Installation de serveurs

DNS redondants
(v2.2)

Tutorial conçu et rédigé par Michel de CREVOISIER

SOURCES
DHCP in Windows Server 2008 :

http://technet.microsoft.com/en-us/network/bb643151.aspx

Mode de fonctionnement des requêtes DNS :
 http://technet.microsoft.com/fr-fr/library/cc775637%28WS.10%29.aspx
DNS racines et de premier niveau
 http://fr.wikipedia.org/wiki/Domaine_de_premier_niveau
 http://fr.wikipedia.org/wiki/Serveur_racine_du_DNS
Serveur de cache
 http://technet.microsoft.com/fr-fr/library/cc740129%28WS.10%29.aspx
Performances DNS :
 http://www.tech-faq.com/monitoring-and-troubleshooting-dns.html
 http://technet.microsoft.com/en-us/library/cc778608%28WS.10%29.aspx

1

INDEX
SOURCES.................................................................................................................................................. 1
INDEX....................................................................................................................................................... 2
Préambule ............................................................................................................................................... 4
PARTIE 1 .................................................................................................................................................. 5
1.

Installation de SRV-DNS-1 .............................................................................................................. 5

2.

Configuration générale de SRV-DNS-1 ........................................................................................... 6

3.

2.1

Console DNS ............................................................................................................................ 6

2.2

Modification des interfaces en écoute .................................................................................... 6

2.3

Ajout de redirecteurs / forwarders ......................................................................................... 7

2.4

Options avancées .................................................................................................................... 9

2.5

Journaux d’évènements ........................................................................................................ 10

2.6

Monitoring ............................................................................................................................. 11

2.7

Root hints / Serveurs racine .................................................................................................. 12

Configuration des zones sur SRV-DNS-1 ...................................................................................... 14
3.1

Création d’une zone principale ............................................................................................. 14

3.2

Création d’une zone de recherche inverse ........................................................................... 17

3.3

Modification du type d’une zone .......................................................................................... 20

3.4

Options de zone..................................................................................................................... 21

4.

Installation de SRV-DNS-2 ............................................................................................................ 24

5.

Configuration générale de SRV-DNS-2 ......................................................................................... 25

6.

Configuration des zones sur SRV-DNS-2 ...................................................................................... 26

7.

8.

6.1

Création d’une zone principale secondaire ........................................................................... 26

6.2

Création d’une zone de recherche inverse secondaire ......................................................... 28

Transfert de zone entre SRV-DNS-1 et SRV-DNS-2 ...................................................................... 31
7.1

Ajout d’un serveur DNS supplémentaire ............................................................................... 31

7.2

Autorisation du transfert de zone ......................................................................................... 33

7.3

Vérification du bon fonctionnement de la réplication de zone ............................................ 35

Délégation de zone ....................................................................................................................... 36

PARTIE 2 ................................................................................................................................................ 39
1.

Les zones DNS ............................................................................................................................... 39
1.1

Types de zones ...................................................................................................................... 39
2

1.2
2.

3.

4.

Transfert de zone (AXFR) ....................................................................................................... 40

Redirecteurs / Forwarders............................................................................................................ 40
2.1

Fonctionnement .................................................................................................................... 40

2.2

Redirecteurs conditionnels.................................................................................................... 41

2.3

Choisir entre un redirecteur conditionnel ou une zone de stub ........................................... 41

Fonctionnement d’une requête DNS ........................................................................................... 42
3.1

Solveur local .......................................................................................................................... 42

3.2

Résolution DNS ...................................................................................................................... 42

3.3

Serveur injoignable ................................................................................................................ 43

Nouveautés du DNS sous Server 2008 R2 .................................................................................... 44
4.1

DNSSEC .................................................................................................................................. 44

4.2

DNS devolution ...................................................................................................................... 44

4.3

DNS cache locking ................................................................................................................. 44

4.4

DDNS socket pool .................................................................................................................. 44

Conclusion ............................................................................................................................................. 45

3

Préambule
Active Directory et DNS sont les rôles vitaux dans une infrastructure Windows. Etant donné
qu’Active Directory nécessite le rôle DNS pour fonctionner, il est essentiel de mettre en
place une structure redondante afin de parer à toute panne du DNS. En effet, si ce dernier
venait à tomber en panne, non seulement vos utilisateurs ne pourraient plus se connecter
au domaine, mais ils ne pourraient plus se connecter internet.
L’objectif de ce « tuto » est de mettre en place deux serveurs DNS redondants (un primaire,
un secondaire) afin de faire face à une possible défaillance système ou matérielle. De cette
façon, si l’un des serveurs venait à s’arrêter, vos systèmes clients continueraient à
fonctionner normalement.
En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les
fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et
DHCP) pour comprendre ce tutorial. Si vous ne disposez pas d’une version de Windows
Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez télécharger une démo ici depuis
le site officiel de Microsoft. Vous pouvez même la télécharger en VHD si vous utilisez HyperV ou Virtual PC. Attention, mes serveurs sont installés en anglais, donc je vous recommande
d’opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack
multilingue en anglais ici pour ne pas perdre le fil…
Ce document est divisé en deux parties : la première vous expliquant comment installer vos
serveurs DNS et la seconde vous expliquant le fonctionnement du DNS sous Windows. Si ce
protocole vous était jusqu’à maintenant inconnu, je vous recommande de commencer par
lire cette seconde partie.
Pour ce tuto, j’utiliserai deux serveurs :
 SRV-DNS-1: serveur Active Directory et DNS
 SRV-DNS-2 : serveur DNS secondaire
Notez toutefois que ce tuto présente la mise en place d’une architecture DNS redondante
manuelle. En effet, lors de la promotion d’un serveur en contrôle de domaine secondaire, la
réplication DNS est effectuée de façon transparente et automatique. Ce tuto convient vous
permettra donc de mieux connaitre le fonctionnement interne du DNS.

4

PARTIE 1
1. Installation de SRV-DNS-1
Sur ce serveur, seuls les rôles Active Directory DNS seront installés. Avant de commencer,
modifiez les paramètres TCP/IP de la façon suivante :
 IP address : IP fixe
 Preferred DNS server : IP serveur SRV-DNS-1
 Alternate DNS server : IP serveur SRV-DNS-2
Ensuite exécutez la commande « dcpromo » pour installer le rôle Contrôleur de domaine.
Cette partie n’est pas détaillée ici.

5

2. Configuration générale de SRV-DNS-1
Cette partie vous permet de modifier les paramètres généraux du DNS. Elle est valable aussi
bien pour le serveur primaire SRV-DN1 que pour le serveur secondaire SRV-DNS-2.

2.1 Console DNS

Pour accéder à la console, cliquez sur Démarrer > Administrative tools > DNS

Accédez ensuite aux propriétés du serveur : clic droit sur [nom_serveur] > Properties

2.2 Modification des interfaces en écoute
De la même façon que pour le DHCP, il est possible de définir sur quelles interfaces le
serveur DNS va « écouter ». Pour cela :
 Clic droit sur [nom_serveur] > Properties > Interfaces
6

Choisissez ensuite les IP à activer

2.3 Ajout de redirecteurs / forwarders
Si vous souhaitez plus d’informations sur les redirecteurs, consultez le point
2.

2 de la Partie

Pour ajouter/modifier un redirecteur :
 Clic droit sur [nom_serveur] > Properties > Forwarders

7

Cliquez ensuite sur Edit pour les modifier

8

Note : le temps d’attente avant l’expiration de la demande est de 3 secondes. Après quoi, le
serveur interrogera le « forwarders » suivant

2.4 Options avancées
Cet aparté vous permet de configurer certaines options avancées du serveur DNS. Pour les
modifier :
 Clic droit sur [nom_serveur] > Properties > Advanced

2.4.1 Server options


Disable recursion : active/désactive l’envoi de mises à jour récursives depuis le
serveur. Si ce dernier n’est pas programmé pour envoyer ce type de requête, cochez
la case afin d’éviter que des pirates lancent sur ce serveur une attaque de type
« Deny of Service »
BIND secondaries : cette option permet d’accélérer le transfert de zone entre un
serveur DNS Windows et un serveur DNS Bind. Concrètement, cette méthode active
la compression de données en incluant plusieurs enregistrements RR dans un seul
message. Si vous n’utilisez pas une version de Bind inférieure ou égale à la version
4.9.4, il est recommandé de décocher cette case (option par défaut)
Fail on load if bad zone data : en cochant cette case, vous empêchez le chargement
d’un fichier de zone corrompu
Enable round robin : le round robin est un mécanisme permettant d’alterner
différentes IP pour un même nom. Cela permet de répartir la charge sur différents
serveurs DNS. En cochant cette option, vous activez ce mécanisme
9

Enable mask ordering : dans le cas où plusieurs entrées DNS existent pour une hôte,
il est possible de privilégier les adresses du même réseau que le client. En d’autres
termes, cela dirige le client vers la machine la plus proche. En cochant cette case,
vous activez ce mécanisme
Secure cache against pollution : cette option permet d’éviter qu’un attaquant pollue
le cache DNS avec des enregistrements non demandés par le serveur. En activant
cette case, vous protégez votre serveur contre ce type d’attaque

 Redémarrez le service DNS pour prendre en compte les modifications

2.4.2 Name checking
Strict RFC (ANSI) :
This method strictly enforces Request for Comments (RFC)–compliant naming rules for all
Domain Name System (DNS) names that the server processes. Names that are not RFC
compliant are treated as erred data by the DNS server
Non RFC (ANSI) : This method allows names that are not RFC compliant, such as names that
use American Standard Code for Information Interchange (ASCII) characters but are not
compliant with RFC host naming requirements, to be used with the DNS server
Multibyte (UTF8) : This method allows names that use the Unicode 8-bit translation
encoding scheme, which is a proposed RFC draft, to be used with the DNS server

2.4.3 Chargement des zones
Par défaut le serveur DNS utilise les informations stockées dans le registre pour s’initialiser
et charger ses zones.
Mais il est tout à fait possible de définir à partir de quelle source le serveur DNS chargera ses
informations. Vous avez donc la possibilité d’initialiser le DNS depuis :
 Un fichier
 Le registre
 Active Directory et registre (option par défaut)

2.4.4 Nettoyage automatique / Automatic scavenging
Le nettoyage des entrées supprime les enregistrements périmés, permettant ainsi
d’optimiser les performances du DNS. Un nettoyage chaque semaine est idéal.

2.5 Journaux d’évènements
Vous pouvez ici déterminer les informations que votre serveur va sauvegarder dans les
journaux d’évènements.

10

Vous pouvez ensuite consulter les logs via la console Event viewer
. A partir de celle-ci
il vous sera possible de visualiser tout évènement en relation avec le DNS grâce au filtre
prédéfinit.

2.6 Monitoring
Vous pouvez ici tester différents type de requêtes afin de vérifier le bon fonctionnement de
votre serveur. Pour lancer un test, choisissez le type de requête et cliquez sur Test now
11

2.7 Root hints / Serveurs racine
Les serveurs racines sont interrogés uniquement lorsqu’aucun forwarder/redirecteur ne
répond ou n’a été paramétré sur votre serveur.
Pour information, ils en existent 13 dans le monde (10 aux USA, 1 à Amsterdam, 1 à
Stockholm et 1 un Tokyo) numérotés de A à M. Il ne peut pas en avoir plus étant donné la
limitation de 512 octets liée au protocole DNS basé sur UDP. Par ailleurs, si une réponse DNS
dépasse cette limite, elle doit être implantée au sein d’une trame TCP. Hors la grande
majorité des pare-feu bloquent les trames « DNS over TCP » pour des raisons de sécurité.
Ci-dessous un extrait de la liste des serveurs racines. Vous pouvez à tout moment l’éditer ou
l’importer depuis un serveur.

12

13

3. Configuration des zones sur SRV-DNS-1
Avant de configurer vos zones, je vous conseille de lire le
prendre connaissance des différents types de zones.

3.1

point 1 de la Partie 2 afin de

Création d’une zone principale

Avant tout, sachez que si vous installez le rôle de contrôleur de domaine sur votre serveur, le
rôle DNS sera implicitement ajouté et une zone principale sera automatiquement créée.
Dans tous les cas, voici comment créer ce type de zone :

Clic droit sur Forward Lookup Zones > New zone
L’assistant suivant se lance :

Choisissez ensuite Primary zone

14

Choisissez ensuite le type de réplication souhaité

Saisissez ensuite le nom de zone souhaité (il s’agit du nom de votre domaine)

15

On autorise uniquement les mises à jour sécurisées

La création de votre zone principale est terminée. Vous pouvez la consulter en
déroulant les icônes [nom_serveur] > Forward lookup zones > [nom_zone]

16

3.2 Création d’une zone de recherche inverse
Pour créer une zone de recherche inverse, suivez ensuite les instructions ci-dessous :

Clic droit sur Reverse Lookup Zones > New zone
L’assistant suivant se lance :

17

Choisissez ensuite Primary zone

Choisissez ensuite le type de réplication souhaité

18

Choisissez l’option IPv4

Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectuée

19

La création de votre zone de recherche inverse est terminée. Vous pouvez la
consulter en déroulant les icônes [nom_serveur] > Reverse lookup zones >
[nom_zone]

3.3 Modification du type d’une zone
Si vous souhaitez modifier le type d’une zone existante, suivez comme suit :
 Clic droit sur [nom_zone] > Properties > General > Type => Change

La fenêtre suivante s’ouvre :

20

Choisissez le type de zone souhaité, validez puis redémarrez le service DNS

3.4 Options de zone
Si vous souhaitez modifier certains paramètres propres à une zone, suivez comme suit :
 Clic droit sur [nom_zone] > Properties > Start of Authority (SOA)

21

3.4.1 Serial number
Ce numéro indique la version la zone en question. Il est incrémenté lors d’une mise à jour
dynamique (Refresh interval) ou par action de l’administrateur (bouton Increment).

3.4.2 Primary server
Il indique le serveur primaire pour la zone en question. Ce serveur est appelé « serveur
SOA » car il fait autorité sur toute la zone.

3.4.3 Responsible person
Indiquez ici le mail du responsable pour le rôle DNS. Attention le point après hostmaster
correspondant au sigle « @ ». Lisez donc : « hostmaster@votre-zone.com ».

3.4.4 Durée de zone

Refresh interval : temps d’attente que le serveur secondaire attend avant de
renouveler sa zone. Lors de la mise à jour, ce dernier compare les numéros de
version de zone et constate s’il est nécessaire ou non d’actualiser sa zone
Retry interval : temps d’attente après un échec avant que le serveur secondaire ne
retente une mise à jour
22


Expires after : temps après lequel le serveur secondaire arrête de répondre aux
requêtes, du fait qu’il n’est pas pu actualiser sa zone
Minimum TTL : durée de vie d’une zone

23

4. Installation de SRV-DNS-2
Sur ce serveur, seul le rôle DNS sera installé. Avant de commencer, modifiez les paramètres
TCP/IP de la façon suivante :
 IP address : IP fixe située dans le même réseau que SRV-DNS-1
 Preferred DNS server : IP serveur SRV-DNS-1
 Alternate DNS server : IP serveur SRV-DNS-2
Ensuite, joignez ce serveur au domaine créé par SRV-DNS-1 et suivez comme suit :


Pour ajouter le rôle DNS, cliquez sur le « Gestionnaire de serveur »
Add roles (à droite)

Cochez la case DNS Server puis Next

24

Voilà, votre serveur DNS secondaire est installé, il ne reste plus qu’à le configurer

5. Configuration générale de SRV-DNS-2
En ce qui concerne la configuration générale de SRV-DNS-2, elle identique à celle de SRVDNS-1. Reprenez donc le point

2 de la Partie 1 pour plus d’informations.

25

6. Configuration des zones sur SRV-DNS-2
6.1 Création d’une zone principale secondaire

Clic droit sur Forward Lookup Zones > New zone
L’assistant suivant se lance :

Choisissez ensuite Secondary zone

26

Indiquez ensuite le nom de votre zone :

Renseignez ensuite l’IP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorité…). Cela est tout à fait normal
27

Voilà, votre zone secondaire est prête

6.2 Création d’une zone de recherche inverse secondaire
Pour créer une zone de recherche inverse secondaire, suivez ensuite les instructions cidessous :

Clic droit sur Reverse Lookup Zones > New zone
L’assistant suivant se lance :

28

Choisissez ensuite Secondary zone

Choisissez l’option IPv4

29

Indiquez ensuite la plage IP sur laquelle la recherche inverse sera effectuée

Renseignez ensuite l’IP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorité…). Cela est tout à fait normal

30

La création de votre zone de recherche inverse est terminée. Vous pouvez la
consulter en déroulant les icônes [nom_serveur] > Reverse lookup zones >
[nom_zone]

7. Transfert de zone entre SRV-DNS-1 et SRV-DNS-2
Maintenant que vos deux serveurs sont prêts, nous allons les configurer pour que SRV-DNS-1
copie les informations de ses zones vers SRV-DNS-2. Vous pouvez obtenir un complément
d’information sur le transfert de zone au point 1.2 de la Partie 2.

7.1 Ajout d’un serveur DNS supplémentaire
Pour commencer, vous devez ajouter le serveur SRV-DNS-2 parmi les serveurs DNS autorisés
dans le domaine :
ZONE PRIMAIRE sur SRV-DNS-1
 Clic droit sur Forward Lookup Zone > [nom_zone] > Properties > Name Servers
 La fenêtre ci-dessous apparaît. Cliquez alors sur Add

31

Saisissez le FQDN de votre serveur DNS secondaire SRV-DNS-2 puis Resolve

32

Si la résolution fonctionne, une icône verte apparait à gauche. Cliquez alors sur Ok

ZONE SECONDAIRE sur SRV-DNS-1
 Clic droit sur Reverse Lookup Zone > [nom_zone] > Properties > Name Servers
 Procédez de la même façon que l’étape précédente

7.2 Autorisation du transfert de zone
Avant l’étape qui suit, voici la configuration que vous devriez avoir sur vos serveurs DNS :
 Serveur DNS principal : SRV-DNS-1 :
o Rôle Active Directory
o Rôle DNS :
 Zone principale
 Zone de recherche inverse
 Serveur DNS secondaire : SRV-DNS-2 :
o Rôle DNS :
 Zone secondaire
 Zone de recherche inverse
Vous devez maintenant autoriser votre serveur principal à copier ses zones vers le serveur
DNS secondaire :
Transfert de la ZONE PRIMAIRE vers SRV-DNS-2
 Depuis SRV-DNS-1, clic droit sur Forward Lookup Zone > [nom_zone] > Properties >
Zone transfers
 La fenêtre ci-dessous apparaît. Cochez la case Allow zone transferts

33


Cliquez ensuite sur Notify (plus de détails concernant cette option au point 1.2 de la
Partie 2)
La fenêtre ci-dessous apparaît. Cochez la case et choisissez l’option Servers listed on
the Name Servers tab

34

Transfert de la ZONE SECONDAIRE vers SRV-DNS-2
 Depuis SRV-DNS-1, clic droit sur Reverse Lookup Zone > [nom_zone] > Properties >
Zone transfers
 Procédez de la même façon que l’étape précédente
 Dorénavant les mises à jours sont envoyées vers tous les serveurs DNS inscrits dans
l’onglet « Name server » de la zone en question

7.3 Vérification du bon fonctionnement de la réplication de zone
Depuis votre serveur DNS secondaire, vous devriez voir apparaître au bout de quelques
minutes l’ensemble des enregistrements de votre serveur principal.
Pour vérifier que votre transfert est effectif, consultez la présence de l’évènement ci-dessous
dans vos logs DNS :

35

8. Délégation de zone
La délégation de zone permet de diviser l’espace de nom afin de :
 Déléguer la gestion d’une partie de votre espace DNS
 Répartir le trafic sur différentes zones
 Etendre un domaine afin, par exemple, d’incorporer une nouvelle entité
Supposons que vous disposez d’un domaine nommé exemple.com et que vous souhaitez
séparer cet espace afin d’en déléguer la gestion à vos deux filiales. Vous devrez donc créer
deux « sous-domaines » nommés :
 filiale1.exemple.com
 filiale2.exemple.com
Pour cela :
 Clic droit sur [nom_zone] > New delegation
 L’assistant suivant se lance :

36

Saisissez ensuite le nom de la zone à déléguer, en l’occurrence filiale1.exemple.com

Indiquez ensuite le FQDN du serveur DNS auquel vous souhaitez déléguer la gestion

37

La délégation de zone est maintenant achevée

38

PARTIE 2
1. Les zones DNS
1.1 Types de zones
1.1.1 Zone principale
Une zone principale enregistre toutes les informations de zone dans un fichier sur le serveur
local. Elle permet de résoudre un nom d’hôte en IP à partir des enregistrements de type A,
CNAME, … Avec ou sans domaine, une zone principale est indispensable.
Astuce : Pour vérifier que votre zone fonctionne correctement, exécutez la commande Ping
[nom_hôte]. Si votre DNS est correctement configuré, la commande vous retourne l’IP de
l’hôte en question.

1.1.2 Zone secondaire
Une zone secondaire est une copie en lecture seule de la zone principale. Le serveur
hébergeant cette zone ne peut mettre à jour aucun enregistrement.

1.1.3 Zone de stub
Une zone de stub est quasiment identique à une zone secondaire, sauf qu’elle ne copie que
les enregistrements suivants :
 SOA
 NS pour les serveurs de nom faisant autorité sur la zone
 A pour les serveurs de nom faisant autorité sur la zone
 Une zone de stub permet de réduire le trafic lors des mises à jour entre les différents
serveurs DNS d’un domaine.

1.1.4 Zone intégrée à Active Directory
Par défaut, les enregistrements des zones DNS sont enregistrés dans des fichiers (même
principe que sous Linux). Cela dit, il est avantageux de stocker vos zones DNS dans votre
annuaire Active Directory pour les raisons suivantes :
 Vos zones sont dupliquées sur tous vos contrôleurs de domaines
 Même en cas de défaillance d’un de vos serveurs, la résolution DNS continue de
fonctionner
 Les transactions DNS entre serveurs sont sécurisées grâce au mécanisme de
réplication Active Directory
 Seuls les postes membres de votre domaine peuvent mettre à jour les
enregistrements A et PTR

39

Pour intégrer une zone dans Active Directory :
 Clic droit sur [nom_zone] > Properties > General > Type : change
 Cochez ensuite la case ci-dessous :

1.1.5 Zone de recherche inverse
Une zone de recherche inverse permet, contrairement à une zone principale, d’obtenir le
nom d’hôte à partir d’une IP. Elle n’est pas indispensable dans un réseau mais sa mise en
place est plus que recommandée.
Astuce : Pour vérifier que votre zone fonctionne correctement, exécutez la commande Ping
–a [IP_hôte]. Si votre DNS est correctement configuré, la commande vous retourne le nom
de l’hôte en question.

1.2 Transfert de zone (AXFR)
1.2.1 Fonctionnement
Comme vous avez pu le constater au point 7.2 de la Partie 1, le transfert de zone permet
de copier une zone vers un autre serveur. Un transfert de zone se déroule de la façon
suivante :
1. Le serveur esclave vérifie si son numéro de série est identique à celui du serveur
maître (SOA)
2. Si le numéro de version est plus récent, une demande de mise à jour est réalisée
3. Le transfert commence avec une requête DNS over TCP ou UDP
4. Le serveur maître répond ensuite avec plusieurs messages contenant des
enregistrements de type RRdata
Il existe deux types de méthode de transfert :
 AXFR : transfert de zone complet
 IXFR : transfert de zone incrémental
Plus de détails sur Wikipédia ici.

1.2.2 Notifications
Originairement, le transfert de zone est à l’initiative du serveur esclave. Cependant, vous
pouvez « forcer » le serveur principal à envoyer une notification à ses serveurs afin de
déclencher périodiquement le transfert.

2. Redirecteurs / Forwarders
2.1 Fonctionnement

40

Dans le cas où une requête ne peut être résolue par un serveur DNS, ce dernier va la
transférer vers un de ses redirecteurs. Un redirecteur est un serveur du réseau qui relaie les
requêtes non résolues pour une résolution extérieure. En règle générale, il convient de
renseigner les redirecteurs avec les DNS de votre FAI (Fournisseur d’Accès à Internet).

2.2 Redirecteurs conditionnels
Un redirecteur conditionnel est redirecteur pour un domaine en particulier. Il permet
d’accélérer la résolution de nom sans passer par la hiérarchie DNS existante. Plus de détails
ici.
Pour rajouter un redirecteur conditionnel :
 Depuis la console DNS, allez dans [nom_serveur] > Conditional Forwarders
 Clic droit > New Conditional Forwarders
 La fenêtre suivante apparaît :

Saisissez alors le serveur DNS vers lequel vous souhaitez rediriger directement (et
donc plus rapidement) les requêtes DND

2.3 Choisir entre un redirecteur conditionnel ou une zone de stub
Si vous hésitez entre la mise en place d’un redirecteur conditionnel ou une zone de stub, je
vous invite à lire cet article très détaillé, qui j’espère pourra vous guider dans votre choix.

41

3. Fonctionnement d’une requête DNS
Une requête DNS issue d’un client est divisée en deux étapes : une traitée localement et une
autre envoyée au serveur.

3.1 Solveur local
Pour commencer, le client va transmettre une requête au solveur local. Ce dernier va
rechercher dans son cache s’il n’existe pas un mappage IP / nom issue d’une résolution
précédente. Le solveur local effectue également une recherche dans le fichier hosts situé
dans C:\system32\drivers\etc. Cela dit, le contenu de ce fichier est pré-chargé dans le cache
DNS. Il n’y a donc pas d’accès « direct » en lecture vers ce fichier lors d’une recherche locale,
si ce n’est au lancement du service « Client DNS ».
Notez qu’il existe 2 types de cache :
 Cache système : contient les enregistrements issus des réponses des serveurs DNS
 Cache négatif : contient les enregistrements des ressources n’existant plus
Pour afficher le cache DNS, ouvrez une fenêtre CMD et tapez : ipconfig /displaydns. Cidessous un extrait du cache après un ping sur google.fr (extrait).

Pour vider le cache DNS, ouvrez une fenêtre CMD et tapez : ipconfig /flushdns

3.2 Résolution DNS
3.2.1 Type de requête
Il existe deux types de requêtes DNS :
 Récursive : interroge d’autres serveurs DNS car le serveur ne peut pas résoudre la
requête
 Itérative : réponse uniquement à partir du cache local

3.2.2 Résolution côté serveur
Si le solveur local ne peut pas résoudre la requête, le client va alors interroger le serveur
DNS. Ce dernier va tout d’abord vérifier s’il peut répondre en faisant autorité à partir des

42

informations de son cache ou des informations de zone. Si une correspondance est trouvée,
les informations sont envoyées et la requête prend fin.
Si la requête ne peut être résolue par le serveur, un processus de récursivité est lancé visant
à interroger d’autres serveurs appelés communément serveurs racines. Ces derniers
peuvent alors retourner différentes réponses :
 Réponse faisant autorité : réponse positive indiquant que la réponse a été obtenue
auprès d'un serveur membre du domaine de recherche auquel le client est connecté
 Réponse positive : réponse ne pouvant pas comprendre l'enregistrement de
ressource interrogé ou une liste d'enregistrements de ressources (RRset)
 Réponse de référence : contient des enregistrements de ressources
supplémentaires. Ce type de réponse est renvoyé au client si le processus de
récursivité n'est pas pris en charge, afin que ces enregistrements puissent être
utilisés par le client pour poursuivre sa requête
 Réponse négative : envoyée par le serveur pour signaler que :
o L’objet de la requête n’existe plus
o Le nom demandé existe, mais aucun enregistrement n’y est associé

3.3 Serveur injoignable
Dans le cas où le serveur principal ne répond pas, le client va contacter le second serveur
DNS. Si ce dernier ne répond pas, il va considérer qu’il ne s’agit pas d’un nom d’hôte sinon
d’un nom NetBIOS. Cela se traduit par de nouvelles étapes :
o Vérification de la présence de l’IP dans le cache NetBIOS
o Envoie d’une requête au serveur WINS
o Recherche du client sur tout le réseau via une trame de diffusion (broadcast)
o Recherche d’une entrée dans le fichier C:\system32\drivers\etc\lmhosts

43

4. Nouveautés du DNS sous Server 2008 R2
4.1 DNSSEC
DNSSEC est une extension disponible depuis Server 2008 R2 et Windows Seven permettant
d’accroître la sécurité du protocole DNS sous Windows. Concrètement, DNSSEC permet de
signer toutes les zones via un tunnel IPsec créé entre chaque serveur DNS. De cette façon
lorsqu’un serveur reçoit une requête, il va authentifier la source via un système de clefs
publiques et privées.
Pour fonctionner, DNSSEC utilise ces nouveaux types d’enregistrements :
 DNSKEY
 RRSIG
 NSEC
 DS
 ZSK : Zone Signing Key
 KSK : Key Signing Key
Ci-dessous, un schéma résumant le fonctionnement de l’extension DNSSEC :

4.2 DNS devolution
http://technet.microsoft.com/en-us/library/ee683928%28WS.10%29.aspx

4.3 DNS cache locking
http://technet.microsoft.com/en-us/library/ee683892%28WS.10%29.aspx

4.4 DDNS socket pool
http://technet.microsoft.com/en-us/library/ee683907%28WS.10%29.aspx

44

Conclusion
A partir de ce tuto, il vous est dorénavant possible de mettre en place une structure DNS
redondante. Toutefois sachez que le serveur secondaire ne peut modifier ces zones, d’où
l’importance du serveur primaire. Pensez également à ajouter les deux adresses de vos
serveurs DNS dans les paramètres distribués par votre serveur DHCP.
Par ailleurs, je vous invite à lire mon article « Serveur DHCP sécurisé » que vous trouverez
également sur Scribd.

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante :
michel_de A-R-0-B-A-5 hotmail . com

Soyez-en d’ores et déjà remercié

45

Sign up to vote on this title
UsefulNot useful