Vous êtes sur la page 1sur 14

OFPPT

Domain Name Service

Prsentation DNS (Domain Name System) est un service de noms statique et hirarchis. Il est trs li Internet. Son rle consiste faire correspondre des adresses IP des noms d'ordinateurs. Ceci permet l'utilisateur d'utiliser le nom de l'ordinateur dans une commande plutt que son adresse IP difficile retenir. Le systme de noms est conu de telle manire que la mmorisation des noms des ordinateurs est facile. Exemples : www.ibm.com reprsente le serveur du site Web (WWW) de la socit IBM dans la catgorie commerciale.

www.afpa.fr est le site Web de l'AFPA en France. ftp.Novell.com est le serveur ftp de la socit commerciale Novell. Espaces de noms de domaines Chaque nom est compos d'un nom de serveur suivi d'un ou plusieurs noms de domaine de niveaux infrieurs et en dernier d'un nom de domaine de niveau suprieur. Pour viter que tous les noms de tous les ordinateurs se situent sur un mme niveau, le systme est organis de faon hirarchique plusieurs niveaux. La structure hirarchique comporte une racine (comme la racine d'un disque dur) et des niveaux situs en dessous de cette racine (comme les dossiers et les sous-dossiers dans un disque dur). Le niveau situ en dessous de la racine est appel "Domaine de niveau suprieur". Le domaine situ en dessous "Domaine de second niveau"et les suivants "Sous-domaines". Le nombre de niveaux n'est pas rellement limit, mais pour que les noms DNS restent faciles mmoriser et relativement courts frapper, on utilise la plupart du temps le premier et le second niveau seulement. Racine
Domaines premier niveau

arpa com edu

gov

int

mil

net

org

ae

fr

us

zw

Domaines deuxime niveau

Emirats Arabes comp1 dupont IBM WWW

France

EtatsUnis

Zim bawe

Nom de domaine pleinement qualifi


www.ibm.com.

Sousdomaines

market

paye

compta

Nom de domaine pleinement qualifi


serv2.paye.dupont.com. Serv1 Serv2

Domaines gnriques

Domaines gographiques

Figure : Structure hirarchise de l'espace de noms DNS.

Nom d'hte Le nom de d'hte pleinement qualifi ou FQDN (Fully Qualified Domain Name) est le nom du serveur suivi des noms de domaine suivis d'un point. www.ibm.com. Les domaines de niveau suprieur se composent pour l'instant en deux catgories : les noms de domaines gnriques les noms de domaines gographiques Les noms de domaine gnriques sont en cours de rorganisation. En effet le nom de domaine de premier niveau .com est compltement satur.

Zones Une zone est une partie de l'espace de nom de domaines. Lorsqu'un domaine Internet devient trs important, il devient aussi difficile de le grer. Il ne faut pas oublier que chaque machine relie au rseau qui possde une adresse IP doit tre entre manuellement dans la base de donnes du serveur DNS. On peut alors le diviser en zones. Chaque zone comporte une partie des ordinateurs du domaine. Une zone doit englober un espace de noms de domaine contigu. Chaque zone peut tre gre par un responsable diffrent pour soulager l'administrateur principal. Par exemple si le nom de domaine est : dupont.com et qu'il existe des sous domaines - ventes.dupont.com - markettting.dupont.com - paie.dupont.com - compta.dupont.com il est possible de mettre - dupont.com et ventes.dupont.com dans la zone 1 - Marketting.dupond.com dans la zone 2 - paie.dupont.com dans la zone 3 - compta.dupont.com dans la zone 4 Il n'est pas possible de mettre par exemple paie.dupont.com et compta.dupont.com dans la mme zone car les domaines ne sont pas contigus. COM Zone 1 Dupont Serveurs de noms DNS paie Zone 3 compta Zone 4

ventes

marketting Zone 2

Figure 1 : Division d'un espace de noms de domaine en zones.

Serveurs de noms Un serveur de noms DNS renferme une base de donnes d'une zone ou de plusieurs zones. En principe, il y a au moins deux serveurs de noms par domaine. Le premier est appel "Serveur DNS principal" et le second "Serveur DNS secondaire" Chaque zone doit tre rfrence dans un serveur de noms DNS. Le serveur de nom secondaire contient une copie des fichiers de zones du serveur principal. Il sert de secours ce dernier. Processus de rsolution de nom La rsolution de noms DNS est l'opration qui consiste transformer un nom d'ordinateur stock dans la base de donnes d'un serveur DNS en une adresse IP correspondante. N.B. : WINS assure la rsolution de noms NetBIOS dans les domaines Microsoft. DNS assure la rsolution de noms d'ordinateurs complets dans les domaines INTERNET

Requte de recherche directe Le service DNS utilise un modle client/serveur pour la rsolution de noms. Pour obtenir l'adresse IP d'un autre ordinateur sur un Intranet ou sur Internet, le client utilise un processus en plusieurs tapes. Le client recherche dans son propre cache s'il ne possde pas l'adresse IP correspondant au nom de l'ordinateur. S'il ne la trouve pas, il envoie une requte au serveur DNS local. Si celui-ci possde l'adresse dans son cas, il renvoie l'adresse IP au client. Dans le cas contraire, il interroge les serveurs DNS prsents dans la racine DNS. (Tous les serveurs DNS Windows 2000 possdent les adresses IP de ces serveurs dans un fichier C:\%systemroot%\system32\dns\cache.dns). Le serveur DNS racine interrog renvoie la rfrence du serveur de premier niveau sur serveur DNS local. Le serveur local interroge alors le serveur DNS de premier niveau qui renvoie la rfrence du serveur de noms de second niveau. Si celui-ci a autorit sur l'ordinateur dont l'adresse IP est demande, il rpond en renvoyant cette adresse. Le serveur local renvoie l'adresse IP demande au client. Le client connaissant l'adresse IP de l'ordinateur qu'il souhaitait joindre, l'opration peut se faire. Cache du serveur de noms Chaque serveur de noms possde un cache. Ce cache conserve la correspondance entre les URL et les adresses IP dj demandes. Ceci vite de refaire tout le processus dcrit ci-dessus plusieurs fois pour le mme client ou pour des clients diffrents. Le cache possde une dure de vie (TTL) modifiable, mais dont la valeur par dfaut est de 60 minutes. Cette dure de vie limite de la sauvegarde en cache a pour but d'viter que la taille du cache ne grandisse de faon inconsidre, mais aussi de garder des adresses primes. Requte de recherche inverse Une requte de recherche inverse sert trouver le nom d'un ordinateur dont on en connat l'adresse IP. Cette fonctionnalit est utilise par certains outils de maintenance et de diagnostiques comme NSLOOKUP. Pour chaque zone de recherche directe, il faut faire correspondre une zone de recherche inverse. Le nom de cette zone sera : adresse-rseau-inverse. in-addr.arpa. adresse-rseau-inverse signifie que l'ordre des octets de l'adresse du rseau est invers. Par exemple pour un rseau dont l'adresse serait 165.123.121, le nom de zone de recherche inverse serait :

Configurations des serveurs DNS


IV.5.1. DNS
De nos jours , LInternet et presque tous les rseaux locaux dpendent dun Service de Nom de Domaine (Domain Name Service, DNS)efficace et fiable, qui est utilis pour associer les noms de systmes aux adresses IP et vice-versa. Dans le but de faciliter le DNS sur notre rseau, un serveur de noms est ncessaire pour traduire ces noms en adresses IP ncessaires leur connexion. De plus, un serveur de noms peut effectuer rebours la traduction dans le nom du systme, ce que lon appelle souvent un reverse lookup, ou rsolution inverse.

Les systmes utilisant les rseaux IP doivent connatre ladresse IP dun ordinateur distant afin de sy connecter. Toutefois, la plupart des utilisateurs prfrent utiliser des noms dordinateur, comme un nom dhte ou un fully qualified domaine Name (FQDN), pour spcifier un systme au moment de la connexion. De plus, de nombreux programmes utilisent des noms de domaine dans leurs fichiers de configuration quand ils font rfrence un systme distant. Ils permettent ainsi de changer des adresses IP sans devoir modifier le nom du systme (entre autres raisons).Le service qui rend cette opration plus facile est appel DNS. Le DNS est rendu possible par lutilisation de dmons de serveurs de noms qui effectue une traduction IP/nom. Une application client demande des informations au serveur de noms, en sy connectant gnralement sur le port de serveur 53. Le serveur de noms va tenter de rsoudre le FQDN daprs sa bibliothque de solutions qui peut contenir des informations importantes sur lhte demand ou des donnes caches sur ce nom suite une requte antrieure. Si le serveur de nom ne possde pas encore la rponse dans sa bibliothque de solutions, il se tourne vers dautres serveurs de noms, appels root nameservers, ou serveurs de noms racines, afin de dterminer quels serveurs de noms qui sont autoriss pour le FQDN en question. Il effectuera ensuite une requte auprs des serveurs de noms qui font autorit pour dterminer ladresse IP du nom. Sil effectue une opration dans le sens inverse (reverse lookup), cest la mme procdure qui est utilise, si ce nest que la requte est prsente avec une adresse IP inconnue au lieu dun nom.

IV.5.1.1. Prsentation des concepts Notion de domaine, de zone et de dlgation Un domaine est un sous-arbre de lespace de nommage. Par exemple .ma est un domaine, il contient toute la partie hirarchique infrieure de larbre sous jacente au nud .ma . Un domaine peut tre organis en sous domaines. Wanadoo.ma est sous domaine .ma. Un domaine peut tre assimil une partie ou sous-partie de lorganisation de lespace de nommage.

Zone

Une zone est une organisation logique (ou pour tre plus prcis, une organisation administrative ) des domaines. Le rle dune zone est principalement de simplifier ladministration des domaines. Le domaine .ma. Peut tre decoupe en plusieurs zones, z1.ma, z2.mazn.ma. Ladministration des zones sera dlgue afin de simplifier la gestion globale du domaine. La dlgation La dlgation consiste dlguer ladministration dune zone (ou une sous-zone) aux administrateurs de cette zone.

Le domaine in-addr.arpa Le principe de la rsolution de nom, consiste affecter un nom dhte une adresse IP.On parle de rsolution de nom directe. Le processus inverse doit pouvoir galement tre mis en uvre. On parle de rsolution de nom inverse ou reverse. Le processus doit fournir, pour une adresse ip, le nom correspondant. Pour cela il y a une zone particulire, in-addr.arpa, qui permet la rsolution inverse dadresse IP. Par exemple, pour le rseau 11.0.0.0, on crera une zone inverse dans le domaine in-addr.arpa. La zone de recherche inverse dans le domaine deviendra : 0.0.11.in-addr.arpa. Cette zone devra rpondre pour toutes les adresses dclares dans la tranche 11.0.0.0 11.0.0.254. On inscrira dans cette zone tous les nuds du rseau pour lesquels on dsire que la rsolution inverse fonctionne. Un serveur de nom peut, pratiquement, fonctionner sans la dfinition de cette zone tant que le rseau nest pas reli lInternet. Si cela tait le cas, il faudrait dclarer cette zone, sans quoi, des services comme la messagerie lectronique, ne pourrait fonctionner correctement, notamment causes des rgles anti-spam.

IV.5.1.2. BIND en tant que serveur de nom Fedora core 3 Linux contient BIND, qui est un serveur de nom puissant et trs populaire. BIND utilise le dmon named pour fournir ses services de rsolution de noms. Toutes les informations de configuration pour BIND sont stockes dans le fichier /etc./named.conf et ses fichiers de zone se trouvent dans le dossier /var/named. Sur linux, nous allons utiliser deux types de fichiers : Le fichier /etc. / named.conf, qui dcrit la configuration gnrale du serveur DNS, Les fichiers qui contiennent les enregistrements de ressources pour la zone dans /var/named.

Les enregistrements ont une structure et un rle. Principaux types denregistrements Les types denregistrements qui enrichissent une base de donnes DNS sont de plusieurs types, dont voici les principaux :

Enregistrement de type SOA (Start Of Authority) : Indique lautorit sur la zone. Ces enregistrements contiennent toutes les informations pour le domaine, par exemple le dlai de mise jours des bases de donnes entre serveurs de noms primaires et secondaires, le nom du responsable du site. Enregistrements de type NS (Name Server) : Ces enregistrements donnent les adresses des serveurs de noms pour le domaine. Enregistrement de type A (Adresse) : Ces enregistrements permettent de dfinir les nuds fixes du rseau (ceux qui ont des adresses IP statiques). Serveurs, routeurs, switchs Enregistrements de type MX (Mail eXchanger) : Ils servent pour dclarer les serveurs de messagerie. Enregistrements de type CNAME (Canonical Name) : Ils permettent de dfinir des alias sur des nuds existants. Enregistrement de type PTR (pointeur) : Ils permettent la rsolution de nom inverse dans le domaine in-addr.arpa. Structure des enregistrements Structure dun enregistrement SOA : Chaque fichier commence par un enregistrement de type SOA. Voici un exemple denregistrement SOA.

IN SOA technique. Integranet.ma. Postmaster.integranet.ma. ( 20001210602 ; numro de srie 10800 ; rafaichissement 3600 ; retray 604800 ; expire 86400) ; TTL minimal de 1 jour

Caractristiques des diffrentes informations :

Soa Start Of Authority, enregistrement qui contient les informations de synchronisation des diffrents serveurs de nom.

-- integranet.ma, donne le nom de la zone. -- postmaster.integranet.ma : la personne qui est responsable de la zone. Le premier point sera
remplac par larobase (@) pour envoyer un courrier lectronique. En gnral postmaster, est une alias de messagerie lectronique vers ladministrateur du DNS. Cela deviendra postmaster@integranet.ma. Numro de srie : sert identifier la dernire modification sur le serveur de nom matre. Ce numro sera utilis par les serveurs de nom secondaires pour synchroniser leur base. Si le numro de srie du serveur de nom primaire est suprieur celui des serveurs de noms secondaires, alors le processus de synchronisation suppose que ladministrateur a apport une modification sur le serveur matre et les bases sont synchronises. Rafrachissement : Intervalle de temps donn en seconde pour indiquer au serveur la priode de test de la validit de ses donnes. Retray : Intervalle de temps avant ritration si lessai prcdent na pas fonctionn. Expire : Temps au bout duquel le serveur ne remplit plus sa mission sil na pu contacter le serveur matre pour mettre jour ses donnes. TTL : Time To Live, dure de vie des enregistrements. Plus la dure de vie est courte, plus ladministrateur est susceptible de considrer que ses bases sont jour, par contre cela augmente le trafic sur le rseau.

Enregistrement de type NS pour le domaine integranet.ma.

Integranet.ma.

IN

NS

technique.integranet.ma.

Enregistrements de type A : Nous devons dcrire la correspondance Nom/Adresse

Technique.integranet.ma. Poste4.integranet.ma.

IN

IN A

A 11.0.0.3 11.0.0.5

Sil y avait dautres htes sur la zone, il faudrait les dfinir ici. Enregistrements de type CNAME : Ce sont les alias (Canonical Name). Une requte du type http://www.integranet.ma sera adresse technique.integranet.ma, puisque www est un alias de technique.

Technique.integranet.ma.

IN

CNAME

www.integranet.ma.

Enregistrement de type PTR : Il serviront la rsolution de nom inverse.

3.0.0.11. in-addr.arpa. 5.0.0.11. in-addr.arpa

IN IN

PTR PTR

technique.integranet.ma. poste4.integranet.ma

IV.5.1.3. Installation dun serveur DNS sous Unix :


Pour mettre en place le service de rsolution de nom sur un serveur linux, on va procder successivement aux oprations suivantes (5) : 1. installer le package si cela nest pas dj ralis, 2. configurer les fichiers, 3. dmarrer le service serveur. Installer le package La rsolution de nom est ralise par les produits du package bind. La version actuelle est le package bind-9.x. Qui remplace les versions antrieures. Dans cette version, de nombreuses modifications ont t apportes surtout au niveau de la scurit.

On va utiliser bind 9. Il faudra donc installer les fichiers bind-9.x et bind-utils-9.x Ce deuxime package donne quelques outils comme host, nslookup etc. Procdure de configuration du serveur Linstallation a copi les fichiers. Sur une configuration simple on va avoir cinq fichiers crer ou modifier sur le serveur primaire : /etc./named.conf (fichier de configuration globale du service DNS du serveur de nom primaire), /var/named/db.integranet.ma qui contiendra la description de la correspondance nomadresse de toutes les machines du rseau. /var/named/db.0.0.11 qui contiendra la correspondance inverse adresse-nom (nom la rsolution inverse de nom in-addr.arpa), Un fichier /var/named/named.local pour la configuration locale (localhost127.0.0.1). Un fichier /var/named/db.0.0.127 pour la configuration reverse (127.0.0.1-localhost).

Si le serveur tait reli Internet ou faisait office de serveur officiel, il y aurait dautres fichiers configurer.
Configurer les fichiers On peut configurer le serveur manuellement, c'est--dire crer les fichiers laide dun diteur de texte ou laide dun outil de configuration comme linuxconf. En gnral on ninstalle, jamais dinterface graphique sur un serveur pour des questions de scurit. Nous allons donc crer les fichiers compltement IV.5.1.4. Configuration du DNS manuellement Le fichier racine pour la configuration du serveur de nom est le fichier /etc./named.conf. Ce fichier est lu au dmarrage du service et donne la liste des fichiers qui dfinissent la base de donnes pour la zone.

Configuration du DNS : Le fichier racine pour la configuration du serveur de nom est le fichier /etc./named.conf. Ce fichier est lu au dmarrage du service et donne la liste des fichiers qui dfinissent la base de donnes pour la zone. Le fichier named.conf Le fichier comment pour le domaine integranet.ma, dadresse 11.0.0.0.

Le fichier /var/named/db.integranet.ma Le paramtre @, signifie quil sagit du domaine integranet.ma (le nom tap aprs le mot zone dans le fichier de configuration named.conf). Le paramtre IN, signifie quil sagit dun enregistrement de type Internet. Notez la prsence dun point (.) aprs le nom des machines. Sans lui-ci, le nom serait tendu. Par exemple, technique.integranet.ma (sans point) serait compris comme technique.integranet.ma.integranet.ma (on rajoute le nom de domaine en labsence du point terminal).

Le fichier /var/named/db.0.0.127 Ce fichier assure la rsolution pour 1.0.0.127.in-addr.arpa