.png)
- Warning
-
- JFolder::files : le chemin n'est pas un répertoire. Chemin : images/Badges
« La chose la plus difficile à comprendre au monde c’est l’impôt sur le revenu ! »
Recherche glossaire
Rôles 2016
Traduction
DNS
Une nouvelle fonctionnalité est actuellement présente dans le service DNS, les politiques DNS. Cette nouvelle fonctionnalité permet de renvoyer un résultat de requête DNS X si la demande émane d'un sous réseau X et un résultat de requête DNS Y si la demande émane d'un sous réseau Y.
Cela permet par exemple de renvoyer certaines réponses en fonction de la géo-localisation du client...
Mise en place d'un politique DNS
Mise en place d'un politique DNS
Pour cet excercice, vous aurez besoin de 2 serveurs et un poste client:
- 1 serveur DC + DNS membre du domaine formation.local nommé ServeurA
- 1 serveur DNS nom membre du domaine nommé ServeurB
- 1 client Windows 10 dont le dns pointe vers le serveur ServeurB
Sur votre serveur ServeurA, créez dans votre zone DNS un enregistrement de type alias nommé "www" pointant vers un de vos serveurs.
Sur un poste client Windows 10, purgez le cache DNS
ipconfig /flushdns
Sur le deuxième serveur DNS ServeurB (se dernier ne faisant pas parti du domaine), configurez un redirecteur conditionnel pointant vers votre serveur DNS "principal".
Add-DnsServerConditionalForwarderZone -Name "formation.local" -MasterServers 172.16.0.10
Voici ce que vous devez obtenir dans la console DNS
Purgez le cache DNS côté serveur et côté client du serveur DNS.
Clear-DNSServerCache
Clear-DNSClientCache
Puis testez une résolution de nom sur la zone
Resolve-DNSName formation.local
Cette dernière devant répondre positivement
Loguez-vous sur ServeurA
Créez une nouvelle zone nommé par exemple "partners"
Add-DnsServerZoneScope –ZoneName "formation.local" -Name "partners"
Et affectez à cette zone le sous-réseau correspondant à votre partenaire
Add-DNSServerClientSubnet –Name “SurPartner” –IPv4Subnet 172.16.10.0/24
Ajoutez à présent un enregistrement nommé "www" avec une adresse IP différente de votre serveur ServeurA (une ip publique par exemple) tout en la liant à la zone "partners"
Add-DnsServerResourceRecord -ZoneName "formation.local" -A -Name "www" -IPv4Address "131.107.0.200” -ZoneScope "partners"
Ajoutez une politique DNS
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ClientSubnet "eq,SurPartner" -ZoneScope "partners,1" -ZoneName formation.local
Validation de la politique DNS
Validation de la politique DNS
Loguez-vous sur le poste client
ipconfig /flushdns
nslookup www.formation.local
Clear-DNSServerCache
Clear-DNSClientCache
Resolve-DNSName www.formation.local
Toute demande de résolution de nom sur le nom www.formation.local émanant de réseau partenaire recevra une adresse ip différente que si la requête émane du réseau formation.local.
Compléments
Compléments
Bloquer les requêtes émanant d'un domaine
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Bloquer les requêtes émanant d'un sous-réseau
Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06"
Autorisez la récusivité pour les clients interne
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.34"
Créez une zone de transfert au niveau serveur
Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"
Créez une zone de transfert au niveau zone
Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "ne,10.0.0.33" -PassThru -ZoneName "contoso.com"