Certification Windows Server – Configurer une réplication de zone d’un serveur DNS

MCSA_Windows_Server_2016_repliquer_zone_serveur_DNS

Ce nouveau article est tiré de ma formation “Installer et sécuriser DNS sous Windows Server 2016“.

C’est l’une des compétences évaluées dans le cadre de l’examen 70-741 pour l’obtention de la certification MCSA Windows Server 2016.

Étant donné que les zones constituent un aspect très important du DNS, il est important que ces zones soient disponibles à partir de plusieurs serveurs DNS sur un réseau pour assurer la disponibilité et la tolérance aux pannes lors de la résolution des requêtes de nom.

À présent, le mode de réplication entre les serveurs varie en fonction du type de zone à traiter.

Dans une zone intégrée à Active Directory, tu ne dois quasiment rien faire, elle est simplement répliquée lors de la réplication Active Directory.

Mais dans les environnements de zone standard, nous avons ce qu’on appelle des transferts de zone.

Pour illustrer les transferts de zones, commençons par nous connecter à un serveur membre de notre domaine nommé SRVMEB1, qui est un serveur DNS sur notre réseau contenant deux zones.

Ici, dans le « Gestionnaire de serveur » de SRVMEB1, je clique dans le menu « Outils » et je sélectionne« DNS ».

Cela nous mène dans le gestionnaire DNS, développe « Zones de recherche directe », ici j’ai « dkr.competencesit.local » qui est la zone principale faisant autorité sur ce serveur membre sur lequel j’ai toute la gestion en termes de réplication et la seconde zone « competencesit.local » qui est une zone secondaire dont je ne suis pas responsable et je reçois que des informations provenant d’une zone principale hébergée sur un autre serveur du réseau.

Donc, fais un clic droit sur la zone « dkr.competencesit.local », puis choisis « Propriétés ».

Clique ensuite sur l’onglet « Transferts de zone ».

Actuellement l’option « Autoriser les transferts de zone » est cochée, mais sache que ce n’est pas l’option par défaut, car par défaut cette option est décochée, ce qui empêche tout transfert de zone et c’est pour des raisons de sécurité, car si quelqu’un récupère tes informations DNS, il peut pirater ton réseau en modifiant ta base d’enregistrements de ressources.

Donc ici, une fois la case « Autoriser les transferts de zone » cochée, tu as 3 choix possibles :

 

MCSA_Windows_Server_2016_repliquer_serveur_DNS_1

 

Le premier choix intitulé « Vers n’importe quel serveur » est extrêmement dangereux et déconseillé. Cela signifie que n’importe quel serveur DNS disposant d’une zone secondaire peut récupérer toutes tes informations de bases de données. Ce n’est pas une bonne idée.

Le second choix intitulé « Uniquement les serveurs listés dans l’onglet Serveurs de noms » signifie que seuls les serveurs se trouvant dans l’onglet « Serveurs de noms », peuvent obtenir des mises à jour, ce qui apporte déjà une belle couche de sécurité.

Tu as ici la possibilité de cliquer sur le bouton « Ajouter » pour ajouter un nouveau serveur de noms qui fait autorité sur cette zone.

 

MCSA_Windows_Server_2016_repliquer_serveur_DNS_2

 

Et dans la nouvelle fenêtre qui s’ouvre, tu peux mettre le nom FQDN du serveur ou son adresse IP.

Retournons à l’onglet « Transferts de zone », pour le troisième et dernier choix qui concerne uniquement les serveurs qui seront listés dans ce champ, et tu as le bouton « Modifier » qui s’active pour pouvoir ajouter ces serveurs.

Juste en bas de cette interface, tu as le bouton « Notifier » qui permet d’envoyer des notifications aux serveurs DNS secondaires après toute modification de ce serveur principal.

En cliquant sur ce bouton, si tu remarques bien par défaut tous les serveurs listés dans l’onglet « Serveurs de noms », reçoivent déjà des notifications lors d’une modification mais tu as la possibilité aussi d’ajouter tes serveurs à cette liste.

 

MCSA_Windows_Server_2016_repliquer_serveur_DNS_3

 

Clique sur « Annuler » puis sur « Annuler » pour fermer cette interface et passons sur notre serveur contrôleur de domaine et DNS SRVAD1, pour voir comment se déroule un transfert de zone dans une zone intégrée à Active Directory.

Donc dans le gestionnaire de serveur de SRVAD1, dans le menu « Outils » et sélectionne« DNS » pour ouvrir le « Gestionnaire DNS »

Je sélectionne ma zone « competencesit.local », un clic droit, puis « Propriétés », nous avions toujours l’onglet « Transferts de zone » sur lequel je vais cliquer et également ici, cette option est cochée, si qui ne l’est pas par défaut.

Les 3 options ici ont les mêmes explications que celles développés pour une zone DNS standard vu pour le serveur.

Dès que je sélectionne l’option « Uniquement les serveurs listés dans l’onglet Serveurs de noms ».

Puis je me rends au niveau de l’onglet « Serveurs de noms », je clique sur « Ajouter », puis dans le champ « Nom de domaine complet (FQDN) », je mets « srvmeb1.competencesit.local » puis je clique sur « Résoudre ».

 

MCSA_Windows_Server_2016_repliquer_serveur_DNS_4

 

J’ai ma résolution qui est faite car sur ce serveur j’ai une zone secondaire sur laquelle mon serveur actuel qui mon contrôleur de domaine Active Directory fait autorité.

Clique sur « OK » puis « Appliquer ».

Et mon serveur membre fait son apparition dans la liste des serveurs membres.

Maintenant, une autre chose à comprendre ici, vu que nous sommes sur une zone intégrée à Active Directory, cette zone particulière par défaut va juste être répliquée lors de la réplication Active Directory.

Donc en cliquant sur le bouton « Modifier » de réplication, tu peux définir la façon dont la zone va être répliquée, entre d’autre son étendue.

Par défaut, cette zone sera répliquée vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine.

Tu peux également choisir vers tous les serveurs DNS de contrôleurs de domaines de cette forêt ou uniquement vers tous les contrôleurs de domaines.

 

MCSA_Windows_Server_2016_repliquer_serveur_DNS_5

 

Je clique sur « Annuler » pour fermer cette fenêtre.

Donc sache qu’il est très important pour l’intégrité globale de tes services DNS sur ton réseau d’entreprise de comprendre comment se répliquent les zones et de comprendre la nécessité de disposer de plusieurs serveurs DNS disponibles afin que tu puisses bénéficier de la tolérance aux pannes et de la haute disponibilité de tes services de données.

Partage cette compétence et laisse des commentaires au besoin

Landry Ahouansou

Ingénieur en Téléinformatique et certifié MCP, MCSA, CCENT, CCNA, LPI1&2

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *