DNS Module 1: Les Fondamentaux

1. DNS Module 1: Les Fondamentaux Bas� sur un document de Brian Candler Traduit par Alain Patrick AINA Atelier CCTLD ISOC

2. Les ordinateurs utilisent les adresses IP. Pourquoi a-t-on besoin de noms? Faciles � m�moriser par les humains Les ordinateurs peuvent changer de r�seau, et donc d�adresses IP

3. Ancienne solution: hosts.txt Un fichier centralis� distribu� � toutes les machines sur l�Internet Cette fonctionalit� existe toujours /etc/hosts [Unix] c:\windows\system32\drivers\etc\hosts [Windows]

4. hosts.txt est inadapt� � grande �chelle Fichier volumineux N�cessite d��tre copi� fr�quemment sur toutes les machines Pas uniforme Toujours d�pass� Pas d�unicit� des noms Un seul point d� administration

5. Le syst�me de nom de domaine �tait n� DNS est une base de donn�e distribu�e pour faire correspondre des noms aux adresses IP(et autres informations) Distribu�e: Administration partag�e Charge partag�e Robustesse et performance � travers: La duplication Le cache Une pi�ce critique de l�infrastructure Internet

6. DNS est Hi�rarchis� Forme la structure d�un arbre

7. DNS est Hi�rarchis� (2) Donne des noms globalement uniques Administr� en "zones" (parties de l�arbre) Vous pouvez donner ("d�l�guer") le contr�le d�une partie de l�arbre sous votre autorit� Exemple: isoc.org est sur un ensemble de serveurs dnsws.isoc.org sur un ensemble diff�rent foobar.dnsws.isoc.org sur un autre ensemble

8. Les noms de domaines sont (presque) illimit�s Une longueur totale de 255 caract�res maximum 63 caract�res maximum dans chaque partie RFC 1034, RFC 1035 Si un nom de domaine est utilis� comme nom de machine, vous devez respecter certaines restrictions RFC 952 (vieux!) a-z 0-9 et tiret ( - ) seulement Pas d�underscores ( _ )

9. Utilisation du DNS Un nom de domaine (comme www.tiscali.co.uk) est une cl� de recherche d�informations Le resultat est un ou plusieurs enregistrements de ressources (ER) Il y a diff�rents ER pour diff�rents types d�informations Vous pouvez rechercher un type sp�cifique, ou rechercher �tous� les ER associ�s � un nom de domaine

10. ER courants A (adresse IP): associe les noms aux adresses IP PTR (pointer): associe les adresses IP aux noms MX (mail exchanger): o� d�livrer les courriers pour utilisateur@domaine CNAME (canonical name):associe des alias au nom r�el TXT (text):n�importe quel texte descriptif NS (Name Server), SOA (Start Of Authority): Utilis�s pour les d�l�gations et le fonctionnement du DNS

11. Exemple simple Requ�te: www.tiscali.co.uk Type de requ�te : A Resultat:

12. R�sultats possibles Positif 1 ou plusieurs EE trouv�s N�gatif D�finitivement aucun ER ne correspond � la requ�te D�finitivement le nom recherch� n�existe pas Echec de serveur Ne peut contacter �quelqu�un� qui connait la r�ponse

13. Comment utiliser une adresse IP comme cl� pour une requ�te DNS? Convertir l�adresse IP au format d�cimal(A.B.C.D) Inverser les quatre parties Ajouter ".in-addr.arpa" � la fin ( domaine sp�cial r�serv� � cette fin) e.g. Pour trouver le nom de 212.74.101.10

14. Questions? ?

15. Le DNS est une application Client-Serveur (Naturellement � Il tourne sur un r�seau) Requ�tes et r�ponses sont normalement envoy�es dans des paquets UDP, port 53 Utilise occasionnellement TCP, port 53 Pour les transferts de zones du ma�tre aux esclaves et pour les grandes requ�tes, e.g. > 512 octets

16. Il y a trois r�les dans le DNS

17. Trois r�les dans le DNS RESOLVER Prend la requ�te de l�application, le formate dans un paquet UDP, et l� envoie au serveur cache Serveur CACHE Renvoie la r�ponse si d�ja connue Dans le cas contraire, recherche le serveur autoritaire qui a l�information Met le resultat en cache pour les requ�tes futures Egalement connu comme serveur r�cursif SERVEUR AUTORITAIRE Contient les informations actuelles plac�es dans le DNS par le propri�taire du domaine

18. Trois r�les dans le DNS (2) Le m�me protocole est utilis� pour les communications resolver?cache and cache?NS autoritaire Il est possible de configurer un serveur de nom comme cache et autoritaire en m�me temps Mais il joue un seul r�le pour chaque requ�te entrante Classique, mais �NON RECOMMANDE� (voir plus loin)

19. ROLE 1: LE RESOLVER Un morceau de logiciel qui formate une requ�te DNS dans un paquet UDP, l�envoie au serveur cache et d�code le resultat G�n�ralement une librairie partag�e (e.g. libresolv.so sous Unix) parce que beaucoup d�applications en ont besoin Chaque machine a besoin d�un resolver - e.g. Chaque poste de travail windows a en un

20. Comment le resolver trouve-t-il le serveur cache? Doit �tre configur� explicitement (statique, ou via DHCP etc) Doit �tre configur� avec l�adresse IP du cache (pourquoi pas le nom? ) C�est une bonne id�e de configurer plus d�un cache, dans le cas o� le premier n�est pas disponible

21. Comment choisir quel cache utilis�? Vous devez avoir la permission de l�utiliser e.g. Cache de votre FAI, ou le v�tre Pr�f�rer un cache proche Minimise les temps d�aller-retour et les pertes de paquets Peut r�duire le trafic sur votre lien externe, puisque le cache peut souvent r�pondre sans contacter d�autres serveurs Pr�f�rer un cache fiable Pouvez -vous avoir un mieux que celui de votre FAI ?

22. �Resolver� peut �tre configur� avec des domaines par d�faut Si"foo.bar" �choue, alors �ssayer la requ�te avec "foo.bar.mydomain.com" Peut faire �conomiser des saisies, mais ajoute de la confusion Peut g�n�rer du trafic extra non n�cessaire A �viter dans le meilleur des cas

23. Exemple: Configuration d�un resolver unix /etc/resolv.conf

24. Tests DNS Mettre simplement "www.yahoo.com" dans un navigateur Pourquoi ceci n�est pas un bon test?

25. Tests DNS avec "dig" "dig" est un programme qui fait simplement des requ�tes DNS et affiche les r�sultats Mieux que "nslookup" et "host" pour le d�bogage, parce qu�il montre les messges DNS au complet

26. Le point final Emp�che l�ajout des domaines par d�faut Prenez l�habitude de l�utiliser pendant les tests DNS Mais uniquement sur les noms de domaine, pas sur sur les adresses IP ou les adresses �lectroniques

28. Interpr�tation des resultats: en-t�te STATUS NOERROR: 0 ou plusieurs ER return�s NXDOMAIN: Domaine non-existent SERVFAIL: cache ne peut trouver la r�ponse FLAGS AA: Authoritative answer(r�ponse autoritaire) Vous pouvez ignorer les autres QR: Requ�te or R�ponse (1 = R�ponse) RD: Recursion Desired(r�cursion d�sir�e) RA: Recursion Available(r�cursion disponible) ANSWER: nombre de ER dans la r�ponse

29. Interpr�tation des resultats Answer section (ER recherch�s) Chaque enregistrement � un TTL ( Time To Live) Qui indique pendant combien de temps le cache peut le gard� Authority section Les NS autoritaires pour ce domaine Additional section Plus de ERs (g�n�ralement des adresses IP des NS autoriatires) Total query time V�rifier quel serveur a donn� le resultat! En cas d�erreur de frappe, la requ�te peut aller au serveur par d�faut

30. Travaux pratiques dig T�l�chargement et installation de BIND Configuration de rndc

31. DNS Session 2: Cache DNS Fonctionnement et d�bogage du DNS Bas� sur un document de Brian Candler Traduit par Alain Patrick AINA Atelier CCTLD ISOC Having seen how to drive the resolver-to-cache interface, the goal of this session is to show how the cache locates and interacts with authoritative servers, and how to simulate this interaction in order to debug DNS problems.Having seen how to drive the resolver-to-cache interface, the goal of this session is to show how the cache locates and interacts with authoritative servers, and how to simulate this interaction in order to debug DNS problems.

32. Comme fonctionne un cache DNS(1) Si nous avons g�r� cette requ�te r�cemment, la r�ponse est d�j� dans le cache - facile!

33. Que se passe-t-il si la r�ponse n�est pas le cache? Le DNS est une base de donn�e distribu�e : Des parties de l�arborescence (appel�e "zones") sont tenues par des serveurs diff�rents Ils sont appel�s "autoritaires" pour leur part de l�arbre C�est le travail du serveur cache de trouver le bon serveur autoritaire et obtenir le resultat Il peut avoir besoin de demander � d�autres serveurs de trouver d�abord celui dont il a besoin

34. Comme fonctionne un cache DNS (2)

35. Comment trouve-t-il le NS autoritaire � qui demander ? Il suit la structure hi�rarchique de l�arbre e.g. Pour trouver "www.tiscali.co.uk"

36. Les serveurs interm�diaires renvoient les enregistrements de ressources "NS" "Je n�ai pas la r�ponse, mais essaye ces autres NS ." Appel� une r�f�rence Vous fait descendre l�arbre d�un ou plusieurs niveaux

37. Ce processus pourra �ventuellement soit: Trouver un serveur autoritaire qui connait la r�ponse (positive ou n�gative) Ne pas trouver un serveur fonctionnel: SERVFAIL Se terminer sur un serveur fautif � pas de r�ponse et pas de r�f�rence, ou fausse r�ponse! NB: Il peut arriver qu�un serveur cache soit �galement autoritaire pour une requ�te particuli�re. Dans ce cas, il r�pond imm�diatement sans chercher ailleurs. Nous verrons plus tard, pourquoi il faut avoir des machines s�par�es pour le cache et les serveurs autoritaires

38. Comment commence ce processus? Chaque serveur cache est dot� d�une liste de serveurs racines

39. D�o� vient le fichier named.root ? ftp://ftp.internic.net/domain/named.cache V�rifier pour des mises � jour environ chaque semestre

40. D�monstration dig +trace www.tiscali.co.uk. Au lieu d�envoyer la requ�te au cache, "dig +trace" traverse l�arborescence depuis la racine et affiche les resultats obtenus dig +trace est une fonctionnalit� de bind 9 Utile pour des d�mo, mais pas pour le d�bogage

41. Les syst�mes distribu�s ont plusieurs points de dysfonctionnement! Ainsi chaque zone a deux ou plusieurs serveurs autoritaires pour la redondance Ils sont tous �quivalents et peuvent �tre essay�s dans n�importe quel ordre Les essais s�arr�tent d�s que l�un donne une r�ponse Aide �galement � partager la charge Les serveurs racines sont tr�s occup�s Ils sont pr�sentement 13 (Avec de nombreuse copies ANYCAST un peu partout dans le monde.) http://www.root-servers.org

42. Le cache r�duit la charge sur les serveurs autoritaires Sp�cialement important aux niveaux sup�rieurs: serveurs racines, serveurs TLD (GTLDs, ccTLDs, etc......) Toutes les informations interm�diaires sont mises en cache comme la r�ponse finale -ainsi les enregistrements NS des r�f�rences sont aussi mis en cache

43. Exemple 1: www.tiscali.co.uk (sur un cache vide)

44. Exemple 2: smtp.tiscali.co.uk (apr�s l�exemple pr�c�dent

45. Les caches peuvent �tre un probl�me si les donn�es vieillissent Si les caches gardent les donn�es pendant un long moment, ils peuvent donner de fausses r�ponses si les donn�es autoritaires changent Si les caches gardent les donn�es pour un temps tr�s court, ceci augmentera le travail des serveurs autoritaires

46. Les administrateurs de zone contr�lent comment les donn�es sont mises en cache Chaque enregistrement de ressources(ER) a un TTL (Time To Live) qui indique pendant combien de temps il peut �tre gard� en cache L�enregistrement SOA indique pendant combien de temps une r�ponse n�gative peut �tre gard�e en cache (i.e. La non-existence d�un nom ou d�un ER) NB: les administrateurs de cache n�ont aucun contr�le -mais dans tous les cas, ils n�en n�auraient pas besoin

47. Un compromis D�finir un TTL relativement long - 1 ou 2 jours Quand vous vous pr�parez � faire des changements, reduire le TTL � 10 minutes Attendre 1 ou 2 jours AVANT de faire le changement Apr�s le changement, ramener le TTL � la valeur initiale

48. Questions? ?

49. Quel genre de probl�mes peuvent se produire pendant le r�solution de noms? Se rappeler que suivre les r�f�rences est en g�n�ral un processus � plusieurs �tapes Se rappeler du cache

50. (1) Un NS autoritaire est inop�rationnel ou inaccessible Pas un probl�me: timeout and essayer le NS suivant Se rappeler qu�il y a plusieurs NS autoritaires pour une zone, ainsi les r�f�rences renvoient plusieurs ER NS

51. (2) *Tous les* NS autoritaires sont inop�rationels ou inaccessibles! Ceci est mauvais; Les requ�tes ne peuvent aboutir S�assurer que les NS ne sont pas sur le m�me sous-r�seau (probl�me de switch/routeur) S�assurer que tous les NS ne sont pas le m�me b�timent ( probl�me d��lectricit�) S�assurer que tous les NS ne sont pas sur le m�me backbone Internet (probl�me de lien du fournisseur) Pour plus de d�tails, lire RFC 2182

52. (3) R�f�rence vers un serveur qui n�est pas autoritaire pour la zone Mauvaise erreur. Appel�e "Lame Delegation" (d�l�gation douteuse) Les requ�tes ne peuvent pas continuer � serveur ne pouvant donner ni la bonne r�ponse, ni la bonne d�l�gation Erreur classique: Enregistrement NS pour une zone pointant vers un serveur cache non configur� en tant que autoritaire pour la zone Ou: une erreur de syntaxe dans le fichier de zone ayant conduit le serveur a ignor� la zone

53. (4) Contradictions entre NS autoritaires Si les NS autoritaires n�ont pas les m�mes informations, ils donneront diff�rentes r�ponses en fonction de celui choisi (al�atoire) A cause du cache, ces probl�mes peuvent �tre difficiles � deboguer. Probl�mes intermittents.

54. (5) Contradictions dans les d�l�gations Les enregistrements NS dans la d�l�gation ne correspondent pas aux enregistrements NS dans le fichier de zone(nous �crirons les fichiers de zone plus loin) Probl�me: si les deux ne sont pas les m�mes, lequel est correct ? Conduit � des comportements impr�visibles Les caches pourraient utiliser un jeu ou l�autre, ou une union des deux

55. (6) Couplage cache et autoritaire Consid�rer les cas o� un cache contient un ancien fichier de zone, alors que le client a transf�r� son DNS ailleurs Les caches r�pondent imm�diatement avec les anciennes informations, bien que les NS pointent vers les serveurs autoritaires d� autre FAI qui tiennent les informations correctes! Ceci est une raison importante pour s�parer les caches des autoritaires Autre raison est que les serveurs uniquement autoritaires ont un besoin m�moire fixe

56. (7) Choix inappropri� des param�tres e.g. TTL d�fini trop court ou trop grand

57. Ces probl�mes ne sont pas la faute des serveurs cache! Ils viennent de la mauvaise configuration des serveurs autoritaires Beaucoup de ces erreurs sont faciles � faire, mais difficile � deboguer, sp�cialement � cause du cache Faire fonctionner un serveur cache est facile; faire bien fonctionner un serveur autoritaire demande une plus grande attention au d�tail

58. Comment d�boguer ces probl�mes? Nous devons outrepasser le cache Nous devons essayer *tous les* N serveurs pour une zone (un serveur cache s�arr�te apr�s un) Nous devons outrepasser la r�cursion pour tester toutes les r�f�rences interm�diaires "dig +norec" est votre ami

59. Comment interpr�ter les r�ponses (1) Rechercher le "status: NOERROR" "flags ... aa" indique une r�ponse autoritaire ( pas d�un cache) "ANSWER SECTION" donne la r�ponse Si vous n�avez que des NS: c�est une r�f�rence

60. Comment interpr�ter les r�ponses (2) "status: NXDOMAIN" OK, n�gatif (le domaine n�existe pas). Vous devez avoir en retour un SOA "status: NOERROR" avec z�ro ER OK, n�gatif (Le domaine existe, mais pas de ER du type recherch�). Vous devez avoir en retour un SOA d�autres status peuvent indiquer des erreurs Rechercher �galement le �status : Refused� ( Le serveur DNS rejette vos requ�tes) ou �Timeout� (pas de r�ponse)

61. Comment d�boguer un domaine avec "dig +norec" (1) Partir d�un serveur racine: [a-m].root-servers.net.

62. Comment d�boguer un domaine avec "dig +norec" (2) V�rifier que les r�sultats d�un groupe de serveurs autoritaires correspondent l�un � l�autre V�rifier que toutes les r�ponses finales ont le "flags: aa" Noter que les NS pointent vers des noms, et non des adresses IP. Ainsi il faut v�rifier que chaque enregistrement NS vu correspond � la bonne adresse IP en utilisant le m�me processus!!

63. Comment d�boguer un domaine avec "dig +norec" (3) Fastidieux, demande de la patience et de l�exactitude, mais paye Apprendre ceci avant de commencer � s�amuser avec les outils automatis�s Comme: http://www.squish.net/dnscheck/ http://dnsecheck.se/ Tous ont des limites, aucun n�est parfait

64. Travaux pratiques D�bogage avec dig D�bogage de domaine avec http://www.squish.net/dnscheck/ http://dnsecheck.se/

65. DNS module 3: Configuration de services de nom autoritaires Bas� sur un document de Brian Candler Traduit par Alain Patrick AINA Atelier CCTLD ISOC

66. R�cap Le DNS est une base de donn�e distribu�e Le�Resolver� demande des informations au cache Le cache traverse l�arborescence du DNS pour trouver quel serveur autoritaire a l�information recherch�e La mauvaise configuration des serveurs autoritaires peuvent conduire � des domaines d�fectueux

67. Duplication DNS Pour chaque domaine, nous avons besoin de plus d�un serveur autoritaire avec les m�mes informations (RFC 2182) Les donn�es sont enregistr�es sur un serveur (Ma�tre) et copi�es vers les autres(esclave(s)) Le monde ext�rieur ne peuvent pas dire la diff�rence entre ma�tre et esclave Les enregitrements NS sont retourn�s dans un ordre al�atoire pour une r�partition de charge �quitable Commun�ment appel�s "primaire" et "secondarire"

68. Les esclaves se connectent au ma�tre pour copier les donn�es de la zone Le ma�tre �n�envoie� pas les donn�es aux esclaves

69. Quand a lieu la duplication? Les esclavent scrutent le ma�tre p�riodiquement � appel� �intervalle de rafra�chement" - pour v�rifier s�il y a de nouvelles donn�es Seul m�canisme au d�part Avec les nouveaux logiciels, le ma�tre peut informer les esclaves si les donn�es ont chang� (notify) Des mises � jour plus rapides Cette notification n�est pas fiable (e.g. Le r�seau peut perdre un paquet).Ainsi nous avons toujours besoin de v�rifier � �l�intervalle de rafra�chement�

70. Num�ro de s�rie Chaque zone a un num�ro de s�rie Les esclaves copient les donn�es uniquement si le num�ro de s�rie a augment� Requ�te UDP p�riodique pour v�rifier le num�ro de s�rie s�il a augment�, un transfert TCP des donn�es de la zone C�est votre responsabilit� d�augmenter le num�ro de s�rie apr�s chaque changement, sinon esclaves et ma�tres seront incoh�rents

71. Format de num�ro de s�rie recommand�: YYYYMMDDNN YYYY = ann�e MM = mois (01-12) DD = jour(01-31) NN = Nombre de changements par jour (00-99) e.g. Si vous changez le fichier le 5 Mars 2004, le num�ro de s�rie sera 2004030500. Si vous le changez de nouveau le m�me jour, il sera be 2004030501.

72. Num�ro de s�rie: Danger 1 Si vous dimunuer le num�ro de s�rie, les esclaves ne se mettront plus � jour jusqu�� ce que le num�ro de s�rie d�passe sa valeur pr�c�dente RFC1912 section 3.1 explique une m�thode pour corriger ce probl�me Au pire des cas, vous pouvez contacter tous vos esclaves et leur faire supprimer leur copie de la zone

73. Num�ro de s�rie: Danger 2 Le num�ro de s�rie est un nombre unsigned sur 32bits Intervalle: 0 � 4,294,967,295 Toute valeur plus grande que ceci est silencieusement tronqu�e e.g. 20040305000 (noter le digit extra) = 4AA7EC968 (hex) = AA7EC968 (32 bits) = 2860435816 Si vous faites cette erreur et la corriger plus tard, le num�ro de s�rie aura dimuni�

74. Configuration du Ma�tre /usr/local/etc/named.conf pointe vers les fichiers de zone (cr��s manuellement) contenants vos ER Choisir une place logique pour les garder e.g. /var/cctld/master/cctld.sn or /var/cctld/master/sn.cctld

75. Configuration d�esclave named.conf pointe vers l�adresse IP du ma�tre et o� cr�er le fichier de zone Les fichiers de zone sont transf�r�s automatiquement Ne pas les toucher!

76. Ma�tre et esclave Un serveur peut bien �tre ma�tre pour certaines zones et esclave pour d�autres C�est pourquoi, nous recommandons de garder les fichiers dans des r�pertoires diff�rents /var/cctld/master/ /var/cctld/slave/ (�galement, le r�pertoire esclave doit avoir les droits appropri�s pour permettre au d�mon de cr�er des fichiers)

77. allow-transfer { ... } Les machines distantes peuvent demander un transfert de tout le contenu de la zone Par d�faut, ceci est autoris� � n�importe qui Mieux vaut le restreindre Vous pouvez d�finir une option par d�faut globale et le red�finir pour chaque zone si n�cessaire

78. Structure d�un fichier de zone Options globales $TTL 1d D�finit le TTL par d�faut pour tous lesER ER SOA "Start Of Authority" Information de maintenance de la zone ER NS Liste tous les serveurs autoritaires pour cette zone, ma�tre et esclaves Autres ER Les donn�es actuelles que vous voulez publier

79. Format d�un ER Un par ligne (sauf pour le SOA qui peut couvrir plusieurs lignes) Si vous omettez le nom de domaine, c�est le m�me qu�� la ligne pr�c�dente Raccourcis de TTL : e.g. 60s, 30m, 4h, 1w2d Si vous omettez le TTL, utiliser la valeur de $TTL Si vous omettez la classe, se r�f�rer � la classe du SOA Type et donn�e ne peuvent pas �tre omis Les commentaires commencent avec point-virgule (;)

80. Raccourcis Si un nom de domaine ne se termine pas par un point, le domaine de la zone("origine") est ajout� "@"signifie l� origine elle-m�me e.g. dans le fichier de zone pour example.com: @ signifie example.com. www signifie www.example.com.

81. Si vous �crivez ceci ...

82. Format de l�enregistrement SOA

83. Format de l�enregistrement SOA ns1.example.net. Nom du serveur ma�tre brian.nsrc.org. Adresse E-mail de la personne responsable, avec"@" chang� en point, et le point � la fin Num�ro de s�rie Intervalle de rafraichissement A quel rythme les esclaves doivent scruter le num�ro de s�rie sur le ma�tre Intervalle de nouvelle tentative A quel rythme les esclaves doivent essayer de contacter de nouveau le ma�tre si la tentative pr�c�dente a �chou�

84. Format de l�enregistrement SOA (suite) Temps d�expiration Si l�esclave n�arrive pas � contacter le ma�tre pour cette p�riode de temps, il supprime sa copie des donn�es de la zone N�gatif / Minimum Les vieux logiciels utilisent ceci comme valeur minimale de TTL Il est maintenant utilis� pour le cache n�gatif: pendant combien de temps un cahe peut garder la non non-existence d�un nom ou d�un ER RIPE-203 a des valeurs recommand�es http://www.ripe.net/ripe/docs/dns-soa.html

85. Format des enregitrements NS Liste tous les serveurs autoritaires pour une zone � ma�tre et esclave(s) Doit pointer vers des noms et non des adresses IP

86. Format des autres ER IN A 1.2.3.4 IN MX 10 mailhost.example.com. Le nombre est " valeur de pr�f�rence ". les messages seront d�abord d�livr�s au MX ayant la pr�f�rence la plus faible Doit pointer vers des noms et non des adresses IP IN CNAME host.example.com. IN PTR host.example.com. IN TXT "n�mporte quel texte de votre choix"

87. Quand vous changez des donn�es dans un fichier de zone: Se rappeler d�augmenter le num�ro de s�rie! named-checkzone example.com \ /var/cctld/master/example.com Fonctionalit� de bind 9 Rapporte les erreurs de syntaxe; corrigez les! named-checkconf Rapporte les erreurs dans named.conf rndc reload ou: rndc reload example.com tail /var/log/messages

88. Ces v�rifications sont essentielles Si vous avez une erreur dans named.conf ou dans un fichier de zone, named peut continuer � fonctionner sans prendre en compte les mauvaises zone(s) Vous serez douteux(lame) pour la zone sans s�en rendre compte Les esclaves ne pourront pas contacter le ma�tre Eventuellement (e.g. 4 semaines plus tard) les esclaves vont faire expirer la zone Votre domaine va s�arr�ter de fonctionner

89. Autres v�rifications que vous pouvez faire dig +norec @x.x.x.x example.com. soa V�rifier si la r�ponse est autoritaire R�p�ter pour le ma�tre et tous les esclaves V�rifier si les num�ros de s�rie sont les m�mes dig @x.x.x.x example.com. axfr " Transfert Autoritaire" Demande une copie de toute la zone par TCP, comme le font les esclaves Ceci ne marchera que si vous remplisssez les conditions list�es par la section allow-transfer {...}

90. Ainsi, vous avez des serveurs autoritaires op�rationnels! Mais aucun d�eux ne fonctionnera jusqu�� l�obtention de la d�l�gation du domaine parent Ceci est fait en pla�ant les enregistrements NS pour votre domaine pointant vers vos serveurs autoritaires Vous devez aussi mettre les enregistrements NS dans le fichier de zone Les deux ensembles doivent �tre les m�mes

91. Questions? ?

92. Les 10 plus importantes erreurs avec les serveurs autoritaires Tous les op�rateurs de serveurs autoritaires doivent lire le RFC 1912 Les erreurs courantes de configuration et de fonctionnement du DNS Et aussi le RFC 2182 S�lection et fonctionnement de serveurs DNS secondaires

93. 1. Les erreurs du num�ro de s�rie Oublier d�augmenter le num�ro de s�rie Incrementer le num�ro le num�ro de s�rie, puis le d�cr�menter Utiliser un num�ro de s�rie sup�rieur � 232 Impact: Les esclaves ne se mettent pas � jour Ma�tre et esclaves n�ont pas les m�mes donn�es Les caches auront tant�t la nouvelle donn�e, tant�t l�ancienne donn�e � probl�me intermittent

94. 2. Commentaires dans fichier de zone commencant par '#' au lieu de ';' Erreur de syntaxe dans le fichier de zone Ma�tre plus autoritaire pour la zone Les esclaves ne peuvent plus v�rifier le SOA Les esclaves vont eventuellemnt faire expirer la zone, et votre domaine s�arr�te de fonctionner entirement Utiliser "named-checkzone" Utiliser"tail /var/log/messages"

95. 3. D�autres erreurs de syntaxe dans le fichier de zone e.g. Omission de la valeur de pr�f�rence de l�enregistrement MX M�me impact

96. 4. Point final manquant

97. 5. NS ou MX pointant vers des adresses IP Ils doivent pointer vers des noms, non vers des adresses IP Malheureusement, quelques serveurs de messagerie acceptent les addresses IP dans les enregistrements MX . Ainsi vous pouvez ne pas avoir des probl�mes avec tous les sites distants

98. 6. Les esclaves ne peuvent pas transf�rer le zone du ma�tre Restriction des acc�s par allow-transfer {...} et les esclaves n�y sont pas lister Ou filtres mal configur�s Les esclaves seront non autoritaire (douteux: lame)

99. 7. D�l�gation douteuse Vous ne pouvez pas lister n�importe quel serveur dans les enregistrements NS de votre domaine Vous devez avoir un accord avec les administrateurs des serveurs, et ils doivent se configurer en tant que esclaves pour la zone Au Mieux: R�solutions DNS lentes et manque de redondance Au pire: �checs intermittents dans la r�solution de votre domaine

100. 8. Pas de d�l�gation du tout Vous pouvez configurer "example.com" sur vos serveurs, mais le monde ext�rieur ne leur enverra pas de requ�tes jusqu�� l�obtention de la d�l�gation Le probl�me est cach� si votre serveur jouele r�le de serveur cache et de serveur autoritaire Votre propres clients peuvent r�soudre ww.example.com, mais le reste du monde ne peut pas

101. 9. Enregistrement �glue� d�pass� Voir plus loin

102. 10. Mauvaise gestion du TTL pendant les changements e.g. Si vous avez un TTL de 24 heures, et vous faites pointer www.example.com vers un nouveau serveur, alors il y aura une p�riode de temps ou certains utilisateurs vont atteindre le nouveau et d�autres l�ancien Suivre la proc�dure: R�duire le TTL � 10 minutes Attendre au moins 24 heures Faire le changement Remettre le TTL � 24 heures

103. Travaux pratiques Cr�ation de nouveaux domaines Configuration de serveurs ma�tre et esclave Demande de d�l�gation du parent Tests

104. DNS module 4: D�l�gation Bas� sur un document de Brian Candler Traduit par Alain Patrick AINA Atelier CCTLD ISOC

105. Comment d�l�guer un sous-domaine? En principle simple: ins�rer simplement les enregistrements NS du sous-domaine pointants vers les serveurs d�autrui Si vous �tes pointilleux, vous devrez d�abord v�rifier que ces serveurs sont autoritaires pour le sous-domaine avec "dig +norec" sur tous les serveurs Si le sous-domaine est mal g�r�, il vous donne une mauvaise image! Et vous ne voulez pas �tre comptable pour des probl�mes qui sont ailleurs

106. Fichier de zone pour "example.com"

107. Il y a un probl�me ici: Les enregistrements NS pointent vers des noms, et non des adresses IP Que se passe-t-il si "example.com" est d�l�gu� � "ns.example.com"? Quelqu�un qui essaye de r�soudre www.example.com doit d�abord r�soudre ns.example.com Mais pour r�soudre ns.example.com , il faut d�abord r�soudre ns.example.com !!

108. Dans ce cas vous avez besoin de "glue" Un �enregistrement glue" est un enregistrement A pour le serveur de nom, tenu plus haut dans l�arborescence (hors de sa zone) Exemple: considerer les serveurs du .com, et une d�l�gation pour

109. Ne mettez pas de �glue� si vous n�en avez pas besoin Dans l�exemple pr�c�dent, "ns.othernet.net" n�est pas dans le sous-domaine "example.com". Par cons�quent pas besoin de �glue�. Les enregistrements �glue� d�pass�s sont une grande source de probl�mes e.g. Apr�s la renum�rotation d�un serveur R�sulte en des probl�mes intermittents, difficiles � d�boguer

110. Exemple o� un enregistrement �glue� est n�cessaire

111. Recherche d�enregistrement �glue� dig +norec ... et r�peter plusieurs fois Rechercher les enregistrements A dans la section additionnelle dont le TTL ne diminue pas

112. Travaux pratiques D�l�gation de sous-domaine

113. Lectures "DNS and BIND" (O'Reilly) BIND 9 Administrator Reference Manual /usr/share/doc/bind9/arm/Bv9ARM.html http://www.isc.org/sw/bind/ includes FAQ, security alerts RFC 1912, RFC 2182 http://www.rfc-editor.org/