Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
INTRODUCTION
INTRODUCTION
Généralités DNS
Résolution des noms en adresse IP:
Le système de nom de domaine ou DNS est un service TCP/IP
permettant aux clients de traduire les noms en adresses IP. En
fait, DNS est beaucoup plus que cela, mais on va se baser,
dans un premier temps, sur la résolution directe pour
simplifier l’explication.
Lorsque on utilise un navigateur pour accéder à un site Web,
on tape le nom de ce site dans la barre d'URL. Mais pour que
l’ordinateur puisse communiquer avec le serveur
d'hébergement web dudit site web, l’ordinateur a besoin de
l'adresse IP de ce serveur Web. C’est à ce moment que le DNS
intervient.
Généralités DNS
Généralités DNS
Historique:
• Dans les années 70, uniquement quelques centaines
d'ordinateurs ont été connectés à l‘Internet. Pour
résoudre les noms, les ordinateurs avaient un petit
fichier qui contenait une table pour résoudre les noms
d'hôte en adresses IP. Ce fichier local (hosts.txt) était
téléchargeable à partir d’un serveur ftp à Stanford.
• En 1984, Paul Mockapetris crée le DNS: une base de
données hiérarchique distribuée arborescent.
Généralités DNS
Historique:
Paul Mockapetris
Boston , le 18 Novembre 1948
Généralités DNS
Historique:
• Aujourd'hui, le système DNS est une base de données
hiérarchique dans le monde entier distribué contrôlée par
l'ICANN (Internet Corporation for Assigned Names and
Numbers). Sa fonction principale est de résoudre les noms en
adresses IP et de localiser des serveurs Internet fournissant
des services smtp ou ldap.
• L’ancien fichier hosts.txt est toujours actif sur la plupart des
systèmes informatiques sous le nom /etc/hosts (ou
C:/Windows/System32/Drivers/etc/hosts). Il faut
impérativement s’intéresser à ce fichier, car il peut
influencer la résolution de noms.
Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
• La demande qu’un client DNS transmet à un serveur DNS
est dite: requête (query).
• Lorsqu'un client demande une adresse ip, on appelle cela
une requête de recherche directe (forward lookup
query).
• L'inverse, une requête pour le nom d'un hôte, est appelé
une requête de recherche inversée (reverse lookup
query).
Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
L’image ci-dessous représente une requête de recherche inverse:
Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
Une capture d’écran d’une résolution inverse et une autre directe à l’aide de la
commande nslookup.
Généralités DNS
Mode client/serveur:
Le DNS fonctionne en mode client/serveur:
• La partie cliente est présente dans toutes les
machines. Elle appelée résolveur et permet
d’envoyer des requêtes au serveur DNS.
• La partie serveur est implémentée dans des machine
dédiées et permet de répondre aux requêtes des
clients.
Généralités DNS
Configuration client DNS:
Un ordinateur client a besoin de connaître l'adresse IP
du serveur DNS pour pouvoir envoyer des requêtes.
Cette adresse peut être fourni par un serveur DHCP ou
entré manuellement.
Une ou plusieurs adresses IP de serveurs DNS peuvent
être configurés pour un ordinateur client.
Généralités DNS
Configuration client DNS Windows:
Une liste de serveurs de noms DNS classée par ordre de priorité
peut être configurée.. Dans la plupart des cas, l’ordinateur client
contacte et utilise son serveur DNS préféré, qui est le premier
serveur DNS sur sa liste configurée localement. Les serveurs DNS
secondaires répertoriés sont contactés et utilisés lorsque le
serveur préféré est indisponible.
La capture d’écran ci-après représente une configuration
graphique TCP/IP d’une une interface incluant la configuration de
serveurs DNS.
Généralités DNS
Configuration client DNS Windows:
Généralités DNS
Configuration client DNS Windows:
On peut aussi utiliser l’utilitaire netsh pour configurer la
liste des serveurs DNS d’une machine Windows cliente DNS.
Les deux exemples suivants permettent de configurer
respectivement le service DNS préféré et le service DNS
auxiliaire pour une interface nommée « tdiconn ».
netsh interface ipv4 set dnsservers tdiconn static 172.16.3.1
netsh interface ipv4 add dnsservers tdiconn 172.16.3.12
Généralités DNS
Configuration client DNS GNU LINUX:
Le fichier /etc/host.conf permet de définir le
comportement du système lors de la résolution
d'un nom. Sa structure est très simple, puisqu'il y a
une option de recherche par ligne. Dans la plupart
des cas, les lignes suivantes sont suffisantes :
order hosts, bind
multi on
Généralités DNS
Configuration client DNS GNU LINUX:
Le fichier /etc/resolv.conf permet de configurer,
globalement (pour toutes les interfaces) les
serveurs de nom à utiliser pour la résolution DNS.
Un exemple de configuration est donné ci-dessous:
nameserver 212.217.0.1 212.217.0.12
domain ntic.ma
search ntic.ma andr.intra
Généralités DNS
Configuration client DNS GNU LINUX:
Au lieu de modifier /etc/resolv.conf, on peut
spécifier des serveurs DNS directement dans le
fichier de configuration de l'interface. Tel que
mettre dans le fichier /etc/sysconfig/network-
scripts/ifcfg-eth0 :
DNS1=212.217.0.1
DNS2=212.217.0.2
Généralités DNS
Configuration client DNS GNU LINUX:
Les serveurs DNS spécifiés avec les directives
"DNS1/DNS2" seront automatiquement ajoutés à
/etc/resolv.conf lorsque l'interface est activée. Si on veut
ajouter les serveurs DNS manuellement à
/etc/resolv.conf, il faut mettre sur le fichier de
configuration d’interface:
PEERDNS=no
.ma
2
Client DNS
3
ofppt.ma
3
ofppt.ma
Client DNS
ISTA NTIC BM 2016/2017 M.EL GHARADI 49 Page 49
DNS : Domain Name System
Transfert de zone
Le serveur secondaire (esclave) reçoit une copie
de la base de données de zone d’un serveur
primaire ou secondaire (maître) à l'aide d'un
transfert de zone. Les transferts de zone sont
demandés par les serveurs esclaves à intervalles
réguliers. Ces intervalles sont définis dans
l'enregistrement SOA.
Transfert de zone
Transfert de zone
Lorsqu'un transfert de zone se produit, il peut
s'agir d'un transfert de zone complète ou d'un
transfert de zone incrémentielle. La décision
dépend de la taille du transfert qui est
nécessaire pour mettre à jour complètement la
zone sur le serveur esclave. Un transfert de
zone incrémentiel est préférable lorsque la
taille totale des modifications est inférieure à
la taille de la base de données de zone. Les
transferts de zones entières utilisent le
protocole AXFR, le transfert de zone
incrémentielle utilise le protocole IXFR.
Transfert de zone
Serveurs maitres et esclaves:
Lorsqu’on ajoute un serveur DNS secondaire à une
zone, on peut configurer ce serveur en tant que serveur
esclave sur le serveur principal. Le serveur principal
devient alors le serveur maître du serveur esclave.
Souvent, le serveur DNS principal est le serveur maître
de tous les esclaves. Parfois, un serveur esclave est un
serveur
56 maître pour un serveur esclave de deuxième
Transfert de zone
Serveurs maitres et esclaves:
57
Transfert de zone
Enregistrement SOA:
L'enregistrement SOA contient une valeur de
rafraîchissement. Si cette valeur est définie sur 30 minutes, le
serveur esclave demandera une copie du fichier de zone
toutes les 30 minutes. Il existe également une valeur de
nouveau essai. La valeur retry est utilisée lorsque le serveur
maître n'a pas répondu à la dernière demande de transfert de
zone. La58 valeur du délai d'expiration indique la durée pendant
laquelle le serveur esclave répondra aux requêtes, sans
recevoir une mise à jour de zone. Ci-dessous un exemple
d'utilisation de nslookup pour interroger l'enregistrement soa
d'une zone (ofppt.ma).
Transfert de zone
Enregistrement SOA:
59
Transfert de zone
Transfert de zone périodique:
Transfert de zone
Transfert de zone périodique:
• Lorsque l'intervalle d'actualisation expire le Serveur Secondaire
demande alors son SOA au serveur maître.
• Le serveur maître de la zone répond en renvoyant l’enregistrement
de ressource SOA.
• Le serveur secondaire compare le numéro de série renvoyé à son
propre numéro de série. Si le numéro de série envoyé par le
serveur maître est supérieur au numéro de série stocké sur le
serveur secondaire, cela signifie que la base de données du serveur
secondaire
61 n’est pas à jour.
• Le serveur maître envoie alors une requête AXFR ou IXFR
• Dans le cas d’un transfert de zone complet, le serveur maître
envoie la base de données de la zone au serveur secondaire ; dans
le cas d’un transfert de zone incrémentiel, le serveur maître envoie
uniquement les données de la zone qui ont changé.
Mise à jour de
1 l'enregistrement
Mise à jour de ressource
2 du numéro
de série SOA
62
DNS Notify
3
4 Transfert de zone
62
Serveur Maître
Serveur Secondaire
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 62
DNS : Domain Name System
Transfert de zone
Notification DNS (DNS Notify):
Configuration de Bind
Bind (Berkeley Internet Name Daemon) est le
serveur de noms le plus utilisé sur Internet. Bind 9
supporte l’IPv6, les noms de domaine unicode, le
multithread et de nombreuses améliorations de
sécurité.
La configuration globale de Bind est placée dans le
fichier /etc/named.conf.
La configuration
65 détaillée des zones est placée dans
/var/named (sous Centos).
Configuration de Bind
Bind chrooté: (Attention)
il arrive parfois que la configuration de Bind soit
«chrootée» (déplacée dans une arborescence
spécifique d’où le service ne peut sortir, le reste de
l’arborescence lui étant inaccessible). Sur Centos et
RHEL 4.x et supérieurs named.conf est dans
/var/named/chroot/etc/.On peut modifier ce mode
en modifiant
66 sur le fichier de configuration
/etc/sysconfig/named.
CHROOT=/var/named/chroot
Configuration de Bind
Structure du fichier named.conf:
Le fichier de configuration named.conf se compose de deux sections: section
globale et section de zones. Un exemple de base est donné ci-dessous:
options {
directory "/var/named";
forwarders { 212.217.0.1; };
notify no;
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
67
file "127.0.0.zone";
};
zone "." in {
type hint;
file "named.ca";
};
Configuration de Bind
Structure du fichier named.conf:
La configuration globale est placée dans la section options. Voici un détail de
quelques options importantes (le point- virgule doit être précisé) :
Directive Signification
directory "filename" emplacement des fichiers contenant les données des zones.
forwarders { adresse-ip } si le serveur DNS ne peut résoudre lui-même la requête, elle est
renvoyée à un serveur DNS extérieur, par exemple celui du
fournisseur d’accès.
listen-on-port 53 port d’écoute du DNS suivi des adresses d’écoute. On indique ici les
{127.0.0.1; adresse-ip; } adresses IP des interfaces réseau de la machine. Il ne faut pas oublier
127.0.0.1
68
allow-query { 127.0.0.1; machine(s) ou réseau(x) autorisés à utiliser le service DNS. Par
réseau } exemple 192.168.1.0/24. Si la directive est absente, tout est autorisé
allow-transfer { machine(s) ou réseau(x) autorisés à copier la base de données dans
192.168.1.2; } le cas d’une relation maître et esclave. Par défaut aucune copie n’est
autorisée.
notify no on notifie ou non les autres serveurs DNS d’un changement dans les
zones ou d’un redémarrage du serveur
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 68
DNS : Domain Name System
Configuration de Bind
Structure du fichier named.conf:
Pour chaque domaine ou sous-domaine DNS, on définit souvent deux
sections zone. La première contient les informations de résolution de nom
(nom vers IP) et la seconde les informations de résolution inverse (IP vers
Nom). Dans chacun des cas, la zone peut être maître Master ou esclave
Slave :
• Master : le serveur contient la totalité des enregistrements de la zone
dans ses fichiers de zone. Lorsqu’il reçoit une requête, il cherche dans ses
fichiers (ou dans son cache) la résolution de celle-ci.
• Slave : le serveur ne contient par défaut aucun enregistrement. Il se
synchronise avec un serveur maître duquel il récupère toutes les
69
informations de zone. Ces informations peuvent être placées dans un
fichier. Dans ce cas l’esclave stocke une copie locale de la base. Lors de la
synchronisation, le numéro de série de cette copie est comparé à celui du
maître. Si les numéros sont différents, une nouvelle copie a lieu, sinon la
précédente continue à être utilisée.
Configuration de Bind
Zone recherche directe (déclaration) :
Pour chaque domaine ou sous-domaine, on indique dans quel fichier sont
placées les informations de la zone), son type (maître ou esclave), si on
autorise ou non la notification, l’adresse IP du serveur DNS maître dans le
cas d’un esclave. Un exemple de déclaration est donné ci-après:
zone "andr.intra" {
type master;
file "andr.intra.direct";
};
type master ou slave
70
file nom du fichier qui contient les informations de la zone.
Il n’y a pas de règles précises de nommage mais pour
des raisons de lisibilité il est conseillé de lui donner le
même nom que la zone tant pour une zone master que
pour une slave.
Configuration de Bind
Zone recherche directe (déclaration) :
• Dans le cas d’une zone Maître, on peut rajouter
allow-transfer (serveurs autorisés à dupliquer la
zone) et notify yes (indique une mise à jour ou
une relance pour les esclaves).
• En cas de Slave : on rajoute la directive masters
pour indiquer à partir de quel serveur Master la
zone71
sera dupliquée.
Configuration de Bind
Zone recherche inversée (déclaration) :
Pour chaque réseau ou sous-réseau IP (ou plage
d’adresses) on définit une zone de résolution inverse
dont le fichier contient une association IP vers nom de
machine. La déclaration est presque la même que pour
la zone de recherche directe sauf que l’on doit respecter
une convention de nommage :
• Le nom de la zone se termine toujours par une
domaine spécial .in-addr.arpa.
• On doit tout d’abord déterminer quel réseau la zone
doit72couvrir. Par exemple: 192.168.1.0/24
• On inverse l’ordre des octets réseau dans l’adresse.
Par exemple 1.168.192.
• On ajoute in-addr.arpa. Le nom de zone sera donc
1.168.192.in-addr.arpa.
Configuration de Bind
Exemple de déclaration de zones:
Soit un domaine ntic.ma sur un réseau de classe C 192.168.1.0. Soit deux serveurs
DNS 192.168.1.1 Master et 192.168.1.2 Slave.
Sur le maître Sur l’esclave
zone « ntic.ma" { zone « ntic.ma" {
type master; type slave;
file « ntic.ma.zone"; file « ntic.ma.zone";
allow-transfer { 192.168.1.2; } ; masters { 192.168.1.1; } ;
notify yes; };
}; zone "1.168.192.in-addr.arpa" {
zone "1.168.192.in-addr.arpa"
73 { type master;
type master; file "192.168.1.zone";
file "192.168.1.zone"; masters { 192.168.1.1; } ;
allow-transfer { 192.168.1.2; } ; };
notify yes;
};
Configuration de Bind
Fichiers de zones:
Les fichiers de zones contiennent des enregistrements de ressources tel qu’il a été
expliqué plus haut. Quelques détails supplémentaires sont donnés ci-dessous:
• @ : est un caractère de remplacement pour le nom de la zone déclarée dans
/etc/named.conf. Ainsi si la zone s’appelle ntic.ma, @ vaut ntic.ma. Dans la
déclaration de l’administrateur de la SOA, il remplace ponctuellement le point
dans l’adresse de courrier électronique.
• MX : Mail eXchanger. Désigne un serveur de courrier électronique, avec un
indicateur de priorité. Plus la valeur est faible, plus la priorité est élevée.
• Le point « . »: Si l’on omet le point en fin de déclaration d’hôte, le nom de la
zone est concaténé à la fin du nom. Par exemple pour la zone ntic.ma, si on écrit
poste1, cela équivaut à poste1.ntic.ma. Si on écrit poste1.ntic.ma (sans le point
74
à la fin) alors on obtient comme résultat poste1.ntic.ma.ntic.ma
• IL NE FAUT JAMAIS COMMENCER UNE LIGNE PAR DES ESPACES OU
TABULATIONS car les espaces ou tabulations seraient interprétés comme faisant
partie du nom indiqué, de l’adresse ou de l’option.
Configuration de Bind
Fichiers de zones:
En plus des enregistrements de ressources, un fichier de
zone peut contenir des directives précédées par le caractère
‘$’. Les directives les plus courantes sont:
• $INCLUDE : inclure un autre fichier de zone.
• $ORIGIN : Attache le nom de domaine à tout
enregistrement non qualifié (ne se termine pas par
‘.’)
• $TTL 75 : durée de validité des enregistrements (en
seconde)
Configuration de Bind
Étapes de création de Fichier de zone:
On commence par une directive TTL qui indique le temps de
vie de la zone en secondes. Par exemple:
$TTL 86400
Cela signifie que chaque enregistrement de la zone sera
valable durant le temps indiqué par TTL. Il est possible de
modifier cette valeur pour chaque enregistrement. Durant
ce temps, les données peuvent être placées en cache par
les autres serveurs de noms distants.
76
Configuration de Bind
Étapes de création de Fichier de zone:
Après les directives TTL, on place un enregistrement de
ressources SOA :
<domain> IN SOA <primary-name-server> <hostmaster-email> (
<serial-number>
<time-to-refresh>
<time-to-retry>
<time-to-expire>
<minimum-TTL> )
77
L’explication de l’ensemble des éléments de l’enregistrement SOA est
détaillée dans le tableau ci-après:
Configuration de Bind
Étapes de création de Fichier de zone:
domain C’est le nom de la zone, le même nom que celui utilisé
dans /etc/named.conf. On peut le remplacer par @
sinon il ne faut pas oublier de le terminer par un point
(pour éviter une concaténation).
primary-name-server Le nom sur le serveur DNS maître sur cette zone. Il ne
faudra pas oublier de le déclarer dans la liste des hôtes
(enregistrements PTR ou A).
hostmaster-email Adresse de courrier électronique de l’administrateur du
serveur de nom. Le caractère @ étant déjà réservé à un
78 autre usage, on utilise un point pour le remplacer. Ainsi
« admin@ntic.ma» devra s’écrire « admin.ntic.ma» .
Configuration de Bind
Étapes de création de Fichier de zone:
serial-number C’est un numéro de série que l’on doit incrémenter
manuellement à chaque modification du fichier zone
pour que le serveur de nom sache qu’il doit recharger
cette zone. Elle est utilisée pour la synchronisation avec
les serveurs esclaves. Si le numéro de série est le même
qu’à la dernière synchronisation les données ne sont
pas rafraîchies. Par convention on place YYYYMMDDNN
(année-mois- jour-numéro) sur dix chiffres.
time-to-refresh Indique à tout serveur esclave combien de temps il doit
79 attendre avant de demander au serveur de noms maître
si des changements ont été effectués dans la zone.
time-to-retry Indique au serveur esclave combien de temps attendre
avant d’émettre à nouveau une demande de
rafraîchissement si le serveur maître n’a pas répondu.
La demande aura lieu toutes les time-to-retry secondes.
Configuration de Bind
Étapes de création de Fichier de zone:
time-to-expire Si malgré les tentatives de contacts toutes les time-to-
retry secondes le serveur n’a pas répondu au bout de la
durée indiquée dans time-to-expire, le serveur esclave
cesse de répondre aux requêtes pour cette zone.
Minimum-TTL Le serveur de nom demande aux autres serveurs de
noms de mettre en cache les informations pour cette
zone pendant au moins la durée indiquée.
80
Configuration de Bind
Étapes de création de Fichier de zone:
Un exemple d’enregistrement SOA:
@ IN SOA dns1.ntic.ma. hostmaster.ntic.ma. (
2005122701 ; serial
21600 ; refresh de 6 heures
3600 ; tenter toutes les 1 heures
604800 ; tentatives expirent après une semaine
86400 ) ; TTL mini d’un jour
81
Configuration de Bind
Étapes de création de Fichier de zone:
On passe ensuite les enregistrements NS (Name Server) pour
spécifiez les serveurs de noms de la zone.
IN NS dns1
IN NS dns2
Quand on ne spécifie pas en début de ligne un nom d’hôte ou
de zone (complet ou @), cela veut dire qu’on utilise le même
que la ligne du dessus. Tant qu’on n’en précise pas de nouveau,
c’est le dernier indiqué qui est utilisé. Ainsi ci-dessus les lignes
pourraient être :
@ IN NS dns1
@ 82
IN NS dns2
Ou
ntic.ma. IN NS dns1
ntic.ma. IN NS dns2
Notez l’absence de point après le nom de l’hôte et donc ntic.ma
est concaténé pour obtenir dns1.ntic.ma.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 82
DNS : Domain Name System
Configuration de Bind
Étapes de création de Fichier de zone:
On Passe ensuite à l’énumération des serveurs de courrier
électronique de la zone. La valeur numérique située après
MX indique la priorité. Plus la valeur est basse plus le
serveur est prioritaire et susceptible d’être contacté en
premier.
IN MX 10 mail
IN MX 15 mail2
83
Configuration de Bind
Étapes de création de Fichier de zone:
On peut parfois rencontrer des enregistrements tel que:
IN A 192.168.1.10
Ceci permet à une machine de réponde en passant par le
FQDN du domaine sans préciser d’hôte (par exemple
http://ntic.ma ou ping ntic.ma)
84
Configuration de Bind
Étapes de création de Fichier de zone:
Puis on déclare les autres hôtes dont les serveurs de noms,
de mails, ftp, web et les postes de travail,… etc. par
exemple:
dns1 IN A 192.168.1.1
dns2 IN A 192.168.1.2
server1 IN A 192.168.1.3
Server2 IN A 192.168.1.4
poste1 IN A 192.168.1.10
Poste2 IN A 192.168.1.20
poste3 85 IN A 192.168.1.30
Configuration de Bind
Étapes de création de Fichier de zone:
Puis on déclare les alias (CNAME). Les alias sont
généralement réservés aux serveurs web, ftp…
mail IN CNAME server1
mail2 IN CNAME server2
www IN CNAME server1
ftp IN CNAME server2
86
Configuration de Bind
Création du Fichier de zone de résolution inverse:
La zone de révolution inverse est presque identique à la zone
directe, si ce n’est que les enregistrements A sont remplacés par
des enregistrements PTR destinés à traduire une IP en hôte. Le
TTL et la déclaration SOA doivent être si possible identiques
(sauf le nom de la zone). On doit aussi placer des
enregistrements NS. Tel que:
IN NS dns1.ntic.ma.
IN NS dns2. ntic.ma.
Puis placer les enregistrements PTR traduisant l’adresse IP pour
chaque hôte. Par exemple:
1 IN
87 PTR dns1.ntic.ma.
2 IN PTR dns2.ntic.ma.
3 IN PTR server1.ntic.ma.
4 IN PTR server2.ntic.ma.
10 IN PTR poste1.ntic.ma.
20 IN PTR poste2.ntic.ma.
30 IN PTR poste3.ntic.ma.
Configuration de Bind
Diagnostic des problèmes de configuration:
La commande named-checkconf vérifie la syntaxe du fichier
named.conf.
named-chekconfig /etc/named.conf
La sortie indiquera les lignes posant problème.
La commande named-checkzone vérifie la syntaxe d’un
fichier de zone (y compris de résolution inverse). Par
exemple:
named-chekzone
88
andr.intra /var/named.andr.intra.direct
named-chekzone 255.31.172.in-addr.arpa /var/named.andr.intra.inverse
Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
L’utilitaire dig est un outil d’interrogation avancé de serveur
de noms, capable de restituer toutes les informations des
zones.
L’utilisation de la commande dig est généralement la
suivante :
dig @serveur nom type
@serveur : le serveur DNS utilisé pour la requête. nom : le
nom 89du serveur DNS à interroger. type : le type
d’enregistrement à vérifier. Mais la forme la plus simple est
l’appel de la commande suivi du nom d’hôte à vérifier. Tel
que:
dig andr.intra
dig linux1.andr.intra
Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
La sortie de la dernière commande dig doit ressembler à
ceci:
90
Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
La sortie de dig retourne beaucoup d’informations:
• La première partie renseigne sur la version de dig utilisée, suivi des
options globales. Peut ne pas être affichée, si on ajoute l’option
+nocmd.
• La partie –Got answer– apporte des informations sur le serveur.
Cette partie ne sera pas affichée si on ajoute l’option +nocomments.
• La partie –QUESTION SECTION– affiche la requête transmise au
serveur DNS. Peut ne pas être affiché si on ajoute l’option
+noquestion.
• la réponse est affichée dans la section –ANSWER SECTION– qui peut
ne pas être affiché par l’option +noanswer.
• La section –AUTHORITY SECTION– renseigne sur les serveurs DNS
autoritaires
91
du domaine. Pour ne pas afficher cette section, on utilise
l’option +noauthority.
• On peut retrouver la section –ADDITIONAL SECTION– qui donne les
IP des serveurs DNS autoritaires utilisés pour la requête. Peut être
désactivée par l’option +noadditional.
• La sortie se termine par des statistiques sur la requête, que l’on
désactive par l’option +nostats.
Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
Quelques exemples de dig:
Exemple Signification
dig linux1.andr.intra Affiche l’adresse associé au hôte.
dig andr.intra soa Affiche l’enregistrement SOA de la zone .
On peut remplacer soa par : a, ns, any,
mx, hinfo, txt, ptr ou axfr
dig 33.255.31.172.in-addr.arpa ptr Pour tester la résolution inverse de
l’adress 172.31.255.33
92
dig -x 172.31.255.33 Même chose que l’exemple précédent
dig andr.intra any Affiche toutes les informations
concernant le domaine andr.intra
dig andr.intra axfr Liste tous les hôtes de la zone
dig +trace google.com Trace tous les serveurs contactés pour
résoudre google.com
Configuration de Bind
Diagnostic des problèmes de configuration: (host)
L’outil host peut fournir le même résultat que dig mais de
manière peut-être un peu plus simple. Voici quelques
exemples:
host andr.intra
host -t any andr.intra
host -a andr.intra
host -t ns andr.intra
host linux1.andr.intra
host 172.31.255.33
93
Configuration de Bind
Diagnostic des problèmes de configuration: (nslookup)
Nslookup est un outil pour interroger le DNS (Domain
Name System) pour obtenir un mappage de nom de
domaine ou d'adresse IP ou tout autre enregistrement DNS
spécifique. Il est également utilisé pour résoudre les
problèmes liés au DNS.
Nslookup peut fonctionner en "Interactive mode" ou "Non-
Interactive mode". Le mode interactif permet à l'utilisateur
d'interroger le serveur DNS sur divers hôtes et domaines. Le
mode94non interactif permet à l'utilisateur de consulter les
informations d'un hôte ou d'un domaine.
Configuration de Bind
Diagnostic des problèmes de configuration: (nslookup)
Quelques exemples du mode non interactif:
Exemple Signification
nslookup andr.intra Retroune l’enregistrement A du
domaine andr.intra
nslookup 172.31.255.34 Résoudre en inverse l’adresse passé en
paramètre.
nslookup -type=ns andr.intra Retourne les enregistrement de type NS
du domaine indiqué. On peut avoir soa,
95 mx, a, cname ou any
nslookup -timeout=10 andr.intra Pour modifier le délai d'attente par
défaut d’attente d’une réponse.
nslookup -debug andr.intra Le mode de débogage affichera les
informations sur les paquets pendant la
recherche.
DNS Avancé
Round Robbin:
Lorsqu’on crée plusieurs enregistrements A pour le même
nom, bind effectue un round robin de l'ordre dans lequel
les enregistrements sont retournés. Cela permet l'utilisation
de DNS comme un équilibreur de charge entre les hôtes,
puisque les clients prendront habituellement la première
adresse IP offerte.
On peut tester cet fonctionnalité en créant un site Web sur
deux serveurs Web (avec une petite différence afin qu’on
puisse96distinguer entre les deux sites Web).
DNS Avancé
Délégation de zones:
Un serveur DNS peut déléguer l’autorité d’un domaine
enfant à un autre serveur DNS. Le domaine enfant devient
alors une nouvelle zone, avec autorité du nouveau serveur
DNS.
Si la délégation est correctement configurée, les clients qui
interrogent la zone parent pourront également résoudre
les zones enfant déléguées.
Le schéma
97
ci-dessous explique le principe de la délégation
de zones.
DNS Avancé
Délégation de zones:
98
DNS Avancé
Délégation de zones:
Pour configurer la délégation de zones, il faut configurer le
serveur délégué en déclarant et créant la zone enfant puis
ajouter les lignes suivantes sur la zone parente:
$ORIGIN formation.tri.edu
@ IN NS dns2.formation.tri.edu.
Dns2 IN A 172.31.255.35 ; the glue record
DNS Avancé
Zone stub:
A la manière d’une zone DNS secondaire, la zone de stub
est une copie en lecture seule d’une zone DNS. Toutefois,
elle ne dispose que des enregistrements nécessaires pour
identifier les serveurs DNS autoritaires pour la zone
concernée (SOA, Glue A et NS). De ce fait, la réplication des
mises à jour ne concerne qu’un nombre limité
d’enregistrements.
Le fonctionnement de la zone stub est similaire à la
redirection conditionnelle sauf que le serveur redirecteur
est choisi par la liste des serveurs NS de la zone stub. Cette
liste est actualisé par réplication.