Nouveautés du serveur DNS dans Windows ServerWhat's New in DNS Server in Windows Server

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique décrit les nouveautés et les modifications apportées à la fonctionnalité de serveur DNS (Domain Name System) dans Windows Server 2016.This topic describes the Domain Name System (DNS) server functionality that is new or changed in Windows Server 2016.

Dans Windows Server 2016, le serveur DNS offre une prise en charge améliorée dans les domaines suivants.In Windows Server 2016, DNS Server offers enhanced support in the following areas.

FonctionnalitésFunctionality Nouveauté ou améliorationNew or Improved DescriptionDescription
Stratégies DNSDNS Policies NouveauNew Vous pouvez configurer des stratégies DNS pour spécifier la façon dont un serveur DNS répond aux requêtes DNS.You can configure DNS policies to specify how a DNS server responds to DNS queries. Les réponses DNS peuvent être basées sur l’adresse IP du client (emplacement), l’heure de la journée et plusieurs autres paramètres.DNS responses can be based on client IP address (location), time of the day, and several other parameters. Les stratégies DNS activent les DNS sensibles à l’emplacement, la gestion du trafic, l’équilibrage de charge, le DNS de fractionnement et d’autres scénarios.DNS policies enable location-aware DNS, traffic management, load balancing, split-brain DNS, and other scenarios.
Limitation du taux de réponse (RRL)Response Rate Limiting (RRL) NouveauNew Vous pouvez activer la limitation du taux de réponse sur vos serveurs DNS.You can enable response rate limiting on your DNS servers. En procédant ainsi, vous évitez la possibilité que des systèmes malveillants utilisent vos serveurs DNS pour lancer une attaque par déni de service sur un client DNS.By doing this, you avoid the possibility of malicious systems using your DNS servers to initiate a denial of service attack on a DNS client.
Authentification DNS des entités nommées (n)DNS-based Authentication of Named Entities (DANE) NouveauNew Vous pouvez utiliser des enregistrements TLSA (Transport Layer Security Authentication) pour fournir des informations aux clients DNS qui indiquent l’autorité de certification à partir de laquelle ils doivent s’attendre à recevoir un certificat pour votre nom de domaine.You can use TLSA (Transport Layer Security Authentication) records to provide information to DNS clients that state what CA they should expect a certificate from for your domain name. Cela empêche les attaques de l’intercepteur, où un utilisateur peut corrompre le cache DNS pour pointer vers son propre site Web et fournir un certificat qu’il a émis à partir d’une autre autorité de certification.This prevents man-in-the-middle attacks where someone might corrupt the DNS cache to point to their own website, and provide a certificate they issued from a different CA.
Prise en charge des enregistrements inconnusUnknown record support NouveauNew Vous pouvez ajouter des enregistrements qui ne sont pas explicitement pris en charge par le serveur DNS Windows à l’aide de la fonctionnalité d’enregistrement inconnu.You can add records which are not explicitly supported by the Windows DNS server using the unknown record functionality.
Indications de racine IPv6IPv6 root hints NouveauNew Vous pouvez utiliser la prise en charge des indications de racine IPV6 natives pour effectuer une résolution de noms Internet à l’aide des serveurs racine IPV6.You can use the native IPV6 root hints support to perform internet name resolution using the IPV6 root servers.
Prise en charge de Windows PowerShellWindows PowerShell Support AmélioréImproved De nouvelles applets de commande Windows PowerShell sont disponibles pour le serveur DNS.New Windows PowerShell cmdlets are available for DNS Server.

Stratégies DNSDNS Policies

Vous pouvez utiliser la stratégie DNS pour la gestion du trafic basée sur la géolocalisation, les réponses DNS intelligentes en fonction de l’heure de la journée, pour gérer un serveur DNS unique configuré pour le - déploiement split brain, l’application de filtres sur les requêtes DNS, etc.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Les éléments suivants fournissent plus de détails sur ces fonctionnalités.The following items provide more detail about these capabilities.

  • Équilibrage de charge de l’application.Application Load Balancing. Lorsque vous avez déployé plusieurs instances d’une application à différents emplacements, vous pouvez utiliser la stratégie DNS pour équilibrer la charge du trafic entre les différentes instances d’application, en allouant de manière dynamique la charge du trafic pour l’application.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.

  • -Gestion du trafic basée sur l’emplacement géographique.Geo-Location Based Traffic Management. Vous pouvez utiliser une stratégie DNS pour permettre aux serveurs DNS principaux et secondaires de répondre aux requêtes du client DNS en fonction de l’emplacement géographique du client et de la ressource à laquelle le client tente de se connecter, en fournissant au client l’adresse IP de la ressource la plus proche.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.

  • Fractionnement du DNS Brain.Split Brain DNS. Avec - le DNS split brain, les enregistrements DNS sont répartis en différentes étendues de zones sur le même serveur DNS, et les clients DNS reçoivent une réponse selon que les clients sont des clients internes ou externes.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Vous pouvez configurer - le DNS split brain pour Active Directory zones intégrées ou pour des zones sur des serveurs DNS autonomes.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.

  • Filtration.Filtering. Vous pouvez configurer une stratégie DNS pour créer des filtres de requête basés sur des critères que vous fournissez.You can configure DNS policy to create query filters that are based on criteria that you supply. Les filtres de requête dans la stratégie DNS vous permettent de configurer le serveur DNS pour qu’il réponde de manière personnalisée en fonction de la requête DNS et du client DNS qui envoie la requête DNS.Query filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.

  • Investigation.Forensics. Vous pouvez utiliser une stratégie DNS pour rediriger les clients DNS malveillants vers une - adresse IP inexistante au lieu de les rediriger vers l’ordinateur auquel ils essaient d’accéder.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.

  • Redirection basée sur l’heure de la journée.Time of day based redirection. Vous pouvez utiliser une stratégie DNS pour distribuer le trafic d’application sur différentes instances géographiquement distribuées d’une application à l’aide de stratégies DNS basées sur l’heure de la journée.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.

Vous pouvez également utiliser des stratégies DNS pour Active Directory zones DNS intégrées.You can also use DNS policies for Active Directory integrated DNS zones.

Pour plus d’informations, consultez le Guide de scénarios de stratégie DNS.For more information, see the DNS Policy Scenario Guide.

Limitation du taux de réponsesResponse Rate Limiting

Vous pouvez configurer les paramètres RRL pour contrôler la façon de répondre aux demandes adressées à un client DNS lorsque votre serveur reçoit plusieurs demandes ciblant le même client.You can configure RRL settings to control how to respond to requests to a DNS client when your server receives several requests targeting the same client. En procédant ainsi, vous pouvez empêcher une personne d’envoyer une attaque par déni de service (dos) à l’aide de vos serveurs DNS.By doing this, you can prevent someone from sending a Denial of Service (Dos) attack using your DNS servers. Par exemple, un bot net peut envoyer des requêtes à votre serveur DNS à l’aide de l’adresse IP d’un troisième ordinateur en tant que demandeur.For instance, a bot net can send requests to your DNS server using the IP address of a third computer as the requestor. Sans RRL, vos serveurs DNS peuvent répondre à toutes les demandes en saturant le troisième ordinateur.Without RRL, your DNS servers might respond to all the requests, flooding the third computer. Quand vous utilisez RRL, vous pouvez configurer les paramètres suivants :When you use RRL, you can configure the following settings:

  • Réponses par seconde.Responses per second. Il s’agit du nombre maximal de fois que la réponse est donnée à un client dans un délai d’une seconde.This is the maximum number of times the same response will be given to a client within one second.

  • Erreurs par seconde.Errors per second. Il s’agit du nombre maximal de fois qu’une réponse d’erreur sera envoyée au même client en une seconde.This is the maximum number of times an error response will be sent to the same client within one second.

  • Fenêtre.Window. Il s’agit du nombre de secondes pendant lesquelles les réponses à un client seront interrompues si le nombre de requêtes est trop important.This is the number of seconds for which responses to a client will be suspended if too many requests are made.

  • Taux de fuite.Leak rate. Il s’agit de la fréquence à laquelle le serveur DNS répond à une requête pendant l’interruption des réponses.This is how frequently the DNS server will respond to a query during the time responses are suspended. Par exemple, si le serveur interrompt les réponses à un client pendant 10 secondes et que le taux de fuite est de 5, le serveur continue de répondre à une requête pour toutes les 5 requêtes envoyées.For instance, if the server suspends responses to a client for 10 seconds, and the leak rate is 5, the server will still respond to one query for every 5 queries sent. Cela permet aux clients légitimes d’accéder aux réponses même lorsque le serveur DNS applique la limitation du taux de réponse sur leur sous-réseau ou nom de domaine complet.This allows the legitimate clients to get responses even when the DNS server is applying response rate limiting on their subnet or FQDN.

  • Taux TC.TC rate. Cette valeur est utilisée pour indiquer au client d’essayer de se connecter avec TCP lorsque les réponses au client sont suspendues.This is used to tell the client to try connecting with TCP when responses to the client are suspended. Par exemple, si le taux TC est 3 et que le serveur interrompt les réponses à un client donné, le serveur émet une demande de connexion TCP pour toutes les 3 requêtes reçues.For instance, if the TC rate is 3, and the server suspends responses to a given client, the server will issue a request for TCP connection for every 3 queries received. Assurez-vous que la valeur du taux TC est inférieure au taux de fuite, pour donner au client la possibilité de se connecter via TCP avant de divulguer des réponses.Make sure the value for TC rate is lower than the leak rate, to give the client the option to connect via TCP before leaking responses.

  • Nombre maximal de réponses.Maximum responses. Il s’agit du nombre maximal de réponses que le serveur émettra à un client lorsque les réponses sont suspendues.This is the maximum number of responses the server will issue to a client while responses are suspended.

  • Domaines de liste blanche.White list domains. Il s’agit de la liste des domaines à exclure des paramètres RRL.This is a list of domains to be excluded from RRL settings.

  • Répertorier les sous-réseaux blancs.White list subnets. Il s’agit de la liste des sous-réseaux à exclure des paramètres RRL.This is a list of subnets to be excluded from RRL settings.

  • Interfaces de serveur de liste blanche.White list server interfaces. Il s’agit de la liste des interfaces de serveur DNS à exclure des paramètres RRL.This is a list of DNS server interfaces to be excluded from RRL settings.

Prise en charge de l’eDANE support

Vous pouvez utiliser la prise en charge de ( l’élément de procédure RFC 6394 et 6698 ) pour spécifier à vos clients DNS l’autorité de certification à partir de laquelle ils doivent s’attendre à ce que les certificats soient émis pour les noms de domaine hébergés sur votre serveur DNS.You can use DANE support (RFC 6394 and 6698) to specify to your DNS clients what CA they should expect certificates to be issued from for domains names hosted in your DNS server. Cela empêche une forme d’attaque de l’intercepteur dans laquelle un utilisateur peut corrompre un cache DNS et faire pointer un nom DNS sur sa propre adresse IP.This prevents a form of man-in-the-middle attack where someone is able to corrupt a DNS cache and point a DNS name to their own IP address.

Par exemple, imaginez que vous hébergez un site Web sécurisé qui utilise SSL sur www.contoso.com à l’aide d’un certificat d’une autorité connue nommée CA1.For instance, imagine you host a secure website that uses SSL at www.contoso.com by using a certificate from a well-known authority named CA1. Une personne peut toujours être en mesure d’obtenir un certificat pour www.contoso.com à partir d’une autorité de certification différente et non connue, nommée CA2.Someone might still be able to get a certificate for www.contoso.com from a different, not-so-well-known, certificate authority named CA2. Ensuite, l’entité hébergeant le site Web factice www.contoso.com peut corrompre le cache DNS d’un client ou d’un serveur pour pointer www.contoto.com vers son site factice.Then, the entity hosting the fake www.contoso.com website might be able to corrupt the DNS cache of a client or server to point www.contoto.com to their fake site. L’utilisateur final reçoit un certificat à partir de CA2 et peut simplement le reconnaître et se connecter au site factice.The end user will be presented a certificate from CA2, and may simply acknowledge it and connect to the fake site. Avec la valeur de l’enregistrement, le client envoie une demande au serveur DNS pour que contoso.com demande l’enregistrement TLSA et s’assure que le certificat pour www.contoso.com était un problème par CA1.With DANE, the client would make a request to the DNS server for contoso.com asking for the TLSA record and learn that the certificate for www.contoso.com was issues by CA1. S’il est présenté avec un certificat d’une autre autorité de certification, la connexion est abandonnée.If presented with a certificate from another CA, the connection is aborted.

Prise en charge des enregistrements inconnusUnknown record support

Un « enregistrement inconnu » est un RR dont le format RDATA n’est pas connu du serveur DNS.An "Unknown Record" is an RR whose RDATA format is not known to the DNS server. La prise en charge récemment ajoutée pour les types d’enregistrements inconnus (RFC 3597) signifie que vous pouvez ajouter les types d’enregistrements non pris en charge dans les zones de serveur DNS Windows au format binaire.The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. Le programme de résolution de Windows Caching a déjà la possibilité de traiter les types d’enregistrements inconnus.The windows caching resolver already has the ability to process unknown record types. Le serveur DNS Windows n’effectue aucun traitement spécifique des enregistrements pour les enregistrements inconnus, mais le renvoie aux réponses si des requêtes y sont reçues.Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.

Indications de racine IPv6IPv6 root hints

Les indications de racine IPV6, publiées par l’IANA, ont été ajoutées au serveur DNS Windows.The IPV6 root hints, as published by IANA, have been added to the windows DNS server. Les requêtes de noms Internet peuvent désormais utiliser des serveurs racine IPv6 pour effectuer des résolutions de noms.The internet name queries can now use IPv6 root servers for performing name resolutions.

Prise en charge de Windows PowerShellWindows PowerShell support

Les nouvelles applets de commande et paramètres Windows PowerShell suivants sont introduits dans Windows Server 2016.The following new Windows PowerShell cmdlets and parameters are introduced in Windows Server 2016.

  • Add-DnsServerRecursionScope.Add-DnsServerRecursionScope. Cette applet de commande crée une nouvelle étendue de récurrence sur le serveur DNS.This cmdlet creates a new recursion scope on the DNS server. Les étendues de récurrence sont utilisées par les stratégies DNS pour spécifier une liste de redirecteurs à utiliser dans une requête DNS.Recursion scopes are used by DNS policies to specify a list of forwarders to be used in a DNS query.

  • Supprimez-DnsServerRecursionScope.Remove-DnsServerRecursionScope. Cette applet de commande supprime les étendues de récurrence existantes.This cmdlet removes existing recursion scopes.

  • Set-DnsServerRecursionScope.Set-DnsServerRecursionScope. Cette applet de commande modifie les paramètres d’une étendue de récursivité existante.This cmdlet changes the settings of an existing recursion scope.

  • Accédez à DnsServerRecursionScope.Get-DnsServerRecursionScope. Cette applet de commande récupère des informations sur les étendues de récurrence existantes.This cmdlet retrieves information about existing recursion scopes.

  • Add-DnsServerClientSubnet.Add-DnsServerClientSubnet. Cette applet de commande crée un sous-réseau client DNS.This cmdlet creates a new DNS client subnet. Les sous-réseaux sont utilisés par les stratégies DNS pour identifier l’emplacement d’un client DNS.Subnets are used by DNS policies to identify where a DNS client is located.

  • Supprimez-DnsServerClientSubnet.Remove-DnsServerClientSubnet. Cette applet de commande supprime les sous-réseaux du client DNS existants.This cmdlet removes existing DNS client subnets.

  • Set-DnsServerClientSubnet.Set-DnsServerClientSubnet. Cette applet de commande modifie les paramètres d’un sous-réseau client DNS existant.This cmdlet changes the settings of an existing DNS client subnet.

  • Accédez à DnsServerClientSubnet.Get-DnsServerClientSubnet. Cette applet de commande récupère des informations sur les sous-réseaux du client DNS existants.This cmdlet retrieves information about existing DNS client subnets.

  • Add-DnsServerQueryResolutionPolicy.Add-DnsServerQueryResolutionPolicy. Cette applet de commande crée une stratégie de résolution de requêtes DNS.This cmdlet creates a new DNS query resolution policy. Les stratégies de résolution de requêtes DNS sont utilisées pour spécifier la manière dont une requête répond à, en fonction de différents critères.DNS query resolution policies are used to specify how, or if, a query is responded to, based on different criteria.

  • Supprimez-DnsServerQueryResolutionPolicy.Remove-DnsServerQueryResolutionPolicy. Cette applet de commande supprime les stratégies DNS existantes.This cmdlet removes existing DNS policies.

  • Set-DnsServerQueryResolutionPolicy.Set-DnsServerQueryResolutionPolicy. Cette applet de commande modifie les paramètres d’une stratégie DNS existante.This cmdlet changes the settings of an existing DNS policy.

  • Accédez à DnsServerQueryResolutionPolicy.Get-DnsServerQueryResolutionPolicy. Cette applet de commande récupère des informations sur les stratégies DNS existantes.This cmdlet retrieves information about existing DNS policies.

  • Enable-DnsServerPolicy.Enable-DnsServerPolicy. Cette applet de commande active les stratégies DNS existantes.This cmdlet enables existing DNS policies.

  • Disable-DnsServerPolicy.Disable-DnsServerPolicy. Cette applet de commande désactive les stratégies DNS existantes.This cmdlet disables existing DNS policies.

  • Add-DnsServerZoneTransferPolicy.Add-DnsServerZoneTransferPolicy. Cette applet de commande crée une stratégie de transfert de zone de serveur DNS.This cmdlet creates a new DNS server zone transfer policy. Les stratégies de transfert de zone DNS spécifient s’il faut refuser ou ignorer un transfert de zone selon différents critères.DNS zone transfer policies specify whether to deny or ignore a zone transfer based on different criteria.

  • Supprimez-DnsServerZoneTransferPolicy.Remove-DnsServerZoneTransferPolicy. Cette applet de commande supprime les stratégies de transfert de zone de serveur DNS existantes.This cmdlet removes existing DNS server zone transfer policies.

  • Set-DnsServerZoneTransferPolicy.Set-DnsServerZoneTransferPolicy. Cette applet de commande modifie les paramètres d’une stratégie de transfert de zone de serveur DNS existante.This cmdlet changes settings of an existing DNS server zone transfer policy.

  • Accédez à DnsServerResponseRateLimiting.Get-DnsServerResponseRateLimiting. Cette applet de commande récupère les paramètres RRL.This cmdlet retrieves RRL settings.

  • Set-DnsServerResponseRateLimiting.Set-DnsServerResponseRateLimiting. Cette applet de commande modifie RRL paramètres.This cmdlet changes RRL settigns.

  • Add-DnsServerResponseRateLimitingExceptionlist.Add-DnsServerResponseRateLimitingExceptionlist. Cette applet de commande crée une liste d’exceptions RRL sur le serveur DNS.This cmdlet creates an RRL exception list on the DNS server.

  • Accédez à DnsServerResponseRateLimitingExceptionlist.Get-DnsServerResponseRateLimitingExceptionlist. Cette applet de commande récupère les listes de excception RRL.This cmdlet retrieves RRL excception lists.

  • Supprimez-DnsServerResponseRateLimitingExceptionlist.Remove-DnsServerResponseRateLimitingExceptionlist. Cette applet de commande supprime une liste d’exceptions RRL existante.This cmdlet removes an existing RRL exception list.

  • Set-DnsServerResponseRateLimitingExceptionlist.Set-DnsServerResponseRateLimitingExceptionlist. Cette applet de commande modifie les listes d’exceptions RRL.This cmdlet changes RRL exception lists.

  • Add-DnsServerResourceRecord.Add-DnsServerResourceRecord. Cette applet de commande a été mise à jour pour prendre en charge un type d’enregistrement inconnu.This cmdlet was updated to support unknown record type.

  • Accédez à DnsServerResourceRecord.Get-DnsServerResourceRecord. Cette applet de commande a été mise à jour pour prendre en charge un type d’enregistrement inconnu.This cmdlet was updated to support unknown record type.

  • Supprimez-DnsServerResourceRecord.Remove-DnsServerResourceRecord. Cette applet de commande a été mise à jour pour prendre en charge un type d’enregistrement inconnu.This cmdlet was updated to support unknown record type.

  • Set-DnsServerResourceRecord.Set-DnsServerResourceRecord. Cette applet de commande a été mise à jour pour prendre en charge un type d’enregistrement inconnuThis cmdlet was updated to support unknown record type

Pour plus d’informations, consultez les rubriques de référence sur les commandes Windows PowerShell suivantes de Windows Server 2016.For more information, see the following Windows Server 2016 Windows PowerShell command reference topics.

Références supplémentairesAdditional References