|
Présentation de DNS,
Internet, Windows 2000
Fichier de zone
Zones de recherche
Présentation de la
délégation de zone
Configuration des suffixes
DNS
Configuration du serveur
DNS principale Parent et enfant
Création des zones de
recherche inversée
Création du sous domaine
(de la délégation)
Configuration de la redirection du serveur DNS
pour la zone enfant
Conclusion
Présentation
de DNS, Internet, Windows 2000
Windows 2000 fournit le service DNS qui va
permettre de faire référence à des machines en utilisant leurs noms en
lieu et place de leur adresse IP lors de leur localisation. Il a été
plus simple d’organiser le
vaste réseau Internet en le divisant en différentes régions
correspondant à une entité géographique ou à un type d’activité.
Chaque région ou département peut donc être subdivisé à son tour,
ce qui aura pour résultat la création d’une arborescence
hiérarchique ou chaque partie de l ‘arborescence est dirigé par
une autorité compétente. Un domaine est une partie de cette
subdivision logique d'Internet sous la responsabilité d’une autorité
compétente. Le fonctionnement générale de DNS est simple :
Lorsqu’un utilisateur essaie d’accéder à une machine sur le
réseau (locale ou Internet), il peut, au lieu d’indiquer l’adresse IP de la machine (ce qui deviens vite fort difficile), indiquer son nom
DNS ou nom de domaine pleinement qualifié (FQDN) , ce qui est plus
facile et plus agréable. L’ordinateur à partir duquel l’utilisateur
effectue sa requête va contacter le serveur DNS qui à autorité
sur ce domaine et ce dernier va se charger de résoudre le nom de la
machine de destination en adresse IP afin que la communication s’établisse.
Attention, ceci n’est qu’une description du fonctionnement
général de DNS, l’objectif n’étant pas de s’étendre sur le
fonctionnement précis de la résolution DNS, mais d’effectuer un
rappel des principes de fonctionnement généraux nécessaires pour la
suite.
Fichier
de zone
Chaque
domaine Internet possède un fichier de zone qu’il hoste. Le fichier
de zone est le fichier qui stocke la correspondance Nom/Adresses IP(et
vice versa) des machines appartenant au réseau de la zone
correspondante. C’est grâce à ce fichier que le serveur DNS peut
résoudre le nom de la machine que l’utilisateur essaie de consulter
via son adresse IP. Il existe plusieurs types d’enregistrement dans le
fichier de zone en fonction des services disponibles sur le
réseau, du nombre de machine et du type de domaine (effectivement, il
existe des enregistrements supplémentaires dans les fichiers de zone
DNS dans le cas où un ou plusieurs domaines Windows 2000 existent et
correspondent ou non à notre domaine Internet). Ceux-ci sont : SOA :
start of authority, NS : serveur de nom, A : nom d’hôte,
CNAME : alias, MX
: serveur de messagerie, SRV : enregistrement de type de
ressource, PTR : enregistrement de type pointeur.
| Remarque : On ne le
dira jamais assez, l’installation d’Active directory sous
Windows 2000 requiert le serveur DNS Windows 2000 |
Zones
de recherche
Nous distinguerons par la suite 2 types de zones
de recherche sur les serveurs DNS, la zone de recherche directe
et la zone de recherche inverse. La 1ére est utilisée pour
résoudre les noms des machines en adresses IP (pour la navigation
Internet) et la seconde les adresses IP en nom de machines. En fait, c’est
le fichier de zone de recherche directe qui contient la correspondance
nom /adresses IP.
Sous Windows 2000, il existe 3 types de
zones :
-
Zone principale standard : c’est
le fichier sur lequel le serveur possède un accés en
lecture/écriture, il est crée par défaut dans %systemroot%
\system32\dns et possède l’extension ‘.dns’. Le
serveur qui hoste ce type de zone est appelé
serveur DNS principal et est unique sur un domaine
DNS.
-
Zone secondaire standard : c’est
la copie en lecture seule de la zone principale standard. Elle
est utile pour la répartition de la charge de résolution des requêtes
DNS et la tolérance de panne puisque stocké sur les serveurs DNS dit
secondaires, elle permettra d’assurer la résolution de noms en
adresse IP et vice versa si le serveur DNS Principal venait à être
hors fonction. Il peut exister plusieurs serveurs DNS secondaires sur le
réseau, seulement, au cas où la fonction de tolérance de panne est
utilisée, il faut bien garder à l’esprit que les serveurs
secondaires ne seront pas en mesure d’enregistrer de nouveau hôte
(nom /adresse IP) puisque les zones secondaires standard sont en lecture
seule. On notera aussi la création de ce type de zone entraîne un
trafic de réplication de fichiers de zones. Effectivement, le seul
moyen de mettre à jour une zone secondaire standard est le processus de
transfert de zone : la zone du serveur DNS principal sera envoyée
aux serveurs DNS secondaires (en fonction du type de requête AXFR ou
IXFR).
-
Zone intégrée Active directory qui
est propre aux systèmes DNS de Windows 2000. dans ce cas, le fichier de
zone deviens un objet active directory stocké dans la base d’annuaire
Windows 2000. Il existe un article qui parle de ce type de zone DNS.
Présentation
de la délégation de zone
| S’il est
tout à fait possible de configurer plusieurs zones sur le même
serveur, cela n’est pas préférable pour des soucis de
performances et des exigences d’administration. En effet, il
peut être nécessaire que l’administration des zones DNS
soient à la charge de plusieurs administrateurs. Dans le cas où
les ressources se trouvant dans ses zones sont localisées dans
des régions géographiquement distantes et les connexions réseaux
entre les différents groupes de ressources sont de mauvaises
qualités. Il est donc préférable de posséder une zone
parente (zone principale standard ) sur un serveur DNS et
une zone enfant (une zone principale standard) sur un
autre serveur. |
 |
Configuration
des suffixes DNS
Après l’installation de DNS sur les deux
serveurs DNS de différentes machines, il va être nécessaire de
configurer leur suffixe DNS dans propriétés systèmes- onglet
identification – Identification réseau – Propriétés.
Cette modification va entraîner le redémarrage de la machine.
Configuration
du serveur DNS principale Parent et enfant
| Après avoir
convenablement installé le service DNS, il est question de
configurer le serveur DNS du domaine parent et du domaine enfant
en tant que serveur DNS principal standard. Pour ce faire, à
travers la MMC DNS dans les outils d’administration
du menu démarrer, sélectionner le serveur DNS dans l’arborescence de
la console, faire un click droit et choisir configurer
le serveur pour lancer l’assistant de configuration du
serveur DNS (le guide pas à pas pour configurer le serveur.)
. |
 |
Il est par la suite question d’indiquer le serveur
racine du réseau, la boite de dialogue s’explique d’elle même,
nous allons laisser l’option sélectionnée par défaut.
Puis viens la création de notre zone de recherche
directe , nous allons choisir la sélection par défaut c’est à dire « oui,
créer une zone de recherche directe ».
Nous allons tout de suite après créer notre zone
principale standard qui est absolument nécessaire, c’est ce fichier
de zone qui va définir notre domaine DNS. L’option par défaut
étant celle qui nous intéresse, nous cliquons sur suivant et
nous continuons
Nous allons ensuite indiquer nom de la zone qui
doit correspondre au suffixe DNS principal de l’ordinateur que
nous avions indiqué plus haut.
Nous
allons laisser l’option sélectionné par défaut dans la fenêtre
suivante, il ne nous est d’aucune utilité de modifier le nom
du fichier de zone.
Création
des zones de recherche inversée
Viens ensuite la création de la zone inversée, nous
choisissons de créer la zone inversée, puis nous allons choisir de
créer une zone principale standard, et nous allons devoir indiquer l’ID
de notre réseau. Nous remarquerons la création de la zone d’un
sous-domaine spéciale in-addr.arpa qui utilise l’ordre
inverse des octets de l’adresse IP. Viendra ensuite la création
du fichier de zone de recherche inversé, nous laissons le choix
par défaut et cliquons sur suivant. Il ne nous reste plus
qu’à cliquer sur terminer pour achever la configuration de notre serveur DNS
en serveur DNS principal.
Verification : Dans l’arborescence
de la console, nous constatons que nos domaines de recherche directe
et inverse ont été créés.
Les enregistrements qui ont été crées
sont affichés à droite dans l’explorateur de la console.
Il nous est possible d’activer les mises
à jours dynamique en cliquant via les propriétés de la
zone DNS (bouton droit) dans l’onglet général, en
développant la liste déroulante et en sélectionnant oui.
Actuellement, les ordinateurs clients pour la zone
parente ne peuvent résoudre que les noms des machines se
trouvant dans la zone parente, et les ordinateurs de la zone enfant ne
peuvent résoudre que les noms appartenant à la zone enfant. L’objectif
est de permettre à tout le monde, quelque soit la zone d’appartenance,
de résoudre les noms de toutes les machines dans n’importe laquelle
des zones. On peut le
vérifier en faisant dans notre cas, à partir du serveur DNS
parent : « ping chochote-wm.domenfant.dompapa .com »,
ou encore un « nslookup –type=ns domenfant.domapapa.com »
pour retrouver le serveur DNS autoritaire sur la zone domenfant. Ses
deux requêtes vont renvoyer des messages d’erreurs.
Création
du sous domaine (de la délégation)
Sur le serveur DNS gérant la zone parente, nous allons créer une
nouvelle délégation en faisant un click droit sur la
zone parente (domapapa.com) et en choisissant dans le menu qui s’affiche
Nouvelle délégation. Ceci va lancer l’assistant de
nouvelle délégation. Nous allons dans la boite de dialogue suivante
indiquer le nom de domaine enfant sans le suffixe correspondant
au nom de domaine parent. Nous entrons « domenfant » puis nous
allons cliquer sur suivant.
 |
 |
La boite de dialogue suivante nous demande d’ajouter
les noms des serveurs DNS de la zone délégué,
pour le faire, nous cliquons sur ajouter. Puis nous allons
saisir le nom et l’adresse IP du serveur principal de
notre domaine enfant. On constate que lorsqu’on utilise le bouton
parcourir pour localiser le serveur DNS principal pour le domaine
enfant, nous ne voyons que le serveur DNS parent, c’est logique
puisque ce dernier ne possède actuellement aucuns enregistrements de
type NS pour le DNS principal du domaine enfant. De même, il
est impossible à partir de cette boite de dialogue de résoudre le nom
du serveur DNS principal pour le domaine enfant, nous ne possédons pas
encore des enregistrement d’hôte pour ce serveur dans le fichier de
zone du DNS principal du domaine parent. Il ne nous reste plus qu’à
cliquer sur le bouton Ajouter et sur le bouton Ok.
Nous allons revenir sur la boite de dialogue de l’assistant
de nouvelle délégation et nous allons cliquer sur suivant. Puis, nous
aurons une boite de dialogue récapitulative sur laquelle nous
allons cliquer sur le bouton Terminer. A ce niveau, les
ordinateurs clients du domaine DNS parent peuvent résoudre le nom des
machines appartenant au domaine enfant, il nous est aussi
possible de savoir qui est le serveur DNS autoritaire sur la zone
enfant, en effet « ping
chochote-wm.domenfant.dompapa .com » et « nslookup
–type=ns domenfant.domapapa.com » à partir du
DNS principal du domaine parent nous renvoie des répondes correctes.
Mais en faisant un ping « chochote.domapapa.com » à
partir d'une machine du domaine enfant, on reçois un message
d’erreur, les machines dans le domaine enfant ne peuvent
encore résoudre les noms des machine du domaine parent.
Configuration
de la redirection du serveur DNS pour la zone enfant
Dans la console DNS du serveur qui gère la zone domenfant.dompapa.com,
on va afficher les propriétés du serveur et on va sélectionner
l’onglet Redirecteurs. Nous allons activer la case à cocher Activer
les redirecteurs puis nous allons entrer l’adresse IP du serveur
DNS vers lequel toutes les requêtes seront redirigées, dans notre
cas, le serveur ayant autorité sur la zone parent.
Il suffira juste de cliquer sur ajouter et
sur Ok (ou sur appliquer) pour terminer. En activant ainsi les redirecteurs,
nous demandons au serveur DNS actuel de renvoyer toutes les requêtes de
résolution de nom qu’il ne peut résoudre vers les serveurs DNS que
nous ajoutons dans la liste de redirection. Il
est désormais possible de résoudre le nom d’une machine dans le
domaine parent depuis le domaine enfant.
Conclusion :
Il est ainsi possible de créer une multitude de délégation de
domaine dans le but de réduire la charge des serveurs DNS de
l'entreprise ou d'organiser la présence de l'entreprise sur l'
Internet. On pourra remarquer que lors de la création d'un domaine
Active directory enfant, une zone DNS enfant est crée dans
l'arborescence de domaine de la zone DNS parente correspondant à la
zone Active directory principale. Il s'agit donc d'une forme de
délégation de zone avec pour seule différence l'inexistence d'un
serveur DNS principal pour le domaine enfant.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Délégation de zone Dns sous Windows 2000
