ils choisissent d'abord les types de zones
et ensuite l'emplacement de stockage. Pour l'illustrer, il peut être judicieux
de montrer la création d'une zone à l'aide de l'Assistant dans
Windows Server 2003.
Sélection de Dans cette section, recommandez l'utilisation d'une zone Active Directory
l'emplacement des lorsque cela est nécessaire. Dans la plupart des cas, une zone Active Directory
données des zones est plus sécurisée et plus facile à administrer qu'une zone traditionnelle.
Leçon : Planification de la réplication et de la délégation de zone

leçon.
Quand créer une zone Soulignez que si les stagiaires utilisent des zones intégrées à Active Directory
secondaire dans un environnement exclusif Active Directory, ils n'auront pas besoin
de zones secondaires.
Délégation de zone Lorsque vous expliquez la nécessité de planifier la délégation de zone,
soulignez que les stagiaires doivent également disposer d'un plan de redirection.
vi Module 5 : Planification d'une stratégie DNS
Leçon : Intégration de DNS et WINS

leçon.
Vue d'ensemble Lorsque vous présentez cette leçon, expliquez aux stagiaires qu'ils doivent
intégrer DNS et WINS lorsque des clients DNS doivent interroger des noms
situés uniquement dans WINS.
Modification des Précisez aux stagiaires que la modification des paramètres de délai de cache est
paramètres de délai de une étape d'optimisation que vous expliquerez plus en détail dans le module 6,
cache « Optimisation de DNS et résolution des problèmes ».
Atelier A : Planification d'une stratégie DNS

Les stagiaires doivent avoir terminé toutes les applications pratiques avant
de commencer l'atelier.
Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions
et de contenu du module afin d'obtenir de l'aide. La clé de réponse
correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire.
Informations de personnalisation
Cette section identifie les caractéristiques des ateliers d'un module et les
modifications apportées à la configuration des ordinateurs des stagiaires
pendant les ateliers. Ces informations visent à vous aider à répliquer ou
personnaliser le cours Microsoft Official Curriculum (MOC).
L'atelier de ce module dépend aussi de la configuration de la classe spécifiée

dans la section « Informations de personnalisation » située à la fin du Guide
de configuration automatisée de la classe du cours 2189, Planification
et maintenance d'une infrastructure réseau Microsoft Windows Server 2003.
Mise en place de l'atelier

Aucune configuration de mise en place de l'atelier n'affecte la réplication ou la
personnalisation.
Résultats de l'atelier
Aucun changement de configuration des ordinateurs des stagiaires n'affecte la
réplication ou la personnalisation.
Module 5 : Planification d'une stratégie DNS 1
Vue d'ensemble
*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Introduction Ce module présente les informations nécessaires à la planification
de l'implémentation d'un système DNS (Domain Name System) dans votre
organisation.
Objectifs du module À la fin de ce module, les stagiaires seront à même d'effectuer les tâches
suivantes :
! planifier une implémentation de serveurs DNS ;
! planifier une stratégie d'espace de noms ;
! planifier des zones ;
! planifier la réplication et la delegation de zones ;
! intégrer DNS et WINS (Windows Internet Naming Service).
2 Module 5 : Planification d'une stratégie DNS
Leçon : Planification des serveurs DNS

Introduction Cette leçon porte sur les configurations et les propriétés des serveurs DNS ainsi
que sur la sécurité des serveurs DNS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! déterminer les configurations des serveurs DNS ;
! déterminer les propriétés des serveurs DNS ;
! déterminer la prise en charge de DNS Security (DNSSEC) ;
! déterminer la taille des messages UDP (User Datagram Protocol).
Présentation multimédia : Résolution des noms par les

clients DNS

Introduction L'objectif de cette présentation vise à expliquer comment les clients DNS
résolvent les noms d'hôtes en adresses IP (Internet Protocol).
Objectifs Vous allez apprendre à effectuer les tâches suivantes :
! expliquer la fonctionnalité d'un serveur DNS dans un réseau routé ;
! identifier un nom de domaine pleinement qualifié ;
! expliquer la procédure d'utilisation d'un serveur DNS pour résoudre un nom
d'hôte en adresse IP.
Questions clés Lors de la visualisation de cette présentation, vous devez vous poser les
questions suivantes :
! Quelle est la fonction d'un serveur DNS ?
! Comment un serveur DNS traite-t-il les noms de domaines pleinement
qualifiés ?
! Comment un serveur DNS résout-il un nom d'hôte en adresse IP ?
Détermination des caractéristiques des serveurs DNS

Introduction Après avoir défini le plan DNS, vous devez déterminer les caractéristiques des
serveurs. Vous devez tenir compte de plusieurs facteurs lors de la planification
du serveur DNS. Vous devez :
! planifier la capacité et examiner la configuration matérielle des serveurs ;
! déterminer le nombre de serveurs DNS nécessaires et leur rôle sur le réseau.
Pour déterminer le nombre de serveurs DNS à utiliser, vous devez définir
les serveurs qui hébergeront les copies principales et les copies secondaires
des zones. En outre, si vous utilisez le service d'annuaire Active Directory®,
déterminez si le serveur fonctionne en tant que contrôleur de domaine
ou en tant que serveur membre du domaine ;
! déterminer l'emplacement des serveurs DNS sur le réseau pour les charges
de trafic, la réplication et la tolérance de pannes ;
! décider si vous allez utiliser uniquement des serveurs DNS qui exécutent
Microsoft® Windows Server™ 2003 ou utiliser une combinaison
d'implémentations de serveurs DNS Windows et d'autres serveurs.
Planification de la La planification et le déploiement des serveurs DNS sur le réseau imposent

capacité des serveurs d'examiner divers aspects du réseau et la capacité des serveurs DNS que vous
prévoyez d'utiliser. Tenez compte des éléments suivants lors de la planification
de la capacité des serveurs :
! Déterminez le nombre de zones que le serveur DNS doit charger
et héberger.
! Pour chaque zone que le serveur charge pour la gérer, déterminez la taille
de la zone en fonction de la taille du fichier de zone ou du nombre
d'enregistrements de ressource utilisés dans la zone.
! Dans le cas d'un serveur DNS muti-résident (possédant plus d'une
adresse IP), déterminez le nombre d'adresses à activer pour écouter
et desservir les clients DNS sur chacun des sous-réseaux connectés
au serveur.
! Déterminez le nombre total de demandes de requêtes DNS de clients qu'un
serveur DNS va recevoir et traiter.
Configuration système Dans de nombreux cas, l'ajout de mémoire RAM (Random Access Memory)
d'un serveur DNS à un serveur DNS peut en améliorer sensiblement les performances. Cette
amélioration s'explique par le fait qu'au démarrage du service, le serveur DNS
charge toutes ses zones configurées dans sa mémoire. Si le serveur gère
et charge un grand nombre de zones et que des mises à jour dynamiques sont
fréquentes pour les clients des zones, l'extension de la mémoire peut être utile.
Notez, qu'en règle générale, le serveur DNS utilise la mémoire système
de la manière suivante :
! Environ 4 méga-octets (Mo) de mémoire RAM sont utilisés lorsque
le serveur DNS démarre sans aucune zone.
! Le serveur DNS utilise de la mémoire supplémentaire pour chaque zone
ou chaque enregistrement de ressource qui y est ajouté.
! En moyenne, 100 octets de mémoire serveur sont utilisés pour chaque
enregistrement de ressource ajouté à la zone d'un serveur. Si, par exemple,
une zone contenant 1 000 enregistrements de ressource est ajoutée à un
serveur, elle occupera environ 100 kilo-octets (Ko) de mémoire serveur.
Vous pouvez commencer par déterminer les plans de vos serveurs en examinant
des échantillons des résultats des tests des performances des serveurs DNS des
équipes de développement et de tests DNS Windows Server 2003. En outre,
vous pouvez utiliser les compteurs relatifs aux serveurs DNS, fournis avec les
outils d'analyse de Windows Server 2003, pour obtenir les mesures
de performances de vos propres serveurs DNS qui exécutent
Windows Server 2003 et que vous déployez sur le réseau.
Important Les recommandations précédentes ne sont pas destinées à indiquer

les performances maximales ou les limitations des serveurs DNS qui exécutent
Ces valeurs sont approximatives et peuvent dépendre du type d'enregistrement

de ressource entré dans les zones, du nombre d'enregistrements de ressource qui
possèdent le même nom de propriétaire et du nombre de zones en cours
d'utilisation sur un serveur DNS donné.
Détermination de l'emplacement des serveurs DNS

Introduction Vous devez tenir compte de plusieurs facteurs pour déterminer l'emplacement
des serveurs DNS. Vous devez déterminer non seulement l'emplacement des
serveurs, mais également le nombre de serveurs nécessaires et leur
configuration système.
Emplacement des D'une manière générale, placez les serveurs DNS dans un endroit du réseau
serveurs DNS facilement accessible aux clients. Il est souvent très pratique d'utiliser
un serveur DNS sur chaque sous-réseau. Tenez compte des facteurs suivants
pour déterminer l'emplacement d'un serveur DNS :
! Si vous déployez DNS pour prendre en charge Active Directory, déterminez
si le serveur DNS est également un contrôleur de domaine ou s'il
le deviendra.
! Si le serveur DNS cesse de répondre, déterminez si ses clients locaux
peuvent accéder à un autre serveur DNS.
! Si le serveur DNS est situé sur un sous-réseau distant pour certains de ses
clients, identifiez les autres serveurs DNS disponibles ou déterminez les
autres options possibles de résolution de noms si la connexion routée cesse
de répondre.
! Pour les installations de serveurs DNS dans lesquelles l'utilisation
de Active Directory représente un problème, examinez les questions
particulières d'interopérabilité et les détails d'installation.
! Pour toutes les installations de serveurs DNS, notamment celles où
l'utilisation de Active Directory ne constitue pas un problème, il peut être
utile d'appliquer les instructions d'emplacement et de planification
de serveur ci-dessous.
Détermination du Pour déterminer le nombre de serveurs DNS que vous devez utiliser, évaluez
nombre de serveurs l'effet des transferts de zone et du trafic des requêtes DNS sur les liens peu
rapides du réseau. Bien que le système DNS soit conçu pour contribuer
à réduire le trafic des diffusions entre les réseaux locaux, il génère du trafic
entre les serveurs et les clients. Vous devez évaluer ce trafic, notamment lors
de l'implémentation de DNS dans des environnements de réseau local ou étendu
routés de manière complexe.
Tenez compte de l'impact des transferts de zone sur les liaisons lentes telles que
celles généralement utilisées dans les connexions de réseau étendu. Bien que
le service DNS prenne en charge les transferts de zone incrémentiels et que les
clients et les serveurs DNS Windows Server 2003 puissent mettre en cache les
derniers noms utilisés, le trafic peut toujours constituer un problème,
en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol)
écourtés engendrent des mises à jour plus fréquentes dans DNS. Pour traiter les
emplacements distants sur les liaisons de réseau étendu, une possibilité consiste
à y installer un serveur DNS qui fournit un service DNS de cache uniquement.
Dans la plupart des installations, vous devez disposer d'au moins deux serveurs
hébergeant chacun des zones DNS pour garantir la tolérance de pannes. Le
système DNS est conçu pour deux serveurs par zone : un serveur principal
et un serveur de secours ou secondaire. Avant de déterminer le nombre
de serveurs à utiliser, vous devez évaluer le niveau de tolérance de pannes
nécessaire au réseau.
Exemple d'emplacement Si le réseau local est routé et que les liens à haut débit sont assez fiables, vous
de serveur DNS pouvez utiliser un serveur DNS pour un grand réseau contenant plusieurs sous-
réseaux. Si un grand nombre de nœuds de clients se trouvent dans un seul sous-
réseau, il peut être judicieux d'ajouter plusieurs serveurs DNS au sous-réseau
pour fournir des services de sauvegarde et de basculement en cas d'absence
de réponse du serveur DNS favori.
Remarque Quand un seul serveur exécutant Windows Server 2003 est utilisé
sur un petit réseau local dans un environnement comportant un seul sous-
réseau, vous pouvez le configurer pour simuler le serveur principal et les
serveurs secondaires d'une zone.
Présentation multimédia : Résolution des noms avec

un serveur DNS

Introduction L'objectif de cette présentation vise à expliquer la procédure de résolution des
noms avec un serveur DNS.
! expliquer la fonctionnalité d'un serveur DNS ;
! définir la procédure de résolution des noms à l'aide d'un serveur DNS ;
! identifier les types de requêtes ;
! expliquer l'intégration de DNS et WINS.
! Quels sont les deux types de requêtes que le résolveur peut envoyer
à un serveur DNS ?
! Pourquoi la zone spéciale in-addr.arpa a-t-elle été créée ?
! Qu'est-ce qu'un enregistrement de pointeur (PTR) ?
! Comment les requêtes de redirection résolvent-elles les noms d'hôtes ?
! Comment les requêtes inversées résolvent-elles les noms d'hôtes ?
Rôles des serveurs DNS

Introduction La configuration DNS peut contenir un certain nombre de serveurs configurés
différemment pour jouer des rôles spécifiques dans l'environnement. Lors
de la planification de l'implémentation des serveurs, vous devez déterminer
la fonctionnalité fournie avec chaque serveur. Les informations suivantes
détaillent les différents rôles des serveurs DNS.
Serveurs cache Les serveurs cache uniquement effectuent la résolution des noms pour les
uniquement clients, puis mettent en cache (stockent) les résultats. Comme ces serveurs ne
sont pas configurés pour faire autorité sur la zone, ils ne stockent pas de zones
standard principales ou secondaires. Le cache est rempli par les noms les plus
fréquemment demandés. Ces noms et leurs adresses IP associées sont
disponibles à partir du cache pour répondre aux requêtes suivantes des clients.
Les serveurs cache uniquement contribuent à réduire le trafic sur un réseau
étendu comme suit :
! Un serveur cache uniquement tente de localiser les informations de son
cache pour résoudre les demandes des clients. Si les informations requises
sont introuvables, le serveur cache uniquement envoie une requête sur
le réseau étendu pour localiser les informations nécessaires et met à jour son
cache. En stockant les informations dans son cache, le serveur effectue
moins de requêtes, ce qui réduit le trafic sur le réseau étendu.
! Contrairement à un serveur DNS principal, un serveur cache uniquement ne
contient pas de fichiers de zones. Il ne stocke pas non plus de copie d'un
fichier de zone comme le fait un serveur DNS secondaire. Par conséquent,
les serveurs cache uniquement ne créent pas de trafic de transfert de zone.
Lorsqu'un bureau distant dispose d'une largeur de bande passante limitée pour
se connecter à un siège, un serveur cache uniquement doit être configuré
au bureau distant pour envoyer des requêtes récursives à un serveur DNS
du siège. Une requête récursive est une requête dans laquelle le serveur DNS
assume pleinement la charge de travail et la responsabilité pour donner une
réponse complète à la requête. Le serveur DNS du siège est mieux équipé pour
traiter les requêtes récursives, du fait qu'il dispose d'une plus grande largeur
de bande passante pour se connecter à Internet ou à un intranet.
Serveurs non récursifs Un serveur non récursif est un serveur DNS sur lequel la récursivité a été
désactivée. Ainsi le serveur ne peut pas utiliser la récursivité pour résoudre les
noms pour les clients. Le serveur ne peut pas non plus rediriger les demandes.
Si un serveur non récursif ne peut pas résoudre directement un nom, il renvoie
une réponse négative à la requête.
Vous devez désactiver la récursivité sur les serveurs DNS face à Internet qui
font autorité sur une ou plusieurs zones. Ainsi, le serveur DNS pourra répondre
aux requêtes d'autres serveurs DNS sur les informations de la zone, mais
empêchera les clients Internet d'utiliser le serveur DNS pour résoudre d'autres
noms de domaines sur Internet. Vous pouvez également désactiver la récursivité
pour limiter les clients à la résolution des noms internes à votre organisation.
Serveurs redirecteurs Lorsqu'un serveur configuré pour utiliser les redirecteurs ne peut pas résoudre
uniquement une requête localement ou à l'aide de ses redirecteurs, il tente de la résoudre
en utilisant la récursivité standard. Vous pouvez également configurer
un serveur DNS pour qu'il n'effectue pas de récursivité après l'échec des
redirecteurs. Dans cette configuration, le serveur ne tente aucune requête
récursive supplémentaire pour résoudre le nom. En fait, si le serveur ne reçoit
pas de réponse correcte à la requête d'un des serveurs configurés comme
redirecteurs, il fait échouer la requête. Un serveur DNS configuré de cette
manière est appelé serveur DNS redirecteur uniquement. Si tous les redirecteurs
d'un nom de la requête ne répondent pas à un serveur DNS redirecteur
uniquement, ce serveur DNS ne tente pas la récursivité.
Contrairement à un serveur non récursif, un serveur DNS redirecteur
uniquement crée un cache lié au nom de domaine, qu'il utilise pour tenter
de résoudre les noms d'hôtes.
Utilisez les redirecteurs pour administrer le trafic DNS entre le réseau
et Internet en configurant le pare-feu utilisé par le réseau pour permettre
à un seul serveur DNS de communiquer avec Internet.
Redirecteurs Un redirecteur conditionnel est un serveur DNS qui redirige les requêtes DNS
conditionnels en fonction du nom de domaine DNS de la requête.
Le paramétrage d'un redirecteur conditionnel d'un serveur DNS est constitué
des éléments suivants :
! des noms de domaines pour lesquels le serveur DNS redirige les requêtes ;
! d'une ou de plusieurs adresses IP de serveurs DNS pour chaque nom
de domaine spécifié.
Un serveur DNS configuré pour utiliser un redirecteur se comporte

différemment d'un serveur DNS non configuré pour utiliser un redirecteur.
Un serveur DNS configuré pour utiliser un redirecteur se comporte comme
suit :
! Lorsque le serveur DNS reçoit une requête, il tente de la résoudre à l'aide
des zones principales et des zones secondaires qu'il héberge et de son cache.
! Si la requête ne peut pas être résolue à l'aide de ces données locales,
le serveur redirige la requête vers le serveur DNS désigné comme
redirecteur.
! Le serveur DNS attend un court moment la réponse du redirecteur avant
de tenter de contacter les serveurs DNS spécifiés dans ses indications de
racine.
! Lorsqu'un serveur DNS redirige une requête vers un redirecteur, il lui
envoie une requête récursive. Cette procédure est différente de la requête
itérative qu'un serveur DNS envoie à un autre serveur DNS lors d'une
résolution de nom standard (c'est-à-dire une résolution de nom ne faisant pas
appel à un redirecteur).
Si vous voulez que les clients DNS de réseaux distincts résolvent leurs noms
respectifs sans avoir à interroger les serveurs DNS sur Internet, vous pouvez
configurer les serveurs DNS de chaque réseau pour qu'ils redirigent les requêtes
de noms de l'autre réseau. Les serveurs DNS d'un réseau redirigeront les noms
des clients de l'autre réseau vers un serveur DNS donné qui va créer un grand
cache contenant les informations relatives à l'autre réseau. En effectuant
la redirection de cette façon, vous créez un point de contact direct entre les
serveurs DNS des deux réseaux, ce qui réduit le besoin de récursivité.
Niveaux de sécurisation des serveurs DNS

Introduction Il existe trois niveaux de sécurité DNS. Vous devez déterminer le niveau
de sécurité adapté au réseau en fonction des besoins de votre organisation. Les
trois niveaux suivants de sécurité DNS vous aideront à comprendre votre
configuration DNS actuelle et vous permettront d'accroître la sécurité DNS
de votre organisation.
Niveau de sécurité bas Le niveau de sécurité bas est un déploiement DNS standard sans précautions
de sécurité configurées. Vous déployez ce niveau de sécurité DNS uniquement
dans les environnements réseau dans lesquels il n'existe aucun problème
d'intégrité des données DNS ou dans un réseau privé où il n'existe aucune
menace de connexion externe.
Lorsque vous implémentez le niveau de sécurité bas :
! l'infrastructure DNS de votre organisation est totalement exposée à Internet ;
! la résolution DNS standard est effectuée par tous les serveurs DNS
du réseau ;
! tous les serveurs DNS sont configurés avec leurs indications de racine qui
pointent vers les serveurs racine pour Internet ;
! tous les serveurs DNS permettent les transferts de zone à tous les serveurs ;
! tous les serveurs DNS sont configurés pour écouter sur toutes leurs
adresses IP ;
! la prévention de la pollution du cache est désactivée sur tous les
serveurs DNS ;
! la mise à jour dynamique est autorisée pour toutes les zones DNS ;
! le port 53 de UDP et TCP/IP (Transmission Control Protocol/Internet
Protocol) est ouvert sur le pare-feu du réseau pour les adresses source et de
destination.
Niveau de sécurité Le niveau de sécurité moyen utilise les fonctions de sécurité DNS disponibles
moyen sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker
de zones DNS dans Active Directory.
Lorsque vous implémentez le niveau de sécurité moyen :
! l'exposition de l'infrastructure DNS de votre organisation à Internet est
limitée ;
! tous les serveurs DNS sont configurés pour utiliser des redirecteurs qui
pointent vers une liste spécifique de serveur DNS internes lorsqu'ils
ne peuvent pas résoudre les noms localement ;
! tous les serveurs DNS restreignent les transferts de zone aux serveurs
figurant dans les enregistrements de ressource de serveur de noms (NS)
de leurs zones ;
! les serveurs DNS sont configurés pour écouter sur des adresses
IP spécifiées ;
! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;
! la mise à jour dynamique n'est autorisée pour aucune zone DNS ;
! les serveurs DNS internes communiquent avec les serveurs DNS externes
à travers le pare-feu, ce qui permet d'utiliser uniquement une liste limitée
d'adresses source et de destination ;
! les serveurs DNS externes devant le pare-feu sont configurés avec leurs
indications de racine qui pointent vers les serveurs racine pour Internet ;
! toutes les résolutions de noms Internet sont effectuées à l'aide de serveurs
proxy et de passerelles.
Niveau de sécurité haut Le niveau de sécurité haut utilise la même configuration que le niveau
de sécurité moyen, avec en plus les fonctions de sécurité disponibles lorsque le
service DNS est exécuté sur un contrôleur de domaine et lorsque les zones DNS
sont stockées dans Active Directory. En outre, le niveau de sécurité élevé
élimine complètement la communication de DNS avec Internet. Ce n'est pas
une configuration habituelle, mais elle est recommandée chaque fois que
la connectivité Internet n'est pas indispensable.
Lorsque vous implémentez le niveau de sécurité haut :
! l'infrastructure DNS de votre organisation ne permet aucune communication
Internet avec les serveurs DNS internes ;
! le réseau utilise une racine et un espace de noms DNS internes où toute
l'autorité pour les zones DNS est interne ;
! les serveurs DNS configurés avec des redirecteurs utilisent les adresses
IP des serveurs DNS internes uniquement ;
! tous les serveurs DNS restreignent les transferts de zone à des adresses
IP spécifiées ;
! les serveurs DNS sont configurés pour écouter sur des adresses
IP spécifiées ;
! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;
! les serveurs DNS sont configurés avec leurs indications de racine qui
pointent vers les serveurs DNS internes qui hébergent la zone racine
de l'espace de noms interne ;
! tous les serveurs DNS sont exécutés sur des contrôleurs de domaine ; une
liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access
Control List) est configurée sur le service DNS pour permettre uniquement
à des personnes spécifiées d'accomplir des tâches d'administration sur le
serveur DNS ;
! toutes les zones DNS sont stockées dans Active Directory ; une liste DACL
est configurée pour permettre à des personnes spécifiques uniquement
de créer, supprimer ou modifier des zones DNS ;
! des listes DACL sont configurées dans les enregistrements de ressource
DNS pour permettre à des personnes spécifiques uniquement de créer,
supprimer ou modifier des données DNS ;
! la mise à jour dynamique sécurisée est configurée pour les zones DNS,
à l'exception des zones de niveau supérieur et racine, qui ne permettent
aucune mise à jour dynamique.
Remarque Pour plus d'informations sur les menaces de sécurité DNS, reportez-
vous à la rubrique suivante des fichiers d'aide de DNS : « Security Information
for DNS » (Informations de sécurité pour DNS).
Instructions de planification d'un serveur DNS

Introduction Il est recommandé de suivre les instructions ci-dessous pour planifier
un serveur DNS.
Détermination des La planification et le déploiement des serveurs DNS sur le réseau imposent
caractéristiques des de définir la capacité des serveurs nécessaire à votre entreprise et de déterminer
serveurs la configuration des serveurs DNS.
Détermination de Pour cette étape, vous devez déterminer le nombre de serveurs et leur
l'emplacement des emplacement. Ces éléments sont liés à l'implémentation ou non de
serveurs DNS Active Directory et à la vitesse de connexion entre les bureaux.
Détermination de la Le serveur DNS peut assurer plusieurs fonctions. Vous devez déterminer
fonctionnalité des si vous allez employer une solution cache uniquement, un serveur redirecteur
serveurs uniquement, des redirecteurs conditionnels ou des zones de stub. Chaque option
possède des caractéristiques uniques et un comportement spécialisé.
Détermination du niveau Enfin, vous devez déterminer si vous allez mettre en œuvre un niveau
de sécurité à de sécurité bas, moyen ou haut en fonction de votre configuration DNS
implémenter et de vos besoins organisationnels.
Application pratique : Planification de la sécurité des serveurs DNS

Introduction Dans cette application pratique, vous allez planifier et expliquer les difficultés
relatives à la sécurisation d'une configuration de serveur DNS.
Objectif L'objectif de cette application pratique vise à planifier la sécurité des serveurs
DNS.
Instructions 1. Lisez le scénario.
2. Préparez-vous à expliquer les difficultés de cette tâche après l'application
pratique.
Scénario Vous êtes consultant en systèmes DNS chez Contoso, Ltd, un distributeur
et fabricant de pièces d'automobiles personnalisées en rapide expansion.
La société vient de faire évaluer la sécurité par un cabinet conseil spécialisé
dans la sécurité qui a déterminé que son serveur DNS était vulnérable aux
attaques, car son pare-feu permet le trafic vers et depuis tous les serveurs. Tous
les serveurs DNS de Contoso, Ltd. sont autorisés à communiquer directement
avec Internet à travers le pare-feu.
Le document de conception DNS a été modifié comme suit :
Le pare-feu autorise uniquement le trafic DNS vers Internet à partir de l'unique
serveur DNS du sous-réseau filtré. Le seul trafic DNS autorisé à partir
de l'intranet correspond à celui situé entre les trois serveurs DNS du réseau
d'entreprise et le serveur DNS du sous-réseau filtré.
Application pratique Comment adaptez-vous la planification DNS pour répondre à cette nouvelle
condition de sécurité ?
Prévoyez de configurer les trois serveurs DNS sur l'intranet en tant que
serveurs redirecteurs uniquement. Ces serveurs répondront à toutes les
requêtes faisant autorité pour leurs propres données de zone. Toutes les
requêtes de données en dehors de leur autorité seront redirigées vers
le serveur DNS du sous-réseau filtré. Les serveurs de l'intranet n'essaieront
pas de répondre aux requêtes de manière récursive si le redirecteur
ne parvient pas à y répondre. Les serveurs de l'intranet vont créer un
cache pour réduire le trafic envoyé à travers le pare-feu pour répondre
à une requête.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Quel niveau de sécurité recommandez-vous pour les serveurs DNS de Contoso,

Ltd. ? Pourquoi ?
Un niveau de sécurité moyen. Un niveau de sécurité haut serait trop
restrictif, car la société doit communiquer avec des serveurs sur Internet.
Un niveau de sécurité bas laisserait la société vulnérable aux attaques,
comme l'a révélé l'audit de sécurité.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Leçon : Planification d'un espace de noms

Introduction Cette leçon porte sur les concepts de planification d'un espace de noms et les
décisions à prendre.
! rechercher, dans un environnement réseau existant, les facteurs susceptibles
d'affecter la conception DNS ;
! déterminer si l'accès à Internet est nécessaire et l'éventualité de plusieurs
espaces de noms ;
! déterminer la conception de l'espace de noms.
Présentation multimédia : Planification d'une stratégie

d'espace de noms DNS

Introduction L'objectif de cette présentation vise à fournir les instructions relatives
à la planification d'un espace de noms DNS.
! expliquer comment séparer les espaces de noms interne et externe ;
! appliquer les instructions pour intégrer l'espace de noms Active Directory
et l'espace de noms DNS ;
! expliquer l'importance du choix d'un nom unique pour un espace de noms
interne ;
! déterminer le mode de relation entre les espaces de noms public et privé ;
! expliquer l'importance de la planification d'un espace de noms hiérarchique.
! Comment intégrer l'espace de noms interne privé et l'espace de noms
externe public ?
! Quel service doit être disponible pour pouvoir créer le premier contrôleur
de domaine Active Directory ?
! Quels sont les besoins de votre identité d'entreprise ?
! Quelles sont les conditions de sécurité nécessaires à votre organisation ?
! Comment vérifier que l'espace de noms privé est unique ?
! Comment garantir que seul un serveur DNS nécessite un fichier
d'indications de racine ?
Choix d'un nom de domaine

Introduction Pour planifier convenablement un espace de noms, vous devez comprendre
ce qu'est un nom de domaine disponible, ce que sont les conventions
d'attribution de noms et qui fait autorité pour les domaines.
ICANN L'ICANN (Internet Corporation for Assigned Names and Numbers) détient
l'autorité pour les noms de domaine racine et de niveau supérieur de l'espace
de noms DNS Internet. L'ICANN attribue aux organisations des identifiants
uniques à l'échelle mondiale, notamment les noms de domaines Internet, les
numéros d'adresse IP, ainsi que les numéros de ports et de paramètres
de protocole. Une autorité centrale est nécessaire pour ces informations, car ces
identifiants doivent être uniques pour qu'Internet fonctionne sans informations
dupliquées.
Remarque Pour plus d'informations sur l'ICANN, visitez le site

http://www.icann.org.
Noms de domaines de Le tableau ci-dessous contient des informations sur chacun des domaines
niveau supérieur Internet de niveau supérieur. Vous devez choisir le nom de domaine de niveau
supérieur adapté aux besoins de votre organisation.
Nom de niveau
supérieur Fonction Exemple
.com Organisations commerciales, telles Microsoft microsoft.com

Corporation
.edu Organisations d'enseignement, telles que cmu.edu
Carnegie Mellon University. Récemment, une
décision a été prise pour restreindre les
enregistrements aux établissements
d'enseignement supérieur et aux universités.
.gov Organisations gouvernementales des whitehouse.gov
États-Unis, telles que la Maison Blanche à
Washington, D.C.
.int Organisations internationales, telles que nato.int
l'Organisation du Traité de l'Atlantique Nord
mil Organisations militaires des États-Unis, telles af.mil
que l'Armée de l'air américaine
.net Organisations de services de réseau, y psi.net
compris les fournisseurs de service Internet
.org Organisations non commerciales, telles que ICANN.org
l'ICANN
Remarque La liste complète des domaines de niveau supérieur est disponible à

l'adresse http://www.icann.org.
Obtention de noms de Pour obtenir des noms de domaines de niveau supérieur, demandez-les
domaines de niveau à l'ICANN ou à une autre autorité d'attribution de noms Internet. Lorsque vous
supérieur recevez les noms de domaines, vous pouvez vous connecter à Internet et utiliser
des serveurs DNS pour administrer la correspondance des noms et des
adresses IP (et inversement) des périphériques hôtes contenus dans leur partie
de l'espace de noms.
Options de domaine Après avoir obtenu un nom de domaine, vous avez le choix entre :
! nommer les ordinateurs et périphériques réseau dans le domaine attribué et
ses subdivisions ;
! déléguer des sous-domaines du domaine à d'autres utilisateurs ou clients.
Conventions Il est vivement recommandé d'utiliser dans les noms, des caractères du jeu de
d'attribution de noms de caractères Internet standard permis pour l'attribution de noms d'hôtes DNS. Les
domaines caractères autorisés sont définis dans le document RFC 1123 (Request For
Comments) comme suit : toutes les lettres majuscules (A–Z) et minuscules
(a–z), les chiffres (0–9) et le tiret (-).
Détermination des Lors de la détermination des caractéristiques de l'espace de noms, vous devez
caractéristiques de définir comment vous prévoyez d'utiliser DNS ainsi que vos objectifs. Tenez
l'espace de noms compte des éléments suivants pour prendre vos décisions :
! Prévoyez-vous d'utiliser l'espace de noms en interne uniquement ?
Pour un espace de noms interne, vous pouvez implémenter votre propre
racine DNS, utiliser le nom de domaine que vous voulez et utiliser des
caractères qui ne figurent pas dans la norme Internet définie dans
le document RFC 1123.
! Prévoyez-vous d'utiliser l'espace de noms sur Internet ?
Si vous envisagez d'utiliser l'espace de noms sur Internet ou pensez le faire
ultérieurement, vous devez enregistrer votre propre nom de domaine unique
à l'aide des serveurs racine Internet et vérifier que le nom respecte les
normes des noms Internet.
! Allez-vous implémenter Active Directory ?
Si vous implémentez Active Directory ou prévoyez de le faire, vous devez
vous assurer que la hiérarchie de l'espace de noms représente efficacement
l'organisation tout entière, afin qu'elle puisse être utilisée pour l'espace
de noms Active Directory.
Sélection d'un nom de Vous devez choisir un nom de domaine significatif qui représente toute votre
domaine organisation, même si vous n'envisagez pas dans l'immédiat d'utiliser ce nom
en externe. Vous pourrez ainsi l'utiliser plus tard si vous modifiez vos plans.
Vous pourrez aussi utiliser l'espace de noms pour une implémentation ultérieure
éventuelle de Active Directory.
Vérification de l'unicité Après avoir choisi le nom de domaine, vous devez vérifier qu'il est unique. Pour
d'un nom de domaine ce faire, vous pouvez :
! utiliser l'outil « Registry Whois » disponible à l'adresse
http://www.internic.net. Ce site vous permet de savoir si un nom
de domaine a déjà été enregistré ;
! visiter le site http://www.domainsurfer.com pour afficher la liste de tous les
noms de domaines qui contiennent le texte que vous souhaitez utiliser dans
votre nom de domaine.
Options d'espace de noms DNS

Introduction Il existe trois options pour sélectionner un espace de noms DNS : utiliser
l'espace de noms existant, un espace de noms délégué (comme un sous-
domaine) ou un nouvel espace de noms unique. Le type d'espace de noms choisi
est déterminé par les besoins de votre entreprise. Il est essentiel de comprendre
que la configuration d'hôtes dans des espaces de noms distincts pour qu'ils
puissent se localiser est une tâche complexe qui exige des périphériques
distincts tels que des serveurs proxy.
Caractéristiques de la En fonction des exigences de votre entreprise et de l'environnement DNS
planification de l'espace existant, vous pouvez faire l'un des choix suivants lors de la conception
de noms de l'espace de noms :
! utiliser l'espace de noms DNS externe existant de l'organisation comme
espace de noms interne (par exemple, microsoft.com pour une utilisation
interne et externe) ;
! utiliser un domaine délégué de l'espace de noms DNS interne existant de
l'organisation comme espace de noms interne (par exemple, microsoft.com
pour une utilisation externe et corp.microsoft.com pour un usage interne) ;
! utiliser un espace de noms interne différent de l'espace de noms DNS
externe existant (par exemple, microsoft.com pour une utilisation externe
et microsoft.net pour un usage interne) ;
! utiliser un domaine DNS enfant comme organisation de la racine de
Active Directory au lieu d'utiliser le nom de domaine DNS enregistré.
Cette option isole toutes les données Active Directory dans leur domaine
ou arborescence de domaine.
Utilisation de l'espace Vous pouvez vouloir conserver un nom de domaine DNS unique pour l'espace
de noms existant de noms DNS existant et l'espace de noms interne. Toutefois, vous devez vous
assurer que l'espace de noms interne n'est pas accessible à partir d'Internet.
Instructions d'utilisation L'utilisation d'un espace de noms existant offre pour principal avantage de ne
d'un espace de noms pas avoir à déterminer, ni enregistrer un nom interne. Si vous décidez d'utiliser
DNS existant l'espace de noms existant en tant qu'espace de noms interne, tenez compte des
facteurs et des instructions suivants :
! Les utilisateurs peuvent accéder à un nom de domaine unique lors de l'accès
aux ressources internes et externes.
! Il n'est pas nécessaire d'enregistrer des noms supplémentaires auprès d'une
autorité d'enregistrement des noms DNS.
! Des activités d'administration supplémentaires sont nécessaires de la part
des administrateurs DNS pour garantir que les enregistrements appropriés
sont stockés sur les serveurs DNS internes et externes.
Avantages de Un espace de noms public et un espace de noms privé distincts offrent les
l'utilisation d'espace de avantages suivants :
noms distincts
! meilleure sécurité, car les utilisateurs et les ordinateurs extérieurs à
l'organisation ne peuvent pas accéder à l'espace de noms privé ;
! impact minimal sur l'espace de noms existant ;
! moins de tâches d'administration pour les administrateurs DNS en place.
Instructions d'utilisation Vous pouvez intégrer DNS à l'espace de noms existant d'une organisation
d'espace de noms en créant un espace de noms public et un espace de noms privé distincts.
distincts L'espace de noms existant est contenu dans la partie publique de l'espace
de noms. Le service DNS de Windows Server 2003 administre la partie privée
de l'espace de noms. Si vous décidez d'utiliser un espace de noms différent de
l'espace de noms DNS existant, tenez compte des facteurs et des instructions
suivants :
! Les ressources sont faciles à administrer et à sécuriser.
! Le contenu des serveurs DNS existants n'a pas besoin d'être répliqué sur les
serveurs DNS de l'espace de noms interne.
! Les zones DNS et la topologie DNS existantes peuvent rester telles quelles.
! L'espace de noms interne n'est pas exposé sur Internet.
! Les ressources internes ne sont pas accessibles à partir d'Internet.
Utilisation d'un espace La création d'un sous-domaine unique dans l'espace de noms est très
de noms délégué comparable à la stratégie de création d'un espace de noms public et d'un espace
de noms privé distincts. Toutefois, vous n'avez pas divisé, dans ce cas, l'espace
de noms en parties publique et privée, mais vous spécifiez que tous les serveurs
DNS Windows Server 2003 résident dans un sous-domaine unique de l'espace
de noms. Pour des raisons de sécurité, il est généralement recommandé
de permettre aux clients internes de réaliser la résolution DNS des espaces
de noms DNS interne et externe, mais d'interdire aux clients externes l'accès
à l'espace de noms interne.
Avantage de l'utilisation L'utilisation d'un espace de noms délégué offre pour principal avantage de
d'un espace de noms limiter l'impact sur l'espace de noms existant. En outre, cette stratégie demande
délégué moins de tâches d'administration de la part des administrateurs DNS en place.
Instructions d'utilisation Si vous décidez d'utiliser un espace de noms délégué en tant qu'espace de noms
d'un espace de noms interne ou espace de noms racine de Active Directory, tenez compte des
délégué éléments et des instructions suivants :
! L'espace de noms contigu utilisé est plus facilement compris par
le personnel d'administration et les utilisateurs.
! Toutes les données internes sont isolées dans un domaine ou dans une
arborescence de domaine.
! Un serveur DNS distinct est nécessaire pour le domaine interne délégué.
! L'espace de noms interne peut être long.
Important Quel que soit le nom de l'espace de nom interne, veillez

à l'enregistrer auprès d'un organisme d'enregistrement. Evitez les situations dans
lesquelles deux sociétés fusionnent et utilisent le même nom d'espace de noms
Active Directory.
Recommandations relatives à la planification des espaces de noms

Introduction Comme pour toute décision de planification, dans la mesure du possible, vous
devez suivre les bonnes pratiques en vigueur lors de la planification des espaces
de noms. Ces bonnes pratiques incluent l'utilisation de noms uniques, la
séparation de l'espace de noms interne et de l'espace de noms externe et la
création d'espaces de noms compatibles avec Active Directory. Le respect
de ces pratiques contribue à réduire l'impact sur la prise en charge de l'espace
de noms.
Utilisation de noms Lors de la planification de l'espace de nom DNS, il est recommandé d'utiliser
uniques un jeu de noms uniques qui ne se superposent pas comme base d'utilisation
DNS interne et externe.
Exemples Par exemple, en supposant que le nom de domaine parent de votre organisation
est microsoft.com, vous pouvez :
! faire en sorte que le domaine interne soit distinct de l'espace de noms
externe et non contigu, en utilisant un nom tel que microsoft.net
(ou microsoft.local si vous envisagez de ne jamais rendre les ressources
disponibles en externe) ;
! séparer le domaine interne du domaine externe mais le laisser contigu,
en utilisant un nom tel que corp.microsoft.com.
Séparation de l'espace La séparation de l'espace de nom interne et de l'espace de noms externe facilite
de noms interne et de la gestion des configurations, telles qu'un filtre de noms de domaines ou des
l'espace de noms listes d'exclusion. Si vous choisissez d'utiliser le même espace de noms pour
externe la résolution interne et externe, vous devez créer une infrastructure DNS divisée
pour soutenir cette décision.
Création d'un espace de Lors de la planification de l'espace de noms, vous devez prévoir si vous allez
noms compatible avec implémenter Active Directory maintenant ou ultérieurement. Si vous envisagez
Active Directory d'implémenter Active Directory, vous devez vous assurer que l'espace de noms
sélectionné est compatible avec un espace de noms Active Directory.
Instructions de la planification d'un espace de noms

Introduction La résolution de nom à l'aide du système DNS est essentielle au fonctionnement
de Windows Server 2003. Sans résolution de nom correcte, les utilisateurs ne
peuvent pas localiser les ressources sur le réseau. Il est indispensable de créer
l'espace de noms DNS en tenant compte d'Active Directory et en vous assurant
que le plus grand espace de noms qui existe sur Internet n'est pas en conflit avec
l'espace de noms interne de votre organisation. Tenez compte des instructions
ci-dessous pour planifier l'espace de noms.
Sélection de l'espace de Déterminez le nom de domaine enregistré par votre organisation pour
noms DNS du domaine l'utilisation sur Internet (par exemple, contoso.com). Si votre société ne possède
pas encore de nom de domaine enregistré, il peut être judicieux d'en enregistrer
un sur Internet. Si vous choisissez de ne pas le faire, veillez à choisir un nom
unique. Vous pouvez rechercher les noms de domaines déjà utilisés à l'adresse
http://www.internic.net.
Utilisation d'espaces de Pour un usage interne, vous pouvez utiliser un espace de noms tel que
noms différents pour contoso.com, ou un sous-domaine du nom externe tel que corp.contoso.com.
une utilisation interne et La structure de sous-domaine peut être utile si un espace de noms DNS existe
externe déjà. Pour simplifier l'administration, vous pouvez attribuer des sous-domaines
différents à des organisations ou emplacements différents, tels que
nomun.corp.contoso.com ou nomdeux.corp.contoso.com.
Maintien de la Les serveurs externes doivent contenir uniquement les noms qui doivent être
séparation des espaces accessibles à partir d'Internet. Les serveurs internes doivent contenir
de noms sur les uniquement les noms destinés à un usage interne.
serveurs internes et
externes Vous pouvez configurer les serveurs DNS internes pour qu'ils redirigent vers
des serveurs externes les demandes qu'ils ne peuvent pas résoudre. Des types
de clients différents nécessitent différents types de résolution de noms. Par
exemple, les clients proxy Web n'ont pas besoin de résoudre les noms externes,
car le serveur proxy les résout pour eux.
Les espaces de noms internes et les espaces de noms externes qui se
chevauchent ne sont pas recommandés. Dans la plupart des cas, ce type
de configuration empêche les ordinateurs de localiser les ressources nécessaires,
car ils reçoivent des adresses IP incorrectes du système DNS. Cela est
particulièrement gênant en cas de conversion d'adresse réseau (NAT, Network
Address Translation) et lorsque l'adresse IP externe est dans une plage
inaccessible pour les clients internes.
Remarque Assurez-vous que des serveurs racine ne sont pas créés par erreur.
Les serveurs racine peuvent être créés à l'aide de l'Assistant Installation
de Active Directory (DCPromo.exe), et dans ce cas, les clients internes peuvent
joindre les clients externes ou les domaines parents. Si la zone « . » existe, cela
implique qu'un serveur racine a été créé. Il peut être nécessaire de supprimer
cette zone pour que la résolution de nom soit correcte.
Application pratique : Planification d'un espace de noms DNS

Introduction Dans cette application pratique, vous allez planifier un espace de noms DNS
qui prend en charge les plans actuels et futurs de votre organisation.
Objectif L'objectif de cette application pratique vise à planifier un espace de noms DNS.
pratique.
Scénario Le cabinet conseil pour lequel vous travaillez vous a attribué un nouveau
compte, Contoso Ltd, pour planifier son espace de noms DNS.
Contoso, Ltd. est un distributeur et fabricant de pièces d'automobiles
personnalisées en rapide expansion. L'infrastructure réseau Microsoft
Windows NT® version 4.0 ne permet pas de faire face au développement
de la société qui prépare les étapes de planification de la migration vers
Windows Server 2003. La société possède actuellement une infrastructure
WINS, mais pas d'infrastructure DNS.
La société Contoso, Ltd. est présente sur le Web à l'adresse
http://www.contoso.com, site hébergé par son fournisseur de service Internet
qui héberge également ses services DNS, de messagerie et FTP (File Transfer
Protocol).
Le cabinet conseil avec lequel Contoso, Ltd. travaillait précédemment avait

préparé un document de conception pour la mise à niveau. Dans ce document,
vous avez trouvé les informations suivantes :
! Les coûts d'hébergement des services informatiques de Contoso, Ltd
facturés par le fournisseur de service Internet sont exorbitants. La société
souhaite héberger elle-même ces services lorsque les spécialistes
en informatique nécessaires auront été formés ou embauchés et que
la migration vers Windows Server 2003 sera terminée.
! Aucun projet relatif à Active Directory n'a commencé, mais une fois
la migration terminée, la société va très certainement l'implémenter. Tous
les plans doivent tenir compte de cette éventualité.
! Les stations de travail des clients doivent pouvoir résoudre les noms
de l'intranet et Internet et se connecter aux services de ces deux réseaux.
Application pratique Planifiez l'espace de noms DNS de la nouvelle infrastructure informatique
de Contoso, Ltd. Décrivez les étapes à suivre pour garantir que l'espace de
noms répond et répondra aux besoins techniques et professionnels de la société.
Les réponses suivantes sont possibles :
Vous pouvez utiliser l'espace de noms externe existant. Il sera hébergé sur
le serveur DNS de la société accessible en externe. Un serveur DNS interne
peut fournir des services pour l'espace de noms interne. Les serveurs
doivent communiquer pour résoudre les noms externes des clients internes,
mais pas les noms internes des clients externes (Internet).
Donnez plusieurs noms possibles pour l'espace de noms interne, qui
pourront prendre en charge les technologies futures, comme
Active Directory qui pourrait utiliser le nouveau nom comme espace
de noms.
Vous pouvez proposer des noms tels que contoso-corp01.com et
contoso.biz.
Vérifiez que les noms potentiels sont disponibles et peuvent être enregistrés
auprès d'un organisme d'enregistrement. S'ils ne sont pas disponibles,
recherchez d'autres noms et vérifiez leur disponibilité.
Établissez la liste des noms possibles disponibles à l'intention des décideurs
de Contoso, Ltd, obtenez un accord sur un nom définitif, puis enregistrez
ce nom auprès d'un organisme d'enregistrement.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Leçon : Planification des zones

Introduction Cette leçon présente les informations nécessaires pour déterminer s'il est
nécessaire d'utiliser une ou plusieurs zones dans une stratégie DNS. Cette leçon
explique également les configurations de zones requises.
! déterminer les caractéristiques des zones ;
! identifier les types de zones ;
! identifier les caractéristiques de sécurité des zones ;
! spécifier les configurations des zones.
Sélection des types de zones

Introduction Vous devez déterminer les types de zones à utiliser dans le plan DNS pour
choisir les emplacements de stockage des zones. Les types de zones DNS
choisies vont influencer l'emplacement des serveurs DNS dans une conception
de résolution de nom, car chaque type de zone répond à un besoin particulier
dans un plan DNS.
Définition des fichiers Les fichiers de zones standard, également appelés fichiers de zones DNS
de zones standard traditionnels, sont des fichiers de zones stockés sous forme de fichiers texte sur
le disque dur du serveur. Pour utiliser les fichiers de zones standard, vous créez
une zone sur le serveur DNS que vous prévoyez d'utiliser pour administrer
la base de données DNS. Ce serveur devient le serveur de zone principal où
se produisent toutes les mises à jour, telles que les ajouts ou les suppressions
d'enregistrements. Lorsque vous créez un serveur DNS pour qu'il fonctionne
comme serveur de zone secondaire, vous spécifiez le nom ou l'adresse IP
du serveur de zone principal qui fournira une copie du fichier de zone. Vous
pouvez utiliser des serveurs de zone secondaire pour équilibrer la charge
et fournir un certain niveau de tolérance de pannes.
Les zones DNS standard stockent les informations dans un fichier sur un
ordinateur exécutant Windows Server 2003 et DNS. Les zones DNS standard
présentent les caractéristiques suivantes :
! Elles suivent un modèle maître unique pour le stockage et la réplication des
informations de zone. Les zones principales sont les seuls types de zones qui
prennent en charge une copie en lecture/écriture des informations de zone.
Seule une zone principale est autorisée, mais vous pouvez répliquer des
copies en lecture seule des informations de zone sur un nombre quelconque
de zones secondaires et de zones de stub.
! Elles permettent les transferts de zone entre les zones principales et les
zones secondaires ou les zones de stub, de manière incrémentielle ou par
transfert complet du contenu de la zone. Le service DNS de
Windows Server 2003 prend en charge les transferts de zone incrémentiels
et complets.
! Elles fonctionnent de la même manière que les serveurs DNS BIND
(Berkeley Internet Name Domain). Les zones DNS traditionnelles
présentent les mêmes avantages et restrictions que les zones DNS BIND.
Vous pouvez utiliser les zones DNS traditionnelles si la conception requiert
une interopérabilité élevée avec les serveurs DNS BIND.
Définition des zones Les zones intégrées à Active Directory stockent les informations de zone DNS
intégrées à dans Active Directory. Les zones intégrées à Active Directory présentent les
Active Directory caractéristiques suivantes :
! Ce sont des copies multimaîtres en lecture/écriture des informations
de zone.
La caractéristique multimaître permet d'effectuer des mises à jour de la zone
d'origine intégrée à Active Directory ou de créer des copies répliquées de
la zone. Elle permet de toujours mettre à jour les informations de zone.
Remarque Il est recommandé de sélectionner des zones intégrées à

Active Directory si votre conception DNS contient les mises à jour dynamiques
de DNS. Les zones DNS traditionnelles ne sont pas multimaîtres, et par
conséquent la défaillance d'un serveur DNS avec une zone principale empêche
les mises à jour dynamiques.
! Elles sont répliquées par Active Directory.

Comme les zones intégrées à Active Directory stockent les informations
de zone dans Active Directory, les informations de zone sont répliquées
avec les autres données Active Directory.
! Elles sont nécessaires pour obtenir des zones DNS sécurisées et des mises
à jour de manière dynamique.
Comme les zones intégrées à Active Directory stockent les informations
de zone, vous définissez les autorisations de l'ordinateur, du groupe ou
de l'utilisateur autorisé qui peut mettre à jour les informations de zone DNS.
! Elles sont répliquées selon une étendue administrative sélectionnable.
Vous pouvez répliquer les données DNS sur un serveur DNS d'une forêt,
d'un domaine ou des contrôleurs de domaine spécifiques dans une partition
Active Directory. Vous pouvez également répliquer les informations
de zone intégrées à Active Directory vers des zones secondaires
traditionnelles extérieures au domaine.
! Elles sont traitées comme zones principales traditionnelles par un autre
serveur DNS BIND.
Les zones intégrées à Active Directory apparaissent comme des zones
principales traditionnelles pour un serveur DNS BIND. Vous pouvez
répliquer des données DNS sur d'autres zones intégrées à Active Directory
ou sur des zones secondaires traditionnelles.
Types de zones DNS Pour un plan DNS, vous disposez de trois options de types de zones.
! Principale
Les zones principales sont des copies en lecture/écriture des informations
de zone. Une zone principale traditionnelle est régulièrement transférée vers
des serveurs qui hébergent des zones secondaires pour garantir que la copie
du fichier du serveur de zone secondaire est à jour. Avec les serveurs DNS
Windows Server 2003, le serveur de zone principale transfère d'abord une
copie complète du fichier de zone, puis il envoie uniquement les
modifications au serveur de zone secondaire. Les informations de zone
intégrée à Active Directory sont répliquées par Active Directory sur les
autres serveurs qui hébergent la zone intégrée à Active Directory.
! Secondaire
Les serveurs de zone secondaire assurent uniquement la tolérance de pannes
car ils continuent de répondre aux requêtes DNS ; ils ne peuvent pas
effectuer des mises à jour du fait qu'ils possèdent seulement une copie
en lecture seule du fichier de zone. Le système DNS Windows 2000 prend
en charge les transferts de zone incrémentiels (IXFR), où le serveur de zone
principal envoie uniquement les modifications du fichier de zone apportées
depuis le dernier transfert de zone. Les types de zones secondaires
ne peuvent pas être stockés dans Active Directory.
! Stub
Une zone de stub est la copie en lecture seule d'une zone. Toutefois, une
zone de stub contient seulement un sous-ensemble des enregistrements
associés à cette zone. Elle contient des informations sur les serveurs
de noms qui font autorité pour ce domaine, en permettant à un client
(ou un autre serveur DNS) d'aller directement vers un serveur qui fait
autorité sans visiter de serveur intermédiaire. Cela peut accroître l'efficacité
du processus de résolution de nom sur des zones dans des espaces de noms
non contigus. Les informations d'une zone de stub peuvent être transférées
si une zone de stub traditionnelle est utilisée ou répliquée par
Active Directory lorsque cette dernière est intégrée à Active Directory.
Utilisation des zones de Les zones de stub permettent à un serveur DNS d'effectuer la récursivité à l'aide
stub de la liste des serveurs de noms de la zone de stub sans avoir à demander
à Internet ou au serveur racine interne l'espace de noms DNS.
L'utilisation des zones de stub dans l'infrastructure DNS permet de distribuer
une liste des serveurs DNS qui font autorité pour une zone sans utiliser des
zones secondaires. Toutefois, les zones de stub n'ont pas la même fonction que
les zones secondaires et ne doivent pas être envisagées dans le cadre
de la redondance et de l'équilibrage de la charge.
Important Un serveur DNS configuré avec une zone de stub ne fait pas autorité
pour cette zone. La zone de stub identifie les serveurs DNS qui font autorité
pour la zone.
Sélection de l'emplacement des données de zone

Introduction Lors de la planification de l'implémentation DNS, vous devez déterminer
l'emplacement des fichiers de zones. Vous pouvez stocker les données DNS
dans des zones DNS standard, mais dans un environnement Active Directory,
vous pouvez choisir des zones intégrées à Active Directory ou combiner les
deux.
Comme les zones intégrées à Active Directory peuvent répliquer les données
DNS sur des zones DNS secondaires traditionnelles, vous pouvez combiner les
deux types de zones. Cette option peut être judicieuse si les serveurs DNS
proviennent de plusieurs fournisseurs.
Comparaison des types Le tableau ci-dessous compare les zones intégrées à Active Directory et les
de zones zones DNS traditionnelles.
Zones intégrées à Zones DNS
Caractéristiques de DNS Active Directory traditionnelles
Conformité aux spécifications IETF Oui Oui

(Internet Engineering Task Force)
Utilisation d'une méthode de réplication Oui Non
des informations de zone reposant sur la
réplication Active Directory
Amélioration de la disponibilité, car chaque Oui Non
serveur DNS contient une copie en
lecture/écriture des informations de zone
Mises à jour possibles des informations Oui Non
de zone, même si un seul serveur DNS
tombe en panne
Prise en charge des transferts de zone Oui Oui
incrémentiels
Considérations relatives à la sécurité des zones

Introduction Après avoir identifié les zones et leurs emplacements de stockage, vous devez
déterminer comment vous voulez les protéger. Vous pouvez sécuriser l'accès
DNS à partir des réseaux publics et privés de plusieurs manières. Les mesures
de sécurité dépendent de la manière dont vous avez planifié les zones. Pour
sécuriser les zones DNS, vous devez tenir compte des éléments suivants :
! mises à jour dynamiques sécurisées dans Active Directory ;
! mises à jour dynamiques à partir de DHCP ;
! mises à jour dynamiques des clients DNS.
Mises à jour Les mises à jour dynamiques sécurisées sont une fonction exclusive des zones
dynamiques sécurisées intégrées à Active Directory. Comme les informations de zone DNS sont
dans Active Directory stockées dans Active Directory, vous pouvez les sécuriser à l'aide des fonctions
de sécurité de Active Directory. Après avoir intégré une zone à
Active Directory, vous pouvez utiliser les fonctions d'édition de la liste de
contrôle d'accès (ACL, Access Control List), disponibles dans la console DNS
et ajouter ou supprimer des utilisateurs ou des groupes dans la liste ACL d'une
zone ou d'un enregistrement de ressource.
Pour planifier la sécurisation des zones DNS mises à jour de manière
dynamique, tenez compte des autorisations :
! de mise à jour de la zone DNS qui sont définies dans le conteneur de zones
DNS de Active Directory ;
! qui peuvent être attribuées à toute la zone DNS ou à des enregistrements
de ressource individuels de cette zone ;
! qui peuvent être attribuées à un utilisateur, un groupe ou un compte
d'utilisateur.
Mises à jour DNS Vous pouvez spécifier que les serveurs DHCP du réseau mettent à jour DNS
dynamiques à partir de manière dynamique lorsque le serveur DHCP configure un ordinateur client
de DHCP DHCP. Sur le serveur DHCP, spécifiez les zones DNS que le serveur DHCP
doit mettre à jour de manière dynamique. Sur le serveur DNS, spécifiez
le serveur DHCP en tant qu'unique ordinateur autorisé à mettre à jour les
entrées DNS.
S'il existe plusieurs serveurs DHCP Windows Server 2003 sur le réseau et que
vous configurez également les zones pour permettre seulement les mises à jour
dynamiques sécurisées, vous devez utiliser Utilisateurs et ordinateurs
Active Directory pour ajouter les serveurs DHCP au DnsUpdateProxyGroup
intégré. Ainsi, tous les serveurs DHCP auront des droits sécurisés pour
effectuer des mises à jour proxy pour tous les clients DHCP.
Vous devez inclure les mises à jour DNS dynamiques à partir des serveurs
DHCP si :
! Le système d'exploitation des clients DNS n'est pas Windows® 2000,
Windows XP ou Windows Server 2003.
! L'attribution des autorisations permettant à chaque ordinateur, groupe ou
utilisateur de mettre à jour ses entrées DNS respectives devient ingérable.
! La mise à jour des entrées DNS par des clients DNS individuels présente
des risques de sécurité qui pourraient permettre à des ordinateurs non
autorisés de se faire passer pour des ordinateurs autorisés.
Mises à jour Les clients DNS qui exécutent Windows 2000, Windows XP
dynamiques des et Windows Server 2003 peuvent mettre à jour DNS directement
clients DNS et automatiquement. Au démarrage, ces clients DNS peuvent se connecter
au serveur DNS et enregistrer automatiquement le client DNS sur le serveur
DNS. Vous devez inclure les clients DNS qui mettent directement à jour
DNS si :
! L'adresse IP de l'ordinateur est fixe et attribuée manuellement.
! L'attribution des autorisations permettant à l'ordinateur de mettre à jour les
entrées DNS est gérable.
! L'autorisation de mise à jour des entrées DNS par les clients DNS ne pose
pas de problème de sécurité. Par défaut, le paramètre Mises à jour
dynamiques n'est pas configuré pour autoriser les mises à jour dynamiques.
Ce paramètre est le plus sûr, car il empêche les intrus éventuels de mettre
à jour les zones DNS, mais il empêche de tirer parti des avantages
d'administration qu'offrent les mises à jour dynamiques. Pour que les
ordinateurs mettent à jour les données DNS de manière sécurisée, stockez
les zones DNS dans Active Directory et utilisez la fonction de mise à jour
dynamique sécurisée.
Autorisations sur les La liste DACL sur les zones DNS, stockée dans Active Directory, permet
zones de contrôler les autorisations des utilisateurs et des groupes Active Directory
qui contrôlent les zones DNS.
Le tableau ci-dessous répertorie les noms d'utilisateurs ou les noms de groupes
ainsi que les autorisations par défaut des zones DNS stockées dans
Active Directory.
Noms d'utilisateurs ou noms de groupes Autorisations
Autoriser : Lire, Ecrire, Créer tous les

Administrateurs
objets enfants et Autorisations spéciales
Utilisateurs authentifiés Autoriser : Créer tous les objets enfants
CREATEUR PROPRIETAIRE Autorisations spéciales
Autoriser : Contrôle total, Lire, Ecrire,
Créer tous les objets enfants, Supprimer
DnsAdmins
tous les objets enfants et Autorisations
spéciales
Admins du domaine Créer tous les objets enfants et Supprimer
tous les objets enfants
Administrateurs de l'entreprise Créer tous les objets enfants et Supprimer
ENTERPRISE DOMAIN Créer tous les objets enfants, Supprimer
CONTROLLERS tous les objets enfants et Autorisations
spéciales
Tout le monde Autoriser : Lire et Autorisations spéciales
Accès compatible pré-Windows 2000 Autoriser : Autorisations spéciales
SYSTEM Créer tous les objets enfants et Supprimer
Instructions de planification des zones

Introduction Plusieurs instructions vous aideront à planifier vos zones.
Détermination du type Vous devez déterminer si vous avez besoin d'une zone principale, d'une zone
de zone secondaire ou d'une zone de stub. Votre choix dépend de l'exécution ou non
de Active Directory. Si Active Directory n'est pas exécuté, vous devez
déterminer l'emplacement du serveur principal et celui des serveurs secondaires.
Vous devez également déterminer si la zone sera intégrée à Active Directory.
Détermination de Vous devez déterminer l'emplacement de stockage des données des zones : dans
l'emplacement de une zone intégrée à Active Directory, dans une zone traditionnelle
stockage des zones ou en combinant les deux types de zones.
Détermination des Lors de l'évaluation des conditions d'intégration, vous devez déterminer
caractéristiques de si la zone sera intégrée au service WINS. Cela implique de déterminer si vous
l'intégration des zones disposez d'hôtes hétérogènes qui doivent résoudre mutuellement leurs noms,
mais ne peuvent pas facilement utiliser les espaces de noms DNS et NetBIOS
(Network Basic Input/Output System).
Détermination des Vous devez déterminer si la sécurité des zones exige des mises à jour
caractéristiques de la dynamiques sécurisées dans Active Directory, des mises à jour dynamiques
sécurité des zones à partir de DNS ou des mises à jour dynamiques des clients DNS.
Application pratique : Planification des zones

Introduction Dans cette application pratique, vous allez déterminer le type de zone,
l'emplacement de stockage d'une zone et la sécurité de la zone que vous allez
implémenter en fonction du scénario fourni.
Objectif L'objectif de cette application pratique vise à planifier une zone DNS.
pratique.
Scénario Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant
de pièces d'automobiles personnalisées en rapide expansion. La société
a commencé à planifier ses zones DNS. Vous étudiez le document
de conception et trouvez les informations suivantes :
! Une nouvelle filiale va être ouverte ; elle possèdera un contrôleur
de domaine Active Directory local.
! La filiale sera reliée par une liaison T1 au siège de l'entreprise.
! Deux contrôleurs de domaine seront présents sur le réseau d'entreprise.
! L'espace de noms interne (et la racine Active Directory) sera
Contoso-corp01.com.
Application pratique Décrivez la zone que vous allez créer pour Contoso-corp01.com et les besoins
DNS que vous allez spécifier pour la succursale.
Décrivez la sécurité apportée par votre solution et la nature du trafic réseau
supplémentaire que permet votre solution sur la liaison au réseau d'entreprise.
Créez une zone intégrée à Active Directory sur les serveurs DNS du réseau
d'entreprise qui vont effectuer la réplication sur tous les serveurs DNS
du domaine. Installez DNS sur le contrôleur de domaine de la filiale,
ce qui vous permettra d'obtenir une solution multimaître.
Cette solution donne la possibilité de spécifier uniquement les mises à jour
dynamiques sécurisées. Active Directory va crypter les données répliquées.
Les listes DACL sur les zones DNS, stockées dans Active Directory, vous
permettent de contrôler les autorisations des utilisateurs et des groupes
Active Directory qui contrôlent les zones DNS.
Les données DNS seront répliquées dans le cadre de la réplication
Active Directory et exploiteront une réplication déjà en place. Les requêtes
des clients locaux seront traitées localement et n'augmenteront pas le trafic
sur la ligne T1.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Leçon : Planification de la réplication et de la délégation

de zone

Introduction Cette leçon décrit les principes essentiels de la planification de la réplication
de zone. Ces principes comprennent l'identification des configurations des
serveurs, la délégation de zone et les caractéristiques de la tolérance de pannes.
! déterminer la configuration des serveurs DNS ;
! déterminer si une zone doit être déléguée pour améliorer les performances ;
! identifier les caractéristiques de tolérance de pannes.
Quand créer une zone secondaire

Introduction Vous devez tenir compte de plusieurs éléments lors de la détermination
de l'emplacement d'une zone secondaire. Bien que certaines de ces
considérations ne s'appliquent pas à votre environnement, vous allez devoir
prévoir un transfert de zone et une réplication de zone.
Redondance de zone L'ajout de serveurs DNS fournit la redondance de zone et permet la résolution
des noms DNS de la zone pour les clients si un serveur principal de la zone
cesse de répondre. Plus les serveurs qui font autorité sur une zone sont
nombreux, plus il est probable que les requêtes pour les ressources de la zone
obtiennent une réponse.
Réduction du trafic La planification minutieuse de l'emplacement de serveurs supplémentaires peut
réseau réduire sensiblement le trafic DNS sur le réseau. Par exemple, l'ajout d'un
serveur DNS à l'opposé d'une liaison WAN (Wide Area Network) à faible débit
peut faciliter l'administration et réduire le trafic du réseau. Si vous placez des
serveurs à côté d'un grand nombre de clients ou de réseaux isolés, vous pouvez
réduire le trafic des requêtes qui doit circuler sur des liaisons WAN lentes et
coûteuses.
Réduction de la charge Vous pouvez utiliser des serveurs secondaires supplémentaires pour réduire
sur le serveur principal la charge sur le serveur principal d'une zone. Par exemple, vous pouvez diriger
les clients vers des serveurs secondaires qui répondent uniquement aux requêtes
des clients locaux, mais pas à celles des clients de toute l'entreprise.
Caractéristiques du La réplication de zone et le transfert de zone ont lieu lorsque vous implémentez
transfert et de la un serveur secondaire. Pour des raisons de sécurité, vous devez uniquement
réplication de zone permettre le transfert de zone avec des hôtes que vous configurez spécialement.
Transfert et réplication de zone

Introduction Comme les zones jouent un rôle essentiel dans DNS, il est important qu'elles
soient présentes sur plusieurs serveurs DNS du réseau pour garantir leur
disponibilité et leur tolérance de pannes dans la résolution des requêtes
de noms. L'implémentation des zones DNS détermine si vous allez utiliser
le transfert de zone ou la réplication de zone. Le transfert de zone a lieu dans
une zone DNS traditionnelle. La réplication de zone a lieu dans une zone
intégrée à Active Directory.
Transfert des zones DNS Les transferts de zone sont toujours déclenchés au niveau du serveur secondaire
traditionnelles d'une zone, puis envoyés aux serveurs maîtres configurés qui se comportent
comme la source de leur zone. Les serveurs maîtres peuvent correspondre à
n'importe quels serveurs DNS qui chargent la zone, tel que le serveur principal
de la zone ou un autre serveur secondaire. Lorsqu'un serveur maître reçoit
la demande de la zone, il peut répondre en transférant la totalité ou une partie
de la zone vers le serveur secondaire.
Dans les implémentations DNS antérieures, une demande de mise à jour des
données de zone nécessitait de transférer complètement l'ensemble de la base
de données de la zone. Dans les implémentations DNS actuelles, un transfert
incrémentiel permet au serveur secondaire d'extraire uniquement les
modifications de zone dont il a besoin pour synchroniser sa copie de zone avec
sa source, qui est une copie principale ou secondaire de la zone conservée par
un autre serveur DNS.
Lorsque les transferts incrémentiels sont pris en charge par un serveur DNS qui
agit en tant que source d'une zone et par les serveurs qui en copient la zone,
la méthode de propagation des modifications et des mises à jour de zone est
plus efficace. Comme le processus de transfert incrémentiel engendre un trafic
réseau considérablement inférieur, les transferts de zone s'exécutent beaucoup
plus rapidement.
Réplication des zones La réplication Active Directory fournit un avantage par rapport à la réplication
intégrées à DNS standard. Avec la réplication DNS standard, seul le serveur principal d'une
Active Directory zone peut modifier la zone. Avec la réplication Active Directory, tous les
contrôleurs du domaine peuvent modifier la zone, puis répliquer les
modifications sur d'autres contrôleurs de domaine. Ce processus de réplication
s'appelle réplication multimaître, car plusieurs contrôleurs de domaine,
ou maîtres, peuvent mettre à jour la zone.
Le traitement de la réplication est réalisé en fonction des propriétés, ce qui
implique que seules les modifications pertinentes sont propagées. Le traitement
de la réplication est différent du transfert de zone DNS complet dans lequel
toute la zone est propagée. Le traitement de la réplication diffère également
du transfert de zone incrémentiel dans lequel le serveur transfère toutes les
modifications apportées depuis la dernière modification. Avec la réplication
Active Directory au contraire, seul le résultat final de toutes les modifications
apportées à un enregistrement est envoyé.
Les zones DNS utilisées pour prendre en charge un domaine Active Directory
sont stockées dans le domaine ou dans les partitions de l'annuaire d'applications
de Active Directory.
Mesures de sécurité pour le transfert de zone

Introduction Après avoir identifié le processus de réplication que vous utiliserez, vous devez
sécuriser les transferts de zone. Vous pouvez sécuriser les transferts de zone de
plusieurs manières.
Restriction des Par défaut, le service DNS de Windows Server 2003 DNS permet uniquement
transferts de zone de transférer les informations de zone vers les serveurs qui figurent dans les
enregistrements de ressource NS d'une zone. Bien que cette configuration soit
sécurisée, pour renforcer la sécurité, vous devez modifier ce paramètre pour
effectuer les transferts de zone vers des adresses IP spécifiques. Votre
spécialiste en sécurité réseau doit toujours protéger le réseau contre l'usurpation
d'identité IP, au cas où un intrus tenterait d'utiliser l'une des adresses
IP spécifiées. Notez que la modification de ce paramètre pour permettre les
transferts de zone vers un serveur peut exposer vos données DNS à un intrus
qui tente d'identifier la structure du réseau (notion de « footprint »).
Sécurité de la réplication En raison de l'utilisation croissante des réseaux privés virtuels (VPN), la
de zone réplication de zone DNS peut avoir lieu sur des réseaux publics tels qu'Internet.
Il est important de protéger les noms et les adresses IP répliqués sur ces réseaux
publics contre les accès non autorisés. Vous pouvez protéger les données
de réplication à l'aide de IP Security (IPSec), des tunnels VPN ou de
Active Directory.
Cryptage à l'aide de Pour votre sécurité, vous devez crypter tout le trafic de réplication envoyé sur
IPSec et des tunnels de les réseaux publics. Si vous cryptez le trafic de réplication à l'aide de IPSec
VPN ou des tunnels VPN, vous devez envisager d'utiliser :
! le niveau le plus élevé de cryptage et l'authentification de tunnel VPN ;
! le routage de Routing and Remote Access de Windows 2000 pour fournir
les tunnels IPSec ou VPN.
Cryptage et Vous ne pouvez pas protéger le trafic de réplication en utilisant des zones
authentification à l'aide intégrées à Active Directory. Comme ces zones sont basées sur
de Active Directory Active Directory, elles assurent une sécurité intrinsèque :
! en effectuant exclusivement la réplication entre les serveurs DNS qui
possèdent des zones intégrées à Active Directory ;
! en exigeant de tous les serveurs DNS qui possèdent des zones intégrées
à Active Directory d'être enregistrés dans Active Directory ;
! en cryptant tout le trafic de réplication entre les serveurs DNS.
Réduction de l'impact de Vous pouvez réduire l'impact de la réplication DNS sur les segments très
la réplication utilisés du réseau pour améliorer la vitesse de transmission des autres données
sur le réseau.
Pour améliorer les performances du trafic de réplication, envisagez de :
! utiliser des transferts de zone rapides pour compresser les données
de réplication de zone dans une infrastructure DNS standard. Notez que les
versions précédentes de BIND ne prennent pas en charge les transferts
de zone rapides ;
! modifier la planification de la réplication des zones secondaires pour que
la réplication ait lieu pendant les heures creuses ;
! effectuer une réplication de zone incrémentielle, plutôt qu'une réplication
de zone complète lorsque cela est possible.
Remarque La réplication de zone incrémentielle nécessite BIND version 8.2.1

ou une version supérieure.
Le service DNS Windows NT 4.0 n'effectue que des transferts de zone
complets.
Délégation de zone

Introduction Après avoir créé plusieurs zones dans la base de données DNS, il peut être
approprié de les déléguer.
Définition de la Dans le contexte DNS, la délégation est le processus d'attribution de
délégation de zone responsabilités à une entité distincte sur une partie de l'espace de noms DNS.
Cette entité peut être une organisation, un service ou un groupe de travail de
votre entreprise. En termes techniques, déléguer signifie attribuer une autorité
à d'autres zones sur des parties de l'espace de noms DNS. L'enregistrement
de ressource NS, qui spécifie la zone déléguée et le nom DNS du serveur qui
fait autorité pour cette zone, représente cette délégation.
Intérêt de la délégation La délégation de zone s'applique principalement dans les cas suivants :
de zone
! nécessité de déléguer l'administration d'un domaine DNS à un certain
nombre d'organisations ou de services de votre entreprise ;
! nécessité de répartir la charge de maintenance d'une grande base de données
DNS entre plusieurs serveurs de noms pour améliorer les performances
de la résolution des noms et créer un environnement DNS avec tolérance
de pannes ;
! nécessité d'étendre l'espace de noms par l'ajout simultané de nombreux sous-
domaines, par exemple, lors de l'ouverture d'une nouvelle filiale ou d'un
nouveau site.
Les enregistrements de ressource NS facilitent la délégation en identifiant les

serveurs DNS de chaque zone. Ces enregistrements apparaissent dans toutes
les zones de recherche directe et inversée. Chaque fois qu'un serveur DNS doit
résoudre un nom dans une zone déléguée, il se réfère aux enregistrements
de ressource NS des serveurs DNS de la zone cible.
Remarque S'il existe plusieurs enregistrements NS pour une zone déléguée qui
identifient plusieurs serveurs DNS à interroger le serveur DNS Windows
Server 2003 peut sélectionner le serveur DNS le plus proche en fonction des
intervalles circulaires mesurés sur une période pour tous les serveurs DNS.
Enregistrements de Lors de la délégation de zones dans l'espace de noms, notez que pour chaque
délégation sur des zone créée, de nouveaux enregistrements de délégation sont nécessaires dans les
zones autres zones qui pointent vers les serveurs DNS qui font autorité pour
la nouvelle zone. Cette opération est nécessaire pour transférer l'autorité
et fournir aux autres serveurs et clients DNS les références correctes des
nouveaux serveurs qui font autorité pour la nouvelle zone.
Remarque Lorsque les délégations de zone sont correctement configurées,

le comportement de référence de zone normal peut parfois être détourné si vous
utilisez une liste de redirecteurs dans la configuration des serveurs DNS.
Instructions de planification de la réplication et de la délégation

de zone

Introduction Il est recommandé de suivre les instructions ci-dessous pour planifier
la réplication et la délégation de zone.
Quand créer des zones Vous pouvez avoir besoin de zones secondaires supplémentaires. Vous créez
supplémentaires des zones supplémentaires dans les deux cas suivants :
! pour créer une redondance de zone ;
! pour réduire le trafic réseau et la charge sur le serveur principal.
Détermination de la Si vous utilisez Active Directory, vous devez effectuer la réplication de zone.
méthodologie de Si vous utilisez la structure de zone DNS traditionnelle, vous devez effectuer
réplication le transfert de zone.
Détermination des Vous pouvez utiliser diverses méthodes pour implémenter la sécurité. Le choix
caractéristiques de la de la méthode à employer dépend des besoins de réplication de votre
sécurité de la réplication environnement.
Détermination de la Vous devez déterminer si vous aurez besoin de déléguer l'administration d'une
nécessité de déléguer ou de plusieurs de vos zones. L'extension de l'espace de noms, la répartition
une zone de la charge entre plusieurs serveurs et la délégation de l'administration de zone
à une autre personne ou un autre groupe peuvent justifier la délégation.
Application pratique : Planification de la réplication

et de la délégation de zone

Introduction Dans cette application pratique, vous allez planifier la réplication
et la délégation de zone pour une société nouvellement acquise.
Objectif L'objectif de cette application pratique vise à planifier la réplication
et la délégation de zone.
pratique.
Scénario Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant
de pièces d'automobiles personnalisées en rapide expansion, qui vient d'acquérir
la société de recherche et de développement Fabrikam, Inc.
Fabrikam, Inc. possède cinq serveurs DNS départementaux BIND version 8.3.3
dans son environnement réseau UNIX. Contoso, Ltd envisage de placer dans
l'environnement de Fabrikam, Inc. un contrôleur de domaine
Windows Server 2003 avec DNS et de créer un réseau privé virtuel entre les
deux sociétés pour partager les données et fusionner les deux infrastructures
de données.
Un grand nombre de partages de fichiers sera présent sur l'ordinateur
Windows Server 2003 et le trafic client/serveur entre les deux sociétés
va augmenter régulièrement. Fabrikam, Inc. veut réduire la charge DNS
du serveur Windows Server 2003 à l'aide des serveurs BIND existants.
Application pratique Comment utilisez-vous les serveurs BIND pour réduire la charge du serveur
Windows Server 2003 relative aux requêtes de noms de la zone Contoso, Ltd ?
Vous pouvez créer des zones secondaires sur les serveurs BIND pour que
chacun des serveurs DNS départementaux puisse résoudre les noms dans
la zone de Contoso, Ltd.
________________________________________________________________
________________________________________________________________
Que devez-vous faire pour permettre le transfert de zone entre le serveur DNS
Windows Server 2003 DNS et les serveurs DNS départementaux ?
L'adresse IP de chaque serveur secondaire BIND doit être spécifiée pour
permettre le transfert de zone avec le serveur DNS Windows Server 2003.
________________________________________________________________
________________________________________________________________
Plus tard, Fabrikam, Inc. pourrait prendre le nom de Contoso, Ltd. Que pouvez-
vous faire avec l'espace de noms Fabrikam, Inc. pour permettre à Fabrikam, Inc.
de conserver un certain niveau d'autonomie sur les données DNS de son
organisation ?
Un sous-domaine Fabrikam, Inc. peut être créé dans la zone Contoso, Ltd,
puis délégué aux serveurs DNS de Fabrikam, Inc. afin que Fabrikam, Inc.
puisse administrer ses propres informations de zone.
________________________________________________________________
________________________________________________________________
Leçon : Intégration de DNS et WINS

Introduction Cette leçon porte sur l'intégration de DNS et WINS à un environnement qui
utilise NetBIOS ainsi que sur la résolution des noms d'hôtes.
! déterminer les situations dans lesquelles vous devez configurer les serveurs
DNS pour qu'ils utilisent WINS pour résoudre les noms d'hôtes ;
! expliquer comment désigner un sous-domaine pour la résolution WINS.
Présentation multimédia : Intégration de DNS et WINS

Introduction Cette présentation a pour objectif d'expliquer le processus de résolution de nom
lorsqu'une zone DNS est configurée pour la recherche directe WINS.
! expliquer comment un serveur DNS peut utiliser WINS pour résoudre les
noms d'hôtes ;
! expliquer pourquoi le serveur DNS qui fait autorité requiert les
enregistrements WINS.
! Un serveur DNS peut-il résoudre les noms NetBIOS ?
! Quel serveur DNS doit être configuré pour la recherche WINS ?
Intégration WINS

Introduction Le service DNS vous donne la possibilité d'utiliser les serveurs WINS pour
rechercher des noms qui ne figurent pas dans l'espace de noms du domaine
DNS en vérifiant l'espace de noms NetBIOS administré par WINS. Deux types
particuliers d'enregistrements de ressource, les enregistrements WINS et
WINS-R, sont utilisés pour intégrer DNS et WINS.
Enregistrements de Cette fonction est généralement utilisée dans un environnement informatique
ressource WINS hétérogène qui contient des hôtes qui ne peuvent pas eux-mêmes interroger
WINS et enregistrer des noms dans WINS (par exemple, un hôte UNIX) et des
hôtes qui peuvent uniquement enregistrer de manière dynamique des noms
NetBIOS avec WINS (par exemple, les hôtes Windows NT 4.0 ou Windows
95). A l'aide de l'intégration WINS, les hôtes UNIX sont capables de résoudre
les noms d'hôtes Windows en utilisant DNS.
Utilisez un enregistrement de ressource de recherche directe WINS pour fournir
une meilleure résolution des requêtes DNS de noms ne figurant pas dans une
zone, en utilisant une requête de nom vers les serveurs WINS configurés
et répertoriés avec cet enregistrement. S'il est utilisé, l'enregistrement WINS
s'applique uniquement au niveau le plus haut d'une zone et non aux
sous-domaines utilisés dans la zone.
Le tableau ci-dessous répertorie les différents champs utilisés avec

l'enregistrement de ressource WINS.
Champ Description
Propriétaire Indique le domaine du propriétaire de l'enregistrement. Ce champ

doit toujours être contenir la valeur « @ » pour indiquer que
le domaine actif est le même que l'origine de la zone.
Classe Indique la classe de l'enregistrement. Ce champ doit toujours
contenir la valeur « IN », car la classe Internet est la seule classe
prise en charge par les serveurs DNS qui exécutent
Local Indique que l'enregistrement de ressource doit être uniquement
utilisé localement sur le serveur DNS et qu'il ne doit pas être
inclus au cours de la réplication de zone à d'autres serveurs DNS.
Ce champ correspond à la case à cocher Ne pas répliquer cet
enregistrement qui est activée ou désactivée au cours du
processus de configuration de la recherche WINS dans la console
DNS. Si la case à cocher a été désactivée, ce champ ne sera pas
inclus lorsque l'enregistrement est écrit dans la zone.
délai_recherche Délai appliqué à l'enregistrement.
Délai_cache Délai de cache appliqué à l'enregistrement.
Adresses_ip_wins Utilisé pour spécifier une ou plusieurs adresses de serveurs
WINS. Au moins une adresse IP de serveur WINS valide est
nécessaire.
Syntaxe propriétaire classe WINS [LOCAL] [DélaiRecherche] [DélaiCache] adres

ses_wins_ip
Exemples @ IN WINS 10.0.0.1
@ IN WINS LOCAL L1 C10 10.10.10.1 10.10.10.2
10.10.10.3
Remarque Dans les exemples d'enregistrements de ressource WINS présentés,

la racine de la zone est supposée être l'origine actuelle.
Enregistrements de Utilisez un enregistrement de ressource WINS-R dans une zone de recherche

ressource WINS-R inversée pour obtenir une meilleure résolution des requêtes inversées non
trouvées dans la zone. Lorsque vous utilisez cet enregistrement, vous devez
spécifier le domaine parent à ajouter à un nom d'ordinateur NetBIOS lorsqu'une
recherche inversée aboutit. Les autres champs utilisés dans l'enregistrement
de ressource WINS-R ont une description et un but similaires à ceux décrits
précédemment dans l'enregistrement de recherche directe WINS.
Syntaxe de l'enregistrement de ressource WINS-R
propriétaire classe WINS [LOCAL] [DélaiRecherche] [DélaiCache]
Domaine_à_ajouter_aux_noms_NetBIOS_renvoyés
Exemples @ IN WINS-R LOCAL L1 C10 example.microsoft.com.

d'enregistrements de
ressource WINS-R
@ IN WINS-R wins.example.microsoft.com.
Remarque Dans les exemples d'enregistrements de ressource WINS-R

présentés, la racine de la zone est supposée être l'origine actuelle.
Recherche inversée Comme la base de données WINS n'est pas indexée en fonction des adresses
WINS IP, le service DNS ne peut pas envoyer de recherche de nom inversée au service
WINS pour obtenir le nom d'un ordinateur en fonction de son adresse IP.
En fait, le service DNS envoie une demande d'état de la carte du nœud
directement à l'adresse IP concernée dans la requête inversée DNS. Lorsque
le serveur DNS obtient le nom NetBIOS à partir de la réponse de l'état du nœud,
il ajoute le nom du domaine DNS au nom NetBIOS fourni dans la réponse
de l'état du nœud, puis redirige le résultat vers le client demandeur.
Modification des paramètres de délai de cache

Introduction Les serveurs DNS mettent en cache toutes les informations qu'ils reçoivent
pendant une période spécifiée dans les données renvoyées. Ce temps s'appelle
Durée de vie (TTL, Time To Live). En tant qu'administrateur du serveur
de noms de la zone, vous décidez de la durée de vie des données. Des valeurs
TTL faibles garantissent la cohérence des données relatives au domaine si ces
dernières changent souvent. Toutefois, notez que la charge du serveur de noms
augmentera.
Paramètres de délai de Les paramètres de délai de cache indiquent à un serveur DNS la durée pendant
cache laquelle il doit conserver en cache les informations renvoyées dans une
recherche WINS. La valeur par défaut est de 15 minutes.
Après avoir mis en cache les données, le serveur DNS doit commencer à
décompter la durée TTL à partir de sa valeur d'origine pour savoir quand il doit
effacer les données de son cache. Si une requête arrive et qu'elle peut être
satisfaite par les données figurant dans le cache, la durée de vie envoyée avec
les données correspond au délai qui précède l'effacement des données du cache
du serveur DNS. Les résolveurs clients utilisent également des caches
de données et respectent la valeur de durée de vie de sorte qu'ils connaissent
le moment où les données doivent expirer.
Définissez le paramètre Délai d'expiration du cache à l'aide du bouton Avancé
de la boîte de dialogue des propriétés de la zone lorsque vous configurez
la zone. Ce bouton se trouve dans l'onglet WINS ou WINSR, selon que la zone
que vous configurez est utilisée pour une recherche directe ou inversée.
Intérêt de la modification Si vous utilisez un enregistrement de ressource de recherche WINS directe

des paramètres de délai ou inversée, sachez que la valeur de vie minimale définie dans l'enregistrement
de cache SOA de la zone n'est pas la valeur par défaut utilisée avec ces enregistrements.
En fait, lorsqu'une adresse IP ou un nom d'hôte est résolu par une recherche
WINS, les informations sont mises en cache sur le serveur DNS pendant
la durée définie pour le délai de cache WINS. Si cette adresse est ensuite
redirigée vers un autre serveur DNS, elle sera envoyée avec la valeur de durée
de vie qui correspond au délai de cache WINS.
Si les données dans WINS changent peu souvent, vous pouvez prolonger le
délai de stockage des données dans le cache au-delà des 15 minutes par défaut.
Vous réduisez ainsi le nombre de requêtes entre un serveur DNS et un serveur
WINS, car le serveur DNS peut répondre plus souvent aux requêtes à partir
de son cache.
Recommandations relatives à l'intégration WINS

Introduction Vous pouvez permettre aux clients DNS de résoudre les noms d'hôtes
du service WINS. Ainsi, vous n'avez pas à créer des entrées de zones DNS pour
tous les ordinateurs de votre organisation. Vous pouvez résoudre les noms
d'hôtes du service WINS en redirigeant les requêtes DNS non résolues vers
un serveur WINS. Vous pouvez définir la redirection de ces requêtes pour
chaque zone.
Désignation d'un Pour intégrer la résolution WINS dans votre conception DNS, désignez un
sous-domaine pour la sous-domaine dans l'espace de noms de l'organisation que vous utiliserez
résolution WINS comme espace réservé pour les noms WINS. Vous devez spécifier que
le sous-domaine ne contient pas d'entrées, sauf pour les enregistrements
de ressource WINS et WINS-R.
Pour les organisations dont l'espace de noms public et l'espace de noms privé
sont distincts, créez le sous-domaine de WINS sous l'espace de noms privé.
Pour les organisations dont l'espace de noms est le même pour la résolution des
noms publics et des noms privés, créez le sous-domaine de WINS sous la racine
de l'organisation.
Délégation des requêtes Pour les noms de domaine à l'intérieur de l'espace de noms de l'organisation,
DNS non résolues à un si vous voulez :
sous-domaine
! résoudre des noms à l'intérieur du service WINS avant les autres domaines,
spécifiez que les requêtes DNS seront redirigées vers un sous-domaine
délégué pour WINS en premier lieu ;
! résoudre les noms dans les autres domaines avant de les résoudre dans
WINS, spécifiez que les requêtes DNS seront redirigées vers
un sous-domaine délégué pour WINS en dernier.
Spécification du serveur Pour rediriger les requêtes DNS non résolues vers un serveur WINS, activez
WINS dans la la résolution WINS sur une zone. Une zone peut résoudre des requêtes à l'aide
configuration de la zone de plusieurs serveurs WINS. Vous pouvez spécifier l'adresse IP des serveurs
WINS en fonction de l'ordre dans lequel les serveurs doivent être contactés.
Pour améliorer la disponibilité de la solution DNS, vous devez inclure plusieurs
serveurs WINS dans la liste.
Votre organisation peut ne pas répliquer tous les enregistrements WINS entre
tous ses serveurs WINS. Si la base de données WINS est partagée entre
plusieurs serveurs WINS, vous pouvez créer une zone DNS unique pour chaque
serveur WINS.
Exemple d'intégration Supposons qu'une organisation dispose d'un serveur WINS qui contient des
enregistrements WINS pour Paris uniquement et d'un autre serveur WINS qui
contient les enregistrements WINS pour Londres uniquement. Vous pouvez
créer des zones DNS distinctes pour Paris et Londres de façon à pouvoir créer
plusieurs noms de sous-domaines pour les serveurs WINS de Paris et
de Londres. Inversement, vous pouvez créer une seule zone DNS qui répertorie
les deux serveurs WINS pour que la résolution WINS ait lieu sous un nom
de sous-domaine unique.
Atelier A : Planification d'une stratégie DNS

Introduction Dans cet atelier, vous allez planifier une stratégie DNS.
Objectif A la fin de cet atelier, vous serez à même de planifier la configuration des
serveurs DNS pour qu'ils prennent en charge un espace de noms interne
et un espace de noms externe.
Scénario Vous êtes ingénieur système chez Northwind Traders. Vous êtes chargé
de planifier la configuration des serveurs DNS pour la présence publique
de la société sur le Web et l'espace de noms interne utilisé dans les bureaux
de l'entreprise.
Northwind Traders possède huit serveurs Web distincts qui sont utilisés pour
l'accès Internet des clients. Les serveurs Web sont configurés comme suit :
! deux clusters d'équilibrage de la charge réseau constitués de trois serveurs,
chacun d'entre eux prenant en charge http://www.nwtraders.com à l'aide
d'enregistrements DNS tourniquets ;
! un cluster unique d'équilibrage de la charge réseau constitué de deux
serveurs prenant en charge b2b.nwtraders.com.
L'espace de noms corp.nwtraders.com utilise des zones intégrées à

Active Directory configurées sur les contrôleurs de domaine.
Les espaces de noms publics externes sont hébergés sur des serveurs DNS
BIND géographiquement dispersés, fournis par un fournisseur de service
Internet pour en améliorer la fiabilité.
Durée approximative de
cet atelier : 60 minutes
Exercice 1
Planification de la configuration DNS pour l'espace de noms
interne et l'espace de noms externe
Introduction
Dans cet exercice, vous allez planifier la configuration des serveurs DNS.
Le document de conception fourni montre l'emplacement des serveurs DNS sur
le réseau interne et le sous-réseau filtré utilisé pour les serveurs Web publics.
Comme la configuration que vous suggérez nécessite l'accord du groupe des
services réseau de l'entreprise avant d'être implémentée, vous devez documenter
vos suggestions de manière appropriée.
Scénario
Le document de conception d'origine spécifie les conditions suivantes liées à DNS :
! L'espace de noms public doit être conservé en interne afin que les adresses IP des serveurs publics
puissent être modifiées. Il ne doit pas être nécessaire de contacter le fournisseur de service Internet
pour mettre à jour les enregistrements de l'espace de noms public.
! Toutes les demandes DNS des clients du réseau privé doivent utiliser un chemin unique pour
la résolution des noms Internet externes.
! Les serveurs DNS internes ne doivent pas être accessibles à partir d'Internet, ni émettre
de demandes vers Internet.
Tâches Instructions spécifiques
1. Décrire et/ou créer le " Veillez à dessiner ou à décrire le mode de configuration du serveur
schéma de la configuration DNS, notamment les zones principales/secondaires, les zones déléguées,
de l'infrastructure DNS qui les zones de stub et les redirecteurs.
répond aux caractéristiques
spécifiées dans le document
de conception.
2. Décrire les autres
paramètres de configuration
à définir pour garantir une
sécurité et des
performances optimales
pour l'infrastructure DNS.

Mcsa-Mcse Module 05

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mcsa-Mcse Module 05

Transféré par

Droits d'auteur :

Formats disponibles

Module 5 : Planification

d'une stratégie DNS

Table des matières

 2003 Microsoft Corporation. Tous droits réservés.

Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

Comment animer ce module

Pages de procédures, instructions, applications pratiques et

Leçon : Planification des serveurs DNS

Leçon : Planification d'un espace de noms

Leçon : Planification de zones

Leçon : Planification de la réplication et de la délégation de zone

Leçon : Intégration de DNS et WINS

Atelier A : Planification d'une stratégie DNS

L'atelier de ce module dépend aussi de la configuration de la classe spécifiée

Mise en place de l'atelier

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Leçon : Planification des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Présentation multimédia : Résolution des noms par les

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Détermination des caractéristiques des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Planification de la La planification et le déploiement des serveurs DNS sur le réseau imposent

Important Les recommandations précédentes ne sont pas destinées à indiquer

Ces valeurs sont approximatives et peuvent dépendre du type d'enregistrement

Détermination de l'emplacement des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Présentation multimédia : Résolution des noms avec

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Rôles des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Un serveur DNS configuré pour utiliser un redirecteur se comporte

Niveaux de sécurisation des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Instructions de planification d'un serveur DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Application pratique : Planification de la sécurité des serveurs DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Quel niveau de sécurité recommandez-vous pour les serveurs DNS de Contoso,

Leçon : Planification d'un espace de noms

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Présentation multimédia : Planification d'une stratégie

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Choix d'un nom de domaine

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Remarque Pour plus d'informations sur l'ICANN, visitez le site

.com Organisations commerciales, telles Microsoft microsoft.com

Remarque La liste complète des domaines de niveau supérieur est disponible à

Options d'espace de noms DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Important Quel que soit le nom de l'espace de nom interne, veillez

Recommandations relatives à la planification des espaces de noms

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Instructions de la planification d'un espace de noms

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Application pratique : Planification d'un espace de noms DNS

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Le cabinet conseil avec lequel Contoso, Ltd. travaillait précédemment avait

Leçon : Planification des zones

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Sélection des types de zones

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Remarque Il est recommandé de sélectionner des zones intégrées à

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

*DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR