1.13k likes | 1.4k Vues
Les ordinateurs utilisent les adresses IP. Pourquoi a-t-on besoin de noms?. Faciles
E N D
1. DNS Module 1: Les Fondamentaux Bas sur un document de Brian Candler
Traduit par Alain Patrick AINA
Atelier CCTLD ISOC
2. Les ordinateurs utilisent les adresses IP. Pourquoi a-t-on besoin de noms? Faciles mmoriser par les humains
Les ordinateurs peuvent changer de rseau, et donc dadresses IP
3. Ancienne solution: hosts.txt Un fichier centralis distribu toutes les machines sur lInternet
Cette fonctionalit existe toujours
/etc/hosts [Unix]
c:\windows\system32\drivers\etc\hosts [Windows]
4. hosts.txt est inadapt grande chelle Fichier volumineux
Ncessite dtre copi frquemment sur toutes les machines
Pas uniforme
Toujours dpass
Pas dunicit des noms
Un seul point d administration
5. Le systme de nom de domaine tait n DNS est une base de donne distribue pour faire correspondre des noms aux adresses IP(et autres informations)
Distribue:
Administration partage
Charge partage
Robustesse et performance travers:
La duplication
Le cache
Une pice critique de linfrastructure Internet
6. DNS est Hirarchis Forme la structure dun arbre
7. DNS est Hirarchis (2) Donne des noms globalement uniques
Administr en "zones" (parties de larbre)
Vous pouvez donner ("dlguer") le contrle dune partie de larbre sous votre autorit
Exemple:
isoc.org est sur un ensemble de serveurs
dnsws.isoc.org sur un ensemble diffrent
foobar.dnsws.isoc.org sur un autre ensemble
8. Les noms de domaines sont (presque) illimits Une longueur totale de 255 caractres maximum
63 caractres maximum dans chaque partie
RFC 1034, RFC 1035
Si un nom de domaine est utilis comme nom de machine, vous devez respecter certaines restrictions
RFC 952 (vieux!)
a-z 0-9 et tiret ( - ) seulement
Pas dunderscores ( _ )
9. Utilisation du DNS Un nom de domaine (comme www.tiscali.co.uk) est une cl de recherche dinformations
Le resultat est un ou plusieurs enregistrements de ressources (ER)
Il y a diffrents ER pour diffrents types dinformations
Vous pouvez rechercher un type spcifique, ou rechercher tous les ER associs un nom de domaine
10. ER courants A (adresse IP): associe les noms aux adresses IP
PTR (pointer): associe les adresses IP aux noms
MX (mail exchanger): o dlivrer les courriers pour utilisateur@domaine
CNAME (canonical name):associe des alias au nom rel
TXT (text):nimporte quel texte descriptif
NS (Name Server), SOA (Start Of Authority): Utiliss pour les dlgations et le fonctionnement du DNS
11. Exemple simple Requte: www.tiscali.co.uk
Type de requte : A
Resultat:
12. Rsultats possibles Positif
1 ou plusieurs EE trouvs
Ngatif
Dfinitivement aucun ER ne correspond la requte
Dfinitivement le nom recherch nexiste pas
Echec de serveur
Ne peut contacter quelquun qui connait la rponse
13. Comment utiliser une adresse IP comme cl pour une requte DNS? Convertir ladresse IP au format dcimal(A.B.C.D)
Inverser les quatre parties
Ajouter ".in-addr.arpa" la fin ( domaine spcial rserv cette fin)
e.g. Pour trouver le nom de 212.74.101.10
14. Questions? ?
15. Le DNS est une application Client-Serveur (Naturellement Il tourne sur un rseau)
Requtes et rponses sont normalement envoyes dans des paquets UDP, port 53
Utilise occasionnellement TCP, port 53
Pour les transferts de zones du matre aux esclaves et pour les grandes requtes, e.g. > 512 octets
16. Il y a trois rles dans le DNS
17. Trois rles dans le DNS RESOLVER
Prend la requte de lapplication, le formate dans un paquet UDP, et l envoie au serveur cache
Serveur CACHE
Renvoie la rponse si dja connue
Dans le cas contraire, recherche le serveur autoritaire qui a linformation
Met le resultat en cache pour les requtes futures
Egalement connu comme serveur rcursif
SERVEUR AUTORITAIRE
Contient les informations actuelles places dans le DNS par le propritaire du domaine
18. Trois rles dans le DNS (2) Le mme protocole est utilis pour les communications resolver?cache and cache?NS autoritaire
Il est possible de configurer un serveur de nom comme cache et autoritaire en mme temps
Mais il joue un seul rle pour chaque requte entrante
Classique, mais NON RECOMMANDE (voir plus loin)
19. ROLE 1: LE RESOLVER Un morceau de logiciel qui formate une requte DNS dans un paquet UDP, lenvoie au serveur cache et dcode le resultat
Gnralement une librairie partage (e.g. libresolv.so sous Unix) parce que beaucoup dapplications en ont besoin
Chaque machine a besoin dun resolver - e.g. Chaque poste de travail windows a en un
20. Comment le resolver trouve-t-il le serveur cache? Doit tre configur explicitement (statique, ou via DHCP etc)
Doit tre configur avec ladresse IP du cache (pourquoi pas le nom? )
Cest une bonne ide de configurer plus dun cache, dans le cas o le premier nest pas disponible
21. Comment choisir quel cache utilis? Vous devez avoir la permission de lutiliser
e.g. Cache de votre FAI, ou le vtre
Prfrer un cache proche
Minimise les temps daller-retour et les pertes de paquets
Peut rduire le trafic sur votre lien externe, puisque le cache peut souvent rpondre sans contacter dautres serveurs
Prfrer un cache fiable
Pouvez -vous avoir un mieux que celui de votre FAI ?
22. Resolver peut tre configur avec des domaines par dfaut Si"foo.bar" choue, alors ssayer la requte avec "foo.bar.mydomain.com"
Peut faire conomiser des saisies, mais ajoute de la confusion
Peut gnrer du trafic extra non ncessaire
A viter dans le meilleur des cas
23. Exemple: Configuration dun resolver unix /etc/resolv.conf
24. Tests DNS Mettre simplement "www.yahoo.com" dans un navigateur
Pourquoi ceci nest pas un bon test?
25. Tests DNS avec "dig" "dig" est un programme qui fait simplement des requtes DNS et affiche les rsultats
Mieux que "nslookup" et "host" pour le dbogage, parce quil montre les messges DNS au complet
26. Le point final Empche lajout des domaines par dfaut
Prenez lhabitude de lutiliser pendant les tests DNS
Mais uniquement sur les noms de domaine, pas sur sur les adresses IP ou les adresses lectroniques
28. Interprtation des resultats: en-tte STATUS
NOERROR: 0 ou plusieurs ER returns
NXDOMAIN: Domaine non-existent
SERVFAIL: cache ne peut trouver la rponse
FLAGS
AA: Authoritative answer(rponse autoritaire)
Vous pouvez ignorer les autres
QR: Requte or Rponse (1 = Rponse)
RD: Recursion Desired(rcursion dsire)
RA: Recursion Available(rcursion disponible)
ANSWER: nombre de ER dans la rponse
29. Interprtation des resultats Answer section (ER recherchs)
Chaque enregistrement un TTL ( Time To Live)
Qui indique pendant combien de temps le cache peut le gard
Authority section
Les NS autoritaires pour ce domaine
Additional section
Plus de ERs (gnralement des adresses IP des NS autoriatires)
Total query time
Vrifier quel serveur a donn le resultat!
En cas derreur de frappe, la requte peut aller au serveur par dfaut
30. Travaux pratiques
dig
Tlchargement et installation de BIND
Configuration de rndc
31. DNS Session 2: Cache DNS Fonctionnement et dbogage du DNS Bas sur un document de Brian Candler
Traduit par Alain Patrick AINA
Atelier CCTLD ISOC Having seen how to drive the resolver-to-cache interface, the goal of this session is to show how the cache locates and interacts with authoritative servers, and how to simulate this interaction in order to debug DNS problems.Having seen how to drive the resolver-to-cache interface, the goal of this session is to show how the cache locates and interacts with authoritative servers, and how to simulate this interaction in order to debug DNS problems.
32. Comme fonctionne un cache DNS(1) Si nous avons gr cette requte rcemment, la rponse est dj dans le cache - facile!
33. Que se passe-t-il si la rponse nest pas le cache? Le DNS est une base de donne distribue : Des parties de larborescence (appele "zones") sont tenues par des serveurs diffrents
Ils sont appels "autoritaires" pour leur part de larbre
Cest le travail du serveur cache de trouver le bon serveur autoritaire et obtenir le resultat
Il peut avoir besoin de demander dautres serveurs de trouver dabord celui dont il a besoin
34. Comme fonctionne un cache DNS (2)
35. Comment trouve-t-il le NS autoritaire qui demander ? Il suit la structure hirarchique de larbre
e.g. Pour trouver "www.tiscali.co.uk"
36. Les serveurs intermdiaires renvoient les enregistrements de ressources "NS" "Je nai pas la rponse, mais essaye ces autres NS ."
Appel une rfrence
Vous fait descendre larbre dun ou plusieurs niveaux
37. Ce processus pourra ventuellement soit: Trouver un serveur autoritaire qui connait la rponse (positive ou ngative)
Ne pas trouver un serveur fonctionnel: SERVFAIL
Se terminer sur un serveur fautif pas de rponse et pas de rfrence, ou fausse rponse!
NB: Il peut arriver quun serveur cache soit galement autoritaire pour une requte particulire. Dans ce cas, il rpond immdiatement sans chercher ailleurs. Nous verrons plus tard, pourquoi il faut avoir des machines spares pour le cache et les serveurs autoritaires
38. Comment commence ce processus? Chaque serveur cache est dot dune liste de serveurs racines
39. Do vient le fichier named.root ? ftp://ftp.internic.net/domain/named.cache
Vrifier pour des mises jour environ chaque semestre
40. Dmonstration dig +trace www.tiscali.co.uk.
Au lieu denvoyer la requte au cache, "dig +trace" traverse larborescence depuis la racine et affiche les resultats obtenus
dig +trace est une fonctionnalit de bind 9
Utile pour des dmo, mais pas pour le dbogage
41. Les systmes distribus ont plusieurs points de dysfonctionnement! Ainsi chaque zone a deux ou plusieurs serveurs autoritaires pour la redondance
Ils sont tous quivalents et peuvent tre essays dans nimporte quel ordre
Les essais sarrtent ds que lun donne une rponse
Aide galement partager la charge
Les serveurs racines sont trs occups
Ils sont prsentement 13 (Avec de nombreuse copies ANYCAST un peu partout dans le monde.)
http://www.root-servers.org
42. Le cache rduit la charge sur les serveurs autoritaires Spcialement important aux niveaux suprieurs: serveurs racines, serveurs TLD (GTLDs, ccTLDs, etc......)
Toutes les informations intermdiaires sont mises en cache comme la rponse finale -ainsi les enregistrements NS des rfrences sont aussi mis en cache
43. Exemple 1: www.tiscali.co.uk (sur un cache vide)
44. Exemple 2: smtp.tiscali.co.uk (aprs lexemple prcdent
45. Les caches peuvent tre un problme si les donnes vieillissent Si les caches gardent les donnes pendant un long moment, ils peuvent donner de fausses rponses si les donnes autoritaires changent
Si les caches gardent les donnes pour un temps trs court, ceci augmentera le travail des serveurs autoritaires
46. Les administrateurs de zone contrlent comment les donnes sont mises en cache Chaque enregistrement de ressources(ER) a un TTL (Time To Live) qui indique pendant combien de temps il peut tre gard en cache
Lenregistrement SOA indique pendant combien de temps une rponse ngative peut tre garde en cache (i.e. La non-existence dun nom ou dun ER)
NB: les administrateurs de cache nont aucun contrle -mais dans tous les cas, ils nen nauraient pas besoin
47. Un compromis Dfinir un TTL relativement long - 1 ou 2 jours Quand vous vous prparez faire des changements, reduire le TTL 10 minutes
Attendre 1 ou 2 jours AVANT de faire le changement
Aprs le changement, ramener le TTL la valeur initiale
48. Questions? ?
49. Quel genre de problmes peuvent se produire pendant le rsolution de noms? Se rappeler que suivre les rfrences est en gnral un processus plusieurs tapes
Se rappeler du cache
50. (1) Un NS autoritaire est inoprationnel ou inaccessible Pas un problme: timeout and essayer le NS suivant
Se rappeler quil y a plusieurs NS autoritaires pour une zone, ainsi les rfrences renvoient plusieurs ER NS
51. (2) *Tous les* NS autoritaires sont inoprationels ou inaccessibles! Ceci est mauvais; Les requtes ne peuvent aboutir
Sassurer que les NS ne sont pas sur le mme sous-rseau (problme de switch/routeur)
Sassurer que tous les NS ne sont pas le mme btiment ( problme dlectricit)
Sassurer que tous les NS ne sont pas sur le mme backbone Internet (problme de lien du fournisseur)
Pour plus de dtails, lire RFC 2182
52. (3) Rfrence vers un serveur qui nest pas autoritaire pour la zone Mauvaise erreur. Appele "Lame Delegation" (dlgation douteuse)
Les requtes ne peuvent pas continuer serveur ne pouvant donner ni la bonne rponse, ni la bonne dlgation
Erreur classique: Enregistrement NS pour une zone pointant vers un serveur cache non configur en tant que autoritaire pour la zone
Ou: une erreur de syntaxe dans le fichier de zone ayant conduit le serveur a ignor la zone
53. (4) Contradictions entre NS autoritaires Si les NS autoritaires nont pas les mmes informations, ils donneront diffrentes rponses en fonction de celui choisi (alatoire)
A cause du cache, ces problmes peuvent tre difficiles deboguer. Problmes intermittents.
54. (5) Contradictions dans les dlgations Les enregistrements NS dans la dlgation ne correspondent pas aux enregistrements NS dans le fichier de zone(nous crirons les fichiers de zone plus loin)
Problme: si les deux ne sont pas les mmes, lequel est correct ?
Conduit des comportements imprvisibles
Les caches pourraient utiliser un jeu ou lautre, ou une union des deux
55. (6) Couplage cache et autoritaire Considrer les cas o un cache contient un ancien fichier de zone, alors que le client a transfr son DNS ailleurs
Les caches rpondent immdiatement avec les anciennes informations, bien que les NS pointent vers les serveurs autoritaires d autre FAI qui tiennent les informations correctes!
Ceci est une raison importante pour sparer les caches des autoritaires
Autre raison est que les serveurs uniquement autoritaires ont un besoin mmoire fixe
56. (7) Choix inappropri des paramtres e.g. TTL dfini trop court ou trop grand
57. Ces problmes ne sont pas la faute des serveurs cache! Ils viennent de la mauvaise configuration des serveurs autoritaires
Beaucoup de ces erreurs sont faciles faire, mais difficile deboguer, spcialement cause du cache
Faire fonctionner un serveur cache est facile; faire bien fonctionner un serveur autoritaire demande une plus grande attention au dtail
58. Comment dboguer ces problmes? Nous devons outrepasser le cache
Nous devons essayer *tous les* N serveurs pour une zone (un serveur cache sarrte aprs un)
Nous devons outrepasser la rcursion pour tester toutes les rfrences intermdiaires
"dig +norec" est votre ami
59. Comment interprter les rponses (1) Rechercher le "status: NOERROR"
"flags ... aa" indique une rponse autoritaire ( pas dun cache)
"ANSWER SECTION" donne la rponse
Si vous navez que des NS: cest une rfrence
60. Comment interprter les rponses (2) "status: NXDOMAIN"
OK, ngatif (le domaine nexiste pas). Vous devez avoir en retour un SOA
"status: NOERROR" avec zro ER
OK, ngatif (Le domaine existe, mais pas de ER du type recherch). Vous devez avoir en retour un SOA
dautres status peuvent indiquer des erreurs
Rechercher galement le status : Refused ( Le serveur DNS rejette vos requtes) ou Timeout (pas de rponse)
61. Comment dboguer un domaine avec "dig +norec" (1) Partir dun serveur racine: [a-m].root-servers.net.
62. Comment dboguer un domaine avec "dig +norec" (2) Vrifier que les rsultats dun groupe de serveurs autoritaires correspondent lun lautre
Vrifier que toutes les rponses finales ont le "flags: aa"
Noter que les NS pointent vers des noms, et non des adresses IP. Ainsi il faut vrifier que chaque enregistrement NS vu correspond la bonne adresse IP en utilisant le mme processus!!
63. Comment dboguer un domaine avec "dig +norec" (3) Fastidieux, demande de la patience et de lexactitude, mais paye
Apprendre ceci avant de commencer samuser avec les outils automatiss
Comme:
http://www.squish.net/dnscheck/
http://dnsecheck.se/
Tous ont des limites, aucun nest parfait
64. Travaux pratiques Dbogage avec dig
Dbogage de domaine avec
http://www.squish.net/dnscheck/
http://dnsecheck.se/
65. DNS module 3: Configuration de services de nom autoritaires Bas sur un document de Brian Candler
Traduit par Alain Patrick AINA
Atelier CCTLD ISOC
66. Rcap Le DNS est une base de donne distribue
LeResolver demande des informations au cache
Le cache traverse larborescence du DNS pour trouver quel serveur autoritaire a linformation recherche
La mauvaise configuration des serveurs autoritaires peuvent conduire des domaines dfectueux
67. Duplication DNS Pour chaque domaine, nous avons besoin de plus dun serveur autoritaire avec les mmes informations (RFC 2182)
Les donnes sont enregistres sur un serveur (Matre) et copies vers les autres(esclave(s))
Le monde extrieur ne peuvent pas dire la diffrence entre matre et esclave
Les enregitrements NS sont retourns dans un ordre alatoire pour une rpartition de charge quitable
Communment appels "primaire" et "secondarire"
68. Les esclaves se connectent au matre pour copier les donnes de la zone Le matre nenvoie pas les donnes aux esclaves
69. Quand a lieu la duplication? Les esclavent scrutent le matre priodiquement appel intervalle de rafrachement" - pour vrifier sil y a de nouvelles donnes
Seul mcanisme au dpart
Avec les nouveaux logiciels, le matre peut informer les esclaves si les donnes ont chang (notify)
Des mises jour plus rapides
Cette notification nest pas fiable (e.g. Le rseau peut perdre un paquet).Ainsi nous avons toujours besoin de vrifier lintervalle de rafrachement
70. Numro de srie Chaque zone a un numro de srie
Les esclaves copient les donnes uniquement si le numro de srie a augment
Requte UDP priodique pour vrifier le numro de srie
sil a augment, un transfert TCP des donnes de la zone
Cest votre responsabilit daugmenter le numro de srie aprs chaque changement, sinon esclaves et matres seront incohrents
71. Format de numro de srie recommand: YYYYMMDDNN YYYY = anne
MM = mois (01-12)
DD = jour(01-31)
NN = Nombre de changements par jour (00-99)
e.g. Si vous changez le fichier le 5 Mars 2004, le numro de srie sera 2004030500. Si vous le changez de nouveau le mme jour, il sera be 2004030501.
72. Numro de srie: Danger 1 Si vous dimunuer le numro de srie, les esclaves ne se mettront plus jour jusqu ce que le numro de srie dpasse sa valeur prcdente
RFC1912 section 3.1 explique une mthode pour corriger ce problme
Au pire des cas, vous pouvez contacter tous vos esclaves et leur faire supprimer leur copie de la zone
73. Numro de srie: Danger 2 Le numro de srie est un nombre unsigned sur 32bits
Intervalle: 0 4,294,967,295
Toute valeur plus grande que ceci est silencieusement tronque
e.g. 20040305000 (noter le digit extra)
= 4AA7EC968 (hex)
= AA7EC968 (32 bits)
= 2860435816
Si vous faites cette erreur et la corriger plus tard, le numro de srie aura dimuni
74. Configuration du Matre /usr/local/etc/named.conf pointe vers les fichiers de zone (crs manuellement) contenants vos ER
Choisir une place logique pour les garder
e.g. /var/cctld/master/cctld.sn
or /var/cctld/master/sn.cctld
75. Configuration desclave named.conf pointe vers ladresse IP du matre et o crer le fichier de zone
Les fichiers de zone sont transfrs automatiquement
Ne pas les toucher!
76. Matre et esclave Un serveur peut bien tre matre pour certaines zones et esclave pour dautres
Cest pourquoi, nous recommandons de garder les fichiers dans des rpertoires diffrents
/var/cctld/master/
/var/cctld/slave/
(galement, le rpertoire esclave doit avoir les droits appropris pour permettre au dmon de crer des fichiers)
77. allow-transfer { ... } Les machines distantes peuvent demander un transfert de tout le contenu de la zone
Par dfaut, ceci est autoris nimporte qui
Mieux vaut le restreindre
Vous pouvez dfinir une option par dfaut globale et le redfinir pour chaque zone si ncessaire
78. Structure dun fichier de zone Options globales
$TTL 1d
Dfinit le TTL par dfaut pour tous lesER
ER SOA
"Start Of Authority"
Information de maintenance de la zone
ER NS
Liste tous les serveurs autoritaires pour cette zone, matre et esclaves
Autres ER
Les donnes actuelles que vous voulez publier
79. Format dun ER Un par ligne (sauf pour le SOA qui peut couvrir plusieurs lignes)
Si vous omettez le nom de domaine, cest le mme qu la ligne prcdente
Raccourcis de TTL : e.g. 60s, 30m, 4h, 1w2d
Si vous omettez le TTL, utiliser la valeur de $TTL
Si vous omettez la classe, se rfrer la classe du SOA
Type et donne ne peuvent pas tre omis
Les commentaires commencent avec point-virgule (;)
80. Raccourcis Si un nom de domaine ne se termine pas par un point, le domaine de la zone("origine") est ajout
"@"signifie l origine elle-mme
e.g. dans le fichier de zone pour example.com:
@ signifie example.com.
www signifie www.example.com.
81. Si vous crivez ceci ...
82. Format de lenregistrement SOA
83. Format de lenregistrement SOA ns1.example.net.
Nom du serveur matre
brian.nsrc.org.
Adresse E-mail de la personne responsable, avec"@" chang en point, et le point la fin
Numro de srie
Intervalle de rafraichissement
A quel rythme les esclaves doivent scruter le numro de srie sur le matre
Intervalle de nouvelle tentative
A quel rythme les esclaves doivent essayer de contacter de nouveau le matre si la tentative prcdente a chou
84. Format de lenregistrement SOA (suite) Temps dexpiration
Si lesclave narrive pas contacter le matre pour cette priode de temps, il supprime sa copie des donnes de la zone
Ngatif / Minimum
Les vieux logiciels utilisent ceci comme valeur minimale de TTL
Il est maintenant utilis pour le cache ngatif: pendant combien de temps un cahe peut garder la non non-existence dun nom ou dun ER
RIPE-203 a des valeurs recommandes
http://www.ripe.net/ripe/docs/dns-soa.html
85. Format des enregitrements NS Liste tous les serveurs autoritaires pour une zone matre et esclave(s)
Doit pointer vers des noms et non des adresses IP
86. Format des autres ER IN A 1.2.3.4
IN MX 10 mailhost.example.com.
Le nombre est " valeur de prfrence ". les messages seront dabord dlivrs au MX ayant la prfrence la plus faible
Doit pointer vers des noms et non des adresses IP
IN CNAME host.example.com.
IN PTR host.example.com.
IN TXT "nmporte quel texte de votre choix"
87. Quand vous changez des donnes dans un fichier de zone: Se rappeler daugmenter le numro de srie!
named-checkzone example.com \ /var/cctld/master/example.com
Fonctionalit de bind 9
Rapporte les erreurs de syntaxe; corrigez les!
named-checkconf
Rapporte les erreurs dans named.conf
rndc reload
ou: rndc reload example.com
tail /var/log/messages
88. Ces vrifications sont essentielles Si vous avez une erreur dans named.conf ou dans un fichier de zone, named peut continuer fonctionner sans prendre en compte les mauvaises zone(s)
Vous serez douteux(lame) pour la zone sans sen rendre compte
Les esclaves ne pourront pas contacter le matre
Eventuellement (e.g. 4 semaines plus tard) les esclaves vont faire expirer la zone
Votre domaine va sarrter de fonctionner
89. Autres vrifications que vous pouvez faire dig +norec @x.x.x.x example.com. soa
Vrifier si la rponse est autoritaire
Rpter pour le matre et tous les esclaves
Vrifier si les numros de srie sont les mmes
dig @x.x.x.x example.com. axfr
" Transfert Autoritaire"
Demande une copie de toute la zone par TCP, comme le font les esclaves
Ceci ne marchera que si vous remplisssez les conditions listes par la section allow-transfer {...}
90. Ainsi, vous avez des serveurs autoritaires oprationnels! Mais aucun deux ne fonctionnera jusqu lobtention de la dlgation du domaine parent
Ceci est fait en plaant les enregistrements NS pour votre domaine pointant vers vos serveurs autoritaires
Vous devez aussi mettre les enregistrements NS dans le fichier de zone
Les deux ensembles doivent tre les mmes
91. Questions? ?
92. Les 10 plus importantes erreurs avec les serveurs autoritaires Tous les oprateurs de serveurs autoritaires doivent lire le RFC 1912
Les erreurs courantes de configuration et de fonctionnement du DNS
Et aussi le RFC 2182
Slection et fonctionnement de serveurs DNS secondaires
93. 1. Les erreurs du numro de srie Oublier daugmenter le numro de srie
Incrementer le numro le numro de srie, puis le dcrmenter
Utiliser un numro de srie suprieur 232
Impact:
Les esclaves ne se mettent pas jour
Matre et esclaves nont pas les mmes donnes
Les caches auront tantt la nouvelle donne, tantt lancienne donne problme intermittent
94. 2. Commentaires dans fichier de zone commencant par '#' au lieu de ';' Erreur de syntaxe dans le fichier de zone
Matre plus autoritaire pour la zone
Les esclaves ne peuvent plus vrifier le SOA
Les esclaves vont eventuellemnt faire expirer la zone, et votre domaine sarrte de fonctionner entirement
Utiliser "named-checkzone"
Utiliser"tail /var/log/messages"
95. 3. Dautres erreurs de syntaxe dans le fichier de zone e.g. Omission de la valeur de prfrence de lenregistrement MX
Mme impact
96. 4. Point final manquant
97. 5. NS ou MX pointant vers des adresses IP Ils doivent pointer vers des noms, non vers des adresses IP
Malheureusement, quelques serveurs de messagerie acceptent les addresses IP dans les enregistrements MX . Ainsi vous pouvez ne pas avoir des problmes avec tous les sites distants
98. 6. Les esclaves ne peuvent pas transfrer le zone du matre Restriction des accs par allow-transfer {...} et les esclaves ny sont pas lister
Ou filtres mal configurs
Les esclaves seront non autoritaire (douteux: lame)
99. 7. Dlgation douteuse Vous ne pouvez pas lister nimporte quel serveur dans les enregistrements NS de votre domaine
Vous devez avoir un accord avec les administrateurs des serveurs, et ils doivent se configurer en tant que esclaves pour la zone
Au Mieux: Rsolutions DNS lentes et manque de redondance
Au pire: checs intermittents dans la rsolution de votre domaine
100. 8. Pas de dlgation du tout Vous pouvez configurer "example.com" sur vos serveurs, mais le monde extrieur ne leur enverra pas de requtes jusqu lobtention de la dlgation
Le problme est cach si votre serveur jouele rle de serveur cache et de serveur autoritaire
Votre propres clients peuvent rsoudre ww.example.com, mais le reste du monde ne peut pas
101. 9. Enregistrement glue dpass Voir plus loin
102. 10. Mauvaise gestion du TTL pendant les changements e.g. Si vous avez un TTL de 24 heures, et vous faites pointer www.example.com vers un nouveau serveur, alors il y aura une priode de temps ou certains utilisateurs vont atteindre le nouveau et dautres lancien
Suivre la procdure:
Rduire le TTL 10 minutes
Attendre au moins 24 heures
Faire le changement
Remettre le TTL 24 heures
103. Travaux pratiques Cration de nouveaux domaines
Configuration de serveurs matre et esclave
Demande de dlgation du parent
Tests
104. DNS module 4: Dlgation Bas sur un document de Brian Candler
Traduit par Alain Patrick AINA
Atelier CCTLD ISOC
105. Comment dlguer un sous-domaine? En principle simple: insrer simplement les enregistrements NS du sous-domaine pointants vers les serveurs dautrui
Si vous tes pointilleux, vous devrez dabord vrifier que ces serveurs sont autoritaires pour le sous-domaine
avec "dig +norec" sur tous les serveurs
Si le sous-domaine est mal gr, il vous donne une mauvaise image!
Et vous ne voulez pas tre comptable pour des problmes qui sont ailleurs
106. Fichier de zone pour "example.com"
107. Il y a un problme ici: Les enregistrements NS pointent vers des noms, et non des adresses IP
Que se passe-t-il si "example.com" est dlgu "ns.example.com"?
Quelquun qui essaye de rsoudre www.example.com doit dabord rsoudre ns.example.com
Mais pour rsoudre ns.example.com , il faut dabord rsoudre ns.example.com !!
108. Dans ce cas vous avez besoin de "glue" Un enregistrement glue" est un enregistrement A pour le serveur de nom, tenu plus haut dans larborescence (hors de sa zone)
Exemple: considerer les serveurs du .com, et une dlgation pour
109. Ne mettez pas de glue si vous nen avez pas besoin Dans lexemple prcdent, "ns.othernet.net" nest pas dans le sous-domaine "example.com". Par consquent pas besoin de glue.
Les enregistrements glue dpasss sont une grande source de problmes
e.g. Aprs la renumrotation dun serveur
Rsulte en des problmes intermittents, difficiles dboguer
110. Exemple o un enregistrement glue est ncessaire
111. Recherche denregistrement glue dig +norec ... et rpeter plusieurs fois
Rechercher les enregistrements A dans la section additionnelle dont le TTL ne diminue pas
112. Travaux pratiques Dlgation de sous-domaine
113. Lectures "DNS and BIND" (O'Reilly)
BIND 9 Administrator Reference Manual
/usr/share/doc/bind9/arm/Bv9ARM.html
http://www.isc.org/sw/bind/
includes FAQ, security alerts
RFC 1912, RFC 2182
http://www.rfc-editor.org/