WINDOWS SERVER 2019

Système DNS
1.Résolution de noms pour les clients et les
serveurs Windows

} Que sont les noms d'ordinateurs ?

} Qu'est-ce que DNS ?
} Zones et enregistrements DNS
} Résolution des noms DNS Internet
} Qu'est-ce que la résolution LLMNR
(Link-Local Multicast Name Resolution) ?
} Comment un client résout un nom
} Résolution des problèmes liés à la résolution
de noms

2 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
} les utilisateurs d'ordinateurs préfèrent utiliser et se
souvenir de noms que de chiffres. Pour cette raison, les
administrateurs affectent généralement des noms aux
ordinateurs.
Name Description
• Jusqu'à 255 caractères
• Peut contenir des caractères alphabétiques et
Nom d'hôte
numériques, des points et des tirets
• Partie du nom de domaine complet
• Représente un ordinateur unique ou un groupe
d'ordinateurs
Nom NetBIOS • 15 caractères sont utilisés pour le nom
• Le 16ème caractère identifie le service
• Espace de noms plat qui n’est pas hiérarchique
3 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
• à partir de Windows 2000 Server.

«Nom_netbios» = «Nom_d’hôte»

} Le nom d’hôte et le nom NetBIOS d’un ordinateur exécutant Windows Server

2000 et plus sont générés ensemble. Si le nom d’hôte comporte plus de 15
caractères, le nom NetBIOS sera composé des 15 premiers caractères.

} Afficher le nom d’hôte et le suffixe DNS

– hostname

– ipconfig /all

} Afficher le nom NetBIOS

– nbtstat -n

4 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
Qu’est ce que DNS?
} DNS (Domain Name System) est une base de données
distribuée hiérarchisée qui contient les mappages de noms
d’hôtes DNS à des adresses IP.
} Il utilise le port UDP 53 si la taille du message ne dépasse pas
512 octets, sinon il switch sur TCP.
} DNS peut être utilisé pour effectuer les tâches suivantes:
• Résoudre des noms d'hôtes en adresses IP
• Rechercher des contrôleurs de domaine et des serveurs de
catalogue global
• Résoudre des adresses IP en noms d'hôtes
• Rechercher des serveurs de messagerie pendant la remise du
courrier électronique

5 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows

6 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows

} L’espace de noms de domaine est une arborescence

hiérarchisée de noms utilisée par DNS pour identifier
et trouver un hôte donné dans un domaine donné,
par rapport à la racine de l’arborescence.
} Un espace de noms DNS comprend le domaine
racine, des domaines de niveau supérieur, des
domaines de niveau secondaire et (éventuellement)
des sous domaines.
} La combinaison de l’espace de noms DNS et du nom
d’hôte constitue le nom de domaine pleinement
qualifié (FQDN, fully qualified domain name).

7 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
Domaine racine

Domaine de niveau
supérieur net com org

Domaine de second
niveau contoso

Sous-domaine
ouest sud est

FQDN : ventes Hôte : SERVER1

SERVER1.ventes.sud.contoso.com

8 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
} Une zone DNS est une partie spécifique de l'espace
de noms DNS qui contient des enregistrements DNS.
} Une zone DNS est hébergée sur un serveur DNS chargé de
répondre aux requêtes portant sur les enregistrements d'un
domaine spécifique. Par exemple, le serveur DNS chargé de
résoudre www.ofppt.ma en adresse IP doit contenir la zone
ofppt.ma.
} Le contenu de la zone peut être stockée dans un fichier ou
dans la base de données AD DS.
} Les types de zone DNS les plus couramment utilisés dans le
DNS Windows Server sont les zones de recherche directe et
les zones de recherche inversée.

9 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
} Le fichier de zone DNS stocke les enregistrements de ressources.
} Les enregistrements de ressources spécifient un type de ressource et
l'adresse IP permettant de localiser la ressource.

•AAAA Les enregistrements de ressources de ce type sont des mappages entre un

nom d'hôte et une adresse IPv6.
• HINFO (Host INFO): spécifient le type de processeur (ex. : INTEL-386) et le
système d'exploitation (ex. : Linux) correspondant à un nom d'hôte.
10 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows

} On distingue deux types de zone de recherches :

§ zone de recherche directe: Les zones de recherche directe
résolvent les noms d'hôtes en adresses IP et hébergent les
enregistrements de ressources courants, notamment les
enregistrements de ressources d'hôte (A), d'alias (CNAME), de
service (SRV), de serveur de messagerie (MX), de source de noms
(SOA) et de serveur de noms (NS). Le type d'enregistrement de
ressource le plus courant est l'enregistrement de ressource d'hôte
(A).
§ zone de recherche inversée: La zone de recherche inversée
résout les adresses IP en noms de domaine. Une zone inversée
fonctionne de la même manière qu'une zone directe, mais l'adresse
IP fait partie de la requête et le nom d'hôte représente l'information
retournée. Les zones de recherche inversée hébergent les
enregistrements de ressources SOA, NS et de pointeur (PTR).
11 OUZAOUIT
 1.Résolution de noms pour les clients et les
serveurs Windows
Résolution des noms DNS Internet
Serveur DNS
Microsoft.com

Serveur
DNS .com
Quelle est l'adresse IP de
Serveur
www.microsoft.com ?
DNS racine

Serveur
DNS local

207.46.230.219
Station
de travail

12 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
} Il existe des centaines de serveurs sur Internet, appelés serveurs racine,
qui gèrent l'ensemble du processus de résolution DNS. Ces serveurs sont
représentés par 13 noms de domaine complets qui appartiennent tous à un
même domaine nommé root-servers.net. Une liste de ces 13 serveurs est
préchargée sur chaque serveur DNS.
} Examinez le processus de résolution de noms suivant pour le nom
www.microsoft.com :
1. Un poste de travail interroge le serveur DNS local pour obtenir l'adresse IP
de www.microsoft.com.
2. Si le serveur DNS local ne dispose pas de l'information, il interroge un
serveur DNS racine pour connaître l'emplacement des serveurs DNS .com
3. Le serveur DNS local interroge un serveur DNS .com pour connaître
l'emplacement des serveurs DNS microsoft.com.
4. Le serveur DNS local interroge le serveur DNS microsoft.com pour
connaître l'adresse IP de www.microsoft.com.
5. L'adresse IP de www.microsoft.com est retournée au poste de travail.
13 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows

Résolution LLMNR
LLMNR (Link-local Multicast Name Resolution) est est un protocole de
résolution de noms développé par Microsoft. C’est une méthode
supplémentaire de résolution de noms qui n'utilise ni DNS, ni WINS (NetBios).
} LLMNR est conçu pour IPv6, utilise le port UDP 5355
} Fonctionne uniquement sur Windows Vista, Windows Server 2008 et tous
les nouveaux systèmes d'exploitation Windows
} Elle utilise un système simple de messages de requête (Multicast
224.0.0.252 et FF02::1:3) et de réponse pour résoudre les noms
d'ordinateurs en adresses IPv6 ou IPv4 sur un réseau local.
} La découverte du réseau doit être activée
} Peut être contrôlé par l'intermédiaire de la stratégie de groupe
14 OUZAOUIT
 1.Résolution de noms pour les clients et les
serveurs Windows
Comment un client résout un nom?
1. Nom d'hôte local

7. Fichier Lmhosts
2. Cache de
résolution client /
Contenu du fichier 6. Diffusion
Hosts
5. Serveur
WINS
3. Serveur
DNS
4. Cache de noms NetBIOS
15 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
Ø Les systèmes d'exploitation Windows résolvent les noms d'hôtes en effectuant les
tâches suivantes dans cet ordre précis :
1.Vérification de la similarité du nom d'hôte et du nom d'hôte local.
2. Recherche du cache de résolution DNS (Une fois qu'un serveur DNS local a résolu
un nom DNS, il met en cache les résultats pendant environ 24 heures) ; Dans le
cache de résolution du client DNS, les entrées du fichier Hosts sont préchargées
(utilisé pour les mappages fixes de noms aux adresses IP sur le réseau local, et
stocké localement sur chaque ordinateur C:\windows\system32\drivers\etc\hosts et
rempli manuellement).
3. Envoi d'une demande DNS à ses serveurs DNS configurés.
4. Conversion du nom d'hôte en un nom NetBIOS et vérification du cache de noms
NetBIOS local.
5. Contact des serveurs WINS configurés de l'hôte (WINS fournit une base de données
centralisée de mappages dynamiques des noms NetBIOS).
6. Diffusion de trois messages maximum de demande de requête de nom NetBIOS sur
le sous-réseau connecté directement.
7. Recherche du fichier Lmhosts (comme fichier Hosts mais pour les noms NetBIOS).
16 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
Résolution des problèmes
Outils courants de résolution des problèmes liés à la résolution de noms:
} Nslookup : utilisez cet outil pour interroger des informations DNS,
capable de fournir des informations précieuses à propos de l'état du
serveur DNS.
} DNSCmd : pour gérer le rôle serveur DNS, d'installation et de
configuration sans assistance de nouveaux serveurs DNS
} Dnslint : pour diagnostiquer les problèmes DNS courants.
} Ipconfig /displaydns : pour consulter le cache DNS local du client.
} Ipconfig /flushdns : pour effacer le cache local.
} ipconfig /registerdns : pour réinscrire un hôte dans DNS.
} Analyse du serveur DNS : pour tester si le serveur peut communiquer
avec d’autre serveurs, vous pouvez effectuer de simples requêtes locales et
récursives à partir de l'onglet Analyse du serveur DNS.
17 OUZAOUIT
1.Résolution de noms pour les clients et les
serveurs Windows
Résolution des problèmes
il existe un ensemble d'applets de commande Windows PowerShell que vous
pouvez utiliser pour la gestion des clients et serveurs DNS:
} Clear-DNSClientCache: efface le cache client, à l'instar de ipconfig
/flushdns.
} Get-DNSClient: affiche les détails des interfaces réseau.
} Get-DNSClientCache: affiche le contenu du cache client DNS local.
} Register-DNSClient: inscrit toutes les adresses IP de l'ordinateur sur le
serveur DNS configuré.
} Resolve-DNSName: effectue une résolution de noms DNS pour un nom
spécifique, comme Nslookup.
} Set-DNSClient: définit les configurations de client DNS spécifiques à
l'interface sur l'ordinateur.

18 OUZAOUIT
2.Installation et gestion du serveur DNS

} Quels sont les composants d'une solution DNS ?

} Que sont les indications de racine ?
} Que sont les requêtes DNS ?
} Qu'est-ce qu’un redirecteur ?
} Fonctionnement de la mise en cache du serveur DNS
} Comment installer le rôle serveur DNS

19 OUZAOUIT
2.Installation et gestion du serveur DNS
Les composants d'une solution DNS
} Un serveur DNS: répond aux requêtes DNS. Les serveurs
DNS peuvent également héberger une ou plusieurs zones d'un
domaine particulier. Les zones contiennent différents
enregistrements de ressources. Les serveurs DNS peuvent
également mettre en cache des recherches afin de gagner du
temps pour les requêtes communes.
} Les serveurs DNS sur Internet: sont accessibles au public.
Ces serveurs hébergent des informations sur les domaines
publics, tels que les domaines de premier niveau (par exemple
.com, .net et .edu).
} La résolution DNS: génère et envoie des requêtes au
serveur DNS. Une résolution DNS peut être un ordinateur qui
exécute une recherche DNS nécessitant une interaction avec
le serveur DNS. Les serveurs DNS peuvent également publier
des demandes DNS sur d'autres serveurs DNS.
20 OUZAOUIT
2.Installation et gestion du serveur DNS

Enregistrement
Ressource Racine « . »

.com

Enregistrement
Ressource .edu
Programmes
de résolution Serveurs DNS
DNS Serveurs DNS sur Internet
21 OUZAOUIT
2.Installation et gestion du serveur DNS
Les indicateurs de racine

} Les indications de racine correspondent à une liste de 13

noms de domaine complets sur Internet que votre serveur
DNS utilise s'il ne parvient pas à résoudre une requête DNS.
} Les serveurs racine sont automatiquement installés lorsque
vous installez le rôle DNS. Ils sont copiés à partir du fichier
cache.dns inclus dans les fichiers d'installation du rôle DNS.
} Si vous sélectionnez l'option Ne pas utiliser la récursivité
pour ce domaine (dans la boîte de dialogue Propriétés du
serveur DNS), le serveur ne sera pas en mesure d'exécuter
des requêtes sur les indications de racine.

22 OUZAOUIT
2.Installation et gestion du serveur DNS
Les indications de racine contiennent
les adresses IP des serveurs DNS racines

Serveurs racine « . »
Serveurs
DNS Indications
de racine

com
Serveur
DNS
Client microsoft
23 OUZAOUIT
2.Installation et gestion du serveur DNS

24 OUZAOUIT
2.Installation et gestion du serveur DNS
Les requêtes DNS
Requête récursive:
} Une requête récursive est une requête envoyée à un serveur
DNS dans laquelle le client DNS demande au serveur de
fournir une réponse complète.
} Le serveur DNS peut être amené à effectuer plusieurs
requêtes destinées à d'autres serveurs DNS avant de trouver
la réponse recherchée.
} Les requêtes récursives sont lancées par un client DNS ou par
un serveur DNS configuré pour utiliser des redirecteurs.
} Une requête récursive a deux résultats possibles :
• Le serveur DNS renvoie l'adresse IP de l'hôte demandé.
• Le serveur DNS ne peut pas résoudre une adresse IP.
25 OUZAOUIT
2.Installation et gestion du serveur DNS
Requête itérative:
} Les requêtes itératives ont accès aux informations de noms de
domaine qui se trouvent sur le système DNS.
} Lorsqu'un serveur DNS reçoit une demande à laquelle il ne peut pas
répondre en utilisant ses informations locales ou ses recherches
mises en cache, il fait la même demande à un autre serveur DNS en
utilisant une requête itérative.
} Lorsqu'un serveur DNS reçoit une requête itérative, il peut
répondre soit en indiquant l'adresse IP du nom de domaine (s'il la
connaît), soit en adressant la demande aux serveurs DNS
responsables du domaine sur lequel porte la requête.
} Le serveur DNS poursuit ce processus jusqu'à ce qu'il trouve un
serveur DNS qui fait autorité pour le nom demandé, jusqu'à ce
qu'une erreur se produise ou jusqu'à l'expiration du délai.
26 OUZAOUIT
2.Installation et gestion du serveur DNS

27 OUZAOUIT
2.Installation et gestion du serveur DNS
} Une requête DNS est une requête de résolution de noms
envoyée à un serveur DNS. Le serveur DNS fournit ensuite
une réponse faisant autorité ou ne faisant pas autorité à la
requête du client:
} Faisant autorité: Une réponse faisant autorité est une
réponse que le serveur retourne et qu'il sait correcte, car la
requête est adressée au serveur faisant autorité qui gère le
domaine. Un serveur DNS fait autorité lorsqu'il héberge une
copie principale ou secondaire d'une zone DNS.
} Ne faisant pas autorité: Une réponse ne faisant pas autorité
est une réponse où le serveur DNS qui contient le domaine
demandé dans son cache répond à une requête en utilisant des
redirecteurs ou des indications de racine, et la réponse
fournie risque de ne pas être exacte.
28 OUZAOUIT
2.Installation et gestion du serveur DNS

• Un serveur DNS faisant autorité pour un espace de noms

• Renvoie l'adresse IP demandée
• Renvoie un « Non » faisant autorité

• Un serveur DNS ne faisant pas autorité pour l'espace de noms

• Vérifie son cache
• Utilise des redirecteurs
• Utilise des indications de racine

29 OUZAOUIT
2.Installation et gestion du serveur DNS
Qu’est ce qu’un redirecteur?
} Un redirecteur est un serveur DNS réseau qui transfère des requêtes
DNS de noms DNS externes aux serveurs DNS situés à l'extérieur de son
réseau. Vous pouvez également utiliser des redirecteurs conditionnels
pour transférer des requêtes en fonction de noms de domaine spécifiques.
} Une fois que vous avez désigné un serveur DNS réseau en tant que
redirecteur, d'autres serveurs DNS de ce réseau transfèrent les requêtes
qu'ils ne savent pas résoudre localement à ce serveur.
} Le redirecteur doit être en mesure de communiquer avec le serveur DNS
situé sur Internet.
} Un redirecteur conditionnel est un serveur DNS sur un réseau qui
transfère des requêtes DNS en fonction du nom de domaine DNS de la
requête. Par exemple, vous pouvez configurer un serveur DNS afin qu'il
transfère toutes les requêtes qu'il reçoit concernant des noms se terminant
par tri.ofppt.ma à l'adresse IP d'un serveur DNS spécifique ou aux adresses
IP de plusieurs serveurs DNS.
30 OUZAOUIT
 2.Installation et gestion du serveur DNS
Un redirecteur est un serveur DNS conçu pour résoudre des noms
de domaine DNS externes ou hors site
Requête itérative Indication
Redirecteur de racine (.)
Interroger .com
Requê
ive

te itéra
Interr tive
urs

oger c .com
ontos
réc

o.com
11
te

.0.
uê

Req
07
q

Rép uête
Re

1.1

o nse itér
fais ativ
13

ant e
131.1 au t
07.0. orit
11 é
Requ
ê
mail1 te récursiv contoso.com
.cont e
oso.c pour
Serveur om
DNS local client

31 OUZAOUIT
2.Installation et gestion du serveur DNS

32 OUZAOUIT
2.Installation et gestion du serveur DNS
La mise en cache
} La mise en cache DNS augmente les performances du système
DNS de l'organisation en accélérant les recherches DNS.
} Lorsqu'un serveur DNS résout correctement un nom DNS, il
ajoute ce nom à son cache. Au fur et à mesure, il génère un
cache des noms de domaine et de leurs adresses IP associées
pour la plupart des domaines que l'organisation utilise ou
auxquels elle accède.
} La durée par défaut de conservation d'un nom dans le cache est
d'une heure.
} Le propriétaire d'une zone peut changer ce paramètre en
modifiant l'enregistrement SOA pour la zone DNS appropriée.

33 OUZAOUIT
2.Installation et gestion du serveur DNS
Cache du serveur DNS
Nom d'hôte Adresse IP TTL
ServerA.contoso.com 131.107.0.44 28 secondes

Où est ServerA ?
ServerA est
à 131.107.0.44

ServerA
Client1
Où est ServerA ?
Client2 ServerA est
à 131.107.0.44
34 OUZAOUIT
2.Installation et gestion du serveur DNS
Installer le rôle serveur DNS
Méthodes d'installation de serveur DNS:
} Gestionnaire de serveur
} Assistant Installation des services de domaine
Active Directory
Outils disponibles pour gérer le serveur DNS
} Composant logiciel enfichable Gestionnaire DNS
} Gestionnaire de serveur
} Console du Gestionnaire DNS (dnsmgmt.msc)
} Outil en ligne de commande DNSCmd
} Windows PowerShell
35 OUZAOUIT
 2.Installation et gestion du serveur DNS

Par commande PowerShell:

Install-WindowsFeature -Name DNS -IncludeManagementTools

36 OUZAOUIT
3.Gestion des zones DNS

} Quels sont les types de zone DNS ?

} Que sont les mises à jour dynamiques ?
} Que sont les zones intégrées à Active Directory ?

37 OUZAOUIT
3.Gestion des zones DNS
Types des zones DNS
} Il existe trois types de zones DNS :
a) zone principale peut ajouter, modifier et supprimer des
enregistrements de ressource. C’est une zone pour laquelle le
serveur DNS est à la fois l'hôte et la source principale des
informations relatives à cette zone. le serveur DNS stocke la copie
principale des données de zone dans un fichier local nom_zone.dns
pour la recherche direct, et un fichier NetID.in-addr.arpa.dns pour
la recherche inversée dans C:\windows\System32\Dns. Par exemple,
lorsqu'un serveur DNS recherche le nom d'hôte
correspondant à l'adresse IP 172.16.16.1 il s'adresse à la zone
nommée 16.172.in-addr.arpa.
b) zone secondaire est une copie en lecture seule d'une zone
principale donnée. Un serveur DNS qui héberge une zone
secondaire ne peut pas ajouter ni modifier d'enregistrements de
ressource. Les zones secondaires ont donc pour seul intérêt de
garantir une tolérance aux pannes.
38 OUZAOUIT
 3.Gestion des zones DNS
Résolution de l’adresse IP 209.132.177.110 en nom DNS rhn.redhat.com à l’aide de
l’enregistrement PTR dans la zone inversée 177.132.209.in-addr.arpa.

39 OUZAOUIT
 3.Gestion des zones DNS
Espace de noms : formation.contoso.com

Client1 DNS 192.168.2.45

Serveur DNS autorisé Zone
pour la formation Formation Client2 DNS 192.168.2.46
directe
Client3 DNS 192.168.2.47
192.168.2.45 Client1 DNS
Zone 2.168.192.in-
192.168.2.46 Client2 DNS
inversée addr.arpa
192.168.2.47 Client3 DNS

Client2 DNS = ?

192.168.2.46 = ?

Client3 DNS

Client1 DNS
Client2 DNS
40 OUZAOUIT
3.Gestion des zones DNS
} c) zone de stub est une copie répliquée d'une zone qui
contient uniquement les enregistrements de ressources
nécessaires à l'identification des serveurs DNS faisant
autorité pour la zone en question. Elle contient
uniquement les enregistrements de ressource de types
SOA, NS et A.

} si le serveur DNS joue aussi le rôle de contrôleur de

domaine, il est possible de stocker les zones principales
et les zones de stub dans le service d'annuaire
Active Directory, on parlera alors de zones intégrées
à Active Directory. Cette seconde solution apporte des
avantages en termes de performance et de sécurité.
41 OUZAOUIT
 3.Gestion des zones DNS
Problématique

• Sous Windows 2019 Server on peut

paramétrer des redirecteurs
conditionnels pour un domaine donné.
Cependant les adresses IP des serveurs
DNS qui jouent le rôle de redirecteurs
doivent être entrées manuellement ce
qui peut s'avérer contraignant si les
serveurs DNS sont nombreux.

• De plus la liste de redirecteurs est

statique. Ainsi, si l'un des serveurs DNS Si l'on souhaite que le serveur DNS srv-
est supprimé ou bien si son adresse IP 1.orabec2.ca puisse résoudre les noms
change, l'entrée ne sera plus valide. d'hôtes du domaine orabec1.ca, il faudra
configurer les sept serveurs DNS en tant
que redirecteurs.

42 OUZAOUIT
3.Gestion des zones DNS
Solution

• La zone de stub est automatiquement mise à jour lorsque les paramètres

d'un enregistrement NS ou SOA sont modifiés.

43 OUZAOUIT
3.Gestion des zones DNS
Les mises à jours dynamiques
} Une mise à jour dynamique est une mise à jour de DNS en
temps réel. Les mises à jour dynamiques sont importantes
pour les clients DNS qui changent d'emplacement, car elles
peuvent inscrire et mettre à jour dynamiquement leurs
enregistrements de ressources sans intervention manuelle.
} Le service client DHCP effectue l'inscription, indépendamment
du fait que l'adresse IP du client soit obtenue à partir d'un
serveur DHCP ou qu'elle soit fixe.
} L'opération se déclenche lorsqu'une adresse IP est ajoutée
ou modifiée dans une connexion réseau, au démarrage de
l'ordinateur ou l'aide de la commande ipconfig /registerdns.
44 OUZAOUIT
3.Gestion des zones DNS
• Trois choix sont disponibles pour le serveur DNS :

} N'autoriser que les mises à jour dynamiques sécurisées : Seuls les

ordinateurs possédant un compte d'ordinateur dans Active Directory
peuvent créer et mettre à jour automatiquement leurs enregistrements de
ressources. Cette option n'est disponible que dans le cas d'une zone
intégrée à Active Directory.
} Autoriser à la fois les mises à jour dynamiques sécurisées et non
sécurisées Tous les ordinateurs peuvent créer et mettre à jour
automatiquement leurs enregistrements de ressources. Même une machine
qui n'est pas membre du domaine peut créer des enregistrements, ce qui
peut poser des problèmes de sécurité.
} Ne pas autoriser les mises à jour dynamiques: Dans ce cas, les mises à
jour dynamiques ne sont pas autorisées.

45 OUZAOUIT
 3.Gestion des zones DNS
1. Le client envoie une requête SOA
2. Le serveur DNS retourne un enregistrement de ressource SOA
3. Le client envoie une ou plusieurs demandes de mise à jour
dynamique pour identifier le serveur DNS principal
4. Le serveur DNS répond qu'il peut effectuer la mise à jour

5. Le client envoie une mise à jour

1 2 3 4 5 6 7
non sécurisée au serveur DNS
6. Si la zone autorise seulement les
mises à jour sécurisées, la mise à
jour est refusée
7. Le client envoie une mise à jour
Serveur Enregistrements de sécurisée au serveur DNS
DNS ressources
46 OUZAOUIT
3.Gestion des zones DNS
les zones intégrées à Active Directory
Les avantages d'une zone intégrée à Active Directory sont
importants :
} Mises à jour multimaîtres: la zone est accessible en écriture à
n'importe quel contrôleur de domaine vers lequel la zone est
répliquée.
} Réplication des données de zone DNS à l'aide de la réplication
AD DS: seuls les attributs modifiés sont répliqués.
} Mises à jour dynamiques sécurisées
} Sécurité: peut déléguer des zones, des domaines,
des enregistrements de ressources.

47 OUZAOUIT
4.Transfert des zones DNS
Transfert des zones
} Un transfert de zone est le transfert total ou partiel des
données d’une zone à partir du serveur DNS principal qui
héberge la zone vers un serveur DNS secondaire qui
héberge une copie de cette zone.
} Lorsque des modifications sont apportées à la zone sur
un serveur DNS principal, ce dernier informe les serveurs
DNS secondaires que ces modifications ont eu lieu.
} Le but d’un transfert de zone est de garantir que les deux
serveurs DNS hébergeant la même zone détiennent les
mêmes informations concernant cette zone.
48 OUZAOUIT
4.Transfert des zones DNS
Les transferts de zone peuvent se produire de l’une des trois façons
suivantes :
} Transfert de zone intégral. Un transfert de zone complet se
produit lorsque vous copiez la zone entière d’un serveur DNS vers
un autre. Un transfert de zone complet est appelé AXFR (All Zone
Transfer).
} Transfert de zone incrémentiel. Un transfert de zone
incrémentiel se produit lorsqu’une mise à jour du serveur DNS est
effectuée et que seuls les enregistrements de ressources modifiés
sont répliqués sur l’autre serveur. Il s’agit d’un transfert de zone
incrémentiel IXFR (Incremental Zone Transfer).
} Transfert rapide. Les serveurs DNS Windows effectuent
également des transferts rapides, qui correspondent à un type de
transfert de zone qui utilise la compression et envoie plusieurs
enregistrements de ressources dans chaque transmission.
49 OUZAOUIT
 4.Transfert des zones DNS
1.Le serveur esclave vérifie si son numéro de série est identique à celui du
serveur maître (SOA)
2. Si le numéro de série est plus récent, une demande de mise à jour est
réalisée
3. Le transfert commence avec une requête DNS over TCP ou UDP
4. Le serveur maître répond ensuite avec plusieurs messages contenant des
enregistrements
1 Requête SOA de zone

2 Réponse de requête SOA

3 Requête IXFR ou AXFR de zone

4 Réponse de requête IXFR ou AXFR

(zone transférée)
Serveur secondaire Serveur principal
et maître
50 OUZAOUIT
4.Transfert des zones DNS
Serial number: Ce numéro indique la version de la
zone en question. Il est incrémenté lors d’une mise à
jour dynamique (Refresh interval) ou par action de
l’administrateur (bouton Increment).
Refresh interval: temps d’attente que le serveur
secondaire attend avant de renouveler sa zone. Lors de
la mise à jour, ce dernier compare les numéros de
version de zone et constate s’il est nécessaire ou non
d’actualiser sa zone.
Retry interval: temps d’attente après un échec avant
que le serveur secondaire ne retente une mise à jour.
Expires after: temps après lequel le serveur secondaire
arrête de répondre aux requêtes, du fait qu’il n’est pas
pu actualiser sa zone.
Minimum TTL : utilisé pour spécifier, en secondes, la
durée de vie pendant laquelle sont conservées en
cache les réponses qui correspondent à des demandes
d'enregistrements inexistants.

51 OUZAOUIT
4.Transfert des zones DNS
DNS notify

} DNS Notify est une mise à jour du protocole DNS qui

permet d’informer les serveurs secondaires lorsqu’une
zone est modifiée.
} Une liste de notification répertorie les autres serveurs
DNS d’une zone qui doivent être informés des
modifications de cette zone.
} La liste de notification que le serveur maître tient à jour
est constituée des adresses IP des serveurs DNS
configurés comme serveurs secondaires pour la zone
considérée.

52 OUZAOUIT
4.Transfert des zones DNS

53 OUZAOUIT
4.Transfert des zones DNS
La sécurité de transfert de zone
} Restreindre le transfert de zone à des serveurs spécifiés
} Chiffrer le trafic de transfert de zone (Ipsec, VPN)
} Envisager d'utiliser des zones intégrées à Active Directory

Zone principale Zone secondaire

54 OUZAOUIT
5.Délégation des zones DNS
} la délégation est le processus qui affecte l’autorité sur les
domaines enfants de votre espace de noms DNS à une
autre entité en ajoutant des enregistrements dans la base
de données DNS.

} Une délégation permet d'autoriser un autre serveur DNS

à contrôler une partie des enregistrements de la zone.

} En tant que gestionnaire d’un domaine DNS, vous avez la

possibilité de créer des domaines enfants et leurs zones
respectives qui pourront ensuite être stockés, distribués
et répliqués vers d’autres serveurs DNS.

55 OUZAOUIT
5.Délégation des zones DNS
Exemple:

Il va donc falloir créer deux nouvelles délégations sur le serveur DNS du

domaine parent.
56 OUZAOUIT
5.Délégation des zones DNS
orabec.ca
Le serveur DNS héberge la zone primaire orabec.ca
Délégation de l’administration de la zone hr.orabec.ca au
serveur dns.hr.orabec.ca
Délégation de l’administration de la zone marketing.orabec.ca
au serveur dns.marketing.orabec.ca
hr.orabec.ca
Le serveur DNS héberge la zone primaire hr.orabec.ca
Le serveur redirige toutes les requêtes dont il ne connaît pas la
réponse vers un serveur DNS du domaine orabec.ca.

marketing.orabec.ca
Le serveur DNS héberge la zone primaire marketing.orabec.ca
Le serveur redirige toutes les requêtes dont il ne connaît pas la
réponse vers un serveur DNS du domaine orabec.ca.
57 OUZAOUIT
5.Délégation des zones DNS

58 OUZAOUIT
5.Délégation des zones DNS

59 OUZAOUIT
5.Délégation des zones DNS

60 OUZAOUIT
5.Délégation des zones DNS

• Procédez de la même manière pour déléguer l'administration des enregistrements de

ressources du sous-domaine marketing.orabec.ca vers le serveur
dns.marketing.orabec.ca.
• Les domaines délégués apparaissent ensuite sous la forme de dossiers grisés dans la
zone DNS primaire orabec.ca.

61 OUZAOUIT
5.Délégation des zones DNS
• Une fois que les délégations sont crées, les machines
clientes situées dans le domaine orabec.ca utilisent le
serveur DNS situé dans le domaine parent pour résoudre
les noms d'hôtes du domaine orabec.ca et utilisent les
serveurs DNS situés dans les sous-domaines pour résoudre
les noms d'hôtes des domaines hr.orabec.ca et
marketing.orabec.ca.

• En revanche les machines clientes situées dans les sous-

domaines peuvent uniquement résoudre les noms d'hôtes
appartenant à leur sous-domaine. C'est pourquoi il faut
créer un redirecteur pointant vers le serveur DNS
du domaine parent sur les serveurs DNS des sous-
domaines.
62 OUZAOUIT
6.Gestion et dépannage du DNS

} Gestion des zones avec dnscmd

} Qu'est-ce qu'est la durée de vie, le vieillissement et le
nettoyage ?
} Analyse du système DNS à l'aide du journal des
événements DNS

63 OUZAOUIT
6.Gestion et dépannage du DNS
v Pour créer une nouvelle zone DNS:
dnscmd <serveur_DNS> /ZoneAdd <nom_de_zone> /<type de zone> /File
<nom_du_fichier_de_zone>.

Server DNS: nom ou adresse IP

Type de zone: Primary (principale), DsPrimary (principale intégrée active directory),
Secondary (secondaire),Stub ou DsStub (Stub intégrée active directory).

vPour supprimer une zone DNS:

dnscmd <serveur_DNS> /ZoneDelete <nom_de_zone>

64 OUZAOUIT
6.Gestion et dépannage du DNS
v Pour ajouter un enregistrement de ressource, il faut utiliser la syntaxe suivante :
dnscmd <serveur_dns> /RecordAdd <nom_zone_DNS> <nom_hôte>
<type_enregistrement> <adresse_IP>.

v Pour supprimer un enregistrement de ressource:

dnscmd <serveur_dns> /RecordDelete <nom_zone_DNS> <nom_hôte>
<type_enregistrement> <adresse_IP>.

65 OUZAOUIT
 6.Gestion et dépannage du DNS
Powershell
• Création d’une zone primaire intégrée à AD nommée « west.contoso.com »:
PS C:\> Add-DnsServerPrimaryZone -Name "west.contoso.com" -ReplicationScope "Forest"

• Création d’une zone primaire nommée « west.contoso.com » stockée dans un fichier:

PS C:\> Add-DnsServerPrimaryZone -Name "west.contoso.com" -ZoneFile "west.contoso.com.dns"

• Création d’une zone primaire de recherche inverse intégrée à AD:

PS C:\> Add-DnsServerPrimaryZone -NetworkID "10.1.0.0/24" -ReplicationScope "Forest"

• Création d’une zone primaire de recherche inverse stockée dans un fichier :

PS C:\> Add-DnsServerPrimaryZone -NetworkID 10.1.0.0/24 -ZoneFile "0.1.10.in-addr.arpa.dns"
• Création d’une zone secondaire stockée dans un fichier, supposant le serveur DNS
Principal a une adresse IP 172.23.90.124 :
PS C:\> Add-DnsServerSecondaryZone -Name "western.contoso.com" -ZoneFile
"western.contoso.com.dns" -MasterServers 172.23.90.124
66 OUZAOUIT
 6.Gestion et dépannage du DNS
Powershell
• Créer un enregistrement de type A pour le poste Host21 dans la zone contoso.com:
PS C:\> Add-DnsServerResourceRecord -A -Name "Host21" -IPv4Address "10.17.1.21 "
-ZoneName "Contoso.com"

• Créer un enregistrement de type CNAME pour le poste Host21 dans la zone contoso.com

PS C:\> Add-DnsServerResourceRecord -CName -Name "lab" -HostNameAlias

"Host21.contoso.com" -ZoneName "Contoso.com"

• Créer un enregistrement de type PTR pour le poste Host21 dans la zone contoso.com:

PS C:\> Add-DnsServerResourceRecord -Ptr -Name " 21" -ZoneName " 1.17.10.in-

addr.arpa" -PtrDomainName "host21.contoso.com"

67 OUZAOUIT
6.Gestion et dépannage du DNS
} les outils DNS qui permettent de gérer une base de
données DNS:
Fonctionnalité Description
Indique la durée de validité d'un
TTL
enregistrement DNS
Se produit lorsque les enregistrements insérés
dans le serveur DNS atteignent leur date
Vieillissement d'expiration et doivent être supprimés. Il
permet de maintenir l’exactitude de la base de
données de zone.
est un processus qui consiste à supprimer les
Nettoyage noms obsolètes ou périmés de la base de
données DNS.
68 OUZAOUIT
6.Gestion et dépannage du DNS
ü Pour déterminer à quel moment les enregistrements doivent être
nettoyés, DNS utilise le datage (l'heure à laquelle l'enregistrement a été créé)
attribué à chaque enregistrement dynamique (non statique), associé aux
paramètres que vous définissez.

ü Le vieillissement et le nettoyage doivent être activés sur le serveur

DNS et sur la zone DNS. Ils comportent deux options configurables :

Ø L’intervalle de non-actualisation correspond à la période durant

laquelle le serveur DNS n’accepte pas les tentatives d’actualisation. Pendant
cet intervalle, les enregistrements de ressources ne peuvent pas actualiser
leur datage.

ØL’intervalle d’actualisation correspond à la période au cours de laquelle

le serveur DNS accepte les tentatives d’actualisation. Pendant cet intervalle,
les enregistrements de ressources peuvent actualiser leur datage.
69 OUZAOUIT
6.Gestion et dépannage du DNS
Une tentative d’actualisation est le processus par lequel un ordinateur
demande une actualisation de son enregistrement DNS. Elle a lieu lorsque le
client, qui possède l’enregistrement DNS, essaie de réinscrire son
enregistrement de ressource.

70 OUZAOUIT
6.Gestion et dépannage du DNS

71 OUZAOUIT
 6.Gestion et dépannage du DNS
Un journal des
événements DNS est
un journal système
configuré pour
n’enregistrer que les
événements DNS.

Ce journal peut être

consulté à l’aide de la
console DNS ou de
l’Observateur
d’événements.

72 OUZAOUIT