Serveurs DNS Redondants Sous Server 2008 R2 (Tuto de A À Z)
Serveurs DNS Redondants Sous Server 2008 R2 (Tuto de A À Z)
Serveurs DNS Redondants Sous Server 2008 R2 (Tuto de A À Z)
DNS redondants
(v2.2)
SOURCES
DHCP in Windows Server 2008 :
http://technet.microsoft.com/en-us/network/bb643151.aspx
INDEX
SOURCES.................................................................................................................................................. 1
INDEX....................................................................................................................................................... 2
Prambule ............................................................................................................................................... 4
PARTIE 1 .................................................................................................................................................. 5
1.
2.
3.
2.1
2.2
2.3
2.4
2.5
2.6
Monitoring ............................................................................................................................. 11
2.7
3.2
3.3
3.4
Options de zone..................................................................................................................... 21
4.
5.
6.
7.
8.
6.1
6.2
7.2
7.3
PARTIE 2 ................................................................................................................................................ 39
1.
1.2
2.
3.
4.
Redirecteurs / Forwarders............................................................................................................ 40
2.1
Fonctionnement .................................................................................................................... 40
2.2
Redirecteurs conditionnels.................................................................................................... 41
2.3
3.2
3.3
DNSSEC .................................................................................................................................. 44
4.2
4.3
4.4
Conclusion ............................................................................................................................................. 45
Prambule
Active Directory et DNS sont les rles vitaux dans une infrastructure Windows. Etant donn
quActive Directory ncessite le rle DNS pour fonctionner, il est essentiel de mettre en
place une structure redondante afin de parer toute panne du DNS. En effet, si ce dernier
venait tomber en panne, non seulement vos utilisateurs ne pourraient plus se connecter
au domaine, mais ils ne pourraient plus se connecter internet.
Lobjectif de ce tuto est de mettre en place deux serveurs DNS redondants (un primaire,
un secondaire) afin de faire face une possible dfaillance systme ou matrielle. De cette
faon, si lun des serveurs venait sarrter, vos systmes clients continueraient
fonctionner normalement.
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et
DHCP) pour comprendre ce tutorial. Si vous ne disposez pas dune version de Windows
Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis
le site officiel de Microsoft. Vous pouvez mme la tlcharger en VHD si vous utilisez HyperV ou Virtual PC. Attention, mes serveurs sont installs en anglais, donc je vous recommande
dopter pour cette langue lors de votre tlchargement ou bien de tlcharger le pack
multilingue en anglais ici pour ne pas perdre le fil
Ce document est divis en deux parties : la premire vous expliquant comment installer vos
serveurs DNS et la seconde vous expliquant le fonctionnement du DNS sous Windows. Si ce
protocole vous tait jusqu maintenant inconnu, je vous recommande de commencer par
lire cette seconde partie.
Pour ce tuto, jutiliserai deux serveurs :
SRV-DNS-1: serveur Active Directory et DNS
SRV-DNS-2 : serveur DNS secondaire
Notez toutefois que ce tuto prsente la mise en place dune architecture DNS redondante
manuelle. En effet, lors de la promotion dun serveur en contrle de domaine secondaire, la
rplication DNS est effectue de faon transparente et automatique. Ce tuto convient vous
permettra donc de mieux connaitre le fonctionnement interne du DNS.
PARTIE 1
1. Installation de SRV-DNS-1
Sur ce serveur, seuls les rles Active Directory DNS seront installs. Avant de commencer,
modifiez les paramtres TCP/IP de la faon suivante :
IP address : IP fixe
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2
Ensuite excutez la commande dcpromo pour installer le rle Contrleur de domaine.
Cette partie nest pas dtaille ici.
Pour accder la console, cliquez sur Dmarrer > Administrative tools > DNS
Accdez ensuite aux proprits du serveur : clic droit sur [nom_serveur] > Properties
2 de la Partie
Note : le temps dattente avant lexpiration de la demande est de 3 secondes. Aprs quoi, le
serveur interrogera le forwarders suivant
Enable mask ordering : dans le cas o plusieurs entres DNS existent pour une hte,
il est possible de privilgier les adresses du mme rseau que le client. En dautres
termes, cela dirige le client vers la machine la plus proche. En cochant cette case,
vous activez ce mcanisme
Secure cache against pollution : cette option permet dviter quun attaquant pollue
le cache DNS avec des enregistrements non demands par le serveur. En activant
cette case, vous protgez votre serveur contre ce type dattaque
10
Vous pouvez ensuite consulter les logs via la console Event viewer
. A partir de celle-ci
il vous sera possible de visualiser tout vnement en relation avec le DNS grce au filtre
prdfinit.
2.6 Monitoring
Vous pouvez ici tester diffrents type de requtes afin de vrifier le bon fonctionnement de
votre serveur. Pour lancer un test, choisissez le type de requte et cliquez sur Test now
11
12
13
3.1
Avant tout, sachez que si vous installez le rle de contrleur de domaine sur votre serveur, le
rle DNS sera implicitement ajout et une zone principale sera automatiquement cre.
Dans tous les cas, voici comment crer ce type de zone :
14
Saisissez ensuite le nom de zone souhait (il sagit du nom de votre domaine)
15
16
17
18
19
20
21
Expires after : temps aprs lequel le serveur secondaire arrte de rpondre aux
requtes, du fait quil nest pas pu actualiser sa zone
Minimum TTL : dure de vie dune zone
23
4. Installation de SRV-DNS-2
Sur ce serveur, seul le rle DNS sera install. Avant de commencer, modifiez les paramtres
TCP/IP de la faon suivante :
IP address : IP fixe situe dans le mme rseau que SRV-DNS-1
Preferred DNS server : IP serveur SRV-DNS-1
Alternate DNS server : IP serveur SRV-DNS-2
Ensuite, joignez ce serveur au domaine cr par SRV-DNS-1 et suivez comme suit :
24
Voil, votre serveur DNS secondaire est install, il ne reste plus qu le configurer
25
26
Renseignez ensuite lIP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorit). Cela est tout fait normal
27
28
29
Renseignez ensuite lIP de votre serveur DNS principal. Ne vous fiez pas au message
en rouge (serveur ne faisant pas autorit). Cela est tout fait normal
30
31
32
Si la rsolution fonctionne, une icne verte apparait gauche. Cliquez alors sur Ok
33
Cliquez ensuite sur Notify (plus de dtails concernant cette option au point 1.2 de la
Partie 2)
La fentre ci-dessous apparat. Cochez la case et choisissez loption Servers listed on
the Name Servers tab
34
35
8. Dlgation de zone
La dlgation de zone permet de diviser lespace de nom afin de :
Dlguer la gestion dune partie de votre espace DNS
Rpartir le trafic sur diffrentes zones
Etendre un domaine afin, par exemple, dincorporer une nouvelle entit
Supposons que vous disposez dun domaine nomm exemple.com et que vous souhaitez
sparer cet espace afin den dlguer la gestion vos deux filiales. Vous devrez donc crer
deux sous-domaines nomms :
filiale1.exemple.com
filiale2.exemple.com
Pour cela :
Clic droit sur [nom_zone] > New delegation
Lassistant suivant se lance :
36
Indiquez ensuite le FQDN du serveur DNS auquel vous souhaitez dlguer la gestion
37
38
PARTIE 2
1. Les zones DNS
1.1 Types de zones
1.1.1 Zone principale
Une zone principale enregistre toutes les informations de zone dans un fichier sur le serveur
local. Elle permet de rsoudre un nom dhte en IP partir des enregistrements de type A,
CNAME, Avec ou sans domaine, une zone principale est indispensable.
Astuce : Pour vrifier que votre zone fonctionne correctement, excutez la commande Ping
[nom_hte]. Si votre DNS est correctement configur, la commande vous retourne lIP de
lhte en question.
39
1.2.2 Notifications
Originairement, le transfert de zone est linitiative du serveur esclave. Cependant, vous
pouvez forcer le serveur principal envoyer une notification ses serveurs afin de
dclencher priodiquement le transfert.
2. Redirecteurs / Forwarders
2.1 Fonctionnement
40
Dans le cas o une requte ne peut tre rsolue par un serveur DNS, ce dernier va la
transfrer vers un de ses redirecteurs. Un redirecteur est un serveur du rseau qui relaie les
requtes non rsolues pour une rsolution extrieure. En rgle gnrale, il convient de
renseigner les redirecteurs avec les DNS de votre FAI (Fournisseur dAccs Internet).
Saisissez alors le serveur DNS vers lequel vous souhaitez rediriger directement (et
donc plus rapidement) les requtes DND
41
Pour vider le cache DNS, ouvrez une fentre CMD et tapez : ipconfig /flushdns
42
informations de son cache ou des informations de zone. Si une correspondance est trouve,
les informations sont envoyes et la requte prend fin.
Si la requte ne peut tre rsolue par le serveur, un processus de rcursivit est lanc visant
interroger dautres serveurs appels communment serveurs racines. Ces derniers
peuvent alors retourner diffrentes rponses :
Rponse faisant autorit : rponse positive indiquant que la rponse a t obtenue
auprs d'un serveur membre du domaine de recherche auquel le client est connect
Rponse positive : rponse ne pouvant pas comprendre l'enregistrement de
ressource interrog ou une liste d'enregistrements de ressources (RRset)
Rponse de rfrence : contient des enregistrements de ressources
supplmentaires. Ce type de rponse est renvoy au client si le processus de
rcursivit n'est pas pris en charge, afin que ces enregistrements puissent tre
utiliss par le client pour poursuivre sa requte
Rponse ngative : envoye par le serveur pour signaler que :
o Lobjet de la requte nexiste plus
o Le nom demand existe, mais aucun enregistrement ny est associ
43
44
Conclusion
A partir de ce tuto, il vous est dornavant possible de mettre en place une structure DNS
redondante. Toutefois sachez que le serveur secondaire ne peut modifier ces zones, do
limportance du serveur primaire. Pensez galement ajouter les deux adresses de vos
serveurs DNS dans les paramtres distribus par votre serveur DHCP.
Par ailleurs, je vous invite lire mon article Serveur DHCP scuris que vous trouverez
galement sur Scribd.
45