• Blog
  • Portfolio
  • A propos de moi
  • Créations Websites
  • Blog
  • Portfolio
  • A propos de moi
  • Créations Websites
Administration Système
Parcourir:
  • Accueil
  • Informatique
  • Administration Système
  • Mise en place d’un serveur DNS BIND9

Mise en place d’un serveur DNS BIND9

Par WolwX dans la catégorie Administration Système, Informatique, Réseaux n1
Mots clef : 1&1, administration système, AFNIC, bind, bind9, DNS, DNSSEC, dnsstuff, le95.fr, mx, nom de domaine, ns.wolwx.net, ovh, registrar, RNDC, sous domaine, webmin, WolwX.net, zone

Et voilà ! 😀

J’y suis enfin arrivé ^^’ …

La mise en place d’un serveur DNS à était une longue et douloureuse route pour mon apprentissage :s

logo-bind

En effet, une mauvaise config de serveur ou de zone et paf, le domaine n’est plus fonctionnel … D’autant plus dur que les mises à jour ce font au travers d’une propagation plus ou moins longue mais qui dure en moyenne 48h pour être totalement valide …

Enfin bon, voici un petit topo sur cette tâche qui m’à était réellement complexe et longue ^^’

 

Serveur DNS ? Ok ça me dis quelque chose mais c’est quoi exactement ?

De manière ultra résumé, un serveur dns c’est comme un aiguilleur ! Oui exactement mosieu ! En fait, inte
et est un sacré bordel routier, et pour pouvoir guider les voyageurs sur ce réseaux, il faut des aiguilleurs qui vont faire l’association par paire nom de domaine / adresse ip.

En gros l’inte
aute donne le nom à un dns qui lui rend l’adresse où ce trouve ce nom 🙂

Voici un petit schéma adapté à ma sauce qui permet de visualiser la chose plus facilement =>

DNS-iteratif

Tout ça pourquoi faire ??

Avec un serveur DNS je peux gérer de manière totalement indépendante mes noms de domaines, mais aussi créer et gérer les sous domaines sans limitations, faire du routage en sous réseau plus poussé (bon d’accord là c’est po un sous réseau ><), faire fonctionner parfaitement d’autre serveur tel que le serveur mail, et, surtout, connaitre encore un petit peu plus de choses coté serveur ;D

En effet chez un registrar de type 1and1 1and1_logo, dans la gestion des noms de domaines ont peux être limité par le nombre de sous domaines disponible par exemple.

En réseau local, ces connaissances en serveur DNS, vont me permettre de pouvoir mettre en place un réseau de serveur tel que un serveur mail sur une machine, un serveur web sur une autre, un serveur jeux par labas, un serveur ftp vers labas …
De cette manière j’attribuerais des noms canonique à chacun au travers de mon serveur DNS et sur mes postes client il ne sera pas utile de faire de réglages complexe pour le fonctionnement de ces différents services.

Dans le détail voici quelques infos sur les réglages de mon serveur DNS

Tout d’abord le choix de l’application …

B c’est po compliqué, j’ai rien trouvé d’autre que BIND ^^’

Il semblerait que ce soit un total monopole de cette application opensource, soutenue par les grosses organisations mondiale de gestion des noms de domaine, AFNIC logo_afnic en tête (gestion des .fr).

Donc BIND en est actuellement à sa version 9, voici leur site web http://www.bind9.net/ pas très très jolie il faut l’avouer, mais on est dans le domaine de l’application opensource axée utilisateur avertis ^^’

En effet les kevin du web ne seront surement pas de la partie pour ce qui est d’une gestion de serveur DNS.

Bon, je continue, j’ai donc l’application, et pour tout avouer, j’ai pas eu de difficulté à l’installer, non pas qu’un apt-get install bind aurait été dur hein ^^’, mais je suis tout simplement passé par mon petit webmin 😀

Oh bonheur ce Webmin webmin-logo ! Quelques clics m’ont suffit pour être sur la page de réglages du serveur, mais là …. ont commencées les galères ^^’

Bon coté réglages serveur po très dur, on rassemble tout dans un dossier etc/bind et sur un petit fichier de config named.conf qui imbrique quelques autres conf . Par contre là où la galère à vraiment commencé, c’était pour la déclaration des zones :s

Une zone, c’est tout simplement la déclaration du nom de domaine, et c’est donc dans ça qu’on déclare les sous domaines, les serveurs mail, et les infos importante afin que le domaine soit validée et déclaré correct par l’AFNIC logo_afnic par exemple 🙂

A noter qu’un domaine .fr incorrectement réglé ce verrais non validée par l’AFNIC justement lors d’une déclaration.

Il à fallut donc faire des tests et des tests avec l’outil zonecheck http://www.afnic.fr/outils/zonecheck, ou encore avec le formidable site http://dnsstuff.fastnext.com/qui contient tout un tas d’outils réseaux tel qu’un testeur de nom de domaine et serveur DNS 🙂

Un passage par un post sur le forum OVH ovh_logoet paf, libération par un grand cassiopee, utilisateur salvateur du forum ^^

Grosse libération car ce n’est pas l’aide de mon petit Dif (Jonathan) ou encore de mes demandes sur forum debian ou kimsufi qui m’auront permit d’avancer … d’autant plus que les tutos et les explications sur le réglage de BIND9 sont plutôt accès serveur local et dans mon cas de figure les réglages devenait assez complexe 🙁

Enfin bon encore un grand merci à cassiopee pour le coup 😀

Je me suis donc retrouvé avec un serveur BIND9 sur pied mais resté à compléter la chose en faisant fonctionner le maximum de choses possible 🙂

Je me suis donc attaquée à une optimisation des fichiers, déplacement de l’ensemble de la config dans un répertoire, puis sont venu ensuite des réglages tel que l’installation et l’utilisation du protocole
DC, un outil permettant de régler les zones de manières dynamique et indépendamment d’un reboot du serveur pour application.

Une autre partie qui était assez complexe (par l’absence d’info trouvée sur le web), la mise en place de clef DNSSEC (extension du procotole DNS permettant de sécuriser et protéger contre l’usurpation d’identité de DNS), afin de sécuriser au maximum le serveur.

Enfin des réglages plus fin me permettant d’adapter une config réutilisable dans un réseaux plus professionnel, avec des réglages rendant la zone valide pour l’envoie de mail (non reconnu en spam sur hotmail par exemple), ou encore le couplage avec le serveur apache2 pour l’utilisation des sous domaines en vhosts.

Enfin voilà, tout est qui fini bien, mon serveur DNS, ns.wolwx.net, tout nouveau, tout beau, tout propre :p

Articles similaires

WolwXAuteur

21 Comments on “Mise en place d’un serveur DNS BIND9”

  1. zouzoua 9 avril 2010 at 22 h 24 min

    salut,
    j’ai installé mon serveur dns bind primaire sur fedora maitenant je veux securiser ce dernier mais je sais pas comment sachant que j’utilise webmin. j’ai cherché sur le net mais j’ai rien trouvé. merci de me dire qu’est ce que je dois faire car je suis vraiment bloquée.
    merci d’avance
    cordialement

    Répondre
    1. WolwX Auteur10 avril 2010 at 16 h 03 min

      Salut zouzoua 🙂

      Tu entends par “sécuriser”, l’utilisation de DNSSEC ?

      Si c’est le cas, je vais essayer d’expliquer ça du mieux possible ^^’ :

      Donc voici les étapes, sachant que je me réfère à l’interface Webmin :

      1 – Ce rendre sur la section de gestion du serveur DNS BIND => https://www.mondomaine.com:10000/bind8/

      2 – Activer DNSSEC => https://www.mondomaine.com:10000/bind8/conf_trusted.cgi
      Dans le menu général du module BIND il faut ce rendre sur l’option suivante
      DNSSEC Verification
      Le hic c’est que peut être que le bouton est différent lors de la création, pour ma part je n’ai que ce bouton à l’heure actuel.
      Mais réglages sont alors les suivants :
      DNSSEC enabled? Oui
      DNSSEC response validation enabled? Oui

      Additional trust anchors
      Anchor zone dlv.isc.org.

      Additional trusted keys
      Zone name dlv.isc.org. Flags 257 Protocol 3 Algorithm 5 Key Text ungrosblocdesuitealphanumérique

      Ces réglages ce retrouvent appliqués alors en fin de fichier de config named.conf de la sorte :

      trusted-keys {
      dlv.isc.org. 257 3 5 "ungrosblocdesuitealphanumérique";
      };

      Et dans le fichier de config named.conf.options un entrée dans la section “options” apparait :

      options {
      dnssec-enable yes;
      dnssec-validation yes;
      dnssec-lookaside . trust-anchor dlv.isc.org.;
      };

      3 – Direction la page de configuration de la zone (domaine) à sécuriser => https://www.mondomaine.com:10000/bind8/edit_zonekey.cgi?index=10&view=
      Dans cette page tu trouveras ces réglages

      This zone does not have a DNSSEC signing key yet. You can use this form to have Webmin create one, so that clients resolving this zone are protected against DNS spoofing attacks.
      New DNSSEC key options
      Key algorithm
      Key size Average size
      Strongest allowed
      Other size (in bits)
      Number of keys to create Zone key and key-signing key Zone key only

      J’ai personnellement laissé tous les réglages tel quel et validé par le bouton directement.

      4 – Patienter la création de l’algorithme
      Il faut être patient car la création de cette algorithme peux prendre pas mal de temps …

      5 – Vérifier enfin que les fichiers sont bien créé par l’algorithme
      dsset-nomdemazone.
      Kwnomdemazone.+005+20247.key
      Knomdemazone.+005+20247.private

      6 – Vérifier le rajout de nouvelles entrées sur le fichier de zone
      En fin de fichier on devrait trouvé ceci :

      mondomaine.com. IN DNSKEY 257 3 5 unautregrosblocdesuitealphanumérique
      *.mondomaine.com. 86400 IN RRSIG A 5 2 86400 20100510020030 20100410020030 20247 mondomaine.com. encoreunautregrosblocdesuitealphanumérique
      *.mondomaine.com. 38400 IN NSEC mondomaine.com. A RRSIG NSEC
      *.mondomaine.com. 38400 IN RRSIG NSEC 5 2 38400 20100510020030 20100410020030 20247 mondomaine.com.

      Répondre
  2. zouzoua 10 mai 2010 at 21 h 07 min

    salut WolwX ,
    je trouve pas les mots pour te dire merciiiiiiiiiiiiiiiiiiiiii pour le guide qui est bien detaillé et claire
    tu m’as vraiment aidé dans l’installation de dnssec donc merci milles fois

    Répondre
    1. WolwX Auteur11 mai 2010 at 13 h 05 min

      Pas de soucis, si je peux t’aider c’est avec plaisir 😉

      Répondre
  3. Superjb 11 mai 2010 at 12 h 36 min

    Salut,
    Super les infos sur dnssec et webmin.
    Connaitrais tu une façon pour faire un serveur esclave avec webmin sur un autre serveur physique bien sur ?? Qui évite de retaper toutes les zones ??

    Merci d’avance

    Répondre
    1. WolwX Auteur11 mai 2010 at 14 h 19 min

      Salut Superjb,

      Concernant une config de serveur DNS secondaire voici la démarche à suivre, d’après ce que j’ai compris mais à confirmer après test, :

      1 – installer BIND9 de la même manière que pour un serveur DNS primaire
      en effet, seul la config change 🙂

      2 – Déclaration du serveur DNS en secondaire primaire

      Le but étant donc de déclarer ce serveur dns en temps que secondaire.
      Ici en exemple un dns secondaire ayant pour nom de domaine mondnssecondaire.com et pour ip 192.168.255.x
      Il faudra donc rajouter cette portion de code sur tonchemin/named.conf :


      zone "mondnssecondaire.com" {
      type slave;
      masters {adresseipdetondnsprimaire;} ;
      file "/tonchemin/zone/mondnssecondaire.com.db";
      };

      zone "255.168.192.in-addr.arpa" {
      type slave;
      masters {adresseipdetondnsprimaire;} ;
      file "/tonchemin/zone/192.168.255.db";
      };

      include "/tonchemin/named.conf.options";
      include "/tonchemin/named.conf.local";


      tonchemin étant bien souvent = /etc/bind

      3 – Déclaration du serveur DNS secondaire sur la config du serveur DNS primaire

      Pour ce faire il te faut déclarer ce serveur secondaire comme une nouvelle zone sur le serveur DNS primaire de cette manière :

      $ttl 1d ; 86400 (sec) par défaut
      @ IN NS ns2.mondnssecondaire.com. admin.mondnssecondaire.com. (
      2010051100 ; date de creation
      10800
      3600
      604800
      38400 )

      ns2 IN A 192.168.255.x
      250 IN PTR ns2.mondnssecondaire.com.

      4 – Autoriser le serveur dns secondaire sur les zones du serveur dns primaire

      Il suffit simplement de rajouter ce bout de code sur chaque déclaration de zone soit sur named.conf ou named.conf.local :


      allow-transfer {192.168.255.x;} ;

      Je pense qu’avec ceci ça devrait fonctionner, mais je testerais ceci en rentrant du bureau et te confirmerais ça si tu ne l’à pas fait avant 😉

      Répondre
      1. Superjb 11 mai 2010 at 14 h 49 min

        Ok nickel !!
        Je te retiens au courant dès que je test !!

        Répondre
        1. Superjb 17 mai 2010 at 11 h 55 min

          c’est bon ça fonctionne merci !!

          Répondre
          1. WolwX Auteur17 mai 2010 at 15 h 57 min

            Parfait 😀
            Merci du retour 😉

  4. zouzoua 11 mai 2010 at 12 h 43 min

    salut,
    j’ai une autre problème aprés la signature de zone j’ai pas pu redémarrer bind pourquoi????????
    merci d’avance

    Répondre
    1. WolwX Auteur11 mai 2010 at 13 h 12 min

      Peut être car la signature était en cours de création ?
      C’est une opération relativement longue :s

      Au cas ou, tu peux tjs jeter un oeil sur le fichier log qui ce trouve par ici :
      /var/log/daemon.log

      Répondre
      1. zouzoua 11 mai 2010 at 15 h 23 min

        salut,
        /var/log/daemon.log: Aucun fichier ou dossier de ce type ( 🙁 )
        combien je dois attendrepour terminer la signature sachant que quand je clique sur check bind config sur webmin j’ai ce message: No errors were found in the BIND configuration file /etc/named.conf or referenced zone files
        est ce que c’est suffisant pour connaitre que tout va bien??
        merci pour tout
        merci pour le guide de serveur secondaire car je vai le faire bientot ( :-)) )

        Répondre
        1. WolwX Auteur12 mai 2010 at 1 h 40 min

          En fait les vérifications de webmin concernant BIND9 sont limitées aux fonctions de bases avec configs de bases à ma connaissance.
          Je ne suis donc pas sur qu’il te vérifie le fonctionnement de DNSSEC et de tes signatures donc :/

          Concernant le temps d’attente pour la création d’une clef, tu sais que ça sera fini quand les fichiers créés par l’agorythme sont en place :
          dsset-nomdemazone.
          Kwnomdemazone.+005+20247.key
          Knomdemazone.+005+20247.private

          Le temps approximatif … ^^’ je serais du genre à attendre quelques heures max mais j’ai un dédié plutôt puissant …

          Enfin pour le fichier log tu peux toujours le chercher avec un petit # locate daemon.log

          Répondre
  5. zouzoua 12 mai 2010 at 16 h 07 min

    salut,
    je suis désolée pour le dérangement mais j’ai besoin une autre fois de votre aide.
    j’ai installé le serveur secondaire sur une autre machine virtuelle fedora donc comment je peux tester les deux serveurs pour verifier que le secondaire fonctionne bien.
    concernant les aspects de securité comme dnssec comment je la configure sur le serveur secondaire????????ou sa configuration sur le primaire est suffisante???
    merci d’avance

    Répondre
    1. WolwX Auteur13 mai 2010 at 1 h 06 min

      Salut Zouzoua,

      En fait l’utilisation d’un serveur DNS secondaire est pratique pour gérer des noms de domaines sur une autre machine et décharger le premier serveur lors d’afflux important.

      D’après ce que j’ai compris donc, la mise en place d’un serveur dns secondaire ne serait donc pas courante pour des webmasters lambda ^^’

      D’autant plus que l’on peux bien souvent, utiliser les dns proposés par les registrars et hébergeurs auprès desquels ont à acheter les nom de domaine afin de les régler en serveur secondaire.

      Mais si tu veux tester ceci, tu peux utiliser des outils tel que que ceux proposé par le site http://dnsstuff.fastnext.com/ pour vérifier les réglages 🙂

      Pour DNSSEC, tout est lié directement à la zone (domaine), ainsi si tu veux sécuriser un nom de domaine géré par ton dns secondaire, il te faudra activer le DNSSEC sur celui ci de la même manière que sur ton serveur primaire.

      Répondre
      1. zouzoua 13 mai 2010 at 12 h 39 min

        salut wolwox :))
        merci pour les reponses vous pouvez pas lmaginer combien vous m’avez aidé dans mon projet
        je suis obligé d’installer deux serveurs dns primaire et secondaire bien securisé sur deux mahines virtuelles et aprés ils seront appliqué dans un reseau reel (c’est le sujet de mon projet de fin d’etude)…
        merci pour tout
        cordialement

        Répondre
  6. zouzoua 20 mai 2010 at 12 h 23 min

    Bonjour,
    c’est moi une autre fois
    je voudrai chrooté mon serveur dns installer sur fedora 10 mais le probleme que je trouve pas le fichier /chroot/named/dev/log
    sachant que la commande # ls /chroot/named/dev donne:
    null random
    donc jetrouve pas le fichier log
    et voila ce qui j’ai deja fait:
    jai ajouté dans le fichier /etc/passwd la ligne suivante:
    named:x:200:200:Nameserver:/chroot/named:/bin/false
    et dans le fichier /etc/group :
    named:x:200:
    # mkdir -p /chroot/named
    # cd /chroot/named
    # mkdir -p dev etc/namedb/slave var/run
    # cp -p /etc/named.conf /chroot/named/etc/
    # cp -a /var/named/* /chroot/named/etc/namedb/
    # chown named:named /chroot/named/var/run
    # cp -p /etc/named.conf /chroot/named/etc/
    # cp -a /var/named/* /chroot/named/etc/namedb/
    # chown named:named /chroot/named/var/run
    # mknod /chroot/named/dev/null c 1 3
    # mknod /chroot/named/dev/random c 1 8
    # chmod 666 /chroot/named/dev/{null,random}
    # cp /etc/localtime /chroot/named/etc/
    # vim /etc/rc.d/init.d/rsyslog
    et j’ai changé la ligne
    daemon syslogd
    en
    daemon syslogd -a /chroot/named/dev/log

    # vim /etc/sysconfig/rsyslog
    et j’ai modifié la ligne en
    SYSLOGD_OPTIONS=”-c 2 -a /chroot/named/dev/log”
    # /etc/rc.d/init.d/rsyslog stop
    Arrêt de l’enregistreur de journaux du système : [ OK ]
    [root@bouzadi named]# /etc/rc.d/init.d/rsyslog start
    Démarrage de l’enregistreur de journaux du système : [ OK ]
    j’ai cherché beaucoups mais j’ai pas trouvé une solution 🙁
    aidez moi svp si possible
    merci d’avance

    Répondre
    1. WolwX Auteur20 mai 2010 at 13 h 46 min

      Salut,

      As-tu essayé un “locate nomdetonfichierrecherché” ?

      Répondre
      1. zouzoua 20 mai 2010 at 14 h 48 min

        salut,
        oui et elle ne me retourne rien 🙁

        Répondre
  7. zouzoua 20 mai 2010 at 12 h 30 min

    sachant que j’ai toujours cette probleme:
    # service named restart
    Arrêt de named : [ OK ]
    Démarrage de named : [ÉCHOUÉ]

    Répondre
    1. WolwX Auteur23 mai 2010 at 15 h 38 min

      Désolé pour le retard :s

      Il te faut absolument trouver le fichier de log, c’est lui qui t’indiqueras les erreurs qui bloque le lancement de l’application.

      Pour ma part lorsque je bute sur un problème du genre, je reprend à zero …
      Dans ton cas je ferais donc une sauvegarde de mes configs et referais une nouvelle installation avec les configurations de bases.

      En espérant que ça puisse t’aider …

      Répondre

Cliquez ici pour annuler la réponse.

Laisser un commentaire Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

XHTML: Balises autorisées <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Rechercher

Mots Clés

6 pouces administration système android Android 4.4.4 APK application astuce bash Blizzard bug counter strike source css debian DPI dédié facebook fps gamer geek Huawei Ascend Mate 7 jeux vidéo linux mail maj mumble mutualisé mx obb ovh script server serveur serveur dédié serveur mail smartphone spam ssh sécurité tablette téléchargement virus WolwX.net wordpress zcs zimbra

Derniers commentaires

  • Zimbra ZCS – Installer un certificat SSL gratuit Letsencrypt sur la webmail | WolwX.net dans Zimbra ZCS – personnalisation de la webmail
  • WolwX dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • Ridha dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • WolwX dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • ALcapone dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • Messoum dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • Antoine dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • Nestor dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • Ronin dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
  • WolwX dans Hack Playstation 4 on peut vraiment jouer à des jeux “crackés” ?
Linkedin Facebook Instagram
Twitter Youtube
Contact Mail
Plan du site (Sitemap) :
  • Blog Articles
  • Cookies
  • Portfolio Portfolio
  • Créations Websites Créations Websites
  • Mentions légales
  • A propos de moi A propos de moi
  • Me contacter
  • Politique de confidentialité

WolwX :: © 2009 - 2023 Tous droits réservés. +
Propulsé par Wordpress :: Designed (OneTouch v2 custom) :: Hosted, Configured & Powered by n1-Web.fr
Optimisé en HD pour une résolution égale ou supérieur à 1280x1024 pixels
Compatible Smartphones et Tablets, Responsive Webresponsive 10 paliers.
Navigateurs recommandés Google Chrome Firefox

Avertissement : Toute reproduction, représentation, traduction, adaptation, ou citation qu'elle soit intégrale ou partielle, quelqu'en soit le procédé, est strictement interdite sans autorisation, sauf cas prévus par l'article L.112-5 du code de la propriété intellectuelle.
Les marques citées sont la propriété de leurs détenteurs respectif.

 

Chargement des commentaires…