Serveur d'impression

Meilleures pratiques DNS: le guide définitif – Serveur d’impression

Par Titanfall , le 21 avril 2020 - 19 minutes de lecture

Il s'agit de la liste la plus complète des meilleures pratiques et astuces DNS sur la planète.

Dans ce guide, je partagerai mes meilleures pratiques en matière de sécurité DNS, de conception, de performances et bien plus encore.

Table des matières:

Meilleures pratiques DNS

Avertissement: Je ne recommande pas d'apporter des modifications à des services essentiels comme DNS sans tester et obtenir l'approbation de votre organisation. Vous devez suivre un processus de gestion des modifications pour ces types de modifications.

Avoir au moins deux serveurs DNS internes

Dans les environnements petits à grands, vous devez disposer d'au moins deux serveurs DNS pour la redondance. DNS et Active Directory sont des services essentiels, s'ils échouent, vous aurez des problèmes majeurs. Le fait d'avoir deux serveurs garantira que DNS fonctionnera toujours si l'autre échoue.

Dans un domaine Active Directory, tout repose sur DNS pour fonctionner correctement. Même la navigation sur Internet et l'accès aux applications cloud dépendent du DNS.

J'ai rencontré une défaillance complète du contrôleur de domaine / DNS et je ne plaisante pas quand je dis que presque tout a cessé de fonctionner.

Dans le diagramme ci-dessus, mon site a deux contrôleurs de domaine et serveurs DNS. Les clients sont configurés pour utiliser DHCP, le serveur DHCP configurera automatiquement le client avec un serveur DNS principal et secondaire. Si DC1 / DNS tombe en panne, le client utilisera automatiquement son DNS secondaire pour résoudre les noms d'hôte. Si DC1 tombait en panne et qu'il n'y avait pas de DNS secondaire interne, le client ne pourrait pas accéder à des ressources telles que la messagerie électronique, les applications, Internet, etc.

Conclusion: assurez-vous que la redondance est en place en ayant plusieurs serveurs DNS / Active Directory.

Utiliser les zones intégrées Active Directory

Pour faciliter le déploiement de plusieurs serveurs DNS, vous devez utiliser les zones intégrées Active Directory. Vous ne pouvez utiliser les zones intégrées AD que si vous avez configuré DNS sur vos contrôleurs de domaine.

Les zones intégrées AD présentent les avantages suivants:

  • Réplication: Les zones intégrées AD stockent les données dans la base de données AD en tant qu'objets conteneurs. Cela permet aux informations de zone d'être automatiquement répliquées sur d'autres contrôleurs de domaine. Les informations de zone sont compressées, ce qui permet de répliquer les données rapidement et en toute sécurité sur d'autres serveurs.
  • Redondance: Étant donné que les informations de zone sont automatiquement répliquées, cela évite un seul point de défaillance pour DNS. Si un serveur DNS tombe en panne, l'autre serveur dispose d'une copie complète des informations DNS et peut résoudre les noms des clients.
  • Simplicité: Les zones AD intégrées sont mises à jour automatiquement sans avoir à configurer de transfert de zone. Cela simplifie la configuration tout en garantissant la redondance est en place.
  • Sécurité: Si vous activez les mises à jour dynamiques sécurisées, seuls les clients autorisés peuvent mettre à jour leurs enregistrements dans les zones DNS. En un mot, cela signifie que seuls les membres du domaine DNS peuvent s'enregistrer auprès du serveur DNS. Le serveur DNS refuse les demandes des ordinateurs qui ne font pas partie du domaine.

Meilleur ordre DNS sur les contrôleurs de domaine

J'ai vu beaucoup de discussions sur ce sujet. Quelle est la meilleure pratique pour l'ordre DNS sur les contrôleurs de domaine?

Si vous effectuez une recherche par vous-même, vous trouverez différentes réponses MAIS la majorité recommande la configuration ci-dessous.

C’est également la recommandation de Microsoft.

  • DNS principal: défini sur un autre contrôleur de domaine du site
  • DNS secondaire: défini sur lui-même à l'aide de l'adresse de bouclage

Regardons un exemple concret.

Dans le schéma ci-dessus, j'ai deux contrôleurs de domaine / DNS sur le site de New York. J'ai le DNS primaire DC1 défini sur son partenaire de réplication DC2. Ensuite, le DNS secondaire est défini sur lui-même à l'aide de l'adresse de bouclage. Ensuite, le DNS principal DC2 est défini sur DC1 et il est défini sur lui-même à l'aide de l'adresse de bouclage.

Microsoft affirme que cette configuration améliore les performances et augmente la disponibilité des serveurs DNS. Si vous pointez d'abord le DNS principal sur lui-même, cela peut entraîner des retards.

Source: https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx

Les ordinateurs joints au domaine ne doivent utiliser que des serveurs DNS internes

Vos ordinateurs joints à un domaine doivent avoir à la fois le DNS principal et le DNS secondaire définis sur un serveur DNS interne. Les serveurs DNS externes ne peuvent pas résoudre les noms d'hôte internes, ce qui peut entraîner des problèmes de connectivité et empêcher l'ordinateur d'accéder aux ressources internes.

Voyons un exemple de la raison de cette mauvaise configuration.

  1. Le client fait une demande à un serveur interne appelé VEGAS.
  2. Le client décide de contacter son serveur DNS secondaire qui est le 8.8.8.8. Il demande au serveur quelle est l'adresse IP du VEGAS hôte.
  3. Le DNS externe ne sait rien de cet hôte, par conséquent, il ne peut pas fournir l'adresse IP.
  4. Il en résulte que le client ne peut pas accéder au serveur de fichiers VEGAS.

En règle générale, si le serveur DNS principal est disponible, il sera utilisé en premier, mais il peut ne pas répondre, ce qui peut entraîner l'utilisation du DNS secondaire. Il peut falloir redémarrer l'ordinateur pour qu'il revienne au DNS principal, ce qui peut entraîner la frustration des utilisateurs et des appels au service d'assistance.

La solution recommandée est d'avoir deux serveurs DNS internes et de toujours pointer les clients vers eux plutôt qu'un serveur externe.

Pointez les clients vers le serveur DNS le plus proche

Cela réduira le trafic sur les liaisons WAN et fournira des requêtes DNS plus rapides aux clients.

Dans le diagramme ci-dessus, les ordinateurs clients sont configurés pour utiliser les serveurs DNS qui se trouvent sur leur site. Si le client à New York était mal configuré pour utiliser les serveurs DNS à Londres, cela entraînerait une baisse des performances DNS. Cela affecterait les applications de l'utilisateur, l'accès à Internet, etc. Je vous promets que les utilisateurs se plaindront de la lenteur de tout.

La meilleure façon de configurer automatiquement les bons serveurs DNS est d'utiliser DHCP. Vous devez avoir une configuration d'étendues DHCP différente pour chaque site qui inclut les serveurs DNS principal et secondaire de ce site.

Configurer le vieillissement et le nettoyage des enregistrements DNS

Le vieillissement et le nettoyage DNS permettent la suppression automatique des anciens enregistrements DNS inutilisés. Il s'agit d'un processus en deux parties:

Vieillissement: Les enregistrements DNS nouvellement créés reçoivent un horodatage.

Nettoyage: Supprime les enregistrements DNS qui ont un horodatage obsolète en fonction de l'heure configurée.

Pourquoi est-ce nécessaire?

Il y aura des moments où les ordinateurs enregistreront plusieurs entrées DNS avec des adresses IP différentes. Cela peut être dû au déplacement d'ordinateurs vers différents emplacements, à la réimagerie d'ordinateurs, à la suppression et à la réinstallation d'ordinateurs dans le domaine.

Avoir plusieurs entrées DNS entraînera des problèmes de résolution de noms qui entraîneront des problèmes de connectivité. Le vieillissement et le nettoyage DNS résoudront ce problème en supprimant automatiquement l'enregistrement DNS qui n'est pas utilisé.

Le vieillissement et le nettoyage s'appliquent uniquement aux enregistrements de ressources DNS qui sont ajoutés dynamiquement.

Ressources:

Comment configurer le vieillissement et le nettoyage DNS (nettoyage des enregistrements DNS périmés)

Configurer les enregistrements PTR pour les zones DNS

Les enregistrements PTR résolvent une adresse IP en un nom d'hôte. Sauf si vous exécutez votre propre serveur de messagerie, les enregistrements PTR peuvent ne pas être requis.

Mais… ils sont extrêmement utiles pour le dépannage et l'augmentation de la sécurité.

Certains systèmes, tels que les pare-feu, les routeurs et les commutateurs, enregistrent uniquement une adresse IP. Prenons par exemple les journaux du pare-feu Windows.

Dans cet exemple, le service d'assistance résolvait un problème d'imprimante et pensait que le 10.1.2.88 était une imprimante bloquée par le pare-feu. Parce que j'ai la configuration des enregistrements PTR, j'ai pu la rechercher rapidement à l'aide de la commande nslookup.

10.1.2.88 se résout en nodaway.ad.activedirectorypro.com, je sais que c'est un serveur et non une imprimante. Si je n'avais pas de configuration d'enregistrement PTR, j'aurais fouillé dans l'inventaire en essayant de trouver plus d'informations sur cette adresse IP.

Il n'y a vraiment aucune raison de ne pas configurer les enregistrements PTR, il est facile à configurer et ne génère aucune ressource supplémentaire sur le serveur. Voir mon guide complet sur la configuration des zones de recherche inversée et des enregistrements ptr.

Ressources supplémentaires:

NSLookup pour vérifier les enregistrements DNS

Conseils racine vs redirecteurs DNS (lequel est le meilleur)

Par défaut, les serveurs DNS Windows sont configurés pour utiliser des serveurs d'indication racine pour les recherches externes. Une autre option pour les recherches externes consiste à utiliser des redirecteurs.

Fondamentalement, les deux options sont des moyens de résoudre les noms d'hôtes que vos serveurs internes ne peuvent pas résoudre.

Alors, lequel est le meilleur?

Grâce à ma propre expérience et à mes recherches, cela dépend vraiment de mes préférences personnelles.

Voici quelques directives générales qui vous aideront à décider:

  • Utilisez des indices racine si votre principale préoccupation est la fiabilité (Windows par défaut)
  • Les redirecteurs peuvent fournir des recherches DNS plus rapides. Vous pouvez utiliser des outils d'analyse comparative pour tester les temps de réponse de recherche, lien inclus dans la section des ressources.
  • Les transitaires peuvent également apporter des améliorations de sécurité (plus d'informations ci-dessous)
  • Les redirecteurs doivent être configurés manuellement sur chaque DC

Pendant des années, j'ai utilisé le paramètre par défaut (indices racine), puis j'ai été présenté à Quad9 lors d'une conférence de sécurité. Quad9 est une plateforme DNS anycast gratuite et récursive qui offre aux utilisateurs finaux des protections de sécurité robustes, hautes performances et confidentialité. En résumé, Quad9 vérifie la recherche DNS par rapport à une liste de domaines défectueux, si le client fait une demande à un domaine de la liste, cette demande est supprimée.

J'utilise ce service depuis plus d'un an maintenant et je n'ai eu aucun problème. Étant donné que la sécurité a été une grande préoccupation pour moi, je préférais personnellement passer aux redirecteurs Quad9 à partir des indications de racine. Il fournit des recherches rapides et fiables avec le bonus supplémentaire de sécurité.

Quad9 ne fournit aucun rapport ni aucune analyse. Les demandes bloquées sont enregistrées dans les journaux de débogage DNS de Windows Server, alors assurez-vous de lire la section suivante sur la façon de l'activer. Les baisses seront enregistrées avec NXDomain afin que vous puissiez créer un rapport en le recherchant dans les journaux.

Ressources supplémentaires:

OpenDNS – est une autre entreprise qui offre ce service, il a un coût élevé, mais comprend des fonctionnalités supplémentaires et des rapports.

Comment fonctionne Quad9 – Cette page montre comment configurer Quad9 sur un ordinateur individuel, si vous avez vos propres serveurs DNS, NE FAITES PAS CELA. Vous voudrez utiliser votre serveur DNS et ajouter quad9 en tant que transitaire. Cette page fournit quelques détails supplémentaires et est la principale raison pour laquelle je l'ai incluse. Vous pouvez utiliser ces étapes pour votre ordinateur personnel ou vos appareils qui ont juste besoin d'un accès Internet.

Outil de référence DNS – Outil gratuit qui vous permet de tester les temps de réponse de tous les serveurs de noms. Cela peut vous aider à déterminer si vous souhaitez vous en tenir aux indices racine ou utiliser des redirecteurs.

Liste des serveurs racine

Activer la journalisation du débogage DNS

Les journaux de débogage DNS peuvent être utilisés pour rechercher les problèmes liés aux requêtes DNS, aux mises à jour et autres erreurs DNS. Il peut également être utilisé pour suivre l'activité du client.

Avec des outils de journalisation tels que Splunk, vous pouvez créer des rapports sur les principaux domaines, les meilleurs clients et trouver le trafic réseau malveillant potentiel.

Microsoft dispose d'un outil d'analyseur de journal qui génère la sortie ci-dessous:

Vous devriez pouvoir extraire le journal de débogage dans n'importe quel outil de journalisation ou script pour créer vos propres rapports.

Comment activer les journaux de débogage DNS

Étape 1: Sur la console DNS, cliquez avec le bouton droit sur votre serveur DNS et sélectionnez les propriétés

Étape 2: Cliquez sur l'onglet Journalisation du débogage

Modifiez le chemin par défaut et la taille maximale, si nécessaire.

Ressources supplémentaires:

Analyse du journal du serveur DNS pour suivre les clients actifs

Utiliser l'enregistrement CNAME pour l'alias (au lieu d'un enregistrement)

  • Un enregistrement mappe un nom à une adresse IP.
  • L'enregistrement CNAME mappe un nom à un autre nom.

Si vous utilisez des enregistrements A pour créer des alias, vous vous retrouverez avec plusieurs enregistrements, avec le temps, cela deviendra un gros gâchis. Si vous avez des enregistrements PTR configurés, cela créera également des enregistrements supplémentaires dans cette zone, ce qui ajoutera au désordre et créera des problèmes plus importants.

Si vous devez créer un alias, il vaut mieux utiliser les enregistrements CNAME, cela sera plus facile à gérer et empêchera la création de plusieurs enregistrements DNS.

Comment créer un enregistrement CNAME d'alias

J'ai une configuration d'enregistrement A pour mon serveur de fichiers appelée file1 qui se résout à IP 192.168.0.201

Notre équipe de développement souhaite renommer le serveur en Paris pour le rendre plus convivial. Au lieu de renommer le serveur, je vais simplement créer un enregistrement CNAME.

Faites un clic droit dans la zone et cliquez sur Nouvel alias (CNAME)

Pour le nom d'Alias, je vais entrer à Paris

Le nom d'alias se résout en fichier1, donc j'ajoute cela à la boîte hôte cible:

Cliquez sur OK et vous avez terminé!

Maintenant, je peux accéder à Paris par nom d'hôte qui se résout en fichier1

Facile non?

Cela maintient DNS propre et aide à prévenir les problèmes de recherche DNS.

Utiliser l'analyseur des meilleures pratiques DNS

L'analyseur de bonnes pratiques Microsoft est un outil qui analyse les rôles de serveur pour vérifier votre configuration par rapport aux directives Microsoft. C'est un moyen rapide de dépanner et de repérer les problèmes potentiels de configuration.

Le BPA peut être exécuté à l'aide de l'interface graphique ou de PowerShell, les instructions pour les deux sont ci-dessous.

Comment exécuter DNS BPA à l'aide de l'interface graphique

Ouvrez le Gestionnaire de serveur, puis cliquez sur DNS

Faites maintenant défiler la page jusqu'à la section Best Practices Analyzer, cliquez sur les tâches, puis sélectionnez «Démarrer l'analyse BPA»

Une fois l'analyse terminée, les résultats seront affichés.

Comment exécuter DNS BPA à l'aide de PowerShell

Vous aurez d'abord besoin de l'ID du rôle. Exécutez cette commande pour obtenir l'ID

Get-BPaModel

Je peux l'ID pour DNS est Microsoft / Windows / DNSServer. Je prends cet ID et utilise cette commande pour exécuter le BPA pour DNS.

Invoke-BPAModel "Microsoft / Windows / DNSSerer"

Vous pouvez obtenir des erreurs, c'est normal

La commande ci-dessus exécute uniquement l'analyseur, elle n'affiche pas automatiquement les résultats.

Pour afficher les résultats, exécutez cette commande:

Get-BpaResult Microsoft / Windows / DNSServer

Bonus: Conseils de sécurité DNS

Je pense que nous pouvons tous convenir que le DNS est un service important. Comment quelque chose fonctionnerait-il sans? Voyons maintenant quelques façons de sécuriser ce service, certaines de ces fonctionnalités sont activées par défaut sur les serveurs Windows.

  • Filtrer les demandes DNS (bloquer les mauvais domaines)
  • Redirection DNS sécurisée
  • Verrouillage du cache DNS
  • Pool de sockets DNS
  • Demandes DNS DNSSecFilter (Bloquer les domaines incorrects)

Filtrer les demandes DNS (bloquer les mauvais domaines)

L'un des meilleurs moyens de prévenir les virus, les logiciels espions et tout autre trafic malveillant est de bloquer le trafic avant même qu'il n'atteigne votre réseau.

Cela peut être fait en filtrant le trafic DNS via un dispositif de sécurité qui vérifie le nom de domaine par rapport à une liste de domaines défectueux. Si le domaine est sur la liste, le trafic sera interrompu, empêchant toute communication ultérieure entre le mauvais domaine et le client. Il s'agit d'une caractéristique courante des pare-feu de nouvelle génération, des systèmes IPS (système de prévention des intrusions) et d'autres dispositifs de sécurité.

J'utilise un pare-feu Cisco FirePower qui fournit ce service. Cisco fournit un flux (liste des domaines défectueux) qui est automatiquement mis à jour régulièrement. De plus, je peux ajouter des flux supplémentaires ou ajouter manuellement des domaines incorrects à la liste. J'ai vu une énorme diminution des virus et des menaces de type rançongiciel depuis que je filtre les demandes DNS. J'ai été étonné de voir combien de mauvais trafic cela détecte et bloque, étonnamment très peu de faux positifs!

Ressources supplémentaires:

Site officiel de Cisco Next Generation Firewall
https://www.cisco.com/c/en/us/products/security/firewalls/index.html

Paloalto – Un autre pare-feu / système IPS populaire
https://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall

Redirection DNS sécurisée

Les redirecteurs DNS sécurisés sont un autre moyen de filtrer et de bloquer les requêtes DNS.

En plus de bloquer les domaines malveillants, certains services de transfert proposent un filtrage de contenu Web. Cela vous permet de bloquer les demandes en fonction d'une catégorie comme le contenu pour adultes, les jeux, les médicaments, etc. Un gros avantage que cela présente par rapport à une appliance sur site comme un pare-feu est qu'il peut fournir une protection aux périphériques lorsqu'ils sont hors du réseau. Il peut nécessiter l'installation d'un client sur l'appareil, mais il dirigerait tout le trafic DNS via le redirecteur DNS sécurisé si l'appareil était sur le réseau interne ou externe.

Liste des filtres de redirection DNS:

Quad9

OpenDNS

DNSFilter

Verrouillage du cache DNS

Le verrouillage du cache DNS vous permet de contrôler le moment où le cache DNS peut être écrasé.

Lorsqu'un serveur DNS effectue une recherche pour un client, il stocke cette recherche dans le cache pendant un certain temps. Cela permet au serveur DNS de répondre plus rapidement aux mêmes recherches ultérieurement. Si j'allais sur espn.com, le serveur DNS mettrait en cache cette recherche, donc si quelqu'un y allait plus tard, il serait déjà mis en cache permettant une recherche plus rapide.

Un type d'attaque consiste à équilibrer la recherche de cache avec de faux enregistrements. Par exemple, nous avons espn.com dans le cache, un attaquant pourrait modifier cet enregistrement pour rediriger vers un site malveillant. La prochaine fois que quelqu'un irait sur espn.com, il les enverrait sur le site malveillant.

Le verrouillage du cache DNS empêche la modification des enregistrements dans le cache. Windows Server 2016 a cette fonctionnalité activée par défaut.

Ressources supplémentaires

How to Deploy and configure DNS 2016 – (Part6)

Pool de sockets DNS

Le pool de sockets DNS permet au serveur DNS d'utiliser la randomisation du port source pour les recherches DNS. En utilisant des ports randomisés, le serveur DNS choisira au hasard un port source à partir d'un pool de sockets disponibles. Au lieu d'utiliser le même port encore et encore, il choisira un port aléatoire dans le pool, ce qui rend difficile pour l'attaquant de deviner le port source d'une requête DNS.

Ceci est également activé par défaut sur Windows Server 2016

Ressources supplémentaires

Microsoft configurer le pool de sockets

DNSSEC

DNSSEC ajoute une couche de sécurité qui permet au client de valider la réponse DNS. Ce processus de validation permet d'éviter l'usurpation DNS et l'empoisonnement du cache.

DNSSec fonctionne en utilisant des signatures numériques pour valider que les réponses sont authentiques. Lorsqu'un client effectue une requête DNS, le serveur DNS attache une signature numérique à la réponse, ce qui permet au client de valider la réponse et de prouver qu'elle n'a pas été falsifiée.

Ressources supplémentaires:

Présentation de DNSSec

Mise en œuvre étape par étape

Vous pourriez aussi aimer…

Outil recommandé: SolarWinds Server & Application Monitor (SAM)

Cet utilitaire a été conçu pour surveiller Active Directory et d'autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.

Ce que j'aime le plus dans SAM, c'est qu'il est facile d'utiliser le tableau de bord et les fonctionnalités d'alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.

Téléchargez votre essai gratuit de SolarWinds Server & Application Monitor.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.