> Tech > Intégrité de zone (4)

Intégrité de zone (4)

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

La sortie indiquera la valeur TTL de l’enregistrement d’un serveur spécifique (ce qui peut être utile pour savoir combien de temps votre serveur DNS préféré placera en cache vos enregistrements). Par ailleurs, la sortie TTL fournie par Nslookup en mode débogage indique à quel moment la résolution WINS (que nous

Intégrité de zone (4)

aborderons un peu plus loin) est la source de la recherche pour un enregistrement particulier. Des produits tierce partie permettent d’examiner la valeur TTL dans le cadre de leurs contrôles du bon fonctionnement de l’environnement, même si de nombreux produits axés sur Exchange peuvent ignorer la valeur TTL.

Troisièmement, l’enregistrement A de chaque serveur Exchange doit être valide. La procédure de vérification de la validité de chaque enregistrement peut être longue et ardue, mais elle est cruciale. La difficulté devient particulièrement significative lorsque le serveur est du type à hébergements multiples et comporte plusieurs adresses IP affectées à la même carte réseau. En cas d’adresses IP multiples, le fait de connaître celle sur laquelle votre serveur Exchange écoute vous aidera à identifier l’adresse IP à enregistrer dans DNS.

Par exemple, vous pouvez avoir défini votre serveur virtuel SMTP afin qu’il écoute sur une adresse IP spécifique au lieu de toutes les adresses. Dans ce cas, assurez-vous que les autres ordinateurs utilisent l’adresse IP correcte pour contacter votre serveur et que celle-ci est enregistrée dans DNS. D’autre part, il est tout aussi important de vérifier que d’autres enregistrements hôte (à savoir, les enregistrements A) pointant vers une adresse IP de serveur Exchange sont valides et conformes. Il sera peut-être également nécessaire de connaître l’adresse IP sur laquelle votre serveur envoie les courriers. Pour contrôler facilement l’adresse, examinez les en-têtes des messages déjà traités par votre serveur Exchange. En général, un serveur à hébergements multiples ne possède qu’une seule passerelle, ce qui peut aussi vous aider à déterminer l’adresse IP employée lors de l’envoi du courrier.

Cela ne signifie pas qu’une interface sans passerelle ne sera jamais utilisée pour router le trafic IP (y compris le courrier). Une interface sans passerelle sera employée si la destination se trouve sur le même sous-réseau que ladite interface et que les autres interfaces résident sur des sousréseaux différents ou, en cas d’interfaces multiples sur le même sous-réseau, si les autres interfaces sont au-dessous de l’interface en question dans l’ordre des liaisons.

Vous pouvez contrôler votre ordre des liaisons en accédant aux connexions réseau, puis en examinant l’option Paramètres avancés (Advanced Settings) du menu Avancé (Advanced). Une autre méthode pour déterminer le flux du trafic IP consiste à exécuter la commande route print à partir de la ligne de commande. Cette approche est particulièrement importante si vous avez configuré plusieurs passerelles et/ou routes statiques. La validation rapide et efficace des enregistrements A des serveurs Exchange constitue un défi. Bien que vous puissiez certainement employer IPconfig pour obtenir les adresses IP d’un serveur, vous devez vous connecter à chaque serveur ou utiliser un outil tel que le service Remote Command du Kit de ressources techniques Microsoft Windows Server.

Une alternative peut consister à collecter ces informations à partir de Windows Management Instrumentation (WMI), une approche utilisable sur les serveurs locaux et distants. Pour interroger uniquement les adresses IP pour toutes les interfaces sur un serveur, accédez à la ligne de commande et entrez wmic nicconfig get ipaddress L’insertion de l’option /node:serveur permet de pointer vers un ordinateur distant. Par exemple, l’utilisation de la commande

wmic /node:NYCEXCH1 nicconfig get ipaddress

retourne l’adresse IP sur les interfaces du serveur NYCEXCH1.

Le dépannage des zones directes implique d’examiner l’enregistrement de serveur de noms NS (Name Server). Vous devez connaître les serveurs « supposés » faire autorité pour la zone. Commencez par vérifier que les serveurs appropriés sont affectés en tant que serveurs NS, puis évaluez le cas échéant les enregistrements individuels.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT