Supposons que vous ayez installé un serveur DNS Win2K sur votre réseau. Vous souhaitez le configurer mais vous ne pouvez pas accéder à l’onglet Forwarders parce qu’il est grisé, donc vous ne pouvez pas ordonner au serveur DNS d’utiliser un forwarder. Comme l’onglet Root Hints est lui aussi grisé, vous ne pouvez pas modifier la liste des serveurs root dont votre serveur DNS a connaissance. Que se passe-t-il ? ...
Pour répondre à une question DNS courante et pour apprendre à utiliser DHCP pour désactiver NetBT.
Ce mois-ci, je propose deux brefs sujets. Le premier répond à une question sur DNS que les lecteurs me posent fréquemment. Le second tient une promesse faite dans un article antérieur : montrer comment utiliser DHCP pour désactiver NetBIOS sur TCP/IP (NetBT) sur vos machines Windows 2000.
Supposons que vous ayez installé un
serveur DNS Win2K sur votre réseau.
Pour le configurer, faites un clic droit
dans la fenêtre de snap-in DNS de MMC (Microsoft Management
Console), puis choisissez Properties.
Les difficultés commencent : vous ne
pouvez pas accéder à l’onglet
Forwarders parce qu’il est grisé, donc
vous ne pouvez pas ordonner au serveur
DNS d’utiliser un forwarder.
Comme l’onglet Root Hints est lui
aussi grisé, vous ne pouvez pas modifier
la liste des serveurs root dont votre
serveur DNS a connaissance. Que se
passe-t-il ?
Il se trouve que Win2K a configuré
votre serveur DNS comme un serveur
root privé. Rappelons que DNS est une
hiérarchie de noms, comme dans le
FQDN (Fully Qualified Domain Name)
www.minasi.com. – et oui, le point à la
fin du nom est délibéré : aucun nom
DNS n’est complet s’il ne se termine
pas par un point (.). Ce nom indique
qu’une machine nommée www est
dans un domaine nommé minasi, qui
est un domaine enfant du domaine
nommé com, qui est lui-même un domaine
enfant du domaine tout en haut
de la pyramide – le domaine racine
(arbre renversé). Mais nous n’écrivons
pas entièrement le nom du root : nous
le représentons avec un point. Un serveur
DNS réel – en réalité 13 d’entre
eux – contient les enregistrements
DNS pour le domaine root. Et ce domaine
est très sollicité – en principe,
on ne peut pas trouver d’autres domaines
sans trouver d’abord le root.
Le serveur DNS de Win2K sait cela.
La première fois que vous démarrez un
serveur Win2K, il semble rechercher le
domaine root. S’il n’en trouve pas un,
il semble – je dis « semble » parce que
ce comportement n’est pas constant –
répondre en disant « si je ne peux pas
trouver un root, je dois être le seul serveur
DNS dans l’univers » et en créant
le domaine root sur lui-même, se détachant
par là de la hiérarchie DNS publique.
Le serveur décide unilatéralement
qu’il est l’autorité et qu’il ne sert
donc à rien d’essayer de trouver un
autre serveur DNS. Tant que vous n’aurez
pas débarrassé le serveur de cette
illusion, il ne servira pas à grand chose.
Je vais réexprimer cela différemment
: vous aimeriez parfois avoir un
serveur DNS déconnecté de la hiérarchie
DNS publique. En réseau très sécurisé,
complètement déconnecté
d’Internet, vous n’auriez pas besoin
d’être capable d’explorer la hiérarchie
DNS publique. Mais, dans la plupart
des cas, vous ne souhaitez pas cette situation.
Il ne devrait pas être difficile de
dire à un serveur DNS qu’il n’est pas le
root, mais c’est ennuyeux si vous ne savez
pas comment faire. Voici donc trois
méthodes pour présenter votre serveur
au reste du monde. J’explique les
trois afin de pouvoir aussi donner un
aperçu sur la manière d’intervenir un
peu sur DNS.
Toutes les méthodes ont un point
commun: elles suppriment le domaine
root de votre serveur DNS. La méthode
de la ligne de commande utilise une
commande appelée dnscmd.exe provenant
l’add-on Win2K Server Tools.
Vous n’avez pas besoin d’installer la
commande car vous la trouverez dans
le dossier \support\tools sur le CDROM
Win2K Server. Ensuite, vous
pourrez supprimer le root de votre serveur
DNS en tapant
dnscmd /zonedelete
Le point à la fin de la commande
est le nom de la zone à supprimer.
Vous devez utiliser l'option /dsdel de
Dnscmd si la zone que vous supprimez
est une zone intégrée à l'AD (Active
Directory) (même si je ne vois pas bien
comment vous pourriez finir avec un
domaine root intégré à l'AD). Dans la
commande, la casse (distinction entre
majuscules et minuscules) ne semble
pas avoir d'importance.
Une fois la commande exécutée, je
recommande de redémarrer le service
DNS. Ensuite, ouvrez le snap-in DNS et
vous verrez que les onglets Forwarders
et Root Hints sur la page Properties du
serveur ne sont plus grisés.
Vous pouvez aussi déraciner un
serveur DNS du snap-in DNS. Ouvrez
le dossier Forward Lookup Zones et vous verrez un dossier dont le nom est
tout simplement « . » qui, comme vous
le savez maintenant, est le domaine
root. Faites un clic droit sur ce dossier,
choisissez Properties et, comme type
de zone, cochez Primary plutôt que
AD-integrated ; si la zone est AD-integrated,
cliquez sur Change à côté du
type et convertissez la zone en une
zone primaire standard. Ensuite, dans
le dossier Forward Lookup Zones,
faites un clic droit sur la zone root et
cliquez sur Delete. Fermez le snap-in
DNS, redémarrez le service DNS
Server, puis réouvrez le snap-in DNS.
Les onglets Forwarders et Root Hints
ne seront plus grisés.
Autant que je sache, la troisième
méthode de déracinage ne fonctionne
que sur une zone primaire standard.
Toute d'abord, arrêtez le service DNS
Server, soit à partir de la GUI, soit en tapant
net stop "dns server"
sur la ligne de commande. Puis modifiez
le registre pour enlever la sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\Cur
rentControlSet\Services\DNS\Zones\.
(le point final fait partie de la sous-clé).
Redémarrez le service DNS et vous revoilà
dans la hiérarchie DNS publique.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
