Le petit câbleur

La table de stratégie de résolution de noms

Joseph Davies

La configuration de l'hôte en matière de requête de nom DNS (Domain Name System) consiste généralement à spécifier une ou plusieurs adresses IPv4 ou IPv6 des serveurs DNS traitant les requêtes sur des interfaces réseau. Cette configuration s'effectue le plus souvent de manière automatique sur les ordinateurs exécutant Windows Vista ou Windows Server 2008 via l'utilisation du protocole DHCP (Dynamic Host Configuration Protocol) ou DHCP pour IPv6 (DHCPv6). Pour les ordinateurs exécutant Windows Vista ou Windows Server 2008, toutes les requêtes de nom DNS pour l'ensemble de l'espace de noms DNS sont dirigées vers les serveurs DNS configurés via les interfaces réseau, qualifiés ci-après de serveurs DNS configurés par interface.

Certaines technologies nécessitent un traitement spécial pour les requêtes de nom portant sur des secteurs spécifiques de l'espace de noms DNS. Si le nom DNS correspond à des secteurs spécifiés de l'espace de noms, appliquez le traitement spécial. Si le nom DNS ne correspond pas aux secteurs spécifiés de l'espace de noms, effectuez une requête DNS normale avec les serveurs DNS configurés par interface. Pour répondre à ce besoin, Windows 7 et Windows Server 2008 R2 disposent d'une table de stratégie de résolution de noms (NRPT, Name Resolution Policy Table).

La table de stratégie de résolution de noms contient les règles configurées par un administrateur pour les noms ou les espaces de noms, et les paramètres pour le traitement spécial requis. Lorsqu'il effectue une résolution de noms DNS, le service Client DNS compare le nom demandé par rapport à chaque règle de la table de stratégie de résolution de noms avant d'envoyer une requête de nom DNS. Les requêtes et les réponses qui correspondent à une règle NRPT reçoivent le traitement spécial spécifié. Les requêtes et les réponses qui ne correspondent pas à une règle NRPT sont traitées normalement ; c'est-à-dire que le service Client DNS envoie les requêtes de noms aux serveurs DNS configurés par interface.

Dans Windows 7 et Windows Server 2008 R2, DirectAccess et DNSSEC (DNS Security Extensions) nécessitent un traitement spécial en matière de requête de nom DNS. Sur Internet, les clients DirectAccess envoient des requêtes DNS de ressources intranet aux serveurs DNS spécifiés dans la table de stratégie de résolution de noms. Pour résoudre des noms spécifiques ou des noms au sein d'espaces de noms spécifiques, généralement des ressources intranet sécurisées très précieuses, le service Client DNS peut utiliser DNSSEC pour garantir que le nom résolu a été vérifié par le serveur DNS.

Configuration de la table de stratégie de résolution de noms

Vous pouvez configurer la table de stratégie de résolution de noms avec une stratégie de groupe via le Registre Windows (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig), ou, pour les règles DirectAccess, en utilisant l'Assistant de configuration DirectAccess. Il n'existe pas d'interface de ligne de commande pour configurer la table de stratégie de résolution de noms. Pour les règles DNSSEC, la stratégie de groupe est la méthode de configuration recommandée. Pour les règles DirectAccess, l'Assistant de configuration DirectAccess est la méthode de configuration recommandée.

Pour configurer la table de stratégie de résolution de noms via la stratégie de groupe, utilisez le complément Stratégie de groupe correspondant à l'objet de stratégie de groupe voulu que vous trouverez dans Configuration de l'ordinateur\Stratégies\Paramètres Windows\Stratégie de résolution de noms. La figure 1 en propose un exemple.

Figure 1  Table de stratégie de résolution de noms dans la stratégie de groupe

À partir de ce complément de stratégie de groupe, vous pouvez créer une nouvelle règle NRPT et modifier ou supprimer des règles existantes. Pour chaque règle, vous devez spécifier le secteur de l'espace de noms auquel elle s'applique, si le traitement spécial prévu pour la règle est associé à une autorité de certification spécifique, si la règle concerne DNSSEC et les paramètres qui lui sont associés, ou DirectAccess et les paramètres qui lui sont associés. Il existe aussi des paramètres globaux avancés qui s'appliquent à tous les clients DNS basés sur Windows 7 et Windows Server 2008 R2.

Pour spécifier l'espace de noms auquel s'applique la règle, vous pouvez sélectionner Suffixe, Nom de domaine complet, Sous-réseau (IPv4), Sous-réseau (IPv6), Préfixe ou Tout. Pour spécifier les noms DNS qui se terminent par une chaîne multipartite spécifique, sélectionnez Suffixe et tapez le nom du suffixe. Par exemple, pour tous les noms DNS qui se terminent par contoso.com, sélectionnez Suffixe et tapez contoso.com. Pour spécifier les noms DNS qui commencent par une chaîne spécifique en une seule partie, sélectionnez Préfixe et tapez le nom du préfixe. Par exemple, pour tous les noms DNS qui commencent par « secsvr », sélectionnez Préfixe et tapez secsvr.

Pour spécifier tous les noms DNS, sélectionnez Tout. Une règle NRPT basée sur DirectAccess pour Tout est utilisée uniquement si le paramètre de stratégie de groupe Configuration de l'ordinateur\Stratégies\Modèles d'administration\Réseau\Connexions réseau\Router tout le trafic par le biais du réseau interne est activé pour le tunneling forcé de DirectAccess. Si un nom correspond à plusieurs règles, la règle ayant la priorité la plus élevée est appliquée, et l'ordre de priorité est Nom de domaine complet, Préfixe, Suffixe puis Tout.

Pour spécifier les noms DNS de résolution inversée d'un sous-réseau IPv4, sélectionnez Sous-réseau (IPv4) et tapez le préfixe de sous-réseau IPv4 à l'aide de la notation de longueur de préfixe de réseau. Par exemple, pour tous les noms DNS qui terminent par 17.168.192.in-addr.arpa, sélectionnez Sous-réseau (IPv4) et tapez 192.168.17.0/24. Pour spécifier les noms DNS de résolution inversée d'un sous-réseau Ipv6, sélectionnez Sous-réseau (Ipv6) et tapez le préfixe de sous-réseau Ipv6. Par exemple, pour tous les noms DNS qui terminent par 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, sélectionnez Sous-réseau (Ipv6) et tapez 2001:db8:0:1::/64.

Lorsque vous activez DNSSEC pour une règle, vous pouvez spécifier si le service Client DNS doit garantir que la réponse du nom demandé est vérifiée par le serveur DNS et si vous souhaitez utiliser IPsec (Internet Protocol security) pour protéger les échanges de requêtes de nom DNS. Pour la protection IPsec, vous pouvez spécifier Aucun chiffrement (intégrité uniquement), Faible : 3DES, AES (128, 192, 256), Moyen : AES (128, 192, 256) et Fort : AES (192, 256). DES est le standard de chiffrement des données et AES le standard de chiffrement avancé.

Lorsque vous activez DirectAccess pour une règle, vous pouvez spécifier les adresses IPv6 du jeu de serveurs DNS intranet pour résoudre les noms des clients DirectAccess lorsqu'ils se trouvent sur Internet ; si vous souhaitez utiliser un proxy Web ; et si vous souhaitez utiliser IPsec pour protéger les échanges de requêtes de nom DNS. Vous pouvez spécifier le même jeu d'options pour la protection IPsec.

Vous pouvez afficher le jeu configuré de règles NRPT sur un ordinateur exécutant Windows 7 ou Windows Server 2008 R2 avec la commande netsh namespace show policy. Vous pouvez afficher le jeu actif de règles NRPT avec la commande netsh namespace show effectivepolicy.

Paramètres de stratégie globale avancée

Lorsque vous cliquez sur Paramètres de stratégie globale avancée, le complément Stratégie de groupe NRPT affiche la boîte de dialogue Configurer les paramètres avancés de la stratégie globale par défaut. La figure 2 en propose un exemple.

Figure 2  Boîte de dialogue Configurer les paramètres avancés de la stratégie globale

Dans Dépendance d'emplacement réseau, vous pouvez configurer les clients DirectAccess de sorte qu'ils utilisent le serveur d'emplacement réseau et la détection intranet pour déterminer à quel moment ils sont connectés à l'intranet ; de sorte d'utiliser toujours les règles NRPT DirectAccess ; ou de sorte de ne jamais utiliser les règles NRPT DirectAccess.

Dans Échec de requête, vous pouvez activer les options d'échec de requête, puis configurer l'utilisation ou non de la résolution de noms locale (diffusions LLMNR [Link-Local Multicast Name Resolution] et NetBIOS) uniquement su la réponse de requête DNS indique que le nom n'existe pas ; l'utilisation ou non de la résolution de noms locale si le nom n'existe pas ou si les serveurs DNS sont inaccessibles lorsqu'ils se trouvent sur un réseau avec des adresses IPv4 privées ; ou l'utilisation ou non de la résolution de noms locale pour tout type d'échec ou d'erreur de résolution de noms.

Dans Résolution de requête, vous pouvez activer les options de résolution de requête et spécifier soit de résoudre les noms en adresses IPv6, soit de résoudre les noms à la fois en adresses IPv6 et IPv4.

Vous pouvez utiliser la commande netsh dns show state pour afficher la configuration actuelle de ces paramètres.

Exemptions de la table NRPT

Pour réduire le nombre de règles NRPT, il est judicieux de spécifier des espaces de noms qui englobent autant d'espaces de noms voulus que possible. Toutefois, vous pouvez avoir besoin de spécifier que des noms ou des espaces de noms individuels au sein de ces espaces de noms soient exemptés de traitement spécial. Pour ces cas particuliers, vous devez configurer une exemption NRPT. Par exemple, si vous souhaitez utiliser DNSSEC pour tous les noms DNS compris dans l'espace de noms secure.corp.contoso.com, à l'exception du nom DNS waystation.secure.corp.contoso.com.

Une exemption NRPT est une règle qui ne spécifie aucun traitement spécial. Pour DNSSEC, la règle active DNSSEC mais n'exige pas la validation ou la protection IPsec. Pour DirectAccess, la règle active DirectAccess mais ne spécifie pas un jeu de serveurs DNS intranet, un proxy Web ou une protection IPsec. Les noms DNS pour les règles d'exemption NRPT sont traités à l'aide de serveurs DNS configurés par interface.

La règle du nom de domaine complet du serveur d'emplacement réseau DirectAccess que les clients DirectAccess utilisent pour déterminer s'ils sont connectés à l'intranet est un exemple d'exemption NRPT requise. Pour envoyer des requêtes de noms DNS aux serveurs intranet, les clients NRPT pour DirectAccess ont une règle de suffixe pour l'espace de noms de l'intranet—par exemple, corp.contoso.com—avec les adresses IPv6 des serveurs DNS de l'intranet. Le serveur d'emplacement réseau se trouve généralement dans le même espace de noms, par exemple, nls.corp.contoso.com. Toutefois, suivant votre infrastructure IPv6, les serveurs DNS de l'intranet peuvent ne pas être accessibles aux adresses IPv6 spécifiées, mais le sont à l'aide des adresses IPv4 configurées par interface.

Sans une règle d'exemption, le client DirectAccess connecté à l'intranet essaie de résoudre le nom du serveur d'emplacement réseau via IPv6. Étant donné que les serveurs DNS de l'intranet ne sont pas accessibles, le client DirectAccess ne peut pas atteindre le serveur d'emplacement réseau et détermine qu'il se trouve sur Internet plutôt que sur l'intranet. Dans cet état, le client DirectAccess ne peut pas accéder aux ressources de l'intranet par leurs noms. Par conséquent, une règle d'exemption pour le serveur d'emplacement réseau (nls.corp.contoso.com) doit être présente pour que la détection intranet puisse aboutir. L'Assistant de configuration de DirectAccess crée automatiquement des règles NRPT pour l'espace de noms de l'intranet et l'exemption pour le serveur d'emplacement réseau.

Fonctionnement de la table NRPT

Voici comment fonctionne le processus de résolution de noms pour Windows 7 et Windows Server 2008 R2 :

1. Une application utilise l'API DnsQuery()ou les API Windows Sockets GetAddrInfo() ou GetHostByName() pour résoudre un nom. Si le nom est un nom plat, le service Client DNS crée un nom de domaine complet à l'aide de suffixes DNS configurés.
2. Le service Client DNS cherche le nom de domaine complet dans le cache de résolution DNS qui contient aussi bien les entrées du fichier Hosts que les résultats des récentes requêtes de noms positives et négatives. Dès qu'une entrée est trouvée, le résultat est utilisé et aucun traitement supplémentaire n'a lieu.
3. Le service Client DNS transmet le nom de domaine complet via la table NRPT pour déterminer les règles dans lesquelles le nom de domaine complet correspond à l'espace de noms de la règle.
4. Si le nom de domaine complet ne correspond à aucune règle, ou correspond à une seule règle qui est une règle d'exemption, le service Client DNS essaie de résoudre le nom de domaine complet à l'aide de serveurs DNS configurés par interface.
5. Si le nom de domaine complet correspond à une seule règle qui n'est pas une règle d'exemption, le service Client DNS applique le traitement spécial spécifié.
6. Si le nom de domaine complet correspond à plusieurs règles, le service Client DNS trie les règles correspondantes par priorité—dans l'ordre : nom de domaine complet, préfixe correspondant le plus long, suffixe correspondant le plus long [y compris sous-réseaux IPv4 et IPv6], tout—pour déterminer la règle qui correspond le plus précisément au nom de domaine complet.
7. Après avoir déterminé la règle correspondante la plus proche, le service Client DNS applique le traitement spécial spécifié.

Résumé

La table NRPT dans Windows 7 et Windows Server 2008 R2 vous permet de spécifier le traitement spécial à appliquer aux requêtes de noms DNS requises pour DNSSEC et DirectAccess sous forme de règles, avec la capacité de spécifier les espaces de noms, préfixes, noms de domaine complets et exemptions.

Encadré : Exemples de règles NRPT pour DirectAccess

La société Contoso utilise l'espace de noms DNS contoso.com pour les noms DNS Internet et corp.contoso.com pour les noms DNS intranet. L'URL du serveur d'emplacement réseau est https://nls.corp.contoso.com et le serveur DirectAccess a été configuré avec l'adresse Ipv4 10.0.0.1 du serveur DNS sur son interface intranet. Sur la base de cette configuration, l'Assistant de configuration DirectAccess crée deux règles NRPT activées pour DirectAccess.

1. Une règle de suffixe pour que corp.contoso.com envoie les requêtes DNS à l'adresse IPv6 2002:836b:2:1:0:5efe:10.0.0.1. Il s'agit d'une adresse IPv6 dérivée de l'adresse Ipv4 publique du serveur DirectAccess et de l'adresse IPv4 du serveur DNS.
2. Une règle d'exemption pour nls.corp.contoso.com.

Voici un exemple de la manière avec laquelle ces règles s'affichent sur un client DirectAccess avec la commande netsh namespace show policy :

DNS Name Resolution Policy Table SettingsSettings for nls.corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              :DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxySettings for .corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              : 2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxy 

Joseph Davies est l'un des principaux rédacteurs techniques de l'équipe de rédaction spécialisée dans les réseaux Windows chez Microsoft. Il est l'auteur ou le co-auteur de plusieurs ouvrages publiés par Microsoft Press, parmi lesquels Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition et Windows Server 2008 TCP/IP Protocols and Services*.*

Contenu associé

• Le petit câbleur : Protection d'accès réseau (NAP) sur Internet
• Le petit câbleur : Prise en charge du protocole IPv6 dans Windows Server 2008 R2 et Windows 7
• Le petit câbleur : DirectAccess et le réseau « Thin Edge »