La résolution de noms : DNS

La supervision DNS consiste à vérifier que les serveurs DNS installés sur l’ensemble des contrôleurs de domaine sont en mesure de répondre aux différentes requêtes de résolution de noms. Les applications dans l’entreprise sont de plus en plus nombreuses, souvent accessibles depuis un navigateur internet. Les applications hébergées à l’extérieur de l’entreprise nécessitent une résolution du nom de domaine. C’est le cas pour accéder au moteur de recherche : « www.google.fr ».

III.2.3.1 La résolution DNS

Chez ATS, tous les contrôleurs de domaine ont le rôle de serveur DNS intégré à l’active directory. Le serveur DNS, permet de résoudre les noms de domaines de tous les domaines accessibles sur Internet, mais aussi certains domaines internes.

• Principe de fonctionnement d’un DNS

Un utilisateur souhaite accéder à google.fr depuis son navigateur Internet, identifié par le point 1 sur la figure 20. Une requête est envoyée au serveur DNS afin de résoudre le nom DNS : google.fr. Cette requête consiste à connaître le ou les adresses IP associées à google.fr. Le serveur DNS s’il possède les informations demandées, figure 20 point 2, les renvoie au client. Le client récupère ainsi l’adresse IP associée à sa demande, et se connecte à « google.fr » par son adresse IP. Le cas de « google.fr » est particulier, car il utilise la fonction « round robin » du DNS, ou tourniquet en français. Cette fonctionnalité permet la redondance des serveurs à contacter.

Les contrôleurs de domaine du domaine « axa-fr.intraxa », sont en mesure de répondre à des requêtes relatives à ce même nom de domaine. Le test de supervision consistera donc à tester si un contrôleur de domaine est en mesure de s’auto-interroger. Si le serveur répond à la requête de résolution de noms sur son propre domaine, le test est validé.

Lorsque le serveur DNS du contrôleur de domaine n’est pas en mesure de répondre à la requête, la supervision interprète le résultat des commandes, afin de générer un ticket d’incident. Ce ticket d’incident est créé selon le principe décrit au paragraphe IV.1.4.3. Les informations permettant d’identifier le serveur impacté sont renseignées dans le ticket d’incident. Elles fournissent les éléments nécessaires pour identifier le problème.

La résolution de nom DNS permet aussi à des applications d’accéder à d’autres applications de l’entreprise. L’ordonnanceur est un exemple concret. Il interroge les serveurs DNS afin de se connecter et exécuter les traitements sur les stations. Si les serveurs DNS interrogés ne répondent pas à ses requêtes, les traitements ne seront pas exécutés. Les conséquences peuvent être alors très importantes pour ATS et ses clients.

La résolution de noms DNS est un enjeu majeur pour les applications intranet ou internet. La supervision de la résolution de noms DNS permet d’alerter les équipes exploitantes afin de d’être réactif. L’analyse des incidents à montré que le service DNS pouvait être démarré et vu comme opérationnel, alors qu’il n’y avait pas de la résolution de noms sur ce contrôleur de domaine.

La commande « NSLOOKUP » est utilisée pour les tests sur le DNS. Elle est native à toutes les versions de Microsoft Windows. C’est à dire, présente sur l’ensemble des systèmes d’exploitation fournis par Microsoft. L’aide de la commande est disponible en tapant dans une invite de commande : « nslookup / ? ».

Utilisation :

nslookup [-opt ...] # mode interactif utilisant le serveur par défaut nslookup [-opt ...] - serveur # mode interactif utilisant 'serveur'

nslookup [-opt ...] hôte # recherche 'hôte' en utilisant le serveur par défaut nslookup [-opt ...] hôte serveur # recherche 'hôte' en utilisant 'serveur'

Cette aide est très peu détaillée, mais permet néanmoins d’exécuter les commandes adéquates. Cette commande ne permet pas l’export de la base DNS pour des traitements en masse. L’utilitaire « DNSCMD.EXE », présent dans les outils d’administration système Microsoft Windows, permet de plus de souplesse.

III.2.3.2 La résolution ciblée des enregistrements DNS

L’accès aux ressources de la société nécessite de résoudre les noms de serveurs en adresse IP. Des enregistrements critiques sont supervisés afin de s’assurer que ceux-ci sont toujours présents ou n’ont pas changé ou été supprimé. Dans des grandes entreprises comme AXA, des milliers d’utilisateurs accèdent à la même ressource grâce à la résolution de nom du DNS. La supervision exportera la base DNS dans un fichier texte. Les enregistrements contenus dans le fichier exporté sont comparés avec les informations contenues dans les fichiers de configurations. Si les informations ne sont pas cohérentes, elles seront traduites en ticket d’incident.

La commande suivante permet d’exporter toute la zone dans le fichier « dns_zone.txt ». • dnscmd.exe IP_serveur_dns /ZonePrint nom_zone_dns > dns_zone.txt

• dnscmd.exe 10.210.200.20 /ZonePrint axa-fr.intraxa > dns_zone.txt

Quelques options de l’utilitaire « DNSCMD.EXE » sont fournies en annexe 2.

Lorsqu’un enregistrement DNS critique est supprimé du DNS ou est modifié, un ticket d’incident sera créé dans la base des incidents. Les informations nécessaires pour identifier l’anomalie seront détaillées pour aider à la résolution de l’incident. Si l’adresse IP d’un enregistrement critique est modifiée dans le cadre d’un changement, elle devra être reportée dans les fichiers de configuration du serveur superviseur concerné.

La liste des enregistrements a été fournie par le responsable du service IDST Windows en accord avec les responsables métiers.

Ces informations sont présentes dans le fichier « config_ldap.ini ». Elles sont identifiées par des mots clés selon 2 cas de figures :

• CAS 1 :

• NS_CONTROLE_N: Nom du serveur • NS_CONTROLE_I: IP du serveur • CAS 2 :

• NS_CONTROLE_N: Nom du serveur • NS_CONTROLE_I: IP du serveur • NS_CONTROLE_A: Alias du serveur

Un alias DNS est un enregistrement de type « CNAME27 ». Il se prononce « cénèïme ». Il permet d’accéder à un serveur en utilisant un nom différent, comme illustré ci-dessous.

Tableau 14 : Exemple d’alias (CNAME)

Dans le fichier de configuration « config_ldap.ini », chaque enregistrement critique sera défini selon le CAS 1 ou le CAS 2. Les enregistrements qui ne répondront pas à ces critères dans le fichier de configuration ne seront pas pris en compte.

Une des fonctions premières de l’active directory est l’authentification des comptes utilisateurs. Elle permet d’accéder aux ressources de l’entreprise.

27 _{CNAME : Canonical Name, nom canonique en français}

enregistrement Type Cible

PRATSSRV01 A 10.232.10.21 portail.axa.fr CNAME PRATSSRV01 agences.axa.fr CNAME PRATSSRV01