Qu'est-ce qu'un serveur DNS et ses adresses : de la théorie à la mise au point. Qu'est-ce qu'un serveur DNS, comment connaître l'adresse de votre fournisseur préféré, la remplacer par Google Public DNS ou des options alternatives DNS supplémentaires
DNS (ou également connu sous le nom de Domain Name System) est un système qui associe les noms de domaine tels que Google.com ou Yandex.ru aux adresses IP correctes. Ce système est une base de données de noms de domaine et d'adresses IP. Il est utilisé pour maintenir un répertoire de noms de domaine et aide à résoudre ces noms de domaine en adresses IP correctes.
Les noms de domaine sont des adresses lisibles par l’homme que nous utilisons quotidiennement. Par exemple, Nom de domaine Yandex - yandes.ru. Si vous souhaitez visiter le site Web Yandex, entrez simplement yandex.ru dans la barre d'adresse de votre navigateur Web.
Mais votre ordinateur ne sait pas où se trouve « yandex.ru ». En coulisses, votre ordinateur contactera les serveurs DNS et vous demandera quelle adresse IP est associée à yandex.ru.
Il se connectera ensuite à ce serveur Web, téléchargera le contenu et l'affichera dans votre navigateur Web.
Dans ce cas, yandex.ru se trouve à l'adresse IP 77.88.55.70 sur Internet. Vous pouvez saisir cette adresse IP dans votre navigateur Web pour visiter le site Web Yandex. Cependant, au lieu de 77.88.55.70, nous utilisons "yandex.ru" car il est plus facile à retenir.
Sans DNS, l’intégralité d’Internet ne sera pas accessible. Nous reviendrons à une époque antérieure à la naissance d'Internet. Et votre ordinateur ne peut être utilisé que pour créer des documents ou jouer à des jeux hors ligne.
Bien sûr, ce n’est qu’une simple explication, en fait, c’est un peu compliqué. Pour obtenir Informations Complémentaires, je vous recommande de lire cet article ou de regarder la vidéo ci-dessous.
Différents fournisseurs d'accès Internet (FAI) utilisent différents serveurs DNS. Par défaut, sauf si vous avez configuré des serveurs DNS spécifiques sur votre ordinateur (ou routeur), les serveurs DNS par défaut de votre FAI seront utilisés.
Si ces serveurs DNS sont instables, vous pourriez rencontrer des problèmes lors de l'utilisation d'Internet sur votre ordinateur. Par exemple, il ne peut pas charger complètement les sites Web ou n’a pas accès à Internet. Pour éviter les erreurs DNS indésirables, passez aux serveurs DNS publics tels que Google DNS et OpenDNS.
Voici quelques erreurs courantes liées au DNS que vous pouvez examiner :
- Correction d'une erreur de recherche DNS dans Google Chrome
- Comment corriger l'erreur Err_Connection_Timed_Out
- Comment corriger l'erreur Err_Connection_Refused
- Correction de l'erreur Dns_Probe_Finished_Nxdomain
- Réparer le serveur DNS ne répond pas sous Windows
Vous pouvez corriger ces erreurs en passant aux serveurs DNS tiers dans la liste ci-dessous.
Avantages de l'utilisation de serveurs DNS publics
Vous vous demandez peut-être si votre FAI dispose de serveurs DNS par défaut, pourquoi avez-vous besoin de ces serveurs DNS publics ? Voici les raisons pour lesquelles vous devriez utiliser ces serveurs DNS alternatifs :
- Certains serveurs DNS par défaut ne sont pas assez rapides et parfois ils expirent. Cependant, votre connexion Internet n'est pas stable. Le passage à ces serveurs DNS les plus rapides contribuera à améliorer votre vitesse Internet.
- L'utilisation de ces serveurs DNS publics contribuera à améliorer la stabilité.
- Certains serveurs DNS tiers disposent de fonctionnalités de sécurité et de filtrage. Ces fonctionnalités vous aideront à protéger votre ordinateur contre les attaques de phishing.
- Cela vous aidera à contourner les restrictions géographiques de contenu et les inspections Web. Par exemple, vous pouvez facilement regarder une vidéo YouTube lorsqu'il est indiqué : "Cette vidéo n'est pas disponible dans votre pays".
Liste des 10 meilleurs serveurs DNS publics
Après avoir lu l'explication de ce qu'est un serveur DNS, les serveurs DNS tiers sont utiles, consultez la liste ci-dessous. Voici une liste des 10 meilleurs serveurs DNS tiers :
1. Serveur DNS public de Google
Il s’agit de l’un des serveurs DNS les plus rapides que de nombreux utilisateurs utilisent sur leurs ordinateurs. En utilisant les serveurs DNS de Google, vous bénéficierez d'une plus grande sécurité et d'une meilleure expérience sur votre ordinateur.
Pour utiliser les serveurs DNS publics de Google, configurez vos paramètres réseau avec les adresses IP suivantes :
8.8.8.8 comme serveur DNS préféré
8.8.4.4 comme serveur DNS alternatif
2.OuvrirDNS
Outre les serveurs DNS de Google, OpenDNS est l'un des meilleurs serveurs DNS cloud. Cela aidera à protéger votre ordinateur contre les attaques malveillantes.
Pour utiliser OpenDNS, configurons vos paramètres réseau avec les adresses IP suivantes :
208.67.222.222
208.67.222.220
OpenDNS propose également deux solutions gratuites pour les clients privés : OpenDNS Family Shield et OpenDNS Home.
La famille OpenDNS Shield est préconfigurée pour bloquer le contenu réservé aux adultes. Pour l'utiliser, vous devez configurer différents serveurs DNS avec les adresses IP suivantes dans vos paramètres réseau.
Serveur DNS préféré : 208.67.222.123
Serveur DNS alternatif : 208.67.220.123
Pendant ce temps, OpenDNS Home est livré avec une protection personnalisée contre le vol et le phishing.
3. Norton ConnectSafe
Norton propose non seulement programmes antivirus et logiciels de sécurité Internet. Il propose également un service de serveur DNS appelé Norton ConnectSafe. Ce service cloud DNS aidera à protéger votre ordinateur contre les sites de phishing.
Norton ConnectSafe est livré avec trois stratégies de filtrage de contenu prédéfinies. C'est la sécurité, la sécurité + la pornographie et la sécurité + la pornographie + autre.
Vous pouvez consulter l'image ci-dessous pour plus d'informations sur chaque stratégie prédéfinie. Visite pour plus d'informations.
4. DNS sécurisé Comodo
Comodo Secure DNS est un service de serveur de noms de domaine qui résout vos requêtes DNS via plusieurs serveurs DNS globaux. Il offre une expérience Internet beaucoup plus rapide et meilleure que l'utilisation des serveurs DNS standard fournis par votre FAI.
Si vous souhaitez utiliser Comodo Secure DNS, vous n'avez pas besoin d'installer de matériel ou logiciel. Changez simplement vos serveurs DNS principal et secondaire en 8.26.56.26 et 8.20.247.20.
5. Niveau 3
Le niveau 3 est le prochain gratuit Service DNS sur cette liste. Il fonctionne sur les communications de couche 3. Pour en profiter service gratuit, configurez simplement vos paramètres réseau en utilisant les adresses IP DNS suivantes :
209.244.0.3
208.244.0.4
Visite pour plus de détails.
6. Avantage DNS
C'est l'un des serveurs DNS les plus rapides offrant Meilleure performance lorsque vous travaillez sur Internet. Cela vous aidera à charger les sites plus rapidement et de manière plus sécurisée. Pour utiliser DNS Advantage, configurez vos serveurs DNS préférés/alternatifs avec les détails suivants :
156.154.70.1
156.154.71.1
7.OpenNIC
Comme beaucoup d'autres serveurs DNS ci-dessus, OpenNIC est une bonne alternative pour remplacer vos serveurs DNS par défaut. Cela protégera votre ordinateur du gouvernement et protégera votre vie privée. Pour utiliser ce service DNS, configurez vos serveurs DNS préférés et alternatifs comme suit :
46.151.208.154
128.199.248.105
Pour trouver des serveurs DNS plus fiables.
8. Doyen
Dyn est le deuxième meilleur serveur DNS tiers gratuit de la liste. Il offre une expérience de navigation incroyable et protège vos informations de la plupart des attaques de phishing. Configurez vos paramètres réseau avec les adresses IP DNS suivantes pour utiliser le serveur DNS Dyn.
216.146.35.35
216.146.36.36
9. DNS sécurisé
SafeDNS est un autre service DNS basé sur le cloud. Cela vous aidera à protéger votre ordinateur et à offrir également une meilleure expérience de navigation sur le Web. Pour utiliser SafeDNS, utilisez les informations DNS suivantes :
195.46.39.39
195.46.39.40
À propos des services DNS gratuits et premium de SafeDNS.
10. DNS.Watch
DNS.Watch est le dernier service DNS public gratuit de cette liste. Il offre gratuitement une expérience de navigation sur un site Web non censurée, rapide et fiable. Pour configurer votre PC ou routeur à l'aide de « DNS.Watch », utilisez deux IP Adresses DNS ci-dessous:
84.200.69.80
84.200.70.40
Parfois, si vous ne parvenez pas à naviguer correctement sur le Web, vous pouvez essayer de remplacer les serveurs DNS par défaut de votre ordinateur ou de votre routeur par ces serveurs DNS. Cela vous offrira une meilleure expérience de navigation sur le Web et vous protégera également contre d’éventuelles attaques.
Vous ne savez pas comment changer de serveur DNS sous Windows, Mac ou Android ? Il suffit de lire .
Salutations! Aujourd'hui, nous allons discuter de tout les points importantsà propos du serveur DNS. De ce que c'est à la mise en place et au choix de DNS alternatifs... Prenons nos places et n'oubliez pas d'attacher votre ceinture !
Si vous avez des questions ou avez quelque chose à ajouter, VEUILLEZ écrire dans les commentaires de cet article. Vous nous aiderez grandement, nous et les autres lecteurs !
Qu’est-ce que le DNS ?
Commençons par une théorie lointaine. Pour ceux qui ne sont pas intéressés, rendez-vous ci-dessous dans le chapitre souhaité – tous les réglages et choix seront là. Et nous parlerons ici du phénomène DNS lui-même.
DNS – Domain Name System – système de noms de domaine
Es tu effrayé? Essayons de le confondre encore plus... c'est-à-dire démêler. Allons-y point par point :
- Lorsque vous utilisez Internet, vous tapez le nom d'un site dans la fenêtre de votre navigateur. Par exemple, GUGL.FU (puissent-ils nous pardonner et nous donner également du trafic).
- Dans les réseaux, tous les adressages s'effectuent via des adresses IP. Ceux. le matériel peut rechercher des itinéraires uniquement par numéros. Par exemple, 7.7.7.7. Mais il n’est pas pratique pour les utilisateurs de mémoriser ces numéros (mémorisez au moins les numéros de 50 de vos contacts depuis votre téléphone).
- Et voici l'analogie avec le téléphone. Vous n'avez pas besoin de connaître les numéros, mais vous vous souvenez à peu près des noms. Ceux. vous entrez un nom dans le téléphone et l'appel est dirigé vers le numéro. C'est la même chose sur Internet : vous entrez un nom symbolique (nom de domaine), et le navigateur, sans passer par les yeux, va chercher le site souhaité par adresse IP.
Le serveur DNS se charge de convertir le nom de domaine en adresse IP. Reçoit des lettres - donne des chiffres.
Pour vérifier cette transformation, vous pouvez pinger n'importe quel site :
Le domaine ya.ru a une adresse IP actuelle de 87.250.250.242 Serveurs - théorie
Nous n’entrerons pas trop en profondeur dans l’architecture des serveurs DNS, mais pour une compréhension générale, cela vaut la peine de savoir :
- Il y en a beaucoup - il n'y en a pas un seul, en règle générale, vous obtenez un fournisseur DNS, mais ce n'est pas toujours la meilleure solution.
- Ils ont une structure imbriquée - racine, pays, fournisseurs, routeurs (très grossièrement). Dans le sens où tous les DNS héritent des informations les uns des autres, et si quelque chose ne figure pas sur celui actuel, la demande sera envoyée plus haut.
- Ils ont une adresse IP - vous frappez dessus, et cela donne déjà les adresses IP nécessaires des sites.
En règle générale, après vous être connecté à Internet, si vous ne faites rien avec les paramètres, vous recevrez le DNS de votre FAI.
Comment connaître l'actuel ?
Avant de procéder à l'installation, vous devrez peut-être connaître le serveur DNS actuel. Pour éviter d'autres questions, je vais vous montrer comment procéder rapidement :
- Nous devons ouvrir la ligne de commande (il existe d'autres options d'ouverture, vous pouvez la rechercher sur Google). Appuyez sur les touches Gagner+R.(l'utilitaire "Exécuter" s'ouvre, entrez-y cmd
- Entrer nslookup
Dans mon cas, le DNS actuel est 192.168.0.1. Pour les utilisateurs avancés, il s'agit de l'adresse du routeur. Toutes les requêtes lui sont adressées, et il les envoie ensuite (Google DNS s'exécute actuellement dessus).
Fournisseur
Vous pouvez déréférencer des sites via votre fournisseur, mais cela ne fonctionne pas toujours comme prévu. Pour un utilisateur domestique ordinaire, tout peut passer inaperçu pour le reste de votre vie, mais si vous travaillez en étroite collaboration avec Internet, des problèmes peuvent survenir de manière inattendue. Mes thèses sur les serveurs fournisseurs :
- La stabilité laisse beaucoup à désirer - dans le sens où le bâton tire une fois par an, et ici une fois tous les deux ans, leurs serveurs tombent en panne, les sites ne s'ouvrent pas correctement. Moment désagréable, un utilisateur domestique pourrait penser qu'Internet est tombé en panne et que le problème était enfoui à la surface. Pour certains, tomber une fois tous les deux ans suffit à les rendre heureux.
- Restrictions territoriales - certains sites seront bannis du DNS et la carcasse sera perdue. En fait, les gens interdisent rarement quoi que ce soit de nos jours, mais, en passant, il y avait des précédents à cela.
- Mises à jour lentes des zones (pour moi c'est le point le plus important). Les serveurs des fournisseurs se mettent à jour très lentement. Le propriétaire du site a modifié son serveur (il souhaitait passer à un matériel plus puissant), a modifié ses paramètres DNS pour une nouvelle adresse IP, et ces informations ne peuvent parvenir à un utilisateur de la région qu'en quelques jours. Et il frappera à une adresse inexistante, recevra un site inaccessible, ou un site avec une violation des certificats de sécurité et une mer d'autres problèmes.
En résumé, tout fonctionne, parfois très longtemps et bien, mais il y a des inconvénients qui peuvent être facilement remplacés par des DNS alternatifs.
DNS alternatif
DANS Paramètres Windows, que nous examinerons ci-dessous, il existe un champ avec un DNS alternatif. Donc dans ce cas nous parlons deà peu près l'adresse du serveur DNS de sauvegarde si le principal n'est pas disponible. Dans ce même chapitre, « alternative » signifie uniquement qu'elle n'est pas délivrée par le fournisseur.
Voici un tableau des principaux DNS actuels :
| Service | DNS1 | DNS2 |
|---|---|---|
| DNS public de Google | 8.8.8.8 2001:4860:4860::8888 (IPv6) | 8.8.4.4 2001:4860:4860::8844 (IPv6) |
| DNS ouvert | 208.67.222.222 | 208.67.220.220 |
| Yandex | 77.88.8.8 77.88.8.88 (sans sites frauduleux) 77.88.8.7 (pas de sites pour adultes) | 77.88.8.1 77.88.8.2 (sans sites frauduleux) 77.88.8.3 (pas de sites pour adultes) |
| VEILLE DNS | 82.200.69.80 | 84.200.70.40 |
| Norton Connect sécurisé | 198.153.192.1 198.153.192.40 (sites sécurisés uniquement) 198.153.192.50 (pas de porno) 198.153.192.60 (sécurité totale) | 198.153.194.1 198.153.194.40 (sites sécurisés uniquement) 198.153.194.50 (pas de porno) 198.153.194.60 (sécurité totale) |
| DNS de niveau 3 | 209.244.0.3 4.2.2.1 4.2.2.3 | 209.244.0.4 4.2.2.2 4.2.2.4 |
| DNS sécurisé Comodo | 8.26.56.26 | 8.20.247.20 |
| Ouvrir le DNS de la carte réseau | Choisissez dans la liste https://servers.opennic.org | Choisissez dans la liste https://servers.opennic.org |
Je vais passer en revue chacun d'entre eux brièvement :
- Google Public DNS – Je l’utilise moi-même et je le recommande jusqu’à ce qu’il soit interdit. Fonctionne à merveille et se met à jour rapidement. Les adresses sont faciles à retenir - « huit ». Il existe également des versions IPv6.
- Open DNS est le deuxième service le plus populaire. Je l'ai utilisé pendant un moment et je n'ai pas remarqué beaucoup de différence avec Google. Ça marche et bien.
- Yandex - en prime, il existe des serveurs supplémentaires avec des filtres de sites - sans sites de phishing et frauduleux connus, et sans sites pour adultes - ils ne s'ouvriront tout simplement pas. Une sorte de contrôle parental.
- Les autres travaillent également. Je ne vois pas l’intérêt de le décrire, ce sera de l’eau aqueuse. Pour la maison, le premier suffit, et si besoin, le second. Le reste est un surplus pour les spécialistes techniques. Malheureusement ou heureusement, notre WiFiGid n'est pas destiné aux spécialistes.
Paramètres
Je vais maintenant vous montrer où insérer ces adresses pour que tout fonctionne comme une montre suisse coûteuse.
- Accédez à « Centre Réseau et partage » (Windows 7) ou « Paramètres réseau et Internet » (Windows 10). Vous pouvez le faire en cliquant avec le bouton droit sur l'icône du réseau et en sélectionnant cet élément :
- Ensuite, « Configuration des paramètres de l'adaptateur » (ou « Modification des paramètres de l'adaptateur ») :
- Et ici, nous recherchons déjà notre adaptateur, via lequel nous nous sommes connectés au réseau, faites un clic droit - "Propriétés" et faites tout comme dans le schéma :
Ici, j'ai défini les adresses Google - première et deuxième (respectivement première et deuxième colonnes du tableau ci-dessus). Vous pouvez faire de même ou expérimenter d’autres services.
Ces actions sont réalisées de manière identique dans les blocs opératoires. Systèmes Windows 7, Windows 8, Windows 10.
Cela peut être fait sur tous les appareils, y compris les téléphones (voir les instructions de configuration DNS pour votre modèle). Un exemple qui peut être fait :
Il vaut mieux tout faire tout de suite sur le routeur dans les paramètres du serveur DHCP (qui distribue paramètres réseau aux appareils connectés). Ensuite, tous les appareils qui y sont connectés passeront immédiatement par des serveurs normaux. En utilisant TP-Link comme exemple, recherchez les paramètres de votre modèle via la recherche sur notre site Web :
Certains programmes, applications et appareils mobiles dans leurs configurations, ils demandent le champ Adresse DNS - les adresses IP du tableau ci-dessus conviennent également.
Erreurs possibles
Il n'y a aucun moyen de tout lister erreurs possibles, liés aux bugs DNS - vous pouvez les rechercher par nom sur notre site Web, nous avons vraiment trié les principaux. Mais l’essence de la résolution de l’un d’entre eux est très simple :
- Nous redémarrons le routeur et l'ordinateur, l'ordinateur portable, le téléphone - pour réessayer d'obtenir les paramètres réseau.
- Pendant que tout redémarre, nous vérifions les fils pour voir si tout fonctionne correctement, s'il y a une coupure quelque part.
- Si cela ne résout pas le problème, saisissez les adresses DNS manuellement comme dans la section ci-dessus.
- Si cela ne résout pas le problème, il y a une erreur quelque part du côté du fournisseur ou sur le site lui-même (c'est le même mouvement possible). Si rien ne s'ouvre du tout, juste au cas où, nous essayons de désactiver les antivirus, pare-feu, proxys, VPN et autres logiciels qui utilisent le réseau.
Si tout va vraiment mal et que vous n’avez rien trouvé, écrivez un commentaire ci-dessous !
Vous souhaitez tester rapidement les connaissances de votre administrateur système ? Demandez-lui l'adresse IP DNS publique de Google. Tout administrateur système qui se respecte répondra : « 8.8.8.8 », et un administrateur avancé ajoutera « ... et 8.8.4.4 ».
Ce qui s'est passéDNS?
DNS est un acronyme pour Domain Name System. Traduit par système de noms de domaine, il s’agit d’un système qui fait correspondre un nom de domaine et l’adresse IP d’un hôte. Ainsi, connaissant le nom d'hôte, vous pouvez obtenir son adresse et vice versa. Pourquoi est-ce? World Wide Web Internet est conçu de telle manière que chaque appareil (ordinateur, téléphone, tablette, routeur) possède sa propre adresse unique (en fait, les adresses peuvent être répétées si nous parlons de différents réseaux LAN, mais dans cet article nous parlons de réseau mondial et nous n'entrerons pas dans les détails du NAT, du PAT et du routage), et vous ne pouvez accéder à cet appareil qu'en connaissant son adresse sur le réseau. En travaillant sur Internet, nous accédons chaque jour à des dizaines de sites. Il serait difficile de se souvenir de toutes leurs adresses, constituées d'une séquence de chiffres et de points, par exemple, qu'est-ce qui est le plus facile à retenir 77.222.61.238 ou integrus.compumur.ru ? Bien sûr, le deuxième. Et le système de noms de domaine mémorisera l’adresse pour vous.
Le DNS est disponible sur chaque ordinateur, sur chaque réseau et sur chaque fournisseur ; de plus, il a une forme hiérarchique et dans le cas où le système de noms de domaine ne peut pas déterminer l'adresse de la ressource demandée à partir du nom de domaine, il transmet la requête à un serveur DNS de niveau supérieur. La requête peut être transmise jusqu’à l’un des 13 serveurs DNS racine « les plus importants au monde ».
Comment installer un serveur DNS ?
Le serveur peut remplir diverses fonctions, il peut agir comme un catalogue global, stocker des informations sur les fichiers, travailler avec des bases de données et travailler avec plusieurs utilisateurs simultanément. En fonction de l'objectif du serveur, des rôles y sont installés - un ensemble spécial de programmes qui permettent au serveur d'exécuter les fonctions nécessaires.
Comment installer un rôleDes serveurs DNS ? Nous effectuerons l'installation à Serveur Windows 2012 R2.
Le plus souvent, le rôle de serveur DNS est installé avec un contrôleur de domaine. Mais si lors de l'installation Active Directory Si vous avez décoché la case « Serveur DNS » ou si AD n'est tout simplement pas nécessaire, il vous suffit d'installer le serveur DNS. Pour ce faire, accédez au Gestionnaire de serveur et cliquez sur le bouton « Ajouter des rôles et des fonctionnalités ».
La fenêtre Assistant Ajout de rôles et de fonctionnalités s'ouvre. Lisez le texte d'introduction de l'assistant et cliquez sur Suivant. 
Assurez-vous que Installer les rôles et les fonctionnalités est sélectionné et cliquez sur Suivant. 
Sélectionnez un serveur dans le pool de serveurs. Dans notre cas il n’y a qu’un seul serveur, vous pouvez en avoir plusieurs. 
Sélectionnez Rôle Serveur DNS. 
En cochant la case requise, nous verrons apparaître la fenêtre « Assistant d'ajout de rôles et de composants ». Ces composants sont requis pour gérer le rôle installé. Si vous envisagez d'administrer le serveur DNS à partir d'un autre serveur, vous pouvez ignorer l'ajout de ces composants. 
De retour dans la fenêtre avec le serveur DNS coché, cliquez sur Suivant, puis sur Suivant et à nouveau sur Suivant jusqu'à ce que le bouton Installer devienne actif. 
Cliquez sur le bouton "Installer". 
L'installation va commencer. 
Une fois l'installation terminée (l'installation prendra moins de 5 minutes), le message suivant apparaîtra : « Installation terminée sur YourServerName ». Vous pouvez cliquer sur le bouton « Fermer ». Désormais, une nouvelle ligne « DNS » apparaîtra dans le panneau de surveillance du serveur, ainsi que dans le menu Démarrer. Si vous cliquez sur cette ligne, le « DNS Manager » se lancera.
Cela ressemble à ceci.
Sur ce moment Aucune zone n'est configurée sur le serveur DNS. Un tel serveur est appelé serveur de mise en cache. Les zones font partie de l'espace de noms dont le serveur est responsable. Les zones de recherche directe impliquent la résolution d’un nom en adresse IP. Une zone de recherche inversée, en revanche, fait correspondre une adresse IP à un nom.
Créons une zone de visualisation directe et faisons-en installation facile.
Pour cela, faites un clic droit sur l'inscription « Zones de visualisation avancées » puis « Créer une nouvelle zone ».
La fenêtre « Assistant de création de nouvelle zone » s'ouvrira, cliquez sur « Suivant ». La fenêtre de sélection du type de zone s'ouvrira. Si vous ne disposez pas d'un autre serveur DNS, sélectionnez « Zone principale » et « Suivant ». 
Dans la fenêtre suivante, vous devez spécifier le nom de la zone. Il est recommandé d'utiliser votre domaine. Dans notre cas, le nom serait : . Cliquez sur Suivant". 
Dans la fenêtre suivante, sélectionnez le type de mise à jour dynamique. Il est recommandé d'autoriser les mises à jour dynamiques, mais uniquement si le DNS sera utilisé exclusivement dans votre réseau local. Dans le cas contraire, cet élément peut entraîner des risques de sécurité, dont le « Assistant Nouvelle Zone » vous avertira. 
Cliquez sur « Suivant » et « Terminer ». La zone de visualisation directe a été créée avec succès, procédons à sa configuration simple. La configuration d'une zone de navigation se fait en ajoutant des enregistrements DNS à la zone. Il existe plusieurs types d'enregistrements DNS. Regardons les principaux types :
- Un enregistrement. Corrèle le nom d'hôte et l'adresse du protocole IPV
- Enregistrement AAAA. Corrèle le nom d'hôte et l'adresse du protocole IPV
- Enregistrement CNAME. Alias, utilisé pour rediriger vers un autre nom.
- Enregistrement MX. Enregistrement de courrier, pointe vers les serveurs de messagerie.
- Enregistrement NS. Pointe vers le serveur DNS du domaine.
Créons un enregistrement A pour notre nouvelle zone de recherche directe. Pour ce faire, cliquez avec le bouton droit sur la zone et sélectionnez l'élément de menu contextuel approprié, comme indiqué sur la figure. 
Dans la fenêtre « Nouveau nœud » qui s'ouvre, saisissez le nom du nœud, par exemple GateWay, et son adresse IP, par exemple 192.168.0.1. Cliquez sur le bouton "Ajouter un nœud". 
Prêt! L'entrée a été créée avec succès !
Dans cet article, nous avons essayé d'expliquer dans le langage le plus compréhensible à une personne ordinaire sans connaissances informatiques approfondies ce qu'est le DNS, comment installer le rôle de serveur DNS sur Windows Server 2012, nous nous sommes familiarisés avec les principaux types d'enregistrements et avons montré en images comment ces enregistrements sont faits. Et si tout ce qui précède vous semble difficile, alors nos spécialistes mettront en place un serveur pour vous en moins d'une heure.
Une zone est une base de données contenant des informations faisant autorité sur une région de l'espace de noms DNS. Lorsque vous installez un serveur DNS avec un contrôleur de domaine, une zone DNS est automatiquement créée pour prendre en charge le domaine Active Directory. Si le serveur DNS a été installé sur un contrôleur de domaine, un serveur membre du domaine ou un serveur autonome, les zones doivent être créées et configurées manuellement.
Cette leçon décrit comment créer et configurer une zone et fournit les informations nécessaires pour configurer correctement une zone.
Création de zones
Zone DNS est une base de données contenant des enregistrements quiassocier des noms à des adresses dans la région décrite de l'espace de noms DNS. Bien quepour répondre aux requêtes de nom, le serveur DNS peut utiliser le cacheinformations provenant d'autres serveurs, il est autorisé à répondre aux demandes uniquement danszone contrôlée localement. Pour n'importe quelle portée de l'espace de noms DNS,représenté par un nom de domaine (par exemple, google .ru), il n'y en a qu'unsource faisant autorité de données de zone.
Si vous devez créer une nouvelle zone sur le serveur DNS, vous pouvez utiliser l'assistant de nouvelle zone dans le gestionnaire DNS. Pour lancer l'assistant, cliquez avec le bouton droit sur l'icône du serveur dans l'arborescence de la console du gestionnaire DNS et utilisez la commande Nouvelle zone.
L'Assistant Nouvelle zone contient les pages de configuration suivantes :
■ Type de zone ;
■ Zone de réplication de zone, intégré V Active Directory (étendue de réplication de zone Active Directory) ;
■ Zone de recherche directe ou inversée ;
■ Nom de la zone ;
■ Mise à jour dynamique (Mise à jour dynamique).
Les sections suivantes décrivent les concepts de configuration associés à ces cinq pages d'assistant.
Sélection d'un type de zone
Sur la page Type de zone de l'Assistant Nouvelle zone, vous pouvez choisir de créer une zone principale, une zone secondaire ou une zone stub. En créant une zone principale ou de remplacement sur un contrôleur de domaine, vous pouvez stocker les données de zone dans Active Directory.
* Zones principales
Le type de zone DNS le plus courant est la zone principale. Il fournit les données sources en lecture/écriture qui accordent au serveur DNS local le pouvoir de répondre aux requêtes DNS de portée de l'espace de noms DNS.
Le serveur DNS local qui gère la zone principale sert de source principale de données sur cette zone. Le serveur stocke une copie principale des données de zone dans un fichier local ou dans les services de domaine Active Directory (AD DS). Si la zone est enregistrée dans un fichier plutôt que dans Active Directory, le nom de fichier par défaut est nom_zone.DNS et est stocké dans le dossier %systemroot%\System 32\Dns sur le serveur.
*Zones supplémentaires
Fournit une copie faisant autorité en lecture seule de la zone principale ou d’une zone supplémentaire.
Les zones secondaires offrent la possibilité de réduire la quantité de trafic de requêtes DNS dans les zones du réseau où les données de zone sont fortement interrogées et utilisées. De plus, si le serveur qui gère la zone principale n'est pas disponible, la zone secondaire peut assurer la résolution de noms jusqu'à ce que le serveur principal redevienne disponible.
Les zones sources à partir desquelles des zones supplémentaires reçoivent des informations sont appelées zones maîtres, et les procédures de copie de données qui garantissent la mise à jour régulière des informations de zone sont appelées transferts de zone. Une zone maître peut être une zone principale ou une autre zone supplémentaire. Une zone principale peut être attribuée à une zone supplémentaire en cours de création dans l'assistant Nouvelle zone. Une zone secondaire étant une copie de la zone principale gérée par un autre serveur, elle ne peut pas être stockée dans Active Directory.
* Zones de stub
Semblable à une zone secondaire, mais contient les enregistrements de ressources nécessaires pour identifier les serveurs DNS faisant autorité dans la zone principale. Les zones stub sont souvent utilisées pour permettre à une zone parent (par exemple, google .ru) d'utiliser une liste mise à jour de serveurs de noms disponibles dans une zone enfant déléguée (par exemple : traduire .google .ru). Ils servent également à améliorer la résolution de noms et à simplifier l'administration DNS.
* Zones de stockage dansActifAnnuaire
Lorsque vous créez une zone principale ou une zone stub sur un contrôleur de domaine, sur la page Type de zone de l'assistant, vous pouvez sélectionner l'option permettant d'enregistrer la zone dans Active Directory. Les données de zone intégrées à Active Directory sont automatiquement répliquées vers Active Directory en fonction des paramètres sélectionnés sur la page Étendue de réplication de zone Active Directory. Grâce à cette option, il n'est pas nécessaire de configurer le transfert de zone vers des serveurs supplémentaires.
L'intégration d'une zone DNS dans Active Directory offre plusieurs avantages. Premièrement, étant donné que les services Active Directory effectuent la réplication de zone, il n'est pas nécessaire de configurer un mécanisme de transfert de zone DNS distinct entre les serveurs principal et secondaire. La réplication réseau multiple offre automatiquement une tolérance aux pannes et des performances améliorées grâce à la disponibilité de plusieurs serveurs principaux en lecture/écriture. Deuxièmement, Active Directory vous permet de mettre à jour et de répliquer les propriétés d'enregistrement de ressources individuelles sur des serveurs DNS. Étant donné que de nombreux enregistrements de ressources complets ne sont pas transférés, la charge sur les ressources réseau lors des transferts de zone est réduite. Enfin, les zones intégrées à Active Directory fournissent également des exigences facultatives de sécurité en matière de mise à jour dynamique, qui peuvent être configurées sur la page Mise à jour dynamique de l'assistant de création de zone.
NOTE: Contrôleurs de domaine en lecture seule et zones intégrés à Active Directory
Sur les contrôleurs de domaine traditionnels, une copie de la zone bénéficie d'une autorisation de lecture/écriture. Sur les contrôleurs de domaine en lecture seule (RODC), la copie de zone se voit attribuer une autorisation en lecture seule.
*Zones standards
Lorsque vous créez une zone sur un contrôleur de domaine, l'option permettant d'enregistrer la zone dans Active Directory sur la page Type de zone est sélectionnée par défaut. Cependant, vous pouvez décocher cette case et créer une zone dite standard. Sur un serveur qui n'est pas un contrôleur de domaine, vous ne pouvez créer que des zones standards et la case à cocher sur cette page est grisée.
Contrairement à une zone intégrée à Active Directory, une zone standard stocke ses données dans fichier texte sur le serveur DNS local. De plus, si vous utilisez des zones standard, vous pouvez configurer uniquement la copie principale avec des autorisations de lecture et d'écriture pour les données de zone. Toutes les autres copies de la zone (zones supplémentaires) se voient attribuer une autorisation en lecture seule.
Le modèle de zone standard suppose un point de défaillance unique pour la version inscriptible de la zone. Si la zone principale n'est pas disponible sur le réseau, aucune modification ne peut être apportée à la zone. Toutefois, les demandes de noms dans une zone ne peuvent pas être interrompues tant que des zones supplémentaires sont disponibles.
Sélection de la portée de réplication de zone intégrée dansActifAnnuaire
Sur la page Étendue de réplication de zone Active Directory de l'Assistant Nouvelle zone, vous pouvez sélectionner les contrôleurs de domaine de votre réseau sur lesquels enregistrer les données de zone. Cette page apparaît uniquement lorsque vous sélectionnez l'option permettant d'enregistrer la zone et Active Directory. Les options de sélection de l'étendue de la réplication de zone déterminent les contrôleurs de domaine parmi lesquels les données de zone seront répliquées.
Cette page propose les options suivantes :
■ Persistance de zone sur tous les contrôleurs de domaine, qui sont également des serveurs DNS, dans toute la forêt Active Directory ;
■ Préservation de la zone sur tous les contrôleurs de domaine, qui servent également de serveurs DNS et de domaine Active Directory local ;
■ Préservation de la zone sur tous les contrôleurs de domaine et du domaine Active Directory local (utilisé pour la compatibilité avec Windows 2000) ;
■ Préserve la zone sur tous les contrôleurs de domaine spécifiés et la portée de la partition d'annuaire Active Directory personnalisée.
Ces options sont décrites plus en détail dans la deuxième rubrique.
Création de zones de recherche directe et inversée
Sur la page Zone de recherche directe ou inversée de l'assistant Nouvelle zone, vous devez sélectionner le type de zone à créer ; Zone de recherche directe ou zone de recherche inversée.
Dans les zones de recherche directe, les serveurs DNS mappent les FQDN aux adresses IP. Dans les zones de recherche inversée, les serveurs DNS mappent les adresses IP aux noms de domaine complets. Ainsi, les zones de recherche directe répondent aux demandes de résolution des FQDN en adresses IP, et les zones de recherche inversée répondent aux demandes de résolution des adresses IP en FQDN. Notez que les zones de recherche directe sont nommées en fonction des noms de domaine D NS pour lesquels l'autorisation est exécutée, par exemple. exemple google .com. Les zones de recherche inversée sont nommées dans l'ordre inverse des trois premiers octets de l'espace d'adressage pour lequel la résolution de nom est fournie, plus une balise in-addr.arpa supplémentaire. Par exemple, si vous résolvez les noms du sous-réseau 192.168.1.0/24, la zone de recherche inversée sera nommée 1.168.192.in-addr.arpa. Dans la zone de recherche directe, l'enregistrement de base de données individuel qui mappe un nom d'hôte à une adresse est appelé un enregistrement. nœud(UN). Dans une zone de recherche inversée, l'entrée de base de données individuelle qui mappe une adresse IP à un nom d'hôte est appelée aiguille ou enregistrement PTR.
Le principe de fonctionnement de mes recherches directes et inversées est illustré dans la figure.
Zone de vue vers l'avant
Zone de recherche inversée
NOTE: Assistant de configuration du serveur DNS
Vous pouvez utiliser l'assistant de configuration d'un serveur DNS pour créer simultanément des zones de recherche directe et inversée. Pour démarrer l'assistant, dans l'arborescence de la console DNS Manager, cliquez avec le bouton droit sur l'icône du serveur et choisissez Configurer un serveur DNS.
Sélection d'un nom de zone
Sur la page Nom de zone de l'Assistant Nouvelle zone, vous pouvez sélectionner un nom pour la zone de recherche directe à créer. Les zones de recherche inversée reçoivent des noms spéciaux en fonction de la plage d'adresses IP pour lesquelles elles font autorité.
Si vous créez une zone pour la résolution de noms dans un domaine Active Directory, il est préférable de spécifier un nom de zone qui correspond au nom de domaine Active Directory. Par exemple, si une organisation contient deux domaines Active Directory nommés google.ru et translate.google.ru, l'infrastructure de résolution de noms doit inclure deux zones nommées d'après ces noms de domaine.
Si vous créez une zone pour un espace de noms DNS qui ne se trouve pas dans un environnement ActiveDirectory, vous devez spécifier le nom de domaine Internet de l'organisation, tel que wikipedia .org.
NOTE: AjoutServeur DNS par contrôleur de domaine
Pour ajouter un serveur DNS à un contrôleur de domaine existant, vous ajoutez généralement une copie de la zone principale pour fournir une résolution de noms au domaine Active Directory sur site. Pour ce faire, vous créez simplement une zone dont le nom correspond au nom d'une zone existante dans le domaine Active Directory local. La nouvelle zone sera remplie de données provenant d'autres serveurs DNS du domaine.
Configuration des paramètres de mise à jour dynamique
Les ordinateurs clients DNS peuvent enregistrer et mettre à jour dynamiquement leurs enregistrements de ressources à l'aide d'un serveur DNS. Par défaut, les clients DNS avec des adresses IP statiques mettent à jour les enregistrements d'hôte (A ou AAAA) et de pointeur (PTR), tandis que les clients DNS qui sont des clients DHCP mettent uniquement à jour les enregistrements d'hôte. Dans un environnement de groupe de travail, le serveur DHCP met à jour les entrées d'index pour le compte du client DHCP chaque fois que la configuration IP est mise à jour.
Pour que les mises à jour DNS dynamiques réussissent, la zone dans laquelle les clients enregistrent ou mettent à jour les enregistrements doit être configurée pour accepter les mises à jour dynamiques. Il existe deux types de cette mise à jour :
■ Sûrmise à jour (Sécurisémises à jour)
Vous permet d'effectuer l'enregistrement uniquement à partir des ordinateurs du domaine Active Directory et de mettre à jour uniquement à partir de l'ordinateur qui a initialement effectué l'enregistrement.
■ Peu sûrmises à jour (Non sécurisémises à jour)
Vous permet de mettre à jour depuis n’importe quel ordinateur.
Sur la page Mise à jour dynamique de l'Assistant Nouvelle zone, vous pouvez autoriser les mises à jour dynamiques sécurisées et non sécurisées, ou désactiver complètement les mises à jour pour la zone que vous créez.
Analyse des enregistrements de ressources intégrés
Lorsque vous créez une nouvelle zone, deux types d'enregistrements sont automatiquement créés. Premièrement, une telle zone comprend toujours un enregistrement de zone SOA (Start Of Authority) initial qui définit les propriétés de base de la zone. De plus, les nouvelles zones contiennent au moins un enregistrement NS (Name Server) qui spécifie le nom du ou des serveurs faisant autorité de la zone. Ce qui suit décrit les fonctions de ces deux enregistrements de ressources.
Entrées de zone initiales
Lors du chargement d'une zone, le serveur DNS utilise l'enregistrement SOA (Start Of Authority) de la zone pour déterminer les propriétés et autorités de base de la zone. Ces paramètres caractérisent également la fréquence des transferts de zone entre les serveurs principaux et supplémentaires. Un double-clic sur une entrée SOA ouvre l'onglet Début d'autorité (SOA) de la boîte de dialogue des propriétés de la zone.
■ En sérienuméro (numéro de série)
Ce champ de texte sur l'onglet Enregistrement de zone initial (SOA) contient le numéro de révision du fichier de zone. Le nombre spécifié ici augmente à chaque fois que les enregistrements de ressources dans la zone changent. Il peut également être augmenté manuellement à l'aide du bouton Incrémenter.
Si les zones sont configurées pour effectuer des transferts de zone vers un ou plusieurs serveurs secondaires, ces serveurs secondaires interrogent périodiquement le serveur principal pour connaître le numéro de série de la zone. Ces requêtes sont appelées requêtes SOA. Si la demande SOA reçoit un numéro de série de zone principale égal au numéro de série de zone secondaire, le transfert échoue. Si le numéro de série de zone sur le serveur principal est supérieur à la valeur correspondante sur le serveur secondaire demandeur, ce dernier initie un transfert de zone.
NOTE: Transférer des zones sur le serveur principal
Cliquer sur le bouton Incrémenter lance le transfert de zone.
■ Basiqueserveur (PrimaireServeur)
■ ResponsableResponsable
Ce champ vous permet de saisir le nom de la personne responsable (RP) qui correspond à la boîte aux lettres de domaine de l'administrateur de zone. Le nom saisi dans ce champ doit toujours se terminer par un point. Le nom par défaut est hostmaster.
■ Intervallemises à jour (intervalle de rafraîchissement)
La valeur de ce champ détermine la durée pendant laquelle le serveur DNS secondaire attend avant de demander une mise à jour de zone sur le serveur principal. Une fois l'intervalle de mise à jour expiré, le serveur DNS secondaire interroge le serveur principal pour obtenir une copie de l'enregistrement SOA actuel. Après avoir reçu la réponse, le serveur DNS secondaire compare le numéro de série de l'enregistrement SOA actuel du serveur principal (spécifié dans la réponse) avec numéro de série votre entrée SOA locale. Si ces valeurs diffèrent, le serveur DNS secondaire demande un transfert de zone au serveur DNS principal. L'intervalle de mise à jour par défaut est de 15 minutes.
■ IntervalleIntervalle de nouvelle tentative
■ TermeexpireAprès (Expire après)
La valeur de ce champ détermine la durée pendant laquelle le serveur secondaire continue d'effectuer des requêtes client DNS sans contacter le serveur principal. Passé ce délai, les données sont considérées comme peu fiables. Par défaut, ce paramètre est défini sur un jour.
■ Le minimumtermedurée de vie TTL (minimum (par défaut)TTL)
Les valeurs TTL ne s'appliquent pas aux enregistrements de ressources dans les zones faisant autorité. Et ces zones utilisent la durée de vie du cache d'écriture des ressources sur des serveurs ne faisant pas autorité pour les valeurs TTL. Le serveur DNS qui a mis en cache l'enregistrement de ressource de la demande précédente réinitialise cet enregistrement, mais la durée de vie de l'enregistrement a expiré.
■ Terme vie(TTL)enregistrements(TTL pour cet enregistrement)
La valeur spécifiée dans ce champ détermine la durée de vie de l'entrée SOA actuelle. Cette valeur remplace la valeur par défaut spécifiée dans le champ précédent.
Enregistrements du serveur de noms
L'enregistrement du serveur de noms (NS) spécifie le serveur faisant autorité pour la zone. Lorsque vous créez une zone dans Windows Server 2008, chaque serveur qui gère une copie principale d'une zone intégrée à Active Directory recevra par défaut son propre enregistrement NS dans la nouvelle zone. Lorsque vous créez une zone primaire standard, l'enregistrement NS du serveur local sera ajouté par défaut.
Pour les serveurs qui gèrent des zones supplémentaires, vous devez ajouter manuellement des enregistrements NS à la copie principale de la zone.
Les enregistrements NS sont créés à l'aide d'une procédure différente de celle utilisée lors de la création d'autres types d'enregistrements de ressources. Pour ajouter des enregistrements NS, dans DNS Manager, double-cliquez sur n'importe quel entrée existante N.-É. L'onglet Serveurs de noms de la boîte de dialogue Propriétés de la zone s'ouvre. Dans l'onglet Serveurs de noms, cliquez sur le bouton Ajouter pour ajouter le nom de domaine complet et l'adresse IP du serveur qui gère la zone secondaire de la zone principale locale. En ajoutant nouveau serveur, cliquez sur OK - il apparaîtra dans DNS Manager nouvelle entrée NS indiquant ce serveur.
NOTE: Activer la transmission vers des zones supplémentaires
La zone secondaire ne reconnaît pas cette entrée comme serveur de noms valide tant qu'elle contient une copie valide des données de la zone. Pour qu'une zone supplémentaire reçoive ces données, les transferts de zone doivent être activés pour ce serveur dans l'onglet Transferts de zone de la boîte de dialogue des propriétés de la zone. Cet onglet est décrit plus en détail dans la rubrique suivante.
Vous trouverez ci-dessous un exemple d'entrée créée dans un fichier de zone standard :
@NS dns1.lucernepublishing.com.
Le symbole @ représente la zone définie par l'entrée SOA dans le fichier de zone. L'enregistrement complet mappe ensuite le domaine wikipedia.org au serveur DNS dns1.wikipedia.org.
Création d'enregistrements de ressources
En plus des enregistrements SOA et NS, plusieurs autres enregistrements de ressources sont automatiquement créés. Par exemple, lors de l'installation d'un nouveau serveur DNS, lorsque le serveur est désigné comme contrôleur de domaine, de nombreux enregistrements SRV Active Directory Domain Services (AD DS) sont créés automatiquement dans la zone gérée localement. De plus, grâce à la mise à jour dynamique, de nombreux clients DNS enregistrent automatiquement les enregistrements d'hôte (A et AAAA) et de pointeur (PTR) dans la zone par défaut.
Bien que de nombreux enregistrements de ressources soient créés automatiquement, les environnements d'entreprise nécessitent généralement que certains enregistrements de ressources soient créés manuellement, tels que les MX (Mail Exchangers) pour les serveurs de messagerie, les alias (CNAME) pour les serveurs Web et d'applications et les enregistrements d'hôte pour les serveurs et les clients. ne peuvent pas effectuer leurs propres mises à jour.
Pour ajouter manuellement un enregistrement de ressource pour une zone, dans la console DNS Manager, cliquez avec le bouton droit sur l'icône de la zone et menu contextuel sélectionnez le type d'enregistrement à créer.
Après avoir sélectionné une entrée dans le menu contextuel, une boîte de dialogue s'ouvre dans laquelle vous pouvez spécifier le nom de l'entrée et l'ordinateur qui lui est associé. Notez que seuls les enregistrements d'hôte associent un nom d'ordinateur à une adresse IP. La plupart des types d'enregistrement associent un nom de service ou un alias à l'enregistrement d'hôte d'origine. Ainsi, l'enregistrement MX s'appuie sur la présence du nœud SRV 12.nwtraders .msft dans la zone de l'enregistrement.
Types de messages
Voici les enregistrements de ressources courants créés manuellement :
■ nœud(UNouALAA);
■ surnom (CNAME);
■ mailéchangeur (MX);
■ pointeur (PTR);
■ emplacementprestations de service (SRV).
Noeud (A ou AAAA)
Pour la plupart des réseaux, la majeure partie des enregistrements de ressources dans la base de données de zone sont des enregistrements de ressources hôtes. Ces enregistrements sont utilisés dans une zone pour associer des noms d'ordinateurs (noms d'hôte) à des adresses IP.
Même avec les mises à jour dynamiques activées pour les zones, certains scénarios d'entrée d'hôte vous obligeront à ajouter manuellement des entrées à la zone. Dans la figure ci-dessous, Contoso, Inc. utilise le nom de domaine contoso.com dans l'espace de noms public et le domaine Active Directory interne. Dans ce cas, le serveur Web public www.contoso.com est situé en dehors du domaine Active Directory et effectue uniquement des mises à jour sur le serveur DNS public faisant autorité contoso.com. Mais les clients internes transmettent leurs requêtes DNS aux serveurs DNS internes. Étant donné que l'enregistrement www .contoso .com A n'est pas mis à jour dynamiquement sur les serveurs DNS internes, il est ajouté manuellement afin que les clients internes puissent résoudre les noms et se connecter au serveur Web public.
Les entrées d'hôte peuvent être ajoutées manuellement si le réseau utilise un serveur UNIX. Par exemple, Fabrikam, Inc. possède un domaine Active Directory dans son réseau privé nommé fabrikam,com. Ce réseau comprend également un serveur UNIX, App1.fabrikam, com, qui exécute des applications critiques pour les opérations quotidiennes de l'entreprise. Étant donné que les serveurs UNIX ne peuvent pas effectuer de mises à jour dynamiques, vous devrez ajouter manuellement l'enregistrement d'hôte du serveur App1 au serveur DNS qui gère la zone fabrikam.com. Dans le cas contraire, les utilisateurs ne pourront pas se connecter au serveur d'applications en spécifiant son FQDN.
Alias (CNAME)
Ces entrées sont parfois appelées noms canoniques. Ils permettent d'utiliser plusieurs noms pour faire référence à un seul nœud. Par exemple, les noms de serveurs connus (ftp, www) sont généralement enregistrés à l'aide d'enregistrements CNAME. Ces enregistrements mappent les noms d'hôtes correspondant à leurs services à l'enregistrement réel de l'ordinateur qui contrôle le service.
■ Lorsque vous souhaitez renommer un nœud spécifié dans l'enregistrement A de la même zone.
■ Lorsque le nom générique d'un serveur connu (par exemple www) doit être résolu en un groupe d'ordinateurs individuels (chacun contenant des enregistrements A individuels) fournissant le même service (par exemple un groupe de serveurs Web redondants).
Échangeur postal (MX)
Ces enregistrements sont utilisés par les applications E-mail pour la localisation serveur de courrier dans la zone. Ils vous permettent de faire correspondre le nom de domaine spécifié dans l'adresse e-mail avec l'enregistrement de l'ordinateur qui contrôle le serveur de messagerie du domaine. Ainsi, ce type d'enregistrement permet au serveur DNS de gérer les adresses e-mail pour lesquelles aucun serveur de messagerie n'est spécifié.
Souvent, les enregistrements MX sont créés pour permettre le basculement vers un autre serveur de messagerie au cas où le serveur préféré serait indisponible.
Plusieurs serveurs se voient attribuer des valeurs de préférence. Plus cette valeur est faible, plus l'ordre de préférence du serveur est élevé.
NOTE: Symbole @
Dans cet exemple, le symbole @ représente le nom de domaine local contenu dans l'adresse e-mail.
AiguilleRPT
Cette entrée est utilisée uniquement dans les zones de recherche inversée pour prendre en charge la recherche inversée qui se produit lors de la résolution des adresses IP en noms d'hôte ou en noms de domaine complets. Des recherches inversées sont effectuées sur les zones racine du domaine in -addr .arpa. Les enregistrements PTR peuvent être ajoutés aux zones manuellement ou automatiquement.
Vous trouverez ci-dessous un exemple de représentation textuelle dans un fichier de zone d'un enregistrement PTR créé dans DNS Manager qui mappe l'adresse IP 192.168.0.99 au serveur de nom d'hôte 1.google.ru :
99 RPTserveur 1.Google.ru.
NOTE: Numéro d'enregistrement 99RPT
Dans la zone de recherche inversée, le dernier octet de l'adresse IPv 4 est équivalent au nom d'hôte. Par conséquent, le nombre 99 représente le nom attribué au nœud à l’intérieur de la zone 0.168.192.in -addr .arpa. Cette zone correspond au sous-réseau 192.168.0.0.
Lieu de serviceSRV
Des postes SRV est utilisé pour indiquer l'emplacement des services dans un domaine. Les applications client qui utilisent SRV peuvent récupérer les enregistrements SRV des serveurs d'applications via DNS.
Une application qui utilise SRV est Windows Server 2008 Active Directory. Le service de connexion réseau Netlogon utilise les enregistrements SRV pour localiser les contrôleurs de domaine en recherchant un domaine LDAP (Active Directory Lightweight Directory Access Protocol). DNS pour améliorer la tolérance aux pannes ou dépanner les services réseau.
InclusionDNS pour la résolutionVICTOIRES
Dans l'onglet WINS de la fenêtre des propriétés de la zone, vous pouvez spécifier le serveur WINS que le service Serveur DNS contactera pour rechercher les noms qui ne sont pas trouvés par les requêtes DNS. Lorsque vous spécifiez un serveur WINS sous l'onglet WINS de la boîte de dialogue Propriétés de la zone de recherche directe, une entrée WINS spéciale est ajoutée à cette zone qui fait référence à ce serveur WINS. Lorsque vous spécifiez un serveur WINS sous l'onglet WINS de la boîte de dialogue des propriétés de la zone de recherche inversée, une entrée WINS -R spéciale est ajoutée à la zone pour identifier ce serveur WINS.
Par exemple, si un client DNS demande le nom ClientZ .contoso .com et que le serveur DNS préféré ne trouve pas la réponse à partir de sources normales (cache, données de zone locale et en interrogeant d'autres serveurs), le serveur demande le nom CLIENTZ . sur le serveur WINS spécifié dans l'enregistrement WINS. Si le serveur WINS répond à la requête, le serveur DNS renvoie sa réponse au client.
Nettoyage et suppression des enregistrements obsolètes
Les horodatages sont utilisés dans le DNS pour suivre l'âge des enregistrements de ressources enregistrés dynamiquement. La purge des enregistrements périmés est le processus de suppression des enregistrements obsolètes avec horodatage. La suppression ne peut être effectuée que si des horodatages sont utilisés. L'horodatage et le nettoyage fonctionnent ensemble pour supprimer les anciens enregistrements qui peuvent s'être accumulés dans une zone au fil du temps. Par défaut, les horodatages et le nettoyage sont désactivés.
Activer le nettoyage
Pour activer le nettoyage pour une zone individuelle, vous devez activer la fonctionnalité au niveau du serveur et au niveau de la zone.
Pour activer le nettoyage au niveau du serveur, dans l'arborescence de la console du gestionnaire DNS, cliquez avec le bouton droit sur l'icône du serveur et utilisez la commande Définir le vieillissement/le nettoyage pour toutes les zones. Ensuite, dans la boîte de dialogue Server Aging/Scavenging Properties qui s'ouvre, cochez la case Scavenge Stale Resource Records. Bien que ce paramètre active l'horodatage et le nettoyage au niveau du serveur pour toutes les nouvelles zones, il n'autorise pas l'horodatage et le nettoyage des zones intégrées à Active Directory existantes.
Pour les activer, cliquez sur OK, puis dans la boîte de dialogue Server Aging/Scavenging Confirmation qui s'ouvre, cochez la case pour appliquer ces paramètres aux zones intégrées à Active Directory existantes.
Pour activer les horodatages et le nettoyage au niveau de la zone, ouvrez Propriétés de la zone, puis dans l'onglet Général, cliquez sur le bouton Vieillissement. Dans la boîte de dialogue Zone Aging/Scavenging Properties qui s'ouvre, cochez la case Scavenge Stale Resource Records.
Horodatages Le serveur DNS effectue le nettoyage en utilisant les horodatages définis sur les enregistrements de ressources de la zone. Les zones intégrées à Active Directory définissent par défaut les valeurs d'horodatage pour les entrées enregistrées dynamiquement avant l'activation du nettoyage. Cependant, les zones standard de base définissent les horodatages pour les entrées enregistrées dynamiquement dans la zone uniquement après l'activation du nettoyage. Les enregistrements de ressources créés manuellement pour tous les types de zones se voient attribuer un horodatage de 0 ; cela signifie que leur âge ne sera pas déterminé.- c'est le temps entre dernière mise à jour tampon et sa prochaine mise à jour éventuelle. Le blocage empêche le serveur de traiter des mises à jour inutiles et réduit la quantité de trafic. L'intervalle de blocage par défaut est de 7 jours.
■ Modificationintervallemises à jour
L'intervalle de mise à jour est l'intervalle entre la première fois où l'horodatage a été mis à jour et la première fois où le nettoyage de l'enregistrement a commencé. Après des intervalles de blocage et de mise à jour, les entrées peuvent être supprimées de la zone. Par défaut, l'intervalle est de 7 jours. Par conséquent, si les horodatages sont activés, les enregistrements de ressources enregistrés dynamiquement peuvent être supprimés après 14 jours.
Effectuer un nettoyage
Le nettoyage est effectué dans la zone automatiquement ou manuellement. Pour effectuer automatiquement le nettoyage, vous devez activer la suppression automatique des enregistrements de ressources obsolètes dans l'onglet Avancé de la boîte de dialogue des propriétés du serveur DNS.
Si cette option n'est pas activée, vous pouvez effectuer manuellement un nettoyage de zone en cliquant avec le bouton droit sur l'icône du serveur dans l'arborescence de la console du gestionnaire DNS et en utilisant la commande Scavenge Stale Resource Records.
Noms globaux de zone
Windows Server 2008 inclut une nouvelle fonctionnalité qui permet à tous les clients DNS d'une forêt Active Directory d'utiliser des noms de la même étiquette, tels que Mail, pour se connecter aux ressources du serveur. Ce composant est utile si la liste de recherche de suffixe DNS par défaut pour les clients DNS ne permet pas aux utilisateurs de se connecter rapidement (ou pas du tout) à une ressource en utilisant ce nom unique.
Le serveur DNS de Windows Server 2008 vous permet de créer une zone GlobalNames. Par défaut, la zone GlobalNames n'existe pas, mais en déployant une zone portant ce nom, vous pouvez fournir l'accès aux ressources sélectionnées à l'aide de noms simples sans utiliser WINS. En règle générale, les noms en une seule partie sont attribués à des serveurs importants et largement utilisés auxquels des adresses IP statiques sont déjà attribuées. Noms globaux activés serveur distant, au lieu d'un point, entrez le nom du serveur distant.
■ CréationZones GlobalNames
L'étape suivante du déploiement de la zone GlobalNames consiste à créer une zone pour le serveur DNS qui sert de contrôleur de domaine Windows Server 2008. La zone GlobalNames n'est pas un type spécial de zone, mais plutôt une zone de recherche directe intégrée à Active Directory appelée GlobalNames. . Lorsque vous créez une zone, choisissez de répliquer les données de zone pour tous les serveurs DNS de la forêt. Cette option se trouve sur la page d'étendue de la réplication de zone intégrée à Active Directory (pour activer la résolution de nom en une seule partie, créez un enregistrement d'alias de ressource (CNAME) dans la zone GlobalNames. Le nom attribué à chaque enregistrement CNAME représente le nom en une seule partie qui les utilisateurs peuvent utiliser pour se connecter à une ressource. Notez que chaque enregistrement CNAME spécifie un enregistrement hôte dans encore une autre zone.
À un moment donné, j'ai découvert une vérité simple : si vous voulez vous souvenir de quelque chose, prenez des notes (même en lisant un livre), mais si vous voulez le consolider et le systématiser, transmettez-le aux gens (écrivez un article). Ainsi, après deux ans de travail dans l'intégration de systèmes (un domaine dans lequel je administrateur du système, considéré comme une simple corne d'abondance pour les spécialistes avides de monter de niveau), quand j'ai réalisé que les connaissances étaient progressivement remplacées par les compétences d'édition de documentation et de configuration selon des manuels et des instructions, pour rester en forme, j'ai commencé à écrire des articles sur des choses de base. Par exemple, voici le DNS. À l’époque, je le faisais plutôt pour moi-même, mais je pensais que cela pourrait peut-être être utile à quelqu’un.
Le service dans les réseaux modernes est, sinon la clé, du moins l'un d'entre eux. Ceux pour qui le service DNS n'est pas nouveau peuvent ignorer la première partie en toute sécurité.
(pas d'ancres, donc contenu sans liens)
1. Informations de base
DNS est une base de données contenant principalement des informations sur le mappage des noms d'objets réseau avec leurs adresses IP. « Fondamentalement » - parce que d'autres informations y sont stockées. Plus précisément, les enregistrements de ressources (RR) des types suivants :UN- le même mappage d'un nom de domaine symbolique à son adresse IP.
AAAA- identique à A, mais pour les adresses IPv6.
CNAME- NOM canonique - alias. Si vous souhaitez qu'un serveur portant un nom illisible, tel que nsk-dc2-0704-ibm, sur lequel s'exécute le portail d'entreprise, réponde également au nom du portail, vous pouvez créer un autre enregistrement de type A pour celui-ci, avec le nom du portail et la même adresse IP. Mais ensuite, si l’adresse IP change (tout peut arriver), vous devrez recréer à nouveau tous ces enregistrements. Et si vous créez un CNAME avec le nom portal, pointant vers nsk-dc2-0704-ibm, vous n'aurez rien à changer.
MX- Mail eXchanger - pointeur vers l'échangeur de courrier. Comme CNAME, il s'agit d'un pointeur symbolique vers un enregistrement existant de type A, mais en plus du nom, il contient également une priorité. Il peut y avoir plusieurs enregistrements MX pour un domaine de messagerie, mais tout d'abord le courrier sera envoyé au serveur pour lequel la valeur la plus faible est spécifiée dans le champ de priorité. S'il n'est pas disponible - vers le serveur suivant, etc.
N.-É.- Name Server - contient le nom du serveur DNS responsable de ce domaine. Naturellement, à chaque enregistrement de type NS doit correspondre un enregistrement de type A.
SOA- Début d'autorité - indique lequel des serveurs NS stocke les informations de référence sur un domaine donné, les coordonnées de la personne responsable de la zone, les horaires de stockage des informations dans le cache.
SRV- un pointeur vers un serveur, détenteur d'un service (utilisé pour les services AD et par exemple Jabber). En plus du nom du serveur, il contient des champs tels que Priorité (priorité) - similaire à celui de MX, Poids (poids) - utilisé pour équilibrer la charge entre les serveurs de même priorité - les clients sélectionnent un serveur au hasard avec une probabilité basée sur le poids et le numéro de port - numéro de port sur lequel le service « écoute » les demandes.
Tous les types d'enregistrement ci-dessus se trouvent dans la zone de recherche directe du DNS. Il existe également une zone de recherche inversée - des enregistrements comme RPT- PoinTeR - un enregistrement opposé au type A. Stocke le mappage d'une adresse IP avec son nom symbolique. Nécessaire pour traiter les requêtes inverses - déterminer le nom d'hôte à partir de son adresse IP. Il n'est pas nécessaire au fonctionnement du DNS, mais il est nécessaire pour divers utilitaires de diagnostic, ainsi que pour certains types de protection anti-spam dans les services de messagerie.
De plus, les zones elles-mêmes, qui stockent les informations sur le domaine, sont de deux types (classiquement) :
Primaire- est un fichier texte contenant des informations sur les hôtes et les services du domaine. Le fichier peut être modifié.
Secondaire- également un fichier texte, mais, contrairement au fichier principal, ne peut pas être modifié. Extrait automatiquement du serveur stockant la zone principale. Augmente la disponibilité et la fiabilité.
Pour enregistrer un domaine sur Internet, les informations le concernant doivent être stockées sur au moins deux serveurs DNS.
Sous Windows 2000, un type de zone est apparu : intégré à AD- la zone n'est pas stockée dans un fichier texte, mais dans la base de données AD, ce qui lui permet d'être répliquée vers d'autres contrôleurs de domaine avec AD, en utilisant ses mécanismes de réplication. Le principal avantage de cette option est la possibilité de mettre en œuvre un enregistrement dynamique sécurisé dans DNS. Autrement dit, seuls les ordinateurs membres du domaine peuvent créer des enregistrements les concernant.
Également apparu dans Windows 2003 zone de stub - zone de stub. Il stocke uniquement des informations sur les serveurs DNS qui font autorité pour un domaine donné. Autrement dit, les enregistrements NS. Ce qui a une signification similaire au transfert conditionnel ( renvoi conditionnel), paru dans le même Versions Windows Serveur, mais la liste des serveurs vers lesquels les demandes sont transmises est mise à jour automatiquement.
Requêtes itératives et récursives.
Il est clair qu’un seul serveur DNS ne connaît pas tous les domaines sur Internet. Par conséquent, lorsqu'une demande est reçue à une adresse qui lui est inconnue, par exemple metro.yandex.ru, la séquence d'itérations suivante est lancée :Le serveur DNS accède à l'un des serveurs racine Internet, qui stockent des informations sur les titulaires autorisés de domaines ou de zones de premier niveau (ru, org, com, etc.). Il rapporte au client l'adresse reçue du serveur faisant autorité.
Le client contacte le titulaire de la zone ru avec la même demande.
Le serveur DNS de la zone RU recherche une entrée correspondante dans son cache et, s'il ne la trouve pas, renvoie au client l'adresse du serveur faisant autorité pour le domaine de deuxième niveau - dans notre cas, yandex.ru
Le client contacte le DNS yandex.ru avec la même demande.
Yandex DNS renvoie l'adresse requise.
Une telle séquence d’événements est rare à notre époque. Parce qu'il existe une requête récursive - c'est lorsque le serveur DNS, que le client a initialement contacté, effectue toutes les itérations pour le compte du client, puis renvoie une réponse toute faite au client, et stocke également les informations reçues. dans sa cache. La prise en charge des requêtes récursives peut être désactivée sur le serveur, mais la plupart des serveurs la prennent en charge.
En règle générale, le client fait une demande portant l'indicateur « récursivité requise ».
2. Un peu sur le format des messages DNS
Le message se compose d'un en-tête de 12 octets suivi de 4 champs de longueur variable.L'en-tête est composé des champs suivants :
Format des messages DNS
Identification - le client génère un certain identifiant dans ce champ, qui est ensuite copié dans le champ correspondant de la réponse du serveur afin que vous puissiez comprendre à quelle demande est arrivée la réponse.Flags - Champ de 16 bits divisé en 8 parties :
- QR(type de message), champ de 1 bit : 0 signifie demande, 1 signifie réponse.
- code opération(opcode), champ de 4 bits. La valeur normale est 0 (demande standard). Les autres valeurs sont 1 (demande inverse) et 2 (demande d'état du serveur).
- Les AA- Indicateur 1 bit qui signifie « réponse faisant autorité ». Le serveur DNS a autorité pour ce domaine dans la section des questions.
- CT- Un champ de 1 bit qui signifie « tronqué ». Dans le cas d'UDP, cela signifie que la taille totale de la réponse a dépassé 512 octets, mais que seuls les 512 premiers octets de la réponse ont été renvoyés.
- R.D.- Un champ de 1 bit qui signifie « récursion souhaitée ». Le bit peut être défini dans une requête puis renvoyé dans une réponse. Cet indicateur nécessite que le serveur DNS traite lui-même cette demande (c'est-à-dire que le serveur doit déterminer lui-même l'adresse IP requise et ne pas renvoyer l'adresse d'un autre serveur DNS), ce que l'on appelle une requête récursive. Si ce bit n'est pas défini et que le serveur DNS interrogé n'a pas de réponse faisant autorité, le serveur interrogé renverra une liste d'autres serveurs DNS qui doivent être contactés pour obtenir la réponse. C'est ce qu'on appelle une requête itérative. Nous examinerons des exemples des deux types de requêtes dans les exemples suivants.
- R.A.- Champ de 1 bit qui signifie « récursion disponible ». Ce bit est mis à 1 dans la réponse si le serveur prend en charge la récursion. Nous verrons dans nos exemples que la plupart des serveurs DNS supportent la récursion, à l'exception de quelques serveurs racine (les serveurs racine ne sont pas capables de gérer les requêtes récursives en raison de leur charge de travail).
- 0 - Ce champ de 3 bits doit être égal à 0.
- rcoder il s'agit d'un champ de code retour de 4 bits. Les valeurs communes sont 0 (pas d'erreur) et 3 (erreur de nom). Une erreur de nom est renvoyée uniquement par un serveur DNS faisant autorité et signifie que le nom de domaine spécifié dans la demande n'existe pas.
Les quatre champs suivants de 16 bits indiquent le nombre d'éléments dans les quatre champs de longueur variable qui complètent l'enregistrement. Dans une requête, le nombre de questions est généralement de 1 et les trois compteurs restants sont de 0. Dans une réponse, le nombre de réponses est d'au moins 1 et les deux compteurs restants peuvent être nuls ou non.
Exemple (obtenu à l'aide de WinDump lors de l'exécution de la commande ping www.ru) :
IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53 : 36587+ A ? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036 : 36587 1/2/5 A 194.87.0.50 (196)
La première ligne est la requête : le nom de mon PC, 51036 est un port d'envoi sélectionné au hasard, 53 est un port de serveur DNS pré-connu, 36587 est l'ID de la requête, + est "récursion requise", A est une requête pour un tapez un enregistrement, le point d'interrogation signifie qu'il s'agit d'une demande et non d'une réponse. Entre parenthèses se trouve la longueur du message en octets.
La deuxième ligne est la réponse du serveur : au port source spécifié avec l'ID de demande spécifié. La réponse contient un RR (enregistrement de ressource DNS), qui est la réponse à la demande, 2 notices d'autorité et 5 notices supplémentaires. La longueur totale de la réponse est de 196 octets.
3. TCP et UDP
Il existe des informations selon lesquelles DNS fonctionne via le protocole UDP (port 53). C'est effectivement le cas par défaut : les requêtes et les réponses sont envoyées via UDP. Cependant, la présence du flag TC (Truncated) dans l'en-tête du message est mentionnée ci-dessus. Il est mis à 1 si la taille de la réponse dépasse 512 octets - limite pour une réponse UDP - ce qui signifie qu'elle a été coupée et que seuls les 512 premiers octets ont été envoyés au client. Dans ce cas, le client répète la demande, mais via TCP, qui, de par ses spécificités, peut transférer en toute sécurité de grandes quantités de données.De plus, le transfert des zones des serveurs principaux vers les serveurs supplémentaires s'effectue via TCP, puisque dans ce cas bien plus de 512 octets sont transférés.
4. DNS dans Windows Server 2008 et 2012
Windows 2008 a introduit les fonctionnalités suivantes :Chargement des zones en arrière-plan
Dans les très grandes organisations comportant des zones extrêmement vastes qui utilisent les services de domaine Active Directory pour stocker les données DNS, le redémarrage du serveur DNS peut prendre une heure ou plus pendant que les données DNS sont récupérées à partir du service d'annuaire. Dans ce cas, le serveur DNS n'est pas disponible pour répondre aux demandes des clients tant que les zones des services de domaine Active Directory sont en cours de chargement.Le serveur DNS Windows Server 2008 charge désormais les données de zone des services de domaine Active Directory dans le arrière-plan, grâce à quoi il peut traiter en même temps les demandes de données provenant d'autres zones. Lorsque le serveur DNS démarre, les actions suivantes sont effectuées :
- toutes les zones qui doivent être chargées sont déterminées ;
- Les liens racine sont chargés à partir de fichiers ou du stockage des services de domaine Active Directory ;
- Toutes les zones sauvegardées sur des fichiers sont chargées, c'est-à-dire les zones stockées dans des fichiers plutôt que dans les services de domaine Active Directory ;
- le traitement des requêtes et des appels de procédure à distance (RPC) commence ;
- Un ou plusieurs threads sont créés pour charger les zones stockées dans les services de domaine Active Directory.
Étant donné que la tâche de chargement des zones est effectuée dans des threads distincts, le serveur DNS peut traiter les requêtes pendant le chargement de la zone. Si un client DNS demande des données pour un hôte dans une zone déjà chargée, le serveur DNS répond avec les données (ou, le cas échéant, une réponse négative). Si une requête est effectuée pour un hôte qui n'est pas encore chargé en mémoire, le serveur DNS lit les données de l'hôte à partir des services de domaine Active Directory et met à jour la liste des enregistrements de l'hôte en conséquence.
Prise en charge des adresses IPv6
Le protocole Internet version 6 (IPv6) définit des adresses d'une longueur de 128 bits, par opposition aux adresses du protocole Internet version 4 (IPv4), qui ont une longueur de 32 bits.Les serveurs DNS exécutant Windows Server 2008 prennent désormais entièrement en charge les adresses IPv4 et IPv6. Moyens ligne de commande dnscmd accepte également les adresses dans les deux formats. La liste des redirecteurs peut contenir à la fois des adresses IPv4 et des adresses IPv6. Les clients DHCP peuvent également enregistrer des adresses IPv6 avec (ou à la place) des adresses IPv4. Enfin, les serveurs DNS prennent désormais en charge l'espace de noms de domaine ip6.arpa pour le mappage inverse.
Modifications du client DNS
Résolution du nom LLMNRLes ordinateurs clients DNS peuvent utiliser LLMNR (Link-local Multicast Name Resolution), également appelé multicast DNS ou mDNS, pour résoudre les noms sur un segment de réseau local où un serveur DNS n'est pas disponible. Par exemple, si un sous-réseau est isolé de tous les serveurs DNS du réseau en raison d'une panne de routeur, les clients de ce sous-réseau qui prennent en charge la résolution de noms LLMNR peuvent toujours résoudre les noms à l'aide d'un schéma peer-to-peer jusqu'à ce que la connectivité au réseau soit restaurée.
En plus de résoudre les noms en cas de panne de réseau, LLMNR peut également être utile dans les déploiements de réseaux peer-to-peer, comme dans les salons d'aéroport.
Modifications de Windows 2012 en matière de DNS, elles ont concerné principalement la technologie DNSSEC (assurer la sécurité du DNS en ajoutant signatures numériquesÀ Enregistrements DNS), en particulier - fournissant des mises à jour dynamiques qui n'étaient pas disponibles lorsque DNSSEC était activé dans Windows Server 2008.
5. DNS et annuaire actif
Active Directory s'appuie fortement sur DNS pour ses opérations. Avec son aide, les contrôleurs de domaine se recherchent pour la réplication. Avec son aide (et le service Netlogon), les clients identifient les contrôleurs de domaine pour autorisation.Pour assurer la recherche, lors du processus d'augmentation du rôle d'un contrôleur de domaine sur le serveur, son service Netlogon enregistre les enregistrements A et SRV correspondants dans DNS.
Enregistrements SRV enregistrés par le service Net Logon :
_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.DnsDomainName
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsForestName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.SiteName._sites.DnsDomainName
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName
La première partie de l'enregistrement SRV identifie le service vers lequel pointe l'enregistrement SRV. Les services suivants existent :
_ldap - Active Directory est un service d'annuaire compatible LDAP avec des contrôleurs de domaine fonctionnant comme des serveurs LDAP. Les enregistrements _ldap SRV identifient les serveurs LDAP présents sur le réseau. Ces serveurs peuvent être des contrôleurs de domaine Windows Server 2000+ ou d'autres serveurs LDAP ;
_kerberos - Les enregistrements _kerberos SRV identifient tous les centres de distribution clés (KDC - Key Distribution Centers) du réseau. Il peut s'agir de contrôleurs de domaine exécutant Windows Server 2003 ou d'autres serveurs KDC ;
_kmot de passe - identifie les serveurs de changement de mot de passe Kerberos sur le réseau ;
_gc - Une entrée liée à la fonctionnalité de catalogue global dans Active Directory.
Seuls les contrôleurs de domaine sont enregistrés dans le sous-domaine _mcdcs Microsoft Windows Serveur. Ils créent à la fois des enregistrements principaux et des enregistrements dans un sous-domaine donné. Les services non Microsoft effectuent uniquement des entrées de base.
Guide de domaine - identifiant de domaine global. Un enregistrement le contenant est nécessaire en cas de changement de nom de domaine.
Comment fonctionne le processus de recherche DC ?
Lors de la connexion de l'utilisateur, le client lance un localisateur DNS à l'aide d'un appel de procédure à distance (RPC) par le service NetLogon. Le nom de l'ordinateur, le nom de domaine et le nom du site Web sont transmis à la procédure en tant que données d'entrée.Le service envoie une ou plusieurs requêtes à l'aide de la fonction API DsGetDcName()
Le serveur DNS renvoie la liste de serveurs demandée, triée selon leur priorité et leur poids. Le client envoie ensuite une requête LDAP en utilisant le port UDP 389 à chacune des adresses d'entrée dans l'ordre dans lequel elles ont été renvoyées.
Tous les contrôleurs de domaine disponibles répondent à cette demande en signalant leur état de santé.
Après avoir découvert un contrôleur de domaine, le client établit une connexion LDAP avec celui-ci pour accéder à Active Directory. Dans le cadre de leur conversation, le contrôleur de domaine détermine sur quel site le client est hébergé, en fonction de son adresse IP. Et s'il s'avère que le client n'a pas contacté le DC le plus proche, mais, par exemple, a récemment déménagé vers un autre site et, par habitude, a demandé un DC à l'ancien (les informations sur le site sont mises en cache sur le client en fonction de les résultats de la dernière connexion réussie), le contrôleur lui envoie le nom de son nouveau site (le client). Si le client a déjà essayé de trouver un contrôleur sur ce site, mais sans succès, il continue à utiliser celui trouvé. Dans le cas contraire, une nouvelle requête DNS est lancée indiquant le nouveau site.
Le service Netlogon met en cache les informations d'emplacement du contrôleur de domaine afin qu'il n'ait pas à lancer l'intégralité du processus à chaque fois qu'il doit contacter un contrôleur de domaine. Cependant, si un contrôleur de domaine « sous-optimal » (situé sur un autre site) est utilisé, le client efface ce cache après 15 minutes et relance la recherche (pour tenter de trouver son contrôleur optimal).
Si un ordinateur n'a pas d'informations sur son site dans son cache, il contactera n'importe quel contrôleur de domaine. Afin d'arrêter ce comportement, vous pouvez configurer NetMask Ordering sur DNS. DNS répertoriera ensuite les contrôleurs de domaine dans un ordre tel que les contrôleurs situés sur le même réseau que le client soient répertoriés en premier.
Exemple: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003F indiquera le masque de sous-réseau 255.255.255.192 pour les DC prioritaires. Le masque par défaut est 255.255.255.0 (0x000000FF)
