Délégation de zone Dns sous Windows 2000

Windows 2000 fournit le service DNS qui va permettre de faire référence à des machines en utilisant leurs noms en lieu et place de leur adresse IP lors de leur localisation. Il a été plus simple d’organiser le vaste réseau Internet en le divisant en différentes régions correspondant à une entité géographique ou à un type d’activité. Chaque région ou département peut donc être subdivisé à son tour, ce qui aura pour résultat la création d’une arborescence hiérarchique ou chaque partie de l ‘arborescence est dirigé par une autorité compétente. Un domaine est une partie de cette subdivision logique d'Internet sous la responsabilité d’une autorité compétente. Le fonctionnement générale de DNS est simple : Lorsqu’un utilisateur essaie d’accéder à une machine sur le réseau (locale ou Internet), il peut, au lieu d’indiquer l’adresse IP de la machine (ce qui deviens vite fort difficile), indiquer son nom DNS ou nom de domaine pleinement qualifié (FQDN) , ce qui est plus facile et plus agréable. L’ordinateur à partir duquel l’utilisateur effectue sa requête va contacter le serveur DNS qui à autorité sur ce domaine et ce dernier va se charger de résoudre le nom de la machine de destination en adresse IP afin que la communication s’établisse. Attention, ceci n’est qu’une description du fonctionnement général de DNS, l’objectif n’étant pas de s’étendre sur le fonctionnement précis de la résolution DNS, mais d’effectuer un rappel des principes de fonctionnement généraux nécessaires pour la suite.

Chaque domaine Internet possède un fichier de zone qu’il hoste. Le fichier de zone est le fichier qui stocke la correspondance Nom/Adresses IP(et vice versa) des machines appartenant au réseau de la zone correspondante. C’est grâce à ce fichier que le serveur DNS peut résoudre le nom de la machine que l’utilisateur essaie de consulter via son adresse IP. Il existe plusieurs types d’enregistrement dans le fichier de zone en fonction des services disponibles sur le réseau, du nombre de machine et du type de domaine (effectivement, il existe des enregistrements supplémentaires dans les fichiers de zone DNS dans le cas où un ou plusieurs domaines Windows 2000 existent et correspondent ou non à notre domaine Internet). Ceux-ci sont : SOA : start of authority, NS : serveur de nom, A : nom d’hôte, CNAME : alias, MX : serveur de messagerie, SRV : enregistrement de type de ressource, PTR : enregistrement de type pointeur.

Nous distinguerons par la suite 2 types de zones de recherche sur les serveurs DNS, la zone de recherche directe et la zone de recherche inverse. La 1ére est utilisée pour résoudre les noms des machines en adresses IP (pour la navigation Internet) et la seconde les adresses IP en nom de machines. En fait, c’est le fichier de zone de recherche directe qui contient la correspondance nom /adresses IP.

- Zone principale standard : c’est le fichier sur lequel le serveur possède un accés en lecture/écriture, il est crée par défaut dans %systemroot% \system32\dns et possède l’extension ‘.dns’. Le serveur qui hoste ce type de zone est appelé serveur DNS principal et est unique sur un domaine DNS.

- Zone secondaire standard : c’est la copie en lecture seule de la zone principale standard. Elle est utile pour la répartition de la charge de résolution des requêtes DNS et la tolérance de panne puisque stocké sur les serveurs DNS dit secondaires, elle permettra d’assurer la résolution de noms en adresse IP et vice versa si le serveur DNS Principal venait à être hors fonction. Il peut exister plusieurs serveurs DNS secondaires sur le réseau, seulement, au cas où la fonction de tolérance de panne est utilisée, il faut bien garder à l’esprit que les serveurs secondaires ne seront pas en mesure d’enregistrer de nouveau hôte (nom /adresse IP) puisque les zones secondaires standard sont en lecture seule. On notera aussi la création de ce type de zone entraîne un trafic de réplication de fichiers de zones. Effectivement, le seul moyen de mettre à jour une zone secondaire standard est le processus de transfert de zone : la zone du serveur DNS principal sera envoyée aux serveurs DNS secondaires (en fonction du type de requête AXFR ou IXFR).

- Zone intégrée Active directory qui est propre aux systèmes DNS de Windows 2000. dans ce cas, le fichier de zone deviens un objet active directory stocké dans la base d’annuaire Windows 2000. Il existe un article qui parle de ce type de zone DNS.

S’il est tout à fait possible de configurer plusieurs zones sur le même serveur, cela n’est pas préférable pour des soucis de performances et des exigences d’administration. En effet, il peut être nécessaire que l’administration des zones DNS soient à la charge de plusieurs administrateurs. Dans le cas où les ressources se trouvant dans ses zones sont localisées dans des régions géographiquement distantes et les connexions réseaux entre les différents groupes de ressources sont de mauvaises qualités. Il est donc préférable de posséder une zone parente (zone principale standard ) sur un serveur DNS et une zone enfant (une zone principale standard) sur un autre serveur.

Après l’installation de DNS sur les deux serveurs DNS de différentes machines, il va être nécessaire de configurer leur suffixe DNS dans propriétés systèmes- onglet identification – Identification réseau – Propriétés. Cette modification va entraîner le redémarrage de la machine.

Il est par la suite question d’indiquer le serveur racine du réseau, la boite de dialogue s’explique d’elle même, nous allons laisser l’option sélectionnée par défaut.

Puis viens la création de notre zone de recherche directe , nous allons choisir la sélection par défaut c’est à dire « oui, créer une zone de recherche directe ».

Nous allons tout de suite après créer notre zone principale standard qui est absolument nécessaire, c’est ce fichier de zone qui va définir notre domaine DNS. L’option par défaut étant celle qui nous intéresse, nous cliquons sur suivant et nous continuons

Nous allons ensuite indiquer nom de la zone qui doit correspondre au suffixe DNS principal de l’ordinateur que nous avions indiqué plus haut.

Nous allons laisser l’option sélectionné par défaut dans la fenêtre suivante, il ne nous est d’aucune utilité de modifier le nom du fichier de zone.

Viens ensuite la création de la zone inversée, nous choisissons de créer la zone inversée, puis nous allons choisir de créer une zone principale standard, et nous allons devoir indiquer l’ID de notre réseau. Nous remarquerons la création de la zone d’un sous-domaine spéciale in-addr.arpa qui utilise l’ordre inverse des octets de l’adresse IP. Viendra ensuite la création du fichier de zone de recherche inversé, nous laissons le choix par défaut et cliquons sur suivant. Il ne nous reste plus qu’à cliquer sur terminer pour achever la configuration de notre serveur DNS en serveur DNS principal.

Verification : Dans l’arborescence de la console, nous constatons que nos domaines de recherche directe et inverse ont été créés.

Les enregistrements qui ont été crées sont affichés à droite dans l’explorateur de la console.

Il nous est possible d’activer les mises à jours dynamique en cliquant via les propriétés de la zone DNS (bouton droit) dans l’onglet général, en développant la liste déroulante et en sélectionnant oui.

Actuellement, les ordinateurs clients pour la zone parente ne peuvent résoudre que les noms des machines se trouvant dans la zone parente, et les ordinateurs de la zone enfant ne peuvent résoudre que les noms appartenant à la zone enfant. L’objectif est de permettre à tout le monde, quelque soit la zone d’appartenance, de résoudre les noms de toutes les machines dans n’importe laquelle des zones. On peut le vérifier en faisant dans notre cas, à partir du serveur DNS parent : « ping chochote-wm.domenfant.dompapa .com », ou encore un « nslookup –type=ns domenfant.domapapa.com » pour retrouver le serveur DNS autoritaire sur la zone domenfant. Ses deux requêtes vont renvoyer des messages d’erreurs.

Sur le serveur DNS gérant la zone parente, nous allons créer une nouvelle délégation en faisant un click droit sur la zone parente (domapapa.com) et en choisissant dans le menu qui s’affiche Nouvelle délégation. Ceci va lancer l’assistant de nouvelle délégation. Nous allons dans la boite de dialogue suivante indiquer le nom de domaine enfant sans le suffixe correspondant au nom de domaine parent. Nous entrons « domenfant » puis nous allons cliquer sur suivant.

La boite de dialogue suivante nous demande d’ajouter les noms des serveurs DNS de la zone délégué, pour le faire, nous cliquons sur ajouter. Puis nous allons saisir le nom et l’adresse IP du serveur principal de notre domaine enfant. On constate que lorsqu’on utilise le bouton parcourir pour localiser le serveur DNS principal pour le domaine enfant, nous ne voyons que le serveur DNS parent, c’est logique puisque ce dernier ne possède actuellement aucuns enregistrements de type NS pour le DNS principal du domaine enfant. De même, il est impossible à partir de cette boite de dialogue de résoudre le nom du serveur DNS principal pour le domaine enfant, nous ne possédons pas encore des enregistrement d’hôte pour ce serveur dans le fichier de zone du DNS principal du domaine parent. Il ne nous reste plus qu’à cliquer sur le bouton Ajouter et sur le bouton Ok.

Nous allons revenir sur la boite de dialogue de l’assistant de nouvelle délégation et nous allons cliquer sur suivant. Puis, nous aurons une boite de dialogue récapitulative sur laquelle nous allons cliquer sur le bouton Terminer. A ce niveau, les ordinateurs clients du domaine DNS parent peuvent résoudre le nom des machines appartenant au domaine enfant, il nous est aussi possible de savoir qui est le serveur DNS autoritaire sur la zone enfant, en effet « ping chochote-wm.domenfant.dompapa .com » et « nslookup –type=ns domenfant.domapapa.com » à partir du DNS principal du domaine parent nous renvoie des répondes correctes. Mais en faisant un ping « chochote.domapapa.com » à partir d'une machine du domaine enfant, on reçois un message d’erreur, les machines dans le domaine enfant ne peuvent encore résoudre les noms des machine du domaine parent.

Dans la console DNS du serveur qui gère la zone domenfant.dompapa.com, on va afficher les propriétés du serveur et on va sélectionner l’onglet Redirecteurs. Nous allons activer la case à cocher Activer les redirecteurs puis nous allons entrer l’adresse IP du serveur DNS vers lequel toutes les requêtes seront redirigées, dans notre cas, le serveur ayant autorité sur la zone parent.

Il suffira juste de cliquer sur ajouter et sur Ok (ou sur appliquer) pour terminer. En activant ainsi les redirecteurs, nous demandons au serveur DNS actuel de renvoyer toutes les requêtes de résolution de nom qu’il ne peut résoudre vers les serveurs DNS que nous ajoutons dans la liste de redirection. Il est désormais possible de résoudre le nom d’une machine dans le domaine parent depuis le domaine enfant.

Conclusion : Il est ainsi possible de créer une multitude de délégation de domaine dans le but de réduire la charge des serveurs DNS de l'entreprise ou d'organiser la présence de l'entreprise sur l' Internet. On pourra remarquer que lors de la création d'un domaine Active directory enfant, une zone DNS enfant est crée dans l'arborescence de domaine de la zone DNS parente correspondant à la zone Active directory principale. Il s'agit donc d'une forme de délégation de zone avec pour seule différence l'inexistence d'un serveur DNS principal pour le domaine enfant.

Tous les Articles du Laboratoire Microsoft

Easters Eggs

Drôle d''aide sous Word?

Liens cachés dans PHP

Une référence au Bush connu ?

Vista : un fond d'écran animé caché

Un bien curieux Notepad...

	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress