Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un redirecteur est un serveur DNS d'un réseau utilisé pour transférer les requêtes DNS relatives à des noms externes vers des serveurs DNS situés en dehors de ce réseau. Il est également possible de rediriger les requêtes selon des noms de domaine spécifiques en utilisant des redirecteurs conditionnels. Cet article traite du transfert DNS, notamment la délégation, les transferts conditionnels et la résolution de noms intranet dans Windows Server.
Forwarding
Un serveur DNS d'un réseau est désigné comme redirecteur lorsque les autres serveurs DNS lui transmettent les requêtes qu'ils ne peuvent pas résoudre localement. En utilisant un redirecteur, vous pouvez gérer la résolution des noms externes à votre réseau, tels que ceux de l'Internet, et améliorer l'efficacité de la résolution des noms pour les ordinateurs de votre réseau.
Le schéma suivant illustre la manière dont les requêtes de noms externes sont dirigées à l'aide de redirecteurs.
Si aucun serveur DNS n'est spécifiquement défini comme redirecteur, les serveurs DNS utilisent les pointeurs vers les serveurs racine pour envoyer les requêtes en dehors du réseau. Cette configuration peut exposer des informations DNS internes à Internet, ce qui représente un risque pour la sécurité et la confidentialité. Elle peut également générer un important trafic externe, ce qui est inefficace pour les réseaux disposant d'une connexion Internet lente ou coûteux pour les entreprises ayant des frais élevés de bande passante.
En désignant un serveur DNS comme redirecteur, vous lui confiez la gestion du trafic externe, ce qui limite l'exposition des serveurs DNS à Internet. Le redirecteur accumule un important cache d'informations DNS externes, car toutes les requêtes DNS externes du réseau transitent par lui. En peu de temps, il peut répondre à la plupart des requêtes en utilisant les données mises en cache, ce qui réduit le trafic Internet sur le réseau et améliore le temps de réponse pour les clients DNS.
Behavior
Un serveur DNS configuré pour utiliser un redirecteur se comporte différemment d'un serveur DNS qui ne l'est pas. Son fonctionnement est le suivant :
Lorsqu'il reçoit une requête, le serveur DNS tente d'abord de la résoudre en utilisant les zones principales et secondaires qu'il héberge ainsi que son cache.
Si la requête ne peut pas être résolue à l'aide de ces données locales, elle est alors transmise au serveur DNS défini comme redirecteur.
Le serveur DNS attend brièvement une réponse du redirecteur avant d'essayer de contacter les serveurs DNS indiqués dans ses pointeurs vers les serveurs racine.
Lorsqu'un serveur DNS transmet une requête à un redirecteur, il lui envoie une requête récursive. Ce type de requête diffère d'une requête itérative, qui est utilisée lors de la résolution standard entre serveurs DNS. Autrement dit, une résolution de nom qui ne fait pas appel à un redirecteur.
Séquence de routage
Un serveur DNS utilise les redirecteurs selon l'ordre dans lequel les adresses IP sont listées dans sa configuration. Après avoir transmis la requête au redirecteur correspondant à la première adresse IP de la liste, il attend une réponse pendant un court délai (défini par le paramètre de temporisation du serveur DNS), puis continue avec la redirection vers l'adresse suivante de la liste. Ce processus se répète jusqu'à l'obtention d'une réponse affirmative d'un redirecteur.
Le redirecteur utilisé dépend de la configuration du serveur. Par défaut, le réordonnancement dynamique des redirecteurs est activé. Si ce paramètre par défaut est conservé, le serveur DNS applique les règles suivantes :
Le serveur DNS permet aux administrateurs de définir les redirecteurs dans un ordre de préférence.
Une liste dynamique des redirecteurs est maintenue. Elle est réordonnée en fonction des temps de réponse. Toutefois, elle est réinitialisée à l'ordre configuré environ toutes les 15 minutes.
Pour chaque requête, les redirecteurs sont sélectionnés dans l'ordre de la liste dynamique.
Si le temps de réponse dépasse 1 seconde, cela est considéré comme une réponse lente. Chaque redirecteur est autorisé à deux réponses lentes consécutives ; à la troisième réponse lente, il est déplacé à la fin de la liste dynamique.
Si aucun des serveurs de la liste ne répond, le système DNS ne peut pas déterminer si un serveur est hors ligne ou simplement lent. La surveillance de la disponibilité de chaque serveur DNS doit être effectuée en dehors de ce système.
Tip
À partir de Windows Server 2022, si aucun redirecteur ne répond, le serveur DNS n'utilise que le premier de la liste dynamique jusqu'au prochain redémarrage du service DNS.
Pour restaurer le comportement précédent où le serveur DNS passe par tous les redirecteurs, vous pouvez désactiver la réorganisation dynamique du redirecteur en exécutant la commande Set-DnsServerForwarder -EnableReordering $falsePowerShell. Pour plus d’informations, consultez Set-DnsServerForwarder.
Redirecteurs et délégation
Un serveur DNS configuré avec un redirecteur et hébergeant une zone parente utilise d'abord ses informations de délégation avant de transmettre une requête. Si aucun enregistrement de délégation n'existe pour le nom DNS de la requête, le serveur DNS utilise alors ses redirecteurs pour résoudre la requête.
Redirecteurs et serveurs racine
Pour que le serveur DNS puisse effectuer correctement la récursivité, il a d’abord besoin d’informations de contact utiles sur d’autres serveurs DNS dans l’espace de noms de domaine DNS. Ces informations sont fournies sous la forme d’indications de racine. Les indications de racine sont une liste d’enregistrements de ressources préliminaires que le service DNS utilise pour localiser d’autres serveurs DNS faisant autorité pour la racine de l’arborescence de l'espace de noms de domaine DNS. Les serveurs racines font autorité pour la racine du domaine et les domaines de niveau supérieur dans l'arborescence de l'espace de noms de domaine DNS.
En utilisant des indications de racine pour trouver des serveurs racines, un serveur DNS est capable d'utiliser la récursivité. En théorie, ce processus permet à n’importe quel serveur DNS de localiser les serveurs qui font autorité pour tout autre nom de domaine DNS utilisé à n’importe quel niveau de l’arborescence de l’espace de noms.
Les serveurs racine ne peuvent pas être configurés avec une redirection standard. Si un serveur racine est interrogé pour un nom de domaine, il répond de l'une des deux façons suivantes : Soit il renvoie à un serveur DNS capable de répondre à la requête (depuis ses zones locales ou son cache), soit il renvoie une erreur. Une réponse d'échec est accompagnée d'une réponse NXDOMAIN. Un serveur racine ne peut pas être configuré pour transférer les requêtes à des serveurs spécifiques. Une erreur fréquente lors de la configuration de la redirection consiste à essayer de configurer la redirection sur les serveurs racine d'un espace de noms DNS privé.
Un serveur racine peut toutefois être configuré avec un redirecteur conditionnel. La redirection conditionnelle peut servir à transférer des requêtes entre serveurs racine situés dans des espaces de noms DNS distincts, bien que les serveurs DNS responsables des domaines de premier niveau soient en général mieux adaptés à ce type de résolution.
Redirecteurs conditionnels
Un redirecteur conditionnel est un serveur DNS utilisé pour transférer des requêtes DNS selon le nom de domaine figurant dans la requête. Par exemple, un serveur DNS peut être configuré pour rediriger toutes les requêtes concernant des noms se terminant par north.contoso.com vers l'adresse IP d'un ou plusieurs serveurs DNS.
Résolution de noms dans un intranet
Un redirecteur conditionnel peut améliorer la résolution de noms pour les domaines internes à votre intranet. Cela peut être fait en configurant les serveurs DNS avec des redirecteurs pour des noms de domaine internes spécifiques. Par exemple, tous les serveurs DNS du domaine north.contoso.com peuvent être configurés pour rediriger les requêtes concernant les noms se terminant par south.contoso.com vers les serveurs DNS faisant autorité pour south.contoso.com. Cela évite d'avoir à interroger les serveurs racine de .contoso.com, ou de configurer des zones secondaires north.contoso.com sur les serveurs DNS de south.contoso.com.
Résolution de noms sur Internet
Les serveurs DNS peuvent utiliser des redirecteurs conditionnels pour résoudre les requêtes entre les noms de domaine DNS de sociétés partageant des informations. Par exemple, deux entreprises, Contoso et Tailspin Toys, souhaitent améliorer la manière dont les clients DNS de Contoso résolvent les noms des serveurs de Tailspin Toys. Les administrateurs de Tailspin Toys communiquent aux administrateurs de Contoso la liste des serveurs DNS de leur réseau vers lesquels Contoso peut envoyer les requêtes destinées au domaine outdoor.tailspintoys.com. Les serveurs DNS du réseau Contoso sont alors configurés pour rediriger toutes les requêtes se terminant par outdoor.tailspintoys.com vers les serveurs désignés du réseau Tailspin Toys. Ainsi, les serveurs DNS de Contoso n'ont pas besoin d'interroger leurs serveurs racine internes ou les serveurs racine Internet pour résoudre ces requêtes pour les noms se terminant par outdoor.tailspintoys.com.