Les stratégies DNS

Vue d’ensemble des stratégies DNS

Vous pouvez utiliser les stratégies DNS pour "manipule"r la façon dont un serveur DNS gère les requêtes en fonction de différents facteurs. À titre d’exemple, vous pouvez créer une stratégie DNS pour répondre aux requêtes demandant que l’adresse IP d’un serveur Web réponde avec une adresse IP différente basée sur le centre de données le plus proche du client. Cela diffère de la réorganisation du masque net parce que le client n’aura pas la même adresse de sous-réseau local que le serveur Web, mais le serveur Web particulier est plus proche que d’autres, du point de vue du client.

Scénarios pour l’utilisation des stratégies DNS

Vous pouvez créer plusieurs stratégies DNS en fonction de vos besoins. Divers facteurs pourraient bénéficier de la création d’une stratégie DNS, selon les scénarios suivants :

• Application haute disponibilité. Les clients sont redirigés vers le point de terminaison le plus sain pour une application, où « le plus sain » est déterminé par des facteurs de haute disponibilité dans un cluster de basculement.
• Gestion du trafic. Les clients sont redirigés vers le centre de données ou l’emplacement du serveur le plus proche.
• Filtrage. Les requêtes DNS sont bloquées si elles proviennent d’une liste d’adresses IP malveillantes ou de noms de domaine complets (FQDN).
• Forensics. Les clients DNS malveillants sont redirigés vers un gouffre au lieu de l’ordinateur qu’ils essaient d’atteindre.
• Redirection basée sur l’heure de la journée. Les clients sont redirigés vers des centres de données en fonction de l’heure de la journée.

Objets de stratégie DNS

Pour utiliser les scénarios précédemment mentionnés pour créer des stratégies, vous devez identifier des groupes d’enregistrements dans une zone, des groupes de clients sur un réseau ou d’autres éléments. Vous pouvez identifier les éléments par les nouveaux objets de stratégie DNS suivants :

• Sous-réseau client. Il s’agit du sous-réseau IPv4 ou IPv6 à partir duquel les requêtes sont envoyées à un serveur DNS. Vous créez des sous-réseaux pour définir ultérieurement les stratégies que vous appliquez en fonction du sous-réseau qui génère les demandes. Par exemple, vous pouvez avoir un scénario DNS à cerveau partagé où la demande de résolution de nom pour www.contoso.com peut être répondue avec une adresse IP interne aux clients internes et une adresse IP différente pour les clients externes.
• Portée de récursion. Cela représente des instances uniques d’un groupe de paramètres qui contrôlent la récursion du serveur DNS. Une étendue de récursion contient une liste d’ap avancers et spécifie si la récursion est utilisée. Un serveur DNS peut avoir plusieurs étendues de récursion. Vous pouvez utiliser les stratégies de récursion de serveur DNS pour choisir une étendue de récursion pour un ensemble de requêtes donné. Si le serveur DNS n’est pas faisant autorité pour certaines requêtes, les stratégies de récursion du serveur DNS vous permettent de contrôler la résolution de ces requêtes. Dans ce cas, vous pouvez spécifier les transmeteurs à utiliser et s’il faut utiliser la récursion.
• Étendues de zone. Les zones DNS peuvent avoir plusieurs étendues de zone, et chaque étendue de zone peut contenir son propre ensemble d’enregistrements de ressources DNS. Le même enregistrement de ressource peut être présent sur plusieurs étendues, avec différentes adresses IP en fonction de l’étendue. En outre, les transferts de zone peuvent se produire au niveau de la zone-portée. Cela permettra de transférer les enregistrements de ressources d’une zone d’une zone primaire vers la même étendue de zone dans une zone secondaire.
  Créer et gérer des stratégies DNS

Vous créez des stratégies DNS basées sur le niveau et le type. Vous pouvez utiliser des stratégies de résolution de requêtes pour définir comment gérer les requêtes de résolution de nom de client et utiliser des stratégies de transfert de zone pour définir les transferts de zone. Vous pouvez appliquer les deux types de stratégie au niveau du serveur ou de la zone.

Vous pouvez créer plusieurs stratégies de résolution de requête au même niveau si elles ont une valeur différente pour l’ordre de traitement. Les stratégies de récursion sont un type spécial de stratégie au niveau du serveur. Ils contrôlent la façon dont un serveur DNS effectue la récursion de requête, le cas échéant. Les stratégies de récursion ne s’appliquent que lorsque le traitement des requêtes atteint le chemin d’accès à la récursion. Vous pouvez choisir une valeur de DENY ou IGNORE pour la récursion pour un ensemble donné de requêtes. Sinon, vous pouvez choisir un ensemble d’ensakers pour un ensemble de requêtes.

Les étapes de haut niveau pour résoudre un enregistrement hôte différemment pour les utilisateurs d’une plage d’adresses IP spécifiques sont les suivantes :

• Créez un sous-réseau client serveur DNS pour la plage d’adresses IP.
• Créez une étendue de zone serveur DNS pour la zone contenant l’enregistrement hôte.
• Ajoutez un enregistrement hôte à la zone spécifique à l’étendue de zone.
• Ajoutez une stratégie de résolution de requête de serveur DNS qui permet au sous-réseau client du serveur DNS d’interroger l’étendue de zone de la zone.

Voici un exemple des étapes utilisées pour configurer la stratégie DNS à l’aide de Windows PowerShell :

Add-DnsServerClientSubnet -Name "Wifi Public" -IPv4Subnet "192.168.3.0/24"

Add-DnsServerZoneScope -ZoneName "Rumilly" -Name "WifiPub"

Add-DnsServerResourceRecord -ZoneName "Rumilly" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "WifiPub"

Add-DnsServerQueryResolutionPolicy -Name "StrategieWifiPub" -Action ALLOW -ClientSubnet "eq,WifiPub" -ZoneScope "WifiPub,1" -ZoneName "Rumilly"