Installation du rôle Serveur DNS

Création — Nicolas THOREZ 2019/03/04 22:52

Installer et paramétrer un serveur DNS est assez simple. Si vous avez un AD, le DNS a probablement été installé en même temps, ce qui est une bonne chose car l'AD a obligatoirement besoin d'un serveur DNS et aussi, l'installation des services AD active un premier paramétrage du service DNS.

• A partir du gestionnaire de serveur, on clique sur Gérer en haut à droite puis sur Ajouter des rôles et fonctionnalités.

• La première fenêtre est un avant-propos. C'est toujours intéressant à lire mais n'a que peu d'impact sur un administrateur confirmé. Je déconseille quand même de ne pas cocher la case Ignorer cette page par défaut, on ne sait jamais qui peut passer derrière nous. On cliquera donc sur Suivant >.

• La page suivante nous propose 2 choix : l'installation d'un rôles et/ou d'une fonctionnalité ou bien l'installation de services de bureau. Ces derniers étant particulier, ils feront l'objet d'un autre billet. Dans la grande majorité des cas, on choisira la première option puis on cliquera sur Suivant >.

• Sur la page suivante, on pourra choisir la destination d'installation des services. On a le choix entre l'installer directement sur un serveur à choisir dans la liste ou sur un disque dur virtuel à attacher sur un serveur. Personnellement, je ne sui pas trop fan de la deuxième option. Les rôles et fonctionnalités sont sensibles et généralement essentiels au bon fonctionnement de votre infrastructure. Si un service venait à ne pas démarrer tout simplement parce que le disque dur virtuel sur lequel il est installé n'est pas monté, cela provoquerait de nombreux problèmes pour pas grand-chose. Du coup, je vous conseille de choisir l'installation sur un serveur. Un fois décidé, cliquez sur Suivant >.

• A ce stade, on peut sélectionner Serveur DNS pour l'installer.

• Au moment ou on clic dessus, un popup apparaît. Il s'agit des fonctionnalités dépendantes pour ce service. On les valide en cliquant sur Ajouter des fonctionnalités.

• De retour sur la page principale, on passe à la suite en cliquant sur Suivant >. Dans la page suivante, on peut ajouter des fonctionnalités. Les dépendances ayant déjà été sélecrtionnées, on passe à la suite en cliquant sur Suivant >.

• La page suivante donne des explications sur le rôle Serveur DNS. On clique sur Suivant > pour passer à la suite.

• A cette étape, la page nous présente un récapitulatif de la configuration souhaitée. Si tout est OK, on clique sur Installer pour lancer le processus d'installation.

• Une fois l'installation terminée, on peut fermer la fenêtre et commencer le paramétrage du serveur DNS. Ce dernier est accessible via le bouton Outils en haut à droite du gestionnaire de serveur puis DNS.

• Dans le fenêtre Gestionnaire DNS, on déroule les dossiers à partir de la racine du serveur, puis, grâce à un clic droit sur Zones de recherche directes, on choisira Nouvelle zone… pour créer les zones que le serveur DNS résoudra. Si le serveur DNS a été installé en même temps que les services AD alors la zone principale du domaine a déjà été créée.

• Une nouvelle fenêtre apparait alors. La première page est un écran de bienvenue, on clique donc sur Suivant >.

• Dans la seconde page, on choisit le type de zone que l'on souhaite créer :
  • Zone principale : c'est la zone que l'on créera si aucun autre serveur DNS n'existe et/ou si on souhaite créer une nouvelle zone, inexistante à ce jour.
  • Zone secondaire : il s'agit là d'une copie d'une zone existante sur un autre serveur. Très utile pour assurer la redondance des services.
  • Zone de stub : il s'agit d'une zone DNS ne contenant que les informations permettant d'informer ceux qui l'interroge sur les serveurs régissant le domaine, autrement dit le serveur DNS principal. Cette configuration est une forme de redirecteur.
  • Si le serveur sur lequel est installé le DNS est aussi un contrôleur de domaine (DC), alors on peut cocher une case permettant d'inscrire la nouvelle zone dans l'AD.
  • Dans cette exemple, on choisira donc Zone principale et on cliquera sur Suivant >.

• Sur la page suivante, on indiquera le nom de la zone que l'on souhaite créer sous la forme domain.tld puis on cliquera sur Suivant >.

• Ensuite, on peut choisir de créer un nouveau fichier contenant les informations de la zone ou utiliser un fichier existant. Je vous conseille vivement d'utiliser un fichier distinct pour chaque zone. Une fois votre choix fait, cliquez sur Suivant >.

• Dans la page suivante, on peut chaoisir le mode de mise à jour des informations de la zone :
  • Option 1 : conseillé sur les serveurs DNS liés à l'AD, cette option permet aux DC et au serveur DHCP de mettre à jour les informations du DNS.
  • Option 2 : cette option permet à n'importe quel service, comme un serveur DHCP, de mettre à jour les informations du DNS. Cela peut présenter un risque si le réseau n'est pas sûr.
  • Option 3 : toutes les mise à jour d'inbformations sont faîtes manuellement.
  • Pour des raisons de sécurité, on ne choisira jamais l'option 2. On choisira donc l'option 1 dans le cadre d'un AD sinon l'option 3. Dans cette exemple, on choisira la 3 puis on cliquera sur Suivant >.

• Cette dernière page nous présente un récapitulatif de nos choix. On vérifie donc et on valide en cliquant sur Terminer.

• La zone nouvellement créée apparaît alors dans la liste.

Si vous avez installé votre serveur DNS avec les service AD, la zone de recherche inversée n'est PAS configurée. Il est vivement conseillé de la configurer afin d'avoir des résolutions DNS correctes. A partir de là, nous continuerons donc notre démonstration à partir du serveur DNS, les manipulations étant les mêmes quelle que soit la zone.

• Pour configurer une zone de recherche inversée, on fera un clic droit sur le dossier correspondant puis on choisira Nouvelle zone….

• La première page de la nouvelle fenêtre est une page de bienvenue. On clique donc sur Suivant >.

• Dans la seconde page, on choisit le type de zone que l'on souhaite créer :
  • Zone principale : c'est la zone que l'on créera si aucun autre serveur DNS n'existe et/ou si on souhaite créer une nouvelle zone, inexistante à ce jour.
  • Zone secondaire : il s'agit là d'une copie d'une zone existante sur un autre serveur. Très utile pour assurer la redondance des services.
  • Zone de stub : il s'agit d'une zone DNS ne contenant que les informations permettant d'informer ceux qui l'interroge sur les serveurs régissant le domaine, autrement dit le serveur DNS principal. Cette configuration est une forme de redirecteur.
  • On choisira le même type de zone que pour la zone de recherche directe et on cliquera sur la case d'enregistrement dans l'AD si on ce trouve sur un DC. Soit dans notre cas, on choisit une zone principale et on coche la case. On passe à la suite en cliquant sur Suivant >.

• Comme la case d'enregistrement dans l'AD a été coché, nous avons maintenant une étape sur le mode de réplication des données :
  • Option 1 : correspond au fonctionnement d'une forêt avec plusieurs domaines.
  • Option 2 : correspond au fonctionnement d'une forêt avec un seul domaine. C'est notre cas pour le coup.
  • Option 3 : à utiliser en cas de présence de très vieux DC (Windows 2000).
  • Option 4 : disponible dans tout autre cas.
  • Une fois l'option choisie, on clique sur Suivant >.

• La page suivante nous permet de choisir entre la résolution en IPv4 ou en IPv6. Ce choix dépend de la zone et des fonctionnalités du réseaux. Par défaut on choisit IPv4 et on passe à la suite.

• La page suivante nous permet de nommer notre zone. L'option ID réseau laisse le soin à l'assistant de la nommer alors que l'autre option est plus manuelle. Par défaut, on choisira donc l'option 1. Concernant les informations à donner, elles sont directement liées à votre adresse IP et surtout à votre masque de sous-réseau (MSR). Dans le cas d'une adresse IP 10.20.30.40 :
  • si le MSR est 255.0.0.0, on indiquera 10
  • si le MSR est 255.255.0.0, on indiquera 10.20
  • si le MSR est 255.255.255.0, on indiquera 10.20.30
  • Dans mon cas, mon IP est 10.0.2.15 avec un MSR de 255.255.255.0, j'indiquerait donc 10.0.2 avant de cliquer sur Suivant >.

• La page suivante nous propose de choisir le niveau de mise à jour des informations du DNS. On choisira le même mode que la zone de recherche directe puis on cliquera sur Suivant >.

• Enfin, on voit un récapitulatif de la configuration souhaitée qu'on validera avec Terminer.

• La zone apparaît alors dans la liste.

Maintenant que les zones directes et inversées sont créées, vous pouvez créer votre propres entrées A, CNAME, SRV, TXT, etc… A noter que si la mise à jour des données n'est pas automatiques, il vous faudra les créer sur tous les serveurs gérant la zone ainsi que dans les zones de recherche inversée correspondantes.

Pour la configuration des zones en rapport avec l'adressage IPv6, vous pouvez aller sur cette page.

Afin de pouvoir résoudre les noms de domaines extérieurs, il faut indiquer un ou plusieurs redirecteurs au serveur DNS. Pour cela :

• On fera un clic droit sur le nom du serveur et on choisira Propriétés.

• Dans la fenêtre qui apparaît, on cliquera sur l'onglet Redirecteurs puis sur Modifier.

• Dans le champ de la fenêtre, on indiquera l'adresse IP ou le FQDN d'un serveur DNS interne (pouvant résoudre les noms externes) ou externe (sur internet donc). Personnellement, j'aime bien les OpenDNS (208.67.222.222 et 208.67.220.220) mais on peut aussi mettre ceux de Google (8.8.8.8 ou 8.8.4.4). Une fois nos serveurs externes indiqués, on valide avec OK.

• On finit en appuyant une nouvelle fois sur OK

Si vous êtes sur un contrôleur de domaine est que vous venez de paramétrer le serveur DNS de référence, n'oubliez pas de mettre à jour les informations de votre carte réseau. Le système a lui-même changer les adresses des serveurs DNS à utiliser par 127.0.0.1. Je vous conseille de mettre en premier DNS, l'adresse IP du serveur (et non sa boucle interne) et en second, l'adresse IP du serveur DNS redondant, celle du DC secondaire par exemple.

On évitera de mettre des adresses IP de serveurs DNS d'internet (comme Google au 8.8.8.8) afin d'éviter d'obtenir des réponses de ces derniers avant que le serveur DNS interne ne réponde, la logique étant que l'interne est le seul à pouvoir résoudre les noms internes et redirige automatiquement vers l'extérieur ce qu'il ne connaît pas.