Table des matires

1 DNS sur Windows 2008 Server ................................................................................................ 3 1.1 Nouveauts...................................................................................................................... 3 1.2 1.3 1.4 1.5 Installation du service DNS .............................................................................................. 4 Configuration des indications de racine ........................................................................ 10 Configuration des redirecteurs...................................................................................... 11 Les zones DNS ................................................................................................................ 14 Zones de recherche ............................................................................................... 14 Les enregistrements de ressources ....................................................................... 16

1.5.1 1.5.2 1.6 1.7

Les types de zones DNS ................................................................................................. 18 Zone principale .............................................................................................................. 19 Configurer une zone de recherche directe............................................................ 19 Configurer une zone de recherche inverse ......................................................... 24

1.7.1 1.7.2 1.8

Zone secondaire ............................................................................................................ 27 Introduction ........................................................................................................... 27 Configurer une zone de recherche directe............................................................ 27 Configurer une zone de recherche inverse ......................................................... 29

1.8.1 1.8.2 1.8.3 1.9

Zones de stub ................................................................................................................ 33 Introduction ........................................................................................................... 33 Configurer une zone de stub ................................................................................. 35

1.9.1 1.9.2 1.10

La dlgation de zone DNS ............................................................................................ 39 Introduction ........................................................................................................... 39 Crer et configurer une dlgation de zone DNS .................................................. 41

1.10.1 1.10.2

________________________________________________________ 2011 Hakim Benameurlaine 1

1.11

Zone Intgre ................................................................................................................ 45 Introduction ........................................................................................................... 45 Configurer une zone DNS intgre Active Directory .......................................... 46

1.11.1 1.11.2 1.12

Les outils d'administration en ligne de commande....................................................... 53 nslookup ................................................................................................................ 53 dnscmd .................................................................................................................. 53 dnslint .................................................................................................................... 57

1.12.1 1.12.2 1.12.3

________________________________________________________ 2011 Hakim Benameurlaine 2

DNS sur Windows 2008 Server

1.1 Nouveauts
Dans le rle de serveur DNS de Windows Server 2008, quatre fonctions ont t ajoutes ou amliores pour renforcer le service de serveur DNS ou lui attribuer de nouvelles fonctionnalits : Chargement de zone en arrire-plan Les serveurs DNS qui hbergent des zones DNS importantes stockes dans des services AD DS (Active Directory Domain Services) sont en mesure de rpondre plus rapidement aux demandes clients lorsquils redmarrent car les donnes de zone sont dsormais charges en arrire-plan. Prise en charge dIP version 6 (IPv6) : Le service de serveur DNS prend dsormais compltement en charge les adresses longues de la norme IPv6. Prise en charge des contrleurs de domaine en lecture seule Le rle de serveur DNS de Windows Server 2008 propose des zones principales en lecture seule sur des contrleurs de domaine en lecture seule. Noms unique globaux La zone GlobalNames zone offre une rsolution des noms en une seule partie aux grands rseaux dentreprise qui ne dploient pas WINS (Windows Internet Name Service). Elle savre utile lorsquil nest pas possible dutiliser des suffixes de noms DNS pour as surer la rsolution des noms en une seule partie.

________________________________________________________ 2011 Hakim Benameurlaine 3

1.2 Installation du service DNS

Vous pouvez installer le service DNS en passant par l'utilitaire Server Manager. Avant de lancer la procdure d'installation, assurez-vous de disposer d'une carte rseau paramtre avec une adresse IP fixe ainsi que du DVD de Windows 2008 Server.

________________________________________________________ 2011 Hakim Benameurlaine 4

Aller dans Grer votre serveur.

________________________________________________________ 2011 Hakim Benameurlaine 5

________________________________________________________ 2011 Hakim Benameurlaine 6

________________________________________________________ 2011 Hakim Benameurlaine 7

________________________________________________________ 2011 Hakim Benameurlaine 8

Une fois le service DNS install, vous pouvez le configurer grce une console ddie accessible dans Outils d'administration ou bien en tapant dnsmgmt.msc dans la bote de dialogue excuter.

________________________________________________________ 2011 Hakim Benameurlaine 9

1.3 Configuration des indications de racine

Les "serveurs DNS racines" sont au nombre de 13 travers le monde. Ils appartiennent tous un mme domaine nomm root-servers.net.

Lorsque le serveur DNS n'est pas configur pour utiliser des redirecteurs, il se sert des indications de racine pour rsoudre les noms d'htes ou les adresses IP appartenant des zones qu'il n'hberge pas. Les indications de racine sont un ensemble de serveurs hbergeant la zone contenant les enregistrements du domaine racine ou domaine ".".

Par dfaut, le serveur DNS de Windows 2008 Server est configur pour utiliser ces treize serveurs DNS. Cela signifie que si le serveur DNS reoit une requte DNS dont il ignore la rponse, il va contacter un de ces serveurs racine pour l'obtenir. Si l'on ne souhaite pas que les clients puissent rsoudre les noms de domaines utiliss sur Internet, il suffit de ne mettre aucun serveur DNS dans la liste des serveurs racine ou bien de crer une zone racine. On peut configurer les "serveurs DNS racine" dans l'onglet Indication de racine ( clic droit / proprits sur le nom du serveur DNS dans la console MMC). ________________________________________________________ 2011 Hakim Benameurlaine 10

1.4 Configuration des redirecteurs

Lorsque le serveur DNS n'est pas capable de rsoudre un nom en adresse IP, il va essayer de contacter un autre serveur DNS. On appelle ce serveur DNS redirecteur.

L'utilisation des redirecteurs permet d'utiliser des serveurs DNS locaux pour rsoudre les enregistrements de ressources des domaines locaux et des serveurs DNS extrieurs (ceux des FAI ou bien les serveurs DNS racines via les indications de racine) pour rsoudre les enregistrements de ressources des domaines Internet, ce qui provoque une amlioration des performances du processus de rsolution de noms tout en conservant la possibilit de rsoudre la totalit des noms de domaines mondiaux.
Ajouter jupiter comme redirecteur sur mars :

________________________________________________________ 2011 Hakim Benameurlaine 11

Ajouter un enregistrement sur le serveur jupiter :

________________________________________________________ 2011 Hakim Benameurlaine 12

Faire une requte DNS partir de mars : C:\>nslookup www.abc.com Server: UnKnown Address: 192.168.142.99 Non-authoritative answer: Name: www.abc.com Address: 192.168.142.20 C:\>
Redirecteurs conditionnels Sous Windows 2008 Server il est possible de configurer un ou plusieurs redirecteurs pour un domaine prcis.

Par exemple, on peut spcifier que tous les enregistrements appartenant au domaine orabec.ca seront rsolus par les serveurs DNS ayant les adresses IP 172.16.16.1 et 172.16.16.2. Ainsi chaque fois que le serveur DNS reoit une requte de rsolution de noms concernant le domaine orabec.ca, il regarde dans sa mmoire cache, puis si l'entre n'y est pas, il contacte immdiatement le premier redirecteur spcifi (ici le serveur DNS ayant l'adresse IP 172.16.16.1). Il est possible de dfinir un redirecteur s'appliquant tous les domaines sauf ceux qui ont dj des redirecteurs. Dans ce cas, le serveur DNS n'utilisera plus du tout les indications de racine et n'enverra donc jamais de requte rcursive. De manire gnrale, les redirecteurs indiqus pour le domaine Tous les autres domaines DNS correspondent aux serveurs DNS des fournisseurs d'accs Internet (FAI) de l'entreprise.

________________________________________________________ 2011 Hakim Benameurlaine 13

1.5 Les zones DNS

Windows Server 2008 dispose de plusieurs types de zones. Ces zones sont utilises au sein dun domaine dans le but damliorer le trafic des requtes DNS. Ces zones seront mises en place sur un serveur DNS car un serveur DNS est capable d'hberger diffrents types de zones pour fournir une tolrance de panne et rpartir la rsolution de noms et la charge de travail. Elles servent enregistrer dans une base de donnes ou un fichier suivant la zone considre des noms ou des portions de domaine. Windows Server 2008 intgre galement des enregistrements de ressources pour chaque zone. Bien que le DNS dynamique crer de nombreux enregistrements de ressources pour la base de donnes DNS, dans certain cas vous aurez besoin den crer manuellement. Une zone est une portion contigu de lespace de noms de domaine. Elle sert stocker les noms dun ou plusieurs domaines ou encore une portion dun domaine. Une zone est dtermine par : Un ensemble de mappages de noms dhtes adresse IP. Des donnes qui seront stockes dans un fichier de zone ou une base de donnes Active directory.

1.5.1 Zones de recherche

________________________________________________________ 2011 Hakim Benameurlaine 14

La console de gestion du service DNS prsente une arborescence simple. Les deux premiers conteneurs listent les zones de recherches. On distingue deux types de zone de recherches : Une zone de recherche directe contient des mappages nom d'hte / adresse IP alors qu'une zone de recherche inverse contient des mappages adresse IP / nom d'hte. Ainsi, une zone de recherche directe permet de trouver l'adresse IP correspondant un nom d'hte alors qu'une zone de recherche inverse permet de trouver un nom d'hte partir d'une adresse IP.

Dans le cas d'une recherche directe, le serveur DNS commence par analyser le suffixe DNS pour trouver la zone dans laquelle est situ le nom d'hte, puis recherche ensuite le mappage l'intrieur de cette zone. Dans le cas d'une recherche indirecte, le serveur DNS ne connat que l'adresse IP de l'hte. Il ne peut donc pas utiliser la hirarchie de l'espace de noms pour retrouver le nom d'hte. En effet si le serveur devait interroger toutes les zones DNS pour trouver le nom d'hte, la recherche indirecte prendrait trop de temps et de ressources pour tre rellement efficace. C'est pourquoi un domaine spcifique, nomm in-addr.arpa a t rserv dans l'espace de noms DNS. Ce domaine est subdivis en sous-domaines correspondant chacun un rseau donn. Ainsi le domaine contenant tous les mappages adresse IP / nom d'hte du rseau priv de classe C (la page des adresses IP prives de classe C va de 192.168.0.1 192.168.255.254) se nomme 168.192.in-addr.arpa. Par exemple, lorsqu'un serveur DNS recherche le nom d'hte correspondant l'adresse IP 172.16.16.1 (rseau priv classe B), il s'adresse la zone nomme 16.172.in-addr.arpa. Selon le plan d'adressage du rseau, il arrive que plusieurs zones de recherches inverses doivent tre cres afin de contenir tous les mappages adresse IP / nom d'hte d'un domaine donn. Par exemple si une entreprise utilise le domaine orabec.ca et que son plan d'adressage fait intervenir des adresses IP privs de classes B et des adresses IP prives de classe C alors elle devra crer une zone de recherche directe nomme orabec.ca et deux zones de recherches inverses nommes 16.172.in-addr.arpa et 168.192.in-addr.arpa. ________________________________________________________ 2011 Hakim Benameurlaine 15

1.5.2 Les enregistrements de ressources Dans un environnement Microsoft, les mappages nom d'hte / adresse IP et adresse IP / nom d'hte sont appels enregistrements de ressources. On distingue plusieurs types d'enregistrements de ressources :

A Les enregistrements de ressources A (pour Adresse d'hte) sont des mappages entre un nom d'hte et une adresse IPv4 (adresse IP d'une longueur de 32 bits). Ils reprsentent gnralement la majorit des enregistrements de ressources des zones de recherches directes.

AAAA Les enregistrements de ressources de ce type sont des mappages entre un nom d'hte et une adresse IPv6 (adresse IP de 128 bits).

CNAME Les enregistrements de ressources de type CNAME (Canonical NAME ou nom canonique) sont des mappages entre un nom d'hte et un autre nom d'hte. Ils permettent de crer des alias pour un nom d'hte donn (c'est--dire d'associer plusieurs noms d'hte une mme machine).

HINFO Les enregistrements de ressources de type HINFO (Host INFO) spcifient le type de processeur (ex. : INTEL-386) et le systme d'exploitation (ex. : Linux) correspondant un nom d'hte.

MX Les enregistrements de ressources de type MX (Mail eXchanger) identifient les serveurs de messageries. Chaque serveur de messagerie doit aussi disposer d'un enregistrement de ressource A. Il est possible de donner une priorit diffrente chaque enregistrement MX.

NS Les enregistrements de ressources de type NS (Name Server ou serveur de nom) identifient les serveurs DNS de la zone DNS. Ils sont utiliss dans le cadre de la dlgation DNS.

________________________________________________________ 2011 Hakim Benameurlaine 16

PTR Les enregistrements de ressources de type PTR (PoinTeR ou pointeur) sont des mappages entre une adresse IP et un nom d'hte. Il reprsente la majorit des enregistrements des zones de recherches inverses.

SOA Les enregistrements de ressources de type SOA (Start Of Authority) contiennent le nom d'hte et l'adresse IP du serveur DNS qui hberge actuellement la zone DNS principale. Il y a un seul enregistrement SOA par zone DNS. C'est le premier enregistrement cre dans une zone DNS.

SRV Les enregistrements de type SRV (service) permettent de mapper un nom d'hte un type de service donn. Ainsi les enregistrements SRV peuvent permettre de retrouver la liste des serveurs HTTP ou bien encore des contrleurs de domaines. Il est possible de donner une priorit diffrente chaque enregistrement SRV.

WINS Les enregistrements de ressources de type WINS indiquent au serveur DNS l'adresse IP d'un serveur WINS contacter en cas d'chec lors de la rsolution de nom d'hte. Les enregistrements WINS ne peuvent tre cre que dans une zone de recherche directe.

WINS-R Les enregistrements de ressources de type WINS-R ne peuvent tre cre que dans une zone de recherche inverse.

________________________________________________________ 2011 Hakim Benameurlaine 17

1.6 Les types de zones DNS

Une zone de noms ou zone DNS est un ensemble d'enregistrements de ressources appartenant la mme portion de l'espace de noms DNS. Par exemple une zone DNS peut contenir l'ensemble des enregistrements de ressource de type A (c'est--dire des mappages noms d'hte / adresses IP) du domaine orabec.ca. Il existe trois types de zones DNS :
a) b)

les zones principales peuvent ajouter, modifier et supprimer des enregistrements de ressource. les zones secondaires sont des copies en lecture seule d'une zone principale donne. Un serveur DNS qui hberge une zone secondaire ne peut pas ajouter ni modifier d'enregistrements de ressource. Les zones secondaires ont donc pour seul intrt de garantir une tolrance aux pannes. les zones de stub sont des copies partielles d'une autre zone. Elles contiennent uniquement les enregistrements de ressource de types SOA, NS et A. Les enregistrements d'une zone DNS donne sont stocks localement par le serveur DNS sous la forme d'un fichier. Cependant si le serveur DNS joue aussi le rle de contrleur de domaine, il est possible de stocker les zones principales et les zones de stub dans le service d'annuaire Active Directory. On parlera alors de zones intgres Active Directory. Cette seconde solution apporte des avantages en termes de performance et de scurit.

c)

________________________________________________________ 2011 Hakim Benameurlaine 18

1.7 Zone principale

1.7.1 Configurer une zone de recherche directe Si votre rseau ne contient aucun serveur DNS, vous devez commencer par crer une zone de recherche principale. Pour cela il faut faire un clic droit sur le conteneur zones de recherches directes, puis slectionner Nouvelle zone. Dans l'assistant cliquez sur Suivant, puis slectionnez Zone principale dans la fentre Type de zone. On remarque que la case Enregistrer la zone dans Active Directory est grise ce qui est normal tant donn que dans notre exemple la machine n'est pas un contrleur de domaine.

________________________________________________________ 2011 Hakim Benameurlaine 19

Dans la fentre Nom de la zone, entrez la partie de l'espace de nom que devra contenir la zone de recherche directe principale, puis cliquez sur Suivant. Dans notre exemple, le nom de la zone est : orabec.ca

Vous tes ensuite amen crer un nouveau fichier de zone et le nommer.

________________________________________________________ 2011 Hakim Benameurlaine 20

Le nom propos par dfaut est orabec.ca.dns

Dans la fentre Mise niveau dynamique, vous devez donner ou non la permission aux machines cliente de mettre jour automatiquement leurs enregistrements de ressources. En effet, si vous utilisez un plan d'adressage dynamique (avec le protocole DHCP par exemple) les machines clientes peuvent changer d'adresse IP ce qui invalide les enregistrements de ressources A et PTR correspondant. Cependant, les machines excutant Windows (excluant NT) peuvent mettre jour automatiquement les enregistrements A et PTR les concernant chaque modification de leur configuration.

________________________________________________________ 2011 Hakim Benameurlaine 21

Le fichier orabec.ca.dns se trouve le rpertoire : c:\Windows\System32\dns

; ; ; ; Database file orabec.ca.dns for orabec.ca zone. Zone version: 14 SOA mars.orabec.ca. 14 number 900 600 86400 3600 ; ; ; @ @ ; ; ; Zone records CNAME www.orabec.ca. Zone NS records NS NS mars.orabec.ca. jupiter.orabec.ca. ; ; ; ) ; refresh retry expire default TTL ; serial

@ IN hostmaster.orabec.ca. (

ftp ; ; Delegated sub-zone: ; hr ; End delegation jupiter mail mars pluton smtp www

hr.orabec.ca. NS jupiter.orabec.ca.

A 192.168.142.88 CNAME www.orabec.ca. A 192.168.142.99 A 192.168.142.33 PTR 192.168.142.33. A 192.168.142.5 A 192.168.142.44

________________________________________________________ 2011 Hakim Benameurlaine 22

Trois choix sont disponibles :

1)

N'autoriser que les mises jour dynamiques scurises Seuls les ordinateurs possdant un compte d'ordinateur dans Active Directory peuvent crer et mettre jour automatiquement leurs enregistrements de ressources. Cette option n'est disponible que dans le cas d'une zone intgre Active Directory.

2)

Autoriser la fois les mises jour dynamiques scurises et non scurises Tous les ordinateurs excutant Windows 2000/XP/2008 peuvent crer et mettre jour automatiquement leurs enregistrements de ressources. Mme une machine qui n'est pas membre du domaine peut crer des enregistrements, ce qui peut poser des problmes de scurit.

3)

Ne pas autoriser les mises jour dynamiques Dans ce cas, les mises jour dynamiques ne sont pas autorises.

Une fois votre choix effectu, cliquez sur Suivant, puis sur Terminer. ________________________________________________________ 2011 Hakim Benameurlaine 23

1.7.2 Configurer une zone de recherche inverse Vous pouvez ensuite crer une zone de recherche inverse principale. Pour cela, faites un clic droit sur le conteneur zones de recherche inverse, puis slectionner Nouvelle zone. Dans l'assistant cliquez sur Suivant, slectionnez Zone principale dans la fentre Type de zone puis faite Suivant. Vous devez ensuite choisir entre IPv4 et IPv6.

Vous devez ensuite choisir le nom de la zone de recherche inverse. Pour cela vous pouvez entrer l'adresse IP du rseau auquel appartiennent les machines considres (dans ce cas l'assistant gnrera automatiquement le nom de la zone) ou bien choisir le nom de la zone manuellement.

________________________________________________________ 2011 Hakim Benameurlaine 24

Une fois le nom de zone correctement entr, cliquez sur Suivant.

Dans la fentre Fichier zone, donnez un nom au fichier qui contiendra la zone DNS puis cliquez sur Suivant.

________________________________________________________ 2011 Hakim Benameurlaine 25

Vous devez ensuite autoriser ou non les mises jour dynamique des enregistrements de ressources.

Une fois ce choix effectu, cliquez sur Suivant puis sur Terminer pour quitter l'assistant.

________________________________________________________ 2011 Hakim Benameurlaine 26

1.8 Zone secondaire

1.8.1 Introduction Pour allger la charge du serveur DNS hbergeant une zone principale, vous pouvez crer une copie de cette zone en lecture seule sur un second serveur DNS. Ce type de zone est appel zone secondaire. Pour crer une zone secondaire il faut que le rseau contienne dj un serveur DNS hbergeant une zone principale. 1.8.2 Configurer une zone de recherche directe Pour crer une zone secondaire, il faut faire un clic droit sur le conteneur Zones de recherche directes, puis cliquer sur Nouvelle zone. Cliquez sur Suivant, slectionnez Zone secondaire puis faites Suivant.

Vous devez ensuite donner le nom de la zone dupliquer. Dans notre exemple, il s'agit de la zone orabec.ca

________________________________________________________ 2011 Hakim Benameurlaine 27

Vous devez ensuite saisir l'adresse IP du serveur hbergeant la zone principale.

________________________________________________________ 2011 Hakim Benameurlaine 28

Cliquez sur Suivant puis sur Terminer pour quitter l'assistant.

1.8.3 Configurer une zone de recherche inverse Pour crer une zone de recherche inverse secondaire, faites un clic droit sur le conteneur Zones de recherche inverse, puis cliquez sur Nouvelle zone. Vous devez ensuite choisir entre IPv4 et IPv6. Cliquez sur Suivant pour passer la fentre de prsentation de l'assistant. Dans la fentre Type de zone, slectionnez Zone secondaire puis Suivant.

________________________________________________________ 2011 Hakim Benameurlaine 29

Saisissez l'adresse IP du rseau dans la zone de texte ID rseau. Cliquez sur Suivant.

Vous devez ensuite l'adresse IP du serveur hbergeant la zone principale.

Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant. ________________________________________________________ 2011 Hakim Benameurlaine 30

Autoriser le transfert de la zone primaire en ajoutant lenregistrement NS (sur le serveur qui contient la zone principale):

________________________________________________________ 2011 Hakim Benameurlaine 31

________________________________________________________ 2011 Hakim Benameurlaine 32

1.9 Zones de stub

1.9.1 Introduction Sous Windows 2008 Server on peut paramtrer des redirecteurs pour un domaine donn. Cependant les adresses IP des serveurs DNS qui jouent le rle de redirecteurs doivent tre entres manuellement ce qui peut s'avrer contraignant si les serveurs DNS sont nombreux. De plus la liste de redirecteurs est statique. Ainsi, si l'un des serveurs DNS est supprim ou bien si son adresse IP change, l'entre ne sera plus valide. Dans l'exemple ci-dessous, on observe 2 domaines au sain d'une mme fort. Le domaine orabec1.ca contient 7 serveurs DNS et le domaine orabec2.ca contient un seul serveur DNS. Si l'on souhaite que le serveur DNS srv-1.orabec2.ca puisse rsoudre les noms d'htes du domaine orabec1.ca, il faudra configurer les sept serveurs DNS en tant que redirecteurs.

Il existe une alternative l'utilisation des redirecteurs. En effet, Windows 2008 Server offre la possibilit de crer un type de zone spcifique nomm zone de stub, ne contenant que les enregistrements de ressources de types NS et SOA d'une zone DNS. ________________________________________________________ 2011 Hakim Benameurlaine 33

La zone de stub est automatiquement mise jour lorsque les paramtres d'un enregistrement NS ou SOA sont modifis. Dans notre exemple, il est recommand d'utiliser une zone de stub plutt que des redirecteurs. En effet, la cration de la zone de stub s'avre moins contraignante que celle des redirecteurs et offre l'avantage de mettre jour les enregistrements de ressources chaque modification.

________________________________________________________ 2011 Hakim Benameurlaine 34

1.9.2 Configurer une zone de stub a) Configurer une zone de recherche directe Pour crer une zone de recherche directe de stub, faites un clic droit sur le conteneur Zones de recherche directe, puis cliquez sur Nouvelle zone. Cliquez sur Suivant pour passer la fentre de prsentation de l'assistant. Dans la fentre Type de zone, slectionnez Zone de stub puis Suivant.

Vous devez ensuite saisir le nom de la zone DNS partir de laquelle vous voulez copier les enregistrements SOA et NS.

________________________________________________________ 2011 Hakim Benameurlaine 35

Cliquez sur Suivant pour valider votre choix.

Dans la fentre Fichier de zone, donnez un nom au fichier qui contiendra les enregistrements de la zone de stub, puis faites Suivant.

________________________________________________________ 2011 Hakim Benameurlaine 36

Trouver les nameserver de de zone crosemont.qc.ca : C:\>nslookup -querytype=NS crosemont.qc.ca Server: UnKnown Address: 192.168.142.99 Non-authoritative answer: crosemont.qc.ca nameserver = dns.crosemont.qc.ca crosemont.qc.ca nameserver = clouso.risq.qc.ca clouso.risq.qc.ca internet address = 192.26.210.1

Vous devez ensuite indiquer l'adresse IP du serveur DNS partir duquel vous voulez copier la zone.

Cliquez sur Suivant, puis sur Terminer pour lancer le processus de cration de la zone. Vous pouvez ensuite visualiser les enregistrements contenus dans la zone de stub. On remarque qu'elle contient effectivement les enregistrements de ressources SOA, NS et A des serveurs DNS de la zone d'origine.

________________________________________________________ 2011 Hakim Benameurlaine 37

b) Configurer une zone de recherche inverse La configuration d'une zone de recherche inverse de stub est identique celle d'une zone de recherche directe de stub hormis le choix du nom de la zone dupliquer.

________________________________________________________ 2011 Hakim Benameurlaine 38

1.10 La dlgation de zone DNS

1.10.1 Introduction Considrons une arborescence de domaine, dot d'un domaine parent et de deux sous-domaines. La solution la plus simple est de mettre en place un serveur DNS dans le domaine parent avec une zone DNS primaire. Cependant, il peut tre intressant du point de vu des performances de mettre en place 3 serveur DNS (un dans le domaine parent et un dans chaque sous-domaine). Dans ce cas de figure (un serveur DNS dans chaque sous-domaine), il faut crer des dlgations de zones au niveau du serveur DNS appartenant au domaine parent. Une dlgation permet d'autoriser un autre serveur DNS contrler une partie des enregistrements de la zone. Dans l'exemple ci-dessous, le domaine orabec.ca est subdivis en deux sous-domaines nomms hr.orabec.ca et marketing.orabec.ca. Chaque domaine possde son propre serveur DNS. Le serveur DNS du domaine parent hberge la zone DNS primaire orabec.ca. On souhaite dlguer l'administration des enregistrements de ressources du domaine hr.orabec.ca et du domaine marketing.orabec.ca aux serveurs DNS respectivement nomms : dns. hr.orabec.ca et dns.marketing.orabec.ca. Il va donc falloir crer deux nouvelles dlgations sur le serveur DNS du domaine parent.

________________________________________________________ 2011 Hakim Benameurlaine 39

Dlgation de zone DNS

orabec.ca dns.orabec.ca

hr.orabec.ca dns.hr.orabec.ca

marketing.orabec.ca dns.marketing.orabec.ca

orabec.ca Le serveur DNS hberge la zone primaire orabec.ca Dlgation de ladministration de la zone hr.orabec.ca au serveur dns.hr.orabec.ca Dlgation de ladministration de la zone marketing.orabec.ca au serveur dns.marketing.orabec.ca

hr.orabec.ca Le serveur DNS hberge la zone primaire hr.orabec.ca Le serveur redirige toutes les requtes dont il ne connat pas la rponse vers un serveur DNS du domaine orabec.ca.

marketing.orabec.ca Le serveur DNS hberge la zone primaire marketing.orabec.ca Le serveur redirige toutes les requtes dont il ne connat pas la rponse vers un serveur DNS du domaine orabec.ca.

________________________________________________________ 2011 Hakim Benameurlaine 40

Schma illustrant la dlgation de zone DNS Une fois que les dlgations sont cres, les machines clientes situes dans le domaine orabec.ca utilisent le serveur DNS situ dans le domaine parent pour rsoudre les noms d'htes du domaine orabec.ca et utilisent les serveurs DNS situs dans les sous-domaines pour rsoudre les noms d'htes des domaines hr.orabec.ca et marketing.orabec.ca. En revanche les machines clientes situes dans les sous-domaines peuvent uniquement rsoudre les noms d'htes appartenant leur sousdomaine. C'est pourquoi il faut crer un redirecteur pointant vers le serveur DNS du domaine parent sur les serveurs DNS des sousdomaines. 1.10.2 Crer et configurer une dlgation de zone DNS
Le fonctionnement et la configuration des redirecteurs a dj t abord prcdemment et nous ne montrerons pas comment crer les redirections vers le serveur parent. Nous allons maintenant montrer comment crer les deux dlgations de zones sur le serveur DNS du domaine orabec.ca.

Pour commencer, il faut dvelopper le conteneur Zones de recherche directes puis faire un clic droit sur la zone DNS primaire nomme orabec.ca et slectionner Nouvelle dlgation.

________________________________________________________ 2011 Hakim Benameurlaine 41

Dans l'assistant Nouvelle dlgation cliquez sur Suivant. Dans la fentre Nom du domaine dlgu, vous devez entrez le nom d'hte du sous-domaine sur lequel vous souhaitez faire la dlgation.
Dans notre exemple, il faut taper administration pour dlguer l'administration du domaine hr.orabec.ca. Le fonctionnement et la configuration des redirecteurs a dj t abord prcdemment et nous ne montrerons pas comment crer les redirections vers le serveur parent.

Utilisez le bouton Ajouter pour choisir les serveurs DNS auxquels vous allez dlguer l'administration du domaine hr.orabec.ca. Important Le ou les serveurs ajouts doivent tre autoritaires pour la zone hr.orabec.ca

________________________________________________________ 2011 Hakim Benameurlaine 42

________________________________________________________ 2011 Hakim Benameurlaine 43

Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant. Procdez de la mme manire pour dlguer l'administration des enregistrements de ressources du sous-domaine marketing.orabec.ca vers le serveur dns.marketing.orabec.ca. Les domaines dlgus apparaissent ensuite sous la forme de dossier griss dans la zone DNS primaire orabec.ca.

________________________________________________________ 2011 Hakim Benameurlaine 44

1.11 Zone Intgre

1.11.1 Introduction Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans des fichiers, les zones DNS intgres Active Directory stockent les enregistrements de ressources directement dans le service d'annuaire Active Directory. Seules les zones primaires et les zones de stub peuvent tre intgres Active Directory. De plus, seuls les contrleurs de domaine jouant aussi le rle de serveur DNS peuvent hberger des zones intgres Active Directory. Les zones DNS intgres Active Directory sont intressantes puisqu'elles permettent de renforcer la scurit du processus de rsolution de noms de diverses manires : Les zones intgres Active Directory peuvent tre dupliques sur tous les contrleurs de domaine. Cela permet d'assurer la tolrance de panne. Si un contrleur de domaine connat une dfaillance, alors la rsolution de noms sera toujours assure. L'intgration Active Directory scurise les transactions entres les serveurs DNS. Les zones DNS intgres au service d'annuaire utilisent le mcanisme de rplication Active Directory qui s'avre plus scuris que les changes AXFR et IXFR raliss entre des serveurs DNS utilisant des zones standard. Les zones intgres Active Directory permettent de scuriser les mises jour automatiques des ordinateurs clients (seuls les ordinateurs clients quips de Windows peuvent faire des mises jour automatiques). Si les mises jours automatiques sont actives, seuls les ordinateurs clients membres du domaine peuvent mettre jour automatiquement leurs enregistrements A et PTR.

________________________________________________________ 2011 Hakim Benameurlaine 45

1.11.2 Configurer une zone DNS intgre Active Directory 1) crer une zone DNS intgre Active Directory Pour crer une zone intgre Active Directory, il suffit de ccher la case nomm Enregistrer la zone dans Active Directory lors de la cration d'une zone.

Il faut ensuite choisir comment sera rplique la zone DNS. Il est possible de rpliquer la zone DNS vers tous les serveurs DNS de la fort, vers tous les serveurs DNS du domaine ou bien vers tous les contrleurs de domaines du domaine.

________________________________________________________ 2011 Hakim Benameurlaine 46

Remarque Pour avoir loption qui utilise la partition dapplication, il faut crer une partition dapplication dans le domaine active directory.

________________________________________________________ 2011 Hakim Benameurlaine 47

________________________________________________________ 2011 Hakim Benameurlaine 48

Crer ou supprimer une partition de l'annuaire d'applications Pour crer ou supprimer une partition de l'annuaire d'applications
1) 2) 3) 4) 5) 6) 7)

Ouvrez l'invite de commandes. Tapez : ntdsutil l'invite de commandes "ntdsutil", tapez : domain management l'invite de commandes de gestion de domaine, tapez : connection l'invite de commandes des connexions serveur, tapez : connect to server NomServeur l'invite de commandes des connexions serveur (server connections), tapez : quit l'invite de commandes de la gestion de domaine (domain management), effectuez l'une des actions suivantes : Pour crer une partition d'annuaire d'applications, tapez : create nc dc=TEST,dc=orabec,dc=com NULL Pour supprimer une partition d'annuaire d'applications, tapez : delete nc dc=TEST,dc=orabec,dc=com On utilise NULL pour indiquer le serveur sur lequel on est connect.

________________________________________________________ 2011 Hakim Benameurlaine 49

________________________________________________________ 2011 Hakim Benameurlaine 50

2) Convertir une zone DNS standard en zone DNS intgre AD Il est de convertir une zone DNS standard en zone DNS intgre Active Directory. Pour cela, il suffit de faire clic droit / proprits sur la zone DNS convertir dans la console MMC DNS. Cliquez ensuite sur le bouton Modifier pour changer le type de la zone.

________________________________________________________ 2011 Hakim Benameurlaine 51

Cchez ensuite la case Enregistrer la zone dans Active Directory, puis cliquez sur OK pour convertir la zone.

Confirmer en cliquant sur Oui. Vous devrez ensuite slectionner le type de rplication mettre en uvre pour cette zone DNS.

________________________________________________________ 2011 Hakim Benameurlaine 52

1.12 Les outils d'administration en ligne de commande

Il existe divers outils en ligne de commande permettant de vrifier le bon fonctionnement de la rsolution de noms. On peut citer nslookup, DNScmd ou bien encore DNSlint. 1.12.1 nslookup
nslookup permet de tester la rsolution des noms d'htes en adresses IP et inversement. Lorsque l'on tape nslookup en mode texte, une invite de commande apparat. En outre le nom d'hte et l'adresse IP du serveur DNS par dfaut sont affichs. Lorsque l'on tape un nom d'hte ou un FQDN, nslookup renvoie l'adresse IP correspondante et indique ventuellement si la rponse fait ou non autorit sur le domaine. Dans l'exemple ci-contre, lorsque l'on tape le nom d'hte www, le serveur DNS nomm mars renvoie l'adresse IP 192.167.142.44 et rappelle le nom de domaine pleinement qualifi : www.orabec.ca.

Lorsque l'on tape une adresse IP, nslookup renvoie le nom de domaine pleinement qualifi correspondant et indique ventuellement si la rponse fait ou non autorit sur le domaine. Dans l'exemple, lorsque l'on l'adresse IP 192.168.142.99, le serveur DNS nomm mars renvoie le nom de domaine pleinement qualifi smtp.orabec.ca.dnscmd

dnscmd est un utilitaire permettant d'administrer votre serveur DNS sans passer par la console MMC. Vous pouvez ainsi raliser diverses tches allant de la cration d'un enregistrement la suppression d'une zone. Cela ________________________________________________________ 2011 Hakim Benameurlaine 53

peut s'avrer utile pour crer des scripts automatisant certaines tches (par exemple la cration d'enregistrements A et PTR). Vous pouvez par exemple utilisez dnscmd pour ajouter ou supprimer une zone DNS. Voici la syntaxe respecter pour l'ajout d'une zone DNS principale :dnscmd <serveur_DNS> /ZoneAdd <nom_de_zone> /Primary /File <nom_du_fichier_de_zone>.

L'utilitaire dnscmd.exe peut aussi tre utilis afin de rajouter des enregistrements de ressources dans une zone DNS. ________________________________________________________ 2011 Hakim Benameurlaine 54

Pour ajouter un enregistrement de ressource, il faut utiliser la syntaxe suivante : dnscmd <serveur_dns> /RecordAdd <nom_zone_DNS> <nom_hte> <type_enregistrement> <adresse_IP>. L'exemple ci-dessous montre comment ajouter un enregistrement de ressource A et un enregistrement de ressources PTR.

dnscmd.exe peut aussi tre utilis pour forcer la rplication d'une zone DNS.

________________________________________________________ 2011 Hakim Benameurlaine 55

________________________________________________________ 2011 Hakim Benameurlaine 56

1.12.3 dnslint dnslint est un outil qui permet de diagnostiquer les problmes lis la rsolution de noms d'htes. Il permet par exemple de vrifier les enregistrements de ressources utiliss spcifiquement pour la rplication Active Directory. dnslint est disponible en tlchargement libre sur le site de Microsoft : http://support.microsoft.com/kb/321045 L'avantage de dnslint.exe est qu'il permet de gnrer des rapports au format HTML sur l'implmentation du systme DNS l'intrieur d'une fort Active Directory. Le rapport cr liste entre autre, l'ensemble des serveurs DNS de la fort ainsi qu'un grand nombre d'informations les concernant. La syntaxe utiliser pour crer un rapport est :
dnslint /ad <adresse_IP_contrleur_de_domaine> /s <adresse_IP_serveur_DNS> .

________________________________________________________ 2011 Hakim Benameurlaine 57

Voici un extrait du rapport gnr par l'utilitaire dnslint.exe :

________________________________________________________ 2011 Hakim Benameurlaine 58

DNSLint Report
System Date: Thu Dec 16 21:30:28 2010 Command run: dnslint /ad 192.168.142.99 /s 192.168.142.99 Root of Active Directory Forest:

orabec.ca
Active Directory Forest Replication GUIDs Found: DC: MARS GUID: 508e0111-86f6-4fb2-835f-ba850710b263

Total GUIDs found: 1 The following 2 DNS servers were checked for records related to AD forest replication:

DNS server: mars

IP Address: 192.168.142.99 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO SOA record data from server: Authoritative name server: mars.orabec.ca Hostmaster: hostmaster.orabec.ca Zone serial number: 11 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds Additional authoritative (NS) records from server: mars.orabec.ca Unknown Alias (CNAME) and glue (A) records for forest GUIDs from server: CNAME: 508e0111-86f6-4fb2-835f-ba850710b263._msdcs.orabec.ca Alias: mars.orabec.ca Glue: 192.168.142.99

Total number of CNAME records found on this server: 1 ________________________________________________________ 2011 Hakim Benameurlaine 59

Total number of CNAME records missing on this server: 0 Total number of glue (A) records this server could not find: 0

DNS server: mars.orabec.ca

IP Address: 192.168.142.99 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: YES SOA record data from server: Authoritative name server: mars.orabec.ca Hostmaster: hostmaster.orabec.ca Zone serial number: 11 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds Additional authoritative (NS) records from server: mars.orabec.ca Unknown Alias (CNAME) and glue (A) records for forest GUIDs from server: CNAME: 508e0111-86f6-4fb2-835f-ba850710b263._msdcs.orabec.ca Alias: mars.orabec.ca Glue: 192.168.142.99

Total number of CNAME records found on this server: 1 Total number of CNAME records missing on this server: 0 Total number of glue (A) records this server could not find: 0 Notes: One or more DNS servers is not authoritative for the domain

Legend: warning, error

DNSLint developed by Tim Rains

________________________________________________________ 2011 Hakim Benameurlaine 60