Fiche de révision : Introduction aux Zones DNS et leur Fonctionnement

📋 Plan du Cours

1. DNS : rôle et définition des zones
2. Zones DNS directes et inversées
3. Zone primaire, secondaire et stub
4. Transferts de zone et sécurité
5. Enregistrements DNS et fonctions
6. Manipulation des enregistrements DNS Windows
7. Redirecteurs DNS et rôle du forwarder
8. Serveurs DNS publics et adresses

📖 1. DNS : rôle et définition des zones

🔑 Notions clés & Définitions

• Domain Name System : Le Domain Name System est un service distribué qui relie les noms de domaine et les noms d’hôte à leurs adresses IP.
• Zone DNS : Une zone DNS est un espace de noms hébergé sur un serveur DNS qui contient des enregistrements et répond aux requêtes pour ce domaine.
• Serveur DNS faisant autorité : Un serveur DNS faisant autorité est le serveur qui détient la zone et répond de manière officielle aux requêtes pour le domaine de cette zone.
• Enregistrements DNS : Les enregistrements DNS sont les données stockées dans une zone qui décrivent comment résoudre des noms vers des informations réseau.
• Zones intégrées à Active Directory : Les zones intégrées à Active Directory sont des zones DNS stockées via AD DS et disponibles uniquement sur les contrôleurs de domaine avec le rôle DNS.

📝 Points essentiels

• Le DNS traduit des noms de domaine en adresses IP pour permettre l’accès aux ressources réseau et aux sites via des noms d’hôte plutôt que des IP.
• Le DNS repose sur une association nom↔IP mise en place pour faciliter la communication entre hôtes sur un réseau.
• Une zone DNS est hébergée sur un serveur ayant le rôle DNS et contient des enregistrements que le serveur utilise pour répondre aux requêtes.
• Le serveur gérant une zone fait autorité sur le domaine de cette zone pour la résolution des noms.
• Le contenu d’une zone peut être stocké dans un fichier local ou dans AD DS, selon l’implémentation du serveur DNS.
• Les zones intégrées à Active Directory ne sont disponibles que sur les contrôleurs de domaine possédant le rôle DNS.

💡 Astuce mémo

DNS = « annuaire distribué » : nom d’hôte + domaine → IP, et une zone = « dossier » d’enregistrements dont le serveur fait autorité.

📖 2. Zones DNS directes et inversées

🔑 Notions clés & Définitions

• Zone DNS directe : Zone DNS qui associe un nom de domaine à une adresse IP correspondante pour résoudre des noms vers des IP.
• Zone DNS inversée : Zone DNS qui associe une adresse IP à un nom d’hôte ou de domaine correspondant pour résoudre des IP vers des noms.
• Zone primaire : Zone DNS dont le serveur héberge la source principale des informations et stocke les données de la zone localement.
• Zone secondaire : Zone DNS qui est une copie en lecture seule d’une zone primaire, obtenue via copie depuis un autre serveur DNS.
• Zone de stub : Zone DNS contenant seulement les informations minimales (NS, SOA et A) pour identifier les serveurs faisant autorité.

📝 Points essentiels

• La zone DNS directe sert à résoudre un nom de domaine en adresse IP via des enregistrements de ressources comme A (IPv4) et AAAA (IPv6).
• La résolution directe de www.studi.com renvoie une adresse IPv4 via un enregistrement A, et datatracker.ietf.org renvoie une adresse IPv6 via un enregistrement AAAA.
• La zone DNS inversée sert à résoudre une adresse IP en nom d’hôte ou de domaine via des enregistrements PTR.
• La résolution inversée de 51.103.54.68 renvoie www.studi.com via un PTR dans in-addr.arpa, et celle de 2606:4700::6810:2c63 renvoie datatracker.ietf.org via un PTR dans in-addr.ip6.arpa.
• Une zone primaire est la principale source d’informations et ses données sont stockées soit dans un fichier local nommé nom_zone.dns (dans %windir%\System32\Dns), soit via une zone AD DS associée au domaine AD DS.
• Une zone secondaire est une copie en lecture seule de la zone primaire, non modifiable, et dépend de transferts de zone pour être mise à jour.

💡 Astuce mémo

Direct = Nom → IP ; Inversée = IP → Nom ; Primaire = Source ; Secondaire = Copie lecture seule ; Stub = Mini-infos (NS/SOA/A).

📖 3. Zone primaire, secondaire et stub

🔑 Notions clés & Définitions

• Zone DNS primaire : Zone DNS primaire : zone gérée en écriture, où les enregistrements du domaine sont maintenus par l’administrateur.
• Zone DNS secondaire : Zone DNS secondaire : copie d’une zone gérée ailleurs, utilisée pour assurer la disponibilité via la redondance des serveurs DNS.
• Zone DNS stub : Zone DNS stub : zone légère qui ne conserve que les informations nécessaires pour déléguer vers une sous-zone (champs A, SOA, NS).
• Enregistrement A : Enregistrement A : enregistre un nom d’hôte ou de domaine et l’associe à une adresse IPv4.
• Enregistrement AAAA : Enregistrement AAAA : enregistre un nom d’hôte ou de domaine et l’associe à une adresse IPv6.

📝 Points essentiels

• La zone DNS primaire a pour fonction principale de gérer les enregistrements DNS d’un domaine spécifique.
• La zone DNS secondaire a pour fonction principale de fournir une redondance pour les serveurs DNS.
• La zone DNS stub permet la résolution des noms de domaine au sein d’une sous-zone via des champs A, SOA et NS.
• L’enregistrement A sert à résoudre un nom de domaine en adresse IPv4.
• L’enregistrement AAAA sert à résoudre un nom de domaine en adresse IPv6.
• Les enregistrements DNS incluent notamment A, AAAA, CNAME, MX, NS, SOA, PTR, SRV et TXT pour différents usages de résolution et de services.

💡 Astuce mémo

Primaire = Gérer, Secondaire = Redonder, Stub = Sous-zone (A/SOA/NS).

📖 4. Transferts de zone et sécurité

🔑 Notions clés & Définitions

• RBAC : RBAC est un modèle de contrôle d’accès qui attribue des autorisations selon le rôle de l’utilisateur.
• DNSSEC : DNSSEC est un mécanisme de sécurité qui permet de signer numériquement les enregistrements DNS pour vérifier leur intégrité.
• Transfert de zone : Un transfert de zone est la copie d’une zone DNS d’un serveur vers d’autres serveurs de noms.
• Sauvegarde de zone DNS : La sauvegarde de zone DNS consiste à enregistrer une copie des zones pour pouvoir restaurer les données en cas de problème.

📝 Points essentiels

• Le transfert de zone sert à répliquer les données DNS entre serveurs maîtres et esclaves.
• Limiter les transferts de zone consiste à n’envoyer les copies qu’aux serveurs de noms connus.
• L’audit des modifications DNS sert à enregistrer et surveiller les changements pour des raisons de sécurité et de conformité.
• La sécurité DNS passe par des accès basés sur les rôles, par exemple en distinguant administrateur DNS et opérateur DNS.
• La sauvegarde des zones DNS vise à garantir la disponibilité des données DNS en cas de panne ou de perte de données.
• DNSSEC sert à sécuriser les enregistrements DNS contre la falsification et les attaques en assurant l’intégrité via signature numérique.

💡 Astuce mémo

RBAC = qui fait quoi ; DNSSEC = signature anti-falsification ; Transfert = copie maître→esclave ; Sauvegarde = retour arrière en cas de panne.

📖 5. Enregistrements DNS et fonctions

🔑 Notions clés & Définitions

• Zone DNS directe : Une zone DNS directe contient des enregistrements qui associent des noms de domaine à des adresses IP pour permettre la résolution de noms.
• Zone DNS inversée : Une zone DNS inversée contient des enregistrements qui associent des adresses IP à des noms de domaine pour faire l’inverse de la résolution classique.
• Zone DNS primaire : Une zone DNS primaire est la source autorisée des enregistrements DNS d’un domaine spécifique.
• Zone DNS secondaire : Une zone DNS secondaire est une copie maintenue d’une zone primaire pour assurer la redondance et la disponibilité.
• Redirecteur DNS : Un redirecteur DNS est un composant qui achemine les requêtes DNS vers des serveurs DNS appropriés pour améliorer l’efficacité et la résolution.

📝 Points essentiels

• Les zones DNS regroupent des informations de domaines sous forme d’enregistrements comme SOA, A, AAAA, NS, PTR, TXT, CNAME, MX.
• Une zone directe sert à résoudre des noms de domaine en adresses IP, tandis qu’une zone inversée fait l’opération inverse.
• Une zone primaire est la référence autorisée pour les enregistrements d’un domaine, alors qu’une zone secondaire en fournit une copie pour la redondance.
• Les redirecteurs DNS améliorent l’efficacité en réacheminant les requêtes vers les serveurs adaptés plutôt que de tout traiter localement.
• Les redirecteurs DNS peuvent aussi contribuer à la sécurité en empêchant certaines attaques DNS en contrôlant l’acheminement des requêtes.
• Une zone DNS de stub DNS redirige les requêtes vers le serveur DNS autoritaire de la sous-zone concernée pour permettre la résolution locale.

💡 Astuce mémo

Direct = Nom→IP ; Inversée = IP→Nom ; Primaire = Autorité ; Secondaire = Copie ; Redirecteur = Acheminer.

📖 6. Manipulation des enregistrements DNS Windows

🔑 Notions clés & Définitions

• Zone DNS secondaire : Zone DNS secondaire : copie et maintient à jour la zone d’une zone primaire pour assurer une redondance et une meilleure disponibilité.
• Zone DNS de stub : Zone DNS de stub : redirige les requêtes vers le serveur DNS autoritaire de la sous-zone afin de permettre la résolution locale.
• Enregistrement A : Enregistrement A : associe un nom de domaine à une adresse IPv4.
• Enregistrement CNAME : Enregistrement CNAME : crée un alias de nom de domaine en faisant pointer plusieurs noms vers un même enregistrement.
• Enregistrement TXT : Enregistrement TXT : stocke des informations textuelles arbitraires, souvent pour la vérification de domaine et des configurations comme SPF.

📝 Points essentiels

• Une zone DNS secondaire fournit de la redondance en copiant et en maintenant à jour la zone primaire pour augmenter la disponibilité.
• Une zone de stub sert à résoudre des noms dans une sous-zone en redirigeant les requêtes vers le serveur DNS autoritaire de cette sous-zone.
• L’enregistrement A sert à résoudre un nom de domaine vers une adresse IPv4.
• L’enregistrement MX spécifie le serveur de messagerie responsable de la réception des e-mails pour un domaine.
• L’enregistrement CNAME est utilisé pour créer des alias de noms de domaine pointant vers un même enregistrement.
• L’enregistrement TXT stocke des informations textuelles arbitraires, notamment pour la vérification de domaine et la configuration SPF pour le filtrage des e-mails, etc.

💡 Astuce mémo

Secondaire = copie pour survivre ; Stub = renvoi vers l’autorité ; A=IPv4, AAAA=IPv6, MX=mail, CNAME=alias, TXT=texte.

📖 7. Redirecteurs DNS et rôle du forwarder

🔑 Notions clés & Définitions

• Redirecteur DNS : Un redirecteur DNS est un serveur qui transmet les requêtes DNS qu’il ne sait pas résoudre localement vers d’autres serveurs, souvent plus haut dans la hiérarchie.
• Forwarder DNS : Un forwarder DNS est la fonction qui achemine les requêtes DNS vers des serveurs en amont pour obtenir la résolution, au lieu de résoudre directement.
• Serveur DNS de niveau supérieur : Un serveur DNS de niveau supérieur est un serveur plus “haut” dans la chaîne de résolution, utilisé pour traiter les requêtes non résolues localement.
• Serveur DNS public : Un serveur DNS public est un service accessible par Internet, souvent utilisé comme cible de redirection pour résoudre des requêtes non traitées localement.

📝 Points essentiels

• Un redirecteur DNS sert à transmettre les requêtes DNS non résolues localement vers des serveurs appropriés, généralement de niveau supérieur.
• Un redirecteur DNS est généralement un serveur de niveau supérieur, comme celui du fournisseur d’accès Internet ou un serveur DNS public.
• Un redirecteur DNS peut améliorer la performance en accélérant la résolution via des serveurs plus performants ou plus proches géographiquement.
• Un redirecteur DNS améliore la résolution en acheminant efficacement les requêtes vers les serveurs capables de répondre.
• Pour la redondance et le respect de la vie privée, on peut utiliser des DNS publics adaptés comme cibles de redirection.
• Exemples cités : Cloudflare DNS avec 1.1.1.1 et 1.0.0.1 (serveur de secours), et IPv6 2606:4700:4700::1111.

💡 Astuce mémo

Redirecteur = “je ne sais pas → j’envoie plus haut” ; Forwarder = “je délègue la résolution”.

📖 8. Serveurs DNS publics et adresses

🔑 Notions clés & Définitions

• Cloudflare DNS : Service DNS public connu pour des politiques de confidentialité strictes et des fonctions de sécurité contre les sites malveillants.
• Google DNS : Service DNS public proposé par Google, utilisé comme alternative pour améliorer la confidentialité des requêtes DNS.
• Quad9 DNS : Service DNS public dont l’objectif est d’ajouter des protections et de limiter la collecte de données via des politiques de confidentialité.
• OpenDNS (Cisco Umbrella) : Service DNS public qui fournit des fonctionnalités de sécurité supplémentaires, notamment contre les sites malveillants.
• AdGuard DNS : Service DNS public orienté confidentialité et protection, avec des adresses IPv4 et IPv6 dédiées.

📝 Points essentiels

• Pour ajouter de la redondance tout en limitant la visibilité de vos requêtes DNS, vous pouvez utiliser plusieurs DNS publics et les configurer dans le redirecteur DNS du serveur Windows.
• Cloudflare DNS utilise 1.1.1.1 (IPv4) et 2606:4700:4700::1111 (IPv6) comme adresse principale.
• Cloudflare DNS utilise 1.0.0.1 (IPv4) et 2606:4700:4700::1001 (IPv6) comme adresse de secours.
• Google DNS utilise 8.8.8.8 (IPv4) et 2001:4860:4860::8888 (IPv6) comme adresse principale.
• Google DNS utilise 8.8.4.4 (IPv4) et 2001:4860:4860::8844 (IPv6) comme adresse de secours.
• Quad9 DNS utilise 9.9.9.9 (IPv4) et 2620:fe::9 (IPv6) comme adresses indiquées, avec 149.112.112.112 (IPv4) comme autre adresse listée.

💡 Astuce mémo

DNS public = “1.1.1.1 / 8.8.8.8 / 9.9.9.9” (et leurs secours) pour la redondance et la confidentialité.

📊 Tableaux de synthèse

Zones DNS : rôle et contenu

⚠️ Pièges & confusions fréquents

1. Confondre zone directe et zone inversée : la directe résout Nom→IP, l’inversée résout IP→Nom via PTR.
2. Croire qu’une zone secondaire est modifiable : elle est une copie en lecture seule de la zone primaire.
3. Mélanger zone primaire et zone secondaire : la primaire est la source autorisée (fait autorité), la secondaire sert à la redondance.
4. Penser que la zone stub contient toute la zone : elle ne conserve que NS, SOA et A pour identifier les serveurs autoritaires.
5. Inverser le sens des enregistrements A/AAAA : A associe à IPv4, AAAA associe à IPv6.
6. Confondre redirecteur DNS et forwarder : le cours décrit le redirecteur comme transmettant les requêtes non résolues localement vers d’autres serveurs.
7. Croire que DNSSEC sert à “rendre le DNS plus rapide” : il sert à signer numériquement pour garantir l’intégrité et contrer la falsification.

✅ Checklist Examen

1. Définir le DNS comme service distribué reliant noms d’hôte/noms de domaine à leurs adresses IP.
2. Expliquer ce qu’est une zone DNS et le fait que le serveur gérant la zone fait autorité sur le domaine.
3. Distinguer zone directe et zone inversée et donner le type d’enregistrement attendu (A/AAAA vs PTR).
4. Citer les concepts de zone primaire, zone secondaire et zone stub et associer à chacun leur rôle (autorité, redondance, informations minimales).
5. Expliquer où une zone primaire peut être stockée (fichier local nom_zone.dns ou via AD DS) et ce que cela implique pour les contrôleurs de domaine.
6. Lister les enregistrements DNS courants et leur utilité : A, AAAA, CNAME, MX, NS, SOA, PTR, SRV, TXT.
7. Savoir quel enregistrement sert à créer des alias (CNAME) et quel enregistrement sert à stocker des données textuelles arbitraires (TXT).
8. Décrire l’objectif des transferts de zone et la règle de sécurité : n’autoriser que des serveurs DNS (re)connus.
9. Expliquer à quoi servent RBAC, audit des modifications, sauvegarde de zone et DNSSEC dans la sécurité DNS.
10. Définir un redirecteur DNS et préciser qu’il transmet les requêtes non résolues localement vers des serveurs appropriés (souvent de niveau supérieur).
11. Savoir citer des exemples d’adresses de DNS publics mentionnés (Cloudflare, Google, Quad9, OpenDNS, AdGuard) et leur usage en redirecteur.
12. Décrire les actions sous Windows Server pour ajouter un alias (CNAME) ou un nouvel hôte (A/AAAA) dans une zone DNS, selon le besoin.