Après un rappel sur le fonctionnement de DNS, les points abordés seront l’installation et l’administration du service. J’expliquerai les différents types de zones, les redirecteurs et la délégation de zone.

Introduction à DNS

Avant de commencer toute partie pratique, nous allons revoir le fonctionnement DNS afin de bien comprendre ce que nous allons mettre en place par la suite.

Pourquoi ?

Les ordinateurs en réseau  ne peuvent communiquer entre eux que par des adresses IP. Une adresse IP est seulement composée de chiffre. De ce fait, il est techniquement impossible, de base, de s’échanger des données en utilisant un nom. Hors il est bien plus facile de retenir un nom plutôt qu’une suite de chiffre.

Au début d’internet, on utilisait un fichier texte sur la machine qui permettait de faire la relation entre un nom et une adresse IP. Il était rempli manuellement sur chaque ordinateur.

Ce fichier existe toujours sur nos nouveaux systèmes d’exploitation. Sous Windows, il se trouve dans %SystemRoot%\Windows\System32\drivers\etc\hosts et sous Linux  /etc/hosts.

Cependant, avec l’explosion d’internet et la multiplication des noms de domaine il est devenu indispensable d’avoir un système qui permette de gérer dynamiquement la résolution. Ce fut l’apparition du DNS pour Domain Name System.

Un model hiérarchique

De par sa création, le système DNS est basé sur une structure arborescente. Cela signifie que vous pouvez décomposer un nom de domaine en plusieurs parties. Chaque partie est délimitée par un « . ». Par exemple, on peut séparer www.laboit.net en 3 parties.

La décomposition commence par la droite, et plus on va vers la gauche, plus on se rapproche de la machine cible.

Pour chaque partie du nom de domaine, il existe un serveur qui est capable de nous donner l’adresse IP de la machine, ou bien de nous rediriger vers un autre serveur DNS.

De plus, tous les noms de domaine dérivent d’une racine  Root symbolisé par le « . ». Ainsi, le véritable nom de Labo IT serait « www.laboit.net. »

La composition

On distingue deux types de noms avec le système DNS :

le nom d’hôte qui représente le nom d’une machine, généralement un serveur.

le FQDN (Fully Qualified Domain Name) ou nom de domaine pleinement qualifié

Le FQDN est composé de deux parties : le nom d’hôte et le suffixe DNS. Le suffixe DNS défini la relation entre le domaine auquel appartiennent la machine et le domaine racine. Pour un FQDN du type  www.microsoft.laboit.net, le nom d’hôte serait  www et le suffixe serait microsoft.laboit.net.

Voici un schéma pour vous montrer le model hiérarchique :

A chaque niveau de la hiérarchie, il existe un serveur DNS pour chaque membre.

Le processus

Pour obtenir une réponse à ses demandes, un client doit au moins avoir un serveur DNS primaire de renseigné. Pour les particuliers, il s’agit généralement de celui du fournisseur d’accès.

Voici le processus lorsqu’un client demande une résolution de nom :

1. Dans un premier temps, le client envoie une requête à son serveur DNS primaire pour savoir l’adresse IP du FQDN www.laboit.net
2. Si le serveur DNS a déjà le site dans son cache, il lui renvoie directement l’adresse IP. Sinon il va aller interroger d’autres serveurs.
3. Le serveur A demande au serveur racine (B) qui s’occupe de la partie .net. Ce dernier lui répond qu’il faut demander au serveur C.
4. Le serveur A réitère sa demande au serveur C mais cette fois, il demande l’adresse du serveur qui a autorité pour laboit.net. Le serveur C le redirige vers le serveur D.
5. Le serveur A demande au serveur  D de lui donner l’adresse IP de la machine qui a le nom d’hôte www.
6. Une fois l’adresse IP obtenue, le serveur A la renvoie au client.

Mise en place du service

Nous allons mettre en place un serveur DNS local.

Pré requis

Pour le bon fonctionnement de la résolution, les clients doivent savoir où envoyer leurs requêtes. L’information est généralement délivrée par le serveur DHPC, ou bien en dur pour les clients qui ont une IP fixe.

C’est pour cela que notre serveur DNS doit avoir une IP statique dans notre réseau.

Installation

Sous Windows Server 2008, le service DNS est un rôle. On utilisera Server Manager pour l’installer.

Une fois le service DNS installé, vous pouvez le configurer grâce à une console dédiée accessible dans les outils d’administration ou bien en tapant la commande dnsmgmt.msc

Configuration

Les serveurs racines

Lorsque vous avez installé le service sur votre machine, vous devez vérifier la présence des informations sur les serveurs DNS racine. En effet, si elles sont absentes, vous ne pourrez pas résoudre les noms de domaines extérieurs à votre réseau.

Quand notre serveur reçoit une requête dont il ne connait pas la réponse, il va contacter les serveurs DNS racine pour l’obtenir.

Pour accéder aux Serveur Racines, clic droit sur le serveur dans la console, puis Propriété.

Les redirecteurs

On a vu ci dessus que lorsque notre serveur DNS ne peut pas résoudre un nom de domaine, celui-ci va en contacter un autre. Par défaut, il s’agit des serveurs racines.

Un redirecteur permet de modifier ce comportement : en effet, notre serveur ne va plus demander aux  racines mais à un serveur qu’on aura précisé.

Cette fonction peut vous être utile lorsque vous avez plusieurs sites ou plusieurs serveurs DNS dans votre entreprise.

Utilisation des zones

Introduction

Le service est basé sur le principe de zone. Une zone contient les informations pour un et un seul nom de domaine. Pour simplifier, on peut comparer une zone DNS à un dossier. Vous pouvez avoir plusieurs zones par serveur.

Un client peut effectuer deux types de requête, une directe et une indirecte.

La requête directe est une demande de résolution simple, vous voulez connaitre l’adresse IP en fonction du nom.

La requête indirecte est le contraire, vous souhaitez connaitre le nom de la machine en fonction de son adresse IP.

Le nom de la zone pour la directe est simplement le suffixe DNS tandis que pour la zone inversée il s’agit de l’adresse IP à « l’envers » suivi de « .in-addr.arpa ». Pour résoudre 192.168.1.10, il faudra créer la zone inverse  « 1.168.192.in-addr.arpa ».

Les types d’enregistrement

Voici une liste des principaux enregistrements DNS :

A qui fait correspondre un nom d’hôte à une adresse IPv4.

AAAA qui fait correspondre un nom d’hôte à une adresse IPv6

CNAME qui permet de faire un alias vers un enregistrement A.

MX qui définit les serveurs de messagerie.

PTR qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit « reverse » puisque il fait exactement le contraire du A record.

NS qui définit les serveurs DNS de ce domaine.

SOA donne les informations générales de la zone.

SRV qui définit un service.

Configuration d’une zone Primaire

Zone directe

La création de zone directe est simple sous Windows Server 2008. Il suffit de cliquer droit sur le conteneur de « Zone de recherche directe » puis de sélectionner « Nouvelle Zone ».

Une fenêtre s’ouvre alors vous demandant le type de la zone. Sélectionnez pour le moment « Zone Primaire»

Le serveur n’étant pour le moment pas un contrôleur de domaine, nous ne pouvons pas choisir d’intégrer la zone à Active Directory.

Sur la fenêtre suivante,  spécifiez le nom de votre zone, dans notre exemple, cela sera laboit.lan

Par la suite, une fenêtre vous demandera si la zone doit accepter les mises à jour dynamiques sécurisées ou non sécurisées. Cette option est utile lorsque vous utilisez un plan d’adressage dynamique tel que DHCP. En effet, les machines changeront régulièrement d’IP et la résolution de nom statique n’a plus aucun intérêt. Les machines sous Windows mettront donc à jour les informations DNS les concernant.

Voici la signification des 3 choix possibles :

N’autoriser que les mises à jour dynamiques sécurisées : seuls les ordinateurs possédant un compte d’ordinateur dans Active Directory peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources.

Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées : tous les ordinateurs exécutant Windows 2000/XP/2003 peuvent créer et mettre à jour leurs enregistrements de ressources. Même une machine qui n’est pas membre du domaine.

Ne pas autoriser les mises à jour dynamiques : Dans ce cas, la seule façon de mettre à jour les enregistrements de ressources est d’utiliser la commande ipconfig /registerdns sur chaque machine cliente.

Cliquez sur Terminer pour créer la zone primaire.

Lorsque la zone primaire a été crée, vous pouvez ajouter autant d’informations que vous souhaitez. Dans l’exemple si dessous, j’ai crée 3 enregistrements : un de type A et deux autres alias.

Zone indirecte

Si vous voulez avoir la possibilité de résoudre une adresse IP en nom, vous devez créer une zone de recherche inverse, ou indirecte.

Le principe de création reste le même que pour la zone principale, sauf qu’on ne vous demandera pas un nom, mais une plage IP. La zone inverse contiendra des enregistrements PTR.

Voici le résultat après l’ajout d’un enregistrement de type A dans la zone directe :

Les zones secondaires

Lors de la création d’une zone, l’assistant vous demande son type. Il existe la zone secondaire.

Une zone secondaire est utile lorsque vous avez plusieurs serveurs DNS dans votre entreprise: vous pouvez répliquer les zones primaires  pour éviter la surcharge.

Pour des questions de sécurité, les zones secondaires sont seulement en lecture seule.

La délégation de zone

Voici un autre point important du service DNS, la délégation de zone.

Imaginons que vous ayez deux sous domaine dans votre architecture : microsoft.laboit.net et cisco.laboit.net. Pour une meilleure organisation et gestion de votre réseau, vous avez décidé d’installer un serveur DNS dans chaque zone. Le serveur DNS de laboit.lan doit donc être capable de rediriger les requêtes vers le serveur sous jacent qui a autorité sur la zone.

La délégation s’applique sur une zone, cliquez droit sur la zone dont vous voulez déléguer, puis sélectionnez Nouvelle Délégation.

L’assistant vous demande alors le nom du sous domaine puis l’adresse IP du serveur distant.

Votre délégation est désormais effective. Les domaines délégués sont grisés sur l’arborescence et contiennent l’adresse IP du serveur qui a authorité.

Conclusion

Tout au long de cet article nous avons vu le fonctionnement du service DNS.

J’espère  que cet article a pu vous être utile.