You are on page 1of 6

Rle de serveur DNS

Mis jour: janvier 2008 S'applique : Windows Server 2008 DNS (Domain Name System) est un systme dappellation dordinateurs et de services rseau organis selon une hirarchie de domaines. Les rseaux TCP/IP tels quInternet utilisent DNS pour localiser des ordinateurs et des services par le biais de noms conviviaux. Pour faciliter lutilisation des ressources rseau, des systmes de noms tels que DNS permettent dtablir une correspondance entre le nom convivial dun ordinateur ou dun service et dautres informations associes ce nom, comme une adresse IP. Un nom convivial est plus simple retenir que les adresses numriques qui sont utilises par les ordinateurs pour communiquer sur un rseau. La plupart des utilisateurs prfrent recourir un nom convivial (par exemple, ventes.fabrikam.com) pour trouver un serveur de messagerie ou un serveur Web sur un rseau, plutt qu une adresse IP telle que 157.60.0.1. Lorsquun utilisateur entre un nom DNS convivial dans une application, les services DNS rsolvent le nom en son adresse numrique.

Quel est le rle dun serveur DNS ?


Un serveur DNS assure la rsolution de noms des rseaux TCP/IP. En dautres termes, il permet aux utilisateurs dordinateurs clients dadopter des noms la place des adresses IP numriques pour identifier les htes distants. Un ordinateur client envoie le nom dun hte distant un serveur DNS, lequel rpond avec ladresse IP correspondante. Lordinateur client peut alors envoyer des messages directement ladresse IP de lhte distant. Si le serveur DNS ne dispose pas dune entre dans sa base de donnes pour lhte distant, il peut rpondre au client avec ladresse dun serveur DNS qui a plus de chances de possder des informations sur cet hte distant, ou il peut interroger lautre serveur DNS. Ce processus peut intervenir de manire rcursive jusqu ce que lordinateur client reoive ladresse IP, ou jusqu ce quil soit tabli que le nom interrog nappartient pas un hte dans lespace de noms DNS spcifique. Le serveur DNS dans le systme dexploitation Windows Server 2008 se conforme aux normes RFC (Requests for Comments) qui dfinissent et normalisent le protocole DNS. tant donn que le service Serveur DNS est conforme aux RFC et quil est capable dutiliser les formats denregistrements de ressources et des fichiers de donnes DNS standard, il peut fonctionner avec la plupart des autres implmentations de serveur DNS, comme celles qui utilisent les logiciels BIND (Berkeley Internet Name Domain). Qui plus est, le serveur DNS dans Windows Server 2008 prsente les avantages suivants dans le contexte dun rseau Windows :

Prise en charge des services de domaine Active Directory (AD DS) Le systme DNS est requis pour la prise en charge des services de domaine Active Directory. Si vous installez le rle de services de domaine Active Directory sur un serveur, vous pouvez installer et configurer automatiquement un serveur DNS sil est impossible de localiser un serveur DNS qui rpond aux conditions requises des services de domaine Active Directory. Les zones DNS peuvent tre stockes dans les partitions dannuaire dapplications ou de domaines des services de domaine Active Directory. Une partition est un conteneur de donnes dans les services de domaine Active Directory qui distingue les donnes pour diffrentes fonctions de rplication. Vous pouvez spcifier dans quelle partition Active Directory la zone doit tre stocke, et par consquent le groupe de contrleurs de domaine sur lesquels les donnes de cette zone seront rpliques. En rgle gnrale, lutilisation du service Serveur DNS de Windows Server 2008 est vivement recommande pour assurer la meilleure intgration et prise en charge possible des services de domaine Active Directory, ainsi que la disponibilit de fonctionnalits de serveur DNS optimises. Vous pouvez cependant utiliser un autre type de serveur DNS pour prendre en charge le dploiement des services de domaine Active Directory.

Zones de stub Lexcution du service DNS dans Windows Server 2008 prend en charge un type de zone nomm zone de stub. Une zone de stub est une copie dune zone qui contient uniquement les enregistrements de

ressources ncessaires lidentification des serveurs DNS de rfrence de cette zone. Une zone de stub conserve un serveur DNS hbergeant une zone parente comprenant les serveurs DNS de rfrence de sa zone enfant. Cela contribue maintenir lefficacit de la rsolution de noms DNS.

Intgration dautres services rseau Microsoft Le service Serveur DNS assure lintgration dautres services et il contient des fonctionnalits qui vont au-del de celles spcifies dans les RFC relatives au systme DNS. Ces fonctionnalits incluent lintgration dautres services, tels que les services de domaine Active Directory, WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol).

Facilit dadministration accrue Le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console) offre une interface utilisateur graphique pour la gestion du service Serveur DNS. Qui plus est, plusieurs Assistants de configuration sont proposs pour lexcution des tches dadministration de serveur courantes. En complment de la console DNS, dautres outils sont fournis pour faciliter la gestion et la prise en charge des serveurs et des clients DNS de votre rseau.

Prise en charge du protocole de mise jour dynamique conforme aux RFC Les clients peuvent utiliser le service Serveur DNS pour mettre jour de manire dynamique des enregistrements de ressources sur la base du protocole de mise jour dynamique (RFC 2136). Ladministration DNS est ainsi amliore en rduisant la dure ncessaire la gestion manuelle de ces enregistrements. Les ordinateurs excutant le service Client DNS peuvent inscrire leurs noms DNS et adresses IP de manire dynamique. De plus, le service Serveur DNS et les clients DNS peuvent tre configurs pour effectuer des mises jour dynamiques scurises, une fonctionnalit qui autorise uniquement les utilisateurs authentifis bnficiant des autorisations appropries mettre jour des enregistrements de ressources sur le serveur. Les mises jour dynamiques scurises sont disponibles uniquement pour les zones qui sont intgres aux services de domaine Active Directory.

Prise en charge du transfert de zone incrmentiel entre les serveurs Les transferts de zone rpliquent les informations relatives une partie de lespace de noms DNS entre des serveurs DNS. Les transferts de zone incrmentiels rpliquent uniquement les parties modifies dune zone, ce qui permet de prserver la bande passante rseau.

Redirecteurs conditionnels Le service Serveur DNS tend une configuration standard de redirecteurs laide de redirecteurs conditionnels. Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction du nom de domaine DNS mentionn dans la requte. Par exemple, il est possible de configurer un serveur DNS de sorte quil transfre toutes les requtes reues pour les noms se terminant par ventes.fabrikam.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS.

Qui ce rle serveur peut-il intresser ?


Pour quils fonctionnent correctement, tous les rseaux TCP/IP, lexception des plus simples, doivent accder un ou plusieurs serveurs DNS. Sans la rsolution de noms et les autres services assurs par les serveurs DNS, laccs client aux ordinateurs htes distants serait extrmement difficile. Par exemple, en labsence daccs un serveur DNS, la navigation sur le Web serait pratiquement impossible : la majorit des liens hypertextes publis sur le Web utilisent le nom DNS des htes Web et non leur adresse IP. Le mme principe

sapplique aux rseaux intranet car les utilisateurs connaissent rarement ladresse IP des ordinateurs de leur rseau local. Il peut tre intressant de dployer le service Serveur DNS dans Windows Server 2008 si votre rseau contient lun des lments suivants :

Ordinateurs lis un domaine Ordinateurs clients DHCP Windows Ordinateurs connects Internet Succursales ou domaines situs sur un rseau tendu

Existe-t-il des considrations particulires ?


Si vous voulez intgrer le service Serveur DNS aux services de domaine Active Directory, vous pouvez installer le service DNS en mme temps que les services de domaine Active Directory, ou vous pouvez installer le service DNS aprs linstallation des services de domaine Active Directory puis intgrer ce service DNS au cours dune autre procdure. Vous pouvez installer des serveurs DNS sauvegards dans des fichiers (cest--dire des serveurs DNS qui ne sont pas intgrs aux services de domaine Active Directory) sur nimporte quel ordinateur du rseau. Bien entendu, vous devez prendre en compte la topologie de votre rseau et la rpartition du trafic lorsque vous dterminez lemplacement auquel dployer vos serveurs DNS.

Quelles sont les nouvelles fonctionnalits offertes par ce rle serveur ?


Le service Serveur DNS dans Windows Server 2008 inclut de nouvelles fonctionnalits ainsi que des fonctionnalits optimises par rapport au service Serveur DNS qui tait disponible sur les systmes dexploitation Microsoft Windows NT Server, Windows 2000 Server et Windows Server 2003. Les sections suivantes dcrivent ces fonctionnalits. Chargement en arrire-plan des zones Les grandes entreprises dotes de zones extrmement volumineuses qui stockent leurs donnes DNS dans les services de domaine Active Directory constatent quil faut parfois une heure ou plus pour redmarrer un serveur DNS, en raison de la dure dextraction des donnes DNS du service dannuaire. En consquence, le serveur DNS nest pas disponible pour traiter les demandes clients pendant toute la dure de chargement des zones intgres aux services de domaine Active Directory. Un serveur DNS excutant Windows Server 2008 charge dsormais les donnes de zone des services de domaine Active Directory en arrire-plan pendant son redmarrage, afin quil puisse rpondre aux demandes de donnes dautres zones. Lorsque le serveur DNS dmarre, il effectue les oprations suivantes :

Il numre toutes les zones devant tre charges. Il charge les indications de racine partir des fichiers ou du stockage des services de domaine Active Directory.

Il charge toutes les zones sauvegardes dans des fichiers, cest--dire les zones qui sont stockes dans des fichiers et non dans les services de domaine Active Directory.

Il commence rpondre aux requtes et aux appels de procdures distantes (RPC). Il gnre un ou plusieurs threads pour charger les zones stockes dans les services de domaine Active Directory.

tant donn que la tche de chargement des zones est opre par des threads distincts, le serveur DNS est en mesure de rpondre aux requtes pendant le chargement des zones. Si un client DNS demande des donnes pour un hte dans une zone qui a dj t charge, le serveur DNS rpond avec les donnes (ou, le cas chant, avec une rponse ngative) comme prvu. Si la demande concerne un noeud qui na pas encore t charg en mmoire, le serveur DNS lit les donnes du noeud partir des services de domaine Active Directory et met jour la liste denregistrements du noeud en consquence. Pourquoi cette fonctionnalit est-elle importante ?

Le serveur DNS peut utiliser le chargement de zone en arrire-plan pour commencer rpondre aux requtes presque instantanment lorsquil redmarre, au lieu dattendre que ses zones aient t intgralement charges. Le serveur DNS peut rpondre aux requtes des noeuds quil a chargs ou qui peuvent tre extraits partir des services de domaine Active Directory. Cette fonctionnalit prsente galement un autre avantage lorsque les donnes de zone sont stockes dans les services de domaine Active Directory et non dans un fichier : laccs aux services de domaine Active Directory est asynchrone et immdiat lorsquune requte est reue, alors que laccs aux donnes de zone bases sur des fichiers seffectue uniquement par le biais dune lecture squentielle du fichier. Prise en charge des adresses IPv6 Le protocole IP version 6 (IPv6) spcifie des adresses dune longueur de 128 bits, tandis que les adresses IPv4 ont une longueur de 32 bits. Cette longueur plus importante offre un nombre beaucoup plus lev dadresses globales uniques afin de rpondre la croissance exponentielle dInternet dans le monde. Les serveurs DNS excutant Windows Server 2008 grent dsormais aussi bien les adresses IPv6 que les adresses IPv4. Par exemple, dans le composant logiciel enfichable DNS, chaque fois quune adresse IP est tape ou affiche, ladresse peut tre au format dadresse IPv4 ou IPv6. Loutil de ligne de commande dnscmd accepte galement les adresses dans ces deux formats. En outre, les serveurs DN peuvent dsormais envoyer des requtes rcursives aux serveurs IPv6 uniquement, et la liste des redirecteurs du serveur peut contenir la fois des adresses IPv4 et des adresses IPv6. Les clients DHCP peuvent galement inscrire des adresses IPv6 en plus (ou la place) des adresses IPv4. En dernier lieu, les serveurs DNS prennent dsormais en charge lespace de noms de domaine ip6.arpa pour le mappage invers. Pourquoi cette fonctionnalit est-elle importante ? Le protocole dadressage IPv6 constitue maintenant un facteur important de la croissance dInternet. Grce la prise en charge de ladressage IPv6 de Windows Server 2008, les serveurs DNS seront en mesure de grer les clients DNS actuels et futurs qui sont conus pour tirer parti des avantages des adresses IPv6. Comment dois-je me prparer cette modification ? tant donn que les serveurs DNS peuvent dsormais renvoyer des enregistrements de ressources hte (A) IPv4 et des enregistrements de ressources hte (AAAA) IPv6 en rponse aux requtes, assurez-vous que le logiciel client DNS sur votre rseau peut traiter les rponses de manire approprie. Vous devrez peut-tre mettre jour ou remplacer vos anciens logiciels client DNS pour garantir la compatibilit avec cette modification. Prise en charge des contrleurs de domaine en lecture seule Windows Server 2008 introduit un nouveau type de contrleur de domaine ; le contrleur de domaine en lecture seule (RODC, Read-Only Domain Controller). Ce type de contrleur fournit un clich instantan dun contrleur de domaine qui ne peut pas tre configur directement, ce qui le rend moins vulnrable aux attaques. Vous pouvez installer un contrleur de domaine en lecture seule des emplacements o il est impossible de garantir la scurit physique du contrleur de domaine. Pour prendre en charge les contrleurs de domaine en lecture seule, un serveur DNS excutant Windows Server 2008 gre un nouveau type de zone, la zone en lecture seule principale (galement dcrite comme la zone de succursale). Lorsquun ordinateur est utilis comme contrleur de domaine en lecture seule, il rplique une copie complte en lecture seule de toutes les partitions dannuaire dapplications que le serveur DNS utilise, y compris la partition du domaine, la partition ForestDNSZones et la partition DomainDNSZones. Ainsi, le serveur DNS sexcutant sur le contrleur de domaine en lecture seule possde une copie complte en lecture seule des zones DNS stockes sur un contrleur de domaine central dans ces partitions dannuaire. Ladministrateur dun contrleur de domaine en lecture seule peut consulter le contenu dune zone principale en lecture seule. Cependant, ladministrateur peut modifier le contenu uniquement en modifiant la zone sur le contrleur de domaine central. Pourquoi cette fonctionnalit est-elle importante ? Les services de domaine Active Directory dpendent du service DNS pour procurer des services de rsolution de noms aux clients rseau. Les modifications du service Serveur DNS sont requises pour la prise en charge des services de domaine Active Directory sur un contrleur de domaine en lecture seule. Zone GlobalNames lheure actuelle, de nombreux clients Microsoft dploient le service WINS sur leurs rseaux. En tant que protocole de rsolution de noms, le service WINS est souvent employ comme protocole de rsolution de noms secondaire en parallle au service DNS. WINS est un protocole plus ancien, qui utilise NetBIOS sur TCP/IP (NetBT). Il est donc en passe de devenir obsolte. Toutefois, les organisations continuent dutiliser le protocole WINS, car elles apprcient ses enregistrements globaux et statiques avec des noms en une partie. Pour permettre aux organisations dvoluer vers un environnement qui repose intgralement sur le service DNS (ou pour bnficier des avantages des noms globaux en une partie dans les rseaux entirement DNS), le service Serveur DNS dans Windows Server 2008 prend dsormais en charge une zone nomme GlobalNames qui contient les noms en une partie. Dans les scnarios types, ltendue de rplication de cette zone est la fort entire, ce qui garantit que la zone fournit effectivement des noms uniques en une partie dans lensemble de la

fort. En outre, la zone GlobalNames peut grer la rsolution de noms en une partie dans lensemble dune organisation qui contient plusieurs forts lorsque vous utilisez les enregistrements de ressources SRV (emplacement du service) pour publier lemplacement de la zone GlobalNames. Contrairement au service WINS, la zone GlobalNames a pour but dassurer la rsolution de noms en une partie dun ensemble limit de noms dhte (en gnral, les sites Web et serveurs dentreprise qui sont grs de manire centralise). La zone GlobalNames nest pas destine tre utilise pour la rsolution de noms pair pair, telle que la rsolution de noms des stations de travail, et les mises jour dynamiques dans la zone GlobalNames ne sont pas prises en charge. En fait, la zone GlobalNames sert le plus souvent contenir les enregistrements de ressources CNAME pour mapper un nom en une partie un nom de domaine complet. Dans les rseaux qui utilisent actuellement le service WINS, la zone GlobalNames contient gnralement les enregistrements de ressources des noms grs de manire centralise qui sont dj configurs de manire statique dans WINS. Lorsque la zone GlobalNames est dploye, la rsolution de noms en une partie opre par les clients fonctionne comme suit : 1. Le suffixe DNS principal du client est ajout au nom en une partie, et la requte est envoye au serveur DNS. 2. Si ce nom de domaine complet nest pas rsolu, le client demande la rsolution en utilisant ses listes de recherche de suffixe DNS (comme celles spcifies par la stratgie de groupe) le cas chant. 3. 4. Si aucun de ces noms nest rsolu, le client demande la rsolution en utilisant le nom en une partie. Si le nom en une partie apparat dans la zone GlobalNames, le serveur DNS hbergeant la zone rsout le nom. Dans le cas contraire, la requte bascule vers le service WINS. Il nest pas ncessaire dapporter des modifications au logiciel client pour permettre la rsolution utilisant le nom en une partie avec cette fonctionnalit. La zone GlobalNames assure la rsolution de noms en une partie uniquement lorsque tous les serveurs DNS faisant autorit excutent Windows Server 2008. Cependant, les autres serveurs DNS (cest--dire les serveurs ne faisant pas autorit pour une zone) peuvent excuter dautres systmes dexploitation. Bien entendu, la zone GlobalNames doit tre la seule zone portant ce nom dans la fort. Pour garantir une volutivit et des performances optimales, il est recommand dintgrer la zone GlobalNames aux services de domaine Active Directory et de configurer chaque serveur DNS faisant autorit avec une copie locale de la zone GlobalNames. Lintgration de la zone GlobalNames aux services de domaine Active Directory est indispensable pour assurer la prise en charge du dploiement de la zone GlobalNames sur plusieurs forts. Liste rouge de requtes globale La plupart des rseaux TCP/IP prennent en charge la fonctionnalit de mise jour dynamique de DNS car la mise jour dynamique est pratique aussi bien pour les administrateurs rseau que pour les utilisateurs. La mise jour dynamique permet aux ordinateurs clients DNS dinscrire et mettre jour de manire dynamique leurs enregistrements de ressources auprs dun serveur DNS chaque fois quun client modifie son adresse rseau ou son nom dhte. Cela permet de rduire les tches dadministration manuelle des enregistrements de zone, en particulier pour les clients qui changent frquemment demplacement et qui utilisent le protocole DHCP pour obtenir une adresse IP. Ceci a toutefois un cot, car un client autoris peut inscrire tout nom dhte inutilis, mme un nom dhte qui peut avoir une signification particulire pour certaines applications. Cela peut permettre un utilisateur malveillant de dtourner un nom spcial et de diriger certains types de trafics rseau vers son propre ordinateur. Deux protocoles couramment dploys sont particulirement vulnrables ce genre de dtournement : le protocole WPAD (Web Proxy Auto-Discovery Protocol) et le protocole ISATAP (Intra-site Automatic Tunnel Addressing Protocol). Mme si un rseau ne dploie pas ces protocoles, les clients configurs pour les utiliser sont vulnrables au dtournement permis par la mise jour dynamique. Pour empcher ce genre de dtournement, le rle de serveur DNS dans Windows Server 2008 inclut une liste rouge de requtes globale qui peut aider empcher un utilisateur malveillant de dtourner des noms DNS ayant une signification particulire. Dans sa configuration par dfaut, le service Serveur DNS dans Windows Server 2008 maintient une liste de noms quil ignore lorsquil reoit une requte de rsolution de nom dans toute zone dans laquelle le serveur fait autorit. Pour cela, le service Serveur DNS compare dabord les requtes la liste. Ensuite, si la partie gauche du nom correspond exactement une entre de la liste, le service Serveur DNS rpond la requte comme sil nexistait aucun enregistrement de ressource, mme sil existe un enregistrement hte (A) ou hte (AAAA) dans

la zone pour le nom. De cette manire, sil existe un enregistrement hte (A) ou hte (AAAA) dans la zone car un hte a utilis la mise jour dynamique pour sinscrire avec un nom bloqu, le service Serveur DNS ne rsout pas le nom. Le contenu initial de la liste rouge varie selon que les protocoles WPAD et ISATAP sont dj dploys ou non lorsque vous ajoutez le rle Serveur DNS un dploiement Windows Server 2008 existant ou mettez jour une version antrieure de Windows Server excutant le service Serveur DNS. De plus, loutil en ligne de commande dnscmd vous permet dajouter ou de supprimer des entres de la liste ou de dsactiver totalement lapplication de la liste rouge. Tous les serveurs DNS faisant autorit pour une zone doivent excuter Windows Server 2008 et doivent tre configurs avec la mme liste rouge afin de garantir des rsultats cohrents lorsque les clients demandent la rsolution de noms figurant dans la liste rouge. Modifications du client DNS Bien quil ne sagisse pas dune consquence directe des modifications du service DNS pour le rle de serveur DNS, les systmes dexploitation Windows Vista et Windows Server 2008 introduisent des fonctionnalits supplmentaires dans le logiciel client DNS, comme lindiquent les sections suivantes. LLMNR Les clients DNS peuvent utiliser la rsolution LLMNR (Link-Local Multicast Name Resolution), galement appele multidiffusion DNS ou mDNS, pour rsoudre les noms sur un segment de rseau local lorsquun serveur DNS est indisponible. Par exemple, si un routeur tombe en panne, en dconnectant un sous-rseau de tous les serveurs DNS du rseau, les clients du sous-rseau qui prend en charge la rsolution LLMNR peuvent poursuivre la rsolution de noms de pair pair jusqu ce que la connexion rseau soit rtablie. Le protocole LLMNR assure non seulement la rsolution de noms en cas de dfaillance dun rseau, mais il peut galement tre utile pour tablir des rseaux pair pair ad hoc (par exemple, dans la salle dattente dun aroport). Modifications concernant la manire dont les clients localisent les contrleurs de domaine Dans certains cas trs rares, la manire dont les clients DNS localisent les contrleurs de domaine peut avoir une incidence sur les performances du rseau :

Le composant localisateur de contrleurs de domaine dun ordinateur client DNS excutant Windows Vista ou Windows Server 2008 recherche rgulirement un contrleur de domaine dans le domaine auquel il appartient. Cette fonctionnalit permet dviter les problmes de performances susceptibles de survenir lorsquun client localise son contrleur durant une priode de panne rseau, le client tant ainsi associ un contrleur de domaine distant situ sur une liaison faible dbit. Auparavant, cette association persistait tant que le client ntait pas forc de rechercher un nouveau contrleur de domaine ; par exemple, lorsque lordinateur client tait dconnect du rseau pendant un certain temps. Grce au renouvellement rgulier de son association un contrleur de domaine, un client court dsormais moins de risques dtre associ un contrleur de domaine inappropri.

Un ordinateur client excutant Windows Vista ou Windows Server 2008 peut tre configur (par programme, avec un paramtre de Registre ou avec la stratgie de groupe) pour identifier le contrleur de domaine le plus proche au lieu de procder des recherches alatoires. Cette fonctionnalit peut amliorer les performances des rseaux comportant des domaines qui reposent sur des liaisons lentes. Cependant, dans la mesure o lidentification du contrleur de domaine le plus proche peut entraner une dgradation des performances du rseau, cette fonctionnalit nest pas active par dfaut.