Problème pour résoudre un nom avec Bind

Le 13027ième jour après Epoch,
Stephane Bortzmeyer écrivait:

Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai
bien dit zone et pas domaine, tous les domaines ne sont pas des zones,
par exemple asso.re n'est pas une zone alors que asso.fr l'est).

Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
un DNS, c'est bien ça?

Beaucoup d'administrateurs DNS ne maintiennent pas cette information,
puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui
ont un rôle concret.

Exemple ? Le domaine "sn", par exemple.

Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu' il
est autoritaire sur la zone?

/F - Qui a trop tendance à penser que les admins sont 'propres' dans
ce qu'ils font ;)

François TOURDE a écrit :

Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
un DNS, c'est bien ça?

une zone peut être aussi "un domaine + ses (ou une partie de ses)
sous-domaines)"

--
Romain

On Thu, Sep 01, 2005 at 02:41:19PM +0200,
François TOURDE <fra-duf-no-spam@tourde.org> wrote
a message of 25 lines which said:

Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré
dans un DNS, c'est bien ça?

Une zone est un domaine qui est déléguée techniquement, qui a ses
propres serveurs de noms (c'est pour cela qu'elle a des
enregistrements NS et SOA).

Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone?

C'est une notion qui n'a plus guère de sens, de toute façon (BIND
n'utilise plus ce vocabulaire) : dans beaucoup de domaines, le
générateur de zones tourne sur tout ou partie des serveurs et, d'une
certaine façon, ils sont tous primaires.

C'est ainsi que fonctionne ".com", ".de" ou ".org". ".at" n'a pas de
générateur sur chaque serveur mais le SOA reflète la machine où a
tourné le générateur, il y a donc des SOA différents selon le serveur
qu'on interroge.

On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il
est autoritaire sur la zone?

Tous les serveurs d'une zone, primaires et secondaires, font autorité
(un adjudant est autoritaire, un serveur DNS fait autorité).



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

François TOURDE a écrit :

Le 13027ième jour après Epoch,
Stephane Bortzmeyer écrivait:

Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai
bien dit zone et pas domaine, tous les domaines ne sont pas des zones,
par exemple asso.re n'est pas une zone alors que asso.fr l'est).

Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
un DNS, c'est bien ça?

C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :

...
www.sous IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.

Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :

zone "sous.domaine.fr" {
...
options
...
}

puis dans la zone, tu declare tes entrées:

...
www IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est une zone.

C'est pour cette raison que seul les zones peuvent avoir un SOA et des
NS, les sous-domaines qui ne sont pas des zones ont les SOA et NS de la
zone a laquelle ils appartiennent.

Beaucoup d'administrateurs DNS ne maintiennent pas cette information,
puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui
ont un rôle concret.

Exemple ? Le domaine "sn", par exemple.

Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il
est autoritaire sur la zone?

Il ne faut pas confondre primaire et autoritaire. Un serveur dns declaré
avec une entrée NS pour une zone est autoritaire pour cette zone. Le
serveur primaire est normalement celui qui possede la map qui est
repliquée sur l'ensemble des autres dns. Un serveur dns peut avoir la
map d'une zone sans etre autoritaire, il suffit pour cela qu'il soit
dans les allow-transfert d'un serveur qui possede deja la map.
Les SOA mal configurés le sont parfois volontairement, certains experts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).
Autre detail, certain systeme dns peuvent avoir plusieurs SOA, c'est le
cas des DNS windows qui utilise l'annuaire AD en multi-maitre.

/F - Qui a trop tendance à penser que les admins sont 'propres' dans
ce qu'ils font ;)

--
Pensez

Le 13027ième jour après Epoch,
Stephane Bortzmeyer écrivait:

On Thu, Sep 01, 2005 at 02:41:19PM +0200,
François TOURDE <fra-duf-no-spam@tourde.org> wrote

^^^^ C'est pas mon vrai prénom, ça ;)

a message of 25 lines which said:

Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclarà ©
dans un DNS, c'est bien ça?

Une zone est un domaine qui est déléguée techniquement, qu i a ses
propres serveurs de noms (c'est pour cela qu'elle a des
enregistrements NS et SOA).

Bon, jusque là ça correspond bien à ma conception du monde. Je suis
rassuré.

Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone?

C'est une notion qui n'a plus guère de sens, de toute façon (BI ND
n'utilise plus ce vocabulaire) : dans beaucoup de domaines, le
générateur de zones tourne sur tout ou partie des serveurs et, d'une
certaine façon, ils sont tous primaires.

Ce qui m'a posé un souci un jour, avec secondary.org ... J'utilisais
leurs services de DNS ... esclave ;) et ils se sont mis à répondr e un
peu n'importe quoi sur mes zones.

Je trouve dommage que cette notion disparaisse, cela implique une
confiance absolue dans le cas de DNS esclaves, ce qui n'est pas
toujours posible.

Tous les serveurs d'une zone, primaires et secondaires, font autorité
(un adjudant est autoritaire, un serveur DNS fait autorité).

:) ... Ok. Dans ma tête il y avait une notion de hierarchie dans les
réponses des DNS associés à une zone. Je sais pas d'où je sors ça
d'ailleurs.

En tout cas, merci pour ces éclaircissements.

Le 13027ième jour après Epoch,
Marc PERRUDIN écrivait:

C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine .fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :

...
www.sous IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.

Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :

zone "sous.domaine.fr" {
...
options
...
}

puis dans la zone, tu declare tes entrées:

...
www IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est une zone.

Tout à fait d'accord. C'est d'ailleurs ce que je fais (les 2 cas me
servent) chez moi.

Il me semble quand même que dans le second cas, (avec une zone pour
"sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que
"sous" a pour NS x.y.z.t non?

Bon, j'ai regardé ma config, et je le fais pas, mais il me reste un
souvenir de ce genre.

Les SOA mal configurés le sont parfois volontairement, certains expe rts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).

Pas mal comme idée. Du coup le SOA n'est jamais accessible, sauf
depuis les DNS esclaves.

François TOURDE a écrit :

Le 13027ième jour après Epoch,
Marc PERRUDIN écrivait:

C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :

...
www.sous IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.

Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :

zone "sous.domaine.fr" {
...
options
...
}

puis dans la zone, tu declare tes entrées:

...
www IN A 1.2.3.4
...

dans ce cas, sous.domaine.fr est une zone.

Tout à fait d'accord. C'est d'ailleurs ce que je fais (les 2 cas me
servent) chez moi.

Il me semble quand même que dans le second cas, (avec une zone pour
"sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que
"sous" a pour NS x.y.z.t non?

Non, pas a ma connaissance. Les zones sont independantes les unes des
autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir
les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones.
Tout ca ce retrouve dans le named.conf et non dans la zone.

Bon, j'ai regardé ma config, et je le fais pas, mais il me reste un
souvenir de ce genre.

Les SOA mal configurés le sont parfois volontairement, certains experts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).

Pas mal comme idée. Du coup le SOA n'est jamais accessible, sauf
depuis les DNS esclaves.

C'est vrai que c'est interessant mais, la ou je travaille, je n'avait
pas pu l'essayer car lorsque tu fais ca, les outils comme zonecheck
renvoient une erreur fatale concernant le domaine et notre fournisseur
exige un zonecheck valide pour les domaines appartenant a son reseau. Il
vaut mieux se renseigner avant de tester ca.

A+


--
Pensez

Le 13027ième jour après Epoch,
Marc PERRUDIN écrivait:

François TOURDE a écrit :

Il me semble quand même que dans le second cas, (avec une zone pour
"sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que
"sous" a pour NS x.y.z.t non?

Non, pas a ma connaissance. Les zones sont independantes les unes des
autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir
les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones.
Tout ca ce retrouve dans le named.conf et non dans la zone.

Si sous.domaine.fr est délégué à un "autre" DNS, alors il faut
préciser dans la zone de domaine.fr quelle est la machine qui s'en
charge

sous <ttl> in NS w.x.y.z

Sinon, il n'y a aucun moyen de savoir que c'est w.x.y.z qui va
résoudre cette zone particulière.

La recherche par un resolver se faisant dans l'autre sens, c'est à
dire:

fr --> domaine --> sous --> www

En tout cas j'ai le souvenir d'avoir été obligé de mettre ça en place
pour la délégation de reverse DNS.