Anda di halaman 1dari 100

DNS : Domain Name System

DNS : Domain Name System

Objectif: Implémenter un service de résolution de nom DNS.

ISTA NTIC BM 2016/2017 M.EL GHARADI 1


DNS : Domain Name System

INTRODUCTION

• DNS est un service fondamental pour les


réseaux Informatiques.
• Il permet de traduire les noms en adresses IP,
de traduire les adresses IP en noms et de
localiser les services réseaux tel que le service
d’annuaire (Active Directory).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 2


DNS : Domain Name System

INTRODUCTION

À chaque fois qu’on visite un site Web, qu’on


envois un email, qu’on s’authentifie auprès d’un
contrôleur de domaine, qu’on chatte ou qu’on
communique via la voix IP …., une ou plusieurs
requêtes sont envoyés vers des serveurs DNS.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 3


DNS : Domain Name System

Généralités DNS
Résolution des noms en adresse IP:
Le système de nom de domaine ou DNS est un service TCP/IP
permettant aux clients de traduire les noms en adresses IP. En
fait, DNS est beaucoup plus que cela, mais on va se baser,
dans un premier temps, sur la résolution directe pour
simplifier l’explication.
Lorsque on utilise un navigateur pour accéder à un site Web,
on tape le nom de ce site dans la barre d'URL. Mais pour que
l’ordinateur puisse communiquer avec le serveur
d'hébergement web dudit site web, l’ordinateur a besoin de
l'adresse IP de ce serveur Web. C’est à ce moment que le DNS
intervient.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 4


DNS : Domain Name System

Généralités DNS

Résolution des noms en adresse IP:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 5


DNS : Domain Name System

Généralités DNS

Historique:
• Dans les années 70, uniquement quelques centaines
d'ordinateurs ont été connectés à l‘Internet. Pour
résoudre les noms, les ordinateurs avaient un petit
fichier qui contenait une table pour résoudre les noms
d'hôte en adresses IP. Ce fichier local (hosts.txt) était
téléchargeable à partir d’un serveur ftp à Stanford.
• En 1984, Paul Mockapetris crée le DNS: une base de
données hiérarchique distribuée arborescent.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 6


DNS : Domain Name System

Généralités DNS
Historique:

Paul Mockapetris
Boston , le 18 Novembre 1948

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 7


DNS : Domain Name System

Généralités DNS
Historique:
• Aujourd'hui, le système DNS est une base de données
hiérarchique dans le monde entier distribué contrôlée par
l'ICANN (Internet Corporation for Assigned Names and
Numbers). Sa fonction principale est de résoudre les noms en
adresses IP et de localiser des serveurs Internet fournissant
des services smtp ou ldap.
• L’ancien fichier hosts.txt est toujours actif sur la plupart des
systèmes informatiques sous le nom /etc/hosts (ou
C:/Windows/System32/Drivers/etc/hosts). Il faut
impérativement s’intéresser à ce fichier, car il peut
influencer la résolution de noms.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 8


DNS : Domain Name System

Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
• La demande qu’un client DNS transmet à un serveur DNS
est dite: requête (query).
• Lorsqu'un client demande une adresse ip, on appelle cela
une requête de recherche directe (forward lookup
query).
• L'inverse, une requête pour le nom d'un hôte, est appelé
une requête de recherche inversée (reverse lookup
query).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 9


DNS : Domain Name System

Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
L’image ci-dessous représente une requête de recherche inverse:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 10


DNS : Domain Name System

Généralités DNS
Requête de recherche directe et requête de recherche
inversée:
Une capture d’écran d’une résolution inverse et une autre directe à l’aide de la
commande nslookup.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 11


DNS : Domain Name System

Généralités DNS
Mode client/serveur:
Le DNS fonctionne en mode client/serveur:
• La partie cliente est présente dans toutes les
machines. Elle appelée résolveur et permet
d’envoyer des requêtes au serveur DNS.
• La partie serveur est implémentée dans des machine
dédiées et permet de répondre aux requêtes des
clients.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 12


DNS : Domain Name System

Généralités DNS
Configuration client DNS:
Un ordinateur client a besoin de connaître l'adresse IP
du serveur DNS pour pouvoir envoyer des requêtes.
Cette adresse peut être fourni par un serveur DHCP ou
entré manuellement.
Une ou plusieurs adresses IP de serveurs DNS peuvent
être configurés pour un ordinateur client.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 13


DNS : Domain Name System

Généralités DNS
Configuration client DNS Windows:
Une liste de serveurs de noms DNS classée par ordre de priorité
peut être configurée.. Dans la plupart des cas, l’ordinateur client
contacte et utilise son serveur DNS préféré, qui est le premier
serveur DNS sur sa liste configurée localement. Les serveurs DNS
secondaires répertoriés sont contactés et utilisés lorsque le
serveur préféré est indisponible.
La capture d’écran ci-après représente une configuration
graphique TCP/IP d’une une interface incluant la configuration de
serveurs DNS.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 14


DNS : Domain Name System

Généralités DNS
Configuration client DNS Windows:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 15


DNS : Domain Name System

Généralités DNS
Configuration client DNS Windows:
On peut aussi utiliser l’utilitaire netsh pour configurer la
liste des serveurs DNS d’une machine Windows cliente DNS.
Les deux exemples suivants permettent de configurer
respectivement le service DNS préféré et le service DNS
auxiliaire pour une interface nommée « tdiconn ».
netsh interface ipv4 set dnsservers tdiconn static 172.16.3.1
netsh interface ipv4 add dnsservers tdiconn 172.16.3.12

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 16


DNS : Domain Name System

Généralités DNS
Configuration client DNS GNU LINUX:
Le fichier /etc/host.conf permet de définir le
comportement du système lors de la résolution
d'un nom. Sa structure est très simple, puisqu'il y a
une option de recherche par ligne. Dans la plupart
des cas, les lignes suivantes sont suffisantes :
order hosts, bind
multi on

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 17


DNS : Domain Name System

Généralités DNS
Configuration client DNS GNU LINUX:
Le fichier /etc/resolv.conf permet de configurer,
globalement (pour toutes les interfaces) les
serveurs de nom à utiliser pour la résolution DNS.
Un exemple de configuration est donné ci-dessous:
nameserver 212.217.0.1 212.217.0.12
domain ntic.ma
search ntic.ma andr.intra

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 18


DNS : Domain Name System

Généralités DNS
Configuration client DNS GNU LINUX:
Au lieu de modifier /etc/resolv.conf, on peut
spécifier des serveurs DNS directement dans le
fichier de configuration de l'interface. Tel que
mettre dans le fichier /etc/sysconfig/network-
scripts/ifcfg-eth0 :
DNS1=212.217.0.1
DNS2=212.217.0.2

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 19


DNS : Domain Name System

Généralités DNS
Configuration client DNS GNU LINUX:
Les serveurs DNS spécifiés avec les directives
"DNS1/DNS2" seront automatiquement ajoutés à
/etc/resolv.conf lorsque l'interface est activée. Si on veut
ajouter les serveurs DNS manuellement à
/etc/resolv.conf, il faut mettre sur le fichier de
configuration d’interface:
PEERDNS=no

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 20


DNS : Domain Name System

Espace de noms (spacename) DNS


Hiérarchie:
L'espace de noms DNS est une structure arborescente
hiérarchique, avec les serveurs racine (dot-servers) au sommet.
Les serveurs racine sont généralement représentés par un point.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 21


DNS : Domain Name System

Espace de noms (spacename) DNS


Hiérarchie:
Au-dessous des serveurs racines, se trouvent les TLD (top level
domain).
Il y a plus de TLD que celles figurant dans l'image.
Actuellement, environ 200 pays ont un TLD. Il y a plusieurs
TLD généraux comme:
.com, .edu, .org, .gov, .net, .mil, .int

Et plus récemment aussi:


.aero, .info, .museum, ...

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 22


DNS : Domain Name System

Espace de noms (spacename) DNS


Les serveurs Racines (root servers):
• Il existe 13 serveurs racines sur Internet, ils sont
nommés A à M. ces serveurs sont qualifiés de
serveurs maîtres de l'Internet, car si ils tombent
en panne, personne ne peut se connecter à des
sites Web.
• Les serveurs racine ne sont pas 13 machines
physiques, ils sont beaucoup plus. Par exemple,
le serveur racine F se compose de 46 machines
physiques qui se comportent tous comme un (en
utilisant l’adressage anycast).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 23


DNS : Domain Name System

Espace de noms (spacename) DNS


Les serveurs Racines (root servers):
Les sites WEB suivants vous donnent plus de
détail sur les serveurs racines:
• http://root-servers.org
• http://f.root-servers.org
• http://en.wikipedia.org/wiki/Root_nameserver.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 24


DNS : Domain Name System

Espace de noms (spacename) DNS


Les indicateurs de Racines (root hints):
Toute application (tel que bind) installant un
serveur DNS, fournit une liste d’indicateurs de
racine permettant de localiser les serveurs
racine DNS.
La capture d’écran suivante donne une partie
des indicateurs racines fourni par bind9 sous
Centos6.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 25


DNS : Domain Name System

Espace de noms (spacename) DNS


Les indicateurs de Racines (root hints):

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 26


DNS : Domain Name System

Espace de noms (spacename) DNS


Domaines:
Au-dessous des domaines de niveau supérieur (TLD), se trouvent
les domaines. Les domaines peuvent avoir des sous-domaines
(également appelés domaines enfants). L’image ci-après
montrent des domaines DNS: google.com, chess.com et
untm.ma.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 27


DNS : Domain Name System

Espace de noms (spacename) DNS


Domaines:
Les domaines DNS sont enregistrés sur les serveurs TLD, les
serveurs TLD sont enregistrés sur les serveurs dot.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 28


DNS : Domain Name System

Espace de noms (spacename) DNS


TLD (top level domains):

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 29


DNS : Domain Name System

Espace de noms (spacename) DNS


Domaines:
Des TLD ont été définis pour chaque pays, comme .uk en 1985
pour la Grande-Bretagne , .be pour la Belgique en 1988 et .fr
pour la France en 1986.
En 1993 le TLD .ma a été délégué pour l’école EMI. Puis
l’administration a été passé à MAROC TELECOM en 1995.
En 12 mai 2006, ANRT (Agence Nationale de réglementation des
Télécommunications) a pris le contrôle du TLD .ma

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 30


DNS : Domain Name System

Espace de noms (spacename) DNS


Domaines:
En 1998 des nouveaux TLD ont été définis pour le 21ième siècle:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 31


DNS : Domain Name System

Espace de noms (spacename) DNS


FQND (fully qualified domain name ):
Le nom de domaine pleinement qualifié ou fqdn
révèle la position absolue d'un nœud dans
l'arborescence DNS en indiquant tous les
domaines de niveau supérieur jusqu'à la racine
séparée par des points. Par convention, le FQDN
est ponctué par un point final. Exemples:
Untm.ma.
www.untm.ma
Un nœud peut être un domaine ou un hôte.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 32
DNS : Domain Name System

Espace de noms (spacename) DNS


Règles de nommage:
• Insensible à la case.
• Les caractères autorisés : a-z, 0-9 et –
• Un nom de nœud doit obligatoirement
commencer par une lettre et ne doit pas
dépasser 63 caractères.
• Le FQND ne doit pas dépasser 255 caractères
max et 127 nœuds max.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 33


DNS : Domain Name System

Espace de noms (spacename) DNS


Organismes régionaux:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 34


DNS : Domain Name System

Espace de noms (spacename) DNS


Zones DNS:
• Une zone est une portion de l’arbre DNS qui
couvre une ou plusieurs domaines contigus.
• Un serveur DNS peut être autoritaire sur une
ou plusieurs zones DNS.
• Une zone peut déléguer l’autorité d’un
domaine enfant à une autre zone.
• Le schéma suivant représente des zones
encerclées par des ellipses.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 35
DNS : Domain Name System

Espace de noms (spacename) DNS


Zones DNS:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 36


DNS : Domain Name System

Espace de noms (spacename) DNS


Enregistrements de ressources (RR):
Type DNS record Signification et rôle
A Host record contient un mappage entre adresse
IPv4 et un nom de hôte. Pour une adresse IPv6
l’enregistrement est de type AAAA

PTR L’inverse d’un enregistrement type A


NS Enregistrement pointant un serveur de noms. Il
peut y avoir plusieurs enregistrements NS pour
la même zone.

Glue A Enregistrement type A pointant un nom


d’enregistrement NS

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 37


DNS : Domain Name System

Espace de noms (spacename) DNS


Enregistrements de ressources (RR):
Type DNS record Signification et rôle
SOA Start Of Authority. Contient de l’information
sur la zone elle même. Il y a exactement un
enregistrement SOA par zone.

CNAME Mappe un nom de hôte à un autre nom de hôte


MX Pointe un serveur SMTP. Lorsqu’on envoi un
email à un autre domaine de messagerie, notre
serveur de messagerie a besoin de
l’enregistrement MX du domaine cible.
SRV Enregistrement de service indiquant la
disponibilité de services. Généralement utilisé
pour la localisation du services LDAP et services
associés tel que les services Active Directory.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 38
DNS : Domain Name System

Serveur dédié à la mise en cache DNS


• Un serveur DNS dédié à la mise en cache est un
serveur DNS sans autorité sur aucune zone DNS.
• Ne possède pas de base de données des
enregistrements de ressources.
• Peut se connecter à d’autres serveurs DNS pour
trouver la réponse à des requêtes DNS et stocke
la réponse en cache.
• 2 serveurs de mise en cache: serveur avec
redirection (with forwarder) et serveur utilisant
les serveurs racines (root servers).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 39


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache sans redirection:
• Est un serveur qui doit rechercher la réponse aux
requêtes ailleurs.
• Quand il reçoit une requête d'un client, il
consultera l'un des serveurs racines.
• Le serveur racine fera référence à un serveur tld,
qui fera référence à un autre serveur DNS.
• Ce dernier serveur pourrait connaître la réponse
à la requête, ou peut se référer à un autre
serveur. En fin de compte, le serveur de mise en
cache trouvera une réponse à signaler au client.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 40


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache sans redirection:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 41


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache sans redirection:
Sur l’image ci-dessus le client veut connaitre
l’adresse IP du serveur hébergeant
« www.ofppt.ma ». Le serveur DNS dédié à la mise
en cache contactera un serveur racine qui va lui
indiquer un serveur ayant autorité sur «.ma». Le
serveur DNS contactera alors le serveur « ma» qui
indiquera un des serveurs DNS ayant autorité sur
«ofppt.ma». Il s’agit dans notre cas de
«ns1.ofppt.ma». Ce dernier va transmettre
l’adresse de « www.ofppt.ma ».
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 42
DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache avec redirection:
Un serveur dédié à la mise en cache avec
redirection obtiendra toutes ses informations
d’un autre serveur DNS qui doit être le serveur
DNS du FAI (Fournisseur de services Internet ou
ISP: Internet Services Provider ).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 43


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache avec redirection:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 44


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache avec redirection:
L’image ci-dessus montre un serveur DNS sur le
réseau local de l’entreprise configuré avec comme
Redirecteur (forwarder) le serveur DNS du FAI. Si
l’adresse IP du serveur DNS du FAI est
212.217.0.12, il faut ajouter sur le fichier de
configuration named.conf du serveur DNS les lignes
suivantes:
forwarders {
212.217.0.12;
};

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 45


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Serveur dédié à la mise en cache avec redirection:
On peut un serveur DNS avec une redirection
conditionnelle pour des domaines particulières.
Un exemple de redirection conditionnelle est
donné ci-dessous:
Zone "google.com " {
type forward;
forward only;
forwarders {8.8.8.8; };
};

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 46


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Requête récursive :
• Une requête récursive est une requête DNS
envoyée par un client DNS cherchant une
réponse complète.
• Une requête itérative est requête DNS
envoyée par un client DNS cherchant une
meilleur réponse (qui peut ne pas être
complète).
• Les serveurs racines ne répondent pas aux
requêtes récursives.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 47


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Requête récursive: Indication de racine (.)
Serveur Interroge .
DNS local
1

.ma
2

Client DNS
3

ofppt.ma

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 48


DNS : Domain Name System

Serveurs dédié à la mise en cache DNS


Requête itérative:
Indication de racine (.)
Serveur
DNS local Requête itérative
Interroger .ma 1
.ma

3
ofppt.ma
Client DNS
ISTA NTIC BM 2016/2017 M.EL GHARADI 49 Page 49
DNS : Domain Name System

Serveurs DNS autoritaires (authoritatives)


Un serveur DNS qui contrôle une zone est
dit serveur ayant ou faisant autorité sur la
zone. Une zone est un ensemble
d’enregistrements de ressources.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 50


DNS : Domain Name System

Serveurs DNS primaire et secondaire


Lorsqu’on configure le premier serveur
DNS autoritaire pour une zone, il s'agit du
serveur DNS primaire ou principal. Ce
serveur aura une copie lisible et accessible
en écriture de la base de données de zone.
Pour des raisons de tolérance de panne, de
performances ou d'équilibrage de charge, il
faut au moins configurer un autre serveur
DNS autoritaire sur cette zone. C'est ce
qu'on appelle un serveur DNS secondaire.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 51


DNS : Domain Name System

Serveurs DNS primaire et secondaire

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 52


DNS : Domain Name System

Transfert de zone
Le serveur secondaire (esclave) reçoit une copie
de la base de données de zone d’un serveur
primaire ou secondaire (maître) à l'aide d'un
transfert de zone. Les transferts de zone sont
demandés par les serveurs esclaves à intervalles
réguliers. Ces intervalles sont définis dans
l'enregistrement SOA.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 53


DNS : Domain Name System

Transfert de zone

Le transfert de zone peut être aussi:


• notifié par le serveur primaire.
• Forcé manuellement à l’aide de rndc.
Par exemple, on peut taper sur le serveur
esclave:
rndc refresh ofppt.ma

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 54


DNS : Domain Name System

Transfert de zone
Lorsqu'un transfert de zone se produit, il peut
s'agir d'un transfert de zone complète ou d'un
transfert de zone incrémentielle. La décision
dépend de la taille du transfert qui est
nécessaire pour mettre à jour complètement la
zone sur le serveur esclave. Un transfert de
zone incrémentiel est préférable lorsque la
taille totale des modifications est inférieure à
la taille de la base de données de zone. Les
transferts de zones entières utilisent le
protocole AXFR, le transfert de zone
incrémentielle utilise le protocole IXFR.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 55


DNS : Domain Name System

Transfert de zone
Serveurs maitres et esclaves:
Lorsqu’on ajoute un serveur DNS secondaire à une
zone, on peut configurer ce serveur en tant que serveur
esclave sur le serveur principal. Le serveur principal
devient alors le serveur maître du serveur esclave.
Souvent, le serveur DNS principal est le serveur maître
de tous les esclaves. Parfois, un serveur esclave est un
serveur
56 maître pour un serveur esclave de deuxième

ligne. Dans l'image ci-dessous ns1 est le serveur DNS


primaire et ns2, ns3 et ns4 sont secondaires. Le maître
pour les esclaves ns2 et ns3 est ns1, mais le maître pour
ns4 est ns2.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 56
DNS : Domain Name System

Transfert de zone
Serveurs maitres et esclaves:

57

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 57


DNS : Domain Name System

Transfert de zone
Enregistrement SOA:
L'enregistrement SOA contient une valeur de
rafraîchissement. Si cette valeur est définie sur 30 minutes, le
serveur esclave demandera une copie du fichier de zone
toutes les 30 minutes. Il existe également une valeur de
nouveau essai. La valeur retry est utilisée lorsque le serveur
maître n'a pas répondu à la dernière demande de transfert de
zone. La58 valeur du délai d'expiration indique la durée pendant
laquelle le serveur esclave répondra aux requêtes, sans
recevoir une mise à jour de zone. Ci-dessous un exemple
d'utilisation de nslookup pour interroger l'enregistrement soa
d'une zone (ofppt.ma).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 58


DNS : Domain Name System

Transfert de zone
Enregistrement SOA:

59

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 59


DNS : Domain Name System

Transfert de zone
Transfert de zone périodique:

Requête SOA pour une zone


1

2 Réponse à la requête SOA

Requête IXFR ou AXFR pour une zone


3

4 Réponse à la requête IXFR ou AXFR


60 (transfert de zone)
Serveur secondaire Serveur primaire ou secondaire
(esclave) (maitre)

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 60


DNS : Domain Name System

Transfert de zone
Transfert de zone périodique:
• Lorsque l'intervalle d'actualisation expire le Serveur Secondaire
demande alors son SOA au serveur maître.
• Le serveur maître de la zone répond en renvoyant l’enregistrement
de ressource SOA.
• Le serveur secondaire compare le numéro de série renvoyé à son
propre numéro de série. Si le numéro de série envoyé par le
serveur maître est supérieur au numéro de série stocké sur le
serveur secondaire, cela signifie que la base de données du serveur
secondaire
61 n’est pas à jour.
• Le serveur maître envoie alors une requête AXFR ou IXFR
• Dans le cas d’un transfert de zone complet, le serveur maître
envoie la base de données de la zone au serveur secondaire ; dans
le cas d’un transfert de zone incrémentiel, le serveur maître envoie
uniquement les données de la zone qui ont changé.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 61


DNS : Domain Name System

Notification DNS (DNS Notify):

Mise à jour de
1 l'enregistrement
Mise à jour de ressource
2 du numéro
de série SOA
62
DNS Notify
3
4 Transfert de zone
62

Serveur Maître
Serveur Secondaire
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 62
DNS : Domain Name System

Transfert de zone
Notification DNS (DNS Notify):

DNS Notify est une mise à jour


de la spécification d'origine du
protocole DNS qui permet
d'informer
63
les serveurs
secondaires des modifications de
zones.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 63
DNS : Domain Name System

Mise en cache DNS

DNS est un protocole de mise en cache. Lorsqu'un client


interroge son serveur DNS local et que le serveur DNS local ne
fait pas autorité pour la requête. Ce serveur recherche un
serveur de noms autorisé dans l'arborescence DNS. Le serveur
de noms local interrogera d'abord un serveur racine, puis un
serveur tld puis un serveur de domaine. Lorsque le serveur de
noms local résout la requête, il transmettra ces informations au
client qui a soumis la requête et il gardera également une copie
de ces64requêtes dans son cache. Donc, quand un autre client
soumet la même requête à ce serveur de noms, il va récupérer
cette information de son cache.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 64


DNS : Domain Name System

Configuration de Bind
Bind (Berkeley Internet Name Daemon) est le
serveur de noms le plus utilisé sur Internet. Bind 9
supporte l’IPv6, les noms de domaine unicode, le
multithread et de nombreuses améliorations de
sécurité.
La configuration globale de Bind est placée dans le
fichier /etc/named.conf.
La configuration
65 détaillée des zones est placée dans
/var/named (sous Centos).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 65


DNS : Domain Name System

Configuration de Bind
Bind chrooté: (Attention)
il arrive parfois que la configuration de Bind soit
«chrootée» (déplacée dans une arborescence
spécifique d’où le service ne peut sortir, le reste de
l’arborescence lui étant inaccessible). Sur Centos et
RHEL 4.x et supérieurs named.conf est dans
/var/named/chroot/etc/.On peut modifier ce mode
en modifiant
66 sur le fichier de configuration
/etc/sysconfig/named.
CHROOT=/var/named/chroot

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 66


DNS : Domain Name System

Configuration de Bind
Structure du fichier named.conf:
Le fichier de configuration named.conf se compose de deux sections: section
globale et section de zones. Un exemple de base est donné ci-dessous:
options {
directory "/var/named";
forwarders { 212.217.0.1; };
notify no;
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
67
file "127.0.0.zone";
};
zone "." in {
type hint;
file "named.ca";
};

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 67


DNS : Domain Name System

Configuration de Bind
Structure du fichier named.conf:
La configuration globale est placée dans la section options. Voici un détail de
quelques options importantes (le point- virgule doit être précisé) :
Directive Signification
directory "filename" emplacement des fichiers contenant les données des zones.
forwarders { adresse-ip } si le serveur DNS ne peut résoudre lui-même la requête, elle est
renvoyée à un serveur DNS extérieur, par exemple celui du
fournisseur d’accès.
listen-on-port 53 port d’écoute du DNS suivi des adresses d’écoute. On indique ici les
{127.0.0.1; adresse-ip; } adresses IP des interfaces réseau de la machine. Il ne faut pas oublier
127.0.0.1
68
allow-query { 127.0.0.1; machine(s) ou réseau(x) autorisés à utiliser le service DNS. Par
réseau } exemple 192.168.1.0/24. Si la directive est absente, tout est autorisé
allow-transfer { machine(s) ou réseau(x) autorisés à copier la base de données dans
192.168.1.2; } le cas d’une relation maître et esclave. Par défaut aucune copie n’est
autorisée.
notify no on notifie ou non les autres serveurs DNS d’un changement dans les
zones ou d’un redémarrage du serveur
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 68
DNS : Domain Name System

Configuration de Bind
Structure du fichier named.conf:
Pour chaque domaine ou sous-domaine DNS, on définit souvent deux
sections zone. La première contient les informations de résolution de nom
(nom vers IP) et la seconde les informations de résolution inverse (IP vers
Nom). Dans chacun des cas, la zone peut être maître Master ou esclave
Slave :
• Master : le serveur contient la totalité des enregistrements de la zone
dans ses fichiers de zone. Lorsqu’il reçoit une requête, il cherche dans ses
fichiers (ou dans son cache) la résolution de celle-ci.
• Slave : le serveur ne contient par défaut aucun enregistrement. Il se
synchronise avec un serveur maître duquel il récupère toutes les
69
informations de zone. Ces informations peuvent être placées dans un
fichier. Dans ce cas l’esclave stocke une copie locale de la base. Lors de la
synchronisation, le numéro de série de cette copie est comparé à celui du
maître. Si les numéros sont différents, une nouvelle copie a lieu, sinon la
précédente continue à être utilisée.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 69


DNS : Domain Name System

Configuration de Bind
Zone recherche directe (déclaration) :
Pour chaque domaine ou sous-domaine, on indique dans quel fichier sont
placées les informations de la zone), son type (maître ou esclave), si on
autorise ou non la notification, l’adresse IP du serveur DNS maître dans le
cas d’un esclave. Un exemple de déclaration est donné ci-après:
zone "andr.intra" {
type master;
file "andr.intra.direct";
};
type master ou slave
70
file nom du fichier qui contient les informations de la zone.
Il n’y a pas de règles précises de nommage mais pour
des raisons de lisibilité il est conseillé de lui donner le
même nom que la zone tant pour une zone master que
pour une slave.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 70


DNS : Domain Name System

Configuration de Bind
Zone recherche directe (déclaration) :
• Dans le cas d’une zone Maître, on peut rajouter
allow-transfer (serveurs autorisés à dupliquer la
zone) et notify yes (indique une mise à jour ou
une relance pour les esclaves).
• En cas de Slave : on rajoute la directive masters
pour indiquer à partir de quel serveur Master la
zone71
sera dupliquée.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 71


DNS : Domain Name System

Configuration de Bind
Zone recherche inversée (déclaration) :
Pour chaque réseau ou sous-réseau IP (ou plage
d’adresses) on définit une zone de résolution inverse
dont le fichier contient une association IP vers nom de
machine. La déclaration est presque la même que pour
la zone de recherche directe sauf que l’on doit respecter
une convention de nommage :
• Le nom de la zone se termine toujours par une
domaine spécial .in-addr.arpa.
• On doit tout d’abord déterminer quel réseau la zone
doit72couvrir. Par exemple: 192.168.1.0/24
• On inverse l’ordre des octets réseau dans l’adresse.
Par exemple 1.168.192.
• On ajoute in-addr.arpa. Le nom de zone sera donc
1.168.192.in-addr.arpa.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 72


DNS : Domain Name System

Configuration de Bind
Exemple de déclaration de zones:
Soit un domaine ntic.ma sur un réseau de classe C 192.168.1.0. Soit deux serveurs
DNS 192.168.1.1 Master et 192.168.1.2 Slave.
Sur le maître Sur l’esclave
zone « ntic.ma" { zone « ntic.ma" {
type master; type slave;
file « ntic.ma.zone"; file « ntic.ma.zone";
allow-transfer { 192.168.1.2; } ; masters { 192.168.1.1; } ;
notify yes; };
}; zone "1.168.192.in-addr.arpa" {
zone "1.168.192.in-addr.arpa"
73 { type master;
type master; file "192.168.1.zone";
file "192.168.1.zone"; masters { 192.168.1.1; } ;
allow-transfer { 192.168.1.2; } ; };
notify yes;
};

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 73


DNS : Domain Name System

Configuration de Bind
Fichiers de zones:
Les fichiers de zones contiennent des enregistrements de ressources tel qu’il a été
expliqué plus haut. Quelques détails supplémentaires sont donnés ci-dessous:
• @ : est un caractère de remplacement pour le nom de la zone déclarée dans
/etc/named.conf. Ainsi si la zone s’appelle ntic.ma, @ vaut ntic.ma. Dans la
déclaration de l’administrateur de la SOA, il remplace ponctuellement le point
dans l’adresse de courrier électronique.
• MX : Mail eXchanger. Désigne un serveur de courrier électronique, avec un
indicateur de priorité. Plus la valeur est faible, plus la priorité est élevée.
• Le point « . »: Si l’on omet le point en fin de déclaration d’hôte, le nom de la
zone est concaténé à la fin du nom. Par exemple pour la zone ntic.ma, si on écrit
poste1, cela équivaut à poste1.ntic.ma. Si on écrit poste1.ntic.ma (sans le point
74
à la fin) alors on obtient comme résultat poste1.ntic.ma.ntic.ma
• IL NE FAUT JAMAIS COMMENCER UNE LIGNE PAR DES ESPACES OU
TABULATIONS car les espaces ou tabulations seraient interprétés comme faisant
partie du nom indiqué, de l’adresse ou de l’option.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 74


DNS : Domain Name System

Configuration de Bind
Fichiers de zones:
En plus des enregistrements de ressources, un fichier de
zone peut contenir des directives précédées par le caractère
‘$’. Les directives les plus courantes sont:
• $INCLUDE : inclure un autre fichier de zone.
• $ORIGIN : Attache le nom de domaine à tout
enregistrement non qualifié (ne se termine pas par
‘.’)
• $TTL 75 : durée de validité des enregistrements (en
seconde)

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 75


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
On commence par une directive TTL qui indique le temps de
vie de la zone en secondes. Par exemple:
$TTL 86400
Cela signifie que chaque enregistrement de la zone sera
valable durant le temps indiqué par TTL. Il est possible de
modifier cette valeur pour chaque enregistrement. Durant
ce temps, les données peuvent être placées en cache par
les autres serveurs de noms distants.
76

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 76


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
Après les directives TTL, on place un enregistrement de
ressources SOA :
<domain> IN SOA <primary-name-server> <hostmaster-email> (
<serial-number>
<time-to-refresh>
<time-to-retry>
<time-to-expire>
<minimum-TTL> )
77
L’explication de l’ensemble des éléments de l’enregistrement SOA est
détaillée dans le tableau ci-après:

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 77


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
domain C’est le nom de la zone, le même nom que celui utilisé
dans /etc/named.conf. On peut le remplacer par @
sinon il ne faut pas oublier de le terminer par un point
(pour éviter une concaténation).
primary-name-server Le nom sur le serveur DNS maître sur cette zone. Il ne
faudra pas oublier de le déclarer dans la liste des hôtes
(enregistrements PTR ou A).
hostmaster-email Adresse de courrier électronique de l’administrateur du
serveur de nom. Le caractère @ étant déjà réservé à un
78 autre usage, on utilise un point pour le remplacer. Ainsi
« admin@ntic.ma» devra s’écrire « admin.ntic.ma» .

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 78


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
serial-number C’est un numéro de série que l’on doit incrémenter
manuellement à chaque modification du fichier zone
pour que le serveur de nom sache qu’il doit recharger
cette zone. Elle est utilisée pour la synchronisation avec
les serveurs esclaves. Si le numéro de série est le même
qu’à la dernière synchronisation les données ne sont
pas rafraîchies. Par convention on place YYYYMMDDNN
(année-mois- jour-numéro) sur dix chiffres.
time-to-refresh Indique à tout serveur esclave combien de temps il doit
79 attendre avant de demander au serveur de noms maître
si des changements ont été effectués dans la zone.
time-to-retry Indique au serveur esclave combien de temps attendre
avant d’émettre à nouveau une demande de
rafraîchissement si le serveur maître n’a pas répondu.
La demande aura lieu toutes les time-to-retry secondes.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 79


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
time-to-expire Si malgré les tentatives de contacts toutes les time-to-
retry secondes le serveur n’a pas répondu au bout de la
durée indiquée dans time-to-expire, le serveur esclave
cesse de répondre aux requêtes pour cette zone.
Minimum-TTL Le serveur de nom demande aux autres serveurs de
noms de mettre en cache les informations pour cette
zone pendant au moins la durée indiquée.

80

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 80


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
Un exemple d’enregistrement SOA:
@ IN SOA dns1.ntic.ma. hostmaster.ntic.ma. (
2005122701 ; serial
21600 ; refresh de 6 heures
3600 ; tenter toutes les 1 heures
604800 ; tentatives expirent après une semaine
86400 ) ; TTL mini d’un jour

81

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 81


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
On passe ensuite les enregistrements NS (Name Server) pour
spécifiez les serveurs de noms de la zone.
IN NS dns1
IN NS dns2
Quand on ne spécifie pas en début de ligne un nom d’hôte ou
de zone (complet ou @), cela veut dire qu’on utilise le même
que la ligne du dessus. Tant qu’on n’en précise pas de nouveau,
c’est le dernier indiqué qui est utilisé. Ainsi ci-dessus les lignes
pourraient être :
@ IN NS dns1
@ 82
IN NS dns2
Ou
ntic.ma. IN NS dns1
ntic.ma. IN NS dns2
Notez l’absence de point après le nom de l’hôte et donc ntic.ma
est concaténé pour obtenir dns1.ntic.ma.
ISTA NTIC BM 2016/2017 M.EL GHARADI Page 82
DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
On Passe ensuite à l’énumération des serveurs de courrier
électronique de la zone. La valeur numérique située après
MX indique la priorité. Plus la valeur est basse plus le
serveur est prioritaire et susceptible d’être contacté en
premier.
IN MX 10 mail
IN MX 15 mail2

83

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 83


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
On peut parfois rencontrer des enregistrements tel que:
IN A 192.168.1.10
Ceci permet à une machine de réponde en passant par le
FQDN du domaine sans préciser d’hôte (par exemple
http://ntic.ma ou ping ntic.ma)

84

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 84


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
Puis on déclare les autres hôtes dont les serveurs de noms,
de mails, ftp, web et les postes de travail,… etc. par
exemple:
dns1 IN A 192.168.1.1
dns2 IN A 192.168.1.2
server1 IN A 192.168.1.3
Server2 IN A 192.168.1.4
poste1 IN A 192.168.1.10
Poste2 IN A 192.168.1.20
poste3 85 IN A 192.168.1.30

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 85


DNS : Domain Name System

Configuration de Bind
Étapes de création de Fichier de zone:
Puis on déclare les alias (CNAME). Les alias sont
généralement réservés aux serveurs web, ftp…
mail IN CNAME server1
mail2 IN CNAME server2
www IN CNAME server1
ftp IN CNAME server2

86

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 86


DNS : Domain Name System

Configuration de Bind
Création du Fichier de zone de résolution inverse:
La zone de révolution inverse est presque identique à la zone
directe, si ce n’est que les enregistrements A sont remplacés par
des enregistrements PTR destinés à traduire une IP en hôte. Le
TTL et la déclaration SOA doivent être si possible identiques
(sauf le nom de la zone). On doit aussi placer des
enregistrements NS. Tel que:
IN NS dns1.ntic.ma.
IN NS dns2. ntic.ma.
Puis placer les enregistrements PTR traduisant l’adresse IP pour
chaque hôte. Par exemple:
1 IN
87 PTR dns1.ntic.ma.
2 IN PTR dns2.ntic.ma.
3 IN PTR server1.ntic.ma.
4 IN PTR server2.ntic.ma.
10 IN PTR poste1.ntic.ma.
20 IN PTR poste2.ntic.ma.
30 IN PTR poste3.ntic.ma.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 87


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration:
La commande named-checkconf vérifie la syntaxe du fichier
named.conf.
named-chekconfig /etc/named.conf
La sortie indiquera les lignes posant problème.
La commande named-checkzone vérifie la syntaxe d’un
fichier de zone (y compris de résolution inverse). Par
exemple:
named-chekzone
88
andr.intra /var/named.andr.intra.direct
named-chekzone 255.31.172.in-addr.arpa /var/named.andr.intra.inverse

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 88


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
L’utilitaire dig est un outil d’interrogation avancé de serveur
de noms, capable de restituer toutes les informations des
zones.
L’utilisation de la commande dig est généralement la
suivante :
dig @serveur nom type
@serveur : le serveur DNS utilisé pour la requête. nom : le
nom 89du serveur DNS à interroger. type : le type
d’enregistrement à vérifier. Mais la forme la plus simple est
l’appel de la commande suivi du nom d’hôte à vérifier. Tel
que:
dig andr.intra
dig linux1.andr.intra

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 89


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
La sortie de la dernière commande dig doit ressembler à
ceci:

90

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 90


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
La sortie de dig retourne beaucoup d’informations:
• La première partie renseigne sur la version de dig utilisée, suivi des
options globales. Peut ne pas être affichée, si on ajoute l’option
+nocmd.
• La partie –Got answer– apporte des informations sur le serveur.
Cette partie ne sera pas affichée si on ajoute l’option +nocomments.
• La partie –QUESTION SECTION– affiche la requête transmise au
serveur DNS. Peut ne pas être affiché si on ajoute l’option
+noquestion.
• la réponse est affichée dans la section –ANSWER SECTION– qui peut
ne pas être affiché par l’option +noanswer.
• La section –AUTHORITY SECTION– renseigne sur les serveurs DNS
autoritaires
91
du domaine. Pour ne pas afficher cette section, on utilise
l’option +noauthority.
• On peut retrouver la section –ADDITIONAL SECTION– qui donne les
IP des serveurs DNS autoritaires utilisés pour la requête. Peut être
désactivée par l’option +noadditional.
• La sortie se termine par des statistiques sur la requête, que l’on
désactive par l’option +nostats.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 91


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (dig)
Quelques exemples de dig:
Exemple Signification
dig linux1.andr.intra Affiche l’adresse associé au hôte.
dig andr.intra soa Affiche l’enregistrement SOA de la zone .
On peut remplacer soa par : a, ns, any,
mx, hinfo, txt, ptr ou axfr
dig 33.255.31.172.in-addr.arpa ptr Pour tester la résolution inverse de
l’adress 172.31.255.33
92
dig -x 172.31.255.33 Même chose que l’exemple précédent
dig andr.intra any Affiche toutes les informations
concernant le domaine andr.intra
dig andr.intra axfr Liste tous les hôtes de la zone
dig +trace google.com Trace tous les serveurs contactés pour
résoudre google.com

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 92


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (host)
L’outil host peut fournir le même résultat que dig mais de
manière peut-être un peu plus simple. Voici quelques
exemples:
host andr.intra
host -t any andr.intra
host -a andr.intra
host -t ns andr.intra
host linux1.andr.intra
host 172.31.255.33
93

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 93


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (nslookup)
Nslookup est un outil pour interroger le DNS (Domain
Name System) pour obtenir un mappage de nom de
domaine ou d'adresse IP ou tout autre enregistrement DNS
spécifique. Il est également utilisé pour résoudre les
problèmes liés au DNS.
Nslookup peut fonctionner en "Interactive mode" ou "Non-
Interactive mode". Le mode interactif permet à l'utilisateur
d'interroger le serveur DNS sur divers hôtes et domaines. Le
mode94non interactif permet à l'utilisateur de consulter les
informations d'un hôte ou d'un domaine.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 94


DNS : Domain Name System

Configuration de Bind
Diagnostic des problèmes de configuration: (nslookup)
Quelques exemples du mode non interactif:
Exemple Signification
nslookup andr.intra Retroune l’enregistrement A du
domaine andr.intra
nslookup 172.31.255.34 Résoudre en inverse l’adresse passé en
paramètre.
nslookup -type=ns andr.intra Retourne les enregistrement de type NS
du domaine indiqué. On peut avoir soa,
95 mx, a, cname ou any
nslookup -timeout=10 andr.intra Pour modifier le délai d'attente par
défaut d’attente d’une réponse.
nslookup -debug andr.intra Le mode de débogage affichera les
informations sur les paquets pendant la
recherche.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 95


DNS : Domain Name System

DNS Avancé
Round Robbin:
Lorsqu’on crée plusieurs enregistrements A pour le même
nom, bind effectue un round robin de l'ordre dans lequel
les enregistrements sont retournés. Cela permet l'utilisation
de DNS comme un équilibreur de charge entre les hôtes,
puisque les clients prendront habituellement la première
adresse IP offerte.
On peut tester cet fonctionnalité en créant un site Web sur
deux serveurs Web (avec une petite différence afin qu’on
puisse96distinguer entre les deux sites Web).

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 96


DNS : Domain Name System

DNS Avancé
Délégation de zones:
Un serveur DNS peut déléguer l’autorité d’un domaine
enfant à un autre serveur DNS. Le domaine enfant devient
alors une nouvelle zone, avec autorité du nouveau serveur
DNS.
Si la délégation est correctement configurée, les clients qui
interrogent la zone parent pourront également résoudre
les zones enfant déléguées.
Le schéma
97
ci-dessous explique le principe de la délégation
de zones.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 97


DNS : Domain Name System

DNS Avancé
Délégation de zones:

98

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 98


DNS : Domain Name System

DNS Avancé
Délégation de zones:
Pour configurer la délégation de zones, il faut configurer le
serveur délégué en déclarant et créant la zone enfant puis
ajouter les lignes suivantes sur la zone parente:
$ORIGIN formation.tri.edu
@ IN NS dns2.formation.tri.edu.
Dns2 IN A 172.31.255.35 ; the glue record

Ici on suppose que le domaine parent est “tri.edu” et le


domaine
99 enfant est “formation.tri.edu”. 172.31.255.35 est
l’adresse IP du serveur délégué.
Pour tester la délégation, on peut taper par exemple sur le
serveur parent:
dig dns2.formation.tri.edu +short

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 99


DNS : Domain Name System

DNS Avancé
Zone stub:
A la manière d’une zone DNS secondaire, la zone de stub
est une copie en lecture seule d’une zone DNS. Toutefois,
elle ne dispose que des enregistrements nécessaires pour
identifier les serveurs DNS autoritaires pour la zone
concernée (SOA, Glue A et NS). De ce fait, la réplication des
mises à jour ne concerne qu’un nombre limité
d’enregistrements.
Le fonctionnement de la zone stub est similaire à la
redirection conditionnelle sauf que le serveur redirecteur
est choisi par la liste des serveurs NS de la zone stub. Cette
liste est actualisé par réplication.

ISTA NTIC BM 2016/2017 M.EL GHARADI Page 100