DNS sous Windows Server 2022 – Comment configurer une zone de recherche inversée ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à configurer une zone de recherche inversée sur un serveur DNS lié à l'Active Directory, sous Windows Server 2022. Nous verrons également comment créer des enregistrements PTR, propres à ce type de zone.
La zone de recherche inversée va permettre de résoudre les adresses IP en nom, ce qui revient à faire l'inverse de ce que l'on demande habituellement à un serveur DNS. Ainsi, si je demande à mon serveur DNS à qui correspond l'adresse IP "192.168.100.11", il devrait me retourner le nom d'hôte correspondant. Par défaut, ce n'est pas le cas, car la zone de recherche inversée n'existe pas. On peut le constater en effectuant une requête nslookup :
C'est là que la zone de recherche inversée et les enregistrements PTR entrent en scène...
Personnellement, je vous recommande de créer une zone de recherche inversée pour vos différents sous-réseaux, notamment parce que c'est très utile en phase de troubleshooting. Ce n'est pas mis en place par défaut, mais c'est une bonne pratique d'effectuer cette configuration.
II. DNS - Créer une zone de recherche inversée
Sur votre contrôleur de domaine, qui doit être également serveur DNS, ouvrez la console DNS. Bien entendu, vous pouvez aussi utiliser un serveur d'administration sur lequel sont installés les outils RSAT. Au sein de cette console, vous pouvez visualiser vos deux "Zones de recherche directes", tandis que la section "Zones de recherche inversée" est vide.
Effectuez un clic droit sur "Zones de recherche inversée" puis cliquez sur "Nouvelle zone...".
L'assistant de création d'une nouvelle zone se lance. Tout d'abord, vous devez choisir "Zone principale" et cocher l'option en bas de page pour que la zone soit inscrite dans l'Active Directory, au même titre que la zone DNS du domaine. Poursuivez.
Cette zone doit être répliquée vers l'ensemble des serveurs DNS associés à ce domaine pour que la résolution DNS inversée fonctionne sur l'ensemble du réseau local. Choisissez la seconde option comme sur l'image ci-dessous.
Sélectionnez "Zone de recherche inversée IPv4", car ici je travaille sur un réseau local adressé en IPv4, et poursuivez.
L'étape "Nom de la zone de recherche inversée" est importante, car elle contient le champ "ID réseau" où on doit déclarer le sous-réseau concerné par la zone de recherche inversée. J'indique "192.168.100", car cette zone est associée au réseau "192.168.100.0/24". On peut voir que la zone sera nommée : 100.168.192.in-addr.arpa.
L'étape suivante concerne les mises à niveau dynamique, cochez "N'autoriser que les mises à jour dynamiques sécurisées" pour protéger cette zone à minima. Option classique en environnement Active Directory.
Voilà, c'est la fin de la création de la zone. Cliquez sur "Terminer".
La zone est immédiatement disponible et visible dans l'interface du serveur DNS.
III. Créer un enregistrement PTR
C'est bien beau, la zone existe, mais que fait-on maintenant ?
À partir de l'interface DNS, vous pouvez créer un nouvel enregistrement PTR via un clic droit "Nouveau pointeur (PTR)".
Toutefois, il est important que je vous explique la notion de pointeur. Un enregistrement PTR permet de fournir le nom de domaine (FQDN) associé à une adresse IP, en l'occurrence ici, il va permettre de retourner le nom DNS d'un hôte à partir de son adresse IP. C'est un enregistrement spécifique aux zones de recherche inversée.
Par défaut, les machines Windows sont configurées pour s'enregistrer dans le DNS (enregistrements A et PTR), y compris les machines adressées en DHCP. Pour les machines avec une adresse IP fixe, que l'on peut appeler des hôtes statiques (par exemple : un serveur en adresse IP fixe), on peut créer manuellement les enregistrements.
De ce fait, vous pouvez créer un enregistrement PTR pour le contrôleur de domaine, en spécifiant son adresse IP puis le nom d'hôte complet : nom de la machine couplé au nom du domaine Active Directory.
Validez. L'enregistrement PTR est créé. Cet enregistrement PTR créé manuellement est statique donc il n'expire pas.
Pour vérifier qu'il est opérationnel, on peut réutiliser l'outil "nslookup" comme au tout début, avant que la zone DNS soit créée. Cette fois-ci, nous n'avons pas d'erreur, mais une réponse satisfaisante puisque le nom d'hôte est indiqué !
nslookup 192.168.100.11
La zone de recherche inversée pour ce sous-réseau est opérationnelle au sein du serveur DNS !
Sachez qu'il est possible de créer un enregistrement PTR avec une commande PowerShell afin de gagner du temps s'il y a un ensemble d'hôtes à intégrer. Dans l'exemple ci-dessous, on crée le même enregistrement que celui créé précédemment en mode graphique.
Add-DnsServerResourceRecordPtr -ZoneName "100.168.192.in-addr.arpa" -Name "11" -PtrDomainName "srv-adds-01.it-connect.local" -TimeToLive 01:00:00
- -ZoneName : nom de la zone de recherche inversée
- -Name : adresse IP de l'hôte, en l'occurrence "11" car c'est l'IP "192.168.100.11"
- -PtrDomainName : nom d'hôte (FQDN)
- -TimeToLive : durée de la mise en cache de cet enregistrement (facultatif)
Vous pouvez aussi faire un script qui récupère vos enregistrements DNS A (statique ou correspondants à vos serveurs), pour générer les enregistrements PTR car il s'agit d'inverser les informations. A ce sujet pour vous aider :
IV. Conclusion
Voilà, vous venez de mettre en place une zone de recherche inversée au sein de votre serveur DNS ! Désormais, vous pouvez faire de la résolution de noms en adresses IP mais aussi de la résolution d'adresses IP en noms ! Au sujet des mises à jour dynamiques dans le DNS, vous pouvez consulter la documentation de Microsoft :
N’est ce pas dangereux pour une tentative de hack ? En effectuant un ping vers les IP on peut trouver machine Hyper, Srvfiles etc…