Traduction

frendeitptes

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

« Les machines un jour pourront résoudre tous les problèmes, mais jamais aucune d'entre elles ne pourra en poser un !  »

DNS

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

DNS

Une nouvelle fonctionnalité est actuellement présente dans le service DNS, les politiques DNS. Cette nouvelle fonctionnalité permet de renvoyer un résultat de requête DNS X si la demande émane d'un sous réseau X et un résultat de requête DNS Y si la demande émane d'un sous réseau Y.

Cela permet par exemple de renvoyer certaines réponses en fonction de la géo-localisation du client...

Mise en place d'un politique DNS

Mise en place d'un politique DNS

Pour cet excercice, vous aurez besoin de 2 serveurs et un poste client:

  • 1 serveur DC + DNS membre du domaine formation.local nommé ServeurA
  • 1 serveur DNS nom membre du domaine nommé ServeurB
  • 1 client Windows 10 dont le dns pointe vers le serveur ServeurB

Sur votre serveur ServeurA, créez dans votre zone DNS un enregistrement de type alias nommé "www" pointant vers un de vos serveurs.

Sur un poste client Windows 10, purgez le cache DNS

ipconfig /flushdns

DNS 2

Sur le deuxième serveur DNS ServeurB (se dernier ne faisant pas parti du domaine), configurez un redirecteur conditionnel pointant vers votre serveur DNS "principal".

Add-DnsServerConditionalForwarderZone -Name "formation.local" -MasterServers 172.16.0.10

DNS 3

Voici ce que vous devez obtenir dans la console DNS

DNS 4

Purgez le cache DNS côté serveur et côté client du serveur DNS.

Clear-DNSServerCache
Clear-DNSClientCache

 

DNS 5

Puis testez une résolution de nom sur la zone

Resolve-DNSName formation.local

Cette dernière devant répondre positivement

DNS 6

Loguez-vous sur ServeurA

Créez une nouvelle zone nommé par exemple "partners"

Add-DnsServerZoneScope –ZoneName "formation.local" -Name "partners"

Et affectez à cette zone le sous-réseau correspondant à votre partenaire

Add-DNSServerClientSubnet –Name “SurPartner” –IPv4Subnet 172.16.10.0/24

Ajoutez à présent un enregistrement nommé "www" avec une adresse IP différente de votre serveur ServeurA (une ip publique par exemple) tout en la liant à la zone "partners"

Add-DnsServerResourceRecord -ZoneName "formation.local" -A -Name "www" -IPv4Address "131.107.0.200” -ZoneScope "partners"

Ajoutez une politique DNS

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ClientSubnet "eq,SurPartner" -ZoneScope "partners,1" -ZoneName formation.local

DNS 7

Validation de la politique DNS

Validation de la politique DNS

Loguez-vous sur le poste client

ipconfig /flushdns
nslookup www.formation.local

DNS 8

Clear-DNSServerCache
Clear-DNSClientCache
Resolve-DNSName www.formation.local

DNS 9

Toute demande de résolution de nom sur le nom www.formation.local émanant de réseau partenaire recevra une adresse ip différente que si la requête émane du réseau formation.local.

Compléments

Compléments

Bloquer les requêtes émanant d'un domaine

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com" 

Bloquer les requêtes émanant d'un sous-réseau

Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet  "EQ,MaliciousSubnet06" 

Autorisez la récusivité pour les clients interne

Set-DnsServerRecursionScope -Name . -EnableRecursion $False  
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True 
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP  "EQ,10.0.0.34" 

Créez une zone de transfert au niveau serveur

Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24 
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet" 

Créez une zone de transfert au niveau zone

Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "ne,10.0.0.33" -PassThru -ZoneName "contoso.com" 

Vous devez être authentifié pour pouvoir laisser des commentaires...