Qu'est-ce qu'un serveur DNS et ses adresses : de la théorie à la mise au point. Qu'est-ce qu'un serveur DNS, comment connaître l'adresse préférée du fournisseur, la remplacer par le DNS public de Google ou des options alternatives DNS supplémentaires

Qu'est-ce qu'un serveur DNS et ses adresses : de la théorie à la mise au point. Qu'est-ce qu'un serveur DNS, comment connaître l'adresse préférée du fournisseur, la remplacer par le DNS public de Google ou des options alternatives DNS supplémentaires

DNS (ou également connu sous le nom de Domain Name System) est un système qui associe les noms de domaine tels que Google.com ou Yandex.ru aux adresses IP correctes. Ce système est une base de données de noms de domaine et d'adresses IP. Il est utilisé pour maintenir un répertoire de noms de domaine et aider à résoudre ces noms de domaine en adresses IP correctes.

Les noms de domaine sont des adresses lisibles par l’homme que nous utilisons quotidiennement. Par exemple, Nom de domaine Yandex - yandes.ru. Si vous souhaitez visiter le site Web Yandex, entrez simplement yandex.ru dans la barre d'adresse de votre navigateur Web.

Mais votre ordinateur ne sait pas où se trouve "yandex.ru". En coulisses, votre ordinateur contactera les serveurs DNS et vous demandera quelle adresse IP est associée à yandex.ru.

Après cela, il se connectera à ce serveur Web, téléchargera le contenu et l'affichera dans votre navigateur Web.

Dans ce cas, yandex.ru se trouve à l'adresse IP 77.88.55.70 sur Internet. Vous pouvez saisir cette adresse IP dans votre navigateur Web pour visiter le site Web Yandex. Cependant, au lieu de 77.88.55.70, nous utilisons "yandex.ru" car c'est plus facile à retenir.

Sans DNS, l’intégralité d’Internet ne sera pas accessible. Nous reviendrons à l’époque où Internet n’était pas encore né. Et votre ordinateur ne peut être utilisé que pour créer des documents ou jouer à des jeux hors ligne.

Bien sûr, ce n’est qu’une simple explication, en fait, c’est un peu compliqué. Pour obtenir Informations Complémentaires, je vous recommande de lire cet article ou de regarder la vidéo ci-dessous.

Différents fournisseurs d'accès Internet (FAI) utilisent différents serveurs DNS. Par défaut, si vous n'avez pas configuré de serveurs DNS spécifiques sur votre ordinateur (ou routeur), les serveurs DNS par défaut de votre FAI seront utilisés.

Si ces serveurs DNS sont instables, vous pourriez rencontrer des problèmes lors de l'utilisation d'Internet sur votre ordinateur. Par exemple, il ne peut pas charger complètement les sites Web ou n’a pas accès à Internet. Pour éviter les indésirables Erreurs DNS, passez aux serveurs DNS publics tels que Google DNS et OpenDNS.

Voici quelques erreurs courantes liées au DNS que vous pouvez examiner :

  • Correction d'une erreur de recherche DNS dans Google Chrome
  • Comment corriger l'erreur Err_Connection_Timed_Out
  • Comment corriger l'erreur Err_Connection_Refused
  • Correction de l'erreur Dns_Probe_Finished_Nxdomain
  • Réparer le serveur DNS ne répond pas sous Windows

Vous pouvez corriger ces erreurs en accédant aux serveurs DNS tiers répertoriés ci-dessous.

Avantages de l'utilisation de serveurs DNS publics

Vous vous demandez peut-être si votre FAI dispose de serveurs DNS par défaut, pourquoi avez-vous besoin de ces serveurs DNS publics ? Voici les raisons pour lesquelles vous devriez utiliser ces serveurs DNS alternatifs :

  • Certains serveurs DNS par défaut ne sont pas assez rapides et parfois ils expirent. Cependant, votre connexion Internet n'est pas stable. Le passage à ces serveurs DNS les plus rapides vous aidera à augmenter votre vitesse Internet.
  • L'utilisation de ces serveurs DNS publics contribuera à améliorer la stabilité.
  • Certains serveurs DNS tiers disposent de fonctionnalités de protection et de filtrage. Ces fonctionnalités vous aideront à protéger votre ordinateur contre les attaques de phishing.
  • Cela vous aidera à surmonter les restrictions de contenu géographique et les inspections Web. Par exemple, vous pouvez facilement regarder une vidéo YouTube lorsqu'il est indiqué « Cette vidéo n'est pas disponible dans votre pays ».

Liste des 10 meilleurs serveurs DNS publics

Après avoir lu l'explication de ce qu'est un serveur DNS, les serveurs DNS tiers sont utiles, consultez la liste ci-dessous. Voici une liste des 10 meilleurs serveurs DNS tiers :

1. Serveur DNS public Google


C'est l'un des serveurs DNS les plus rapides que de nombreux utilisateurs utilisent sur leurs ordinateurs. En utilisant les serveurs DNS de Google, vous bénéficierez d'une meilleure sécurité et d'une meilleure expérience sur votre ordinateur.

Pour utiliser les serveurs DNS publics de Google, configurez vos paramètres réseau avec les adresses IP suivantes :

8.8.8.8 comme serveur DNS préféré

8.8.4.4 comme serveur DNS alternatif

2.OuvrirDNS


Outre les serveurs DNS de Google, OpenDNS est l'un des meilleurs serveurs DNS cloud. Cela aidera à protéger votre ordinateur contre les attaques malveillantes.

Pour utiliser OpenDNS, configurons vos paramètres réseau avec les adresses IP suivantes :

208.67.222.222

208.67.222.220

OpenDNS propose également deux solutions gratuites pour les clients privés : OpenDNS Family Shield et OpenDNS Home.

La famille OpenDNS Shield est préconfigurée pour bloquer le contenu réservé aux adultes. Pour l'utiliser, vous devez configurer différents serveurs DNS avec les adresses IP suivantes dans vos paramètres réseau.

Serveur DNS préféré : 208.67.222.123

Serveur DNS alternatif : 208.67.220.123

Pendant ce temps, OpenDNS Home est livré avec une protection antivol et anti-phishing personnalisable.

3. Norton ConnectSafe


Norton propose non seulement programmes antivirus et les programmes de sécurité Internet. Il propose également un service de serveur DNS appelé Norton ConnectSafe. Ce service DNS basé sur le cloud aidera à protéger votre ordinateur contre les sites de phishing.

Norton ConnectSafe est livré avec trois stratégies de filtrage de contenu prédéfinies. Ce sont sécurité, sécurité + Pornographie et sécurité + Pornographie + autre.

Vous pouvez jeter un œil à l'image ci-dessous pour plus d'informations sur chaque politique prédéfinie. Visite pour plus d'informations.

4. DNS sécurisé Comodo


Comodo Secure DNS est un service de serveur de noms de domaine qui résout vos requêtes DNS via de nombreux serveurs DNS mondiaux. Il offre une expérience Internet beaucoup plus rapide et meilleure que l'utilisation des serveurs DNS standard fournis par votre FAI.

Si vous souhaitez utiliser Comodo Secure DNS, vous n'avez pas besoin d'installer de matériel ou logiciel. Changez simplement vos serveurs DNS principal et secondaire en 8.26.56.26 et 8.20.247.20.

5. Niveau 3

Niveau3 - le prochain gratuit Service DNS dans cette liste. Cela fonctionne sur la communication de couche 3. Pour en profiter service gratuit, configurez simplement vos paramètres réseau avec les adresses IP DNS suivantes :

209.244.0.3

208.244.0.4

Visite pour plus de détails.

6. Avantage du DNS

C'est l'un des serveurs DNS les plus rapides offrant Meilleure performance lorsque vous travaillez sur Internet. Cela vous aidera à charger des sites Web plus rapidement et de manière plus sécurisée. Pour utiliser DNS Advantage, configurez des serveurs DNS préférés/alternatifs avec les détails suivants :

156.154.70.1

156.154.71.1

7.Ouvrir la carte réseau

Comme beaucoup d'autres serveurs DNS ci-dessus, OpenNIC est une bonne alternative pour remplacer vos serveurs DNS par défaut. Cela protégera votre ordinateur du gouvernement et préservera votre vie privée. Pour utiliser ce service DNS, configurez vos serveurs DNS préférés et alternatifs comme suit :

46.151.208.154

128.199.248.105

Pour trouver des serveurs DNS plus fiables.

8. Doyen

Dyn est le deuxième meilleur serveur DNS tiers gratuit de la liste. Il offre une expérience en ligne incroyable et protège vos informations contre la plupart des attaques de phishing. Configurez vos paramètres réseau avec les adresses IP DNS suivantes pour utiliser le serveur DNS Dyn.

216.146.35.35

216.146.36.36

9.DNS sécurisé

SafeDNS est un autre service DNS basé sur le cloud. Cela vous aidera à protéger votre ordinateur et à offrir la meilleure expérience de navigation sur le Web. Pour utiliser SafeDNS, utilisez les informations DNS suivantes :

195.46.39.39

195.46.39.40

À propos des services DNS gratuits et premium de SafeDNS.

10. Surveillance DNS


DNS.Watch est le dernier service DNS public gratuit de cette liste. Il offre gratuitement une expérience de navigation censurée, rapide et fiable. Pour configurer votre PC ou routeur avec « DNS.Watch », utilisez les deux adresses IP DNS ci-dessous :

84.200.69.80

84.200.70.40

Parfois, si vous ne parvenez pas à surfer correctement sur le Web, vous pouvez essayer de remplacer les serveurs DNS par défaut de votre ordinateur ou de votre routeur par ces serveurs DNS. Cela vous offrira la meilleure expérience de navigation Web et vous protégera également contre les attaques potentielles.

Vous ne savez pas comment changer de serveur DNS sous Windows, Mac ou Android ? Il suffit de lire .

Salutations! Aujourd'hui, nous allons discuter de tout les points importantsà propos du serveur DNS. De ce que c'est, à la mise en place et au choix de DNS alternatifs.. Nous nous asseyons à nos places et n'oublions pas d'attacher notre ceinture !

Si vous avez des questions ou si vous avez quelque chose à ajouter, ASSUREZ-VOUS d'écrire dans les commentaires de cet article. Vous nous aiderez beaucoup, ainsi que les autres lecteurs !

Qu’est-ce que le DNS ?

Nous commençons par une théorie lointaine. Qui n'est pas intéressé, rendez-vous ci-dessous dans le chapitre souhaité - tous les paramètres et choix seront là. Et nous parlerons ici du phénomène DNS lui-même.

DNS - Domain Name System - système de noms de domaine

Était ce effrayant? Essayons de confondre encore plus... c'est-à-dire démêler. Regardons point par point :

  1. Lorsque vous utilisez Internet, vous indiquez le nom du site dans la fenêtre du navigateur. Par exemple, GUGL.FU (puissent-ils nous pardonner et également générer du trafic).
  2. Dans les réseaux, tout adressage est basé sur des adresses IP. Ceux. le fer est capable de rechercher des itinéraires uniquement par des numéros. Par exemple, 7.7.7.7. Mais il n'est pas pratique pour les utilisateurs de mémoriser ces numéros (mémorisez au moins les numéros de 50 de vos contacts depuis le téléphone).
  3. Et puis par analogie avec le téléphone. Vous n'avez pas besoin de connaître les numéros, mais souvenez-vous des noms. Ceux. vous indiquez le nom dans le téléphone et l'appel est dirigé vers le numéro. Il en est ainsi sur Internet - vous entrez un nom symbolique (nom de domaine) et le navigateur, sans passer par les yeux, va rechercher le site souhaité par adresse IP.

Le serveur DNS fait le travail de convertir un nom de domaine en adresse IP. Reçoit des lettres - donne des chiffres.

Pour vérifier cette transformation, vous pouvez « pinger » n'importe quel site :


 L'adresse IP actuelle du domaine ya.ru est 87.250.250.242

Serveurs - Théorie

Nous n'entrerons pas trop en profondeur dans l'architecture des serveurs DNS, mais pour une compréhension générale, il convient de savoir :

  1. Il y en a beaucoup - il n'y en a pas un, en règle générale, vous obtenez un fournisseur DNS, mais ce n'est pas toujours la meilleure solution.
  2. Ils ont une structure imbriquée - racine, pays, fournisseurs, routeurs (très grossièrement). Dans le sens où tous les DNS héritent des informations les uns des autres, et si quelque chose ne figure pas sur celui actuel, la demande sera envoyée plus haut.
  3. Ils ont une adresse IP - vous frappez dessus, et cela donne déjà les adresses IP nécessaires des sites.

En règle générale, après vous être connecté à Internet, sans rien faire avec les paramètres, vous recevrez le DNS de votre FAI.

Comment connaître l'actuel ?

Avant de procéder à l'installation, vous devrez peut-être connaître le serveur DNS actuel. Pour qu'il n'y ait pas d'autres questions, je montre comment procéder rapidement :

  1. Nous devons ouvrir la ligne de commande (il existe d'autres options d'ouverture, vous pouvez la rechercher sur Google). On appuie sur les touches gagner+R.(l'utilitaire "Exécuter" s'ouvre, on y entre cmd


  1. Entrer nslookup


Dans mon cas, le DNS actuel est 192.168.0.1. Pour les utilisateurs avancés, il s'agit de l'adresse du routeur. Toutes les demandes lui sont adressées, et il envoie plus loin (pour le moment, les DNS de Google y travaillent).

Fournisseur

Il est possible de déréférencer des sites via votre fournisseur, mais cela ne fonctionne pas toujours comme il se doit. Pour un utilisateur domestique ordinaire, tout peut passer inaperçu toute une vie, mais si vous travaillez en étroite collaboration avec Internet, des problèmes peuvent survenir de manière inattendue. Mes thèses sur les serveurs fournisseurs :

  1. La stabilité laisse beaucoup à désirer - dans le sens où le bâton tire une fois par an, donc ici une fois tous les deux ans, leurs serveurs tombent, les sites ne s'ouvrent pas hermétiquement. Moment désagréable, un utilisateur domestique pourrait penser qu'Internet est tombé en panne et que le problème était enfoui à la surface. Pour quelqu’un, une chute tous les deux ans suffit au bonheur.
  2. Restrictions territoriales - certains sites seront interdits dans le DNS et la carcasse aura disparu. En fait, ils interdisent rarement quoi que ce soit à l'heure actuelle, mais il y a donc eu des précédents.
  3. Mise à jour lente des zones (pour moi c'est le point le plus important). Les serveurs du fournisseur sont mis à jour très lentement. J'ai changé le propriétaire du site sur mon serveur (il souhaitait passer à un matériel plus puissant), j'ai modifié ses paramètres DNS pour une nouvelle adresse IP, et ces informations ne peuvent parvenir à un utilisateur de la région qu'après quelques jours. Et il frappera à une adresse inexistante, obtiendra un site inaccessible, ou un site avec une violation des certificats de sécurité et une mer d'autres plaies.

Au total, tout fonctionne, parfois très longtemps et bien, mais il existe certains inconvénients faciles à remplacer par un DNS alternatif.

DNS alternatif

DANS Paramètres Windows, que nous examinerons ci-dessous, il existe un champ avec un DNS alternatif. Donc dans ce cas nous parlonsà peu près l'adresse du serveur DNS de sauvegarde si le principal n'est pas disponible. Dans le même chapitre, « alternative » signifie uniquement qu'elle n'est pas délivrée par le fournisseur.

Voici un tableau des principaux DNS actuels actuellement :

ServiceDNS1DNS2
DNS public de Google8.8.8.8
2001:4860:4860::8888 (IPv6)		8.8.4.4
2001:4860:4860::8844 (IPv6)
DNS ouvert208.67.222.222 208.67.220.220
Yandex77.88.8.8
77.88.8.88 (pas de sites frauduleux)
77.88.8.7 (pas de sites pour adultes)		77.88.8.1
77.88.8.2 (pas de sites frauduleux)
77.88.8.3 (pas de sites pour adultes)
VEILLE DNS82.200.69.80 84.200.70.40
Norton Connect sécurisé198.153.192.1
198.153.192.40 (sites sécurisés uniquement)
198.153.192.50 (pas de porno)
198.153.192.60 (sécurité complète)		198.153.194.1
198.153.194.40 (sites sécurisés uniquement)
198.153.194.50 (pas de porno)
198.153.194.60 (sécurité complète)
DNS de niveau 3209.244.0.3
4.2.2.1
4.2.2.3 		209.244.0.4
4.2.2.2
4.2.2.4
DNS sécurisé Comodo8.26.56.26 8.20.247.20
Ouvrir le DNS de la carte réseauChoisissez dans la liste
https://servers.opennic.org		Choisissez dans la liste
https://servers.opennic.org

Permettez-moi de passer brièvement en revue chacun d'entre eux :

  • Google Public DNS - Je l'utilise moi-même et je le recommande jusqu'à ce qu'il soit interdit. Fonctionne comme une horloge, mise à jour rapidement. Les adresses sont faciles à retenir - "huit". Il existe également des versions IPv6.
  • Open DNS est le deuxième service le plus populaire. Je l'ai utilisé pendant un moment, je n'ai pas remarqué beaucoup de différence avec Google. Ça marche et ça va.
  • Yandex - parmi les différences de bonus, il existe des serveurs supplémentaires avec des filtres de site - sans sites de phishing et frauduleux connus, et sans sites pour adultes - ils ne s'ouvriront tout simplement pas. Une sorte de contrôle parental.
  • Le reste fonctionne aussi. Je ne vois pas l'intérêt de décrire, il y aura de l'eau. Pour la maison, le premier suffit, et auquel cas le second. Le reste est un excès pour les spécialistes techniques. Malheureusement ou heureusement, notre WiFiGid n'est pas destiné aux spécialistes.

Paramètre

Et maintenant, je vais vous montrer où vous devez insérer ces adresses pour que tout fonctionne comme une montre suisse coûteuse.

  1. Accédez à « Centre réseau » (Windows 7) ou « Paramètres réseau et Internet » (Windows 10). Pour cela, faites un clic droit sur l'icône du réseau et sélectionnez cet élément :


  1. Ensuite, « Configurer les paramètres de l'adaptateur » (ou « Modifier les paramètres de l'adaptateur ») :


  1. Et ici, nous recherchons déjà notre adaptateur, via lequel nous nous sommes connectés au réseau, faites un clic droit - "Propriétés" et faites tout comme dans le schéma :


Ici, j'ai défini les adresses Google - la première et la deuxième (respectivement les première et deuxième colonnes du tableau ci-dessus). Vous pouvez faire de même ou expérimenter d’autres services.

Ces étapes sont réalisées de la même manière dans les salles d’opération. Systèmes Windows 7, Windows 8, Windows 10.

Cela peut être fait sur tous les appareils, y compris les téléphones (voir les instructions de configuration DNS pour votre modèle). Un exemple à rendre possible :

Et il vaut mieux tout faire d'un coup sur le routeur dans les paramètres du serveur DHCP (qui distribue paramètres réseau aux appareils connectés). Ensuite, tous les appareils qui y sont connectés passeront immédiatement par des serveurs normaux. En utilisant l'exemple de TP-Link, recherchez les paramètres de votre modèle via la recherche sur notre site Web :


Certains programmes, applications et appareils mobiles dans leurs configurations, ils demandent le champ Adresse DNS - les adresses IP du tableau ci-dessus conviennent également.

Erreurs possibles

Il n'existe aucun moyen de lister toutes les erreurs possibles associées aux bogues DNS - vous pouvez les rechercher par nom sur notre site Web, nous avons vraiment trié les principales. Mais l’essence de la résolution de l’un d’entre eux est très simple :

  1. Nous redémarrons le routeur et l'ordinateur, l'ordinateur portable, le téléphone - pour réessayer d'obtenir les paramètres réseau.
  2. Pendant que tout redémarre, nous vérifions les fils - est-ce que tout entre, y a-t-il une fracture quelque part.
  3. Si cela ne résout pas le problème, saisissez les adresses DNS manuellement comme dans la section ci-dessus.
  4. Si cela ne résout pas le problème, l'erreur se situe quelque part du côté du fournisseur ou sur le site lui-même (même mouvement possible). Si absolument rien ne s'ouvre, juste au cas où, nous essayons de désactiver les antivirus, pare-feu, proxys, VPN et autres logiciels utilisés par le réseau.

Si tout va vraiment mal et que vous n'avez rien trouvé, écrivez un commentaire ci-dessous !

Vous souhaitez tester rapidement les connaissances de votre administrateur système ? Demandez-lui l'adresse IP du DNS public de Google. Tout administrateur système qui se respecte répondra : "8.8.8.8", et l'avancé ajoutera "... et 8.8.4.4".

Ce qui s'est passéDNS?

DNS est un acronyme pour Domain Name System. Traduit par système de noms de domaine, il s'agit d'un système qui fait correspondre un nom de domaine et une adresse IP d'un hôte. Ainsi, connaissant le nom d'hôte, vous pouvez obtenir son adresse et vice versa. Pourquoi est-ce? World Wide Web Internet est conçu de telle manière que chaque appareil (ordinateur, téléphone, tablette, routeur) possède sa propre adresse unique (en fait, les adresses peuvent être répétées lorsqu'il s'agit de différents réseaux LOCAUX, mais dans cet article nous parlons de réseau mondial et nous n'entrerons pas dans les détails du NAT, du PAT et du routage), et vous ne pouvez accéder à cet appareil qu'en connaissant son adresse sur le réseau. Lorsque nous travaillons sur Internet, nous accédons chaque jour à des dizaines de sites. Il serait difficile de se souvenir de toutes leurs adresses, constituées d'une séquence de chiffres et de points, par exemple, laquelle est plus facile à retenir 77.222.61.238 ou integrus.compumur.ru ? Bien sûr, le deuxième. Et le système de noms de domaine mémorisera l’adresse pour vous.

Le DNS est présent sur n'importe quel ordinateur, dans chaque réseau et chez chaque fournisseur. De plus, il a une forme hiérarchique, et dans le cas où le système de noms de domaine ne peut pas déterminer l'adresse de la ressource demandée par le nom de domaine, il transmet la demande au serveur DNS supérieur. La requête peut être envoyée à l'un des 13 serveurs DNS racine « les plus importants au monde ».

Comment installer un serveur DNS ?

Le serveur peut remplir diverses fonctions, il peut agir comme un catalogue global, stocker des informations sur les fichiers, travailler avec des bases de données, travailler simultanément avec plusieurs utilisateurs. En fonction de l'objectif du serveur, des rôles y sont installés - un ensemble spécial de programmes qui permettent au serveur d'exécuter les fonctions nécessaires.

Comment installer un rôleDes serveurs DNS ? Nous installerons sur Serveur Windows 2012R2.

Le plus souvent, le rôle de serveur DNS est installé avec un contrôleur de domaine. Mais si lors de l'installation Active Directory Si vous avez décoché la case « Serveur DNS » ou si AD n'est tout simplement pas nécessaire, vous devez alors installer uniquement le serveur DNS. Pour cela, rendez-vous dans le gestionnaire de serveur et cliquez sur le bouton "Ajouter des rôles et des fonctionnalités".

La fenêtre Assistant Ajout de rôles et de fonctionnalités s'ouvre. Lisez le texte d'introduction de l'assistant et cliquez sur Suivant.

Assurez-vous que Installer les rôles et les fonctionnalités est sélectionné et cliquez sur Suivant.

Sélectionnez un serveur dans le pool de serveurs. Dans notre cas, il n’y a qu’un seul serveur, vous pouvez en avoir plusieurs.

Sélectionnez le rôle du serveur DNS.

En cochant l'élément requis avec une coche, nous verrons la fenêtre « Assistant d'ajout de rôles et de fonctionnalités » qui apparaît. Ces composants sont requis pour gérer le rôle en cours d’installation. Si vous envisagez d'administrer le serveur DNS à partir d'un autre serveur, vous pouvez ignorer l'ajout de ces composants.

En revenant à la fenêtre avec le serveur DNS coché, cliquez sur le bouton « Suivant », puis à nouveau sur « Suivant » et « Suivant » jusqu'à ce que le bouton « Installer » devienne actif.

Cliquez sur le bouton "Installer".

L'installation va commencer.

Une fois l'installation terminée (l'installation durera moins de 5 minutes), le message suivant apparaîtra : "Installation terminée sur YourServerName". Vous pouvez cliquer sur le bouton "Fermer". Désormais, une nouvelle ligne « DNS » apparaîtra dans le panneau de surveillance du serveur, ainsi que dans le menu Démarrer. Si vous cliquez sur cette ligne, alors le "DNS Manager" démarrera.

Cela ressemble à ceci.

Sur ce moment Aucune zone n'est configurée sur le serveur DNS. Un tel serveur est appelé serveur de mise en cache. Les zones font partie de l'espace de noms dont le serveur est responsable. Les zones de recherche directe impliquent la traduction d’un nom en adresse IP. En revanche, une zone de recherche inversée mappe une adresse IP à un nom.

Créons une zone de recherche directe et faisons-en configuration simple.

Pour cela, faites un clic droit sur l'inscription « Zones de recherche directe » puis « Créer une nouvelle zone ».

La fenêtre "Assistant Nouvelle Zone" s'ouvrira, cliquez sur "Suivant". La fenêtre de sélection du type de zone s'ouvrira. Si vous ne disposez pas d'un autre serveur DNS, sélectionnez « Zone principale » et « Suivant ».

Dans la fenêtre suivante, vous devez spécifier le nom de la zone. Il est recommandé d'utiliser votre domaine. Dans notre cas, le nom serait : . Cliquez sur Suivant".

Dans la fenêtre suivante, sélectionnez le type de mise à jour dynamique. Il est recommandé d'activer les mises à jour dynamiques, mais uniquement si le DNS sera utilisé exclusivement dans votre réseau local. Sinon, cet élément peut entraîner des risques de sécurité, dont l'assistant de nouvelle zone vous avertira.

Cliquez sur "Suivant" et "Terminer". La zone de recherche directe a été créée avec succès, effectuons sa configuration simple. La zone de navigation est configurée en ajoutant des enregistrements DNS à la zone. Il existe plusieurs types d'enregistrements DNS. Considérez les principaux types :

  • Un enregistrement. Mappe le nom d'hôte et l'adresse du protocole IPV
  • Enregistrement AAAA. Mappe le nom d'hôte et l'adresse du protocole IPV
  • Enregistrement CNAME. Alias, utilisé pour rediriger vers un autre nom.
  • Enregistrement MX. Entrée de courrier, pointe vers les serveurs de messagerie.
  • Enregistrement NS. Pointe vers le serveur DNS du domaine.

Créons un enregistrement A pour notre nouvelle zone de recherche directe. Pour ce faire, faites un clic droit sur la zone et sélectionnez l'élément approprié dans le menu contextuel, comme indiqué sur la figure.

Dans la fenêtre Nouveau nœud qui s'ouvre, saisissez le nom du nœud, par exemple GateWay, et son adresse IP, par exemple 192.168.0.1. Cliquez sur le bouton Ajouter un nœud.

Prêt! Entrée créée avec succès !

Dans cet article, nous avons essayé d'expliquer dans le langage le plus compréhensible à une personne simple sans connaissance approfondie de l'informatique ce qu'est le DNS, comment installer le rôle de serveur DNS sur Windows Server 2012, nous nous sommes familiarisés avec les principaux types d'enregistrements et les avons montrés en images. comment ces enregistrements sont faits. Et si tout ce qui précède vous semble difficile, alors nos spécialistes mettront en place un serveur pour vous en moins d'une heure.

Une zone est une base de données qui contient des informations faisant autorité sur une région de l'espace de noms DNS. Lorsque vous installez un serveur DNS avec un contrôleur de domaine, une zone DNS est automatiquement créée pour prendre en charge le domaine Active Directory. Si le serveur DNS a été installé sur un contrôleur de domaine, un serveur membre du domaine ou un serveur autonome, les zones doivent être créées et configurées manuellement.

Cette leçon explique comment créer et configurer une zone et fournit les informations requises pour configurer correctement une zone.

Création de zones

Zone DNS est une base de données contenant des enregistrements quiassocier des noms à des adresses dans la région décrite de l'espace de noms DNS. Bien queLe serveur DNS peut utiliser les informations mises en cache pour répondre aux requêtes de nom.informations provenant d'autres serveurs, il est autorisé à répondre aux demandes uniquement danszone gérée localement. Pour n'importe quelle étendue de l'espace de noms DNS,représenté par un nom de domaine (par exemple, google .ru ), il n'y en a qu'unsource de données faisant autorité pour la zone.
Si vous devez créer une nouvelle zone sur le serveur DNS, vous pouvez utiliser l'assistant de nouvelle zone dans DNS Manager. Pour lancer l'assistant, cliquez avec le bouton droit sur l'icône du serveur dans l'arborescence de la console du gestionnaire DNS et utilisez la commande Nouvelle zone.

L'Assistant Nouvelle zone contient les pages de configuration suivantes :

Type de zone ;

Portée de réplication de zone, intégré V Active Directory (étendue de réplication de zone Active Directory) ;

Zone de recherche directe ou inversée (Zone de recherche directe ou inversée) ;

Nom de la zone (Nom de la zone) ;

Mise à jour dynamique (Mise à jour dynamique).

Les sections suivantes décrivent les concepts de configuration associés à ces cinq pages d'assistant.

Sélection du type de zone

Sur la page Type de zone de l'Assistant Nouvelle zone, vous pouvez choisir de créer une zone principale, secondaire ou stub. En créant une zone principale ou une zone stub sur un contrôleur de domaine, vous pouvez stocker les données de zone dans Active Directory.

* Zones principales

Le type de zone DNS le plus courant est la zone principale. Il fournit les données sources initiales en lecture/écriture qui accordent au serveur DNS local le pouvoir de répondre aux requêtes DNS sur le domaine de l'espace de noms DNS.

Le serveur DNS local qui gère la zone principale sert de source principale d'informations sur cette zone. Le serveur stocke une copie principale des données de zone dans un fichier local ou dans les services de domaine Active Directory (AD DS). Si une zone est stockée dans un fichier et non dans Active Directory, ce fichier est nommé par défaut nom_zone.DNS et est stocké dans le dossier %systemroot%\System 32\Dns sur le serveur.

*Zones supplémentaires

Fournit une copie faisant autorité en lecture seule de la zone principale ou d’une autre zone secondaire.

Les zones secondaires offrent la possibilité de réduire la quantité de trafic de requêtes DNS dans les zones du réseau où les demandes et l'utilisation des données de zone sont importantes. De plus, si le serveur qui gère la zone principale devient indisponible, la zone secondaire peut assurer la résolution de noms jusqu'à ce que le serveur principal redevienne disponible.

Les zones sources à partir desquelles des zones supplémentaires reçoivent des informations sont appelées zones maîtres, et les procédures de copie de données qui garantissent que les informations de zone sont régulièrement mises à jour sont appelées transferts de zone. La zone maître peut être la zone principale ou une autre zone secondaire. Une zone maître peut être attribuée à une zone supplémentaire à créer dans l'assistant Nouvelle zone. La zone secondaire étant une copie de la zone principale gérée par un autre serveur, elle ne peut pas être stockée dans Active Directory.

* Zones de stub

Similaire à la zone secondaire, mais contient les enregistrements de ressources nécessaires pour identifier les serveurs DNS faisant autorité de la zone principale. Les zones stub sont souvent utilisées pour que la zone parent (par exemple, google .ru ) puisse utiliser une liste à jour de serveurs de noms disponibles dans la zone enfant déléguée (par exemple : traduire .google .ru ). Ils servent également à améliorer la résolution de noms et à simplifier l'administration DNS.

* Zones de stockage enActifAnnuaire

Lors de la création d'une zone principale ou d'un stub sur un contrôleur de domaine, sur la page Type de zone de l'assistant, vous pouvez sélectionner l'option permettant de stocker la zone dans Active Directory. Les données des zones intégrées à Active Directory sont automatiquement répliquées vers Active Directory en fonction des paramètres que vous sélectionnez sur la page Étendue de réplication de la zone Active Directory. Cette option élimine le besoin de configurer des transferts de zone vers des serveurs supplémentaires.

L'intégration d'une zone DNS dans Active Directory offre plusieurs avantages. Premièrement, étant donné qu'Active Directory effectue la réplication de zone, il n'est pas nécessaire de configurer un mécanisme de transfert de zone DNS distinct entre les serveurs principal et secondaire. La réplication réseau multiple offre automatiquement une tolérance aux pannes et des performances améliorées grâce à la disponibilité de plusieurs serveurs maîtres en lecture/écriture. Deuxièmement, Active Directory vous permet de mettre à jour et de répliquer les propriétés individuelles des enregistrements de ressources sur les serveurs DNS. Étant donné que de nombreux enregistrements de ressources complets ne sont pas transférés, la charge sur les ressources réseau lors des transferts de zones est réduite. Enfin, les zones intégrées à AD offrent également la possibilité de mettre en œuvre des exigences de sécurité de mise à jour dynamique, qui sont configurées sur la page Mise à jour dynamique de l'assistant de nouvelle zone.

NOTE: Contrôleurs de domaine lisibles et zones intégrées Active Directory

Sur les contrôleurs de domaine traditionnels, la copie de zone bénéficie d'un accès en lecture/écriture. Sur les contrôleurs de domaine en lecture seule (RODC), la copie de zone se voit attribuer uniquement un accès en lecture.

*Zones standards

Lorsque vous créez une zone sur un contrôleur de domaine, l'option permettant de stocker la zone dans Active Directory sur la page Type de zone est sélectionnée par défaut. Vous pouvez cependant décocher cette case et créer une zone dite standard. Sur un serveur qui n'est pas un contrôleur de domaine, seules des zones standard peuvent être créées et la case à cocher sur cette page est désactivée.

Contrairement à une zone intégrée à Active Directory, une zone standard stocke ses données dans fichier texte sur le serveur DNS local. De plus, si vous utilisez des zones standard, vous pouvez uniquement configurer la copie principale avec un accès en lecture/écriture aux données de zone. Toutes les autres copies de la zone (zones secondaires) se voient attribuer un accès en lecture seule.

Le modèle de zone standard suppose un point de défaillance unique pour la version inscriptible de la zone. Si la zone principale n'est pas disponible sur le réseau, aucune modification ne peut être apportée à la zone. Toutefois, les requêtes de noms dans une zone ne peuvent pas être interrompues tant que des zones supplémentaires sont disponibles.

Sélection du périmètre de réplication de la zone intégrée dansActifAnnuaire

Sur la page Étendue de réplication de zone Active Directory de l'Assistant Nouvelle zone, vous pouvez sélectionner des contrôleurs de domaine sur votre réseau pour stocker les données de zone. Cette page n'apparaît que si vous sélectionnez l'option Enregistrer la zone et Active Directory. Les options de sélection de l'étendue de la réplication de zone déterminent les contrôleurs de domaine parmi lesquels les données de zone seront répliquées.

Cette page contient les options suivantes :

Conserver la zone sur tous les contrôleurs de domaine qui sont également des serveurs DNS dans l'ensemble de la forêt Active Directory ;

Conserver la zone sur tous les contrôleurs de domaine qui servent également de serveurs DNS et de domaine Active Directory local ;

Enregistrez la zone sur tous les contrôleurs de domaine et le domaine Active Directory local (utilisé pour la compatibilité avec Windows 2000) ;

Conservez la zone sur tous les contrôleurs de domaine spécifiés et étendez la partition d'annuaire Active Directory personnalisée.

Ces options sont décrites plus en détail dans la deuxième rubrique.

Création de zones de recherche directe et inversée

Sur la page Zone de recherche directe ou inversée de l'assistant Nouvelle zone, vous devez sélectionner le type de zone à créer ; Zone de recherche directe ou zone de recherche inversée.

Dans les zones de recherche directe, les serveurs DNS mappent les FQDN aux adresses IP. Dans les zones de recherche inversée, les serveurs DNS mappent les adresses IP aux noms de domaine complets. Ainsi, les zones de recherche directe répondent aux demandes de résolution des FQDN en adresses IP, et les zones de recherche inversée répondent aux demandes de résolution des adresses IP en FQDN. Notez que les zones de recherche directe sont nommées en fonction des noms de domaine D NS pour lesquels la résolution est effectuée, tels que comme google .com. Les zones de recherche inversée sont également nommées dans l'ordre inverse des trois premiers octets de l'espace d'adressage pour lequel la résolution de nom est fournie, plus une balise in-addr.arpa supplémentaire. Par exemple, si vous résolvez les noms du sous-réseau 192.168.1.0/24, la zone de recherche inversée sera nommée 1.168.192.in-addr.arpa. Dans une zone de recherche directe, une seule entrée de base de données qui mappe un nom d'hôte à une adresse est appelée un nœud(UN). Dans une zone de recherche inversée, une seule entrée de base de données qui mappe une adresse IP à un nom d'hôte est appelée aiguille ou enregistrement PTR.

Le principe de fonctionnement de mes recherches directes et inversées est illustré dans la figure.

Zone de recherche directe

Zone de recherche inversée

NOTE: Assistant de configuration du serveur DNS

Vous pouvez utiliser l'assistant de configuration d'un serveur DNS pour créer simultanément des zones de recherche directe et inversée. Pour démarrer l'assistant, cliquez avec le bouton droit sur l'icône du serveur dans l'arborescence de la console du gestionnaire DNS et utilisez la commande Configurer un serveur DNS.

Choisir un nom de zone

Sur la page Nom de zone de l'Assistant Nouvelle zone, vous pouvez sélectionner le nom de la zone de recherche directe à créer. Les zones de recherche inversée reçoivent des noms spécifiques en fonction de la plage d'adresses IP pour lesquelles elles font autorité.

Si vous créez une zone pour résoudre des noms dans un domaine Active Directory, il est préférable de spécifier un nom de zone qui correspond au nom du domaine Active Directory. Par exemple, si une organisation possède deux domaines Active Directory nommés google .ru et traduire .google .ru , l'infrastructure de résolution de noms doit inclure deux zones dont les noms correspondent à ces noms de domaine.

Si vous créez une zone pour un espace de noms DNS en dehors d'un environnement ActiveDirectory, vous devez spécifier le nom de domaine Internet de l'organisation, tel que wikipedia .org .

NOTE: AddendaServeurs DNS par contrôleur de domaine

Pour ajouter un serveur DNS à un contrôleur de domaine existant, vous ajoutez généralement une copie de la zone principale pour fournir une résolution de noms dans le domaine Active Directory local. Pour ce faire, créez simplement une zone dont le nom correspond au nom d'une zone existante dans le domaine Active Directory local. La nouvelle zone sera remplie de données provenant d'autres serveurs DNS du domaine.

Configuration des options de mise à jour dynamique

Les ordinateurs clients DNS peuvent enregistrer et mettre à jour dynamiquement leurs enregistrements de ressources auprès d'un serveur DNS. Par défaut, les clients DNS avec des adresses IP statiques mettent à jour les enregistrements d'hôte (A ou AAAA) et de pointeur (PTR), tandis que les clients DNS qui sont des clients DHCP mettent uniquement à jour les enregistrements d'hôte. Dans un environnement de groupe de travail, le serveur DHCP met à jour les entrées de pointeur pour le compte du client DHCP à chaque fois que la configuration IP est mise à jour.

Pour que les mises à jour DNS dynamiques réussissent, la zone dans laquelle les clients enregistrent ou mettent à jour les enregistrements doit être configurée pour accepter les mises à jour dynamiques. Il existe deux types de telles mises à jour :

Sûrmise à jour (sécurisémises à jour)

Vous permet de vous inscrire uniquement à partir d'ordinateurs du domaine Active Directory et de mettre à jour uniquement à partir de l'ordinateur qui a initialement effectué l'enregistrement.

Peu sûrmises à jour (Non sécurisémises à jour)

Vous permet de mettre à jour depuis n’importe quel ordinateur.

Sur la page Mise à jour dynamique de l'Assistant Nouvelle zone, vous pouvez activer les mises à jour dynamiques sécurisées et non sécurisées pour la zone que vous créez, ou désactiver complètement les mises à jour.

Analyse des enregistrements de ressources intégrées

Lorsque vous créez une nouvelle zone, deux types d'enregistrements sont automatiquement créés. Premièrement, une telle zone comprend toujours un enregistrement de zone SOA (Start Of Authority) initial qui définit les propriétés de base de la zone. De plus, les nouvelles zones contiennent au moins une entrée de serveur de noms NS (Name Server ) qui spécifie le nom du ou des serveurs faisant autorité pour la zone. Les fonctions de ces deux enregistrements de ressources sont décrites ci-dessous.

Enregistrements de zone initiaux

Lorsqu'une zone est chargée, le serveur DNS utilise l'enregistrement Start Of Authority (SOA) de la zone pour déterminer les propriétés et autorités de base de la zone. Ces paramètres caractérisent également la fréquence des transferts de zone entre les serveurs principal et secondaire. Un double-clic sur une entrée SOA ouvre l'onglet Début d'autorité (SOA) de la boîte de dialogue des propriétés de la zone.

En sérienuméro (numéro de série)

Cette zone de texte sur l'onglet Start Zone Record (SOA) contient le numéro de révision du fichier de zone. Le nombre spécifié ici est incrémenté chaque fois que les enregistrements de ressources dans la zone sont modifiés. Il peut également être augmenté manuellement à l'aide du bouton Incrémenter.

Si les zones sont configurées pour effectuer des transferts de zone vers un ou plusieurs serveurs secondaires, ces serveurs secondaires demandent périodiquement le numéro de série de zone au serveur principal. De telles requêtes sont appelées requêtes SOA. Si un numéro de série de zone principale égal au numéro de série de zone secondaire est reçu dans la demande SOA, le transfert échoue. Si le numéro de série de la zone sur le serveur principal est supérieur à la valeur correspondante sur le serveur secondaire demandeur, le serveur secondaire initie un transfert de zone.

NOTE: Transfert de zone sur le serveur principal

Cliquer sur le bouton Incrémenter lance un transfert de zone.

Basiqueserveur (Primaireserveur)

Responsablepersonne (personne responsable)

Dans ce champ, saisissez le nom de la personne responsable (RP) correspondant à la boîte aux lettres du domaine de l'administrateur de zone. Le nom saisi dans ce champ doit toujours se terminer par un point. Le nom par défaut est hostmaster.

Intervallemises à jour (intervalle de rafraîchissement)

La valeur de ce champ détermine la durée pendant laquelle le serveur DNS secondaire attend avant de demander une mise à jour de zone sur le serveur principal. Une fois l'intervalle d'actualisation écoulé, le serveur DNS secondaire interroge le serveur principal pour obtenir une copie de l'enregistrement SOA actuel. Après avoir reçu la réponse, le serveur DNS supplémentaire compare le numéro de série de l'enregistrement SOA actuel du serveur principal (spécifié dans la réponse) avec numéro de série votre enregistrement SOA local. Si ces valeurs diffèrent, le serveur DNS secondaire demande un transfert de zone au serveur DNS principal. L'intervalle d'actualisation par défaut est de 15 minutes.

IntervalleIntervalle de nouvelle tentative

Termeexpireaprès (Expire après)

La valeur de ce champ détermine la durée pendant laquelle le serveur secondaire continue d'interroger les clients DNS sans contacter le serveur principal. Passé ce délai, les données sont considérées comme peu fiables. La valeur par défaut de ce paramètre est un jour.

Le minimumtermeDurée de vie TTL (minimum (par défaut)TTL)

Les valeurs TTL ne s'appliquent pas aux enregistrements de ressources dans les zones faisant autorité. Et ces zones utilisent la durée de vie du cache d'écriture des ressources sur des serveurs ne faisant pas autorité pour les valeurs TTL. Le serveur DNS qui a mis en cache l'enregistrement de ressource de la requête précédente vide cet enregistrement, mais la durée de vie de l'enregistrement expire.

Terme vie(TTL)enregistrements(TTL pour cet enregistrement)

La valeur spécifiée dans cette iole détermine la durée de vie de l'enregistrement SOA actuel. Cette valeur remplace la valeur par défaut spécifiée dans le champ précédent.

Entrées du serveur de noms

L'entrée du serveur de noms (NS) spécifie le serveur faisant autorité pour la zone. Lorsque vous créez une zone dans Windows Server 2008, chaque serveur qui gère la copie principale d'une zone intégrée à AD aura par défaut son propre enregistrement NS dans la nouvelle zone. Lorsque vous créez une zone principale standard, l'enregistrement NS du serveur local sera ajouté par défaut.

Pour les serveurs qui gèrent des zones secondaires, vous devez ajouter manuellement des enregistrements NS à la copie principale de la zone.

Les enregistrements NS sont créés à l'aide d'une procédure différente de celle utilisée lors de la création d'autres types d'enregistrements de ressources. Pour ajouter des enregistrements NS, dans DNS Manager, double-cliquez sur n'importe quel un enregistrement existant N.-É. L'onglet Serveurs de noms de la boîte de dialogue Propriétés de la zone s'ouvre. Dans l'onglet Serveurs de noms, cliquez sur le bouton Ajouter pour ajouter le nom de domaine complet et l'adresse IP du serveur qui gère la zone secondaire de la zone principale locale. En ajoutant nouveau serveur, cliquez sur OK - DNS Manager affichera nouvelle entrée NS indiquant ce serveur.

NOTE: Activation de la transmission vers des zones supplémentaires

La zone secondaire ne reconnaît pas cette entrée comme serveur de noms valide tant qu'elle contient une copie valide des données de la zone. Pour que la zone secondaire reçoive ces données, les transferts de zone doivent être activés pour ce serveur dans l'onglet Transferts de zone de la boîte de dialogue des propriétés de la zone. Cet onglet est décrit plus en détail dans la rubrique suivante.

Voici un exemple d'entrée créée dans un fichier de zone standard :

@NS dns1.lucernepublishing.com.

Le symbole @ représente la zone définie par l'entrée SOA dans le fichier de zone. L'enregistrement complet mappe ensuite le domaine wikipedia .org au serveur DNS dns1.wikipedia .org .

Créer des enregistrements de ressources

En plus des enregistrements SOA et NS, d'autres enregistrements de ressources sont automatiquement créés. Par exemple, lors de l'installation d'un nouveau serveur DNS, lorsque le serveur est désigné comme contrôleur de domaine, de nombreux enregistrements SRV Active Directory Domain Services (AD DS) sont créés automatiquement dans la zone gérée localement. De plus, de nombreux clients DNS enregistrent automatiquement les enregistrements d'hôte (A et AAAA) et de pointeur (PTR) dans la zone par défaut via une mise à jour dynamique.

Bien que de nombreux enregistrements de ressources soient créés automatiquement, les environnements d'entreprise nécessitent généralement que vous créiez manuellement certains enregistrements de ressources, tels que MX (Mail Exchanger ) pour les serveurs de messagerie, les alias (CNAME ) pour les serveurs Web et d'applications et les enregistrements d'hôte pour les serveurs et les clients qui ne peuvent pas le faire. effectuer leurs propres mises à jour.

Pour ajouter manuellement un enregistrement de ressource pour une zone, dans la console DNS Manager, cliquez avec le bouton droit sur l'icône de la zone et sélectionnez menu contextuel sélectionnez le type d'enregistrement à créer.

Après avoir sélectionné une entrée dans le menu contextuel, une boîte de dialogue s'ouvrira dans laquelle vous pourrez spécifier le nom de l'entrée et l'ordinateur qui lui est associé. Notez que seuls les enregistrements d'hôte associent un nom d'ordinateur à une adresse IP. La plupart des types d'entrée associent un nom de service ou un alias à l'entrée d'hôte d'origine. Ainsi, l'enregistrement MX s'appuie sur la présence du nœud SRV 12.nwtraders .msft dans la zone d'enregistrement.

Types d'enregistrements

Les enregistrements de ressources suivants sont courants et créés manuellement :

nœud (UNouALAA);

pseudonyme (CNAME);

mailéchangeur (MX);

pointeur (PTR);

emplacementprestations de service (SRV).

Nœud (A ou AAAA)

Pour la plupart des réseaux, la majeure partie des enregistrements de ressources dans la base de données de zone sont des enregistrements de ressources de nœud. Ces enregistrements sont utilisés dans la zone pour associer les noms d'ordinateurs (noms d'hôte) aux adresses IP.

Même avec les mises à jour dynamiques activées pour les zones, dans certains scénarios d'écriture de nœud, vous devrez ajouter manuellement des entrées à la zone. Dans la figure ci-dessous, Contoso, Inc. utilise le nom de domaine contoso .com dans l'espace de noms public et le domaine Active Directory interne. Dans ce cas, le serveur Web public www .contoso .com est situé en dehors du domaine Active Directory et effectue des mises à jour uniquement sur le serveur DNS public faisant autorité contoso .com . Mais les clients internes transmettent leurs requêtes DNS aux serveurs DNS internes. Étant donné que l'enregistrement www .contoso .com A n'est pas mis à jour dynamiquement sur les serveurs DNS internes, il est ajouté manuellement afin que les clients internes puissent résoudre les noms et se connecter au serveur Web public.

Les entrées d'hôte peuvent être ajoutées manuellement si le réseau utilise un serveur UNIX. Par exemple, Fabrikam, Inc. possède un domaine Active Directory sur son réseau privé nommé fabrikam ,com . Ce réseau comprend également le serveur UNIX App1.fabrikam,com, qui exécute une application importante pour les opérations quotidiennes de l'entreprise. Étant donné que les serveurs UNIX ne peuvent pas effectuer de mises à jour dynamiques, vous devez ajouter manuellement l'entrée d'hôte du serveur App1 au serveur DNS qui gère la zone fabrikam.com. Dans le cas contraire, les utilisateurs ne pourront pas se connecter au serveur d'applications en spécifiant son FQDN.

Alias ​​​​(CNAME)

Ces entrées sont parfois appelées noms canoniques. Ils vous permettent d'utiliser plusieurs noms pour faire référence à un seul nœud. Par exemple, les noms de serveurs connus (ftp, www) sont généralement enregistrés à l'aide d'enregistrements CNAME. Ces entrées mappent les noms d'hôtes correspondant à leurs services à l'entrée réelle de l'ordinateur A qui contrôle le service.

Lorsque vous souhaitez renommer l'hôte spécifié dans l'enregistrement A de la même zone.

Lorsqu'un nom de groupe de serveurs bien connu (par exemple www) doit être résolu en un groupe d'ordinateurs distincts (chacun contenant des enregistrements A individuels) fournissant le même service (par exemple un groupe de serveurs Web redondants).

échangeur de courrier (MX)

Ces entrées sont utilisées par les applications E-mail pour la localisation serveur de courrier dans la zone. Ils permettent de faire correspondre le nom de domaine spécifié dans l'adresse e-mail avec l'enregistrement A de l'ordinateur qui gère le serveur de messagerie du domaine. Ainsi, ce type d'enregistrement permet au serveur DNS de traiter les adresses e-mail pour lesquelles aucun serveur de messagerie n'est spécifié.

Souvent, les enregistrements MX sont créés pour permettre le basculement vers un autre serveur de messagerie au cas où le serveur préféré deviendrait indisponible.

Une pluralité de serveurs se voient attribuer des valeurs de préférence. Plus cette valeur est faible, plus l'ordre de préférence du serveur est élevé.

NOTE: Symbole @

Dans cet exemple, le symbole @ représente le nom de domaine local contenu dans l'adresse e-mail.

AiguilleRPT

Cette entrée est utilisée uniquement dans les zones de recherche inversée pour prendre en charge la recherche inversée qui se produit lors de la résolution des adresses IP en noms d'hôte ou en noms de domaine complets. La recherche inversée est effectuée dans les zones racine du domaine in -addr .arpa. Les enregistrements PTR peuvent être ajoutés aux zones manuellement ou automatiquement.

Voici un exemple de représentation textuelle dans un fichier de zone d'un enregistrement PTR créé dans DNS Manager qui mappe l'adresse IP 192.168.0.99 au serveur de nom d'hôte 1.google.ru :

99 RPTserveur 1.Google.ru.

NOTE: Numéro d'enregistrement 99RPT

Dans une zone de recherche inversée, le dernier octet de l'adresse IPv 4 est équivalent au nom d'hôte. Par conséquent, le nombre 99 représente le nom attribué au nœud dans la zone 0.168.192.in -addr .arpa . Cette zone correspond au sous-réseau 192.168.0.0.

Lieu de serviceSRV

Entrées SRV est utilisé pour spécifier l'emplacement des services dans un domaine. Les applications client qui utilisent SRV peuvent utiliser DNS pour récupérer les enregistrements SRV des serveurs d'applications.

Une application qui utilise SRV est Windows Server 2008 Active Directory . Le service Netlogon Net Logon utilise les enregistrements SRV pour localiser les contrôleurs de domaine en effectuant des recherches de domaine Active Directory LDAP (Lightweight Directory Access Protocol). DNS pour améliorer la tolérance aux pannes ou dépanner les services réseau.

InclusionDNS pour la résolutionVICTOIRES

Dans l'onglet WINS de la fenêtre des propriétés de la zone, vous pouvez spécifier le serveur WINS que le service Serveur DNS contactera pour rechercher les noms non trouvés par les requêtes DNS. Lorsque vous spécifiez un serveur WINS sous l'onglet WINS de la boîte de dialogue Propriétés pour une zone de recherche directe, une entrée WINS spéciale est ajoutée à la zone qui pointe vers ce serveur WINS. Lorsque vous spécifiez un serveur WINS sous l'onglet WINS de la boîte de dialogue des propriétés d'une zone de recherche inversée, une entrée WINS -R spéciale est ajoutée à la zone pour identifier ce serveur WINS.

Par exemple, si un client DNS demande le nom ClientZ .contoso .com et que le serveur DNS préféré ne trouve pas la réponse à partir des sources habituelles (cache, données de zone locale et interrogation d'autres serveurs), le serveur demande le nom CLIENTZ . sur le serveur WINS spécifié dans l'entrée WINS. Si le serveur WINS répond à une requête, le serveur DNS renvoie sa réponse au client.

Nettoyer et supprimer les entrées obsolètes

Les horodatages sont utilisés dans le DNS pour suivre l'âge des enregistrements de ressources enregistrés dynamiquement. Le nettoyage des enregistrements périmés est le processus de suppression des enregistrements horodatés périmés. La suppression ne peut être effectuée que si des horodatages sont utilisés. Les horodatages et le nettoyage fonctionnent ensemble pour supprimer les anciens enregistrements qui peuvent s'accumuler au fil du temps dans une zone. Par défaut, les horodatages et le nettoyage sont désactivés.

Activation du nettoyage

Pour activer le nettoyage pour une zone particulière, vous devez activer cette fonctionnalité au niveau du serveur et au niveau de la zone.

Pour activer le nettoyage au niveau du serveur, dans l'arborescence de la console du gestionnaire DNS, cliquez avec le bouton droit sur l'icône du serveur et utilisez la commande Définir le vieillissement/le nettoyage pour toutes les zones. Ensuite, dans la boîte de dialogue Server Aging/Scavenging Properties qui s'ouvre, cochez la case Supprimer les enregistrements de ressources obsolètes ( Scavenge Stale Resource Records). Bien que ce paramètre active l'horodatage et le nettoyage au niveau du serveur pour toutes les nouvelles zones, il n'autorise pas l'horodatage et le nettoyage des zones intégrées à Active Directory existantes.

Pour les activer, cliquez sur OK, puis dans la boîte de dialogue Server Aging/Scavenging Confirmation qui s'ouvre, cochez la case pour appliquer ces paramètres aux zones intégrées à Active Directory existantes.

Pour activer l'horodatage et la purge au niveau de la zone, ouvrez les propriétés de la zone, puis dans l'onglet Général, cliquez sur le bouton Vieillissement. Dans la boîte de dialogue Zone Aging/Scavenging Properties qui s'ouvre, cochez la case Scavenge Stale Resource Records.

Horodatages Le serveur DNS effectue le nettoyage à l'aide des horodatages définis sur les enregistrements de ressources de la zone. Les zones intégrées à Active Directory définissent des horodatages par défaut pour les enregistrements enregistrés dynamiquement avant même que le nettoyage ne soit activé. Cependant, les zones standard de base n'horodatent pas les enregistrements enregistrés dynamiquement dans une zone avant que le nettoyage ne soit activé. Les enregistrements de ressources créés manuellement pour tous les types de zones se voient attribuer un horodatage de 0 ; cela signifie que leur âge ne sera pas déterminé. est le temps entre dernière mise à jour tampon et sa prochaine mise à jour éventuelle. Le blocage empêche le serveur de traiter les mises à jour inutiles et réduit le trafic. Par défaut, l'intervalle de blocage est fixé à 7 jours.

Modificationintervallemises à jour

L'intervalle de mise à jour est l'intervalle entre la première fois qu'un horodatage est mis à jour et la première fois qu'un nettoyage d'enregistrement démarre. Les enregistrements peuvent être supprimés de la zone une fois les intervalles de blocage et d'actualisation écoulés. L'intervalle par défaut est de 7 jours. Par conséquent, lorsque les horodatages sont activés, les enregistrements de ressources enregistrés dynamiquement peuvent être supprimés après 14 jours.

Effectuer un nettoyage

Le nettoyage est effectué dans la zone automatiquement ou manuellement. Pour effectuer le nettoyage automatiquement, vous devez activer la suppression automatique des enregistrements de ressources obsolètes dans l'onglet Avancé de la boîte de dialogue des propriétés du serveur DNS.

Si cette option n'est pas activée, vous pouvez nettoyer manuellement les zones en cliquant avec le bouton droit sur l'icône du serveur dans l'arborescence de la console du gestionnaire DNS et en utilisant la commande Scavenge Stale Resource Records.

Zone de noms globaux

Windows Server 2008 inclut une nouvelle fonctionnalité qui permet à tous les clients DNS d'une forêt Active Directory d'utiliser des noms de la même étiquette, tels que Mail, pour se connecter aux ressources du serveur. Ce composant est utile lorsque la liste de recherche de suffixe DNS par défaut pour les clients DNS ne permet pas aux utilisateurs de se connecter rapidement (ou de se connecter du tout) à une ressource en utilisant ce nom unique.

Le serveur DNS de Windows Server 2008 vous permet de créer la zone GlobalNames. Par défaut, la zone GlobalNames n'existe pas. Cependant, en déployant une zone portant ce nom, vous pouvez accéder aux ressources sélectionnées à l'aide de noms simples sans utiliser WINS. En règle générale, les noms en une seule partie sont attribués à des serveurs importants et largement utilisés auxquels des adresses IP statiques sont déjà attribuées. GlobalNames sur le serveur distant, remplacez le point par le nom du serveur distant.

CréationZones GlobalNames

L'étape suivante du déploiement de la zone GlobalNames consiste à créer une zone pour le serveur DNS servant de contrôleur de domaine Windows Server 2008. La zone GlobalNames n'est pas un type spécial de zone, mais simplement une zone de recherche directe intégrée à AD nommée GlobalNames. Lors de la création d'une zone, choisissez de répliquer les données de zone pour tous les serveurs DNS de la forêt. Cette option se trouve sur la page Portée de réplication d'une zone intégrée à Active Directory (pour activer la résolution de nom en une seule partie, créez un enregistrement d'alias de ressource (CNAME) dans la zone GlobalNames. Le nom attribué à chaque enregistrement CNAME représente un enregistrement en une seule partie. nom que les utilisateurs peuvent utiliser pour se connecter à la ressource. Notez que chaque enregistrement CNAME pointe vers un enregistrement hôte dans encore une autre zone.

À un moment donné, j'ai découvert par moi-même une vérité simple : si vous voulez vous souvenir de quelque chose, prenez des notes (même en lisant un livre), mais si vous voulez consolider et systématiser, transmettez-le aux gens (écrivez un article). Ainsi, après deux ans de travail en intégration de systèmes (un domaine que je administrateur du système, je le considérais comme une corne d'abondance pour les spécialistes assoiffés de pompage), quand j'ai réalisé que les connaissances étaient progressivement remplacées par les compétences d'édition de documentation et de configuration selon des manuels et des instructions, pour rester en forme, j'ai commencé à écrire des articles sur choses de base. Par exemple ici - à propos du DNS. Ensuite, je l'ai fait davantage pour moi-même, mais j'ai pensé : tout à coup, quelqu'un sera utile.

Le service dans les réseaux modernes, sinon la clé, alors l'un d'entre eux. Ceux pour qui le service DNS n'est pas nouveau peuvent ignorer la première partie en toute sécurité.

(pas d'ancres, donc contenu sans liens)

1. Informations de base

DNS est une base de données contenant principalement des informations sur le mappage des noms d'objets réseau avec leurs adresses IP. « Principalement » - parce que d'autres informations y sont stockées. Plus précisément, les enregistrements de ressources (RR) des types suivants :

UN- le même mappage du nom symbolique du domaine à son adresse IP.

AAAA- identique à A, mais pour les adresses IPv6.

CNAME- NOM canonique - alias. Si vous souhaitez qu'un serveur avec un nom illisible, comme nsk-dc2-0704-ibm, sur lequel le portail d'entreprise est exécuté, réponde également au nom du portail, vous pouvez créer un autre enregistrement de type A pour celui-ci, avec le nom du portail et la même adresse IP. Mais ensuite, en cas de changement d'adresse IP (quelque chose arrive), il sera nécessaire de recréer à nouveau tous ces enregistrements. Et si vous créez un portail nommé CNAME pointant vers nsk-dc2-0704-ibm, vous n'aurez rien à changer.

MX- Mail eXchanger - pointeur vers l'échangeur de courrier. Comme CNAME, il s'agit d'un pointeur symbolique vers un enregistrement de type A déjà existant, mais en plus du nom, il contient également une priorité. Il peut y avoir plusieurs enregistrements MX pour un domaine de messagerie, mais tout d'abord, le courrier sera envoyé au serveur pour lequel la valeur la plus faible est spécifiée dans le champ de priorité. S'il n'est pas disponible - vers le serveur suivant, etc.

N.-É.- Name Server - contient le nom du serveur DNS responsable de ce domaine. Naturellement, à chaque enregistrement de type NS doit correspondre un enregistrement de type A.

SOA- Début d'autorité - indique sur lequel des serveurs NS sont stockées les informations de référence sur ce domaine, les coordonnées du responsable de la zone, les horaires de stockage des informations dans le cache.

SRV- un pointeur vers le serveur, titulaire d'un service (utilisé pour les services AD et, par exemple, pour Jabber). En plus du nom du serveur, il contient des champs tels que Priorité (priorité) - similaire à celui de MX, Poids (poids) - utilisé pour équilibrer la charge entre les serveurs de même priorité - les clients sélectionnent un serveur au hasard avec une probabilité basée sur poids et numéro de port - numéro de port sur lequel le service "écoute" les demandes.

Tous les types d'enregistrement ci-dessus se produisent dans la zone de recherche directe du DNS. Il existe également une zone de recherche inversée - des enregistrements comme RPT- PointTeR - un enregistrement opposé au type A. Stocke un mappage d'une adresse IP avec son nom symbolique. Nécessaire pour traiter les requêtes inverses - déterminer le nom d'hôte par son adresse IP. Non requis pour le fonctionnement du DNS, mais nécessaire pour divers utilitaires de diagnostic, ainsi que pour certains types de protection anti-spam dans les services de messagerie.

De plus, les zones elles-mêmes, qui stockent les informations sur le domaine, sont de deux types (classiquement) :

Primaire- est un fichier texte contenant des informations sur les hôtes et les services du domaine. Le fichier peut être modifié.

Supplémentaire (secondaire)- également un fichier texte, mais contrairement au fichier principal, il ne peut pas être modifié. Extrait automatiquement du serveur qui stocke la zone principale. Augmente la disponibilité et la fiabilité.

Pour enregistrer un domaine sur Internet, il est nécessaire qu'au moins deux serveurs DNS stockent des informations le concernant.

Windows 2000 introduit un type de zone appelé Intégré à AD- la zone n'est pas stockée dans un fichier texte, mais dans la base de données AD, ce qui lui permet de se répliquer vers d'autres contrôleurs de domaine avec AD en utilisant ses mécanismes de réplication. Le principal avantage de cette option est la possibilité de mettre en œuvre un enregistrement dynamique sécurisé dans DNS. Autrement dit, seuls les ordinateurs membres du domaine peuvent créer des enregistrements les concernant.

Windows 2003 a également été introduit zone de stub - zone de stub. Il stocke uniquement les informations sur les serveurs DNS qui font autorité pour un domaine donné. Autrement dit, les enregistrements NS. Ce qui a une signification similaire au transfert conditionnel ( renvoi conditionnel), paru dans le même Versions Windows Serveur, mais la liste des serveurs vers lesquels les demandes sont transmises est mise à jour automatiquement.

Requêtes itératives et récursives.
Il est clair qu’un seul serveur DNS ne connaît pas tous les domaines sur Internet. Par conséquent, lorsqu'une demande est reçue à une adresse qui lui est inconnue, par exemple metro.yandex.ru, la séquence d'itérations suivante est lancée :

Le serveur DNS fait référence à l'un des serveurs racine Internet qui stockent des informations sur les titulaires autorisés de domaines ou de zones de premier niveau (ru, org, com, etc.). Il rapporte l'adresse reçue du serveur faisant autorité au client.

Le client s'adresse au titulaire de la zone ru avec la même demande.

Le serveur DNS de la zone RU recherche l'entrée correspondante dans son cache et, s'il ne la trouve pas, renvoie au client l'adresse du serveur faisant autorité pour le domaine de deuxième niveau - dans notre cas, yandex.ru

Le client accède à DNS yandex.ru avec la même demande.

Yandex DNS renvoie l'adresse souhaitée.

Une telle séquence d’événements est rare à notre époque. Parce qu'il existe une requête récursive - c'est lorsque le serveur DNS que le client a initialement contacté effectue toutes les itérations pour le compte du client, puis renvoie une réponse prête à l'emploi au client, et stocke également les informations reçues dans son cache. La prise en charge des requêtes récursives peut être désactivée sur le serveur, mais la plupart des serveurs la prennent en charge.

En règle générale, le client fait une demande comportant l'indicateur "récursivité requise".

2. Un peu sur le format des messages DNS

Le message se compose d'un en-tête de 12 octets suivi de 4 champs de longueur variable.

L'en-tête est composé des champs suivants :

Format des messages DNS
Identification - un certain identifiant est généré dans ce champ par le client, qui est ensuite copié dans le champ correspondant de la réponse du serveur, afin que vous puissiez comprendre quelle demande a reçu la réponse.

Flags est un champ de 16 bits divisé en 8 parties :

  • QR(type de message), champ de 1 bit : 0 indique une demande, 1 indique une réponse.
  • code opération(opcode), champ de 4 bits. La valeur par défaut est 0 (requête standard). Les autres valeurs sont 1 (requête inverse) et 2 (requête d'état du serveur).
  • AA- Un indicateur de 1 bit signifiant « réponse faisant autorité ». Le serveur DNS a autorité pour ce domaine dans la section des questions.
  • CT- Champ de 1 bit qui signifie "tronqué" (tronqué). Dans le cas d'UDP, cela signifie que la taille globale de la réponse dépassait 512 octets, mais que seuls les 512 premiers octets de la réponse ont été renvoyés.
  • DR- Champ de 1 bit qui signifie "récursion souhaitée" (récursion souhaitée). Le bit peut être défini dans une requête puis renvoyé dans une réponse. Cet indicateur indique au serveur DNS de traiter cette requête lui-même (c'est-à-dire que le serveur doit déterminer lui-même l'adresse IP requise et ne pas renvoyer l'adresse d'un autre serveur DNS), ce qu'on appelle une requête récursive. Si ce bit n'est pas défini et que le serveur DNS interrogé n'a pas de réponse faisant autorité, le serveur interrogé renverra une liste d'autres serveurs DNS qui doivent être contactés pour obtenir une réponse. C'est ce qu'on appelle une requête itérative. Nous examinerons des exemples des deux types de demandes dans les exemples suivants.
  • RA- Champ de 1 bit qui signifie "la récursion est possible" (récursion disponible). Ce bit est mis à 1 dans la réponse si le serveur prend en charge la récursion. Nous verrons dans nos exemples que la plupart des serveurs DNS supportent la récursion, à l'exception de quelques serveurs racine (les serveurs racine sont incapables de traiter les requêtes récursives en raison de leur charge de travail).
  • 0 - Ce champ de 3 bits doit être 0.
  • rcoder il s'agit d'un champ de code retour de 4 bits. Les valeurs communes sont 0 (pas d'erreur) et 3 (erreur de nom). Une erreur de nom est uniquement renvoyée par un serveur DNS faisant autorité et signifie que le nom de domaine spécifié dans la demande n'existe pas.

Les quatre champs suivants de 16 bits indiquent le nombre d'éléments dans les quatre champs de longueur variable qui complètent l'enregistrement. Dans une requête, le nombre de questions est généralement de 1 et les trois autres compteurs sont de 0. Dans une réponse, le nombre de réponses est d'au moins 1 et les deux compteurs restants peuvent être nuls ou non nuls.

Exemple (obtenu à l'aide de WinDump lors de l'exécution de la commande ping www.ru) :

IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53 : 36587+ A ? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036 : 36587 1/2/5 A 194.87.0.50 (196)

La première ligne est la requête : le nom de mon PC, 51036 est un port d'envoi sélectionné aléatoirement, 53 est un port pré-connu du serveur DNS, 36587 est l'ID de la requête, + - "récursion requise", A est un enregistrement de type A. requête, le point d'interrogation signifie qu'il s'agit d'une demande et non d'une réponse. Entre parenthèses - la longueur du message en octets.

La deuxième ligne est la réponse du serveur : au port source spécifié avec l'ID de demande spécifié. La réponse contient un RR (DNS Resource Record) qui est la réponse à la requête, 2 notices d'autorité et 5 enregistrements supplémentaires d'une certaine sorte. La longueur totale de la réponse est de 196 octets.

3.TCP et UDP

Selon certaines rumeurs, le DNS fonctionne via le protocole UDP (port 53). Cela est vrai par défaut : les demandes et les réponses sont envoyées via UDP. Cependant, la présence du flag TC (Truncated) dans l'en-tête du message est mentionnée ci-dessus. Il est défini sur 1 si la taille de la réponse dépasse 512 octets - la limite pour une réponse UDP - et a donc été coupée et seuls les 512 premiers octets ont été reçus par le client. Dans ce cas, le client répète la demande, mais via TCP, qui, de par sa spécificité, peut transférer en toute sécurité de grandes quantités de données.

De plus, le transfert des zones des serveurs principaux vers des serveurs supplémentaires s'effectue via TCP, puisque dans ce cas bien plus de 512 octets sont transférés.

4. DNS dans Windows Server 2008 et 2012

Windows 2008 introduit les fonctionnalités suivantes :
Chargement des zones en arrière-plan
Dans les très grandes organisations comportant des zones extrêmement vastes qui utilisent les services de domaine Active Directory pour stocker les données DNS, le redémarrage du serveur DNS peut prendre une heure ou plus pendant que les données DNS sont récupérées à partir du service d'annuaire. Dans le même temps, le serveur DNS n’est pas disponible pour répondre aux demandes des clients pendant toute la durée du chargement des zones AD DS.
Le serveur DNS exécutant Windows Server 2008 charge désormais les données de zone d'AD DS dans arrière-plan, il peut donc toujours traiter les demandes de données provenant d'autres zones. Lorsque le serveur DNS est démarré, les actions suivantes sont effectuées :
  • toutes les zones à charger sont déterminées ;
  • Les indicateurs de racine sont chargés à partir de fichiers ou d'un magasin de services de domaine Active Directory ;
  • Toutes les zones sauvegardées sur des fichiers sont chargées, c'est-à-dire les zones stockées dans des fichiers et non dans AD DS ;
  • le traitement des requêtes et des appels de procédure à distance (RPC) commence ;
  • Un ou plusieurs threads sont créés pour charger les zones stockées dans les services de domaine Active Directory.

Étant donné que la tâche de chargement des zones est effectuée par des threads distincts, le serveur DNS peut traiter les requêtes pendant le chargement de la zone. Si un client DNS demande des données pour un hôte dans une zone déjà chargée, le serveur DNS répond avec des données (ou, le cas échéant, une réponse négative). Si une requête est effectuée pour un hôte qui n'est pas encore chargé en mémoire, le serveur DNS lit les données de l'hôte à partir des services de domaine Active Directory et met à jour la liste des enregistrements d'hôte en conséquence.

Prise en charge des adresses IPv6
La version 6 du protocole Internet (IPv6) définit des adresses d'une longueur de 128 bits, par opposition aux adresses IP version 4 (IPv4) d'une longueur de 32 bits.
Les serveurs DNS Windows Server 2008 prennent désormais entièrement en charge les adresses IPv4 et IPv6. Moyens ligne de commande dnscmd accepte également les adresses dans les deux formats. La liste des redirecteurs peut contenir à la fois des adresses IPv4 et des adresses IPv6. Les clients DHCP peuvent également enregistrer des adresses IPv6 avec (ou à la place) des adresses IPv4. Enfin, les serveurs DNS prennent désormais en charge l'espace de noms de domaine ip6.arpa pour le mappage inverse.
Modifications du client DNS
Résolution de nom LLMNR
Les ordinateurs clients DNS peuvent utiliser la résolution de noms de multidiffusion lien-local (LLMNR), également connue sous le nom de DNS multidiffusion ou mDNS, pour résoudre les noms sur un segment de réseau local où un serveur DNS n'est pas disponible. Par exemple, si un sous-réseau est isolé de tous les serveurs DNS du réseau en raison d'une panne de routeur, les clients de ce sous-réseau prenant en charge la résolution de noms LLMNR peuvent toujours résoudre les noms à l'aide du schéma peer-to-peer jusqu'à ce que la connectivité réseau soit restaurée.
En plus de la résolution de noms en cas de panne de réseau, LLMNR peut également être utile dans les déploiements peer-to-peer tels que les salons d'aéroport.

Changements dans Windows 2012 en matière de DNS, ils ont principalement abordé la technologie DNSSEC (assurer la sécurité du DNS en ajoutant signatures numériquesÀ Enregistrements DNS), spécifiquement pour fournir des mises à jour dynamiques qui n'étaient pas disponibles lorsque DNSSEC était activé dans Windows Server 2008.

5. DNS et Active Directory

Active Directory s'appuie fortement sur DNS pour ses opérations. Avec lui, les contrôleurs de domaine se recherchent pour la réplication. Avec son aide (et le service Netlogon), les clients déterminent les contrôleurs de domaine pour l'autorisation.

Pour assurer la recherche, en train d'augmenter le rôle d'un contrôleur de domaine sur le serveur, son service Netlogon enregistre les enregistrements A et SRV correspondants dans DNS.

Enregistrements SRV enregistrés par le service Net Logon :

_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.DnsDomainName
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsForestName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.SiteName._sites.DnsDomainName
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName

La première partie de l'enregistrement SRV identifie le service vers lequel pointe l'enregistrement SRV. Les services suivants existent :

_ldap - Active Directory est un service d'annuaire compatible LDAP avec des contrôleurs de domaine agissant comme des serveurs LDAP. Les entrées _ldap SRV identifient les serveurs LDAP sur le réseau. Ces serveurs peuvent être des contrôleurs de domaine Windows Server 2000+ ou d'autres serveurs LDAP ;

_kerberos - Les enregistrements _kerberos SRV identifient tous les centres de distribution de clés (KDC) du réseau. Il peut s'agir de contrôleurs de domaine Windows Server 2003 ou d'autres serveurs KDC ;

_kmot de passe - identifie les serveurs de changement de mot de passe Kerberos sur le réseau ;

_gc - une entrée liée à la fonctionnalité de catalogue global dans Active Directory.

Seuls les contrôleurs de domaine s'enregistrent dans le sous-domaine _mcdcs Microsoft Windows serveur. Ils créent à la fois des enregistrements maîtres et des enregistrements dans un sous-domaine donné. Les services non Microsoft effectuent uniquement un enregistrement de base.

Guide de domaine - identifiant de domaine global. L'enregistrement le contenant est nécessaire au cas où le domaine serait renommé.

Comment fonctionne le processus de recherche DC ?
Lors de la connexion de l'utilisateur, le client lance un localisateur DNS à l'aide d'un appel de procédure distante (RPC) par le service NetLogon. Le nom de l'ordinateur, le nom de domaine et le nom du site sont transmis à la procédure comme données initiales.

Le service envoie une ou plusieurs requêtes à l'aide de l'API DsGetDcName()

Le serveur DNS renvoie la liste de serveurs demandée, triée selon leur priorité et leur poids. Le client envoie ensuite une requête LDAP à l'aide du port UDP 389 à chacune des adresses de l'entrée dans l'ordre dans lequel elles ont été renvoyées.

Tous les contrôleurs de domaine disponibles répondent à cette demande en signalant leur état de santé.

Après avoir découvert un contrôleur de domaine, le client établit une connexion LDAP avec celui-ci pour accéder à Active Directory. Dans le cadre de leur conversation, le contrôleur de domaine détermine sur quel site le client est hébergé en fonction de son adresse IP. Et s'il s'avère que le client n'a pas contacté le DC le plus proche, mais, par exemple, a récemment déménagé vers un autre site et, par habitude, a demandé un DC à l'ancien (les informations sur le site sont mises en cache sur le client en fonction de les résultats de la dernière connexion réussie), le contrôleur lui envoie le nom de son nouveau site (le client). Si le client a déjà essayé de trouver un contrôleur sur ce site, mais sans succès, il continue à utiliser celui trouvé. Dans le cas contraire, une nouvelle requête DNS est lancée précisant le nouveau site.

Le service Netlogon met en cache les informations sur l'emplacement du contrôleur de domaine afin qu'il ne lance pas l'intégralité de la procédure à chaque fois qu'il doit contacter le contrôleur de domaine. Cependant, si un contrôleur de domaine « non optimal » (situé sur un site différent) est utilisé, le client efface ce cache après 15 minutes et relance la recherche (pour tenter de trouver son contrôleur optimal).

Si les informations de site d'un ordinateur ne sont pas mises en cache, il contactera n'importe quel contrôleur de domaine. Pour arrêter ce comportement, NetMask Ordering peut être configuré sur le DNS. DNS renverra ensuite la liste des contrôleurs de domaine dans un ordre tel que les contrôleurs situés sur le même réseau que le client soient répertoriés en premier.

Exemple: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003F spécifiera un masque de sous-réseau de 255.255.255.192 pour les contrôleurs de domaine prioritaires. Le masque par défaut est 255.255.255.0 (0x000000FF)



Populaire dans la catégorie :
Comment créer un clip karaoké sur un ordinateur ?
Comment créer un clip karaoké sur un ordinateur ?
lire
L'application Origin est requise pour jouer mais n'est pas installée. Fifa 16 nécessite Origin
L'application Origin est nécessaire pour jouer, mais elle n'est pas installée par Fifa...
lire
Enregistrement d'une page personnelle sur le réseau social Facebook
Enregistrement d'une page personnelle sur le réseau social Facebook
lire
Comment exécuter une simple analyse Nmap Nmap
Comment exécuter une simple analyse Nmap Nmap
lire

Derniers articles
Comment faire pivoter une image de quelques degrés...
lire
Désactivation des publicités dans le navigateur Yandex Où ...
lire
Résoudre les problèmes de connexion Wi-Fi sur...
lire
changer le mot de passe sur le profil Windows 10
lire
Instructions pour configurer des routeurs sans fil...
lire
Comment choisir un disque dur et lequel est-il préférable d'acheter...
lire
Meizu pour les nuls. Appels et carnet d'adresses....
lire
Télécharger PDFMaster
lire
Haut