Module 7

Implémentation du système DNS

Présentation du système DNS

DNS (Domain Name System) : est un service qui résout les noms de domaine
complets et autres noms d'hôtes en adresses IP
• Le service DNS est une base de données distribuée hiérarchique séparée de
manière logique.
• DNS utilise une base de données de noms et d'adresses IP pour fournir ce
service
• La base de données est stockée dans un fichier ou dans les services AD DS
• DNS peut être utilisé pour effectuer les tâches suivantes :
• Résoudre des noms d'hôtes en adresses IP
• Rechercher des contrôleurs de domaine Rechercher
• des serveurs de catalogue global
• Résoudre des adresses IP en noms d'hôtes
• Rechercher des serveurs de messagerie
L'espace de noms DNS

Domaine racine (.)

TLD (Top Level Domain) : net com org

Domaine de niveau supérieur

Domaine de second niveau

OFPPT

Sous-domaine
ouest sud est

FQDN (Fully Qualified Domain Name) : NTIC Hôte : SERVER1

SERVER1.NTIC.Sud.OFPPT.com
Les noms d'ordinateurs

• Nom d'hôte :
• Jusqu'à 255 caractères
• Peut contenir des caractères : A-Z, a-z, 0-9, -
• Partie du nom de domaine complet
• Exemple : DC1.OFPPT.COM
• Nom NetBIOS
• Représente un ordinateur unique ou un groupe d'ordinateurs
• 15 caractères sont utilisés pour le nom
• Le 16ème caractère identifie le service
• Espace de noms plat

NB : Espace de noms plat signifie que les noms ne peuvent être utilisés qu'une seule fois
au sein d'un réseau
Zones DNS

• Une zone DNS : est une partie spécifique de l'espace de noms DNS qui
contient des enregistrements DNS.
• Une zone DNS est hébergée sur un serveur DNS chargé de répondre aux
requêtes portant sur les enregistrements d’un domaine spécifique
• Les Types de zones de recherche :
• Zone de recherche directe : résolve les noms d'hôtes en adresses IP
• Zone de recherche inversée : résolve les adresses IP en noms d'hôtes
• Les Types de Zones :
• Principale : Copie en lecture/écriture d'une base de données DNS
• Secondaire : Copie en lecture seule d'une base de données DNS
• Stub : Copie d'une zone contenant les enregistrements pour localiser des serveurs de noms
• Intégrée AD : Données de zone stockées dans AD DS plutôt que dans des fichiers de zone
Enregistrements de ressources (Resource Record)

• Les enregistrements de ressources : spécifient un type de ressource et

l'adresse IP permettant de localiser la ressource
• Les enregistrements de ressources DNS incluent :
• SOA (Start of authority) : identifie le serveur de noms principal pour une zone DNS, ainsi
que d’autres détails, comme Durée de vie (TTL) et les actualise.
• A : L’enregistrement principal qui résout un nom d’hôte en une adresse IPv4.
• AAAA : L’enregistrement principal qui résout un nom d’hôte en une adresse IPv6
• CNAME (Canonical Name) : L’enregistrement d’alias qui mappe un nom à un autre.
• MX (Mail exchange) : identifie un serveur de messagerie pour un domaine particulier
• SRV (Service) : identifie un service qui est disponible dans le domaine
• NS (Name Server) : identifie un serveur de noms pour un domaine
• PTR (Pointer) : utilisé pour rechercher une adresse IP et la mapper à un nom de domaine
Comment un client résout un nom

Windows résolve les noms d'hôtes en

effectuant les tâches suivantes :
1. Nom d'hôte local
1. Vérification de la similarité du nom d'hôte
et du nom d'hôte local
2. Recherche du cache de résolution DNS 7. Fichier Lmhosts

(Dans le cache DNS, les entrées du fichier

Hosts sont préchargées)
2. Cache DNS/
3. Envoi d'une demande DNS à ses serveurs fichier Host
6. Diffusion NetBIOS
DNS configurés
4. Conversion du nom d'hôte en un nom
NetBIOS et vérification du cache de noms
5. Serveur
NetBIOS local WINS
5. Contact des serveurs WINS configurés 3. Serveur
DNS
6. Diffusion de trois messages maximum de 4. Cache NetBIOS
demande de requête de nom NetBIOS.
7. Recherche du fichier Lmhosts
 Les composants d'une solution DNS

• Programmes de Résolutions DNS :

génère et envoie des requêtes itératives
ou récursives au serveur DNS Enregistremen
Racine « . »
t
• Serveur DNS : répond aux requêtes DNS de ressource

récursives et itératives. Les serveurs DNS .com

peuvent également héberger une ou

plusieurs zones.
• Les serveurs DNS sur Internet : sont
accessibles au public. Ces serveurs .edu

hébergent des informations sur les Enregistrement

domaines public. de ressource

Programmes de
Résolutions DNS Serveurs DNS Serveurs DNS sur Internet
 Les indications de racine

• Les indications de racine : correspondent à la liste de 13 serveurs sur Internet que le

serveur DNS utilise s’il ne parvient pas à résoudre une requête DNS en utilisant un
redirecteur DNS ou son propre cache.
• Les indications de racine correspondent aux serveurs les plus élevés dans la hiérarchie DNS
et peuvent fournir les informations nécessaires à un serveur DNS pour qu’il exécute une
requête itérative sur la couche inférieure suivante de l’espace de noms DNS.
• Les serveurs racines sont automatiquement installés à l'installation du rôle DNS.
• Lorsqu’un serveur DNS communique avec un serveur d’indications de racine, il utilise
uniquement une requête itérative. Serveurs racines (.)
Serveurs DNS
Indications
de racine

Serveur DNS com

Client microsoft
Les requêtes DNS

Une requête DNS : est une demande de résolution de noms envoyée à un

serveur DNS.
• pour un espace de noms les Serveurs DNS :
• Font autorité : héberge une copie principale ou secondaire de la zone DNS
• Ne font pas autorité : n’ héberge aucune copie de la zone DNS
• Les deux types de réponse :
• Faisant autorité : est une réponse que le serveur retourne et qu'il sait correcte, car la
requête est adressée au serveur faisant autorité qui gère le domaine
• Ne faisant pas autorité : est une réponse où le serveur DNS qui contient le domaine
demandé dans son cache répond à une requête en utilisant des redirecteurs ou des
indications de racine.
• Un serveur DNS faisant autorité pour l'espace de noms
• Renvoie l'adresse IP demandée
• Renvoie un « Non » faisant autorité
Le transfert des requêtes

• Un redirecteur : est un serveur DNS conçu pour résoudre des noms de

domaine DNS externes ou hors site
• Un redirecteur conditionnel : redirige des requêtes DNS en fonction du nom
du domaine DNS contenu dans les requêtes.

Tous lesRequête
autres domaines
itérative DNS Indication
Redirecteur DNS
de de l'ISP
racine (.)
DNS local
Interroger .com
Requê

07 om e
te itér

1.1 o.c iv
Interrogec ative

13 tos rurs
rocnontoso .com

1
n oéuc
to .com

.0 . 1
w. te ep r so
.co
ww quêuêt

Rép m Req
uête
ReReq

co
ons itéra
e fa tive
1 31. 1 isan
07.0. t au
Requ 11 tor
ête ré ité
mail1 cursi contoso.com
.cont v
oso.c e pour
Serveur om
Ordinateur
DNS local client DNS contoso.com
client
La mise en cache du serveur DNS

• Lorsqu’un serveur DNS résout correctement un nom DNS, il ajoute ce nom à son cache DNS
• La mise en cache DNS augmente les performances du système DNS
• Les entrées sont conservé dans la cache pendant le TTL (Time to live) de l’enregistrement
de ressource
• Afficher le cache DNS : ipconfig /displayDNS ; get-DNSClientCache; get-DNSServerCache
• Vider le cache DNS : ipconfig /flushdns; clear-DNSClientCache; clear-DNSServerCaache
• Un serveur cache uniquement : n’héberge pas des données de zone DNS ; il répond
seulement aux recherches des clients DNS.

Où est ServerA ?

Cache du serveur DNS

Client1 Où est ServerA ? Nom d'hôte Adresse IP TTL
ServerA.contoso.com 131.107.0.44 28 secondes
Client2 ServerA
Les mises à jour dynamiques
Une mise à jour dynamique : permet aux clients DNS d’inscrire et mettre à jour
dynamiquement leurs enregistrements de ressources sans intervention
manuelle.
1. Le client envoie une requête SOA
2. Le serveur DNS retourne un enregistrement de ressource SOA
3. Le client envoie une ou plusieurs demandes de mise à jour dynamique
pour identifier le serveur DNS principal
4. Le serveur DNS répond qu'il peut effectuer la mise à jour
5. Le client envoie une mise à jour non sécurisée au serveur DNS
6. Si la zone autorise seulement les mises à jour sécurisées, la mise à jour est
refusée
7. Le client envoie une mise à jour sécurisée au serveur DNS

NB : pour déclencher une mise à jour dynamique : ipconfig /registerdns; Register-DNSClient

Les zones intégrées à Active Directory

une zone intégrée à Active Directory : les données de la zone sont stocké
dans la base de données AD. À condition que le serveur DNS soit un DC
• Permet les écritures multimaîtres sur la zone
• Réplique les informations de zone DNS à l'aide de la réplication AD DS
• Permet des mises à jour dynamiques sécurisées
• Les mises à jour dynamiques sécurisées : permet aux ordinateurs
authentifiés de créer et modifier uniquement leurs enregistrements DNS
Délégation de zone DNS
• Une délégation de zone : pointe vers le niveau hiérarchique inférieur suivant
et identifie les serveurs de noms responsables du domaine de niveau inférieur

Serveur
Serveur DNS
DNS
Contoso.com

Zone
Zone
DNS
DNS
Sous-domaine
Sous-domaine
Ventes DNS
DNS

Zone
Zone
DNS
DNS

Serveur
Serveur DNS
DNS
Marketing
Transfert de zone DNS

• Un transfert de zone DNS : est la synchronisation des données de zone DNS

faisant autorité entre des serveurs DNS
• Intégral (AXFR All Zone Transfer) : copier la zone entière d’un serveur DNS vers un autre.
• Incrémentiel (IXFR Incremental Zone Transfer) : seuls les enregistrements de ressources
modifiés sont répliqués sur l’autre serveur.
• Rapide : utilise la compression et envoie plusieurs enregistrements de ressources dans
chaque transmission.
• Les zones intégrées à Active Directory : utilise la réplication ADDS multi-maîtres au lieu du processus
de transfert de zone.
• DNS Notify : est utilisé par un serveur maître pour avertir ses serveurs secondaires configurés que des
mises à jour de zone sont disponibles
11Requête SOA de zone
22Réponse de requête SOA
Requête
3 IXFR ou AXFR de zone
3
Réponse
44 de requête IXFR ou AXFR
(zone transférée)
Serveur secondaire Serveur principal
et maître
La durée de vie, le vieillissement et le nettoyage

• La durée de vie (TTL Time to Live) : Indique la durée de validité d'un

enregistrement DNS
• Vieillissement : Se produit lorsque les enregistrements insérés dans le serveur
DNS atteignent leur date d'expiration et sont supprimés
• Nettoyage : Exécute le nettoyage des anciens enregistrements de ressources
de serveurs DNS dans le système DNS
• NB : Par défaut, le vieillissement et le nettoyage des enregistrements de
ressources est désactivé
Dépannage de la résolution de noms

• Outils courants de dépannage de la résolution de noms

• Nslookup : utilisé pour rechercher des enregistrements de ressources et valider leur
configuration.
• DNSCmd : utilisé pour gérer le rôle serveur DNS
• Dnslint : utilisé pour diagnostiquer les problèmes DNS courants
• Ipconfig : utilisé pour afficher et modifier les détails de la configuration IP
(ipconfig/displaydns; ipconfig/flushdns; ipconfig /registerdns)
• Analyse du serveur DNS : pour tester si le serveur peut communiquer avec des serveurs en
amont, vous pouvez effectuer de simples requêtes locales et récursives
• Pensez à utiliser les nouvelles applets de commande de Windows PowerShell
pour gérer et dépanner le système DNS
• Effacez toujours le cache de résolution DNS avant le dépannage
• Utilisez le fichier Hôtes pour le dépannage
• Isolez le problème
LLMNR (Link-Local Multicast Name Resolution)

LLMNR : est une méthode supplémentaire de résolution de noms

qui n'utilise ni DNS, ni WINS
• LLMNR est conçu pour IPv6 ( prend en charge IPv4 aussi)
• Fonctionne uniquement sur Windows Vista et plus
• La découverte du réseau doit être activée
• Peut être contrôlé par l'intermédiaire de la stratégie de groupe
• _ldap._tcp.ofppt.org. 600 IN SRV 100 389
srv1.ofppt.org.
• Service-protocole- priorité pondérations port