Info-Sec
By Arek

Windows 2016 : Paramétrer un serveur DNS sans contrôleur de domaine [Partie 2]

Partie 2 : Paramétrage du serveur DNS et du serveur DHCP


Voici la suite pour le paramétrage d’un serveur DNS sans contrôleur de domaine.

III. Paramétrage du serveur DNS

A. Création des zones :

On crée notre Primary DNS Forward Lookup Zone :

Add-DnsServerPrimaryZone -Name "lab.arek.lan" -ZoneFile "lab.arek.lan.dns"
  • -Name : Nom de votre zone. Par ex. : lab.win.lan ; lab.lan ; etc…
  • -ZoneFile : Le nom que portera le fichier de configuration de votre zone

On crée notre Primary DNS Reverse Lookup Zone :

Add-DnsServerPrimaryZone -NetworkID 172.16.0.0/24 -ZoneFile "0.0.16.172.in-addr.arpa.dns"
  • -NetworkID : Adresse réseau du réseau de votre groupe de travail (10.0.0.0/8 ; 192.168.1.0/24 ; 172.16.0.1/16)
  • -ZoneFile : Le nom que portera le fichier de configuration de votre zone inversée (*)

* par convention, pour par ex. le réseau 192.168.1.0, Microsoft nomme sous cette forme : ‘0.1.168.192.in-addr-arpa.dns’

Add-DnsServerPrimaryZone -NetworkID 172.16.0.0/24 -ZoneFile "0.0.16.172.in-addr.arpa.dns"

On rajoute le transfert DNS, nécessaire pour résoudre des adresses extérieures au réseau interne. Ici pour mon lab j’utilise celui de Google mais si vous êtes concernés par les censures ou filtrages effectués par certains fournisseurs, je vous recommande l’excellent site https://www.opennic.org/ qui recense des DNS alternatifs.

Add-DnsServerForwarder -IPAddress 8.8.8.8 -PassThru

N’étant pas un domaine, il faut autoriser les mises à jours dynamiques du DNS non sécurisées :

Set-DnsServerPrimaryZone -Name “lab.arek.lan” -DynamicUpdate “NonSecureAndSecure”
B. Le rajout du Primary DNS Suffix :

Il est également nécessaire de rajouter le Primary DNS Suffix :

Set-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\” –Name Domain –Value lab.arek.lan

Avec une interface graphique, cela correspond à ce paramètre :

Pour vérifier, on peut le faire tout simplement avec :

ipconfig /all

 

C. Modification des SOA :

Nous devons ensuite modifier le Primary Server du Start Of Authority de la zone que nous venons de créer. Pour cela on récupère l’enregistrement actuel et on le stock dans deux variables (old et new) :

$OldSOARecord = $NewSOARecord = Get-DnsServerResourceRecord -ZoneName lab.arek.lan -RRType SOA

On modifie alors les valeurs sur le nouvel enregistrement (variable new) :

$NewSOARecord.RecordData.PrimaryServer = “srv01.lab.arek.lan.”
$NewSOARecord.ResponsiblePerson = “hostmaster.lab.arek.lan.”

Attention de ne pas oublier le « . » à la fin de la chaîne.

On applique les changements sur les enregistrements en cours :

Set-DnsServerResourceRecord -NewInputObject $NewSOARecord -OldInputObject $OldSOARecord -Zone “lab.arek.lan”

On refait l’opération mais cette fois pour la zone de recherche inversée. Cette fois on y renseigne le nom de la zone inversée, en raccord avec l’adresse réseau (dans mon lab 172.16.0.0/24 soit 0.16.172.in-addr.arpa) :

$OldSOARecord = $NewSOARecord = Get-DnsServerResourceRecord -ZoneName 0.16.172.in-addr.arpa -RRType SOA

On modifie alors les valeurs sur le nouvel enregistrement (variable new) :

$NewSOARecord.RecordData.PrimaryServer = “srv01.lab.arek.lan.”
$NewSOARecord.ResponsiblePerson = “hostmaster.lab.arek.lan.”

Attention de ne pas oublier le « . » à la fin de la chaîne.

On applique les changements sur les enregistrements en cours :

Set-DnsServerResourceRecord -NewInputObject $NewSOARecord -OldInputObject $OldSOARecord -Zone “0.16.172.in-addr.arpa”


Ces enregistrements correspondent à la fenêtre des propriétés de zone de recherche directe et inversée de votre zone.

IV. Paramétrage du serveur DHCP

Notre serveur DNS étant paramétré, il nous reste à configurer le serveur DHCP pour fonctionner en raccord avec le serveur DNS.

On créer d’abord notre « scope » correspondant à notre réseau. Dans ce lab je suis en 172.16.0.0/24, ce qui nous donne :

Add-DHCPServerv4Scope -EndRange 172.16.0.254 -Name "Arek Lab" -StartRange 172.16.0.1 -SubnetMask 255.255.255.0 -State Active

On y rajoute ensuite le serveur DNS, le nom de domaine et le routeur ce qui correspond à ces options graphiques :

Set-DHCPServerv4OptionValue -DnsServer 172.16.0.1 -DnsDomain lab.arek.lan -Router 172.16.0.254

Et pour finir :

On paramètre les Mise à jour Dynamiques sur « Toujours », on active la suppresion des enregistrements A et PTR lorsque les baux sont terminés et on active la mise à jour dns dynamique des enregistrements A et PTR pour les clients ne demandant pas de mise à jours :

Set-DHCPServerv4DnsSetting -ScopeID 172.16.0.0 -DynamicUpdates "Always" -DeleteDNSRRonLeaseExpiry $True -DisableDNSPtrRRupdate $False

Ce qui correspond en fait à cette fenêtre de configuration :

 

 

 

 

 

 

 

 

 

 

 

Et c’est là que s’achève cet article en deux parties sur l’installation d’un serveur DNS dans un groupe de travail, sans domaine. Retenons ici que l’utilisation du PowerShell permet d’automatiser le déploiement de configurations. Très utile pour ma part lorsque je reparamètre depuis zéro un lab de test.

N’hésitez pas à me faire remonter par commentaire quelconque coquille, imprécision ou erreur de ma part.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *