AMEB Page 1 07/05/2016
DNS sous Windows 2000 Serveur
Définition de DNS
(RFC 1034 sur les DNS en français)
DNS (Domain Name System, système de noms de ...
6 downloads
8 Views
AMEB Page 1 07/05/2016
DNS sous Windows 2000 Serveur
Définition de DNS
(RFC 1034 sur les DNS en français)
DNS (Domain Name System, système de noms de domaine) est un système de noms pour les ordinateurs et
les services réseau organisé selon une hiérarchie de domaines.
Le système DNS est utilisé dans les réseaux TCP/IP tels qu'Internet pour localiser des ordinateurs et des
services à l'aide de noms conviviaux. Lorsqu'un utilisateur entre un nom DNS dans une application, les services
DNS peuvent résoudre ce nom en une autre information qui lui est associée, par exemple une adresse IP.
La plupart des utilisateurs préfèrent en effet un nom convivial comme exemple.microsoft.com pour accéder à un
ordinateur tel qu'un serveur de messagerie ou un serveur Web dans un réseau. Un nom convivial est plus facile
à retenir. Cependant, les ordinateurs utilisent des adresses numériques pour communiquer sur un réseau. Pour
faciliter l'utilisation des ressources réseau, des services de noms comme DNS fournissent une méthode qui
établit la correspondance entre le nom convivial d'un ordinateur ou d'un service et son adresse numérique. Si
vous avez déjà utilisé un navigateur Web, vous avez utilisé DNS.
L'illustration suivante représente une utilisation élémentaire de DNS qui consiste à trouver l'adresse IP
d'un ordinateur à partir de son nom.
Extrait du fichier de Microsoft DNSConcepts.chm
AMEB Page 2 07/05/2016
Installation d'un serveur DNS sous Windows 2000 Serveur
Il y a deux possibilités pour cette fonctionnalité.
La première, si vous êtes en cours d'installation d'un Windows 2000 Serveur, par l'intermédiaire de la
configuration du serveur que vous pouvez trouver dans bouton Démarrer -> Programmes -> Outils
d'administration ->Configurer votre serveur.
Ou alors à l'aide du panneau de configuration -> Ajout/suppression de programmes ->Ajouter/Supprimer des composants Windows -> Services de mise en réseau, cocher la case Système de nom
de domaine (DNS) et laisser faire.
AMEB Page 3 07/05/2016
Configuration d'un DNS sous Windows 2000 Serveur
Dans le menu "Démarrer" -> Programmes -> Outils d'administration lancer "DNS"
Sur un réseau privé a un serveur DNS, vous mentionnez l'adresse unique du seul serveur, si vous avez monté
un serveur DNS secondaire vous pouvez l'inclure.
Je n'ai pas installé de serveur secondaire, si vous en avez un ou plusieurs vous pouvez le ou les mentionner,
la récursivité peut alors être utilisé, attention la récursivité engendre un trafic réseau plus soutenu, il fautêtre sûr
de la qualité de votre réseau, par exemple vérifier qu'il n'y a pas de collisions et essayer de les éliminer.
Pour plus de détails vous pouvez consulter le chapitre "Surveillance des performances du serveur" dans
l'aide en ligne du fichier "DNSConcepts.chm". [passage de dnsmgr.chm dans l'aide en ligne dans
C:\WINNT\HELP]
AMEB Page 4 07/05/2016
Désactivation de la récursivité
La récursivité est activée par défaut pour le service DNS et les clients demandent généralement à ce serveur
d'utiliser la récursivité pour résoudre un nom lors de l'envoi d'une requête. Si la récursivité est désactivée, le
service DNS utilise toujours les références, quelle que soit la demande du client.
En général, les serveurs DNS peuvent répondre aux requêtes de noms situées à l'extérieur de leurs zones
d'autorité de deux façons :
Les serveurs peuvent envoyer des réponses de référence, qui sont une réponse immédiate pour le
client, avec une liste d'enregistrements de ressource pour d'autres serveurs DNS qu'ils connaissent et
qui sont plus proches ou plus susceptibles de contribuer à la résolution du nom demandé.
Les serveurs peuvent utiliser la récursivité pour interroger d'autres serveurs au nom du client qui
exécute la requête, essayant de résoudre complètement le nom. Les recherches récursives se
poursuivent jusqu'à ce que le serveur reçoive une réponse faisant autorité pour le nom demandé. Le
serveur transmet ensuite cette réponse à la requête d'origine émise par le client.
Dans la plupart des cas, la désactivation de la récursivité sur un serveur DNS a lieu lorsque les clients DNS
doivent se limiter à résoudre des noms gérés d'une manière qui fait autorité sur un serveur spécifique. C'est le
cas par exemple lorsqu'un serveur DNS contient uniquement des données de noms DNS pour un réseau
interne ou lorsque le serveur DNS ne peut pas résoudre des noms DNS externes (tels que les noms DNS
Internet) et que les clients doivent essayer un autre serveur DNS pour résoudre ces noms.
J'ai configuré le DNS de mon fournisseur d'accès, si vous avez une liaison Internet lente, liaison modem, RNIS,
vous pouvez augmenter le délai de redirection pour ne pas que votre DNSse précipite sur les DNS redirecteurs.
Tous les paramètres des propriétés avancées sont bien expliquées dans DNSConcepts.chm,
AMEB Page 5 07/05/2016
attention par exemple vous pouvez désactiver la répétition alternée pour les nom multirésidents
pour cela il vous faudra décocher la case "Activer tourniquet (Round Robin).
Les DNS racines sont pré configurés, vous pouvez en rajouter il suffit d'aller consulter votre cache
pour connaître ce qui vous répondre le plus souvent et le plus efficace.
Pour déboguer votre serveur vous pouvez mettre en fonctionnement l'enregistrement de tout
ce qui se passe au niveau de votre serveur pour comprendre "qui fait quoi", qui par exemple déclenche l'appel
RNIS ou ADSL de votre routeur.
AMEB Page 6 07/05/2016
Vous pouvez tester le bon fonctionnement de votre DNS et sa récursivité si vous l'avez autorisé précédemment
avec d'autre serveur DNS.
Pour ce qui de la sécurité de votre serveur, vous pouvez l'implémenter comme on implémente la sécurité sur un
disque partagé, son fonctionnement s'appuie sur la sécurité du serveur Windows 2000.
Si par exemple vous devez gérer les DNS de l'ensemble de votre société, vous pouvez vous inclure dans le
groupe DnsAdmin de votre domaine.
AMEB Page 7 07/05/2016
Bien sûr le plus "haut gradé" étant le groupe des Administrateurs de l'entreprise, il est préférable d'éviter de
mettre son login particulier dans ce groupe, une fausse manipulation de souris par exemple est vite arrivée, et
quand vous utiliser un compte étant inclus dans ce groupe
il faut être prudent.
AMEB Page 8 07/05/2016
Dans l'exemple tous les utilisateurs authentifiés sur le serveur ont le doit de lecture sur le serveur DNS.
Ici, je vous montre quelques écrans du cache DNS que j'ai capturé. Je ne recommanderai pas d'implémenter un
cache DNS sur le serveur DNS principal intégré à Active Directory à part si vous êtes une petite entreprise, un
serveur cache peut rendre de grand service surtout quand on a un accès Internet lent 64K ou même 128K ou
en période ou les fournisseurs d'accès ne peuvent plus fournir de bande. (Saturation de la bande passante).
Une première remarque issue de dnsmgr.chm
Utilisation de serveurs cache uniquement
Bien que tous les serveurs de noms DNS mettent en cache les requêtes qu'ils ont résolues, les serveurs cache
uniquement sont des serveurs de noms DNS qui ne font qu'exécuter des requêtes, mettre en cache les
réponses et renvoyer les résultats. Ils ne sont pas des serveurs de référence pour les domaines et les
informations qu'ils possèdent sont limitées à ce qui été mis en cache durant la résolution des requêtes.
AMEB Page 9 07/05/2016
Pour savoir à quel moment utiliser ce type de serveur, remarquez qu'au démarrage initial, le serveur ne
possède aucune information mise en cache. Ces informations sont obtenues au fur et à mesure des réponses
aux requêtes des clients. Cependant, si vous devez gérer une connexion lente de réseau étendu (WAN) entre
des sites, cette option est souvent la meilleure car, une fois le cache constitué, le trafic diminue. En outre, les
serveurs cache uniquement n'effectuent pas de transferts de zones, lesquels sont parfois intensifs dans les
environnements de réseaux étendus (WAN).
Pour effacer un cache avec le bouton droit de la souris vous faites apparaître le menu contextuel et
vous valider "Effacer le cache".
Voici le mappage de la zone directe, à noter que cet écran a été capturé lors de la mise en route,
il n'y a encore aucun hôte de référencer. Pour par exemple référencer les hôtes par rapport au serveur DHCP
vous pouvez aller consulter ma page sur la configuration du serveur DHCP que j'ai réalisé a cet effet.
Les propriétés de cette zone sont définies comme suit. Pour autoriser les mise à jour dynamique,
AMEB Page 10 07/05/2016
il faut modifier "Uniquement les mises à jour sécurisées" par le choix "Oui".
Si vous avez fait une installation automatique de votre DNS à l'aide de l'assistant, il a du vous créer
dans votre zone directe une zone "." , il faut nécessairement détruire cet enregistrement si vous
souhaitez utiliser des DNS "forwards" et redémarrer le service DNS.
Pour détruire cette zone "." voila ce qu'il faut faire tout simplement.
Cette zone est bien entendue la zone intégrée à Active Directory car mon serveur de test est installé en
contrôleur principal de ma forêt.
AMEB Page 11 07/05/2016
Le vieillissement peut-être modifié.
AMEB Page 12 07/05/2016
Voici l'identification de mon serveur DNS au sein du domaine dngilisa.local,
ATTENTION, ce domaine n'a aucune existence sur Internet, ne le chercher pas.
Si sur votre réseau local vous avez installé un serveur WINS pour la résolution des noms Netbios.
Vous pouvez le mentionner, il est d'ailleurs préférable d'installer un serveur WINS pour faciliter les échanges de
nom Netbios sur un réseau très orienté Microsoft, Serveurs et Stations, et pour éviter des dialogues et du trafic
réseau encombrants et inutiles.
AMEB Page 13 07/05/2016
Si vous implémentez un DNS secondaire vous pouvez autoriser les transfert de zones en mentionnant l'adresse
du serveur DNS destinataires.
Attention à la sécurité, votre journal d'événements peut se remplir d'évènements
"Erreur" si les droits ne sont pas correctement implémentés.
Pour la sécurité voici par défaut ce qui est implanté.
AMEB Page 14 07/05/2016
AMEB Page 15 07/05/2016
Bien sûr, dans votre zone principale vous avez votre annuaire LDAP Active Directory qui est référencé. On peut
constaté qu'il travaille bien sur le port 389 dans ses propriétés.
AMEB Page 16 07/05/2016
Dans la zone de recherche inversée, 127.0.0.1 est bien un pointeur sur votre localhost.
Ensuite je ne pourrais conseiller que l'aide en ligne ou les RFC principales 1034 et 1035.
AMEB Page 17 07/05/2016
Pour l'aide en ligne je recommande DNSConcepts.chm et dnsmgr.chm