La redirection DNS contribue à accélérer votre réseau, et vous devriez la mettre en œuvre si vos utilisateurs demandent votre nom de domaine mais que leur serveur DNS ne trouve pas l'adresse IP correspondante dans le cache. Les entreprises disposant d'espaces de noms étendus ont souvent recours à ce processus.
Continuez à lire le blog pour savoir ce qu'est la redirection DNS et comment elle est utilisée pour les adresses externes et internes.
Qu'est-ce que la redirection DNS ?
La redirection DNS est un processus par lequel un autre serveur désigné (serveur d'indices racine) traite les adresses non résolues ou les requêtes DNS parce que le serveur initialement contacté n'a pas la réponse. En général, tous les serveurs destinés à convertir les noms de domaine en adresses IP se voient attribuer un forwarder spécifique pour transmettre toutes les requêtes qu'ils ne peuvent pas résoudre.
Cette technique est utilisée par les entreprises ayant de très grands espaces de noms ou par les entreprises qui collaborent car elles peuvent résoudre les espaces de noms des autres.
Qu'est-ce qu'un DNS Fowarder ?
Un transitaire DNS est un serveur DNS configuré pour transmettre les requêtes qui ne peuvent être résolues localement à un autre serveur DNS, généralement externe. Ce serveur DNS de renvoi agit généralement comme un serveur intermédiaire chargé de transmettre simplement les demandes DNS à un serveur DNS faisant davantage autorité pour une résolution efficace des requêtes.
Comment fonctionne la redirection DNS ?
Maintenant, voyons la procédure de fonctionnement de la redirection DNS.
Lorsque les informations DNS internes sont privées, elles peuvent être transmises en ligne si le serveur d'indices racine est exposé au public car aucun transitaire DNS n'est utilisé dans le réseau interne. Vous pouvez également l'utiliser si les charges du FAI de votre réseau sont lourdes ou si la connexion n'est pas rapide en raison de l'absence d'un transitaire DNS interne. En effet, un transitaire DNS interne augmente le trafic externe, ce qui complique sa gestion.
L'utilisation d'un redirecteur DNS permet de créer un cache interne pour les données DNS externes afin de réduire le trafic DNS externe.
Types de transfert DNS
Examinons les deux principaux types de transfert DNS et le fonctionnement de chacun d'entre eux :
1. Transfert conditionnel
Le transfert conditionnel DNS est effectué à l'aide de serveurs DNS qui transfèrent les requêtes pour certains noms de domaine au lieu de transférer toutes les requêtes. Ils envoient les requêtes à des transitaires spécifiques en fonction des noms d'hôtes mentionnés dans la requête. Le transfert conditionnel DNS améliore le transfert conventionnel en ajoutant une condition basée sur le nom au processus. Le transfert conditionnel DNS est bénéfique car il établit une connexion internet plus sûre, plus rapide et plus fiable. Dans ce cas, le serveur DNS envoie des requêtes récursives au transitaire.
2. Transfert récursif
Dans ce type de transfert DNS, un serveur DNS transmet une requête à un autre serveur DNS. Le second serveur effectue une recherche récursive pour résoudre la requête. Un cas d'utilisation est celui où un serveur DNS transmet des requêtes à un serveur DNS central pour résolution.
Transfert ou mise en cache
Dans le cadre de la redirection DNS, un serveur DNS envoie les requêtes des clients qu'il ne peut pas résoudre directement à un autre serveur DNS (un redirecteur). Cela permet de décharger les tâches de résolution des requêtes ou de mettre en œuvre des politiques spécifiques d'acheminement des requêtes.
La mise en cache DNS consiste à stocker temporairement les résultats des requêtes précédentes afin de réduire la latence et d'améliorer les performances. Lorsqu'un serveur DNS dispose d'un enregistrement mis en cache, il répond immédiatement à la requête au lieu de la transmettre.
Avantages de la redirection DNS
Examinons les différents avantages de la redirection DNS :
1. Amélioration de l'efficacité des requêtes
Le transfert des requêtes vers un serveur DNS spécifique permet de réduire considérablement les temps de requête et d'obtenir des réponses beaucoup plus rapides, ce qui réduit également la latence.
2. Gestion centralisée
La redirection DNS simplifie la gestion du DNS. Cela est particulièrement utile dans les grandes organisations, car cela permet aux administrateurs de centraliser et de contrôler la résolution des requêtes DNS en assignant quelques serveurs DNS désignés.
3. Sécurité
Le transfert des requêtes DNS vers un serveur DNS sécurisé et de confiance permet de prévenir les cyberattaques telles que les attaques par usurpation d'identité DNS.
4. Équilibrage de la charge
En répartissant les tâches de résolution des requêtes sur des serveurs DNS désignés, le transfert DNS peut contribuer à équilibrer la charge sur un réseau. Cela permet d'éviter qu'un seul serveur DNS ne soit surchargé.
5. Support multi-domaines
Pour les organisations disposant de plusieurs domaines internes ou externes, le transfert conditionnel permet une résolution transparente des requêtes spécifiques à un domaine.
Comment configurer les redirecteurs DNS sur Microsoft Windows Server 2008 R2 et 2016 ?
Avant de commencer la procédure de configuration de la redirection DNS, notez l'adresse IP des serveurs DNS récursifs SIA et assurez-vous qu'un fichier racine est configuré. Une outil de recherche d'adresse IP peut vous aider à localiser facilement l'adresse IP de votre propre domaine. Le fichier d'indices racine répertorie les serveurs DNS racine que le domaine Active Directory contacte pour les requêtes de récursivité. Cette opération peut être effectuée à l'aide de l'interface utilisateur graphique de Windows Server ou de la ligne de commande.
Interface utilisateur graphique
Vous pouvez suivre les étapes ci-dessous pour configurer les transitaires DNS sous Windows à l'aide de l'interface utilisateur graphique.
- Cliquez sur Démarrer et allez dans Outils d'administration > DNS.
- Cliquez avec le bouton droit de la souris sur le serveur DNS que vous souhaitez configurer en tant que transitaire.
- Naviguez dans le menu Action et cliquez sur l'onglet "Propriétés".
- Sélectionnez l'onglet Transporteurs.
- Cliquez sur Modifier.
- Dans la boîte de dialogue Edit Forwarders, entrez l'adresse IP primaire du serveur DNS récursif SIA et appuyez sur Enter.
- Ajoutez l'adresse IP secondaire du serveur DNS récursif du SIA et appuyez sur Entrée.
- Supprimez les autres serveurs qui sont répertoriés en tant que transitaires. Ne gardez que les serveurs DNS récursifs primaires et secondaires dans la liste des forwarders.
- Ajoutez une valeur dans la section Number of seconds before the forward queries times out (Nombre de secondes avant l'expiration des requêtes de transfert) pour attribuer le nombre de secondes pendant lesquelles un serveur DNS attend une réponse.
- Cliquez sur OK.
- Activez l'option "Use Root Hint if no forwarders are available". Cette option garantit que les serveurs DNS d'un fichier d'indices racine résolvent le nom localement.
- Dans la boîte de dialogue des propriétés, cliquez sur OK.
Interface de ligne de commande
Suivez ces étapes pour configurer le transfert DNS sous Windows à l'aide de l'interface de ligne de commande.
- Ouvrez l'invite de commande suivante. Notez que cette commande doit être exécutée en tant qu'administrateur.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Où :
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Vous devez séparer chaque adresse IP par un espace.
- <Time> refers to the time-out settings time. It is calculated in seconds.
Redirection DNS pour les adresses externes
La redirection DNS est importante car s'il n'y a pas de serveur DNS désigné comme redirecteur pour toutes les requêtes externes, tous les serveurs serveurs DNS internes doivent traiter les requêtes. Cette situation n'est pas souhaitable pour les raisons suivantes
- Si le DNS n'est pas clairement séparé en externe et interne, il est tout à fait possible que les données du DNS interne soient divulguées.
- La charge de trafic augmente si vous n'avez pas impliqué la redirection DNS. Lorsque vous désignez un serveur DNS en tant que transitaire, il gère toutes les résolutions DNS externes et crée un cache d'adresses externes afin de minimiser le nombre de requêtes récursives, réduisant ainsi le trafic.
Si votre entreprise est petite et dispose d'une bande passante limitée, le recours à la redirection DNS peut rendre le réseau plus efficace et plus rapide.
Redirection DNS pour les adresses internes
Les experts recommandent qu'un sous-ensemble d'adresses internes soit géré par la redirection DNS. De même, pour les intranets étendus, comprenant plusieurs domaines et sous-domaines, il est pratique de faire contrôler les requêtes DNS pour un sous-ensemble de ces domaines par un serveur dédié. Ces requêtes sont généralement transmises selon le principe de la transmission conditionnelle du DNS.
Meilleures pratiques pour le transfert de DNS
Le DNS est crucial dans le monde d'aujourd'hui, axé sur l'Internet. Si vous n'avez qu'un seul serveur DNS, il doit être configuré comme un transitaire. Si vous en avez plus d'un, vous pouvez en configurer un, quelques-uns ou tous les serveurs en tant que transitaires. En outre, vous pouvez suivre les pratiques énumérées ci-dessous pour vous assurer que les transitaires DNS fonctionnent de manière optimale.
Désactiver la récursion
La récursion permet aux serveurs DNS d'interroger d'autres serveurs pour le compte du client. Cela facilite le processus de transfert des DNS, mais expose également votre réseau à des risques de sécurité. Donc, si vous la désactivez, la possibilité de se faire attaquer diminue. Cela réduira également la charge de trafic, et votre réseau deviendra plus rapide.
Activer la validation DNSSEC
DNSSEC ou Domain Name System Security Extensions (extensions de sécurité du système de noms de domaine) sont des protocoles de sécurité qui protègent contre l'usurpation d'identité et les les attaques par empoisonnement du cache. S'il est activé, les transitaires DNS vérifient les signatures numériques. La réponse est rejetée si la signature ne correspond pas et un message d'erreur est envoyé au client.
Toutefois, vous ne devez l'utiliser que par le biais d'une connexion sécurisée. Sinon, les pirates peuvent intercepter et modifier les données échangées.
Surveiller les serveurs DNS
La surveillance régulière des serveurs DNS vous avertit des problèmes techniques potentiels, ce qui vous permet de prendre des mesures rapides. Vous réduisez ainsi les temps d'arrêt qui, autrement, pourraient lourdement peser sur votre activité.
Vous devez également vérifier les journaux des transitaires DNS pour repérer les activités suspectes ou les comportements irresponsables des utilisateurs, afin de rester à l'affût des risques de sécurité potentiels.
Créer et tester une configuration alternative
Une configuration alternative vous permettra de passer à un autre transitaire en cas de panne. Cela permettra de réduire les temps d'arrêt et de garder vos ressources accessibles. Ne négligez pas de tester la configuration de rechange avant de mettre en place une nouvelle configuration.
Sauvegarder régulièrement les données du serveur DNS
Des acteurs malveillants attaquent votre serveur et tentent de modifier ou de supprimer des données. La sauvegarde des données du serveur DNS permet de les restaurer rapidement sans perturber le flux de trafic sur votre réseau. Sans sauvegardes, il faudra des heures, voire des jours, pour tout restaurer, ce qui aura un impact important sur votre activité.
- Qu'est-ce que la redirection DNS et quels sont ses 5 principaux avantages ? - 24 novembre 2024
- DMARC devient obligatoire pour l'industrie des cartes de paiement à partir de 2025 - 22 novembre 2024
- La vie après p=reject : Pourquoi votre voyage DMARC est loin d'être terminé - 22 novembre 2024