Module 5 : Planification d'une stratégie DNS

Transcription

1 Module 5 : Planification d'une stratégie DNS Table des matières Vue d'ensemble 1 Leçon : Planification des serveurs DNS 2 Présentation multimédia : Résolution des noms par les clients DNS 3 Présentation multimédia : Résolution des noms avec un serveur DNS 8 Leçon : Planification d'un espace de noms 18 Présentation multimédia : Planification d'une stratégie d'espace de noms DNS 19 Leçon : Planification des zones 31 Leçon : Planification de la réplication et de la délégation de zone 42 Leçon : Intégration de DNS et WINS 53 Présentation multimédia : Intégration de DNS et WINS 54 Atelier A : Planification d'une stratégie DNS 62

2 Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

3 Module 5 : Planification d'une stratégie DNS iii Notes du formateur Présentation : 2 heures 30 minutes Atelier : 60 minutes Ce module présente aux stagiaires les informations nécessaires à la planification de l'implémentation d'un système DNS (Domain Name System) dans une organisation. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! planifier l'implémentation d'un serveur DNS ;! planifier une stratégie d'espace de noms ;! planifier des zones ;! planifier la réplication et la délégation des zones ;! intégrer DNS et WINS (Windows Internet Naming Service). Matériel requis Pour animer ce module, vous devez disposer des éléments suivants :! fichier Microsoft PowerPoint 2189A_05.ppt ;! fichiers multimédias : Résolution des noms par les clients DNS Résolution des noms avec un serveur DNS Planification d'une stratégie d'espace de noms DNS Intégration de DNS et WINS Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la visionneuse PowerPoint ou une version antérieure de PowerPoint, il est possible que certains éléments des diapositives ne s'affichent pas correctement. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :! lire tous les supports de cours de ce module ;! vous exercer à effectuer les applications pratiques et l'atelier et lire la clé de réponse de l'atelier ;! visualiser les présentations multimédias ;! passer en revue les cours et modules de connaissances préalables.

4 iv Module 5 : Planification d'une stratégie DNS Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Pages de procédures, instructions, applications pratiques et ateliers Pages de procédures Pages d'instructions Applications pratiques Ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier. Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon. Les pages d'instructions présentent les points de décision clés relatifs au sujet de la leçon. Vous utiliserez ces instructions pour renforcer les acquis de la leçon et les objectifs. Une fois que vous avez couvert le contenu de la section et montré les procédures de la leçon, expliquez aux stagiaires qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon. À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module. À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nœud de domaine). Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module. Leçon : Planification des serveurs DNS Vue d'ensemble Détermination de l'emplacement des serveurs DNS Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. En présentant cette leçon, soulignez que les décisions de planification des serveurs DNS prises par les stagiaires dépendent de l'utilisation ou non du service d'annuaire Active Directory. Lorsque vous abordez cette section, soulignez que plusieurs facteurs influencent l'emplacement des serveurs DNS. Ils incluent la prise en compte des clients, la structure physique du réseau et le nombre de serveurs DNS du réseau qui jouent plusieurs rôles.

5 Module 5 : Planification d'une stratégie DNS v Rôles des serveurs DNS Niveaux de sécurisation des serveurs DNS Microsoft Lorsque vous abordez les rôles des serveurs DNS, précisez aux stagiaires qu'ils peuvent utiliser des serveurs dans un ou plusieurs de ces rôles dans un environnement pour fournir une solution DNS. Lorsque vous exposez cette section, soulignez qu'il est peu probable que les stagiaires choisissent d'implémenter un niveau de sécurité bas sur un serveur DNS. Précisez également que ces niveaux de sécurité ne représentent pas des choix discrets ou des étiquettes de paramètres. Il s'agit plutôt de catégories générales de mesures de sécurité que les stagiaires mettent en œuvre avec plusieurs paramètres. Leçon : Planification d'un espace de noms Options d'espace de noms DNS Leçon : Planification de zones Sélection des types de zones Sélection de l'emplacement des données des zones Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous expliquez les options d'espace de noms DNS, précisez que.local n'est pas un suffixe de domaine valide sur Internet ; il est seulement valide en interne. Si les stagiaires choisissent un espace de noms interne valide sur Internet, ils doivent l'enregistrer. Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous expliquez les types de zones, indiquez aux stagiaires que dans Microsoft Windows Server 2003, ils choisissent d'abord les types de zones et ensuite l'emplacement de stockage. Pour l'illustrer, il peut être judicieux de montrer la création d'une zone à l'aide de l'assistant dans Windows Server Dans cette section, recommandez l'utilisation d'une zone Active Directory lorsque cela est nécessaire. Dans la plupart des cas, une zone Active Directory est plus sécurisée et plus facile à administrer qu'une zone traditionnelle. Leçon : Planification de la réplication et de la délégation de zone Quand créer une zone secondaire Délégation de zone Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Soulignez que si les stagiaires utilisent des zones intégrées à Active Directory dans un environnement exclusif Active Directory, ils n'auront pas besoin de zones secondaires. Lorsque vous expliquez la nécessité de planifier la délégation de zone, soulignez que les stagiaires doivent également disposer d'un plan de redirection.

6 vi Module 5 : Planification d'une stratégie DNS Leçon : Intégration de DNS et WINS Vue d'ensemble Modification des paramètres de délai de cache Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous présentez cette leçon, expliquez aux stagiaires qu'ils doivent intégrer DNS et WINS lorsque des clients DNS doivent interroger des noms situés uniquement dans WINS. Précisez aux stagiaires que la modification des paramètres de délai de cache est une étape d'optimisation que vous expliquerez plus en détail dans le module 6, «Optimisation de DNS et résolution des problèmes». Atelier A : Planification d'une stratégie DNS Informations de personnalisation Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier. Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions et de contenu du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire. Cette section identifie les caractéristiques des ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires pendant les ateliers. Ces informations visent à vous aider à répliquer ou personnaliser le cours Microsoft Official Curriculum (MOC). L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section «Informations de personnalisation» située à la fin du Guide de configuration automatisée de la classe du cours 2189, Planification et maintenance d'une infrastructure réseau Microsoft Windows Server Mise en place de l'atelier Résultats de l'atelier Aucune configuration de mise en place de l'atelier n'affecte la réplication ou la personnalisation. Aucun changement de configuration des ordinateurs des stagiaires n'affecte la réplication ou la personnalisation.

7 Module 5 : Planification d'une stratégie DNS 1 Vue d'ensemble Objectifs du module Ce module présente les informations nécessaires à la planification de l'implémentation d'un système DNS (Domain Name System) dans votre organisation. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! planifier une implémentation de serveurs DNS ;! planifier une stratégie d'espace de noms ;! planifier des zones ;! planifier la réplication et la delegation de zones ;! intégrer DNS et WINS (Windows Internet Naming Service).

8 2 Module 5 : Planification d'une stratégie DNS Leçon : Planification des serveurs DNS Objectifs Cette leçon porte sur les configurations et les propriétés des serveurs DNS ainsi que sur la sécurité des serveurs DNS. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer les configurations des serveurs DNS ;! déterminer les propriétés des serveurs DNS ;! déterminer la prise en charge de DNS Security (DNSSEC) ;! déterminer la taille des messages UDP (User Datagram Protocol).

9 Module 5 : Planification d'une stratégie DNS 3 Présentation multimédia : Résolution des noms par les clients DNS Objectifs Questions clés L'objectif de cette présentation vise à expliquer comment les clients DNS résolvent les noms d'hôtes en adresses IP (Internet Protocol). Vous allez apprendre à effectuer les tâches suivantes :! expliquer la fonctionnalité d'un serveur DNS dans un réseau routé ;! identifier un nom de domaine pleinement qualifié ;! expliquer la procédure d'utilisation d'un serveur DNS pour résoudre un nom d'hôte en adresse IP. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Quelle est la fonction d'un serveur DNS?! Comment un serveur DNS traite-t-il les noms de domaines pleinement qualifiés?! Comment un serveur DNS résout-il un nom d'hôte en adresse IP?

10 4 Module 5 : Planification d'une stratégie DNS Détermination des caractéristiques des serveurs DNS Après avoir défini le plan DNS, vous devez déterminer les caractéristiques des serveurs. Vous devez tenir compte de plusieurs facteurs lors de la planification du serveur DNS. Vous devez :! planifier la capacité et examiner la configuration matérielle des serveurs ;! déterminer le nombre de serveurs DNS nécessaires et leur rôle sur le réseau. Pour déterminer le nombre de serveurs DNS à utiliser, vous devez définir les serveurs qui hébergeront les copies principales et les copies secondaires des zones. En outre, si vous utilisez le service d'annuaire Active Directory, déterminez si le serveur fonctionne en tant que contrôleur de domaine ou en tant que serveur membre du domaine ;! déterminer l'emplacement des serveurs DNS sur le réseau pour les charges de trafic, la réplication et la tolérance de pannes ;! décider si vous allez utiliser uniquement des serveurs DNS qui exécutent Microsoft Windows Server 2003 ou utiliser une combinaison d'implémentations de serveurs DNS Windows et d'autres serveurs.

11 Module 5 : Planification d'une stratégie DNS 5 Planification de la capacité des serveurs Configuration système d'un serveur DNS La planification et le déploiement des serveurs DNS sur le réseau imposent d'examiner divers aspects du réseau et la capacité des serveurs DNS que vous prévoyez d'utiliser. Tenez compte des éléments suivants lors de la planification de la capacité des serveurs :! Déterminez le nombre de zones que le serveur DNS doit charger et héberger.! Pour chaque zone que le serveur charge pour la gérer, déterminez la taille de la zone en fonction de la taille du fichier de zone ou du nombre d'enregistrements de ressource utilisés dans la zone.! Dans le cas d'un serveur DNS muti-résident (possédant plus d'une adresse IP), déterminez le nombre d'adresses à activer pour écouter et desservir les clients DNS sur chacun des sous-réseaux connectés au serveur.! Déterminez le nombre total de demandes de requêtes DNS de clients qu'un serveur DNS va recevoir et traiter. Dans de nombreux cas, l'ajout de mémoire RAM (Random Access Memory) à un serveur DNS peut en améliorer sensiblement les performances. Cette amélioration s'explique par le fait qu'au démarrage du service, le serveur DNS charge toutes ses zones configurées dans sa mémoire. Si le serveur gère et charge un grand nombre de zones et que des mises à jour dynamiques sont fréquentes pour les clients des zones, l'extension de la mémoire peut être utile. Notez, qu'en règle générale, le serveur DNS utilise la mémoire système de la manière suivante :! Environ 4 méga-octets (Mo) de mémoire RAM sont utilisés lorsque le serveur DNS démarre sans aucune zone.! Le serveur DNS utilise de la mémoire supplémentaire pour chaque zone ou chaque enregistrement de ressource qui y est ajouté.! En moyenne, 100 octets de mémoire serveur sont utilisés pour chaque enregistrement de ressource ajouté à la zone d'un serveur. Si, par exemple, une zone contenant enregistrements de ressource est ajoutée à un serveur, elle occupera environ 100 kilo-octets (Ko) de mémoire serveur. Vous pouvez commencer par déterminer les plans de vos serveurs en examinant des échantillons des résultats des tests des performances des serveurs DNS des équipes de développement et de tests DNS Windows Server En outre, vous pouvez utiliser les compteurs relatifs aux serveurs DNS, fournis avec les outils d'analyse de Windows Server 2003, pour obtenir les mesures de performances de vos propres serveurs DNS qui exécutent Windows Server 2003 et que vous déployez sur le réseau. Important Les recommandations précédentes ne sont pas destinées à indiquer les performances maximales ou les limitations des serveurs DNS qui exécutent Windows Server Ces valeurs sont approximatives et peuvent dépendre du type d'enregistrement de ressource entré dans les zones, du nombre d'enregistrements de ressource qui possèdent le même nom de propriétaire et du nombre de zones en cours d'utilisation sur un serveur DNS donné.

12 6 Module 5 : Planification d'une stratégie DNS Détermination de l'emplacement des serveurs DNS Emplacement des serveurs DNS Vous devez tenir compte de plusieurs facteurs pour déterminer l'emplacement des serveurs DNS. Vous devez déterminer non seulement l'emplacement des serveurs, mais également le nombre de serveurs nécessaires et leur configuration système. D'une manière générale, placez les serveurs DNS dans un endroit du réseau facilement accessible aux clients. Il est souvent très pratique d'utiliser un serveur DNS sur chaque sous-réseau. Tenez compte des facteurs suivants pour déterminer l'emplacement d'un serveur DNS :! Si vous déployez DNS pour prendre en charge Active Directory, déterminez si le serveur DNS est également un contrôleur de domaine ou s'il le deviendra.! Si le serveur DNS cesse de répondre, déterminez si ses clients locaux peuvent accéder à un autre serveur DNS.! Si le serveur DNS est situé sur un sous-réseau distant pour certains de ses clients, identifiez les autres serveurs DNS disponibles ou déterminez les autres options possibles de résolution de noms si la connexion routée cesse de répondre.! Pour les installations de serveurs DNS dans lesquelles l'utilisation de Active Directory représente un problème, examinez les questions particulières d'interopérabilité et les détails d'installation.! Pour toutes les installations de serveurs DNS, notamment celles où l'utilisation de Active Directory ne constitue pas un problème, il peut être utile d'appliquer les instructions d'emplacement et de planification de serveur ci-dessous.

13 Module 5 : Planification d'une stratégie DNS 7 Détermination du nombre de serveurs Exemple d'emplacement de serveur DNS Pour déterminer le nombre de serveurs DNS que vous devez utiliser, évaluez l'effet des transferts de zone et du trafic des requêtes DNS sur les liens peu rapides du réseau. Bien que le système DNS soit conçu pour contribuer à réduire le trafic des diffusions entre les réseaux locaux, il génère du trafic entre les serveurs et les clients. Vous devez évaluer ce trafic, notamment lors de l'implémentation de DNS dans des environnements de réseau local ou étendu routés de manière complexe. Tenez compte de l'impact des transferts de zone sur les liaisons lentes telles que celles généralement utilisées dans les connexions de réseau étendu. Bien que le service DNS prenne en charge les transferts de zone incrémentiels et que les clients et les serveurs DNS Windows Server 2003 puissent mettre en cache les derniers noms utilisés, le trafic peut toujours constituer un problème, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) écourtés engendrent des mises à jour plus fréquentes dans DNS. Pour traiter les emplacements distants sur les liaisons de réseau étendu, une possibilité consiste à y installer un serveur DNS qui fournit un service DNS de cache uniquement. Dans la plupart des installations, vous devez disposer d'au moins deux serveurs hébergeant chacun des zones DNS pour garantir la tolérance de pannes. Le système DNS est conçu pour deux serveurs par zone : un serveur principal et un serveur de secours ou secondaire. Avant de déterminer le nombre de serveurs à utiliser, vous devez évaluer le niveau de tolérance de pannes nécessaire au réseau. Si le réseau local est routé et que les liens à haut débit sont assez fiables, vous pouvez utiliser un serveur DNS pour un grand réseau contenant plusieurs sousréseaux. Si un grand nombre de nœuds de clients se trouvent dans un seul sousréseau, il peut être judicieux d'ajouter plusieurs serveurs DNS au sous-réseau pour fournir des services de sauvegarde et de basculement en cas d'absence de réponse du serveur DNS favori. Remarque Quand un seul serveur exécutant Windows Server 2003 est utilisé sur un petit réseau local dans un environnement comportant un seul sousréseau, vous pouvez le configurer pour simuler le serveur principal et les serveurs secondaires d'une zone.

14 8 Module 5 : Planification d'une stratégie DNS Présentation multimédia : Résolution des noms avec un serveur DNS Objectifs Questions clés L'objectif de cette présentation vise à expliquer la procédure de résolution des noms avec un serveur DNS. Vous allez apprendre à effectuer les tâches suivantes :! expliquer la fonctionnalité d'un serveur DNS ;! définir la procédure de résolution des noms à l'aide d'un serveur DNS ;! identifier les types de requêtes ;! expliquer l'intégration de DNS et WINS. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Quels sont les deux types de requêtes que le résolveur peut envoyer à un serveur DNS?! Pourquoi la zone spéciale in-addr.arpa a-t-elle été créée?! Qu'est-ce qu'un enregistrement de pointeur (PTR)?! Comment les requêtes de redirection résolvent-elles les noms d'hôtes?! Comment les requêtes inversées résolvent-elles les noms d'hôtes?

15 Module 5 : Planification d'une stratégie DNS 9 Rôles des serveurs DNS Serveurs cache uniquement La configuration DNS peut contenir un certain nombre de serveurs configurés différemment pour jouer des rôles spécifiques dans l'environnement. Lors de la planification de l'implémentation des serveurs, vous devez déterminer la fonctionnalité fournie avec chaque serveur. Les informations suivantes détaillent les différents rôles des serveurs DNS. Les serveurs cache uniquement effectuent la résolution des noms pour les clients, puis mettent en cache (stockent) les résultats. Comme ces serveurs ne sont pas configurés pour faire autorité sur la zone, ils ne stockent pas de zones standard principales ou secondaires. Le cache est rempli par les noms les plus fréquemment demandés. Ces noms et leurs adresses IP associées sont disponibles à partir du cache pour répondre aux requêtes suivantes des clients. Les serveurs cache uniquement contribuent à réduire le trafic sur un réseau étendu comme suit :! Un serveur cache uniquement tente de localiser les informations de son cache pour résoudre les demandes des clients. Si les informations requises sont introuvables, le serveur cache uniquement envoie une requête sur le réseau étendu pour localiser les informations nécessaires et met à jour son cache. En stockant les informations dans son cache, le serveur effectue moins de requêtes, ce qui réduit le trafic sur le réseau étendu.! Contrairement à un serveur DNS principal, un serveur cache uniquement ne contient pas de fichiers de zones. Il ne stocke pas non plus de copie d'un fichier de zone comme le fait un serveur DNS secondaire. Par conséquent, les serveurs cache uniquement ne créent pas de trafic de transfert de zone.

16 10 Module 5 : Planification d'une stratégie DNS Lorsqu'un bureau distant dispose d'une largeur de bande passante limitée pour se connecter à un siège, un serveur cache uniquement doit être configuré au bureau distant pour envoyer des requêtes récursives à un serveur DNS du siège. Une requête récursive est une requête dans laquelle le serveur DNS assume pleinement la charge de travail et la responsabilité pour donner une réponse complète à la requête. Le serveur DNS du siège est mieux équipé pour traiter les requêtes récursives, du fait qu'il dispose d'une plus grande largeur de bande passante pour se connecter à Internet ou à un intranet. Serveurs non récursifs Serveurs redirecteurs uniquement Un serveur non récursif est un serveur DNS sur lequel la récursivité a été désactivée. Ainsi le serveur ne peut pas utiliser la récursivité pour résoudre les noms pour les clients. Le serveur ne peut pas non plus rediriger les demandes. Si un serveur non récursif ne peut pas résoudre directement un nom, il renvoie une réponse négative à la requête. Vous devez désactiver la récursivité sur les serveurs DNS face à Internet qui font autorité sur une ou plusieurs zones. Ainsi, le serveur DNS pourra répondre aux requêtes d'autres serveurs DNS sur les informations de la zone, mais empêchera les clients Internet d'utiliser le serveur DNS pour résoudre d'autres noms de domaines sur Internet. Vous pouvez également désactiver la récursivité pour limiter les clients à la résolution des noms internes à votre organisation. Lorsqu'un serveur configuré pour utiliser les redirecteurs ne peut pas résoudre une requête localement ou à l'aide de ses redirecteurs, il tente de la résoudre en utilisant la récursivité standard. Vous pouvez également configurer un serveur DNS pour qu'il n'effectue pas de récursivité après l'échec des redirecteurs. Dans cette configuration, le serveur ne tente aucune requête récursive supplémentaire pour résoudre le nom. En fait, si le serveur ne reçoit pas de réponse correcte à la requête d'un des serveurs configurés comme redirecteurs, il fait échouer la requête. Un serveur DNS configuré de cette manière est appelé serveur DNS redirecteur uniquement. Si tous les redirecteurs d'un nom de la requête ne répondent pas à un serveur DNS redirecteur uniquement, ce serveur DNS ne tente pas la récursivité. Contrairement à un serveur non récursif, un serveur DNS redirecteur uniquement crée un cache lié au nom de domaine, qu'il utilise pour tenter de résoudre les noms d'hôtes. Utilisez les redirecteurs pour administrer le trafic DNS entre le réseau et Internet en configurant le pare-feu utilisé par le réseau pour permettre à un seul serveur DNS de communiquer avec Internet.

17 Module 5 : Planification d'une stratégie DNS 11 Redirecteurs conditionnels Un redirecteur conditionnel est un serveur DNS qui redirige les requêtes DNS en fonction du nom de domaine DNS de la requête. Le paramétrage d'un redirecteur conditionnel d'un serveur DNS est constitué des éléments suivants :! des noms de domaines pour lesquels le serveur DNS redirige les requêtes ;! d'une ou de plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spécifié. Un serveur DNS configuré pour utiliser un redirecteur se comporte différemment d'un serveur DNS non configuré pour utiliser un redirecteur. Un serveur DNS configuré pour utiliser un redirecteur se comporte comme suit :! Lorsque le serveur DNS reçoit une requête, il tente de la résoudre à l'aide des zones principales et des zones secondaires qu'il héberge et de son cache.! Si la requête ne peut pas être résolue à l'aide de ces données locales, le serveur redirige la requête vers le serveur DNS désigné comme redirecteur.! Le serveur DNS attend un court moment la réponse du redirecteur avant de tenter de contacter les serveurs DNS spécifiés dans ses indications de racine.! Lorsqu'un serveur DNS redirige une requête vers un redirecteur, il lui envoie une requête récursive. Cette procédure est différente de la requête itérative qu'un serveur DNS envoie à un autre serveur DNS lors d'une résolution de nom standard (c'est-à-dire une résolution de nom ne faisant pas appel à un redirecteur). Si vous voulez que les clients DNS de réseaux distincts résolvent leurs noms respectifs sans avoir à interroger les serveurs DNS sur Internet, vous pouvez configurer les serveurs DNS de chaque réseau pour qu'ils redirigent les requêtes de noms de l'autre réseau. Les serveurs DNS d'un réseau redirigeront les noms des clients de l'autre réseau vers un serveur DNS donné qui va créer un grand cache contenant les informations relatives à l'autre réseau. En effectuant la redirection de cette façon, vous créez un point de contact direct entre les serveurs DNS des deux réseaux, ce qui réduit le besoin de récursivité.

18 12 Module 5 : Planification d'une stratégie DNS Niveaux de sécurisation des serveurs DNS Niveau de sécurité bas Il existe trois niveaux de sécurité DNS. Vous devez déterminer le niveau de sécurité adapté au réseau en fonction des besoins de votre organisation. Les trois niveaux suivants de sécurité DNS vous aideront à comprendre votre configuration DNS actuelle et vous permettront d'accroître la sécurité DNS de votre organisation. Le niveau de sécurité bas est un déploiement DNS standard sans précautions de sécurité configurées. Vous déployez ce niveau de sécurité DNS uniquement dans les environnements réseau dans lesquels il n'existe aucun problème d'intégrité des données DNS ou dans un réseau privé où il n'existe aucune menace de connexion externe. Lorsque vous implémentez le niveau de sécurité bas :! l'infrastructure DNS de votre organisation est totalement exposée à Internet ;! la résolution DNS standard est effectuée par tous les serveurs DNS du réseau ;! tous les serveurs DNS sont configurés avec leurs indications de racine qui pointent vers les serveurs racine pour Internet ;! tous les serveurs DNS permettent les transferts de zone à tous les serveurs ;! tous les serveurs DNS sont configurés pour écouter sur toutes leurs adresses IP ;! la prévention de la pollution du cache est désactivée sur tous les serveurs DNS ;! la mise à jour dynamique est autorisée pour toutes les zones DNS ;! le port 53 de UDP et TCP/IP (Transmission Control Protocol/Internet Protocol) est ouvert sur le pare-feu du réseau pour les adresses source et de destination.

19 Module 5 : Planification d'une stratégie DNS 13 Niveau de sécurité moyen Niveau de sécurité haut Le niveau de sécurité moyen utilise les fonctions de sécurité DNS disponibles sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker de zones DNS dans Active Directory. Lorsque vous implémentez le niveau de sécurité moyen :! l'exposition de l'infrastructure DNS de votre organisation à Internet est limitée ;! tous les serveurs DNS sont configurés pour utiliser des redirecteurs qui pointent vers une liste spécifique de serveur DNS internes lorsqu'ils ne peuvent pas résoudre les noms localement ;! tous les serveurs DNS restreignent les transferts de zone aux serveurs figurant dans les enregistrements de ressource de serveur de noms (NS) de leurs zones ;! les serveurs DNS sont configurés pour écouter sur des adresses IP spécifiées ;! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;! la mise à jour dynamique n'est autorisée pour aucune zone DNS ;! les serveurs DNS internes communiquent avec les serveurs DNS externes à travers le pare-feu, ce qui permet d'utiliser uniquement une liste limitée d'adresses source et de destination ;! les serveurs DNS externes devant le pare-feu sont configurés avec leurs indications de racine qui pointent vers les serveurs racine pour Internet ;! toutes les résolutions de noms Internet sont effectuées à l'aide de serveurs proxy et de passerelles. Le niveau de sécurité haut utilise la même configuration que le niveau de sécurité moyen, avec en plus les fonctions de sécurité disponibles lorsque le service DNS est exécuté sur un contrôleur de domaine et lorsque les zones DNS sont stockées dans Active Directory. En outre, le niveau de sécurité élevé élimine complètement la communication de DNS avec Internet. Ce n'est pas une configuration habituelle, mais elle est recommandée chaque fois que la connectivité Internet n'est pas indispensable. Lorsque vous implémentez le niveau de sécurité haut :! l'infrastructure DNS de votre organisation ne permet aucune communication Internet avec les serveurs DNS internes ;! le réseau utilise une racine et un espace de noms DNS internes où toute l'autorité pour les zones DNS est interne ;! les serveurs DNS configurés avec des redirecteurs utilisent les adresses IP des serveurs DNS internes uniquement ;! tous les serveurs DNS restreignent les transferts de zone à des adresses IP spécifiées ;! les serveurs DNS sont configurés pour écouter sur des adresses IP spécifiées ;! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;

20 14 Module 5 : Planification d'une stratégie DNS! les serveurs DNS sont configurés avec leurs indications de racine qui pointent vers les serveurs DNS internes qui hébergent la zone racine de l'espace de noms interne ;! tous les serveurs DNS sont exécutés sur des contrôleurs de domaine ; une liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) est configurée sur le service DNS pour permettre uniquement à des personnes spécifiées d'accomplir des tâches d'administration sur le serveur DNS ;! toutes les zones DNS sont stockées dans Active Directory ; une liste DACL est configurée pour permettre à des personnes spécifiques uniquement de créer, supprimer ou modifier des zones DNS ;! des listes DACL sont configurées dans les enregistrements de ressource DNS pour permettre à des personnes spécifiques uniquement de créer, supprimer ou modifier des données DNS ;! la mise à jour dynamique sécurisée est configurée pour les zones DNS, à l'exception des zones de niveau supérieur et racine, qui ne permettent aucune mise à jour dynamique. Remarque Pour plus d'informations sur les menaces de sécurité DNS, reportezvous à la rubrique suivante des fichiers d'aide de DNS : «Security Information for DNS» (Informations de sécurité pour DNS).

21 Module 5 : Planification d'une stratégie DNS 15 Instructions de planification d'un serveur DNS Détermination des caractéristiques des serveurs Détermination de l'emplacement des serveurs DNS Détermination de la fonctionnalité des serveurs Détermination du niveau de sécurité à implémenter Il est recommandé de suivre les instructions ci-dessous pour planifier un serveur DNS. La planification et le déploiement des serveurs DNS sur le réseau imposent de définir la capacité des serveurs nécessaire à votre entreprise et de déterminer la configuration des serveurs DNS. Pour cette étape, vous devez déterminer le nombre de serveurs et leur emplacement. Ces éléments sont liés à l'implémentation ou non de Active Directory et à la vitesse de connexion entre les bureaux. Le serveur DNS peut assurer plusieurs fonctions. Vous devez déterminer si vous allez employer une solution cache uniquement, un serveur redirecteur uniquement, des redirecteurs conditionnels ou des zones de stub. Chaque option possède des caractéristiques uniques et un comportement spécialisé. Enfin, vous devez déterminer si vous allez mettre en œuvre un niveau de sécurité bas, moyen ou haut en fonction de votre configuration DNS et de vos besoins organisationnels.

22 16 Module 5 : Planification d'une stratégie DNS Application pratique : Planification de la sécurité des serveurs DNS Objectif Instructions Scénario Dans cette application pratique, vous allez planifier et expliquer les difficultés relatives à la sécurisation d'une configuration de serveur DNS. L'objectif de cette application pratique vise à planifier la sécurité des serveurs DNS. 1. Lisez le scénario. 2. Préparez-vous à expliquer les difficultés de cette tâche après l'application pratique. Vous êtes consultant en systèmes DNS chez Contoso, Ltd, un distributeur et fabricant de pièces d'automobiles personnalisées en rapide expansion. La société vient de faire évaluer la sécurité par un cabinet conseil spécialisé dans la sécurité qui a déterminé que son serveur DNS était vulnérable aux attaques, car son pare-feu permet le trafic vers et depuis tous les serveurs. Tous les serveurs DNS de Contoso, Ltd. sont autorisés à communiquer directement avec Internet à travers le pare-feu. Le document de conception DNS a été modifié comme suit : Le pare-feu autorise uniquement le trafic DNS vers Internet à partir de l'unique serveur DNS du sous-réseau filtré. Le seul trafic DNS autorisé à partir de l'intranet correspond à celui situé entre les trois serveurs DNS du réseau d'entreprise et le serveur DNS du sous-réseau filtré.

23 Module 5 : Planification d'une stratégie DNS 17 Application pratique Comment adaptez-vous la planification DNS pour répondre à cette nouvelle condition de sécurité? Prévoyez de configurer les trois serveurs DNS sur l'intranet en tant que serveurs redirecteurs uniquement. Ces serveurs répondront à toutes les requêtes faisant autorité pour leurs propres données de zone. Toutes les requêtes de données en dehors de leur autorité seront redirigées vers le serveur DNS du sous-réseau filtré. Les serveurs de l'intranet n'essaieront pas de répondre aux requêtes de manière récursive si le redirecteur ne parvient pas à y répondre. Les serveurs de l'intranet vont créer un cache pour réduire le trafic envoyé à travers le pare-feu pour répondre à une requête. Quel niveau de sécurité recommandez-vous pour les serveurs DNS de Contoso, Ltd.? Pourquoi? Un niveau de sécurité moyen. Un niveau de sécurité haut serait trop restrictif, car la société doit communiquer avec des serveurs sur Internet. Un niveau de sécurité bas laisserait la société vulnérable aux attaques, comme l'a révélé l'audit de sécurité.

24 18 Module 5 : Planification d'une stratégie DNS Leçon : Planification d'un espace de noms Objectifs Cette leçon porte sur les concepts de planification d'un espace de noms et les décisions à prendre. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! rechercher, dans un environnement réseau existant, les facteurs susceptibles d'affecter la conception DNS ;! déterminer si l'accès à Internet est nécessaire et l'éventualité de plusieurs espaces de noms ;! déterminer la conception de l'espace de noms.

25 Module 5 : Planification d'une stratégie DNS 19 Présentation multimédia : Planification d'une stratégie d'espace de noms DNS Objectifs Questions clés L'objectif de cette présentation vise à fournir les instructions relatives à la planification d'un espace de noms DNS. Vous allez apprendre à effectuer les tâches suivantes :! expliquer comment séparer les espaces de noms interne et externe ;! appliquer les instructions pour intégrer l'espace de noms Active Directory et l'espace de noms DNS ;! expliquer l'importance du choix d'un nom unique pour un espace de noms interne ;! déterminer le mode de relation entre les espaces de noms public et privé ;! expliquer l'importance de la planification d'un espace de noms hiérarchique. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Comment intégrer l'espace de noms interne privé et l'espace de noms externe public?! Quel service doit être disponible pour pouvoir créer le premier contrôleur de domaine Active Directory?! Quels sont les besoins de votre identité d'entreprise?! Quelles sont les conditions de sécurité nécessaires à votre organisation?! Comment vérifier que l'espace de noms privé est unique?! Comment garantir que seul un serveur DNS nécessite un fichier d'indications de racine?

26 20 Module 5 : Planification d'une stratégie DNS Choix d'un nom de domaine ICANN Pour planifier convenablement un espace de noms, vous devez comprendre ce qu'est un nom de domaine disponible, ce que sont les conventions d'attribution de noms et qui fait autorité pour les domaines. L'ICANN (Internet Corporation for Assigned Names and Numbers) détient l'autorité pour les noms de domaine racine et de niveau supérieur de l'espace de noms DNS Internet. L'ICANN attribue aux organisations des identifiants uniques à l'échelle mondiale, notamment les noms de domaines Internet, les numéros d'adresse IP, ainsi que les numéros de ports et de paramètres de protocole. Une autorité centrale est nécessaire pour ces informations, car ces identifiants doivent être uniques pour qu'internet fonctionne sans informations dupliquées. Remarque Pour plus d'informations sur l'icann, visitez le site

27 Module 5 : Planification d'une stratégie DNS 21 Noms de domaines de niveau supérieur Le tableau ci-dessous contient des informations sur chacun des domaines Internet de niveau supérieur. Vous devez choisir le nom de domaine de niveau supérieur adapté aux besoins de votre organisation. Nom de niveau supérieur Fonction Exemple.com.edu.gov.int mil.net.org Organisations commerciales, telles Microsoft Corporation Organisations d'enseignement, telles que Carnegie Mellon University. Récemment, une décision a été prise pour restreindre les enregistrements aux établissements d'enseignement supérieur et aux universités. Organisations gouvernementales des États-Unis, telles que la Maison Blanche à Washington, D.C. Organisations internationales, telles que l'organisation du Traité de l'atlantique Nord Organisations militaires des États-Unis, telles que l'armée de l'air américaine Organisations de services de réseau, y compris les fournisseurs de service Internet Organisations non commerciales, telles que l'icann microsoft.com cmu.edu whitehouse.gov nato.int af.mil psi.net ICANN.org Remarque La liste complète des domaines de niveau supérieur est disponible à l'adresse Obtention de noms de domaines de niveau supérieur Options de domaine Conventions d'attribution de noms de domaines Pour obtenir des noms de domaines de niveau supérieur, demandez-les à l'icann ou à une autre autorité d'attribution de noms Internet. Lorsque vous recevez les noms de domaines, vous pouvez vous connecter à Internet et utiliser des serveurs DNS pour administrer la correspondance des noms et des adresses IP (et inversement) des périphériques hôtes contenus dans leur partie de l'espace de noms. Après avoir obtenu un nom de domaine, vous avez le choix entre :! nommer les ordinateurs et périphériques réseau dans le domaine attribué et ses subdivisions ;! déléguer des sous-domaines du domaine à d'autres utilisateurs ou clients. Il est vivement recommandé d'utiliser dans les noms, des caractères du jeu de caractères Internet standard permis pour l'attribution de noms d'hôtes DNS. Les caractères autorisés sont définis dans le document RFC 1123 (Request For Comments) comme suit : toutes les lettres majuscules (A Z) et minuscules (a z), les chiffres (0 9) et le tiret (-).

28 22 Module 5 : Planification d'une stratégie DNS Détermination des caractéristiques de l'espace de noms Sélection d'un nom de domaine Vérification de l'unicité d'un nom de domaine Lors de la détermination des caractéristiques de l'espace de noms, vous devez définir comment vous prévoyez d'utiliser DNS ainsi que vos objectifs. Tenez compte des éléments suivants pour prendre vos décisions :! Prévoyez-vous d'utiliser l'espace de noms en interne uniquement? Pour un espace de noms interne, vous pouvez implémenter votre propre racine DNS, utiliser le nom de domaine que vous voulez et utiliser des caractères qui ne figurent pas dans la norme Internet définie dans le document RFC 1123.! Prévoyez-vous d'utiliser l'espace de noms sur Internet? Si vous envisagez d'utiliser l'espace de noms sur Internet ou pensez le faire ultérieurement, vous devez enregistrer votre propre nom de domaine unique à l'aide des serveurs racine Internet et vérifier que le nom respecte les normes des noms Internet.! Allez-vous implémenter Active Directory? Si vous implémentez Active Directory ou prévoyez de le faire, vous devez vous assurer que la hiérarchie de l'espace de noms représente efficacement l'organisation tout entière, afin qu'elle puisse être utilisée pour l'espace de noms Active Directory. Vous devez choisir un nom de domaine significatif qui représente toute votre organisation, même si vous n'envisagez pas dans l'immédiat d'utiliser ce nom en externe. Vous pourrez ainsi l'utiliser plus tard si vous modifiez vos plans. Vous pourrez aussi utiliser l'espace de noms pour une implémentation ultérieure éventuelle de Active Directory. Après avoir choisi le nom de domaine, vous devez vérifier qu'il est unique. Pour ce faire, vous pouvez :! utiliser l'outil «Registry Whois» disponible à l'adresse Ce site vous permet de savoir si un nom de domaine a déjà été enregistré ;! visiter le site pour afficher la liste de tous les noms de domaines qui contiennent le texte que vous souhaitez utiliser dans votre nom de domaine.

29 Module 5 : Planification d'une stratégie DNS 23 Options d'espace de noms DNS Caractéristiques de la planification de l'espace de noms Utilisation de l'espace de noms existant Il existe trois options pour sélectionner un espace de noms DNS : utiliser l'espace de noms existant, un espace de noms délégué (comme un sousdomaine) ou un nouvel espace de noms unique. Le type d'espace de noms choisi est déterminé par les besoins de votre entreprise. Il est essentiel de comprendre que la configuration d'hôtes dans des espaces de noms distincts pour qu'ils puissent se localiser est une tâche complexe qui exige des périphériques distincts tels que des serveurs proxy. En fonction des exigences de votre entreprise et de l'environnement DNS existant, vous pouvez faire l'un des choix suivants lors de la conception de l'espace de noms :! utiliser l'espace de noms DNS externe existant de l'organisation comme espace de noms interne (par exemple, microsoft.com pour une utilisation interne et externe) ;! utiliser un domaine délégué de l'espace de noms DNS interne existant de l'organisation comme espace de noms interne (par exemple, microsoft.com pour une utilisation externe et corp.microsoft.com pour un usage interne) ;! utiliser un espace de noms interne différent de l'espace de noms DNS externe existant (par exemple, microsoft.com pour une utilisation externe et microsoft.net pour un usage interne) ;! utiliser un domaine DNS enfant comme organisation de la racine de Active Directory au lieu d'utiliser le nom de domaine DNS enregistré. Cette option isole toutes les données Active Directory dans leur domaine ou arborescence de domaine. Vous pouvez vouloir conserver un nom de domaine DNS unique pour l'espace de noms DNS existant et l'espace de noms interne. Toutefois, vous devez vous assurer que l'espace de noms interne n'est pas accessible à partir d'internet.

30 24 Module 5 : Planification d'une stratégie DNS Instructions d'utilisation d'un espace de noms DNS existant Avantages de l'utilisation d'espace de noms distincts Instructions d'utilisation d'espace de noms distincts Utilisation d'un espace de noms délégué Avantage de l'utilisation d'un espace de noms délégué L'utilisation d'un espace de noms existant offre pour principal avantage de ne pas avoir à déterminer, ni enregistrer un nom interne. Si vous décidez d'utiliser l'espace de noms existant en tant qu'espace de noms interne, tenez compte des facteurs et des instructions suivants :! Les utilisateurs peuvent accéder à un nom de domaine unique lors de l'accès aux ressources internes et externes.! Il n'est pas nécessaire d'enregistrer des noms supplémentaires auprès d'une autorité d'enregistrement des noms DNS.! Des activités d'administration supplémentaires sont nécessaires de la part des administrateurs DNS pour garantir que les enregistrements appropriés sont stockés sur les serveurs DNS internes et externes. Un espace de noms public et un espace de noms privé distincts offrent les avantages suivants :! meilleure sécurité, car les utilisateurs et les ordinateurs extérieurs à l'organisation ne peuvent pas accéder à l'espace de noms privé ;! impact minimal sur l'espace de noms existant ;! moins de tâches d'administration pour les administrateurs DNS en place. Vous pouvez intégrer DNS à l'espace de noms existant d'une organisation en créant un espace de noms public et un espace de noms privé distincts. L'espace de noms existant est contenu dans la partie publique de l'espace de noms. Le service DNS de Windows Server 2003 administre la partie privée de l'espace de noms. Si vous décidez d'utiliser un espace de noms différent de l'espace de noms DNS existant, tenez compte des facteurs et des instructions suivants :! Les ressources sont faciles à administrer et à sécuriser.! Le contenu des serveurs DNS existants n'a pas besoin d'être répliqué sur les serveurs DNS de l'espace de noms interne.! Les zones DNS et la topologie DNS existantes peuvent rester telles quelles.! L'espace de noms interne n'est pas exposé sur Internet.! Les ressources internes ne sont pas accessibles à partir d'internet. La création d'un sous-domaine unique dans l'espace de noms est très comparable à la stratégie de création d'un espace de noms public et d'un espace de noms privé distincts. Toutefois, vous n'avez pas divisé, dans ce cas, l'espace de noms en parties publique et privée, mais vous spécifiez que tous les serveurs DNS Windows Server 2003 résident dans un sous-domaine unique de l'espace de noms. Pour des raisons de sécurité, il est généralement recommandé de permettre aux clients internes de réaliser la résolution DNS des espaces de noms DNS interne et externe, mais d'interdire aux clients externes l'accès à l'espace de noms interne. L'utilisation d'un espace de noms délégué offre pour principal avantage de limiter l'impact sur l'espace de noms existant. En outre, cette stratégie demande moins de tâches d'administration de la part des administrateurs DNS en place.

31 Module 5 : Planification d'une stratégie DNS 25 Instructions d'utilisation d'un espace de noms délégué Si vous décidez d'utiliser un espace de noms délégué en tant qu'espace de noms interne ou espace de noms racine de Active Directory, tenez compte des éléments et des instructions suivants :! L'espace de noms contigu utilisé est plus facilement compris par le personnel d'administration et les utilisateurs.! Toutes les données internes sont isolées dans un domaine ou dans une arborescence de domaine.! Un serveur DNS distinct est nécessaire pour le domaine interne délégué.! L'espace de noms interne peut être long. Important Quel que soit le nom de l'espace de nom interne, veillez à l'enregistrer auprès d'un organisme d'enregistrement. Evitez les situations dans lesquelles deux sociétés fusionnent et utilisent le même nom d'espace de noms Active Directory.

32 26 Module 5 : Planification d'une stratégie DNS Recommandations relatives à la planification des espaces de noms Utilisation de noms uniques Exemples Séparation de l'espace de noms interne et de l'espace de noms externe Création d'un espace de noms compatible avec Active Directory Comme pour toute décision de planification, dans la mesure du possible, vous devez suivre les bonnes pratiques en vigueur lors de la planification des espaces de noms. Ces bonnes pratiques incluent l'utilisation de noms uniques, la séparation de l'espace de noms interne et de l'espace de noms externe et la création d'espaces de noms compatibles avec Active Directory. Le respect de ces pratiques contribue à réduire l'impact sur la prise en charge de l'espace de noms. Lors de la planification de l'espace de nom DNS, il est recommandé d'utiliser un jeu de noms uniques qui ne se superposent pas comme base d'utilisation DNS interne et externe. Par exemple, en supposant que le nom de domaine parent de votre organisation est microsoft.com, vous pouvez :! faire en sorte que le domaine interne soit distinct de l'espace de noms externe et non contigu, en utilisant un nom tel que microsoft.net (ou microsoft.local si vous envisagez de ne jamais rendre les ressources disponibles en externe) ;! séparer le domaine interne du domaine externe mais le laisser contigu, en utilisant un nom tel que corp.microsoft.com. La séparation de l'espace de nom interne et de l'espace de noms externe facilite la gestion des configurations, telles qu'un filtre de noms de domaines ou des listes d'exclusion. Si vous choisissez d'utiliser le même espace de noms pour la résolution interne et externe, vous devez créer une infrastructure DNS divisée pour soutenir cette décision. Lors de la planification de l'espace de noms, vous devez prévoir si vous allez implémenter Active Directory maintenant ou ultérieurement. Si vous envisagez d'implémenter Active Directory, vous devez vous assurer que l'espace de noms sélectionné est compatible avec un espace de noms Active Directory.

33 Module 5 : Planification d'une stratégie DNS 27 Instructions de la planification d'un espace de noms Sélection de l'espace de noms DNS du domaine Utilisation d'espaces de noms différents pour une utilisation interne et externe La résolution de nom à l'aide du système DNS est essentielle au fonctionnement de Windows Server Sans résolution de nom correcte, les utilisateurs ne peuvent pas localiser les ressources sur le réseau. Il est indispensable de créer l'espace de noms DNS en tenant compte d'active Directory et en vous assurant que le plus grand espace de noms qui existe sur Internet n'est pas en conflit avec l'espace de noms interne de votre organisation. Tenez compte des instructions ci-dessous pour planifier l'espace de noms. Déterminez le nom de domaine enregistré par votre organisation pour l'utilisation sur Internet (par exemple, contoso.com). Si votre société ne possède pas encore de nom de domaine enregistré, il peut être judicieux d'en enregistrer un sur Internet. Si vous choisissez de ne pas le faire, veillez à choisir un nom unique. Vous pouvez rechercher les noms de domaines déjà utilisés à l'adresse Pour un usage interne, vous pouvez utiliser un espace de noms tel que contoso.com, ou un sous-domaine du nom externe tel que corp.contoso.com. La structure de sous-domaine peut être utile si un espace de noms DNS existe déjà. Pour simplifier l'administration, vous pouvez attribuer des sous-domaines différents à des organisations ou emplacements différents, tels que nomun.corp.contoso.com ou nomdeux.corp.contoso.com.

34 28 Module 5 : Planification d'une stratégie DNS Maintien de la séparation des espaces de noms sur les serveurs internes et externes Les serveurs externes doivent contenir uniquement les noms qui doivent être accessibles à partir d'internet. Les serveurs internes doivent contenir uniquement les noms destinés à un usage interne. Vous pouvez configurer les serveurs DNS internes pour qu'ils redirigent vers des serveurs externes les demandes qu'ils ne peuvent pas résoudre. Des types de clients différents nécessitent différents types de résolution de noms. Par exemple, les clients proxy Web n'ont pas besoin de résoudre les noms externes, car le serveur proxy les résout pour eux. Les espaces de noms internes et les espaces de noms externes qui se chevauchent ne sont pas recommandés. Dans la plupart des cas, ce type de configuration empêche les ordinateurs de localiser les ressources nécessaires, car ils reçoivent des adresses IP incorrectes du système DNS. Cela est particulièrement gênant en cas de conversion d'adresse réseau (NAT, Network Address Translation) et lorsque l'adresse IP externe est dans une plage inaccessible pour les clients internes. Remarque Assurez-vous que des serveurs racine ne sont pas créés par erreur. Les serveurs racine peuvent être créés à l'aide de l'assistant Installation de Active Directory (DCPromo.exe), et dans ce cas, les clients internes peuvent joindre les clients externes ou les domaines parents. Si la zone «.» existe, cela implique qu'un serveur racine a été créé. Il peut être nécessaire de supprimer cette zone pour que la résolution de nom soit correcte.

35 Module 5 : Planification d'une stratégie DNS 29 Application pratique : Planification d'un espace de noms DNS Objectif Instructions Scénario Dans cette application pratique, vous allez planifier un espace de noms DNS qui prend en charge les plans actuels et futurs de votre organisation. L'objectif de cette application pratique vise à planifier un espace de noms DNS. 1. Lisez le scénario. 2. Préparez-vous à expliquer les difficultés de cette tâche après l'application pratique. Le cabinet conseil pour lequel vous travaillez vous a attribué un nouveau compte, Contoso Ltd, pour planifier son espace de noms DNS. Contoso, Ltd. est un distributeur et fabricant de pièces d'automobiles personnalisées en rapide expansion. L'infrastructure réseau Microsoft Windows NT version 4.0 ne permet pas de faire face au développement de la société qui prépare les étapes de planification de la migration vers Windows Server La société possède actuellement une infrastructure WINS, mais pas d'infrastructure DNS. La société Contoso, Ltd. est présente sur le Web à l'adresse site hébergé par son fournisseur de service Internet qui héberge également ses services DNS, de messagerie et FTP (File Transfer Protocol).

36 30 Module 5 : Planification d'une stratégie DNS Le cabinet conseil avec lequel Contoso, Ltd. travaillait précédemment avait préparé un document de conception pour la mise à niveau. Dans ce document, vous avez trouvé les informations suivantes : Application pratique! Les coûts d'hébergement des services informatiques de Contoso, Ltd facturés par le fournisseur de service Internet sont exorbitants. La société souhaite héberger elle-même ces services lorsque les spécialistes en informatique nécessaires auront été formés ou embauchés et que la migration vers Windows Server 2003 sera terminée.! Aucun projet relatif à Active Directory n'a commencé, mais une fois la migration terminée, la société va très certainement l'implémenter. Tous les plans doivent tenir compte de cette éventualité.! Les stations de travail des clients doivent pouvoir résoudre les noms de l'intranet et Internet et se connecter aux services de ces deux réseaux. Planifiez l'espace de noms DNS de la nouvelle infrastructure informatique de Contoso, Ltd. Décrivez les étapes à suivre pour garantir que l'espace de noms répond et répondra aux besoins techniques et professionnels de la société. Les réponses suivantes sont possibles : Vous pouvez utiliser l'espace de noms externe existant. Il sera hébergé sur le serveur DNS de la société accessible en externe. Un serveur DNS interne peut fournir des services pour l'espace de noms interne. Les serveurs doivent communiquer pour résoudre les noms externes des clients internes, mais pas les noms internes des clients externes (Internet). Donnez plusieurs noms possibles pour l'espace de noms interne, qui pourront prendre en charge les technologies futures, comme Active Directory qui pourrait utiliser le nouveau nom comme espace de noms. Vous pouvez proposer des noms tels que contoso-corp01.com et contoso.biz. Vérifiez que les noms potentiels sont disponibles et peuvent être enregistrés auprès d'un organisme d'enregistrement. S'ils ne sont pas disponibles, recherchez d'autres noms et vérifiez leur disponibilité. Établissez la liste des noms possibles disponibles à l'intention des décideurs de Contoso, Ltd, obtenez un accord sur un nom définitif, puis enregistrez ce nom auprès d'un organisme d'enregistrement.

37 Module 5 : Planification d'une stratégie DNS 31 Leçon : Planification des zones Objectifs Cette leçon présente les informations nécessaires pour déterminer s'il est nécessaire d'utiliser une ou plusieurs zones dans une stratégie DNS. Cette leçon explique également les configurations de zones requises. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer les caractéristiques des zones ;! identifier les types de zones ;! identifier les caractéristiques de sécurité des zones ;! spécifier les configurations des zones.

38 32 Module 5 : Planification d'une stratégie DNS Sélection des types de zones Définition des fichiers de zones standard Vous devez déterminer les types de zones à utiliser dans le plan DNS pour choisir les emplacements de stockage des zones. Les types de zones DNS choisies vont influencer l'emplacement des serveurs DNS dans une conception de résolution de nom, car chaque type de zone répond à un besoin particulier dans un plan DNS. Les fichiers de zones standard, également appelés fichiers de zones DNS traditionnels, sont des fichiers de zones stockés sous forme de fichiers texte sur le disque dur du serveur. Pour utiliser les fichiers de zones standard, vous créez une zone sur le serveur DNS que vous prévoyez d'utiliser pour administrer la base de données DNS. Ce serveur devient le serveur de zone principal où se produisent toutes les mises à jour, telles que les ajouts ou les suppressions d'enregistrements. Lorsque vous créez un serveur DNS pour qu'il fonctionne comme serveur de zone secondaire, vous spécifiez le nom ou l'adresse IP du serveur de zone principal qui fournira une copie du fichier de zone. Vous pouvez utiliser des serveurs de zone secondaire pour équilibrer la charge et fournir un certain niveau de tolérance de pannes. Les zones DNS standard stockent les informations dans un fichier sur un ordinateur exécutant Windows Server 2003 et DNS. Les zones DNS standard présentent les caractéristiques suivantes :! Elles suivent un modèle maître unique pour le stockage et la réplication des informations de zone. Les zones principales sont les seuls types de zones qui prennent en charge une copie en lecture/écriture des informations de zone. Seule une zone principale est autorisée, mais vous pouvez répliquer des copies en lecture seule des informations de zone sur un nombre quelconque de zones secondaires et de zones de stub.

39 Module 5 : Planification d'une stratégie DNS 33 Définition des zones intégrées à Active Directory! Elles permettent les transferts de zone entre les zones principales et les zones secondaires ou les zones de stub, de manière incrémentielle ou par transfert complet du contenu de la zone. Le service DNS de Windows Server 2003 prend en charge les transferts de zone incrémentiels et complets.! Elles fonctionnent de la même manière que les serveurs DNS BIND (Berkeley Internet Name Domain). Les zones DNS traditionnelles présentent les mêmes avantages et restrictions que les zones DNS BIND. Vous pouvez utiliser les zones DNS traditionnelles si la conception requiert une interopérabilité élevée avec les serveurs DNS BIND. Les zones intégrées à Active Directory stockent les informations de zone DNS dans Active Directory. Les zones intégrées à Active Directory présentent les caractéristiques suivantes :! Ce sont des copies multimaîtres en lecture/écriture des informations de zone. La caractéristique multimaître permet d'effectuer des mises à jour de la zone d'origine intégrée à Active Directory ou de créer des copies répliquées de la zone. Elle permet de toujours mettre à jour les informations de zone. Remarque Il est recommandé de sélectionner des zones intégrées à Active Directory si votre conception DNS contient les mises à jour dynamiques de DNS. Les zones DNS traditionnelles ne sont pas multimaîtres, et par conséquent la défaillance d'un serveur DNS avec une zone principale empêche les mises à jour dynamiques.! Elles sont répliquées par Active Directory. Comme les zones intégrées à Active Directory stockent les informations de zone dans Active Directory, les informations de zone sont répliquées avec les autres données Active Directory.! Elles sont nécessaires pour obtenir des zones DNS sécurisées et des mises à jour de manière dynamique. Comme les zones intégrées à Active Directory stockent les informations de zone, vous définissez les autorisations de l'ordinateur, du groupe ou de l'utilisateur autorisé qui peut mettre à jour les informations de zone DNS.! Elles sont répliquées selon une étendue administrative sélectionnable. Vous pouvez répliquer les données DNS sur un serveur DNS d'une forêt, d'un domaine ou des contrôleurs de domaine spécifiques dans une partition Active Directory. Vous pouvez également répliquer les informations de zone intégrées à Active Directory vers des zones secondaires traditionnelles extérieures au domaine.! Elles sont traitées comme zones principales traditionnelles par un autre serveur DNS BIND. Les zones intégrées à Active Directory apparaissent comme des zones principales traditionnelles pour un serveur DNS BIND. Vous pouvez répliquer des données DNS sur d'autres zones intégrées à Active Directory ou sur des zones secondaires traditionnelles.

40 34 Module 5 : Planification d'une stratégie DNS Types de zones DNS Utilisation des zones de stub Pour un plan DNS, vous disposez de trois options de types de zones.! Principale Les zones principales sont des copies en lecture/écriture des informations de zone. Une zone principale traditionnelle est régulièrement transférée vers des serveurs qui hébergent des zones secondaires pour garantir que la copie du fichier du serveur de zone secondaire est à jour. Avec les serveurs DNS Windows Server 2003, le serveur de zone principale transfère d'abord une copie complète du fichier de zone, puis il envoie uniquement les modifications au serveur de zone secondaire. Les informations de zone intégrée à Active Directory sont répliquées par Active Directory sur les autres serveurs qui hébergent la zone intégrée à Active Directory.! Secondaire Les serveurs de zone secondaire assurent uniquement la tolérance de pannes car ils continuent de répondre aux requêtes DNS ; ils ne peuvent pas effectuer des mises à jour du fait qu'ils possèdent seulement une copie en lecture seule du fichier de zone. Le système DNS Windows 2000 prend en charge les transferts de zone incrémentiels (IXFR), où le serveur de zone principal envoie uniquement les modifications du fichier de zone apportées depuis le dernier transfert de zone. Les types de zones secondaires ne peuvent pas être stockés dans Active Directory.! Stub Une zone de stub est la copie en lecture seule d'une zone. Toutefois, une zone de stub contient seulement un sous-ensemble des enregistrements associés à cette zone. Elle contient des informations sur les serveurs de noms qui font autorité pour ce domaine, en permettant à un client (ou un autre serveur DNS) d'aller directement vers un serveur qui fait autorité sans visiter de serveur intermédiaire. Cela peut accroître l'efficacité du processus de résolution de nom sur des zones dans des espaces de noms non contigus. Les informations d'une zone de stub peuvent être transférées si une zone de stub traditionnelle est utilisée ou répliquée par Active Directory lorsque cette dernière est intégrée à Active Directory. Les zones de stub permettent à un serveur DNS d'effectuer la récursivité à l'aide de la liste des serveurs de noms de la zone de stub sans avoir à demander à Internet ou au serveur racine interne l'espace de noms DNS. L'utilisation des zones de stub dans l'infrastructure DNS permet de distribuer une liste des serveurs DNS qui font autorité pour une zone sans utiliser des zones secondaires. Toutefois, les zones de stub n'ont pas la même fonction que les zones secondaires et ne doivent pas être envisagées dans le cadre de la redondance et de l'équilibrage de la charge. Important Un serveur DNS configuré avec une zone de stub ne fait pas autorité pour cette zone. La zone de stub identifie les serveurs DNS qui font autorité pour la zone.

41 Module 5 : Planification d'une stratégie DNS 35 Sélection de l'emplacement des données de zone Comparaison des types de zones Lors de la planification de l'implémentation DNS, vous devez déterminer l'emplacement des fichiers de zones. Vous pouvez stocker les données DNS dans des zones DNS standard, mais dans un environnement Active Directory, vous pouvez choisir des zones intégrées à Active Directory ou combiner les deux. Comme les zones intégrées à Active Directory peuvent répliquer les données DNS sur des zones DNS secondaires traditionnelles, vous pouvez combiner les deux types de zones. Cette option peut être judicieuse si les serveurs DNS proviennent de plusieurs fournisseurs. Le tableau ci-dessous compare les zones intégrées à Active Directory et les zones DNS traditionnelles. Caractéristiques de DNS Conformité aux spécifications IETF (Internet Engineering Task Force) Utilisation d'une méthode de réplication des informations de zone reposant sur la réplication Active Directory Amélioration de la disponibilité, car chaque serveur DNS contient une copie en lecture/écriture des informations de zone Mises à jour possibles des informations de zone, même si un seul serveur DNS tombe en panne Prise en charge des transferts de zone incrémentiels Zones intégrées à Active Directory Oui Oui Oui Oui Oui Zones DNS traditionnelles Oui Non Non Non Oui

42 36 Module 5 : Planification d'une stratégie DNS Considérations relatives à la sécurité des zones Mises à jour dynamiques sécurisées dans Active Directory Après avoir identifié les zones et leurs emplacements de stockage, vous devez déterminer comment vous voulez les protéger. Vous pouvez sécuriser l'accès DNS à partir des réseaux publics et privés de plusieurs manières. Les mesures de sécurité dépendent de la manière dont vous avez planifié les zones. Pour sécuriser les zones DNS, vous devez tenir compte des éléments suivants :! mises à jour dynamiques sécurisées dans Active Directory ;! mises à jour dynamiques à partir de DHCP ;! mises à jour dynamiques des clients DNS. Les mises à jour dynamiques sécurisées sont une fonction exclusive des zones intégrées à Active Directory. Comme les informations de zone DNS sont stockées dans Active Directory, vous pouvez les sécuriser à l'aide des fonctions de sécurité de Active Directory. Après avoir intégré une zone à Active Directory, vous pouvez utiliser les fonctions d'édition de la liste de contrôle d'accès (ACL, Access Control List), disponibles dans la console DNS et ajouter ou supprimer des utilisateurs ou des groupes dans la liste ACL d'une zone ou d'un enregistrement de ressource. Pour planifier la sécurisation des zones DNS mises à jour de manière dynamique, tenez compte des autorisations :! de mise à jour de la zone DNS qui sont définies dans le conteneur de zones DNS de Active Directory ;! qui peuvent être attribuées à toute la zone DNS ou à des enregistrements de ressource individuels de cette zone ;! qui peuvent être attribuées à un utilisateur, un groupe ou un compte d'utilisateur.

43 Module 5 : Planification d'une stratégie DNS 37 Mises à jour DNS dynamiques à partir de DHCP Mises à jour dynamiques des clients DNS Vous pouvez spécifier que les serveurs DHCP du réseau mettent à jour DNS de manière dynamique lorsque le serveur DHCP configure un ordinateur client DHCP. Sur le serveur DHCP, spécifiez les zones DNS que le serveur DHCP doit mettre à jour de manière dynamique. Sur le serveur DNS, spécifiez le serveur DHCP en tant qu'unique ordinateur autorisé à mettre à jour les entrées DNS. S'il existe plusieurs serveurs DHCP Windows Server 2003 sur le réseau et que vous configurez également les zones pour permettre seulement les mises à jour dynamiques sécurisées, vous devez utiliser Utilisateurs et ordinateurs Active Directory pour ajouter les serveurs DHCP au DnsUpdateProxyGroup intégré. Ainsi, tous les serveurs DHCP auront des droits sécurisés pour effectuer des mises à jour proxy pour tous les clients DHCP. Vous devez inclure les mises à jour DNS dynamiques à partir des serveurs DHCP si :! Le système d'exploitation des clients DNS n'est pas Windows 2000, Windows XP ou Windows Server 2003.! L'attribution des autorisations permettant à chaque ordinateur, groupe ou utilisateur de mettre à jour ses entrées DNS respectives devient ingérable.! La mise à jour des entrées DNS par des clients DNS individuels présente des risques de sécurité qui pourraient permettre à des ordinateurs non autorisés de se faire passer pour des ordinateurs autorisés. Les clients DNS qui exécutent Windows 2000, Windows XP et Windows Server 2003 peuvent mettre à jour DNS directement et automatiquement. Au démarrage, ces clients DNS peuvent se connecter au serveur DNS et enregistrer automatiquement le client DNS sur le serveur DNS. Vous devez inclure les clients DNS qui mettent directement à jour DNS si :! L'adresse IP de l'ordinateur est fixe et attribuée manuellement.! L'attribution des autorisations permettant à l'ordinateur de mettre à jour les entrées DNS est gérable.! L'autorisation de mise à jour des entrées DNS par les clients DNS ne pose pas de problème de sécurité. Par défaut, le paramètre Mises à jour dynamiques n'est pas configuré pour autoriser les mises à jour dynamiques. Ce paramètre est le plus sûr, car il empêche les intrus éventuels de mettre à jour les zones DNS, mais il empêche de tirer parti des avantages d'administration qu'offrent les mises à jour dynamiques. Pour que les ordinateurs mettent à jour les données DNS de manière sécurisée, stockez les zones DNS dans Active Directory et utilisez la fonction de mise à jour dynamique sécurisée.

44 38 Module 5 : Planification d'une stratégie DNS Autorisations sur les zones La liste DACL sur les zones DNS, stockée dans Active Directory, permet de contrôler les autorisations des utilisateurs et des groupes Active Directory qui contrôlent les zones DNS. Le tableau ci-dessous répertorie les noms d'utilisateurs ou les noms de groupes ainsi que les autorisations par défaut des zones DNS stockées dans Active Directory. Noms d'utilisateurs ou noms de groupes Administrateurs Utilisateurs authentifiés CREATEUR PROPRIETAIRE DnsAdmins Admins du domaine Administrateurs de l'entreprise ENTERPRISE DOMAIN CONTROLLERS Tout le monde Accès compatible pré-windows 2000 SYSTEM Autorisations Autoriser : Lire, Ecrire, Créer tous les objets enfants et Autorisations spéciales Autoriser : Créer tous les objets enfants Autorisations spéciales Autoriser : Contrôle total, Lire, Ecrire, Créer tous les objets enfants, Supprimer tous les objets enfants et Autorisations spéciales Autoriser : Contrôle total, Lire, Ecrire, Créer tous les objets enfants et Supprimer tous les objets enfants Autoriser : Contrôle total, Lire, Ecrire, Créer tous les objets enfants et Supprimer tous les objets enfants Autoriser : Contrôle total, Lire, Ecrire, Créer tous les objets enfants, Supprimer tous les objets enfants et Autorisations spéciales Autoriser : Lire et Autorisations spéciales Autoriser : Autorisations spéciales Autoriser : Contrôle total, Lire, Ecrire, Créer tous les objets enfants et Supprimer tous les objets enfants

45 Module 5 : Planification d'une stratégie DNS 39 Instructions de planification des zones Détermination du type de zone Détermination de l'emplacement de stockage des zones Détermination des caractéristiques de l'intégration des zones Détermination des caractéristiques de la sécurité des zones Plusieurs instructions vous aideront à planifier vos zones. Vous devez déterminer si vous avez besoin d'une zone principale, d'une zone secondaire ou d'une zone de stub. Votre choix dépend de l'exécution ou non de Active Directory. Si Active Directory n'est pas exécuté, vous devez déterminer l'emplacement du serveur principal et celui des serveurs secondaires. Vous devez également déterminer si la zone sera intégrée à Active Directory. Vous devez déterminer l'emplacement de stockage des données des zones : dans une zone intégrée à Active Directory, dans une zone traditionnelle ou en combinant les deux types de zones. Lors de l'évaluation des conditions d'intégration, vous devez déterminer si la zone sera intégrée au service WINS. Cela implique de déterminer si vous disposez d'hôtes hétérogènes qui doivent résoudre mutuellement leurs noms, mais ne peuvent pas facilement utiliser les espaces de noms DNS et NetBIOS (Network Basic Input/Output System). Vous devez déterminer si la sécurité des zones exige des mises à jour dynamiques sécurisées dans Active Directory, des mises à jour dynamiques à partir de DNS ou des mises à jour dynamiques des clients DNS.

46 40 Module 5 : Planification d'une stratégie DNS Application pratique : Planification des zones Objectif Instructions Scénario Dans cette application pratique, vous allez déterminer le type de zone, l'emplacement de stockage d'une zone et la sécurité de la zone que vous allez implémenter en fonction du scénario fourni. L'objectif de cette application pratique vise à planifier une zone DNS. 1. Lisez le scénario. 2. Préparez-vous à expliquer les difficultés de cette tâche après l'application pratique. Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant de pièces d'automobiles personnalisées en rapide expansion. La société a commencé à planifier ses zones DNS. Vous étudiez le document de conception et trouvez les informations suivantes :! Une nouvelle filiale va être ouverte ; elle possèdera un contrôleur de domaine Active Directory local.! La filiale sera reliée par une liaison T1 au siège de l'entreprise.! Deux contrôleurs de domaine seront présents sur le réseau d'entreprise.! L'espace de noms interne (et la racine Active Directory) sera Contoso-corp01.com.

47 Module 5 : Planification d'une stratégie DNS 41 Application pratique Décrivez la zone que vous allez créer pour Contoso-corp01.com et les besoins DNS que vous allez spécifier pour la succursale. Décrivez la sécurité apportée par votre solution et la nature du trafic réseau supplémentaire que permet votre solution sur la liaison au réseau d'entreprise. Créez une zone intégrée à Active Directory sur les serveurs DNS du réseau d'entreprise qui vont effectuer la réplication sur tous les serveurs DNS du domaine. Installez DNS sur le contrôleur de domaine de la filiale, ce qui vous permettra d'obtenir une solution multimaître. Cette solution donne la possibilité de spécifier uniquement les mises à jour dynamiques sécurisées. Active Directory va crypter les données répliquées. Les listes DACL sur les zones DNS, stockées dans Active Directory, vous permettent de contrôler les autorisations des utilisateurs et des groupes Active Directory qui contrôlent les zones DNS. Les données DNS seront répliquées dans le cadre de la réplication Active Directory et exploiteront une réplication déjà en place. Les requêtes des clients locaux seront traitées localement et n'augmenteront pas le trafic sur la ligne T1.

48 42 Module 5 : Planification d'une stratégie DNS Leçon : Planification de la réplication et de la délégation de zone Objectifs Cette leçon décrit les principes essentiels de la planification de la réplication de zone. Ces principes comprennent l'identification des configurations des serveurs, la délégation de zone et les caractéristiques de la tolérance de pannes. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer la configuration des serveurs DNS ;! déterminer si une zone doit être déléguée pour améliorer les performances ;! identifier les caractéristiques de tolérance de pannes.

49 Module 5 : Planification d'une stratégie DNS 43 Quand créer une zone secondaire Redondance de zone Réduction du trafic réseau Réduction de la charge sur le serveur principal Caractéristiques du transfert et de la réplication de zone Vous devez tenir compte de plusieurs éléments lors de la détermination de l'emplacement d'une zone secondaire. Bien que certaines de ces considérations ne s'appliquent pas à votre environnement, vous allez devoir prévoir un transfert de zone et une réplication de zone. L'ajout de serveurs DNS fournit la redondance de zone et permet la résolution des noms DNS de la zone pour les clients si un serveur principal de la zone cesse de répondre. Plus les serveurs qui font autorité sur une zone sont nombreux, plus il est probable que les requêtes pour les ressources de la zone obtiennent une réponse. La planification minutieuse de l'emplacement de serveurs supplémentaires peut réduire sensiblement le trafic DNS sur le réseau. Par exemple, l'ajout d'un serveur DNS à l'opposé d'une liaison WAN (Wide Area Network) à faible débit peut faciliter l'administration et réduire le trafic du réseau. Si vous placez des serveurs à côté d'un grand nombre de clients ou de réseaux isolés, vous pouvez réduire le trafic des requêtes qui doit circuler sur des liaisons WAN lentes et coûteuses. Vous pouvez utiliser des serveurs secondaires supplémentaires pour réduire la charge sur le serveur principal d'une zone. Par exemple, vous pouvez diriger les clients vers des serveurs secondaires qui répondent uniquement aux requêtes des clients locaux, mais pas à celles des clients de toute l'entreprise. La réplication de zone et le transfert de zone ont lieu lorsque vous implémentez un serveur secondaire. Pour des raisons de sécurité, vous devez uniquement permettre le transfert de zone avec des hôtes que vous configurez spécialement.

50 44 Module 5 : Planification d'une stratégie DNS Transfert et réplication de zone Transfert des zones DNS traditionnelles Comme les zones jouent un rôle essentiel dans DNS, il est important qu'elles soient présentes sur plusieurs serveurs DNS du réseau pour garantir leur disponibilité et leur tolérance de pannes dans la résolution des requêtes de noms. L'implémentation des zones DNS détermine si vous allez utiliser le transfert de zone ou la réplication de zone. Le transfert de zone a lieu dans une zone DNS traditionnelle. La réplication de zone a lieu dans une zone intégrée à Active Directory. Les transferts de zone sont toujours déclenchés au niveau du serveur secondaire d'une zone, puis envoyés aux serveurs maîtres configurés qui se comportent comme la source de leur zone. Les serveurs maîtres peuvent correspondre à n'importe quels serveurs DNS qui chargent la zone, tel que le serveur principal de la zone ou un autre serveur secondaire. Lorsqu'un serveur maître reçoit la demande de la zone, il peut répondre en transférant la totalité ou une partie de la zone vers le serveur secondaire. Dans les implémentations DNS antérieures, une demande de mise à jour des données de zone nécessitait de transférer complètement l'ensemble de la base de données de la zone. Dans les implémentations DNS actuelles, un transfert incrémentiel permet au serveur secondaire d'extraire uniquement les modifications de zone dont il a besoin pour synchroniser sa copie de zone avec sa source, qui est une copie principale ou secondaire de la zone conservée par un autre serveur DNS. Lorsque les transferts incrémentiels sont pris en charge par un serveur DNS qui agit en tant que source d'une zone et par les serveurs qui en copient la zone, la méthode de propagation des modifications et des mises à jour de zone est plus efficace. Comme le processus de transfert incrémentiel engendre un trafic réseau considérablement inférieur, les transferts de zone s'exécutent beaucoup plus rapidement.

51 Module 5 : Planification d'une stratégie DNS 45 Réplication des zones intégrées à Active Directory La réplication Active Directory fournit un avantage par rapport à la réplication DNS standard. Avec la réplication DNS standard, seul le serveur principal d'une zone peut modifier la zone. Avec la réplication Active Directory, tous les contrôleurs du domaine peuvent modifier la zone, puis répliquer les modifications sur d'autres contrôleurs de domaine. Ce processus de réplication s'appelle réplication multimaître, car plusieurs contrôleurs de domaine, ou maîtres, peuvent mettre à jour la zone. Le traitement de la réplication est réalisé en fonction des propriétés, ce qui implique que seules les modifications pertinentes sont propagées. Le traitement de la réplication est différent du transfert de zone DNS complet dans lequel toute la zone est propagée. Le traitement de la réplication diffère également du transfert de zone incrémentiel dans lequel le serveur transfère toutes les modifications apportées depuis la dernière modification. Avec la réplication Active Directory au contraire, seul le résultat final de toutes les modifications apportées à un enregistrement est envoyé. Les zones DNS utilisées pour prendre en charge un domaine Active Directory sont stockées dans le domaine ou dans les partitions de l'annuaire d'applications de Active Directory.

52 46 Module 5 : Planification d'une stratégie DNS Mesures de sécurité pour le transfert de zone Restriction des transferts de zone Sécurité de la réplication de zone Cryptage à l'aide de IPSec et des tunnels de VPN Après avoir identifié le processus de réplication que vous utiliserez, vous devez sécuriser les transferts de zone. Vous pouvez sécuriser les transferts de zone de plusieurs manières. Par défaut, le service DNS de Windows Server 2003 DNS permet uniquement de transférer les informations de zone vers les serveurs qui figurent dans les enregistrements de ressource NS d'une zone. Bien que cette configuration soit sécurisée, pour renforcer la sécurité, vous devez modifier ce paramètre pour effectuer les transferts de zone vers des adresses IP spécifiques. Votre spécialiste en sécurité réseau doit toujours protéger le réseau contre l'usurpation d'identité IP, au cas où un intrus tenterait d'utiliser l'une des adresses IP spécifiées. Notez que la modification de ce paramètre pour permettre les transferts de zone vers un serveur peut exposer vos données DNS à un intrus qui tente d'identifier la structure du réseau (notion de «footprint»). En raison de l'utilisation croissante des réseaux privés virtuels (VPN), la réplication de zone DNS peut avoir lieu sur des réseaux publics tels qu'internet. Il est important de protéger les noms et les adresses IP répliqués sur ces réseaux publics contre les accès non autorisés. Vous pouvez protéger les données de réplication à l'aide de IP Security (IPSec), des tunnels VPN ou de Active Directory. Pour votre sécurité, vous devez crypter tout le trafic de réplication envoyé sur les réseaux publics. Si vous cryptez le trafic de réplication à l'aide de IPSec ou des tunnels VPN, vous devez envisager d'utiliser :! le niveau le plus élevé de cryptage et l'authentification de tunnel VPN ;! le routage de Routing and Remote Access de Windows 2000 pour fournir les tunnels IPSec ou VPN.

53 Module 5 : Planification d'une stratégie DNS 47 Cryptage et authentification à l'aide de Active Directory Réduction de l'impact de la réplication Vous ne pouvez pas protéger le trafic de réplication en utilisant des zones intégrées à Active Directory. Comme ces zones sont basées sur Active Directory, elles assurent une sécurité intrinsèque :! en effectuant exclusivement la réplication entre les serveurs DNS qui possèdent des zones intégrées à Active Directory ;! en exigeant de tous les serveurs DNS qui possèdent des zones intégrées à Active Directory d'être enregistrés dans Active Directory ;! en cryptant tout le trafic de réplication entre les serveurs DNS. Vous pouvez réduire l'impact de la réplication DNS sur les segments très utilisés du réseau pour améliorer la vitesse de transmission des autres données sur le réseau. Pour améliorer les performances du trafic de réplication, envisagez de :! utiliser des transferts de zone rapides pour compresser les données de réplication de zone dans une infrastructure DNS standard. Notez que les versions précédentes de BIND ne prennent pas en charge les transferts de zone rapides ;! modifier la planification de la réplication des zones secondaires pour que la réplication ait lieu pendant les heures creuses ;! effectuer une réplication de zone incrémentielle, plutôt qu'une réplication de zone complète lorsque cela est possible. Remarque La réplication de zone incrémentielle nécessite BIND version ou une version supérieure. Le service DNS Windows NT 4.0 n'effectue que des transferts de zone complets.

54 48 Module 5 : Planification d'une stratégie DNS Délégation de zone Définition de la délégation de zone Intérêt de la délégation de zone Après avoir créé plusieurs zones dans la base de données DNS, il peut être approprié de les déléguer. Dans le contexte DNS, la délégation est le processus d'attribution de responsabilités à une entité distincte sur une partie de l'espace de noms DNS. Cette entité peut être une organisation, un service ou un groupe de travail de votre entreprise. En termes techniques, déléguer signifie attribuer une autorité à d'autres zones sur des parties de l'espace de noms DNS. L'enregistrement de ressource NS, qui spécifie la zone déléguée et le nom DNS du serveur qui fait autorité pour cette zone, représente cette délégation. La délégation de zone s'applique principalement dans les cas suivants :! nécessité de déléguer l'administration d'un domaine DNS à un certain nombre d'organisations ou de services de votre entreprise ;! nécessité de répartir la charge de maintenance d'une grande base de données DNS entre plusieurs serveurs de noms pour améliorer les performances de la résolution des noms et créer un environnement DNS avec tolérance de pannes ;! nécessité d'étendre l'espace de noms par l'ajout simultané de nombreux sousdomaines, par exemple, lors de l'ouverture d'une nouvelle filiale ou d'un nouveau site.

55 Module 5 : Planification d'une stratégie DNS 49 Les enregistrements de ressource NS facilitent la délégation en identifiant les serveurs DNS de chaque zone. Ces enregistrements apparaissent dans toutes les zones de recherche directe et inversée. Chaque fois qu'un serveur DNS doit résoudre un nom dans une zone déléguée, il se réfère aux enregistrements de ressource NS des serveurs DNS de la zone cible. Remarque S'il existe plusieurs enregistrements NS pour une zone déléguée qui identifient plusieurs serveurs DNS à interroger le serveur DNS Windows Server 2003 peut sélectionner le serveur DNS le plus proche en fonction des intervalles circulaires mesurés sur une période pour tous les serveurs DNS. Enregistrements de délégation sur des zones Lors de la délégation de zones dans l'espace de noms, notez que pour chaque zone créée, de nouveaux enregistrements de délégation sont nécessaires dans les autres zones qui pointent vers les serveurs DNS qui font autorité pour la nouvelle zone. Cette opération est nécessaire pour transférer l'autorité et fournir aux autres serveurs et clients DNS les références correctes des nouveaux serveurs qui font autorité pour la nouvelle zone. Remarque Lorsque les délégations de zone sont correctement configurées, le comportement de référence de zone normal peut parfois être détourné si vous utilisez une liste de redirecteurs dans la configuration des serveurs DNS.

56 50 Module 5 : Planification d'une stratégie DNS Instructions de planification de la réplication et de la délégation de zone Quand créer des zones supplémentaires Détermination de la méthodologie de réplication Détermination des caractéristiques de la sécurité de la réplication Détermination de la nécessité de déléguer une zone Il est recommandé de suivre les instructions ci-dessous pour planifier la réplication et la délégation de zone. Vous pouvez avoir besoin de zones secondaires supplémentaires. Vous créez des zones supplémentaires dans les deux cas suivants :! pour créer une redondance de zone ;! pour réduire le trafic réseau et la charge sur le serveur principal. Si vous utilisez Active Directory, vous devez effectuer la réplication de zone. Si vous utilisez la structure de zone DNS traditionnelle, vous devez effectuer le transfert de zone. Vous pouvez utiliser diverses méthodes pour implémenter la sécurité. Le choix de la méthode à employer dépend des besoins de réplication de votre environnement. Vous devez déterminer si vous aurez besoin de déléguer l'administration d'une ou de plusieurs de vos zones. L'extension de l'espace de noms, la répartition de la charge entre plusieurs serveurs et la délégation de l'administration de zone à une autre personne ou un autre groupe peuvent justifier la délégation.

57 Module 5 : Planification d'une stratégie DNS 51 Application pratique : Planification de la réplication et de la délégation de zone Objectif Instructions Scénario Dans cette application pratique, vous allez planifier la réplication et la délégation de zone pour une société nouvellement acquise. L'objectif de cette application pratique vise à planifier la réplication et la délégation de zone. 1. Lisez le scénario. 2. Préparez-vous à expliquer les difficultés de cette tâche après l'application pratique. Vous êtes ingénieur système chez Contoso, Ltd, distributeur et fabricant de pièces d'automobiles personnalisées en rapide expansion, qui vient d'acquérir la société de recherche et de développement Fabrikam, Inc. Fabrikam, Inc. possède cinq serveurs DNS départementaux BIND version dans son environnement réseau UNIX. Contoso, Ltd envisage de placer dans l'environnement de Fabrikam, Inc. un contrôleur de domaine Windows Server 2003 avec DNS et de créer un réseau privé virtuel entre les deux sociétés pour partager les données et fusionner les deux infrastructures de données. Un grand nombre de partages de fichiers sera présent sur l'ordinateur Windows Server 2003 et le trafic client/serveur entre les deux sociétés va augmenter régulièrement. Fabrikam, Inc. veut réduire la charge DNS du serveur Windows Server 2003 à l'aide des serveurs BIND existants.

58 52 Module 5 : Planification d'une stratégie DNS Application pratique Comment utilisez-vous les serveurs BIND pour réduire la charge du serveur Windows Server 2003 relative aux requêtes de noms de la zone Contoso, Ltd? Vous pouvez créer des zones secondaires sur les serveurs BIND pour que chacun des serveurs DNS départementaux puisse résoudre les noms dans la zone de Contoso, Ltd. Que devez-vous faire pour permettre le transfert de zone entre le serveur DNS Windows Server 2003 DNS et les serveurs DNS départementaux? L'adresse IP de chaque serveur secondaire BIND doit être spécifiée pour permettre le transfert de zone avec le serveur DNS Windows Server Plus tard, Fabrikam, Inc. pourrait prendre le nom de Contoso, Ltd. Que pouvezvous faire avec l'espace de noms Fabrikam, Inc. pour permettre à Fabrikam, Inc. de conserver un certain niveau d'autonomie sur les données DNS de son organisation? Un sous-domaine Fabrikam, Inc. peut être créé dans la zone Contoso, Ltd, puis délégué aux serveurs DNS de Fabrikam, Inc. afin que Fabrikam, Inc. puisse administrer ses propres informations de zone.

59 Leçon : Intégration de DNS et WINS Module 5 : Planification d'une stratégie DNS 53 Objectifs Cette leçon porte sur l'intégration de DNS et WINS à un environnement qui utilise NetBIOS ainsi que sur la résolution des noms d'hôtes. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer les situations dans lesquelles vous devez configurer les serveurs DNS pour qu'ils utilisent WINS pour résoudre les noms d'hôtes ;! expliquer comment désigner un sous-domaine pour la résolution WINS.

60 54 Module 5 : Planification d'une stratégie DNS Présentation multimédia : Intégration de DNS et WINS Objectifs Questions clés Cette présentation a pour objectif d'expliquer le processus de résolution de nom lorsqu'une zone DNS est configurée pour la recherche directe WINS. Vous allez apprendre à effectuer les tâches suivantes :! expliquer comment un serveur DNS peut utiliser WINS pour résoudre les noms d'hôtes ;! expliquer pourquoi le serveur DNS qui fait autorité requiert les enregistrements WINS. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Un serveur DNS peut-il résoudre les noms NetBIOS?! Quel serveur DNS doit être configuré pour la recherche WINS?

61 Module 5 : Planification d'une stratégie DNS 55 Intégration WINS Enregistrements de ressource WINS Le service DNS vous donne la possibilité d'utiliser les serveurs WINS pour rechercher des noms qui ne figurent pas dans l'espace de noms du domaine DNS en vérifiant l'espace de noms NetBIOS administré par WINS. Deux types particuliers d'enregistrements de ressource, les enregistrements WINS et WINS-R, sont utilisés pour intégrer DNS et WINS. Cette fonction est généralement utilisée dans un environnement informatique hétérogène qui contient des hôtes qui ne peuvent pas eux-mêmes interroger WINS et enregistrer des noms dans WINS (par exemple, un hôte UNIX) et des hôtes qui peuvent uniquement enregistrer de manière dynamique des noms NetBIOS avec WINS (par exemple, les hôtes Windows NT 4.0 ou Windows 95). A l'aide de l'intégration WINS, les hôtes UNIX sont capables de résoudre les noms d'hôtes Windows en utilisant DNS. Utilisez un enregistrement de ressource de recherche directe WINS pour fournir une meilleure résolution des requêtes DNS de noms ne figurant pas dans une zone, en utilisant une requête de nom vers les serveurs WINS configurés et répertoriés avec cet enregistrement. S'il est utilisé, l'enregistrement WINS s'applique uniquement au niveau le plus haut d'une zone et non aux sous-domaines utilisés dans la zone.

62 56 Module 5 : Planification d'une stratégie DNS Le tableau ci-dessous répertorie les différents champs utilisés avec l'enregistrement de ressource WINS. Champ Propriétaire Classe Local délai_recherche Délai_cache Adresses_ip_wins Description Indique le domaine du propriétaire de l'enregistrement. Ce champ doit toujours être contenir la valeur «@» pour indiquer que le domaine actif est le même que l'origine de la zone. Indique la classe de l'enregistrement. Ce champ doit toujours contenir la valeur «IN», car la classe Internet est la seule classe prise en charge par les serveurs DNS qui exécutent Windows Server Indique que l'enregistrement de ressource doit être uniquement utilisé localement sur le serveur DNS et qu'il ne doit pas être inclus au cours de la réplication de zone à d'autres serveurs DNS. Ce champ correspond à la case à cocher Ne pas répliquer cet enregistrement qui est activée ou désactivée au cours du processus de configuration de la recherche WINS dans la console DNS. Si la case à cocher a été désactivée, ce champ ne sera pas inclus lorsque l'enregistrement est écrit dans la zone. Délai appliqué à l'enregistrement. Délai de cache appliqué à l'enregistrement. Utilisé pour spécifier une ou plusieurs adresses de serveurs WINS. Au moins une adresse IP de serveur WINS valide est nécessaire. Syntaxe Exemples propriétaire classe WINS [LOCAL] [DélaiRecherche] [DélaiCache] adres IN WINS IN WINS LOCAL L1 C Remarque Dans les exemples d'enregistrements de ressource WINS présentés, la racine de la zone est supposée être l'origine actuelle. Enregistrements de ressource WINS-R Utilisez un enregistrement de ressource WINS-R dans une zone de recherche inversée pour obtenir une meilleure résolution des requêtes inversées non trouvées dans la zone. Lorsque vous utilisez cet enregistrement, vous devez spécifier le domaine parent à ajouter à un nom d'ordinateur NetBIOS lorsqu'une recherche inversée aboutit. Les autres champs utilisés dans l'enregistrement de ressource WINS-R ont une description et un but similaires à ceux décrits précédemment dans l'enregistrement de recherche directe WINS. Syntaxe de l'enregistrement de ressource WINS-R propriétaire classe WINS [LOCAL] [DélaiRecherche] [DélaiCache] Domaine_à_ajouter_aux_noms_NetBIOS_renvoyés

63 Module 5 : Planification d'une stratégie DNS 57 Exemples d'enregistrements de ressource IN WINS-R LOCAL L1 C10 example.microsoft.com. WINS-R wins.example.microsoft.com. Remarque Dans les exemples d'enregistrements de ressource WINS-R présentés, la racine de la zone est supposée être l'origine actuelle. Recherche inversée WINS Comme la base de données WINS n'est pas indexée en fonction des adresses IP, le service DNS ne peut pas envoyer de recherche de nom inversée au service WINS pour obtenir le nom d'un ordinateur en fonction de son adresse IP. En fait, le service DNS envoie une demande d'état de la carte du nœud directement à l'adresse IP concernée dans la requête inversée DNS. Lorsque le serveur DNS obtient le nom NetBIOS à partir de la réponse de l'état du nœud, il ajoute le nom du domaine DNS au nom NetBIOS fourni dans la réponse de l'état du nœud, puis redirige le résultat vers le client demandeur.

64 58 Module 5 : Planification d'une stratégie DNS Modification des paramètres de délai de cache Paramètres de délai de cache Les serveurs DNS mettent en cache toutes les informations qu'ils reçoivent pendant une période spécifiée dans les données renvoyées. Ce temps s'appelle Durée de vie (TTL, Time To Live). En tant qu'administrateur du serveur de noms de la zone, vous décidez de la durée de vie des données. Des valeurs TTL faibles garantissent la cohérence des données relatives au domaine si ces dernières changent souvent. Toutefois, notez que la charge du serveur de noms augmentera. Les paramètres de délai de cache indiquent à un serveur DNS la durée pendant laquelle il doit conserver en cache les informations renvoyées dans une recherche WINS. La valeur par défaut est de 15 minutes. Après avoir mis en cache les données, le serveur DNS doit commencer à décompter la durée TTL à partir de sa valeur d'origine pour savoir quand il doit effacer les données de son cache. Si une requête arrive et qu'elle peut être satisfaite par les données figurant dans le cache, la durée de vie envoyée avec les données correspond au délai qui précède l'effacement des données du cache du serveur DNS. Les résolveurs clients utilisent également des caches de données et respectent la valeur de durée de vie de sorte qu'ils connaissent le moment où les données doivent expirer. Définissez le paramètre Délai d'expiration du cache à l'aide du bouton Avancé de la boîte de dialogue des propriétés de la zone lorsque vous configurez la zone. Ce bouton se trouve dans l'onglet WINS ou WINSR, selon que la zone que vous configurez est utilisée pour une recherche directe ou inversée.

65 Module 5 : Planification d'une stratégie DNS 59 Intérêt de la modification des paramètres de délai de cache Si vous utilisez un enregistrement de ressource de recherche WINS directe ou inversée, sachez que la valeur de vie minimale définie dans l'enregistrement SOA de la zone n'est pas la valeur par défaut utilisée avec ces enregistrements. En fait, lorsqu'une adresse IP ou un nom d'hôte est résolu par une recherche WINS, les informations sont mises en cache sur le serveur DNS pendant la durée définie pour le délai de cache WINS. Si cette adresse est ensuite redirigée vers un autre serveur DNS, elle sera envoyée avec la valeur de durée de vie qui correspond au délai de cache WINS. Si les données dans WINS changent peu souvent, vous pouvez prolonger le délai de stockage des données dans le cache au-delà des 15 minutes par défaut. Vous réduisez ainsi le nombre de requêtes entre un serveur DNS et un serveur WINS, car le serveur DNS peut répondre plus souvent aux requêtes à partir de son cache.

66 60 Module 5 : Planification d'une stratégie DNS Recommandations relatives à l'intégration WINS Désignation d'un sous-domaine pour la résolution WINS Délégation des requêtes DNS non résolues à un sous-domaine Vous pouvez permettre aux clients DNS de résoudre les noms d'hôtes du service WINS. Ainsi, vous n'avez pas à créer des entrées de zones DNS pour tous les ordinateurs de votre organisation. Vous pouvez résoudre les noms d'hôtes du service WINS en redirigeant les requêtes DNS non résolues vers un serveur WINS. Vous pouvez définir la redirection de ces requêtes pour chaque zone. Pour intégrer la résolution WINS dans votre conception DNS, désignez un sous-domaine dans l'espace de noms de l'organisation que vous utiliserez comme espace réservé pour les noms WINS. Vous devez spécifier que le sous-domaine ne contient pas d'entrées, sauf pour les enregistrements de ressource WINS et WINS-R. Pour les organisations dont l'espace de noms public et l'espace de noms privé sont distincts, créez le sous-domaine de WINS sous l'espace de noms privé. Pour les organisations dont l'espace de noms est le même pour la résolution des noms publics et des noms privés, créez le sous-domaine de WINS sous la racine de l'organisation. Pour les noms de domaine à l'intérieur de l'espace de noms de l'organisation, si vous voulez :! résoudre des noms à l'intérieur du service WINS avant les autres domaines, spécifiez que les requêtes DNS seront redirigées vers un sous-domaine délégué pour WINS en premier lieu ;! résoudre les noms dans les autres domaines avant de les résoudre dans WINS, spécifiez que les requêtes DNS seront redirigées vers un sous-domaine délégué pour WINS en dernier.

67 Module 5 : Planification d'une stratégie DNS 61 Spécification du serveur WINS dans la configuration de la zone Exemple d'intégration Pour rediriger les requêtes DNS non résolues vers un serveur WINS, activez la résolution WINS sur une zone. Une zone peut résoudre des requêtes à l'aide de plusieurs serveurs WINS. Vous pouvez spécifier l'adresse IP des serveurs WINS en fonction de l'ordre dans lequel les serveurs doivent être contactés. Pour améliorer la disponibilité de la solution DNS, vous devez inclure plusieurs serveurs WINS dans la liste. Votre organisation peut ne pas répliquer tous les enregistrements WINS entre tous ses serveurs WINS. Si la base de données WINS est partagée entre plusieurs serveurs WINS, vous pouvez créer une zone DNS unique pour chaque serveur WINS. Supposons qu'une organisation dispose d'un serveur WINS qui contient des enregistrements WINS pour Paris uniquement et d'un autre serveur WINS qui contient les enregistrements WINS pour Londres uniquement. Vous pouvez créer des zones DNS distinctes pour Paris et Londres de façon à pouvoir créer plusieurs noms de sous-domaines pour les serveurs WINS de Paris et de Londres. Inversement, vous pouvez créer une seule zone DNS qui répertorie les deux serveurs WINS pour que la résolution WINS ait lieu sous un nom de sous-domaine unique.

68 62 Module 5 : Planification d'une stratégie DNS Atelier A : Planification d'une stratégie DNS Objectif Scénario Dans cet atelier, vous allez planifier une stratégie DNS. A la fin de cet atelier, vous serez à même de planifier la configuration des serveurs DNS pour qu'ils prennent en charge un espace de noms interne et un espace de noms externe. Vous êtes ingénieur système chez Northwind Traders. Vous êtes chargé de planifier la configuration des serveurs DNS pour la présence publique de la société sur le Web et l'espace de noms interne utilisé dans les bureaux de l'entreprise. Northwind Traders possède huit serveurs Web distincts qui sont utilisés pour l'accès Internet des clients. Les serveurs Web sont configurés comme suit :! deux clusters d'équilibrage de la charge réseau constitués de trois serveurs, chacun d'entre eux prenant en charge à l'aide d'enregistrements DNS tourniquets ;! un cluster unique d'équilibrage de la charge réseau constitué de deux serveurs prenant en charge b2b.nwtraders.com. L'espace de noms corp.nwtraders.com utilise des zones intégrées à Active Directory configurées sur les contrôleurs de domaine. Les espaces de noms publics externes sont hébergés sur des serveurs DNS BIND géographiquement dispersés, fournis par un fournisseur de service Internet pour en améliorer la fiabilité.

69 Durée approximative de cet atelier : 60 minutes Module 5 : Planification d'une stratégie DNS 63

70 64 Module 5 : Planification d'une stratégie DNS Exercice 1 Planification de la configuration DNS pour l'espace de noms interne et l'espace de noms externe Dans cet exercice, vous allez planifier la configuration des serveurs DNS. Le document de conception fourni montre l'emplacement des serveurs DNS sur le réseau interne et le sous-réseau filtré utilisé pour les serveurs Web publics. Comme la configuration que vous suggérez nécessite l'accord du groupe des services réseau de l'entreprise avant d'être implémentée, vous devez documenter vos suggestions de manière appropriée. Scénario Le document de conception d'origine spécifie les conditions suivantes liées à DNS :! L'espace de noms public doit être conservé en interne afin que les adresses IP des serveurs publics puissent être modifiées. Il ne doit pas être nécessaire de contacter le fournisseur de service Internet pour mettre à jour les enregistrements de l'espace de noms public.! Toutes les demandes DNS des clients du réseau privé doivent utiliser un chemin unique pour la résolution des noms Internet externes.! Les serveurs DNS internes ne doivent pas être accessibles à partir d'internet, ni émettre de demandes vers Internet. Tâches 1. Décrire et/ou créer le schéma de la configuration de l'infrastructure DNS qui répond aux caractéristiques spécifiées dans le document de conception. 2. Décrire les autres paramètres de configuration à définir pour garantir une sécurité et des performances optimales pour l'infrastructure DNS. Instructions spécifiques " Veillez à dessiner ou à décrire le mode de configuration du serveur DNS, notamment les zones principales/secondaires, les zones déléguées, les zones de stub et les redirecteurs.