> Tech > Situations multiserveur/multi-adaptateur

Situations multiserveur/multi-adaptateur

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Revenons à l’organigramme de la figure 2. Nous avons vu ce qui se passe quand le cache local peut résoudre une requête. Mais, s’il ne le peut pas, comment le processus de résolution continue-t-il ? Windows continue le processus de résolution de noms en émettant une requête DNS récursive vers

le serveur spécifié comme le Preferred DNS server dans Internet Protocol (TCP/IP) Properties de l’adaptateur de réseau préféré, que montre la figure 4. Si Windows ne reçoit aucune réponse (positive ou négative) de la part du serveur préféré dans un délai d’une seconde, l’OS envoie la même requête au même serveur DNS – mais en passant par tous les adaptateurs de réseau éligibles restant dans le système – et attend une réponse pendant 2 secondes. S’il n’y a toujours pas de réponse, Windows émet trois autres tentatives de requête pour obtenir une réponse. Chaque requête a un délai plus long que la précédente (2 secondes, 4 secondes et 8 secondes, respectivement) et va vers tous les serveurs DNS définis en passant par tous les adaptateurs éligibles. La durée totale d’un processus de résolution DNS ne devrait pas excéder 17 secondes.

En ce qui concerne Windows, qu’est-ce qui rend un adaptateur « préféré » ou « éligible » ? (Le terme Microsoft est « pris en considération »). Dans une partie de sa documentation technique, Microsoft a été plutôt vague sur cet aspect de la résolution de noms. Par exemple, si tous les serveurs DNS présents sur un adaptateur spécifique sont interrogés et si aucun d’eux ne répond, l’adaptateur n’est plus pris en considération pendant 30 secondes. On peut raisonnablement supposer que l’adaptateur est maintenant retiré de la catégorie « éligible » pour d’éventuelles futures requêtes pendant cette durée – bien que la documentation ne dise pas cela expressément. De plus, la documentation de Microsoft indique que « le résolveur [DNS] se souvient de quels serveurs répondent aux requêtes le plus rapidement et pourrait déplacer les serveurs vers le haut ou vers le bas de la liste, d’après leur vitesse de réponse aux requêtes » – c’est probablement un puissant déterminateur des adaptateurs préférés.

L’affirmation de Microsoft selon laquelle le résolveur peut changer l’ordre des serveurs DNS qu’il interroge, d’après ses propres formules, contredit les paramètres que vous trouverez dans l’interface de configuration DNS avancée de l’adaptateur de réseau, qui vous permet de choisir les adresses de serveurs DNS dans l’ordre d’utilisation. Dans une grande partie de sa documentation, Microsoft voit les choses autrement. Par conséquent, je ne fais plus confiance à l’ordre dans lequel le résolveur DNS tentera d’examiner les adresses IP. Quand je suis en train de dépanner, j’utilise généralement des renifleurs de lignes de commandes simples tels que Network Grep (Ngrep) et WinDump pour voir les requêtes DNS quittant mon système, ainsi que les serveurs DNS auxquels elles sont destinées.

Dans un prochain article, je reviendrai sur ces outils plus en détail, ainsi que sur quelques autres qui pourraient être nouveaux à vos yeux.

Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité

État des lieux de la réponse à incident de cybersécurité

Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT