DNS - Difundrum main

Dossier IRQ75 ©
BTS 2001
Domaine Name Service ( DNS )
DOMAINE NAME SERVICE ( DNS )..................................................................................................2
1.) Qu'est ce qu’un Service de Nom de Domaine ?.....................................................................2
1.1) Pourquoi utiliser un DNS..................................................................................................2
Historique......................................................................................................................2
Dans quel cas l’utiliser..................................................................................................2
1.2) Fonctionnement d’un service de nom de domaine ...........................................................3
Notion de domaine........................................................................................................3
Fonctionnement simpliste.............................................................................................3
Cache : ..........................................................................................................................4
Mode itératif ou récursif ...............................................................................................4
Notion de zone..............................................................................................................5
Contenu de zone (Enregistrement) ...............................................................................6
2.) Mise en Oeuvre d'un Service de Nom de Domaine ................................................................9
2.1) Comment installer un Service de nom de Domaine?........................................................9
2.2) Comment configurer un Service de nom de Domaine? ....................................................9
Ajout de zone..............................................................................................................10
Ajout d’enregistrement ...............................................................................................11
Résoudre les noms avec WINS...................................................................................12
Ajout de zone secondaire............................................................................................12
2.3) DNS dit Secondaire.........................................................................................................13
3.) Configuration du client .........................................................................................................13
3.1) Configuration d’un client pour qu'il utilise le service de nom de domaine ....................13
1
Dossier IRQ75 ©
BTS 2001
Domaine Name Service ( DNS )
1.) Qu'est ce qu’un Service de Nom de Domaine ?
Le DNS est une base de données, de concordance entre des adresses IP et des noms de
machines NetBIOS, distribuée. La base de données est accessible avec un mécanisme clientserveur. Un système de réplication assure une fiabilité raisonnable, tandis que des caches
augmentent la performance du système.
1.1) Pourquoi utiliser un DNS
Historique
Au début de l'Internet, celui-ci était formé de quelques machines. Elles avaient chacune une
adresse que l'on retenait facilement vu leur faible nombre (environ une dizaine).
On a ensuite donné un nom à chacune des machines, composé d'un seul mot d'au plus 32 caractères.
Un fichier hosts.txt comprenait les noms des différentes machines avec leurs adresses. Ce fichier
était mis à jour régulièrement, et chargé sur chacune des machines.
L'administrateur désirant nommer une machine envoyait un courrier électronique au responsable de
la maintenance du fichier, ce dernier effectuait la mise à jour, et publiait une nouvelle version du
fichier.
Les manipulations sur ce fichier sont peu à peu devenues trop lourdes pour gérer des
centaines de machines. Il n'était pas souvent à jour, et les modifications étaient longues à se
propager. Un nouveau système a donc du être créé, puis mis en place pour remplacer l'ancien. Ce
système devait permettre de gérer des milliers de machines, ayant des noms descriptifs, la base de
données devant être mise à jour de façon distribuée.
Dans quel cas l’utiliser
Si le réseau Windows TCP/IP n’est pas connecté à des réseaux TCP/IP non-Microsoft, il
n’est pas utile de mettre en place le DNS, WINS fournira tous les services de noms nécessaires. Le
Service de Nom de Domaine se voit utilisé pour connecter des hôtes TCP/IP à l’Internet ou à un
réseau TCP/IP non-Microsoft ou ayant des hôtes non-Windows, mais uniquement pour que des
utilisateurs extérieurs accèdent aux hôtes TCP/IP par leur nom. Si les utilisateurs extérieurs
n’utilisent pas de services hébergés sur nos ordinateurs, il n’est pas nécessaire d’identifier les hôtes
de notre réseau dans le DNS.
2
Dossier IRQ75 ©
BTS 2001
1.2) Fonctionnement d’un service de nom de domaine
La structure de la base de données est un arbre inversé. La racine se trouve au sommet,
comme dans un système de fichiers UNIX. Le haut de l'arbre porte le nom vide "" mais est souvent
écrit "." (ou racine).
Chaque nœud de l'arbre porte un label qui l'identifie par rapport à son parent. L'utilisation de
majuscules ou de minuscules est indifférente dans l'écriture des noms de labels. Seuls les lettres,
chiffres, et le symbole "-" sont autorisées.
Un nœud peut être père d'un certain nombre de nœuds situés en dessous de lui, appelés sousdomaines.
La liste des labels parcourus de la racine vers un nœud est appelée nom de domaine de ce nœud.
Le terme "Nom de domaine" représente donc indifféremment les nœuds de l'arbre ou les feuilles
(terminales).
A l’inverse de l’adressage IP, la partie la plus significative se situe à gauche de la syntaxe.
Exemples :
Nous avons un domaine fr, que l'on peut aussi écrire fr. pour bien montrer qu'il est en haut de
l'arbre.
Ce nœud de l'arbre à un certain nombre de fils, comme inria.fr ou sncf.fr.
Le nœud inria.inria.fr contient entre autre une adresse IP. Il est fils du nœud inria.fr.
Notion de domaine
Un domaine est la partie de l'arbre présente sous un nom donné.
Exemple: Le domaine fr contient le nœud fr ainsi que tous les nœuds dont le nom de domaine se
termine par fr. C'est à dire tout sous fr.
Chaque nœud peut aussi contenir un certain nombre d'informations, comme une adresse IP, un type
de machine, le nom de la machine en charge du courrier pour ce domaine, etc. Ces informations
sont représentées par un ensemble d'enregistrements associés au nœud de l'arbre.
Fonctionnement simpliste
Quand un serveur reçoit une requête, il cherche dans son cache s'il connaît la réponse. Si oui,
il renvoie l'information immédiatement. Si l'information n'est pas disponible dans le cache, le
serveur doit chercher à quel serveur de noms s'adresser pour obtenir une réponse. Il obtient la liste
des serveurs responsables de cette zone en fonction du découpage de la base de données. Ce
découpage est stocké dans la base de données elle-même (notion de délégation).
3
Dossier IRQ75 ©
BTS 2001
Puis il fait suivre la requête à l'un des serveurs possibles (mode récursif). Celui-ci renvoie la
réponse au serveur, qui la renvoie finalement au client. Au passage le serveur a ajouté l'information
dans son cache.
Cache :
Chaque enregistrement contient une durée de validité des informations. Une fois qu'une
machine cliente a obtenu une information, l'enregistrement est valide pour le temps donné. Après
cette durée, il faut à nouveau demander cette information. Pendant cette durée, l'information est
stockée dans un cache.
La présence de ce mécanisme de cache dans tous les serveurs de noms ainsi que dans un certain
nombre de clients permet de limiter le nombre de requêtes faites, au prix d'une certaine latence dans
la mise à jour d'informations quand un changement est fait.
Mode itératif ou récursif
Les clients interrogent en général toujours le même serveur, souvent une machine "de
service" ayant pour vocation de "faire tourner un DNS". Bien sûr, cette machine ne connaît pas
toutes les réponses (base de données réparties) et il y a d'autres machines plus appropriées pour
répondre à certaines question sur un domaine. Une fois une requête reçue pour un domaine dont le
serveur n'est pas autoritaire, deux cas sont possibles:
Mode itératif
Le serveur renvoie une réponse au client en indiquant qu'il ne connaît pas la réponse mais
qu'il suppose que tel serveur est plus renseigné que lui. Le client va envoyer la requête à un premier
serveur puis à un second, peut être à un troisième, etc.
Mode récursif
4
Dossier IRQ75 ©
BTS 2001
Le serveur envoie la question à un serveur supposé plus renseigné que lui, attend la réponse
et la fait suivre au client. Le client envoie la requête à un serveur, celui-ci la fait suivre à un second
serveur, ce dernier l'envoie peut-être à un troisième serveur, etc.
Notion de zone
Une zone est la partie d'un domaine parcourue sans franchir d'arc délégant la responsabilité.
C'est à dire qu'une zone est la partie de l'arbre gérée par le même serveur.
Dans ce schéma, les arcs en pointillés sont des délégations, les arcs continus signifient que
l'on reste dans la même zone.
Délégation
En utilisant la structure d'arbre, il est possible de définir des domaines de responsabilité dans
le nommage. Chaque arc reliant un nœud à un nœud inférieur peut convoyer une information
précisant qui est responsable du niveau inférieur. En des termes plus informatiques, le domaine à
5
Dossier IRQ75 ©
BTS 2001
l'origine de l'arc (le père) contient des informations précisant quels sont les serveurs possédant des
informations sur les fils (éventuels).
À chaque niveau cela peut se répéter, d'où la création d'une répartition des responsabilités de
nommage et de fonctionnement.
Un arc peut également indiquer qu'il n'y a pas de délégation de responsabilité.
Contenu de zone (Enregistrement)
Une zone contient un ensemble de noms de domaines compris dans la zone. Pour chaque
nom de domaine, il y a un certain nombre d'enregistrements de données. Ces données peuvent être
des adresses, des relais de messagerie, etc.
Dans chaque zone un certain nombre d'enregistrements sont obligatoire sauf pour la zone
cache. Il s'agit de:
Un enregistrement SOA. Cet enregistrement décrit la zone.
Des enregistrements NS. Ces enregistrements décrivent la liste des serveurs de noms pour la zone.
Enregistrements de données, en anglais Ressource Record (RR).
Ces enregistrements contiennent les données sur un nom de domaine. Chaque nom de
domaine dans une zone peut avoir plusieurs enregistrements, ces enregistrements peuvent être de
types différents. Il peut y avoir plus d'un enregistrement de même type, mais dans ce cas le serveur
de noms les envoie au client dans n'importe quel ordre.
Chaque enregistrement est de la forme nom de domaine, type, donnée.
<nom> [TTL] [CLASSE] <TYPE> <valeur>
La classe est toujours IN pour Internet. La liste
des types de données figure ci-dessous. Chaque
enregistrement a également une durée de vie Time To Live (TTL) qui indique le temps pendant
lequel un serveur de noms ayant obtenu l'enregistrement peut le garder dans son cache.
Nota: la syntaxe utilisée pour présenter les types d'enregistrements est celle de RFC1034.
Les types d'enregistrements sont: A, AAAA, MX, CNAME, NS, SOA, PTR, TXT, HINFO, WKS, RP, MA,
MB.
A (Address)
C'est l'enregistrement le plus courant. Il indique une adresse IP associée à un nom (le DNS a été fait
pour cela).
Quand une machine dispose de plus d'une adresse IP (un routeur ou une machine avec plusieurs
cartes), on doit indiquer plusieurs enregistrements A, un par adresse, mais il faut alors que tous les
enregistrements PTR pointent vers ce nom là.
nom
IN
A
193.10.20.30
AAAA (Address IPv6)
Le format précis n'est pas encore connu. Si le type d'enregistrement est nommé AAAA, c'est car
l'adresse IP version 6 est quatre fois plus longue que pour un enregistrement de type A.
MX (Mail eXchanger)
Cet enregistrement indique pour un nom de domaine quelle est la machine à laquelle il faut envoyer
le courrier pour ce domaine. Un paramètre précise le poids relatif de cet enregistrement.
Si plusieurs enregistrements MX sont présents, le MTA va essayer d'envoyer le courrier en premier
à la machine ayant le poids associé le plus faible, puis ensuite dans l'ordre croissant des poids.
Si la machine qui relaie le courrier est dans la liste des MX pour le domaine, elle envoie le courrier
aux machines de poids inférieur au sien.
6
Dossier IRQ75 ©
nom
IN
IN
MX
MX
10
20
BTS 2001
nom.du.relais.
nom.du.deuxieme.relais.
CNAME (Canonical Name)
Cet enregistrement indique que le nom de domaine donné est un alias vers un autre nom (le nom
canonique). Il est possible d'avoir une chaîne d'alias, mais la longueur de celle-ci est limitée, en
général autour de 10.
Remarque : Quand un nom de domaine figure en partie droite d'un enregistrement, ce dernier ne
doit pas être une alias. C'est à dire que les noms figurant à droite dans les enregistrements NS,
MX, etc. ne doivent pas être des alias, mais les noms canoniques (au bout de la chaîne des alias),
l'exception est qu'un CNAME peut pointer vers un autre CNAME, mais attention aux boucles.
Remarque : Quand pour un nom on a un enregistrement CNAME, il est interdit de faire figurer
d'autres enregistrements. S'il y a à faire figurer des enregistrements, il faut les faire figurer pour le
nom canonique.
alias
IN
CNAME
nom.canonique.
SOA (Start Of Authority)
L'enregistrement SOA est l'acte de naissance d'une zone. Il contient un certain nombre de
paramètres:
Le nom du primaire
C'est le nom du serveur primaire pour la zone.
L'adresse de courrier électronique du responsable technique de la zone (zone-contact).
Il faut l'écrire en replaçant le @ par un point. On a alors par exemple: [email protected] qui
devient root.inria.fr
Le numéro de série de la zone
Les serveurs secondaires interrogent régulièrement le serveur primaire de chaque zone pour
déterminer si la zone a été mise à jour selon le mécanisme décrit ici.
L'intervalle entre les rafraîchissements (refresh)
Temps en secondes entre les vérifications du numéro de série par les secondaires. La valeur
conseillée est 24 heures, soit 86400 secondes.
L'intervalle entre les rafraîchissements (retry)
Temps en secondes entre les vérifications du numéro de série par les secondaires si la
première vérification a échoué. La valeur conseillée est 6 heures, soit 21600 secondes.
La durée d'expiration des enregistrements d'un secondaire
Si un secondaire n'arrive pas à contacter le serveur primaire de la zone, il continue à
répondre aux requêtes pendant la durée donnée. La valeur conseillée est de 41 jours, soit
3600000 secondes.
La durée de vie par défaut des enregistrements (défaut TTL)
Quand le TTL d'un enregistrement n'est pas spécifiée, cette valeur est utilisée. La valeur
conseillée est de 24 heures, soit 86400 secondes.
Les différentes valeurs sont toujours telles que l'inégalité suivante est vérifiée (avec un rapport au
moins 10 entre les termes):
retry << refresh << expire
zone
IN
SOA
nom.du.primaire. adresse.du.hostmaster. (
95021502
; numéro de série
86400
; refresh
21600
; retry
3600000
; expire
86400 )
; default TTL
le symbole @ représente le nom de la
Dans la syntaxe bind,
au début du fichier pour une zone:
@
IN
IN
IN
SOA
NS
NS
zone courante, donc nous avons souvent
...
...
...
7
Dossier IRQ75 ©
IN
MX
10
BTS 2001
...
NS (Name Server)
Cet enregistrement indique une délégation pour la gestion du nom donné. C'est à dire que
le nom donné devient une zone, dont la gestion est déléguée au serveur indiqué en partie droite.
L'enregistrement donne le nom d'un des serveurs de noms autoritaire pour la zone, comme il y a
toujours plus d'un serveur de noms pour une zone, on répète l'enregistrement NS autant de fois qu'il
y a de serveurs pour la zone.
Quand pour un nom, on a des enregistrements NS, il est interdit de faire figurer dans la zone parente
(celle là) d'autres enregistrements. S'il y a à faire figurer des enregistrements, il faut les mettre dans
la zone fille.
zone
IN
IN
IN
NS
NS
NS
serveur.nom.de.domaine.
autreServeur.nom.de.domaine.
encoreUn.autreNom.de.domaine.
TXT (Texte)
Cet enregistrement permet de stocker une chaîne de caractères.
nom
IN
TXT
"Bonjour !"
PTR (Pointer)
Les enregistrements PTR permettent d'indiquer une correspondance vers un autre nom dans l'arbre
de nommage. Ils sont discutés dans la section sur le domaine in-addr.arpa.
10.20.30.192.in-addr.arpa.IN
PTR
ma.machine.fr.
HINFO (Host Info)
L'enregistrement HINFO permet de préciser pour une machine quel est son système d'exploitation
et le matériel. Cet enregistrement est peu utilisé.
serveur
IN
HINFO "ZX81" "BASIC"
Nota: Il existe un certain nombre de valeurs légales pour l'enregistrement HINFO.
Si vous utilisez l'enregistrement HINFO, n'oubliez pas de mettre les deux valeurs car c'est une
cause importante d'erreur de syntaxe qui apparaît dans les fichiers de zone. Suivant la version de
votre serveur de nom, cela cause des messages d'insulte, des plantages, ou cela empêche le transfert
de la zone du primaire vers les secondaires.
WKS (Well known services)
Ce type d'enregistrement est à peu près obsolète.
RP (Responsible Person)
Cet enregistrement permet de donner les noms des responsables d'un nom de domaine. Le nom de
domaine en question peut être une zone, ou simplement un nom de machine. Ce type
d'enregistrement n'étant pas encore répandu, il faut vérifier que votre serveur de nom ainsi que tous
les secondaires de la zone le supportent. Les deux paramètres sont d'une part une adresse de courrier
électronique formatée de manière similaire à celle de l'enregistrement SOA, et d'autre part un autre
nom de domaine. Pour cet autre nom de domaine, on fait figurer un enregistrement TXT donnant
plus d'informations (téléphone, numéro de beep, etc.).
zone.fr.
IN RP
sysadmins.zone.fr. IN
postmaster.zone.fr.
sysadmins.zone.fr.
TXT
"Telephone d'urgence: +33 (1) 99 99 99 99"
MA (Mail Alias)
Ce type d'enregistrement est obsolète.
MB (Mail box)
Ce type d'enregistrement est obsolète.
8
Dossier IRQ75 ©
BTS 2001
2.) Mise en Oeuvre d'un Service de Nom de Domaine
Pour pouvoir utiliser le Service de Nom de Domaine, il faut en premier lieu installer le
service dans l’onglet services des propriétés du voisinage réseau.
2.1) Comment installer un Service de nom de Domaine?
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Dans le menu Démarrer, choisissez Paramètres puis Panneau de configuration.
Dans le Panneau de configuration, faites un double clic sur l’icône Réseau, cliquez sur
l’onglet Services puis sur Ajouter.
La boîte de dialogue Sélectionner Service réseau apparaît.
Sélectionnez Service de Nom de Domaine, puis cliquez sur OK.
La boîte de dialogue Installation de Windows NT apparaît, vous demandant le chemin
complet des fichiers Windows NT.
Taper le chemin complet des fichiers Windows NT, puis cliquer sur Continuer.
Les fichiers appropriés sont copiés sur l’ordinateur, puis la boîte de dialogue Réseau
apparaît.
Cliquer sur Fermer.
Une boîte de dialogue Modification des paramètres réseau apparaît, indiquant que
l’ordinateur doit avoir redémarré pour initialiser la nouvelle configuration.
Cliquer sur Oui.
2.2) Comment configurer un Service de nom de Domaine?
L’icône du gestionnaire DNS est installée dans le groupe de programmes Outils d’administration.
Au départ, aucun serveur n’est présent, il faut donc dans un premier temps en ajouter un en
faisant un clic droit sur l’icône Liste des serveurs et sélectionner la commande nouveau serveur
dans le menu déroulant. Ensuite il faut entrer le nom du serveur DNS, soit le nom de machine soit
l’adresse IP de la machine, il est conseillé d’opter pour l’adresse IP.
9
Dossier IRQ75 ©
BTS 2001
Une zone cache est créée automatiquement, elle recense tous les serveurs de noms qui ont
autorité sur le domaine racine. Ces informations sont vitales aux réseaux qui se connecte à Internet,
car les hôtes doivent résoudre les noms en partant de la racine et en descendant dans l’espace de
noms DNS. Les entrées de ce fichier ne changent pas souvent, et il est possible d’utiliser cette zone
tel que le gestionnaire DNS la crée. Des enregistrements peuvent être ajoutés dans la zone cache, il
seront de type NS.
Ajout de zone
Avant de créer une zone pour le domaine à gérer, il faut créer les zones qui supporteront la
recherche indirecte, les zones in-addr.arpa. Elles contiennent des enregistrements PTR qui associent
les adresses IP à des noms d’hôtes. En créant d’abord les zones de recherche indirecte, les
enregistrements PTR seront ajoutés automatiquement lors d’ajout d’enregistrement de type A à la
zone principale du domaine.
Pour ajouter une zone de recherche indirecte dit zone inverse, il faut faire un clic droit sur
l’icône du serveur DNS principal, sélectionné nouvelle zone, une fenêtre de création de zone
s’ouvre. Sélectionner principal puis cliquer suivant. Il est demandé un nom de zone. Le nom de
zone inverse est le début de l’adresse IP de la machine serveur DNS inversé suivit de in-addr.arpa
(ex : 5.168.192.inaddr.arpa).Le nom du fichier de zone se génère automatiquement en cliquant dans
la case. Le nom de fichier n’est pas important mais celui proposé respecte les conventions du
serveur DNS de Microsoft. En cliquant sur suivant le message Toutes les informations pour la
création de la nouvelle zone ont été entrées s’affiche. Un clic sur Terminer permet la création de la
zone. Ensuite il faut créer la zone primaire, le principe est le même que pour une zone inverse, mise
à par le nom de la zone qui sera plutôt du type nom de domaine (ex : fazer.fr). Un enregistrement A
10
Dossier IRQ75 ©
BTS 2001
devrait ce s’inscrire automatiquement, si ce n’est pas le cas il faut l’ajouter et si l’hôte est
multirésident il faudra ajouter un enregistrement A pour chaque carte.
Ajout d’enregistrement
Il faut ajouter un enregistrement PTR aux domaines de recherche inverse qui définissent les
réseaux auxquels cet hôte est attaché.
Pour cela il suffit de faire un click droit sur la zone inverse qui doit contenir l’enregistrement. Dans
la boite de dialogue Nouvel enregistrement ressource d’une zone de recherche indirecte, seul trois
type d’enregistrements peuvent être créés. Sélectionnons PTR puis indiquons l’adresse IP dans le
champ ainsi nommé. Dans le champ Nom DNS de l’hôte, entrons le nom pleinement qualifié du
serveur DNS (ex: fazer2.fazer.fr), puis cliquons ensuite sur OK.
Le principe est le même pour tous autres enregistrements dans les zones de recherche directe ou
indirecte.
Il est possible de modifier certaines valeurs dans les enregistrements SOA.
Le numéro de série représente le niveau de révision du fichier.
11
Dossier IRQ75 ©
BTS 2001
Résoudre les noms avec WINS
Pour ce faire il faut au moins un serveur WINS en activité. La recherche WINS doit être
activée dans la base de données de la zone.
Ajout de zone secondaire
Pour ce faire, il faut que la zone primaire soit affichée dans le gestionnaire DNS. La
procédure est simple et la suivante :
1.
2.
3.
4.
Cliquer du bouton droit sur l’icône du serveur et sélectionner Nouvelle zone.
Sélectionner l’option Secondaire, vous noterez une icône main. Utiliser la souris pour faire
glisser l’icône et la déposer dans la zone primaire voulue. Tous les champs de la boite de
dialogue Créer une nouvelle zone seront remplis.
Cliquer sur suivant pour voir les champs de la boite de dialogue.
Cliquer enfin sur terminer pour achever la création de la zone secondaire.
12
Dossier IRQ75 ©
BTS 2001
2.3) DNS dit Secondaire
Il n’existe pas réellement de Serveur DNS secondaire mais plutôt d’autres Serveurs DNS
peuvent être sollicités par les clients en cas de non-réponse du dit Serveur DNS primaire. C’est
indication sont précisées lors de la configuration des clients, il suffit de préciser l’adresse du second
serveur DNS.
3.) Configuration du client
3.1) Configuration d’un client pour qu'il utilise le service de nom de
domaine
Pour configurer un client Windows, il suffit de préciser un nom d’hôte puis le nom de
domaine ainsi que l’adresse IP du serveur DNS, toutes ces informations se trouve dans les
propriétés réseau.
13