Qu'est-ce que le DNS dans Active Directory ?

Les administrateurs informatiques travaillent avec et autour de Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, lorsqu'il a été publié pour la fabrication (RTM) le 15 décembre 1999.

Qu'est-ce que Active Directory DNS ?

AD DS offre une méthode intégrée de stockage et de réplication des enregistrements DNS en utilisant des zones DNS intégrées à Active Directory.

Tous les enregistrements et les données de zone stockés dans la zone sont répliqués vers d'autres serveurs DNS en utilisant le service de réplication natif AD DS replication service. Chaque contrôleur de domaine stocke une copie modifiable des données de zone DNS pour les espaces de noms dont ils sont autoritaires. Les zones intégrées à Active Directory offrent également la possibilité d'utiliser des mises à jour dynamiques sécurisées, ce qui permet de contrôler quels ordinateurs peuvent effectuer des mises à jour et empêche les modifications non autorisées.

Les données de zone DNS sont stockées dans une partition d'annuaire d'application. Une partition à l'échelle de la forêt nommée ForestDnsZones est utilisée pour les données de la zone. Pour chaque domaine AD DS, une partition de domaine est créée nommée DomainDnsZones.

En général, les implémentations DNS sont utilisées avec un contiguous namespace.

Par exemple, le Fully Qualified Domain Name (FQDN) d'un domaine AD DS pourrait être corp.contoso.com, et le FQDN d'un client dans ce domaine serait client.corp.contoso.com. Cependant, AD DS et les zones DNS intégrées à Active Directory prennent en charge les disjoint namespaces. Dans un tel scénario, le FQDN du domaine AD DS pourrait être na.corp.contoso.com, tandis qu'un FQDN client pourrait être client.corp.contoso.com. Remarquez que la partie « na » du FQDN n'est pas présente dans le FQDN client. Il y a plusieurs exigences et considérations à prendre en compte lors de l'utilisation d'un disjoint namespace.

Pour plus d'informations, consultez https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx.

Trois composants DNS spécifiques

AD DS nécessite DNS pour fonctionner et utilise trois composants spécifiques pour l'infrastructure AD DS :

• Localisateur de contrôleur de domaine.

Le Locator est implémenté dans le service Net Logon et fournit les noms des DC dans un environnement AD DS. Le Locator utilise des enregistrements de ressources DNS d'adresse (A) et de service (SRV) pour identifier les DC dans un environnement AD DS.

• Noms de domaine Active Directory dans DNS.

Les noms de domaine AD DS dans DNS sont le FQDN dont nous avons discuté plus tôt.

• Objets DNS de Active Directory.

Bien que les domaines DNS et les domaines AD DS portent généralement le même nom, ce sont deux objets distincts avec des rôles différents. Le DNS stocke des zones et des données de zone nécessaires à AD DS et répond aux requêtes DNS des clients. AD DS stocke les noms d'objets et les enregistrements d'objets et utilise des requêtes LDAP pour récupérer ou modifier des données. Les zones DNS qui sont stockées dans AD DS ont un objet conteneur qui se trouve dans la classe dnsZone. L'objet dnsZone possède un nœud DNS, qui utilise la classe dnsNode. Chaque nom unique dans une zone DNS a un objet dnsNode unique. Pour AD DS, cela inclut également des fonctions individuelles. Par conséquent, un DC peut avoir plusieurs rôles, tels qu'être un catalogue global serveur, ce qui est indiqué dans l'objet dnsNode.

Enregistrements DNS dans Active Directory

Comme mentionné précédemment, les DC sont identifiés par les SRV records dans une zone DNS. Les composants de AD DS sont stockés dans DNS en utilisant le format suivant dans le sous-domaine _msdcs : _Service.Protocol.DcType._msdsc.DnsDomainName.

Par exemple, le service Lightweight Directory Access Protocol (LDAP) du Primary Domain Controller (PDC) dans le domaine AD DS de contoso.com serait ldap._tcp.pdc.contoso.com. Les chaînes de service et de protocole utilisent des tirets bas (_) comme préfixe pour éviter d'éventuelles collisions avec des ressources ou des enregistrements existants dans l'espace de noms.

Le service Net Logon nécessite 17 enregistrements SRV différents pour effectuer des recherches. Une liste complète des enregistrements SRV est disponible sur https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx.

En plus des enregistrements SRV, le service Net Logon nécessite également deux enregistrements A pour les clients qui ne peuvent pas être conscients des SRV. Cela inclut un enregistrement pour le DnsDomainName, et un enregistrement pour gc._msdsc.DnsForestName. Cela permet aux clients non conscients des SRV de rechercher un contrôleur de domaine ou un serveur de catalogue global en utilisant un enregistrement A.

Meilleures pratiques

DNS est susceptible aux menaces de sécurité, telles que l'empreinte, les attaques par déni de service, la modification des données et la redirection.

Pour atténuer ces menaces, les zones DNS peuvent être sécurisées en utilisant des secure dynamic updates, en restreignant les transferts de zone, ainsi qu'en mettant en œuvre une délégation de zone et les DNS Security Extensions (DNSSEC). En utilisant des mises à jour dynamiques sécurisées, les ordinateurs seront authentifiés via Active Directory, et les paramètres de sécurité seront appliqués lors de la réalisation d'un transfert de zone.

De plus, les transferts de zone peuvent également être limités à des adresses IP spécifiques au sein du réseau. La délégation de zone peut être abordée en utilisant deux méthodes.

Tout d'abord, il est de limiter les modifications DNS à une seule équipe ou entité, avec toutes les modifications suivies et approuvées. Cette méthode limite le nombre de personnes effectuant des changements, mais permet un point de défaillance unique.

Deuxièmement, les zones peuvent être déléguées à des individus qui seront en charge de la gestion de chaque composant d'un réseau ou domaine. Bien que les modifications puissent toujours nécessiter une approbation et un suivi, cela répartit le risque entre plusieurs personnes et peut limiter les dégâts si un seul composant est compromis.

DNSSEC

DNSSEC valide les réponses DNS en fournissant une autorité d'origine, l'intégrité des données et un déni d'existence authentifié. L'implémentation de DNSSEC dans Windows Server 2012 répond aux normes des RFC 4033, 4034, et 4035.

Il y a six types d'enregistrements de ressources qui sont utilisés spécifiquement avec DNSSEC :

• Signature d'enregistrement de ressource (RRSIG)
• Next Secure (NSEC)
• Next Secure 3 (NSEC3)
• Paramètre Next Secure 3 (NSEC3PARAM)
• Clé DNS (DNSKEY)
• Délégation Signataire (DS)

Pour plus d'informations sur chacun des types d'enregistrements et leur utilisation, consultez https://technet.microsoft.com/en-us/library/jj200221.aspx.

Vous trouverez plus d'informations sur les bases de Active Directory dans notre AD tutorial for beginners.