Module 5 : Planification d'une stratégie DNS

Module 5 : Planification d'une stratégie DNS Table des matières Vue d'ensemble 1 Leçon : Planification des serveurs DNS 2 Présentation multimédia : Résolution des noms par les clients DNS 3 Présentation multimédia : Résolution des noms avec un serveur DNS 8 Leçon : Planification d'un espace de noms 18 Présentation multimédia : Planification d'une stratégie d'espace de noms DNS 19 Leçon : Planification des zones 31 Leçon : Planification de la réplication et de la délégation de zone 42 Leçon : Intégration de DNS et WINS 53 Présentation multimédia : Intégration de DNS et WINS 54 Atelier A : Planification d'une stratégie DNS 62

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Module 5 : Planification d'une stratégie DNS iii Notes du formateur Présentation : 2 heures 30 minutes Atelier : 60 minutes Ce module présente aux stagiaires les informations nécessaires à la planification de l'implémentation d'un système DNS (Domain Name System) dans une organisation. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! planifier l'implémentation d'un serveur DNS ;! planifier une stratégie d'espace de noms ;! planifier des zones ;! planifier la réplication et la délégation des zones ;! intégrer DNS et WINS (Windows Internet Naming Service). Matériel requis Pour animer ce module, vous devez disposer des éléments suivants :! fichier Microsoft PowerPoint 2189A_05.ppt ;! fichiers multimédias : Résolution des noms par les clients DNS Résolution des noms avec un serveur DNS Planification d'une stratégie d'espace de noms DNS Intégration de DNS et WINS Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la visionneuse PowerPoint ou une version antérieure de PowerPoint, il est possible que certains éléments des diapositives ne s'affichent pas correctement. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :! lire tous les supports de cours de ce module ;! vous exercer à effectuer les applications pratiques et l'atelier et lire la clé de réponse de l'atelier ;! visualiser les présentations multimédias ;! passer en revue les cours et modules de connaissances préalables.

iv Module 5 : Planification d'une stratégie DNS Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Pages de procédures, instructions, applications pratiques et ateliers Pages de procédures Pages d'instructions Applications pratiques Ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier. Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon. Les pages d'instructions présentent les points de décision clés relatifs au sujet de la leçon. Vous utiliserez ces instructions pour renforcer les acquis de la leçon et les objectifs. Une fois que vous avez couvert le contenu de la section et montré les procédures de la leçon, expliquez aux stagiaires qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon. À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module. À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nœud de domaine). Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module. Leçon : Planification des serveurs DNS Vue d'ensemble Détermination de l'emplacement des serveurs DNS Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. En présentant cette leçon, soulignez que les décisions de planification des serveurs DNS prises par les stagiaires dépendent de l'utilisation ou non du service d'annuaire Active Directory. Lorsque vous abordez cette section, soulignez que plusieurs facteurs influencent l'emplacement des serveurs DNS. Ils incluent la prise en compte des clients, la structure physique du réseau et le nombre de serveurs DNS du réseau qui jouent plusieurs rôles.

Module 5 : Planification d'une stratégie DNS v Rôles des serveurs DNS Niveaux de sécurisation des serveurs DNS Microsoft Lorsque vous abordez les rôles des serveurs DNS, précisez aux stagiaires qu'ils peuvent utiliser des serveurs dans un ou plusieurs de ces rôles dans un environnement pour fournir une solution DNS. Lorsque vous exposez cette section, soulignez qu'il est peu probable que les stagiaires choisissent d'implémenter un niveau de sécurité bas sur un serveur DNS. Précisez également que ces niveaux de sécurité ne représentent pas des choix discrets ou des étiquettes de paramètres. Il s'agit plutôt de catégories générales de mesures de sécurité que les stagiaires mettent en œuvre avec plusieurs paramètres. Leçon : Planification d'un espace de noms Options d'espace de noms DNS Leçon : Planification de zones Sélection des types de zones Sélection de l'emplacement des données des zones Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous expliquez les options d'espace de noms DNS, précisez que.local n'est pas un suffixe de domaine valide sur Internet ; il est seulement valide en interne. Si les stagiaires choisissent un espace de noms interne valide sur Internet, ils doivent l'enregistrer. Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous expliquez les types de zones, indiquez aux stagiaires que dans Microsoft Windows Server 2003, ils choisissent d'abord les types de zones et ensuite l'emplacement de stockage. Pour l'illustrer, il peut être judicieux de montrer la création d'une zone à l'aide de l'assistant dans Windows Server 2003. Dans cette section, recommandez l'utilisation d'une zone Active Directory lorsque cela est nécessaire. Dans la plupart des cas, une zone Active Directory est plus sécurisée et plus facile à administrer qu'une zone traditionnelle. Leçon : Planification de la réplication et de la délégation de zone Quand créer une zone secondaire Délégation de zone Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Soulignez que si les stagiaires utilisent des zones intégrées à Active Directory dans un environnement exclusif Active Directory, ils n'auront pas besoin de zones secondaires. Lorsque vous expliquez la nécessité de planifier la délégation de zone, soulignez que les stagiaires doivent également disposer d'un plan de redirection.

vi Module 5 : Planification d'une stratégie DNS Leçon : Intégration de DNS et WINS Vue d'ensemble Modification des paramètres de délai de cache Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Lorsque vous présentez cette leçon, expliquez aux stagiaires qu'ils doivent intégrer DNS et WINS lorsque des clients DNS doivent interroger des noms situés uniquement dans WINS. Précisez aux stagiaires que la modification des paramètres de délai de cache est une étape d'optimisation que vous expliquerez plus en détail dans le module 6, «Optimisation de DNS et résolution des problèmes». Atelier A : Planification d'une stratégie DNS Informations de personnalisation Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier. Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions et de contenu du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire. Cette section identifie les caractéristiques des ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires pendant les ateliers. Ces informations visent à vous aider à répliquer ou personnaliser le cours Microsoft Official Curriculum (MOC). L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section «Informations de personnalisation» située à la fin du Guide de configuration automatisée de la classe du cours 2189, Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003. Mise en place de l'atelier Résultats de l'atelier Aucune configuration de mise en place de l'atelier n'affecte la réplication ou la personnalisation. Aucun changement de configuration des ordinateurs des stagiaires n'affecte la réplication ou la personnalisation.

Module 5 : Planification d'une stratégie DNS 1 Vue d'ensemble Objectifs du module Ce module présente les informations nécessaires à la planification de l'implémentation d'un système DNS (Domain Name System) dans votre organisation. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! planifier une implémentation de serveurs DNS ;! planifier une stratégie d'espace de noms ;! planifier des zones ;! planifier la réplication et la delegation de zones ;! intégrer DNS et WINS (Windows Internet Naming Service).

2 Module 5 : Planification d'une stratégie DNS Leçon : Planification des serveurs DNS Objectifs Cette leçon porte sur les configurations et les propriétés des serveurs DNS ainsi que sur la sécurité des serveurs DNS. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer les configurations des serveurs DNS ;! déterminer les propriétés des serveurs DNS ;! déterminer la prise en charge de DNS Security (DNSSEC) ;! déterminer la taille des messages UDP (User Datagram Protocol).

Module 5 : Planification d'une stratégie DNS 3 Présentation multimédia : Résolution des noms par les clients DNS Objectifs Questions clés L'objectif de cette présentation vise à expliquer comment les clients DNS résolvent les noms d'hôtes en adresses IP (Internet Protocol). Vous allez apprendre à effectuer les tâches suivantes :! expliquer la fonctionnalité d'un serveur DNS dans un réseau routé ;! identifier un nom de domaine pleinement qualifié ;! expliquer la procédure d'utilisation d'un serveur DNS pour résoudre un nom d'hôte en adresse IP. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Quelle est la fonction d'un serveur DNS?! Comment un serveur DNS traite-t-il les noms de domaines pleinement qualifiés?! Comment un serveur DNS résout-il un nom d'hôte en adresse IP?

4 Module 5 : Planification d'une stratégie DNS Détermination des caractéristiques des serveurs DNS Après avoir défini le plan DNS, vous devez déterminer les caractéristiques des serveurs. Vous devez tenir compte de plusieurs facteurs lors de la planification du serveur DNS. Vous devez :! planifier la capacité et examiner la configuration matérielle des serveurs ;! déterminer le nombre de serveurs DNS nécessaires et leur rôle sur le réseau. Pour déterminer le nombre de serveurs DNS à utiliser, vous devez définir les serveurs qui hébergeront les copies principales et les copies secondaires des zones. En outre, si vous utilisez le service d'annuaire Active Directory, déterminez si le serveur fonctionne en tant que contrôleur de domaine ou en tant que serveur membre du domaine ;! déterminer l'emplacement des serveurs DNS sur le réseau pour les charges de trafic, la réplication et la tolérance de pannes ;! décider si vous allez utiliser uniquement des serveurs DNS qui exécutent Microsoft Windows Server 2003 ou utiliser une combinaison d'implémentations de serveurs DNS Windows et d'autres serveurs.

Module 5 : Planification d'une stratégie DNS 5 Planification de la capacité des serveurs Configuration système d'un serveur DNS La planification et le déploiement des serveurs DNS sur le réseau imposent d'examiner divers aspects du réseau et la capacité des serveurs DNS que vous prévoyez d'utiliser. Tenez compte des éléments suivants lors de la planification de la capacité des serveurs :! Déterminez le nombre de zones que le serveur DNS doit charger et héberger.! Pour chaque zone que le serveur charge pour la gérer, déterminez la taille de la zone en fonction de la taille du fichier de zone ou du nombre d'enregistrements de ressource utilisés dans la zone.! Dans le cas d'un serveur DNS muti-résident (possédant plus d'une adresse IP), déterminez le nombre d'adresses à activer pour écouter et desservir les clients DNS sur chacun des sous-réseaux connectés au serveur.! Déterminez le nombre total de demandes de requêtes DNS de clients qu'un serveur DNS va recevoir et traiter. Dans de nombreux cas, l'ajout de mémoire RAM (Random Access Memory) à un serveur DNS peut en améliorer sensiblement les performances. Cette amélioration s'explique par le fait qu'au démarrage du service, le serveur DNS charge toutes ses zones configurées dans sa mémoire. Si le serveur gère et charge un grand nombre de zones et que des mises à jour dynamiques sont fréquentes pour les clients des zones, l'extension de la mémoire peut être utile. Notez, qu'en règle générale, le serveur DNS utilise la mémoire système de la manière suivante :! Environ 4 méga-octets (Mo) de mémoire RAM sont utilisés lorsque le serveur DNS démarre sans aucune zone.! Le serveur DNS utilise de la mémoire supplémentaire pour chaque zone ou chaque enregistrement de ressource qui y est ajouté.! En moyenne, 100 octets de mémoire serveur sont utilisés pour chaque enregistrement de ressource ajouté à la zone d'un serveur. Si, par exemple, une zone contenant 1 000 enregistrements de ressource est ajoutée à un serveur, elle occupera environ 100 kilo-octets (Ko) de mémoire serveur. Vous pouvez commencer par déterminer les plans de vos serveurs en examinant des échantillons des résultats des tests des performances des serveurs DNS des équipes de développement et de tests DNS Windows Server 2003. En outre, vous pouvez utiliser les compteurs relatifs aux serveurs DNS, fournis avec les outils d'analyse de Windows Server 2003, pour obtenir les mesures de performances de vos propres serveurs DNS qui exécutent Windows Server 2003 et que vous déployez sur le réseau. Important Les recommandations précédentes ne sont pas destinées à indiquer les performances maximales ou les limitations des serveurs DNS qui exécutent Windows Server 2003. Ces valeurs sont approximatives et peuvent dépendre du type d'enregistrement de ressource entré dans les zones, du nombre d'enregistrements de ressource qui possèdent le même nom de propriétaire et du nombre de zones en cours d'utilisation sur un serveur DNS donné.

6 Module 5 : Planification d'une stratégie DNS Détermination de l'emplacement des serveurs DNS Emplacement des serveurs DNS Vous devez tenir compte de plusieurs facteurs pour déterminer l'emplacement des serveurs DNS. Vous devez déterminer non seulement l'emplacement des serveurs, mais également le nombre de serveurs nécessaires et leur configuration système. D'une manière générale, placez les serveurs DNS dans un endroit du réseau facilement accessible aux clients. Il est souvent très pratique d'utiliser un serveur DNS sur chaque sous-réseau. Tenez compte des facteurs suivants pour déterminer l'emplacement d'un serveur DNS :! Si vous déployez DNS pour prendre en charge Active Directory, déterminez si le serveur DNS est également un contrôleur de domaine ou s'il le deviendra.! Si le serveur DNS cesse de répondre, déterminez si ses clients locaux peuvent accéder à un autre serveur DNS.! Si le serveur DNS est situé sur un sous-réseau distant pour certains de ses clients, identifiez les autres serveurs DNS disponibles ou déterminez les autres options possibles de résolution de noms si la connexion routée cesse de répondre.! Pour les installations de serveurs DNS dans lesquelles l'utilisation de Active Directory représente un problème, examinez les questions particulières d'interopérabilité et les détails d'installation.! Pour toutes les installations de serveurs DNS, notamment celles où l'utilisation de Active Directory ne constitue pas un problème, il peut être utile d'appliquer les instructions d'emplacement et de planification de serveur ci-dessous.

Module 5 : Planification d'une stratégie DNS 7 Détermination du nombre de serveurs Exemple d'emplacement de serveur DNS Pour déterminer le nombre de serveurs DNS que vous devez utiliser, évaluez l'effet des transferts de zone et du trafic des requêtes DNS sur les liens peu rapides du réseau. Bien que le système DNS soit conçu pour contribuer à réduire le trafic des diffusions entre les réseaux locaux, il génère du trafic entre les serveurs et les clients. Vous devez évaluer ce trafic, notamment lors de l'implémentation de DNS dans des environnements de réseau local ou étendu routés de manière complexe. Tenez compte de l'impact des transferts de zone sur les liaisons lentes telles que celles généralement utilisées dans les connexions de réseau étendu. Bien que le service DNS prenne en charge les transferts de zone incrémentiels et que les clients et les serveurs DNS Windows Server 2003 puissent mettre en cache les derniers noms utilisés, le trafic peut toujours constituer un problème, en particulier lorsque les baux DHCP (Dynamic Host Configuration Protocol) écourtés engendrent des mises à jour plus fréquentes dans DNS. Pour traiter les emplacements distants sur les liaisons de réseau étendu, une possibilité consiste à y installer un serveur DNS qui fournit un service DNS de cache uniquement. Dans la plupart des installations, vous devez disposer d'au moins deux serveurs hébergeant chacun des zones DNS pour garantir la tolérance de pannes. Le système DNS est conçu pour deux serveurs par zone : un serveur principal et un serveur de secours ou secondaire. Avant de déterminer le nombre de serveurs à utiliser, vous devez évaluer le niveau de tolérance de pannes nécessaire au réseau. Si le réseau local est routé et que les liens à haut débit sont assez fiables, vous pouvez utiliser un serveur DNS pour un grand réseau contenant plusieurs sousréseaux. Si un grand nombre de nœuds de clients se trouvent dans un seul sousréseau, il peut être judicieux d'ajouter plusieurs serveurs DNS au sous-réseau pour fournir des services de sauvegarde et de basculement en cas d'absence de réponse du serveur DNS favori. Remarque Quand un seul serveur exécutant Windows Server 2003 est utilisé sur un petit réseau local dans un environnement comportant un seul sousréseau, vous pouvez le configurer pour simuler le serveur principal et les serveurs secondaires d'une zone.

8 Module 5 : Planification d'une stratégie DNS Présentation multimédia : Résolution des noms avec un serveur DNS Objectifs Questions clés L'objectif de cette présentation vise à expliquer la procédure de résolution des noms avec un serveur DNS. Vous allez apprendre à effectuer les tâches suivantes :! expliquer la fonctionnalité d'un serveur DNS ;! définir la procédure de résolution des noms à l'aide d'un serveur DNS ;! identifier les types de requêtes ;! expliquer l'intégration de DNS et WINS. Lors de la visualisation de cette présentation, vous devez vous poser les questions suivantes :! Quels sont les deux types de requêtes que le résolveur peut envoyer à un serveur DNS?! Pourquoi la zone spéciale in-addr.arpa a-t-elle été créée?! Qu'est-ce qu'un enregistrement de pointeur (PTR)?! Comment les requêtes de redirection résolvent-elles les noms d'hôtes?! Comment les requêtes inversées résolvent-elles les noms d'hôtes?

Module 5 : Planification d'une stratégie DNS 9 Rôles des serveurs DNS Serveurs cache uniquement La configuration DNS peut contenir un certain nombre de serveurs configurés différemment pour jouer des rôles spécifiques dans l'environnement. Lors de la planification de l'implémentation des serveurs, vous devez déterminer la fonctionnalité fournie avec chaque serveur. Les informations suivantes détaillent les différents rôles des serveurs DNS. Les serveurs cache uniquement effectuent la résolution des noms pour les clients, puis mettent en cache (stockent) les résultats. Comme ces serveurs ne sont pas configurés pour faire autorité sur la zone, ils ne stockent pas de zones standard principales ou secondaires. Le cache est rempli par les noms les plus fréquemment demandés. Ces noms et leurs adresses IP associées sont disponibles à partir du cache pour répondre aux requêtes suivantes des clients. Les serveurs cache uniquement contribuent à réduire le trafic sur un réseau étendu comme suit :! Un serveur cache uniquement tente de localiser les informations de son cache pour résoudre les demandes des clients. Si les informations requises sont introuvables, le serveur cache uniquement envoie une requête sur le réseau étendu pour localiser les informations nécessaires et met à jour son cache. En stockant les informations dans son cache, le serveur effectue moins de requêtes, ce qui réduit le trafic sur le réseau étendu.! Contrairement à un serveur DNS principal, un serveur cache uniquement ne contient pas de fichiers de zones. Il ne stocke pas non plus de copie d'un fichier de zone comme le fait un serveur DNS secondaire. Par conséquent, les serveurs cache uniquement ne créent pas de trafic de transfert de zone.

10 Module 5 : Planification d'une stratégie DNS Lorsqu'un bureau distant dispose d'une largeur de bande passante limitée pour se connecter à un siège, un serveur cache uniquement doit être configuré au bureau distant pour envoyer des requêtes récursives à un serveur DNS du siège. Une requête récursive est une requête dans laquelle le serveur DNS assume pleinement la charge de travail et la responsabilité pour donner une réponse complète à la requête. Le serveur DNS du siège est mieux équipé pour traiter les requêtes récursives, du fait qu'il dispose d'une plus grande largeur de bande passante pour se connecter à Internet ou à un intranet. Serveurs non récursifs Serveurs redirecteurs uniquement Un serveur non récursif est un serveur DNS sur lequel la récursivité a été désactivée. Ainsi le serveur ne peut pas utiliser la récursivité pour résoudre les noms pour les clients. Le serveur ne peut pas non plus rediriger les demandes. Si un serveur non récursif ne peut pas résoudre directement un nom, il renvoie une réponse négative à la requête. Vous devez désactiver la récursivité sur les serveurs DNS face à Internet qui font autorité sur une ou plusieurs zones. Ainsi, le serveur DNS pourra répondre aux requêtes d'autres serveurs DNS sur les informations de la zone, mais empêchera les clients Internet d'utiliser le serveur DNS pour résoudre d'autres noms de domaines sur Internet. Vous pouvez également désactiver la récursivité pour limiter les clients à la résolution des noms internes à votre organisation. Lorsqu'un serveur configuré pour utiliser les redirecteurs ne peut pas résoudre une requête localement ou à l'aide de ses redirecteurs, il tente de la résoudre en utilisant la récursivité standard. Vous pouvez également configurer un serveur DNS pour qu'il n'effectue pas de récursivité après l'échec des redirecteurs. Dans cette configuration, le serveur ne tente aucune requête récursive supplémentaire pour résoudre le nom. En fait, si le serveur ne reçoit pas de réponse correcte à la requête d'un des serveurs configurés comme redirecteurs, il fait échouer la requête. Un serveur DNS configuré de cette manière est appelé serveur DNS redirecteur uniquement. Si tous les redirecteurs d'un nom de la requête ne répondent pas à un serveur DNS redirecteur uniquement, ce serveur DNS ne tente pas la récursivité. Contrairement à un serveur non récursif, un serveur DNS redirecteur uniquement crée un cache lié au nom de domaine, qu'il utilise pour tenter de résoudre les noms d'hôtes. Utilisez les redirecteurs pour administrer le trafic DNS entre le réseau et Internet en configurant le pare-feu utilisé par le réseau pour permettre à un seul serveur DNS de communiquer avec Internet.

Module 5 : Planification d'une stratégie DNS 11 Redirecteurs conditionnels Un redirecteur conditionnel est un serveur DNS qui redirige les requêtes DNS en fonction du nom de domaine DNS de la requête. Le paramétrage d'un redirecteur conditionnel d'un serveur DNS est constitué des éléments suivants :! des noms de domaines pour lesquels le serveur DNS redirige les requêtes ;! d'une ou de plusieurs adresses IP de serveurs DNS pour chaque nom de domaine spécifié. Un serveur DNS configuré pour utiliser un redirecteur se comporte différemment d'un serveur DNS non configuré pour utiliser un redirecteur. Un serveur DNS configuré pour utiliser un redirecteur se comporte comme suit :! Lorsque le serveur DNS reçoit une requête, il tente de la résoudre à l'aide des zones principales et des zones secondaires qu'il héberge et de son cache.! Si la requête ne peut pas être résolue à l'aide de ces données locales, le serveur redirige la requête vers le serveur DNS désigné comme redirecteur.! Le serveur DNS attend un court moment la réponse du redirecteur avant de tenter de contacter les serveurs DNS spécifiés dans ses indications de racine.! Lorsqu'un serveur DNS redirige une requête vers un redirecteur, il lui envoie une requête récursive. Cette procédure est différente de la requête itérative qu'un serveur DNS envoie à un autre serveur DNS lors d'une résolution de nom standard (c'est-à-dire une résolution de nom ne faisant pas appel à un redirecteur). Si vous voulez que les clients DNS de réseaux distincts résolvent leurs noms respectifs sans avoir à interroger les serveurs DNS sur Internet, vous pouvez configurer les serveurs DNS de chaque réseau pour qu'ils redirigent les requêtes de noms de l'autre réseau. Les serveurs DNS d'un réseau redirigeront les noms des clients de l'autre réseau vers un serveur DNS donné qui va créer un grand cache contenant les informations relatives à l'autre réseau. En effectuant la redirection de cette façon, vous créez un point de contact direct entre les serveurs DNS des deux réseaux, ce qui réduit le besoin de récursivité.

12 Module 5 : Planification d'une stratégie DNS Niveaux de sécurisation des serveurs DNS Niveau de sécurité bas Il existe trois niveaux de sécurité DNS. Vous devez déterminer le niveau de sécurité adapté au réseau en fonction des besoins de votre organisation. Les trois niveaux suivants de sécurité DNS vous aideront à comprendre votre configuration DNS actuelle et vous permettront d'accroître la sécurité DNS de votre organisation. Le niveau de sécurité bas est un déploiement DNS standard sans précautions de sécurité configurées. Vous déployez ce niveau de sécurité DNS uniquement dans les environnements réseau dans lesquels il n'existe aucun problème d'intégrité des données DNS ou dans un réseau privé où il n'existe aucune menace de connexion externe. Lorsque vous implémentez le niveau de sécurité bas :! l'infrastructure DNS de votre organisation est totalement exposée à Internet ;! la résolution DNS standard est effectuée par tous les serveurs DNS du réseau ;! tous les serveurs DNS sont configurés avec leurs indications de racine qui pointent vers les serveurs racine pour Internet ;! tous les serveurs DNS permettent les transferts de zone à tous les serveurs ;! tous les serveurs DNS sont configurés pour écouter sur toutes leurs adresses IP ;! la prévention de la pollution du cache est désactivée sur tous les serveurs DNS ;! la mise à jour dynamique est autorisée pour toutes les zones DNS ;! le port 53 de UDP et TCP/IP (Transmission Control Protocol/Internet Protocol) est ouvert sur le pare-feu du réseau pour les adresses source et de destination.

Module 5 : Planification d'une stratégie DNS 13 Niveau de sécurité moyen Niveau de sécurité haut Le niveau de sécurité moyen utilise les fonctions de sécurité DNS disponibles sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker de zones DNS dans Active Directory. Lorsque vous implémentez le niveau de sécurité moyen :! l'exposition de l'infrastructure DNS de votre organisation à Internet est limitée ;! tous les serveurs DNS sont configurés pour utiliser des redirecteurs qui pointent vers une liste spécifique de serveur DNS internes lorsqu'ils ne peuvent pas résoudre les noms localement ;! tous les serveurs DNS restreignent les transferts de zone aux serveurs figurant dans les enregistrements de ressource de serveur de noms (NS) de leurs zones ;! les serveurs DNS sont configurés pour écouter sur des adresses IP spécifiées ;! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;! la mise à jour dynamique n'est autorisée pour aucune zone DNS ;! les serveurs DNS internes communiquent avec les serveurs DNS externes à travers le pare-feu, ce qui permet d'utiliser uniquement une liste limitée d'adresses source et de destination ;! les serveurs DNS externes devant le pare-feu sont configurés avec leurs indications de racine qui pointent vers les serveurs racine pour Internet ;! toutes les résolutions de noms Internet sont effectuées à l'aide de serveurs proxy et de passerelles. Le niveau de sécurité haut utilise la même configuration que le niveau de sécurité moyen, avec en plus les fonctions de sécurité disponibles lorsque le service DNS est exécuté sur un contrôleur de domaine et lorsque les zones DNS sont stockées dans Active Directory. En outre, le niveau de sécurité élevé élimine complètement la communication de DNS avec Internet. Ce n'est pas une configuration habituelle, mais elle est recommandée chaque fois que la connectivité Internet n'est pas indispensable. Lorsque vous implémentez le niveau de sécurité haut :! l'infrastructure DNS de votre organisation ne permet aucune communication Internet avec les serveurs DNS internes ;! le réseau utilise une racine et un espace de noms DNS internes où toute l'autorité pour les zones DNS est interne ;! les serveurs DNS configurés avec des redirecteurs utilisent les adresses IP des serveurs DNS internes uniquement ;! tous les serveurs DNS restreignent les transferts de zone à des adresses IP spécifiées ;! les serveurs DNS sont configurés pour écouter sur des adresses IP spécifiées ;! la prévention de la pollution du cache est activée sur tous les serveurs DNS ;

14 Module 5 : Planification d'une stratégie DNS! les serveurs DNS sont configurés avec leurs indications de racine qui pointent vers les serveurs DNS internes qui hébergent la zone racine de l'espace de noms interne ;! tous les serveurs DNS sont exécutés sur des contrôleurs de domaine ; une liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) est configurée sur le service DNS pour permettre uniquement à des personnes spécifiées d'accomplir des tâches d'administration sur le serveur DNS ;! toutes les zones DNS sont stockées dans Active Directory ; une liste DACL est configurée pour permettre à des personnes spécifiques uniquement de créer, supprimer ou modifier des zones DNS ;! des listes DACL sont configurées dans les enregistrements de ressource DNS pour permettre à des personnes spécifiques uniquement de créer, supprimer ou modifier des données DNS ;! la mise à jour dynamique sécurisée est configurée pour les zones DNS, à l'exception des zones de niveau supérieur et racine, qui ne permettent aucune mise à jour dynamique. Remarque Pour plus d'informations sur les menaces de sécurité DNS, reportezvous à la rubrique suivante des fichiers d'aide de DNS : «Security Information for DNS» (Informations de sécurité pour DNS).