DamTech.fr

Tutoriels, Scripts et Astuces pour Admins IT – PowerShell, Microsoft 365 & plus

Tout savoir sur le DNS dans le Windows Server : Gestionnaire de Console DNS

admin023 mins

Présentation du Gestionnaire de Console DNS

Objectif :

L’objectif de cette article est de vous familiariser avec les différents composants du gestionnaire de console DNS.

Démarrer le Gestionnaire DNS :

Vous pouvez démarrer le gestionnaire DNS à partir du Gestionnaire de serveur en sélectionnant Outils > DNS.

1 : Le Gestionnaire DNS apparaîtra. Ce gestionnaire vous permet de gérer ce serveur DNS ainsi que des serveurs DNS distants.

2 : Connectez vous à un serveur DNS. Faites un clic droit sur DNS, sélectionnez Connecter au serveur DNS.

  • Zones de recherche directe : Type de zone le plus courant, les clients DNS utilisent cette zone pour fournir la correspondance des noms d’hôtes aux adresses IP.
  • Zone de recherche inversée : Les clients DNS utilisent cette zone pour fournir la correspondance des adresses IP aux noms d’hôtes.
  • Points de confiance : Une ancre de confiance (ou point de confiance) est une clé cryptographique publique pour une zone signée.
  • Redirecteurs conditionnels : Un serveur DNS qui redirige toutes les requêtes qu’il reçoit en fonction du nom désigné dans la requête, vers l’adresse IP d’un serveur DNS spécifique ou de plusieurs serveurs.
  • Fichier d’indices racine : Si votre réseau est connecté à Internet, ce fichier contient des enregistrements de mappage de serveur racine DNS pour les serveurs DNS situés sur Internet.
  • Redirecteurs : Un redirecteur est un serveur DNS sur un réseau utilisé pour rediriger les requêtes DNS pour des noms DNS externes vers des serveurs DNS en dehors de ce réseau.

3 : Faites un clic droit sur le nom du serveur, les éléments suivants sont affichés :

  • Assistant de configuration d’un serveur DNS : Aide à créer une zone de recherche directe et inversée, des indices racine et des redirecteurs.
  • Assistant de création de partitions d’annuaire d’application par défaut : Lorsque vous créez une partition d’annuaire d’application pour DNS, vous pouvez contrôler l’étendue de la réplication pour la zone stockée dans cette partition.
  • Assistant de nouvelle zone : Aide à créer une zone principale, secondaire, de stub et offre la possibilité de stocker la zone principale ou de stub dans Active Directory.
  • Définir le vieillissement/ramassage pour toutes les zones : Script qui permet le nettoyage et la suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les données de zone au fil du temps.
  • Ramasser les fichiers de données obsolètes : Commande pour supprimer tous les enregistrements obsolètes sur le serveur.
  • Mettre à jour les fichiers de données du serveur : Cette commande force une mise à jour du fichier d’enregistrement, où qu’il soit stocké, que ce soit dans AD ou un fichier texte.
  • Effacer le cache : Fournit un moyen de forcer la vidange du cache du serveur DNS.
  • Lancer nslookup : Outil en ligne de commande qui permet de résoudre les problèmes DNS.

4 : Propriétés – Cliquez sur Propriétés et les détails suivants sur le serveur sont affichés

Interfaces – Affiche les cartes réseau installées dans le serveur.

Redirecteurs – Liste les serveurs DNS qui peuvent résoudre les requêtes DNS pour les enregistrements que ce serveur ne peut pas résoudre.

Avancé

  • Désactiver la récursion : Vous pouvez désactiver la récursion pour éviter que des attaquants ne profitent d’un serveur qui n’est pas destiné à recevoir des requêtes récursives.
  • Activer les secondaries BIND : Permet à un serveur DNS Microsoft de répliquer les données de zone avec un serveur DNS basé sur UNIX.
  • Échouer au chargement si les données de la zone sont incorrectes : Par défaut, les serveurs DNS ignoreront les erreurs. Si vous voulez que le serveur DNS échoue lorsqu’il charge une zone avec des données incorrectes, cochez cette case. En général, c’est un paramètre que vous n’activeriez pas.
  • Activer le round robin : Une méthode manuelle de répartition de charge.
  • Activer l’ordre de masque de sous-réseau : Méthode de réduction du trafic réseau qui force les clients à recevoir leurs requêtes réseau des serveurs DNS les plus proches.
  • Sécuriser le cache contre la pollution : Empêche la mise en cache des mauvaises requêtes. En configurant cette option, vous pouvez activer ou désactiver la méthode d’ajout d’enregistrements de ressources au cache.

Indications racine – Liste les serveurs racine DNS situés sur Internet.

Journalisation de débogage – Pour aider au débogage DNS, vous pouvez enregistrer les paquets envoyés et reçus par le serveur DNS dans un fichier journal.

Journalisation des événements – Le journal des événements DNS maintient un enregistrement des erreurs, avertissements et autres événements rencontrés par le serveur DNS.

Surveillance – Utilisez ceci pour vérifier la configuration du serveur DNS.

Sécurité – Configurez des groupes ou des utilisateurs en autorisant ou en refusant diverses permissions.

Les zones DNS

Une zone DNS est une collection d’enregistrements de ressources DNS (comme itflee.com et son adresse IP associée). Il existe deux types principaux de zones DNS : les zones de recherche directe et les zones de recherche inversée. Les zones de recherche directe sont les plus courantes et traduisent les noms d’hôtes en adresses IP. Une zone de recherche inversée fait exactement l’inverse en traduisant une adresse IP en un nom d’hôte.

Zones de Recherche Directe

Les zones de recherche directe convertissent un nom de domaine en une adresse IP. Vous pouvez demander à un serveur DNS l’adresse IP du nom d’hôte « winsrv-01 » et le serveur DNS répondra avec l’adresse IP de ce nom d’hôte DNS.

Un exemple serait de taper la commande « nslookup winsrv-01 ». Cela serait une recherche directe.

Zones de Recherche Inversée

Une zone de recherche inversée convertit une adresse IP en un nom de domaine. Par exemple, vous pouvez demander à un serveur DNS quel nom d’hôte utilise l’adresse IP 192.168.1.101, la zone de recherche inversée fournira le nom d’hôte DNS « winsrv-01 ».

Zones Primaires

Une zone primaire est une zone DNS dont ce serveur DNS est la source principale d’informations. Par défaut, les données de cette zone sont stockées dans un fichier local nommé zone_name.dns et se trouvent dans le répertoire %windir%\System32\Dns. Le fichier peut également être stocké dans Active Directory si ce serveur DNS est également un contrôleur de domaine modifiable.

Il existe plusieurs avantages et raisons pour lesquelles vous voudriez stocker une zone primaire dans Active Directory. Puisque la zone est stockée dans AD, elle peut être répliquée en utilisant le processus de réplication AD et les fonctionnalités de sécurité d’AD.

Il est également important de mentionner qu’une zone primaire est le seul type de zone qui peut être directement modifié ou mis à jour.

Zones Secondaires

Une zone secondaire est une réplique en lecture seule d’une zone DNS primaire hébergée sur un autre serveur DNS distant. Cela signifie évidemment que votre serveur DNS doit avoir un accès réseau au serveur DNS distant afin de récupérer les informations. Cette zone DNS n’est pas stockée dans AD DS car elle n’est qu’une copie en lecture seule de la zone DNS.

Si vous essayez de faire un changement dans une zone DNS secondaire, la demande de changement sera transmise au serveur qui détient la zone primaire. Si le serveur est disponible, le changement sera effectué.

Le but d’une zone DNS secondaire se résume à la redondance. Si le serveur hébergeant la copie primaire est indisponible, ce serveur sera disponible pour être utilisé par les clients à sa place. Un des problèmes avec une zone DNS secondaire est que chaque enregistrement contenu dans cette zone doit être répliqué à partir d’un autre serveur. Dans les grands réseaux ayant des changements fréquents de serveur DNS, cela peut être quelque peu gourmand en ressources.

Zones Stub

Une zone stub est similaire à une zone secondaire en ce sens qu’il s’agit d’une zone en lecture seule qui obtient ses informations d’autres serveurs DNS. La principale différence entre une zone stub et une zone secondaire est qu’une zone secondaire contient une réplique exacte (y compris tous les enregistrements de ressources) d’une zone primaire, tandis qu’une zone stub ne contient que des informations sur les serveurs de noms autoritaires.

Ainsi, à l’intérieur d’une zone stub, vous ne trouverez pas d’enregistrements pour les noms d’hôtes des ordinateurs, mais plutôt des enregistrements pour d’autres serveurs DNS. Le but de cette zone est de permettre aux hôtes d’un réseau d’obtenir des informations à partir d’un serveur DNS sur un autre réseau, sans que ce serveur DNS n’ait besoin de répliquer toutes les données à l’intérieur de l’autre serveur DNS.

Vous pouvez considérer les zones stub comme une version moins gourmande en ressources d’une zone secondaire.

Les types d’enregistrements de ressources

Les serveurs DNS contiennent différents types d’entrées appelées enregistrements de ressources. Ces enregistrements de ressources sont utilisés pour fournir des données basées sur DNS concernant les ordinateurs sur un réseau. Dans cette leçon, je vais fournir un aperçu général des types d’enregistrements de ressources les plus courants que vous rencontrerez en travaillant avec DNS. Les types d’enregistrements de ressources que nous couvrirons sont les types SOA, NS, A, PTR, CNAME, MX et SRV.

SOA (Start of Authority)

Chaque zone contient un enregistrement de ressource SOA au début de la zone. Le SOA contient des informations sur le serveur DNS qui a fourni les données pour cette zone particulière.

NS (Name Server).

L’enregistrement NS indique les serveurs DNS autoritaires des zones. Chaque zone doit contenir au moins un enregistrement NS à la racine de la zone.

A

Enregistrement de ressource A mappe un FQDN (Fully Qualified Domain Name) à une adresse IP. Un exemple de FQDN serait winsrv-01.lotr.org

PTR (pointer)

Cette enregistrement fait exactement l’inverse d’un enregistrement A en mappant une adresse IP à un FQDN.

CNAME

Enregistrement lequel crée un alias pour un FQDN spécifié. Par exemple, si vous avez le FQDN winsrv-01.lotr.org mais que le nom du serveur a été changé en winsrv-02.lotr.org, vous pouvez créer un enregistrement de ressource CNAME pour rediriger tout le trafic destiné à winsrv-01.lotr.org vers winsrv-02.lotr.org.

MX

Enregistrement de ressource MX est utilisé pour spécifier les serveurs de messagerie pour la zone. Si vous n’avez pas de serveur de messagerie (comme Exchange 2010), vous n’utiliserez pas ce type d’entrée.

SRV

Cette enregistrement vous permet de spécifier des serveurs pour un service ou un protocole particulier. Par exemple, si vous exécutez un serveur web sur votre domaine, vous pouvez créer un enregistrement de ressource SRV et spécifier le FQDN et le port du serveur afin qu’il soit accessible à toute personne qui interroge votre serveur DNS.

Désactiver la récursion sur le serveur DNS

Par défaut, le serveur DNS effectue des requêtes récursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes clients DNS. La récursion est une technique de résolution de noms dans laquelle un serveur DNS interroge d’autres serveurs DNS au nom du client demandeur pour résoudre complètement le nom, puis renvoie une réponse au client.

Les attaquants peuvent utiliser la récursion pour refuser le service au serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursion doit être désactivée sur ce serveur.

L’appartenance au groupe Administrateurs, ou un équivalent, est le minimum requis pour accomplir cette procédure. Consultez les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés à l’adresse https://go.microsoft.com/fwlink/?LinkId=83477.

Désactivation de la récursion sur le serveur DNS

Utilisation de l’interface Windows

Pour désactiver la récursion sur le serveur DNS en utilisant l’interface Windows :

  1. Ouvrez le Gestionnaire DNS.
  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Propriétés. Emplacement :
    DNS/serveur DNS applicable
  3. Cliquez sur l’onglet Avancé.
  4. Dans les options du serveur, cochez la case Désactiver la récursivité…, puis cliquez sur OK.
Considérations supplémentaires
  • Pour ouvrir le Gestionnaire DNS, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur DNS.
  • Si vous désactivez la récursion sur le serveur DNS, vous ne pourrez pas utiliser de redirecteurs sur le même serveur.
Utilisation de la ligne de commande

Pour désactiver la récursion sur le serveur DNS en utilisant une ligne de commande :

  1. Ouvrez une invite de commandes.
  2. Tapez la commande suivante, puis appuyez sur Entrée :
   dnscmd <NomServeur> /Config /NoRecursion {1|0}

Paramètres :

ParamètreDescription
dnscmdSpécifie le nom de l’outil en ligne de commande pour la gestion des serveurs DNS.
Requis. Spécifie le nom d’hôte DNS du serveur DNS. Vous pouvez également taper l’adresse IP du serveur DNS. Pour spécifier le serveur DNS sur l’ordinateur local, vous pouvez également taper un point (.).
/ConfigRequis. Spécifie que la commande configure le serveur spécifié.
/NoRecursionRequis. Désactive la récursion.
{10}

**Pour afficher la syntaxe complète de cette commande, tapez la commande suivante dans une invite de commandes, puis appuyez sur *Entrée* :**

dnscmd /Config /help
Considérations supplémentaires
  • Pour ouvrir une fenêtre d’Invite de commandes avec élévation de privilèges, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
  • Si vous désactivez la récursion sur le serveur DNS, vous ne pourrez pas utiliser de redirecteurs sur le même serveur.

Plus d’info :

Resource Record Types | Microsoft Learn

https://learn.microsoft.com/fr-fr/windows-server/networking/dns/quickstart-install-configure-dns-server?tabs=powershell