Zones DNS

Une zone DNS est la partie spécifique d’un espace de noms DNS qui est hébergée sur un serveur DNS. Une zone DNS contient des enregistrements de ressources, et le serveur DNS répond aux requêtes d’enregistrements dans cet espace de noms. Par exemple, le serveur DNS faisant autorité pour la résolution de www.contoso.com en adresse IP héberge la zone contoso.com.

Le contenu de la zone DNS peut être stocké dans un fichier ou dans Active Directory Domain Services (AD DS). Si le serveur DNS stocke la zone dans un fichier :

• Ce fichier se trouve dans un dossier local sur le serveur.
• Une seule copie de la zone est accessible en écriture.
• Les autres copies, qui sont en lecture seule, sont appelées zones secondaires.

Les zones DNS stockées dans AD DS sont appelées « zones intégrées à Active Directory ». Les zones intégrées à Active Directory sont disponibles uniquement sur les contrôleurs de domaine sur lesquels le rôle serveur DNS est installé.

Types de zones DNS

Le service Serveur DNS prend en charge les types de zones suivants :

• Zone principale.
• Zone secondaire.
• Zone de stub.
• Zone de recherche inversée.

Zones principales

Un serveur DNS hébergeant une zone principale constitue la principale source d’informations sur cette zone. Il stocke les données de la zone dans un fichier local ou dans AD DS. Pour créer, modifier ou supprimer des enregistrements de ressources, vous devez utiliser la zone principale. Les zones secondaires sont des copies en lecture seule des zones principales.

Vous pouvez stocker une zone principale standard dans un fichier local, ou vous pouvez stocker les données de zone dans AD DS. Quand vous stockez les données de la zone dans AD DS, d’autres fonctionnalités sont disponibles. Citons notamment les mises à jour dynamiques sécurisées et la possibilité pour chaque contrôleur de domaine qui héberge la zone d’être utilisée comme zone primaire et de traiter les mises à jour de la zone. Par défaut, quand la zone principale est stockée dans un fichier, ce dernier est nommé zone_name.dns et enregistré dans le dossier %windir%\System32\Dns sur le serveur.

Quand vous déployez Active Directory, une zone DNS associée au nom de domaine AD DS de votre organisation est automatiquement créée. Par défaut, la zone DNS AD DS est répliquée sur tout autre contrôleur de domaine configuré en tant que serveur DNS dans le domaine. Vous pouvez également configurer des zones DNS intégrées à Active Directory pour qu’elles soient répliquées sur tous les contrôleurs de domaine d’une forêt AD DS ou sur des contrôleurs de domaine spécifiques inscrits dans une partition de domaine AD DS particulière.

Zone secondaire

Une zone secondaire est une copie en lecture seule d’une zone principale. Quand une zone hébergée par ce serveur DNS est une zone secondaire, le serveur DNS est une source secondaire d’informations sur cette zone. La zone de ce serveur doit être obtenue à partir d’un autre ordinateur serveur DNS distant qui héberge également la zone. Ce serveur DNS doit avoir un accès réseau au serveur DNS distant qui fournit à ce serveur des informations mises à jour sur la zone. Une zone secondaire étant simplement une copie d’une zone principale hébergée sur un autre serveur, elle ne peut pas être stockée dans AD DS en tant que zone intégrée à Active Directory.

Dans la plupart des cas, une zone secondaire copie périodiquement les enregistrements de ressources directement à partir de la zone principale. Toutefois, dans certaines configurations complexes, une zone secondaire peut copier des enregistrements de ressources à partir d’une autre zone secondaire.

Zone de stub

Une zone de stub contient uniquement des informations sur les serveurs de noms faisant autorité pour la zone. La zone hébergée par le serveur DNS doit obtenir ses informations auprès d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit avoir un accès réseau au serveur DNS distant pour copier les informations du serveur de noms faisant autorité sur la zone.

Vous pouvez utiliser les zones de stub pour :

• Tenir à jour les informations sur les zones déléguées. Le serveur DNS met régulièrement à jour les enregistrements de stub pour ses zones enfants. Le serveur DNS qui héberge la zone parente et la zone de stub conserve une liste à jour de serveurs DNS faisant autorité pour la zone enfant.
• Améliorer la résolution de noms. Les zones de stub permettent à un serveur DNS d’effectuer une recherche récursive en utilisant la liste des serveurs de noms de la zone de stub, sans avoir à interroger Internet ou un serveur racine interne pour l’espace de noms DNS.
• Simplifier l’administration DNS. En utilisant des zones de stub dans votre infrastructure DNS, vous pouvez distribuer une liste des serveurs DNS faisant autorité pour une zone sans utiliser de zones secondaires. Toutefois, les zones de stub n’ont pas le même objectif que les zones secondaires et ne constituent pas une alternative pour améliorer la redondance et le partage de charge.

Il existe deux listes de serveurs DNS impliqués dans le chargement et la maintenance d’une zone de stub :

• La liste des serveurs de noms à partir desquels le serveur DNS charge et met à jour une zone de stub. Un serveur de noms peut être un serveur DNS principal ou secondaire pour la zone. Dans les deux cas, il dispose d’une liste complète des serveurs DNS pour la zone.
• La liste des serveurs DNS faisant autorité pour une zone. Cette liste est contenue dans la zone de stub à l’aide des enregistrements de ressources du serveur de noms (NS).

Quand un serveur DNS charge une zone de stub, par exemple widgets.tailspintoys.com, il interroge les serveurs de noms, qui peuvent se trouver à des emplacements différents, pour obtenir les enregistrements de ressources nécessaires des serveurs faisant autorité pour la zone widgets.tailspintoys.com. La liste des serveurs de noms peut contenir un ou plusieurs serveurs et peut être modifiée à tout moment.

Une zone de stub est une copie d’une zone qui contient uniquement les enregistrements de ressources nécessaires pour identifier les serveurs DNS (Domain Name System) faisant autorité pour cette zone. En règle générale, vous utilisez une zone de stub pour résoudre les noms entre des espaces de noms DNS distincts.

Si vous utilisez des sous-zones, tenez compte des points suivants :

• La zone de stub ne peut pas être hébergée sur un serveur DNS faisant autorité pour la même zone.
• Si vous intégrez la zone de stub à AD DS, vous pouvez spécifier si le serveur DNS hébergeant la zone de stub utilise une liste locale de serveurs de noms ou la liste stockée dans AD DS. Si vous souhaitez utiliser une liste de serveurs de noms locaux, vous devez disposer des adresses ‬IP de chaque serveur de noms.

Zones de recherche inversée

Dans la plupart des recherches DNS (Domain Name System), les clients effectuent généralement une recherche directe, c’est-à-dire une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource d’hôte (A). Ce type de requête attend une adresse ‬IP comme données de ressource pour la réponse générée.

DNS fournit également un processus de recherche inversée qui permet aux clients d’utiliser une adresse IP connue et de rechercher un nom d’ordinateur en fonction de son adresse. Une recherche inversée prend la forme d’une question, par exemple : « Pouvez-vous me dire le nom DNS de l’ordinateur qui utilise l’adresse ‬IP 192.168.1.20 ? »

Le domaine in-addr.arpa a été défini dans les normes DNS et réservé dans l’espace de noms DNS Internet afin de fournir un moyen pratique et fiable d’effectuer des requêtes inversées. Pour créer l’espace de noms inversé, des sous-domaines sont formés dans le domaine in-addr.arpa en utilisant le classement inversé des nombres dans la notation décimale à points des adresses IP.

Le domaine in-addr.arpa s’applique à tous les réseaux TCP/IP basés sur l’adressage IPv4 (Internet Protocol version 4). L’Assistant Nouvelle zone part automatiquement du principe que vous utilisez ce domaine quand vous créez une zone de recherche inversée.

L’ordre des octets d’adresse ‬IP doit être inversé lors de la création de l’arborescence du domaine in-addr.arpa. Les adresses ‬IP de l’arborescence DNS in-addr.arpa peuvent être déléguées à des organisations, car elles se voient attribuer un ensemble spécifique ou limité d’adresses ‬IP au sein des classes d’adresses définies par Internet.

Paramètres de transfert de zone

Les transferts de zone vous permettent de contrôler les circonstances dans lesquelles une zone secondaire doit être répliquée à partir d’une zone principale. Pour améliorer la sécurité de votre infrastructure DNS, autorisez les transferts de zone uniquement pour les serveurs DNS dans les enregistrements de ressources du serveur de noms (NS) pour une zone ou des serveurs DNS spécifiés. Si vous autorisez un serveur DNS à effectuer un transfert de zone, vous autorisez le transfert des informations réseau internes vers n’importe quel hôte pouvant contacter votre serveur DNS.

Délégation de zone

Vous pouvez diviser votre espace de noms DNS (Domain Name System) en une ou plusieurs zones. Vous pouvez déléguer la gestion d’une partie de votre espace de noms à un autre emplacement ou service de votre organisation en déléguant la gestion de la zone correspondante. Par exemple, vous pouvez déléguer la zone australia.contoso.com de la zone contoso.com.

Quand vous déléguez une zone, n’oubliez pas que pour chaque zone que vous créez, vous avez besoin d’enregistrements de délégation dans d’autres zones qui pointent vers les serveurs DNS faisant autorité pour la nouvelle zone. Des enregistrements de délégation sont nécessaires pour transférer l’autorité et fournir une référence correcte aux autres serveurs DNS et clients des nouveaux serveurs qui font autorité pour la nouvelle zone.

Étapes suivantes

• Gérer des zones DNS à l’aide d’un serveur DNS
• Vue d’ensemble des stratégies DNS
• Vue d’ensemble de Anycast DNS