Combien de serveurs DNS ?

Minimum 2 par site (primary + secondary). Pour grande enterprise : DNS forwarder par site + autoritative central. Préférer Anycast DNS pour résilience (Infoblox, F5 GTM).

Pas obligatoire mais recommandé pour zones publiques (signed zones). DNSSEC pour zones internes : peu adopté en pratique (complexité opérationnelle).

DNS : architecture en entreprise

15 avril 2026·3 min de lecture·600 mots

Le DNS (Domain Name System) est le service le plus invisible et le plus critique. Sans DNS, rien ne fonctionne. Ce guide couvre l'architecture DNS entreprise : resolvers internes/externes, DNS Split-Horizon, DNSSEC, DNS over HTTPS, DNS filtering SASE, monitoring, sécurité.

Architecture DNS entreprise

Resolvers internes

AD DNS (Windows Server) : intégré Active Directory, 95% des entreprises Windows
BIND (open source ISC) : standard historique, puissant
PowerDNS : moderne, API REST native
Unbound : resolver récursif validateur DNSSEC
Infoblox DDI : DNS + DHCP + IPAM unifié commercial

Resolvers externes (récursifs)

Configuration : 2+ DNS servers internes dans DHCP
Forwarders vers Internet : Google 8.8.8.8, Cloudflare 1.1.1.1, Quad9 9.9.9.9
Recommandation : ne pas forwarder directement, passer par DNS filtering (Umbrella, Netskope, AdGuard)

Split-Horizon DNS

Interne et externe résolvent différemment :

www.entreprise.fr externe : 203.0.113.10 (web public)
www.entreprise.fr interne : 10.0.0.10 (web interne)
Configuration : 2 zones DNS distinctes (internal + external)
Usage : éviter hairpinning (user interne → FW → externe → retour interne)

Records DNS

A : host → IPv4
AAAA : host → IPv6
CNAME : alias vers autre hostname
MX : mail server (priorité + host)
TXT : texte libre (SPF, DKIM, DMARC, site verification)
SRV : service location (LDAP, SIP, Kerberos)
NS : nameserver autoritaire zone
PTR : reverse (IP → hostname)
SOA : Start of Authority (master, email admin, serial, refresh)
CAA : Certificate Authority Authorization (quelles CA peuvent émettre pour le domaine)

DNSSEC

DNS Security Extensions : signatures cryptographiques des records pour éviter DNS spoofing :

Records supplémentaires : RRSIG, DNSKEY, DS, NSEC, NSEC3
Validation : resolver vérifie signature remontant à la root
Déploiement : .fr signé depuis 2010, .com depuis 2011
Adoption réelle : ~30% des domaines signés, mais croissance avec NIS2
Risque sans DNSSEC : attaque cache poisoning (Kaminsky 2008)

DNS over HTTPS / TLS

DoT (DNS over TLS, RFC 7858) : port 853
DoH (DNS over HTTPS, RFC 8484) : port 443, difficile à filtrer
Usage : Firefox DoH par défaut → bypass filtres entreprise !
Solution : forcer DNS local via GPO, bloquer ports DoT/DoH externes
DDR (Discovery of Designated Resolvers) : config automatique DoH/DoT par resolver

DNS filtering (SASE/SSE)

Brique essentielle de la sécurité moderne :

Cisco Umbrella : DNS filtering + threat intelligence (~4€/user/mois)
Cloudflare Gateway : free tier disponible + DoH
Netskope : intégré SSE
Catégories bloquées : malware, phishing, C2, P2P, crypto mining
Intégration ThreatCloud : blocage domaines malveillants en temps réel

DNS monitoring

Query volume par user/subnet (anomaly detection)
Domaines récemment enregistrés (NRD) : indicateur phishing/malware
DGA (Domain Generation Algorithm) : détection domaines générés par malware
DNS tunneling : exfiltration données via requêtes DNS longues
Tools : PowerDNS dnsmonster, BIND query logs + Splunk, Cisco Umbrella Investigate

DNS dans AD Windows

AD-integrated zones : stockées dans AD, répliquées via DS replication
Secure Dynamic Updates : seuls clients AD peuvent update records
Scavenging : nettoyage records obsolètes (7j par défaut)
SRV records critiques : _ldap._tcp.dc._msdcs, _kerberos._tcp
Reverse zones obligatoires pour Kerberos

Best practices

Min 2 DNS servers par site (primary + secondary)
Secondary sur site/campus distant pour DR
Monitoring temps réel (PRTG, Zabbix, Grafana)
DNSSEC pour domaines externes (obligatoire NIS2)
DNS filtering obligatoire (SASE)
Bloquer DoH/DoT externes (ports 853, détection patterns)
Audit logging : toutes requêtes DNS conservées 90+ jours

Troubleshooting

nslookup, dig, drill : tests basiques
dig +trace google.com : suit la hiérarchie
dig @8.8.8.8 example.com ANY : requête vers resolver spécifique
Wireshark port 53 + 853 : capture
Pi-hole, AdGuard Home : resolvers maison + analytics

Commander chez OPTINOC

Architecture DNS entreprise : BIND/Kea/Infoblox/Windows DNS, DNSSEC, intégration SASE (Cisco Umbrella, Cloudflare, Netskope). Devis sous 48h.