Exporter (0) Imprimer
Développer tout
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

Pas à pas : illustrer DNSSEC dans un laboratoire de test

Publication: février 2012

Mis à jour: février 2012

S'applique à: Windows Server 2012

Les extensions de sécurité DNS (DNSSEC) sont une suite d’extensions qui renforcent la sécurité du protocole DNS. Avec DNSSEC, les serveurs DNS ne faisant pas autorité sont capables de valider les réponses qu’ils reçoivent lorsqu’ils interrogent d’autres serveurs DNS. En outre, les ordinateurs exécutant Windows® 7 ou version ultérieure peuvent être configurés afin que cette validation soit exigée.

Ce guide fournit des instructions pas à pas pour déployer DNSSEC dans un laboratoire de test à l’aide de deux ordinateurs serveurs ou, en option, trois ordinateurs serveurs et un ordinateur client. Vous trouverez également la configuration logicielle et matérielle requise, ainsi qu’une vue d’ensemble de DNSSEC.

ImportantImportant
Les instructions ci-après permettent de configurer un laboratoire de test à l’aide d’un nombre minimal d’ordinateurs. Chaque ordinateur individuel permet de séparer les services fournis sur le réseau et de mettre clairement en valeur la fonctionnalité recherchée. Dans le cadre d’un réseau de production, cette configuration ne saurait en aucun cas refléter la meilleure conduite à suivre ; par conséquent, elle n’est pas recommandée. Son application, y compris les adresses IP et tout autre paramètre de configuration, est strictement limitée à un réseau de laboratoire de test spécifique.

Le protocole DNS est vulnérable aux attaques en raison d’une absence inhérente d’authentification et de contrôle d’intégrité des données qui sont échangées entre les serveurs DNS ou fournies aux clients DNS. DNSSEC renforce la sécurité des réponses DNS en fournissant aux serveurs DNS la possibilité de valider les réponses DNS. Avec DNSSEC, les enregistrements de ressource sont assortis de signatures numériques. Ces signatures numériques sont générées lorsque DNSSEC est appliqué à une zone DNS à l’aide d’un processus appelé signature de zone. Lorsqu’un programme de résolution émet une requête DNS pour un enregistrement de ressource dans une zone signée, une signature numérique est retournée avec la réponse afin que la validation puisse être effectuée. Si la validation réussit, cela signifie que les données n’ont pas été modifiées ou altérées d’une quelconque manière.

L’usurpation DNS est un type d’attaque qui implique l’emprunt d’identité des réponses du serveur DNS afin de présenter des fausses informations. Dans une attaque par usurpation d’identité, un utilisateur malveillant essaie de deviner qu’un client ou un serveur DNS a envoyé une requête DNS et qu’il attend une réponse DNS. Une attaque par usurpation d’identité réussie insèrera une fausse réponse DNS dans le cache du serveur DNS, processus appelé empoisonnement du cache. Un serveur DNS dont l’identité a été usurpée n’a aucun moyen de vérifier l’authenticité des données DNS. Il répondra à partir de son cache en utilisant des fausses informations. Un agresseur peut également définir une durée de vie très longue pour les données DNS fausses. Le cache du serveur DNS reste ainsi empoisonné pendant plusieurs heures ou jours. Il est également possible d’envoyer une attaque par usurpation DNS vers un client DNS ; toutefois, ces attaques persistent moins longtemps que les attaques par empoisonnement de cache. DNSSEC peut prévenir ces deux types d’attaques en exigeant la validation de l’authenticité des réponses DNS. Voir la figure suivante.

Attaque par usurpation d’identité DNS

DNSSEC utilise des signatures numériques et des clés de chiffrement pour valider l’authenticité des clés de chiffrement. Les rubriques suivantes abordent brièvement la gestion de ces signatures et l’exécution de cette validation.

Les signatures générées avec DNSSEC sont contenues à l’intérieur de la zone DNS elle-même dans les nouveaux enregistrements de ressource. Ces nouveaux enregistrements de ressource sont appelés enregistrements RRSIG (Resource Record Signature). Lorsqu’un programme de résolution émet une requête relative à un nom, l’enregistrement RRSIG est retourné dans la réponse. Une clé de chiffrement publique appelée DNSKEY est nécessaire pour vérifier la signature. La DNSKEY est récupérée par un serveur DNS pendant le processus de validation.

Lorsque vous signez une zone avec DNSSEC, vous signez individuellement tous les enregistrements contenus dans la zone. Cela permet d’ajouter, de modifier ou de supprimer des enregistrements dans la zone sans devoir signer à nouveau toute la zone. Il convient seulement de signer à nouveau les enregistrements mis à jour.

Que se passe-t-il si une requête DNS est destinée à un enregistrement qui n’existe pas ? Si le serveur DNS répond qu’aucun enregistrement n’a été trouvé, l’authenticité de cette réponse doit également être validée. Toutefois, l’absence d’enregistrement de ressource entraîne l’absence d’enregistrement RRSIG. Ce problème peut se résoudre avec un enregistrement Next Secure (NSEC). Les enregistrements NSEC créent une chaîne de liens entre les enregistrements de ressource signés. Pour créer des enregistrements NSEC, la zone est triée et les enregistrements NSEC sont créés de telle sorte que l’enregistrement NSEC dispose d’un pointeur vers l’enregistrement NSEC suivant. Le dernier enregistrement NSEC pointe à son tour vers le premier enregistrement. Lorsqu’une requête concerne un enregistrement inexistant, le serveur DNS retourne l’enregistrement NSEC antérieur à l’enregistrement inexistant. Nous parlons alors de déni d’existence authentifié.

NSEC3 substitue ou remplace NSEC et présente l’avantage d’empêcher le « parcours de zone ». Il s’agit d’un processus de répétition des requêtes NSEC afin de récupérer tous les noms d’une zone. Un serveur DNS exécutant Windows Server® 2012 prend en charge à la fois NSEC et NSEC3. Une zone peut être signée soit avec NSEC, soit avec NSEC3, mais pas avec les deux.

Une ancre d’approbation est une clé publique préconfigurée associée à une zone spécifique. Un serveur DNS de validation doit être configuré avec une ou plusieurs ancres d’approbation afin d’exécuter la validation. Si le serveur DNS s’exécute sur un contrôleur de domaine, les ancres d’approbation sont stockées dans une partition d’annuaire de forêt dans les services de domaine Active Directory (AD DS). Elles peuvent être répliquées dans tous les contrôleurs de domaine de la forêt. Sur des serveurs DNS autonomes, les ancres d’approbation sont stockées dans un fichier appelé TrustAnchors.dns. Un serveur DNS exécutant Windows Server 2012 affiche également des ancres d’approbation configurées dans l’arborescence de la console du Gestionnaire DNS du conteneur Points d’approbation. Vous pouvez aussi utiliser Windows PowerShell ou Dnscmd.exe pour visualiser les ancres d’approbation.

La politique de gestion de clés DNSSEC inclut la planification de la génération de clés, du stockage de clés, de l’expiration de clés et du remplacement de clés. Le renouvellement de clés est la combinaison de l’expiration et du remplacement de clés dans DNSSEC. Dans Windows Server 2012, la génération de clés simple et flexible, le stockage et la réplication Active Directory ainsi que le renouvellement de clés automatisé sont les trois facteurs qui facilitent la gestion de clés.

Dans Windows 8 et Windows Server 2012, le service du client DNS continue de ne pas fournir de validation et d’être adapté à la sécurité, comme les ordinateurs exécutant Windows 7 et Windows Server® 2008 R2. Lorsque le client DNS émet une requête, il peut indiquer au serveur DNS qu’il comprend DNSSEC. Cependant, le client ne fournit pas de validation. Lorsqu’il émet des requêtes, le client DNS compte sur le serveur DNS local pour indiquer que la validation a réussi. Si le serveur échoue dans la réalisation de la validation ou rapporte que celle-ci a échoué, le service du client DNS peut être configuré pour ne retourner aucun résultat.

La table de stratégie de résolution de noms (NRPT, Name Resolution Policy Table) contient des règles que vous pouvez configurer pour spécifier des paramètres DNS ou un comportement particulier pour les noms ou les espaces de noms. La table NRPT peut être configurée à l’aide de la stratégie de groupe ou du Registre Windows.

Lors de l’exécution de la résolution de noms DNS, le service du client DNS vérifie la table NRPT avant d’envoyer une requête DNS. Si une requête DNS correspond à une entrée dans la table NRPT, elle est gérée selon les paramètres dans la stratégie. Les requêtes qui ne correspondent pas à une entrée de la table NRPT sont traitées normalement. Vous pouvez utiliser la table NRPT pour que la validation DNSSEC du client DNS soit réalisée sur les réponses DNS pour les requêtes dans les espaces de noms que vous spécifiez.

Ce laboratoire de test présente la nouvelle fonctionnalité DNSSEC dans Windows Server 2012. Trois ordinateurs serveurs et un ordinateur client sont utilisés. Voir la figure suivante.

Configuration du laboratoire DNSSEC

Deux ordinateurs serveurs sont nécessaires pour réaliser ce laboratoire de test. Éventuellement, trois ordinateurs serveurs et un ordinateur client peuvent être utilisés pour accomplir les étapes supplémentaires de ce laboratoire de test.

Voici les composants requis du laboratoire de test :

  1. Le disque produit ou autre support d’installation pour Windows Server 2012.

  2. Deux ordinateurs présentant la configuration matérielle minimale requise pour Windows Server 2012.

Les composants suivants sont recommandés mais ne sont pas exigés pour réaliser ce laboratoire de test :

  1. Le disque produit ou autre support d’installation pour Windows® 8.

  2. Deux ordinateurs présentant la configuration matérielle minimale requise pour Windows Server 2012 et Windows 8.

Les procédures suivantes permettent de configurer les ordinateurs pour la portion de démonstration de ce laboratoire de test :

  • Configurer DC1 : DC1 est un contrôleur de domaine et un serveur DNS faisant autorité intégré à Active Directory.

  • Configurer DNS1 : DNS1 est un serveur DNS de mise en cache, ne faisant pas autorité.

  • Configurer DC2 : DC2 est un contrôleur de domaine et un serveur DNS intégré à Active Directory.

  • Configurer Client1 : les paramètres de stratégie de groupe pour DNS sont appliqués au Client1 et ce dernier est utilisé pour émettre des requêtes de client DNS.

DC1 est un ordinateur exécutant Windows Server 2012, fournissant les services suivants :

  • un contrôleur de domaine du domaine Active Directory contoso.com ;

  • un serveur DNS faisant autorité pour la zone DNS contoso.com ;

  • un maître des clés DNSSEC pour la zone DNS contoso.com.

La configuration initiale de DC1 comprend les étapes suivantes :

Des tâches supplémentaires seront exécutées sur DC1 lors de la portion de démonstration du laboratoire de test, parmi lesquelles la configuration NRPT, la signature de zone DNSSEC, la distribution d’ancres d’approbation et la démonstration du renouvellement de clés DNSSEC.

  1. Démarrez votre ordinateur en utilisant le disque produit Windows Server 2012 ou un autre support numérique.

  2. Lorsque vous y êtes invité, entrez une clé de produit, acceptez les termes du contrat de licence, configurez les paramètres d’horloge, de langue et régionaux, puis indiquez un mot de passe pour le compte Administrateur local.

  3. Appuyez sur Ctrl+Alt+Suppr et connectez-vous à l’aide du compte Administrateur local.

  4. Si vous êtes invité à activer le service Rapport d’erreurs Windows, cliquez sur Accepter.

  5. Cliquez sur Démarrer, tapez ncpa.cpl et appuyez sur ENTRÉE. Le Panneau de configuration Connexions réseau s’ouvre.

    TipConseil
    L’étape précédente illustre une nouvelle fonction de Windows Server 2012 qui vous permet de rechercher et d’exécuter des applications, paramètres et fichiers en cliquant sur Démarrer et en tapant un terme à rechercher. Vous pouvez également ouvrir le Panneau de configuration Connexions réseau en cliquant en regard de Connexion Ethernet câblée dans le Gestionnaire de serveur avec l’affichage Serveur local. Pour plus d’informations, voir Tâches de gestion courantes et navigation dans Windows Server 2012 (http://go.microsoft.com/fwlink/p/?LinkId=242147).

  6. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion Ethernet câblée et cliquez sur Propriétés.

  7. Double-cliquez sur Protocole Internet version 4 (TCP/IPv4).

  8. Sous l’onglet Général, choisissez Utiliser l’adresse IP suivante.

  9. En regard de Adresse IP tapez 10.0.0.1 et en regard de Masque de sous-réseau tapez 255.255.255.0. Il n’est pas nécessaire de fournir une entrée en regard de Passerelle par défaut.

  10. En regard de Serveur DNS préféré, tapez 10.0.0.1.

  11. Cliquez à deux reprises sur OK, puis fermez le Panneau de configuration Connexions réseau.

DC1 jouera le rôle de contrôleur principal de domaine et de serveur DNS pour le domaine Active Directory contoso.com.

  1. Le tableau de bord de la console du Gestionnaire de serveur est affiché par défaut. Dans le volet de navigation, cliquez sur Configurer ce serveur local.

  2. Sous PROPRIÉTÉS, cliquez sur le nom en regard de Nom de l’ordinateur. La boîte de dialogue Propriétés système s’ouvre.

  3. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier et tapez DC1 sous Nom de l’ordinateur.

  4. Cliquez à deux reprises sur OK, puis cliquez sur Fermer.

  5. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  6. Après avoir redémarré l’ordinateur, connectez-vous à l’aide du compte Administrateur local.

  7. Dans le Gestionnaire de serveur, sous Configurer ce serveur local, cliquez sur Ajouter des rôles et fonctionnalités.

  8. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez à trois reprises sur Suivant puis, dans la page Sélectionner des rôles de serveurs, activez la case à cocher Services de domaine Active Directory.

  9. Lorsque vous êtes invité à ajouter les fonctionnalités requises, cliquez sur Ajouter des fonctionnalités.

  10. Cliquez sur Suivant à trois reprises, puis cliquez sur Installer.

  11. Attendez la fin du processus d’installation, vérifiez à la page Progression de l’installation que Configuration requise. Installation réussie sur DC1 est affiché, puis cliquez sur Fermer.

  12. Cliquez sur l’indicateur de notification, puis sur Promouvoir ce serveur en contrôleur de domaine.

    Notifier
  13. Dans l’Assistant Configuration des services de domaine Active Directory, dans la page Configuration de déploiement, choisissez Nouvelle forêt et, en regard de Nom de domaine racine, tapez contoso.com.

  14. Cliquez sur Suivant et, dans la page Options du contrôleur de domaine, sous Taper le mot de passe du mode de restauration des services d’annuaire (DSRM), tapez un mot de passe en regard de Mot de passe et Confirmer le mot de passe. Confirmez que Serveur du Système de Noms de Domaine (DNS) et Catalogue global (GC) sont sélectionnés, puis cliquez sur Suivant.

  15. Cliquez sur Suivant à cinq reprises, puis cliquez sur Installer.

  16. L’ordinateur redémarre automatiquement pour terminer le processus d’installation.

  17. Connectez-vous à l’aide du compte Administrateur local.

  18. Il convient ensuite de créer un compte d’administrateur de domaine que vous utiliserez dans les procédures du laboratoire de test.

    TipConseil
    Vous pouvez utiliser le compte CONTOSO\Administrateur dans ce laboratoire de test et ignorer la création d’un compte d’administrateur de domaine si vous le souhaitez. Ce compte dispose de privilèges d’administrateur de domaine, entre autres. Toutefois, il est conseillé de désactiver ou de renommer ce compte. Pour plus d’informations, voir Méthodes conseillées pour Active Directory(http://go.microsoft.com/fwlink/p/?LinkID=243071).

  1. Dans la barre de menus du Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.

  2. Dans l’arborescence de la console Utilisateurs et ordinateurs Active Directory, double-cliquez sur contoso.com, cliquez avec le bouton droit sur Utilisateurs, pointez sur Nouveau, puis cliquez sur Utilisateur.

  3. Dans la boîte de dialogue Nouvel objet– Utilisateur, tapez user1 sous Nom d’ouverture de session de l’utilisateur et en regard de Nom complet, puis cliquez sur Suivant.

  4. En regard de Mot de passe et Confirmer le mot de passe, tapez un mot de passe pour le compte utilisateur1.

  5. Désactivez la case à cocher en regard de L’utilisateur doit changer le mot de passe à la prochaine ouverture de session, activez la case à cocher Le mot de passe n’expire jamais, cliquez sur Suivant, puis sur Terminer.

  6. Double-cliquez sur utilisateur1, puis cliquez sur l’onglet Membre de.

  7. Cliquez sur Ajouter, tapez domain admins sous Entrez les noms des objets à sélectionner, cliquez sur OK à deux reprises, puis fermez la console Utilisateurs et ordinateurs Active Directory.

  8. Cliquez sur Démarrer, sur Administrateur, puis sur Déconnexion.

  9. Connectez-vous à l’ordinateur à l’aide des informations d’identification d’utilisateur1 en cliquant sur la flèche gauche en regard de CONTOSO\Administrateur et sur Autre utilisateur.

Configurez ensuite une nouvelle zone DNS : sec.contoso.com. Cette zone servira à illustrer la signature de zone DNSSEC.

WarningAvertissement
La zone de domaine (contoso.com) peut également être signée avec DNSSEC. Toutefois, le laboratoire de test inclut des scénarios d’échec de validation qui renforce la complexité si la zone de domaine est signée.

  1. Dans la barre de menus du Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.

  2. Dans l’arborescence de la console du Gestionnaire de serveur, cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone.

  3. Dans l’Assistant Nouvelle zone, cliquez sur Suivant à trois reprises, puis sous Nom de la zone tapez sec.contoso.com.

  4. Cliquez sur Suivant à deux reprises, puis sur Terminer.

  5. Vérifiez que la zone « sec.contoso.com » est affichée sous Zones de recherche directes.

  6. Ajoutez ensuite un ou plusieurs enregistrements de ressource DNS à la zone sec.contoso.com.

  7. Laissez la console du Gestionnaire DNS ouverte.

  1. Cliquez avec le bouton droit sur sec.contoso.com, puis cliquez sur Nouvel hôte (A ou AAAA).

  2. Dans la boîte de dialogue Nouvel hôte, tapez dc1 sous Nom, tapez 10.0.0.1 sous Adresse IP, puis cliquez sur Ajouter un hôte. L’adresse IP de dc1.contoso.com est utilisée ici pour aider à illustrer les scénarios de succès et d’échec DNSSEC.

  3. Confirmez que L’enregistrement d’hôte dc1.sec.contoso.com %s a été créé correctement est affiché, puis cliquez sur OK.

  4. Ajoutez des enregistrements de ressource supplémentaires dans la zone si vous le souhaitez, puis cliquez sur Terminé.

DC1 servira à illustrer la fonctionnalité d’une application réseau dans un environnement avec DNSSEC.

  1. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur Serveur local.

  2. Cliquez sur le mot Désactivé en regard de Bureau à distance.

  3. Dans la boîte de dialogue Propriétés du système, sous l’onglet Distant, cliquez sur Autoriser la connexion des ordinateurs exécutant n’importe quelle version du Bureau à distance (moins sûr), puis cliquez sur OK.

DNS1 est un ordinateur exécutant Windows Server® 2012, fournissant les services suivants :

  • un serveur DNS récursif ne faisant pas autorité ;

  • un ordinateur client DNS (en option : si Client1 n’est pas utilisé).

La configuration initiale de DNS1 comprend les étapes suivantes :

Pendant la portion de démonstration du laboratoire de test, DNS1 servira à exécuter des requêtes DNS récursives, héberger une ancre d’approbation pour le domaine contoso.com et fournir la validation DNSSEC pour les requêtes du client DNS. Éventuellement (si un ordinateur client DNS distinct n’est pas utilisé), DNS1 servira à émettre des requêtes du client DNS.

TipConseil
La procédure ci-dessous est identique aux étapes utilisées pour installer le système d’exploitation et configurer TCP/IP sur DC1, excepté que DNS1 est configuré avec une adresse IP de 10.0.0.2.

  1. Démarrez votre ordinateur en utilisant le disque produit Windows Server 2012 ou un autre support numérique.

  2. Lorsque vous y êtes invité, entrez une clé de produit, acceptez les termes du contrat de licence, configurez les paramètres d’horloge, de langue et régionaux, puis indiquez un mot de passe pour le compte Administrateur local.

  3. Appuyez sur Ctrl+Alt+Suppr et connectez-vous à l’aide du compte Administrateur local.

  4. Si vous êtes invité à activer le service Rapport d’erreurs Windows, cliquez sur Accepter.

  5. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur Serveur local puis sur l’adresse IP en regard de Connexion Ethernet câblée. Le Panneau de configuration Connexions réseau s’ouvre.

  6. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion Ethernet câblée et cliquez sur Propriétés.

  7. Double-cliquez sur Protocole Internet version 4 (TCP/IPv4).

  8. Sous l’onglet Général, choisissez Utiliser l’adresse IP suivante.

  9. En regard de Adresse IP tapez 10.0.0.2 et en regard de Masque de sous-réseau tapez 255.255.255.0. Il n’est pas nécessaire de fournir une entrée en regard de Passerelle par défaut.

  10. En regard de Serveur DNS préféré, tapez 10.0.0.1.

  11. Cliquez deux fois sur OK, puis fermez le Panneau de configuration Connexions réseau.

DNS1 est un serveur membre de domaine exécutant le service de rôle de serveur DNS. DNS1 n’est pas un contrôleur de domaine.

  1. Dans le volet de navigation du tableau de bord du Gestionnaire de serveur, cliquez sur Configurer ce serveur local.

  2. Sous PROPRIÉTÉS, cliquez sur le nom en regard de Nom de l’ordinateur. La boîte de dialogue Propriétés système s’ouvre.

  3. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier et tapez DNS1 sous Nom de l’ordinateur.

  4. Sous Membre de, sélectionnez Domaine, tapez contoso.com, puis cliquez sur OK.

  5. Lorsque vous êtes invité à fournir des informations d’identification pour joindre le domaine, entrez les informations d’identification du compte utilisateur1 créé précédemment.

  6. Confirmez que le nom d’ordinateur et le domaine ont été correctement modifiés, cliquez sur OK, puis sur Fermer.

  7. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  8. Après avoir redémarré l’ordinateur, connectez-vous à l’aide du compte Contoso\utilisateur1.

  9. Dans le Gestionnaire de serveur, sous Configurer ce serveur local, cliquez sur Ajouter des rôles et fonctionnalités.

  10. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez à trois reprises sur Suivant puis, dans la page Sélectionner des rôles de serveurs, activez la case à cocher Serveur DNS.

  11. Lorsque vous êtes invité à ajouter les fonctionnalités requises, cliquez sur Ajouter des fonctionnalités.

  12. Cliquez sur Suivant à trois reprises, puis cliquez sur Installer.

  13. Attendez la fin du processus d’installation, vérifiez à la page Progression de l’installation que Installation réussie sur DNS1.contoso.com est affiché, puis cliquez sur Fermer.

  14. Dans la barre de menus du Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.

  15. Dans l’arborescence de la console du Gestionnaire de serveur DNS, cliquez avec le bouton droit sur DNS1, puis cliquez sur Propriétés.

  16. Cliquez sur l’onglet Redirecteurs, sur Modifier, tapez 10.0.0.1, puis cliquez à deux reprises sur OK.

  17. Laissez la console du Gestionnaire DNS ouverte.

Le moniteur réseau servira à visualiser des informations détaillées concernant les requêtes DNS. L’installation du moniteur réseau est facultative dans le laboratoire de test. Les résultats de l’analyse du trafic réseau à l’aide du moniteur réseau sont fournis dans la section Annexe : résultats du moniteur réseau.

  1. Téléchargez la dernière version du moniteur réseau depuis le Centre de téléchargement Microsoft : Moniteur réseau 3.4 (http://go.microsoft.com/fwlink/p/?LinkId=103158).

  2. Double-cliquez sur le fichier d’installation, cliquez sur Oui lorsque vous êtes invité à poursuivre, cliquez sur Suivant, lisez et acceptez le contrat de licence, puis cliquez sur Suivant.

  3. Choisissez Utiliser Microsoft Update pour vérifier les mises à jour (recommandé), puis cliquez sur Suivant.

  4. Choisissez le type d’installation Complète, puis cliquez sur Installer.

  5. Cliquez sur Oui dans la boîte de dialogue Contrôle de compte d’utilisateur.

  6. Cliquez sur Terminer, puis sur Oui dans la boîte de dialogue Contrôle de compte d’utilisateur.

DC2 est un ordinateur exécutant Windows Server 2012, fournissant les services suivants :

  • un contrôleur de domaine secondaire du domaine Active Directory contoso.com ;

  • un serveur DNS faisant autorité pour la zone DNS contoso.com.

noteRemarque
L’installation et la configuration de DC2 sont recommandées mais restent facultatives. DC2 est nécessaire pour réaliser certaines étapes, mais pas toutes, dans le laboratoire de test. Si vous devez limiter le nombre d’ordinateurs utilisés dans le laboratoire de test, ignorez ces étapes d’installation et de configuration de DC2. DC2 est nécessaire pour illustrer la réplication Active Directory et le transfert du rôle de maître des clés de DC1 à DC2.

La configuration initiale de DC2 comprend les étapes suivantes :

Pendant la portion de démonstration du laboratoire de test, DC2 servira à illustrer la réplication Active Directory d’une zone signée DNSSEC. Il aura également pour tâche de transférer le rôle de maître des clés sur DC1 vers un autre serveur DNS faisant autorité.

TipConseil
La procédure ci-dessous est identique aux étapes utilisées pour installer le système d’exploitation et configurer TCP/IP sur DC1, excepté que DC2 est configuré avec une adresse IP de 10.0.0.3.

  1. Démarrez votre ordinateur en utilisant le disque produit Windows Server 2012 ou un autre support numérique.

  2. Lorsque vous y êtes invité, entrez une clé de produit, acceptez les termes du contrat de licence, configurez les paramètres d’horloge, de langue et régionaux, puis indiquez un mot de passe pour le compte Administrateur local.

  3. Appuyez sur Ctrl+Alt+Suppr et connectez-vous à l’aide du compte Administrateur local.

  4. Si vous êtes invité à activer le service Rapport d’erreurs Windows, cliquez sur Accepter.

  5. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur Serveur local puis sur l’adresse IP en regard de Connexion Ethernet câblée. Le Panneau de configuration Connexions réseau s’ouvre.

  6. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion Ethernet câblée et cliquez sur Propriétés.

  7. Double-cliquez sur Protocole Internet version 4 (TCP/IPv4).

  8. Sous l’onglet Général, choisissez Utiliser l’adresse IP suivante.

  9. En regard de Adresse IP tapez 10.0.0.3 et en regard de Masque de sous-réseau tapez 255.255.255.0. Il n’est pas nécessaire de fournir une entrée en regard de Passerelle par défaut.

  10. En regard de Serveur DNS préféré, tapez 10.0.0.1.

  11. Cliquez à deux reprises sur OK, puis fermez le Panneau de configuration Connexions réseau.

Les étapes d’installation d’Active Directory et du DNS sur DC2 sont quasiment identiques à celles de DC1. Toutes les étapes sont fournies ici à des fins d’exhaustivité.

  1. Dans le volet de navigation du tableau de bord du Gestionnaire de serveur, cliquez sur Configurer ce serveur local.

  2. Sous PROPRIÉTÉS, cliquez sur le nom en regard de Nom de l’ordinateur. La boîte de dialogue Propriétés système s’ouvre.

  3. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier et tapez DC2 sous Nom de l’ordinateur.

  4. Sous Membre de, sélectionnez Domaine, tapez contoso.com, puis cliquez sur OK.

  5. Lorsque vous êtes invité à fournir des informations d’identification pour joindre le domaine, entrez les informations d’identification du compte utilisateur1.

  6. Confirmez que le nom d’ordinateur et le domaine ont été correctement modifiés, cliquez sur OK, puis sur Fermer.

  7. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  8. Après avoir redémarré l’ordinateur, connectez-vous à l’aide du compte Contoso\utilisateur1.

  9. Dans le Gestionnaire de serveur, sous Configurer ce serveur local, cliquez sur Ajouter des rôles et fonctionnalités.

  10. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez à trois reprises sur Suivant puis, dans la page Sélectionner des rôles de serveurs, activez la case à cocher Services de domaine Active Directory.

  11. Lorsque vous êtes invité à ajouter les fonctionnalités requises, cliquez sur Ajouter des fonctionnalités.

  12. Cliquez sur Suivant à trois reprises, puis cliquez sur Installer.

  13. Attendez la fin du processus d’installation, vérifiez à la page Progression de l’installation que Configuration requise. Installation réussie sur DC2.contoso.com est affiché, puis cliquez sur Fermer.

  14. Dans le Gestionnaire de serveur, cliquez sur l’indicateur de notification, puis sur Promouvoir ce serveur en contrôleur de domaine.

  15. Dans l’Assistant Configuration des services de domaine Active Directory, dans la page Configuration de déploiement, choisissez Ajouter un contrôleur de domaine à un domaine existant, confirmez que le nom affiché en regard de Domaine est contoso.com, fournissez des informations d’identification compte Contoso\utilisateur1, puis cliquez sur Suivant.

  16. Dans la page Options du contrôleur de domaine, activez les cases à cocher Serveur du Système de Noms de Domaine (DNS) et Catalogue _global (GC), tapez le mot de passe du mode de restauration des services d’annuaire (DSRM) en regard de Mot de passe et Confirmer le mot de passe, cliquez à cinq reprises sur Suivant, puis cliquez sur Installer.

  17. Confirmez la réussite de l’installation. L’ordinateur redémarre automatiquement.

  18. Après le redémarrage de l’ordinateur, connectez-vous à l’aide des informations d’identification CONTOSO\utilisateur1.

Client1 est un ordinateur exécutant Windows® 8 qui agit en tant que client DNS. La configuration de Client1 comprend les étapes suivantes :

Pendant la portion de démonstration du laboratoire de test, Client1 recevra les paramètres NRPT de la stratégie de groupe et servira à exécuter les requêtes DNS.

  1. Démarrez votre ordinateur en utilisant le disque produit Windows 8 ou un autre support numérique.

  2. Lorsque vous y êtes invité, entrez une clé de produit et acceptez les termes du contrat de licence.

  3. Lorsque vous êtes invité à entrer un nom de PC, tapez Client1 et cliquez sur Suivant.

  4. Cliquez sur Utiliser la configuration rapide.

  5. Dans la page Se connecter à votre ordinateur, cliquez sur Vous ne voulez pas vous connecter avec un compte Microsoft ?, puis sur Compte local.

  6. En regard de Nom d’utilisateur, tapez user1, entrez un mot de passe et une indication de mot de passe, puis cliquez sur Terminer.

  7. Dans la page Démarrer, tapez ncpa.cpl et appuyez sur ENTRÉE. Le Panneau de configuration Connexions réseau s’ouvre.

  8. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion Ethernet câblée et cliquez sur Propriétés.

  9. Double-cliquez sur Protocole Internet version 4 (TCP/IPv4).

  10. Sous l’onglet Général, choisissez Utiliser l’adresse IP suivante.

  11. En regard de Adresse IP tapez 10.0.0.4 et en regard de Masque de sous-réseau tapez 255.255.255.0. Il n’est pas nécessaire de fournir une entrée en regard de Passerelle par défaut.

  12. En regard de Serveur DNS préféré, tapez 10.0.0.2.

    ImportantImportant
    L’ordinateur client DNS doit utiliser un serveur DNS ne faisant pas autorité pour ce laboratoire de test. L’adresse IP utilisée pour Serveur DNS préféré doit correspondre à DNS1 (10.0.0.2), et non à un serveur DNS s’exécutant sur un contrôleur de domaine (DC1 ou DC2).

  13. Cliquez à deux reprises sur OK, puis fermez le Panneau de configuration Connexions réseau.

Client1 doit être joint au domaine contoso.com pour pouvoir recevoir les paramètres de stratégie de groupe du domaine.

  1. Cliquez sur Démarrer, tapez sysdm.cpl et appuyez sur ENTRÉE.

  2. Dans la boîte de dialogue Propriétés système, cliquez sur Modifier.

  3. Sous Membre de, choisissez Domaine, tapez contoso.com, puis cliquez sur OK.

  4. Lorsque vous êtes invité à entrer un compte pour joindre le domaine, fournissez les informations d’identification du compte CONTOSO\utilisateur1, puis cliquez sur OK.

  5. Confirmez que Bienvenue dans le domaine contoso.com est affiché, cliquez sur OK à deux reprises, puis sur Fermer.

  6. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  7. Après avoir redémarré l’ordinateur, appuyez sur Ctrl+Alt+Suppr, cliquez sur la flèche gauche, sur Autre utilisateur, puis connectez-vous à l’aide des informations d’identification du compte Contoso\utilisateur1.

La démonstration DNSSEC sur Client1 se sert de Windows PowerShell pour interroger les serveurs DNS. Pour rendre Windows PowerShell plus facilement accessible, ce dernier sera épinglé à la barre des tâches.

  1. Dans la page Démarrer, tapez powershell, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Épingler à la barre des tâches. Appuyez sur la touche Échap pour revenir au Bureau.

  2. Confirmez que Windows PowerShell est épinglé à la barre des tâches.

Pour la portion de démonstration de DNSSEC du laboratoire de test, vous pouvez utiliser DNS1 au lieu de Client1 afin d’exécuter les requêtes du client DNS si l’ordinateur Client1 n’est pas disponible. Si l’ordinateur DC2 n’est pas disponible, vous devez ignorer certaines des procédures mentionnées ci-dessous.

Une démonstration de la fonctionnalité DNSSEC sur Windows Server 2012 comprend les procédures suivantes :

  1. Interroger une zone non signée sans validation DNSSEC requise.

  2. Signer une zone sur DC1 et distribuer une ancre d’approbation

  3. Interroger une zone signée sans validation DNSSEC requise

  4. Interroger une zone signée avec validation DNSSEC requise.

  5. Supprimer la signature de la zone, puis la signer à nouveau avec des paramètres personnalisés.

  6. Illustrer un échec de validation.

  7. Illustrer la réplication Active Directory des enregistrements de ressource DNSSEC.

  8. Transférer le rôle de maître des clés pour sec.contoso.com à DC2

Utilisez d’abord l’applet de commande resolve-dnsname pour interroger une zone non signée lorsque la validation n’est pas requise.

  1. Sur Client1, cliquez sur Windows PowerShell dans la barre des tâches, tapez cd\ et appuyez sur ENTRÉE.

  2. Démarrez une capture du moniteur réseau si vous le souhaitez. Arrêtez la capture après l’émission de la commande suivante, puis enregistrez la capture avec le nom : Capture1.

  3. Tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    requête 1
    TipConseil
    L’option dnssecok dans la commande ci-dessus indique au serveur DNS que le client comprend DNSSEC. Le serveur peut alors envoyer ces enregistrements supplémentaires. Aucun enregistrement de signature (RRSIG) n’est affiché dans la réponse car la zone n’est pas encore signée.

  4. Laissez ouverte la fenêtre de l’invite de commandes Windows PowerShell pour exécuter les procédures suivantes.

  1. Tapez la commande suivante et appuyez sur ENTRÉE :

    mstsc /v:dc1.sec.contoso.com
    
  2. Entrez le mot de passe du compte utilisateur1, puis cliquez sur OK.

  3. Lorsque vous êtes notifié d’un problème de sécurité de l’ordinateur distant, cliquez sur Oui.

  4. Vérifiez que vous êtes en mesure de vous connecter à dc1.sec.contoso.com, puis fermez la session à distance.

Signer ensuite la zone sec.contoso.com et distribuer une ancre d’approbation pour la zone. La distribution d’une ancre d’approbation est manuelle pour les serveurs DNS qui ne s’exécutent pas sur des contrôleurs de domaine, tels que DNS1. La distribution automatique d’une ancre d’approbation peut être activée pour des serveurs DNS intégrés à Active Directory, tels que DC2.

  1. Sur DC1, dans l’arborescence de la console du Gestionnaire DNS, accédez à Zones de recherche directes > sec.contoso.com.

  2. Cliquez avec le bouton droit sur sec.contoso.com, pointez sur DNSSEC, puis cliquez sur Signer la zone.

    Signer la zone
  3. Dans l’Assistant Signature de zone, cliquez sur Suivant, puis choisissez Utiliser les paramètres recommandés pour signer la zone.

    Signer la zone
  4. Cliquez à deux reprises sur Suivant, confirmez que La zone a été correctement signée est affiché, puis cliquez sur Terminer.

  5. Actualisez la console du Gestionnaire DNS et vérifiez qu’une nouvelle icône est affichée dans la zone sec.contoso.com, indiquant qu’elle est actuellement signée avec DNSSEC.

  6. Cliquez sur la zone sec.contoso.com et examinez les nouveaux enregistrements de ressource qui sont présents, notamment les enregistrements DNSKEY, RRSIG et NSEC3.

    Zone signée
  7. Laissez la console du Gestionnaire DNS ouverte.

  1. Sur DC1, cliquez sur Explorateur Windows dans la barre des tâches.

  2. Accédez à C:\Windows\System32, cliquez avec le bouton droit sur le dossier dns, pointez vers Partager avec, puis sur Partage avancé.

  3. Dans la boîte de dialogue Propriétés dns, cliquez sur Partage avancé, activez la case à cocher Partager ce dossier, vérifiez que le Nom du partage est dns, puis cliquez sur OK.

    Partager le dossier DNS
  4. Cliquez sur Fermer, puis quittez l’Explorateur Windows.

  5. Sur DNS1, dans l’arborescence de la console du Gestionnaire DNS, accédez au dossier Points d’approbation.

  6. Cliquez avec le bouton droit sur Points d’approbation, pointez sur Importer, puis cliquez sur DNSKEY.

  7. Dans la boîte de dialogue Importer DNSKEY, tapez \\dc1\dns\keyset-sec.contoso.com, puis cliquez sur OK.

  1. Dans l’arborescence de la console, accédez à Points d’approbation > com > contsoso > sec, puis vérifiez que l’importation s’est bien déroulée.

    TipConseil
    Deux points d’approbation DNSKEY sont affichés, l’un pour la clé active, l’autre pour la clé de secours.

  2. Sur tout ordinateur, cliquez sur Windows PowerShell, tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname –name sec.contoso.com.trustanchors –type dnskey –server dns1
    

    Vérifiez que deux ancres d’approbation sont affichées.

  3. Sur DNS1, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

  4. Tapez la commande suivante et appuyez sur ENTRÉE :

    get-dnsservertrustanchor sec.contoso.com
    

    Vérifiez que deux ancres d’approbation sont affichées.

  1. Sur DNS1, dans la fenêtre d’administration de Windows PowerShell, tapez la commande suivante et appuyez deux fois sur ENTRÉE :

    remove-dnsservertrustanchor –name sec.contoso.com
    
  2. Tapez la commande suivante et appuyez sur ENTRÉE :

    get-dnsservertrustanchor sec.contoso.com
    

    Vérifiez que « Échec de l’énumération des ancres d’approbation » est affiché.

  3. Tapez la commande suivante et appuyez deux fois sur ENTRÉE :

    remove-dnsserverzone –name trustanchors
    
    ImportantImportant
    Afin d’illustrer l’applet de commande remove-dnsserverzone, celle-ci servira à supprimer la zone trustanchors. La suppression et la restauration de la zone trustanchors après la suppression des ancres d’approbation ne sont pas des opérations généralement requises.

  4. Tapez la commande suivante et appuyez sur ENTRÉE :

    add-dnsserverprimaryzone –computername dns1 trustanchors –zonefile trustanchors.dns
    
  5. Tapez la commande suivante et appuyez sur ENTRÉE :

    get-dnsserverresourcerecord –zonename sec.contoso.com –rrtype dnskey –computername dc1 | %{ $_.recorddata | add-dnsservertrustanchor -name sec.contoso.com }
    
  6. Tapez la commande suivante et appuyez sur ENTRÉE :

    get-dnsservertrustanchor sec.contoso.com
    

    Vérifiez que deux ancres d’approbation sont à nouveau affichées.

  1. Sur DC1, dans l’arborescence de la console du Gestionnaire DNS, accédez à Zones de recherche directe > sec.contoso.com.

  2. Cliquez avec le bouton droit sur sec.contoso.com, pointez sur DNSSEC, puis cliquez sur Propriétés.

  3. Cliquez sur l’onglet Ancre d’approbation.

  4. Activez la case à cocher Activer la distribution des ancres d’approbation pour cette zone, puis cliquez sur OK.

  5. Lorsque vous êtes invité à confirmer les modifications apportées à la zone, cliquez sur Oui.

  6. Lorsque vous êtes invité à confirmer le bon déroulement de la configuration, cliquez sur OK.

  7. Sur DC2, actualisez la vue dans le Gestionnaire DNS, puis confirmez que les ancres d’approbation sont présentes pour sec.contoso.com.

    ImportantImportant
    Vous devrez peut-être attendre quelques minutes avant que la réplication ne se produise sur DC2.

Des informations supplémentaires liées à DNSSEC sont affichées pour les enregistrements de ressource signés. Comparez les résultats de la requête pour dc1.contoso.com aux résultats de la requête pour dc1.sec.contoso.com si nécessaire.

  1. Démarrez une capture du moniteur réseau si vous le souhaitez. Arrêtez la capture après l’émission de la commande suivante, puis enregistrez-la à l’aide du nom : Capture2.

  2. Sur Client1, à l’invite de commandes Windows PowerShell, tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Requête DNSSEC
  3. Pour vérifier que la validation DNSSEC n’est pas requise actuellement, tapez la commande suivante et appuyez sur ENTRÉE :

    get-dnsclientnrptpolicy
    
  4. Confirmez qu’aucune stratégie NRPT n’est actuellement appliquée à l’ordinateur client pour l’espace de noms sec.contoso.com.

  5. Laissez ouverte la fenêtre de l’invite de commandes Windows PowerShell.

La table de stratégie de résolution de noms (NRPT) est utilisée pour exiger la validation DNSSEC. La table NRPT peut être configurée dans la stratégie de groupe locale pour un ordinateur unique, dans la stratégie de groupe du domaine pour certains ou tous les ordinateurs du domaine. Les procédures suivantes utilisent la stratégie de groupe du domaine.

  1. Sur DC1, dans la barre de menus du Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

  2. Dans l’arborescence de la console de gestion des stratégies de groupe, sous Domaines > contoso.com > Objets de stratégie de groupes, cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur Modifier.

  3. Dans l’arborescence de la console du l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Stratégie de résolution de noms.

  4. Dans le volet d’informations, sous Créer des règles et À quelle partie de l’espace de noms s’applique cette règle, choisissez Suffixe dans la liste déroulante et tapez sec.contoso.com en regard de Suffixe.

  5. Sous l’onglet DNSSEC, activez la case à cocher Activer DNSSEC dans cette règle, puis sous Validation, activez la case à cocher Demander aux clients DNS de vérifier que les données de nom et d’adresse ont été validées par le serveur DNS.

  6. Dans l’angle inférieur droit, cliquez sur Créer, puis vérifiez qu’une règle pour sec.contoso.com a été ajoutée sous Table de stratégie de résolution de noms.

    NRPT
  7. Cliquez sur Appliquer, puis fermez l’Éditeur de gestion des stratégies de groupe.

  8. Sur DC1, tapez les commandes suivantes à l’invite de commandes Windows PowerShell et appuyez sur ENTRÉE :

    gpupdate /force
    
    get-dnsclientnrptpolicy
    
  9. Vérifiez que les mises à jour apportées à l’ordinateur et à la stratégie utilisateur se sont bien déroulées et que la valeur affectée à DnsSecValidationRequired est True pour l’espace de noms .sec.contoso.com.

  10. Répétez la mise à jour de la stratégie de groupe (gpupdate /force) et vérifiez la stratégie NRPT sur client1.

    Sortie de la stratégie NRPT
  1. Démarrez une capture du moniteur réseau si vous le souhaitez. Arrêtez la capture après l’émission de la commande suivante, puis enregistrez-la à l’aide du nom : Capture3.

  2. Sur client1, à l’invite de commandes Windows PowerShell, tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
  3. Confirmez que les mêmes résultats sont retournés comme précédemment, lorsque la validation n’était pas requise. La requête est réussie même si la validation est requise car une ancre d’approbation est présente sur DNS1.

Avant de supprimer la signature d’une zone et de la signer à nouveau, émettez certaines requêtes pour les enregistrements DNSSEC. Ces types de requêtes peuvent être utiles lors de la résolution de problèmes inhérents à DNSSEC.

  1. Sur client1, à l’invite de commandes Windows PowerShell, tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname –name dc1.sec.contoso.com –type soa –server dns1 -dnssecok
    
  2. Sur client1, à l’invite de commandes Windows PowerShell, tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname –name sec.contoso.com –type dnskey –server dns1 -dnssecok
    
TipConseil
Pour voir la syntaxe de resolve-dnsname, notamment toutes les valeurs possibles pour le paramètre Type, tapez get-help resolve-dnsname.

La signature DNSSEC sera supprimée de la zone sec.contoso.com et la zone sera à nouveau signée à l’aide des paramètres DNSSEC personnalisés.

  1. Sur DC1, dans l’arborescence de la console du Gestionnaire DNS, accédez à Zones de recherche directe > sec.contoso.com.

  2. Cliquez avec le bouton droit sur sec.contoso.com, pointez sur DNSSEC, puis cliquez sur Supprimer la signature de la zone.

  3. Dans l’Assistant Suppression de la signature de la zone, cliquez sur Suivant.

  4. Vérifiez que La zone a été correctement signée est affiché, puis cliquez sur Terminer.

  5. Actualisez la vue dans le Gestionnaire DNS. Vérifiez que la zone sec.contoso.com ne contient plus d’enregistrements signés DNSSEC et que l’icône en regard de la zone indique qu’elle n’est pas actuellement signée.

    Zone non signée
  1. Sur DC1, Cliquez avec le bouton droit sur sec.contoso.com, pointez sur DNSSEC, puis cliquez sur Signer la zone.

  2. Dans l’Assistant Signature de zone, cliquez sur Suivant.

  3. Personnalisez les paramètres de signature de zone est choisi par défaut. Cliquez sur Suivant.

  4. Sur la page Maître des clés, Le DC1 du serveur DNS est le maître des clés est choisi par défaut car la signature de zone est en cours d’exécution sur DC1.

    Si vous avez configuré DC2 dans ce laboratoire de test, examinez les options disponibles lorsque Sélectionner un autre serveur primaire en tant que maître des clés est choisi. Ne choisissez pas cette option, mais vérifiez que dc2.contoso.com est également disponible en tant Maître des clés pour cette zone. Lorsque vous êtes averti du chargement de tous les serveurs faisant autorité et capables de signature en ligne DNSSEC, cliquez sur Oui.

    Maître des clés
  5. Assurez-vous que DC1 est choisi en tant que Maître des clés, puis cliquez à deux reprises sur Suivant.

  6. Dans la page Clé KSK, cliquez sur la clé KSK existante (avec une longueur de clé de 2048), puis cliquez sur Supprimer.

  7. Pour ajouter une nouvelle clé KSK, cliquez sur Ajouter.

  8. Dans la boîte de dialogue Clé KSK, sous Propriétés de clé, cliquez sur la liste déroulante en regard de Algorithme de chiffrement, puis sélectionnez RSA/SHA-512.

  9. Sous Propriétés de clé, cliquez sur la liste déroulante en regard de Longueur de clé (bits), puis sélectionnez 4096 et cliquez sur OK.

    KSK
  10. Cliquez sur Suivant jusqu’à ce que s’affiche Vous avez correctement configuré les paramètres suivants pour signer la zone.

  11. Examinez les paramètres que vous avez choisis, puis cliquez sur Suivant pour démarrer le processus de signature de zone.

  12. Confirmez que La zone a été correctement signée est affiché, cliquez sur Terminer, puis actualisez la vue dans le Gestionnaire DNS afin de vérifier que la zone est à nouveau signée.

  13. Actualisez la vue du dossier Points d’approbation et vérifiez que les nouveaux points d’approbation DNSKEY présents utilisent l’algorithme RSA/SHA-512.

  14. À une invite de commandes d’administration Windows PowerShell, tapez les commandes suivantes et appuyez sur ENTRÉE :

    Get-dnsservertrustanchor –name sec.contoso.com –computername dns1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc2
    

    Notez que DC1 et DC2 utilisent les nouvelles ancres d’approbation, tandis que DNS1 utilise les anciennes ancres d’approbation. Vous devrez peut-être attendre quelques minutes avant que la distribution automatique des nouvelles ancres d’approbation se produise sur DC2.

La validation DNSSEC échoue lorsque les enregistrements de ressource sont interrogés dans la zone sec.contoso.com car l’ancre d’approbation qui a été distribuée à DNS1 n’est plus valide.

  1. Sur DNS1, affichez les Points d’approbation actuellement installés pour sec.contoso.com et vérifiez la présence de l’ancien point d’approbation qui utilise l’algorithme RSA/SHA-1.

  2. Pour vider le cache du serveur DNS, cliquez avec le bouton droit sur DNS1, puis cliquez sur Effacer le cache.

    Effacer le cache
  3. Démarrez une capture du moniteur réseau si vous le souhaitez. Arrêtez la capture après l’émission de la commande suivante, puis enregistrez-la à l’aide du nom : Capture4.

  4. Sur client1, tapez la commande suivante à l’invite de commandes Windows PowerShell et appuyez sur ENTRÉE :

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Échec de requête


    ImportantImportant
    La mise à jour automatique des ancres d’approbation sur un serveur DNS de validation ne faisant pas autorité (par RFC 5011) ne se produit que pendant le renouvellement de clé. Si vous supprimez la signature de la zone et que vous la signez à nouveau avec de nouvelles clés, vous devez également distribuer une nouvelle ancre d’approbation manuellement.

    Si un serveur DNS de validation dispose d’une ancre d’approbation incorrecte, les requêtes DNS qui nécessitent une validation indiqueront un échec du serveur.

    Lorsqu’aucune ancre d’approbation n’est présente, la validation des requêtes échouera. Effectivement, le serveur n’essaie pas de valider la réponse en l’absence d’ancre d’approbation. Dans ce scénario, une erreur de paquet non sécurisé est affichée :

  1. Sur DNS1, à l’invite de commandes d’administration de Windows PowerShell, tapez la commande suivante et appuyez deux fois sur ENTRÉE :

    remove-dnsservertrustanchor sec.contoso.com
    
  2. Démarrez une capture du moniteur réseau si vous le souhaitez. Arrêtez la capture après l’émission de la commande suivante, puis enregistrez-la à l’aide du nom : Capture5.

  3. Tapez la commande suivante et appuyez sur ENTRÉE :

    resolve-dnsname –name dc1.sec.contoso.com –server dns1 -dnssecok
    
    Réponse non sécurisée

En raison de l’échec de validation DNSSEC, vous ne pouvez pas vous connecter à dc1.sec.contoso.com à l’aide du Bureau à distance.

  1. Sur client1, tapez les commandes suivantes à l’invite de commandes Windows PowerShell et appuyez sur ENTRÉE :

    ipconfig /flushdns
    
    mstsc /v:dc1.sec.contoso.com
    
  2. Vérifiez que Le Bureau à distance ne trouve pas l’ordinateur « dc1.sec.contoso.com » est affiché.

Lorsque les serveurs DNS sont intégrés à Active Directory, les ancres d’approbation et les enregistrements de ressource signés sont mis à jour automatiquement même si la signature de la zone est supprimée, puis rétablie manuellement.

  1. Sur DC2, dans le Gestionnaire DNS, affichez le contenu du dossier Points d’approbation. Actualisez la vue si nécessaire pour afficher les ancres d’approbation actuelles.

  2. Vérifiez que les ancres d’approbation DNSKEY pour sec.contoso.com sont automatiquement mises à jour afin d’utiliser l’algorithme RSA/SHA-512.

  3. Dans l’arborescence de la console du Gestionnaire DNS, cliquez sur Journaux globaux > Événements DNS et consultez l’ID d’événement 7653 qui indique que le serveur DNS a détecté que les paramètres de signature de la zone pour la zone sec.contoso.com ont été modifiés et que la zone sera à nouveau signée. Aucun événement n’est affiché à l’issue du processus de signature de zone.

  4. Cliquez sur Zones de recherche directe > sec.contoso.com dans l’arborescence de la console et vérifiez que les enregistrements Point d’entrée sécurisé DNSKEY présents utilisent l’algorithme RSA/SHA-512.

    Réplication Point d’entrée sécurisé
  5. Sur DC1, dans le Gestionnaire DNS, ajoutez un nouvel enregistrement d’hôte (A) pour dns1.sec.contoso.com avec une adresse IP de 10.0.0.2.

  6. Actualisez la vue dans le Gestionnaire DNS et vérifiez qu’un enregistrement de signature RR (RRSIG) pour dns1 est créé automatiquement.

  7. Sur DC2, actualisez la vue dans le Gestionnaire DNS, puis vérifiez que l’enregistrement récemment signé a été répliqué sur ce serveur.

    TipConseil
    L’ajout ou la modification des enregistrements existants dans une zone ne déclenche pas une nouvelle signature de la zone. Seuls les enregistrements de ressource nouveaux ou modifiés sont signés avec l’enregistrement de ressource d’autorité principale (SOA) mis à jour pour la zone.

Il peut s’avérer nécessaire de transférer le rôle de maître des clés pour une zone vers un autre serveur DNS. Le transfert du rôle peut être exécuté à partir de tout serveur DNS faisant autorité, et le maître des clés actuel peut être en ligne ou hors connexion. Dans l’exemple suivant, le maître des clés actuel est en ligne.

  1. Sur DC1 ou DC2, dans le Gestionnaire DNS, cliquez avec le bouton droit sur la zone sec.contoso.com, pointez sur DNSSEC, puis cliquez sur Propriétés.

  2. Sous l’onglet Maître des clés, sélectionnez Utiliser le serveur DNS suivant en tant que maître des clés.

  3. Cliquez sur la liste déroulante et lorsqu’un message vous avertit du chargement de tous les serveurs DNS faisant autorité, cliquez sur Oui.

  4. Choisissez dc2.contoso.com dans la liste, puis cliquez sur OK.

  5. Lorsque vous êtes averti du chargement du paramètre de maître des clés, cliquez sur Oui.

  6. Vérifiez que Le maître des clés pour la zone sec.contoso.com a été correctement mis à jour est affiché.

  7. Vérifiez que l’ID d’événement DNS 7649 est affiché sur le nouveau maître des clés et que l’ID d’événement DNS 7648 est affiché sur le maître des clés précédent.

Les sections suivantes offrent des informations sur les résultats des captures du moniteur réseau (netmon) pendant la portion de démonstration du laboratoire de test DNSSEC. L’analyse du trafic réseau utilise les vues Conversations réseau, Résumé de la trame et Détails de la trame.

Dans toutes les captures du laboratoire de test, deux conversations réseau IPv4 sont affichées. Les conversations réseau IPv4 incluent des requêtes pour dns1.contoso.com et dc1.sec.contoso.com. Les requêtes pour dc1.sec.contoso.com incluront également des requêtes d’enregistrement A et des requêtes d’enregistrement AAAA. Pour ce laboratoire de test, vous pouvez ignorer la conversation réseau IPv6 ainsi que toutes les requêtes pour les enregistrements d’hôte pour dns1.contoso.com et les requêtes AAAA pour dc1.sec.contoso.com. Les deux conversations réseau IPv4 affichées sont :

  1. 10.0.0.4 – 10.0.0.2 : échange de paquet entre Client1 (10.0.0.4) et DNS1 (10.0.0.2). Identifiez la requête pour l’enregistrement d’hôte (A) pour dc1.sec.contoso.com. Il existe deux phases sous Résumé de la trame, l’une avec une source de Client1 et l’autre avec une source de DNS1. Identifiez les paquets avec la source de DNS1 (et la destination = Client1).

    Les éléments à prendre en compte dans cette conversation réseau sont les suivants :

    • Dans Détails de la trame, sous Dns\Flags, l’indicateur AuthenticatedData (AD) sera activé (« 1 ») ou désactivé (« 0 ») selon si l’information qui a été retournée a été validée comme étant authentique ou non.

    • Dans Détails de la trame, sous Dns\Flags\ARecord, les données RRSIG sont retournées lorsque la zone est signée tant que la valeur de Rcode sous Dns\Flags est Réussite.

  2. 10.0.0.2 – 10.0.0.1 : échange de paquet entre DNS1 (10.0.0.2) et DC1 (10.0.0.1).

    Les éléments à prendre en compte sont les suivants :

    • Dans Détails de la trame, sous Dns\Flags\ARecord, DNS1 émet une requête pour sec.contoso.com du type DNSKEY lorsqu’une ancre d’approbation est présent sur DNS1.

Si vous avez démarré, arrêté et enregistré une conversation réseau à chacun des points suggérés dans ce guide, vous disposerez des captures suivantes :

 

Nom du fichier de capture Zone signée Validation requise Bit AD Demande DNSKEY

Capture1

Non

Non

0

Non

Capture2

Oui (sans ancre d’approbation)

Non

0

Non

Capture3

Oui (ancre d’approbation valide)

Oui

1

Oui

Capture4

Oui (ancre d’approbation non valide)

Oui

0

Oui

Capture5

Oui (sans ancre d’approbation)

Oui

0

Non

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.