lundi 30 mars 2015

Configuration de DNSSEC sur un serveur 2012 en powershell

Bien le bonjour,

Voici comment configurer le DNSSEC en powershell sur un Windows serveur 2012.

#Définir le nom de la zone
$zonename =  "secure.domaine.tld"

#Création d'une zone intégrée à l'AD avec une réplication dans la forêt.
Add-DnsServerPrimaryZone -Name $zonename -ReplicationScope Forest

#Ajout d'enregistrement dans la zone
Add-DnsServerResourceRecord -ZoneName $zonename -A -Name mail -IPv4Address 10.0.0.5
Add-DnsServerResourceRecord -ZoneName $zonename -MX -Name . -MailExchange mail.domaine.tld -Preference 10

#Définir ou redéfinir le maitre des clés pour la zone
Reset-DnsServerZoneKeyMasterRole -ZoneName $zonename -KeyMasterServer dc2.domaine.tld -SeizeRole -Force

#Définir la méthode utilisée pour les RR non existants (nsec ou nsec3)
#Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec
Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec3 -DistributeTrustAnchor DnsKey -DSRecordGenerationAlgorithm Sha256 -EnableRfc5011KeyRollover $False -NSec3HashAlgorithm RsaSha1

#Création de la clé KSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type KeySigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 2048

#Création de la clé ZSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type ZoneSigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 1024

#Signer la zone
Invoke-DnsServerZoneSign -ZoneName $zonename -Force

Prochain article sur la mise en place d'un serveur WSUS via Powershell sur un serveur 2012.

Salutation,
Guillaume

jeudi 26 mars 2015

DNSSEC et chaine d'approbation

Bien le bonjour,

Petit point sur le DNSSEC qui est utilisé pour aider à protéger les requêtes DNS de l’interception et de la falsification.
Il utilise des clés de chiffrement et des signatures numériques pour vérifier que les réponses DNS sont valides et emploie un certain nombre de nouveaux enregistrements de ressource pour signer et publier des clés :

  • DNSKEY : Publie la clé publique de la zone.
  • Delegation Signer (DS) :  Enregistrement de délégation de zone qui contient le hachage de la clé publique d'une zone enfant. Cet enregistrement est signé par la clé privée de la zone parente.
  • Resource Record Signature (RRSIG) : Contient une signature pour un jeu d'enregistrements DNS
  • Next Secure (NSEC) : Authentifie le fait que l'hôte n'existe pas.
  • NSEC3 : Hache de l'enregistrement NSEC.

Schéma de la chaîne d’approbation DNSSEC
Schéma de la chaîne d’approbation DNSSEC
Schéma de la chaîne d’approbation DNSSEC

Vous pouvez utiliser les sites suivant pour afficher les informations DNSSEC sur la zone souhaitée :

Prochain article sur la mise en place du DNSSEC sur un Windows serveur 2012 en powershell.

Salutation,
Guillaume

mercredi 4 mars 2015

Configurer le nettoyage DNS via powershell

Bien le bonjour,

Voici les cmdlets powershell pour configurer le nettoyage DNS

#Définir et activer le nettoyage des enregistrements sur le serveur pour toutes les nouvelles zones par défaut avec un interval de 7 jours
Set-DnsServerScavenging -ApplyOnAllZones -ScavengingState $True -ScavengingInterval 7.00:00:00

#Afficher la configuration du nettoyage des enregistrements du serveur
Get-DnsServerScavenging

#Définir et activer le nettoyage des enregistrements sur une zone en spécifiant le serveur primaire autorisé à effectuer le nettoyage
set-DnsServerZoneAging -Name domaine.tld -Aging $true -RefreshInterval 7.00:00:00 -noRefreshInterval 7.00:00:00 -ScavengeServers 10.0.0.4

#Afficher la configuration de l'actualisation des enregistrements d'une zone
Get-DnsServerzoneaging -name domaine.tld

#Afficher les enregistrements elligibles au nettoyage
Get-ADObject -Filter * -searchbase 'CN=MicrosoftDNS,DC=ForestDnsZones,DC=domaine,DC=tld' -Properties dNSTombstoned,name,whenchanged  | Where {($_.dNSTombstoned -eq $true) -and ($_.name -NotLike "_*")}

#Lancer le nettoyage manuellement

Start-DnsServerScavenging -force -Verbose


Prochain article, le DNSSec sous Windows serveur 2012

Salutation,
Guillaume

lundi 2 mars 2015

Fonctionnement du nettoyage des enregistrements DNS sur un windows serveur

Bien le bonjour,

L'article d'aujourd'hui porte sur le fonctionnement du nettoyage des enregistrements DNS sur un windows serveur pour les zones intégrées à Active Directory.
Cette fonctionnalité permet de supprimer les enregistrements obsolètes (n'ayant pas eu de mises à jour depuis X temps).
Seuls les enregistrement dynamiques sont affectés, ceux disposant d'une valeur dans la colonne horodatage.

Pour bien comprendre le fonctionnement du nettoyage des enregistrements DNS, il est nécessaire de prendre en compte plusieurs éléments :
-          Actualisation : Modification de l'horodatage
-          Mise à jour : Modification de l'enregistrement (implique l'actualisation)
-          L'enregistrement est mis à jour ou actualisé :
·         IP modifiée, ajoutée ou supprimée dans la configuration TCP/IP
·         Baux d'adresse modifié ou renouvelé par le DHCP
·         L'utilisation de la commande ipconfig /registerdns ou Register-DnsClient
·         Au démarrage du poste
-          L'intervalle de non actualisation : Défini sur une zone, indique la durée pendant laquelle l'enregistrement ne peut être actualisé. Débute à partir de la dernière définition de l'horodatage. Cette option permet de limiter le nombre de modification et donc de réplication de l'AD.
-          L'intervalle d'actualisation : Défini sur une zone, indique la durée pendant laquelle l'enregistrement peut être mis à jour ou actualisé. Une fois cette durée expirée, l'enregistrement est considéré comme obsolète.

-          Le délai de nettoyage automatique : Défini sur le serveur, indique à quel moment le serveur supprime les enregistrements considérés comme obsolètes.

Fonctionnement du nettoyage :
Schéma de fonctionnement du nettoyage automatique du DNS
Schéma de fonctionnement du nettoyage automatique du DNS

Prochain article sur la configuration du nettoyage via powershell.

Salutation,
Guillaume