Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une zone DNS est la partie spécifique d’un espace de noms DNS hébergé sur un serveur DNS. Une zone DNS contient des enregistrements de ressources, et le serveur DNS répond aux requêtes pour les enregistrements dans cet espace de noms. Par exemple, le serveur DNS qui fait autorité pour la résolution www.contoso.com d’une adresse IP héberge la contoso.com zone.
Le contenu de la zone DNS peut être stocké dans un fichier ou dans les services de domaine Active Directory (AD DS). Lorsque le serveur DNS stocke la zone dans un fichier :
- Ce fichier se trouve dans un dossier local sur le serveur.
- Une seule copie de la zone est accessible en écriture.
- D’autres copies, qui sont en lecture seule, sont appelées zones secondaires.
Les zones DNS stockées dans les services de domaine Active Directory sont appelées zones intégrées à Active Directory. Les zones intégrées à Active Directory ne sont disponibles que sur les contrôleurs de domaine sur lesquels le rôle Serveur DNS est installé.
Types de zones DNS
Le service Serveur DNS prend en charge les types de zone suivants :
- Zone primaire.
- Zone secondaire.
- Zone de tronçon.
- Zone de recherche inversée.
Zones primaires
Un serveur DNS hébergeant une zone primaire est la principale source d’informations sur cette zone. Il stocke les données de zone dans un fichier local ou dans AD DS. Pour créer, modifier ou supprimer des enregistrements de ressources, vous devez utiliser la zone principale. Les zones secondaires sont des copies en lecture seule des zones primaires.
Vous pouvez stocker une zone primaire standard dans un fichier local ou des données de zone dans AD DS. Lorsque vous stockez des données de zone dans AD DS, d’autres fonctionnalités sont disponibles, telles que des mises à jour dynamiques sécurisées et la possibilité pour chaque contrôleur de domaine qui héberge la zone de fonctionner en tant que principal et de pouvoir traiter les mises à jour de la zone. Lorsque la zone est stockée dans un fichier, le fichier de la zone primaire est nommé zone_name.dnspar défaut et se trouve dans le %windir%\System32\Dns dossier du serveur.
Lorsque vous déployez Active Directory, une zone DNS associée au nom de domaine AD DS de votre organisation est automatiquement créée. Par défaut, la zone DNS AD DS est répliquée sur tout autre contrôleur de domaine configuré en tant que serveur DNS dans le domaine. Vous pouvez également configurer des zones DNS intégrées Active Directory pour qu’elles soient répliquées sur tous les contrôleurs de domaine d’une forêt AD DS ou sur des contrôleurs de domaine spécifiques inscrits dans une partition de domaine AD DS particulière.
Zone secondaire
Une zone secondaire est une copie en lecture seule d’une zone primaire. Lorsqu’une zone hébergée par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire d’informations sur cette zone. La zone de ce serveur doit être obtenue à partir d’un autre ordinateur serveur DNS distant qui héberge également la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant qui fournit à ce serveur des informations actualisées sur la zone. Étant donné qu’une zone secondaire n’est qu’une copie d’une zone primaire hébergée sur un autre serveur, elle ne peut pas être stockée dans les services de domaine Active Directory en tant que zone intégrée Active Directory.
Dans la plupart des cas, une zone secondaire copie périodiquement les enregistrements de ressources directement à partir de la zone principale. Mais dans certaines configurations complexes, une zone secondaire peut copier des enregistrements de ressources à partir d’une autre zone secondaire.
Zone stub
Une zone stub ne contient que des informations sur les serveurs de noms faisant autorité pour la zone. La zone hébergée par le serveur DNS doit obtenir ses informations d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant pour copier les informations du serveur de noms faisant autorité sur la zone.
Vous pouvez utiliser les zones de stub pour :
- Tenez à jour les informations de zone déléguées. Le serveur DNS met régulièrement à jour les enregistrements de stub pour ses zones enfants, le serveur DNS qui héberge à la fois la zone parent et la zone stub tient à jour une liste de serveurs DNS faisant autorité pour la zone enfant.
- Améliorez la résolution des noms. Les zones stub permettent à un serveur DNS d’effectuer une récursivité à l’aide de la liste des serveurs de noms de la zone stub, sans avoir à interroger Internet ou un serveur racine interne pour l’espace de noms DNS.
- Simplifiez l’administration DNS. En utilisant des zones de stub dans l’ensemble de votre infrastructure DNS, vous pouvez distribuer une liste des serveurs DNS faisant autorité pour une zone sans utiliser de zones secondaires. Cependant, les zones stub n’ont pas le même objectif que les zones secondaires et ne constituent pas une alternative pour améliorer la redondance et le partage de charge.
Il existe deux listes de serveurs DNS impliqués dans le chargement et la maintenance d’une zone stub :
- Liste des serveurs de noms à partir desquels le serveur DNS charge et met à jour une zone de stub. Un serveur de noms peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il dispose d’une liste complète des serveurs DNS de la zone.
- Liste des serveurs DNS faisant autorité pour une zone. Cette liste est contenue dans la zone stub à l’aide des enregistrements de ressources du serveur de noms (NS).
Lorsqu’un serveur DNS charge une zone stub, telle que widgets.tailspintoys.com, il interroge les serveurs de noms, qui peuvent se trouver à différents emplacements, pour obtenir les enregistrements de ressources nécessaires des serveurs faisant autorité pour la zone widgets.tailspintoys.com. La liste des serveurs de noms peut contenir un seul serveur ou plusieurs serveurs, et elle peut être modifiée à tout moment.
Une zone stub est une copie d’une zone qui contient uniquement les enregistrements de ressources nécessaires à l’identification des serveurs DNS (Domain Name System) faisant autorité pour cette zone. En règle générale, vous utilisez une zone stub pour résoudre les noms entre des espaces de noms DNS distincts.
Lorsque vous travaillez avec des sous-zones, vous devez prendre en compte :
- La zone stub ne peut pas être hébergée sur un serveur DNS faisant autorité pour la même zone.
- Si vous intégrez la zone de stub dans AD DS, vous pouvez spécifier si le serveur DNS hébergeant la zone de stub utilise une liste locale de serveurs de noms ou la liste stockée dans AD DS. Si vous souhaitez utiliser une liste de serveurs de noms locaux, vous devez disposer des adresses IP de chaque serveur de noms.
Zones de recherche inversée
Dans la plupart des recherches DNS (Domain Name System), les clients effectuent généralement une recherche directe, c’est-à-dire une recherche basée sur le nom DNS d’un autre ordinateur tel qu’il est stocké dans un enregistrement de ressource hôte (A). Ce type de requête attend une adresse IP en tant que données de ressource pour la réponse répondue.
Le DNS fournit également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d’ordinateur en fonction de son adresse. Une recherche inversée prend la forme d’une question, telle que « Pouvez-vous me dire le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ? »
Le in-addr.arpa domaine a été défini dans les normes DNS et réservé dans l’espace de noms DNS Internet afin de fournir un moyen pratique et fiable d’effectuer des requêtes inverses. Pour créer l’espace de noms inversé, des sous-domaines au sein du in-addr.arpa domaine sont formés, en utilisant l’ordre inverse des chiffres dans la notation décimale pointée des adresses IP.
Le in-addr.arpa domaine s’applique à tous les réseaux TCP/IP basés sur l’adressage IPv4 (Internet Protocol version 4). L’Assistant Nouvelle zone suppose automatiquement que vous utilisez ce domaine lorsque vous créez une zone de recherche inversée.
L’ordre des octets d’adresses IP doit être inversé lors de la création de l’arborescence du in-addr.arpa domaine. Les adresses IP de l’arborescence DNS in-addr.arpa peuvent être déléguées aux organisations, car elles se voient attribuer un ensemble spécifique ou limité d’adresses IP dans les classes d’adresses définies par Internet.
Répliquer la base de données DNS
Il peut y avoir plusieurs zones représentant la même partie de l’espace de noms. Parmi ces zones, il en existe trois types :
- Primaire
- Secondaire
- Souche
Primaire est une zone dans laquelle toutes les mises à jour des enregistrements qui appartiennent à cette zone sont effectuées. Une zone secondaire est une copie en lecture seule de la zone primaire. Une zone stub est une copie en lecture seule de la zone primaire qui contient uniquement les enregistrements de ressources qui identifient les serveurs DNS faisant autorité pour un nom de domaine DNS. Toutes les modifications apportées au fichier de zone primaire sont répliquées dans le fichier de zone secondaire. On dit que les serveurs DNS hébergeant une zone primaire, secondaire ou stub font autorité pour les noms DNS de la zone.
Étant donné qu’un serveur DNS peut héberger plusieurs zones, il peut donc héberger à la fois une zone primaire (qui contient la copie inscriptible d’un fichier de zone) et une zone secondaire distincte (qui obtient une copie en lecture seule d’un fichier de zone). Un serveur DNS hébergeant une zone primaire est dit être le serveur DNS principal de cette zone, et un serveur DNS hébergeant une zone secondaire est dit être le serveur DNS secondaire de cette zone.
Remarque
Une zone secondaire ou stub ne peut pas être hébergée sur un serveur DNS qui héberge une zone primaire pour le même nom de domaine.
Transfert de zone
Le « transfert de zone » implique de répliquer un fichier de zone sur plusieurs serveurs DNS. Il résulte de la copie du fichier de zone d’un serveur DNS sur un autre serveur DNS. Les transferts de zone peuvent être effectués à partir de serveurs DNS primaires et secondaires.
Un serveur DNS principal est un serveur faisant autorité configuré pour être la source du transfert de zone. Si le serveur DNS est un serveur DNS primaire, le transfert de zone provient directement du serveur DNS hébergeant la zone primaire. Si le serveur principal héberge une zone DNS secondaire, le fichier de zone reçu du serveur DNS principal avec un transfert de zone est une copie du fichier de zone secondaire en lecture seule.
Le transfert de zone est initié de l’une des manières suivantes :
- Le serveur DNS primaire envoie une notification (RFC 1996) à un ou plusieurs serveurs DNS secondaires d’une modification du fichier de zone.
- Lorsque le service Serveur DNS sur le serveur DNS secondaire démarre ou que l’intervalle d’actualisation de la zone expire, le serveur DNS secondaire interroge le serveur DNS principal pour obtenir les modifications. Par défaut, l’intervalle d’actualisation est défini sur 15 minutes dans le RR SOA de la zone.
Paramètres de transfert de zone
Les transferts de zone vous permettent de contrôler les circonstances dans lesquelles une zone secondaire doit être répliquée à partir d’une zone primaire. Pour améliorer la sécurité de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de ressources de serveur de noms (NS) d’une zone ou pour les serveurs DNS spécifiés. Si vous autorisez un serveur DNS à effectuer un transfert de zone, vous autorisez le transfert des informations du réseau interne vers tout hôte pouvant contacter votre serveur DNS.
Types de réplication de fichiers de zone
Il existe deux types de réplication de fichiers de zone. Le premier, un transfert de zone complet (AXFR), réplique l’intégralité du fichier de zone. Le second, un transfert de zone incrémentiel (IXFR), réplique uniquement les enregistrements qui ont été modifiés.
Les logiciels de serveur DNS BIND 4.9.3 et versions antérieures, ainsi que Windows NT 4.0 DNS, prennent en charge le transfert de zone complète (AXFR) uniquement. Il existe deux types d’AXFR : l’un nécessite un seul enregistrement par paquet, l’autre autorise plusieurs enregistrements par paquet. Le service Serveur DNS dans les serveurs Windows prend en charge les deux types de transfert de zone, mais utilise par défaut plusieurs enregistrements par paquet. Il peut être configuré différemment pour être compatible avec les serveurs qui n’autorisent pas plusieurs enregistrements par paquet, tels que les serveurs BIND versions 4.9.4 et antérieures.
Délégation de zone
Vous pouvez diviser votre espace de noms DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez déléguer la gestion d’une partie de votre espace de noms à un autre emplacement ou service de votre organisation en déléguant la gestion de la zone correspondante. Par exemple, déléguer la australia.contoso.com zone à partir de la contoso.com zone.
Lorsque vous déléguez une zone, n’oubliez pas que pour chaque nouvelle zone que vous créez, vous avez besoin d’enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS faisant autorité pour la nouvelle zone. Les enregistrements de délégation sont nécessaires à la fois pour transférer l’autorité et pour fournir une référence correcte à d’autres serveurs DNS et clients des nouveaux serveurs qui font autorité pour la nouvelle zone.
Accès aux zones et aux noms
L’accès aux zones DNS et aux enregistrements de ressources stockés dans Active Directory est contrôlé par des listes de contrôle d’accès (ACL). Les listes de contrôle d’accès peuvent être spécifiées pour le service Serveur DNS, une zone entière ou pour des noms DNS spécifiques. Par défaut, tout utilisateur Active Directory authentifié peut créer les RR A ou PTR dans n’importe quelle zone. Lorsqu’un propriétaire crée un enregistrement A ou PTR (quel que soit le type d’enregistrement de ressource), seuls les utilisateurs ou les groupes spécifiés dans la liste de contrôle d’accès pour ce nom qui disposent d’une autorisation d’écriture sont autorisés à modifier les enregistrements correspondant à ce nom. Bien que cette approche soit souhaitable dans la plupart des scénarios, certaines situations doivent être examinées séparément.
Groupe DNSAdmins
Par défaut, le groupe DNSAdmins dispose d’un contrôle total de toutes les zones et de tous les enregistrements du domaine Active Directory. Pour qu’un utilisateur puisse énumérer des zones dans un domaine spécifique, il doit être inscrit dans le groupe DNSAdmin.
Il se peut qu’un administrateur de domaine ne souhaite pas accorder le contrôle total à tous les utilisateurs répertoriés dans le groupe DNSAdmins. Au lieu de cela, un administrateur de domaine peut souhaiter accorder à un ensemble spécifique d’utilisateurs un contrôle total pour une zone et des autorisations en lecture seule pour les autres zones. Pour configurer ces autorisations, l’administrateur de domaine peut créer un groupe distinct pour chacune des zones et ajouter des utilisateurs spécifiques à chaque groupe. Ensuite, la liste de contrôle d’accès de chaque zone contient un groupe avec un contrôle total pour cette zone uniquement. Tous les groupes sont ajoutés au groupe DNSAdmins, qui peut être configuré avec des autorisations de lecture uniquement. L’ACL d’une zone contient toujours le groupe DNSAdmins, ce qui signifie que tous les utilisateurs inscrits dans les groupes spécifiques à une zone peuvent lire toutes les zones du domaine.
Réserver des noms
Les environnements qui nécessitent un niveau de sécurité élevé peuvent avoir besoin de réserver des noms dans une zone et d’empêcher les utilisateurs authentifiés de créer de nouveaux noms dans cette zone, ce qui est le comportement par défaut. Pour sécuriser les enregistrements DNS, la liste de contrôle d’accès par défaut peut être modifiée pour permettre la création d’objets par certains groupes ou utilisateurs uniquement. L’administration des listes de contrôle d’accès par nom offre une autre solution à ce problème. Un administrateur peut réserver un nom dans une zone, laissant le reste de la zone ouvert à la création de nouveaux objets par tous les utilisateurs authentifiés. Un administrateur crée un enregistrement pour le nom réservé et définit la liste appropriée de groupes ou d’utilisateurs dans la liste de contrôle d’accès. En d’autres termes, seuls les utilisateurs répertoriés dans l’ACL peuvent enregistrer un autre enregistrement sous le nom réservé.