Les administrateurs informatiques travaillent avec Active Directory depuis l’introduction de cette technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory dès fin 1999, à sa sortie en version RTM, le 15 décembre 1999.
Qu’est-ce que le DNS d’Active Directory ?
AD DS offre une méthode intégrée de stockage et de réplication des enregistrements DNS par le biais de zones DNS intégrées à Active Directory.
Tous les enregistrements et les données stockés dans cette zone sont répliqués vers d’autres serveurs DNS via le service de réplication natif d’AD DS. Chaque contrôleur de domaine stocke une copie inscriptible des données de la zone DNS pour les espaces de noms pour lesquels ils font autorité. Les zones intégrées à Active Directory permettent également d’utiliser des mises à jour dynamiques sécurisées, et ainsi de déterminer quels ordinateurs peuvent effectuer des mises à jour et d’empêcher les modifications non autorisées.
Les données de la zone DNS sont stockées dans une partition du répertoire des applications. Une partition couvrant l’ensemble de la forêt, appelée ForestDnsZones, est utilisée pour les données de la zone. Pour chaque domaine AD DS, une partition de domaine est créée, appelée DomainDnsZones.
En général, les implémentations DNS sont utilisées avec un espace de noms contigu.
Par exemple, le nom de domaine complet (FQDN) d’un domaine AD DS pourrait être corp.contoso.com, et le FQDN d’un client dans ce domaine serait client.corp.contoso.com. Cependant, AD DS et les zones DNS intégrées à Active Directory prennent en charge les espaces de noms disjoints. Dans un tel scénario, le FQDN du domaine AD DS pourrait être na.corp.contoso.com, tandis que le FQDN d’un client pourrait être client.corp.contoso.com. Remarquez que la partie « na » du FQDN n’est pas présente dans le FQDN du client. Plusieurs conditions et considérations doivent être prises en compte lors de l’utilisation d’un espace de noms disjoint.
Pour en savoir plus : https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx..
Trois composants spécifiques du DNS
AD DS a besoin du DNS pour fonctionner, et l’infrastructure AD DS utilise trois composants spécifiques :
- Localisateur de contrôleur de domaine.
Le localisateur est implémenté dans le service Net Logon, il fournit les noms des contrôleurs de domaine d’un environnement AD DS. Le localisateur utilise les enregistrements de ressources DNS adresses (A) et services (SRV) pour identifier les contrôleurs de domaine dans un environnement AD DS.
- Noms de domaine Active Directory dans le DNS.
Les noms de domaine AD DS dans le DNS sont les FQDN dont nous avons parlé précédemment.
- Objets DNS Active Directory.
Alors que les domaines DNS et AD DS ont généralement le même nom, ils sont deux objets distincts avec des rôles différents. Le DNS stocke des zones et des données de zone requises par AD DS et répond aux requêtes DNS des clients. AD DS stocke les noms et les enregistrements d’objets, et utilise les requêtes LDAP pour récupérer ou modifier des données. Les zones DNS stockées dans AD DS ont un objet conteneur dans la classe dnsZone. L’objet dnsZone comporte un nœud DNS qui utilise la classe dnsNode. Chaque nom unique dans une zone DNS a un objet dnsNode unique. Pour AD DS, cela inclut également les fonctions individuelles. Par conséquent, un contrôleur de domaine peut avoir plusieurs rôles, comme celui de serveur de catalogue global, ce qui est indiqué dans l’objet dnsNode.
Enregistrements DNS dans Active Directory
Comme nous l’avons vu précédemment, les contrôleurs de domaine sont identifiés par les enregistrements SRV dans une zone DNS. Les composants d’AD DS sont stockés dans le DNS dans le sous-domaine _msdcs au format suivant : _Service.Protocol.DcType._msdsc.DnsDomainName.
Par exemple, le service LDAP (Lightweight Directory Access Protocol) du contrôleur de domaine principal (PDC) du domaine AD DS contoso.com serait _ldap._tcp.pdc.contoso.com. Les chaînes de service et de protocole utilisent le caractère de soulignement « _ » comme préfixe pour éviter les collisions potentielles avec les ressources ou les enregistrements existants dans l’espace de noms.
Le service Net Logon requiert 17 enregistrements SRV différents pour effectuer des recherches. Vous trouverez une liste complète des enregistrements SRV à l’adresse suivante : https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx.
En plus des enregistrements SRV, le service Net Logon requiert également deux enregistrements A pour les clients qui peuvent ne pas être compatibles SRV. Cela inclut un enregistrement pour le DnsDomainName, et un enregistrement pour gc._msdsc.DnsForestName. Cela permet aux clients non compatibles SRV de rechercher un contrôleur de domaine ou un serveur de catalogue global en utilisant un enregistrement A.
Bonnes pratiques
Le DNS est vulnérable aux menaces de sécurité, comme l’empreinte au sol, les attaques par déni de service, les modifications de données et la redirection.
Pour atténuer ces menaces, les zones DNS peuvent être protégées au moyen de mises à jour dynamiques sécurisées, en limitant les transferts de zones, et en appliquant la délégation de zones et les extensions de sécurité DNS (DNSSEC). Grâce aux mises à jour dynamiques sécurisées, les ordinateurs seront authentifiés par Active Directory et les paramètres de sécurité seront appliqués lors des transferts de zones.
De plus, les transferts de zones peuvent également être restreints à des adresses IP spécifiques au sein du réseau. La délégation de zone peut être abordée selon deux méthodes.
La première consiste à réserver les modifications du DNS à une seule équipe ou entité, toutes les modifications étant suivies et approuvées. Cette méthode permet de réduire le nombre de personnes qui apportent des modifications, mais elle offre un point de défaillance unique.
Avec la deuxième méthode, les zones peuvent être déléguées à des personnes qui géreront chaque composant d’un réseau ou d’un domaine. Même si les modifications doivent encore être approuvées et suivies, cela répartit les risques entre plusieurs personnes et vise à limiter les dommages si un seul élément est compromis.
DNSSEC
DNSSEC valide les réponses DNS en fournissant l’autorité d’origine, l’intégrité des données et un déni d’existence authentifié. L’implémentation de DNSSEC par Windows Server 2012 satisfait les normes RFC 4033, 4034 et 4035.
Six types d’enregistrement de ressources sont utilisés spécifiquement avec DNSSEC :
- Resource record signature (RRSIG)
- Next Secure (NSEC)
- Next Secure 3 (NSEC3)
- Next Secure 3 Parameter (NSEC3PARAM)
- DNS Key (DNSKEY)
- Delegation Signer (DS)
Pour en savoir plus sur chacun des types d’enregistrement et leur utilisation, voir https://technet.microsoft.com/en-us/library/jj200221.aspx.
Vous trouverez plus d’informations sur les bases d’Active Directory dans notre didacticiel AD pour débutants.
