Académique Documents
Professionnel Documents
Culture Documents
Vue d'ensemble 1
Leçon : Planification des serveurs DNS 2
Présentation multimédia : Résolution
des noms par les clients DNS 3
Présentation multimédia : Résolution
des noms avec un serveur DNS 8
Leçon : Planification d'un espace
de noms 18
Présentation multimédia : Planification
d'une stratégie d'espace de noms DNS 19
Leçon : Planification des zones 31
Leçon : Planification de la réplication
et de la délégation de zone 42
Leçon : Intégration de DNS et WINS 53
Présentation multimédia : Intégration
de DNS et WINS 54
Atelier A : Planification d'une
stratégie DNS 62
Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer
la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite
de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets
en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle
de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft,
la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint,
Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques
déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.
Module 5 : Planification d'une stratégie DNS iii
Notes du formateur
Présentation : Ce module présente aux stagiaires les informations nécessaires à la planification
2 heures 30 minutes de l'implémentation d'un système DNS (Domain Name System) dans une
organisation.
Atelier :
60 minutes À la fin de ce module, les stagiaires seront à même d'effectuer les tâches
suivantes :
! planifier l'implémentation d'un serveur DNS ;
! planifier une stratégie d'espace de noms ;
! planifier des zones ;
! planifier la réplication et la délégation des zones ;
! intégrer DNS et WINS (Windows Internet Naming Service).
Matériel requis Pour animer ce module, vous devez disposer des éléments suivants :
! fichier Microsoft® PowerPoint® 2189A_05.ppt ;
! fichiers multimédias :
• Résolution des noms par les clients DNS
• Résolution des noms avec un serveur DNS
• Planification d'une stratégie d'espace de noms DNS
• Intégration de DNS et WINS
Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :
! lire tous les supports de cours de ce module ;
! vous exercer à effectuer les applications pratiques et l'atelier et lire la clé de
réponse de l'atelier ;
! visualiser les présentations multimédias ;
! passer en revue les cours et modules de connaissances préalables.
iv Module 5 : Planification d'une stratégie DNS
Rôles des serveurs DNS Lorsque vous abordez les rôles des serveurs DNS, précisez aux stagiaires qu'ils
peuvent utiliser des serveurs dans un ou plusieurs de ces rôles dans un
environnement pour fournir une solution DNS.
Niveaux de sécurisation Lorsque vous exposez cette section, soulignez qu'il est peu probable que les
des serveurs DNS stagiaires choisissent d'implémenter un niveau de sécurité bas sur un serveur
Microsoft DNS. Précisez également que ces niveaux de sécurité ne représentent pas des
choix discrets ou des étiquettes de paramètres. Il s'agit plutôt de catégories
générales de mesures de sécurité que les stagiaires mettent en œuvre avec
plusieurs paramètres.
Informations de personnalisation
Cette section identifie les caractéristiques des ateliers d'un module et les
modifications apportées à la configuration des ordinateurs des stagiaires
pendant les ateliers. Ces informations visent à vous aider à répliquer ou
personnaliser le cours Microsoft Official Curriculum (MOC).
Résultats de l'atelier
Aucun changement de configuration des ordinateurs des stagiaires n'affecte la
réplication ou la personnalisation.
Module 5 : Planification d'une stratégie DNS 1
Vue d'ensemble
Questions clés Lors de la visualisation de cette présentation, vous devez vous poser les
questions suivantes :
! Quelle est la fonction d'un serveur DNS ?
! Comment un serveur DNS traite-t-il les noms de domaines pleinement
qualifiés ?
! Comment un serveur DNS résout-il un nom d'hôte en adresse IP ?
4 Module 5 : Planification d'une stratégie DNS
Configuration système Dans de nombreux cas, l'ajout de mémoire RAM (Random Access Memory)
d'un serveur DNS à un serveur DNS peut en améliorer sensiblement les performances. Cette
amélioration s'explique par le fait qu'au démarrage du service, le serveur DNS
charge toutes ses zones configurées dans sa mémoire. Si le serveur gère
et charge un grand nombre de zones et que des mises à jour dynamiques sont
fréquentes pour les clients des zones, l'extension de la mémoire peut être utile.
Notez, qu'en règle générale, le serveur DNS utilise la mémoire système
de la manière suivante :
! Environ 4 méga-octets (Mo) de mémoire RAM sont utilisés lorsque
le serveur DNS démarre sans aucune zone.
! Le serveur DNS utilise de la mémoire supplémentaire pour chaque zone
ou chaque enregistrement de ressource qui y est ajouté.
! En moyenne, 100 octets de mémoire serveur sont utilisés pour chaque
enregistrement de ressource ajouté à la zone d'un serveur. Si, par exemple,
une zone contenant 1 000 enregistrements de ressource est ajoutée à un
serveur, elle occupera environ 100 kilo-octets (Ko) de mémoire serveur.
Vous pouvez commencer par déterminer les plans de vos serveurs en examinant
des échantillons des résultats des tests des performances des serveurs DNS des
équipes de développement et de tests DNS Windows Server 2003. En outre,
vous pouvez utiliser les compteurs relatifs aux serveurs DNS, fournis avec les
outils d'analyse de Windows Server 2003, pour obtenir les mesures
de performances de vos propres serveurs DNS qui exécutent
Windows Server 2003 et que vous déployez sur le réseau.
Détermination du Pour déterminer le nombre de serveurs DNS que vous devez utiliser, évaluez
nombre de serveurs l'effet des transferts de zone et du trafic des requêtes DNS sur les liens peu
rapides du réseau. Bien que le système DNS soit conçu pour contribuer
à réduire le trafic des diffusions entre les réseaux locaux, il génère du trafic
entre les serveurs et les clients. Vous devez évaluer ce trafic, notamment lors
de l'implémentation de DNS dans des environnements de réseau local ou étendu
routés de manière complexe.
Tenez compte de l'impact des transferts de zone sur les liaisons lentes telles que
celles généralement utilisées dans les connexions de réseau étendu. Bien que
le service DNS prenne en charge les transferts de zone incrémentiels et que les
clients et les serveurs DNS Windows Server 2003 puissent mettre en cache les
derniers noms utilisés, le trafic peut toujours constituer un problème,
en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol)
écourtés engendrent des mises à jour plus fréquentes dans DNS. Pour traiter les
emplacements distants sur les liaisons de réseau étendu, une possibilité consiste
à y installer un serveur DNS qui fournit un service DNS de cache uniquement.
Dans la plupart des installations, vous devez disposer d'au moins deux serveurs
hébergeant chacun des zones DNS pour garantir la tolérance de pannes. Le
système DNS est conçu pour deux serveurs par zone : un serveur principal
et un serveur de secours ou secondaire. Avant de déterminer le nombre
de serveurs à utiliser, vous devez évaluer le niveau de tolérance de pannes
nécessaire au réseau.
Exemple d'emplacement Si le réseau local est routé et que les liens à haut débit sont assez fiables, vous
de serveur DNS pouvez utiliser un serveur DNS pour un grand réseau contenant plusieurs sous-
réseaux. Si un grand nombre de nœuds de clients se trouvent dans un seul sous-
réseau, il peut être judicieux d'ajouter plusieurs serveurs DNS au sous-réseau
pour fournir des services de sauvegarde et de basculement en cas d'absence
de réponse du serveur DNS favori.
Remarque Quand un seul serveur exécutant Windows Server 2003 est utilisé
sur un petit réseau local dans un environnement comportant un seul sous-
réseau, vous pouvez le configurer pour simuler le serveur principal et les
serveurs secondaires d'une zone.
8 Module 5 : Planification d'une stratégie DNS
Questions clés Lors de la visualisation de cette présentation, vous devez vous poser les
questions suivantes :
! Quels sont les deux types de requêtes que le résolveur peut envoyer
à un serveur DNS ?
! Pourquoi la zone spéciale in-addr.arpa a-t-elle été créée ?
! Qu'est-ce qu'un enregistrement de pointeur (PTR) ?
! Comment les requêtes de redirection résolvent-elles les noms d'hôtes ?
! Comment les requêtes inversées résolvent-elles les noms d'hôtes ?
Module 5 : Planification d'une stratégie DNS 9
Lorsqu'un bureau distant dispose d'une largeur de bande passante limitée pour
se connecter à un siège, un serveur cache uniquement doit être configuré
au bureau distant pour envoyer des requêtes récursives à un serveur DNS
du siège. Une requête récursive est une requête dans laquelle le serveur DNS
assume pleinement la charge de travail et la responsabilité pour donner une
réponse complète à la requête. Le serveur DNS du siège est mieux équipé pour
traiter les requêtes récursives, du fait qu'il dispose d'une plus grande largeur
de bande passante pour se connecter à Internet ou à un intranet.
Serveurs non récursifs Un serveur non récursif est un serveur DNS sur lequel la récursivité a été
désactivée. Ainsi le serveur ne peut pas utiliser la récursivité pour résoudre les
noms pour les clients. Le serveur ne peut pas non plus rediriger les demandes.
Si un serveur non récursif ne peut pas résoudre directement un nom, il renvoie
une réponse négative à la requête.
Vous devez désactiver la récursivité sur les serveurs DNS face à Internet qui
font autorité sur une ou plusieurs zones. Ainsi, le serveur DNS pourra répondre
aux requêtes d'autres serveurs DNS sur les informations de la zone, mais
empêchera les clients Internet d'utiliser le serveur DNS pour résoudre d'autres
noms de domaines sur Internet. Vous pouvez également désactiver la récursivité
pour limiter les clients à la résolution des noms internes à votre organisation.
Serveurs redirecteurs Lorsqu'un serveur configuré pour utiliser les redirecteurs ne peut pas résoudre
uniquement une requête localement ou à l'aide de ses redirecteurs, il tente de la résoudre
en utilisant la récursivité standard. Vous pouvez également configurer
un serveur DNS pour qu'il n'effectue pas de récursivité après l'échec des
redirecteurs. Dans cette configuration, le serveur ne tente aucune requête
récursive supplémentaire pour résoudre le nom. En fait, si le serveur ne reçoit
pas de réponse correcte à la requête d'un des serveurs configurés comme
redirecteurs, il fait échouer la requête. Un serveur DNS configuré de cette
manière est appelé serveur DNS redirecteur uniquement. Si tous les redirecteurs
d'un nom de la requête ne répondent pas à un serveur DNS redirecteur
uniquement, ce serveur DNS ne tente pas la récursivité.
Contrairement à un serveur non récursif, un serveur DNS redirecteur
uniquement crée un cache lié au nom de domaine, qu'il utilise pour tenter
de résoudre les noms d'hôtes.
Utilisez les redirecteurs pour administrer le trafic DNS entre le réseau
et Internet en configurant le pare-feu utilisé par le réseau pour permettre
à un seul serveur DNS de communiquer avec Internet.
Module 5 : Planification d'une stratégie DNS 11
Redirecteurs Un redirecteur conditionnel est un serveur DNS qui redirige les requêtes DNS
conditionnels en fonction du nom de domaine DNS de la requête.
Le paramétrage d'un redirecteur conditionnel d'un serveur DNS est constitué
des éléments suivants :
! des noms de domaines pour lesquels le serveur DNS redirige les requêtes ;
! d'une ou de plusieurs adresses IP de serveurs DNS pour chaque nom
de domaine spécifié.
Si vous voulez que les clients DNS de réseaux distincts résolvent leurs noms
respectifs sans avoir à interroger les serveurs DNS sur Internet, vous pouvez
configurer les serveurs DNS de chaque réseau pour qu'ils redirigent les requêtes
de noms de l'autre réseau. Les serveurs DNS d'un réseau redirigeront les noms
des clients de l'autre réseau vers un serveur DNS donné qui va créer un grand
cache contenant les informations relatives à l'autre réseau. En effectuant
la redirection de cette façon, vous créez un point de contact direct entre les
serveurs DNS des deux réseaux, ce qui réduit le besoin de récursivité.
12 Module 5 : Planification d'une stratégie DNS
Niveau de sécurité Le niveau de sécurité moyen utilise les fonctions de sécurité DNS disponibles
moyen sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker
de zones DNS dans Active Directory.
Lorsque vous implémentez le niveau de sécurité moyen :
! l'exposition de l'infrastructure DNS de votre organisation à Internet est
limitée ;
! tous les serveurs DNS sont configurés pour utiliser des redirecteurs qui
pointent vers une liste spécifique de serveur DNS internes lorsqu'ils
ne peuvent pas résoudre les noms localement ;
! tous les serveurs DNS restreignent les transferts de zone aux serveurs
figurant dans les enregistrements de ressource de serveur de noms (NS)
de leurs zones ;
! les serveurs DNS sont configurés pour écouter sur des adresses
IP spécifiées ;
! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;
! la mise à jour dynamique n'est autorisée pour aucune zone DNS ;
! les serveurs DNS internes communiquent avec les serveurs DNS externes
à travers le pare-feu, ce qui permet d'utiliser uniquement une liste limitée
d'adresses source et de destination ;
! les serveurs DNS externes devant le pare-feu sont configurés avec leurs
indications de racine qui pointent vers les serveurs racine pour Internet ;
! toutes les résolutions de noms Internet sont effectuées à l'aide de serveurs
proxy et de passerelles.
Niveau de sécurité haut Le niveau de sécurité haut utilise la même configuration que le niveau
de sécurité moyen, avec en plus les fonctions de sécurité disponibles lorsque le
service DNS est exécuté sur un contrôleur de domaine et lorsque les zones DNS
sont stockées dans Active Directory. En outre, le niveau de sécurité élevé
élimine complètement la communication de DNS avec Internet. Ce n'est pas
une configuration habituelle, mais elle est recommandée chaque fois que
la connectivité Internet n'est pas indispensable.
Lorsque vous implémentez le niveau de sécurité haut :
! l'infrastructure DNS de votre organisation ne permet aucune communication
Internet avec les serveurs DNS internes ;
! le réseau utilise une racine et un espace de noms DNS internes où toute
l'autorité pour les zones DNS est interne ;
! les serveurs DNS configurés avec des redirecteurs utilisent les adresses
IP des serveurs DNS internes uniquement ;
! tous les serveurs DNS restreignent les transferts de zone à des adresses
IP spécifiées ;
! les serveurs DNS sont configurés pour écouter sur des adresses
IP spécifiées ;
! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;
14 Module 5 : Planification d'une stratégie DNS
! les serveurs DNS sont configurés avec leurs indications de racine qui
pointent vers les serveurs DNS internes qui hébergent la zone racine
de l'espace de noms interne ;
! tous les serveurs DNS sont exécutés sur des contrôleurs de domaine ; une
liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access
Control List) est configurée sur le service DNS pour permettre uniquement
à des personnes spécifiées d'accomplir des tâches d'administration sur le
serveur DNS ;
! toutes les zones DNS sont stockées dans Active Directory ; une liste DACL
est configurée pour permettre à des personnes spécifiques uniquement
de créer, supprimer ou modifier des zones DNS ;
! des listes DACL sont configurées dans les enregistrements de ressource
DNS pour permettre à des personnes spécifiques uniquement de créer,
supprimer ou modifier des données DNS ;
! la mise à jour dynamique sécurisée est configurée pour les zones DNS,
à l'exception des zones de niveau supérieur et racine, qui ne permettent
aucune mise à jour dynamique.
Remarque Pour plus d'informations sur les menaces de sécurité DNS, reportez-
vous à la rubrique suivante des fichiers d'aide de DNS : « Security Information
for DNS » (Informations de sécurité pour DNS).
Module 5 : Planification d'une stratégie DNS 15
Scénario Vous êtes consultant en systèmes DNS chez Contoso, Ltd, un distributeur
et fabricant de pièces d'automobiles personnalisées en rapide expansion.
La société vient de faire évaluer la sécurité par un cabinet conseil spécialisé
dans la sécurité qui a déterminé que son serveur DNS était vulnérable aux
attaques, car son pare-feu permet le trafic vers et depuis tous les serveurs. Tous
les serveurs DNS de Contoso, Ltd. sont autorisés à communiquer directement
avec Internet à travers le pare-feu.
Le document de conception DNS a été modifié comme suit :
Le pare-feu autorise uniquement le trafic DNS vers Internet à partir de l'unique
serveur DNS du sous-réseau filtré. Le seul trafic DNS autorisé à partir
de l'intranet correspond à celui situé entre les trois serveurs DNS du réseau
d'entreprise et le serveur DNS du sous-réseau filtré.
Module 5 : Planification d'une stratégie DNS 17
Application pratique Comment adaptez-vous la planification DNS pour répondre à cette nouvelle
condition de sécurité ?
Prévoyez de configurer les trois serveurs DNS sur l'intranet en tant que
serveurs redirecteurs uniquement. Ces serveurs répondront à toutes les
requêtes faisant autorité pour leurs propres données de zone. Toutes les
requêtes de données en dehors de leur autorité seront redirigées vers
le serveur DNS du sous-réseau filtré. Les serveurs de l'intranet n'essaieront
pas de répondre aux requêtes de manière récursive si le redirecteur
ne parvient pas à y répondre. Les serveurs de l'intranet vont créer un
cache pour réduire le trafic envoyé à travers le pare-feu pour répondre
à une requête.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
18 Module 5 : Planification d'une stratégie DNS
Questions clés Lors de la visualisation de cette présentation, vous devez vous poser les
questions suivantes :
! Comment intégrer l'espace de noms interne privé et l'espace de noms
externe public ?
! Quel service doit être disponible pour pouvoir créer le premier contrôleur
de domaine Active Directory ?
! Quels sont les besoins de votre identité d'entreprise ?
! Quelles sont les conditions de sécurité nécessaires à votre organisation ?
! Comment vérifier que l'espace de noms privé est unique ?
! Comment garantir que seul un serveur DNS nécessite un fichier
d'indications de racine ?
20 Module 5 : Planification d'une stratégie DNS
Noms de domaines de Le tableau ci-dessous contient des informations sur chacun des domaines
niveau supérieur Internet de niveau supérieur. Vous devez choisir le nom de domaine de niveau
supérieur adapté aux besoins de votre organisation.
Nom de niveau
supérieur Fonction Exemple
Obtention de noms de Pour obtenir des noms de domaines de niveau supérieur, demandez-les
domaines de niveau à l'ICANN ou à une autre autorité d'attribution de noms Internet. Lorsque vous
supérieur recevez les noms de domaines, vous pouvez vous connecter à Internet et utiliser
des serveurs DNS pour administrer la correspondance des noms et des
adresses IP (et inversement) des périphériques hôtes contenus dans leur partie
de l'espace de noms.
Options de domaine Après avoir obtenu un nom de domaine, vous avez le choix entre :
! nommer les ordinateurs et périphériques réseau dans le domaine attribué et
ses subdivisions ;
! déléguer des sous-domaines du domaine à d'autres utilisateurs ou clients.
Conventions Il est vivement recommandé d'utiliser dans les noms, des caractères du jeu de
d'attribution de noms de caractères Internet standard permis pour l'attribution de noms d'hôtes DNS. Les
domaines caractères autorisés sont définis dans le document RFC 1123 (Request For
Comments) comme suit : toutes les lettres majuscules (A–Z) et minuscules
(a–z), les chiffres (0–9) et le tiret (-).
22 Module 5 : Planification d'une stratégie DNS
Détermination des Lors de la détermination des caractéristiques de l'espace de noms, vous devez
caractéristiques de définir comment vous prévoyez d'utiliser DNS ainsi que vos objectifs. Tenez
l'espace de noms compte des éléments suivants pour prendre vos décisions :
! Prévoyez-vous d'utiliser l'espace de noms en interne uniquement ?
Pour un espace de noms interne, vous pouvez implémenter votre propre
racine DNS, utiliser le nom de domaine que vous voulez et utiliser des
caractères qui ne figurent pas dans la norme Internet définie dans
le document RFC 1123.
! Prévoyez-vous d'utiliser l'espace de noms sur Internet ?
Si vous envisagez d'utiliser l'espace de noms sur Internet ou pensez le faire
ultérieurement, vous devez enregistrer votre propre nom de domaine unique
à l'aide des serveurs racine Internet et vérifier que le nom respecte les
normes des noms Internet.
! Allez-vous implémenter Active Directory ?
Si vous implémentez Active Directory ou prévoyez de le faire, vous devez
vous assurer que la hiérarchie de l'espace de noms représente efficacement
l'organisation tout entière, afin qu'elle puisse être utilisée pour l'espace
de noms Active Directory.
Sélection d'un nom de Vous devez choisir un nom de domaine significatif qui représente toute votre
domaine organisation, même si vous n'envisagez pas dans l'immédiat d'utiliser ce nom
en externe. Vous pourrez ainsi l'utiliser plus tard si vous modifiez vos plans.
Vous pourrez aussi utiliser l'espace de noms pour une implémentation ultérieure
éventuelle de Active Directory.
Vérification de l'unicité Après avoir choisi le nom de domaine, vous devez vérifier qu'il est unique. Pour
d'un nom de domaine ce faire, vous pouvez :
! utiliser l'outil « Registry Whois » disponible à l'adresse
http://www.internic.net. Ce site vous permet de savoir si un nom
de domaine a déjà été enregistré ;
! visiter le site http://www.domainsurfer.com pour afficher la liste de tous les
noms de domaines qui contiennent le texte que vous souhaitez utiliser dans
votre nom de domaine.
Module 5 : Planification d'une stratégie DNS 23
Utilisation de l'espace Vous pouvez vouloir conserver un nom de domaine DNS unique pour l'espace
de noms existant de noms DNS existant et l'espace de noms interne. Toutefois, vous devez vous
assurer que l'espace de noms interne n'est pas accessible à partir d'Internet.
24 Module 5 : Planification d'une stratégie DNS
Instructions d'utilisation L'utilisation d'un espace de noms existant offre pour principal avantage de ne
d'un espace de noms pas avoir à déterminer, ni enregistrer un nom interne. Si vous décidez d'utiliser
DNS existant l'espace de noms existant en tant qu'espace de noms interne, tenez compte des
facteurs et des instructions suivants :
! Les utilisateurs peuvent accéder à un nom de domaine unique lors de l'accès
aux ressources internes et externes.
! Il n'est pas nécessaire d'enregistrer des noms supplémentaires auprès d'une
autorité d'enregistrement des noms DNS.
! Des activités d'administration supplémentaires sont nécessaires de la part
des administrateurs DNS pour garantir que les enregistrements appropriés
sont stockés sur les serveurs DNS internes et externes.
Avantages de Un espace de noms public et un espace de noms privé distincts offrent les
l'utilisation d'espace de avantages suivants :
noms distincts
! meilleure sécurité, car les utilisateurs et les ordinateurs extérieurs à
l'organisation ne peuvent pas accéder à l'espace de noms privé ;
! impact minimal sur l'espace de noms existant ;
! moins de tâches d'administration pour les administrateurs DNS en place.
Instructions d'utilisation Vous pouvez intégrer DNS à l'espace de noms existant d'une organisation
d'espace de noms en créant un espace de noms public et un espace de noms privé distincts.
distincts L'espace de noms existant est contenu dans la partie publique de l'espace
de noms. Le service DNS de Windows Server 2003 administre la partie privée
de l'espace de noms. Si vous décidez d'utiliser un espace de noms différent de
l'espace de noms DNS existant, tenez compte des facteurs et des instructions
suivants :
! Les ressources sont faciles à administrer et à sécuriser.
! Le contenu des serveurs DNS existants n'a pas besoin d'être répliqué sur les
serveurs DNS de l'espace de noms interne.
! Les zones DNS et la topologie DNS existantes peuvent rester telles quelles.
! L'espace de noms interne n'est pas exposé sur Internet.
! Les ressources internes ne sont pas accessibles à partir d'Internet.
Utilisation d'un espace La création d'un sous-domaine unique dans l'espace de noms est très
de noms délégué comparable à la stratégie de création d'un espace de noms public et d'un espace
de noms privé distincts. Toutefois, vous n'avez pas divisé, dans ce cas, l'espace
de noms en parties publique et privée, mais vous spécifiez que tous les serveurs
DNS Windows Server 2003 résident dans un sous-domaine unique de l'espace
de noms. Pour des raisons de sécurité, il est généralement recommandé
de permettre aux clients internes de réaliser la résolution DNS des espaces
de noms DNS interne et externe, mais d'interdire aux clients externes l'accès
à l'espace de noms interne.
Avantage de l'utilisation L'utilisation d'un espace de noms délégué offre pour principal avantage de
d'un espace de noms limiter l'impact sur l'espace de noms existant. En outre, cette stratégie demande
délégué moins de tâches d'administration de la part des administrateurs DNS en place.
Module 5 : Planification d'une stratégie DNS 25
Instructions d'utilisation Si vous décidez d'utiliser un espace de noms délégué en tant qu'espace de noms
d'un espace de noms interne ou espace de noms racine de Active Directory, tenez compte des
délégué éléments et des instructions suivants :
! L'espace de noms contigu utilisé est plus facilement compris par
le personnel d'administration et les utilisateurs.
! Toutes les données internes sont isolées dans un domaine ou dans une
arborescence de domaine.
! Un serveur DNS distinct est nécessaire pour le domaine interne délégué.
! L'espace de noms interne peut être long.
Séparation de l'espace La séparation de l'espace de nom interne et de l'espace de noms externe facilite
de noms interne et de la gestion des configurations, telles qu'un filtre de noms de domaines ou des
l'espace de noms listes d'exclusion. Si vous choisissez d'utiliser le même espace de noms pour
externe la résolution interne et externe, vous devez créer une infrastructure DNS divisée
pour soutenir cette décision.
Création d'un espace de Lors de la planification de l'espace de noms, vous devez prévoir si vous allez
noms compatible avec implémenter Active Directory maintenant ou ultérieurement. Si vous envisagez
Active Directory d'implémenter Active Directory, vous devez vous assurer que l'espace de noms
sélectionné est compatible avec un espace de noms Active Directory.
Module 5 : Planification d'une stratégie DNS 27
Maintien de la Les serveurs externes doivent contenir uniquement les noms qui doivent être
séparation des espaces accessibles à partir d'Internet. Les serveurs internes doivent contenir
de noms sur les uniquement les noms destinés à un usage interne.
serveurs internes et
externes Vous pouvez configurer les serveurs DNS internes pour qu'ils redirigent vers
des serveurs externes les demandes qu'ils ne peuvent pas résoudre. Des types
de clients différents nécessitent différents types de résolution de noms. Par
exemple, les clients proxy Web n'ont pas besoin de résoudre les noms externes,
car le serveur proxy les résout pour eux.
Les espaces de noms internes et les espaces de noms externes qui se
chevauchent ne sont pas recommandés. Dans la plupart des cas, ce type
de configuration empêche les ordinateurs de localiser les ressources nécessaires,
car ils reçoivent des adresses IP incorrectes du système DNS. Cela est
particulièrement gênant en cas de conversion d'adresse réseau (NAT, Network
Address Translation) et lorsque l'adresse IP externe est dans une plage
inaccessible pour les clients internes.
Remarque Assurez-vous que des serveurs racine ne sont pas créés par erreur.
Les serveurs racine peuvent être créés à l'aide de l'Assistant Installation
de Active Directory (DCPromo.exe), et dans ce cas, les clients internes peuvent
joindre les clients externes ou les domaines parents. Si la zone « . » existe, cela
implique qu'un serveur racine a été créé. Il peut être nécessaire de supprimer
cette zone pour que la résolution de nom soit correcte.
Module 5 : Planification d'une stratégie DNS 29
Scénario Le cabinet conseil pour lequel vous travaillez vous a attribué un nouveau
compte, Contoso Ltd, pour planifier son espace de noms DNS.
Contoso, Ltd. est un distributeur et fabricant de pièces d'automobiles
personnalisées en rapide expansion. L'infrastructure réseau Microsoft
Windows NT® version 4.0 ne permet pas de faire face au développement
de la société qui prépare les étapes de planification de la migration vers
Windows Server 2003. La société possède actuellement une infrastructure
WINS, mais pas d'infrastructure DNS.
La société Contoso, Ltd. est présente sur le Web à l'adresse
http://www.contoso.com, site hébergé par son fournisseur de service Internet
qui héberge également ses services DNS, de messagerie et FTP (File Transfer
Protocol).
30 Module 5 : Planification d'une stratégie DNS
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Module 5 : Planification d'une stratégie DNS 31
! Elles permettent les transferts de zone entre les zones principales et les
zones secondaires ou les zones de stub, de manière incrémentielle ou par
transfert complet du contenu de la zone. Le service DNS de
Windows Server 2003 prend en charge les transferts de zone incrémentiels
et complets.
! Elles fonctionnent de la même manière que les serveurs DNS BIND
(Berkeley Internet Name Domain). Les zones DNS traditionnelles
présentent les mêmes avantages et restrictions que les zones DNS BIND.
Vous pouvez utiliser les zones DNS traditionnelles si la conception requiert
une interopérabilité élevée avec les serveurs DNS BIND.
Définition des zones Les zones intégrées à Active Directory stockent les informations de zone DNS
intégrées à dans Active Directory. Les zones intégrées à Active Directory présentent les
Active Directory caractéristiques suivantes :
! Ce sont des copies multimaîtres en lecture/écriture des informations
de zone.
La caractéristique multimaître permet d'effectuer des mises à jour de la zone
d'origine intégrée à Active Directory ou de créer des copies répliquées de
la zone. Elle permet de toujours mettre à jour les informations de zone.
Types de zones DNS Pour un plan DNS, vous disposez de trois options de types de zones.
! Principale
Les zones principales sont des copies en lecture/écriture des informations
de zone. Une zone principale traditionnelle est régulièrement transférée vers
des serveurs qui hébergent des zones secondaires pour garantir que la copie
du fichier du serveur de zone secondaire est à jour. Avec les serveurs DNS
Windows Server 2003, le serveur de zone principale transfère d'abord une
copie complète du fichier de zone, puis il envoie uniquement les
modifications au serveur de zone secondaire. Les informations de zone
intégrée à Active Directory sont répliquées par Active Directory sur les
autres serveurs qui hébergent la zone intégrée à Active Directory.
! Secondaire
Les serveurs de zone secondaire assurent uniquement la tolérance de pannes
car ils continuent de répondre aux requêtes DNS ; ils ne peuvent pas
effectuer des mises à jour du fait qu'ils possèdent seulement une copie
en lecture seule du fichier de zone. Le système DNS Windows 2000 prend
en charge les transferts de zone incrémentiels (IXFR), où le serveur de zone
principal envoie uniquement les modifications du fichier de zone apportées
depuis le dernier transfert de zone. Les types de zones secondaires
ne peuvent pas être stockés dans Active Directory.
! Stub
Une zone de stub est la copie en lecture seule d'une zone. Toutefois, une
zone de stub contient seulement un sous-ensemble des enregistrements
associés à cette zone. Elle contient des informations sur les serveurs
de noms qui font autorité pour ce domaine, en permettant à un client
(ou un autre serveur DNS) d'aller directement vers un serveur qui fait
autorité sans visiter de serveur intermédiaire. Cela peut accroître l'efficacité
du processus de résolution de nom sur des zones dans des espaces de noms
non contigus. Les informations d'une zone de stub peuvent être transférées
si une zone de stub traditionnelle est utilisée ou répliquée par
Active Directory lorsque cette dernière est intégrée à Active Directory.
Utilisation des zones de Les zones de stub permettent à un serveur DNS d'effectuer la récursivité à l'aide
stub de la liste des serveurs de noms de la zone de stub sans avoir à demander
à Internet ou au serveur racine interne l'espace de noms DNS.
L'utilisation des zones de stub dans l'infrastructure DNS permet de distribuer
une liste des serveurs DNS qui font autorité pour une zone sans utiliser des
zones secondaires. Toutefois, les zones de stub n'ont pas la même fonction que
les zones secondaires et ne doivent pas être envisagées dans le cadre
de la redondance et de l'équilibrage de la charge.
Important Un serveur DNS configuré avec une zone de stub ne fait pas autorité
pour cette zone. La zone de stub identifie les serveurs DNS qui font autorité
pour la zone.
Module 5 : Planification d'une stratégie DNS 35
Mises à jour Les mises à jour dynamiques sécurisées sont une fonction exclusive des zones
dynamiques sécurisées intégrées à Active Directory. Comme les informations de zone DNS sont
dans Active Directory stockées dans Active Directory, vous pouvez les sécuriser à l'aide des fonctions
de sécurité de Active Directory. Après avoir intégré une zone à
Active Directory, vous pouvez utiliser les fonctions d'édition de la liste de
contrôle d'accès (ACL, Access Control List), disponibles dans la console DNS
et ajouter ou supprimer des utilisateurs ou des groupes dans la liste ACL d'une
zone ou d'un enregistrement de ressource.
Pour planifier la sécurisation des zones DNS mises à jour de manière
dynamique, tenez compte des autorisations :
! de mise à jour de la zone DNS qui sont définies dans le conteneur de zones
DNS de Active Directory ;
! qui peuvent être attribuées à toute la zone DNS ou à des enregistrements
de ressource individuels de cette zone ;
! qui peuvent être attribuées à un utilisateur, un groupe ou un compte
d'utilisateur.
Module 5 : Planification d'une stratégie DNS 37
Mises à jour DNS Vous pouvez spécifier que les serveurs DHCP du réseau mettent à jour DNS
dynamiques à partir de manière dynamique lorsque le serveur DHCP configure un ordinateur client
de DHCP DHCP. Sur le serveur DHCP, spécifiez les zones DNS que le serveur DHCP
doit mettre à jour de manière dynamique. Sur le serveur DNS, spécifiez
le serveur DHCP en tant qu'unique ordinateur autorisé à mettre à jour les
entrées DNS.
S'il existe plusieurs serveurs DHCP Windows Server 2003 sur le réseau et que
vous configurez également les zones pour permettre seulement les mises à jour
dynamiques sécurisées, vous devez utiliser Utilisateurs et ordinateurs
Active Directory pour ajouter les serveurs DHCP au DnsUpdateProxyGroup
intégré. Ainsi, tous les serveurs DHCP auront des droits sécurisés pour
effectuer des mises à jour proxy pour tous les clients DHCP.
Vous devez inclure les mises à jour DNS dynamiques à partir des serveurs
DHCP si :
! Le système d'exploitation des clients DNS n'est pas Windows® 2000,
Windows XP ou Windows Server 2003.
! L'attribution des autorisations permettant à chaque ordinateur, groupe ou
utilisateur de mettre à jour ses entrées DNS respectives devient ingérable.
! La mise à jour des entrées DNS par des clients DNS individuels présente
des risques de sécurité qui pourraient permettre à des ordinateurs non
autorisés de se faire passer pour des ordinateurs autorisés.
Mises à jour Les clients DNS qui exécutent Windows 2000, Windows XP
dynamiques des et Windows Server 2003 peuvent mettre à jour DNS directement
clients DNS et automatiquement. Au démarrage, ces clients DNS peuvent se connecter
au serveur DNS et enregistrer automatiquement le client DNS sur le serveur
DNS. Vous devez inclure les clients DNS qui mettent directement à jour
DNS si :
! L'adresse IP de l'ordinateur est fixe et attribuée manuellement.
! L'attribution des autorisations permettant à l'ordinateur de mettre à jour les
entrées DNS est gérable.
! L'autorisation de mise à jour des entrées DNS par les clients DNS ne pose
pas de problème de sécurité. Par défaut, le paramètre Mises à jour
dynamiques n'est pas configuré pour autoriser les mises à jour dynamiques.
Ce paramètre est le plus sûr, car il empêche les intrus éventuels de mettre
à jour les zones DNS, mais il empêche de tirer parti des avantages
d'administration qu'offrent les mises à jour dynamiques. Pour que les
ordinateurs mettent à jour les données DNS de manière sécurisée, stockez
les zones DNS dans Active Directory et utilisez la fonction de mise à jour
dynamique sécurisée.
38 Module 5 : Planification d'une stratégie DNS
Autorisations sur les La liste DACL sur les zones DNS, stockée dans Active Directory, permet
zones de contrôler les autorisations des utilisateurs et des groupes Active Directory
qui contrôlent les zones DNS.
Le tableau ci-dessous répertorie les noms d'utilisateurs ou les noms de groupes
ainsi que les autorisations par défaut des zones DNS stockées dans
Active Directory.
Noms d'utilisateurs ou noms de groupes Autorisations
Scénario Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant
de pièces d'automobiles personnalisées en rapide expansion. La société
a commencé à planifier ses zones DNS. Vous étudiez le document
de conception et trouvez les informations suivantes :
! Une nouvelle filiale va être ouverte ; elle possèdera un contrôleur
de domaine Active Directory local.
! La filiale sera reliée par une liaison T1 au siège de l'entreprise.
! Deux contrôleurs de domaine seront présents sur le réseau d'entreprise.
! L'espace de noms interne (et la racine Active Directory) sera
Contoso-corp01.com.
Module 5 : Planification d'une stratégie DNS 41
Application pratique Décrivez la zone que vous allez créer pour Contoso-corp01.com et les besoins
DNS que vous allez spécifier pour la succursale.
Décrivez la sécurité apportée par votre solution et la nature du trafic réseau
supplémentaire que permet votre solution sur la liaison au réseau d'entreprise.
Créez une zone intégrée à Active Directory sur les serveurs DNS du réseau
d'entreprise qui vont effectuer la réplication sur tous les serveurs DNS
du domaine. Installez DNS sur le contrôleur de domaine de la filiale,
ce qui vous permettra d'obtenir une solution multimaître.
Cette solution donne la possibilité de spécifier uniquement les mises à jour
dynamiques sécurisées. Active Directory va crypter les données répliquées.
Les listes DACL sur les zones DNS, stockées dans Active Directory, vous
permettent de contrôler les autorisations des utilisateurs et des groupes
Active Directory qui contrôlent les zones DNS.
Les données DNS seront répliquées dans le cadre de la réplication
Active Directory et exploiteront une réplication déjà en place. Les requêtes
des clients locaux seront traitées localement et n'augmenteront pas le trafic
sur la ligne T1.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
42 Module 5 : Planification d'une stratégie DNS
Réplication des zones La réplication Active Directory fournit un avantage par rapport à la réplication
intégrées à DNS standard. Avec la réplication DNS standard, seul le serveur principal d'une
Active Directory zone peut modifier la zone. Avec la réplication Active Directory, tous les
contrôleurs du domaine peuvent modifier la zone, puis répliquer les
modifications sur d'autres contrôleurs de domaine. Ce processus de réplication
s'appelle réplication multimaître, car plusieurs contrôleurs de domaine,
ou maîtres, peuvent mettre à jour la zone.
Le traitement de la réplication est réalisé en fonction des propriétés, ce qui
implique que seules les modifications pertinentes sont propagées. Le traitement
de la réplication est différent du transfert de zone DNS complet dans lequel
toute la zone est propagée. Le traitement de la réplication diffère également
du transfert de zone incrémentiel dans lequel le serveur transfère toutes les
modifications apportées depuis la dernière modification. Avec la réplication
Active Directory au contraire, seul le résultat final de toutes les modifications
apportées à un enregistrement est envoyé.
Les zones DNS utilisées pour prendre en charge un domaine Active Directory
sont stockées dans le domaine ou dans les partitions de l'annuaire d'applications
de Active Directory.
46 Module 5 : Planification d'une stratégie DNS
Cryptage et Vous ne pouvez pas protéger le trafic de réplication en utilisant des zones
authentification à l'aide intégrées à Active Directory. Comme ces zones sont basées sur
de Active Directory Active Directory, elles assurent une sécurité intrinsèque :
! en effectuant exclusivement la réplication entre les serveurs DNS qui
possèdent des zones intégrées à Active Directory ;
! en exigeant de tous les serveurs DNS qui possèdent des zones intégrées
à Active Directory d'être enregistrés dans Active Directory ;
! en cryptant tout le trafic de réplication entre les serveurs DNS.
Réduction de l'impact de Vous pouvez réduire l'impact de la réplication DNS sur les segments très
la réplication utilisés du réseau pour améliorer la vitesse de transmission des autres données
sur le réseau.
Pour améliorer les performances du trafic de réplication, envisagez de :
! utiliser des transferts de zone rapides pour compresser les données
de réplication de zone dans une infrastructure DNS standard. Notez que les
versions précédentes de BIND ne prennent pas en charge les transferts
de zone rapides ;
! modifier la planification de la réplication des zones secondaires pour que
la réplication ait lieu pendant les heures creuses ;
! effectuer une réplication de zone incrémentielle, plutôt qu'une réplication
de zone complète lorsque cela est possible.
Délégation de zone
Remarque S'il existe plusieurs enregistrements NS pour une zone déléguée qui
identifient plusieurs serveurs DNS à interroger le serveur DNS Windows
Server 2003 peut sélectionner le serveur DNS le plus proche en fonction des
intervalles circulaires mesurés sur une période pour tous les serveurs DNS.
Enregistrements de Lors de la délégation de zones dans l'espace de noms, notez que pour chaque
délégation sur des zone créée, de nouveaux enregistrements de délégation sont nécessaires dans les
zones autres zones qui pointent vers les serveurs DNS qui font autorité pour
la nouvelle zone. Cette opération est nécessaire pour transférer l'autorité
et fournir aux autres serveurs et clients DNS les références correctes des
nouveaux serveurs qui font autorité pour la nouvelle zone.
Détermination de la Si vous utilisez Active Directory, vous devez effectuer la réplication de zone.
méthodologie de Si vous utilisez la structure de zone DNS traditionnelle, vous devez effectuer
réplication le transfert de zone.
Détermination des Vous pouvez utiliser diverses méthodes pour implémenter la sécurité. Le choix
caractéristiques de la de la méthode à employer dépend des besoins de réplication de votre
sécurité de la réplication environnement.
Détermination de la Vous devez déterminer si vous aurez besoin de déléguer l'administration d'une
nécessité de déléguer ou de plusieurs de vos zones. L'extension de l'espace de noms, la répartition
une zone de la charge entre plusieurs serveurs et la délégation de l'administration de zone
à une autre personne ou un autre groupe peuvent justifier la délégation.
Module 5 : Planification d'une stratégie DNS 51
Scénario Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant
de pièces d'automobiles personnalisées en rapide expansion, qui vient d'acquérir
la société de recherche et de développement Fabrikam, Inc.
Fabrikam, Inc. possède cinq serveurs DNS départementaux BIND version 8.3.3
dans son environnement réseau UNIX. Contoso, Ltd envisage de placer dans
l'environnement de Fabrikam, Inc. un contrôleur de domaine
Windows Server 2003 avec DNS et de créer un réseau privé virtuel entre les
deux sociétés pour partager les données et fusionner les deux infrastructures
de données.
Un grand nombre de partages de fichiers sera présent sur l'ordinateur
Windows Server 2003 et le trafic client/serveur entre les deux sociétés
va augmenter régulièrement. Fabrikam, Inc. veut réduire la charge DNS
du serveur Windows Server 2003 à l'aide des serveurs BIND existants.
52 Module 5 : Planification d'une stratégie DNS
Application pratique Comment utilisez-vous les serveurs BIND pour réduire la charge du serveur
Windows Server 2003 relative aux requêtes de noms de la zone Contoso, Ltd ?
Vous pouvez créer des zones secondaires sur les serveurs BIND pour que
chacun des serveurs DNS départementaux puisse résoudre les noms dans
la zone de Contoso, Ltd.
________________________________________________________________
________________________________________________________________
Que devez-vous faire pour permettre le transfert de zone entre le serveur DNS
Windows Server 2003 DNS et les serveurs DNS départementaux ?
L'adresse IP de chaque serveur secondaire BIND doit être spécifiée pour
permettre le transfert de zone avec le serveur DNS Windows Server 2003.
________________________________________________________________
________________________________________________________________
Plus tard, Fabrikam, Inc. pourrait prendre le nom de Contoso, Ltd. Que pouvez-
vous faire avec l'espace de noms Fabrikam, Inc. pour permettre à Fabrikam, Inc.
de conserver un certain niveau d'autonomie sur les données DNS de son
organisation ?
Un sous-domaine Fabrikam, Inc. peut être créé dans la zone Contoso, Ltd,
puis délégué aux serveurs DNS de Fabrikam, Inc. afin que Fabrikam, Inc.
puisse administrer ses propres informations de zone.
________________________________________________________________
________________________________________________________________
Module 5 : Planification d'une stratégie DNS 53
Questions clés Lors de la visualisation de cette présentation, vous devez vous poser les
questions suivantes :
! Un serveur DNS peut-il résoudre les noms NetBIOS ?
! Quel serveur DNS doit être configuré pour la recherche WINS ?
Module 5 : Planification d'une stratégie DNS 55
Intégration WINS
Recherche inversée Comme la base de données WINS n'est pas indexée en fonction des adresses
WINS IP, le service DNS ne peut pas envoyer de recherche de nom inversée au service
WINS pour obtenir le nom d'un ordinateur en fonction de son adresse IP.
En fait, le service DNS envoie une demande d'état de la carte du nœud
directement à l'adresse IP concernée dans la requête inversée DNS. Lorsque
le serveur DNS obtient le nom NetBIOS à partir de la réponse de l'état du nœud,
il ajoute le nom du domaine DNS au nom NetBIOS fourni dans la réponse
de l'état du nœud, puis redirige le résultat vers le client demandeur.
58 Module 5 : Planification d'une stratégie DNS
Spécification du serveur Pour rediriger les requêtes DNS non résolues vers un serveur WINS, activez
WINS dans la la résolution WINS sur une zone. Une zone peut résoudre des requêtes à l'aide
configuration de la zone de plusieurs serveurs WINS. Vous pouvez spécifier l'adresse IP des serveurs
WINS en fonction de l'ordre dans lequel les serveurs doivent être contactés.
Pour améliorer la disponibilité de la solution DNS, vous devez inclure plusieurs
serveurs WINS dans la liste.
Votre organisation peut ne pas répliquer tous les enregistrements WINS entre
tous ses serveurs WINS. Si la base de données WINS est partagée entre
plusieurs serveurs WINS, vous pouvez créer une zone DNS unique pour chaque
serveur WINS.
Exemple d'intégration Supposons qu'une organisation dispose d'un serveur WINS qui contient des
enregistrements WINS pour Paris uniquement et d'un autre serveur WINS qui
contient les enregistrements WINS pour Londres uniquement. Vous pouvez
créer des zones DNS distinctes pour Paris et Londres de façon à pouvoir créer
plusieurs noms de sous-domaines pour les serveurs WINS de Paris et
de Londres. Inversement, vous pouvez créer une seule zone DNS qui répertorie
les deux serveurs WINS pour que la résolution WINS ait lieu sous un nom
de sous-domaine unique.
62 Module 5 : Planification d'une stratégie DNS
Durée approximative de
cet atelier : 60 minutes
64 Module 5 : Planification d'une stratégie DNS
Exercice 1
Planification de la configuration DNS pour l'espace de noms
interne et l'espace de noms externe
Introduction
Dans cet exercice, vous allez planifier la configuration des serveurs DNS.
Le document de conception fourni montre l'emplacement des serveurs DNS sur
le réseau interne et le sous-réseau filtré utilisé pour les serveurs Web publics.
Comme la configuration que vous suggérez nécessite l'accord du groupe des
services réseau de l'entreprise avant d'être implémentée, vous devez documenter
vos suggestions de manière appropriée.
Scénario
Le document de conception d'origine spécifie les conditions suivantes liées à DNS :
! L'espace de noms public doit être conservé en interne afin que les adresses IP des serveurs publics
puissent être modifiées. Il ne doit pas être nécessaire de contacter le fournisseur de service Internet
pour mettre à jour les enregistrements de l'espace de noms public.
! Toutes les demandes DNS des clients du réseau privé doivent utiliser un chemin unique pour
la résolution des noms Internet externes.
! Les serveurs DNS internes ne doivent pas être accessibles à partir d'Internet, ni émettre
de demandes vers Internet.
1. Décrire et/ou créer le " Veillez à dessiner ou à décrire le mode de configuration du serveur
schéma de la configuration DNS, notamment les zones principales/secondaires, les zones déléguées,
de l'infrastructure DNS qui les zones de stub et les redirecteurs.
répond aux caractéristiques
spécifiées dans le document
de conception.
2. Décrire les autres
paramètres de configuration
à définir pour garantir une
sécurité et des
performances optimales
pour l'infrastructure DNS.