Il s'agit de la liste la plus complète des meilleures pratiques et astuces DNS sur la planète.\nDans ce guide, je partagerai mes meilleures pratiques en matière de sécurité DNS, de conception, de performances et bien plus encore.\nTable des matières:\nMeilleures pratiques DNS\nAvertissement: Je ne recommande pas d'apporter des modifications à des services essentiels comme DNS sans tester et obtenir l'approbation de votre organisation. Vous devez suivre un processus de gestion des modifications pour ces types de modifications.\nAvoir au moins deux serveurs DNS internes\nDans les environnements petits à grands, vous devez disposer d'au moins deux serveurs DNS pour la redondance. DNS et Active Directory sont des services essentiels, s'ils échouent, vous aurez des problèmes majeurs. Le fait d'avoir deux serveurs garantira que DNS fonctionnera toujours si l'autre échoue.\nDans un domaine Active Directory, tout repose sur DNS pour fonctionner correctement. Même la navigation sur Internet et l'accès aux applications cloud dépendent du DNS.\nJ'ai rencontré une défaillance complète du contrôleur de domaine / DNS et je ne plaisante pas quand je dis que presque tout a cessé de fonctionner.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Dans le diagramme ci-dessus, mon site a deux contrôleurs de domaine et serveurs DNS. Les clients sont configurés pour utiliser DHCP, le serveur DHCP configurera automatiquement le client avec un serveur DNS principal et secondaire. Si DC1 / DNS tombe en panne, le client utilisera automatiquement son DNS secondaire pour résoudre les noms d'hôte. Si DC1 tombait en panne et qu'il n'y avait pas de DNS secondaire interne, le client ne pourrait pas accéder à des ressources telles que la messagerie électronique, les applications, Internet, etc.\nConclusion: assurez-vous que la redondance est en place en ayant plusieurs serveurs DNS / Active Directory.\nUtiliser les zones intégrées Active Directory\nPour faciliter le déploiement de plusieurs serveurs DNS, vous devez utiliser les zones intégrées Active Directory. Vous ne pouvez utiliser les zones intégrées AD que si vous avez configuré DNS sur vos contrôleurs de domaine.\nLes zones intégrées AD présentent les avantages suivants:","html":"Dans le diagramme ci-dessus, mon site a deux contrôleurs de domaine et serveurs DNS. Les clients sont configurés pour utiliser DHCP, le serveur DHCP configurera automatiquement le client avec un serveur DNS principal et secondaire. Si DC1 / DNS tombe en panne, le client utilisera automatiquement son DNS secondaire pour résoudre les noms d'hôte. Si DC1 tombait en panne et qu'il n'y avait pas de DNS secondaire interne, le client ne pourrait pas accéder à des ressources telles que la messagerie électronique, les applications, Internet, etc.\nConclusion: assurez-vous que la redondance est en place en ayant plusieurs serveurs DNS / Active Directory.\nUtiliser les zones intégrées Active Directory\nPour faciliter le déploiement de plusieurs serveurs DNS, vous devez utiliser les zones intégrées Active Directory. Vous ne pouvez utiliser les zones intégrées AD que si vous avez configuré DNS sur vos contrôleurs de domaine.\nLes zones intégrées AD présentent les avantages suivants:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Réplication: Les zones intégrées AD stockent les données dans la base de données AD en tant qu'objets conteneurs. Cela permet aux informations de zone d'être automatiquement répliquées sur d'autres contrôleurs de domaine. Les informations de zone sont compressées, ce qui permet de répliquer les données rapidement et en toute sécurité sur d'autres serveurs.\nRedondance: Étant donné que les informations de zone sont automatiquement répliquées, cela évite un seul point de défaillance pour DNS. Si un serveur DNS tombe en panne, l'autre serveur dispose d'une copie complète des informations DNS et peut résoudre les noms des clients.\nSimplicité: Les zones AD intégrées sont mises à jour automatiquement sans avoir à configurer de transfert de zone. Cela simplifie la configuration tout en garantissant la redondance est en place.\nSécurité: Si vous activez les mises à jour dynamiques sécurisées, seuls les clients autorisés peuvent mettre à jour leurs enregistrements dans les zones DNS. En un mot, cela signifie que seuls les membres du domaine DNS peuvent s'enregistrer auprès du serveur DNS. Le serveur DNS refuse les demandes des ordinateurs qui ne font pas partie du domaine.","html":"Réplication: Les zones intégrées AD stockent les données dans la base de données AD en tant qu'objets conteneurs. Cela permet aux informations de zone d'être automatiquement répliquées sur d'autres contrôleurs de domaine. Les informations de zone sont compressées, ce qui permet de répliquer les données rapidement et en toute sécurité sur d'autres serveurs.\nRedondance: Étant donné que les informations de zone sont automatiquement répliquées, cela évite un seul point de défaillance pour DNS. Si un serveur DNS tombe en panne, l'autre serveur dispose d'une copie complète des informations DNS et peut résoudre les noms des clients.\nSimplicité: Les zones AD intégrées sont mises à jour automatiquement sans avoir à configurer de transfert de zone. Cela simplifie la configuration tout en garantissant la redondance est en place.\nSécurité: Si vous activez les mises à jour dynamiques sécurisées, seuls les clients autorisés peuvent mettre à jour leurs enregistrements dans les zones DNS. En un mot, cela signifie que seuls les membres du domaine DNS peuvent s'enregistrer auprès du serveur DNS. Le serveur DNS refuse les demandes des ordinateurs qui ne font pas partie du domaine.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Meilleur ordre DNS sur les contrôleurs de domaine\nJ'ai vu beaucoup de discussions sur ce sujet. Quelle est la meilleure pratique pour l'ordre DNS sur les contrôleurs de domaine?\nSi vous effectuez une recherche par vous-même, vous trouverez différentes réponses MAIS la majorité recommande la configuration ci-dessous.\nC’est également la recommandation de Microsoft.","html":"Meilleur ordre DNS sur les contrôleurs de domaine\nJ'ai vu beaucoup de discussions sur ce sujet. Quelle est la meilleure pratique pour l'ordre DNS sur les contrôleurs de domaine?\nSi vous effectuez une recherche par vous-même, vous trouverez différentes réponses MAIS la majorité recommande la configuration ci-dessous.\nC’est également la recommandation de Microsoft.
"},{"id":"text-5","type":"text","heading":"","plain_text":"DNS principal: défini sur un autre contrôleur de domaine du site\nDNS secondaire: défini sur lui-même à l'aide de l'adresse de bouclage","html":"DNS principal: défini sur un autre contrôleur de domaine du site\nDNS secondaire: défini sur lui-même à l'aide de l'adresse de bouclage
"},{"id":"text-6","type":"text","heading":"","plain_text":"Regardons un exemple concret.","html":"Regardons un exemple concret.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Dans le schéma ci-dessus, j'ai deux contrôleurs de domaine / DNS sur le site de New York. J'ai le DNS primaire DC1 défini sur son partenaire de réplication DC2. Ensuite, le DNS secondaire est défini sur lui-même à l'aide de l'adresse de bouclage. Ensuite, le DNS principal DC2 est défini sur DC1 et il est défini sur lui-même à l'aide de l'adresse de bouclage.\nMicrosoft affirme que cette configuration améliore les performances et augmente la disponibilité des serveurs DNS. Si vous pointez d'abord le DNS principal sur lui-même, cela peut entraîner des retards.\nSource: https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx\nLes ordinateurs joints au domaine ne doivent utiliser que des serveurs DNS internes\nVos ordinateurs joints à un domaine doivent avoir à la fois le DNS principal et le DNS secondaire définis sur un serveur DNS interne. Les serveurs DNS externes ne peuvent pas résoudre les noms d'hôte internes, ce qui peut entraîner des problèmes de connectivité et empêcher l'ordinateur d'accéder aux ressources internes.\nVoyons un exemple de la raison de cette mauvaise configuration.","html":"Dans le schéma ci-dessus, j'ai deux contrôleurs de domaine / DNS sur le site de New York. J'ai le DNS primaire DC1 défini sur son partenaire de réplication DC2. Ensuite, le DNS secondaire est défini sur lui-même à l'aide de l'adresse de bouclage. Ensuite, le DNS principal DC2 est défini sur DC1 et il est défini sur lui-même à l'aide de l'adresse de bouclage.\nMicrosoft affirme que cette configuration améliore les performances et augmente la disponibilité des serveurs DNS. Si vous pointez d'abord le DNS principal sur lui-même, cela peut entraîner des retards.\nSource: https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx\nLes ordinateurs joints au domaine ne doivent utiliser que des serveurs DNS internes\nVos ordinateurs joints à un domaine doivent avoir à la fois le DNS principal et le DNS secondaire définis sur un serveur DNS interne. Les serveurs DNS externes ne peuvent pas résoudre les noms d'hôte internes, ce qui peut entraîner des problèmes de connectivité et empêcher l'ordinateur d'accéder aux ressources internes.\nVoyons un exemple de la raison de cette mauvaise configuration.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Le client fait une demande à un serveur interne appelé VEGAS.\nLe client décide de contacter son serveur DNS secondaire qui est le 8.8.8.8. Il demande au serveur quelle est l'adresse IP du VEGAS hôte.\nLe DNS externe ne sait rien de cet hôte, par conséquent, il ne peut pas fournir l'adresse IP.\nIl en résulte que le client ne peut pas accéder au serveur de fichiers VEGAS.","html":"Le client fait une demande à un serveur interne appelé VEGAS.\nLe client décide de contacter son serveur DNS secondaire qui est le 8.8.8.8. Il demande au serveur quelle est l'adresse IP du VEGAS hôte.\nLe DNS externe ne sait rien de cet hôte, par conséquent, il ne peut pas fournir l'adresse IP.\nIl en résulte que le client ne peut pas accéder au serveur de fichiers VEGAS.
"},{"id":"text-9","type":"text","heading":"","plain_text":"En règle générale, si le serveur DNS principal est disponible, il sera utilisé en premier, mais il peut ne pas répondre, ce qui peut entraîner l'utilisation du DNS secondaire. Il peut falloir redémarrer l'ordinateur pour qu'il revienne au DNS principal, ce qui peut entraîner la frustration des utilisateurs et des appels au service d'assistance.\nLa solution recommandée est d'avoir deux serveurs DNS internes et de toujours pointer les clients vers eux plutôt qu'un serveur externe.\nPointez les clients vers le serveur DNS le plus proche\nCela réduira le trafic sur les liaisons WAN et fournira des requêtes DNS plus rapides aux clients.","html":"En règle générale, si le serveur DNS principal est disponible, il sera utilisé en premier, mais il peut ne pas répondre, ce qui peut entraîner l'utilisation du DNS secondaire. Il peut falloir redémarrer l'ordinateur pour qu'il revienne au DNS principal, ce qui peut entraîner la frustration des utilisateurs et des appels au service d'assistance.\nLa solution recommandée est d'avoir deux serveurs DNS internes et de toujours pointer les clients vers eux plutôt qu'un serveur externe.\nPointez les clients vers le serveur DNS le plus proche\nCela réduira le trafic sur les liaisons WAN et fournira des requêtes DNS plus rapides aux clients.
"},{"id":"text-10","type":"text","heading":"","plain_text":"Dans le diagramme ci-dessus, les ordinateurs clients sont configurés pour utiliser les serveurs DNS qui se trouvent sur leur site. Si le client à New York était mal configuré pour utiliser les serveurs DNS à Londres, cela entraînerait une baisse des performances DNS. Cela affecterait les applications de l'utilisateur, l'accès à Internet, etc. Je vous promets que les utilisateurs se plaindront de la lenteur de tout.\nLa meilleure façon de configurer automatiquement les bons serveurs DNS est d'utiliser DHCP. Vous devez avoir une configuration d'étendues DHCP différente pour chaque site qui inclut les serveurs DNS principal et secondaire de ce site.\nConfigurer le vieillissement et le nettoyage des enregistrements DNS\nLe vieillissement et le nettoyage DNS permettent la suppression automatique des anciens enregistrements DNS inutilisés. Il s'agit d'un processus en deux parties:\nVieillissement: Les enregistrements DNS nouvellement créés reçoivent un horodatage.\nNettoyage: Supprime les enregistrements DNS qui ont un horodatage obsolète en fonction de l'heure configurée.\nPourquoi est-ce nécessaire?\nIl y aura des moments où les ordinateurs enregistreront plusieurs entrées DNS avec des adresses IP différentes. Cela peut être dû au déplacement d'ordinateurs vers différents emplacements, à la réimagerie d'ordinateurs, à la suppression et à la réinstallation d'ordinateurs dans le domaine.\nAvoir plusieurs entrées DNS entraînera des problèmes de résolution de noms qui entraîneront des problèmes de connectivité. Le vieillissement et le nettoyage DNS résoudront ce problème en supprimant automatiquement l'enregistrement DNS qui n'est pas utilisé.\nLe vieillissement et le nettoyage s'appliquent uniquement aux enregistrements de ressources DNS qui sont ajoutés dynamiquement.\nRessources:\nComment configurer le vieillissement et le nettoyage DNS (nettoyage des enregistrements DNS périmés)\nConfigurer les enregistrements PTR pour les zones DNS\nLes enregistrements PTR résolvent une adresse IP en un nom d'hôte. Sauf si vous exécutez votre propre serveur de messagerie, les enregistrements PTR peuvent ne pas être requis.\nMais… ils sont extrêmement utiles pour le dépannage et l'augmentation de la sécurité.\nCertains systèmes, tels que les pare-feu, les routeurs et les commutateurs, enregistrent uniquement une adresse IP. Prenons par exemple les journaux du pare-feu Windows.","html":"Dans le diagramme ci-dessus, les ordinateurs clients sont configurés pour utiliser les serveurs DNS qui se trouvent sur leur site. Si le client à New York était mal configuré pour utiliser les serveurs DNS à Londres, cela entraînerait une baisse des performances DNS. Cela affecterait les applications de l'utilisateur, l'accès à Internet, etc. Je vous promets que les utilisateurs se plaindront de la lenteur de tout.\nLa meilleure façon de configurer automatiquement les bons serveurs DNS est d'utiliser DHCP. Vous devez avoir une configuration d'étendues DHCP différente pour chaque site qui inclut les serveurs DNS principal et secondaire de ce site.\nConfigurer le vieillissement et le nettoyage des enregistrements DNS\nLe vieillissement et le nettoyage DNS permettent la suppression automatique des anciens enregistrements DNS inutilisés. Il s'agit d'un processus en deux parties:\nVieillissement: Les enregistrements DNS nouvellement créés reçoivent un horodatage.\nNettoyage: Supprime les enregistrements DNS qui ont un horodatage obsolète en fonction de l'heure configurée.\nPourquoi est-ce nécessaire?\nIl y aura des moments où les ordinateurs enregistreront plusieurs entrées DNS avec des adresses IP différentes. Cela peut être dû au déplacement d'ordinateurs vers différents emplacements, à la réimagerie d'ordinateurs, à la suppression et à la réinstallation d'ordinateurs dans le domaine.\nAvoir plusieurs entrées DNS entraînera des problèmes de résolution de noms qui entraîneront des problèmes de connectivité. Le vieillissement et le nettoyage DNS résoudront ce problème en supprimant automatiquement l'enregistrement DNS qui n'est pas utilisé.\nLe vieillissement et le nettoyage s'appliquent uniquement aux enregistrements de ressources DNS qui sont ajoutés dynamiquement.\nRessources:\nComment configurer le vieillissement et le nettoyage DNS (nettoyage des enregistrements DNS périmés)\nConfigurer les enregistrements PTR pour les zones DNS\nLes enregistrements PTR résolvent une adresse IP en un nom d'hôte. Sauf si vous exécutez votre propre serveur de messagerie, les enregistrements PTR peuvent ne pas être requis.\nMais… ils sont extrêmement utiles pour le dépannage et l'augmentation de la sécurité.\nCertains systèmes, tels que les pare-feu, les routeurs et les commutateurs, enregistrent uniquement une adresse IP. Prenons par exemple les journaux du pare-feu Windows.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Dans cet exemple, le service d'assistance résolvait un problème d'imprimante et pensait que le 10.1.2.88 était une imprimante bloquée par le pare-feu. Parce que j'ai la configuration des enregistrements PTR, j'ai pu la rechercher rapidement à l'aide de la commande nslookup.","html":"Dans cet exemple, le service d'assistance résolvait un problème d'imprimante et pensait que le 10.1.2.88 était une imprimante bloquée par le pare-feu. Parce que j'ai la configuration des enregistrements PTR, j'ai pu la rechercher rapidement à l'aide de la commande nslookup.
"},{"id":"text-12","type":"text","heading":"","plain_text":"10.1.2.88 se résout en nodaway.ad.activedirectorypro.com, je sais que c'est un serveur et non une imprimante. Si je n'avais pas de configuration d'enregistrement PTR, j'aurais fouillé dans l'inventaire en essayant de trouver plus d'informations sur cette adresse IP.\nIl n'y a vraiment aucune raison de ne pas configurer les enregistrements PTR, il est facile à configurer et ne génère aucune ressource supplémentaire sur le serveur. Voir mon guide complet sur la configuration des zones de recherche inversée et des enregistrements ptr.\nRessources supplémentaires:\nNSLookup pour vérifier les enregistrements DNS\nConseils racine vs redirecteurs DNS (lequel est le meilleur)\nPar défaut, les serveurs DNS Windows sont configurés pour utiliser des serveurs d'indication racine pour les recherches externes. Une autre option pour les recherches externes consiste à utiliser des redirecteurs.\nFondamentalement, les deux options sont des moyens de résoudre les noms d'hôtes que vos serveurs internes ne peuvent pas résoudre.\nAlors, lequel est le meilleur?\nGrâce à ma propre expérience et à mes recherches, cela dépend vraiment de mes préférences personnelles.\nVoici quelques directives générales qui vous aideront à décider:","html":"10.1.2.88 se résout en nodaway.ad.activedirectorypro.com, je sais que c'est un serveur et non une imprimante. Si je n'avais pas de configuration d'enregistrement PTR, j'aurais fouillé dans l'inventaire en essayant de trouver plus d'informations sur cette adresse IP.\nIl n'y a vraiment aucune raison de ne pas configurer les enregistrements PTR, il est facile à configurer et ne génère aucune ressource supplémentaire sur le serveur. Voir mon guide complet sur la configuration des zones de recherche inversée et des enregistrements ptr.\nRessources supplémentaires:\nNSLookup pour vérifier les enregistrements DNS\nConseils racine vs redirecteurs DNS (lequel est le meilleur)\nPar défaut, les serveurs DNS Windows sont configurés pour utiliser des serveurs d'indication racine pour les recherches externes. Une autre option pour les recherches externes consiste à utiliser des redirecteurs.\nFondamentalement, les deux options sont des moyens de résoudre les noms d'hôtes que vos serveurs internes ne peuvent pas résoudre.\nAlors, lequel est le meilleur?\nGrâce à ma propre expérience et à mes recherches, cela dépend vraiment de mes préférences personnelles.\nVoici quelques directives générales qui vous aideront à décider:
"},{"id":"text-13","type":"text","heading":"","plain_text":"Utilisez des indices racine si votre principale préoccupation est la fiabilité (Windows par défaut)\nLes redirecteurs peuvent fournir des recherches DNS plus rapides. Vous pouvez utiliser des outils d'analyse comparative pour tester les temps de réponse de recherche, lien inclus dans la section des ressources.\nLes transitaires peuvent également apporter des améliorations de sécurité (plus d'informations ci-dessous)\nLes redirecteurs doivent être configurés manuellement sur chaque DC","html":"Utilisez des indices racine si votre principale préoccupation est la fiabilité (Windows par défaut)\nLes redirecteurs peuvent fournir des recherches DNS plus rapides. Vous pouvez utiliser des outils d'analyse comparative pour tester les temps de réponse de recherche, lien inclus dans la section des ressources.\nLes transitaires peuvent également apporter des améliorations de sécurité (plus d'informations ci-dessous)\nLes redirecteurs doivent être configurés manuellement sur chaque DC
"},{"id":"text-14","type":"text","heading":"","plain_text":"Pendant des années, j'ai utilisé le paramètre par défaut (indices racine), puis j'ai été présenté à Quad9 lors d'une conférence de sécurité. Quad9 est une plateforme DNS anycast gratuite et récursive qui offre aux utilisateurs finaux des protections de sécurité robustes, hautes performances et confidentialité. En résumé, Quad9 vérifie la recherche DNS par rapport à une liste de domaines défectueux, si le client fait une demande à un domaine de la liste, cette demande est supprimée.\nJ'utilise ce service depuis plus d'un an maintenant et je n'ai eu aucun problème. Étant donné que la sécurité a été une grande préoccupation pour moi, je préférais personnellement passer aux redirecteurs Quad9 à partir des indications de racine. Il fournit des recherches rapides et fiables avec le bonus supplémentaire de sécurité.","html":"Pendant des années, j'ai utilisé le paramètre par défaut (indices racine), puis j'ai été présenté à Quad9 lors d'une conférence de sécurité. Quad9 est une plateforme DNS anycast gratuite et récursive qui offre aux utilisateurs finaux des protections de sécurité robustes, hautes performances et confidentialité. En résumé, Quad9 vérifie la recherche DNS par rapport à une liste de domaines défectueux, si le client fait une demande à un domaine de la liste, cette demande est supprimée.\nJ'utilise ce service depuis plus d'un an maintenant et je n'ai eu aucun problème. Étant donné que la sécurité a été une grande préoccupation pour moi, je préférais personnellement passer aux redirecteurs Quad9 à partir des indications de racine. Il fournit des recherches rapides et fiables avec le bonus supplémentaire de sécurité.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Quad9 ne fournit aucun rapport ni aucune analyse. Les demandes bloquées sont enregistrées dans les journaux de débogage DNS de Windows Server, alors assurez-vous de lire la section suivante sur la façon de l'activer. Les baisses seront enregistrées avec NXDomain afin que vous puissiez créer un rapport en le recherchant dans les journaux.\nRessources supplémentaires:\nOpenDNS – est une autre entreprise qui offre ce service, il a un coût élevé, mais comprend des fonctionnalités supplémentaires et des rapports.\nComment fonctionne Quad9 – Cette page montre comment configurer Quad9 sur un ordinateur individuel, si vous avez vos propres serveurs DNS, NE FAITES PAS CELA. Vous voudrez utiliser votre serveur DNS et ajouter quad9 en tant que transitaire. Cette page fournit quelques détails supplémentaires et est la principale raison pour laquelle je l'ai incluse. Vous pouvez utiliser ces étapes pour votre ordinateur personnel ou vos appareils qui ont juste besoin d'un accès Internet.\nOutil de référence DNS – Outil gratuit qui vous permet de tester les temps de réponse de tous les serveurs de noms. Cela peut vous aider à déterminer si vous souhaitez vous en tenir aux indices racine ou utiliser des redirecteurs.\nListe des serveurs racine \nActiver la journalisation du débogage DNS\nLes journaux de débogage DNS peuvent être utilisés pour rechercher les problèmes liés aux requêtes DNS, aux mises à jour et autres erreurs DNS. Il peut également être utilisé pour suivre l'activité du client.\nAvec des outils de journalisation tels que Splunk, vous pouvez créer des rapports sur les principaux domaines, les meilleurs clients et trouver le trafic réseau malveillant potentiel.\nMicrosoft dispose d'un outil d'analyseur de journal qui génère la sortie ci-dessous:","html":"Quad9 ne fournit aucun rapport ni aucune analyse. Les demandes bloquées sont enregistrées dans les journaux de débogage DNS de Windows Server, alors assurez-vous de lire la section suivante sur la façon de l'activer. Les baisses seront enregistrées avec NXDomain afin que vous puissiez créer un rapport en le recherchant dans les journaux.\nRessources supplémentaires:\nOpenDNS – est une autre entreprise qui offre ce service, il a un coût élevé, mais comprend des fonctionnalités supplémentaires et des rapports.\nComment fonctionne Quad9 – Cette page montre comment configurer Quad9 sur un ordinateur individuel, si vous avez vos propres serveurs DNS, NE FAITES PAS CELA. Vous voudrez utiliser votre serveur DNS et ajouter quad9 en tant que transitaire. Cette page fournit quelques détails supplémentaires et est la principale raison pour laquelle je l'ai incluse. Vous pouvez utiliser ces étapes pour votre ordinateur personnel ou vos appareils qui ont juste besoin d'un accès Internet.\nOutil de référence DNS – Outil gratuit qui vous permet de tester les temps de réponse de tous les serveurs de noms. Cela peut vous aider à déterminer si vous souhaitez vous en tenir aux indices racine ou utiliser des redirecteurs.\nListe des serveurs racine \nActiver la journalisation du débogage DNS\nLes journaux de débogage DNS peuvent être utilisés pour rechercher les problèmes liés aux requêtes DNS, aux mises à jour et autres erreurs DNS. Il peut également être utilisé pour suivre l'activité du client.\nAvec des outils de journalisation tels que Splunk, vous pouvez créer des rapports sur les principaux domaines, les meilleurs clients et trouver le trafic réseau malveillant potentiel.\nMicrosoft dispose d'un outil d'analyseur de journal qui génère la sortie ci-dessous:
"},{"id":"text-16","type":"text","heading":"","plain_text":"Vous devriez pouvoir extraire le journal de débogage dans n'importe quel outil de journalisation ou script pour créer vos propres rapports.\nComment activer les journaux de débogage DNS\nÉtape 1: Sur la console DNS, cliquez avec le bouton droit sur votre serveur DNS et sélectionnez les propriétés","html":"Vous devriez pouvoir extraire le journal de débogage dans n'importe quel outil de journalisation ou script pour créer vos propres rapports.\nComment activer les journaux de débogage DNS\nÉtape 1: Sur la console DNS, cliquez avec le bouton droit sur votre serveur DNS et sélectionnez les propriétés
"},{"id":"text-17","type":"text","heading":"","plain_text":"Étape 2: Cliquez sur l'onglet Journalisation du débogage","html":"Étape 2: Cliquez sur l'onglet Journalisation du débogage
"},{"id":"text-18","type":"text","heading":"","plain_text":"Modifiez le chemin par défaut et la taille maximale, si nécessaire.\nRessources supplémentaires:\nAnalyse du journal du serveur DNS pour suivre les clients actifs \nUtiliser l'enregistrement CNAME pour l'alias (au lieu d'un enregistrement)","html":"Modifiez le chemin par défaut et la taille maximale, si nécessaire.\nRessources supplémentaires:\nAnalyse du journal du serveur DNS pour suivre les clients actifs \nUtiliser l'enregistrement CNAME pour l'alias (au lieu d'un enregistrement)
"},{"id":"text-19","type":"text","heading":"","plain_text":"Un enregistrement mappe un nom à une adresse IP.\nL'enregistrement CNAME mappe un nom à un autre nom.","html":"Un enregistrement mappe un nom à une adresse IP.\nL'enregistrement CNAME mappe un nom à un autre nom.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Si vous utilisez des enregistrements A pour créer des alias, vous vous retrouverez avec plusieurs enregistrements, avec le temps, cela deviendra un gros gâchis. Si vous avez des enregistrements PTR configurés, cela créera également des enregistrements supplémentaires dans cette zone, ce qui ajoutera au désordre et créera des problèmes plus importants.\nSi vous devez créer un alias, il vaut mieux utiliser les enregistrements CNAME, cela sera plus facile à gérer et empêchera la création de plusieurs enregistrements DNS.\nComment créer un enregistrement CNAME d'alias\nJ'ai une configuration d'enregistrement A pour mon serveur de fichiers appelée file1 qui se résout à IP 192.168.0.201","html":"Si vous utilisez des enregistrements A pour créer des alias, vous vous retrouverez avec plusieurs enregistrements, avec le temps, cela deviendra un gros gâchis. Si vous avez des enregistrements PTR configurés, cela créera également des enregistrements supplémentaires dans cette zone, ce qui ajoutera au désordre et créera des problèmes plus importants.\nSi vous devez créer un alias, il vaut mieux utiliser les enregistrements CNAME, cela sera plus facile à gérer et empêchera la création de plusieurs enregistrements DNS.\nComment créer un enregistrement CNAME d'alias\nJ'ai une configuration d'enregistrement A pour mon serveur de fichiers appelée file1 qui se résout à IP 192.168.0.201
"},{"id":"text-21","type":"text","heading":"","plain_text":"Notre équipe de développement souhaite renommer le serveur en Paris pour le rendre plus convivial. Au lieu de renommer le serveur, je vais simplement créer un enregistrement CNAME.\nFaites un clic droit dans la zone et cliquez sur Nouvel alias (CNAME)","html":"Notre équipe de développement souhaite renommer le serveur en Paris pour le rendre plus convivial. Au lieu de renommer le serveur, je vais simplement créer un enregistrement CNAME.\nFaites un clic droit dans la zone et cliquez sur Nouvel alias (CNAME)
"},{"id":"text-22","type":"text","heading":"","plain_text":"Pour le nom d'Alias, je vais entrer à Paris\nLe nom d'alias se résout en fichier1, donc j'ajoute cela à la boîte hôte cible:\nCliquez sur OK et vous avez terminé!","html":"Pour le nom d'Alias, je vais entrer à Paris\nLe nom d'alias se résout en fichier1, donc j'ajoute cela à la boîte hôte cible:\nCliquez sur OK et vous avez terminé!
"},{"id":"text-23","type":"text","heading":"","plain_text":"Maintenant, je peux accéder à Paris par nom d'hôte qui se résout en fichier1","html":"Maintenant, je peux accéder à Paris par nom d'hôte qui se résout en fichier1
"},{"id":"text-24","type":"text","heading":"","plain_text":"Facile non?\nCela maintient DNS propre et aide à prévenir les problèmes de recherche DNS.\nUtiliser l'analyseur des meilleures pratiques DNS\nL'analyseur de bonnes pratiques Microsoft est un outil qui analyse les rôles de serveur pour vérifier votre configuration par rapport aux directives Microsoft. C'est un moyen rapide de dépanner et de repérer les problèmes potentiels de configuration.\nLe BPA peut être exécuté à l'aide de l'interface graphique ou de PowerShell, les instructions pour les deux sont ci-dessous.\nComment exécuter DNS BPA à l'aide de l'interface graphique\nOuvrez le Gestionnaire de serveur, puis cliquez sur DNS","html":"Facile non?\nCela maintient DNS propre et aide à prévenir les problèmes de recherche DNS.\nUtiliser l'analyseur des meilleures pratiques DNS\nL'analyseur de bonnes pratiques Microsoft est un outil qui analyse les rôles de serveur pour vérifier votre configuration par rapport aux directives Microsoft. C'est un moyen rapide de dépanner et de repérer les problèmes potentiels de configuration.\nLe BPA peut être exécuté à l'aide de l'interface graphique ou de PowerShell, les instructions pour les deux sont ci-dessous.\nComment exécuter DNS BPA à l'aide de l'interface graphique\nOuvrez le Gestionnaire de serveur, puis cliquez sur DNS
"},{"id":"text-25","type":"text","heading":"","plain_text":"Faites maintenant défiler la page jusqu'à la section Best Practices Analyzer, cliquez sur les tâches, puis sélectionnez «Démarrer l'analyse BPA»","html":"Faites maintenant défiler la page jusqu'à la section Best Practices Analyzer, cliquez sur les tâches, puis sélectionnez «Démarrer l'analyse BPA»
"},{"id":"text-26","type":"text","heading":"","plain_text":"Une fois l'analyse terminée, les résultats seront affichés.","html":"Une fois l'analyse terminée, les résultats seront affichés.
"},{"id":"text-27","type":"text","heading":"","plain_text":"Comment exécuter DNS BPA à l'aide de PowerShell\nVous aurez d'abord besoin de l'ID du rôle. Exécutez cette commande pour obtenir l'ID\nGet-BPaModel","html":"Comment exécuter DNS BPA à l'aide de PowerShell\nVous aurez d'abord besoin de l'ID du rôle. Exécutez cette commande pour obtenir l'ID\nGet-BPaModel
"},{"id":"text-28","type":"text","heading":"","plain_text":"Je peux l'ID pour DNS est Microsoft / Windows / DNSServer. Je prends cet ID et utilise cette commande pour exécuter le BPA pour DNS.\nInvoke-BPAModel "Microsoft / Windows / DNSSerer"\nVous pouvez obtenir des erreurs, c'est normal","html":"Je peux l'ID pour DNS est Microsoft / Windows / DNSServer. Je prends cet ID et utilise cette commande pour exécuter le BPA pour DNS.\nInvoke-BPAModel "Microsoft / Windows / DNSSerer"\nVous pouvez obtenir des erreurs, c'est normal
"},{"id":"text-29","type":"text","heading":"","plain_text":"La commande ci-dessus exécute uniquement l'analyseur, elle n'affiche pas automatiquement les résultats.\nPour afficher les résultats, exécutez cette commande:\nGet-BpaResult Microsoft / Windows / DNSServer","html":"La commande ci-dessus exécute uniquement l'analyseur, elle n'affiche pas automatiquement les résultats.\nPour afficher les résultats, exécutez cette commande:\nGet-BpaResult Microsoft / Windows / DNSServer
"},{"id":"text-30","type":"text","heading":"","plain_text":"Bonus: Conseils de sécurité DNS\nJe pense que nous pouvons tous convenir que le DNS est un service important. Comment quelque chose fonctionnerait-il sans? Voyons maintenant quelques façons de sécuriser ce service, certaines de ces fonctionnalités sont activées par défaut sur les serveurs Windows.","html":"Bonus: Conseils de sécurité DNS\nJe pense que nous pouvons tous convenir que le DNS est un service important. Comment quelque chose fonctionnerait-il sans? Voyons maintenant quelques façons de sécuriser ce service, certaines de ces fonctionnalités sont activées par défaut sur les serveurs Windows.
"},{"id":"text-31","type":"text","heading":"","plain_text":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nRedirection DNS sécurisée\nVerrouillage du cache DNS\nPool de sockets DNS\nDemandes DNS DNSSecFilter (Bloquer les domaines incorrects)","html":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nRedirection DNS sécurisée\nVerrouillage du cache DNS\nPool de sockets DNS\nDemandes DNS DNSSecFilter (Bloquer les domaines incorrects)
"},{"id":"text-32","type":"text","heading":"","plain_text":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nL'un des meilleurs moyens de prévenir les virus, les logiciels espions et tout autre trafic malveillant est de bloquer le trafic avant même qu'il n'atteigne votre réseau.\nCela peut être fait en filtrant le trafic DNS via un dispositif de sécurité qui vérifie le nom de domaine par rapport à une liste de domaines défectueux. Si le domaine est sur la liste, le trafic sera interrompu, empêchant toute communication ultérieure entre le mauvais domaine et le client. Il s'agit d'une caractéristique courante des pare-feu de nouvelle génération, des systèmes IPS (système de prévention des intrusions) et d'autres dispositifs de sécurité.\nJ'utilise un pare-feu Cisco FirePower qui fournit ce service. Cisco fournit un flux (liste des domaines défectueux) qui est automatiquement mis à jour régulièrement. De plus, je peux ajouter des flux supplémentaires ou ajouter manuellement des domaines incorrects à la liste. J'ai vu une énorme diminution des virus et des menaces de type rançongiciel depuis que je filtre les demandes DNS. J'ai été étonné de voir combien de mauvais trafic cela détecte et bloque, étonnamment très peu de faux positifs!\nRessources supplémentaires:\nSite officiel de Cisco Next Generation Firewallhttps://www.cisco.com/c/en/us/products/security/firewalls/index.html\nPaloalto – Un autre pare-feu / système IPS populairehttps://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall\nRedirection DNS sécurisée\nLes redirecteurs DNS sécurisés sont un autre moyen de filtrer et de bloquer les requêtes DNS.\nEn plus de bloquer les domaines malveillants, certains services de transfert proposent un filtrage de contenu Web. Cela vous permet de bloquer les demandes en fonction d'une catégorie comme le contenu pour adultes, les jeux, les médicaments, etc. Un gros avantage que cela présente par rapport à une appliance sur site comme un pare-feu est qu'il peut fournir une protection aux périphériques lorsqu'ils sont hors du réseau. Il peut nécessiter l'installation d'un client sur l'appareil, mais il dirigerait tout le trafic DNS via le redirecteur DNS sécurisé si l'appareil était sur le réseau interne ou externe.\nListe des filtres de redirection DNS:\nQuad9\nOpenDNS\nDNSFilter\nVerrouillage du cache DNS\nLe verrouillage du cache DNS vous permet de contrôler le moment où le cache DNS peut être écrasé.\nLorsqu'un serveur DNS effectue une recherche pour un client, il stocke cette recherche dans le cache pendant un certain temps. Cela permet au serveur DNS de répondre plus rapidement aux mêmes recherches ultérieurement. Si j'allais sur espn.com, le serveur DNS mettrait en cache cette recherche, donc si quelqu'un y allait plus tard, il serait déjà mis en cache permettant une recherche plus rapide.\nUn type d'attaque consiste à équilibrer la recherche de cache avec de faux enregistrements. Par exemple, nous avons espn.com dans le cache, un attaquant pourrait modifier cet enregistrement pour rediriger vers un site malveillant. La prochaine fois que quelqu'un irait sur espn.com, il les enverrait sur le site malveillant.\nLe verrouillage du cache DNS empêche la modification des enregistrements dans le cache. Windows Server 2016 a cette fonctionnalité activée par défaut.\nRessources supplémentaires\nhttps://nedimmehic.org/2017/04/25/how-to-deploy-and-configure-dns-2016-part6/\nPool de sockets DNS\nLe pool de sockets DNS permet au serveur DNS d'utiliser la randomisation du port source pour les recherches DNS. En utilisant des ports randomisés, le serveur DNS choisira au hasard un port source à partir d'un pool de sockets disponibles. Au lieu d'utiliser le même port encore et encore, il choisira un port aléatoire dans le pool, ce qui rend difficile pour l'attaquant de deviner le port source d'une requête DNS.\nCeci est également activé par défaut sur Windows Server 2016\nRessources supplémentaires\nMicrosoft configurer le pool de sockets\nDNSSEC\nDNSSEC ajoute une couche de sécurité qui permet au client de valider la réponse DNS. Ce processus de validation permet d'éviter l'usurpation DNS et l'empoisonnement du cache.\nDNSSec fonctionne en utilisant des signatures numériques pour valider que les réponses sont authentiques. Lorsqu'un client effectue une requête DNS, le serveur DNS attache une signature numérique à la réponse, ce qui permet au client de valider la réponse et de prouver qu'elle n'a pas été falsifiée.\nRessources supplémentaires:\nPrésentation de DNSSec\nMise en œuvre étape par étape\nVous pourriez aussi aimer…","html":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nL'un des meilleurs moyens de prévenir les virus, les logiciels espions et tout autre trafic malveillant est de bloquer le trafic avant même qu'il n'atteigne votre réseau.\nCela peut être fait en filtrant le trafic DNS via un dispositif de sécurité qui vérifie le nom de domaine par rapport à une liste de domaines défectueux. Si le domaine est sur la liste, le trafic sera interrompu, empêchant toute communication ultérieure entre le mauvais domaine et le client. Il s'agit d'une caractéristique courante des pare-feu de nouvelle génération, des systèmes IPS (système de prévention des intrusions) et d'autres dispositifs de sécurité.\nJ'utilise un pare-feu Cisco FirePower qui fournit ce service. Cisco fournit un flux (liste des domaines défectueux) qui est automatiquement mis à jour régulièrement. De plus, je peux ajouter des flux supplémentaires ou ajouter manuellement des domaines incorrects à la liste. J'ai vu une énorme diminution des virus et des menaces de type rançongiciel depuis que je filtre les demandes DNS. J'ai été étonné de voir combien de mauvais trafic cela détecte et bloque, étonnamment très peu de faux positifs!\nRessources supplémentaires:\nSite officiel de Cisco Next Generation Firewallhttps://www.cisco.com/c/en/us/products/security/firewalls/index.html\nPaloalto – Un autre pare-feu / système IPS populairehttps://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall\nRedirection DNS sécurisée\nLes redirecteurs DNS sécurisés sont un autre moyen de filtrer et de bloquer les requêtes DNS.\nEn plus de bloquer les domaines malveillants, certains services de transfert proposent un filtrage de contenu Web. Cela vous permet de bloquer les demandes en fonction d'une catégorie comme le contenu pour adultes, les jeux, les médicaments, etc. Un gros avantage que cela présente par rapport à une appliance sur site comme un pare-feu est qu'il peut fournir une protection aux périphériques lorsqu'ils sont hors du réseau. Il peut nécessiter l'installation d'un client sur l'appareil, mais il dirigerait tout le trafic DNS via le redirecteur DNS sécurisé si l'appareil était sur le réseau interne ou externe.\nListe des filtres de redirection DNS:\nQuad9\nOpenDNS\nDNSFilter\nVerrouillage du cache DNS\nLe verrouillage du cache DNS vous permet de contrôler le moment où le cache DNS peut être écrasé.\nLorsqu'un serveur DNS effectue une recherche pour un client, il stocke cette recherche dans le cache pendant un certain temps. Cela permet au serveur DNS de répondre plus rapidement aux mêmes recherches ultérieurement. Si j'allais sur espn.com, le serveur DNS mettrait en cache cette recherche, donc si quelqu'un y allait plus tard, il serait déjà mis en cache permettant une recherche plus rapide.\nUn type d'attaque consiste à équilibrer la recherche de cache avec de faux enregistrements. Par exemple, nous avons espn.com dans le cache, un attaquant pourrait modifier cet enregistrement pour rediriger vers un site malveillant. La prochaine fois que quelqu'un irait sur espn.com, il les enverrait sur le site malveillant.\nLe verrouillage du cache DNS empêche la modification des enregistrements dans le cache. Windows Server 2016 a cette fonctionnalité activée par défaut.\nRessources supplémentaires\nhttps://nedimmehic.org/2017/04/25/how-to-deploy-and-configure-dns-2016-part6/\nPool de sockets DNS\nLe pool de sockets DNS permet au serveur DNS d'utiliser la randomisation du port source pour les recherches DNS. En utilisant des ports randomisés, le serveur DNS choisira au hasard un port source à partir d'un pool de sockets disponibles. Au lieu d'utiliser le même port encore et encore, il choisira un port aléatoire dans le pool, ce qui rend difficile pour l'attaquant de deviner le port source d'une requête DNS.\nCeci est également activé par défaut sur Windows Server 2016\nRessources supplémentaires\nMicrosoft configurer le pool de sockets\nDNSSEC\nDNSSEC ajoute une couche de sécurité qui permet au client de valider la réponse DNS. Ce processus de validation permet d'éviter l'usurpation DNS et l'empoisonnement du cache.\nDNSSec fonctionne en utilisant des signatures numériques pour valider que les réponses sont authentiques. Lorsqu'un client effectue une requête DNS, le serveur DNS attache une signature numérique à la réponse, ce qui permet au client de valider la réponse et de prouver qu'elle n'a pas été falsifiée.\nRessources supplémentaires:\nPrésentation de DNSSec\nMise en œuvre étape par étape\nVous pourriez aussi aimer…
"},{"id":"text-33","type":"text","heading":"","plain_text":"Outil recommandé: SolarWinds Server & Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d'autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j'aime le plus dans SAM, c'est qu'il est facile d'utiliser le tableau de bord et les fonctionnalités d'alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre essai gratuit de SolarWinds Server & Application Monitor.","html":"Outil recommandé: SolarWinds Server & Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d'autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j'aime le plus dans SAM, c'est qu'il est facile d'utiliser le tableau de bord et les fonctionnalités d'alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre essai gratuit de SolarWinds Server & Application Monitor.
"},{"id":"text-34","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Il s'agit de la liste la plus complète des meilleures pratiques et astuces DNS sur la planète.\nDans ce guide, je partagerai mes meilleures pratiques en matière de sécurité DNS, de conception, de performances et bien plus encore.\nTable des matières:\nMeilleures pratiques DNS\nAvertissement: Je ne recommande pas d'apporter des modifications à des services essentiels comme DNS sans tester et obtenir l'approbation de votre organisation. Vous devez suivre un processus de gestion des modifications pour ces types de modifications.\nAvoir au moins deux serveurs DNS internes\nDans les environnements petits à grands, vous devez disposer d'au moins deux serveurs DNS pour la redondance. DNS et Active Directory sont des services essentiels, s'ils échouent, vous aurez des problèmes majeurs. Le fait d'avoir deux serveurs garantira que DNS fonctionnera toujours si l'autre échoue.\nDans un domaine Active Directory, tout repose sur DNS pour fonctionner correctement. Même la navigation sur Internet et l'accès aux applications cloud dépendent du DNS.\nJ'ai rencontré une défaillance complète du contrôleur de domaine / DNS et je ne plaisante pas quand je dis que presque tout a cessé de fonctionner."},{"id":"text-2","heading":"Text","content":"Dans le diagramme ci-dessus, mon site a deux contrôleurs de domaine et serveurs DNS. Les clients sont configurés pour utiliser DHCP, le serveur DHCP configurera automatiquement le client avec un serveur DNS principal et secondaire. Si DC1 / DNS tombe en panne, le client utilisera automatiquement son DNS secondaire pour résoudre les noms d'hôte. Si DC1 tombait en panne et qu'il n'y avait pas de DNS secondaire interne, le client ne pourrait pas accéder à des ressources telles que la messagerie électronique, les applications, Internet, etc.\nConclusion: assurez-vous que la redondance est en place en ayant plusieurs serveurs DNS / Active Directory.\nUtiliser les zones intégrées Active Directory\nPour faciliter le déploiement de plusieurs serveurs DNS, vous devez utiliser les zones intégrées Active Directory. Vous ne pouvez utiliser les zones intégrées AD que si vous avez configuré DNS sur vos contrôleurs de domaine.\nLes zones intégrées AD présentent les avantages suivants:"},{"id":"text-3","heading":"Text","content":"Réplication: Les zones intégrées AD stockent les données dans la base de données AD en tant qu'objets conteneurs. Cela permet aux informations de zone d'être automatiquement répliquées sur d'autres contrôleurs de domaine. Les informations de zone sont compressées, ce qui permet de répliquer les données rapidement et en toute sécurité sur d'autres serveurs.\nRedondance: Étant donné que les informations de zone sont automatiquement répliquées, cela évite un seul point de défaillance pour DNS. Si un serveur DNS tombe en panne, l'autre serveur dispose d'une copie complète des informations DNS et peut résoudre les noms des clients.\nSimplicité: Les zones AD intégrées sont mises à jour automatiquement sans avoir à configurer de transfert de zone. Cela simplifie la configuration tout en garantissant la redondance est en place.\nSécurité: Si vous activez les mises à jour dynamiques sécurisées, seuls les clients autorisés peuvent mettre à jour leurs enregistrements dans les zones DNS. En un mot, cela signifie que seuls les membres du domaine DNS peuvent s'enregistrer auprès du serveur DNS. Le serveur DNS refuse les demandes des ordinateurs qui ne font pas partie du domaine."},{"id":"text-4","heading":"Text","content":"Meilleur ordre DNS sur les contrôleurs de domaine\nJ'ai vu beaucoup de discussions sur ce sujet. Quelle est la meilleure pratique pour l'ordre DNS sur les contrôleurs de domaine?\nSi vous effectuez une recherche par vous-même, vous trouverez différentes réponses MAIS la majorité recommande la configuration ci-dessous.\nC’est également la recommandation de Microsoft."},{"id":"text-5","heading":"Text","content":"DNS principal: défini sur un autre contrôleur de domaine du site\nDNS secondaire: défini sur lui-même à l'aide de l'adresse de bouclage"},{"id":"text-6","heading":"Text","content":"Regardons un exemple concret."},{"id":"text-7","heading":"Text","content":"Dans le schéma ci-dessus, j'ai deux contrôleurs de domaine / DNS sur le site de New York. J'ai le DNS primaire DC1 défini sur son partenaire de réplication DC2. Ensuite, le DNS secondaire est défini sur lui-même à l'aide de l'adresse de bouclage. Ensuite, le DNS principal DC2 est défini sur DC1 et il est défini sur lui-même à l'aide de l'adresse de bouclage.\nMicrosoft affirme que cette configuration améliore les performances et augmente la disponibilité des serveurs DNS. Si vous pointez d'abord le DNS principal sur lui-même, cela peut entraîner des retards.\nSource: https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx\nLes ordinateurs joints au domaine ne doivent utiliser que des serveurs DNS internes\nVos ordinateurs joints à un domaine doivent avoir à la fois le DNS principal et le DNS secondaire définis sur un serveur DNS interne. Les serveurs DNS externes ne peuvent pas résoudre les noms d'hôte internes, ce qui peut entraîner des problèmes de connectivité et empêcher l'ordinateur d'accéder aux ressources internes.\nVoyons un exemple de la raison de cette mauvaise configuration."},{"id":"text-8","heading":"Text","content":"Le client fait une demande à un serveur interne appelé VEGAS.\nLe client décide de contacter son serveur DNS secondaire qui est le 8.8.8.8. Il demande au serveur quelle est l'adresse IP du VEGAS hôte.\nLe DNS externe ne sait rien de cet hôte, par conséquent, il ne peut pas fournir l'adresse IP.\nIl en résulte que le client ne peut pas accéder au serveur de fichiers VEGAS."},{"id":"text-9","heading":"Text","content":"En règle générale, si le serveur DNS principal est disponible, il sera utilisé en premier, mais il peut ne pas répondre, ce qui peut entraîner l'utilisation du DNS secondaire. Il peut falloir redémarrer l'ordinateur pour qu'il revienne au DNS principal, ce qui peut entraîner la frustration des utilisateurs et des appels au service d'assistance.\nLa solution recommandée est d'avoir deux serveurs DNS internes et de toujours pointer les clients vers eux plutôt qu'un serveur externe.\nPointez les clients vers le serveur DNS le plus proche\nCela réduira le trafic sur les liaisons WAN et fournira des requêtes DNS plus rapides aux clients."},{"id":"text-10","heading":"Text","content":"Dans le diagramme ci-dessus, les ordinateurs clients sont configurés pour utiliser les serveurs DNS qui se trouvent sur leur site. Si le client à New York était mal configuré pour utiliser les serveurs DNS à Londres, cela entraînerait une baisse des performances DNS. Cela affecterait les applications de l'utilisateur, l'accès à Internet, etc. Je vous promets que les utilisateurs se plaindront de la lenteur de tout.\nLa meilleure façon de configurer automatiquement les bons serveurs DNS est d'utiliser DHCP. Vous devez avoir une configuration d'étendues DHCP différente pour chaque site qui inclut les serveurs DNS principal et secondaire de ce site.\nConfigurer le vieillissement et le nettoyage des enregistrements DNS\nLe vieillissement et le nettoyage DNS permettent la suppression automatique des anciens enregistrements DNS inutilisés. Il s'agit d'un processus en deux parties:\nVieillissement: Les enregistrements DNS nouvellement créés reçoivent un horodatage.\nNettoyage: Supprime les enregistrements DNS qui ont un horodatage obsolète en fonction de l'heure configurée.\nPourquoi est-ce nécessaire?\nIl y aura des moments où les ordinateurs enregistreront plusieurs entrées DNS avec des adresses IP différentes. Cela peut être dû au déplacement d'ordinateurs vers différents emplacements, à la réimagerie d'ordinateurs, à la suppression et à la réinstallation d'ordinateurs dans le domaine.\nAvoir plusieurs entrées DNS entraînera des problèmes de résolution de noms qui entraîneront des problèmes de connectivité. Le vieillissement et le nettoyage DNS résoudront ce problème en supprimant automatiquement l'enregistrement DNS qui n'est pas utilisé.\nLe vieillissement et le nettoyage s'appliquent uniquement aux enregistrements de ressources DNS qui sont ajoutés dynamiquement.\nRessources:\nComment configurer le vieillissement et le nettoyage DNS (nettoyage des enregistrements DNS périmés)\nConfigurer les enregistrements PTR pour les zones DNS\nLes enregistrements PTR résolvent une adresse IP en un nom d'hôte. Sauf si vous exécutez votre propre serveur de messagerie, les enregistrements PTR peuvent ne pas être requis.\nMais… ils sont extrêmement utiles pour le dépannage et l'augmentation de la sécurité.\nCertains systèmes, tels que les pare-feu, les routeurs et les commutateurs, enregistrent uniquement une adresse IP. Prenons par exemple les journaux du pare-feu Windows."},{"id":"text-11","heading":"Text","content":"Dans cet exemple, le service d'assistance résolvait un problème d'imprimante et pensait que le 10.1.2.88 était une imprimante bloquée par le pare-feu. Parce que j'ai la configuration des enregistrements PTR, j'ai pu la rechercher rapidement à l'aide de la commande nslookup."},{"id":"text-12","heading":"Text","content":"10.1.2.88 se résout en nodaway.ad.activedirectorypro.com, je sais que c'est un serveur et non une imprimante. Si je n'avais pas de configuration d'enregistrement PTR, j'aurais fouillé dans l'inventaire en essayant de trouver plus d'informations sur cette adresse IP.\nIl n'y a vraiment aucune raison de ne pas configurer les enregistrements PTR, il est facile à configurer et ne génère aucune ressource supplémentaire sur le serveur. Voir mon guide complet sur la configuration des zones de recherche inversée et des enregistrements ptr.\nRessources supplémentaires:\nNSLookup pour vérifier les enregistrements DNS\nConseils racine vs redirecteurs DNS (lequel est le meilleur)\nPar défaut, les serveurs DNS Windows sont configurés pour utiliser des serveurs d'indication racine pour les recherches externes. Une autre option pour les recherches externes consiste à utiliser des redirecteurs.\nFondamentalement, les deux options sont des moyens de résoudre les noms d'hôtes que vos serveurs internes ne peuvent pas résoudre.\nAlors, lequel est le meilleur?\nGrâce à ma propre expérience et à mes recherches, cela dépend vraiment de mes préférences personnelles.\nVoici quelques directives générales qui vous aideront à décider:"},{"id":"text-13","heading":"Text","content":"Utilisez des indices racine si votre principale préoccupation est la fiabilité (Windows par défaut)\nLes redirecteurs peuvent fournir des recherches DNS plus rapides. Vous pouvez utiliser des outils d'analyse comparative pour tester les temps de réponse de recherche, lien inclus dans la section des ressources.\nLes transitaires peuvent également apporter des améliorations de sécurité (plus d'informations ci-dessous)\nLes redirecteurs doivent être configurés manuellement sur chaque DC"},{"id":"text-14","heading":"Text","content":"Pendant des années, j'ai utilisé le paramètre par défaut (indices racine), puis j'ai été présenté à Quad9 lors d'une conférence de sécurité. Quad9 est une plateforme DNS anycast gratuite et récursive qui offre aux utilisateurs finaux des protections de sécurité robustes, hautes performances et confidentialité. En résumé, Quad9 vérifie la recherche DNS par rapport à une liste de domaines défectueux, si le client fait une demande à un domaine de la liste, cette demande est supprimée.\nJ'utilise ce service depuis plus d'un an maintenant et je n'ai eu aucun problème. Étant donné que la sécurité a été une grande préoccupation pour moi, je préférais personnellement passer aux redirecteurs Quad9 à partir des indications de racine. Il fournit des recherches rapides et fiables avec le bonus supplémentaire de sécurité."},{"id":"text-15","heading":"Text","content":"Quad9 ne fournit aucun rapport ni aucune analyse. Les demandes bloquées sont enregistrées dans les journaux de débogage DNS de Windows Server, alors assurez-vous de lire la section suivante sur la façon de l'activer. Les baisses seront enregistrées avec NXDomain afin que vous puissiez créer un rapport en le recherchant dans les journaux.\nRessources supplémentaires:\nOpenDNS – est une autre entreprise qui offre ce service, il a un coût élevé, mais comprend des fonctionnalités supplémentaires et des rapports.\nComment fonctionne Quad9 – Cette page montre comment configurer Quad9 sur un ordinateur individuel, si vous avez vos propres serveurs DNS, NE FAITES PAS CELA. Vous voudrez utiliser votre serveur DNS et ajouter quad9 en tant que transitaire. Cette page fournit quelques détails supplémentaires et est la principale raison pour laquelle je l'ai incluse. Vous pouvez utiliser ces étapes pour votre ordinateur personnel ou vos appareils qui ont juste besoin d'un accès Internet.\nOutil de référence DNS – Outil gratuit qui vous permet de tester les temps de réponse de tous les serveurs de noms. Cela peut vous aider à déterminer si vous souhaitez vous en tenir aux indices racine ou utiliser des redirecteurs.\nListe des serveurs racine \nActiver la journalisation du débogage DNS\nLes journaux de débogage DNS peuvent être utilisés pour rechercher les problèmes liés aux requêtes DNS, aux mises à jour et autres erreurs DNS. Il peut également être utilisé pour suivre l'activité du client.\nAvec des outils de journalisation tels que Splunk, vous pouvez créer des rapports sur les principaux domaines, les meilleurs clients et trouver le trafic réseau malveillant potentiel.\nMicrosoft dispose d'un outil d'analyseur de journal qui génère la sortie ci-dessous:"},{"id":"text-16","heading":"Text","content":"Vous devriez pouvoir extraire le journal de débogage dans n'importe quel outil de journalisation ou script pour créer vos propres rapports.\nComment activer les journaux de débogage DNS\nÉtape 1: Sur la console DNS, cliquez avec le bouton droit sur votre serveur DNS et sélectionnez les propriétés"},{"id":"text-17","heading":"Text","content":"Étape 2: Cliquez sur l'onglet Journalisation du débogage"},{"id":"text-18","heading":"Text","content":"Modifiez le chemin par défaut et la taille maximale, si nécessaire.\nRessources supplémentaires:\nAnalyse du journal du serveur DNS pour suivre les clients actifs \nUtiliser l'enregistrement CNAME pour l'alias (au lieu d'un enregistrement)"},{"id":"text-19","heading":"Text","content":"Un enregistrement mappe un nom à une adresse IP.\nL'enregistrement CNAME mappe un nom à un autre nom."},{"id":"text-20","heading":"Text","content":"Si vous utilisez des enregistrements A pour créer des alias, vous vous retrouverez avec plusieurs enregistrements, avec le temps, cela deviendra un gros gâchis. Si vous avez des enregistrements PTR configurés, cela créera également des enregistrements supplémentaires dans cette zone, ce qui ajoutera au désordre et créera des problèmes plus importants.\nSi vous devez créer un alias, il vaut mieux utiliser les enregistrements CNAME, cela sera plus facile à gérer et empêchera la création de plusieurs enregistrements DNS.\nComment créer un enregistrement CNAME d'alias\nJ'ai une configuration d'enregistrement A pour mon serveur de fichiers appelée file1 qui se résout à IP 192.168.0.201"},{"id":"text-21","heading":"Text","content":"Notre équipe de développement souhaite renommer le serveur en Paris pour le rendre plus convivial. Au lieu de renommer le serveur, je vais simplement créer un enregistrement CNAME.\nFaites un clic droit dans la zone et cliquez sur Nouvel alias (CNAME)"},{"id":"text-22","heading":"Text","content":"Pour le nom d'Alias, je vais entrer à Paris\nLe nom d'alias se résout en fichier1, donc j'ajoute cela à la boîte hôte cible:\nCliquez sur OK et vous avez terminé!"},{"id":"text-23","heading":"Text","content":"Maintenant, je peux accéder à Paris par nom d'hôte qui se résout en fichier1"},{"id":"text-24","heading":"Text","content":"Facile non?\nCela maintient DNS propre et aide à prévenir les problèmes de recherche DNS.\nUtiliser l'analyseur des meilleures pratiques DNS\nL'analyseur de bonnes pratiques Microsoft est un outil qui analyse les rôles de serveur pour vérifier votre configuration par rapport aux directives Microsoft. C'est un moyen rapide de dépanner et de repérer les problèmes potentiels de configuration.\nLe BPA peut être exécuté à l'aide de l'interface graphique ou de PowerShell, les instructions pour les deux sont ci-dessous.\nComment exécuter DNS BPA à l'aide de l'interface graphique\nOuvrez le Gestionnaire de serveur, puis cliquez sur DNS"},{"id":"text-25","heading":"Text","content":"Faites maintenant défiler la page jusqu'à la section Best Practices Analyzer, cliquez sur les tâches, puis sélectionnez «Démarrer l'analyse BPA»"},{"id":"text-26","heading":"Text","content":"Une fois l'analyse terminée, les résultats seront affichés."},{"id":"text-27","heading":"Text","content":"Comment exécuter DNS BPA à l'aide de PowerShell\nVous aurez d'abord besoin de l'ID du rôle. Exécutez cette commande pour obtenir l'ID\nGet-BPaModel"},{"id":"text-28","heading":"Text","content":"Je peux l'ID pour DNS est Microsoft / Windows / DNSServer. Je prends cet ID et utilise cette commande pour exécuter le BPA pour DNS.\nInvoke-BPAModel "Microsoft / Windows / DNSSerer"\nVous pouvez obtenir des erreurs, c'est normal"},{"id":"text-29","heading":"Text","content":"La commande ci-dessus exécute uniquement l'analyseur, elle n'affiche pas automatiquement les résultats.\nPour afficher les résultats, exécutez cette commande:\nGet-BpaResult Microsoft / Windows / DNSServer"},{"id":"text-30","heading":"Text","content":"Bonus: Conseils de sécurité DNS\nJe pense que nous pouvons tous convenir que le DNS est un service important. Comment quelque chose fonctionnerait-il sans? Voyons maintenant quelques façons de sécuriser ce service, certaines de ces fonctionnalités sont activées par défaut sur les serveurs Windows."},{"id":"text-31","heading":"Text","content":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nRedirection DNS sécurisée\nVerrouillage du cache DNS\nPool de sockets DNS\nDemandes DNS DNSSecFilter (Bloquer les domaines incorrects)"},{"id":"text-32","heading":"Text","content":"Filtrer les demandes DNS (bloquer les mauvais domaines)\nL'un des meilleurs moyens de prévenir les virus, les logiciels espions et tout autre trafic malveillant est de bloquer le trafic avant même qu'il n'atteigne votre réseau.\nCela peut être fait en filtrant le trafic DNS via un dispositif de sécurité qui vérifie le nom de domaine par rapport à une liste de domaines défectueux. Si le domaine est sur la liste, le trafic sera interrompu, empêchant toute communication ultérieure entre le mauvais domaine et le client. Il s'agit d'une caractéristique courante des pare-feu de nouvelle génération, des systèmes IPS (système de prévention des intrusions) et d'autres dispositifs de sécurité.\nJ'utilise un pare-feu Cisco FirePower qui fournit ce service. Cisco fournit un flux (liste des domaines défectueux) qui est automatiquement mis à jour régulièrement. De plus, je peux ajouter des flux supplémentaires ou ajouter manuellement des domaines incorrects à la liste. J'ai vu une énorme diminution des virus et des menaces de type rançongiciel depuis que je filtre les demandes DNS. J'ai été étonné de voir combien de mauvais trafic cela détecte et bloque, étonnamment très peu de faux positifs!\nRessources supplémentaires:\nSite officiel de Cisco Next Generation Firewallhttps://www.cisco.com/c/en/us/products/security/firewalls/index.html\nPaloalto – Un autre pare-feu / système IPS populairehttps://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall\nRedirection DNS sécurisée\nLes redirecteurs DNS sécurisés sont un autre moyen de filtrer et de bloquer les requêtes DNS.\nEn plus de bloquer les domaines malveillants, certains services de transfert proposent un filtrage de contenu Web. Cela vous permet de bloquer les demandes en fonction d'une catégorie comme le contenu pour adultes, les jeux, les médicaments, etc. Un gros avantage que cela présente par rapport à une appliance sur site comme un pare-feu est qu'il peut fournir une protection aux périphériques lorsqu'ils sont hors du réseau. Il peut nécessiter l'installation d'un client sur l'appareil, mais il dirigerait tout le trafic DNS via le redirecteur DNS sécurisé si l'appareil était sur le réseau interne ou externe.\nListe des filtres de redirection DNS:\nQuad9\nOpenDNS\nDNSFilter\nVerrouillage du cache DNS\nLe verrouillage du cache DNS vous permet de contrôler le moment où le cache DNS peut être écrasé.\nLorsqu'un serveur DNS effectue une recherche pour un client, il stocke cette recherche dans le cache pendant un certain temps. Cela permet au serveur DNS de répondre plus rapidement aux mêmes recherches ultérieurement. Si j'allais sur espn.com, le serveur DNS mettrait en cache cette recherche, donc si quelqu'un y allait plus tard, il serait déjà mis en cache permettant une recherche plus rapide.\nUn type d'attaque consiste à équilibrer la recherche de cache avec de faux enregistrements. Par exemple, nous avons espn.com dans le cache, un attaquant pourrait modifier cet enregistrement pour rediriger vers un site malveillant. La prochaine fois que quelqu'un irait sur espn.com, il les enverrait sur le site malveillant.\nLe verrouillage du cache DNS empêche la modification des enregistrements dans le cache. Windows Server 2016 a cette fonctionnalité activée par défaut.\nRessources supplémentaires\nhttps://nedimmehic.org/2017/04/25/how-to-deploy-and-configure-dns-2016-part6/\nPool de sockets DNS\nLe pool de sockets DNS permet au serveur DNS d'utiliser la randomisation du port source pour les recherches DNS. En utilisant des ports randomisés, le serveur DNS choisira au hasard un port source à partir d'un pool de sockets disponibles. Au lieu d'utiliser le même port encore et encore, il choisira un port aléatoire dans le pool, ce qui rend difficile pour l'attaquant de deviner le port source d'une requête DNS.\nCeci est également activé par défaut sur Windows Server 2016\nRessources supplémentaires\nMicrosoft configurer le pool de sockets\nDNSSEC\nDNSSEC ajoute une couche de sécurité qui permet au client de valider la réponse DNS. Ce processus de validation permet d'éviter l'usurpation DNS et l'empoisonnement du cache.\nDNSSec fonctionne en utilisant des signatures numériques pour valider que les réponses sont authentiques. Lorsqu'un client effectue une requête DNS, le serveur DNS attache une signature numérique à la réponse, ce qui permet au client de valider la réponse et de prouver qu'elle n'a pas été falsifiée.\nRessources supplémentaires:\nPrésentation de DNSSec\nMise en œuvre étape par étape\nVous pourriez aussi aimer…"},{"id":"text-33","heading":"Text","content":"Outil recommandé: SolarWinds Server & Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d'autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j'aime le plus dans SAM, c'est qu'il est facile d'utiliser le tableau de bord et les fonctionnalités d'alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre essai gratuit de SolarWinds Server & Application Monitor."},{"id":"text-34","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/04/DNS-Best-Practices.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/04/21/meilleures-pratiques-dns-le-guide-definitif-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/21/meilleures-pratiques-dns-le-guide-definitif-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/21/meilleures-pratiques-dns-le-guide-definitif-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}