> Tech > Une station de travail ou un serveur pointe vers un serveur DNS situé hors du réseau

Une station de travail ou un serveur pointe vers un serveur DNS situé hors du réseau

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Une station de travail ou un serveur qui pointe vers un serveur DNS situé hors du réseau est probablement l’erreur de configuration DNS la plus courante. On l’a vu, presque toutes les implémentations d’AD ont besoin d’une infrastructure DNS non visible à partir de l’Internet public. Bigfirm pourrait bien avoir

une zone DNS nommée bigfirm.biz que quelqu’un peut trouver facilement à partir de l’Internet public, mais la zone DNS bigfirm.biz qui supporte le domaine d’AD bigfirm. biz ne devrait pas apparaître sur une requête Internet. Si quelqu’un connecté à Internet via un modem câble utilisait Nslookup pour effectuer une requête à partir de bigfirm.biz, cette requête devrait renvoyer l’information à propos de la zone bigfirm.biz publique – pas la zone de service d’AD.

Par conséquent, tout système qui a besoin d’accéder au domaine d’AD bigfirm.biz doit absolument adresser ses requêtes DNS à l’un des serveurs DNS qui sont « dans le secret » – c’està- dire, les serveurs DNS intranet qui contiennent une copie de la zone bigfirm.biz de service d’AD interne. Interroger un serveur DNS qui ne contient pas une copie de la zone de service d’AD, amènerait ce serveur DNS à rechercher sur Internet la réponse à une requête telle que « quels sont les noms des DC de bigfirm.biz » et, si j’ai établi DNS correctement, aucun serveur DNS public ne peut répondre à cette question.

La GUI Windows pour TCP/IP vous permet de donner au système les adresses IP des deux serveurs DNS : le serveur DNS préféré et le serveur DNS alterné. Quand un système client effectuera des requêtes DNS, il essaiera d’abord des requêtes DNS vers l’adresse IP préférée ; s’il n’y a personne, le client essaiera l’adresse alternée. (Vous pouvez configurer jusqu’à six alternés de plus à l’aide du registre ou d’un serveur utilisant le service DHCP Server de Microsoft.) Les serveurs préférés, alternés, et tout autre serveur DNS alterné potentiel, doivent être des serveurs DNS intranet pour chaque ordinateur de l’intranet.

Comment une configuration fautive à ce stade pourrait causer un problème ? Lorsqu’ils configurent des serveurs DNS préférés et alternés, certains pensent « j’aurai un sacré problème si tous mes serveurs DNS internes tombent en panne ». Et donc ils configurent leur système de telle sorte que le serveur DNS préféré soit un serveur DNS intranet, mais configurent le serveur alterné avec l’adresse IP d’un serveur DNS sur Internet – peut-être le serveur DNS de leur FAI. Ce scénario conduit à une erreur vicieuse : quand le serveur DNS préféré répond à la requête du client demandant des informations à propos de l’AD, il obtient une réponse, mais quand le client interroge le serveur alterné, celui- ci ne lui est d’aucun secours. Et donc, le client peut atteindre AD parfois, mais pas tout le temps.

Pis encore, certains ont du mal à désigner des serveurs DNS préférés et alternés. Quel serveur DNS devrait interroger un serveur DNS donné lorsqu’il pose une question DNS? A nouveau, la réponse est que, dans la mesure où votre serveur DNS a besoin de pouvoir trouver des systèmes dans AD, à la fois les serveurs DNS préférés et alternés (et d’autres alternés éventuels spécifiés par vous), devraient toujours être des serveurs DNS intranet. En réalité, configurer des serveurs DNS intranet pour qu’ils s’utilisent euxmêmes comme des serveurs DNS préférés, est généralement satisfaisant et je ne configure pas habituellement un alterné pour un serveur DNS. Si un serveur DNS est défaillant, il est presque certain qu’un grave problème se pose en priorité, et ce serveur n’aura pas besoin de résoudre des noms de systèmes tant que je n’aurai pas rétabli le service de DNS Server.

Morale de cette histoire : Quel que soit le nombre de systèmes DNS portés à la connaissance d’un système, ils devraient toujours être des serveurs DNS intranet. Et, quand vous configurez des serveurs DNS intranet, configurez-les pour qu’ils fassent référence à eux-mêmes.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010