Activer DNSSEC sur une zone DNS Active Directory

Réduire
X
Réduire
  •  

  • Activer DNSSEC sur une zone DNS Active Directory

    Cliquez sur l'image pour la voir en taille réelle  Nom : image.png  Affichages : 6  Taille : 23,9 Ko  ID : 319​​​

    1. Présentation

    Dans ce guide dédié à Windows Server 2022, vous découvrirez comment configurer DNSSEC pour crypter les enregistrements de la zone DNS de votre Active Directory.

    Pour suivre les étapes de ce tutoriel, vous aurez besoin d'un contrôleur de domaine Active Directory et d'une machine faisant partie du domaine (comme un serveur ou un poste de travail) pour tester la configuration et vérifier son bon fonctionnement.

    2. La technologie DNSSEC

    Liée directement au protocole DNS et aux serveurs DNS, constitue une extension axée sur la sécurité pour signer les enregistrements d'une zone DNS. Cette approche s'applique spécifiquement à la zone DNS associée au domaine Active Directory.

    En ajoutant cette couche de sécurité, DNSSEC vise à contrer les attaques telles que le DNS Spoofing (connu aussi sous le nom de Cache Poisoning) et les attaques de type Man-in-the-middle. Elle empêche un assaillant de se faire passer pour notre serveur DNS en l'empêchant de fournir des enregistrements signés. Si une tentative frauduleuse est effectuée, le client DNS détecte l'invalidité de la réponse. Sans DNSSEC, il existe un risque de réponse altérée (cache DNS contenant des informations erronées), potentiellement redirigeant vers un serveur malveillant, sans que l'utilisateur ne le remarque.

    Le serveur DNS de Windows Server prend en charge DNSSEC et assure une mise en œuvre conforme aux différentes RFC relatives à ce sujet : RFC 4033, RFC 4034 et RFC 4035.

    La signature DNSSEC doit être appliquée par un serveur DNS autorisé pour la zone, ce qui est le cas pour la zone DNS Active Directory, garantissant ainsi la signature de tous les enregistrements DNS. Malgré la présence de DNSSEC, le fonctionnement fondamental du DNS demeure inchangé : répondre aux requêtes de résolution de noms, tout en ajoutant une signature numérique aux réponses DNS.

    3. Configurer DNSSEC

    ​Depuis le serveur principal DNS, lancer le gestionnaire DNS.
    Cliquez sur l'image pour la voir en taille réelle  Nom : image.png  Affichages : 0  Taille : 3,7 Ko  ID : 317

    Nous arrivons ici.
    Faire un clique droits de souris, sur la zone principal.
    Sélectionner DNSSEC, puis Signer la zone

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0001.png  Affichages : 0  Taille : 49,6 Ko  ID : 318

    Une fenêtre s'ouvre.
    Nous cliquons sur le bouton Suivant >
    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0002.png  Affichages : 0  Taille : 89,0 Ko  ID : 297

    Nous sélectionnons Personnalisez les paramètres de signature de zone.
    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0003.png  Affichages : 0  Taille : 21,3 Ko  ID : 298

    Nous sélectionnons Le serveur DNS SWDCP01 est le maître des clés.
    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0004.png  Affichages : 0  Taille : 22,0 Ko  ID : 299

    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0005.png  Affichages : 0  Taille : 20,3 Ko  ID : 300

    Nous cliquons sur le bouton Ajouter

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0006.png  Affichages : 0  Taille : 18,3 Ko  ID : 301

    Nous mettons l'ensemble des options comme ci-dessous.
    Nous cliquons sur le bouton OK

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0007.png  Affichages : 0  Taille : 29,5 Ko  ID : 302

    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0008.png  Affichages : 0  Taille : 18,8 Ko  ID : 303

    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0009.png  Affichages : 0  Taille : 18,1 Ko  ID : 304


    Nous cliquons sur le bouton Ajouter

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0010.png  Affichages : 0  Taille : 18,1 Ko  ID : 305

    Mettre les options comme ci-dessous.
    Nous cliquons sur le bouton OK

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0011.png  Affichages : 0  Taille : 23,8 Ko  ID : 306

    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0012.png  Affichages : 0  Taille : 21,8 Ko  ID : 307

    Bien cocher la case Activer la distribution des ancres d'approbation pour cette zone.
    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0013.png  Affichages : 0  Taille : 23,8 Ko  ID : 308

    Nous cliquons sur le bouton Suivant >


    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0014.png  Affichages : 0  Taille : 23,0 Ko  ID : 309

    Nous cliquons sur le bouton Suivant >

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0015.png  Affichages : 0  Taille : 93,4 Ko  ID : 310

    Nous cliquons sur le bouton Terminer

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0016.png  Affichages : 0  Taille : 13,5 Ko  ID : 311


    Une fois terminé, il y a un cadenas doit s'afficher devants la zone DNS.

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0017.png  Affichages : 0  Taille : 43,3 Ko  ID : 312


    4. Création d'une GPO

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0021.png  Affichages : 0  Taille : 38,8 Ko  ID : 313

    Cliquez sur l'image pour la voir en taille réelle  Nom : DNS-0022.png  Affichages : 0  Taille : 8,9 Ko  ID : 314
    Fichiers attachés
    Tags: active directory, dns, dnssec, protection, server, server dns
        L'envoi de commentaires est désactivé.

      Article Tags

      Réduire

      Latest Articles

      Réduire
      • Purge Autorité de certification
        par hcornet
        Backup de la base de données
        Code:
        certutil –backupdb c:\temp
        Supprimer les demandes non abouties et les demandes en attente
        Code:
        certutil -deleterow mm/dd/yyyy request
        Supprimer les certificats expirés
        Code:
        certutil -deleterow mm/dd/yyyy cert
        Trouver l'emplacement de la base de données
        Code:
        certutil -databaselocations
        Compacter la base de données
        Code:
        net stop certsvc
C:\Windows\System32\esentutl /d "FULL-PATH-TO-EDB-FILE”
        ...
        18 June 2024, 08h34
      • Activer DNSSEC sur une zone DNS Active Directory
        par hcornet
        ​​​​

        1. Présentation

        Dans ce guide dédié à Windows Server 2022, vous découvrirez comment configurer DNSSEC pour crypter les enregistrements de la zone DNS de votre Active Directory.

        Pour suivre les étapes de ce tutoriel, vous aurez besoin d'un contrôleur de domaine Active Directory et d'une machine faisant partie du domaine (comme un serveur ou un poste de travail) pour tester la configuration et vérifier son bon fonctionnement.

        2. La technologie...
        03 December 2023, 18h36
      • Installation et de Configuration de Windows Server 2022
        par hcornet

        1. Introduction


        Bienvenue dans le guide ultime pour maîtriser l’installation et la configuration de Windows Server 2022 !
        En tant qu’acteur clé du paysage informatique moderne, Windows Server 2022 apporte des avancées technologiques passionnantes et des fonctionnalités de pointe qui répondent aux besoins croissants des environnements d’entreprise.

        Que vous soyez un administrateur système chevronné à la recherche d’une mise à jour approfondie...
        29 September 2023, 12h56
      Tout afficher
      Chargement...

        Nous collectons des données personnelles sur notre site, à travers l'utilisation des cookies ainsi que d'autres technologies, pour vous fournir nos services, des publicités personnalisées et pour analyser le trafic. Nous pouvons être amené à partager certaines informations avec les partenaires publicitaires et d'analyse. Pour plus de détails, veuillez consulter la politique de confidentialité.

        En cliquant sur « J'accepte » ci-dessous, vous acceptez notre politique de confidentialité ainsi que la collecte de données personnelles et l'utilisation de cookies comme décrit. Vous reconnaissez aussi que ce forum peut être hébergé en dehors de votre pays de résidence et que vous consentez à la collecte, le stockage et l'utilisation de vos données dans le pays où ce forum est hébergé.

        J'accepte