Le petit câbleur : Modifications apportées au service client DNS dans Windows 7 et Windows Server 2008 R2

  • Article

Joseph Davies

Il existe plusieurs nouveaux facteurs critiques dans le service client DNS à 7 Windows PowerShell-Interface de commande Virtual Machine Manager et Windows PowerShell-Interface de commande Virtual Machine Manager Server 2008 R2 :

  • Modifications apportées au comportement de dévolution de nom
  • La table de stratégie de résolution de nom (NRPT)
  • Sécurité DNS (DNSSEC)

Exploration de chacun de ces détails peut vous aider à travailler avec le serveur DNS plus efficacement et plus efficacement.

Modifications apportées au comportement de dévolution de nom

La résolution de noms est un comportement du service DNS client dans Windows PowerShell-Interface de commande Virtual Machine Manager permet à un utilisateur de Service Windows PowerShell-Interface de commande Virtual Machine Manager d'Active Directory (AD DS) de spécifier un nom d'étiquette unique et non qualifié pour un Windows PowerShell-Interface de commande Virtual Machine Manager au lieu de son nom de domaine pleinement qualifié (FQDN). Lorsque la résolution de noms est activée, Windows PowerShell-Interface de commande Virtual Machine Manager ajoute certaines parties du suffixe de domaine principal de la Windows PowerShell-Interface de commande Virtual Machine Manager au nom de la seule partie et envoie des requêtes DNS distincts pour les noms de domaine complets résultant.

Par exemple, un utilisateur sur un Windows PowerShell-Interface de commande Virtual Machine Manager est un membre du domaine corp.contoso.com peut utiliser le nom server1 et la résolution de noms interroge automatiquement server1.corp.contoso.com et server1.contoso.com pour le compte d'utilisateur.

La résolution de noms se produit uniquement pour le suffixe de domaine principal. Il ne se produit pas lorsqu'il n'y a aucun suffixe de domaine principal pour les suffixes DNS spécifiques à la connexion ou lorsque vous avez configuré une liste de recherche de suffixe global.

Dans les versions de Windows PowerShell-Interface de commande Virtual Machine Manager avant de 7 Windows PowerShell-Interface de commande Virtual Machine Manager et Windows Server 2008 R2, la résolution de noms continue pour le nom de domaine de second niveau pour que le suffixe de domaine principal. Par exemple, si le Windows PowerShell-Interface de commande Virtual Machine Manager est un membre du domaine wcoast.corp.contoso.com et que vous tapez ping serveur1 de à une invite de commande, le service DNS client envoie des requêtes DNS distincts pour server1.wcoast.corp.contoso.com server1.corp.contoso.com et server1.contoso.com.

Le niveau de dévolution est le nombre d'étiquettes dans le suffixe principal de domaine cesse de dévolution de nom. Pour les versions de Windows PowerShell-Interface de commande Virtual Machine Manager avant de 7 Windows PowerShell-Interface de commande Virtual Machine Manager et R2 Windows Server 2008 sans le 971888 avis de sécurité Windows PowerShell-Interface de commande Virtual Machine Manager : Mise à jour pour la dévolution DNS est installée, le niveau de dévolution de nom est 2, et vous ne pouvez pas configurer ce niveau. C'est un problème.

Problèmes de sécurité avec la dévolution, niveau 2

La résolution de niveau 2 et de nouveaux types de noms Internet peuvent entraîner un Windows PowerShell-Interface de commande Virtual Machine Manager associés à un domaine de connexion avec des ordinateurs potentiellement malveillants sur Internet. Par exemple, si le suffixe de domaine principal du Windows PowerShell-Interface de commande Virtual Machine Manager est westcoast.corp.contoso.co.us et que l'utilisateur tente de se connecter au Serveur1, la résolution de nom DNS au niveau 2 tente des noms suivants :

  • Server1.westcoast.corp.contoso.co.us
  • Server1.corp.contoso.co.us
  • Server1.contoso.co.us
  • Server1.co.us

Le nom de famille a essayé, server1.co.us, est en dehors du contrôle de la société Contoso. Si un utilisateur a enregistré server1.co.us, la résolution de noms DNS réussira et la Windows PowerShell-Interface de commande Virtual Machine Manager tentera une connexion. Si le propriétaire du serveur server1.co.us est malveillant, il peut essayer d'usurper un serveur intranet.

Le nouveau comportement de dévolution de nom

Le nouveau comportement par défaut pour la dévolution DNS bloque cette possibilité. Voici comment cela fonctionne pour les ordinateurs exécutant Windows PowerShell-Interface de commande Virtual Machine Manager 7, Windows PowerShell-Interface de commande Virtual Machine Manager Server 2008 ou une version antérieure de Windows PowerShell-Interface de commande Virtual Machine Manager avec l' 971888 avis de sécurité Windows PowerShell-Interface de commande Virtual Machine Manager : Mise à jour pour la dévolution DNS est installée :

  1. Si le nombre d'étiquettes dans le domaine Windows PowerShell-Interface de commande Virtual Machine Manager AD DS est un, ou le suffixe DNS principal ne se termine pas avec le domaine Windows PowerShell-Interface de commande Virtual Machine Manager, dévolution est désactivée.
  2. Si le suffixe DNS principal se termine par le domaine Windows PowerShell-Interface de commande Virtual Machine Manager, au niveau de dévolution est défini pour le nombre d'étiquettes dans le domaine Windows PowerShell-Interface de commande Virtual Machine Manager.

Par exemple, si le Windows PowerShell-Interface de commande Virtual Machine Manager est un membre du domaine westcoast.corp.contoso.co.us et le nom de domaine de forêt Windows PowerShell-Interface de commande Virtual Machine Manager est corp.contoso.co.us, le niveau de dévolution est 4 (le nombre d'étiquettes dans corp.contoso.co.us). Si le Windows PowerShell-Interface de commande Virtual Machine Manager est un membre de la westcoast.corp.contoso.com et le nom de domaine de forêt Windows PowerShell-Interface de commande Virtual Machine Manager est corp.contoso.co.us, dévolution est désactivée (westcoast.corp.contoso.com ne termine pas par corp.contoso.co.us). Ce comportement par défaut garantit que le niveau de dévolution ne crée pas pour tenter de résoudre un nom à l'extérieur du contrôle d'une organisation.

Vous pouvez également définir manuellement le niveau de dévolution avec le paramètre de stratégie de groupe de niveau de dévolution de suffixe de DNS de principal. Si vous indiquez manuellement un niveau de dévolution, toutefois, gardez à l'esprit que les modifications apportées à cette valeur au niveau de la résolution peuvent affecter la capacité de vos ordinateurs clients pour résoudre des noms Windows PowerShell-Interface de commande Virtual Machine Manager dans un domaine. Si vous définissez le niveau de la résolution trop élevé, la résolution de noms peut être affectée.

Par exemple, si un Windows PowerShell-Interface de commande Virtual Machine Manager est un membre de wcoast.corp.contoso.com et que vous définissez le niveau de dévolution à 4, lorsqu'un utilisateur tente de se connecter au Serveur1, server1.wcoast.corp.contoso.com est le seul nom de domaine complet a tenté. Si le nom FQDN du serveur Serveur1 server1.corp.contoso.com, l'utilisateur doit utiliser le server1.corp.contoso.com nom de domaine complet, plutôt que de server1.

Configuration de comportement de dévolution de nom

Vous pouvez activer la résolution de noms à partir de l'onglet de DNS pour les propriétés avancées du TCP/IPv4 ou des protocoles TCP/IPv6. La figure 1 en propose un exemple.

Figure 1 DNS devolution settings on the DNS tab

Figure 1 paramètres de dévolution DNS sur l'onglet de DNS.

Lorsque vous cliquez sur de Append principal et de suffixes DNS spécifiques de connexion et sélectionnez Ajouter des suffixes Windows PowerShell-Interface de commande Virtual Machine Manager du suffixe principal DNS de , cela permet la résolution de noms.

Vous pouvez également configurer la résolution de noms avec les paramètres de stratégie de groupe suivants dans le travail Configuration\Policies\Administrative Templates\Network\DNS Client :

  • Niveau de dévolution de suffixe DNS principal

Défini sur état non configuré, , mais avec une valeur par défaut de niveau 2. Vous pouvez également configurer ce paramètre avec la valeur de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD) (1-activé, 0 est désactivée).

  • Dévolution de suffixe principale DNS

La valeur état non configuré, par défaut. Vous pouvez également configurer ce paramètre avec la valeur de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD).

Si les paramètres Stratégie de groupe sont configurés, les paramètres du Registre local sont ignorés. Pour les versions de Windows PowerShell-Interface de commande Virtual Machine Manager antérieures à 7 Windows PowerShell-Interface de commande Virtual Machine Manager ou Windows Server 2008 R2, les paramètres de niveau de dévolution de suffixe DNS principal et la dévolution de suffixe principal DNS qui s'appliquent à des ordinateurs avec l' 971888 avis de sécurité Windows PowerShell-Interface de commande Virtual Machine Manager : Mise à jour pour la dévolution DNS est installée.

Tableau de stratégie de résolution de nom

Pour les technologies nécessitant une gestion spéciale pour les requêtes de noms de parties spécifiques de l'espace de noms DNS, Windows PowerShell-Interface de commande Virtual Machine Manager 7 et Windows Server 2008 R2 incluent la table de stratégie de résolution de nom (NRPT). DirectAccess et DNSSEC utilisent le NRPT pour les éléments suivants :

  • Lorsque sur Internet, clients DirectAccess envoient les requêtes DNS pour les noms d'intranet pour les serveurs intranet DNS via la connexion cryptée au serveur DirectAccess. Les règles dans le NRPT indiquent l'espace de noms de l'intranet et l'ensemble des serveurs DNS de l'intranet.
  • Les ordinateurs Windows PowerShell-Interface de commande Virtual Machine Manager 7 envoient DNS en fonction de DNSSEC des requêtes de noms dans les espaces de noms spécifiés pour authentifier le serveur DNS et vous assurer que la validation de DNSSEC a été effectuée par le résolveur DNS validation. Les règles dans le NRPT indiquent l'espace de noms pour les requêtes portant sur DNSSEC et s'il faut nécessite une validation de DNSSEC.

Le NRPT contient des règles pour les noms ou d'espaces de noms et les paramètres de ce traitement spécial requis. Lorsque vous effectuez une résolution de noms DNS, le service DNS client vérifie le NRPT avant d'envoyer une requête de nom DNS et lors du traitement de la réponse. Requêtes et les réponses correspondent à une entrée NRPT obtiennent ce traitement spécial spécifié appliqué. Requêtes et réponses qui ne correspondent pas à une entrée NRPT sont traitées normalement.

Vous pouvez configurer le NRPT avec la stratégie de groupe (dans Configuration\Policies\Windows Settings\Name résolution stratégie ordinateur), au moyen du Registre Windows PowerShell-Interface de commande Virtual Machine Manager ou pour les entrées DirectAccess, à l'aide de l'Assistant Installation DirectAccess. Pour les entrées de DNSSEC, stratégie de groupe est la méthode préférée de configuration. Pour les entrées DirectAccess, l'Assistant Installation DirectAccess est la méthode préférée de configuration.

La figure 2 indique la configuration de stratégie de groupe de la NRPT.

Figure 2 Group Policy-based configuration of the NRPT

La figure 2 basée sur Stratégie de groupe de configuration de NRPT.

Pour plus d'informations, voir de La Table de stratégie de résolution de nom, dans le 2010 février “ The Cable Guy. ”

Sécurité DNS

Le protocole DNS n'a pas été conçu pour fournir l'authentification ou vérification des réponses de résolution de nom authentiques. Différents types d'attaques tente d'usurper un Windows PowerShell-Interface de commande Virtual Machine Manager Internet ont exploité ce manque de sécurité dans le passé.

DNSSEC est une suite de normes IETF (Internet Engineering Task Force) (RFC 4033, 4034 et 4035) qui fournissent les informations suivantes pour les données DNS envoyés en tant que le trafic réseau ou mis en cache :

  • **Authentification de l'origine :**Confirmation que la réponse envoyée en tant que le trafic réseau provenait de serveur DNS approprié.
  • **Refus authentifié d'existence :**La réponse n'a ne pas trouvé de nom et cela a été authentifié par le serveur DNS faisant autorité.
  • **Intégrité des données :**La réponse n'a pas modifiée en transit.

DNSSEC utilise la cryptographie ã clé publique pour fournir ces services de sécurité. Lorsqu'un client DNS envoie une requête de nom DNS spécifique à DNSSEC, la réponse contient une signature numérique d'accompagnement. La résolution DNS validation — un R2 Windows Server 2008 - basé sur serveur DNS — valide la signature à l'aide d'un point d'ancrage de confiance préconfiguré, un Windows PowerShell-Interface de commande Virtual Machine Manager que possède la clé publique de départ dans une chaîne de l'authentification au serveur DNS faisant autorité.

Pour plus d'informations sur le fonctionne de DNSSEC, voir la rubrique L'annexe a : Révision des concepts clés de DNSSEC.

Pour informations sur le déploiement de DNSSEC sur des serveurs DNS exécutant Windows Server 2008 R2, consultez le Guide de déploiement de DNS Secure, .

Configuration du service de client DNS à l'aide de DNSSEC

Vous pouvez configurer le comportement DNSSEC pour le service DNS client dans Windows PowerShell-Interface de commande Virtual Machine Manager 7 et Windows PowerShell-Interface de commande Virtual Machine Manager Server 2008 R2 avec le NRPT. Consultez la section NRPT dans cet article pour plus d'informations.

La figure 3 affiche les paramètres de configuration de DNSSEC au sein d'une règle NRPT.

Figure 3 Enabling DNSSEC in an NRPT rule

La figure 3 **L'activation de DNSSEC dans une règle NRPT.  **

Pour une partie spécifiée de l'espace de noms défini par la règle NRPT, activer DNSSEC avec Activer les DNSSEC dans cette règle . Vous pouvez ensuite nécessite une validation par clients DNS requis pour vérifier que les données nom et l'adresse a été validées, .

Vous pouvez également spécifier que le client DNS protéger le trafic entre lui et le serveur DNS avec l' UseIPsec dans la communication entre le client DNS et le serveur DNS, et spécifiez le type de protection. Vous pouvez également spécifier l'autorité de certification (CA) à partir de laquelle le client DNS accepte des certificats lors de l'exécution de l'authentification IPsec dans les autorité de certification (voir la rubrique de la figure 2 ).

Joseph Davies est rédacteur technique principal sur le Windows PowerShell-Interface de commande Virtual Machine Manager réseau l'équipe de rédaction au Windows PowerShell-Interface de commande Virtual Machine Manager. Il est l'auteur et coauteur d'un nombre de livres publiés par Windows PowerShell-Interface de commande Virtual Machine Manager Press, y compris “ Windows Server 2008 mise en réseau et de Network Access Protection (NAP), ” “ Understanding IPv6, Second Edition ” et “ Windows Server 2008 TCP/IP Protocols and Services. ”

Contenu associé