Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une zone DNS est la partie spécifique d’un espace de noms DNS hébergée sur un serveur DNS. Une zone DNS contient des enregistrements de ressources, et le serveur DNS répond aux requêtes d’enregistrements dans cet espace de noms. Par exemple, le serveur DNS faisant autorité pour la résolution de www.contoso.com en adresse IP héberge la zone contoso.com.
Le contenu de la zone DNS peut être stocké dans un fichier ou dans Active Directory Domain Services (AD DS). Si le serveur DNS stocke la zone dans un fichier :
- Ce fichier se trouve dans un dossier local sur le serveur.
- Une seule copie de la zone est accessible en écriture.
- Les autres copies, qui sont en lecture seule, sont appelées zones secondaires.
Les zones DNS stockées dans AD DS sont appelées « zones intégrées à Active Directory ». Les zones intégrées à Active Directory sont disponibles uniquement sur les contrôleurs de domaine sur lesquels le rôle serveur DNS est installé.
Types de zones DNS
Le service Serveur DNS prend en charge les types de zones suivants :
- Zone primaire.
- Zone secondaire.
- Zone stub.
- Zone de recherche inversée.
Zones primaires
Un serveur DNS hébergeant une zone principale constitue la principale source d’informations sur cette zone. Il stocke les données de la zone dans un fichier local ou dans AD DS. Pour créer, modifier ou supprimer des enregistrements de ressources, vous devez utiliser la zone principale. Les zones secondaires sont des copies en lecture seule des zones principales.
Vous pouvez stocker une zone principale standard dans un fichier local, ou vous pouvez stocker les données de zone dans AD DS. Quand vous stockez les données de la zone dans AD DS, d’autres fonctionnalités sont disponibles. Citons notamment les mises à jour dynamiques sécurisées et la possibilité pour chaque contrôleur de domaine qui héberge la zone d’être utilisée comme zone primaire et de traiter les mises à jour de la zone. Lorsque la zone est stockée dans un fichier, le fichier de zone principale est nommé zone_name.dns par défaut et se trouve dans le dossier %windir%\System32\Dns sur le serveur.
Quand vous déployez Active Directory, une zone DNS associée au nom de domaine AD DS de votre organisation est automatiquement créée. Par défaut, la zone DNS AD DS est répliquée sur tout autre contrôleur de domaine configuré en tant que serveur DNS dans le domaine. Vous pouvez également configurer des zones DNS intégrées à Active Directory pour qu’elles soient répliquées sur tous les contrôleurs de domaine d’une forêt AD DS ou sur des contrôleurs de domaine spécifiques inscrits dans une partition de domaine AD DS particulière.
Zone secondaire
Une zone secondaire est une copie en lecture seule d’une zone principale. Quand une zone hébergée par ce serveur DNS est une zone secondaire, le serveur DNS est une source secondaire d’informations sur cette zone. La zone de ce serveur doit être obtenue à partir d’un autre ordinateur serveur DNS distant qui héberge également la zone. Ce serveur DNS doit avoir un accès réseau au serveur DNS distant qui fournit à ce serveur des informations mises à jour sur la zone. Une zone secondaire étant simplement une copie d’une zone principale hébergée sur un autre serveur, elle ne peut pas être stockée dans AD DS en tant que zone intégrée à Active Directory.
Dans la plupart des cas, une zone secondaire copie périodiquement les enregistrements de ressources directement à partir de la zone principale. Toutefois, dans certaines configurations complexes, une zone secondaire peut copier des enregistrements de ressources à partir d’une autre zone secondaire.
Zone stub
Une zone de stub contient uniquement des informations sur les serveurs de noms faisant autorité pour la zone. La zone hébergée par le serveur DNS doit obtenir ses informations auprès d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit avoir un accès réseau au serveur DNS distant pour copier les informations du serveur de noms faisant autorité sur la zone.
Vous pouvez utiliser les zones de stub pour :
- Tenir à jour les informations sur les zones déléguées. Le serveur DNS met régulièrement à jour les enregistrements de stub pour ses zones enfants. Le serveur DNS qui héberge la zone parente et la zone de stub conserve une liste à jour de serveurs DNS faisant autorité pour la zone enfant.
- Améliorer la résolution de noms. Les zones de stub permettent à un serveur DNS d’effectuer une recherche récursive en utilisant la liste des serveurs de noms de la zone de stub, sans avoir à interroger Internet ou un serveur racine interne pour l’espace de noms DNS.
- Simplifier l’administration DNS. En utilisant des zones de stub dans votre infrastructure DNS, vous pouvez distribuer une liste des serveurs DNS faisant autorité pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub n’ont pas le même objectif que les zones secondaires et ne constituent pas une alternative pour améliorer la redondance et le partage de charge.
Il existe deux listes de serveurs DNS impliqués dans le chargement et la maintenance d’une zone de stub :
- La liste des serveurs de noms à partir desquels le serveur DNS charge et met à jour une zone de stub. Un serveur de noms peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il dispose d’une liste complète des serveurs DNS pour la zone.
- La liste des serveurs DNS faisant autorité pour une zone. Cette liste est contenue dans la zone de stub à l’aide des enregistrements de ressources du serveur de noms (NS).
Quand un serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs de noms, qui peuvent se trouver à des emplacements différents, pour obtenir les enregistrements de ressources nécessaires des serveurs faisant autorité pour la zone widgets.tailspintoys.com. La liste des serveurs de noms peut comporter un ou plusieurs serveurs et être modifiée à tout moment.
Une zone de stub est une copie d’une zone qui contient uniquement les enregistrements de ressources nécessaires pour identifier les serveurs DNS (Domain Name System) faisant autorité pour cette zone. En règle générale, vous utilisez une zone de stub pour résoudre les noms entre des espaces de noms DNS distincts.
Si vous utilisez des sous-zones, tenez compte des points suivants :
- La zone de stub ne peut pas être hébergée sur un serveur DNS faisant autorité pour la même zone.
- Si vous intégrez la zone de stub à AD DS, vous pouvez spécifier si le serveur DNS hébergeant la zone de stub utilise une liste locale de serveurs de noms ou la liste stockée dans AD DS. Si vous souhaitez utiliser une liste de serveurs de noms locaux, vous devez disposer des adresses IP de chaque serveur de noms.
Zones de recherche inversée
Dans la plupart des recherches DNS (Domain Name System), les clients effectuent généralement une recherche directe, c’est-à-dire une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource d’hôte (A). Ce type de requête attend une adresse IP en tant que données de ressource pour la réponse répondue.
DNS fournit également un processus de recherche inversée qui permet aux clients d’utiliser une adresse IP connue et de rechercher un nom d’ordinateur en fonction de son adresse. Une recherche inversée prend la forme d’une question, par exemple : « Pouvez-vous me dire le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ? »
Le domaine in-addr.arpa a été défini dans les normes DNS et réservé dans l’espace de noms DNS Internet afin de fournir un moyen pratique et fiable d’effectuer des requêtes inversées. Pour créer l’espace de noms inversé, des sous-domaines sont formés dans le domaine in-addr.arpa en utilisant le classement inversé des nombres dans la notation décimale à points des adresses IP.
Le domaine in-addr.arpa s’applique à tous les réseaux TCP/IP basés sur l’adressage IPv4 (Internet Protocol version 4). L’Assistant Nouvelle zone part automatiquement du principe que vous utilisez ce domaine quand vous créez une zone de recherche inversée.
L’ordre des octets d’adresse IP doit être inversé lors de la création de l’arborescence du domaine in-addr.arpa. Les adresses IP de l’arborescence DNS in-addr.arpa peuvent être déléguées à des organisations, car elles se voient attribuer un ensemble spécifique ou limité d’adresses IP au sein des classes d’adresses définies par Internet.
Répliquer la base de données DNS
Plusieurs zones peuvent représenter la même partie de l’espace de noms. Ces zones peuvent être de trois types :
- Primary
- Secondary
- Stub
Une zone principale est une zone dans laquelle toutes les mises à jour des enregistrements qui appartiennent à cette zone sont effectuées. Une zone secondaire est une copie en lecture seule de la zone principale. Une zone de stub est une copie en lecture seule de la zone principale comportant uniquement les enregistrements de ressources qui identifient les serveurs DNS faisant autorité pour un nom de domaine DNS. Toutes les modifications apportées au fichier de zone principale sont répliquées dans le fichier de zone secondaire. Les serveurs DNS hébergeant une zone principale, secondaire ou de stub sont considérés comme faisant autorité pour les noms DNS de la zone.
Comme un serveur DNS peut héberger plusieurs zones, il peut donc héberger à la fois une zone principale (comportant la copie accessible en écriture d’un fichier de zone) et une zone secondaire distincte (obtenant une copie en lecture seule d’un fichier de zone). Un serveur DNS hébergeant une zone principale est considéré comme le serveur DNS principal de cette zone, et un serveur DNS hébergeant une zone secondaire est considéré comme le serveur DNS secondaire de cette zone.
Note
Une zone secondaire ou de stub ne peut pas être hébergée sur un serveur DNS qui héberge une zone principale pour le même nom de domaine.
Transfert de zone
Le « transfert de zone » implique de répliquer un fichier de zone sur plusieurs serveurs DNS. Il résulte de la copie du fichier de zone d’un serveur DNS sur un autre serveur DNS. Les transferts de zone peuvent être effectués à partir de serveurs DNS principaux et secondaires.
Un serveur DNS principal est un serveur faisant autorité, configuré pour être la source du transfert de zone. Si le serveur DNS est un serveur DNS principal, le transfert de zone s’effectue directement à partir du serveur DNS hébergeant la zone principale. Si le serveur principal héberge une zone DNS secondaire, le fichier de zone reçu du serveur DNS principal avec un transfert de zone est une copie du fichier de zone secondaire en lecture seule.
Le transfert de zone est initié de l’une des manières suivantes :
- Le serveur DNS principal envoie une notification (RFC 1996) de modification du fichier de zone à un ou plusieurs serveurs DNS secondaires.
- Lorsque le service de Serveur DNS sur le serveur DNS secondaire démarre ou que l’intervalle d’actualisation de la zone expire, le serveur DNS secondaire interroge le serveur DNS principal pour obtenir les modifications. Par défaut, l’intervalle d’actualisation est défini sur 15 minutes dans le RR SOA de la zone.
Paramètres de transfert de zone
Les transferts de zone vous permettent de contrôler les circonstances dans lesquelles une zone secondaire doit être répliquée à partir d’une zone principale. Pour améliorer la sécurité de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de ressources du serveur de noms (NS) pour une zone ou des serveurs DNS spécifiés. Si vous autorisez un serveur DNS à effectuer un transfert de zone, vous autorisez le transfert des informations réseau internes vers n’importe quel hôte pouvant contacter votre serveur DNS.
Types de réplication de fichiers de zone
Il existe deux types de réplication de fichiers de zone. Le premier, le transfert de zone complet (AXFR), réplique l’intégralité du fichier de zone. Le second, le transfert de zone incrémentiel (IXFR), réplique uniquement les enregistrements modifiés.
Les logiciels de serveur DNS BIND 4.9.3 et les versions antérieures, ainsi que Windows NT 4.0 DNS, prennent en charge le transfert de zone complet (AXFR) uniquement. Il existe deux types d’AXFR : l’un nécessite un seul enregistrement par paquet, l’autre autorise plusieurs enregistrements par paquet. Le service de Serveur DNS dans les serveurs Windows prend en charge les deux types de transfert de zone, mais utilise par défaut plusieurs enregistrements par paquet. Il peut être configuré différemment pour être compatible avec les serveurs qui n’autorisent pas plusieurs enregistrements par paquet, comme les serveurs BIND versions 4.9.4 et antérieures.
Délégation de zone
Vous pouvez diviser votre espace de noms DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez déléguer la gestion d’une partie de votre espace de noms à un autre emplacement ou service de votre organisation en déléguant la gestion de la zone correspondante. Par exemple, vous pouvez déléguer la zone australia.contoso.com de la zone contoso.com.
Quand vous déléguez une zone, n’oubliez pas que pour chaque zone que vous créez, vous avez besoin d’enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS faisant autorité pour la nouvelle zone. Des enregistrements de délégation sont nécessaires pour transférer l’autorité et fournir une référence correcte aux autres serveurs DNS et clients des nouveaux serveurs qui font autorité pour la nouvelle zone.
Accès aux zones et aux noms
L’accès aux zones DNS et aux enregistrements de ressources stockés dans Active Directory est contrôlé par des listes de contrôle d’accès (ACL). Les ACL peuvent être spécifiées pour le service de Serveur DNS, une zone entière ou pour des noms DNS spécifiques. Par défaut, tout utilisateur Active Directory authentifié peut créer les RR A ou PTR dans n’importe quelle zone. Lorsqu’un propriétaire crée un enregistrement A ou PTR (quel que soit le type d’enregistrement de ressource), seuls les utilisateurs ou les groupes spécifiés dans l'ACL pour ce nom qui disposent d’une autorisation d’écriture sont autorisés à modifier les enregistrements correspondant à ce nom. Bien que cette approche soit souhaitable dans la plupart des scénarios, certaines situations doivent être examinées séparément.
Groupe DNSAdmins
Par défaut, le groupe DNSAdmins a un contrôle total de toutes les zones et enregistrements dans le domaine Active Directory. Pour qu’un utilisateur puisse énumérer des zones dans un domaine spécifique, cet utilisateur (ou un groupe dont il fait partie) doit être inscrit dans le groupe DNSAdmin.
Il se peut qu’un administrateur de domaine ne souhaite pas accorder le contrôle total à tous les utilisateurs répertoriés dans le groupe DNSAdmins. Au lieu de cela, un administrateur de domaine peut souhaiter accorder à un ensemble spécifique d’utilisateurs un contrôle total pour une zone et des autorisations en lecture seule pour les autres zones. Pour configurer ces autorisations, l’administrateur de domaine peut créer un groupe distinct pour chacune des zones et ajouter des utilisateurs spécifiques à chaque groupe. Ensuite, la liste de contrôle d’accès (ACL) pour chaque zone contient un groupe avec un contrôle complet pour cette zone uniquement. Tous les groupes sont ajoutés au groupe DNSAdmins, qui peut être configuré avec des autorisations de lecture uniquement. L’ACL d’une zone contient toujours le groupe DNSAdmins, ce qui signifie que tous les utilisateurs inscrits dans les groupes spécifiques à une zone peuvent lire toutes les zones du domaine.
Réservation de noms
Les environnements qui nécessitent un haut niveau de sécurité peuvent avoir besoin de réserver des noms dans une zone et d’empêcher les utilisateurs authentifiés de créer de nouveaux noms dans cette zone, ce qui est le comportement par défaut. Pour sécuriser les enregistrements DNS, l'ACL par défaut peut être modifiée pour permettre la création d’objets par certains groupes ou utilisateurs uniquement. L’administration des ACL par nom offre une autre solution à ce problème. Un administrateur peut réserver un nom dans une zone, laissant le reste de la zone ouvert à la création de nouveaux objets par tous les utilisateurs authentifiés. Un administrateur crée un enregistrement pour le nom réservé et définit la liste appropriée de groupes ou d’utilisateurs dans l'ACL. En d’autres termes, seuls les utilisateurs répertoriés dans l’ACL peuvent enregistrer un autre enregistrement sous le nom réservé.