M18 DNS Tri 2019 Ofppt

DNS : Domain Name System
Objectif: Implémenter un service de résolution de nom DNS.
ISTA NTIC BM 2016/2017 M.EL GHARADI 1

INTRODUCTION
• DNS est un service fondamental pour les

réseaux Informatiques.
• Il permet de traduire les noms en adresses IP,
de traduire les adresses IP en noms et de
localiser les services réseaux tel que le service
d’annuaire (Active Directory).
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 2

INTRODUCTION
À chaque fois qu’on visite un site Web, qu’on

envois un email, qu’on s’authentifie auprès d’un
contrôleur de domaine, qu’on chatte ou qu’on
communique via la voix IP …., une ou plusieurs
requêtes sont envoyés vers des serveurs DNS.

Généralités DNS
Résolution des noms en adresse IP:
Le système de nom de domaine ou DNS est un service TCP/IP
permettant aux clients de traduire les noms en adresses IP. En
fait, DNS est beaucoup plus que cela, mais on va se baser,
dans un premier temps, sur la résolution directe pour
simplifier l’explication.
Lorsque on utilise un navigateur pour accéder à un site Web,
on tape le nom de ce site dans la barre d'URL. Mais pour que
l’ordinateur puisse communiquer avec le serveur
d'hébergement web dudit site web, l’ordinateur a besoin de
l'adresse IP de ce serveur Web. C’est à ce moment que le DNS
intervient.

Généralités DNS
Résolution des noms en adresse IP:

Généralités DNS
Historique:
• Dans les années 70, uniquement quelques centaines
d'ordinateurs ont été connectés à l‘Internet. Pour
résoudre les noms, les ordinateurs avaient un petit
fichier qui contenait une table pour résoudre les noms
d'hôte en adresses IP. Ce fichier local (hosts.txt) était
téléchargeable à partir d’un serveur ftp à Stanford.
• En 1984, Paul Mockapetris crée le DNS: une base de
données hiérarchique distribuée arborescent.

Généralités DNS
Historique:
Paul Mockapetris
Boston , le 18 Novembre 1948

Généralités DNS
Historique:
• Aujourd'hui, le système DNS est une base de données
hiérarchique dans le monde entier distribué contrôlée par
l'ICANN (Internet Corporation for Assigned Names and
Numbers). Sa fonction principale est de résoudre les noms en
adresses IP et de localiser des serveurs Internet fournissant
des services smtp ou ldap.
• L’ancien fichier hosts.txt est toujours actif sur la plupart des
systèmes informatiques sous le nom /etc/hosts (ou
C:/Windows/System32/Drivers/etc/hosts). Il faut
impérativement s’intéresser à ce fichier, car il peut
influencer la résolution de noms.

Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
• La demande qu’un client DNS transmet à un serveur DNS
est dite: requête (query).
• Lorsqu'un client demande une adresse ip, on appelle cela
une requête de recherche directe (forward lookup
query).
• L'inverse, une requête pour le nom d'un hôte, est appelé
une requête de recherche inversée (reverse lookup
query).

Généralités DNS
inversée:
L’image ci-dessous représente une requête de recherche inverse:

Généralités DNS
inversée:
Une capture d’écran d’une résolution inverse et une autre directe à l’aide de la
commande nslookup.

Généralités DNS
Mode client/serveur:
Le DNS fonctionne en mode client/serveur:
• La partie cliente est présente dans toutes les
machines. Elle appelée résolveur et permet
d’envoyer des requêtes au serveur DNS.
• La partie serveur est implémentée dans des machine
dédiées et permet de répondre aux requêtes des
clients.

Généralités DNS
Configuration client DNS:
Un ordinateur client a besoin de connaître l'adresse IP
du serveur DNS pour pouvoir envoyer des requêtes.
Cette adresse peut être fourni par un serveur DHCP ou
entré manuellement.
Une ou plusieurs adresses IP de serveurs DNS peuvent
être configurés pour un ordinateur client.

Généralités DNS
Configuration client DNS Windows:
Une liste de serveurs de noms DNS classée par ordre de priorité
peut être configurée.. Dans la plupart des cas, l’ordinateur client
contacte et utilise son serveur DNS préféré, qui est le premier
serveur DNS sur sa liste configurée localement. Les serveurs DNS
secondaires répertoriés sont contactés et utilisés lorsque le
serveur préféré est indisponible.
La capture d’écran ci-après représente une configuration
graphique TCP/IP d’une une interface incluant la configuration de
serveurs DNS.

Généralités DNS

Généralités DNS
On peut aussi utiliser l’utilitaire netsh pour configurer la
liste des serveurs DNS d’une machine Windows cliente DNS.
Les deux exemples suivants permettent de configurer
respectivement le service DNS préféré et le service DNS
auxiliaire pour une interface nommée « tdiconn ».
netsh interface ipv4 set dnsservers tdiconn static 172.16.3.1
netsh interface ipv4 add dnsservers tdiconn 172.16.3.12

Généralités DNS
Configuration client DNS GNU LINUX:
Le fichier /etc/host.conf permet de définir le
comportement du système lors de la résolution
d'un nom. Sa structure est très simple, puisqu'il y a
une option de recherche par ligne. Dans la plupart
des cas, les lignes suivantes sont suffisantes :
order hosts, bind
multi on

Généralités DNS
Le fichier /etc/resolv.conf permet de configurer,
globalement (pour toutes les interfaces) les
serveurs de nom à utiliser pour la résolution DNS.
Un exemple de configuration est donné ci-dessous:
nameserver 212.217.0.1 212.217.0.12
domain ntic.ma
search ntic.ma andr.intra

Généralités DNS
Au lieu de modifier /etc/resolv.conf, on peut
spécifier des serveurs DNS directement dans le
fichier de configuration de l'interface. Tel que
mettre dans le fichier /etc/sysconfig/network-
scripts/ifcfg-eth0 :
DNS1=212.217.0.1
DNS2=212.217.0.2

Généralités DNS
Les serveurs DNS spécifiés avec les directives
"DNS1/DNS2" seront automatiquement ajoutés à
/etc/resolv.conf lorsque l'interface est activée. Si on veut
ajouter les serveurs DNS manuellement à
/etc/resolv.conf, il faut mettre sur le fichier de
configuration d’interface:
PEERDNS=no

Espace de noms (spacename) DNS

Hiérarchie:
L'espace de noms DNS est une structure arborescente
hiérarchique, avec les serveurs racine (dot-servers) au sommet.
Les serveurs racine sont généralement représentés par un point.


Hiérarchie:
Au-dessous des serveurs racines, se trouvent les TLD (top level
domain).
Il y a plus de TLD que celles figurant dans l'image.
Actuellement, environ 200 pays ont un TLD. Il y a plusieurs
TLD généraux comme:
.com, .edu, .org, .gov, .net, .mil, .int
Et plus récemment aussi:

.aero, .info, .museum, ...


Les serveurs Racines (root servers):
• Il existe 13 serveurs racines sur Internet, ils sont
nommés A à M. ces serveurs sont qualifiés de
serveurs maîtres de l'Internet, car si ils tombent
en panne, personne ne peut se connecter à des
sites Web.
• Les serveurs racine ne sont pas 13 machines
physiques, ils sont beaucoup plus. Par exemple,
le serveur racine F se compose de 46 machines
physiques qui se comportent tous comme un (en
utilisant l’adressage anycast).


Les serveurs Racines (root servers):
Les sites WEB suivants vous donnent plus de
détail sur les serveurs racines:
• http://root-servers.org
• http://f.root-servers.org
• http://en.wikipedia.org/wiki/Root_nameserver.


Les indicateurs de Racines (root hints):
Toute application (tel que bind) installant un
serveur DNS, fournit une liste d’indicateurs de
racine permettant de localiser les serveurs
racine DNS.
La capture d’écran suivante donne une partie
des indicateurs racines fourni par bind9 sous
Centos6.


Les indicateurs de Racines (root hints):


Domaines:
Au-dessous des domaines de niveau supérieur (TLD), se trouvent
les domaines. Les domaines peuvent avoir des sous-domaines
(également appelés domaines enfants). L’image ci-après
montrent des domaines DNS: google.com, chess.com et
untm.ma.


Domaines:
Les domaines DNS sont enregistrés sur les serveurs TLD, les
serveurs TLD sont enregistrés sur les serveurs dot.


TLD (top level domains):


Domaines:
Des TLD ont été définis pour chaque pays, comme .uk en 1985
pour la Grande-Bretagne , .be pour la Belgique en 1988 et .fr
pour la France en 1986.
En 1993 le TLD .ma a été délégué pour l’école EMI. Puis
l’administration a été passé à MAROC TELECOM en 1995.
En 12 mai 2006, ANRT (Agence Nationale de réglementation des
Télécommunications) a pris le contrôle du TLD .ma


Domaines:
En 1998 des nouveaux TLD ont été définis pour le 21ième siècle:


FQND (fully qualified domain name ):
Le nom de domaine pleinement qualifié ou fqdn
révèle la position absolue d'un nœud dans
l'arborescence DNS en indiquant tous les
domaines de niveau supérieur jusqu'à la racine
séparée par des points. Par convention, le FQDN
est ponctué par un point final. Exemples:
Untm.ma.
www.untm.ma
Un nœud peut être un domaine ou un hôte.

Règles de nommage:
• Insensible à la case.
• Les caractères autorisés : a-z, 0-9 et –
• Un nom de nœud doit obligatoirement
commencer par une lettre et ne doit pas
dépasser 63 caractères.
• Le FQND ne doit pas dépasser 255 caractères
max et 127 nœuds max.


Organismes régionaux:


Zones DNS:
• Une zone est une portion de l’arbre DNS qui
couvre une ou plusieurs domaines contigus.
• Un serveur DNS peut être autoritaire sur une
ou plusieurs zones DNS.
• Une zone peut déléguer l’autorité d’un
domaine enfant à une autre zone.
• Le schéma suivant représente des zones
encerclées par des ellipses.

Zones DNS:


Enregistrements de ressources (RR):
Type DNS record Signification et rôle
A Host record contient un mappage entre adresse
IPv4 et un nom de hôte. Pour une adresse IPv6
l’enregistrement est de type AAAA
PTR L’inverse d’un enregistrement type A

NS Enregistrement pointant un serveur de noms. Il
peut y avoir plusieurs enregistrements NS pour
la même zone.
Glue A Enregistrement type A pointant un nom

d’enregistrement NS


Enregistrements de ressources (RR):
Type DNS record Signification et rôle
SOA Start Of Authority. Contient de l’information
sur la zone elle même. Il y a exactement un
enregistrement SOA par zone.
CNAME Mappe un nom de hôte à un autre nom de hôte

MX Pointe un serveur SMTP. Lorsqu’on envoi un
email à un autre domaine de messagerie, notre
serveur de messagerie a besoin de
l’enregistrement MX du domaine cible.
SRV Enregistrement de service indiquant la
disponibilité de services. Généralement utilisé
pour la localisation du services LDAP et services
associés tel que les services Active Directory.
Serveur dédié à la mise en cache DNS

• Un serveur DNS dédié à la mise en cache est un
serveur DNS sans autorité sur aucune zone DNS.
• Ne possède pas de base de données des
enregistrements de ressources.
• Peut se connecter à d’autres serveurs DNS pour
trouver la réponse à des requêtes DNS et stocke
la réponse en cache.
• 2 serveurs de mise en cache: serveur avec
redirection (with forwarder) et serveur utilisant
les serveurs racines (root servers).

Serveurs dédié à la mise en cache DNS

Serveur dédié à la mise en cache sans redirection:
• Est un serveur qui doit rechercher la réponse aux
requêtes ailleurs.
• Quand il reçoit une requête d'un client, il
consultera l'un des serveurs racines.
• Le serveur racine fera référence à un serveur tld,
qui fera référence à un autre serveur DNS.
• Ce dernier serveur pourrait connaître la réponse
à la requête, ou peut se référer à un autre
serveur. En fin de compte, le serveur de mise en
cache trouvera une réponse à signaler au client.




Sur l’image ci-dessus le client veut connaitre
l’adresse IP du serveur hébergeant
« www.ofppt.ma ». Le serveur DNS dédié à la mise
en cache contactera un serveur racine qui va lui
indiquer un serveur ayant autorité sur «.ma». Le
serveur DNS contactera alors le serveur « ma» qui
indiquera un des serveurs DNS ayant autorité sur
«ofppt.ma». Il s’agit dans notre cas de
«ns1.ofppt.ma». Ce dernier va transmettre
l’adresse de « www.ofppt.ma ».

Serveur dédié à la mise en cache avec redirection:
Un serveur dédié à la mise en cache avec
redirection obtiendra toutes ses informations
d’un autre serveur DNS qui doit être le serveur
DNS du FAI (Fournisseur de services Internet ou
ISP: Internet Services Provider ).




L’image ci-dessus montre un serveur DNS sur le
réseau local de l’entreprise configuré avec comme
Redirecteur (forwarder) le serveur DNS du FAI. Si
l’adresse IP du serveur DNS du FAI est
212.217.0.12, il faut ajouter sur le fichier de
configuration named.conf du serveur DNS les lignes
suivantes:
forwarders {
212.217.0.12;
};


On peut un serveur DNS avec une redirection
conditionnelle pour des domaines particulières.
Un exemple de redirection conditionnelle est
donné ci-dessous:
Zone "google.com " {
type forward;
forward only;
forwarders {8.8.8.8; };
};


Requête récursive :
• Une requête récursive est une requête DNS
envoyée par un client DNS cherchant une
réponse complète.
• Une requête itérative est requête DNS
envoyée par un client DNS cherchant une
meilleur réponse (qui peut ne pas être
complète).
• Les serveurs racines ne répondent pas aux
requêtes récursives.


Requête récursive: Indication de racine (.)
Serveur Interroge .
DNS local
1
.ma
2
Client DNS
3
ofppt.ma


Requête itérative:
Indication de racine (.)
Serveur
DNS local Requête itérative
Interroger .ma 1
.ma
3
ofppt.ma
Client DNS
ISTA NTIC BM 2016/2017 M.EL GHARADI 49 Page 49
Serveurs DNS autoritaires (authoritatives)

Un serveur DNS qui contrôle une zone est
dit serveur ayant ou faisant autorité sur la
zone. Une zone est un ensemble
d’enregistrements de ressources.

Serveurs DNS primaire et secondaire

Lorsqu’on configure le premier serveur
DNS autoritaire pour une zone, il s'agit du
serveur DNS primaire ou principal. Ce
serveur aura une copie lisible et accessible
en écriture de la base de données de zone.
Pour des raisons de tolérance de panne, de
performances ou d'équilibrage de charge, il
faut au moins configurer un autre serveur
DNS autoritaire sur cette zone. C'est ce
qu'on appelle un serveur DNS secondaire.

Serveurs DNS primaire et secondaire

Transfert de zone
Le serveur secondaire (esclave) reçoit une copie
de la base de données de zone d’un serveur
primaire ou secondaire (maître) à l'aide d'un
transfert de zone. Les transferts de zone sont
demandés par les serveurs esclaves à intervalles
réguliers. Ces intervalles sont définis dans
l'enregistrement SOA.

Transfert de zone
Le transfert de zone peut être aussi:

• notifié par le serveur primaire.
• Forcé manuellement à l’aide de rndc.
Par exemple, on peut taper sur le serveur
esclave:
rndc refresh ofppt.ma

Transfert de zone
Lorsqu'un transfert de zone se produit, il peut
s'agir d'un transfert de zone complète ou d'un
transfert de zone incrémentielle. La décision
dépend de la taille du transfert qui est
nécessaire pour mettre à jour complètement la
zone sur le serveur esclave. Un transfert de
zone incrémentiel est préférable lorsque la
taille totale des modifications est inférieure à
la taille de la base de données de zone. Les
transferts de zones entières utilisent le
protocole AXFR, le transfert de zone
incrémentielle utilise le protocole IXFR.

Transfert de zone
Serveurs maitres et esclaves:
Lorsqu’on ajoute un serveur DNS secondaire à une
zone, on peut configurer ce serveur en tant que serveur
esclave sur le serveur principal. Le serveur principal
devient alors le serveur maître du serveur esclave.
Souvent, le serveur DNS principal est le serveur maître
de tous les esclaves. Parfois, un serveur esclave est un
serveur
56 maître pour un serveur esclave de deuxième
ligne. Dans l'image ci-dessous ns1 est le serveur DNS

primaire et ns2, ns3 et ns4 sont secondaires. Le maître
pour les esclaves ns2 et ns3 est ns1, mais le maître pour
ns4 est ns2.
Transfert de zone
Serveurs maitres et esclaves:
57

Transfert de zone
Enregistrement SOA:
L'enregistrement SOA contient une valeur de
rafraîchissement. Si cette valeur est définie sur 30 minutes, le
serveur esclave demandera une copie du fichier de zone
toutes les 30 minutes. Il existe également une valeur de
nouveau essai. La valeur retry est utilisée lorsque le serveur
maître n'a pas répondu à la dernière demande de transfert de
zone. La58 valeur du délai d'expiration indique la durée pendant
laquelle le serveur esclave répondra aux requêtes, sans
recevoir une mise à jour de zone. Ci-dessous un exemple
d'utilisation de nslookup pour interroger l'enregistrement soa
d'une zone (ofppt.ma).

Transfert de zone
Enregistrement SOA:
59

Transfert de zone
Transfert de zone périodique:
Requête SOA pour une zone

1
2 Réponse à la requête SOA
Requête IXFR ou AXFR pour une zone

3
4 Réponse à la requête IXFR ou AXFR

60 (transfert de zone)
Serveur secondaire Serveur primaire ou secondaire
(esclave) (maitre)

Transfert de zone
Transfert de zone périodique:
• Lorsque l'intervalle d'actualisation expire le Serveur Secondaire
demande alors son SOA au serveur maître.
• Le serveur maître de la zone répond en renvoyant l’enregistrement
de ressource SOA.
• Le serveur secondaire compare le numéro de série renvoyé à son
propre numéro de série. Si le numéro de série envoyé par le
serveur maître est supérieur au numéro de série stocké sur le
serveur secondaire, cela signifie que la base de données du serveur
secondaire
61 n’est pas à jour.
• Le serveur maître envoie alors une requête AXFR ou IXFR
• Dans le cas d’un transfert de zone complet, le serveur maître
envoie la base de données de la zone au serveur secondaire ; dans
le cas d’un transfert de zone incrémentiel, le serveur maître envoie
uniquement les données de la zone qui ont changé.

Notification DNS (DNS Notify):
Mise à jour de
1 l'enregistrement
Mise à jour de ressource
2 du numéro
de série SOA
62
DNS Notify
3
4 Transfert de zone
62
Serveur Maître
Serveur Secondaire
Transfert de zone
Notification DNS (DNS Notify):
DNS Notify est une mise à jour

de la spécification d'origine du
protocole DNS qui permet
d'informer
63
les serveurs
secondaires des modifications de
zones.
Mise en cache DNS
DNS est un protocole de mise en cache. Lorsqu'un client

interroge son serveur DNS local et que le serveur DNS local ne
fait pas autorité pour la requête. Ce serveur recherche un
serveur de noms autorisé dans l'arborescence DNS. Le serveur
de noms local interrogera d'abord un serveur racine, puis un
serveur tld puis un serveur de domaine. Lorsque le serveur de
noms local résout la requête, il transmettra ces informations au
client qui a soumis la requête et il gardera également une copie
de ces64requêtes dans son cache. Donc, quand un autre client
soumet la même requête à ce serveur de noms, il va récupérer
cette information de son cache.

Configuration de Bind
Bind (Berkeley Internet Name Daemon) est le
serveur de noms le plus utilisé sur Internet. Bind 9
supporte l’IPv6, les noms de domaine unicode, le
multithread et de nombreuses améliorations de
sécurité.
La configuration globale de Bind est placée dans le
fichier /etc/named.conf.
La configuration
65 détaillée des zones est placée dans
/var/named (sous Centos).

Bind chrooté: (Attention)
il arrive parfois que la configuration de Bind soit
«chrootée» (déplacée dans une arborescence
spécifique d’où le service ne peut sortir, le reste de
l’arborescence lui étant inaccessible). Sur Centos et
RHEL 4.x et supérieurs named.conf est dans
/var/named/chroot/etc/.On peut modifier ce mode
en modifiant
66 sur le fichier de configuration
/etc/sysconfig/named.
CHROOT=/var/named/chroot

Structure du fichier named.conf:
Le fichier de configuration named.conf se compose de deux sections: section
globale et section de zones. Un exemple de base est donné ci-dessous:
options {
directory "/var/named";
forwarders { 212.217.0.1; };
notify no;
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
67
file "127.0.0.zone";
};
zone "." in {
type hint;
file "named.ca";
};

La configuration globale est placée dans la section options. Voici un détail de
quelques options importantes (le point- virgule doit être précisé) :
Directive Signification
directory "filename" emplacement des fichiers contenant les données des zones.
forwarders { adresse-ip } si le serveur DNS ne peut résoudre lui-même la requête, elle est
renvoyée à un serveur DNS extérieur, par exemple celui du
fournisseur d’accès.
listen-on-port 53 port d’écoute du DNS suivi des adresses d’écoute. On indique ici les
{127.0.0.1; adresse-ip; } adresses IP des interfaces réseau de la machine. Il ne faut pas oublier
127.0.0.1
68
allow-query { 127.0.0.1; machine(s) ou réseau(x) autorisés à utiliser le service DNS. Par
réseau } exemple 192.168.1.0/24. Si la directive est absente, tout est autorisé
allow-transfer { machine(s) ou réseau(x) autorisés à copier la base de données dans
192.168.1.2; } le cas d’une relation maître et esclave. Par défaut aucune copie n’est
autorisée.
notify no on notifie ou non les autres serveurs DNS d’un changement dans les
zones ou d’un redémarrage du serveur
Pour chaque domaine ou sous-domaine DNS, on définit souvent deux
sections zone. La première contient les informations de résolution de nom
(nom vers IP) et la seconde les informations de résolution inverse (IP vers
Nom). Dans chacun des cas, la zone peut être maître Master ou esclave
Slave :
• Master : le serveur contient la totalité des enregistrements de la zone
dans ses fichiers de zone. Lorsqu’il reçoit une requête, il cherche dans ses
fichiers (ou dans son cache) la résolution de celle-ci.
• Slave : le serveur ne contient par défaut aucun enregistrement. Il se
synchronise avec un serveur maître duquel il récupère toutes les
69
informations de zone. Ces informations peuvent être placées dans un
fichier. Dans ce cas l’esclave stocke une copie locale de la base. Lors de la
synchronisation, le numéro de série de cette copie est comparé à celui du
maître. Si les numéros sont différents, une nouvelle copie a lieu, sinon la
précédente continue à être utilisée.

Zone recherche directe (déclaration) :
Pour chaque domaine ou sous-domaine, on indique dans quel fichier sont
placées les informations de la zone), son type (maître ou esclave), si on
autorise ou non la notification, l’adresse IP du serveur DNS maître dans le
cas d’un esclave. Un exemple de déclaration est donné ci-après:
zone "andr.intra" {
type master;
file "andr.intra.direct";
};
type master ou slave
70
file nom du fichier qui contient les informations de la zone.
Il n’y a pas de règles précises de nommage mais pour
des raisons de lisibilité il est conseillé de lui donner le
même nom que la zone tant pour une zone master que
pour une slave.

Zone recherche directe (déclaration) :
• Dans le cas d’une zone Maître, on peut rajouter
allow-transfer (serveurs autorisés à dupliquer la
zone) et notify yes (indique une mise à jour ou
une relance pour les esclaves).
• En cas de Slave : on rajoute la directive masters
pour indiquer à partir de quel serveur Master la
zone71
sera dupliquée.

Zone recherche inversée (déclaration) :
Pour chaque réseau ou sous-réseau IP (ou plage
d’adresses) on définit une zone de résolution inverse
dont le fichier contient une association IP vers nom de
machine. La déclaration est presque la même que pour
la zone de recherche directe sauf que l’on doit respecter
une convention de nommage :
• Le nom de la zone se termine toujours par une
domaine spécial .in-addr.arpa.
• On doit tout d’abord déterminer quel réseau la zone
doit72couvrir. Par exemple: 192.168.1.0/24
• On inverse l’ordre des octets réseau dans l’adresse.
Par exemple 1.168.192.
• On ajoute in-addr.arpa. Le nom de zone sera donc
1.168.192.in-addr.arpa.

Exemple de déclaration de zones:
Soit un domaine ntic.ma sur un réseau de classe C 192.168.1.0. Soit deux serveurs
DNS 192.168.1.1 Master et 192.168.1.2 Slave.
Sur le maître Sur l’esclave
zone « ntic.ma" { zone « ntic.ma" {
type master; type slave;
file « ntic.ma.zone"; file « ntic.ma.zone";
allow-transfer { 192.168.1.2; } ; masters { 192.168.1.1; } ;
notify yes; };
}; zone "1.168.192.in-addr.arpa" {
zone "1.168.192.in-addr.arpa"
73 { type master;
type master; file "192.168.1.zone";
file "192.168.1.zone"; masters { 192.168.1.1; } ;
allow-transfer { 192.168.1.2; } ; };
notify yes;
};

Fichiers de zones:
Les fichiers de zones contiennent des enregistrements de ressources tel qu’il a été
expliqué plus haut. Quelques détails supplémentaires sont donnés ci-dessous:
• @ : est un caractère de remplacement pour le nom de la zone déclarée dans
/etc/named.conf. Ainsi si la zone s’appelle ntic.ma, @ vaut ntic.ma. Dans la
déclaration de l’administrateur de la SOA, il remplace ponctuellement le point
dans l’adresse de courrier électronique.
• MX : Mail eXchanger. Désigne un serveur de courrier électronique, avec un
indicateur de priorité. Plus la valeur est faible, plus la priorité est élevée.
• Le point « . »: Si l’on omet le point en fin de déclaration d’hôte, le nom de la
zone est concaténé à la fin du nom. Par exemple pour la zone ntic.ma, si on écrit
poste1, cela équivaut à poste1.ntic.ma. Si on écrit poste1.ntic.ma (sans le point
74
à la fin) alors on obtient comme résultat poste1.ntic.ma.ntic.ma
• IL NE FAUT JAMAIS COMMENCER UNE LIGNE PAR DES ESPACES OU
TABULATIONS car les espaces ou tabulations seraient interprétés comme faisant
partie du nom indiqué, de l’adresse ou de l’option.

Fichiers de zones:
En plus des enregistrements de ressources, un fichier de
zone peut contenir des directives précédées par le caractère
‘$’. Les directives les plus courantes sont:
• $INCLUDE : inclure un autre fichier de zone.
• $ORIGIN : Attache le nom de domaine à tout
enregistrement non qualifié (ne se termine pas par
‘.’)
• $TTL 75 : durée de validité des enregistrements (en
seconde)

Étapes de création de Fichier de zone:
On commence par une directive TTL qui indique le temps de
vie de la zone en secondes. Par exemple:
$TTL 86400
Cela signifie que chaque enregistrement de la zone sera
valable durant le temps indiqué par TTL. Il est possible de
modifier cette valeur pour chaque enregistrement. Durant
ce temps, les données peuvent être placées en cache par
les autres serveurs de noms distants.
76

Après les directives TTL, on place un enregistrement de
ressources SOA :
<domain> IN SOA <primary-name-server> <hostmaster-email> (
<serial-number>
<time-to-refresh>
<time-to-retry>
<time-to-expire>
<minimum-TTL> )
77
L’explication de l’ensemble des éléments de l’enregistrement SOA est
détaillée dans le tableau ci-après:

domain C’est le nom de la zone, le même nom que celui utilisé
dans /etc/named.conf. On peut le remplacer par @
sinon il ne faut pas oublier de le terminer par un point
(pour éviter une concaténation).
primary-name-server Le nom sur le serveur DNS maître sur cette zone. Il ne
faudra pas oublier de le déclarer dans la liste des hôtes
(enregistrements PTR ou A).
hostmaster-email Adresse de courrier électronique de l’administrateur du
serveur de nom. Le caractère @ étant déjà réservé à un
78 autre usage, on utilise un point pour le remplacer. Ainsi
« admin@ntic.ma» devra s’écrire « admin.ntic.ma» .

serial-number C’est un numéro de série que l’on doit incrémenter
manuellement à chaque modification du fichier zone
pour que le serveur de nom sache qu’il doit recharger
cette zone. Elle est utilisée pour la synchronisation avec
les serveurs esclaves. Si le numéro de série est le même
qu’à la dernière synchronisation les données ne sont
pas rafraîchies. Par convention on place YYYYMMDDNN
(année-mois- jour-numéro) sur dix chiffres.
time-to-refresh Indique à tout serveur esclave combien de temps il doit
79 attendre avant de demander au serveur de noms maître
si des changements ont été effectués dans la zone.
time-to-retry Indique au serveur esclave combien de temps attendre
avant d’émettre à nouveau une demande de
rafraîchissement si le serveur maître n’a pas répondu.
La demande aura lieu toutes les time-to-retry secondes.

time-to-expire Si malgré les tentatives de contacts toutes les time-to-
retry secondes le serveur n’a pas répondu au bout de la
durée indiquée dans time-to-expire, le serveur esclave
cesse de répondre aux requêtes pour cette zone.
Minimum-TTL Le serveur de nom demande aux autres serveurs de
noms de mettre en cache les informations pour cette
zone pendant au moins la durée indiquée.
80

Un exemple d’enregistrement SOA:
@ IN SOA dns1.ntic.ma. hostmaster.ntic.ma. (
2005122701 ; serial
21600 ; refresh de 6 heures
3600 ; tenter toutes les 1 heures
604800 ; tentatives expirent après une semaine
86400 ) ; TTL mini d’un jour
81

On passe ensuite les enregistrements NS (Name Server) pour
spécifiez les serveurs de noms de la zone.
IN NS dns1
IN NS dns2
Quand on ne spécifie pas en début de ligne un nom d’hôte ou
de zone (complet ou @), cela veut dire qu’on utilise le même
que la ligne du dessus. Tant qu’on n’en précise pas de nouveau,
c’est le dernier indiqué qui est utilisé. Ainsi ci-dessus les lignes
pourraient être :
@ IN NS dns1
@ 82
IN NS dns2
Ou
ntic.ma. IN NS dns1
ntic.ma. IN NS dns2
Notez l’absence de point après le nom de l’hôte et donc ntic.ma
est concaténé pour obtenir dns1.ntic.ma.
On Passe ensuite à l’énumération des serveurs de courrier
électronique de la zone. La valeur numérique située après
MX indique la priorité. Plus la valeur est basse plus le
serveur est prioritaire et susceptible d’être contacté en
premier.
IN MX 10 mail
IN MX 15 mail2
83

On peut parfois rencontrer des enregistrements tel que:
IN A 192.168.1.10
Ceci permet à une machine de réponde en passant par le
FQDN du domaine sans préciser d’hôte (par exemple
http://ntic.ma ou ping ntic.ma)
84

Puis on déclare les autres hôtes dont les serveurs de noms,
de mails, ftp, web et les postes de travail,… etc. par
exemple:
dns1 IN A 192.168.1.1
dns2 IN A 192.168.1.2
server1 IN A 192.168.1.3
Server2 IN A 192.168.1.4
poste1 IN A 192.168.1.10
Poste2 IN A 192.168.1.20
poste3 85 IN A 192.168.1.30

Puis on déclare les alias (CNAME). Les alias sont
généralement réservés aux serveurs web, ftp…
mail IN CNAME server1
mail2 IN CNAME server2
www IN CNAME server1
ftp IN CNAME server2
86

Création du Fichier de zone de résolution inverse:
La zone de révolution inverse est presque identique à la zone
directe, si ce n’est que les enregistrements A sont remplacés par
des enregistrements PTR destinés à traduire une IP en hôte. Le
TTL et la déclaration SOA doivent être si possible identiques
(sauf le nom de la zone). On doit aussi placer des
enregistrements NS. Tel que:
IN NS dns1.ntic.ma.
IN NS dns2. ntic.ma.
Puis placer les enregistrements PTR traduisant l’adresse IP pour
chaque hôte. Par exemple:
1 IN
87 PTR dns1.ntic.ma.
2 IN PTR dns2.ntic.ma.
3 IN PTR server1.ntic.ma.
4 IN PTR server2.ntic.ma.
10 IN PTR poste1.ntic.ma.

Diagnostic des problèmes de configuration:
La commande named-checkconf vérifie la syntaxe du fichier
named.conf.
named-chekconfig /etc/named.conf
La sortie indiquera les lignes posant problème.
La commande named-checkzone vérifie la syntaxe d’un
fichier de zone (y compris de résolution inverse). Par
exemple:
named-chekzone
88
andr.intra /var/named.andr.intra.direct
named-chekzone 255.31.172.in-addr.arpa /var/named.andr.intra.inverse

Diagnostic des problèmes de configuration: (dig)
L’utilitaire dig est un outil d’interrogation avancé de serveur
de noms, capable de restituer toutes les informations des
zones.
L’utilisation de la commande dig est généralement la
suivante :
dig @serveur nom type
@serveur : le serveur DNS utilisé pour la requête. nom : le
nom 89du serveur DNS à interroger. type : le type
d’enregistrement à vérifier. Mais la forme la plus simple est
l’appel de la commande suivi du nom d’hôte à vérifier. Tel
que:
dig andr.intra
dig linux1.andr.intra

La sortie de la dernière commande dig doit ressembler à
ceci:
90

La sortie de dig retourne beaucoup d’informations:
• La première partie renseigne sur la version de dig utilisée, suivi des
options globales. Peut ne pas être affichée, si on ajoute l’option
+nocmd.
• La partie –Got answer– apporte des informations sur le serveur.
Cette partie ne sera pas affichée si on ajoute l’option +nocomments.
• La partie –QUESTION SECTION– affiche la requête transmise au
serveur DNS. Peut ne pas être affiché si on ajoute l’option
+noquestion.
• la réponse est affichée dans la section –ANSWER SECTION– qui peut
ne pas être affiché par l’option +noanswer.
• La section –AUTHORITY SECTION– renseigne sur les serveurs DNS
autoritaires
91
du domaine. Pour ne pas afficher cette section, on utilise
l’option +noauthority.
• On peut retrouver la section –ADDITIONAL SECTION– qui donne les
IP des serveurs DNS autoritaires utilisés pour la requête. Peut être
désactivée par l’option +noadditional.
• La sortie se termine par des statistiques sur la requête, que l’on
désactive par l’option +nostats.

Quelques exemples de dig:
Exemple Signification
dig linux1.andr.intra Affiche l’adresse associé au hôte.
dig andr.intra soa Affiche l’enregistrement SOA de la zone .
On peut remplacer soa par : a, ns, any,
mx, hinfo, txt, ptr ou axfr
dig 33.255.31.172.in-addr.arpa ptr Pour tester la résolution inverse de
l’adress 172.31.255.33
92
dig -x 172.31.255.33 Même chose que l’exemple précédent
dig andr.intra any Affiche toutes les informations
concernant le domaine andr.intra
dig andr.intra axfr Liste tous les hôtes de la zone
dig +trace google.com Trace tous les serveurs contactés pour
résoudre google.com

Diagnostic des problèmes de configuration: (host)
L’outil host peut fournir le même résultat que dig mais de
manière peut-être un peu plus simple. Voici quelques
exemples:
host andr.intra
host -t any andr.intra
host -a andr.intra
host -t ns andr.intra
host linux1.andr.intra
host 172.31.255.33
93

Diagnostic des problèmes de configuration: (nslookup)
Nslookup est un outil pour interroger le DNS (Domain
Name System) pour obtenir un mappage de nom de
domaine ou d'adresse IP ou tout autre enregistrement DNS
spécifique. Il est également utilisé pour résoudre les
problèmes liés au DNS.
Nslookup peut fonctionner en "Interactive mode" ou "Non-
Interactive mode". Le mode interactif permet à l'utilisateur
d'interroger le serveur DNS sur divers hôtes et domaines. Le
mode94non interactif permet à l'utilisateur de consulter les
informations d'un hôte ou d'un domaine.

Diagnostic des problèmes de configuration: (nslookup)
Quelques exemples du mode non interactif:
Exemple Signification
nslookup andr.intra Retroune l’enregistrement A du
domaine andr.intra
nslookup 172.31.255.34 Résoudre en inverse l’adresse passé en
paramètre.
nslookup -type=ns andr.intra Retourne les enregistrement de type NS
du domaine indiqué. On peut avoir soa,
95 mx, a, cname ou any
nslookup -timeout=10 andr.intra Pour modifier le délai d'attente par
défaut d’attente d’une réponse.
nslookup -debug andr.intra Le mode de débogage affichera les
informations sur les paquets pendant la
recherche.

DNS Avancé
Round Robbin:
Lorsqu’on crée plusieurs enregistrements A pour le même
nom, bind effectue un round robin de l'ordre dans lequel
les enregistrements sont retournés. Cela permet l'utilisation
de DNS comme un équilibreur de charge entre les hôtes,
puisque les clients prendront habituellement la première
adresse IP offerte.
On peut tester cet fonctionnalité en créant un site Web sur
deux serveurs Web (avec une petite différence afin qu’on
puisse96distinguer entre les deux sites Web).

DNS Avancé
Délégation de zones:
Un serveur DNS peut déléguer l’autorité d’un domaine
enfant à un autre serveur DNS. Le domaine enfant devient
alors une nouvelle zone, avec autorité du nouveau serveur
DNS.
Si la délégation est correctement configurée, les clients qui
interrogent la zone parent pourront également résoudre
les zones enfant déléguées.
Le schéma
97
ci-dessous explique le principe de la délégation
de zones.

DNS Avancé
98

DNS Avancé
Pour configurer la délégation de zones, il faut configurer le
serveur délégué en déclarant et créant la zone enfant puis
ajouter les lignes suivantes sur la zone parente:
$ORIGIN formation.tri.edu
@ IN NS dns2.formation.tri.edu.
Dns2 IN A 172.31.255.35 ; the glue record
Ici on suppose que le domaine parent est “tri.edu” et le

domaine
99 enfant est “formation.tri.edu”. 172.31.255.35 est
l’adresse IP du serveur délégué.
Pour tester la délégation, on peut taper par exemple sur le
serveur parent:
dig dns2.formation.tri.edu +short

DNS Avancé
Zone stub:
A la manière d’une zone DNS secondaire, la zone de stub
est une copie en lecture seule d’une zone DNS. Toutefois,
elle ne dispose que des enregistrements nécessaires pour
identifier les serveurs DNS autoritaires pour la zone
concernée (SOA, Glue A et NS). De ce fait, la réplication des
mises à jour ne concerne qu’un nombre limité
d’enregistrements.
Le fonctionnement de la zone stub est similaire à la
redirection conditionnelle sauf que le serveur redirecteur
est choisi par la liste des serveurs NS de la zone stub. Cette
liste est actualisé par réplication.

Langue

M18 DNS Tri 2019 Ofppt

Transféré par

Informations du document

Description :

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

M18 DNS Tri 2019 Ofppt

Titre original :

Transféré par

Description :

Droits d'auteur :

Formats disponibles

DNS : Domain Name System

DNS : Domain Name System

Objectif: Implémenter un service de résolution de nom DNS.

ISTA NTIC BM 2016/2017 M.EL GHARADI 1

• DNS est un service fondamental pour les

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 2

À chaque fois qu’on visite un site Web, qu’on

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 3

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 4

Résolution des noms en adresse IP:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 5

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 6

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 7

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 8

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 9

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 10

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 11

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 12

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 13

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 14

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 15

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 16

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 17

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 18

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 19

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 20

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 21

Espace de noms (spacename) DNS

Et plus récemment aussi:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 22

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 23

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 24

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 25

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 26

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 27

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 28

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 29

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 30

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 31

Espace de noms (spacename) DNS

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 33

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 34

Espace de noms (spacename) DNS

Espace de noms (spacename) DNS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 36

Espace de noms (spacename) DNS