WINDOWS S E RV E R 2019

Système DNS

1
Présentation du service DNS

Ce que vous allez apprendre

dans ce chapitre :

[Link]ème hiérarchique
[Link] du rôle Serveur
DNS
Résolution de noms pour les clients et les
serveurs Windows

Qu’est ce que DNS?

DNS (Domain Name System, Système de noms de domaine)

permet de traduire un nom de domaine en adresse IP.
Chaque correspondance est appelée un « enregistrement DNS.

3
L’espace de noms de domaine

DNS utilise une arborescence hiérarchisée de noms

pour identifier et trouver un hôte donné dans un
domaine donné, par rapport à la racine de
l’arborescence.

4
L’espace de noms de domaine

Domaine racine

Domaine de niveau
supérieur net com org

Domaine de second
niveau contoso

Sous-domaine
ouest sud est

FQDN : ventes Hôte : SERVER1

[Link]

5
L’espace de noms de domaine

Un espace de noms DNS comprend le domaine

racine, des domaines de niveau supérieur, des
domaines de niveau secondaire et (éventuellement)
des sous domaines.

La combinaison de l’espace de noms DNS et du nom

d’hôte constitue le nom de domaine pleinement
qualifié (FQDN, fully qualified domain name).

6
1.Résolution de noms pour les clients et les
serveurs Windows

Il existe des centaines de serveurs sur Internet, appelés

serveurs racine, qui gèrent l'ensemble du processus de
résolution DNS. Ces serveurs sont représentés par 13
noms de domaine complets qui appartiennent tous à un
même domaine nommé [Link]. Une liste de ces
13 serveurs est préchargée sur chaque serveur DNS.

7
Resolution de noms pour les clients et les
serveurs Windows

• On trouve sur chaque niveau des serveurs DNS

différents, chacun a autorité sur sa zone (par
EXEMPLE, le serveur racine contient
uniquement l’adresse et le nom des serveurs
de premier niveau).

• Il en est de même pour tous les serveurs de

chaque niveau.

8
 Résolution de noms pour les clients et les
serveurs Windows
Résolution des noms D N S Internet
Serveur DNS
[Link]

Serveur
DNS .com
Quelle est l'adresse IP de
Serveur
[Link] ?
DNS racine

Serveur
DNS local

[Link]
Station
de travail

9
 Installation du rôle Serveur DNS

• Le rôle DNS peut être installé sur un contrôleur de domaine ou

un serveur membre.

• Sur un contrôleur de domaine, la zone peut être intégrée à

Active Directory ou contenue dans un fichier texte (le fichier
est enregistré dans c:\windows\system32\dns).

• Si le serveur est seulement un serveur membre, la zone DNS ne

peut pas être intégrée à AD.

10
Installation du rôle sur SV1
• Ouvrez la console Gestionnaire de serveur.
• Cliquez sur Ajouter des rôles et des fonctionnalités.
• Dans la fenêtre Sélectionner le type d’installation, laissez le choix par défaut.
• Le destinataire est SV1. Laissez le choix par défaut dans la fenêtre du
destinataire.
• Cochez la case Serveur DNS puis cliquez sur le bouton Ajouter
des fonctionnalités dans la fenêtre qui s’affiche.
• Cliquez sur Suivant dans la fenêtre de sélection
des fonctionnalités.
• Dans la fenêtre de confirmation, cliquez sur
Installer.
• Le rôle est maintenant installé mais n’est pas opérationnel. Il est nécessaire de
le configurer afin qu’il puisse résoudre les noms du domaine
[Link].

11
Gestion des zones DNS
Ce que vous allez apprendre dans ce
chapitre :

1. Création d’une zone de recherche

directe secondaire
2. Création d’une zone de recherche
directe principale
3. Création d’une zone de recherche
inversée
4. Création d’une zone GlobalNames
Gestion des zones DNS

Une zone D N S est une partie spécifique de l'espace

de noms DNS qui contient des enregistrements DNS.

13
Gestion des zones DNS

Une zone DNS est hébergée sur un serveur DNS chargé de

répondre aux requêtes portant sur les enregistrements d'un
domaine spécifique. Par exemple, le serveur DNS chargé de
résoudre [Link] en adresse IP doit contenir la zone
[Link].

14
Les types de zone DNS

Les types de zone DNS les plus couramment utilisés dans le

DNS Windows Server sont :

• les zones de recherche directe

• les zones de recherche inversée.

15
Création d’une zone de recherche directe
secondaire

• Les zones de recherche directe prennent en charge la

résolution des noms d’hôtes en adresses IP.
• La création d’une zone nécessite l’appartenance de
l’opérateur au groupe Administrateurs.

16
Création d’une zone de recherche directe
• Sur SV1, ouvrez la console DNS.
• Déroulez SV1 puis Zones de recherche directes.

17
 Création d’une zone de recherche directe
secondaire

• Effectuez un clic droit sur le dossier Zones de recherche directes puis

sélectionnez Nouvelle zone.

Trois types de zones peuvent être créés :

• Zone primaire : le serveur peut modifier les enregistrements de sa zone, il a des
accès en lecture et en écriture aux enregistrements.
• Zone secondaire : ce type de zone est une copie d’une zone primaire. Le
serveur ne peut pas modifier les enregistrements contenus dans la zone. Son
but est de répondre aux requêtes faites par les clients.
• Zone de stub : la zone contient uniquement les enregistrements SOA, NS et A des
serveurs DNS responsables de la zone.

18
Sélectionnez Zone secondaire puis cliquez sur Suivant.

19
Saisissez [Link] dans le champ Nom de la zone.

20
 Saisissez dans le champ du serveur maître l’adresse IP du serveur AD1
([Link]) et validez en appuyant sur la touche [Entrée].
Le serveur maître est le serveur qui a un accès en écriture sur la zone,
contrairement à la zone secondaire qui, elle, a un accès en lecture.

Cliquez sur Suivant lorsque la résolution du

nom est terminée. Cliquez sur Terminer.

21
Création d’une zone de recherche directe
secondaire
Un message avertit qu’il est impossible de charger la zone. Ce message est dû au
transfert de zone non configuré.
Deux types de réplication avec DNS sont possibles :
 La réplication avec AD : ce type de réplication est utilisé pour les zones
intégrées à AD. La réplication s’effectue en même temps que la
réplication Active Directory.
 La réplication avec le transfert de zone : pour les zones qui ne sont pas
intégrées à Active Directory, le transfert de zone est utilisé. Ce type de
réplication nécessite une configuration.

22
La réplication avec le transfert de zone:
• Sur AD1 lancez la console DNS.
• Effectuez un clic droit sur la zone puis sélectionnez
Propriétés.

23
 • Cliquez sur l’onglet Transferts de zone.
• Cochez la case Autoriser les transferts de zone puis sélectionnez
le bouton radio Uniquement vers les serveurs suivants.

Cliquez sur le bouton Modifier et saisissez l’adresse IP du serveur

maître (SV1, [Link])

24
• Cliquez deux fois sur OK pour valider et fermer
les fenêtres.
• Au bout de quelques minutes, le transfert de zone est
terminé.

25
les enregistrements de ressources

Le fichier de zone DNS stocke les enregistrements de ressources.

Les enregistrements de ressources spécifient
un type de ressource et l'adresse IP permettant de
localiser la ressource.

•AAAA Les enregistrements de ressources de ce type sont des mappages

entre un nom d'hôte et une adresse IPv6.

26
1.Résolution de noms pour les clients et les
serveurs Windows

On distingue deux types de zone de recherches :

 zone de recherche directe: Les zones de recherche directe
résolvent les noms d'hôtes en adresses IP et hébergent les
enregistrements de ressources courants, notamment les
enregistrements de ressources d'hôte (A), d'alias (CNAME), de
service (SRV), de serveur de messagerie (MX), de source de
noms (SOA) et de serveur de noms (NS). Le type
d'enregistrement de ressource le plus courant est l'enregistrement
de ressource d'hôte (A).
 zone de recherche inversée: La zone de recherche inversée
résout les adresses IP en noms de domaine. Une zone inversée
fonctionne de la même manière qu'une zone directe, mais
l'adresse IP fait partie de la requête et le nom d'hôte représente
l'information retournée. Les zones de recherche inversée
hébergent les enregistrements de ressources SOA, NS et de
pointeur (PTR).
27
1.Résolution de noms pour les clients et les
serveurs Windows
Résolution LLMNR
LLMNR (Link-local Multicast Name Resolution) est est un protocole
de
résolution de noms développé par Microsoft. C’est une
méthode
supplémentaire de résolution de noms qui n'utilise ni DNS, ni WINS
(NetBios).
LLMN R est conçu pour IPv6
Fonctionne uniquement sur W indows Vista, W indows Server 2008 et
tous les nouveaux systèmes d'exploitation W indows
Elle utilise un système simple de messages de requête
(Multicast
[Link] et FF02::1:3) et de réponse pour les
résoudre d'ordinateurs en adresses IPv6 ou IPv4. noms
La découverte du réseau doit être activée
Peut être contrôlé par l'intermédiaire de la stratégie de groupe
28
14
1.Résolution de noms pour les clients et les
serveurs Windows
Résolution des problèmes
Outils courants de résolution des problèmes liés à la résolution de noms:
Nslookup : utilisez cet outil pour interroger des informations DNS,
capable de fournir des informations précieuses à propos de l'état du
serveur DNS.
DNSCmd : pour gérer le rôle serveur DNS, d'installation et de
configuration sans assistance de nouveaux serveurs DNS
Dnslint : pour diagnostiquer les problèmes D N S courants.
ipconfig/displaydns : pour consulter le cache DNS local du client.
ipconfig/flushdns : pour effacer le cache local.
ipconfig /registerdns : pour réinscrire un hôte dans DNS.
Analyse du serveur DNS : pour tester si le serveur peut communiquer
avec d’autre serveurs, vous pouvez effectuer de simples requêtes locales et
récursives à partir de l'onglet Analyse du serveur DNS.
29
1.Résolution de noms pour les clients et les
serveurs Windows
Résolution des problèmes
il existe un ensemble d'applets de commande Windows PowerShell que
vous pouvez utiliser pour la gestion des clients et serveurs DNS:
Clear-DNSClientCache: efface le cache client, à l'instar de
ipconfig
/flushdns.
Get-DNSClient: affiche les détails des interfaces réseau.
Get-DNSClientCache: affiche le contenu du cache client D N S
local.
Register-DNSClient: inscrit toutes les adresses IP de l'ordinateur sur
le serveur DNS configuré.
Resolve-DNSName: effectue une résolution de noms DNS pour un
nom spécifique, comme Nslookup.
Set-DNSClient: définit les configurations de clientD N S
30 spécifiques à l'interface sur l'ordinateur.
[Link] et gestion du serveur DNS
La mise en cache
La mise en cache DNS augmente les performances du système
DNS de l'organisation en accélérant les recherches DNS.
Lorsqu'un serveur DNS résout correctement un nom DNS, il
ajoute ce nom à son cache. Au fur et à mesure, il génère un
cache des noms de domaine et de leurs adresses IP associées
pour la plupart des domaines que l'organisation utilise ou
auxquels elle accède.
La durée par défaut de conservation d'un nom dans le cache
est d'une heure.
Le propriétaire d'une zone peut changer ce paramètre en
modifiant l'enregistrement SOA pour la zone D N S
appropriée.
31
[Link] et gestion du serveur DNS

32
3.G estion des zones DNS

Q uels sont les types de zone D N S ?

Q ue sont les mises à jour dynamiques ?
Que sont les zones intégrées à Active Directory ?

33
3.G estion des zones DNS
c) zone de stub est une copie répliquée d'une zone qui
contient uniquement les enregistrements de ressources
nécessaires à l'identification des serveurs DNS faisant
autorité pour la zone en question. Elle contient
uniquement les enregistrements de ressource de types
SOA, NS et A.

si le serveur DNS joue aussi le rôle de contrôleur de

domaine, il est possible de stocker les zones
principales et les zones de stub dans le service
d'annuaire Active Directory, on parlera alors de
zones intégrées à Active Directory. Cette seconde
solution apporte des avantages en termes de
performance et de sécurité.
34
 3.G estion des zones DNS
Problématique
• Sous Windows 2012 Server on peut
paramétrer des
redirecteurs conditionnels pour un
domaine donné. Cependant les adresses
IP des serveurs DNS qui jouent le rôle de
redirecteurs doivent être entrées
manuellement ce qui peut s'avérer
contraignant si les serveurs DNS sont
nombreux.

• statique.
De plus la Ainsi,
liste de serveurs
si l'un des redirecteurs
DNS Si l'on souhaite que le serveur DNS srv-
est est
supprimé ou bien si son adresse IP [Link] puisse résoudre les noms
change, l'entrée ne sera plus valide. d'hôtes du domaine [Link], il faudra
configurer les sept serveurs DNS en tant
que redirecteurs.

35
3.G estion des zones DNS
Solution

• La zone de stub est automatiquement mise à jour lorsque les paramètres

d'un enregistrement NS ou SOA sont modifiés.

36
3.G estion des zones DNS
Les mises à jours dynamiques
Une mise à jour dynamique est une mise à jour de DNS en
temps réel. Les mises à jour dynamiques sont importantes
pour les clients D N S qui changent d'emplacement, car elles
peuvent inscrire et mettre à jour dynamiquement leurs
enregistrements de ressources sans intervention manuelle.
Le service client DHCP effectue l'inscription, indépendamment
du fait que l'adresse IP du client soit obtenue à partir d'un
serveur D H C P ou qu'elle soit fixe.
L'opération se déclenche lorsqu'une adresse IP est ajoutée
ou modifiée dans une connexion réseau, au démarrage de
l'ordinateur ou l'aide de la commande ipconfig
/registerdns.
37
3.G estion des zones DNS
• Trois choix sont disponibles pour le serveur DNS :

N'autoriser que les mises à jour dynamiques sécurisées : Seuls les

ordinateurs possédant un compte d'ordinateur dans Active Directory
peuvent créer et mettre à jour automatiquement leurs enregistrements de
ressources. Cette option n'est disponible que dans le cas d'une zone
intégrée à Active Directory.
Autoriser à la fois les mises à jour dynamiques sécurisées et non
sécurisées Tous les ordinateurs peuvent créer et mettre à jour
automatiquement leurs enregistrements de ressources. Même une machine
qui n'est pas membre du domaine peut créer des enregistrements, ce qui
peut poser des problèmes de sécurité.
Ne pas autoriser les mises à jour dynamiques: Dans ce cas, les mises à
jour dynamiques ne sont pas autorisées.

38
 3.G estion des zones DNS
1. Le client envoie une requête SOA
2. Le serveur DNS retourne un enregistrement de ressource SOA
3. Le client envoie une ou plusieurs demandes de mise à jour
dynamique pour identifier le serveur DNS principal
4. Le serveur DNS répond qu'il peut effectuer la mise à jour

5. Le client envoie une mise à jour

1 2 3 4 5 6 7
non sécurisée au serveur DNS
6. Si la zone autorise seulement les
mises à jour sécurisées, la mise à
jour est refusée
7. Le client envoie une mise à jour
Serveur Enregistrements de sécurisée au serveur DNS
DNS ressources
39
3.G estion des zones DNS
les zones intégrées à A ctive D irectory
Les avantages d'une zone intégrée à Active Directory sont
importants :
Mises à jour multimaîtres: la zone est accessible en écriture
à n'importe quel contrôleur de domaine vers lequel la zone
est répliquée.
Réplication des données de zone DNS à l'aide de la
réplication AD DS: seuls les attributs modifiés sont
répliqués.
Mises à jour dynamiques sécurisées
Sécurité: peut déléguer des zones, des domaines,
des enregistrements de ressources.
40
[Link] des zones DNS
Transfert des zones
Un transfert de zone est le transfert total ou partiel des
données d’une zone à partir du serveur D N S
principal qui héberge la zone vers un serveur DNS
secondaire qui héberge une copie de cette zone.
Lorsque des modifications sont apportées à la zone sur
un serveur DNS principal, ce dernier informe les
serveurs DNS secondaires que ces modifications ont eu
lieu.
Le but d’un transfert de zone est de garantir que les
deux serveurs DNS hébergeant la même zone
détiennent les mêmes informations concernant cette
zone.
41
[Link] des zones DNS
Les transferts de zone peuvent se produire de l’une des trois
façons suivantes :
Transfert de zone intégral. Un transfert de zone complet se
produit lorsque vous copiez la zone entière d’un serveur DNS vers
un autre. Un transfert de zone complet est appelé AXFR (All
Zone Transfer).
Transfert de zone incrémentiel. Un transfert de zone
incrémentiel se produit lorsqu’une mise à jour du serveur DNS est
effectuée et que seuls les enregistrements de ressources modifiés
sont répliqués sur l’autre serveur. Il s’agit d’un transfert de zone
incrémentiel IXFR (Incremental Zone Transfer).
Transfert rapide. Les serveurs DNS Windows effectuent
également des transferts rapides, qui correspondent à
un type de transfert de zone qui utilise la compression et
envoie plusieurs enregistrements de ressources dans chaque
transmission.
42
 [Link] des zones DNS
[Link] serveur esclave vérifie si son numéro de série est identique à celui
du serveur maître (SOA)
[Link] le numéro de série est plus récent, une demande de mise à jour
est réalisée
[Link] transfert commence avec une requête DNS over TCP ou UDP
[Link] serveur maître répond ensuite avec plusieurs messages contenant
des enregistrements
1 Requête SOA de zone

2 Réponse de requête SOA

3 Requête IXFR ou AXFR de zone

4 Réponse de requête IXFR ou AXFR

(zone transférée)
Serveur secondaire Serveur principal
et maître
43
[Link] des zones DNS
Serial number: Ce numéro indique la version de la
zone en question. Il est incrémenté lors d’une mise à
jour dynamique (Refresh interval) ou par action de
l’administrateur (bouton Increment).
Refresh interval: temps d’attente que le serveur
secondaire attend avant de renouveler sa zone. Lors de
la mise à jour, ce dernier compare les numéros de
version de zone et constate s’il est nécessaire ou non
d’actualiser sa zone.
Retry interval: temps d’attente après un échec avant
que le serveur secondaire ne retente une mise à jour.
Expires after: temps après lequel le serveur secondaire
arrête de répondre aux requêtes, du fait qu’il n’est pas
pu actualiser sa zone.
Minimum TTL : utilisé pour spécifier, en secondes, la
durée de vie pendant laquelle sont conservées en
cache les réponses qui correspondent à des demandes
d'enregistrements inexistants.

44
[Link] des zones DNS
D N S notify

DNS Notify est une mise à jour du protocole DNS qui

permet d’informer les serveurs secondaires lorsqu’une
zone est modifiée.
Une liste de notification répertorie les autres serveurs
DNS d’une zone qui doivent être informés des
modifications de cette zone.
La liste de notification que le serveur maître tient à jour
est constituée des adresses IP des serveurs DNS
configurés comme serveurs secondaires pour la zone
considérée.

45
[Link] des zones DNS

46
[Link] des zones DNS
La sécurité de transfert de zone
Restreindre le transfert de zone à des serveurs spécifiés
Chiffrer le trafic de transfert de zone (Ipsec, VPN)
Envisager d'utiliser des zones intégrées à Active Directory

Zone principale Zone secondaire

47