Pour les lecteurs qui reviennent sur ce blog après avoir compris les bases d’Active Directory (AD) dans la première partie de cette série, bon retour!

Pour tous les nouveaux lecteurs : Bonjour ! Préparez-vous à plonger dans le monde d’AD. Il serait bon de jeter un coup d’œil rapide à ce qui a été couvert dans la partie 1 avant de continuer. Assurez-vous de lire la partie 1 car elle vous servira de guide pour :

  • Les principes fondamentaux d’AD.
  • Quelques définitions de base d’AD.
  • Les avantages que toute entreprise peut tirer d’une installation AD.

La deuxième partie de cette série vise à présenter l’interrelation entre AD et le système de noms de domaine (DNS).

 Qu’est-ce que le DNS ?

Le DNS, dans un sens général, est un moyen de résoudre les noms d’hôtes ou de domaines en adresses IP correspondantes.

Dans le contexte d’AD, le service DNS maintient un espace de noms de travail de domaines et sous-domaines DNS qui aident principalement au processus de recherche. Il aide à identifier et à trouver les diverses ressources dans tout environnement AD privé.

Les serveurs DNS fonctionnent de manière cohérente dans les domaines et sites AD pour permettre la résolution de noms d’utilisateurs et d’ordinateurs, entre autres fonctionnalités. Dans la plupart des cas, aucun serveur DNS ne peut à lui seul assurer tous les services essentiels. Les serveurs DNS sont donc logiquement regroupés dans un réseau hiérarchique pour permettre un service DNS transparent dans les réseaux AD.

Comment AD utilise-t-il les services de DNS ?

La dépendance d’AD vis-à-vis du DNS peut être comprise à travers les sujets suivants :

  • Processus de localisation d’AD
  • Enregistrements de ressources DNS
  • Zones DNS et fichiers de zone
  • DNS et LDAP

 Processus de localisation des DC

Un contrôleur de domaine (DC) est le serveur primaire d’authentification et d’autorisation dans un environnement AD. Il s’agit du serveur sur lequel est installé le rôle de serveur AD DS.

Pour utiliser les principaux services d’AD, c’est-à-dire pour rechercher, authentifier et autoriser les accès des utilisateurs et modifier tout objet AD, tel que les utilisateurs, les groupes ou les ordinateurs, les serveurs DNS sont utilisés pour “localiser” les DC disponibles dans les sites AD respectifs.

Voici une brève description de la manière dont les DC sont localisés :

  • Le protocole DNS, qui fait partie de la couche application de la suite de protocoles TCP/IP, est utilisé pour localiser et contacter le DC le plus proche.
  • L’ordinateur client envoie une requête DNS au serveur DNS pour la résolution DNS. Le serveur DNS est identifié à l’aide des paramètres de configuration TCP/IP de l’ordinateur client.
  • Le serveur DNS répond à cette requête avec la liste des enregistrements DNS qui correspondent à la requête. Elle contient généralement la liste de tous les DCs disponibles dans le domaine demandé.
  • L’ordinateur client valide cette réponse (appelée enregistrement SRV, ce qui est expliqué dans la section suivante) et sélectionne un DC en fonction de la priorité et du poids attribués à l’enregistrement.
  • Le client envoie une deuxième requête DNS, demandant au serveur DNS de fournir l’adresse IP du DC sélectionné.
  • Le serveur DNS vérifie l’enregistrement A (également expliqué dans la section suivante) et répond à la requête du client avec l’adresse IP correspondante.
  • Avec cette information, le client contacte le DC et initie la communication.

Enregistrements de ressources DNS

Le serveur DNS est chargé de maintenir différents types d’enregistrements de données dans la base de données DNS.

Parmi les nombreux enregistrements de ressources sauvegardés dans la base de données DNS, pour le processus de localisation des DC, les enregistrements de localisation de services (enregistrements SRV) sont de première importance.

Comme présenté brièvement dans la section ci-dessus sur le processus de localisation des DC, l’ordinateur client trie les multiples enregistrements SRV fournis par le serveur DNS en réponse à sa première requête DNS. Chaque enregistrement est associé à un nom d’hôte de serveur offrant potentiellement le service requis par le client.

Il peut arriver que plusieurs enregistrements SRV, provenant de tous les sites AD, soient proposés à un client dans un domaine donné pour un service requis. Dans ce cas, les informations de poids et de priorité associées à chaque enregistrement de service sont vérifiées, et l’enregistrement auquel est attribuée une priorité inférieure est choisi.

Pour les enregistrements ayant la même priorité, celui dont le poids relatif est le plus faible est sélectionné pour permettre aux administrateurs d’équilibrer la charge.

L’ordinateur client utilise le nom du serveur hôte associé à l’enregistrement SRV sélectionné pour passer à l’étape suivante qui consiste à obtenir l’adresse IP du DC choisi.

Une fois qu’un DC approprié a été sélectionné, une deuxième requête DNS de l’ordinateur client demande qu’un enregistrement A (enregistrement hôte) soit envoyé par le serveur DNS avec les informations IP du DC sélectionné. Ainsi, les enregistrements A sont les autres enregistrements de ressources essentiels gérés par le DNS pour le processus de localisation des DC.

Zones DNS et fichiers de zone

Les enregistrements SRV et les enregistrements A ne sont pas les seuls enregistrements de ressources conservés sur le serveur DNS. Il existe près de 90 enregistrements de ressources officiels stockés dans la base de données du serveur DNS, dont beaucoup sont également utiles pour les fonctionnalités AD. Avant de présenter d’autres enregistrements de ressources, il est utile de se familiariser avec les zones DNS et les fichiers de zone afin de comprendre comment les enregistrements sont stockés sur le serveur.

Les zones DNS sont des dérivés administratifs de l’espace de noms DNS qui sont gérés et contrôlés par l’administrateur AD, et elles sont utilisées pour stocker et répliquer des données DNS modifiables. Les zones DNS intégrées à Active Directory sont des sections de la partition de répertoire de la base de données AD appelée partition d’application.

Au sens physique, ces zones contiennent des données ou des informations liées au DNS sous la forme de fichiers texte, ou fichiers “zone”. Les enregistrements de données DNS pour les domaines et sous-domaines représentés par la zone DNS sont stockés dans ces fichiers texte.

Dans l’architecture logique d’AD, ces zones représentent des groupes d’objets conteneurs contenant plusieurs autres objets AD. Chaque nom unique stocké dans AD est identifié par un objet de nœud DNS unique. Les enregistrements DNS sont des attributs à valeurs multiples attribués à ces objets.

Les zones DNS peuvent être classées comme suit :

  • Les zones primaires qui stockent les copies maîtres des données de la zone.
  • Les zones secondaires qui stockent une copie en lecture seule des données de la zone.
  • Les zones d’attente ne contenant que des enregistrements de ressources limités pour identifier les serveurs faisant autorité.
  • Les zones intégrées AD-DNS dont les données DNS sont stockées dans la base de données AD et qui utilisent le modèle de réplication d’AD pour modifier les données DNS sur un DC particulier et les faire refléter sur tous les DC de la forêt AD.

En conclusion, le processus de localisation des DC, les enregistrements de ressources DNS, les zones DNS et les fichiers de zone sont liés de la manière suivante :

  • Considérons le rôle de serveur DNS installé sur le DC dans un environnement AD type, ad.practice.com.
  • Deux zones DNS primaires intégrées à AD sont créées. Elles sont appelées zones de recherche vers l’avant.
  • Dans le cas de l’exemple de configuration AD susmentionné, deux zones de consultation directe sont créées par défaut, à savoir _msdcs.ad.practice.com et ad.practice.com. Elles sont toutes deux créées dans la partition d’application de la base de données de l’annuaire AD.
  • Ces zones contiennent des informations sous forme d’enregistrements de ressources qui permettent de nombreuses fonctionnalités d’AD-DNS, notamment le processus de localisation des DC, l’identification des sites AD et la résolution de noms lors de la recherche d’objets.
  • Ces fichiers de zone comportent plusieurs types d’enregistrements de ressources. Les enregistrements SRV utilisés dans le processus de localisation des DC se trouvent dans ces fichiers de zone pour localiser les DC qui offrent des services tels que le service Netlogon.
  • Les autres enregistrements importants utilisés sont les enregistrements A, qui sont des enregistrements d’hôte contenant l’adresse IP du DC sélectionné et sont envoyés comme réponse par tout ordinateur client sous forme de requête DNS.
  • Les enregistrements de nom canonique, ou enregistrements CNAME, sont d’autres enregistrements importants conservés dans les fichiers de zone. Les alias pour les serveurs et autres ressources réseau connectées, telles que les imprimantes, peuvent être configurés comme une substitution d’un autre domaine ou nom d’hôte.

La section suivante traite de la manière dont les données AD sont récupérées et modifiées. Cette section a pour seul but de comprendre comment le Lightweight Directory Access Protocol (LDAP) est utilisé pour communiquer avec les services AD et comment le LDAP dépend du DNS.

DNS et LDAP

Chaque objet AD est identifié par des normes de dénomination uniques.

La résolution de ces noms distingués (DN) en adresses IP s’effectue à l’aide de LDAP. Ce protocole est utilisé dans les environnements AD pour rechercher chacun des objets AD et modifier ou gérer la communication avec le service d’annuaire sans nécessairement connaître l’emplacement exact ou l’adresse IP des ressources. Cela est possible grâce à l’intégration des services AD avec le DNS.

Le processus d’authentification LDAP utilise les entrées DNS stockées dans la base de données du serveur LDAP, qui est appelée agent du système d’annuaire, ou DSA. En deux étapes d’authentification, le DN et ensuite le mot de passe sont résolus et vérifiés. Si les informations d’identification fournies correspondent à celles stockées dans la base de données LDAP, le serveur authentifie et autorise l’utilisateur à accéder aux différentes ressources du réseau.

Vous pouvez constater que les interdépendances entre AD et DNS sont assez importantes. Les rouages d’AD sont construits de manière exhaustive sur le cadre du DNS. Les sections ci-dessus mettent en évidence certains des domaines de cette interrelation en termes pratiques, mais vous pouvez étudier ce sujet encore plus en détail.

Les données DNS sont très exposées aux menaces de sécurité. Les zones DNS intégrées à AD sont sensibles à diverses tentatives d’infiltration de sécurité. Les attaques par déni de service, l’usurpation et le détournement de DNS sont quelques-unes des nombreuses façons dont les cyberattaquants compromettent le serveur DNS d’une organisation. Active Directory doit être surveillé de près, et l’intégration AD-DNS doit être réalisée efficacement pour garantir la sécurité. Une attaque sur l’architecture AD-DNS, si elle n’est pas empêchée ou du moins gérée efficacement, peut être gravement préjudiciable à la posture de sécurité d’une organisation.

Source: A practical approach to Active Directory Domain Services, Part 2: Active Directory and the Domain Name System