Introduction à la résolution de noms
Pour pouvoir communiquer, chaque machine présente sur un réseau doit avoir un identifiant unique. Avec le protocole IP (Internet protocole), cet identifiant se présente sous la forme d’un nombre d’une longueur de 32 bits. On parle d’adresses IP
Le problème
- Au départ, chaque machine stockait localement les mappages noms / adresse IP (un mappage est une correspondance entre un nom et une adresse IP).
Inconvénients :
- Demander une trop lourde charge administrative (à chaque ajout de machine dans le réseau ou bien à chaque modification de la configuration d’une machine, il faut éditer manuellement le fichier contenant les mappages noms / adresse IP)
Le premier mécanisme de résolution de noms
- Le premier mécanisme de résolution de noms mis en place sous Windows est NetBIOS (NetBIOS Extended User Interface), un protocole crée par IBM dans les années 80
Les inconvénients :
- Les noms NetBIOS sont limités à 16 caractères .
- Le protocole NetBIOS utilise la diffusion pour résoudre les noms en adresses IP ce qui surcharge la bande passante du réseau.
- Les noms NetBIOS ne possèdent pas de hiérarchie ce qui les rends inutilisables sur Internet.
- Le protocole NetBIOS n’est pas utilisé sur les plateformes non Microsoft ce qui pose un problème d’interopérabilité.
Le système DNS
- DNS (Domain Name System) est un système d’appellation d’ordinateurs et de services réseau organisé selon une hiérarchie de domaines. Les réseaux TCP/IP tels qu’Internet utilisent DNS pour localiser des ordinateurs et des services par le biais de noms conviviaux.
- Un serveur DNS assure la résolution de noms des réseaux TCP/IP. En d’autres termes, il permet aux utilisateurs d’ordinateurs clients d’adopter des noms à la place des adresses IP numériques pour identifier les hôtes distants. Un ordinateur client envoie le nom d’un hôte distant à un serveur DNS, lequel répond avec l’adresse IP correspondante.
- Le système DNS introduit une convention de nommage hiérarchique des domaines qui commence par un domaine racine appelé « . ». Les domaines situés directement sous le domaine racine sont appelés domaines de premier niveau. Ils sont gérés par l’ICANN et représentent souvent la localisation géographique (fr, be, eu, ma…) ou le type de service ( info, org, gov, mail, …).
- Les domaines de second niveau sont disponibles pour les entreprises et les particuliers. Ils sont distribués et gérés par d’autres sociétés comme l’InterNIC (une filiale le l’ICANN)
la hiérarchie du système DNS
- Les noms de machine utilisant le système DNS sont appelés noms d’hôtes. Un noms d’hôte peut contenir jusqu’à 255 caractères alphanumériques (chiffres et lettres) et le caractères trait d’union « -« . L’utilisation du caractère « . » est interdite car il est réservé afin de séparer un domaine supérieur d’un domaine inférieur.
Les noms avec le système DNS :
En effet, on distingue deux types de noms avec le système DNS :
- le nom d’hôte qui représente le nom d’une machine (un ordinateur, une imprimante ou bien encore un routeur).
- le nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain Name).
- Exemples:
- Par exemple, si l’on considère une machine avec le noms d’hôte etudiant située dans le domaine marrakech, son suffixe DNS est : marrakech.dns-ens.com. Le nom de domaine pleinement qualifié (FQDN) de la machine etudiant est donc etudiant.marrakech.dns-ens.com
Configuration des clients DNS
Le client commence par vérifier si une adresse IP correspondant au nom d’hôte est présente dans le cache de noms DNS
Si non lors le client consulte le fichier hosts %SYSTEMROOT%\system32\drivers\etc.
Si non alors le client va envoyer une requête DNS au premier serveur DNS dont l’adresse IP a été définie dans ses paramètres TCP/IP. Si le premier serveur DNS est injoignable alors le client envoie une requête au second et ainsi de suite
Si le client n’as pas trouvé le mappage recherché alors il considère que l’adresse IP recherchée ne correspond pas à un nom d’hôte mais à un nom NetBIOS et lance une résolution de nom NetBIOS
La résolution de noms NetBIOS se passe en plusieurs étapes
- vérification de la présence de l’adresse IP dans le cache de noms NetBIOS.
- envoie d’une requête au premier serveur WINS dont l’adresse IP a été défini dans ses paramètres TCP/IP du client.
- le client cherche l’adresse IP de la machine sur son sous-réseau en réalisant une diffusion (broadcast).
- recherche d’une éventuelle entrée dans le fichier %SYSTEMROOT%\system32\drivers\etc\lmhosts.
Si à la fin de ce processus aucune adresse IP n’a été trouvée alors le client ne peut pas obtenir l’adresse IP correspondante et ne peut pas joindre la ressource . Dans tous les cas le résultat de la requête DNS sera mis dans le cache de noms DNS.
DNS sur Windows 2008 Server
- Dans le rôle de serveur DNS de Windows Server 2008, des fonctions ont été ajoutées ou améliorées pour renforcer le service de serveur DNS ou lui attribuer de nouvelles fonctionnalités :
- Prise en charge d’IP version 6 (IPv6) :
- Le service de serveur DNS prend désormais complètement en charge les adresses longues de la norme IPv6.
- Prise en charge des contrôleurs de domaine en lecture seule
- Le rôle de serveur DNS de Windows Server 2008 propose des zones principales en lecture seule sur des contrôleurs de domaine en lecture seule.
- Noms unique globaux
- La zone GlobalNames zone offre une résolution des noms en une seule partie aux grands réseaux d’entreprise qui ne déploient pas WINS (Windows Internet Name Service). Elle s’avère utile lorsqu’il n’est pas possible d’utiliser des suffixes de noms DNS pour assurer la résolution des noms en une seule partie.
- Prise en charge d’IP version 6 (IPv6) :
Les différents types de requêtes
Un serveur DNS peut recevoir deux types de requêtes DNS :
- une requête récursive : Lorsqu’un serveur DNS reçoit une requête récursive, il doit donner la réponse la plus complète possible. C’est pourquoi le serveur DNS est souvent amené à joindre d’autres serveurs de noms dans le but de trouver la réponse exacte.
- une requête itérative : Lorsqu’un serveur reçoit une requête itérative, il renvoie la meilleure réponse qu’il peut donner sans contacter d’autres serveurs DNS (c’est-à-dire en consultant uniquement sa propre base de données). ¨
Installation du service DNS
Vous pouvez installer le service DNS en passant par l’utilitaire Server Manager.
Avant de lancer la procédure d’installation, assurez-vous de disposer d’une carte réseau paramétrée avec une adresse IP fixe ainsi que du DVD de Windows 2008 Server.
Une fois le service DNS installé, vous pouvez le configurer grâce à une console dédiée accessible dans Outils d’administration
ou bien en tapant dnsmgmt.msc dans la boîte de dialogue exécuter.
Les zones DNS
Windows Server 2008 dispose de plusieurs types de zones. Ces zones sont utilisées au sein d’un domaine dans le but d’améliorer le trafic des requêtes DNS.
Une zone est une portion contiguë de l’espace de noms de domaine. Elle sert à stocker les noms d’un ou plusieurs domaines ou encore une portion d’un domaine.
Une zone est déterminée par :
- Un ensemble de mappages de noms d’hôtes à adresse IP.
- Des données qui seront stockées dans un fichier de zone ou une base de données Active directory. ¨
Zones de recherche
La console de gestion du service DNS présente une arborescence simple.
On distingue deux types de zone de recherches :
- Une zone de recherche directe contient des mappages nom d’hôte / adresse IP
- une zone de recherche directe permet de trouver l’adresse IP correspondant à un nom d’hôte
- Une zone de recherche inversée contient des mappages adresse IP / nom d’hôte
- une zone de recherche inversée permet de trouver un nom d’hôte à partir d’une adresse IP.
Les enregistrements de ressources
Dans un environnement Microsoft, les mappages nom d’hôte / adresse IP et adresse IP / nom d’hôte sont appelés enregistrements de ressources.
On distingue plusieurs types d’enregistrements de ressources :
- A
Les enregistrements de ressources A (pour Adresse d’hôte) sont des mappages entre un nom d’hôte et une adresse IPv4 (adresse IP d’une longueur de 32 bits). Ils représentent généralement la majorité des enregistrements de ressources des zones de recherches directes.
- AAAA
Les enregistrements de ressources de ce type sont des mappages entre un nom d’hôte et une adresse IPv6 (adresse IP de 128 bits).
- CNAME
Les enregistrements de ressources de type CNAME (Canonical NAME ou nom canonique) sont des mappages entre un nom d’hôte et un autre nom d’hôte. Ils permettent de créer des alias pour un nom d’hôte donné (c’est-à-dire d’associer plusieurs noms d’hôte à une même machine).
- MX
Les enregistrements de ressources de type MX (Mail eXchanger) identifient les serveurs de messageries. Chaque serveur de messagerie doit aussi disposer d’un enregistrement de ressource A. Il est possible de donner une priorité différente à chaque enregistrement MX.
- NS
Les enregistrements de ressources de type NS (Name Server ou serveur de nom) identifient les serveurs DNS de la zone DNS. Ils sont utilisés dans le cadre de la délégation DNS.
- PTR
Les enregistrements de ressources de type PTR (PoinTeR ou pointeur) sont des mappages entre une adresse IP et un nom d’hôte. Il représente la majorité des enregistrements des zones de recherches inversées.
- SOA
Les enregistrements de ressources de type SOA (Start Of Authority) contiennent le nom d’hôte et l’adresse IP du serveur DNS qui héberge actuellement la zone DNS principale. Il y a un seul enregistrement SOA par zone DNS. C’est le premier enregistrement crée dans une zone DNS.
Les types de zones DNS
Une zone de noms ou zone DNS est un ensemble d’enregistrements de ressources appartenant à la même portion de l’espace de noms DNS
- les zones principales peuvent ajouter, modifier et supprimer des enregistrements de ressource.
- les zones secondaires sont des copies en lecture seule d’une zone principale donnée. Un serveur DNS qui héberge une zone secondaire ne peut pas ajouter ni modifier d’enregistrements de ressource. Les zones secondaires ont donc pour seul intérêt de garantir une tolérance aux pannes.
- les zones de stub sont des copies partielles d’une autre zone. Elles contiennent uniquement les enregistrements de ressource de types SOA, NS et A.
Zone principale
Configurer une zone de recherche directe
- Pour créer une zone de recherche principale ,il faut faire un clic droit sur le conteneur zones de recherches directes, puis sélectionner Nouvelle zone.
- Dans l’assistant cliquez sur Suivant, puis sélectionnez Zone principale dans la fenêtre Type de zone
Configurer une zone de recherche directe
- Dans la fenêtre Nom de la zone, entrez la partie de l’espace de nom que devra contenir la zone de recherche directe principale, puis cliquez sur Suivant.
- Dans notre exemple, le nom de la zone est : dns-ens.com
Dans la fenêtre Mise à niveau dynamique, vous devez donner ou non la permission aux machines cliente de mettre à jour automatiquement leurs enregistrements de ressources.
N’autoriser que les mises à jour dynamiques sécurisées
Seuls les ordinateurs possédant un compte d’ordinateur dans Active Directory peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources. Cette option n’est disponible que dans le cas d’une zone intégrée à Active Directory.
Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées
Tous les ordinateurs exécutant Windows 2000/XP/2008 peuvent créer et mettre à jour automatiquement leurs enregistrements de ressources. Même une machine qui n’est pas membre du domaine peut créer des enregistrements, ce qui peut poser des problèmes de sécurité.
Ne pas autoriser les mises à jour dynamiques
Configurer une zone de recherche inversée
La création d’une zone de recherche inversée principale.
Pour cela, faites un clic droit sur le conteneur zones de recherche inversée, puis sélectionner Nouvelle zone.
Vous devez ensuite choisir entre IPv4 et IPv6. Vous devez ensuite choisir le nom de la zone de recherche inversée.
cela vous pouvez entrer l’adresse IP du réseau auquel appartiennent les machines considérées (dans ce cas l’assistant génèrera automatiquement le nom de la zone) ou bien choisir le nom de la zone manuellement.
Dans la fenêtre Fichier zone, donnez un nom au fichier qui contiendra la zone DNS puis cliquez sur Suivant.
¨Vous devez ensuite autoriser ou non les mises à jour dynamique des enregistrements de ressources.
¨Une fois ce choix effectué, cliquez sur Suivant puis sur Terminer pour quitter l’assistant.
Zone secondaire
- Pour alléger la charge du serveur DNS hébergeant une zone principale, vous pouvez créer une copie de cette zone en lecture seule sur un second serveur DNS. Ce type de zone est appelé zone secondaire.
- Pour créer une zone secondaire il faut que le réseau contienne déjà un serveur DNS hébergeant une zone principale. ¨
Configurer une zone de recherche directe
- Pour créer une zone secondaire, il faut faire un clic droit sur le conteneur Zones de recherche directes, puis cliquer sur Nouvelle zone.
- Cliquez sur Suivant, sélectionnez Zone secondaire puis faites Suivant. ¨
¨Vous devez ensuite donner le nom de la zone à dupliquer. Dans notre exemple, il s’agit de la zone dns-ens.com
Vous devez ensuite saisir l’adresse IP du serveur hébergeant la zone principale.
Configurer une zone de recherche inversée
- Pour créer une zone de recherche inversée secondaire, faites un clic droit sur le conteneur Zones de recherche inversée, puis cliquez sur Nouvelle zone. Vous devez ensuite choisir entre IPv4 et IPv6.
- Cliquez sur Suivant pour passer la fenêtre de présentation de l’assistant.
- Dans la fenêtre Type de zone, sélectionnez Zone secondaire puis Suivant. ¨
Les mêmes étapes de la zone principale
Zones de stub
- Dans l’exemple ci-dessous, on observe 2 domaines au sain d’une même forêt. Le domaine dns2-ens.com contient 7 serveurs DNS et le domaine dns1-ens.com contient un seul serveur DNS.
- Si l’on souhaite que le serveur DNS srv-1.dns-ens.com puisse résoudre les noms d’hôtes du domaine.dns2-ens.com, il faudra configurer les sept serveurs DNS en tant que redirecteurs. ¨
Analyse du problème
Sous Windows 2008 Server on peut paramétrer des redirecteurs pour un domaine donné. Cependant les adresses IP des serveurs DNS qui jouent le rôle de redirecteurs doivent être entrées manuellement ce qui peut s’avérer contraignant si les serveurs DNS sont nombreux. De plus la liste de redirecteurs est statique. Ainsi, si l’un des serveurs DNS est supprimé ou bien si son adresse IP change, l’entrée ne sera plus valide.
Il existe une alternative à l’utilisation des redirecteurs. En effet, Windows 2008 Server offre la possibilité de créer un type de zone spécifique nommé zone de stub, ne contenant que les enregistrements de ressources de types NS et SOA d’une zone DNS.
Solution
Dans notre exemple, il est recommandé d’utiliser une zone de stub plutôt que des redirecteurs. En effet, la création de la zone de stub s’avère moins contraignante que celle des redirecteurs et offre l’avantage de mettre à jour les enregistrements de ressources à chaque modification.
Les outils d’administration en ligne de commande
Il existe divers outils en ligne de commande permettant de vérifier le bon fonctionnement de la résolution de noms. On peut citer nslookup, DNScmd ou bien encore DNSlint.
nslookup
nslookup permet de tester la résolution des noms d’hôtes en adresses IP et inversement. Lorsque l’on tape nslookup en mode texte, une invite de commande apparaît. En outre le nom d’hôte et l’adresse IP du serveur DNS par défaut sont affichés.
Dnscmd :
Dnscmd est un utilitaire permettant d’administrer votre serveur DNS sans passer par la console MMC. Vous pouvez ainsi réaliser diverses tâches allant de la création d’un enregistrement à la suppression d’une zone.
Exemple
Vous pouvez par exemple utilisez dnscmd pour ajouter ou supprimer une zone DNS. Voici la syntaxe à respecter pour l’ajout d’une zone DNS principale:
dnscmd <serveur_DNS> /ZoneAdd <nom_de_zone> /Primary /File <nom_du_fichier_de_zone>.
Exécution et vérification:
vérification:
dnslint:
dnslint est un outil qui permet de diagnostiquer les problèmes liés à la résolution de noms d’hôtes.
Il permet par exemple de vérifier les enregistrements de ressources utilisés spécifiquement pour la réplication Active Directory.
dnslint est disponible en téléchargement libre sur le site de Microsoft :
http:// support.microsoft.com/kb/321045
Avantages :
- L’avantage de dnslint.exe est qu’il permet de générer des rapports au format HTML sur l’implémentation du système DNS à l’intérieur d’une forêt Active Directory.
- La syntaxe à utiliser pour créer un rapport est : dnslint /ad <adresse_IP_contrôleur_de_domaine>
/s <adresse_IP_serveur_DNS>.