Fonctionnement du Système DNS sur Windows Server 2003

Introduction aux zones de recherche
La console de gestion du service DNS présente une arborescence simple. Les deux premiers conteneurs listent les zones de recherches alors que le troisième liste les évènements relatifs au service DNS (ex. : Le serveur DNS a démarré). Une zone de recherche directe contient des mappages nom d'hôte / adresse IP alors qu'une zone de recherche inversée contient des mappages adresse IP / nom d'hôte. Ainsi, une zone de recherche directe permet de trouver l'adresse IP correspondant à un nom d'hôte alors qu'une zone de recherche inversée permet de trouver un nom d'hôte à partir d'une adresse IP.

Dans le cas d'une recherche directe, le serveur DNS commence par analyser le suffixe DNS pour trouver la zone dans laquelle est située le noms d'hôte, puis recherche ensuite le mappage à l'intérieur de cette zone.

Dans le cas d'une recherche indirecte, le serveur DNS ne connaît que l'adresse IP de l'hôte. Il ne peut donc pas utiliser la hiérarchie de l'espace de noms pour retrouver le nom d'hôte. En effet si le serveur devait interroger toutes les zones DNS pour trouver le nom d'hôte, la recherche indirecte prendrait trop de temps et de ressources pour être réellement efficace.

C'est pourquoi un domaine spécifique, nommé in-addr.arpa a été réservé dans l'espace de noms DNS. Ce domaine est subdivisé en sous-domaines correspondant chacun à un réseau donné. Ainsi le domaine contenant tous les mappages adresse IP / nom d'hôte du réseau privé de classe C (la page des adresses IP privées de classe C va de 192.168.0.1 à 192.168.255.254) se nomme 168.192.in-addr.arpa. Par exemple, lorsqu'un serveur DNS recherche le nom d'hôte correspondant à l'adresse IP 172.16.16.1, il s'adresse à la zone nommée 16.172.in-addr.arpa.

Selon le plan d'adressage du réseau, il arrive que plusieurs zones de recherches inversées doivent être crées afin de contenir tous les mappages adresse IP / nom d'hôte d'un domaine donné. Par exemple si une entreprise utilise le domaine laboms.lan et que son plan d'adressage fait intervenir des adresses IP privés de classes B et des adresses IP privées de classe C alors elle devra créer une zone de recherche directe nommée laboms.lan et deux zones de recherches inversées nommées 16.172.in-addr.arpa et 168.192.in-addr.arpa.

Les enregistrements de ressources

Dans un environnement Microsoft, les mappages nom d'hôte / adresse IP et adresse IP / nom d'hôte sont appelés enregistrements de ressources. On distingue plusieurs types d'enregistrements de ressources. Voici la liste des principaux types :

  • A : Les enregistrements de ressources A (pour Adresse d'hôte) sont des mappage entre un nom d'hôte et une adresse IPv4 (adresse IP d'une longueur de 32 bits). Ils représentent généralement la majorité des enregistrements de ressources des zones de recherches directes.

  • AAAA : Les enregistrements de ressources de ce type sont des mappages entre un nom d'hôte et une adresse IPv6 (adresse IP d'une longueur de 128 bits).

  • CNAME : les enregistrement de ressources de type CNAME (Canonical NAME ou nom canonique) sont des mappages entre un nom d'hôte et un autre nom d'hôte. Ils permettent de créer des alias pour un nom d'hôte donné (c'est-à-dire d'associer plusieurs noms d'hôte à une même machine).

  • HINFO : Les enregistrements de ressources de type HINFO (Host INFO ou informations sur l'hôte) spécifient le type de processeur (ex. : INTEL-386) et le système d'exploitation (ex. : WIN32) correspondant à un nom d'hôte.

  • MX : les enregistrements de ressources de type MX (Mail eXchanger) identifient les serveurs de messageries. Chaque serveur de messagerie doit aussi disposer d'un enregistrement de ressource A. Il est possible de donner une priorité différente à chaque enregistrement MX.

  • NS : les enregistrements de ressources de type NS (Name Server ou serveur de nom) identifient les serveurs DNS de la zone DNS. Ils sont utilisés dans le cadre de la délégation DNS.

  • PTR : les enregistrements de ressources de type PTR (PoinTeR ou pointeur) sont des mappages entre une adresse IP et un nom d'hôte. Il représentent la majorité des enregistrements des zones de recherches inversées.

  • SOA : les enregistrement de ressources de type SOA (Start Of Authority) contiennent le nom d'hôte et l'adresse IP du serveur DNS qui héberge actuellement la zone DNS principale. Il y a un seul enregistrement SOA par zone DNS. C'est le premier enregistrement crée dans une zone DNS.

  • SRV : les enregistrements de type SRV (service) permettent de mapper un nom d'hôte à un type de service donné. Ainsi les enregistrements SRV peuvent permettre de retrouver la liste des serveurs HTTP ou bien encore des contrôleurs de domaines. Il est possible de donner une priorité différente à chaque enregistrement SRV.

  • WINS : les enregistrements de ressources de type WINS indiquent au serveur DNS l'adresse IP d'un serveur WINS a contacter en cas d'échec lors de la résolution de nom d'hôte. Les enregistrements WINS ne peuvent être crée que dans une zone de recherche directe.

  • WINS-R : les enregistrements de ressources de type WINS-R ne peuvent être crée que dans une zone de recherche inversée.

Les différents types de zones DNS

Une zone de noms ou zone DNS est un ensemble d'enregistrements de ressources appartenant à la même portion de l'espace de noms DNS. Par exemple une zone DNS peut contenir l'ensemble des enregistrements de ressource de type A (c'est-à-dire des mappages noms d'hôte / adresses IP) du domaine laboms.lan. Il existe trois types de zones DNS :

  • les zones principales peuvent ajouter, modifier et supprimer des enregistrements de ressource.

  • les zones secondaires sont des copies en lecture seule d'une zone principale donnée. Un serveur DNS qui héberge une zone secondaire ne peut pas ajouter ni modifier d'enregistrements de ressource. Les zones secondaires ont donc pour seul intérêt de garantir une tolérance aux pannes.

  • les zones de stub sont des copies partielle d'une autre zone. Elle contiennent uniquement les enregistrements de ressource de types SOA, NS et A.

Les enregistrements d'une zone DNS donnée sont stockés localement par le serveur DNS sous la forme d'un fichier. Cependant si le serveur DNS joue aussi le rôle de contrôleur de domaine, il est possible de stocker les zones principales et les zones de stub dans le service d'annuaire Active Directory. On parlera alors de zones intégrées à Active Directory. Cette seconde solution apporte des avantages en termes de performance et de sécurité.

Configuration d'une zone principale

a/ configurer une zone de recherche directe

Si votre réseau ne contient aucun serveur DNS, vous devez commencer par créer une zone de recherche principale. Pour cela il faut faire un clic droit sur le conteneur zones de recherches directes, puis sélectionner Nouvelle zone. Dans l'assistant cliquez sur Suivant, puis sélectionnez Zone principale dans la fenêtre Type de zone. On remarque que la case Enregistrer la zone dans Active Directory est grisée ce qui est normal étant donné que dans notre exemple la machine n'est pas un contrôleur de domaine.

Dans la fenêtre Nom de la zone, entrez la partie de l'espace de nom que devra contenir la zone de recherche directe principale, puis cliquez sur Suivant. Dans notre exemple, le nom de la zone est : labomicrosoft.lan. Vous êtes ensuite amené à créer un nouveau fichier de zone et à le nommer. Le nom proposé par défaut est labomicrosoft.lan.dns.

Dans la fenêtre Mise à niveau dynamique, vous devez donner ou non la permission aux machines cliente de mettre à jour automatiquement leurs enregistrements de ressources. En effet, si vous utilisez un plan d'adressage dynamique (avec le protocole DHCP par exemple) les machines clientes peuvent changer d'adresse IP ce qui invalide les enregistrements de ressources A et PTR correspondant. Cependant, les machines exécutant Windows 2000/XP/2003 peuvent mettre à jour automatiquement les enregistrements A et PTR les concernant à chaque modification de leur configuration. Trois choix sont disponibles :

  • N'autoriser que les mises à jour dynamiques sécurisées : seul les ordinateurs possédant un compte d'ordinateur dans Active Directory peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources. Cette option n'est disponible que dans le cas d'une zone intégrée à Active Directory.

  • Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées : tous les ordinateurs exécutant Windows 2000/XP/2003 peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources. Même une machine qui n'est pas membre du domaine peut créer des enregistrements, ce qui peux poser des problèmes de sécurité.

  • Ne pas autoriser les mises à jour dynamiques : Dans ce cas, la seule façon de mettre à jour les enregistrements de ressources est d'utiliser la commande ipconfig /registerdns sur chaque machine cliente. Si cette solution est utilisable avec un petit nombre de machine, elle s'avère trop contraignante dans un réseau d'envergure.

Une fois votre choix effectué, cliquez sur Suivant, puis sur Terminer pour quitter l'assistant.

b/ configurer une zone de recherche inversée

Vous pouvez ensuite créer une zone de recherche inversée principale. Pour cela, faites un clic droit sur le conteneur zones de recherche inversée, puis sélectionner Nouvelle zone. Dans l'assistant cliquez sur Suivant, sélectionnez Zone principale dans la fenêtre Type de zone puis faites Suivant. Vous devez ensuite choisir le nom de la zone de recherche inversée. Pour cela vous pouvez entrer l'adresse IP du réseau auquel appartiennent les machines considérées (dans ce cas l'assistant génèrera automatiquement le nom de la zone) ou bien choisir le nom de la zone manuellement. Une fois le nom de zone correctement entré, cliquez sur Suivant.

Dans la fenêtre Fichier zone, donnez un nom au fichier qui contiendra la zone DNS puis cliquez sur Suivant. Vous devez ensuite autoriser ou non les mises à jour dynamique des enregistrements de ressources.

Une fois ce choix effectué, cliquez sur Suivant puis sur Terminer pour quitter l'assistant.

Configuration d'une zone secondaire

a/ introduction

Pour alléger la charge du serveur DNS hébergeant une principale, vous pouvez créer une copie de cette zone en lecture seule sur un second serveur DNS. Ce type de zone est appelé zone secondaire. Pour créer une zone secondaire il faut donc que le réseau contienne déjà un serveur DNS hébergeant une zone principale.

b/ configurer une zone de recherche directe

Pour créer une zone secondaire, il faut faire un clic droit sur le conteneur Zones de recherche directes, puis cliquer sur Nouvelle zone. Cliquez sur Suivant, sélectionnez Zone secondaire puis faites Suivant. Vous devez ensuite donner le nom de la zone à dupliquer. Dans notre exemple, il s'agit de labomicrosoft.lan.

Vous devez ensuite, entrer l'adresse IP du serveur hébergeant la zone principale.

Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant.

c/ configurer une zone de recherche inversée

Pour créer une zone de recherche inversée secondaire, faites un clic droit sur le conteneur Zones de recherche inversée, puis cliquez sur Nouvelle zone. Cliquez sur Suivant pour passer la fenêtre de présentation de l'assistant. Dans la fenêtre Type de zone, sélectionnez Zone secondaire puis Suivant.

Saisissez l'adresse IP du réseau dans la zone de texte ID réseau .Cliquez sur Suivant.

Vous devez ensuite, entrer l'adresse IP du serveur hébergeant la zone principale.

Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant.

Publié par